Decaf es una aplicación liviana que monitorea en los sistemas Windows la presencia de COFEE, un paquete de unas 150 herramientas de apuntar y cliquear usadas por la policía para recolectar evidencia digital en la escena del crimen. Cuando se introduce una memoria USB, que contiene las herramientas de Microsoft, en una máquina protegida, Decaf ejecuta automáticamente una variedad de contra-medidas.

“Queremos promover un tráfico libre saludable e irrestricto en Internet y mostrar porqué las fuerzas policiales no deben basarse solamente en Microsoft para automatizar su búsqueda inteligente de evidencia,” le dijo a The Register uno de los dos hackers detrás de Decaf al explicar el objetivo del proyecto.

Microsoft ha estado sirviendo COFEE gratuito a los oficiales de fuerzas policiales desde mediados de 2007. Abreviatura de Computer Online Forensic Evidence Extractor, empaquetan herramientas forenses en una memoria USB de fácil uso que les permite a los investigadores recolectar historial de  navegación archivos temporales y otros datos sensibles de la mayoría de las máquinas basadas en Windows. COFEE es distribuido a través de la Interpol.

El mes pasado, cuando COFEE se filtró en la red, Microsoft minimizó las preocupaciones respecto que la fuga le pudiera permitir a los hackers la creación de contramedidas. Representantes de Redmond no estuvieron inmediatamente disponibles para comentarlo el domingo a ultimas horas de la noche.

Decaf dispone de una enorme variedad de contramedidas de usuario contra COFEE. Además de destruir archivos temporales apenas en segundos de detectar los archivos o los procesos asociados con la herramienta de investigación, Decaf también puede borrar todos los registros de COFEE, deshabilitar los discos USB, y contaminar o falsificar una variedad de direcciones MAC. La próximas versiones prometen agregar características que permitan al usuarios bloquear de forma remota los sistemas protegidos.

El programa comenzó a alimentar un tracker privado de BitTorrent el domingo por la tarde, y poco después, fue publicado aquí. The Register no pudo analizar de inmediato el ejecutable de 181kb para confirmar si realiza lo que se promociona.

La publicación de Decaf sigue a la fuga del mes pasado de COFEE. Mientras tanto, abogados de Microsoft, demandaron la eliminacion de COFEE de sitios tales como Crytome, el genio ya está fuera de la botella. Al día de hoy COFEE sigue disponible en Wikileaks.

Mientra que los hackers hacen disponible el ejecutable de Decaf, no están liberando el código fuente por temor, dicen ellos, que las firmas sean usadas para ingeniería reversa. La licencia de acuerdo para usuarios final que acompaña al programa establece: “Ud. no desensamblará, descompilará, o hará ingeniería reversa en el total o en parte, excepto hasta donde es permitido expresamente por la ley. Ud. no usará DECAF con propósitos ilegales. Ud. cumplirá con todas las leyes de exportación. DECAF es licenciado, no es vendido.”

Mas información en:
COFEE para todos. Microsoft invita
Instalación, Configuración y Uso del Microsoft Cofee

Enfoque Seguro

Traducción: Raúl Batista – Segu-info
Dan Goodin
Fuente: The Register UK

1.-No reenvíes nada sin verificarlo primero. Muchas presentaciones y postales de navidas traen consigo un gusano capaz de infectar a todos aquellos que decidan abrirla o descargarla en sus computadoras. Cuando recibas una carta, postal o presentación, lo primero que debes hacer es chequearlo con tu programa antivirus. No importa si conoces a quién te la envió, no dejes que la alegrüia de estas fechas te haga formar parte, ingenuamente, de una gran red de distribuciüon de spam.

2.-Mantén actualizado tu antivirus. Estar al día con la base de datos de virus es como tener lista la cena de navidad a tiempo para cuando todos tus seres queridos están allí. Es muy importante. Esto te evitará un dolor de cabeza, sobretodo cuando los ciberdelincuentes están desarrollando las tácticas más feroces de ataque y contaminación de redes.

3.-No aceptes ofertas demasiado tentadoras. Además de las postales y presetaciones, existe otro tipo de phishing que busca hacernos caer dentro de las redes de los ciberdelincuentes, y son las ofertas falsas. Ofertas demasiado buenas para ser realidad, ofertas que “sólo estarán vigentes 3 días”. No dejes que te mientan, y no caigas. Activa los filtros de spam de tu correo electrónico, que en casi todos los proveedores suelen funcionar bien ante este tipo de amenaza.

