¡Socorro ransomware! Como prevenirlo y, en algunos casos, curarlo

 La amenaza informática más popular en el último año se denomina ransomware y, si somos infectados, nuestros ficheros más preciados en computadoras, tabletas o teléfonos móviles pasaran a estar cifrados e inaccesibles. Estos ficheros pueden ser nuestras fotos personales y familiares, documentos de trabajo, ficheros del banco y cualquier otro documento de valor.

 A cambio de liberar los ficheros se  nos demandará una cantidad de dinero elevada, $ 700 USD en promedio, generalmente a pagar en la moneda virtual Bitcoin.

 Ante el miedo a perder ficheros valiosos y muchas veces irreemplazables, hay mucha gente que decide pagar a los delincuentes para obtener la clave de descifrado. De modo que al ser una actividad tan lucrativa los "malos" la han adoptado en masa y han convertido el ransonware en la amenaza número 1 de la seguridad informática.

¿Que se puede hacer algo si hemos sido infectados? La primera opción sería recuperar los ficheros que han resultado cifrados desde una copia de seguridad anterior a la infección. Si las cosas vienen mal dadas y no tenemos ninguna copia de nuestros datos disponible, existe un sitio web, patrocinado por grandes nombres de la seguridad como Intel Security o Kaspersky, que nos ayuda a detectar el tipo de ransomware que nos ha infectado y a proponer una cura si existe.

 Este sitio web se llama NoMoreRansom (https://www.nomoreransom.org/) y la página que nos ayuda a detectar el tipo de infección es el Crypto Sheriff. Basta con subir uno o dos ficheros o la copia de la pantalla pidiendo el rescate para verificar el tipo de infección.

Finalmente, trascribo aquí las recomendaciones que nos hacen desde NoMoreRansom para tratar de evitar las infecciones de ransomware o al menos limitar sus efectos:

• Tener siempre una copia de seguridad de nuestros ficheros. Esta es la regla de oro, ¡pero atención!, la copia debe estar en algún sitio que no pueda ser infectado por el malware, como un disco externo que no esté siempre conectado a la computadora o algún servicio cloud de conexión no permanente.
• Usar un buen software antivirus.
• Mantener el sistema operativo y los programas de la computadora actualizados
• No confiar en nadie. Es decir, aunque vengan de remitentes conocidos, no abrir ficheros o enlaces desconocidos y/o no esperados, ya que dichos remitentes pueden haber sido infectados sin saberlo.
• Habilitar "Mostrar las extensiones" de fichero en Windows par facilitarnos del filtrado manual desterminados ficheros
• Si se detecta lo que puede ser una infección en la computadora, lo mejor es desconectarla de la red ya que así podemos evitar infectar a otros y en ciertos casos podríamos hasta evitar la infeccion.

La esteganografia y el malware

 La esteganografía, del griego "escritura oculta", trata de las técnicas para ocultar información dentro de otros elementos, los portadores, de forma que no se perciba su existencia. Algunas de estas técnicas se emplean desde la antigüedad pero en los últimos años han vuelto a cobrar mucha importancia en el área de seguridad informática.

 Hoy día son numerosos los grupos criminales y terroristas que utilizan la esteganografía para comunicarse o desarrollar sus acciones criminales. Entre los primeros están los creadores de malware que de forma creciente se sirven de la esteganografía para diferentes propósitos, por ejemplo:

•  Esconder ficheros ejecutables malignos dentro de imágenes de mapa de bits
• Incluir órdenes de control del malware (C&C command and control) dentro de consultas DNS
• Utilización de imágenes JPG de sitios legítimos para ocultar órdenes de control
• Órdenes de control codificadas dentro de ficheros HTML

 Las técnicas utilizadas para esconder la información no son de excesiva complejidad, por ejemplo se pueden alterar los colores de una imagen de forma imperceptible para el ojo humano, pero sin embargo son muy difíciles de detectar y de ahí su creciente popularidad. No es este el caso del ejemplo de estenografía que se muestra en la figura 1.

 Figura 1. Mensaje del gobernador de California, Arnold Schwarzwnegger, a la asamblea de California explicando su veto a una ley después de que un legislador le insultara durante su discurso. El mensaje secreto aparece tomando la primera letra de cada línea del texto principal.

Máxima seguridad en Windows con el Enhanced Mitigation Experience Toolkit (EMET)

El Enhanced Mitigation Experience Toolkit (EMET) es una herramienta de Microsoft para aumentar la seguridad frente a los atacantes de nuestra computadora. EMET no es una herramienta antivirus tradicional sino que se anticipa la mayoría de las acciones y técnicas que se utilizan para comprometer una computadora y ayuda a protegerse desviando, interrumpiendo, bloqueando e invalidando dichas acciones y técnicas. En otras palabras, EMET ayuda a proteger el sistema incluso frente a amenazas nuevas todavía no cubiertas por las actualizaciones de seguridad o el software antivirus.

