Peor aún, una de las últimas vulnerabilidades de Windows que permiten la ejecución automática de código arbitrario con el solo hecho de que un archivo .LNK o .PIF (archivos de accesos directos ) sean visualizados por el explorador de Windows. Esto significa que ni siquiera hay que hacer ya doble click sobre el acceso directo para que el malware se ejecute, sino que el mismo explorador de windows lo hace por nosotros!

Eso se debe a que el Explorador de Windows no manipula correctamente la visualización del ícono del acceso directo y si el archiv .LNK o .PIF ha sido diseñado por alguien malicioso permite que el mismo explorador de Windows ejecute el malware.

Esta vulnerabilidad fue aprovechada casi un mes atrás por un malware que afectó a las Redes SCADA que son redes usadas para controlar maquinaria industrial en plantas de poder y fábricas.

Imáginense cuánto malware puede estar aprovechando esta vulnerabilidad, recuerden nomás por ejemplo que el malware que se descargaba de nuevaq.fm creaba accesos directos con el nombre de nuestras carpetas…

Lo peor de todo es que esta vulnerabilidad también puede ser explotada a través de la visualización de los accesos directos por medio de carpetas compartidas en red.

Hace una semana Microsoft ha puesto a disposición un parche que podría corregir la vulnerabilidad y lo puedes descargar de aquí:

XP (32 bits):

http://download.microsoft.com/download/3/9/F/39F07131-1F71-4B2C-8BFB-CEC593D8DAC5/WindowsXP-KB2286198-x86-ESN.exe

XP (64 bits):

http://download.microsoft.com/download/C/6/3/C63FC9B6-CC3C-4AA4-97CC-38D6E5EB43FC/WindowsServer2003.WindowsXP-KB2286198-x64-ENU.exe

Win 7 (32 Bits):

http://download.microsoft.com/download/F/E/7/FE761392-A44B-493E-BE89-E3D03BCCE1C9/Windows6.1-KB2286198-x86.msu

Win 7 ( 64 bits):

http://download.microsoft.com/download/A/F/7/AF72CF1C-D6F9-48D2-981A-1574FABBE6D8/Windows6.1-KB2286198-x64.msu

Otras versiones:

http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx

Saludos,

Felipe

Referencias:

Descripción de Vulnerabilidad:

http://www.microsoft.com/technet/security/advisory/2286198.mspx

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2568

http://isc.sans.edu/diary.html?storyid=9181

Descripción de ataques usando la vulnerabilidad:
http://www.theregister.co.uk/2010/07/16/windows_shortcut_trojan/
http://isc.sans.edu/diary.html?storyid=9181

Sistemas SCADA:
http://www.automation.siemens.com/mcms/human-machine-interface/en/visualization-software/scada/Pages/Default.aspx

Hace unos días mi amigo Iván Chávez ( jeje, no recuerdo si quedamos en que iba a divulgar su nombre :$ ) me comentó que tenía una amiga que estaba en problemas. Su PC andaba lenta, se cerraban los programas y otros programas no podían ejecutarse, el messenger auto-enviaba mensajes a sus contactos invitándolos a visitar un sitio web que supuestamente debía contener música cumbia online:

www.nuevaq.fm

Síntomas más comunes:

1. Página de inicio de Internet Explorer:  www.nuevaq.fm
2. No se ejecuta el cmd, msconfig, regedit, mozilla firefox, google chrome, programas antivirus, etc…
3. Se envían mensajes por el messenger a los contactos invitando a visitar el sitio www.nuevaq.fm
4. Lentitud en la PC.

Si eres de los apurados y solamente quieres la solución, puedes descargar el Script que diseñé.
La vacuna elimina el malware y restaura el registro en un máximo de 10 segundos aproximadamente, también es compatible con Windows XP, Vista y Windows 7.

Una vez descargado el archivo lo descomprimen en una carpeta y ejecutan el archivo “Vacuna nuevaq_fm.vbs” y el Script se encarga del resto. Luego de algunos segundos tu Equipo estará limpio.

