Exploit demuestra vulnerabilidad de los sistemas de actualización automática

Un nuevo exploit (programa malicioso que ataca alguna vulnerabilidad de otros) ha puesto al descubierto que los servicios de actualización automática de distintos paquetes de software son susceptibles de tener grietas por donde se puede colar código malicioso (malware) a tu equipo. El exploit de nombre Evilgrade y reportado por Infobyte Security Research, está diseñado como un marco modular que acepta plugins capaces de montar ataques en una variedad de programas que cuentan con el sistema de actualización automática como Java, Winzip, Winap, MacOS, OpenOficce, iTunes, la barra de herramienta de LinkedIn, Download Accelerator, Notepad++ y Speedbit. Lo anterior deja en evidencia que si bien resulta muy atractivo utilizarlos (algo que los usuarios de Firefox disfrutan, por ejemplo) pueden terminar jugándonos una mala pasada.

El exploit funciona como si fuera una verdadera actualización del programa y en lugar del parche correspondiente se envía e instala el malware en el equipo, que va desde simples troyanos hasta keyloggers que interceptan las contraseñas utilizadas en la máquina. Desde luego que el asunto no es tan sencillo y se requiere el paso del usuario por algún sitio web infectado con el exploit, pero tras la reciente vulnerabilidad en los DNS muchos sitios quedaron abiertos de par en par para recibir este malware.

La sugerencia preventiva es desactivar los sistemas de actualizaciones automáticas del software que utilizamos y estar al pendiente en los sitios web de estos programas cuando éstas se encuentren disponibles, optando por la descarga e instalación de las mismas de forma manual. Si bien por ahora el riesgo por Evilgrade puede ser mínimo nunca está de más la prevención, sobre todo si de nuestro software depende el buen desempeño de nuestra empresa o trabajo.

InfoWorld.

Visto en Baquia.com

Estudio: Un 20% de los niños dice que sus padres no aceptaría sus actividades en Internet

El análisis de los hábitos de los usuarios en su vida digital denota el "aumento" de la penetración de las nuevas tecnologías en todos los ámbitos de la vida, ya sea trabajo, ocio o relaciones personales, entre otras cosas. Esta "digitalización" de la vida diaria ha favorecido una mayor concienciación y preocupación por los "posibles riesgos" de la Red, especialmente aquellos que conciernen a los menores, apunta el estudio.

Respecto a los niños y la seguridad en internet, la preocupación de los padres sobre las actividades que los menores realizan en la red aumenta a medida que los niños pasan cada vez más tiempo conectados, puesto que son los "más vulnerables" a los peligros de la red, por lo que es indispensable disponer de los recursos necesarios para prevenir y actuar lo antes posible en caso necesario.
Según revela el informe, la irrupción de las redes sociales también tiene una "gran incidencia" en los hábitos de los usuarios ya que cada vez se comparte más información personal en la red. Además la creación, descarga y almacenamiento masivo de contenidos en los equipos personales es a su vez una tendencia al alza.
Además, las aplicaciones web son las mayores afectadas por las vulnerabilidades, ya que representaron un 58 por ciento de todas las documentadas, que alcanzaron un total de 2.134.

Por otra parte, las amenazas a la seguridad para el usuario están lideradas "por el pirateo y explotación de sitios web de confianza para los usuarios", lo que ha provocado seis millones de afectados en todo el mundo. De todos los "códigos maliciosos" detectados un 8 por ciento se dirigían a juegos en red, establece la investigación.
El secuestro de ordenadores mediante ´bots´ tiene "especial importancia" en España, de manera que ocupa el cuarto puesto mundial en número de redes bot y Madrid es "la ciudad con mayor cantidad de ordenadores infectados del mundo".

Spam

Por otro lado, tanto el ´phishing´ como el ´spam´, que continúan "aumentando en porcentaje respecto a los anteriores periodos estudiados", tienen como objetivo principal "los usuarios finales", y en este sentido, "resulta especialmente preocupante que hasta el 71 por ciento de todo el tráfico de correo electrónico monitorizado resultó ser spam".

Symantec, gracias a la red de vigilancia y alerta temprana que mantiene en todo el mundo, elabora y publica periódicamente varios informes sobre seguridad como internet Security Report, spam report y phishing report, entre otros, cuyas conclusiones más relevantes junto con datos relativos a los hábitos de los usuarios en la red, proporcionan "una visión amplia y rigurosa de los peligros a los que se enfrentan los internautas día a día", concluyeron las mismas fuentes.

Fuente Panorama-Actual.es

Solaris recibe nivel de seguridad EAL4+

El sistema operativo Sun Solaris 10 con su módulo Trusted Extensions ha obtenido la certificación Common Criteria para la Labelled Security Protection Profile (LSPP) at Evaluation Assurance Level (EAL) 4+, que es uno de los más altos niveles de seguridad reconocidos y que muy pocos sistemas operativos tienen.

La certificación se aplica tanto a las versiones de SPARC y a las x86/64 de dicho sistema operativo. Además, también se han incluido en el proceso de auditoria pruebas para varios niveles de seguridad del GUI de Gnomo, ya que a menudo los sistemas de certificación sólo se han probado y certificado para el uso de línea de comandos.

Solaris ya había recibido previamente la certificación EAL4+ para el Controlled Access Protection Profile (CAPP) y para Role Based Access Control Protection Profile (RBACPP) del Solaris Trusted Extensions.

Aunque el código del sistema operativo OpenSolaris no ha sido certificado todavía, ya se le ha incorporado el código del módulo Trusted Extensions.

Common Criteria publicada como ISO/IEC 15408:2005, es un procedimiento normalizado internacionalmente para evaluar la seguridad informática.

Se usan perfiles de seguridad con los que se realiza la certificación CC para especificar los objetivos de seguridad desde el punto de vista de los usuarios y constituyen la base de la certificación de los productos.

La certificación EAL es generalmente un requisito previo para poder desplegar un producto de seguridad en las áreas del gobierno o en organizaciones financieras y los sectores de la asistencia sanitaria.

Fuente: Heise Online

Visto en Websecurity.es


Post relacionados:
- CA obtiene certificación Common Criteria nivel 2

- Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información

- Ni hablar: Linux es más seguro que Windows pero menos que Solaris etc..

F-Secure Rescue live CD 3.00 released

F-Secure nos trae esta gran utilidad que puede resultar imprescindible cuando el arranque del sistema resulta imposible por la infeccion de algun virus que se haya colado en nuestro pc.

Su funcionamiento, al igual que otros discos de rescate tipo Kaspersky, Antivir, es bastante sencillo.Funciona como un live cd, arrancamos desde el y una vez acctualizado comienza el escaneo y deteccion de todo tipo de amenazas con el gran motor detector que posee, basado en dos antivirus de gran prestigio, como son kaspersky y Avast.

F-Secure Rescue CD, es sin duda alguna una gran herramienta que no nos puede faltar en nuestra coleccion de software.

