Dic 9 2009

Microsoft Security Essentials y la detección heurística

Gabolonte Blasfemus

image Cuando no hace mucho comentaba mis buenas impresiones sobre el Microsoft Security Essentials y cómo podría amenazar a la industria de la seguridad en el post Adiós al negocio de los antivirus, existió una afirmación que generó cierto revuelo y produjo comentarios concernientes, tanto bien intencionados como de los otros: La carencia de un motor de detección heurística en el reciente producto antimalware de Microsoft.

El dato fue tomado por mí del artículo de LifeHacker que enlazaba en el mismo post, al cual en su momento, aunque me resultase algo extraño, tomé por válido. Luego de varios comentarios atacándome por recomendar e insinuar que un antivirus de estas características podría hacer sombra a los grandes de la industria, y a pesar de que en el resto de la competencia no parece ayudar de mucho, me seguía preguntando si realmente podía ser que Microsoft haya lanzado su nuevo software de seguridad sin una función que hoy en día es casi común en el resto (dejando de lado las limitadas versiones gratuitas de algunos fabricantes).

Revisando un poco esta cuestión, todo parece indicar que se trata de uno de esos tantos mitos negativos sobre MS que basta con que cualquiera los enuncie para que sean eternamente regurgitados por todos los que odian al extremo a la compañía o simplemente por los que saben que hablar mal de Microsoft rinde frutos. En el caso de MSE y su falta de análisis heurístico todo apunta a uno que se esparció por varios blogs, sitios de noticias y comentarios a causa de un test comparativo patrocinado por Symantec entre MSE y sus productos, a raíz del cual afirmó que el nuevo antivirus de Microsoft es básicamente “una versión mutilada de OneCare que sólo busca malware basándose en su base de firmas, sin incluir tecnologías actuales como las basadas en reputación o bloqueo por comportamiento”. Estas aseveraciones fueron rápidamente desmentidas por Microsoft, desde donde aseguran que MSE utiliza dentro de su motor de detección estos mecanismos en conjunto con la clásica detección por firmas. Otros artículos, como este de ZDNet UK, también hacen referencia a afirmaciones por parte de Microsoft en las que se asegura que MSE “utiliza una alta cantidad de técnicas de detección heurísticas comparado con OneCare”. También en varios tópicos dentro del foro oficial de Microsoft se planteó esta duda y fue varias veces respondida por los MVPs moderadores del mismo.

Y es muy fácil deducir de donde puede venir la confusión: Como la minimalista interfaz de configuración de MSE no posee un control específico para habilitar/deshabilitar las rutinas detección heurísticas específicamente, es posible pensar que no posee estas funciones en un primer lugar.

Por supuesto, está en nosotros creerle a Microsoft o a Symantec, o hacer nuestras propias pruebas.


Nov 27 2009

Adiós al negocio de los antivirus

Gabolonte Blasfemus

image Una de las tantas notas recurrentes que siempre se reciclan tanto en blogs como en sitios de noticias tecnológicas son las típicas estadísticas sobre los antivirus, firewalls personales, o suites de seguridad más usados, vendidos, descargados o queridos por los usuarios a la hora de proteger Windows. Porque, claro, en los otros SOs no existen los virus, los ataques… y además sus usuarios son muuuuy entelegentes, por lo que si un día vemos a un linuxero o macoso con su equipo infectado… sepan que todo es culpa de él y señálenlo con el dedo para espetar un nelsonesco “HA HA!”. Pero reencarrilémonos en el tema, samigos.

Generalmente cada ciertos años uno de estos antivirus o suites lograba ser mejor que los otros, porque demostraba claramente detectar más amenazas, poseer más funciones, o simplemente aplastar menos al sistema que los demás. Hace unos 7 años por ejemplo el podio era para Norton Antivirus 2002; por estos años el líder indiscutido fue el ídolo de niños y adultos, el remarcable NOD.

