Un mapa en tiempo real de ciberataques globales

noviembre 27, 2012

Los ciberataques están ocurriendo constantemente en todo el mundo, y ahora se puede ver lo que se ve en tiempo real con este mapa por el Proyecto Honeynet que muestra tantos ataques, se ve y se siente como si fuera sacado de una película de guerra apocalíptica.

Cada punto rojo que aparece cuando usted va al mapa representa un ataque a un ordenador. Los puntos amarillos representan honeypots, o sistemas establecidos para registrar ataques. El cuadro negro en la parte inferior dice que cada atacke viene de según van llegando Los datos provienen de los miembros de la red Honeynet Project de sensores honeypot que decidan publicar los ataques. No todos los miembros del proyecto, que cuenta con más de 40 sniffers en todo el mundo, optó por enviar datos, por lo que los puntos rojos no aparecer mucho en Europa.

Dicho esto, si todos los ataques se presentaron en tiempo real, habría un montón más puntos rojos apareciendo en más lugares. A pesar de que sólo ofrece el sabor, el mapa da una sensación increíble de la cantidad de malware está atacando las redes informáticas.

Para ver el mapa en tienpo real : Mapa Tienpo Real

Anuncios

Software SCADA ( mas abujeros que un queso )…

noviembre 27, 2012

Investigadores de ReVuln, una empresa de seguridad italiana, dio a conocer un video mostrando una serie de vulnerabilidades de día cero en aplicaciones SCADA de fabricantes como Siemens , GE y Schneider Electric.

Otros investigadores  han seguido su ejemplo y encontraron más de 20 fallas en paquetes SCADA de algunos de los mismos proveedores y fabricantes de otros, todo después de trabajar un par de horas.

SCADA software es bastante importante. Se utiliza para ejecutar los sistemas de servicios públicos, fábricas y otros puntos críticos.

También ha sido un objetivo clave para los investigadores de seguridad, así como hackers.

Ha habido pocos ataques documentados contra software SCADA instalaciones de la empresa, pero los que han ocurrido han creado un verdadero desastre.

El más conocido ejemplo fue el gusano Stuxnet, dirigido software Siemens instalado en la planta de enriquecimiento de Natanz en Irán.

El sistema operativo se ha estancado en la década de 1990. SDL no existe en el Sistema de Control del Sector (ICS) de software. Hay un montón de ActiveX y los errores de formato de archivo y ni siquiera se molestó en mirar a los problemas con los servicios.

El estado de seguridad ICS es una especie de risa.

El experto Aaron Portnoy, que tenía un poco de tiempo en sus manos esperando su pavo de Acción de Gracias para cocinar, ” pasé un par de horas buscando errores en aplicaciones SCADA.”

Dijo que encontró más de 20, muchos de los cuales son de ejecución remota de código vulnerabilidades.

Portnoy dijo que lo más interesante de estos bugs “eran tan triviales” . Las (0) “zero” days explotables  tomó apenas siete minutos para descubrir , desde el momento en que el software se ha instalado.

Dijo que la parte más difícil de encontrar vulnerabilidades SCADA parece ser la localización del software. Al parecer encontrar el software en un sistema era más difícil que encontrar los propios errores.

Portnoy no tenía experiencia en aplicaciones SCADA y basó su búsqueda en el video publicado por ReVuln.

El video aki :


W32.Narilam, un gusano que compromete las bases de datos

noviembre 26, 2012

La compañía  Symantec (Norton) ha detectado la presencia de un nuevo gusano informático que está afectando a las bases de datos SQL de compañías que se encuentran principalmente en Irán. El gusano, que ya ha sido identificado con el nombre de W32.Narilam, es capaz de modificar las bases de datos y añadir o eliminar contenidos a la misma, lo que podría provocar que inyectase código malicioso o en la misma para que posteriormente sea ejecutado.

Symantec ha añadido que se trata de una variante de un virus que no es nuevo para nosotros ya que, parece estar desarrollado en base al código que posee el virus Stuxnet.

De momento no se ha podido concretar un número exacto de bases de datos afectados y la vía de que utiliza para extenderse a otros equipos.

Sin embargo, en lo referido a la vía que utiliza para infectar otros sistemas desde la empresa de seguridad creen que utiliza las unidades USB que se conectan a los equipos o que incluso podría ser mucho más sencillo que eso y extenderse utilizando las redes corporativas que interconectan las sedes de las compañías.

