sábado, 23 de junio de 2007

MPACK contra la Banca Online

Websense® Security Labs™ informaba hace pocos días el ataque a gran escala usando la herramienta Web Sploit MPACK información desde las páginas de Panda:

Este Kit que se ejecuta en un servidor web que tenga instalado PHP y que dependiendo del navegador utilizado por el usuario, intenta explotar diferentes vulnerabilidades en el equipo de dicho usuario. Hispasec destaca que hay mas de 10000 Web Site comprometidos, es decir que las personas que visitaban dichas páginas y su sistema es vulnerable sería afectado por la descarga de un troyano con programas capaces de robar información confidencial como la de acceso a la banca electrónica.

Detecta automáticamente el navegador entre los que incluye:

* Internet Explorer
* Opera
* Konqueror
* Lynx
* Netscape
* Mozilla
* Firefox

Y entre los Sistemas Operativos:

* Linux
* Windows
* Windows NT
* Mac
* FreeBSD

La última versión de mPack, 0.90, incluye los siguientes exploits:

* MS06-014
* MS06-006
* MS06-044
* MS06-071
* MS06-057
* WinZip ActiveX overflow
* QuickTime overflow
* MS07-017

Entre los top ten de las páginas infectadas de la versión 0.90 se encontraba la de la presentadora Marta Torné, lo que ha provocado gran número de infectados en España.

El código malicioso descargado nos lleva de nuevo a servidores alojados en máquinas pertenecientes al Sistema Autónomo de Russian Business Network (RBN), responsable también de la distribución del Troyano Anserin/Sinowal/Torpig.

SIT-1 The truth is not single real, also can be digital!

lunes, 18 de junio de 2007

Intervención Juan Carlos Ruiloba en el IV Foro de las evidencias electrónicas


CIBERINTELIGENCIA CRIMINAL

“Intercambiando ideas no solo las sumamos, como decía Bernard Swaw, sino que añadimos algo más, que es el establecer nuevos elementos catalizadores de la multiplicación del desarrollo intelectual.”

Contenido:
1.- Introducción
2.- Ciberinteligencia
3.- Tendencias Tecnológicas
4.- Dificultades de Investigación
5.- Cibercrimen
6.- Ciberinteligencia como solución al Cibercrimen

1.- Introducción
La información ha sido, es y seguirá siendo el combustible del desarrollo de la humanidad y las nuevas tecnologías han influido en catalizar dicho desarrollo. La globalidad de las comunicaciones han roto las fronteras y las barreras idiomáticas, permitiendo un flujo de Información inconmesurable y con gran rapidez de difusión.
Por el contrario la Sociedad no ha podido ni ha sabido adecuarse a esta nueva situación con suficiente garantía de Seguridad, con lo que nos encontramos en un Mundo altamente dinámico y tecnológico donde los ciudadanos conjugan esa disponibilidad con la incertidumbre, preocupación, desconfianza, insuficiencia o inadecuación de las normas legales que se traduce en un potencial peligro de la Seguridad y la Garantía de los Derechos Humanos.
Como se puede paliar esta situación, ahora que se habla del Cambio climático y que todavía hay tiempo de subsanar o paliar el problema, debemos también ser conscientes de que el cambio tecnológico también puede implicar peligros para la Sociedad y debemos reunirnos para conocer dichas amenazas, darlas a conocer y crear soluciones en el marco de todos los aspectos posibles.

2.- Ciberinteligencia

La Cibertinteligencia nos permite el conocer y evaluar las amenazas tecnológicas así como su evolución pudiendo sacar análisis y proyecciones mediante la extrapolación de las situaciones futuras, para adelantarnos a las problemáticas futuras y servir de prevención.

Esta estrategia para contraatacar los nuevos cibercrimenes tiene un factor que es la dificultad de hallar la continuidad necesaria en un entorno permanentemente cambiante; los análisis tácticos vinculados a las particularidades espaciales y geográficas, requiere una abstracción virtual del mundo digital; y por último, el análisis operativo y dentro de éste, la capacidad para determinar la autoría, se complica de modo evidente en este medio.