Visto en http://andaluzweb.blogspot.com/2008/07/f-secure-disco-de-rescate-30.html

Rescue CD scans the computer and renames all files containing malware to .virus file extension.
Rescue CD will by default scan:

• all hard drives in the computer
• all USB drives attached to the computer
• Windows FAT and NTFS drives
• Virus definition databases are updated automatically if the computer has an internet connection
• Virus definition databases can be updated manually by using a USB drive
• The Rescue CD Guide (pdf) has step by step instructions how to use the CD

Rescue CD is localized to English only.
The release package including an ISO image, the manual and release notes can be downloaded here. See the release notes for more information.
Details of f-secure-rescue-cd-3.00-release.zip (size: 153MB)
md5 sum: ed690b558493c3096bb666ea19749316
sha1sum: 71017c8325e90aaf19f8d2cb2f235519239384c2

Desconocidos colocan pornografía en la web del Ministerio de Seguridad de Costa Rica

San José.- Desconocidos lograron colocar contenido pornográfico en el sitio web del Ministerio de Seguridad Pública de Costa Rica (MSP), confirmaron hoy las autoridades.

Álvaro Jiménez, encargado de internet del ministerio, explicó a la prensa local que descubrieron la anomalía este martes, tras un fin de semana "largo", dado que ayer fue festivo en el país.
Los desconocidos, al parecer, aprovecharon la falta de personal que controla la página para violar la seguridad y colocar fotografías, textos y enlaces a otros sitios pornográficos en la sección de foros, donde el público puede escribir sus consultas y comentarios a los jerarcas del ministerio, según Jiménez.
Al descubrir la falta, las autoridades bloquearon de inmediato esta sección mientras buscan una forma de rastrear a los responsables y filtrar los mensajes que los internautas pueden poner en la página.
Aunque el sitio web del ministerio funciona con normalidad, por ahora, al tratar de acceder a los foros aparece un mensaje que indica que "este foro estará fuera de línea, mientras se realizan ajustes de seguridad".

Visto en www.soitu.es/soitu/2008/07/29/info/1217363783_964391.html

Relanzarán un ente para mejorar la seguridad informática (Argentina)

Un organismo del Estado dedicado a la seguridad de sistemas de tecnologías de la información y la comunicación (TIC) será relanzado para mejorar las acciones preventivas ante los ataques de los delincuentes informáticos.

El equipo de coordinación de emergencias en redes teleinformáticas de la Argentina (Arcert) tiene “previsto un nuevo relanzamiento o revalorización de los objetivos y misión (…) de determinadas atribuciones, que traten no de imponer sino de marcar un poco más la obligatoriedad y de lograr el compromiso de las autoridades públicas para la gestión de los reportes y el tratamiento de los incidentes informáticos”, dijo el coordinador de este ente, Gastón Franco.

En declaraciones a la revista digital especializada en gobierno electrónico PuntoGov, el funcionario explicó que Arcert va a seguir dependiendo orgánicamente de la Oficina Nacional de Tecnologías de Información (ONTI), dependiente de la Subsecretaria de Tecnologías de Gestión.
Consultado por las principales trabas en materia de seguridad en el Estado, Franco admitió que “faltan los procesos de detección cuando en los organismos se sufren incidentes informáticos. Esto suele pasar –señaló-- porque faltan procedimientos de monitoreo y control de determinadas conductas en las redes”.
En ese sentido, apuntó que “es necesario un mejor entendimiento de la problemática de seguridad. Para eso –recordó-- desde Arcert estamos debatiendo si se pueden hacer controles preventivos. Ante un nuevo incidente, ver si podemos prevenir aquellos que pueden afectar a los organismos gubernamentales. Hoy no tenemos esa atribución, pero es parte de lo que hoy se está debatiendo de cara a la recategorización de la entidad”.
Franco explicó que los sistemas informáticos gubernamentales son uno de los principales objetivos de los delincuentes informáticos, porque “los organismos del Estado cuentan con información muy sensible y son blanco de ataque precisamente por contener esta información. Estamos hablando de datos tributarios y financieros de los ciudadanos, por ejemplo, que son blanco de interés para generar bases de datos y luego venderlas”.

“Todos los días hay alguna que otra actividad maliciosa que tiene algún impacto sobre el Estado”, advirtió. “Vemos mucho malware, que son archivos específicos destinados a causar daño en un lugar puntual y se hostean en una alguna PC que no necesariamente se aloja una máquina del Estado sino en alguna que está en Argentina. También vemos phishing (estafas en línea) mayoritariamente, que están hosteados en Argentina y que afectan a entidades financieras externas y también casos de defaced (alteración o sustitución de una página web gubernamental) contra páginas web tanto comerciales como de gobierno en la Argentina”.

Franco afirmó que “es importante recibir cada vez más reportes de aquellos que sufran ataques porque tal vez para no sentirse expuestos no denuncian la existencia de un incidente. Muchas veces –se quejó-- nos enteramos por otros canales y luego los organismos terminan confirmando que habían sufrido un ataque. Hace falta mayor conciencia acerca de las ventajas de reportar los incidentes”.

Fuente Infobaeprofesional.com

Errores, Fallas y Vulnerabilidades: Reflexiones sobre la inseguridad en las aplicaciones

Inseguridad Informática

Recientemente revisando dos artículos sobre el desarrollo de software seguro, es interesante ver cómo los dos coinciden en aspectos fundamentales acerca de la construcción de dicho software, pero igualmente los dos documentos no hacen explícitas las consideraciones sistémicas propias de la realidad de un software confiable, no seguro.

Mientras la Maestra en Ciencias de la Computación Julia Allen, establece que construir software sin consideraciones de seguridad, es como tratar de ir por la cuerda floja sin malla protectora, los autores del artículo “la inevitabilidad de la falla”, sostienen que la seguridad inicia con el aseguramiento de los sistemas operacionales, lugar donde muchas veces establecemos los elementos mínimos para asegurar una ejecución confiable de las aplicaciones.

Para Allen, el problema de la seguridad en el desarrollo de software está asociado por un lado con las amenazas durante el desarrollo, es decir, aplicación formal de las buenas prácticas de seguridad durante el ciclo de desarrollo de aplicaciones y por otro, con las amenazas en la operación del mismo, es decir, la toma de ventaja de las vulnerabilidades que se pueden explotar en el uso de la misma, lo cual puede llevar a corrupción de la memoria, buffer overflows y otras fallas propias de la exigencia del usuario del software en su uso.

Para los autores del artículo “la inevitabilidad de la falla”, la seguridad inicia en una sana y buena propuesta de aseguramiento del sistema operacional. Sin este requisito, sostienen los autores, las implicaciones y complejidades derivadas de las fallas de las aplicaciones, serán mayores y por tanto la identificación de la(s) causa(s) será más demandante y exigente en el tiempo y en el detalle técnico. Evitar una falla, sin bien no es posible todo el tiempo, el documento arguye, que si se toman las acciones requeridas de controles de acceso mandatarios, se valoran las fortalezas y limitaciones de los mecanismos de seguridad instalados, es posible mejorar las condiciones de seguridad de los sistemas operacionales.
Si bien los dos documentos, establecen referentes generales y conceptos específicos que apunta a una mejor ejecución y confiabilidad de las aplicaciones, no se advierte las relaciones emergentes propias de un ambiente computacional y cambiante como lo tenemos hoy.

La seguridad del software más allá de la amenazas en el desarrollo y en la operación, y considerando las prácticas propias de aseguramiento de los sistemas operativos, requiere el entendimiento de la inseguridad como propiedad inherente del contexto donde se requieren las medidas de seguridad.
En este contexto, no se puede hablar de seguridad de las aplicaciones, sino confiabilidad de las mismas.

