lunes, 29 de septiembre de 2008

¿A qué le apuestan los hackers modernos?

Averiguar contraseñas e interceptor correos, tal vez para muchos eso sea un gran logro, pero los hackers modernos quieren ir mucho mas lejos de averiguar una simple clave de acceso, hoy día los retos son mas grandes y se busca penetrar en redes a nivel macro tratando de superar los retos, políticas y medidas que los especialistas en seguridad cada día implementan buscando crear una red “segura”.

La pelea es evidente, nosotros los usuarios estamos en medio de ella, tal vez “ver los toros desde la barrera” no sea conveniente porque en cualquier momento estará infectado o en el peor de los casos, sus cuentas bancarias en cero.
El pasado mes de Agosto se llevó a cabo en Las Vegas el evento denominado Defcon 16, conferencia altamente técnica que reunió a los líderes de todas las áreas del mundo de la seguridad de la información, desde los sectores corporativo, académico y gubernamental hasta los hackers subterráneos.
En esta reunión, no participan proveedores de tecnología y se enfoca en compartir ideas prácticas y conocimiento oportuno sobre las amenazas en línea y las vulnerabilidades nuevas y emergentes.
Además de las presentaciones temáticas de Defcon 16, reconocidos expertos en seguridad ofrecieron sesiones prácticas de demostración. El evento atrajo a los nombres más prestigiados de los mundos del hacking y la seguridad, lo que inspira discusiones animadas e informativas. En los recuadros se incluyeron las principales tendencias presentadas en el evento.

Ataques a los Servidores de Nombres
Dan Kaminsky, director de Prueba de Penetración de IOActive, dio una presentación sobre los daños de las vulnerabilidades de DNS (sistema de nombres de dominio).
Que es un DNS? Un servidor DNS (Domain Name System) se utiliza para proveer a los computadores de los usuarios (clientes) un nombre equivalente a las direcciones IP (números). Por ejemplo, www.google.com equivale numéricamente a 234.34.54.123
Si navegar por Internet depende de recibir el número correcto para el nombre correcto, imagine lo que sucedería si un cibercriminal interceptara la solicitud de DNS y la dirigiera a un sitio web malicioso. De acuerdo con Kaminsky, los chicos malos están usando el caché DNS envenenado para crear canales de comunicaciones encubiertos, evadiendo las medidas de seguridad, y presentando contenido malicioso.
Las búsquedas de DNS se utilizan en casi todas las actividades en línea, incluyendo el correo electrónico, la mensajería instantánea y las transferencias de archivos. El peligro ocurre cuando los datos son desviados por entradas de DNS erróneas. La mayoría de las medidas de seguridad corporativas, como los firewalls, dependen de los datos de DNS por consiguiente exponen una vulnerabilidad que los hackers pueden aprovechar para ver información de una compañía o para exponer información propietaria al dominio público.

Redes Sociales Bajo
El título de la conferencia, “Satanás Está en Mi Lista de Amigos”, describe perfectamente los crecientes problemas de seguridad en los sitios de redes sociales. La presentación, que fue dada por Shawn Moyer, fundador de Agura Digital Security, y Nathan Hamiel, Consultor de Idea Information Security, se enfocó en el aumento de los ataques a las redes sociales. De acuerdo con Moyer y Hamiel, los defraudadores están aprovechando la gran confianza que los usuarios depositan en la seguridad de los sitios de redes sociales para extraer información e incubar esquemas de phishing.
Últimamente, los ataques más comunes son los de cross site scripting (XSS), una vulnerabilidad de las computadoras asociada a aplicaciones Web 2.0 que le permite al atacante inyectar código en las páginas web que son vistas por otros usuarios.

Recientemente, los sitios de redes sociales objetivo han incluido a LinkedIn, MSN Spaces, Yahoo 360, con Facebook y MySpace como los principales blancos. Conforme los sitios de redes sociales se hacen más populares, los programadores han creado códigos que permiten la “portabilidad de la identidad”, con lo cual los usuarios pueden transportar información personal de un sitio a otro.