Irán es donde más empresas hay afectadas

Hasta este momento, el virus ha afectado en un  mayor números a las empresas de este páis, aunque durante los dos últimos días, desde Symantec han observado que han aparecido bastantes casos en bases de datos de empresas de Estados Unidos y Gran Bretaña. Sin embargo, no descartan la posibilidad de que se traten de empresas que tengan sedes en Irán y el virus se extienda utilizando la red utilizada para interconectar sedes, tal y como explicábamos con anterioridad.

El propósito de la amenaza

En un principio, se cree que W32.Narilam está destinado a llevar sabotajes en las bases de datos de las empresas. Un sabotaje basado en la copia de los datos contenidos en la base de datos y su posterior borrado, algo que puede provocar graves daños en la empresa.

Aunque la amenaza de momento para usuarios domésticos ha sido catalogada como baja, en el caso de las empresas el nivel de riesgo asciende a nivel medio-alto.


Underground ruso es sólo parte de una red criminal mundial

noviembre 22, 2012

Trend Micro publica un interesante informe en el mercado negro ruso, el documento escrito por Max Goncharov analizó los servicios y los productos comercializados por los delincuentes cibernéticos.

El estudio se basa en datos obtenidos a partir del análisis de los foros en línea y servicios asistidos por hackers rusos como antichat.ru, xeka.ru y cardado cc.com.

Trend Micro ha demostrado que es posible adquirir todo tipo de herramientas y servicios para realizar actividades criminales cibernéticos y fraudes. Las 10 mejores actividades incluyen el diseño de software, el spam y los servicios de las inundaciones, la piratería, las ventas de servidores y hospedaje, los ataques de denegación de servicio, pago por servicios de instalación para las descargas y el tráfico, cifrado de archivos, software malintencionado y explotar la escritura.

  1. Servicios de programación de software y ventas
  2. Servicios de Hacking
  3. Dedicado ventas de servidores y servicios de hosting a prueba de balas-
  4. Spam y servicios inundaciones, incluyendo llamadas y SMS inundaciones
  5. Descargar las ventas
  6. DDoS servicios
  7. Las ventas de Tráfico
  8. Los servicios de archivos de cifrado
  9. Las ventas de Troya
  10. Explotar servicios de redacción y ventas

Servicios de programación de software y las ventas fue el servicio más común en el mercado ilegal, donde es posible comprar agentes personalizados de malware y todo tipo de aplicaciones para llevar a cabo un ataque cibernético, tales como spammers, fuerza bruta herramientas y robots DDoS y explotar juegos de herramientas.

Como expliqué en mi artículo anterior, el delito cibernetico está generando una impresionante economía, su valor es aterrador, y que es capaz de interferir con el sistema económico de cada país, con consecuencias devastadoras.

El metro ruso es famoso por su organización, una “economía sumergida que se está convirtiendo en uno que es orientada al servicio y se asemeja a las empresas del mundo real en la forma en que vende productos a otros.”

El cibercrimen empresa rusa investigaciones GroupIB en los últimos meses ha publicado un estudio sobre el mercado ruso cibercrimen estimar un negocio en 2011 de $ 2,3 mil millones.

Mercado Negro, profunda web … todos los términos que evocan las actividades de hacking en nuestra mente, y es cierto, la piratería representa a la mayoría de los servicios prestados, como fuerza bruta, la inyección SQL y el cross-site scripting ataques, phishing, y por supuesto la ingeniería social .

Los servicios para la creación y la distribución de malware están en alta demanda, el estudio pone de manifiesto el gran interés en el cifrado de archivos y Servicios crypting debido a la necesidad de ocultar código malicioso de seguridad de los sistemas de defensa.

Los cibercriminales utilizan varias técnicas crypting proponen dos categorías de crypting servicios:

  1. servicios de cifrado de archivos individuales (archivos egDLL y archivos ejecutables).
  2. ventas Crypter.

Me encanta la criptografía es por eso que decidió ahondar en el tema que se presenta en el estudio excelente.

El componente más importante para los servicios crypting es el talón de crypter utilizado para codificar / decodificar un código malicioso.

Cifrados pueden clasificarse ya sea como estadística o polimórficos.