El fin prioritario de la Ciberinteligencia es conseguir entender el funcionamiento actual y futuro de la Red, lo que lleva a que continuamente la Inteligencia debe crecer con la misma velocidad que los desarrollos de las nuevas tecnologías, debe transformarse con ella para mantener la capacidad de identificar las amenazas y las contra-amenazas, vulnerabilidades y respuestas frente a éstas, así como los factores desencadenantes de las distintas actuaciones maliciosas, esto solo se puede obtener con la suma de esfuerzos de aquellas personas que se adhieran a esta labor preventiva y bajo el marco de esta colaboración se pueden romper todas aquellas barreras que ahora se levantan y se vislumbran prácticamente infranqueables.

La Ciberinteligencia debe crecer con una premisa que no se debe olvidar:

“No hay que creer que hoy en día podemos abstraer las nuevas tecnologías de la Información de cualquier hecho que acontezca, ya que directa o indirectamente encontraremos vestigios de aquélla”.

3.- Tendencias Tecnológicas

Estas nuevas corrientes delictivas que hacen valer el déficit de seguridad de Internet están apoyadas en el difícil seguimiento de las pistas por la multitud de servicios, el dinamismo incremental tecnológico y la globalización virtual de la Red.

Las tendencias presentes y futuras que se detectan son:
• El cambio constante de la tecnología y los medios de comunicación
• El alcance popular de la tecnología.
• La aparición de nuevas formas de relaciones comerciales y sociales.
• La globalización y pérdida de relevancia de las fronteras nacionales.
• La lenta implementación de las políticas de control y cooperación

A nivel criminal también existen las siguientes tendencias:

• La globalización como elemento multiplicador de acción delictiva y beneficio de las acciones criminales
• El incremento de la utilización de las nuevas tecnologías para usos ilícitos gracias a la facilidad de la acción a distancia y la no presencia física del autor de los hechos, que le proporciona una sensación de anonimato e impunidad
• La posibilidad de asociación y cooperación en el negocio delictivo utilizando estos medios tecnológicos.

4.- Dificultades de Investigación

Hace dos años en un foro parecido hable de las dificultades de investigación que ofrecían algunos servicios de Internet que eran utilizados o que en esa época emergían, tales como los Foros, P2P, IRC, entre otros, sin olvidar el correo electrónico y los programas de Mensajería Instantánea, sin olvidar estos hay que empezar a vislumbrar los nuevos servicios y los retos que nos deparan como los mundos virtuales como Second Live, Wonderland inclusión de aplicaciones para el trabajo colaborativo o Hipihi en China, Redes Sociales como la coreana CyWorld, Web 2.0 , VoIP, Blogs o Weblogs, Wiki’s, Social Software, o la VR en la Web 3.0.

Todas estas tecnologías hacen y acercan la tecnología a las relaciones humanas y son fuentes de interacción con los ciudadanos y un foco de acción maliciosa.

¿Pero que peligros se avecinan de esta evolución de las redes?, desde la posibilidad de ser usados por Grupos Organizados como vías de comunicación, a ser vías de envío de material malicioso a través de las mismas, programas de mensajería entre grupos ilícitos con espacios virtuales en la red de material ilegal como el pedófilo, o bien puntos de reunión de Grupos para ciberdelinquir o de almacenamiento de medios materiales para la cibercrimen, intercambio, venta o alquiler de Máquinas Zombies para realización de actos criminales a esta sociedad digital.

Rastros de las comunicaciones, direcciones IP.
Así se hace necesario el conocimiento de los protocolos de comunicación de estos nuevos servicios y los rastros de estas comunicaciones establecidas para poder seguir a los actores que intervienen o bien poder solicitar las correspondientes obligaciones y responsabilidades a las personas que administren esos servicios para que guarden la información necesaria para garantizar esta información en el caso de poder ser facilitada a las autoridades para dar respuesta a un bien jurídico violentado.