Este nivel de confiabilidad, está dado por el nivel de riesgo aceptado que establece la organización para sus desarrollos, medido todo él en función de la administración de riesgos que hace frente a las prácticas de construcción de software, el estudio del perfil psicológico de los usuarios, las vulnerabilidades propias de los productos utilizados y la evolución de los procesos de negocio de la organización.
La confiabilidad es una propiedad emergente del sistema que se percibe como un incremento de la confianza de los usuarios y clientes en el uso de las tecnologías de información, como parte de la estrategia de la generación de valor de la empresa.
Las diferentes propuestas actuales que buscan disminuir las vulnerabilidades propias del software, basan sus propuestas en consideraciones específicas de uso de las tecnologías y lenguajes de programación, que si bien ayudan a regular el número de vulnerabilidades, frecuentemente conocidas, no avanzan en un estrategia más holística de construcción de software confiable.

Julia Allen sostiene que el software es vulnerado frecuentemente por la explotación de debilidades resultantes de:
1. Complejidades, imprecisiones y cambios en el modelo de procesamiento de software, es decir, en un inadecuado diseño de la arquitectura del software, relacionado con los modelos de procesos y datos lógicos requeridos para los requerimientos del negocio.
2. Supuestos incorrectos aceptados por los desarrolladores, como son entre otros, capacidades del producto, salidas y comportamientos (estados) de las aplicaciones en el ambiente de ejecución o entradas de entes externos.
3. Fallas en la especificación o el diseño que llevan a defectos en la implementación del software o sus componentes.

Considerando este escenario, se puede establecer que tenemos tres tipos de palabras para hablar de problemas que impacten la confiabilidad del desarrollo de las aplicaciones.
Un error, un error es una limitación operacional propia de la utilización del software; un evento causado por un usuario o interconexión con otro proceso. Una falla, es un problema inherente en el diseño mismo de la aplicación y está embebido en la manera como se plantea la solución que se construye y una vulnerabilidad, es la explotación de una falla identificada en el diseño, que bien puede ser producto de la configuración de la aplicación o de las funciones propias del lenguaje utilizado.
En consecuencia de lo anterior, las confiabilidad del software exige la exposición de la aplicación a los errores propios del uso, a la valoración y evaluación de los riesgos propios del diseño y a la explotación de las vulnerabilidades que se expuestas en el diseño. Es importante aclarar que siempre es posible un efecto de borde u operación inesperada que puede no estar documentada ni en la operación, ni en el diseño, por tanto, esta posibilidad es el riesgo residual aceptado por la organización cuando recibe una solución de software para su uso.

La confiabilidad del software requiere un alto grado de experiencia en el uso de buenas prácticas, un claro conocimiento de las posibilidades y oportunidades de los lenguajes de programación y el ojo crítico y analítico de aquel que busca esos lugares en el diseño (visibles y no visibles) donde podemos ir “más allá de lo especificado en la funcionalidad”.
El software seguro, si bien no es posible, por la sencilla razón que no existe riesgo cero, es una oportunidad tanto para los desarrolladores como para las empresas, para aprender de los efectos de borde, pues como decía Albert Einstein, “la imaginación es más poderosa que el conocimiento”. En este sentido, nuestras limitaciones humanas sobre lo que ocurre en los detalles de la implementación, así como nuestras percepciones y operaciones sobre el software, son alimento suficiente para que la inseguridad de la información busque nuevos caminos para sorprendernos y mantenernos “fuera de la zona de confort”.

Referencias
ALLEN, J. (2007) Why is security a software issue?. EDPACS 36:1, 1-13.
LOSCOCCO, SMALLEY et al.(1999) The inevitability of failure: The flawed assumption of security in modern computing environments. National Agent Security.

Visto en Eltiempo.com

Se advierte malware en extensiones de Firefox

La gente de ESET latinoamerica alerta sobre malware en extensiones de Firefox:

Recién lanzamos una nota de prensa informando acerca de la detección de códigos maliciosos en extensiones de Mozilla Firefox, que no son oficiales.
La detección de amenazas en extensiones no oficiales de este navegador, ya había sido advertida por nuestros especialistas en el Blog de Laboratorio de ESET y considerando la relevancia de la noticia, precisamente por tratarse de uno de los navegadores más utilizados por los usuarios, decidimos informar a nuestros contactos de prensa a través de la gacetilla que podrá leerse visitando nuestro Centro de Prensa.

Link relacionado:
- Extensiones de Firefox utilizadas para propagar malware

Guía para el Diseño e Implantación de Arquitecturas Tecnológicas y Políticas de Seguridad Informática (Venezuela)

La Superintendencia de Servicios de Certificación Electrónica (SUSCERTE) del gobierno de Venezuela, tiene publicada en su site dos documentos relacionados con su trabajo en lo que respecta a la seguridad de la información:

» Guía para el Diseño e Implantación de Arquitecturas Tecnológicas de Seguridad Informática en el Sector de la Administración Pública.
Arquitectura Tecnológica de Seguridad Informática: Con el objeto de proveer a los Institutos y Organismos de la Administración Pública de un instrumento que los ayude a la definición de una Arquitectura Tecnológica de Seguridad Estándar, acorde a los mejores principios internacionales pero a la vez en línea con los objetivos de seguridad informática del Estado Venezolano, la Superintendencia de Servicios de Certificación Electrónica (Suscerte) decidió la contratación de un asesoría para la elaboración de un documento guía, contenido de los estándares tecnológicos de seguridad informática y de los lineamientos para el diseño y construcción de una Arquitectura Tecnológica de Seguridad Informática efectiva y normalizada al nivel del sector de la administración pública.
Descargar (PDF)

» Políticas de Seguridad Informática.
Este manual incluye casi todas las políticas ahora consideradas parte de la normal profesional no militar en seguridad informática. La norma de cuidado profesional define el conjunto mínimo de medidas de seguridad informática que se espera en una institución. En este material se han incluido muchas políticas adicionales que van más allá de esta norma de debido cuidado, porque proporcionan un nivel más riguroso de seguridad. Se agregan estas políticas adicionales para brindar a la institución un juego mas completo de opciones a las cuales hacer referencias al momento de preparar su borrador de políticas de seguridad informática. Cada institución debe adoptar una combinación de políticas.

Descargar (PDF)

Aumentan las violaciones internas de seguridad

La proliferación de las amenazas de seguridad incrementa la pérdida de datos confidenciales en las organizaciones norteamericanas y reduce los niveles de satisfacción del cliente.

Un estudio patrocinado por CA sobre la seguridad y la privacidad de los datos revela que las amenazas procedentes de la propia organización son ahora un problema mayor que los ataques de origen externo. El estudio también desvela que en los últimos dos años se ha incrementado el número de organizaciones estadounidenses que afirma haber perdido datos confidenciales (55%) y ha visto reducida la satisfacción del cliente (65%).

El estudio ha sido elaborado por The Strategic Counsel, a partir de entrevistas que se han realizado a directores de tecnologías de la información y responsables de seguridad de 500 grandes organizaciones estadounidenses. Concretamente, el informe CA 2008 Security and Privacy Survey pone de manifiesto que a lo largo de 2008 más del 34 por ciento de las organizaciones declararon la pérdida de información confidencial, comparado con el 22 por ciento en 2006, y un incremento de los clientes con un menor nivel de satisfacción, que ha pasado al 33 por ciento, desde el 20 por ciento registrado en 2006. Los encuestados atribuyen ambos efectos al cambio de la naturaleza y del origen de las propias amenazas.

