Saltar al contenido

Consejos útiles contra el malware 2.0 en Windows

Los consejos obsoletos ofrecen una falsa sensación de seguridad de la que se están aprovechando los atacantes. Muchas de las informaciones publicadas sobre seguridad en general y sobre malware en particular no han sabido renovarse, y se perpetúan coletillas y axiomas que (aunque útiles y necesarios) no se han matizado ni completado correctamente con el tiempo. Son consejos de hace años, que no se han adaptado a una industria (la del malware) que avanza mucho más rápido de lo que podamos imaginar. Vamos a ofrecer algunos consejos útiles contra el malware…

de hoy.

Administrador no, gracias

El principal consejo para los usuarios de sistemas operativos en general y los de Windows en particular es no usar la cuenta de administrador. Se debe utilizar la cuenta de un usuario sin privilegios, sin excusas. Esto es lo que puede llevar a una mayor protección no solo contra el malware, sino contra posibles despistes del propio usuario. Un «administrador»

está precisamente para «administrar», y son muy pocas veces las que un usuario utiliza su sistema para realizar modificaciones importantes. La mayor parte del tiempo lee correo o navega, actividad esta última que conlleva un importante riesgo, sea con el navegador que sea. Esta irresponsable actitud de usuario administrador perpetuo está heredada de los tiempos de Windows 9x. No tenía sistema de usuarios local real, ni soportaba NTFS, con lo que no se podían establecer permisos por usuarios. Cuando apareció XP, tras su instalación Microsoft permitía por fin la creación de un usuario distinto al administrador para el uso del sistema. Un gesto que hubiera servido de algo si este mismo usuario no perteneciese por defecto al grupo administradores, y por tanto fuese tan poderoso como él.

A nadie que utilice un sistema operativo que no sea Windows se le ocurre realizar sus actividades cotidianas como «root» o súperusuario. En Windows, lo extraño es precisamente lo contrario, trabajar con cuentas limitadas. Este es el verdadero origen de la mayor parte de los males, y de que el malware pueda campar a sus anchas en un ordenador donde puede escribir, leer, modificar… puesto que es ejecutado con los mismos permisos del usuario que está usando la máquina.

En Windows Vista, Microsoft ha establecido un importante sistema de seguridad para mitigar este problema heredado, rompiendo así una tendencia muy arraigada y limitando el poder del usuario habitual. Se ha relegando por fin el uso del administrador a un segundo plano. Sin embargo esto ha sido visto por muchos usuarios como un estorbo, en vez de como una importantísima mejora en su seguridad.

Aunque se presente aquí como panacea, no lo es. Todavía una parte del malware actual podría seguir actuando. Además, trabajar como usuario raso en XP o 2000 puede llegar a ser incómodo, incluso para usuarios experimentados. Es necesario tener conocimientos sobre permisos, privilegios, NTFS, derechos, herencias, grupos… Por si fuera poco, con ánimo de no complicar al usuario, Windows XP Home Edition escondía deliberadamente la pestaña de seguridad para poder cambiar los permisos, a no ser que se trabajara en modo a prueba de fallos.

Consejos útiles contra el malware 2.0 en Windows

Contenidos Criptored Junio 2008

Breve resumen de las novedades producidas durante el mes de junio de

2008 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS Y SOFTWARE PARA DESCARGA LIBRE DESDE CRIPTORED Y LA CÁTEDRA UPM APPLUS+

* Actualización Artículo Proceso Implementación Infraestructura de Clave Pública (María Paula Espinoza, artículo pdf, 15 páginas, Ecuador) http://www.criptored.upm.es/guiateoria/gt_m538b.htm

* ISO 27001 y las PyMEs (Alejandro Corletti, artículo pdf, 6 páginas,

España)

http://www.criptored.upm.es/guiateoria/gt_m292k.htm

* El nicho de mercado principal de ISO-27001 son las PyMEs (Alejandro Corletti, artículo pdf, 2 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292l.htm

* Metodología de implantación y certificación en las PyMEs (Alejandro Corletti, artículo pdf, 5 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292m.htm

* Problemática, ventajas y desventajas de ISO-27001 en PyMEs (Alejandro Corletti, artículo pdf, 5 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292n.htm

* Análisis forense de dispositivos móviles con Symbian OS (Rodrigo Hernández, Carlos Agualimpia, Coord. Jeimy Cano, artículo pdf, 6 páginas, Colombia) http://www.criptored.upm.es/guiateoria/gt_m142e1.htm

* 316 documentos para su libre descarga http://www.criptored.upm.es/paginas/docencia.htm#gteoria

Contenidos Criptored Junio 2008

CDlibre.org – Boletín nº 155 – 22/06/2008

Estos son los programas actualizados o incluidos en cdlibre.org entre el 16 y el 22 de junio de 2008.

