Soy un virus!!!

Y todo por publicar determinada información sobre diversos virus que me he ido encontrando en unidades extraíbles infectadas tras haber sido utilizadas en equipos públicos bajo Sistema Operativo Windows…

Por ello no me queda otra opción que eliminar dicha información de las entradas etiquetas con autorun.inf y maldecir a Avast por las visitas que me haya podido quitar por no hablar de la mala imagen que este antivirus le haya podido dar a mi blog así como a wordpress.com, servicio bajo el cual se encuentra este blog.

PD1. Espero que Avast pueda recompensarme de alguna forma ^.^

PD2. Gracias a Saimon por el aviso

Estudio sobre la seguridad de las comunicaciones móviles e inalámbricas en los hogares españoles (Informe anual 2010)

Puntos clave & conclusiones del Estudio sobre la seguridad de las comunicaciones móviles e inalámbricas en los hogares españoles (Informe Anual 2010) realizado por INTECO y publicado bajo licencia Creative Commons Reconocimiento-NoComercial 2.5 España

Puntos Clave

Seguridad de las comunicaciones de la telefonía móvil

Prestaciones y hábitos de uso

En el cuarto trimestre de 2010, la gran mayoría de los usuarios españoles dispone de teléfono móvil (un 96,6%). De las tecnologías de comunicación para terminales móviles analizadas en el estudio, la que tiene mayor presencia es el bluetooth (91,1%), seguida de la conexión a Internet (74,2%) y el Wi-Fi (49,8%). Mientras que las dos primeras presentan una evolución muy estable, la incorporación del Wi-Fi en los terminales aumenta trimestre tras trimestre, con una subida de 15,1 puntos porcentuales en 2010.

Los usuarios muestran cada vez más preferencia por la utilización de servicios de Internet a través del teléfono móvil, alcanzando a finales de año máximos históricos tanto en el uso del correo electrónico (34,7%), como en la descarga de archivos (30,6%). Los jóvenes entre 25 y 35 años son los más activos en este sentido.

Medidas de seguridad utilizadas

Como viene ocurriendo a lo largo del año, la utilización del código de seguridad o PIN es la medida de seguridad más adoptada por los usuarios de teléfonos móviles (90,0%). Con porcentajes de penetración menores están la realización de copias de seguridad (32,4%), la utilización de contraseñas tras un periodo de inactividad (16,9%) y la instalación de antivirus (3,9%). Estas medidas evolucionan lenta pero positivamente en 2010.

Incidencias de seguridad

Las incidencias de seguridad más declaradas por los encuestados en el último trimestre de 2010 son el extravío (19,3%) y el robo (15,6%) de sus terminales móviles. En menor proporción, afirman que han sido víctimas de un incidente de fraude a través del teléfono móvil (5,2%) o han detectado que sus dispositivos alojaban malware (3,4%). Mientras que las dos primeras incidencias muestran un leve descenso en sus niveles a lo largo de 2010, la tendencia de las dos  últimas es de un ligero crecimiento.

Seguridad de las conexiones inalámbricas a la Red

Extensión y hábitos de uso

En el cuarto trimestre de 2010, el 76,0% de los usuarios encuestados se conectan a Internet a través de redes inalámbricas, principalmente mediante un router propio (70,7%), pero también mediante redes ajenas, tanto las proporcionadas en lugares públicos, centros de ocio y cultura, etc. (16,0%), como las de otros particulares (8,7%). Cada año se incrementa el número de usuarios que se conectan a redes inalámbricas para navegar por la Red, sobre todo mediante la adquisición de router propio.

En relación a los hábitos prudentes en el uso de redes Wi-Fi, un 30,6% de los usuarios que disponen de router propio lo apagan siempre que no lo están utilizando. De aquellos que se conectan a redes Wi-Fi públicas y/o de otro particular, un 19,2% lo hace únicamente cuando la red está protegida con contraseña y un 28,6% se conecta exclusivamente para realizar ciertas operaciones. Tanto si la conexión inalámbrica es propia como ajena, en el último año los usuarios se muestran más precavidos.

Medidas e incidencias de seguridad

Cada vez son más los usuarios con conexión propia que protegen su red con algún sistema de cifrado de señales Wi-Fi: en el último trimestre del año, un 32% utilizan el estándar WEP, un 30,6% utilizan WPA y un 23,7% desconocen el sistema de cifrado, aunque aseguran que su red está protegida.