Pero esa historia acaba de cambiar, ya que en estas semanas acaba de suceder algo que se veía venir desde hace mucho pero parecía que nunca iba a llegar por completo, hasta que finalmente lo hizo: Microsoft lanzó su propio antivirus, Microsoft Security Essentials, gratuito para todos los Windows originales. En él se pueden ver solidificados los anteriores intentos incompletos que significaron Windows Defender y OneCare, que nunca reemplazaron completamente a un buen antivirus.

image

Pero esta vez es distinto. MSE es un Señor Antivirus que no tiene mucho que envidiarle a los conocidos de siempre, capaz de escanear y monitorear el sistema contra todo tipo de malware y actualizarse automáticamente, como cualquier otro que se precie. Y todo accesible a través de una interfaz simple y clara que mezcla el tipo de diálogos nortonizados que estamos acostumbrados a ver en otras suites con la claridad y simplicidad que conocemos de otras aplicaciones de MS.

image Posiblemente lo único que le falte a MSE es incluir un motor de detección heurística (ver actualización al final del post), pero a cambio de eso es hoy por hoy el antimalware menos pesado para tener instalado en Windows. En conjunto con el firewall personal básico que incorpora Windows XP SP2/3, y los más avanzados de Vista y 7, ciertamente dan lugar a que muchos anuncien que ya no hace falta pagar por seguridad en Windows, nunca más.

Y esta bomba de Microsoft en la industria de la seguridad cae en el mejor momento para su éxito, en unos tiempos de cybercrimen organizado donde el desarrollo de malware se volvió tan complejo que cualquier antivirus, incluso los considerados como los mejores, tienen graves problemas a la hora de detectar todo el código malicioso que anda dando vueltas y se actualiza día a día. Hoy ya es moneda corriente que un equipo con un buen antivirus perfectamente actualizado y un firewall personal activo se infecte de todas formas, ya sea por falta de educación del usuario o por exploits en aplicaciones, con malware que ninguna de estas dos herramientas supo detectar y frenar; entonces, para qué pagar extra si ya está visto que ni el mejor antivirus llega a tener niveles aceptables de infalibilidad?

image Ahora imagínense toda esa horda de PCs hogareñas y PyMEs de mala muerte, donde suelen ser moneda corriente los AVGs gratuitos con barras molestas, problemas de compatibilidad y molestas publicidades de sus versiones pagas más completas, pero principalmente los NODs truchos que forman legión, ya que hasta el más idiota sabe que es (o era) el antivirus con la mejor relación seguridad/molestia, aunque en países como el nuestro casi nadie quiera dignarse a pagarlo. Imaginen que de ahora en más cada vez que haga falta una reinstalación del sistema, un upgrade de ese AV que resulte molesto y/o cueste plata, o que simplemente el crack del NOD deje de funcionar, en esa máquina pase a haber un MSE, lindo, limpito, funcional, no intrusivo, y totalmente gratuito. Imaginen a todas las empresas que hacían millones alrededor del mercado de la seguridad en Windows yéndose al tongo, porque por más que a estas alturas cuenten con ultra avanzadas y complicadas suites para servidores y todo tipo de servicios y plataformas, su verdadero ingreso y su vidriera/marquesina estaba en esas versiones trial o con updates por un año que vienen en las máquinas nuevas y hacen que el usuario se acostumbre y esté más inclinado a pagar por el producto. Imaginen cuando ya a ningún fabricante de hardware le importe incluir alguna de estas suites, porque MSE (o como se llame para ese momento) venga preinstalado en Windows o se instale automáticamente ni bien el sistema comience a bajar updates. Imaginen además cuando MS saque versiones para servidores que contemplen a Exchange, ISA, MS-SQL e IIS. Veo a mucha gente preocupada.

Ya era hora que Microsoft se hiciera cargo de la seguridad de su propio SO. Lástima por los que especulaban con eso.

Actualización: Según la misma Microsoft, MSE sí posee detección heurística.


Nov 4 2009

Hackearon iPhones con jailbreak

Gabolonte Blasfemus

image Normalmente no estaría dedicando una mención exclusiva al smartphone de la compañía más cerrada del mundo, pero creo que jamás supe hasta ahora de un teléfono móvil que sea tan vulnerable que se convierta en presa fácil de un ataque a gran escala… hasta ahora.

Mucha gente ama sus iPhones y iPods Touch. Los miman, los idolatran, y defienden todo lo que hace esa compañía tan cool que se los vende por un módico precio. Pero esa compañía tan copada es un poquito posesiva y pone toda serie de controles y trabas que permiten que estos aparatitos tan fashion sólo pueda ejecutarse el software que ellos quieren, y mientras ellos quieran. Y su público, llamémosle los iPhonitos, en vez de quejarse en voz alta y comprarse la próxima vez un móvil fabricado por alguien más, recurre a una interesan práctica como si fuera lo más normal del mundo, la cual se volvió tan común que esta se convirtió en un verbo: El jailbreaking. Mediante un método que descubrieron unos hackers muy buena onda y simpáticos, todo iPhonito no se siente completo si primero no reemplazó el sistema operativo de su aparatito amado por una versión totalmente hackeada que la libera de todos los controles de esa empresa que tanto quieren, algo que deben hacer además cada vez que deseen actualizar la versión del SO, para así poder ponerle todos los programas de peditos que quieran aunque no figuren en la App Store del iTunes. Seguramente muchos de ellos después se quejan de los usuarios de Wintruchos.

El problema fue que junto con todas los controles de seguridad que se eliminan para tener una versión “jailbrikeada” donde pueda instalarse cualquier aplicación, también se levantan muchas medidas de seguridad que hacen menos fácil de hackear al objeto de deseo de los iPhonitos. Y uno de esos resultados se pudo ver la pasada semana, ya que un vivo en Alemania Países Bajos encontró una forma de hackear los iPhones jailbrikeados por el sólo hecho de estar conectados a Internet a través de la conexión de datos 3G. Y para lograrlo no recurrió a ninguna vulnerabilidad secreta digna de mostrarse en una convención de hackers, sino a un simple protocolo disponible en decenas de plataformas: OpenSSH. El problema en particular acá, es que todos los iPhones y iPods Touch vienen con una contraseña por defecto para sus dos cuentas de usuario, root y mobile, la cual todo hacker conoce bien y es alpine, lo cual no suele ser un mayor problema por todas las medidas de seguridad que hay en el SO original de Apple, pero sí son un gran agujero de seguridad en las versiones jailbrikeadas.

Sabiendo esto, y conociendo los rangos IP de los servicios de Internet 3G de varias operadoras, nuestro amigo germano holandés tenía casi todo lo necesario para ponerse a buscar iPhones jailbrikeados que por un motivo u otro tuvieran el servicio SSH levantado. Sólo le faltó recurrir a nmap, la famosa herramienta de escaneo de redes aprobada por Trinity, y el saber que es posible distinguir a un iPhone de cualquier otro host en Internet gracias al puerto TCP 62078. Gracias a eso logró infiltrarse en cientos de aparatos y mostrarles a sus dueños el mensaje de la imagen, pidiendo a cambio de las instrucciones para hacer seguro el teléfono un pago de 5 euros. Luego parece que las cosas se le complicaron un poco al muchacho por haber hecho enojar a tanta gente, y terminó liberando las instrucciones para asegurar los teléfonos y remover los regalitos que él había dejado gratuitamente.

Si tenés un iPhone/iPod Touch jailbrikeado y nunca te habías enterado de este problema, te conviene ingresar a tu dispositivo utilizando algún cliente SSH como Putty desde Windows o el que viene incorporado en cualquier Linux, utilizando los usuarios y contraseña por defecto anteriores, para así cambiar la clave por unas mucho más seguras y que sólo vos conozcas mediante el comando passwd. También podés seguir las instrucciones para hacerlo desde el mismo dispositivo provistas por Redmond Pie.

No, sobre tu mal gusto no hay nada que pueda hacer…

Vía The H.


Oct 30 2009

Espionaje desde un BlackBerry

Gabolonte Blasfemus

image Más allá de que en el mundo de los espías se debe saber exactamente cómo hacerle un bugging (convertir en un micrófono espía) a cualquier teléfono celular que exista, cuando se trata de los smartphones las cosas se vuelven infinitamente más fáciles, y peligrosas. Esto desde ya se debe a una de las características principales que hoy por hoy separan al móvil que se le denomina smartphone del que no: La capacidad de instalar y ejecutar aplicaciones nativas del SO móvil que corra, las cuales están en condiciones de hacer cualquier cosa que quieran con el dispositivo. Bajo estas condiciones, convertir un teléfono en un espía móvil que reciba llamados silenciosamente desde un número preconfigurado para escuchar desde el otro lado de la línea lo que está haciendo su propietario, es tan sólo una cuestión tan trivial como instalar una aplicación más.

Esto es algo que afecta a cualquier sistema operativo móvil avanzado capaz de ejecutar procesos en segundo plano, y en el caso de ese objeto de deseo corporativo en el que se convirtieron desde hace mucho las BlackBerry de RIM no hay excepción. A pesar de la fama que circula alrededor de estos dispositivos y que los posiciona como los más seguros, un especialista en seguridad llamado Sheran Gunasekera viene a romper este mito, demostrando con un programa de su propia factoría que es posible hacer con un BlackBerry lo mismo que con cualquier otro smartphone. La aplicación, llamada PhoneSnoop, ni siquiera es nativa del BlackBerry OS; está programada en la plataforma J2ME que se usa en casi todo móvil para instalar juegos y aplicaciones. La diferencia en este caso se da gracias a las funciones nativas que pueden accederse gracias a clases específicas ofrecidas exclusivamente por la máquina virtual Java de las BlackBerrys, las cuales permiten una mayor integración y funcionalidad de este código no nativo, pero al mismo tiempo lo hace mucho más peligroso. De esta forma PhoneSnoop es capaz de atender automáticamente toda llamada telefónica proveniente de un número en especial, de forma totalmente silenciosa, permitiendo de esta forma escuchar a la distancia toda conversación en el rango de alcance acústico del micrófono estándar del teléfono.

PhoneSnoop es tan sólo una prueba de concepto, y en sí es bastante difícil de utilizar seriamente como herramienta de espionaje ya que la aplicación no se oculta de ninguna forma mientras está en ejecución, por lo que cualquiera que sepa manejar su BlackBerry puede notarlo, cerrarlo, y borrarlo. Aún así sigue siendo riesgoso para todo aquel que no posee mayores conocimientos sobre su móvil que el que se requiere para manejar un celular básico, por lo que en estos casos sería muy fácil que PhoneSnoop pase inadvertido en los BlackBerrys de miles de importantes ejecutivos y funcionarios.

La última versión de PhoneSnoop puede descargarse libremente e incluso permite configurar el número telefónico que tendrá acceso irrestricto al micrófono del dispositivo.

De todas formas existen también soluciones comerciales más profesionales que también ponen en entredicho el mito de la seguridad de esta plataforma, como el caso de Flexispy BlackBerry Spy Phone, el cual promete incluso la escucha remota de las llamadas que se realicen desde el móvil, así como la captura de emails y mensajes SMS. Al igual que sucede en el mundo de la PC, en el terreno de los smartphones el sentido común y el conocimiento cobra cada vez mayor importancia a la hora de protegerse.

Vía The H.


Oct 7 2009

“Me hackearon”

Gabolonte Blasfemus

net_13 No, no, no se preocupen (o se alegren, quién sabe…), al menos de momento a Geekotic no le pasó nada, pero por estos días vino a mis pensamientos (unas lindas plantitas que tengo en el patio, que son los únicos que tengo…) una técnica de hacking que hace mucho furor en las empresas argentinas, la cual resulta imposible de detener hasta por el mejor de los especialistas, debido a su principal condición: Me refiero al hackeo inexistente, o, dicho de una forma más entendible, cuando se argumenta el haber recibido el ataque de un hacker/cracker imaginario como excusa para ocultar hechos que tuvieron otros fines.

Estos fines normalmente tienen que ver con acciones totalmente mezquinas y reprobables que desea tapar la supuesta víctima del ataque, casi siempre ejecutados por empleados que logran salirse con la suya gracias a este recurso, que en muchos casos resulta difícil de auditar y comprobar en pequeñas empresas donde la seguridad o los permisos suelen ser generalmente laxos.

Continue reading