Mientras que están disminuyendo algunos ataques de seguridad importantes, las violaciones de seguridad interna siguen creciendo de forma constante. Este año, el 44 por ciento de los encuestados ha identificado las violaciones internas de seguridad como un reto importante en los últimos 12 meses, comparado con el 42 por ciento en 2006 y el 15 por ciento en 2003. Por el contrario, el número de encuestados que destacó los ataques por virus en los 12 meses anteriores decreció del 68 por ciento en 2006 al 59 por ciento en 2008, los ataques de red pasaron del 50 al 40 por ciento y los ataques de denegación de servicio se redujeron del 40 al 26 por ciento.

“La encuesta apunta a una mayor gravedad de las consecuencias de las violaciones de seguridad procedentes de la organización. Las implicaciones están ahora estrechamente ligadas a dinero y reputación", ha afirmado Lina Liberti, vicepresidenta de CA Security Management.

“Los efectos potenciales de una violación interna de la seguridad captan la atención tanto del negocio como del departamento TI, y para las grandes empresas la prioridad ahora ha cambiado, pasando de estrategias de seguridad reactivas a estrategias proactivas para tratar este tipo de amenazas".

Visto en www.diarioti.com/gate/n.php?id=18616

Link relacionados:

- Cambia la naturaleza de las amenazas y aumentan las violaciones internas de seguridad

oSpy, un monitor de actividad para aplicaciones y procesos

Una notita rápida sobre un artículo de WebSense, en el que se habla del uso de oSpy para la realización de ingeniería inversa de malware.

La gran ventaja de oSpy como monitor es que permite el control selectivo de aplicaciones y procesos, es decir, faculta monitorizar sólo determinadas ejecuciones, y no todo el tráfico de red, como pasa con otros programas tipo Wireshark y compañía.

Esto tiene ventajas significativas, ya que, por ejemplo, el análisis de las peticiones de red específicas en las que incurre una muestra de malware (la bajada del payload de un troyano, el depósito en un FTP de unas credenciales, etc) se simplifica y mucho, ya que en circunstancias normales, en una máquina Windows corren de una manera concurrente muchos procesos, y muchos de ellos pueden, y de hecho tienen, interrelación con Internet (actualizaciones automáticas, envío de información, pings, keepalives, etc), lo que hace que el análisis de comunicaciones pueda ser engorroso y poco productivo, al tener el analista que realizar un desbroce previo para discernir el tráfico que genera el malware del tráfico legítimo de la máquina.

Comentan los chicos de WebSense que oSpy se integra perfectamente con IDA Pro Disassembler, la que viene a ser, probablemente, una de las la herramientas estrella para la realización de análisis de ingeniería inversa de malware, junto a otras ilustres como Ollydbg, Softice o Syser, por poner algunos ejemplos.

oSpy se puede obtener gratuitamente en http://code.google.com/p/ospy/

Code License: GNU General Public License v3

Herramienta relacionada
- Herramienta Process Monitor for Windows

Visto en en la pagina de Sergio Hernando

Link relacionado:
- Ingeniería inversa de procesos que corren en Windows.

Videos y recursos de HITBSecConf2008 - Dubai released

Keynote Videos Now Available for Download:

• Day 1 Keynote: Bruce Schneier - Schneier on Security - Founder and CTO, BT Counterpane
• Day 2 Keynote: Jeremiah Grossman - Hacks Happen - Founder and CTO, White Hat Security

- Conference Photos
- Conference kit (PDF)
- Conference agenda
- The presentation slides, demos, exploits, code, tools and other bits have been released for download.

Post relacionados:
- Presentaciones de HITBSECCONF2007 - Malasia

Análisis forense de elementos enviados a la papelera de reciclaje

Una técnica de análisis en sistemas muertos que se utiliza para saber que elementos contiene la papelera de reciclaje, cuando han sido eliminados y quien los elimino. En primer lugar necesitamos saber donde almacena Windows la papelera de reciclaje:

• Windows 95/98/ME en “C:\Recycled\”
• Windows NT/2000/XP/ en “C:\Recycler\”

Un ejemplo en de la estructura en un Windows XP con dos usuarios:
C:\RECYCLER\S-1-5-21-1417001333-343818398-1801674531-1004
C:\RECYCLER\ S-1-5-21-1417001333-343818398-1801674531-500

Dentro de estas carpetas de los dos usurarios de este sistema se encuentran los archivos borrados de cada uno. Además de estos archivos se encuentra también un archivo llamado INFO2 donde se almacena la información sobre cuando se borro y de donde se borro el archivo. Se puede extraer esta información con un editor hexadecimal, aunque es más fácil utilizar la herramienta rifiuti.

Ejemplo:
Entramos en la carpeta de usuario en la ruta “C:\RECYCLER”.
C:\RECYCLER\S-1-5-21-1417001333-343818398-1801674531-500>

Y ejecutamos rifiuti:
rifiuti INFO2>e:\analisis.txt

Y el resultado se genera en el archivo “analisis.txt” donde aparecerá: la fecha y hora de eliminación, la ruta de donde se eliminaron y el tamaño, de todos los archivos que se enviaron a la papelera de reciclaje.

Rifiuti también esta disponible para Linux.

Más información y descarga de rifiuti

Visto en el Guru de la informática

¿El 75% de los sitios de banca online son inseguros?

Tres cuartas partes de los sitios web bancarios tienen/tenían defectos básicos de diseño que podrían exponer a los clientes de las entidades financieras a la pérdida o robo de identidad, según revela un estudio de la Universidad de Michigan.

El informe que será presentado esta semana en un simposio sobre seguridad y privacidad, se realizó por profesores y estudiantes de doctorado de la Universidad de Michigan, tras examinar 214 webs de banca online en el año 2006.

Las vulnerabilidades identificadas no se solucionan con simples parches y están causadas por fallos estructurales en el diseño del sitio web, algo que parece muy extendido. Entre los defectos encontrados señalan formularios de acceso o información de contacto en páginas inseguras, redirección a los clientes a sitios fuera del dominio del banco sin previo aviso, permitir inadecuados nombres de usuario y contraseñas para el acceso, o envío de correos electrónicos inseguros con información sensible.

“Para nuestra sorpresa, los defectos de diseño que pueden poner en peligro la seguridad son generalizados y algunos se encontraron incluso en algunos de los mayores bancos del país”, indicó en un comunicado Atul Prakash, profesor de ciencias de la computación y responsable del estudio.

A pesar de estos preocupantes datos, Prakash explicó que algunas de estas cuestiones se han abordado desde que fueron descubiertas “aunque queda trabajo por hacer”, aconsejando a los usuarios tranquilidad ante los portales bancarios “porque no es fácil explotar las vulnerabilidades encontradas por su equipo”.

No soy un experto, pero he comprobado un par de sitios web bancarios que operan en España y de los que soy cliente, no encontrando las vulnerabilidades anunciadas. Espero que los (pocos) ahorros que podamos tener se encuentren a buen recaudo, en unos servicios utilizados cada vez más por una amplia comunidad de internautas.

InformationWeek

Visto en Theinquirer.es

Web Application Security Survey Results

A couple weeks ago, Jeremiah Grossman put together a survey for web application security professionals, and now the results are posted.

There were 17 questions, ranging from your general background to rating web vulnerability scanners. There were some funny questions like the HackerSafe one… Safe from Hackers, Safe for Hackers, or Other?
Jeremiah also posted his thoughts on the results on his blog.

