[HACK] Resumen sek 2005

merce merce at grn.es
Thu Jan 12 12:08:17 CET 2006


30/11/05 16:41:53


LOS REYES MAGOS TRAJERON CARBÓN A VIRUS Y 'PHISHING', LOS MÁS MALOS
DE 2005


Mercè Molist
Los virus y el "phishing" (mensajes que simulan venir de una entidad
bancaria) han sido lo peor de 2005, junto al aumento de redes de
ordenadores asaltados para mandar estos virus, fraudes y correo
basura. Destaca la aparición de un nuevo ataque, el "pharming", y la
creciente motivación económica de los criminales informáticos.

Las estadísticas de los centros españoles de atención a incidencias
(CERTs) son claras: en 2005, las peores amenazas han sido los virus,
gusanos y troyanos, el "phishing", los accesos ilegales a
ordenadores mediante códigos maliciosos, ataques de fuerza bruta
para romper contraseñas débiles y escaneos a puertos con fallos
conocidos, los ataques a servidores web, especialmente PHP, y los
bombardeos.

Nada nuevo bajo el sol, dice Chelo Malagón, del IRIS-CERT: "Se
confirma la tendencia de atacar a usuarios finales, conectados
permanentemente y poco protegidos. Esto hace que el número de
ordenadores asaltados sea mayor y los ataques realizados con ellos,
más masivos. También se ha intensificado la venta de listados de
equipos comprometidos y el acceso a servicios de comercio
electrónico, para obtener información de sus usuarios".

Manuel García-Cervigón, del esCERT, añade: "El "phishing" se ha
duplicado y ha aparecido una nueva modalidad, el "pharming", que
consiste en llevar a los usuarios a webs falsas, manipulando el
sistema de nombres de dominio (DNS). La ingeniería social continua
siendo la artimaña más utilizada. Muchos virus, el "phishing" y el
"pharming" se están sirviendo de estos métodos".

El "pharming" aparecía públicamente en abril, cuando diversos
ataques aprovechaban fallos de servidores Microsoft para redirigir a
los usuarios de 700 sitios, como Americanexpress.com, Cnn.com o
Msn.com, a webs falsas donde les introducían programas espía. Cuando
el usuario tecleaba una dirección en su navegador, el servidor DNS
atacado ("envenenado", en la jerga) le llevaba al destino falso.

El objetivo era recolectar información de las víctimas para venderla
a emisores de correo basura. Un ejemplo más de la creciente
motivación económica de los criminales electrónicos y de su uso e
interrelación de distintos ataques. Si antes se creaban virus o se
asaltaban ordenadores por diversión, ahora se hace para robar
información y tomar el control de estos equipos, creando redes de
cientos de miles que se venderán o alquilarán, para enviar correo
basura, programas espía y más virus.

La existencia de estas redes de ordenadores esclavos se ha
confirmado en 2005, con diversas redadas. En octubre, la policía
holandesa detenía a tres hombres, responsables de una red con más de
100.000 equipos comprometidos. En España, las acciones policiales se
han centrado en el "phishing", la pornografía infantil y los virus.

En enero, la Guardia Civil detenía en Écija a A.R.B., de 20 años,
presunto autor del virus Tasin. Días después, caía en Madrid J.A.S.,
de 37 años, acusado de difundir un troyano en las redes P2P, para
robar datos bancarios. En junio, la Policía Nacional detenía al
conocido "P.Power", de 26 años, quien creaba y distribuía códigos
que rompían las protecciones de programas comerciales. En Málaga,
caía una banda de 310 nigerianos que enviaban mensajes anunciando
premios de lotería falsos.

También ha dado qué hablar la sentencia del caso del "Jamón y el
Vino". Después de ocho años de instrucción, un juez condenaba a dos
años de prisión y multa de 300.000 euros a Fer13 y Maki, por la
puesta en circulación de "cracks" y distribución ilegal de programas
en su mítica web. Había sido el primer gran caso contra la piratería
de "software" en la historia de la red española.

Pero no todo han sido problemas con la ley. Expertos españoles en
seguridad han descubierto fallos de alcance mundial, como Hugo
Vázquez, que ha denunciado vulnerabilidades en servidores web Cisco
y el sistema de certificación SSL de Verisign. Otro español,
Anelkaos, destapaba un importante agujero en el correo gratuito de
Google, Gmail. Jordi Corrales descubría un fallo en el cliente de
chat mIRC que permitía tomar el control del equipo afectado.