Los que quieran un poco más de cómo es que funciona este malware pueden seguir leyendo…

Me pareció muy interesante, así que decidí encender una máquina virtual, procedí a tomar un Snapshot del sistema inicial, luego procedí a sacar un estado antes del análisis usando RegShot, luego procedí a ejecutar el ProcessXP (Explorador de procesos) también ejecuté el Analizador de tráfico Wireshark.

Con todo esto, procedí a ejecutar el navegador Internet Explorer en la máquina virtual, luego también lo haría con Mozilla Firefox.
Al acceder al sitio web www.nuevaq.fm con el navegador Internet Explorer, se muestra un mensaje indicando que se debe instalar un complemento, creo que a un usuario común, ese tipo de mensajes no les sorprendería y creerían que deben descargar el supuesto “complemento” para que puedan escuchar la música online, así que le harían click en instalar el complemento y después de un momento de aparente inactividad visual… ante el usuario no pasó nada…

Internamente y fuera de la vista del usuario, ¿qué pasó?

1. El sitio www.nuevaq.fm contiene código que detecta sobre qué navegador se ejecuta y descarga vía javascript bajo consentimiento del usuario ( y digo consentimiento porque el usuario es el que hace click en Aceptar para instalar ) un control ActiveX.
2. El control ActiveX una vez descargado se descomprime y ejecuta un archivo llamado “11.exe” en la ruta %TMP%.
3. Este archivo crea 2 ejecutables que se crean en la ruta:%userprofile% & %username% & “1″Y esto significa que si el usuario se llama Pepito, la carpeta que crea es:

   C:\Documents and Settings\Pepito\Pepito1

   Los 2 archivos que se crean dentro de esta carpeta se llaman:
   winlogon.exe
   winhelp32.exe

4. El proceso 11.exe ejecuta entonces el archivo winlogon.exe mencionado hace un momento y éste a su vez ejecuta el archivo winhelp32.exe.
5. De manera casi simultánea el registro del sistema es modificado de modo que muchos ejecutables de conocidas herramientas de monitoreo y detección antivirus sean desactivados. Esto lo logra modificando las siguiente clave de registro:”HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe”
   “Debugger” = “C:\windows\twunk_16.exe”

   Esto asegura que cuando se intente ejecutar por ejemplo el regedit, el cmd.exe, el msconfig, o alguna herramienta de antivirus no se ejecute.

6. Crea también varias rutas de control del ActiveX en el registro.
7. De acuerdo al análisis del tráfico que realizó este archivo tengo razones muy válidas para afirmar que este malware es un clickbot.

Esta es una descripción a grande rasgos, ya que más adelante publicaré un post de cómo hice el análisis y comentaré más el código fuente de la vacuna que hice, por el momento para los apurados les dejo la vacuna, y espero que lo disfruten.

Incluso hay muchas personas que creen que hay necesidad de formatear el equipo, pero con esta vacuna podrán ahorrar tiempo y dinero quizás…

Por cierto, y como siempre el código de la vacuna está hecho en VBScript así que si analizan el código con detenimiento podrán encontrar cosas interesantes :D.

Como también sucedió con algunos scripts anteriores que diseñé, hay muchas personas que modifican los créditos y se autoacreditan esta vacuna :(. Nada más lamentable…

Creo que al menos deberían respetar los créditos… Y conste que yo podría diseñar la vacuna en un ejecutable, obfuscando el código y qué más cosas quizás para evitar modificaciones e ingeniería inversa del código, pero ésa no es mi intención.

Mi intención es compartir el conocimiento adquirido, creo que puedes aprender mucho del código si lo analizas con detenimiento y quién sabe quizás también puedas mejorarlo o hacer algún día tus propias herramientas. Así que por favor RESPETA LOS CRÉDITOS.

Cualquier cosa no duden en consultar.

Saludos amigos, aqui en Tarapoto hace mucho frío últimamente, así que a abrigarse, jejeje.

Felipe

]]> http://www.mygeekside.com/?feed=rss2&p=826 http://www.mygeekside.com/?p=805 http://www.mygeekside.com/?p=805#comments Tue, 30 Mar 2010 17:10:22 +0000 Administrador http://www.mygeekside.com/?p=805 Alguna vez intestate borrar un archivo o una carpeta y te salió este mensaje de error?