The full report is also online thanks to Robert "RSnake" Hansen. It also has all the comments from the web application security professionals survey, and they are quite interesting to read. Thanks to Jeremiah for putting together the survey, and thanks to all that participated.

Visto en infosecevents.net

Link relacinados:

- Results: Web Application Security Professionals Survey (July 2008)

Question #7

I purposely kept the term “vulnerability scanner” vague to see how they performed as an entire category. It doesn’t appear that vulnerability scanners have improved much or at least peoples impressions of them since the last survey. They performed dismally in Web 2.0 technologies including Ajax, Flash, and Web services. What surprised me is how well the scanners performed in the persistent XSS category, on par with the non-persistent. I can’t say I agree, but it is what it is. Could be an artifact that people don’t understand the difference and figure if the tool didn’t find it that its not there. The other interesting thing is that developers have a better opinion of scanners than security vendors and enterprise professionals.I plan on digging into this area even more in the future and separate out scanner types, asking for product names, and overall impressions.

Las empresas de seguridad no estamos haciendo un gran trabajo

"Combatir los 'botnets' requiere acuerdos entre proveedores de seguridad, Internet y gobiernos", dice la presidente de Trend Micro - "Si no formamos una cadena de alertas en la que todos puedan contribuir, podríamos romper la confianza creada con los modelos sociales y la Web 2.0"

Corren tiempos delicados (¿o exitosos?) para la industria de la seguridad informática. Cinco millones y medio de virus circularon por Internet durante 2007. Las amenazas en la Red aumentaron el 1.564% desde 2005. El cibercrimen es ya una lucrativa actividad que amasa 8.300 millones de dólares al año, superando los 6.000 millones del mercado de antivirus. El miedo es un efectivo vendedor de antídotos. Pero, ¿está ganando el lado oscuro la batalla?

Eva Chen es la presidenta y cofundadora de Trend Micro, la tercera compañía de seguridad informática por ingresos después de Symantec y McAfee. Nacida en Taiwan, exhibe una sinceridad sin reservas al referirse a los problemas del sector. Consumidores y empresas reprochan a los proveedores falta de innovación, aplicaciones poco efectivas y un interés velado por dar rienda suelta al malware. La única salida pasa por mejorar los productos. "Si el agua es casi gratis, ¿por qué se compra embotellada? Porque la calidad es mayor. Ocurre lo mismo en este negocio".

Chen disecciona los cambios vividos en la industria con una sosegada lucidez, tal vez legado de sus estudios de filosofía en la Universidad de Chen Chi (Taipei). Mucho ha cambiado desde 1988, cuando junto a Steve Chang y su mujer, hermana de Eva Chen, fundaron Trend Micro a caballo entre California y Taiwan. Internet apenas había nacido, y ser alta directiva, especialmente en Asia, era tabú. "Iba a reuniones en Japón y al sentarme me preguntaban: '¿Dónde está tu jefe?'. Tenía dos tarjetas, una como directora tecnológica y otra como secretaria de ingeniería".

Pregunta. Las amenazas informáticas han evolucionado muy rápidamente. ¿Cuáles han sido los cambios clave en los últimos años?
Respuesta. Dos principalmente: la banda ancha es más rápida y permite a los virus extenderse a más velocidad; y los hackers, antes eran estudiantes o gente que quería ser diferente. Ahora su objetivo es ganar dinero. Ya no hay ciberpunks, hay cibercrimen.
P. Los hackers parecen aventajar siempre a las compañías de seguridad. ¿Por qué?
R. Deberíamos ir por delante, pero los proveedores no estamos haciendo un gran trabajo, e incluyo a los fabricantes de sistemas operativos, de equipos... Si un router tiene un problema, los hackers tienen una oportunidad. Si los desarrolladores de aplicaciones no publican códigos sólidos, hay un problema. Para estar por delante, se debe proteger desde el principio, no como un parche añadido.
P. ¿Cómo se han sofisticado los códigos maliciosos?
R. Ahora combinan diferentes canales y utilizan la ingeniería social en sus redes de distribución. Antes abrías un documento y se liberaba el malware. Ahora combinan spam, infiltración de páginas web y descargas de código infectado. Es una evolución polimórfica en la manera de llegar hasta el ordenador.
P. En muchos casos el objetivo pasa por robar información financiera y personal. ¿Es la encriptación de datos la solución?
R. Es una forma, pero no la mejor. Si en tu ordenador ya tienes malware instalado, cuando descifres un archivo encriptado será posible robar información. Lo mejor es prevenir que el malware llegue al ordenador y, si llega, tener una forma rápida de identificarlo.
P. En el caso del hacktivismo no es el dinero. ¿Empiezan los gobiernos a preocuparse?
R. Países como Estados Unidos o China comienzan a pensar en la infraestructura tecnológica como parte de la seguridad nacional. La tecnología es un diferencial importante para los gobiernos, y la protección un componente más.
P. Trend Micro acaba de lanzar una arquitectura web para analizar correos, direcciones, archivos... siguiendo la tendencia hacia el cloud computing. Es un cambio de estrategia.
R. Quien quiera ganar a lo grande, debe apostar a lo grande. Fuimos los primeros en desarrollar un servidor de antivirus para archivos y correo, y una pasarela de filtrado online. Ahora estamos seguros de haber hecho otra apuesta segura.
P. Si albergan su estructura de análisis en la Red, ¿no temen ser objeto de fuertes ataques?
R. Hemos barajado todos los escenarios. Las grandes arquitecturas de computación son más resistentes y estables. Tenemos centros de datos en todo el mundo para prevenirlos, sistemas de redundancia y análisis en tiempo real de las amenazas. Estamos tranquilos.
P. Los botnets son un problema creciente. ¿Cuál es la forma más efectiva de combatirlo?
R. Es muy complejo. Combatirlos requiere acuerdos entre proveedores de seguridad, Internet y gobiernos. Nosotros tenemos el conocimiento y la capacidad de identificar qué ordenador está infectado como un bot. El siguiente paso sería informar al proveedor de ADSL para anular la conexión y ponerse en contacto con el internauta. Para ello, son necesarias leyes que se lo permitan o les fuercen a tomar medidas. Eso sólo lo pueden hacer los gobiernos.
P. El spam es el otro gran problema, y ha cumplido 30 años. ¿No hay forma de erradicarlo?
R. Está conectado al problema de los botnets, muchos son utilizados para enviar spam y es difícil aislar las fuentes. Los proveedores de Internet tienen parte de la culpa, deberían responsabilizarse de proveer líneas de comunicación limpias. Es un problema a largo plazo: si más y más gente deja de utilizar la Red en transacciones, no tendrán un buen negocio.
P. ¿Arrebatar el contrato de MSN Hotmail a McAfee ha sido su gran victoria?
R. Fue una de ellas, pero no la más importante. Tomó mucho tiempo. Antes Microsoft no utilizaba Trend Micro porque creía que nuestro reconocimiento de marca en EE UU era insuficiente. Desarrollamos nuestro negocio para consumidores allí y pasamos a ser muy conocidos.
P. Su reciente demanda contra Barracuda Networks, por violar una de sus patentes, se ha interpretado como un ataque a la comunidad de software libre.
R. El objetivo de Barracuda es ganar dinero, ¿cómo pueden llamarse compañía de software libre? Nosotros no hemos demandado a ClamAV [antivirus de software libre utilizado por Barracuda]. Intentan tergiversar el problema.
P. Phishing contra Facebook y Hi5 para robar contraseñas... direcciones web en MySpace que conducen a páginas infectadas. Las comunidades sociales y las aplicaciones colaborativas son el canal idóneo para extender virus. Ya se habla de Malware 2.0. ¿Es tan serio?
R. Sí. Escanear el inmenso contenido generado por el internauta con aplicaciones tradicionales ya no funciona. Lo efectivo es interrelacionar antispam, antimalware, y filtrado de datos y direcciones con los enlaces introducidos en páginas como Facebook y My Space.
P. ¿Acabarán estos problemas con la Web 2.0?
R. Si no formamos una cadena de alertas en la que todos puedan contribuir, podríamos romper la confianza creada con los modelos sociales y la Web 2.0. El 15% de internautas que utilizaban la banca online han dejado de hacerlo, y el 20% está tan preocupado por el robo de identidad que no se atreve con el comercio electrónico. Internet podría corromperse.