El estándar WPA, más robusto que el WEP, ha experimentado una evolución de signo positivo a lo largo de 2010, con un incremento en sus valores de 5,3 puntos porcentuales.

En cuanto a las incidencias de seguridad en redes inalámbricas, en el último periodo analizado un 9,4% de los usuarios dice haber sufrido una intrusión Wi-Fi, dato que está en línea con los registrados en trimestres anteriores.

Conclusiones del análisis

El año 2010 se caracteriza por el espectacular aumento de teléfonos y dispositivos móviles con conexión a Internet (como los smartphones, o los terminales con tecnología 3G/GPRS). A la vez que aportan ventajas (capacidad de procesamiento similar a la de los ordenadores personales, diseños atractivos, pantallas táctiles, tarifas asequibles, etc.), se enfrentan a nuevas y renovadas amenazas de seguridad que tratan de generar un impacto en los sistemas operativos, las aplicaciones o las comunicaciones de redes inalámbricas que utilizan. Aportar conocimiento sobre el estado de estas tecnologías inalámbricas, los hábitos de uso, las medidas de seguridad adoptadas y las incidencias registradas es fundamental para prevenir y minimizar el impacto que puedan tener los ataques en la e-confianza que los ciudadanos depositan en las nuevas tecnologías.

Cada vez es más común que los usuarios utilicen teléfonos móviles con tecnologías de comunicación inalámbrica. Tanto el bluetooth como la conexión a Internet son prestaciones generalizadas, aunque cada vez es más frecuente que estos terminales incorporen Wi-Fi. Entre los servicios preferidos por estos  usuarios está consultar el correo electrónico o descargar archivos de la Red, con valores en continuo ascenso durante 2010.

A la hora de analizar las medidas de seguridad instaladas en los teléfonos móviles, la utilización del PIN sigue siendo mayoritaria y general entre los usuarios, con valores muy estables y por encima del 90% a lo largo del año. Por detrás del PIN se sitúan la realización de copias de seguridad, la activación de  contraseña tras la inactividad y la incorporación de antivirus, medidas que han finalizado 2010 con porcentajes de uso o instalación superiores a los de comienzos del año. Estos crecimientos, aunque modestos, refuerzan la seguridad proporcionada por la utilización del PIN, ya que esta medida protege únicamente la tarjeta SIM del teléfono, pero no las aplicaciones o los datos que aloja el terminal.

Los teléfonos móviles no son ajenos a las incidencias de seguridad, siendo el extravío y el robo las más declaradas por los usuarios en el 4o trimestre de 2010, aunque con porcentajes inferiores a los registrados en 2009. El resto de incidencias analizadas, el intento de fraude a través del terminal o la infección por malware, presentan una tendencia de ligero crecimiento en el último año. Esta evolución es reseñable, ya que la industria de seguridad apunta a que estos son los nuevos vectores de ataque: en los últimos meses de 2010, troyanos como Gemini o Tap Snake (este último enmascarado tras el conocido juego de la serpiente o Snake) para Android, han tenido gran repercusión.

También aumenta progresivamente el número de usuarios que utilizan conexiones inalámbricas para conectarse a la Red. Este dato refleja la realidad actual, en la que cada vez más personas y negocios reclaman el componente de movilidad y accesibilidad total que permiten las tecnologías sin cables. Para ello, la conexión a través de un router propio prevalece sobre la opción de conectarse a una red pública y/o de otro particular.

Estos usuarios que disponen de router propio están cada vez más concienciados con la seguridad y apagan el dispositivo cuando no lo utilizan, para evitar  sufrir intrusiones no deseadas. También los internautas que se conectan a redes Wi-Fi ajenas se muestran más precavidos: cada vez son menos los que acceden siempre que lo necesitan, mientras que aumentan los que buscan redes con contraseñas de acceso o las utilizan solo para ciertas operaciones. El sistema de  cifrado WPA va ganando terreno progresivamente al estándar WEP, menos robusto.

Para finalizar, el análisis de las incidencias de intrusiones Wi-Fi por terceros no autorizados, que ha afectado a un 9,4% de los usuarios, muestra una tendencia bastante constante en el tiempo.