Si tu respuesta es SI, sabrás lo decepcionante que es tratar de eliminar el archivo o carpeta y que no se te permita. Felizmente hay una probabilidad muy alta de que tus problemas terminen aquí.

Hay muchas opciones y el orden en que las apliques depende de ti, algunas opciones funcionan para casos determinados, pero de todos modos una de estas debería solucionar tu problema:

1. Desde la línea de comandos:
   A veces sucede que la carpeta o el archivo no se puede eliminar porque usa algún caracter no ”válido” o no imprimible por el sistema de archivos.El siguiente comando me ha ayudado muchas veces, casi en la mayoría:
   
   EN CASO DE CARPETAS
   
   

   EN CASO DE ARCHIVOS
   
   

   Solamente debes agregar “\\?\”  a la ruta del archivo o carpeta que deseas eliminar.

   NOTA: Puedes usar la tecla TAB para que se autocomplete el nombre del archivo o la carpeta. Por ejemplo:
   del “\\?\c:\usuarios\felipe\mal (Presionar la tecla TAB)
   y se autocompletará la ruta así:
   del “\\?\c:\usuarios\felipe\mal_archivo”
   

2. Usar Unlocker:
   Generalmente se usa cuando el archivo o la carpeta que queremos eliminar está siendo usada por algún proceso.
   El programa lo puedes descargar de aquí:

   

Lo unico que debes hacer una vez instalado el programa, es hacer click derecho sobre el archivo en cuestión y Seleccionar el programa Unlocker, así:


El programa te dirá que programa o proceso está usando el archivo en cuestión y te dará la opción para terminar los procesos y eliminar, cambiar de nombre, etc.


Le das desbloquear a todo y automática realiza la acción que hayas seleccionado.

3. Usar FileAssassin:
   Este programa también me ha parecido muy util.
   Solamente tienes que buscar el archivo que quieras eliminar y seleccionar la opción deseada:
   
   Le das en Ejecutar, y listo!
4. Tomar propiedad del archivo
   Para esto puedes bajar el siguiente programa: TakeOwnerShip, que te dará todos los permisos de acceso.
   Una vez que descargas el archivo y lo descomprimes, haces click derecho sobre el archivo y seleccionar combinar, así:
   
   

   Te preguntará si estás seguro, haces click en SI y luego vas sobre el archivo o carpeta que deseas eliminar, le das click derecho y seleccionas TakeOwnerShip:
   
   
   Una vez que hayas seleccionado, intenta ahora eliminar el archivo o carpeta.
   

Hay algunas otras aplicaciones y formas de intentar, estas son las que me han funcionado hasta el momento, cualquiera de éstas en determinados momentos o de forma combinada.

Espero les sirva,

Saludos,

Felipe

1. Buscar virus en la pc:  para esto instalamos cualquier antivirus que consideremos sea funcional y lo actualizamos, antes de analizar los discos duros y la memoria operativa es bueno que corramos los scripts mata_recycler y mata_virus_amvo publicados en esta misma pagina.

2. Optimizar el inicio del sistema: quitar del inicio todos aquellos programas que no querramos que se inicien con el sistema pues consumen demasiada memoria y procesador, para esto hacemos lo siguiente:

1. clic en inicio y luego en ejecutar:
2. escribimos msconfig y damos clic en aceptar.
3. abrirá una ventana, en la pestaña inicio quitamos todos los chequesitos que consideremos innecesarios, si no sabemos cual es la funcion de alguno mejor no lo toquemos.
4. clic en aceptar y pedirá reiniciar, clic en reiniciar.
5. cuando vuelve a iniciar el sistema aparece una ventanita que hemos hecho cambios en el inicio y blablabla, damos clic en el chequesito y aceptar.

3.  Desinstalar programas inutilizados: Muchas veces instalamos programas solo para probarlos o poque nos sirvieron para algo, pero los dejamos ahi y nos olvidamos de ellos y aparte de que ocupan espacio en disco duro, algunos se posicionan en espacios de memoria y nos hacen lento el sistema, para desisntalarlos hacemos lo siguiente.

• clic en inicio y despues en panel de control
• damos doble clic en agregar o quitar programas
• buscamos los programas que no necesitamos y los desinstalamos

4. Limpiamos el registro del sistema: para esto necesitaremos de una herramienta que haga esto, hay varios como el regcleaner, ccleaner, regseeker, etc. yo recomiendo el ccleaner.

