Etiquetar Archivos: malware

Darwinismo aplicado a la seguridad informática (tercera parte): es hora de ocuparse de estos parásitos

¡Hola a todos!

Continuemos con el tema de la supervivencia del más fuerte. No planeaba hacer una trilogía, simplemente ocurrió. O algo así….

He dicho “algo así” porque el problema específico del que hablaré hoy, los parásitos en el mundo de la seguridad informática, lleva ya un tiempo en mi mente. Esta charla sobre el darwinismo parece ser la oportunidad perfecta para dejarme llevar. Ya veréis a qué me refiero…

Hoy hablaremos de parásitos. Pero no de esos contra los que luchamos continuamente (los malos”muy malos”), sino de los que dicen que también luchan contra los muy malos (una pregunta filosófica: ¿quién es peor? :).

Hoy en día, la industria informática se desarrolla a pasos agigantados. Hace tan solo 10 o 15 años, sus principales asuntos eran los antivirus de escritorio, los firewalls y las copias de seguridad; hoy, hay un sinfín de nuevas soluciones de seguridad, métodos e ideas. A veces nos las arreglamos para ir por delante y otras veces tenemos que ponernos las pilas. Hay otras veces en las que caemos en un letargo de asombro y no por las nuevas tecnologías, innovaciones o ideas frescas, sino por el descaro y la falta de escrúpulos de nuestros compañeros de la industria de la seguridad.

Pero primero, dejadme explicaros cómo se han desarrollado los acontecimientos.

Existe un servicio muy práctico llamado VirusTotal multiscanner. Suma alrededor de 60 motores antivirus que utiliza para examinar documentos y URLs que la gente envía para comprobar si hay malware y después proporciona sus resultados.

Por ejemplo: Pongamos que un tal José Rodríguez encuentra una aplicación o un documento sospechoso en un disco duro/memoria USB/Internet. El software de José determina que no contiene ningún virus, pero José es un poco paranoico y quiere asegurarse de que el archivo no está infectado. Así que se dirige a la página de VirusTotal, que no solo cuenta con una solución de antivirus como la suya, sino que tiene unas 60. Además, se trata de una herramienta gratuita, por lo que no es una decisión difícil. José sube el archivo a VirusTotal y recibe información instantánea sobre lo que piensan los diferentes antivirus sobre este.

Antes de nada, hay que dejar claro que las personas de VirusTotal y los que trabajan para la compañía a la que pertenece (Google) están del lado de los “buenos”. No tienen conexión alguna con los parásitos. VirusTotal se mantiene gracias a un pequeño equipo profesional que lleva años haciendo su tarea de manera eficaz. [¿Necesitáis más razones para convenceros? ¿Y si os digo que VirusTotal ganó el premio de MVP el año pasado en el Security Analyst Summit (SAS)?] A día de hoy, VirusTotal es una de las fuentes de muestras de malware y URLs maliciosas más importantes y también es una herramienta arqueológica estupenda para investigar los ataques dirigidos.

El problema está en un conjunto de usuarios sombríos del multiescáner que, por desgracia, están volviéndose cada vez más descarados en sus conductas.

Seguir leyendo:Darwinismo aplicado a la seguridad informática (tercera parte): es hora de ocuparse de estos parásitos

Ciber- noticias: centrales nucleares vulnerables y controles cibernéticos

Aquí tienes una rápida revisión y algunos comentarios de algunas “noticias”, más que actualizaciones, sobre lo que he estado insistiendo siempre. Odio decir que lo advertí, pero… ¡LO ADVERTÍ!

Photo (prise au hasard) de la centrale nucléaire de Cattenom en France. J'espère qu'ici, tout va bien du côté de la cybersécurité.Una foto al azar de la Central Nuclear de Cattenom, espero que todo esté bien en términos de ciberseguridad

Seguir leyendo:Ciber- noticias: centrales nucleares vulnerables y controles cibernéticos

Album de fotos de Flickr

Instagram

EL ABRACADABRA DE LAS FUENTES ANÓNIMAS

¿Quién mató a JKF?

¿Quién controla el triángulo de las Bermudas?

¿Cuál es el objetivo de los Masones?