 EMET incluye 12 mitigaciones de riesgos de seguridad que complementan otras medidas como Windows Defender y el software antivirus. Entre las mitigaciones abundan las comprobaciones de memoria y de carga de librerías. EMET se instala con unos perfiles por defecto de protección que son ficheros XML que contienen la configuración predeterminada para las aplicaciones más comunes de Microsoft y de terceros.

 La aplicación se puede descargar  aquí y cuando termina la instalación se nos indica la configuración a aplicar como se observa en la siguiente captura en la que se aplican protecciones para Microsoft Office, Internet Explorer, Oracle Java y Adobe Acrobat entre otras aplicaciones:

 No he hecho una prueba tan a fondo de EMET como para saber si cumple con lo que promete, pero algo debe proteger cuando desde el blog de TechNet de este mes se comenta que algunas variantes de malware buscan directamente si está EMET instalado y si lo encuentran se inhiben y no lanzan sus ataques.

 Para finalizar, en la siguiente captura se puede ver el aspecto de la consola de la aplicación una vez instalada:

Windows Defender Offline para eliminar el malware más resistente

 A veces el software malicioso, incluyendo su peor variante, los rootkits, consigue instalarse en nuestro PC. La mejor manera de eliminar este software es haciendo un arranque limpio del equipo y para ello lo ideal es arrancar con un sistema operativo auxiliar.

 Para todo esto Microsoft ha creado Windows Defender Offline que está basado en Windows PE y a la vez utiliza las definiciones más actualizadas de las potenciales amenazas de software. Para utilizar el Defender Offline hay que seguir los siguientes pasos:

• Decargar el software desde aquí y crear un medio extraible de arranque como un CD, DVD o disco USB
• Reiniciar el PC arrancando desde el medio extraíble con Windows Defender
• Analizar el PC para encontrar todo el software malicioso
• Eliminar dicho software malicioso

Tres cosas a tener en cuenta para que el proceso sea exitoso:
- Hay que descargar la versión de Defender Offline adecuada para nuestro sistemas operativo: 32 bit o 64 bit
- El equipo tiene que ser capaz de arrancar desde el medio extraible elegido, CD, DVD o USB y para ello puede ser necesario tocar los ajustes de la BIOS
- El disco duro del sistema no tiene que estar encriptado porque sino Windows Defender no podrá leerlo

Imagen del proceso de creación del medio de arranque

Proceso de creación del medio de arranque concluido

La tecnología NFC - III - Seguridad

 La tecnología NFC está muy bien pero, dado que es una tecnología inalámbrica y uno de sus principales objetivos es el de realizar pagos con dispositivos móviles ¿Cuál es su seguridad?

 Siendo sistemáticos, el primer riesgo que se presenta en una tecnología inalámbrica son las escuchas ilegales (eavesdropping). Esto es, cuando una tercera parte intercepta la transmisión y accede a los datos que se transmiten. Una posible solución es cifrar los datos que se transmiten en el canal NFC con protocolos de más alto nivel como SSL. Como atenuante, las escuchas con esta tecnología están limitadas a 1 m para transmisión de datos en modo pasivo y 10 m en modo activo.

 Otro posible problema de seguridad es la corrupción de los datos. Este es básicamente un ataque de denegación de servicio en el que el atacante inutiliza el canal de comunicación. El ataque se puede detectar fácilmente ya que requiere mucha más potencia que la operación normal, pero es difícil protegerse contra él, aunque de nuevo se pueden implementar validaciones en el canal de datos para prevenir la corrupción. De forma relacionada, la manipulación de datos se puede limitar utilizando una canal de datos seguro.

 Los ataques de intermediario (man-in-the-middle) tienen pocas posibilidades de éxito con NFC debidos a los alcances tan cortos de la señal de radio. De todos modos, para minimizar los riesgos conviene usar solo esquemas de comunicación activo-pasivo que facilitan la detección de posibles intrusiones así como canales de comunicación seguros.

 Finalmente, las aplicaciones maliciosas (malware) descargadas en los smartphones pueden ser otro problema importante. Estas aplicaciones pueden capturar información de otros dispositivos NFC o del mismo dispositivo y enviarla a atacantes. Contra esto solo queda asegurarse de que el usuario está informado y tiene cuidado con las descargas, evitando especialmente las tiendas de aplicaciones no oficiales. En un futuro será muy posible que existan aplicaciones anti-malware específicas que vigilen adecuadamente la información sensible.