Fuente Elpais.com

Análisis forense router Cisco

En este post se van a tratar las prácticas forenses que se deben aplicar a un router Cisco o basados en Cisco.En primer lugar hay que tener muy claro porque motivos se ataca un router. Los principales motivos son los siguientes:

Porque atacar un router:

- Realizar un ataque de denegación de servicios (DoS) al router y a la red a la que pertenece.
Comprometer otros routers a través de el.
- Desviar firewalls de red, IDS o otros servicios.
- Monitorizar y grabar el tráfico entrante o saliente de la red.
- Redirigir el tráfico de la red a otro punto.

También hay que tener claro la filosofía de trabajo de un router Cisco. Esta compuesto principalmente por dos memorias donde almacena los datos:

Memoria RAM: Es una memoria no persistente, quiere decir que lo que esta almacenado en ella se borra al apagar el equipo. En ella se almacena:

- Configuración activa.
- Tablas dinámicas: ARP, Routing, NAT, Violaciones ACL, estadísticas protocolos…

Memoria Flash: Es persistente, aun apagando el equipo, esta memoria no se borra. En esta memoria se almacena:

- Configuración de arranque.
- Archivos del sistema IOS.

Para empezar el análisis tenemos que tener en cuenta, basándonos en los datos relativos a la filosofía de trabajo del router, una metodología concreta, que consiste en:
- No apagar ni reiniciar el router, evidentemente perderemos todos los datos almacenados en la RAM. Que son todos los datos que importan para el análisis, sin estés datos, el análisis no tiene sentido.
- Aislar el router de la red, sobre todo si el ataque ya se ha realizado. Siempre con el cuidado de no desconectar la alimentación. En algunas casos se puede realizar sin aislar pero después de recoger información, para monitorizar si la actividad continua.
- Conectarse para realizar el análisis forense a través del puerto consola del router y no a través de la red, porque se corrompería la escena.
- Grabar la sesión completa de análisis de la consola en un archivo de log.
- Ejecutar comandos que muestran configuraciones, pero nunca ejecutar comandos de configuración del router.
- Una vez extraída la información volátil, podemos analizar las vulnerabilidades del router y escanear sus servicios a través de la red.

Después de tener en cuenta estas recomendaciones, pasamos a los comandos que tenemos que utilizar en la consola para extraer la configuración activa y las tablas dinámicas. La sesión de consola en la que se ejecuten estés comandos, debe ser grabada. Los comandos son:

• show clock detail
• show version
• show running-config
• show startup-config
• show reload
• show ip route
• show ip arp
• show users
• show logging
• show ip interface
• show interfaces
• show tcp brief all
• show ip sockets
• show ip nat translations verbose
• show ip cache flow
• show ip cef
• show snmp user
• show snmp group
• show clock detail

También podemos utilizar una herramienta automatizada para recabar esta información, se trata de CREED (Cisco Router Evidence Extraction Disk). Un disco auto arrancable que ejecuta un script para obtener esta información, ejecutando estos comandos:

# terminal length 0

# dir /all

# show clock detail

# show ntp

# show version

# show running-config

# show startup-config

# show reload

# show ip route

# show ip arp

# show users

# show logging

# show interfaces

# show ip interfaces

# show access-lists

# show tcp brief al

l# show ip sockets

# show ip nat translations verbose

# show ip cache flow

# show ip cef

# show snmp users

# show snmp groups

# show clock detail

# exit

Después de obtener está información pasaremos a encontrar las vulnerabilidades o servicios por los que se ha podido comprometer la seguridad del router. Para analizar vulnerabilidades utilizamos herramientas como: Router Audit Tool (RAT) y Nipper.

Para analizar servicios utilizamos: nmap, Cisco Torch, Cisco Snmp Tool…

- Más información y descarga de CREED (Cisco Router Evidence Extraction Disk).

- Más información y descarga de Cisco Torch, Cisco Snmp Tool y Router Audit Tool (RAT) en el post “Herramientas para asegurar dispositivos Cisco”

- Más información y descarga de Nipper en el post “Auditar seguridad en dispositivos Cisco”

Fuente Guru de la Informática

Mercado argentino de software de seguridad, presentó un crecimiento del 30%

En Latinoamérica se proyecta un 20% para el 2008 y el 55% de las empresas argentinas han indicado que la inversión en seguridad encabeza su lista de prioridades.

De acuerdo al estudio publicado por IDC “Argentina Semiannual Security Software Tracker”, el mercado local presentó un crecimiento del 30% el último año respecto a las inversiones del 2006. Alcanzando un valor de US$ 16,5 millones durante el 2007.
Al analizar la performance de todo el año, IDC proyecta para el 2008 un crecimiento del 25% en este mercado, alcanzando un valor superior a los US$ 20,5 millones.
Dentro del universo que engloba las tecnologías de software de seguridad, los mercados que lideraron la inversión en seguridad durante el 2007 fueron el sector de Finanzas y el de Telecomunicaciones. Se destaca también una importante participación de las áreas de Manufactura y Retail. El manejo de información de estos sectores es clave para la operatoria diaria del negocio y resguardar la seguridad de los datos se torna algo indispensable.

"En Argentina, la inversión en seguridad continúa liderando la lista de prioridades dentro de la agenda IT. Sin lugar a dudas, la toma de conciencia avanza firmemente día a día", indicó Mariana Zamoszczyk, Senior Analyst de Software y Servicios de IT para IDC Cono Sur.

De hecho, para respaldar esta tendencia puede observarse que el 55% de las empresas en Argentina han indicado que la inversión en seguridad encabeza su lista de prioridades (Fuente: Argentina IT Investment Trends 2007).

“Por otro lado, la carrera contra las amenazas actuales y la creciente presión del marco regulatorio hacen necesario prestar atención y fortalecer la inversión en seguridad”, señaló la analista.

Gráfico Security Market in Argentina U$
Fuente tynmagazine.com

Creador de Linux insulta al sector de seguridad informática

El creador de Linux, Linus Torvalds, califica al sector de seguridad TI de “insoportables", y de “monos" a los desarrolladores de OpenBSD.

Diario Ti: Comentario de Linus Torvalds publicado en la lista Gmane ha llamado la atención en círculos especializados. Torvalds critica en duros términos a los "autodenominados expertos en seguridad informática", que dedican gran parte de su tiempo a encontrar errores y agujeros en software como un rápido atajo a la fama. El finlandés califica a todo el sector de seguridad informática de “circo" que glorifica tales conductas.