4.-Mantén tu computadora con claves de seguridad. Seguramente en estas fechas mucha de tu familia estará compartiendo contigo, bien sea que la visites o que ellos te visiten. El mantener tu computadora segura evitará que alguien la use sin tu supervisión, lo que en la mayoría de los casos suele desembocar en infecciones no deseadas, en pérdida de datos y hasta en filtración de claves.  Protégete manteniendo tu computadora cerrada a los usuarios descuidados y no autoriyados.

5.-Y la más importante: Utiliza el sentido común. Hasta el cansancio hemos repetido esto, pero la felicidad de estar con nuestros parientes y seres queridos puede hacernos bajar la guardia y, es allí, cuando los ciberdelincuentes están al acecho, esperando ese momento de debilidad para sustraer toda la información necesaria para hacer de las suyas.

Felíz Navidad

Enfoque Seguro

Para celebrar su trayectoria de dos décadas la firma ha decidido examinar sus pruebas y las tendencias en todo este período, descubriendo que tres de cada cuatro productos no cumplen con sus funciones básicas. Apróximadamente la mitad tenía problemas para registrar la actividad de inspección. Además, un 40% de las soluciones evaluadas eran inherentemente inseguras y susceptibles de ser “comprometidas” por hackers.

En palabras del director de ICSA, George Japak, “la documentación escrita para algunos productos de seguridad es tan mala que los evaluadores del laboratorio llaman al vendedor para asegurarse de que no han enviado el material equivocado”.

Lo positivo de esto, según Japak, es que la mayoría de soluciones obtendrá una certificación una vez realizadas entre dos y cuatro pruebas, puesto que en los laboratorios se da a los proveedores información para refinar y mejorar el rendimiento de sus productos. “Siempre es mejor que los laboratorios hallemos los problemas antes que los clientes se expongan a las deficiencias”.

Enfoque Seguro

VÍA: Channelinsider

El spam relacionado con productos comerciales representó el 27 por ciento en el último período, y muestra un incremento del 22 por ciento respecto del período anterior. En la segunda mitad del 2007, 0,16 por ciento de todo el spam contenía código malicioso, en comparación al 0,43 por ciento de la primera mitad del 2007. Esto implica que uno de cada 617 mensajes de spam bloqueados por Symatec Brightmail AntiSpam, contenía código malicioso.

Enfoque Seguro

VÍA: Symantec

“De los miles de casos que hemos investigado, el público sólo conoce unos pocos”, dijo Shawn Henry, subdirector de la División Cibernética del Federal Bureau of Investigation (FBI). “Hay casos de millones de dólares que nadie conoce”, agregó el martes en una entrevista con Reuters.

Las compañías que son víctimas de ciberdelitos son reacias a denunciarlos ante el temor de que la publicidad dañe su reputación, ahuyente a los clientes y afecte sus beneficios. A veces no comunican los delitos al FBI en absoluto. En algunos casos esperan tanto que es difícil rastrear pruebas.

“Ocultar la cabeza bajo tierra a la hora de denunciar un informe implica que los malos van a golpear al próximo tipo, y al próximo después”, dijo Henry.

El problema del ciberdelito se ha acrecentado durante los últimos tres años porque los hackers han cambiado sus métodos de ataque ya que las compañías han reforzado su seguridad, observó.

“Absolutamente, se ha hecho más grande, sí, absolutamente”, declaró. Esto se debe a que internet está creciendo rápidamente como una herramienta para el comercio. Conforme lo hace, consumidores y empresas por igual exponen datos valiosos como sus planes de negocio, números de tarjetas de crédito, información bancaria y números de la Seguridad Social.

Objetivos fáciles

Los ciberdelincuentes están buscando más allá de las grandes compañías, que en los últimos 10 años han impulsado la seguridad en sus redes con productos desde software de firmas como Symantec, McAfee y Trend Micro. Cisco Systems, International Business Machines y Websense también venden productos para proteger las redes informáticas. En su lugar, los delincuentes atacan a pequeñas y medianas empresas que no tienen la intención, dinero o experiencia para evitar los ciberdelitos.