 Como toda nueva tecnología, NFC tendrá que ir alcanzando su madurez desde el punto de vista de la seguridad y hasta entonces habrá que estar vigilantes.

 

 

Como restaurar la configuración de fábrica de Internet Explorer, Chrome o Firefox

 Hay ocasiones en las que aunque tengamos cuidado algún complemento indeseado se instala en nuestro navegador de internet y no hay manera civilizada de quitarlo. Otras veces el browser está simplemente sobrecargado de barras de herramientas varias y va lento como una tortuga. Para estos casos, y antes de instalar herramientas de limpieza más potentes, os propongo los siguientes procedimientos para restaurar la configuración original de los tres navegadores más populares:

 - Microsoft Internet Explorer: la forma de restaurar la configuración es ir al menú de opciones de Internet -> pestaña Opciones Avanzadas y allí pulsar el botón de Restablecer o Reset.

 - Mozilla Firefox: en las últimas versiones hay que acceder a través del menú Firefox -> Ayuda -> Troubleshooting information y en la página que se abre pulsar en restaurar Firefox

 - Google Chrome: este navegador no tiene una opción de restauración como en los dos anteriores, pero hay un método alternativo para hacerlo: borrar el fichero FirstRun en:

      C:\Users\mi_usuario\AppData\Local\Google\Chrome\Application (User Data en Windows 8)

y forzar al navegador a reconfigurarse la próxima vez que se abra.

 Si todo esto falla, queda la opción de reinstalar el browser, aunque si tenemos la sospecha de que los problemas pueden ser debidos a algún tipo de malware lo mejor es buscar algún producto específico como los que se ofrecen a través de Softonic 

Los ataques de dia cero son mas numerosos y persistentes de lo que se pensaba

 Las ataques de día-cero son los más buscados por los hackers ya implican vulnerabilidades que no son conocidas por los fabricantes del software afectado y, por supuesto, no existe ningún tipo de parche para protegerse. Por ello el precio de los exploits para estos ataques zero-day se cuenta en los miles de dólares USA y se conoce que ha llegado hasta los 250.000 $, siempre con la condición de las vulnerabilidades permanezcan secretas y no parcheadas.

 

 Con estos antecedentes, dos investigadores de Symantec han recogido datos entre 2008 y 2011 de 11 millones de PCs reales ejecutando Symantec antivirus para tratar de estudiar el fenómeno. Sus conclusiones no dejan lugar a muchas dudas:

• El número de ataques de día cero es el doble de lo que hasta ahora se pensaba y su promedio de duración hasta que se hacen públicos es de nada menos que 10 meses. En el gráfico inferior se puede observar esta duración, que en los casos peores puede llegar a años.
• Este tipo de ataques suelen ser muy dirigidos a objetivos específicos. La mayoría de ataques del estudio se han encontrado en menos de 100 máquinas y en algunos casos sólo en una computadora. Esto parece razonable puesto que son ataques muy caros y se suelen usar sobre todo para espionaje
• Una vez que se descubren al público, la frecuencia de los ataques día cero sube unas cinco veces hasta que son parcheados. Es decir, los hacker atacan en masa pasando de unos centenares de PCs infectados a decenas de miles en unos pocos días hasta que el parche esté disponible.

Duracion en meses de los ataques zero-day del estudio

El malware para Android crece exponencialmente

 Si hace unas semanas hablábamos de que en el pasado mes de junio de 2012 el software malicioso o malware para Android alcanzaba los 25.000 especímenes, el informe de Trend Micro sobre el tercer trimestre de este mismo año nos indica que este número alcanzaba ya la preocupante cifra de 175.000 a finales de septiembre. Los teléfonos inteligentes Android son los más populares del mercado, vendiéndose en una proporción de más de 2 a 1 frente al iPhone y esta popularidad les está pasando factura atrayendo a maleantes de toda especie. Además, se está comenzando a ver la tendencia de usar los equipos Android como vectores de ataques a redes corporativas, así que atención a los administradores que redes sobre este punto.

 Frente a todo esto, recomendar como siempre la instalación de aplicaciones sólo desde fuentes fiables, no liberar (ganar acceso root) alegremente los dispositivos e instalar las actualizaciones de seguridad de los fabricantes. Y en general, aplicar el mismo sentido común y las mismas precauciones que usaríamos al navegar por internet o abrir mensajes en un ordenador de sobremesa.

Fuente: Trend Micro

Karsperky Labs prepara su propio sistema operativo seguro

 Eugene Kaspersky, uno de los fundadores de la conocida empresa de seguridad informática que lleva su nombre, confirmó en su blog que Kaspersky Labs está trabajando en un sistema operativo seguro para los sistemas de control industrial (ICS). Estos sistemas control son los que gestionan desde la distribución de energía eléctrica hasta el control de transportes, las finanzas o las telecomunicaciones de un país, y no se entiende ningún lugar del mundo que se diga avanzado sin que este tipo de sistemas controlen todo su funcionamiento.

