"Es ignorancia no saber distinguir entre lo que necesita demostración y lo que no la necesita"

[ Aristóteles - Filósofo griego - 384 a.C-348-7 a.C ]


Boletín 85 - Los errores más comunes en el uso del correo (II) - 14/04/2007

Leído por ahí (en el Blog de Enrique Dans):

Leído por ahí (en Kaspersky):

"Kaspersky Labs descubrió el primer virus diseñado para infectar al iPod"

Que NO, no es un virus para el iPod. Podemos dormir tranquilos (un tiempito más).


1. Artículo del Día: Cómo funciona el Spam de Viagra
2. PARTICIPA del Proyecto Políticas de Seguridad en Segu-Info
3. Infección con Malware utilizando archivos ANI
4. Noticias de esta semana
5. Desafío de la semana



1. Artículo del Día: Cómo funciona el Spam de Viagra


Generalmente cuando se habla de Spam, solemos cometer el error de pensar que sabemos todo sobre este tipo de amenaza o bien de tomarlo como un mal necesario al utilizar servicios webs o, peor aún, de considerarlo positivo, como lo demuestra el siguiente correo que he recibido en nuestro formulario de contacto:

Nombre: xxxx
Correo: [email protected]
Comentarios: yo me pregunto vos cuándo miras la tele? pedis que te pasen la publicidad que a vos te interesa o cuando compras el diario y ves publicidad que no es de tu interes que haces?? le pones un antispam????? me parece ridiculo lo que publican sobre el spam.

Agradezco a esta persona por contactarse y tomarse la molestia de contarme los "beneficios" del Spam, pero tengo en claro de que lado de la vereda juego.

Como mencionaba, es común pensar que conocemos el todo sobre el Spam y por supuesto cuando hablamos de él hay una palabra que no puede dejar de pensarse: Viagra.

No hay escapatoria al spam en estos días. Incluso con los mejores filtros Bayesianos las listas negras y otras técnicas de filtrado, la mayoría de nosotros todavía somos atormentados con un torrente interminable de invitaciones para toda clase de productos y servicios raros y maravillosos.

Una de las formas más comunes es la que anuncian productos farmacológicos (y quizás la más conocida es para la variedad "Salud masculina") el famoso citrato de Sildenafil, más comúnmente conocido como Viagra.
¿Pero cómo es que los spammers hacen dinero con esto?

El objetivo del presente artículo es aclarar el circuito económico atrás de cada correo electrónico y su relación con los fármacos.

El mismo fue publicado originalmente por un Blog inglés y fue traducido para Segu-Info por uno de nuestros colaboradores: Lucio Marcel Cruz Bustinza

Artículo original en inglés
Artículo "Cómo funciona el Spam" traducido por Marcel


Gracias Marcel!



2. PARTICIPA del Proyecto Políticas de Seguridad en Segu-Info


Desde hace un tiempo se ha hecho evidente la necesidad de la Seguridad de la Información en todos los ambientes en los que nos toca desenvolvernos. Sobre todo pone en evidencia la falta de Concientización y de adecuadas Políticas que confirmen un adecuado crecimiento de la organización hacia esa Seguridad deseada.

Como es conocido, en Segu-Info funciona un Foro de Seguridad de la Información en el cual cualquier persona puede participar para aportar sus conocimientos o realizar preguntas de la temática.

Pensando en las Políticas de Seguridad mencionadas anteriormente, en este Foro ha surgido la idea de escribir y publicar una Política de Seguridad de la Información que sirva como base a los que vendrán (que serán muchos).

Por eso, nos es grato informarle que se encuentra nuevamente abierta la posibilidad de colaborar en el Proyecto: "Políticas de Seguridad Informática basadas en ISO".

