El ataque mencionado fue descubierto a través de los foros el 6 de noviembre, que fueron encontradas las alteraciones. Posteriormente se descubrió que el ataque había alcanzado a la base de datos principal. En la misma se almacenan la información completa de los clientes. Y no estamos hablando de solo usuarios, contraseñas o correos electrónicos, en este caso se guardan medios de pago, números de tarjeta de crédito y direcciones completas.

Según informó Valve Corporation (dueña del servicio) toda la información estaría cifrada y sería sumamente complicado obtener los números finales para robar dinero de las cuentas bancarias o realizar transacciones con las tarjetas de crédito. Igualmente, la empresa solicita a sus clientes que controlen las actividades de sus cuentas bancarias y que cambien automáticamente sus claves.

El año 2011 está terminando con un record en la cantidad de bases de datos hackeadas. Esperemos que las compañías empiecen a redoblar las esfuerzos en seguridad informática para evitar los numerosos casos, donde las únicas víctimas son los usuarios.

Opera ha lanzado su versión 11.52 en la cual viene a corregir el agujero de seguridad en la manipulación de imágenes vectoriales (SVG), el cual permitía a usuarios malintencionados ejecutar malware insertados ocultamente. Para leer mas sobre el caso te recordamos nuestra nota: Vulnerabilidad de Opera sin solucionar desde hace un año .

Por suerte, Opera además de lanzar esta versión parcheada, hizo una publicación en su blog de seguridad, donde informan que tenían conocimiento de la vulnerabilidad pero que no afectaba a sus últimas entregas. Además, comentan que no pudieron hallar al descubridor de la falla. En caso de interesarte, dejamos aquí un extracto del blog:

Hace unos 6 meses (en abril de 2011), que fuimos contactados por un grupo de investigación de seguridad, en nombre de un investigador, dando detalles de un puñado de errores y problemas que se pudo demostrar en las viejas versiones de Opera. Se confirmó la mayoría de estos en las versiones vigentes en ese momento y fija los xploits. Estas correcciones fueron liberadas en una actualización de seguridad regular, Opera 11.11. Pasamos por estos detalles de nuevo al grupo de investigación, pidiendo más detalles sobre la cuestión pendiente que no hemos podido reproducir, a pesar de numerosas pruebas, en el comunicado de la Ópera en ese momento. Entre otras cosas, se le preguntó si había una manera conocida para reproducirla en las versiones de Opera en ese momento. No hay información adicional se puede obtener. Avance rápido de 6 meses, y nos enteramos de que un investigador – presumiblemente el mismo investigador original – ha encontrado una manera de modificar el vector, comunicados de Opera para que la corriente puede ser explotada. No recibimos ninguna información acerca de este vector modificado hasta los detalles de hacerse pública, poniendo efectivamente nuestros usuarios en situación de riesgo de la cuestión, sin tener con nosotros de inmediato cualquier forma de protegerlos. En Opera, abogamos por una fuente responsable, y sin duda hubiera preferido para recibir los detalles del vector modificado antes de que se hizo público, por lo que podría preparar una solución y coordinar la divulgación. Por desgracia, en la medida de nuestros conocimientos, que no ocurrió en esta ocasión.

Por suerte la actualización ya está disponible y el inconveniente ha sido solucionado. Como siempre desde Antivirus.es abogamos por la mayor seguridad.

Primero debemos recordar que era el malware Stuxnet. Fue el primer gran virus que estuvo orientado a realizar ataques a gran escala contra fábricas o grandes industrias, y se lo recuerda principalmente por atacar la planta nuclear de Irán. En ese ataque logró involucrarse en todos los ordenadores de la central atómica y controlar los procesos de producción. El mismo causo una gran alerta, ya que podría ser utilizado con fines destructivos.

Luego de que pasase un año de la aparición de Stuxnet, se suma un nuevo gusano con los mismos patrones de ataque: Duqu. Y no ha dado puntada sin hilo, ya ha atacado a grandes sistemas y complejas infraestructuras en Europa.

Al ser detectado por firmas de seguridad, encontraron la semejanza con el popular gusano, ya que tiene fragmentos de códigos idénticos. El modus operandi de Duqu es enmascararse tras un código verdadero de certificados digitales (de los cuales tanto hemos hablado).

