Me lo habían comentado la semana pasada y ahora leo esta información que distribuye Hispasec acerca de la falsa seguridad que nos ofrece ver el candadito en la barra de estado del navegador (en la parte inferior)

Al parecer, el común de los mortales cuando ve dicho candadito (que refleja una conexión SSL con el sitio web) considera que el sitio web ya es seguro. Pues bien, los phishers está incluyendo el candadito para que confiemos. Así que cuidado a los navegantes. No vale con ver el candado, hay que comprobar su contenido.

¿Que es y para qué sirve el SSL?

SSL (Secure Sockets Layer) o su equivalente normalizado TSL, es un protocolo que ofrece conexiones seguras. De manera que combinado con HTTP, supone que se navegue bajo el protocolo HTTPS.

Pero ¿por qué es un “canal seguro”? SSL cumple dos funciones fundamentales: cifra el canal y autentica a las partes de la comunicación. De modo que al cifrar, nadie más tiene acceso al contenido que circula y al autenticar al servidor nos dice que ese servidor es quien dice ser. ( para esto ultimo se apoya en la criptografía de clave pública, que garantiza que el servidor al que nos conectamos tiene la clave privada que corresponde con la pública que dice tener).

Para la parte de autenticación, los servidores con SSL activo ofrecen al navegador un certificado para que lo compruebe, que es como una especie de DNI. En él, una autoridad (Verisign, Godaddy….) certifica con su firma que la clave pública realmente pertenece al sitio. Para conseguir un certificado, el dueño del servidor ha generado dos claves, y la pública la ha enviado a estas autoridades certificadoras para que la firmen, junto con otras pruebas de identidad como pueden ser documentos de empresa u otros, dependiendo del criterio del certificador (y de lo que se quiera pagar). Cuando un usuario se conecta a la página, de forma transparente el navegador comprueba que el certificado es correcto. Siguiendo con la analogía del DNI, sólo el Estado (las autoridades certificadoras) puede certificar (firmar critográficamente) que la fotografía y los datos (la clave pública) pertenecen a una persona (servidor web de esa empresa).

¿SSL es efectivo contra el phishing?

Idealmente, autenticar al servidor es la solución contra el phishing, pero no es así. El usuario medio a veces comprueba que hay un candadito, o una conexión HTTPS al visitar una web. Con esta mínima comprobación, comprende que está sobre un sitio seguro (se le ha repetido hasta la saciedad) y confía en la página en la que va a introducir sus datos. Muy pocos confirman que el certificado es válido. Para ello habría que hacer doble click sobre el candado y comprobar la ruta de certificación, que debe culminar en una autoridad certificadora que ha firmado el certificado. Pero, hoy en día, incluso si el certificado es válido, es posible que no se esté sobre la página que se desea. Para evitar esto, el usuario debería interpretar además qué información está ofreciendo esa cadena de certificación y a qué datos está asociado. El conjunto de usuarios que llega a este punto es mínimo.

Lo que los phishers están haciendo cada vez con más frecuencia, es comprar certificados que sólo certifican que el dominio pertenece a quien lo compró. La autoridad certificadora no pide más documentos ni pruebas, sólo que el dominio te pertenece. Los hay por 20 euros. Empresas como Godaddy certifican que el dominio te pertenece, y con ello el navegador aparecerá con el candadito y bajo el protocolo HTTPS. Efectivamente, la información irá sobre un canal seguro, y el servidor será el del auténtico phisher, que ha podido comprar un dominio con un nombre parecido al legítimo, o añadir en la URL dominios de tercer nivel para confundir.

El SSL se ha convertido en algo tan popular y accesible que ya no es exclusivo de los sitios seguros, y lo que con tanto esfuerzo se ha conseguido inculcar en el subconsciente del usuario: “si tiene candadito, es seguro”, se ha vuelto en contra. Por tanto, los phishings bajo conexión segura siguen aumentando con éxito.