También atacan a ejecutivos corporativos y a otras figuras públicas adineradas que son relativamente fáciles de rastrear utilizando documentos públicos. El FBI persigue estos casos, aunque rara vez trascienden. El 4 de noviembre, el FBI advirtió de que una serie de importantes casos de fraude que implican el robo de credenciales bancarias online propiedad de pequeñas y medianas empresas, gobiernos locales y distritos escolares. En este caso, como en otros, personas contratadas mediante planes de trabajo desde sus casas fueron utilizadas para trasladar el dinero al extranjero.

Enfoque Seguro

VÍA: Indetidad Robada

Un nuevo estudio de la firma de seguridad Trusteer muestra que, una vez que los usuarios han sido atraídos a un sitio de phishing, un 45% de ellos termina introduciendo sus datos de identificación.

Se trata de datos tomados durante un análisis durante tres meses con una muestra de 3 millones de usuarios, clientes de bancos tanto estadounidenses como europeos.

Cada ataque de phishing perjudica a un número muy pequeño de clientes (0,000564%), pero debido a la gran cantidad de ataques de phishing que se producen, el número total de usuarios comprometidos es significativo. En el estudio, un 0,47% de los clientes de bancos son víctimas de este tipo de ataques de phishing cada año, lo que se traduce en unaspérdidas estimadas de entre 2,4 y 9,4 millones de dólares.

Con esta cantidad de dinero en juego, es capital que los usuarios tanto profesionales como de consumo aprendan a reconocer los correos electrónicos de phishing en el momento en el que les llegan a las bandejas de entrada.

En los entornos empresariales, este proceso debería comenzar con la formación. Por ejemplo, las empresas deberían enseñar a la gente a través de la experiencia, con ejercicios de simulación de phishing.

Cada día que pasa los ataques de phishing son más sofisticados, pero es fundamental tener en cuenta que ningún banco o caja de ahorros real nos enviará un mensaje de correo electrónico solicitando nuestros datos personales.

Enfoque Seguro

VÍA: eWeek

Andrés Velázquez, Director de Investigaciones Digitales de MaTTica

El Cómputo Forense es una de las tareas modernas más importantes para investigación de los delitos informáticos, y es que con una tasa creciente de ciberdelincuencia y con un mundo cada vez más computarizado, los hechos relacionados a las computadoras ya no sólo se resumen en robos de identidad, sino a muchos otros y más datescos escenarios, como la pornografía infantil. El primer laboratorio especializado en Cómputo Forense de América Latina es MaTTica, así que Enfoque Seguro no desaprovechó la oportunidad de entrevistar a Andrés Velázquez, Director de Investigaciones Digitales, y en palabras que no sólo entenderán los ingenieros,  podrás leer y enterarte de lo que va el Cómputo Forense y lo importante que es para cualquier usuario de una computadora o cualquier sistema de almacenamiento. Resumir la experiencia de Andrés es difícil pero este ingeniero en cibernética nacido en México además tener más de 30 certificaciones en el área de Seguridad Informática,  se encarga de capacitar a agentes de la Interpol y la ONU en asuntos referente a los delitos informáticos.

Enfoque Seguro – Según su experiencia: ¿Cómo podríamos calificar la importancia del cómputo forense en la informática de hoy?

Andrés Velázquez – El Cómputo Forense pocas veces es considerado como una herramienta tanto dentro de la organización, así como de un pilar por parte del gobierno. A nivel de la organización, es importante tener las herramientas que permitan validar las acciones del usuario dentro de sus equipos, así como el poder probar conductas ilícitas donde la tecnología es usada como medio de comisión o como fin del delito -en el caso del gobierno-.

ES – ¿Bajo qué circunstancias en necesario el Cómputo Forense?
AV – Muchas veces se pensaría que el cómputo forense únicamente trata de esclarecer los temas de hackeo dentro de una organización. Si bien es importante determinar cómo un servidor de cómputo fue atacado para evitar que vuelva a suceder o aprender de los errores; el cómputo forense puede ser utilizado en cualquier situación donde pueda existir algún indicio dentro de un elemento tecnológico y así ser probado. Hemos podido realizar investigaciones que van desde homicidios, fraudes dentro de las organizaciones e incluso en adulterios, donde hemos podido recuperar mensajes de texto borrados de un teléfono celular para comprobar ciertas conductas del propietario.