De momento lo voy a dejar aqui pero espero seguir creciendo este post con mas cositas sencillas pero que muchos no las saben y ojala les pueda servir.

Saludos.

El lenguae de programcion usado para el spambot es perl y para la demostracion se usa un blog de Word press.

Bypass CAPTCHA aritmético

¿Qué es el CAPTCHA?

El CAPTCHA es una prueba-desafío con el fin de identificar si el usuario
de un servicio es un ser humano o una computadora.
Estas pruebas son utilizadas para evitar que robots tengan acceso a
ciertos servicios y aprovechen su ventaja de automatización para
spamear o comprometer un sistema.
La prueba consiste en crear desafíos que una maquina se supone no

debería de ser capaz de superar, por ejemplo:

Escribir la secuencia de caracteres que aparecen en una imagen.

35HUA

Contestar una pregunta lógica aleatoria.
¿De qué color es el caballo blanco de napoleón?
Resolver una operación aritmética aleatoria.
Cuál es el resultado de 13 + 37…

Leer todo el documento…

Fuente: Aztlan Hack I. S. T.

Posted by: Dr. N4$h

Hace un rato que estaba escribiendo en C++, tenia que encontrar un modulo que no se donde había dejado días antes, lo malo es que como tengo mala memoria se me había olvidado el nombre, así que se me ocurrió que en el search talvez era posible mejorar mis búsquedas, así como en el navegador de Google.

Algunas de las funciones que vamos a ver son las siguientes:

File: busca un tipo de archivo ya sea por nombre, por tipo, por extensión o por tamaño.
Text: busca por palabra o frase dentro y fuera del documento.
Ext: busca por extensión de archivo.
Size: por tamaño de archivo.
Author: realiza una búsqueda por tipo autor.

Leer todo el documento…

Posted By: Dr. N4$h

Fuente: Aztlan Hack I. S. T.

Ported by: Dr. N4sh

El motivo de la Noticia: Un supuesto ataque dirigido por parte del gobierno chino hacia Google, Adobe, Juniper y otras 29 empresas con sucursales en China.

El objetivo principal del ataque: supuestamente por parte del gobierno chino era obtener información confidencial de activistas de los Derechos Humanos en China.

Vector de ataque: Explotación de vulnerabilidad desconocida en Internet Explorer del  Lado de Cliente ( Client-Side Exploitation).

Vunerabilidad explotada: Referencia a puntero inválido en Internet Explorer 6, 7 y 8 que permite ejecución remota arbitraria de código.

Nombre asignado al ataque: Aurora IE Exploit

Se llegó a identificar equipos y cuentas de usuarios que laboraban en estas empresas con información confidencial comprometida. Pero según Google no fueron más de 2 ó 3 cuentas comprometidas.

El equipo de Metasploit en tiempo récord ya ha logrado reproducir las condiciones de ataque y el correspondiente código de explotación - que según describe McAffee - es el mismo que se identificó en la investigación.

Y gracias a los amigos de http://praetorianprefect.com que han hecho un video que muestra cómo inicialmente los crackers consiguieron acceso a las redes corporativas de Google y los demás afectados.

En el video se muestra a Metasploit configurar una sessión a la escucha, y configurar un servidor web que hospeda el código malicioso, espera la visita inocente del usuario hacia el sitio web, lanza el ataque que explota la vulnerabilidad de Internet Explorer y abre una conexión hacia la computadora del atacante. Una vez obtenida la sesión, el atacante ya tiene el control de la máquina, puede listar procesos, terminarlos (en el video de ejemplo se cierra el proceso del Notepad.exe). Se usa Internet Explorer versión 6, ya que Microsoft referencia que éste fue usado en los ataques sobre estas compañías. Tampoco se descarta la explotación exitosa de esta vulnerabilidad sobre las versiones posteriores como lo son Internet Explorer 8 y 9.

Este ataque puede haber llegado por medio de correos electrónicos incitando al usuario a visitar ciertos sitios web que alojaban el código malicioso en javascript, y éste apuntaba a un puntero inválido e inyecta la shellcode que contiene el código arbitrario a ser ejecutado.

