En nuestra sección especial, tratamos varias debilidades y malware que afectan a productos Apple.

Transcripción

1 En la portada de nuestro nuevo número Adobe Flash informa sobre grave vulnerabilidad. Protección a ataques DDOS en tiendas on-line. Análisis al malware y robo de datos Comentamos un artículo publicado por INTECO a comienzos de Marzo en el que exponen varios tipos de malware que afectan directamente a los datos de los usuarios. Además veremos ejemplos de estos malware que han llegado a realizar robos de datos e información sensible en masa, para obtener beneficios millonarios. En nuestra sección especial, tratamos varias debilidades y malware que afectan a productos Apple. Comenzando por BlackHole RAT, un malware de administración remota capaz de controlar máquinas con Mac OS X. Seguidamente, estudiaremos la versión 10.2 de itunes para solucionar 57 fallos de seguridad, según Apple. Aunque parece que se olvidaron del buen funcionamiento, ya que inmediatamente publicaron el parche y se rumorea que aparezca una nueva actualización para solucionar varios fallos de sincronización. Y por último, hablaremos de las Mafias que roban dinero a través de itunes. Para ello publican aplicaciones inútiles y tienen miles de compras desde cuentas robadas. En el punto de mira Twitter añade la opción de navegación HTTPS por defecto. Tipos de Webs criminales.

2 En la portada de nuestro nuevo número Adobe Flash informa sobre grave vulnerabilidad Hace unos días la propia empresa Adobe advirtió de un fallo de seguridad grave en sus productos Adobe Reader y Acrobat. Este fallo podría llegar a permitir el control remoto de la máquina de la víctima. La vulnerabilidad se encontraba en el componente Flash Player que se encuentra en dichos productos. Los usuarios de Reader X están de suerte, ya que este producto fue el único que se salvó. "Esta vulnerabilidad (CVE ) podría causar un caída de sistema y, potencialmente, permitir a un atacante tomar el control del sistema afectado. Hay informes de que esta vulnerabilidad ya está siendo explotada mediante ataques dirigidos a través de un archivo flash (.swf) incrustado en Microsoft Excel (.xls) y entregado como un archivo adjunto de correo electrónico. En este momento, Adobe no tiene conocimiento de ataques contra Adobe Reader y Acrobat. Las mitigaciones del modo protegido de Adobe Reader X pueden evitar que una explotación de este tipo sea ejecutada", dijo Adobe en un comunicado de prensa. "Durante las pruebas, una explotación en particular no fue capaz de ejecutarse correctamente en Windows 7, pero funcionó en Windows XP. Es probable que a través de una explotación ROP se pueda aprovechar esta vulnerabilidad en Windows 7.", comentó Roel Schouwenberg, investigador de Kaspersky Lab. Tras varios días de investigación del problema, Adobe confirmó que el problema se debía al archivo authplay.dll, permitiendo al atacante tomar control absoluto sobre el PC atacado y ser capaz de instalar otro tipo de código malicioso e incluso acceder a información sensible. Los desarrolladores no se quedaron de brazos cruzados y hace pocos días lanzaron parches para sus productos. Las actualizaciones se aplican a Flash Player, incluyendo el navegador web Chrome con soporte Flash integrado, Adobe y la mayor parte de las versiones de Reader. Adobe Reader X para Windows tendrá que esperar a su propia actualización. Pese a la rapidez por parte de Adobe para abordar el problema, nos preguntamos de nuevo qué fases siguen los desarrollos que realizan. En 2010 Adobe ya fue noticia por sus fallos de seguridad en ficheros.pdf, capaces de infectar a la víctima que abría los archivos. Esperemos que tengan más cuidado a la hora de implantar seguridad en sus productos.