¡Fácil! Resulta que las respuestas a estas preguntas no podrían ser más sencillas. Todo lo que tienes que hacer es añadir la frase: “Según fuentes anónimas”, y… ¡voilá! Ahí tienes la respuesta a cualquier pregunta, sobre cualquier persona o cualquier cosa. Y las respuestas son creíbles, no por su… credibilidad, sino por el prestigio atribuido al medio de comunicación concreto que publica la noticia.

Recientemente, la agencia de noticias Reuters obtuvo una “exclusiva mundial” de gran repercusión en el mundo de los antivirus. El artículo sensacionalista, que está plagado de falsas acusaciones, afirma que Kaspersky Lab (KL), crea malware muy específico dirigido, y lo distribuye de forma anónima entre otros competidores anti-malware, con el único propósito de causarles serios problemas y dañar su cuota de mercado. ¡Oh, claro! Pero se les olvidó comentar que ideamos este perverso plan entre los vapores de un banya ruso, justo después de dejar aparcados los osos que montamos en la puerta.

La exclusiva de Reuters se basa en información proporcionada por antiguos empleados de KL y sus acusaciones no tienen ningún fundamento.

Algunos ex empleados descontentos suelen decir cosas desagradables sobre sus antiguos jefes, pero en este caso, las mentiras son simplemente absurdas. Es posible que estas fuentes hayan impresionado a los medios, pero en mi opinión, publicar una “exclusiva” de este tipo SIN TENER NI UNA SOLA PRUEBA, no es lo que yo entiendo por buen periodismo. Siento curiosidad sobre lo que estos “ex-empleados” dirán sobre nosotros a los medios de comunicación la próxima vez, y quién será el siguiente en creer sus mentiras.

La  versión de Reuters es una combinación de una serie de datos con una generosa cantidad de ficción pura y dura.

Seguir leyendo:EL ABRACADABRA DE LAS FUENTES ANÓNIMAS

Introduce tu dirección de e-mail para suscribirte a este blog

YA ESTÁ AQUÍ: TU COCHE CONTROLADO DE MANERA REMOTA POR HACKERS

De vez en cuando (una vez cada muchos años), ocurre algo muy desagradable en el cibermundo, surgen nuevas maldades inesperadas que pueden derribar al mundo entero. Para la mayoría de las personas es sólo una de las constantes y molestas cibersorpresas. Mis colegas del gremio y yo, normalmente asentimos, parpadeamos, hacemos gestos y levantamos las cejas a lo Roger Moore mientras exclamamos algo como: “Le estábamos esperando Sr. Bond. ¿Por qué ha tardado tanto?”

Por eso continuamos estudiando y analizando las tendencias principales de la Dark Web, y así hacernos una idea de quién está detrás de la oscuridad y las motivaciones que intervienen; de esta manera podemos predecir cómo se van a desarrollar las cosas.

Cada vez que uno de estos eventos “inesperados” ocurre, normalmente me encuentro en la delicada situación de dar un discurso (o discursos) junto con la frase “Bienvenidos a la nueva era”. Lo más difícil de todo es admitir que estoy repitiendo un discurso de hace años. Lo fácil: solo tengo que actualizar un poco ese antiguo discurso, añadiendo algo como: “¡Os advertí sobre esto; y vosotros pensasteis que os estaba alarmando para vender el producto!”

Bueno, es comprensible (a nadie le gusta que le digan “te lo dije”, así que seguiré).

Entonces. ¿De qué sorpresa cibernética se trata esta vez? De hecho, una que me afecta especialmente: ¡el mundo de los automóviles!

Hace unos días, la revista Wired publicó un artículo con un enunciado que decía: “Conducía a 120 kph bordeando el centro de San Louis, cuando el exploit empezó a controlar el coche”. ¡Eh!