Lección repetida: La seguridad en el lado del cliente necesariamente requiere la ecuación:  (Conocimiento+Entrenamiento)+Sentido común.

Así que: No hagas click! en cualquier cosa.

Saludos,

Felipe

Referencias:

http://www.computerworld.com/s/article/9144844/Hackers_used_IE_zero_day_not_PDF_in_China_Google_attacks?source=toc

http://praetorianprefect.com/archives/2010/01/the-aurora-ie-exploit-in-action/comment-page-1/

http://wepawet.iseclab.org/view.php?hash=1aea206aa64ebeabb07237f1e2230d0f&type=js

El internet es el responsable por las últimas lecciones de seguridad de la década. Sin el internet, probablemente ni reconocerías el término phishing, cibercrimen,  violación de datos o redes zombie. Hoy haremos una revisión de las peores pesadillas de los últimos 10 años, e intentemos recordar lo que hemos aprendido de cada una de ellas.

1. CiberGuerra.
   Lo que pareció tan poco, se convirtió en una pesadilla. Regresemos a Febrero de 2000, un joven canadiense llamado MafiaBoy usó inundaciones automatizadas de tráfico de internet incompletas para causar que muchos sitios - incluyendo Amazon, CNN, Dell, eBay y Yahoo - se sobrecarguen hasta caer, en lo que se llamo un ataque de Denegación de Servicio Distribuido (DDoS).Michael Calce, también conocido como MafiaBoy, se declaró culpable de 55 de los 66 cargos que se le imputaron y fue sentenciado a 8 meses de prisión.
   Calce luego escribió un libro sobre su experiencia titulado: “MafiaBoy: cómo crackeé el Internet y por qué aún está caída”. Algunos expertos dicen que todas las
   amenazas de seguridad progresan a través de un ciclo que se mueve de la diversión sin fines de lucro a la política, y los ataques de DDoS no fueron diferentes: Criminales oportunistas comenzaron a usar DDoS para bloquear varios sitios de juegos al azar para pedir recompensas a cambio de la devolución del servicio.
   En Mayo del 2007, los ataques de DDoS se volvieron políticos, con cientos de simpatizantes rusos en línea bloqueando los sitios del gobierno de Estonia, todo por
   que un monumento de la segunda Guerra Mundial había sido trasladado. Los ataques continuaron a lo largo del verano hasta que los Grupos de Repuesta a Emergencias Computacionales (CERT) de varias naciones las mitigaron. El año siguiente, el crimen organizado ruso apuntó al gobierno de Georgia con un ataque de DDoS.
   Mientras muchas personas piensan que los Estados Unidos podrían no estar listos para las guerras cibernéticas que se avecinan, los expertos de los CERT’s están
   ahora asesorando al gobierno de los Estados Unidos sobre cómo proteger mejor su infraestructura basada en los ataques que acabamos de ver.
2. El Software Malicioso hace extraños compañeros de cama.
   Los virus y los gusanos siempre han estado rondando, pero en verano de 2001 un gusano agresivo amenazó apagar el sitio web oficial de la Casa Blanca.  CodeRed, así como se llamó porque el descubridor estaba bebiendo una cola “Code Red” cuando lo descubrió, y garantizó una conferencia sin precedentes con el Centro Federal de Respuesta a Incidentes Computacionales (FedCIRC), el CERT de USA, el Centro de Protección de Infraestructura Nacional del FBI, la asociación de Tecnologías de Información de América (ITAA), el instituto SANS y Microsoft.Dos años después, Microsoft de nuevo se agrupó con el Servicio Secreto de USA, el FBI y más tarde la Interpol para ofrecer una recompensa de US$ 250,000 por información que lleve a la captura del creador de SOBig, MSBlast y otros virus peligrosos de aquellos tiempos.Tal cooperación Pública-Privada es extraña y rara, pero sucedió de nuevo a inicios de 2009 cuando el gusano Conficker estaba a punto de causar estragos en el Internet la media noche del 1 de Abril. Eso no sucedió, gracias en parte a una única coalisión de compañías de antivirus rivales que colaboraron con agencias del gobierno bajo el nombre de Grupo de Trabajo Conficker (Confiker Working Group). Hasta estos días, este grupo continúa monitoreando el gusano. Las organizaciones son más fuertes cuando se agrupan contra un enemigo común, e incluso las compañías de seguridad pueden poner sus diferencias a un lado por un bien común.
   