“Un trozo crypter estadístico es un programa independiente al que está vinculado el archivo cifrado. Cuando se inicia, el archivo se extrae, decodificados y ejecutados. “

“Cifrados polimórficos son considerados más avanzados. Ellos utilizan el estado de la técnica de algoritmos que utilizan variables aleatorias, datos, claves, decodificadores, etc. Como tal, nunca un archivo fuente de entrada produce un archivo de salida que es idéntica a la salida de otro archivo de origen “.

Así que un crypter son componentes críticos para asegurar la eficiencia de malware, pero ¿cuánto es?

Vamos a darle un vistazo a la siguiente lista de precios para entender cómo podría ser conveniente para el usuario de estos componentes.

El precio bajo no es sólo una prerrogativa de los cifrados, con una inversión reducida un delincuente puede adquirir una gran cantidad de productos y el acceso a diversos servicios.

La propagación de un código malicioso es también simple y barato, el metro ruso, y no sólo, propone servicios completos que ofrecen alojamiento de código malicioso y personalización del malware más eficaz, como Zeus . Zeus instalación en el servidor alquilado podría costar pocas decenas de dólares, según el informe de Trend Micro.

Aquí hay mensajes muestra cibercriminales ofrecen servicios de ZeuS (traducido del ruso):

“Voy a vender ZeuS 2.0.8.9 código fuente. Venta privada del código fuente. Precio: EE.UU. $ 400-500; negociación (intercambio) es posible “.
“La venta de ZeuS 2.1.0.1 bin + instalado en su hosting para EE.UU. $ 200 depósito de garantía es aceptada.”
“Voy a vender un Zeus 2.0.8.9 + Builder controles administrativos. También hago builds. Precio: EE.UU. $ 300. Construir precio:. EE.UU. $ 100 “
“Registros de ZeuS-logs (2.4GB) DE IT FR GB, precio:. EE.UU. $ 250”
“Instalación de Zeus en su host: EE.UU. $ 35. Instalación de ZeuS en mi host:. EE.UU. $ 40 “
“Configuración de Zeus: 100 dólares EE.UU., el apoyo a botnet: EE.UU. $ 200 al mes y asesoría. EE.UU. $ 30”

En particular, los de pago por instalar servicios tales como servicios de descarga tienen una gran popularidad, los delincuentes proporcionar el archivo malicioso a un proveedor de servicios, o solicitar que para una personalización de la mayoría de los agentes maliciosos comunes, y el proveedor se encarga de los aspectos de distribución.

“Los servicios de descarga se ofrece habitualmente en función del país de destino. El valor del tráfico se basa principalmente en la importancia de su dueño. Cuanto más grande es la organización a la que pertenece mas caro es “

Goncharov distinguen dos tipos diferentes de programas:

  • Programas de tráfico asociados a las descargas de convertir el tráfico. “Servicios de tráfico, como la promesa de dirigir un determinado número de usuarios a un sitio Web, o el uso de sombrero negro técnicas de búsqueda de optimización de motores para mejorar la visibilidad en buscadores, también son populares.”
  • Descarga de programas de socios que se venden por 1.000 instalaciones, por lo general requieren dos componentes, el tráfico y un paquete de exploit.

Todos sabemos cuánto peligroso podría ser un DDos ataque, pero muchos ignoran cuánto sencillo es adquirir herramientas para llevar a cabo este tipo de ofensivas o alquilar un “A un día de denegación de servicio”, en este último escenarios criminales han que pagar un costo de $ 30 a $ 70.

Para organizar un DDoS ataca a un criminal necesidad de utilizar robots especialmente diseñados y botnets , esto significa que debe obtener el acceso a una gran cantidad de máquinas que han de componer la arquitectura ofensiva y entonces instala un demonio en él usando sus DDoS robot kit.

El alquiler de servicios proponer al criminal un botnet pre-construido para atacar el objetivo elegido, fácil, barato y eficiente, ¿qué os parece?

Muy populares son los servicios de alojamiento, servidores dedicados principalmente que son una necesidad en algunas operaciones cibercriminales, por lo general por sus hazañas o drive-by-download, éstos se consideran consumibles únicos con una demanda más o menos constante.

“Servidores generalmente se venden por decenas o centenas con precios en función de su capacidad de procesamiento y, en mayor medida, la velocidad de acceso a Internet”.

Otros servicios relevantes son los servicios de spam siguen siendo populares, pero una alta demanda es también para las colecciones de perfiles de redes sociales como las redes sociales y cuenta en el foro.