La noticia describía un experimento exitoso en el que unos investigadores de seguridad de hackers tomaron el control de un coche de forma remota: analizaron (durante meses) el sistema de Uconnect de un Jeep Cherokee, finalmente encontraron una vulnerabilidad, y luego lograron tomar el control de las funciones críticas del vehículo vía Internet,¡mientras que el periodista de Wired conducía el vehículo por una autopista! No estoy bromeando, amigos. Y no estamos hablando de un caso aislado probado en un laboratorio y que sólo afecta a un coche. No, la brecha de seguridad que encontraron y explotaron los investigadores, afecta casi a medio millón de coches. ¡Ups!

can2

Seguir leyendo:YA ESTÁ AQUÍ: TU COCHE CONTROLADO DE MANERA REMOTA POR HACKERS

PROMOVIENDO EL ANTIVIRUS

Hace ya mucho tiempo (tanto que algunos ya ni lo recuerdan), en el cambio de milenio (hace unos 15 años), lanzamos la versión menos exitosa de nuestro producto antivirus. Era muy poderoso contra el malware, tenía mil y un ajustes, pero era grande y lento, particularmente si lo comparas con nuestras versiones anteriores.

Podría ponerme a hacer preguntas como “¿quién tiene la culpa?”, “¿qué se puede hacer?”, etc. pero no lo haré (aunque sí haré mención a que hubo cambios serios en cuanto a recursos humanos). Una cosa está clara, sin ese traspié, quién sabe cómo estaría nuestra empresa actualmente. Lo que importa es que nos dimos cuenta de nuestro error e hicimos todo lo necesario para que la siguiente versión fuera mejor que la competencia en todo. Fue el empujón necesario para que pudiéramos dominar el mundo del antivirus, y hoy en día nuestra contribución sigue creciendo.

Así es, nuestros nuevos productos siguen siendo mejor que los de la competencia en todos los aspectos, incluyendo el rendimiento. Pero aún así, esta lentitud nos persiguió durante años… Bueno, francamente, todavía no nos deshacemos de ella por completo. En aquel entonces, nuestros competidores se esforzaron en trolearnos y desde entonces no han parado. Quizás porque no tienen ningún otro motivo para hacerlo :).

Y ahora, es hora de hacer limpieza. ¡Vamos a quitar de en medio todo lo que se ha acumulado a lo largo de los años!

Aquí tienes los resultados de las recientes pruebas de rendimiento de distintos programas de antivirus. Son los resultados de respetables pruebas de laboratorio, cosas que nos ayudan a reflexionar. Mira los resultados de otros proveedores, compáralos y llega a tu propia conclusión:

1. AV-Test.org
He comentado varias veces que si quieres obtener resultados objetivos, es necesario observar los resultados de múltiples pruebas desde una amplia perspectiva histórica. Hay varios casos notorios en los que ciertos vendedores presentan versiones optimizadas en pruebas específicas para que dieran buenos resultados en vez de la versión normal.

El personal del laboratorio Magdeburg ha hecho un gran trabajo, analizando los resultados que obtuvieron 23 programas de antivirus durante el año pasado (01/2014-01/2015), con el fin de determinar el rendimiento de cada producto.

Sí, estuvo bien recibir esta pequeña “medalla” por haber desarrollado la solución de antivirus más rápida :). Seguir leyendo:PROMOVIENDO EL ANTIVIRUS

Malware para OS X: la evolución

¿Existe algún malware OS X específico para (Mac)?

Sí, existe. Pero por alguna extraña razón hace tiempo que no hablo de nada interesante relacionado con este tema…

La última vez fue hace dos años y medio. Sí, ese es el tiempo que ha pasado desde que el gusano Flashback atacó a 700.000 Macs en todo el mundo. La industria de la seguridad reaccionó y la botnet Flashback fue desactivada, pero desde entonces no se ha sabido nada más… Algunos podrían pensar que desde entonces la lucha de Mac contra el malware estaba ganada y que ni un solo bit de iMalware ha perturbado a Apple…

Pero estarían equivocados…

Mac malware is not amyth, they do exist

Claramente, las probabilidades de que un malware afecte a una plataforma u a otra son muy distintas, y Microsoft Windows es la plataforma más utilizada. No muy lejos estaría Android, relativamente nueva. Sí, en los últimos tres años los cibercriminales han estado bombardeando al pequeño robot verde e incrementando sus niveles de actividad maliciosa. Mientras tanto, en el mundo de los iPhones y los iPads, a excepción de algunos casos muy raros de ciberespionaje, apenas ha habido ataques que hayan tenido éxito (a pesar de que han utilizado métodos inusuales). Algo parecido sucede con los Macs – las cosas están muy tranquilas en comparación con otras plataformas; pero últimamente ha habido indicios de los que os hablaré en este post.