Las vulnerabilidades en programas han aumentado un 15%, según
esCERT. Las más importantes a nivel de usuario están relacionadas
con Windows (Internet Explorer, Microsoft Office y Outlook Express),
reproductores multimedia y mensajería instantánea. A nivel de
servicios de red, fallos en Windows y equipos Cisco.

Sube el protagonismo de la seguridad informática en los medios, que
se han hecho eco del "webdefacement" de la web de Esquerra
Republicana de Catalunya, las cámaras de seguridad abiertas a
cualquiera por Internet, el asalto a usuarios famosos de la
operadora T-Mobile y el robo y publicación en la red de la agenda
telefónica de Paris Hilton, el trabajador de Internet Security
Systems que dimitió porque no le dejaban informar de un agujero en
los enrutadores Cisco, o las afirmaciones y desmentidos sobre el
cierre de la legendaria revista "Phrack", donde este año han
publicado artículos diversos hackers españoles. A nivel más que
anecdótico, la realidad o leyenda urbana del "wannabe" que, en un
canal de chat, quiso borrar el disco duro de un contrincante y acabó
borrando el suyo.




EL AÑO DEL "PHISHING"


Este año ha visto la extensión del "phishing" en España, que ha
afectado a la mayoría de entidades bancarias, explica José María
Luque, responsable de seguridad de la Asociación de Internautas: "Ha
evolucionado a gran velocidad, de los primeros correos con fallos
ortográficos a los actuales, que emulan ventanas con la dirección de
la entidad, dan números de fax para que la víctima envíe sus datos o
incluyen falsos certificados de autenticidad".

Lo último, dice, son "las ofertas falsas de trabajo para blanquear
el dinero obtenido del robo de datos bancarios mediante "phishing",
usando a personas inocentes como intermediarios para enviar a
distintos destinos el dinero robado. Tenemos un gran listado de
personas estafadas de esta forma".

Según Luque, el 75% de "phishing" ha simulado venir de entidades
bancarias, el 20%, de empresas de subastas e intercambio de dinero y
el 5% de webs falsas de recargas para móviles: "A principios de 2005
eran ataques esporádicos, en mayo se duplicaron y desde agosto son
continuos. Antes aprovechaban los fines de semana y días festivos,
ahora es raro que no se produzca un gran ataque casi a diario".

Las entidades más afectadas ha sido BBVA, Caja Madrid, Bancaja y
Banesto. "Sólo Caja Madrid y Ibercaja informaron a sus clientes por
correo ordinario. Todas han puesto en su web alguna advertencia y
cada vez son más rápidas en cerrar las webs falsas donde los
estafadores recolectan los datos. A principios de 2005, la vida
media de una web falsa era de 7 a 12 días. En los últimos meses es
de 24 horas a 2 días".



"SPAM" A DISCRECIÓN


El correo basura ha seguido su crecimiento exponencial en 2005.
Jesús Sanz de las Heras, del Centro de Comunicaciones de
RedIRIS/Red.es, lo achaca a "los códigos maliciosos, instalados en
PCs con conexión residencial, que pueden funcionar como un servidor
de correo autónomo, distribuyendo mensajes que simulan proceder de
la víctima". El 85% de los correos basura analizados este año por el
Centro de Alerta Antivirus correspondían a estos virus.

La novedad de 2005 ha sido el aumento de ataques del tipo "Directory
Harvest Attack", para recolectar direcciones a las que mandar correo
basura: "Consiste en enviar decenas de miles de mensajes a un
dominio, con nombres de usuario al azar. Los que son devueltos como
"usuario desconocido" son rechazados por los "spammers" y el resto
son incorporados a sus bases de datos, como direcciones correctas.
Esto sobrecarga enormemente los servidores de correo", explica el
técnico de RedIRIS.

La lucha contra el "spam" se concentra, por una parte, en evitar que
se envíe más basura desde ordenadores infectados. Algo difícil,
según Sanz de las Heras: "Las operadoras no quieren controlar el
tráfico de correo saliente de las ADSL residenciales, que en un 100%
es malicioso, lo que está obligando a los destinatarios a bloquearlo".