Por razones obvias me extrajeron los temas más significativos y conocidos del informe, le recomiendo su lectura completa para tener una idea de la comunidad underground de Rusia que es capaz de ofrecer todo tipo de servicios y productos para actividades delictivas.

Como dije en mis anteriores puestos estos servicios hacen que sea fácil de organizar fraudes cibernéticos y llevar a cabo ataques cibernéticos, en muchos casos, no existe la necesidad de un profundo conocimiento técnico y este aspecto es crucial. Estamos asistiendo a la afirmación de C2C (ciberdelincuencia de la delincuencia informática) modelo de negocio, delincuentes comunes están soportados por los ciberdelincuentes para ampliar sus actividades, una compenetración peligroso!

“El documento ofrece una visión clara sobre las herramientas fundamentales y las tecnologías de los cibercriminales crean y utilizan para mejorar sus negocios”, completándolo con un dato interesante … la fijación de precios.

La economía rusa no está aislada, nos enfrentamos con una industria creciente que empezar desde el espacio cibernético para reinvertir las ganancias en con otras actividades delictivas, tales como drogas y armas.

El fenómeno tiene que ser analizado en una amplia óptica, estas economías son sólo parte de una de las redes globales de criminales que no tiene límites!


Descubierto un nuevo rootkit para servidores Linux

noviembre 21, 2012

Se ha descubierto un rootkit interesante para servidores Linux, que inyecta código en todas las páginas servidas por el servidor Proxy nginx, muy usado como “puerta” hacia Apache en servidores *nix en sitios de tráfico intenso.

Un usuario envió un correo a la lista de seguridad Full Disclosure afirmando que había descubierto sus sistemas Debian infectados por lo que parecía un “rootkit trabajando junto con nginx“. Se trataba de un administrador que se había percatado de que los visitantes de su web estaban siendo redireccionados a sitios infectados. Varios tipos de petición hacia ese servidor web, devolvía un iframe inyectado en la página, que llevaba a un punto donde se intentaba infectar a los usuarios de Windows. El administrador descubrió también procesos ocultos (típico comportamiento de un rootkit) y los módulos del kernel responsables del problema, que adjuntó al correo de alerta para que pudiera ser estudiado.
Parece que el sistema de este administrador ha sido efectivamente comprometido (a nivel de root, al tratarse de un módulo para el kernel) para incluir un rootkit en él, y modificar el comportamiento de su servidor web. Así, todos los visitantes podían ser redirigidos a páginas de malware.
Nos encontramos pues ante una pieza más del puzle. Un nuevo método de distribución que implica una pieza de software interesante que previamente se desconocía. Se ha dado en llamar Rootkit.Linux.Snakso, y por ahora su detección es mínima (6 de 43 motores).
El principal problema para este rootkit es que si bien puede pasar desapercibido en el sistema, es muy fácilmente detectable por su propio funcionamiento: cualquier visitante de la web puede comprobar que se añaden iframes hacia ciertas webs sospechosas.
Cómo funciona
Está diseñado para atacar sistemas Linux de 64 bits y se ha compilado para la versión 2.6.32-5 que utiliza Debian Squeeze. Intercepta las llamadas a ciertas funciones del kernel para poder cumplir su función y, además, acepta instrucciones de un sistema central. Puede que esté en desarrollo aún. El atacante ha sido muy descuidado, porque el binario todavía contiene toda la información de “debug“, y no ha sido “strippeado” (eliminada esa información). También se intuye que no es muy profesional. Algo interesante es que llega a muy bajo nivel para inyectar los iframes, sustituyendo la función de sistema tcp_sendmsg, así que el troyano modifica directamente los paquetes TCP que salen del servidor. Para saber qué inyectar, se conecta a su controlador con protocolo propio, protegido por contraseña cifrada.
Las IPs públicas que aparecen en el módulo son:
91.123.100.207
149.20.20.133
149.20.4.69
64.189.125.254
Como curiosidad, en vez de comprobar que la página servida ofrece un 200 para “inyectarse” (un OK en código HTTP) está programado para no mostrarse solo cuando se da un 403, 304 o la cadena “not found on this server” (o sea, un 404). Esta lógica es un poco extraña y seguro ha acelerado el proceso de descubrimiento.
Conclusiones
Los rootkits o el malware en Linux no son nuevos. La novedad consiste en que se ha creado un rootkit nuevo para entornos Linux, cuando lo habitual es nutrirse de código ya hecho. Otro asunto extraño es el aroma a “novato” de este rootkit. No parece un ataque dirigido, sino algo que apuntaba a infectar más sistemas. Sin embargo no cuenta con ningún mecanismo de reproducción. El atacante ha debido o bien tener acceso como root a la máquina infectada o el administrador ha quedado infectado a través de algún método que desconocemos. Hasta aquí, todo misterios.
Eliminando estos aspectos, el encuadre del ataque no es nada nuevo: los atacantes se nutren de servidores en cualquier plataforma (páginas comprometidas habitualmente) para infectar Windows. El “objetivo” de la infección es habitualmente Windows, pero no es extraño que el “medio” sea cualquier otra plataforma para maximizar su difusión.
Es, en realidad, un paso más allá en el sistema de distribución de malware. Si bien hasta ahora habíamos sido testigos de páginas comprometidas donde se añadían enlaces maliciosos, no eran comunes ataques en los que todo el sistema del servidor web se viese comprometido hasta sus entrañas… y mucho menos a través de un rootkit para Linux.
Más información:
linux rootkit in combination with nginx
http://seclists.org/fulldisclosure/2012/Nov/94
HTTP iframe Injecting Linux Rootkit
http://blog.crowdstrike.com/2012/11/http-iframe-injecting-linux-rootkit.html