Extended Validation Certificates al rescate

Los nuevos EVCerts, Extended Validation Certificates, han venido al rescate, supliendo las deficiencias de los certificados baratos y comunes. Para empezar certificarse es bastante más caro. Esto resulta en una primera criba que puede resultar incómoda para empresas pequeñas. Técnicamente los certificados que cumplan el Extended Validation SSL autentican al servidor (como los certificados tradicionales), pero a efectos prácticos permiten que el navegador que visita la página que tiene estos certificados, muestre de forma mucho más clara que la página es efectivamente la que se quiere visitar, haciendo hincapié en la vertiente de autenticación del SSL. Sería como si el navegador hiciera por nosotros la operación de pulsar sobre el candado cuando nos conectamos por SSL a una página, y verificara la ruta de certificación, el domino válido… todo de forma automática y visual. Si el servidor es seguro, se muestra en la barra de direcciones un color verde. Un usuario puede así de un solo vistazo dar por seguro que el servidor al que se está conectando es el correcto, y que no se está usando un certificado válido, pero falso.

Por ahora, sólo Internet Explorer 7 soporta de serie la correcta interpretación de certificados EV SSL (para que funcione la comprobación de estos certificados, debe estar activada la tecnología antiphishing, van de la mano y hay que usarlas juntas). Para que Firefox 2 lo soporte necesita un plugin y Opera ya lo implementa en su versión 9.50.

Cómo saltarse una conexión segura.

Las técnicas que usan los troyanos más difundidos hoy día, pueden invalidar la recomendación de la comprobación de la conexión segura. De hecho, los troyanos permiten la conexión a la página real del banco, pero pueden estar robando la información entre bambalinas gracias a diferentes técnicas.

• Delephant

Consiste en la recreación de la zona de introducción de contraseñas en una página de banca online. El troyano superpone una pequeña aplicación en la zona  el navegador que pide las contraseñas, ajustando colores y estilo de la página en general. De esta forma el usuario no observa en principio diferencia alguna entre la página original (que está visitando y mantiene  abierta) y el programa superpuesto que encaja perfectamente en la área de las contraseñas. Además, el código está adaptado para que, en caso de que la página sea movida o redimensionada, el programa realice cálculos de su posición y se ajuste perfectamente al lugar asignado. La víctima está en realidad introduciendo las contraseñas en una aplicación independiente, superpuesta sobre la página del banco, que obviamente al ser la legítima, pasa cualquier inspección de conexión segura.

• Captura de imágenes y vídeos

Ante la llegada de los teclados virtuales en la banca online como método para evitar los registradores de teclas, el malware se adaptó con estos métodos de captura de credenciales. Consiste en la  activación de un sistema de captura en forma de imágenes, de un sector de pantalla alrededor del puntero de ratón cuando éste pulsa sobre un teclado virtual. Con este método se consigue eludir el teclado virtual, pues el atacante obtiene imágenes de cada tecla del teclado virtual pulsada, en forma de miniatura o captura de pantalla. Una vez más, la conexión segura no impide el robo de información.

• Formgrabbers

Consiste básicamente en la obtención de los datos introducidos en un formulario, y puede ser llevada a cabo a través de varios métodos, como Browser Helper Objects, interfaces COM o enganchándose (hooking) a APIs del sistema. Con estos métodos el usuario se conecta a la página legítima, donde lógicamente aparecerá el candadito y la conexión será cifrada y perfectamente normal. El troyano sin embargo inspeccionará el flujo de datos y desviará a otro servidor los que correspondan con las contraseñas que les interese.

Existen otras muchas técnicas de robo de información basadas en troyanos. Los usuarios deben ser conscientes de que la seguridad SSL, el candado y la autenticación del servidor son condiciones imprescindibles a la hora de utilizar la banca online, y que deben ser comprobadas en cada ocasión. Pero también deben tener claro que esto no garantiza que, si el sistema está troyanizado, los datos no sean capturados.

Fuente: Hispasec.com

Compártelo

Leo con asombro que han detectado una oleada de troyanos contra los clientes de ING Direct España.