3. Los ataques a MySpace, Facebook y Twitter.
   Al principio de la década, los expertos de seguridad en negocios tuvieron que lidiar con el uso de los empleados de la mensajería instantánea de AOL, el correo web de Yahoo y las redes P2P. Esas aplicaciones abrieron agujeros en los cortafuegos corporativos, abriendo varios puertos que crearon nuevos vectores para el Software Malicioso.
   La batalla inicialmente se centró en el puerto 80; pero para el final de la década, lo último concierne a Facebook, Twitter y otras aplicaciones Web 2.0.
   En 2005, un joven creó el gusano Samy para MySpace, que resaltó un problema central de la web 2.0 -que la contribución del usuario podría contener software malicioso.
   Incluso además Facebook también ha tenido algunas metidas de pata con la privacidad, también tuvo su propio gusano, llamado Koobface.
   En 2009, Twitter también atrajo a sí mismo el malware y resaltó los peligros de las URL’s acortadas - con ellas, no puedes ver lo que te está esperando en el otro lado. Twitter también ha sufrido spam… o realmente Guy Kawasaki te envió ese enlace pornográfico?
4. Los virus organizados y el crimen organizado.
   Después del virus Melissa en 1999, los virus basados en correo alcanzarón su punto más alto el año siguiente con ILOVEYOU que obstruyeron los servidores de correo a nivel mundial casi 5 horas.
   Mientras los filtros anti-spam mejoraron para bloquear los correos masivos, los programadores maliciosos buscaron algo más, volviéndose a los gusanos de autopropagación como MSBlast, que explotaron una vulnerabilidad en los mensajes de llamadas a procedimientos remotos (RPC), y Sasser, que explotaba una vulnerabilidad en IIS.
   Ahora en estos tiempos, los virus y los gusanos comenzaron a usar el Protocolo SMTP para esquivar los filtros de correo para que la máquinas comprometidas puedan enviar correos con propaganda farmacéutica a direcciones al azar en la Red.Muy poco después de que el Programa de Recompensas de Microsoft premiara a Sven Jaschen, autor de NetSky y Sasser, en 2004, la imagen de un solitario autor creando virus en el sótano de sus padres cayó en desgracia, reemplazado por operaciones de crimen organizado con ganancias financieras asociadas a la industria pornográfica y a compaías farmacéuticas. (En 2005, PCWorld escribió una serie sobre el problema, “Web de Crimen”). Grupos tales como la Red de Negocios Rusa (RBN) empezaron campañas sofisticadas de spam.
5. Redes Zombie.
   Con el respaldo financiero de los sindicatos del crimen organizado llegaron también las innovaciones amplias e inteligentes en el software malicioso. En 2007, el gusano Storm - que comenzó como cualquier otro virus - comenzó a “hablar” con otros ordenadores infectados por el mismo gusano, formando una red de ordenadores comprometidos, todos con el protocolo peer-to-peer (p2p). Este protocolo permitía al operador que envíe una campaña de spam o utilice los equipos infectados para lanzar un ataque DDoS.Tormenta no estaba sola. Nugache, otro virus, construyó una botnet, también. Y había otros. Hoy en día, las botnets se han extendido a Mac OS y sistemas operativos Linux. Las posibilidades se están acercando a 50/50 de que podrías tener al menos un bot en uno de tus equipos ahora.
6. Albert Gonzalez.