ES – ¿Cuándo es imposible la recuperación de datos mediante el Cómputo Forense?
AV – Cuando se realiza una sobre-escritura de la información contenida en el medio magnético. Dicho proceso es conocido como “wiping”. Este es el mismo proceso que debe de existir dentro de las organizaciones que se deshacen de sus equipos obsoletos. Muchas personas venden o donan sus equipos viejos pensando que son sólo formatearlos van a eliminar la información que ahí se encuentra, cuando la realidad es que la información permanece ahí. Es por ello que es importante tener una política de destrucción controlada de medios que contemple este tema. Sin embargo, también es importante decir que según muchas de las legislaciones de América Latina, la destrucción de información contenida en un sistema de información es un delito; por lo que si realizamos una sobreescritura en un equipo que no es personal sin autorización, podría resultar en la comisión de un delito.

ES – ¿Cuánto es el tiempo máximo que le ha tocado para la extracción de datos de una unidad bajo investigación? ¿Por qué?
AV – Es una pregunta muy abierta, ya que hemos tenido muchos casos. Sin embargo, recuerdo un caso en particular donde tuvimos que extraer 4 TB (Terabytes) de información de un arreglo de discos (RAID) en hexadecimal. Es decir, extraer en el lenguaje más básico para poder determinar cómo había sido comprometido el servidor.

ES – ¿Cómo es posible identificar, para un usuario promedio, si necesita realizar alguna actividad de cómputo forense?
AV – Normalmente cuando implica alguna situación de la cual se presume que puede existir algún tipo de evidencia dentro de el equipo informático. Un ejemplo de la diversidad de lo que podemos encontrar: En un caso de homicidio, podríamos encontrar un correo o un chat o un mensaje de amenaza de muerte en el computador. De igual manera, podemos encontrar indicios de un fraude dentro de una empresa en algún archivo o comunicación que el usuario tenga.

ES – ¿Cómo beneficia el Cómputo Forense a los usuarios de hoy en día?
AV – Como lo mencioné anteriormente, para poder identificar algún suceso donde esté involucrada la tecnología.

ES – Cuando un usuario decide vender o deshacerse de su equipo, ¿como es posible eliminar la información personal definitivamente?
AV – Si, como lo comenté anteriormente por medio de la sobre-escritura del disco o medio.

ES – En EEUU ha sucedido en varias ocasiones que Discos y Memorias vendidas por ex empleados del gobierno aún contienen material clasificado. Según su experiencia: ¿Es esto común en otras partes del mundo, es decir, sucede frecuentemente?
AV – Sucede más de lo quie imaginamos. Es posible encontrar discos con gran cantidad de información personal, donde el usuario pensó que al formatearlo, dejaba de existir la información.

ES – ¿Cómo los cibercriminales se aprovechan de la recuperación de datos?
AV – Como en cualquier otra ciencia, es usada tanto para bien como para mal. Es claro que la delincuencia se vale de herramientas para poder tanto ocultar como recuperar datos y usarlos en provecho propio.

ES – ¿Tres consejos rápidos para mantener nuestra información segura aún cuando cambiamos de unidades de memorias?
AV -

• Cuando perdemos un equipo portátil (laptop) o un teléfono celular, siempre pensamos en el hecho de que hicimos o no un respaldo, pocas veces pensamos en qué manos ha caido la información.
• Es importante sobre-escribir los medios que ya no vamos a usar y que vamos a darlo a alguien más, ya que ahí podría haber información importante y confidencial.
• El cómputo forense es una herramienta que debe ser apoyada tanto por las organizaciones como por los gobiernos para evitar la impunidad cuando se refiere a delitos informáticos.

Enfoque Seguro

]]> http://www.enfoqueseguro.com/entrevista-la-delincuencia-se-vale-de-herramientas-para-poder-tanto-ocultar-como-recuperar-datos-y-usarlos-en-provecho-propio/2009/12/11/feed/ 0 http://www.enfoqueseguro.com/rafa-cuenta-como-se-inicio-en-mundo-del-hacking/2009/12/10/ http://www.enfoqueseguro.com/rafa-cuenta-como-se-inicio-en-mundo-del-hacking/2009/12/10/#comments Thu, 10 Dec 2009 12:00:07 +0000 JAS http://www.enfoqueseguro.com/?p=1141 Pedro Penzini López, locutor venezolano, entrevistó a Rafael Núñez. Acá cuenta la historia de sus inicios, cuando era conocido sólo como RaFa, y se movía entre las élites del hacking a nivel mundial. Cómo llegó a dónde está y cuál fue su camino. Escucha una breve historia de cómo pasó de ser temido por el sistema de defensa estadounidense, a convertirse en un luchador contra la pornografía infantil en Internet, y a asesorar a otros para evitar fraudes electrónicos.

