El usuario, el eslabón más débil en la seguridad informática.

Super Hacker Bueno Chema Alonso

Chema Alonso, el hacker bueno

Excelente vídeo del programa «El Hormiguero» en donde entrevistan a Chema Alonso con motivo del reciente robo y publicación de fotos y videos de famosas o «CelebGate» o «Fapenning» como originalmente se llamó.

Chema explica uno de los métodos que han utilizado para conseguir las contraseñas de iCloud de las Celebrities, también comenta que éste, es sólo uno de ellos y que se han usado otros.

El ataque estaba enfocado, no era un ataque masivo sino que iban a por esas cuentas concretas y probaron con varios métodos.

Es muy interesante ya que nos hace ver lo vulnerables que son los usuarios a la ingeniería social, doy paso al vídeo:

Enlaces relacionados:

Blog de Chema Alonso: Un informático en el lado del mal.

El gobierno de EE.UU. llama a parchear urgentemente Windows

El Departamento de Seguridad Interior de los Estados Unidos avisó anteayer de que una de las vulnerabilidades recogidas en el último boletín de parches de Microsoft (en concreto, la MS06-040) podría «tener consecuencias sobre los sistemas del gobierno, la industria privada y las infraestructuras críticas, así como sobre usuarios domésticos» y, en un movimiento nada habitual, instó a los usuarios a parchear los sistemas afectados lo antes posible.

Fuente: Kriptópolis.

¡Estoy hasta los Virus del Bluetooth!

Donde trabajo, hay bastantes teléfonos con Bluetooth y cada vez es más frecuente ver mensajes de este tipo (ver captura).

¿Desea aceptar «dhgt507ih.sis»?

¿dhgt507ih.sis? ¿y eso que es? ¿quien me lo envía? No hay forma de saberlo, Windows es así, o aceptas o no aceptas… bueno, a pesar de que la extensión .sis ya canta mucho, curioso que es uno, acepto el archivo.
Abro ActiveSync, exploro el dispositivo y transfiero el fichero a mi PC de escritorio, el dichoso ocupa 28 KB, que raro, recuerdo tener muchos emails con adjuntos del mismo tamaño…

Lo edito con un Editor de Textos, Scite para ser exactos, y bueno, al ser un archivo de sistema como su propia extensión indica, no veo más que NULLS y símbolos en Klingon por lo menos.
Pero entre NULL y NULL se puede leer el siguiente texto:

CommWarrior v1.0b (c) 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute it in it’s original unmodified form.
OTMOP03KAM HET!

Vaya, por lo visto es un virus para celulares con sistema Symbian OS.

Nombre: SymbOS/Commwarrior.B
Nombre NOD32: SymbOS/CommWarrior.B
Tipo: Gusano
Alias: Commwarrior.B, Symb/Comwar-B, SymbOS.Commwarrior.B, SymbOS/Commwarrior.b, SymbOS/Commwarrior.B, SYMBOS_COMWAR.B
Fecha: 7/mar/05
Plataforma: Symbian OS Series 60
Tamaño: 32,768 bytes
Última modificación: 30/mar/05

Se propaga por Bluetooth, utilizando nombres de archivos al azar. Bluetooth es una norma abierta que posibilita la conexión inalámbrica de corto alcance entre computadoras de escritorio y portátiles, agendas digitales personales, teléfonos móviles y otros dispositivos.

El gusano afecta a teléfonos móviles que se ejecutan bajo el sistema operativo Symbian OS Series 60, como los siguientes:
Nokia 3650, 3600, Nokia 3660, 3620, Nokia 6600, Nokia 6620, Nokia 7610, Nokia 7650, Nokia N-Gage, Panasonic X700, Sendo X, Siemens SX1

Así que mucho ojo con el Bluetooh, los teléfonos Symbian y los mensajes en Klingon 😉

Actualización: Han pasado sólo dos horas y ya he recibido unos 10 avisos, hay alguien por aquí con un buen gripazo de symbian.

PSP: Aviso de Virus/Troyano PSP/Brick.A en el overflow.tif. ¿Falso?

Muchos habeis comentado en la anotación ‘Downgrader PSP 2.0 a 1.50 – HOW TO – Pasos a seguir’ que al descargar el archivo overflow.tif aparece un mensaje del Antivirus diciendo que contiene un virus ( PSP/Brick.A ).
El Virus existe, pero no está en overflow.tif, vamos a poner un poco de luz sobre el asunto, veamos información acerca del Troyano:

Nombre: Brick.A
Nombre NOD32: PSP/Brick.A
Tipo: Caballo de Troya
Alias: Brick.A, PSP/Brick.A, PSP/Brick.A-tr, PSP/Format.A, psp-brick-a, TR/PSP.Brick.A, Troj/PSPBrick-A, Trojan.PSP.Brick.a, Trojan.Psp.Brick.A, Trojan.PSP.Brick.A, Trojan.PSPBrick, Trojan/PSP.Brick.A
Fecha: 11/oct/05
Plataforma: Sony Playstation Station Portable (PSP)
Tamaño: 3,848 bytes (BIN); 2,254 bytes (RAR)

Caballo de Troya para la Sony Playstation Station Portable (PSP).
Cuando se ejecuta, muestra un mensaje que reclama hackear el firmware de la PSP 2.0.
El troyano elimina cuatro archivos críticos que hacen que el dispositivo quede inutilizable.
Se presenta como un exploit para la PSP, con el siguiente nombre:

EXPLOIT 2.0 PSP Team V1.RAR

El archivo RAR contiene los siguientes archivos:

H.BIN
PSPTEAM.NFO
/PSP/PHOTO/OVERFLOW.TIF

Las instrucciones en PSPTEAM.NFO (un archivo de texto), indican que el archivo H.BIN debe ser colocado en el directorio raíz del dispositivo USB, y el archivo OVERFLOW.TIF en la carpeta /PSP/PHOTO/.
Cuando el exploit se ejecuta, el troyano elimina los siguientes archivos del sistema:

flash6:/vsh/etc/index.dat
flash6:/kd/loadcore.prx
flash6:/kd/loadexec.prx
flash6:/kd/init.prx

Estos archivos son críticos para el reinicio de la Playstation.
Luego de ello, el troyano muestra el siguiente texto:

Your 2.0 is hacked please reboot
Thank you PSP Team the french team
FuCk yoshihiro and SonyxTeam Looser

Cuando el archivo OVERFLOW.TIF utiliza el exploit que provoca la ejecución de H.BIN, se muestra el siguiente mensaje:

PSP TEAM 2.0 Exploit Hack the 2.0 firmware
Thank’s to toc2rta for the 2.0 exploit 🙂

Como hemos visto un poco más arriba, el Virus encargado de eliminar los archivos críticos de sistema está compilado en el archivo H.BIN, el archivo overflow.tif simplemente se encarga de que sea posible ejecutarlo, al igual que nos sirve para ejecutar el Downgrader, aún así, como el archivo overflow.tif está contenido en el RAR es normal que los antivirus lo cataloguen como tal, siendo evidentemente un aviso falso.
Así tenemos que el overflow.tif permite ejecutar tanto el virus como el Downgrader, hay que tener cuidado a la hora de ejecutar homebrew ya que ‘nos podemos encontrar de todo’ pero el overflow.tif ( http://dide.bitacoras.com/img/overflow.tif ) que ha sido ofrecido en esta Bitácora está y ha estado exento de Virus siempre.

Si vuestro antivirus no os permite descargarlo, simplemente desactivar la protección a tiempo real del mismo y descargad el fichero overflow.tif. Recordad activar la proteccion del antivirus luego 😉

Espero que haya quedado un poco más claro el asunto, igualmente el hilo de comentarios está abierto para responder cualquier tipo de duda o cunsulta.

Troyano roba-passwords de World of Warcraft.

PWSteal.Wowcraft es un caballo de troya roba-passwords que intenta apropiarse de la password de World of Warcraft y la envía al creador del troyano.

Tipo: Troyano.
Tamaño infección: 34.304 bytes, 43.008 bytes
Sistemas afectados: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Detalles técnicos:

1. Se copia a sí mismo como uno de los siguientes ficheros.

* %Archivos de Programa%\svhost32.exe
* %Archivos de Programa%\rundll32.exe
* %Archivos de Programa%\Internat.exe

2. Crea el siguiente fichero:

%System%\msdll.dll (c: \windows\system32\msdll.dll)

3. Añade al registro de Windows el siguiente valor:

«load» = «[Ruta de uno de los ejecutables del punto 1]» en HKEY_LOCAL_MACHINE\SOFTWARE\Microsof t\Windows\CurrentVersion\Run

de modo que arranca siempre al inicio del sistema.

4. Inyecta msdll.dll en otros procesos activos incluyendo explorer.exe, de manera que monitoriza las contraseñas introducidas.

5. Initenta iniciar un proceso de registro de teclas hasta encontrar una ventana asociada a «wow.exe», «Launcher.exe», «www.wowchina.com» o «signup.worldofwarcraft.com».

6. Envía por email la contraseña sustraida al autor del Troyano.

7. Intenta deshabilitar procesos o ventanas que contengas los siguientes textos, algunos relacioneados con la seguridad:

* EGHOST.EXE
* MAILMON.EXE
* KAVPFW.EXE
* Ravmon.exe
* Ravmond.exe
* ZoneAlarm

8. Intenta descargar y ejecutar ficheros desde internet.

Fuente: Symantec y wow-esp.

Nuevos ataques contra Google

Inento hacer una búsqueda en Google y me sale el siguiente mensaje:

… but we can’t process your request right now. A computer virus or spyware application is sending us automated requests, and it appears that your computer or network has been infected.

Al parecer estan recibiendo un nuevo ataque de algún virus. Estaremos atentos a ver que está pasando.

Virus, antivirus y efectos emocionales en el área
de trabajo

Un lector me pregunta sobre tener dos antivirus instalados en el mimso sitema operativo.
En monografias hay un trabajo de Juan Fontanet Santiago llamado Virus, antivirus y efectos emocionales en el área de trabajo, te recomiendo una detenida lectura.
Extraigo esto:

[…] Una buena practica es tener dos antivirus distintos ya que trabajan de distintas maneras. Tal vez mientras uno es bueno detectando nuevos virus el otro es bueno enviado actualizaciones recientes. En las empresas de muchas computadoras quizás cientos el antivirus debe estar centralizado para facilitar el trabajo de actualizaciones y de control de los virus que llegan al servidor manteniendo una bitácora de todo lo que ocurre en la red.
Los usuarios deben ser capacitados para guardar en lugares seguros sus archivos esenciales, borrar archivos adjuntos de los correos electrónicos que no representen seguridad, preparar discos de arranques, bloquear macro virus en las propiedades de los programas entre otras cosas. […]


Y añado que hay algunos programas antivirus que funcionando simultaneamente dan problemas de lo más inesperados, mi consejo es:
Utiliza uno para auditar, examinar todo lo que se mueve, y cuantos más mejor para ir escaneando el disco en busca de virus.