La filosofía y metodología de trabajo que se seguirá para el desarrollo de la Política será la siguiente:

  1. Todos quienes quieran participar deberán enviarme un correo a (segu.info @ gmail.com).
  2. No solicitar la inscripción en el Foro. Las personas que soliciten el alta en el Foro, no serán tenidas en cuenta así como tampoco será respondida en el Foro cualquier pregunta sobre este proyecto.
  3. Para participar, deberán tener una cuenta de correo de gmail.
  4. Desarrollo de actividades:
    d.1. Se anotarán colaboradores desde hoy hasta el viernes 20 de abril del corriente.
    d.2. Una vez recepcionados todos los correos, se armarán grupos de trabajo, los cuáles, trabajarán sobre diferentes Controles de la norma ISO 27000.
    d.3. Un colaborador podrá participar en más de un grupo, si así lo desease.
    d.4. Se notificará a cada interesado cómo han quedado los respectivos grupos y sus integrantes.
    d.5. Los grupos se notificarán y trabajarán en el control asignado entre sus integrantes mediante su correspondiente correo.
    d.6. A partir del Lunes 23/04/2007, cada grupo tendrá 30 días, para presentar sus trabajos. Esto trabajos serán revisados por los responsables del proyecto, en caso de revisión, serán devueltos a los grupos, con la indicación de los puntos observados.
    d.7. Los trabajos deberán ser presentados en una plantilla de documento, la misma será elaboradora por los responsables del proyecto.
    Esta plantilla la recibirán los grupos a partir del Lunes 23/04/2007.
  5. Cualquier inconveniente, que pudieran tener los grupos, serán asesorados por los responsables del proyecto, los cuáles guiarán el desarrollo del mismo.
  6. No se busca la traducción de la Norma ISO, sino la redacción de una Política basada en esa norma por lo que cualquier experiencia en la misma es útil.

Recordar: No enviar correos al foro, cualquier consulta, duda o sugerencia, por favor enviarlas al correo del primer punto y las mismas serán respondidas a la brevedad posible. Las personas que soliciten el alta en el Foro, no serán tenidas en cuenta.

Este ejercicio también tiene como objetivo la integración de la comunidad de Segu-Info para que la misma pueda retro-alimentarse de los conocimientos, en los distintos ámbitos, de sus miembros.

Por este medio quiero agradecer especialmente a Alejandro y Gustavo por la fuerza demostrada en el inicio de este proyecto. Además quiero extender este agradecimiento a las personas ya inscriptas.

Nos espera un gran trabajo. PARTICIPA.



3. Infección con Malware utilizando archivos ANI


Para las personas que estamos acostumbradas a lidiar día a día con el Malware (virus informáticos para simplificar), es demasiado común ver el tipo de amenaza comentada en este artículo pero para aquellos que se mantienen ajenos a esta realidad puede parecer complejo y lejana la forma de funcionamiento.

En el Boletín 84 mencionaba la criticidad de la vulnerabilidad en el manejo de cursores animados con la extensión ANI. También mencionaba que la misma vulnerabilidad podía ser utilizada si se renombraba el archivo a cualquier extensión conocida de imagen (GIF, JPG, etc.)

Para completar el cuadro, también decíamos que la vulnerabilidad podría ser aprovechada con SOLO leer un correo o ver una página web.

Para el usuario final, generalmente ajeno a estos problemas y términos técnicos, es preferible no recibir este volúmen de información, difícil de procesar y, a veces, de entender.

El objetivo de este artículo es demostrar lo sencillo que puede ser infectar nuestro sistema con el sólo hecho de ver una página web, de un juego en este caso. No mostraremos internamente como funciona el Malware pero sí completaremos el proceso de infección.

A modo de ejemplo de lo que realizaremos puede visitarse la demostración y los detalles de Hispasec con la diferencia que nuestra presentación será con una infección real y activa al momento de escribir el presente.

Lo primero (y último) que hacemos será infectarnos es ingresar al sitio de nuestro juego favorito. Sí, aquí termina la infección si Ud. no ha actualizado su sistema como recomienda Microsoft.