Escúchala aquí…

Portada del NY Times en Internet

En septiembre de 2009, algunos visitantes desafortunados al sitio electrónico del periódico New York Times pulsaron sobre un anuncio publicitario que trató de instalar programas maliciosos. El anuncio mostró una ventana emergente que informaba a los lectores sobre una supuesta infección por virus de sus computadoras; la única manera de saber si el sistema estaba limpio era comprando un nuevo producto antivirus.

Posteriormente el periódico reconoció la estafa en una aclaración en su sitio de la Web: “Algunos lectores del NYTimes.com han visto un cuadro emergente advirtiéndoles de un virus y dirigiéndolos a un sitio que alega ofrecer software antivirus.… Si usted ve esta advertencia, le sugerimos no pulsarla. En vez, salga de su navegador de la Web y vuelva a entrar”. Los phishers y los estafadores emplean esta y otras tácticas nuevas para engañar a las víctimas.

La mayoría de la gente no revelaría a un sitio extraño su número de seguro social ni el nombre de soltera de su madre. El software moderno de seguridad y los navegadores marcan ese contenido y le preguntan si está seguro que quiere enviarlo; algunos lo bloquean con una etiqueta de advertencia en color rojo y negro. Por lo tanto, los phishers han adoptado una nueva táctica.

Los productos antivirus falsos están entre los instrumentos de phishing más recientes y muchos son bastante convincentes. Con nombres como Antivirus 2009, AntiVirmin 2009 y AntiSpyware 2009, tienen interfaces parecidas a las de aplicaciones antivirus verdaderas. Algunos falsos productos antivirus tienen sus propias palabras claves en los motores de búsqueda y citan evaluaciones ficticias que los recomiendan (vea: find.pcworld.com/63915 para una que yo escribí supuestamente).

El antivirus ficticio que apareció en el sitio del New York Times instaló programas maliciosos que, de ejecutarse, hubieran rebajado el nivel de seguridad en Internet Explorer, ejecutado archivos, y alterando el Registro del sistema. Estas acciones realizadas por programas maliciosos de phishing son bastante comunes. Las aplicaciones verdaderas de seguridad las reconocen también: los vendedores legítimos de herramientas antivirus AVG, Comodo, Kaspersky, McAfee, Microsoft, Nod32 y Sophos (entre otros), detectaron este programa malicioso en particular, a las pocas horas.

Falsificaciones de servicio al cliente

Otra estratagema de phishing es una variación de una vieja estafa: Los pícaros envían una nota de correo electrónico a miles de personas (es decir, envían un correo indeseado), supuestamente desde un banco, que contiene una opción falsa de charla en línea.

En este ataque de “charlar por el medio”, tan pronto la víctima escribe una contraseña y nombre de usuario para entrar en el sitio en línea designado, se abre una ventana de charla y un estafador- que se hace pasar por un representante de servicio al cliente- pide la información bancaria personal para confirmar la identidad del propietario de la cuenta. Al proveer estos detalles, la víctima está dando datos cruciales al ladrón.

Enfoque Seguro

VÍA: Identidad Robada

Además, 90 por ciento de todas las amenazas detectadas por Symantec durante el periodo de estudio intentaron robar información confidencial. Las amenazas con capacidad de registrar las pulsaciones del teclado, lo que puede ser usado para robar información como las credenciales de cuentas de banca electrónica, representaron el 76 por ciento de las amenazas a la información confidencial, un número mayor al 72 por ciento registrado en 2007.

En términos de actividad maliciosa, a nivel regional, Brasil se ubicó en el primer sitio con 34 por ciento del total de actividad maliciosa en América Latina. En 2008, 12 por ciento del spam detectado a nivel mundial se originó en América Latina. En cuanto al spam detectado en la región, Brasil, Argentina, Colombia, Chile y México estuvieron entre los principales países de origen.

Enfoque Seguro

VÍA: Symantec