3 Protección a ataques DDOS en tiendas on-line A comienzos del 2011 los ciberataques dirigidos a cualquier tipo de organización, desde empresas financieras hasta algunos de los más conocidos nombres de la Web, demostraron que nadie es inmune a los ataques maliciosos. Bruno Hourdel, Director de línea de productos internacional de Akamai Technologies, nos indica cinco consejos que cualquier tienda online debería llevar a cabo para evitar ataques Distribuidos de Denegación de Servicio. Damos las gracias también a nuestros compañeros de csospain.es por publicar tan maravilloso artículo: 1. Implementar un robusto plan de conmutación por error (failover) Minimizar el impacto sobre el negocio de un ataque DDoS o de una demanda no prevista al dirigir instantáneamente a los visitantes al sitio a una sala de espera virtual o una página alternativa con una funcionalidad reducida para mantenerlos ocupados, reduciendo así la carga del back-end. 2. Mejor prevenir que curar Descargar sus funciones de infraestructura de origen centralizada a una plataforma distribuida en la nube ofrecerá una importante capa inicial de protección DDoS. Al fomentar la escalabilidad global, es más fácil manejar los grandes picos de tráfico asociados con los ataques DDoS. Y cuanto más se pueda descargar hacia la nube, más robusta y escalable será la infraestructura. 3. Dar prioridad a los compradores Premium Maximizar cualquier oportunidad de ingreso que se presente utilizando un servicio distribuido para regular inteligentemente el volumen de tráfico con aplicaciones de back-end e incrementar el número de transacciones finalizadas durante grandes afluencias de tráfico. Utilizar la potencia y la inteligencia que ofrece la distribución de servidores para asegurar que los compradores prioritarios reciben un servicio inmediato, mientras que los visitantes nuevos o desconocidos se desvían hacia una sección de descarga de su sitio. Aquí se pueden utilizar actualizaciones de estado del tiempo de espera y contenido como vídeos y catálogos con imágenes para asegurar que los compradores permanecen ocupados hasta que sus servidores de aplicaciones puedan manejar de forma segura las nuevas transacciones. 4. Incremente su elección de técnicas de mitigación Los ataques DDoS son tan variados que no hay una sola estrategia de mitigación que sirva para todos. Pero utilizando una arquitectura distribuida basada en la nube puede ofrecerle acceso a una enorme gama de capacidades de defensa dirigida, permitiéndole atajar ataques DDoS cerca de la fuente en tiempo real e impedir que sus enlaces upstream se congestionen.

4 Añadir una capa de seguridad distribuida a nivel global a sus defensas significa que puede aguantar con éxito muchos tipos diferentes de fallos más allá de los ataques DDoS tanto si ocurren a nivel de la máquina, del centro de datos, como de la red. 5. Adivinar el futuro puede costar caro Las aproximaciones centralizadas tradicionales como los firewalls, los sistemas de prevención contra intrusiones y las soluciones de escaneo de red no ofrecerán la flexibilidad o escalabilidad necesarios para defenderse contra las enormes amenazas masivamente distribuidas. Además, protegerse contra todas las vulnerabilidades conocidas puede resultar prohibitivo, y si uno no adivina correctamente, el negocio se resiente. Los servicios de seguridad basados en la nube pueden reducir sus costes de planificación y mantenimiento de TI al aprovechar una escala masiva en los bordes principales de Internet para ofrecer capacidades bajo demanda que ayuden a proteger y encubrir su infraestructura de origen principal y mantener la continuidad del negocio frente a cualquier escenario.

5 Análisis al malware y robo de datos Si algo diferencia al malware de hoy en día del de hace unos años es su ánimo de lucro. La inmensa mayoría del malware de hoy en día se hace por y para ganar dinero a través del robo, extorsión, engaño o estafa. El beneficio más directo para los creadores de malware se obtiene del robo de información sensible. Tal es el caso de las contraseñas para el acceso a la banca online y otros servicios financieros que hoy en día son posibles a través de Internet: credenciales para el acceso a banca, contraseñas de servicios como PayPal, números de tarjeta de crédito junto con sus códigos secretos... Una vez cuentan con esa información en su poder, realizan transacciones de ciertas cantidades (también a través de Internet o empresas de envío de efectivo) y a través de terceros para obtener directamente los beneficios. A continuación mostramos la lista desarrollada por INTECO con los métodos más comunes para la captura de datos: 1. Registro de teclas pulsadas Este es el primer método de robo de datos que fue usado en los 90. Los keyloggers son troyanos que registran las teclas pulsadas, ya sea todo lo que el usuario escribe o bajo cualquier evento específico. Su objetivo obvio es el robo de contraseñas, interceptar conversaciones de mensajería instantánea, correos electrónicos, etc. Con el tiempo, el malware ha combinado estas técnicas con métodos de monitorización de eventos, para descartar información no interesante y capturar todas las pulsaciones en páginas concretas que resulten útiles para el atacante. Este método no resulta muy efectivo en los últimos años, pues la mayoría de las páginas web tienen ya alguna credencial que ha de introducirse a través de un medio alternativo al teclado. 2. Análisis del disco duro Este método permite recuperar datos, como por ejemplo direcciones de correos electrónicos que aparecen en documentos, en los propios correos electrónicos o en la agenda de direcciones, entre otros. Aunque efectivo, requiere de mucha actividad por parte del malware, por lo que no es muy utilizado en la actualidad. Una recomendación por parte de Acinsel: si vais a tirar vuestro ordenador a la basura o a cualquier punto limpio, no dejéis los discos duros dentro. Incluso después de formateado, se puede extraer la información que había previa al formateo.