Recomendaciones

Telefonía móvil

Las recomendaciones que se muestran a continuación pretenden servir de ayuda para que los usuarios puedan proteger y/o conservar la información  almacenada en sus teléfonos móviles, así como bloquear el acceso a los mismos.

• Tener localizado el terminal en todo momento, para evitar el robo o acceso indebido por terceros.
• Conocer el número de IMEI 10 (marcar en el teléfono *#06# para que el teléfono lo muestre en la pantalla) que permite al usuario (a través de la operadora de telefonía móvil) desactivar el terminal en caso de pérdida o robo.
• Tener activado el número PIN para que cada vez que se encienda el teléfono el acceso no sea automático.
• Realizar copias de seguridad de los contenidos de los que se disponga en el terminal.
• Activar el bloqueo automático del teléfono móvil para evitar que personas no autorizadas puedan acceder a los datos.
• Cifrar la información sensible en la memoria del teléfono.
• En entornos corporativos en los que se maneja información altamente sensible, resulta más seguro conectarse a servidores seguros para acceder a la información, en vez de alojarla en el dispositivo.
• Desactivar la conexión bluetooth, Wi-Fi y 3G (siempre que sea posible esta opción) cuando no se esté usando.
• Evitar descargar aplicaciones o archivos desde Internet con origen poco confiable. Si se realiza una conexión entre dispositivos (de móvil a móvil, o de móvil a ordenador), comprobar que ninguno de ellos se encuentre comprometido o aloje archivos infectados.
• Revisar las solicitudes de permisos que aparecen, por ejemplo, al realizar acciones como descargar ficheros y aplicaciones. Antes de aceptar estas solicitudes, es necesario comprender y valorar a qué se está dando permiso (por ejemplo, acceso a la tarjeta de memoria, conexión a Internet, intercambio de datos, etc.).
• Vigilar el consumo y, en caso de notar incrementos bruscos en la factura, verificarlo con la compañía, ya que puede ser un indicio de fraude o de uso indebido.
• A la hora de deshacerse del terminal, realizar un borrado seguro y definitivo de la información almacenada en el mismo.

Conexiones inalámbricas

Respecto a las conexiones inalámbricas a la Red las recomendaciones a seguir son:

• Aplicar un buen estándar de cifrado como sistema de seguridad. En este sentido, el estándar WPA2 es sin duda el más seguro conocido hasta el momento.
• No difundir el nombre de la red a la hora de configurar en el router SSID 11 (Service Set IDentifier).
• Por último la contraseña elegida para proteger la red Wi-Fi debe ser robusta. Para ello algunos consejos son:
• Utilizar al menos 16 caracteres para crear la clave.
• Combinar en una misma contraseña dígitos, letras, caracteres especiales y alternar mayúsculas y minúsculas.
• Cambiar la contraseña con cierta regularidad.
• No utilizar datos relacionados con el usuario que sean fácilmente deducibles, o derivados de estos.

http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/Estudio_inalambricas_4T2010

Libro de Seguridad Informática: Hacking Ético

Hacking Etico, es un libro de seguridad informática que cuenta con 328 páginas redactados con un lenguaje simple y ordenado, y cuyo autor ha decidido liberarlo para que los lectores podamos preciar la obra de modo “libre” pudiéndola además distribuir sin restricciones.

Actualmente el autor, se encuentra redactando su 2do libro acerca del tema…

Esto les pasa por guarrillos..

.. y guarrillas porque desde hace unas horas me estoy encontrando en múltiples muros de chicos y chicas el enlace que nos invita a ver un supuesto vídeo donde se aprecian un par de chicas dándolo todo como se suele decir ^.^
Al hacer click nos lleva a la dirección http://descargarapida.es/lol/ tal y como se aprecia en la imagen si bien simula seguir dentro de facebook para que los guarrillos y guarrillas confirmen ser mayores de edad haciendo no uno sino dos clicks en “Jaa” lo cual imagino ejecutará algún tipo de script que infectará de alguna manera el equipo..

Facebook – Video: Chicas borrachas en la piscina

Robo de datos en la plataforma de formación online de INTECO

Desde INTECO, Instituto Nacional de Tecnologías de la Información y la Comunicación, referente nacional en materia de seguridad informática, anuncia en su página web que se ha producido un robo de los datos personales (Nombre, Apellidos, Teléfono, DNI y correo electrónico) en su plataforma de formación online..