Gusano Duqu

Diferencias y Semejanzas: Duqu no es un gusano del todo, ya que a diferencia de su antecesor no busca replicarse y es más liviano. La característica principal que lo hace menos dañino es que no posee las líneas de destrucción de hardware como Stuxnet. Symantec se animo a decir que Duqu es solo el comienzo de una operación de rastreo industrial mucho mayor. Algo así como un iceberg que aun no ha demostrado todo su cuerpo.

Estaremos atentos a ver como se desempeña esta noticia a lo largo de las redes y que conflicto en los ordenadores causa el malware.

El problema del navegador web está presente en un proceso de decodificación de dibujos vectoriales. Al momento de abrir ficheros SVD se puede estar ejecutando algún tipo de malware que este incrustado en el sitio web. No es para alarmarse ya que deben cumplirse ciertas condiciones que permitan incluir códigos infecciosos.

La mayoría de los analistas han dado a llamar a esta vulnerabilidad como 0-day (día cero), ya que está presente desde el momento inicial de Opera 11. En pruebas realizadas por “The H Security”, dieron alertas positivas en 40% de los navegadores con esta versión mencionada, y en la nueva beta de Opera 12 el porcentaje alcanza el 60 de cada 100.

El problema es el silencio de la empresa noruega, ya que han pasado más de doce meses del lanzamiento de su programa y no han dado solución al inconveniente. En el siguiente Blog se puede leer (aunque está en inglés) distintos xploits modificados que demuestran el agujero de seguridad: Blog con xploits de Opera

Esperemos que llegue alguna notificación o actualización que solucione este inconveniente que pone en alerta a todos los usuarios.

Se trata de una variable de phishing, pero en vez de tratarse de una página web que suplante la identidad del sitio, llega en forma de aplicación móvil. Aprovechando la fama que ha alcanzado el sitio de vídeo streaming Netflix, y su reciente lanzamiento al habla hispana, usuarios malintencionados están distribuyendo la mencionada aplicación. Recordemos que la técnica de phishing consiste en variadas técnicas para obtener los datos de cuentas de forma engañosa.

En esta ocasión el engaño llega ejecutando la aplicación de Netflix. Encontraremos una ventana de bienvenida y logueo idéntica a la oficial provista por el Market de Android. Al cargar el usuario y contraseña, los datos son enviados a un servidor remoto desconocido. Como siempre los datos son aprovechados para acceder a nuestras cuentas, y robar la información. El riesgo aumenta en caso de tener una membrecía paga, ya que datos de tarjetas o modos de pago pueden estar almacenados aun.

Como siempre, solicitamos a nuestros lectores que tomen las medidas correspondientes para evitar caer en la trampa de hackers. En este caso usar siempre la tienda oficial: Android Market. En caso de estar interesados en el popular servicio de películas y series ingresar al sitio oficial de Netflix.

La idea es comprobar el desempeño de avast! frente  a falsas amenazas. Recordemos que el objetivo es demostrar que podemos ser precavidos al desactivar los controles de las herramientas de seguridad sí consideramos que la fuente del instalador, programa o documento es fiel. Además, buscamos exponer que existen ciertas conductas inapropiadas de los antivirus.

Luego de esta pequeña aclaración, estos son los resultados que arrojo la herramienta:

♦ No existieron inconvenientes con los clientes P2P que usamos, si en la búsqueda de algunos de estos programas en Internet (ver ítem sitios)

♦ Visitamos distintos sitios de descargas, que ofrecen instaladores propios y la cantidad de Falsos Positivos fue elevadísima. Algunos de los instaladores fueron desmembrados para analizar su contenido y no existía infección alguna. Sólo barras de navegación o páginas de inicio

♦ Al igual que NOD32, no demostró inconvenientes ni errores en la manipulación de ficheros RAR, ZIP u otros comprimidos

♦ La edición del registro de Windows con ejecutables o archivos REG fue impedido por parte del programa. En este caso, se nos permitió hacerlo por medio del ‘sandbox’

♦ Otra gran falencia de avast! fue en la visita de sitios con programas que pueden llegar a infringir algún derecho de autor o que sirven para compartir libremente información entre los usuarios. Por ejemplo: sitios estáticos que ofrecen descargar programas P2P.

♦ Un antivirus distinto a los tres mencionados en las notas fue detectado como un malware que intentaba tener acceso al ordenador

Ya tenemos nuestros 3 análisis de los antivirus elegidos. Puede ser difícil ternarlos por mejor o peor software. Pero podemos sacar en claro que todos fallaron en la detección de falsos positivos. Un punto en común es: el incomprensible bloqueo a sitios y la imposibilidad de descargar instaladores de terceros. Este tipo de conducta solo favorece a las grandes compañías a concentrar visitas o descargas.