   No fue el crimen organizado, sino más bien una confederación de criminales que causaron algunas de las brechas de datos más grandes en los últimos años que victimizaron Dave&Busters, Hannaford Brothers, Sistemas de Pago Heartland y TJS, por nombrar sólo algunos. Un hombre, Alberto González, se
   declaró culpable de la mayoría de estos robos, y estaba implicado en otros también.
   González y su equipo introdujeron código malicioso a través de la sitios web de estas grandes empresas. A su vez, el malware infiltró la red interna, donde podría buscar datos de tarjetas de crédito sin cifrar.Para combatir esas violaciones de datos, en 2005, la Industria de Tarjetas de Pago (Payment Card Industry)(PCI) produjo 12 requisitos que todos sus miembros deberían seguir; el Concilio de Seguridad PCI actualiza esos requerimientos cada dos años. A partir de esto, se cifran los datos de la tarjeta de crédito de extremo a extremo, de modo que su información personal nunca viaja de forma clara desde la caja registradora hasta la empresa de la tarjeta.
7. Phishing.
   Más eficaz que el spam, pero por debajo de una violación de datos, está el phishing. La idea aquí es que el diseño creativo de un correo electrónico te puede atraer e impulsar a visitar sitio web diseñado aparentemente confiable exclusivamente diseñado para robar tu información personal. A menudo, estos sitios utilizan “flujo rápido”, la capacidad de cambiar rápidamente los dominios de modo no puedas llevar la aplicación de la ley de nuevo al sitio.Usando los logotipos y diseños de los bancos y sitios de comercio electrónico, algunos sitios de phishing parecen totalmente realistas, una gran mejora sobre las páginas crudas llenas de errores ortográficos de hace unos años. ¿La mejor defensa? No hagas clic!.
8. Viejo protocolo, nuevo problema.
   Detrás del Internet están los protocolos, algunos de los cuales hoy realizan funciones mucho más allá para los que fueron diseñados. Tal vez el más conocido de los protocolos sobreexcedido es el Sistema de Nombres de Dominios (DNS), que, como el investigador de IOActive Dan Kaminsky explicó en 2008, podría ser vulnerable a varias formas de ataques, incluyendo el envenenamiento de DNS.Los DNS’s convierten un nombre común de un sitio web (por ejemplo: www.mygeekside.com) en su dirección numérica de servidor (por ejemplo, 143.27.162.18). El envenenamiento de caché significa que la dirección almacenada para un nombre común podría ser errónea, lo que podría conducir a un usuario a un sitio comprometido en lugar del sitio deseado, el usuario no tendría forma de saberlo.
   Kaminsky logró mantener la vulnerabilidad conocida sólo a un grupo limitado de empresas por cerca de 6 meses, y luego desplegó una serie coordinada de parches que pareció resolver muchas de las vulnerabilidades más serias.Del mismo modo, el investigador Marsh Ray de PhoneFactor descubrió un agujero dentro de SSL/TLS, uno que permitiría ataques de hombre-en-el-medio (Man in the Middle) (MITM) mientras se autenticaban las 2 partes. Esto no era un problema específico del vendedor, sino un defecto a nivel de protocolo. Ray, al igual que Kaminsky, también se dedicó a la coordinación de un parche entre los vendedores afectados. Sin embargo, un segundo investigador tropezó con algo más o menos de lo mismo, por lo que Ray se sintío obligado a presentar la vulnerabilidad, a pesar de aque algunos de los parches están por venir.