Recuerda que las recopilaciones de junio están disponibles desde el viernes 20 de junio.

Astronomía

EQAlign 2.0.4 – Windows – Castellano – Licencia – F T – 4.4 MB – 21/06/08 – HomepageDescargar

EQAlign es un programa que asiste en la puesta en estación de una montura ecuatorial por el método de J. Scheiner, haciendo los cálculos basándose en las mediciones realizadas por una webcam compatible con el estándar WDM.

CDlibre.org – Boletín nº 155 – 22/06/2008

Mitos y leyendas: Seguridad en ActiveX I (Introducción)

Via: Hispasec

ActiveX es una tecnología propia de Microsoft que con el tiempo ha sido clasificada prácticamente de maldita en cuestión de seguridad. Los numerosos problemas tanto en la tecnología en sí como en los programas que la han usado, han hecho que se gane esta fama a pulso. ¿Cuáles son los riesgos y problemas de seguridad que presenta ActiveX realmente? ¿En realidad es tan peligrosa? Como siempre, no hay respuestas absolutas y todas estas cuestiones son bastante discutibles.

¿Qué es?

De forma resumida, ActiveX es una tecnología de Microsoft. Es una librería (básicamente un ejecutable) con funciones, como otro cualquiera, con la peculiaridad de que implementa una interfaz llamada IDispatch que permite al «objeto» interactuar de una forma concreta (más

abstracta) con el programa que lo aloja (llamado contenedor). Por tanto no son programas «independientes» y suelen crearse con cualquier lenguaje que admita el modelo COM. «Físicamente» tienen forma de librería DLL o OCX. Internet Explorer o Office son programas contenedores que admiten esta tecnología. Un componente ActiveX es pues, código ejecutable (desarrollado por y para Microsoft) encapsulado en un objeto desarrollado mediante esos estándares. De esta forma al tener este código encapsulado, se facilita su portabilidad y reutilización.

Así, es posible usar un objeto ActiveX (llamar a sus funciones) insertándolo en cualquier aplicación que lo soporte, independientemente del lenguaje con el que haya sido creado el control ActiveX. Un ejemplo común es usarlos para interactuar con Internet Explorer y el sistema, llamándolos a través de JavaScript. Un típico ejemplo de llamada a un objeto ActiveX a través de una página es:

<HTML><object id=»nombrecualquiera»

classid=»CLSID:012345567-12345-1234-A1234-F1234567789A»></object>

<script language=»javascript»>

nombrecualquiera.FuncionCualquieraDentroDelActiveX(a, b); </script></HTML>

Mitos y leyendas: Seguridad en ActiveX I (Introducción)

España, los novenos del mundo en número de sistemas zombi

Via HispaSec

Según G Data, España ocupa el noveno puesto mundial en número de sistemas zombi, casi en empate técnico con Estados Unidos y Rusia. Lo que además, quiere decir que somos grandes productores de spam, una de las funciones más importantes de los sistemas secuestrados. Aun así, se siguen ofreciendo los mismos consejos de hace años para paliar la plaga.

El informe está realizado por G Data según la geolocalización de las direcciones IP. El número de zombis utilizados cada día ronda una media de 350.000, con momentos en los que se utilizan hasta 700.000 ordenadores para los distintos fines de estas botnets. De los diez países más infectados, la mayoría pertenece a Europa. Según el informe, es el continente que goza de líneas de conexión más rápidas y mayor número de ordenadores.

Los países con más ordenadores zombi se reparten así:

  • Alemania: 10 %
  • Italia: 10 %
  • Brasil: 8 %
  • Turquía: 8 %
  • China: 6 %
  • Polonia: 6 %
  • Estados Unidos de América: 5 %
  • Rusia: 5 %
  • España: 5 %
  • India: 4 %

España, los novenos del mundo en número de sistemas zombi

Nuevos contenidos Criptored

Breve resumen de las novedades producidas durante el mes de febrero de

2008 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS FREEWARE PARA SU DESCARGA DESDE CRIPTORED

* Principales Puntos de Atención en el Open Web Application Security Project OWASP (Roberto Gómez Cárdenas, presentación PDF, 46 págs.) http://www.criptored.upm.es/guiateoria/gt_m626d.htm

* Correlación de Bitácoras (Roberto Gómez Cárdenas, presentación PDF, 51

págs.)

http://www.criptored.upm.es/guiateoria/gt_m626e.htm

* Ingeniería Inversa vs Antipiraterìa (Roberto Gómez Cárdenas, presentación PDF, 64 págs.) http://www.criptored.upm.es/guiateoria/gt_m626f.htm

Nuevos contenidos Criptored

Elevación de privilegios en el kernel vs. ejecución de código en Adobe Reader

Reacción de los Antivirus

Durante el fin de semana se ha dado a conocer una nueva vulnerabilidad en el kernel de Linux que permite a los usuarios conseguir privilegios de root. El problema es que también se ha hecho público, al mismo tiempo, un exploit que permite aprovechar la vulnerabilidad de forma sencilla. Lo mismo ha ocurrido con un fallo en Adobe Reader, pues durante el fin de semana se ha detectado que una vulnerabilidad estaba siendo aprovechada de forma masiva. Como simple experimento curioso, hemos comparado la reacción de los AV ante estas dos nuevas amenazas.