Los troyanos capturan todos los datos necesarios para suplantar la identidad de los usuarios legítimos, incluyendo la tarjeta de coordenadas para poder realizar transferencias desde sus cuentas.

Hasta ahora INGDirect.es no había sido objetivo de ataque por parte de los phishers y troyanos bancarios, gracias en parte a la propia naturaleza de sus productos que impedía realizar transferencias a terceros de forma indiscriminada. Así la “Cuenta Naranja” se asocia a una segunda cuenta del banco o caja habitual del cliente y sólo permite realizar operaciones entre ellas.

La oferta de otros productos por parte de INGDirect.es, como la “Cuenta Nómina”, que permiten una mayor libertad a la hora de hacer transacciones, han convertido a los clientes de esta entidad en un objetivo apetecible para las mafias dedicadas al fraude por Internet.

INGDirect.es recuerda a sus clientes que:
“nunca, bajo ninguna circunstancia, deben introducir todas o gran parte de las claves de su tarjeta. Su entidad sólo le solicitará alguna clave de la tarjeta en el momento que esté realizando una transacción que la requiera, como por ejemplo una transferencia.“

Más información sobre los troyanos en Hispasec

Compártelo

Wombat (Worldwide Observatory of Malicious Behaviors and Attack Threats), que traducido al español es Observatorio Mundial de Comportamientos Maliciosos y Amenazas de Ataque, es un proyecto, que cuenta con la financiación de la Unión Europea (bajo el Séptimo Programa Marco), para unificar los departamentos de investigación de entidades con enfoques muy distintos, con la finalidad de obtener una perspectiva global, cada vez más necesaria a la hora de afrontar los retos de la seguridad en infraestructuras TI.

Básicamente, WOMBAT pretende recolectar grandes cantidades de información sobre elementos maliciosos que puedan afectar tanto a empresas como a los ciudadanos de a pie. Realizado en tiempo real, no se pretende solamente tener una visión más real de lo que realmente sucede en Internet, sino modelar dichos comportamientos en la medida de lo
posible. Todo esto es necesario si queremos tratar la seguridad atacando la raíz de los problemas, en vez de intentar aliviar los efectos . 

En la lista de participantes en este proyecto podemos por ejemplo contar con la participación de la Universidad Técnica de Viena y la gente que desarrolló Anubis. También participa la Universidad de Vrije (Ámsterdam), que entre otras cosas aportará su experiencia en diversos tipos de honeypots. La Politécnica de Milán aportará también su conocimiento en
estas lides, que incluye aspectos tan interesantes como las tecnologías IDS. Por parte de los CERT, contamos con la inestimable experiencia de NASK (Polonia), y también contamos con la perspectiva de los ISPs gracias a la colaboración del departamento de I+D de France Telecom (Orange). Desde Hispasec colaboraremos con nuestra experiencia en
el mundo del malware, y con la perspectiva que nos da mantener en funcionamiento VirusTotal.

Recientemente se ha realizado unworkshop con otras entidades que pueden estar interesadas en colaborar
en este proyecto, y que incluyen nombres como el SANS ISC, Honeynet Project, Universidad de Kyoto, Universidad Nacional de Yokohama, ENISA o la Universidad de Carolina del Norte.

Fuente: hispasec.com

Más información:

• Vombatidae
• Worldwide Observatory of Malicious Behaviors and Attack Threats
• Anubis: Analyzing Unknown Binaries
• VirusTotal

Compártelo

ActiveX es una tecnología propia de Microsoft que con el tiempo ha sido clasificada prácticamente de maldita en cuestión de seguridad. Los numerosos problemas tanto en la tecnología en sí como en los programas que la han usado, han hecho que se gane esta fama a pulso. ¿Cuáles son los riesgos y problemas de seguridad que presenta ActiveX realmente? ¿En realidad es tan peligrosa?

¿Qué es?