Veamos rápidamente una serie de cifras, a modo de pequeño resumen ejecutivo:

  • El número de nuevos casos de malware para Mac detectados en los últimos años ya ha llegado a miles.
  • En los primeros ocho meses de 2014, se detectaron 25 ‘familias’ distintas de malware para Mac;
  • La probabilidad de que un Mac desprotegido sea infectado por algún malware específico para Mac ha aumentado a cerca de un tres por ciento.
En 2013, @Kaspersky detectó él solo 1700 muestras de malware para OS X. Tweet

Seguir leyendo:Malware para OS X: la evolución

¿Más allá del bien y del mal?

Hace algunos días, Microsoft anunció su incursión en el servicio DNS dinámico No-IP, el resultado fue que se secuestraron 22 de sus dominios. El gigante de Redmond declaró que tenía unas razones muy válidas: No-IP contiene todo tipo de malware, deja espacio a los cibercriminales, es el epicentro de los ataques dirigidos, y además, No-IP nunca colabora con nadie para erradicar estos problemas.

Como pasa en la mayoría de los conflictos, cada uno echa la culpa al otro.

En particular, No-IP afirmó que hacen todo con las mejores intenciones y siempre están dispuestos a eliminar las fuentes de ciberataques, mientras que a los clientes no les gustan nada estas incursiones externas y les consideran un ataque ilegal a negocios legales. Ya que se pueden encontrar malware prácticamente en cualquier sitio, la interrupción de un servicio con una orden de un tribunal no es la solución adecuada.

¿Es legal desactivar un servicio porque se encuentra un #malware? ¿Y si se encuentran en cualquier página?Tweet

Mientras tanto, esta incursión dio bastantes resultados: se cerraron más de 4 millones de páginas web, entre maliciosas e inocuas, y esto afectó a 1,8 millones de usuarios. Microsoft está intentando separar lo bueno de lo malo y volver a activar las páginas legales; de todas formas, muchos usuarios siguen quejándose de molestas interrupciones de algunos servicios.

Identificar a los culpables es un trabajo inútil. Dejaré la investigación periodística a los… periodistas. Os contaré solo hechos, puros y duros, y os hablaré de números, así tal vez llegaréis a vuestras conclusiones  acerca de la legalidad y eticidad  de las acciones de Microsoft…

1) Cerrar 22 dominios de No-IP afectó a más o menos el 25% de los ataques dirigidos de los que teníamos constancia en Kaspersky Lab. Se trata de miles de las operaciones de espionaje y cibercriminales de los últimos 3 años. Aproximadamente un cuarto de ellas tenían por lo menos un centro de Comando y Control (C&C) en No-IP; por ejemplo, los grupos de hackers Syrian Electronic Army y Gaza Team utilizan exclusivamente No-IP, mientras Turla lo utiliza en el 90% de sus operaciones;

2) Podemos confirmar que entre todos los proveedores de DNS dinámicos, No-IP fue el que menos estaba dispuesto a cooperar. En particular, ignoraron todos nuestros mails sobre la operación de sinkholing de una botnet;

3) Nuestro análisis sobe las piezas de malware actuales demuestra que a menudo los cibercriminales utilizan No-IP para sus centros de control de una botnet. Una simple búsqueda a través de VirusTotal confirma este hecho con unos datos muy impactantes: 4,5 millones de piezas de malware únicas se encontraron en No-IP;

4) De todas formas, las últimas cifras proporcionadas por nuestro servicio en la nube (KSN) muestran una situación un poco diferente. En esta tabla encontraréis los porcentajes de ciberataques de los principales servicios de DNS dinámicos:

Servicio % de hosts maliciosos Número de detecciones (en una semana)
000webhost.com 89.47% 18,163
changeip.com 39.47% 89,742
dnsdynamic.org 37.04% 756
sitelutions.com 36.84% 199
no-ip.com 27.50% 29,382
dtdns.com 17.65% 14
dyn.com 11.51% 2321
smartdots.com 0.00% 0
oray.com 0.00% 0
dnserver.com 0.00% 0

Como se ve, No-IP no encabeza la lista así que no es el primero en número de ataques, pero sí que los porcentajes son muy altos en comparación con la mayoría de los servicios.