 

¿Cómo han reaccionado las casas antivirus ante este par de vulnerabilidades? Pertenecen a mundos distintos, una permite elevación de privilegios en el kernel (a través de una llamada a vmsplice) y otra ejecución de código en Windows con los privilegios del usuario que ejecute Adobe Reader. Una la sufren los kernel de Linux y otra los usuarios de Adobe en Windows, y los antivirus han reflejado esta disparidad en su capacidad y velocidad de reacción.

 Elevación de privilegios en el kernel vs. ejecución de código en Adobe Reader

Archivos PDF aprovechan un fallo en Adobe Reader para infectar sistemas

Una vulnerabilidad en Adobe Reader (compartida en realidad con Microsoft Windows) está siendo aprovechada para ejecutar código con sólo abrir un archivo en PDF. Si bien se conoce esta vulnerabilidad desde hace algunas semanas, no ha sido hasta el día 22 de octubre que se han observado correos intentando explotar el fallo descargando e instalando malware alojado en (sorpresa, sorpresa) la Russian Bussines Network.

En junio se popularizó el spam a través de archivos PDF. Incrustaban una imagen apenas legible en archivos en este formato (en el que confían los

usuarios) y los spammers se saltaron así todos los filtros hasta que éstos consiguieron adaptarse y contener la avalancha. Entonces avisábamos de que, al menos, este spam no intentaba aprovechar ninguna vulnerabilidad en el lector más popular Adobe Reader y que si el correo era abierto sólo se perdería el tiempo. Hasta ahora… pues se ha descubierto que se están enviando archivos PDF que si son abiertos en un Windows, aprovechan una vulnerabilidad en Adobe Reader y son capaces de descargar y ejecutar código.

Archivos PDF aprovechan un fallo en Adobe Reader para infectar sistemas

Apple abrirá el desarrollo de aplicaciones para el iPhone

El presidente de Apple, Steve Jobs, ha anunciado que a partir de febrero pondrán a disposición de terceros un kit de desarrollo de aplicaciones para el iPhone y el iPod Touch, que hasta ahora no aceptan programas desarrollados por otras compañías.

"Queremos aplicaciones nativas de terceros en el iPhone, y esperamos tener un kit para ello en febrero", ha asegurado Jobs en la página web oficial de Apple. Un anuncio que supone un cambio en la política de la compañía de la manzana, que hasta ahora se reservaba la exclusividad para crearlas.

Según Jobs, se trabaja para que dicho sistema de desarrollo sea una plataforma potente y al mismo tiempo proteja a los usuarios de su teléfono móvil de virus, malware y posibles ataques maliciosos. Algo que Jobs asegura que "no es tarea fácil", aunque sea imprescindible desde su punto de vista.

"A medida que los móviles se vuelven más potentes, los programas maliciosos son más peligrosos (…), y el iPhone es un objetivo muy visible", añade. Jobs pide también "paciencia" a los desarrolladores para poder acceder al sistema de desarrollo de Apple, y asegura que las novedades "compensarán" la espera.

Apple abrirá el desarrollo de aplicaciones para el iPhone

Nuevos contenidos en CriptoRed (septiembre de 2007)

Breve resumen de las novedades producidas durante el mes de septiembre de 2007 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

 

1. DOCUMENTOS NUEVOS PARA DESCARGA EN CRIPTORED (por orden alfabético)

 

* Actualización Archivo Solución Exámenes Asignatura Seguridad Informática EUI-UPM (España) http://www.criptored.upm.es/paginas/docencia.htm#examenes

 

2. DOCUMENTOS NUEVOS PARA DESCARGA DESDE OTROS SERVIDORES

 

* Informe RESCATA de Alerta Virus de julio 2007 (INTECO – España) http://alerta-antivirus.red.es/documentos/rescata/Informe_mensual_200707.pdf

 

* Informe RESCATA de Alerta Virus de agosto 2007 (INTECO – España) http://alerta-antivirus.red.es/documentos/rescata/Informe_mensual_200708.pdf

 Nuevos contenidos en CriptoRed (septiembre de 2007)