6 3. Pharming local El pharming local consiste en aprovechar una característica propia del sistema operativo a la hora de resolver dominios en beneficio del atacante. Se apoya en un servidor (página web) controlado por el atacante que debe contener una página parecida o copiada de la entidad de la cual se quieren obtener las contraseñas. Es muy parecido al caso de phising, pero esta vez el usuario no hace clic en un enlace engañoso, sino que el Sistema Operativo traduce un dominio en una dirección IP incorrecta. 4. Aplicación que simula al navegador Esta técnica consiste en la simulación total de la ventana del navegador por parte de una aplicación que se abre en el escritorio cuando el usuario visita una página objetivo. Habitualmente el software malicioso codifica en su cuerpo las entidades a monitorizar. Emplea una función de la API de Windows para leer el título de las ventanas abiertas en Windows y cuando haya una coincidencia (total o parcial) entre alguna de las cadenas monitorizadas y el título de la ventana, el mecanismo de fraude de malware se activa. Una vez se detecta una ventana de navegador cuyo título incluye la cadena objetivo, el código malicioso la cierra inmediatamente y lanza una aplicación propia simulando una ventana de navegador. En esa ventana se recrea por completo la página objetivo, solicitando el tipo de acceso que se desea a la entidad. Los datos introducidos en estos formularios fraudulentos son enviados a un servidor que pertenece al atacante. 5. Aplicación superpuesta Es una evolución de la anterior, bastante más sofisticada. En vez de recrear la ventana del navegador por completo, superpone una pequeña aplicación en la zona del navegador que pide las contraseñas, ajustando colores y estilo de la página en general. De esta forma el usuario no observa en principio diferencia alguna entre la página original (que está visitando y mantiene abierta) y el programa superpuesto que encaja perfectamente en la zona de las contraseñas. Además, el código está adaptado para que, en caso de que la página sea movida o redimensionada, el programa realice cálculos de su posición y se ajuste perfectamente al lugar asignado. 6. Formgrabbers Esta es una técnica que consiste básicamente en la obtención de los datos introducidos en un formulario, y puede ser realizada a través de varios métodos, como Browser Helper Objects, intefaces COM o enganchándose (hooking) a APIs del sistema. Con estos métodos se consigue además eludir el cifrado SSL. Aunque suelen centrarse en Internet Explorer, se ha

7 observado malware que se dirige a Mozilla Firefox a través de sus extensiones. Incluso se ha observado el uso de funciones genéricas que permiten abstraerse del navegador utilizado. El código malicioso introduce ganchos en la API de Windows que le permiten interceptar las llamadas a ciertas funciones e inspeccionar los parámetros que se suministran. Estos últimos permiten conocer los datos enviados en formularios, redirigir tráfico de red, y modificar las respuestas a las peticiones de los navegadores. Si es necesario introducir nuevos campos que puedan resultar interesantes para el atacante, el mismo binario puede contener la configuración necesaria (normalmente en XML) para inyectar el campo específico en el punto oportuno de la página, encajándolo con las etiquetas HTML adecuadas para que parezca legítimo. Otras técnicas descargan o muestran la información necesaria desde otro servidor que controla el atacante. Con este campo adicional se intenta capturar la contraseña que permite efectivamente realizar las transacciones. 7. Captura de imágenes y vídeos Ante la llegada de los teclados virtuales en la banca online como método para evitar los registradores de teclas, el malware se adaptó con métodos de captura de credenciales. Estos consisten en la activación de un sistema de captura en forma de imágenes, de un sector de pantalla alrededor del puntero de ratón cuando este pulsa sobre un teclado virtual. Con este método se consigue eludir el teclado virtual, pues el atacante obtiene imágenes de cada tecla del teclado virtual pulsada, en forma de miniatura o captura de pantalla. Algunos teclados virtuales, para luchar contra esta amenaza, desactivan el mostrado de números sobre las teclas cuando se realiza la pulsación, habitualmente convirtiéndolos en asteriscos. Así se consigue eludir este tipo de malware, pues el atacante obtendría capturas de teclas con asteriscos que no contienen la información objetivo. Sin embargo, se ha observado la existencia de código malicioso que graba una pequeña secuencia de vídeo con los movimientos del usuario sobre el teclado virtual. Con este método se logra obtener los datos, pues aunque las casillas muestren asteriscos en lugar de las cifras pulsadas, la grabación por vídeo permite observar hacia dónde se dirige el puntero durante la secuencia de pulsación de las teclas. 8. Rogueware El rogueware o rogue software es un tipo de programa malicioso cuya principal finalidad es hacer creer a la víctima que está infectada por algún tipo de virus, induciendo a pagar una determinada suma de dinero para eliminarlo. El concepto del pago suele ser la compra de un falso antivirus, que resulta en realidad el malware en sí. En los últimos tiempos, su difusión se ha incrementado notablemente y se están detectando gran cantidad de variantes.