   Revelaciones como éstas han acelerado la tendencia hacia normás más recientes, tales como DNSSEC, que autentica los datos en el sistema DNS, y una nueva versión de SSL/TLS.

   Esperamos que el reemplazo de los protocolos existentes continúe en los próximos años.

9. Martes de parches Microsoft.
   Una década atrás, Microsoft sólo liberaba sus parches cuando eran necesarios. A veces era a la última hora de los viernes por la tarde, lo que significaba que los chicos malos tenían todo el fin de semana para hacer ingeniería inversa al parche y explotar la vulnerabilidad antes que los administradores de sistema se presenten a trabajar el Lunes.A inicios del otoño del 2003, Microsoft lanzó sus parches en un horario simple: el segundo martes de cada mes. Lo que se conoce como “martes de parches” ha producido en los últimos años, una cosecha de parches nuevos cada mes.Oracle libera parches trimestralmente, y Adobe recientemente anunció que también haría revisiones trimestrales o tal vez algo como las martes de parches de Microsoft.

   Apple sigue siendo el único proveedor que no se adhiere a un ciclo regular de revisiones.

10. Pago por la Revelación de Vulnerabilidad.
    Los investigadores independientes han debatido durante años si hacer público un fallo recién descubierto o esperar al vendedor hasta que se haya creado un parche. En algunos casos, el proveedor no hace caso al investigador, o no hace una prioridad la publicación de la falla, por lo que el investigador la hace pública. En el otro lado de la cerca, los delincuentes no lo hacen público, sabiendo que la información de esa vulnerabilidad vale mucho dinero en el mercado negro.Después de años de tira y jale, en los últimos tiempos una o dos compañías de seguridad han decidido pagar a investigadores para permanecer callados,  mientras la empresa trabaja con el Distribuidor para que el parche se produzca en el momento oportuno y que los clientes de la compañía obtengan detalles de la falla antes que el público en general.Por ejemplo, en la Conferencia de Seguridad Aplicada CanSecWest, Tipping Point Technologies concede anualmente 10.000 dólares para el investigador que pueda hackear un sistema determinado.
    Y los programas de-pago-por-vulnerabilidades han madurado en los últimos años. Por ejemplo, en la liberación de Martes de Parches de Microsoft de diciembre de 2009, todas las cinco vulnerabilidades del Internet Explorer parchadas pueden ser atribuidas a la iniciativa del Programa iDefense Zero Day.

Traducido y adaptado de: http://www.msnbc.msn.com/id/34644028/ns/technology_and_science/?pg=5#Tech_PCWorld_Security_Nightmares

Saludos,

Felipe

El libro está en inglés y es la última edición publicada: HACKING, The Art of Exploitation 2nd Edition. (HACKING, El Arte de la Explotación, 2da Edición) de Jon Erickson.
El libro también lo venden an Amazon.com en esta dirección.

El libro me costó con gastos de envío US 60.00 y lo estoy vendiendo a US$ 50.00 ó su equivalente a 150 Nuevos Soles en Perú. El precio incluye gastos de envío solamente para Perú. Si es otro país, será de acuerdo a cuánto cueste el envío al país del comprador y éste correrá por cuenta del comprador.

Básicamente el libro trata de qué es realmente el hacking.

El hacking es el arte de resolver problemas ya sea encontrando una solución no convencional a un problema muy difícil o explotando fallas de programación en programas. Muchas personas se llaman así mismos “hackers”, pero realmente pocos tienen los fuertes fundamentos técnicos necesarios para realmente ganarse ese nombre de manera verdadera.

Además de mostrar cómo funcionan los exploits actuales, el autor Jon Erickson explica cómo algunas técnicas antiguas de hacking aún se aplican.

El CD que viene incluído en el libro provee un ambiente de programación y desarrollo completo en Linux en el cual se puede experimentar sin necesidad de modificar el sistema operativo actual. Lo puedes usar para seguir los ejemplos del libro al mismo tiempo que te imbuyes de conocimiento y explorar las verdaderas técnicas de hacking por ti mismo. Ve por ti mismo como se depura código, cómo se explotan los buffers, cómo se secuestran sesiones en redes, como se esquivan protecciones y cómo se explotan debilidades criptográficas y mejor aún cómo crear tú mismo tus propios exploits.

Este libro te enseñará cómo:

• Programar computadores usando C, lenguaje ensamblador y scripts shell.
• Corromper la memoria del sistema para ejecutar código arbitrario usando sobrecargas de buffer y cadenas.
• Inspeccionar los registros del procesador y la memoria del sistema con un depurador para obtener entendimiento real de lo que está sucediendo.
• Conocer medidas comunes de seguridad como Pilas-No-Ejecutables y Sistemas de Detección de Intrusiones.
• Obtener acceso real a un servidor remoto usando redireccionamiento de puertos o shell reversas y alterar los registros del servidor para ocultar tu presencia.
• Redireccionar tráfico de red y secuestrar conexiones TCP.
• Crackear tráfico encriptado usando ataques FMS y acelerar los ataques de fuerza bruta usando Matrices de Probabilidad de Contraseñas.

Los Hackers siempre están tocando los límites, investigando lo desconocido y mejorando su arte. Incluso si no sabes cómo programar, este libro te dará toda la idea completa de la programación, arquitecturas de equiposs, comunicaciones de red y las técnicas existentes de hacking actuales.

Los que estén interesandos ponerse en contacto conmigo a la siguiente dirección de correo admin@mygeekside.com o por este sitio.

Saludos,

Felipe