Dejamos a tu consideración el uso de cada suite. Sólo cabe recomendar que existen distintas herramientas a la hora de proteger tu ordenador o portátil.

Espero que haya disfrutado del informe FALSOS POSITIVOS.

El servicio de MySQL es un gestor de bases de datos SQL utilizado en gran parte de sitios y aplicaciones en línea. La gravedad de este hecho es tal que si ingresabas a mysql.com al momento que se ejecutaba el script adulterado, se te dirigía a alguno de los sitios infectados que buscaba cualquier brecha de seguridad en tu ordenador e infectaba el mismo con un malware.

Además estamos hablando de un servicio que debería de ser protegido con sistemas de seguridad elevados y perfeccionar cualquier método para evitar este tipo de violaciones en las bases de datos. Recordemos que por mes 12 millones de personas descargan esta plataforma. Por lo que se calcula que al menos 120 mil usuarios se vieron amenazados por este “xploit”.

Por el momento, Oracle – administrador del proyecto MySQL – no ha realizado ninguna declaración con respecto al tema.

Aquí un vídeo con más información:

En esta nueva entrega nos encargaremos de verificar los resultados de otro conocido antivirus: NOD32, de la empresa ESET.

Para que el resultado sea comparable con el que arrojo Dr. Web Antivirus, ejecutamos las mismas pruebas con la cuarta versión del famoso antivirus que se ha hecho un lugar entre los grandes en el mercado de la seguridad.

Repasamos los test a seguir:

• Instalación y uso de Clientes P2P
• Descarga y acceso a instaladores de programas
• Manipulación de ficheros comprimidos
• Desarrollo de “bromas” o modificaciones al registro de Windows sin alterar procesos vitales

• Acceso a sitios con publicidades o propagandas poco comunes
• Visualización de páginas o blogs de otros países
• Instalación de otro antivirus

Debemos decir que siguen llamando la atención el nivel de bloqueo y control estricto que tienen las compañías a la hora de realizar la inspección de elementos. Sin más estos son los resultados del software de ESET:

♦ Un Cliente P2P optimizado para compartir música fue bloqueado en el primer intento de instalación.

♦ Al igual que Dr. Web, NOD32 evito la descarga en nuestro ordenador de varios instaladores de terceros que incluían la carga del programa original. Creemos que este es el principal punto en conflicto con las suites.

♦ La libertad con los ficheros comprimidos fue mayor y no se vieron demasiadas alertas falsas o bloqueos innecesarios. Un punto a favor para NOD32

♦ La ejecución de líneas de comando con modificaciones al registro se vio bloqueada, a excepción de un fichero BAT que permitió la duplicación de un parámetro del inicio de Windows.

♦ No hubo interferencia con sitios en otros idiomas. El principal inconveniente que encontramos fue la privación de entrar a páginas donde se hable mal del programa o que ofrezcan “keys” para la actualización gratuita.

♦ A la hora de instalar otro antivirus no hubo inconvenientes pero se nos alerto de que ya poseemos una herramienta con esta función.

El veredicto, comparado con Dr Web Antivirus, podría ser que es más flexible en puntos como redes P2P, documentos comprimidos o la navegación sin bloqueos inexactos. Pero restringió equivocadamente a sitios que no tienen amenazas al ordenador, sino contra su negocio y además la negación a instaladores sin motivos.

Como recomendamos en la primera entrega: desactivar el análisis en tiempo real y tratar descargar los instaladores, programas o utilidades que crees que es seguro. Además, en caso de dudas o necesidad puedes pedirle a un amigo o familiar que coteje con su ordenador si tiene un antivirus distinto.

Aún nos queda un antivirus más a analizar: Avast!. Una vez que hayamos publicado sus resultados, cerraremos el tema con los procesos de Windows que se vieron afectados con FALSOS POSITIVOS.

Aquellos usuarios de Windows han mirado con envidia la prestigiosa seguridad de Apple y su sistema operativo Mac OS. Pero la llegada del otoño parece que hizo ruido en el Mac OS X Lion. Esto se debe al descubrimiento de un nuevo troyano que vulnera una brecha de seguridad del tipo dopper. Una amenaza de este tipo aprovecha las llamadas “backdoors”, o sea, puertas de acceso desde atrás al sistema. El software malinetencionado permite instalar malware para infectar el equipo.

