"Para poder enseñar a todos los hombres a decir la verdad, es preciso que aprendan a oírla."

[Samuel Johnson - Escritor inglés - 1709-1784]

Boletín 54 - ¿Sirven los antivirus? - 22/07/2006

Sigue el DESCUENTO por las entradas al "Congreso Mercosur de Derecho Informático" en el que tendré el privilegio de ser disertante.

http://www.segu-info.com.ar/sorteo/sorteo_060513b.htm

Agradezco que dejen de enviarme el HOAX de "Huelga de Celulares". Esto es FALSO y ya no quiero recibir más ese correo. Gracias.

Señores, pasen y disfruten.

1. Artículo del Día I: ¿Sirven los antivirus?
2. Artículo del Día II: Patrañas: Hackean Yahoo! y Hotmail
3. Análisis de resultados de WGA por Microsoft
4. Colección de documentos de Creative Commons y Copyleft
5. Noticias de esta semana
6. Desafío de la semana

1. Artículo del Día I: ¿Sirven los antivirus?

Esta semana me ha tocado leer diversos artículos que hablan de la eficacia (y de la eficiencia) de los antivirus y también me ha tocado preguntarme si todo es tan feo como parece. En la noticia que sigue se menciona que el 80% del malware actual no es detectado por los antivirus tradicionales y aún cuando el 98% de las compañías utilizan un antivirus, casi la mitad de ellas experimentaron excedentes de infecciones el último año.

http://seguinfo.blogspot.com/2006/07/por-qu-los-antivirus-ms-populares-no.html

Si bien los números en frío dan escalofríos (sic) hay que remarcar ciertos aspectos de los mismos, ya que si bien el especialista (nada menos y nada mas que el Director de AusCERT, Graham Ingram) no ha querido mencionar empresas ha remarcado que:

Esa tasa de detección no necesariamente se debe a productos defectuosos sino más bien a la velocidad de los "cybercriminales" para escribir malware (y yo agregaría a la cantidad de ellos).
Los "badguys" prueban sus "productos" contra los antivirus para asegurar su no-detección.
Existen antivirus menos populares en cuyo caso la tasa de detección es más alta. Aquí mi reflexión sería que quizás algunas empresas de antivirus se han preocupado más por su imagen estética y efectividad publicitaria que por su eficiencia a la hora de realizar su trabajo (en lo que deben realizar): detectar malware.

Si bien el panorama parece desolador y más de uno puede llegar al extremo de recomendar desinstalar su antivirus porque acaba de leer esas estadísticas lo cierto es que en el contexto actual los antivirus nos protegen contra una gran cantidad de amenazas existentes. Estadísticamente quizás el porcentaje de detección sea bajo pero esto no quiere decir que el número de detecciones sea bajo. Otra realidad es que cada usuario nunca podrá ser atacado por las miles de aplicaciones dañinas existentes. Sólo un bajo porcentaje de ellas tiene posibilidad de reproducción masiva y por ende tendrá posibilidades de llegar a él. Si consideramos que existen 100.000 códigos maliciosos y que sólo entre 3.000 y 4.000 se mantienen activos (según http://www.wildlist.org/) entonces llegamos a la conclusión que sólo el 3% del malware puede ser peligroso para el usuario en un momento dado. Volviendo a Ingram, considerando que el 20% de los códigos son detectados estaríamos hablando de un porcentaje mayor de detección que de virus activos, lo cual es absolutamente positivo. Como vemos los números pueden ser "manejados" según la óptica con la cual se mire sin favorecer o perjudicar ningún punto de vista en particular.

Además debemos considerar otro aspecto fundamental: si los antivirus actuales considerarían detectar el 100% del malware lograrían un resultado adverso en la práctica como lo es un producto extremadamente antiperformante e ineficiente por las cualidades que el mismo debería tener para manejar tan alto número de detecciones. De esto último resultan dos conclusiones:

Nuevas formas de detección deben implementarse en los antivirus para lograr mayores resultados con menores tiempos y recursos.
Alan Turin tenía razón al afirmar: que "existen pruebas de que no puedes tener una defensa perfecta... no puedes escribir un programa que, en todas las circunstancias, determine correctamente el comportamiento de otro programa. Puedes conseguir un resultado muy cercano pero no puedes lograr la perfección."

2. Artículo del Día II: Patrañas: Hackean Yahoo! y Hotmail

¡Patrañas!

Es la única forma que puede definirse el título de este artículo. Ninguna de las dos empresas ha sido "hackeadas", ninguno de los "periodistas" que han publicado la noticia conoce lo que es un hacker y las noticias publicadas no hacen más que asustar al público y a los usuarios. Un diario de México, y diarios de Argentina y Perú que se hicieron eco del mismo, no han hecho más que confundir a sus lectores infundiendo un miedo innecesario al precio de desmerecer empresas que brindan servicios gratuitos como lo son Hotmail, Yahoo! y DineroMail.

Ahora Uds. deben estar pensando que mis palabras son infundadas y que por supuesto esta noticia tiene como respaldo que realmente se habían conseguido las claves pagando al "hacker", lo que prueba sin atisbo de duda que realmente los sistemas de las empresas mencionadas habían sido vulnerados.

Aunque no me gustaría colaborar sumando visitas a una "noticia" que nunca debió ser publicada, los enlaces quedan al pie del presente.

Lo que sucedió y aún sucede es Ingeniería Social, de la que ya hemos hablado en boletines anteriores.

El funcionamiento es el siguiente:

Imagen 01: se recibe un correo (SPAM) con el anuncio de que "pueden obtenerse" claves de usuarios de Yahoo! y Hotmail. Cabe aclarar que esta técnica puede usarse en cualquier correo y de cualquier forma por lo que la empresa involucrada es una anécdota. Gracias Martín por esta imagen. Por supuesto puse manos a la obra y repliqué la "complicada" investigación que mencionan las noticias. Para ello no tuve más que crear dos cuentas de correo en Yahoo. Uno de los usuarios sería el espiado y el otro el que solicita el servicio al "hacker".
Imagen 02: envié un e-mail solicitando la contraseña a la dirección que aparece en el SPAM recibio. Actualmente, el sitio del "hacker" donde podían leerse los términos y condiciones ha sido dado de baja.
Imagen 03: al cabo de unos minutos recibo un correo del "hacker" comunicándome que mi pedido había sido registrado y que sólo debía esperar.
Imagen 04: Ahora, consulto la cuenta de la persona a la que estaba espiando y encuentro un mensaje de una persona desconocida invitándome a ver una tarjeta virtual. Recordar que acababa de crear esa cuenta de correo y que por lo tanto nadie me podía enviar tarjeta alguna. Además puede apreciarse que la dirección mostrada no coincide con la real.
Imagen 05: al hacer click en el enlace, Yahoo! misteriosamente nos solicita el usuario y la contraseña para ver la tarjeta. Como podemos apreciar la dirección superior no apunta a Yahoo! sino a la dirección falsa ya vista en la imagen anterior. Aquí es donde está el engaño y esto no es más que una técnica de Ingeniería Social. El usuario intenta ver la tarjeta pero se le solicita sus datos en una página falsa que simula ser de Yahoo!. Al ingresar el usuario y contraseña se están enviando los datos al ladrón (ahora sí podemos decirlo: no es un hacker, es un ladrón con conocimientos mínimos de informática o cualquier tema relacionado). Luego de robados nuestros datos, sí podemos ver nuestra tarjeta.

De esta historia podemos concluir:

Las empresas mencionadas no han sido vulneradas.
Los anuncios de hacking a este tipo de servicios de webmail son falsos y los sitios que utilizan ese título para hacer publicidad son poco confiables.
No existen hackers en la historia sino simples delincuentes engañando a los usuarios.
Cualquier persona inescrupulosa puede realizar este tipo de acciones.
Los medios no contrastan la información y cualquier excusa es buena para vender aún a costa de la reputación de otras organizaciones.
Esta forma de delinquir existe porque existen clientes dispuestos a pagar por la información brindada.
Existen varias formas de robar una contraseña de este tipo pero todas tienen formas de prevención:

a. Variaciones de Ingeniería Social. Son engaños como los descriptos. La forma de prevención es no confiar en correos de desconocidos y verificar los sitios donde se ingresan datos personales.

b. Violación de la pregunta secreta. La forma de prevención es poner preguntas difíciles y respuestas sin sentido.

c. Robo de cookies y datos de caché para aprovecharse de sesiones iniciadas o no cerradas. La forma de prevención es cerrar todas las sesiones iniciadas, eliminar datos de caché, cookies y archivos temporales al finalizar la navegación.

d. Escucha de mensajes en la red a través de sniffing. Un usuario final no debería preocuparse por este tipo de ataques en su hogar.
Ningún sistema es 100% seguro pero actualmente no se conocen vulnerabilidades y ataques que permitan ingresar a los sistemas de los webmail más conocidos como Yahoo!, Hotmail y Gmail.

Las "noticias" mencionadas en este artículo son:
http://www.nuevoexcelsior.com.mx/Excelsior/macros/GenericNewsWithPhoto.jsp?contentid=5058&version=1
http://www.nuevoexcelsior.com.mx/Excelsior/macros/GenericNewsWithPhoto.jsp?contentid=5350&version=1
http://www.clarin.com/diario/2006/06/26/sociedad/s-02901.htm

3. Análisis de resultados de WGA por Microsoft

Microsoft ha publicado información sobre los resultados obtenidos por WGA. Aparentemente, un tercio de las copias vendidas de Windows en todo el mundo serían ilegales (alrededor de 60 millones).

Más información:
http://www.kbm.com.ar/foo/informativa/microsoft-analisis-de-resultados-de-wga/
http://news.com.com/2061-10789_3-6097288.html?part=rss&tag=6097288&subj=news
http://blogs.zdnet.com/Bott/?p=98

4. Colección de documentos de Creative Commons y Copyleft

En el siguiente sitio puede encontrarse abundante información, entrevistas y artículos para conocer un poco mejor el mundo de Creative Commons y CopyLeft, así como a los autores más respetados en este ambiente.

http://metabolik.hacklabs.org/alephandria/

Por otro lado recomiendo la lectura de este pequeño artículo de Borja Prieto que resalta una condición que debería ser inalienable en el ser humano.

http://www.libertaddigital.com/opiniones/opi_desa_32527.html

5. Noticias de esta semana

Estas noticias pueden ser consultadas directamente desde nuestro sitio web.

También pueden ser recibidas por correo una vez al día al suscribirse a nuestro blogger en nuestro sitio en la parte superior derecha donde se lee "Blog en tu Mail (mail diario)"

16 de julio

http://seguinfo.blogspot.com/2006/07/ley-contra-el-spam-de-eeuu.html

17 de julio

18 de julio

19 de julio

20 de julio

21 de julio

Hoy 22 de julio

6. Desafío de la semana

Solución al desafío del Boletin Anterior (53):

La pregunta se hizo un 1 de enero y la persona cumple años el 31 de diciembre. En el momento de la pregunta, tenía 20 años. Este año cumplirá 21 y el próximo 22.

Respondieron correctamente: [email protected], [email protected], [email protected], [email protected], [email protected], [email protected]

Desafío de esta semana:

Esta es una serie. ¿Cuál es el próximo número y por qué?

7 - 2.5 - 2 - 2.25 - 1.2 - 1.16 - 0.85 - ...

Boletín 54 - ¿Sirven los antivirus? - 22/07/2006

1. Artículo del Día I: ¿Sirven los antivirus?
2. Artículo del Día II: Patrañas: Hackean Yahoo! y Hotmail
3. Análisis de resultados de WGA por Microsoft
4. Colección de documentos de Creative Commons y Copyleft
5. Noticias de esta semana
6. Desafío de la semana

1. Artículo del Día I: ¿Sirven los antivirus?

2. Artículo del Día II: Patrañas: Hackean Yahoo! y Hotmail

3. Análisis de resultados de WGA por Microsoft

4. Colección de documentos de Creative Commons y Copyleft

5. Noticias de esta semana

6. Desafío de la semana

Actualidad

Virus-Antivirus

Boletines y Foros

Foro Seguridad Diario

Blog en tu Mail (correo diario)

Seguridad

Sitios

Malware