En este caso no es necesario realizar ninguna acción (ni click) para descargar los ejecutables dañinos ya que la vulnerabilidad permite la ejecución automática de código en el sistema del usuario (sin que este se entere).

Para comenzar procedemos a ver el código fuente de la página descargada. En el podemos ver el siguiente código "sospechoso" para alguien que sabe lo que busca, de otro modo pasa inadvertido.

Como se puede ver, se descarga una página web para mostrar en un cuadro (iframe) de 0px de ancho y 0px de alto (invisible al usuario).
A partir de este momento y ya confirmado que algo "sospechoso" sucede procedemos a descargar la página web que se indica utilizando el software cURL para ese fin, evitando así utilizar el navegador web.

Procedemos de este modo para poder verificar que se descarga y evitar el disparo automático de la cadena de infección. Cada archivo, a partir de este momento, se descarga individualmente y se verifica su funcionamiento.

La página descargada es llamada "a.txt" si bien sabemos que es una página HTML. A continuación verificamos el código fuente del archivo descargado.

En su primera parte, nos encontramos con un galimatías que no es más que un código fuente ofuscado para evitar su seguimiento. Si llevamos este código a terreno conocido, vemos la primera forma de infección descargando un ejecutable pero, en este caso, no se hace uso de archivos ANI.

Si procedemos a descargar el archivo ejecutable podremos verificar que efectivamente se trata de un troyano.

A continuación, volvemos a nuestra código anterior y confirmamos que existe otro código que puede descargarse (goldani.htm).

Repetimos el procedimiento de descarga y nos encontramos con más código HTML en donde se puede apreciar la descarga de dos imágenes GIF. Evidentemente nos estamos acercando al objetivo.

Se descargan los archivos GIF y nos encontramos que los archivos en realidad son cursores animados (indicados por su cabecera RIFF) especialmente manipulados para lograr archivos ejecutables en el sistema del usuario.

Se descarga el .exe encontrado de 10.137 bytes y efectivamente comprobamos que se trata de un archivo ejecutable (marca MZ) y que el mismo ha sido empaquetado con el popular FSG, comúnmente utilizado para empaquetar software dañino que es enviado por correo o descargado de sitios web.

Como podemos ver, el ingreso a un sitio web suele no ser tan inocente como parece. En este ejercicio se puede ver que sólo ingresando a un sitio se pueden desencadenar una serie de procesos que generalmente desconocemos pero que atentan contra nuestro sistema (y nosotros).



4. Noticias de la Semana


Estas noticias pueden ser consultadas directamente desde nuestro sitio web.

Además puede realizar comentarios a cada noticia.

También pueden ser recibidas por correo una vez al día al suscribirse a nuestro blogger en nuestro sitio en la parte superior derecha donde se lee "Blog en tu Mail (mail diario)"

13 de Abril

12 de Abril

11 de Abril

10 de Abril

09 de Abril

5. Desafío de la semana

Solución al desafío del boletín anterior (84):

En un primer viaje, cruza con la cabra dejando al zorro y al repollo (el zorro no come repollo por recomendación de su nutricionista).
Deja a la cabra en la otra orilla y regresa solo. Toma el repollo y lo cruza (el zorro se queda solito y triste). Deja el repollo en la otra orilla y regresa con la cabra para que no se lo coma. Deja a la cabra sola y cruza con el zorro. Deja al zorro con el repollo, regresa solo, sube a la cabra y cruza en su último viaje triunfal.

Aclaración: no estaba permitido agredir físicamente a ninguno de los participantes.

Respondieron correctamente:
[email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected]

Desafío de esta semana:

El desafío de esta semana aplica para ganar entradas GRATIS al Segundo Seminario de Segu-Info el próximos jueves 19 de abril.

G D N C   S D A M   R E O O
E S I A   I L R N   U D F I

Actualidad

Virus-Antivirus