Según nos comentan en su web:

• El Instituto está adoptando las medidas necesarias para minimizar los daños a los usuarios de la Plataforma
• INTECO ha puesto el incidente en conocimiento de la Brigada de Investigación Tecnológica de la Policía Nacional y está preparando un comunicado personalizado a los posibles afectados alertándoles de los riesgos derivados del incidente y de la manera de protegerse.
• En el sitio web de INTECO (www.inteco.es) se irá ofreciendo información actualizada sobre este incidente.
• INTECO pide disculpas a los usuarios de su plataforma de formación en línea por los inconvenientes causados.

Además, desde la misma página nos dan los siguientes consejos de seguridad los cuales hemos de aplicar siempre, y no solo en casos extremos como este:

1. Desde INTECO nunca se le solicitará información de carácter personal por correo electrónico o teléfono. No responda a ninguna petición de información de estas características.
2. No haga clic en enlaces incluidos en mensajes de correo electrónico, mensajes SMS o MMS cuyo origen no sea confiable.
3. Revise el estado de seguridad de su equipo. En particular, compruebe que el sistema operativo, el navegador y otras aplicaciones (entre otras las de seguridad) están debidamente actualizadas.

Fuente Original: http://www.inteco.es/Prensa/Actualidad_INTECO/robo_datos

Nuevo autorun.inf encontrado (ZLATO\suvo.exe)

Está comprobado: es conectar un pendrive en un windows “descuidado” para que te lo devuelvan con un autorun.inf

Texto eliminado por http://kikuelo.wordpress.com/2011/07/13/soy-un-virus/

He subido el virus a virustotal.com para analizarlo y por lo visto no había sido subido/analizado antes como me ha pasado en otras ocasiones, así que entiendo/imagino que es un virus relativamente nuevo (ver análisis realizado).

De los que más conozco, el único que no lo ha reconocido ha sido Avira Antivir que casualmente es el que me habían recomendado mucho últimamente, de hecho es uno de los que ocupa las primeras posiciones en las últimas comparativas que he leído.

Otro aspecto a destacar es que es detectado por Comodo, el cual hasta donde yo se es de los pocos o de los únicos que es gratuito también para uso comercial, por lo que es viable usarlo en empresas sin estar incumpliendo su licencia, aunque tampoco la he leído y muy posiblemente sea solo una estrategia comercial. De hecho la última vez que lo probé recuerdo haber notado un cambio en la política de gratuito al menos en el pack con firewall, o eso quiero recordar…

Sea como sea lo que no me entiendo muy bien es porqué para cada antivirus el bixito tiene un nombre distinto: con lo fácil que sería bautilizarlo y hacerle un DNIe =)

Mención especial a Clamav por ser el único libre/abierto razón por la que todos deberíamos apostar/apoyar para mejorar/avanzar en su desarrollo. A ver si le incorporan a la versión windows análisis heurístico y entonces ya si que no me planteo alternativa que valga, porque aunque en este caso parece que no lo hubiera detectado, avira antivir tampoco… ¿no?. Por cierto ¿qué antivirus usáis?.

Os dejo las referencias a las últimas comparativas que he ojeado últimamente:

• zonavirus.com
• electrorincon.com
• bitelia.com

Virus again: método papelera (recycler)

Hoy de nuevo me he topado con un aUtOrUn.inf en uno de mis pendrives, siendo el contenido el siguiente:

Texto eliminado por http://kikuelo.wordpress.com/2011/07/13/soy-un-virus/

En la carpeta Early\life hay un desktop.ini con el siguiente contenido:

Texto eliminado por http://kikuelo.wordpress.com/2011/07/13/soy-un-virus/

Este tipo de virus/troyanos utiliza el llamado (o traducido) “método papelera”, que consiste básicamente en, a través del dektop.ini, mostrarnos la papelera de reciclaje de nuestro sistema en caso de que intentáramos ver el contenido de la carpeta (Early/life en este caso).

He probado a pasarle el clamav al archivo UpDaTe.exe con objeto de ver de que “tipo de virus” se trata, pero no me ha detectado nada, por lo que de momento no se lo que hace, pero hay antecedentes de troyanos tipo recycler que permiten tomar cierto control de la máquina infectada y ocasionan cortes de internet, cuelgues inesperados, etc…. casualmente algunos de los síntomas que se están experimentando en en lugar en el que he “capturado” dicho ejemplar….

[Actualización]

Al final para ver de que tipo de virus se trata, he optado por utilizar unos servicios online que permiten cargar un archivo para que sea examinado con diversos motores antivirus y en efecto, posee código malicioso, como era de esperar.

Los servicios que he encontrado (y probado) son virustotal.com y virusscan.jotti.org y los resultados obtenidos han sido este y este. Lo extraño (o no), es que los equipos infectados tienen el Panda, y según estas webs el panda sí reconoce este tipo de virus/troyano.

Además por curiosidad he ojeado el ejecutable con un editor hexadecimal para ver si era capaz de obtener información interesante, y de lo poco que he conseguido deducir es una referencia a C:\WINDOWS\system32\msvbvm60.dll, aunque no se si será por haber sido esta “alterada” o simplemente por ser utilizada por el ejecutable…

En resumen, que habría que probar a desinfectarlo utilizando diversos antivirus o bien buscando el procedimiento “manual”, lo cual creo que voy a obviar y delegar estas tareas a los antivirus que para eso están, y que en parte es lo que podría haber echo desde el principio, pero la verdad es que me apetecía curiosear un poco ^.^

Early\life

Antivirus en Windows

Al encender el PC de mi padre me sale un mensaje que dice que ha salido una nueva versión de Avira Antivir, antivirus con versión gratuita para uso personal, y que la actual solo tendrá soporte hasta septiembre de este año.

Un poco con pensamiento de evitar que le esté saliendo el mensajito hasta septiembre, me había puesto a actualizárselo puesto que al fin y al cabo hay que hacerlo. El caso es que abro el panel de control, le doy a desinstalar y aunque a priori lo ha hecho, va el subnormal (no se si de windows, del antivirus o de ambos) y se queda en la lista de programas instalados… Ahora ni me deja instalar uno nuevo, ni desinstalar totalmente el anterior, ni ná ¬.¬

¿Qué hacer?, a parte de mandar a tomar viento al sistema operativo de Redmon, lo cual prometo hacer en cuanto llegue la jubilación y no tengan que utilizar a la fuerza ningún windows (papa, papa, ha salido una nueva versión de windows, se llama ubuntu handy pora… anda mírala a ver que te parece que me han dicho que va genial ^.^), pues se me ocurren dos cosas:

1. Buscar como eliminar el antivirus totalmente de la lista de programas de windows
2. Instalar otro antivirus

Sin ánimo de complicarme, creo que la segunda es la mejor opción… pero ¿cual?.

Yo no soy usuario de Windows por lo que no hago muchas indagaciones al respecto. En varias ocasiones que he tenido, he probado Comodo Antivirus, por aquello de que es el único que conozco cuya versión gratuita permite el uso comercial, de forma que si llego a alguna empresa que esté “infringiendo” las clausulas de algún otro, recomendarle otro “gratuito” pero en el cual al menos tengan “permiso”… Lo que pasa es que en varias ocasiones me lo han echado para atrás por lo molesto e intrusivo que es, aunque quizás fuera por que instalé también el firewall puesto que ahora viene juntos (Comodo Internet Security = Comodo AntiVirus + Comodo Firewall)…

Otros que me suenan (gratuitos solo para uso personal) es Avast & AVG, que si tengo que elegir me quedo con AVG, además que creo recordar que la versión gratuita de Avast es solo para 60 días… En verdad hay muchos más (NOD32, Kaspersky, BitDefender, F-Prot), que si bien ahora mismo no sabría que decir, me suena que o bien no tienen versión gratuita o está limitada en número de días, lo cual no me interesa menos aún para uso personal..

Lo ideal sería un antivirus libre, pero el único que conozco es ClamWin que no realiza análisis heurístico, por lo que para un usuario “inocente” no lo veo muy recomendable… La verdad es que el antivirus no es malo, se encuentra basado en Clamav que es el antivirus que muchos servidores GNU/Linux utilizan para escanear el uso de archivos por parte de los clientes, y que lo único que le falta para ser usado a nivel escritorio, desde mi punto de vista es realizar análisis heurístico. Personalmente en alguna ocasión intenté integrarlo con Winpooch que por lo que estuve leyendo este aportaba las carencias a Clamwin, pero me dejaba la máquina prácticamente bloqueada y no conseguí echarlo a andar de forma eficiente, además que desde Junio de 2008 el proyecto fue abandonado…

En fin, creo que probaré la nueva versión de clamwin, haré un escáner completo y finalmente le dejaré un comodo a ver si no me chilla mucho reclamando mis servicios de hijo/informático, que no se que es peor =)

Rooted CON 2010

En el mundo inseguro en el que vivimos se producen miles de incidentes de seguridad al día. La mayoría de ellos nunca se harán públicos. Pero la realidad es que millones de ordenadores de usuarios se encuentran actualmente comprometidos y cientos de servidores son “rooteados” (“hackeados”) cada día.

Es necesario que todo el mundo esté concienciado sobre la importancia que tiene la seguridad informática hoy día y que nuestro conocimiento sobre dicha materia aumente y sea renovado con frecuencia. Para ello, nada mejor que un congreso de seguridad que pretende reunir a expertos, hackers y profesionales de todo el mundo, para aprender con ellos, para desarrollar nuestros conocimientos y, sobretodo, para disfrutar con nuestra pasión que es la seguridad tecnológica.

Si te apasiona la seguridad tanto como a nosotros, éste es TU congreso… y no puedes perdértelo.

Así nos presentan su página web y aunque no pude  estar, para que no se me olvide ojear las distintas ponencias que allí se dieron lugar publico este texto a modo recordatorio.

Referencias:

• Web oficial: http://www.rootedcon.es/
• Ponencias 2010: http://www.rootedcon.es/rooted-con-2010/ponencias.html
• Canal Slideshare: http://www.slideshare.net/rootedcon/presentations

¿Por qué es Windows tan vulnerable a ataques e infecciones?

El otro día hablábamos en un curso sobre por qué es Windows más vulnerable que otros sistemas operativos como puede ser GNU/Linux: utilizar una cuenta de administrador para el uso diario.

Durante la instalación de Windows, todas las cuentas de “usuario” que creamos tienen permisos de administrador. La mayoría de usuarios (incluido técnicos informáticos), utilizan esas cuentas para trabajar, lo cual desde mi punto de vista es un error garrafal, o más bien una imprudencia… Por poner una analogía sencilla esto es como si llevamos en la cartero 1000€ cuando solo vamos a tomar unas cañas ¬.¬ El simple hecho de navegar con permisos de administrador confiere al explorador/navegador (más aún si se trata de Internet Explorer por ser este una parte importante del sistema) privilegios para hacer lo que no debería: daño al sistema.

Los que usamos GNU/Linux estamos acostumbrados a trabajar como usuarios y pasar a administrador (root) para realizar tareas de administración, valga la redundancia… Incluso las distribuciones más user friendly que no incorporan cuentas independientes para root y para user incorporan una utilidad llamada sudo (o algún derivado como puede ser gksudo) que lo que hace es pedir permisos (password) cada vez que solicitamos realizar una tarea administrativa, de manera que en todo momento estamos trabajando como user y solo pasamos a root tras autenticarnos como tal.

Por otro lado otra de las vulnerabilidades de Windows que me gustaría destacar es la instalación de software sin ton ni son de todo tipo de fuentes, así como el pirateo y la instalación de crack… Empezando porque un sistema Windows sin licencia no suele ser actualizado “por miedo”, y terminando porque las copias ilegales que circulan por la red han podido ser previamente “manipuladas” por su autor, sin contar con que la instalación de software de cualquier tipo e índole nos hace aceptar licencias en las cuales muchas veces estamos accediendo a la instalación de terceras aplicaciones como puede ser “spyware”…

Para terminar decir que no es Windows por sí solo el que es vulnerable, si bien es cierto que podría alertar de manera más clara al usuario de los riesgos que tienen determinadas acciones, pero también es cierto que en manos de una persona  con conocimientos y preocupaciones en temas de seguridad podría ser un sistema estable, o al menos durante más tiempo.

64% of MS Vulnerabilities Mitigated by Removing Admin Rights