ActiveX es una librería (básicamente un ejecutable) con funciones, como otro cualquiera, con la peculiaridad de que implementa una interfaz llamada IDispatch que permite al “objeto” interactuar de una forma concreta (más abstracta) con el programa que lo aloja (llamado contenedor). Por tanto no son programas “independientes” y suelen crearse con cualquier lenguaje que admita el modelo COM. “Físicamente” tienen forma de librería DLL o OCX. Internet Explorer o Office son programas contenedores que admiten esta tecnología.

Un componente ActiveX es pues, código ejecutable (desarrollado por y para Microsoft) encapsulado en un objeto desarrollado mediante esos estándares. De esta forma al tener este código encapsulado, se facilita su portabilidad y reutilización. Así, es posible usar un objeto ActiveX (llamar a sus funciones) insertándolo en cualquier aplicación que lo soporte, independientemente del lenguaje con el que haya sido creado el control ActiveX. Un ejemplo común es usarlos para interactuar con Internet Explorer y el sistema, llamándolos a través de JavaScript.

Donde existe una relación única entre el código CLSID y el archivo OCX o DLL. Los análisis antivirus a través de web (sin necesidad de instalar el producto) suelen hacerse a través de un ActiveX registrado, las barras complementarias de Internet Explorer (Yahoo!, Google…) son ActiveX registrados, el programa de instalación de Windows Update y otros muchos que pasan desapercibidos para el usuario son todos ActiveX registrados. Pero también existen de serie muchos ActiveX instalados en Windows para el propio uso del sistema operativo, que no están pensados en ningún momento para tener nada que ver con la web o redes sino que aprovechan más su portabilidad y capacidad de ser reutilizados. Por último, muchos programas no basados en web que necesitan interactuar con otros contenedores registran sus propios controles ActiveX.

¿Es igual que los applets de Java?

ActiveX, de hecho, fue en parte la respuesta de Microsoft a los applets de Java, pero con importantes diferencias en las formas aunque con una filosofía parecida. Tanto los applets de Java como los ActiveX son en una buena parte programas descargados y ejecutados en local. Los creadores de la JRE ((Java Runtime Enviroment, el entorno donde se ejecutan los applets) supieron que esto supondría un riesgo desde el principio y por eso los applets se ejecutan “encerrados” en una sandbox virtual que impide que el código tenga acceso a otras partes del sistema (excepto si aprovechan vulnerabilidades del JRE para escaparse de la sandbox).

¿Por qué pueden resultar peligrosos?

Si nos centramos en la seguridad, el problema se puede presentar por varias vías:

• Un ActiveX, al contrario que un applet encerrado en la sandbox, tiene vía libre para acceder al sistema con los permisos del usuario que lo ejecute. Tiene el mismo efecto que ejecutar un programa cualquiera.
• En el modelo actual, un ActiveX instalado (registrado) por un usuario administrador está disponible para el resto. Está expuesto para todos y si contiene un problema de seguridad, afectaría a todos los usuarios.
• Muchos de los ActiveX, en el fondo, no son más que programas que se descargan e instalan desde Internet Explorer. Por tanto, por un lado, heredan los riesgos lógicos de la descarga y ejecución indiscriminada de cualquier otro programa. Pueden ser usados para distribuir malware en forma de ActiveX aunque no es el caso mayoritario.
• Pero la razón más importante por la que un control ActiveX puede resultar peligroso es por la misma que cualquier otro programa. No es más que una pieza de código programada por un ser humano y por tanto tendente a errores. El problema básico es que un fallo de seguridad en un componente ActiveX “se paga más caro” en ellos que en otras aplicaciones.
• Se paga más caro porque, aunque esté alojado en el sistema, ese OCX o DLL es a veces accesible a través de Internet Explorer. El navegador, como contenedor habitual, puede en ocasiones llamar a sus funciones y si estas tienen un fallo, explotarlo. A efectos prácticos, si tenemos un ActiveX (una DLL, por ejemplo) en el sistema para que funcione un programa cualquiera que nada tiene que ver con la web, una página que visitemos podría llamar (invocar) a esa DLL y explotar el fallo. Básicamente, una puerta abierta a ejecutables del disco duro desde Internet. De ahí su mayor peligro. La mezcla entre el diseño excesivamente tolerante (responsabilidad de Microsoft) y programas vulnerables mal diseñados (responsabilidad de los programadores del ActiveX) han hecho que la tecnología sea considerada insegura. Pero obviamente Microsoft ha impuesto buenos e importantes mecanismos para mitigar estos riesgos. La firma de código, la programación de los propios ActiveX donde se les dice qué pueden hacer, los kill bits, la configuración del propio navegador… muchos métodos han servido para hacer que los ActiveX no sean tan poderosos como su propio concepto les permite, aunque a veces las medidas no han sido suficientes.