Pero, para filtrar este tráfico, es necesario identificar a los
emisores, algo también difícil ya que se mezclan emisores auténticos
con emisores atacados. Este año se han afianzado dos posibles
estándares para hacerlo: SPF (Sender Policy Framework), usado en
RedIRIS y avalado por Microsoft y DKIM (Domain Keys Identified
Internet Mail), por Cisco y Yahoo.

El año que viene, dice Sanz de las Heras, aparecerán "nuevos tipos
de "spam" más sociológicos y enfocados a estafas. También los
primeros en Voz IP, cuyas posibilidades para el "spam" son enormes,
como las llamadas automáticas, lo que generará la recomendación:
"Sólo recoja las llamadas de personas de su confianza", con la
diferencia que si no se cogen se colapsan las terminales y no se
pueden recibir nuevas llamadas".



VIRUS POR DOQUIER


La producción de código malicioso ha sufrido un espectacular aumento
en 2005, que seguirá el próximo año, asegura Bernardo Quintero,
responsable del servicio VirusTotal de Hispasec Sistemas: "Los
nuevos especímenes y variantes se han duplicado en el último
semestre y sólo este año hemos analizado más de medio millón de
muestras sospechosas".

Los virus han cambiado, afirma: "Hemos asistido a su
profesionalización, enfocada al fraude económico, como el aumento de
troyanos destinados al robo de credenciales de banca por Internet.
Apenas se han dado casos de propagación masiva, excepto Zotob en
agosto y Sober en noviembre, por un cambio de estrategia: en vez de
publicar un gusano que cause mucho ruido, distribuyen muchas
variantes, para dificultar su detección".

También se han diversificado las vías de contagio: "Aunque el correo
electrónico sigue siendo la principal, se ha visto un claro aumento
de código malicioso que llega a través de páginas web, dirigido a
usuarios con versiones no actualizadas de Internet Explorer. También
ha habido más gusanos en la mensajería instantánea y siguen
apareciendo pruebas de concepto para teléfonos móviles, un caldo de
cultivo ideal para el código malicioso en un futuro próximo".

Según Quintero, este ha sido el año en que los antivirus han perdido
la guerra: "No dan abasto. El esquema clásico y reactivo de los
antivirus es insuficiente contra la proliferación actual. Algunas
empresas han respondido con políticas más agresivas, ofreciendo
actualizaciones cada hora. Aún así, no es suficiente. Los usuarios
siguen infectándose debido al aumento y diversidad de código
malicioso. Según nuestras estadísticas, la media de detección
temprana efectiva que ofrecen los antivirus apenas llega a un 50%".

El experto destaca también el aumento de programas espía
comerciales, cuya punta del iceberg ha sido el "rootkit" que Sony
instalaba en los ordenadores que ejecutasen sus CDs: "Cada vez son
más los productos comeciales que incluyen estas técnicas. No es
casualidad que los antivirus hayan tardado en actualizarse para
reconocer este "rootkit". Hay controversia sobre qué deben detectar
los antivirus, en especial cuando estas tecnologías intrusivas
vienen de la mano de una empresa, lo que se traduce en una falta de
protección para el usuario".




EL ÚLTIMO SUSTO DEL AÑO


Algunos lo han llamado "la pesadilla de Navidad de Microsoft": el 27
de diciembre, se conocía un grave fallo en la forma como Windows
maneja los archivos Windows Media File (.WMF). Si se abre o se
visualiza una imagen de este tipo que contenga código malicioso, con
Internet Explorer, Outlook, el visor de fax e imágenes, el
Explorador de Windows o el programa Lotus Notes, abrirá un agujero
en el ordenador por donde podrán entrar virus y otros intrusos.
Afecta a todas las versiones de Windows, desde la 3.0, especialmente
XP, 2000 y 2003.

Lo que hace más peligroso el fallo es que sólo mirar una página web,
previsualizar una foto con el programa de correo o guardarla en el
ordenador es suficiente para infectarse, sin necesidad de abrirla.
Las imágenes, con formato .WMF, llegan enmascaradas como si fuesen
los populares .JPG, .GIF o .DOC, por ejemplo "HappyNewYear.jpg". Ya
han aparecido programas que crean estas imágenes automáticamente,
para usuarios maliciosos inexpertos, quienes después las pondrán en
una web, las enviarán por mensajería instantánea o por correo.