Algún dato más: el porcentaje de malware en los dominios .com llega a un 0,03%, mientras en la zona .ru es de un 0,39%. ¡En No-IP llegamos al 27,5%!

Hay que mirar el resto de los datos de una manera diferente: en una semana se detectaron alrededor de 30 mil  dominios maliciosos en No-IP, mientras que en la misma semana para uno de los dominios más maliciosos de la zona .com se llegó a 429 mil detecciones, o sea 14 veces más que No-IP. Luego, el décimo dominio más infectado en la zona .ru generó 146 mil detecciones, ¡o sea casi lo mismo que los primeros 10 proveedores todos juntos de DNS dinámicos mencionados antes!

Resumiendo…

Por un lado, bloquear servicios populares utilizados por miles (o millones) de usuarios no es algo bueno. Por el otro, sí que está bien cerrar los sitios que albergan malware, es más, es una acción noble.

Cerrar los dominios de No-IP. ¿Está bien o está mal? Esta es la cuestión.Tweet

Pero las matemáticas hacen de abogado del diablo y demuestran que:

Desde el punto de vista cuantitativo, cerrar todos los dominios de No-IP no es más eficaz en la lucha contra los malware que cerrar el dominio con más piezas de malware en cada una de las zonas más populares, por ejemplo .com, .net o incluso .ru. Si se cerraran todos los proveedores de DNS dinámicos, Internet no llegaría a ser un lugar más “limpio”, o por lo menos no tanto como para notar la diferencia.

Entonces, la verdad que la situación es muy ambigua, con A mayúscula.

Cualquier persona honesta y con juicio puede decir que aquí nada es blanco o negro, no hay cosas exactas o equivocadas o, como dice Nietezche, es algo más allá del bien y del mal, ¿quién puede decidir?

Pues, reflexionando sobre este tema llegué a esta conclusión…

Hasta que el volumen de las acciones de los cibercriminales sea tan alto, es necesario utilizar este “poder” y cerrar de repente algunos servicios, ignorando cualquier noción de libertad en Internet y en los negocios. Así son las cosas, es una regla de la sociedad: si algo huele mal, tarde o temprano hay que limpiar y solucionar el problema.

La lista de los servicios bloqueados es bastante larga: Napster, KaZaA, Pirate Bay y otros más. Ahora añadimos No-IP a la lista.

¿Quién será el siguiente?

¿Bitcoin? La batalla ya ha empezado.

Cibernoticias del lado oscuro – 30 de junio de 2014

Hackeada la bolsa gracias a un retraso de microsegundos

Los estafadores llegan a cualquier sitio, incluso a  la Bolsa. Bueno, ahora lo explico bien…

La profesión de los brokers de bolsa antes era muy respetada y honrada, es más, se trataba de un trabajo muy duro. Los intermediadores de acciones trabajaban muchísimo y durante muchísimas horas a la semana, siempre bajo presión porque tenían que tomar decisiones súper importantes, de día y de noche.  Compraban y vendían valores, acciones, bonos, derivados financieros (o como se llaman todas estas cosas) y tenían que hacerlo en el momento exacto para obtener los mejores precios y tarifas, esperando hasta el último minuto. Como para tener un ataque de corazón. En otros tiempos se tiraban por la ventana cuando todo iba mal. Un trabajo verdaderamente duro.

Bueno, eso era en otros tiempos. Ya no se trabaja manualmente, ahora todo está automatizado. Ya no es necesario pensar mucho, estresarse o sudar: la mayoría del trabajo lo llevan unos robots (programas especiales que determinan automáticamente el momento mejor para comprar o vender). En pocas palabras, la profesión del bróker se ha reducido a enseñar a las máquinas cómo hacer estas operaciones. Y los tiempos de reacciones de estas máquinas (o sea fracciones de segundos) son fundamentales para traer beneficio de un mercado o de otro.  La velocidad depende de la calidad de la conexión a Internet con la bolsa de valores electrónica. O sea, cuanto más cerca el programa se encuentre físicamente de la Bolsa, más probabilidades hay de ser los primeros en hacer una oferta. Viceversa, los robots en “las afueras” siempre se quedarán al margen, a no ser que utilicen los algoritmos más recientes.

