miércoles, noviembre 19, 2014

Como detectar y bloquear Phishing y Pharming.

El Phishing consiste en el envío de correos electrónicos que simulando proceder de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir un enlace que al ser pulsado, lleva a páginas Web falsas. De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que en realidad, va a parar a manos del estafador. La mayoría de los ataques Phishing son consecuencia de las masivas infecciones de ordenadores zombie. Las redes formadas por los troyanos(botnet) que convierten el sistema en un zombie, son utilizadas para el envió de spam y phishing, ya que así se escudan en personas que no son conscientes de su infección para realizar estés ataques.


El Pharming se trata de una táctica fraudulenta que consiste en cambiar los contenidos del DNS ya sea a través de la configuración del protocolo TCP/IP o del archivo “lmhost” (que actúa como una caché local de nombres de servidores Windows), para redirigir los navegadores a páginas falsas en lugar de las auténticas cuando el usuario accede a las mismas a través de su navegador. Además, en caso de que el usuario afectado por el pharming navegue a través de un proxy para garantizar su anonimato, la resolución de nombres del DNS del proxy puede verse afectada de forma que todos los usuarios que lo utilicen sean conducidos al servidor falso en lugar del legítimo.

PhishBlock es un programa de seguridad que detecta y bloquea phishing y pharming, con patrones que coincidan con las bases de datos, empleando referencias como: direcciones URL, nombres de host DNS y direcciones IP. Este programa detecta y bloquea: URLs de malware, anfitriones calificados como dañiños y direcciones IP. Recientemente, la mayoría de los códigos maliciosos se entregan de forma encubierta a los usuarios a través de los anuncios de: Google, SNS, Blogs, BBS que los usuarios visitan con frecuencia. Y después de inyectar los códigos maliciosos pasan a forma parte de una botnet.

PhishBlock detecta y bloquea archivos dañinos que intentan infectar el sistema a través de la red mediante el uso de un controlador de filtro de red. Además, ocupa muy poca memoria y el controlador de filtro de red no afecta al rendimiento de la red o de uso de la CPU. 

Características principales

  • Detecta y bloquea Phishing y malware basado en URL.
  • Detectar y bloquea C & C Server (botnet) sobre la base de nombres DNS del host y direcciones IP.
  • Detecta y bloquea: fraude, estafa, DDos, falsos contenidos basados en URL y los nombres DNS del host.
  • Permite definir las direcciones URL y los Hosts que están infectadas por malware por los usuarios. Y compartir estas definiciones con otros usuarios.
  • Permite verificar si los datos compartidos son malware o no.
  • Escaneado en busca de malware la caché del navegador con Yara (6,000 reglas).
  • Los contenidos de bases de datos son de las fuentes: PhishTank.com, Spam404.com, ClamAV.net...

PhishBlock esta disponible para sistemas Windows: XP, 2003, Vista, Win7, Win8... Y actualmente en fase de desarrollo para Linux y MacOS.

Más información y descarga de PhishBlock:
http://phishblock.org/

Articulo “Marco actual incidencias seguridad informática”:
http://es.scribd.com/doc/193240035/MARCO-ACTUAL-DE-INCIDENCIAS-EN-SEGURIDAD-INFORMATICA

miércoles, noviembre 12, 2014

LiveCD basado en Ubuntu centrado en la eliminación de malware de Windows.

La mayoría del malware moderno puede desactivar los mecanismos de seguridad de los sistemas Windows con el fin de ocultarse y protegerse de ser eliminado por los antivirus que corren en el sistema, esta característica, hace que el proceso de identificación y eliminación sea una operación muy complicada y en la mayoría casos, imposible de llevar a cabo con el sistema operativo arrancado. Lo mejor es arrancar con una LiveCD, montar el disco del sistema Windows y usar herramientas de eliminación de malware, todo esto sin el sistema Windows arrancado.


Para estés casos Ubuntu MRT (Ubuntu Malware Removal Toolkit) una LiveCD basada en Ubuntu centrado en la eliminación de software malintencionado de Windows, es lo ideal. El propósito de esta distribución es la creación de un entorno portátil, que hace más fácil quitar el malware de los sistemas Windows infectados. Permite analizar rápidamente el disco de un equipo infectado sin tener que arrancar el sistema operativo.

Entre sus características destacan:

  • Fácil de usar, incluso para los usuarios novatos de Linux.
  • Posee scripts para Nautilus (el gestor de archivos en Ubuntu) para hacer tareas más fáciles.
  • Encontrar información en línea que navegan por la web con Firefox directamente desde el LiveCD
  • Soporta protocolos de red utilizados por Windows: puede navegar por redes Windows, resolver nombres de hosts, montar  carpetas compartidas de Windows y utilizar RDP para controlar de forma remota servidores Windows.
  • Permite crear fácilmente un LiveUSB con Ubuntu MRT directamente desde la LiveCD.
  • Permite explorar y consultar los archivos de registro de Windows y detectar timestamp en NTFS.
  • Facilita la búsqueda en línea para múltiples hashes de archivos con un solo clic de ratón, y enviarlos a servicios como: Virustotal.com, Team Cymru SHA1/MD5 MHR Lookup y otros).
  • Analizar el tráfico de red utilizando herramientas preinstaladas como ntop y BotHunter.

Lo mas interesante es que Ubuntu MRT es que incluye algunos scripts para Nautilus  que están diseñados para facilitar la ejecución de las actividades específicas, que normalmente se realizan a través del terminal, y se puede ejecutar a través de la opción "secuencias de comandos" en el menú contextual que aparece en una selección de archivos o carpetas (clic derecho).