8 Sección especial: Debilidades de Apple Apple está en el punto de mira de muchos atacantes debido a sus recientes deficiencias de seguridad en sus productos. Comenzamos por BlackHole RAT (Remote Administration Tool), un malware de administración remota capaz de controlar máquinas con Mac OS X. Según el investigador de seguridad Robert Graham, la herramienta está en desarrollo, pero el que exista es ya de por sí una amenaza y cada vez más creciente. De hecho, la versión actual permite ejecutar comandos remotamente, forzar la apertura de una URL en una página web para poder así ejecutar un exploit de client-side en el navegador, generar ficheros en el sistema, solicitar credenciales de administración, apagar y reiniciar el sistema. Seguidamente, Apple lanza la versión 10.2 de itunes para solucionar 57 fallos de seguridad. Aunque parece que se olvidaron del buen funcionamiento, ya que inmediatamente publicaron el parche y se rumorea que aparezca una nueva actualización para solucionar varios fallos de sincronización. Apple fue blanco fácil por todos los investigadores reconocidos de seguridad, apoyándose además en el informe de CISCO, situando a Apple como el fabricante de software con más fallos de seguridad (308 fallos graves durante el año pasado). Pero el siguiente tema es el que más nos preocupa, sobre todo porque no tiene que ver con fallos en el desarrollo de productos que tienen solución por actualización. Se trata de las mafias de la Store de Apple. Si tenemos en cuenta el anuncio por parte de Apple del logro de 10 billones de descargas de aplicaciones, nos podemos hacer una idea de la cantidad de dinero que se mueve por itunes o App Store. Y las mafias no han dejado pasar este hecho. Las mafias en cuestión son empresas o particulares que crean aplicaciones de dudosa utilidad pero fáciles de desarrollar y saltar las barreras de seguridad. Hasta aquí no hay nada ilegal, ya que no dejan de ser aplicaciones públicas y cualquiera puede comprarlas. El problema llega cuando una de estas aplicaciones inútiles alcanza un número desorbitado de descargas. Los desarrolladores se forran y todos tan contentos. Entonces, cuál es el problema? Fácil. La mayoría de las compras fueron realizadas desde cuentas de itunes robadas o hackeadas. Las víctimas no se enteraron, ya que pierden poco dinero (~1 ), pero si multiplicas 1 por compras Las mafias obtienen bastante beneficio.

9 En el punto de mira: Twitter añade la opción de navegación HTTPS por defecto Novedad no es, ya que anteriormente se podía navegar por Twitter de forma segura accediendo a El problema es que había que acordarse. Ahora Twitter ha activado una opción que permite asociar a tu cuenta la navegación HTTPS de forma totalmente automática. Para ello, debes acceder a la página de Configuración de tu cuenta y hacer clic en la opción «Usar siempre HTTPS». Después de volver a introducir tu contraseña, la opción queda activada; lo notarás porque todas las páginas que veas en la web de Twitter empezarán por https y si tu navegador tiene un icono para indicar conexiones seguras, también aparecerá. Y qué gana el usuario con esto? Seguridad sobre todo en las redes Wi-Fi públicas. No debemos olvidar que cualquiera puede acceder a nuestro nombre de usuario y contraseña en una misma red si no están codificados. Y ahora con Firesheep las credenciales se recogen automáticamente. Si el usuario tiene activado HTTPS, el atacante recibirá una cadena de símbolos que nada tendrán que ver con los datos originales. Tipos de webs criminales cada vez más numerosas en la red Phising sites Estos sitios tienen como propósito engañar a los usuarios clonando una web original. Su objetivo es hacerse con las credenciales de acceso de los usuarios, para así ellos acceder a los datos en la web original. Para evitar este fraude, debéis aseguraros que estáis en la Web correcta. Para ello, no dejéis de vigilar la barra superior de direcciones, en la que, aparte de indicar la URL actual, os mostrará el icono de conexión segura HTTPS. Tiendas online fraudulentas Tened mucho cuidado con vuestras compras por Internet. Muchas empresas crean sus webs al estilo ebay y cuando pulsas Pagar un error se muestra por pantalla. Ya has perdido tu dinero. Falsas webs de caridad La gente llega hasta límites insospechados. Hay webs de caridad totalmente falsas, en las que se promete que tus donaciones irán a algún sector perjudicado de la sociedad. Es totalmente mentira, el dinero se lo quedan ellos. Tened cuidado haciendo donaciones en la web.