Últimamente, en estos importantes tiempos de reacción se interponen unos cibercriminales desconocidos. Un sistema de fondos de inversión ha sido infectado por un malware que ha retrasado las transacciones de algunos centenares de microsegundos; esto seguramente habrá hecho la diferencia entre cerrar unos tratos importantes o perderlos para siempre.

bae-600x255 Seguir leyendo:Cibernoticias del lado oscuro – 30 de junio de 2014

Desde el primer malware para smartphone hace 10 años… hasta hoy

El 15 de junio de 2004, concretamente a las 19:17 hora de Moscú, sucedió algo que daría comienzo a una nueva era en la seguridad informática. Descubrimos el primer malware creado para smartphones.

Era Cabir, que estaba infectando el sistema operativo Symbian de los dispositivos Nokia divulgándose a través de conexiones Bluetooth no seguras. Con su descubrimiento, el mundo aprendió que no solo existían los malware para ordenadores, bien conocidos ya por todos (aparte tal vez solo de los monjes en una ermita), sino también para móviles. Sí, muchos se rascaron la cabeza pensativos al principio (“¿Un virus afectando a mi móvil? ¡Anda ya!”), pero la veracidad del asunto terminó asimilándose tarde (=meses) o temprano (=décadas) por la mayoría de las personas (algunos aún no son conscientes de ello). Mientras tanto, ¡nuestros analistas hicieron su entrada en los libros de historia!

¿Por qué bautizamos este malware como Cabir? ¿Por qué creamos una sala de seguridad especial en nuestra sede central en Moscú? ¿Y cómo pudo acabar Cabir en el bolsillo de un empleado de F-Secure? Estas y otras preguntas fueron planteadas recientemente a Aleks Gostev, nuestro jefe experto en seguridad, durante una entrevista para nuestra Intranet, que voy a compartir con vosotros aquí.

Por lo demás, la historia empieza realmente cuando usamos estos dos dispositivos para analizar el malware:

The legendary Symbian-powered Nokia phones we used to analyze Cabir

Seguir leyendo:Desde el primer malware para smartphone hace 10 años… hasta hoy

Cibernoticias del lado oscuro – 26 de mayo, 2014

¡Hola gente!

Parece que hayan pasado siglos desde la última vez que hablé sobre un tema de “cibermaldad” en estas páginas – sobre lo que está pasando, lo que está a la última y lo que no, y todo eso… Puede que incluso creas que estamos pasando de todo esto, viendo que me no toco temas relacionados con nuestra raison d’être…

Bueno, déjame asegurarte que estamos al día de TODO lo que está pasando en la ciber-jungla; simplemente estamos publicando toda la información detallada que tenemos en nuestras páginas dedicadas a las noticias más técnicas.

El único problema es que, ¡muchos no leen lo que publicamos en esas páginas! Quizás sea comprensible, porque los detalles pueden acabar por ser aburridos – especialmente para aquellos que no son tan “techies”. Aunque esta no debe ser una razón para no publicar esas noticias, por supuesto. Sin embargo, aquí en este blog, trato de no aburrir al lector con demasiados tecnicismos. Simplemente trato de darte las pistas de las cibernoticias más raras, curiosas, divertidas y entretenidas de todo el mundo.

Así que, ya que estamos… ¿cuáles fueron esas noticias curiosas, entretenidas y extrañas de la semana pasada?

 

¡Me ha pegado! ¡Empezó él!

La pelea entre los EEUU y China acerca del ciberespionaje ha dado un nuevo giro…

Esta vez los americanos dieron el golpe con fotografías y nombres de “culpables”: cinco especialistas militares chinos terminaron en el último cartel de “Se Busca” del FBI al más puro estilo del Salvaje Oeste, porque supuestamente habían entrado en redes de empresas estadounidenses y robado sus secretos.

Wanted cybercriminals

Seguir leyendo:Cibernoticias del lado oscuro – 26 de mayo, 2014