“Convierten en héroes a la gente de seguridad informática, como si quienes corrigen errores corrientes no fuesen igual de importantes", escribe Torvalds.

Su e-mail es una respuesta a las acusaciones de otros desarrolladores, en el sentido que Torvalds y otros desarrolladores de Linux disimulan los posibles problemas de seguridad en ese sistema operativo. Linux prefiere no calificar los errores de Linux como agujeros de seguridad. A su entender, las razones son sobradas.

“De hecho, todos los errores normales son muchos más importantes, ya que son más numerosos. No creo que haya que glorificar un agujero de seguridad espectacular, ni tratarlo como si fuera más ´especial´ que un error espectacular de otras características", escribe Torvalds.Agrega que la seguridad es importante, pero no más importante que todo lo demás. Luego se refiere en duros términos a toda la industria de seguridad informática y en especial a los desarrolladores de OpenBSD.“La gente del ámbito de la seguridad informática suelen ser el tipo de gente que ve todo en blanco y negro; son insoportables. Creo que los de OpenBSD son un grupo de monos viciosos para quienes nada es más importante que la seguridad".

Lea el comentario completo de Linus Torvalds

Visto en Diarioti.com


Link relacionado

- Biografía de Linus Torvalds

5 pasos para frustrar robos de información en tu empresa

Juan Carlos Vuoso, Gerente General de Etek Argentina y Chile, proveedor latinoamericano en soluciones integrales de seguridad de la información que ofrece una completa gama de servicios de consultoría, administración de seguridad, capacitación, soporte y tecnologías para todo tipo de empresas gentilmente nos escribió una serie de sugerencias para tener en cuenta:

1. Establecer Políticas de Seguridad que cubran toda la Información de la Compañía.
Esto incluye identificar al propietario de la información y señalar a que personas se les permite acceder a ella y en qué momento. Estas políticas deben contemplar a empleados fijos y temporales, clientes, proveedores, socios, contratistas y a cualquier otra persona asociada a la empresa.

2. Asegurar el "Elemento Humano".
Las personas son el elemento más importante de un programa de Seguridad de la Información. Al fin y al cabo, la difusión de información está bajo su control. El entrenamiento y conocimiento de la seguridad, por ende, es esencial. Los empleados necesitan ser asesorados sobre las amenazas, represalias y responsabilidades del manejo de la información. Los contratos de confidencialidad (NDAs, no-disclosure agreement) son el medio más adecuado para advertir a los empleados sobre sus responsabilidades. Si un empleado expone secretos intencionalmente, el NDA permite terminar el contrato o demandar. La verificación de antecedentes ayuda a identificar empleados que puedan comprometer información sensible de la industria antes que ellos se vendan a otras empresas. Entrevistas y contratos de despido pueden recordarles a los empleados sus responsabilidades al dejar la empresa.

3. Utilizar Barreras Físicas de Seguridad.
Las barreras físicas, incluyendo puertas, entradas, cajas de seguridad, cajones y archivos con llave pueden ser utilizados para controlar el acceso a la información. La entrada a personas debe ser permitida mediante guardias de seguridad, llaves, distintivos, accesos con tokens y biométricos. Arrojar apropiadamente la basura, incluyendo los residuos provenientes de destructores de papel es una práctica que permite mantener la información sensible fuera del alcance de los "recolectores de información", así como también de algunos empleados que examinan los residuos de las oficinas. Tengan en cuenta que las destructoras de papel no son 100% seguras, ya que los documentos pueden ser reconstruidos en forma manual o digital.

4. Actualizar sus Herramientas Electrónicas de Seguridad.
La información debe ser protegida tanto en el sitio de almacenamiento como en las redes de transmisión de datos y telecomunicaciones. Esto requiere una combinación de resguardos que incluya controles de acceso, autenticación, encriptación y detección de intrusos. Los controles de acceso (claves en PCs y redes, firewalls y aplicaciones de control) previenen el acceso no autorizado a los recursos de información. Estos controles pueden aplicarse también a registros, documentos individuales, o sistemas completos.

5. Adoptar una Estrategia para Planes de Contingencia y Manejo de Incidentes.
El paso final de un programa de seguridad de información es prepararse para lo peor y así poder responder a los incidentes que se presenten. Esto incluye obtener pólizas de seguros y establecer procedimientos para manejo de incidentes.

Visto Datafull

Concientización en Seguridad - Cartoon Collection

El portal www.securitycartoon.com, publica en ingles distintas graficas (algunas con mucho humor) las cuales tienen el objetivo de ayudar en la concientización y capacitación en seguridad de la información.

Clasificación de las imagenes:

• Spoofing
• Malware
• Phishing
• Pharming
• Passwords
• Politics
• Fightback
• View All

Posibles fallos en procesadores Intel podrían hacerlos vulnerables a virus

Kaspersky pretende demostrar ataques remotos a fallos de los microprocesadores Intel Core 2, con Javascript o paquetes TCP/IP, sin importar el sistema operativo instalado (Windows, Linux, BSD, y posiblemente Mac, totalmente actualizados).

La demostración será en una conferencia de seguridad de Malasia, en octubre, y pretende demostrar que los errores del procesador pueden ser explotados utilizando ciertas secuencias de instrucciones y conocimientos de cómo funcionan los compiladores Java, permitiendo al atacante tomar control.
Los chicos de BSD ya se dieron cuenta.

Fuente barrapunto.com

El 74% del software en la Argentina es ilegal.

. Según el último estudio de International Data Corporation (IDC) y Business Software Alliance (BSA) la tasa de piratería para computadores personales (PC) en Argentina bajó a 74% durante el último año.
. Las pérdidas por piratería de software representaron pérdidas aproximadas de US$ 370 millones de dólares durante el último año, un incremento de 12% frente a la última medición.

El 74% del software empaquetado e instalado en computadores
personales (PC) en el país durante el último año es ilegal, reveló el estudio de piratería mundial de software publicado por Business Software Alliance (BSA) y realizado por International Data Corporation (IDC), líder global en investigación de temas de tecnología.
De acuerdo con la investigación, la tasa de piratería en Argentina se redujo 1% aunque las pérdidas económicas por piratería aumentaron de 370 millones dólares vs 303 millones de dólares en el último año. Argentina si bien bajó 1% su piratería, de 75 a 74%, sus pérdidas subieron de US$ 303 M a US$370 M, las pérdidas a nivel mundial equivalen a US$ 47.809 M.

Mas información

Chkrootkit (detección de rootkits y ficheros maliciosos)

chkrootkit (Check Rootkit) es un programa informático para consola común en sistemas operativos Unix y derivados que permite localizar rootkits conocidos, realizando múltiples pruebas en las que busca entre los ficheros binarios modificados por dicho rootkit.
Este guión de consola usa herramientas comunes de UNIX/Linux como las órdenes strings y grep para buscar las bases de las firmas de los programas del sistema y comparar un transversal del archivo del sistema /proc con la salida de la orden ps [estado de los procesos (process status)] para buscar discrepancias.

Básicamente chkrootkit hace múltiples comprobaciones para detectar todo tipo de rootkits y ficheros maliciosos.