De esta forma, pueden crear un nuevo perfil en Facebook, por ejemplo, usando la información ya guardada en sus páginas de MySpace. Aunque conveniente y le ahorra tiempo a los usuarios, esta capacidad de XSS no es segura. Y ya que los sitios de redes sociales están migrando a la misma plataforma OpenSocial, ahora es más fácil compartir datos e integrar aplicaciones sociales. Esto significa que infiltrar la API de un sitio le permite a un cibercriminal tener acceso a otra red social hospedada en la misma plataforma, comprometiendo la identidad del usuario a una mayor escala.
Aunque los usuarios de las redes sociales no publican información financiera en sus perfiles, comparten sus nombres, nombres de familiares y mascotas, direcciones y otra información. Estos datos pueden ser recopilados y usados para violar cuentas bancarias. Por ejemplo, si un cliente llama a un banco para reportar la pérdida de una contraseña en línea, algunos bancos simplemente solicitarán verificar la dirección o el número telefónico para proporcionar la contraseña, ambos datos están listados en los sitios de redes sociales. Con los sitios de redes sociales ofreciendo más innovaciones y servicios, Moyer y Hamiel advirtieron a los usuarios que habrá más brechas de seguridad.

Descifrando Captcha’s
Una captcha es un sistema de reconocimiento para saber si el usuario que está accediendo a una aplicación es un humano o es una máquina que procesa datos automáticamente.
La típica prueba consiste en que el usuario introduzca un conjunto de caracteres que se muestran en una imagen distorsionada que aparece en pantalla. Se “supone” que una máquina “no es capaz” de comprender e introducir la secuencia de forma correcta por lo que “solamente el humano” podría hacerlo.

El ataque: los cibercriminales han descubierto cómo desarticular las Captchas. Se utilizan dos métodos: descifrar la Captcha o atacar su implementación.
Algunas Captchas utilizan generadores de números aleatorios. Con el conocimiento matemático adecuado, cualquiera puede desarticular una Captcha de cinco dígitos en 12 o 13 muestras. Los generadores aleatorios tienen un poco más de éxito pero no lo suficiente para detener a los hackers.
¿Es posible mejorar las Captchas? De acuerdo con los representantes de Defcon, la respuesta es “No”. La alternativa es utilizar múltiples capas de autenticación con las Captchas actuando como una de esas capas.

Explotando Google Gadgets
Los investigadores, Robert Hansen, CEO de secTheory, y Tom Stracener, criticaron duramente la seguridad de Google durante su presentación titulada “Xploiting Google Gadgets: Gmalware & Beyond,” en la que afirmaron que Google pone en riesgo a millones de usuarios ya que el gigante de los motores de búsqueda le da más prioridad al seguimiento de usuarios que a la seguridad.
Expresando su desacuerdo con la política de Google de hospedar aplicaciones Web 2. 0 de terceros que no se han probado y que los usuarios pueden integrar automáticamente en sus páginas de inicio de Google personalizadas, Hansen y Stracener describieron una variedad de ataques XSS que pueden realizarse usando programas de Google. Los más peligrosos son los Google gadgets, que pueden redirigir inmediatamente a las víctimas que inician sesión en iGoogle.com a una página bajo el control de un atacante. Esto también crea una ventana abierta para los phishers.
Aparentemente Hansen reveló la vulnerabilidad a los ingenieros de seguridad de Google, quienes le dijeron que el redireccionamiento era una característica, no una falla. Google gadgets también ofrece la capacidad de analizar los puertos de la red interna de una víctima para vigilancia o enviar solicitudes de XSS que redireccionan a sitios maliciosos y provocan que el navegador de una víctima cambie las direcciones del servidor DNS u otras configuraciones delicadas.
Si bien algunos ataques relacionados con Google son más teoría que una realidad, los investigadores advierten que los ataques aumentarán con la popularidad de Google. Los gerentes de TI necesitan ser cuidadosos, los usuarios probablemente ya estén usando muchas de las aplicaciones de Gooble basadas en Web 2.0.

No hay comentarios: