——————————————————————-
Hispasec – una-al-día 16/10/2011
Todos los días una noticia de seguridad
www.hispasec.com
Síguenos en Twitter: http://twitter.com/unaaldia
——————————————————————-
Primer troyano para MAC que detecta la virtualización
—————————————————–
Desde el blog de F-Secure alertan de la aparición del primer troyano para Mac que detecta si está siendo ejecutado en una máquina virtual, para así alterar su comportamiento y evitar ser analizado. El hecho de que el malware compruebe si se está ejecutando en un entorno de virtualización no es nada nuevo. Es una
técnica que viene siendo utilizada desde hace años por gran cantidad de malware. Esto tiene un claro objetivo: los que analizamos malware solemos ejecutarlo en un entorno virtual, que permite aislar los efectos y poder volver rápidamente a un entorno “limpio” restaurando a un estado anterior. Existen infinitas técnicas para comprobar si se está en una máquina virtual, y se ha convertido casi en un arte: buscar procesos característicos, ficheros, drivers que suelen venir en los virtualizadores más populares… Los troyanos realizan una comprobación nada más
ser ejecutados y, si los detectan, no continúan. Los analistas debemos entonces o bien pasar a un entorno físico, intentar conocer qué buscan e intentar engañarlos, o bien utilizar software de virtualización menos popular (evitar VirtualBox o VMWare). También el malware utiliza la detección de máquinas virtuales para eludir los análisis automáticos que suelen realizar sandboxes públicas que se encuentran automatizadas. Si bien es un método antiguo, sí es cierto que es la primera vez que se observa este tipo de comportamiento en malware destinado al sistema operativo de Apple. Como viene siendo habitual, los avances técnicos de los creadores de malware suelen estar enfocados hacia evitar a los analistas “manuales”. De entre sus “enemigos”, son los más “peligrosos”
para ellos. Desde luego, el usuario final no le supone tanto problema por ahora. Con la ingeniería social le basta y no le hacen falta artificios técnicos. En el caso de Mac, su enemigo más fuerte tampoco son los antivirus ni necesita esforzarse demasiado por
eludirlos. La muestra analizada por F-Secure en concreto, se hacía pasar por una actualización de Adobe Flash Player, y en caso de detectar que está siendo ejecutando sobre una máquina virtual, detiene por completo su ejecución. Por el momento, la única máquina virtual que sobre la que se comprueba si está corriendo es VMWare. Existen numerosos métodos para comprobar si se está en un entorno virtual. Se puede encontrar información en la propia página de VMWare, con sus pros y sus contras:
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1009458
En este caso en concreto no se utiliza ninguna de las técnicas descritas en la web de VMWare, muy posiblemente porque no funcionan en el 100% de los casos. Este troyano en cuestión recurre a un método descubierto por el investigador Ken Kato, que consiste en
interactuar con un puerto de Entrada/Salida (puerto ‘VX’) que no debería existir en un entorno no virtualizado, puesto que es utilizado por la máquina huésped para comunicarse con la máquina virtual.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4740/comentar

Más información:
Mac Trojan Flashback.B Checks for VM http://www.f-secure.com/weblog/archives/00002251.html
Sergio de los Santos ssantos@hispasec.com

¡¡Maligno saludos!!

Lo váis a encontrar en el enlace, y básicamente analiza la configuración de seguridad de la máquina objeto de estudio y emite un informe sobre su estado.  Copio textualmente “CONAN es una herramienta de análisis de la configuración del sistema que devuelve un informe inmediato del nivel de seguridad del PC. Es de gran utilidad para elevar la seguridad del equipo de una manera rápida y sencilla. Se recomienda su uso como complemento al antivirus.”

Puede ser interesante que le echemos/echéis un ojico para ver como funciona…

Maligno saludo!

Privacidad: Ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión.

Seguridad: Cualidad de seguro.

Si profundizamos algo más en las implicaciones de esas palabras, nos encontramos con algunas cuestiones que no conviene perder de vista:

Constitución Española, art. 18:

“1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.

2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en el sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito.

3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.

4. La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.”

Eso sin perder de vista, las implicaciones de la LODP…

¿A qué viene estos párrafos anteriores?  Bueno, es una cuestión “filosófica”, ¿qué prima la privacidad o la seguridad?  En la Constitución, la cuestión queda claramente definida en el artículo 18, eso en España.  Ahora, con motivo de las algaradas en Londres, estamos encontrando como se retuercen estos conceptos, también regulados a nivel europeo.  De hecho, se están usando recursos de Web 2.0 para identificar “folloneros”.  Y es aquí donde aparece el problema, fotos de facebook, de flickr, perfiles de twitter…, incluso por parte de particulares.

A mi me suscita mucha preocupación esta cuestión, de momento en España, esta amparada la privacidad por la ley, pero, ¿cuánto durará? ¿se aplica correctamente?….

Bueno, espero vuestros comentarios….

 Antivirus para Android

A Google le están lloviendo palos porque su política para subir aplicaciones al Market de Android no es lo suficientemente estricta y en varias ocasiones les han colado aplicaciones con malware. De ahí que ya exista software antivirus para esta plataforma, como este que reseña INTECO:

http://cert.inteco.es/software/Proteccion/utiles_gratuitos/Utiles_gratuitos_listado/Antivirus_Free_CERT

Antivirus sin firmas

Se llama ThreatFire y es logicamente más ligero que los tradicionales a los que puede complementar. He hecho una instalación de prueba y me falta verificar los términos de la licencia pero puede ser puntualmente útil para equipos con comportamiento sospechoso.

http://www.threatfire.com/es/

En cualquier caso ¡Ojo! puede quejarse de software legítimo; a mí me ha pasado con VNC (claro que lo mismo me ocurrió con Windows Defender).

Dos nuevos antimalware de Microsoft

Microsoft Safety Scanner es un escáner antivirus en línea que puede ser una alternativa adicional a los de Panda o Eset.

Microsoft Standalone System Sweeper está en beta, pero es funcional y permite crear un CD o pendrive arrancable desde el que lanzar el escáner. La ventaja del pen es que si ya está creado se puede actualizar con el consiguiente ahorro de tiempo.

Por otro lado, tener cuidado con las cuentas de correo electrónico de Hotmail, están empezando a llegar mensajes de cuentas de correo de nuestros amigos en Hotmail, no abráis, comentárselo a vuestra/os corresponsales y decirles que cambien de password de correo con frecuencia.

Por otro lado, vigilar las actualizaciones de Microsoft Windows 7, puede ocasionar problemas.  Menos mal, que los chicos de Redmond han previsto en los arranques a prueba de fallo la posibilidad (o mecanismo) de hacer rollback (anulación) de la actualización…

¡¡Malignos saludos!!

Hala, a disfrutarlos…

¡¡Malignos saludos!!

En resumen, viene a ser algo así como lo que pego a continuación:

La técnica descubierta en Android es similar a este “DLL Hijacking” y
tampoco es un problema específico del sistema operativo, sino de si la
aplicación gestiona incorrectamente la procedencia de sus dependencias.
Así, para aprovecharla, sería necesario encontrar una aplicación
vulnerable instalada en el teléfono y hacer que cargue librerías o
plugins del atacante en vez de los suyos legítimos. Para ello, primero
estas librerías deben estar localizadas en un punto donde todos puedan
escribir para que sean reemplazadas. Por ejemplo, la tarjeta SD del
teléfono.

Android ofrece dos clases, DexClassLoader y PathClassLoader para cargar
código dinámicamente. La primera API optimiza un código y devuelve el
resultado en la variable dexOutputDir, que muchos desarrolladores e
incluso documentación de Android, definen como la tarjeta SD. En ella
puede escribir cualquiera. Así que un atacante simplemente tendría que
reemplazar ese código, y la aplicación lo cargaría creyendo que es el
suyo. El atacante heredaría sus permisos.

PathClassLoader tiene un problema parecido con su parámetro libPath.
Android irá a buscar librerías de sistema donde diga este valor, y
muchos programadores lo establecen a la ruta de la tarjeta SD. Sin
embargo esto no funcionará en ningún caso, puesto que se monta por
defecto con permisos de no ejecución. Lo curioso es que se han
encontrado varias aplicaciones en el Marketplace que lo intentan.

Lo ideal entonces, es que el desarrollador se preocupe de que todos los
archivos son emplazados y cargados desde lugares seguros, (nunca la
tarjeta SD). Desde Symantec han contactado con Google para que al menos,
en la documentación oficial, se mencione este potencial problema.

¿Y qué es eso del DLL HIJACKING?  Viene a ser una “malformación” o “falta de escritura”  de la llamada a una librería.  Una descripción bastante buena esta en este enlace.

Huy, que mal rolloooooo!!!  ¿Y por qué?  Bueno, en principio, no informan de que desde la tienda de aplicaciones de Android, controlen estos programas mal formados, y además, no tiene una solución inmediata, podría pensar en una sand-box, pero hay que probar una a una cada aplicación y eso lleva tiempo.  Habrá que esperar la evolución de esta situación para ver porque solución se opta para solventar esta situación.

¡¡Malignos saludos!!

El 22 de junio Microsoft junto a otras empresas celebramos EL DÍA DE LA OFICINA EN CASA en donde nos beneficiamos los colaboradores, la empresa y el medio ambiente. Tú también lo puedes aplicar, te damos 10 consejos para tener presente a la hora de trabajar desde tu hogar con seguridad.

1. Actualiza tu Software Original con Windows 7.
2. Descarga un antivirus gratuito como Security Essentials y así estar protegido frente a las amenazas.
3. Descarga la última versión de Internet Explorer – IE9 y tener una navegación más confiable.
4. Activa el Firewall de tu ordenador.
5. Descarga el software anti spyware, Windows Defender.
6. Asegúrate que el Wi-Fi de tu hogar cuenta con una clave de alta seguridad.
7. Revisa que tu equipo tenga activo las actualizaciones de Microsoft Update.
8. Haz una copia de seguridad de tus datos.
9. Utiliza los beneficios de SkyDrive en Windows Live para compartir los archivos ya que cuenta con una capacidad de 25gb (equivalente a 5 DVDS de 4,7).
10. Descarga la última versión de MSN Messenger para comunicarte en línea.

Algunas medidas son sumamente interesantes, otras es posible que algunos usuarios no puedan realizarlas y alguna publicidad Skydrive; pero son muy recomendables en principio.  Además, añadiría que hay que actualizar el essentials, hay que escanear discos duros y unidades diversas…

¡¡Malignos saludos!!

Se titula “Lulzsec: la botella medio llena” y muestra como los fabricantes cambian sus comportamientos a base de “empentones”/sustos. Cito un párrafo tal cual está y da auténtico miedo:

“El mayor argumento en contra de LulzSec sugiere que vamos a traer a Internet más leyes si continuamos con nuestras travesuras, y que nuestras acciones hacen que payasos con plumas escriban reglas para ti. Pero ¿y si no hubiésemos publicado nada? ¿Y si nos mantuviésemos en silencio? Eso significaría que estaríamos secretamente dentro de empresas afiliadas al FBI ahora mismo, dentro de PBS, de Sony… vigilando y abusando.”

“De esto es de lo que tendrías que tener miedo, no de nosotros publicando cosas, sino del hecho de que alguien lo haga público.”

Espero que esto os de que pensar…

¡Malignos saludos!

1. IBM ha firmado un contrato publicitario con Facebook, para impulsar el nuevo portátil de la marca.
2. Para usuarios de Facebook con más de cien amigos.
3. Por supuesto, se da correo, nombre, se pone en el muro una invitación…
4. ¿Les llego algo?  NADA, era un intento de phising.

La forma en que lo escriben es divertidisima… pero el fondo es muy claro.  No dar información sobre ti…

Así que cuidado con las ofertas…

¡¡Malignos saludos!!