Puede ser utilizado desde un "disco de rescate" (típicamente un LiveCD) o puede utilizar opcionalmente un directorio alternativo desde el cual ejecutar todas sus órdenes.
Wikipedia.

chkrootkit is a tool to locally check for signs of a rootkit. It contains:

• chkrootkit: shell script that checks system binaries for rootkit modification.
• ifpromisc.c: checks if the interface is in promiscuous mode.
• chklastlog.c: checks for lastlog deletions.
• chkwtmp.c: checks for wtmp deletions.
• check_wtmpx.c: checks for wtmpx deletions. (Solaris only)
• chkproc.c: checks for signs of LKM trojans.
• chkdirs.c: checks for signs of LKM trojans.
• strings.c: quick and dirty strings replacement.
• chkutmp.c: checks for utmp deletions.

chkrootkit 0.48. This version includes:

• chkrootkit
  • new tests: common SSH brute force scanners, suspicious PHP files
  • enhanced tests: login, netstat, top, backdoor
  • some minor bug fixes

chkrootkit-m 0.2 for mobile phones. This version includes:

• chkrootkit-m
  • chkrootkit Python port for mobile phones
  • tests: Cabir A-E Variants, Lasco, Skulls, Comwar.C, Comwar.Q, Acallno.A, Cardblock.A, Mopofeli.A, SingleJump.C
  • still in alpha stage

chkrootkit is free software. License information is available at chkrootkit's COPYRIGHT file.

Descarga y Web del proyecto

Centro de Respuestas ante Incidentes Telemáticos será activado a finales de año en Venezuela

La Superintendencia de Servicios de Certificación Electrónica (Suscerte), adscrita al Ministerio del Poder Popular para las Telecomunicaciones y la Informática, a través de su titular, Niurka Hernández, informó que la activación del Centro de Respuestas ante Incidentes Telemáticos se hará efectiva para el último trimestre de 2008.
Hernández resaltó la importancia de la habilitación de sistemas de resguardo y defensa contra ataques informáticos en el aparato público del Estado.

“Con este proyecto se pretende dotar al Estado con herramientas necesarias para enfrentar problemas surgidos con el uso de las tecnologías de información”, dijo.

Asimismo, explicó que la Superintendencia de Servicios de Certificación Electrónica se encuentra trabajando en otro proyecto de vital importancia como el Centro Nacional de Informática Forense, donde se procesará la evidencia digital como punto de partida para las investigaciones relacionadas con otras instituciones como el Cuerpo de Investigaciones Científicas, Penales y Criminalísticas (CICPC), el Ministerio Público y la Dirección Ejecutiva de la Magistratura.

Las declaraciones de la Superintendente se produjeron durante su participación en las VII Jornadas de Telecomunicaciones y I EXPOTELECOM, organizada por la Escuela de Telecomunicaciones de la Universidad Fermín Toro en la ciudad de Barquisimeto, estado Lara.
Explicó que su intervención y la de su equipo consistieron en promocionar, difundir y disipar dudas sobre el tema de la seguridad de información y la certificación electrónica.

En cuanto a las firmas y certificaciones electrónicas, competencias éstas de la Suscerte, la titular de la institución señaló que actualmente la superintendencia ha aprobado la acreditación de dos certificaciones electrónicas.
La primera a la Fundación Instituto de Ingeniería para Investigación y Desarrollo Tecnológico (FII) como Proveedores de Servicios de Certificación (PSC) de carácter público y, a la empresa Proveedores de Certificados (PROCERT) C.A. como PSC de carácter privado respectivamente.

Visto OIR

DNSVig - Herramienta gratuita para la detección de cambios en los resultados de consultas DNS

360 Security Group desarrollo una herramienta gratuita (freeware) que permite la detección de cambios en los resultados de consultas DNS de diversostipos y sobre diversos servidores. La herramienta se denomina DNSVigy sus detalles son los siguientes:

Características Generales:

• Detección periódica y automática de cambios en el resultado de consultas DNS de diversos tipos (A, NS, MD, MF, CNAME, SOA, MB, MG, MR, NULL, WKS, PTR, HINFO, MINFO y MX).

• Adición de consultas discretas (a un único servidor).

• Adición de una misma consulta a grupos de servidores previamente creados.
• Envío de alarmas vía correo electrónico.
• Registro completo de errores, precauciones y alarmas en el registro de Microsoft Windows.
• Tiempos de ejecución periódica programables por el usuario.
• Ejecución como una herramienta con interfaz gráfica en Microsoft Windows, teniendo la opción de permanecer minimizada en el "Systray" o puede también ejecutarse como un servicio de Microsoft Windows, utilizando para ello las herramientas gratuitas provistas en los Kits de Recursos de Microsoft Windows para tal fin.

Requerimientos:

• Microsoft Windows XP, Microsoft Windows 2000 o Microsoft Windows 2003. (No ha sido probado aún en Microsoft Windows Vista ni en Microsoft Windows 2008).

• Microsoft .NET Framework 2.0 o superior.

Download
Huellas Criptográficas
• Instalador de la herramienta - DNSVig.1.0.msi
SHA1: 6af786c29e1517619a99d2edbe5e53428dd705dd

• Ejecutable de la herramienta después de instalada - DNSVig.exe
SHA1: ca496165841fd0d4059d9a00c4ef92ba1cfbe03c

Aclaración
Desde Cryptex recomendamos usar esta herramientas en ambientes de testing y totalmente controlados para estudiar a fondo su funcionalidad.

Uso de FRAMEWORKS: El camino hacia el Gobierno de areas de TI

El Gobierno de TI, en la visión de IT Governance Institute (ITGI) propone cinco dominios sobre los cuales el Área de TI debe enfocarse:

• Alineamiento de TI al negocio
• Entrega de Valor
• Administración de Riesgos
• Administración de Recursos
• Mediciones de Desempeño

El nivel de compromiso en el manejo de los dominios permite en mayor o menor medida conseguir el Gobierno de TI que aplica a las necesidades de las empresas.

Para las Organizaciones del ámbito Público y Privado, el concepto Gobierno de TI, en algunos casos puede significar un requerimiento legal o bien puede tratarse de un salto de calidad en los procesos de mejoramiento continuo.
Por ejemplo, para la industria financiera, SOX Compliance es sinónimo de una fuerte regulación a cumplir que ya ha sido asignado en muchos de los presupuestos de TI.

Afortunadamente, hay varios Frameworks de Mejores Prácticas que colaboran para lograr el Gobierno de TI, entre ellos:

• ITIL / ISO 20000: para gestionar servicios TI consistentes y estables
• COBIT: para generar un ambiente controlado y auditable
• PMBOK: para gestionar proyectos integrados a las actividades de negocio
• CMMI: para un ambiente de desarrollo de software
• BSC: para una toma de decisiones sistémica
• ISO 27001: para seguridad de la información
  

Estos frameworks tienen una antigüedad similar, algunos comenzaron con nombres distintos que mutaron para reflejar su evolución hacia el nuevo paradigma de Gobierno de TI. En párrafos anteriores se mencionó que los frameworks colaboran en el logro del Gobierno de TI y que es importante enfatizarlo porque al momento ninguno por sí mismo puede dar una respuesta total.
Hay que recordar que cada uno de ellos fueron concebidos con fines específicos y en el proceso evolutivo de convergencia hacia el Gobierno de TI han surgido superposiciones de conceptos y actividades entre ellos.

Este “problema” de abundancia para las Áreas de TI, genera la necesidad de definir que es lo que el negocio necesita en un horizonte de tiempo, de manera de identificar que frameworks serán utilizados y el modo de relacionamiento.

Fuente CIDICOM