 Como paradigma de los ataques a sistemas de control, en 2010 los sistemas SCADA de Irán que controlan su programa nuclear sufrieron ataques a través del sofisticado gusano Stuxnet creado por los servicios secretos de los EEUU e Israel y que, según Eugene Kaspersky, abre una nueva etapa de armas de destrucción masiva informática.

 Los sistemas de control industrial son entornos que tienen que estar siempre disponibles y en muchos de ellos están prohibidas las actualizaciones para mantener una disponibilidad del 100%

 Por todo esto, Kaspersky labs se ha decidido por la alternativa de crear un sistemas operativo seguro en el que se puedan instalarlos ICS. Estas son las dos claves de cómo esperan alcanzar la seguridad total:

 - Con un sistema muy a medida y de funcionalidad limitada, desarrollado únicamente para cumplir una tarea específica.

 - Con métodos para escribir software que por diseño hagan que los programas no sean capaces de llevar a cabo actividades no declaradas.

 

 

 

Malware en dispositivos móviles: Apple iPhone

 Cuando se habla de malware para los dispositivos móviles de Apple (iPhone, iPod Touch e iPad) mucha gente duda de su existencia pero es cierto que existe, aunque parece que es tan reciente como de este mismo año (Forbes, Wired). Sin embargo, también es cierto que este malware es un poco frecuente y que las primeras muestras se han encontrado tras cinco años de existencia de la App Store de Apple.

 

 El sistema operativo iOS que hace funcionar el iPhone o el iPad tiene numerosas funciones para proporcionar una buena seguridad, pero parece que la mayor protección de la plataforma lo otorga el hecho de que Apple revisa cuidadosamente todas las aplicaciones que se publican en el App Store (link), y esta tienda en la única a través de la cual se pueden cargar aplicaciones en los dispositivos. Esta protección lógicamente se pierde en dispositivos liberados, jailbroken, en los que se pueden instalar aplicaciones de otras App Stores distintas a las de Apple (link).

 

 Dada la tendencia al crecimiento exponencial del malware, es bastantes seguro que éste acabará llegando en mayor número incluso a la Apple Store, por tanto es importante seguir una normas básicas como las que recomendaba en un post anterior (link). En el caso de Apple es especialmente importante no ceder a la tentación de hacer jail-breaks que en el fondo no son más que ataques iniciados por nosotros mismos a la seguridad del sistema y que lo dejan preparado para futuros ataques del software malicioso.

 

 

Malware en dispositivos móviles - Primera entrega: Android

 Los smartphones más que teléfonos son pequeñas computadoras con cada vez más posibilidades y como tales han 'heredado' de las computadoras de sobremesa la capacidad de infectarse con software malicioso o malware (virus, spyware, troyanos, etc.).

 La plataforma Android actualmente lidera el mercado de los smartphones con cerca de un 70% de cuota de mercado (link) y por esta razón, junto con la escasa revisión de las aplicaciones en Google Play, Android es la plataforma preferida por los creadores de malware. En concreto, en junio de 2012 se estimaba que el número de programas maliciosos superaba los 25.000 según Trend Micro y recientemente el FBI ha advertido sobre dos nuevos malwares muy activos en Android. Este tipo de software maliciosos son de la categoría de espías los cuales, junto a los que abusan del servicio SMS, son los más frecuentes.

 Estos son unos consejos para seguir disfrutando de nuestro teléfono Android sin sobresaltos:

- Sólo descargar aplicaciones de fuentes de confianza como Google Play o Amazon. Desde luego no descargar ningún tipo de aplicación pirata.

- Entender los permisos que damos a las aplicaciones que se instalan. La aplicación nos dice los permisos que necesita, enviar SMS, leer nuestra información personal, etc. y nosotros tenemos la opción de instalarla o no

- Usar un código de seguridad para proteger el acceso al smartphone: es la primera barrera de protección de nuestro teléfono

- Instalar un software anti-malware (por ejemplo ver softonic)

- No desproteger el dispositivo haciendo jailbreak o rooting, ya que relaja las restricciones de seguridad del teléfono

- No conectarse a redes WiFi desconocidas que son un origen frecuente de problemas

- Actualizar el smartphone con los parches del sistema operativo y de las aplicaciones que se publiquen

- Y finalmente, no nos olvidemos de seguir las mismas precauciones al navegar que en una computadora: no abrir enlaces de orígenes desconocidos y no entrar en paginas dudosas como las que ofrecen software pirata