El troyano fue detectado por dos empresas de seguridad y explicaron que el mismo abre un fichero PDF en chino de manera normal, para luego en forma oculta enviar a un servidor remoto los datos del usuario y la dirección MAC de conexión. Esto permitiría a ciber-delincuentes enviar al ordenador

Adobe sigue en su rutina de actualizar su poderoso Flash Player. Así lo vimos hace unos días cuando lanzaron AFP 10.3 con importantes novedades. Ironicamente a menos de una semana de su lanzamiente, Adobe publica un parche de seguridad catalogado como crítico. malwares.

Los desarrolladores informan que es recomendable actualizar cuanto antes a esta versión (10.3.183.10), ya que los atacantes podrían aprovechar un agujero de seguridad y dañar el sistema o incluso tomar contro del mismo. Por otro lado, se detalló que otra vulnerabilidad corregida son los ataques dirigidos a través de correos electrónicos.

El paquete de mejoras esta disponible para todos los sistemas operativos y móviles.

En caso de que no tengas conocimiento de que es un Falso Positivo, aquí una breve explicación:

“Un falso positivo es cuando un antivirus erróneamente detecta o alerta de una amenaza en un fichero, sitio web o instalador, siendo que no existe virus o malware alguno”

Como puede leerse en nuestra descripción, es cuando un antivirus nos alerta de algo inexistente. Entre las causas de este error se encuentran variables técnicas y otras voluntarias. Las cuestiones técnicas hacen a la eficacia del antivirus y a su programación necesaria, tratan de brindar un software que reaccione inmediatamente contra amenazas y pueden exagerar en el análisis en tiempo real.

Por otro lado, criticamos la variable voluntaria, ya que la consideramos poco ética en el mercado y afecta la competencia. Con esto nos referimos a aquellos antivirus que por diversas razones alertan equivocadamente a los usuarios.

En esta primera parte nos centraremos en Dr. Web Antivirus y su desempeño en sus falsos bloqueos.

Las pruebas se llevaron a cabo con la última versión del popular antivirus. Ingresamos a distintas páginas conocidas, en otros idiomas y blogs, además probamos programas variados e instaladores de sitios de descargas. Aquí algunos errores de falsos positivos detectados:

♦ Algunos Clientes P2P fueron bloqueados
♦ Sólo los instaladores de 3 sitios populares pasaron la prueba. Los demás fueron alertados como virus.
♦ Muchos ficheros comprimidos con programas internos nos arrojó alerta
♦ Creamos ficheros ejecutables con llamadas al registro de Windows, pero que no alteraban ningún valor y también fueron bloqueados
♦ No pudimos acceder desde el navegador a sitios con ciertas publicidades o promoción de algunos programas. Tampoco a unos sitios en ruso.
♦ Lo más preocupante fue la detección de otro antivirus como una posible amenaza y bloqueo de la descarga

El listado es más extenso, igualmente destacamos esos puntos. Una vez que terminamos de realizar estos test, realizamos las mismas tareas desactivando el antivirus (recordamos que esta opción sólo debe realizarse en caso de tener conocimiento cierto del proveedor de la información).

♦ Los clientes P2P bloqueados traían alguna publicidad o trataban de usar un puerto no activo, ninguna de estas acciones son afectuosas.
♦ Los instaladores, que facilitan a muchos usuarios la descarga de programas o utilidades, no almacenaban ninguna variable de troyano o virus como lo alertaba NOD32. Sólo ofrecían nuevas herramientas de búsqueda o un complemento para el navegador web.
♦ Los RAR y ZIP no son amenazas en sí mismas, sólo puede traer una infección que sólo al ser descomprimida y ejecutada afectaría el ordenador.
♦ El tema de los ficheros REG o BAT que inventamos a propósito fue para demostrar que no es del todo certero el análisis. No generamos daño alguno.
♦ El tema que si nos preocupo es el intento de desprestigiar a la competencia.

En resumen, en ciertos casos recomendamos desactivar el análisis en tiempo real y tratar descargar los instaladores, programas o utilidades que crees que es seguro. Además, en caso de dudas o necesidad puedes pedirle a un amigo o familiar que coteje con su ordenador si tiene un antivirus distinto.

El análisis sigue con otros dos antivirus que te contaremos en las próximas dos entregas. Además como cierre final te detallaremos algunos procesos de Windows que por ERROR fueron declaramos FALSOS POSITIVOS.

Continuará…