Fuente: Hispasec.com

Compártelo

Microsoft acaba de lanzar el Service Pack 3 para el sistema operativo Windows XP. Tras un pequeño retraso por cierta
incompatibilidad con su Dynamics RMS, ya está disponible para descarga directa.

Si el Service Pack 2 supuso unos cambios radicales para XP y lo modificó notablemente, con SP3 se introducen pocas mejoras sustanciales y, como de costumbre, se incluyen todos los parches de seguridad aparecidos hasta el momento.

El SP1 para XP apareció en agosto de 2002 y pasó sin pena ni gloria. Se corrigieron las inestabilidades habituales tras el lanzamiento de un sistema nuevo y se aglutinaron los parches de seguridad conocidos hasta el momento.

El Service Pack 2 para Windows XP apareció en el verano de 2004 y supuso un punto de inflexión. Con ella Microsoft se ocupó especialmente por la seguridad proactiva y activó por defecto importantes mejoras como el cortafuegos. El Service Pack 2 no solo contenía un parche para todas las vulnerabilidades conocidas hasta ese momento para Windows XP, sino que además actualizaba sustancialmente el sistema modificando muchas de sus funciones. Se mejoraba la seguridad por defecto del navegador Internet Explorer, se desactivó la capacidad del sistema de generar paquetes TCP especialmente manipulados a bajo nivel y otros cambios importantes que al intentar aumentar la seguridad.

SP2 no se consideró como una actualización ‘para’ el sistema operativo, sino más bien como una actualización ‘de’ sistema operativo. Este cambio vino acompañado de fuertes críticas y se dudó de su efectividad e incluso la utilidad del Service Pack cuando grandes empresas recomendaron no instalarlo, hasta pasado un tiempo, porque muchos programas dejaron de funcionar correctamente. Curiosamente hoy Windows XP con SP2 es considerado ’suficientemente bueno’ e incluso el ’sistema definitivo’ para la mayoría, sobre todo con respecto a Vista.

Service Pack 3 para XP ha sido muy esperado. No tanto porque se pretendan mejoras para el sistema operativo (que apenas se introducen) sino por obtener en un solo paquete todas las actualizaciones aparecidas hasta el momento. Han sido 4 años acumulando parches cada mes, lo que supone que una instalación nueva de XP con el SP2 integrado, tenía que descargar e instalar ya casi 100 parches para estar al día. Desde ahora, se podrá obtener sólo este SP3 y se estará actualizado hasta el momento.

Cabe destacar también, que se ha malinterpretado el anuncio de la muerte de XP a finales de junio de 2008. En esa fecha se dejará de vender, pero a efectos prácticos, esto no afecta a la mayoría de los usuarios. Los fabricantes podrán preinstalarlo en los sistemas nuevos hasta el año que viene (e incluso reutilizar licencias de Vista). Pero sobre todo, uno de los aspectos más importantes a la hora de seguir manteniendo un sistema operativo es que siga disfrutando de soporte al menos en cuestión de seguridad. Windows XP lo tendrá, al menos hasta 2014. Hasta esa fecha se publicarán los parches de seguridad los segundos martes de cada mes, y esto no tiene nada que ver con cuándo se dejará de vender.

Paquete de instalación red de Windows XP Service Pack 3

Fuente: UnaAlDia

Compártelo