Estés scripts son:

  • Calcular Hash md5deep, crea un archivo CSV en el escritorio como que contiene hashes md5deep de los archivos y carpetas. Esta información se puede utilizar para diversos fines, un ejemplo de ello sería: para consultar los servicios en línea de la identificación de malware como "Team Cymru SHA1/MD5 MHR Lookup".
  • Calcular Hash MD5Sum, crea un archivo CSV en el escritorio que contiene los hashes md5sum de los archivos y carpetas. Esta información se puede utilizar para diversos fines, un ejemplo de ello sería: para consultar los servicios en línea de la identificación de malware como "Team Cymru SHA1/MD5 MHR Lookup".
  • Detectar timestamp en NTFS, un script que desmonta automáticamente la partición de Windows y utiliza la herramienta NTFSInfo  para crear un archivo de texto en el escritorio que contiene los metadatos NTFS de todos los archivos seleccionados. En muchos casos, el análisis de estos metadatos, muestra si ha cambiado de manera poco natural la marca de tiempo de los archivos seleccionados.
  • Analiza con AVG Virus Scanner,  un script que analiza los archivos y carpetas seleccionados con AVG Virus Scanner.
  • Buscar todos los archivos ejecutables, utilizando la herramienta "Miss Identify" para identificar todos los archivos ejecutables, entre los seleccionados.
  • Buscar archivos ejecutables mal etiquetados, utilizando la herramienta "Miss Identify" para identificar, entre los archivos seleccionados, los ejecutables que se han cambiado de nombre y por lo tanto no puede ser reconocido por la extensión.
  • Buscar en Team Cymru MHR, consultas en el servicio en línea para la identificación de malware "Team Cymru SHA1/MD5 MHR Lookup", y en el escritorio crea un archivo de texto en formato CSV que contiene los resultados de la consulta.
  • Buscar en VirusTotal.com, calcula la huella digital (MD5 hash) de los archivos seleccionados y determina si se trata de malware, de forma automática. Mediante la consulta del sitio VirusTotal.com, crea un archivo CSV en el escritorio que contiene los resultados de la consulta.

Más información y descarga de Ubuntu MRT:
http://sourceforge.net/projects/ubuntu-mrt/?source=directory



LiveCD ideal para eliminar virus:
http://www.gurudelainformatica.es/2008/06/livecd-ideal-para-eliminar-virus.html

Servicio gratuito de análisis antivirus de ficheros y e-mail:
http://www.gurudelainformatica.es/2006/05/servicio-gratuito-de-anlisis-antivirus.html

miércoles, noviembre 05, 2014

Detectar y corregir automáticamente vulnerabilidades de validación de entrada en aplicaciones Web.

Con la herramienta WAP (web application protection) es posible detectar y corregir automáticamente vulnerabilidades de validación de entrada en aplicaciones Web escritas en lenguaje PHP (versión 4.0 o superior). WAP es una herramienta de análisis estático para: detectar vulnerabilidades, seguimiento de las entradas de los usuarios maliciosos y comprobar si llegan las llamadas de funciones sensibles. Cuenta con una baja tasa de falsos positivos porque se ha implementado un módulo de minería de datos para predecir los falsos positivos cuando se detecta vulnerabilidades.


WAP analiza semánticamente el código fuente. Más precisamente, realiza el análisis del flujo de datos para detectar las vulnerabilidades de validación de entrada. El objetivo del análisis es rastrear registros maliciosos insertados por los puntos de entrada ($ _GET y $ _POST) y verificar funciones de PHP que pueden ser explotadas por alguna entrada maliciosa. Después de la detección, la herramienta utiliza la minería de datos para confirmar si las vulnerabilidades son reales o falsas. Al final, las vulnerabilidades reales se corrigen con la inserción de las correcciones en el código fuente.

WAP detecta las siguientes vulnerabilidades:

  • Inyección SQL en MySQL, PostgreSQL y DB2 DBMS.
  • Cross-site scripting (XSS).
  • La inclusión de archivos remotos (RFI).
  • Inclusión de archivos locales (LFI).
  • Salto de directorio o camino transversal (DT / PT).
  • Divulgación de Código Fuente (SCD).
  • Inyección de comandos del sistema operativo (OSCI).
  • Inyección de código PHP.

WAP está escrito en lenguaje Java y está constituido por tres módulos:

Analizador de Código: compuesto por el generador de árboles y analizador de flujo de datos. Integra un analizador léxico y un analizador sintáctico, basado en una gramática de árbol escrita en el lenguaje PHP. El generador de árbol utiliza el analizador léxico y el analizador sintáctico para construir el AST (Abstract Sintatic Árbol) de cada archivo PHP. El analizador de flujo de datos navega a través del AST para detectar potenciales vulnerabilidades.

Detección de falsos positivos: compuesto por un modulo supervisor entrenado con casos clasificados como vulnerabilidades almacenadas y los falsos positivos del algoritmo de aprendizaje automático de regresión logística. Para cada posible vulnerabilidad detectada por analizador de código, este módulo recoge la presencia de los atributos que definen un falso positivo. A continuación, el algoritmo de regresión logística los recibe y clasifica la instancia como un falso positivo o no.

Código corrector: Cada vulnerabilidad detectada se elimina mediante la corrección de su código fuente. Este módulo aplica una solución para cada tipo de vulnerabilidad y señaliza los lugares en el código fuente donde se insertará el punto de referencia. A continuación, el código se corrige con la inserción de las revisiones y se crean nuevos archivos.

Más información y descarga de WAP:
http://sourceforge.net/projects/awap/