Seguridad informática: Diversas investigaciones se basan en la criptografía cuántica

noviembre 21, 2012

Diversas investigaciones han aportado una nueva forma de proteger las redes de telecomunicaciones, se trata del uso de la criptografía cuántica, sin necesidad del gasto dedicado a la fibra óptica. La técnica, desarrollada por el laboratorio europeo de investigación de Toshiba, en Reino Unido, y por ingenieros de la Universidad de Cambridge, es un paso hacia la seguridad perfecta desde transacciones con tarjetas de crédito, hasta registros sanitarios privados.

 La criptografía cuántica depende de las normas de la teoría cuántica para generar códigos no rastreables que encriptan los datos de un modo, que revela si han sido espiados o falsificados.

 Se cree que gobiernos y ejércitos usan ya la tecnología, basada en sistemas disponibles, desde firmas como ID Quantique en Suiza y su rival estadounidense MagiQ.

 Pero hasta ahora, las claves cuánticas para codificar y descodificar la información tenían que enviarse en fotones sencillos, o partículas de luz, a través de una fibra óptica separada de la línea que lleva los datos en sí.

 “El requisito de fibras separadas ha restringido drásticamente las aplicaciones de criptografía cuántica en el pasado, ya que las fibras no usadas no siempre están disponibles para enviar los fotones sencillos, e incluso cuando lo están, pueden ser prohibitivamente caros”, dijo Andrew Shields, de Toshiba Research en Cambridge.

 “Ahora hemos demostrado que el fotón único y las señales de datos pueden enviarse usando diferentes longitudes de onda en la misma fibra”.

 El sistema de Toshiba, que apareció en una investigación publicada en Physical Review X, requiere todavía un detector avanzado que escoge la clave de encriptación en una ventana de tiempo de apenas 100 millonésimas de microsegundo, con el tiempo esperado de llegada de los fotones sencillos.

 Pero el detector, que es capaz de filtrar el ‘ruido’ de la fibra causado por los propios datos, evita el coste de tender líneas de fibra óptica específicas.

 Anteriores trabajos han logrado usar la criptografía cuántica en fibras ópticas compartidas, pero sólo en distancias muy cortas, con capacidad baja, o con datos en movimiento sólo en una dirección.

 Los investigadores dijeron que su sistema puede recorrer más de 50 kilómetros con datos yendo y viniendo y cuenta con una capacidad de encriptado 50.000 veces lo registrado para la misma distancia.


Israelí Bing, MSN, Skype, Live y otros (Desfaces) por los piratas informáticos paquistaníes

noviembre 19, 2012

Cuando Anonymous declaró la guerra a los sitios web israelíes, hoy otro grupo de hackers también vienen de Pakistán en la lucha contra Israel y hackean los dominios relacionados con Microsoft israelíes, incluyendo Bing, MSN, Skype, Live y otros.

Zone-h de todos los sitios hackeados  están disponibles aqui . .