En los primeros días del año, la alarma se ha extendido por la red,
con cada vez más usuarios y empresas afectados, según el SANS
Institute. Aunque se esperaba que Microsoft reaccionase con
urgencia, la compañía decidió no ofrecer un parche hasta el 10 de
enero y sólo para Windows a partir de XP. Mientras, los weblogs,
listas de correo y avisos de las empresas de seguridad bullían con
nuevas noticias sobre la multiplicación de código malicioso que
aprovechaba esta vulnerabilidad y el asalto a webs de confianza para
colgar en ellas imágenes infectadas.

Al ser los ataques tan rápidos y diversificados, la mayoría de
programas antivirus no podían detectarlos todos. Además, coincidía
con las vacaciones de Navidad. Muchos usuarios no estaban al tanto
del problema cuando llegaban a sus oficinas y era más fácil que
fuesen víctimas. La primera recomendación de urgencia de los
expertos en seguridad fue que se inhabilitase la carga de imágenes
en los programas afectados.

El 31 de diciembre, el especialista ruso en Windows Ilfak Guilfanov
publicaba un parche para solucionar el problema. Al no ser un parche
oficial de Microsoft, la compañía lo desaconsejó. Pero, por primera
vez en la historia, las principales empresas y grupos de seguridad,
como el Internet Storm Center, F-Secure o Panda Software, desoyeron
a Microsoft y recomendaron a sus clientes que instalasen el remedio
no oficial. Finalmente, Microsoft publicó su parche el 5 de enero.



ESTADÍSTICAS IRIS-CERT (Enero-Octubre 2005)

Sondeos de puertos 751
Denegacion de Servicio (DoS)  14
Troyanos   2
Gusanos  138
Uso no autorizado  19
Acceso no autorizado  67
Otros (warez, phishing, etc)  22




SITIOS RECOMENDADOS


Kriptópolis
http://www.kriptopolis.org
El santanderino José Manuel Gómez es el padre de esta web, nacida en
1996, una de las más veteranas dedicadas a informar en castellano
sobre seguridad informática, privacidad, criptografía, ciberderechos
y temas parecidos. Actualmente reconvertida en un weblog colectivo,
ofrece diariamente información de alta calidad, difícil de encontrar
en otros sitios.


Hispasec
http://www.hispasec.com
Web nacida en 1998, a raíz de la puesta en marcha de un servicio
gratuito inédito en la red española: el boletín "Una-al-día" que,
como su nombre indica, informa diariamente sobre la actualidad en
seguridad informática. La web ofrece otro servicio gratuito,
VirusTotal, al que se pueden mandar archivos para saber si contienen
virus.


VSAntivirus
http://www.vsantivirus.com
Detallado repositorio de información sobre la actualidad en el mundo
de los programas maliciosos, creado desde Uruguay. Ofrece también
artículos generalistas como "Guía rápida para el blindaje de su PC",
"Cómo recuperar archivos borrados" o "Cómo configurar Zone Alarm".
Su boletín diario de alertas por correo es muy recomendable.


Centro de Alerta Temprana Antivirus
http://alerta-antivirus.red.es
Excelente recurso creado por Red.es que informa en tiempo real sobre
los virus detectados en las redes españolas, con su nombre,
descripción, índice de peligrosidad y estadísticas. Otras secciones
incluyen alertas por correo electrónico, vulnerabilidades en
programas, el "Manual de seguridad en Internet" o herramientas
gratuitas de protección.


Seguridad Asociación de Internautas
http://seguridad.internautas.org
Información completa y comprensible sobre todo tipo de temáticas:
programas maliciosos, vulnerabilidades, criptografía, intrusiones,
privacidad, correo basura, banca por Internet. Ofrece noticias
diarias sobre seguridad informática, con especial atención a la red
española.


Rompecadenas
http://www.rompecadenas.com.ar
Veterana web argentina especializada en informar sobre los "hoaxes"
o mensajes falsos que circulan por correo electrónico, como cartas
para ayudar a niños enfermos que no existen, falsas alertas de virus
o métodos para hacerse millonario. Contiene extensa información
sobre correo basura, leyendas urbanas y consejos para no creer todo
lo que circula por la red.





Copyright 2005 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital medium, provided this notice is
preserved.










More information about the hacking mailing list