Territorialidad
La investigación en Internet tiene otra dificultad añadida que afecta a todas las Policías del Mundo, el espacio de Internet carece de fronteras, y el contenido ilícito, en milésimas de segundos, se difunde por todo el Mundo.

Las Investigaciones constantemente desembocan en Comisiones Rogatorias o acuerdos bilaterales o multilaterales entre países que demoran cuantiosamente el tiempo del esclarecimiento de los hechos perjudicando gravemente el resultado satisfactorio de la investigación, y siempre que la legislación en el país al que solicitemos la información permita facilitarla.

La solución policial se consigue gracias a la cooperación interpolicial acordada en las mesas de trabajo, reuniones, foros y congresos donde se plantean los problemas comunes y se marcan acuerdos de cooperación básicos tendentes a agilizar, asegurar, detectar, analizar y planificar los elementos probatorios para cuando por medio de la Autoridad Judicial del país en cuestión se ordene se pueda llegar a buen fin dicha operación

Espacios públicos de Internet, máquinas caches, proxies, maquinas comprometidas, redes inalámbricas

Del mismo modo que la solicitud de datos a países en que su legislación impida o favorezca la no facilitación de la información requerida de un hecho tipificado ilícito en nuestro país hay más dificultades añadidas como:
• La falta de regulación de los espacios públicos de Internet, locutorios, salas de informática públicas, cibercafés, bibliotecas, centros educativos, máquinas populares de acceso a Internet y otras donde de forma anónima las personas pueden conectarse y realizar actividades ilícitas
• Lo mismo con las redes inalámbricas libres al alcance de equipos con conexiones inalámbricas capaces de conectarse a esas redes para la conexión a Internet con el anonimato de la no pertenencia del grupo autorizado
• Máquinas Zombies controladas remotamente y que permiten ser utilizadas como medio intermedio para dificultar el seguimiento de las comunicaciones

Los Cuerpos policiales llegados al punto de identificar una de esas máquinas anónimas como la del inicio de la actividad delictiva se debe emplear otras técnicas tradicionales para saber quién estaba en ese lugar en el instante señalado.

• De modo similar es que sabiendo que una máquina esta comprometida por ser accesible a través de una conexión ya sea a través de Internet u otro tipo de red o conexión y nos convirtamos en una Work Station virtual de dicha máquina para navegar a través de su dirección IP, con el agravante de que circulan habitualmente por Internet direcciones de máquinas proxies públicas.

Aquí, una vez identificada la máquina comprometida o máquina proxy se debe hacer un Análisis Informático Forense en dicha máquina y en las relacionadas directamente para descubrir las trazas de la conexión y detectar la procedencia de la conexión a la misma.

5.- Cibercrimen

Ciberterrorismo y Cibernarcotráfico

El empleo de las comunicaciones a través de Internet con enmascaramiento, cifrados, esteganografía es una de las dificultades añadidas en la persecución de estos delitos. La solución esta en emplear aquellos medios humanos y técnicos capaces de interceptar, desencriptar y analizar los mensajes que circulan. Además de la potencialidad de que los grupos de Terror atenten contra la Sociedad utilizando la Red.


Fraudes a través de Internet

Además delos fraudes tradicionales adaptados a las nuevas tecnologías como en el caso de las ventas y subastas, la tipología que despunta en este mundo digital es el fraude a la Banca OnLine, modalidad que conjuga un cúmulo de recursos empleando verdaderas técnicas de harding del Underground de Internet, empezando desde la Ingenieria Social, y pasando por la creación o manipulación de troyanos capaces de incorporar keyloggers, screengrabbers, programas de control remoto con apertura de puertos y sockets de comunicación, spyware, técnicas antiforenses con anulación de programas de seguridad, entre otros, siendo Zero-days o empleando técnicas que hacen a la victima desactivar su seguridad como jugar con la necesidad de acceder a un espacio Web o a un recurso donde el antivirus impide su acceso, creación de WebSpoofings para captar información o crear una falsa licitud de actividad de una empresa u organización, Scams utilizando botnets o servidores de correos open relay, máquinas troyanizadas para realizar las transferencias bancarias, utilización de colaboradores engañados para la realización del blanqueo a través de empresas de transferencias internacionales de dinero, contratación de Sistemas Autónomos y creación de dominios con falsedad de los datos.
Y ¿cómo llega la victima a esa trampa digital que es la falsa página?, pues de diversas maneras, bien empleando técnicas de phishing a través de correos electrónicos convenciendo a la victima de que se trata de alguien relacionado con la página real que intenta suplantar para que a través del hiperenlace enviado con el correo llegue a dicho destino y confíe su bien preciado y tesoro a conseguir, bien empleando otras técnicas junto con la Ingeniería social, y ya sea a través de programas de mensajería instantánea, foros, grupos de noticias, listas de distribución, anuncios virtuales, subastas o compra ventas, programas de intercambio, o técnicas fuera de la Red remitiéndote a la misma ejemplo por teléfono:
También la victima puede llegar a la página simulada por acción de un cambio de la configuración de su equipo informático, cambiándole la página de inicio, los ficheros de asociación locales de urls a direcciones IP, virus o troyanos, emplear técnicas de spam para inundar el ciberespacio de correo llevando embebido código malicioso capaz de alojarse en tu máquina y como nave espacial exploradora, llevar incorporado una serie de programas capaces del mejor de los “hackers”, verdaderamente existen proezas que consiguen resultados asombrosos. Por citar uno de ellos reales realizado el año pasado que conjugaba una serie de estrategias para conseguir su propósito.
Una Organización de un País del Este crea y administra varias páginas de pornografía infantil en máquinas controladas por la Organización, en las mismas coloca software malicioso y difunde a través de foro las url’s para que los individuos que accedan a dichas páginas se encuentran que se llevan de regalo un bonito troyano, recién creado que una gran mayoría de antivirus no tienen todavía en sus bases de datos virales, o bien, aquellos que su antivirus detecta y bloquea el acceso lo desactiva la propia victima por la avidez de la visualización de las páginas pornográficas, infectándose, Una vez que el troyano descarga su material deshabilitaba los programas de seguridad.
Mientras tanto la organización envía a nuestro país individuos para aperturar varias cuentas bancarias con documentación falsa.
El troyano en la máquina de la victima incorpora un programa que escucha la barra de direcciones de los exploradores más habituales y utilizando una lista con nombres de objetivos espera que aparezca una de esas palabras para lanzar un sniffer o presentar falsas ventanas simulando la entidad para captar la información. Pero además abre puertos de control remota para habilitar la máquina comprometida como proxy y como cliente ftp,se conectaba a una máquina, para actualizaciones de los códigos maliciosos.
Los delincuentes una vez obtenidos los datos de acceso a la banca virtual, se conectaban a la máquina de otra victima a través del puerto que la habilitaba como proxy y desde esta máquina se conectaban a la banca electrónica donde transferían capital a una de las cuentas que había creado el enviado en el viaje relámpago a España. Así que desde la impunidad de la cobertura que da el realizar las acciones donde la jurisdicción española no llega, hacían la disposición del patrimonio sustraído también por Red.

Pornografía Infantil

La sensación de impunidad y anonimato que proporciona Internet hace que los indeseables de esta faceta delictiva utilicen como medio de distribución de sus infames proezas a cambio de obtención de imágenes y videos de otros individuos de las mismas tendencias. Pero más preocupante es la posibilidad que la Red otorga a la constitución de una comunidad paidófila, donde a los miembros de la comunidad “le identifica, le refuerza y le asiste en su conducta desviada”, proporcionándole no solo el material multimedia para aliviar sus necesidades, o la información necesaria para satisfacerla plenamente, sino una razón de ser, incluso albergando la posibilidad de que la pederastría sea en el futuro una legítima opción sexual más.
La colaboración interpolicial en la lucha de esta actividad delincuencial produce sus frutos en la detección de la procedencia de los intercambios pese a la globalización debido a las interconexiones entre diferentes países y las distintas competencias jurisdiccionales de estos, ya que en el fondo esta lucha no es sino un tratamiento sintomático de otro fenómeno mucho más grave, la agresión sexual y abuso a menores de edad.

Seguridad Lógica. Extorsiones Criptovirales

Los accesos inconsentidos a las máquinas conectadas a la Red obedecen a distintos objetivos, no solo los relacionados a la obtención de información confidencial, ya sea personal o empresarial, ni a efectuar daños informáticos por distintos motivos, generalmente por venganza o competencia, sino que los grupos delincuenciales están empleando estos ataques para coaccionar a las victimas a través de dificultar el acceso a sus recursos, caso de las extorsiones criptovirales, donde a través de una encriptación de la información contenida exigen un rescate para la “vacuna”.

6.- Ciberinteligencia como solución al Cibercrimen

A medida de esta exposición hemos visto algunas problemáticas y su viabilidad de resolución, pero la actuación policial no se limita a intentar resolver esos problemas de una forma puntual cuando el hecho es uno y el problema se suscita, la Policía aquí emplea todas las posibles vías de investigación de forma que lo que se pretende es el tener un conocimiento lo más amplio posible del hecho, reconstruyendo el mismo, conociendo los protocolos empleados, la línea temporal, las máquinas y personas involucradas directa o indirectamente, las necesidades técnicas necesarias para llevar a cabo el suceso, ver si el hecho es puntual o múltiple, y si ha habido otros hechos relacionados ante-contemporáneos-post al mismo, los vestigios que ha producido el mismo en su ejecución, las situaciones que han producido en el entorno humano, social y empresarial, y otras variables que a través de un buen análisis permitirá a los investigadores obtener vías de investigación, pero los problemas de la Seguridad de Internet no solo se intentan paliar de una forma post hechos, sino también los que se producen y los que potencialmente se detectan como viables se transmiten, se intercambian posibles soluciones y se discuten en foros, congresos, conferencias, cursos, encuentros, reuniones, mesas de trabajo, entre los diferentes Cuerpos de Seguridad, Instituciones y Organismos, Empresas relacionadas, Técnicos y especialistas en las materias involucradas, e incluso a las potenciales victimas ya que hasta el ciudadano tiene información valiosa, cuando es victima de un ataque, para aportar al Cuerpo Investigador que permita dar conocer a la Sociedad las formas delictivas detectadas de realización, y establecer políticas de seguridad, tanto en implementación de sistemas, mantenimiento, actualización y control sobre accesos a aplicaciones o sistemas de usuarios autorizados, contraseñas seguras y custodia, gestión de la red por responsable cualificado, son medidas esenciales para evitar un altísimo porcentaje de incidencias en la red.
A nivel técnico el conocer el medio a un nivel superior a los atacantes permite el obtener información más allá de lo imaginado por el autor y que si su sapiencia se lo permite habrá intentado camuflar, modificar o incluso borrar, pero como siempre lo absoluto es improbable por no decir imposible de conseguir, siempre quedan vestigios no controlados por el delincuente ya sean por procesos automatizados propios de las comunicaciones, sistemas, políticas de seguridad, funcionamiento de optimización de los equipos o incluso en caso de fallas de funcionamiento que vierten información en lugares insospechados.
Toda esta información debe ser canalizada, almacenada, ordenada, filtrada, expurgada y analizada mediante técnicas de Inteligencia, CIBERINTELIGENCIA, que nos permitirán una lucha efectiva contra el CiberCrimen.

Madrid a 15 de junio de 2007
(Material docente de libre distribución, citando al autor)

SIT-1 The truth is not single real, also can be digital!

IV Foro de las evidencias electrónicas

15 de junio de 2007 Hotel Ritz, de Madrid

Desde el año 2004 se viene celebrando el foro de las evidencias tecnológicas, un encuentro de intercambio de Información entre técnicos, juristas y responsables de la Seguridad del Estado de las Nuevas Tecnologías y sus circunstancias, con el fin de elaborar un marco legislativo que proteja en última instancia los derechos de ciudadanos y empresas. El acto de este año, organizado por Albalia Interactiva y el despacho de abogados Garrigues, fue el cuarto que se celebra y fue repartido en varias sesiones, siendo estas:

Primera Sesión: Prueba Electrónica, donde participaron:

* Mª Ángeles Manzano, Socia de Garrigues
* Enrique López, Vocal del Consejo General del Poder Judicial
* Manuel Marchena, Magistrado de la Sala Segunda del Tribunal Supremo

Sesión moderada por Cesar Belda, Notario del Consejo General del Notariado. Director General de Feste

Segunda Sesión: Ciberdelincuencia, donde participaron:

* Juan Salom, Grupo de Delitos Telemáticos. Unidad Central Operativa. Guardia Civil
* Jorge Martín. Brigada de Investigación Tecnológica. Cuerpo Nacional de Policía
* Juan Carlos Ruiloba. Sección de Investigación Tecnológica de Barcelona. Cuerpo Nacional de Policía

Sesión moderada por D. Jorge Alcalde. Periodista. Director Revista Quo

Tercera Sesión: Desmaterialización de la Propiedad Intelectual: el ejemplar electrónico, donde participaron:

* Pablo Hernández. Director Servicios Jurídicos. SGAE
* Bárbara Navarro. Directora Antipiratería. NBC Universal
* Salvador Esteban, Director de Asesoría Jurídica de la Federación Antipiratería

Sesión moderada por D. José María Anguiano. Socio de Garrigues

Cuarta Sesión: Aspectos Técnicos de la Prueba Electrónica, donde participaron:

* Vicente Calzado, Director División de Tecnología de Informática El Corte Inglés
* Luis Jara. Director de Seguridad e-Security & Professional Services de T-Systems
* Carlos Jiménez, Presidente de Secuware
* Matías Bevilacqua, Director Tecnológico de Cybex
* Juan Ramón Fontán, Advisory Services Manager de Symantec

Sesión moderada por D. Julián Inza. Presidente de Albalia Interactiva

Esta sesión se cerró con la intervención de Sebastián Muriel, Director General de Red.es centrada en las Actuaciones de Red.es en el Ámbito de la Seguridad Informática.

El Resumen y las Conclusiones finales fueron llevadas a cabo por Antonio Garrigues Walker, cerrando el Foro D. Francisco Ros, Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información del Ministerio de Industria, Turismo y Comercio que destacó los avances que se han producido recientemente en el desarrollo de la Sociedad de la Información en España y el futuro que se avecina.

La sesión de Ciberdelincuencia versó en la visión delictiva actual y la proyección de las tendencias futuras, reflejándose la problemática de la Investigación y las posibles soluciones, encuadradas estas en la colaboración de todos en hacer un Internet más seguro en los nuevos servicios que se lancen y el intercambio de información entre los actores.

lunes, 4 de junio de 2007

No solo es SCAM el Phishing

No solo por Scam llega la amenaza del compromiso de tu privacidad. La forma de rediccionarte a una WebSpoofing puede ser de cualquier forma, desde un mensaje de telefonía móvil a un enlace desde un buscador, pasando por foros, IM, P2P, o cualquier otro servicio. Luego la técnica de phishing empleada puede ser directa o indirecta, es decir introduces las claves en tu Servicio real bajo el control de un sniffer que esta capturando la información confidencial o bien los introduces en una simulación, más o menos similar a la de tu entidad, pensando que la comunicación es de C2B.
En este Blog pretenderé explicar algunos de los sistemas que se vienen empleando en esta modalidad delictiva, sobre todo aquellos menos conocidos o más complejos para asi poder utilizar nuestros servicios con mayor seguridad.
Agradeceré también todas las colaboraciones recibidas que ayuden a los usuarios a solucionar este problema, mediante técnicas detectadas, Web falsas creadas, SCAM's recibidos, ofertas de trabajo falsas para convertirse en colaboradores, etc.

SIT-1 The truth is not single real, also can be digital!
Web Statistics