Virus por email

Marzo 27th, 2004

Muchos servidores de correo incorporan la funcionalidad de escaneo de los ficheros adjuntos que pasan a través de ellos. Con esto tratan de evitar que recibamos los molestos virus a través del email.
Pero esto no debe hacernos confiar y evitar que instalemos un antivirus en nuestro propio ordenador. Hay varias razones para ello, veamoslas:

  • Qué pasa si el antivirus que incorpora el servidor de correo no está actualizado? Dejará pasar los virus que no esten incorporados en su base de datos y por tanto, nosotros recibiremos esos virus. (No debemos olvidarnos, por supuesto de actualizar nuestro propio antivirus)
  • Algunos virus de última generación se envian en ficheros ZIP con contraseña, la cual viene en el cuerpo del mensaje (aunque podria venir incluso en otro mensaje aparte). El antivirus del servidor no será capaz de abrir ese fichero, y por tanto no será capaz de examinar los ficheros y saber si son virus.
  • Quien nos ha dicho que los virus solo nos van a llegar por e-mail? Hay múltiples maneras de recibir virus (Kazaa, eMule y programas diversos, bajados de la web, en disquete o CDRom,…)

Así que ya sabeis, a instalar antivirus y evitar ser un foco de infección para mucha gente.

Podeis encontrar un antivirus gratuito para uso personal en F-Prot

Guardado en Artículo | Comentarios desactivados en Virus por email

Modificando el kernel en tiempo de ejecución

Marzo 23rd, 2004

NOTA: en este post me refiero exclusivamente al kernel de Linux. Si cualquier técnica descrita aquí funciona en algún otro sistema yo no lo sabía 😉

Para que queremos modificar el kernel?
En principio, se me ocurren dos razones por las que hacerlo. Una es aplicar un parche al kernel actual sin tener que reiniciar la máquina. La otra es modificarlo para añadirle funcionalidad (especialmente usado en rootkits y programas de este tipo).

Como podemos modificar la funcionalidad de un kernel de Linux que se está ejecutando?
En principio tenemos dos técnicas básicas. La primera es la carga de módulos. Esta es especialmente útil si queremos cargar drivers o otras funciones del kernel que sean más o menos independientes (es decir, hay cosas que no podremos utilizar como módulo). Tiene la desventaja que si el núcleo no está compilado para soportar módulos, pues no podremos hacerlo.
Otra forma de modificar el kernel es cambiar la versión que hay cargada en memoria. Esto podemos hacerlo accediendo al fichero /dev/kmem, buscando los valores que nos interesen y modificandolos.

Como podemos evitar que alguien modifique el kernel?
En primer lugar es imprescindible deshabilitar la carga de módulos. Para evitar la modificación a través del fichero /dev/kmem la única solución es parchear el kernel para evitar que se pueda escribir en él. No nos va a servir de nada cambiar los atributos de este fichero o aplicarle ACLs, ya que siempre podemos recrearlo en otro directorio con la orden mknod /tmp/kmem c 1 2

Más información en:
Complete Linux Kernel Modules
Modificación a través de /dev/kmem con mmap
Técnicas para modificar el kernel de Windows

Guardado en Artículo | Comentarios desactivados en Modificando el kernel en tiempo de ejecución

Scams, cadenas, hoaxes…

Marzo 19th, 2004

Con cierta regularidad recibimos en nuestros buzones electrónicos mensajes enviados por conocidos nuestros donde se nos advierte de supuestos peligros, de supuestos virus o se nos pide nuestra colaboración para algún tipo de proyecto. Estos emails suelen ser enviados con la mejor intención, pero resultan casi siempre falsos.

Algunos ejemplos de este tipo de emails son:

  • Envia este email a 10 personas y un niño recibirá un dolar por cada mensaje
  • Nokia esta haciendo promoción de sus móviles. Envia este email a 800 personas y recibiras un movil gratuito
  • Hay un virus muy peligroso. Busca cierto fichero en tu disco y si existe borralo
  • Reenvia esta cadena a 15 amigos, o te quedaras calvo en menos de una semana

No debemos hacer nunca caso a este tipo de emails. Podeis ver una explicación más detallada de todo esto en la página Rompecadenas

Guardado en Artículo | Comentarios desactivados en Scams, cadenas, hoaxes…

Introducción a los IDS

Marzo 16th, 2004

Que es un IDS?

IDS: Intrusion Detection System (Sistema de deteccion de intrusiones)
Un IDS es un sistema que se dedica a monitorizar (una casa, un equipo informatico, una red de comunicaciones,…) en busca de intentos de posibles malos usos de el o de accesos no autorizados. Hablando en terminos informaticos seria un proceso de seguridad que monitoriza un equipo especifico o una red en busca de intentos de comprometer el sistema. Habitualmente funcionan buscando patrones definidos de actividad sospechosa.
Un IDS nos dotara de una capacidad de prevencion y alerta ante ataques hostiles, ademas de facilitarnos el analisis posterior en caso de una intrusion en el sistema.

Porque es necesario un IDS?
En primer lugar hay que decir que un IDS no debe ser nunca un sustituto de una buena politica de seguridad en la red que vayamos a instalar. No nos va
a servir de nada tener un IDS instalado si dejamos todos los puertos de nuestros servidores abiertos a cualquier atacante y nuestro password de administrador esta vacio. Por tanto, un IDS siempre debera ser un complemento al sistema de seguridad ya instalado, es decir, sera una capa adicional de proteccion del sistema. Sabiendo esto, podemos ver mas claramente cual es el objetivo de un IDS. Este nos permitira una pronta deteccion de los ataques que se produzcan dentro de nuestro sistema y una mayor capacidad de reaccion ante estos. No olvidemos que mas vale prevenir que curar.

Tipos de IDS
Los IDS se dividen, basicamente, en tres tipos:

HIDS (Host Intrusion Detection System)
Estos IDS trabajan con la informacion recogida dentro de un solo host, por ello es necesario tener un HIDS en cada host que queramos monitorizar. Por
contra, permiten una gran precision en la recogida de datos y el acceso a datos a los que los demas tipos de IDS no pueden acceder (p.ej.: codificaciones de ficheros, cambio de privilegios de un usuario…) Son ejemplos de este tipo de IDS:

  • verificadores de integridad de ficheros (p.ej.: Tripwire): permiten saber si un fichero ha sido modificado. Utiles en caso de intrusiones en los que el atacante cambie ficheros ejecutables con tal de ocultarse (ls, ps,…) e instale rootkits.
  • monitor de logs: comprueban los logs del sistema (wtmp, syslog, logs de Apache…) en busca de intentos de intrusion
  • monitor de la pila TCP/IP: comprueban el trafico TCP/IP que recibe y envia el host

NIDS (Network Intrusion Detection System)
Estos IDS trabajan con los datos que circulan a traves de la red. Funcionan como un sniffer, leyendo todo el trafico que pasa por la red, poniendo el
interface de red en modo promiscuo y detectando ataques en este trafico le?do. Habitualmente funcionan mediante reglas (por lo que han de ser actualizados frecuentemente), aunque algunos pueden analizar anomalias en el trafico de red.

DIDS (Distributed Intrusion Detection System)
Parecido a un NIDS, pero los sensores estan distribuidos en diferentes puntos de la red y envian las alertas a un sistema centralizado donde el operador podra analizarlas.

Estos tres tipos, ademas, pueden ser activos o pasivos:

Activos Generan respuestas sobre el atacante (cierran conexiones, aplican filtros en el firewall,…)
Pasivos Simplemente notifican al administrador sobre las alertas

Guardado en Artículo | Comentarios desactivados en Introducción a los IDS

CONDENA

Marzo 11th, 2004

Hoy no voy a escribir sobre nada. Solo quiero condenar los actos terroristas que se han producido esta mañana en Madrid. Hay pocas cosas por las que merezca la pena morir, pero aun hay menos por las que merezca la pena matar. Y esta no es una de ellas. NO A LA VIOLENCIA.

Guardado en General | Comentarios desactivados en CONDENA

Phishing

Marzo 8th, 2004

Una modalidad de timo usada en Internet es el envío de emails que simulan provenir de nuestro banco. Suelen avisar de que nuestro password puede haber sido comprometido o de que estan validando a los usuarios y necesitan que entremos en nuestra cuenta. Estos emails suelen estar escritos en formato HTML y simulan con gran fidelidad el look corporativo del banco. Además, llevan un link en el que nos invitan a clickar para acceder directamente a nuestro banco.

Este link nos va a redirigir a una página creada por el timador, con un look lo más parecido posible al original, pero controlada por el timador, de forma que cuando introduzcamos nuestro número de cuenta o DNI y el password asociado, estos no iran a parar al banco, sino al timador que dispondrá de ellos y podrá acceder a nuestra cuenta como si fueramos nosotros.

No debemos hacer nunca caso de este tipo de emails, ya que siempre son engaños preparados para recoger números de cuenta y el password asociado. Además, es recomendable no abrir nunca links directamente desde el email sino copiarlos y pegarlos en la barra de direcciones o bien escribirlos a mano. De esta forma iremos a la web que pretendemos y no a la que alguien nos quiera enviar con triquiñuelas.

Guardado en Artículo | Comentarios desactivados en Phishing

Redes inalámbricas

Marzo 3rd, 2004

Desde hace un tiempo las redes inalámbricas se estan poniendo de moda debido a la facilidad de instalación de estas y la comodidad de no tener que instalar un cable hasta cada uno de los ordenadores que queramos conectar. El problema de este tipo de redes es su falta de seguridad, al estar el medio físico por el que viajan los datos al alcance de todo el mundo; es decir, que cualquiera, con solo situarse en la zona de cobertura de la red inalámbrica puede escuchar lo que se está transmitiendo.

Para solucionar esto se propuso el estándar WEP (Wired Equivalent Protocol o Wireless Encryption Protocol, no estoy seguro) que transmite los datos cifrados a través del aire. Pero este protocolo es demasiado débil y fácilmente rompible como podemos ver en este documento. Existen incluso programas que lo hacen de forma muiy sencilla como Airsnort.

Es por ello que debemos tomar una serie de precauciones al instalar una red inalámbrica:

  • Activar siempre el WEP. Que sea débil no quiere decir que sea mejor no utilizarlo.
  • Activar el filtrado por MAC. Aunque la MAC de una tarjeta se puede cambiar hay que dificultar el trabajo de un posible atacante.
  • A ser posible usar un sistema de autenticación, como NoCatAuth
  • Usar antenas que emitan solo en la dirección que nos interesa.
  • A ser posible, separar completamente la red inalámbrica del resto de la red. Instalar un firewall y dar permiso solo a lo que necesitemos

Nunca se sabe quien puede estar por ahí cerca con un portatil y una lata de Pringles escuchando lo que estamos transmitiendo.

Guardado en Artículo | Comentarios desactivados en Redes inalámbricas

Servicios en Windows XP

Marzo 1st, 2004

Comentaba en Cosas a hacer con un Windows recien instalado que se deben desactivar los servicios innecesarios. Como saber que servicios podemos realmente desactivar y cuales no? Aqui os pongo una pequeña lista de algunos de lo servicios. Si teneis dudas sobre algún otro, podeis enviar un comentario a este post y lo miraré.

Alerter: Muestra determinadas alertas, como las del Monitor de rendimiento. Puede desactivarse.
Application Layer Gateway Service: Permite el Internet Connection Sharing y el firewall. No desactivar.
Automatic Updates: Permite la actualización automática de Windows. Desactivar solo si la vamos a hacer nosotros manualmente.
Clipbook Server: Permite el acceso remoto al portapapeles. Desactivar.
Computer Browser: Permite ver que ordenadores hay en la red. Puede desactivarse si no vamos a conectarnos a ninguna red. Aunque esté desactivado nos podemos conectar igualmente a Internet.
Distributed Link Tracking Client: Envia notificaciones de movimientos de ficheros. Puede desactivarse.
Distributed Transaction Coordinator: Combina trnsacciones entre bases de datos, colas de mensajes… Puede desactivarse
Fast User Switching Compatibility: Permite que varias usuarios se logueen a la vez en el mismo ordenador. Puede desactivarse si solo vamos a usar un usuario.
Fax Service: Permite el envio de fax. Puede desactivarse.
Indexing Service: Indexa los contenidos de nuestro ordenador para hacer más rapidas las busquedas. Puede desactivarse ya que consume muchos recursos.
MS Software Shadow Copy Provider Service: Utilidad de backup. Puede desactivarse.
Messenger: Permite el envio de mensajes a través de la red. No tiene nada que ver con el cliente de mensajeria instantanea Windows Messenger. Desactivar para evitar que nos envien publicidad.
NetMeeting Remote Support Desktop Sharing: Permite que se nos conecten a través de Netmeeting. Desactivar.
Network DDE: Una reliquia de anteriores versiones. Se puede desactivar.
Universal Plug and Play: Para configurar perifericos de este tipo (UPnP). Desactivar.
Remote Access Auto Connection Manager: Nos conecta a Internet cuando es necesario. Desactivar si no se tiene modem.
Routing and Remote Access: Permite el acceso remoto. Desactivar.
Telnet: Permite que se nos conecten a través del protocolo telnet. Desactivar, es un riesgo de seguridad.
Themes: Administra los temas de escritorio. Se puede desactivar, ya que gasta muchos recursos.

Guardado en Artículo | 1 comentario »