29 diciembre, 2010

Los Metadatos y herramientas para examinarlos o analizarlos y eliminarlos

Fotos, documentos y otros archivos contienen información oculta acerca de su origen: autor, fechas, programa utilizados, horas empleadas en la edición y -con algunas cámaras de fotos y móviles- incluso coordenadas. A estas señas de identidad se les llama metadatos. Dos ejemplos son las etiquetas EXIF (para fotos) e ID3 (para música).

Los metadatos son un arma de doble filo, útil para clasificar y organizar los contenidos de la propia librería de documentos, y peligrosos por la cantidad de información sensible que transmiten sin que tengamos control sobre ella. En este artículos te explicamos cuáles son los metadatos más comunes y cómo deshacerte de ellos con la ayuda de herramientas que los encuentran y eliminan.

Metadatos: qué son y por qué importan.
En informática, un archivo es un bloque de información de un tamaño determinado. Gran parte del archivo está ocupado por los datos, pero una pequeña fracción está reservada para aportar información sobre los mismos, bien en la cabecera, bien en los metadatos.

Esquema de un archivo

 Imagina que el archivo es un paquete: los metadatos y la cabecera son etiquetas adhesivas que contienen información sobre el remitente, cuándo se creó el paquete, qué contiene, etcétera. Los metadatos ID3, por ejemplo, contienen información sobre el autor y disco de una canción MP3, mientras que los EXIF indican cómo y cuándo se tomó una foto digital.

Propiedades del archivo

La mayoría de editores de documentos es capaz de leer y manipular los metadatos de los archivos, algo muy útil para clasificarlos. Sin embargo, los metadatos también suponen un riesgo para nuestra privacidad, especialmente por lo poco que pensamos en ellos.

El documento que sabía demasiado.
En los documentos de Office, particularmente los de Word, se hallan numerosos metadatos: nombre, iniciales, nombre de la empresa, ruta de guardado, resúmenes, revisiones y versiones, texto oculto, etcétera. La mayoría de estos datos se pueden consultar desde la pestaña Resumen de las Propiedades del archivo o usando aplicaciones como Metadata Analyzer.


Pliego



Los metadatos de los documentos de Word (.DOC) pueden ser comprometedores. En su artículo Cómo minimizar metadatos en Word 2003 (KB825576), Microsoft ofrece instrucciones detalladas para evitar que Word añada metadatos a los documentos, así como instrucciones para eliminarlos. Sin embargo, más sencillo es recurrir a eliminadores masivos de metadatos, como Doc Scrubber.


Doc Scrubber

Doc Scrubber busca metadatos en todos los archivos de Word de una carpeta y permite eliminar los que desees. La operación es rápida y segura. Para Office 2003/XP existe un add-in de Microsoft, aunque el más completo es BatchPurifier, que elimina datos de veinte tipos de documentos (archivos PDF y OpenOffice incluidos).


BatchPurifier

EXIF, IPTC y XMP: mil palabras para una imagen.
Las cámaras digitales y los programas de retoque fotográfico incrustan todo tipo de información en los archivos JPG y RAW, desde la hora en la que se tomó la foto hasta las coordenadas geográficas (si conectan a un dispositivo GPS).



EXIF

Los metadatos EXIF revelan muchísima información sobre una fotografía.
Esta información es útil para clasificar las imágenes, pero imagina que, por el motivo que sea, no deseas darla a conocer: entonces deberás usar un eliminador o un editor de metadatos para imágenes. Entre las muchas disponibles, recomendamos ExifReader y MetaStripper, son utilidades gratuítas que examina y elimina los datos EXIF, IPTC y COM.




MetaStripper

Las etiquetas que suenan: ID3
Los archivos de audio también tienen metadatos: el estándar ID3 se usa desde hace años para enriquecer canciones con multitud de datos. Las grabadoras de audio modernas suelen añadir automáticamente las etiquetas ID3 a los archivos producidos. Para quitarlos, uno de los más efectivos es ID3Kill.


ID3Kill

Viejos conocidos: los atributos de archivo.
No podíamos olvidar los atributos de archivo, el metadato más antiguo y esencial. Las fechas de creación, modificación y acceso son difíciles de modificar manualmente. Para aplicar cambios masivos, Attribute Changer es una de las mejores utilidades de su género.


Attribute Changer

- Otras aplicaciones para encontrar metadatos en imágenes, documentos MS Office, etc.
Podemos utilizar estas y muy potentes herramientas:

* Foca (sencilla, potente y con amplias características. Muy recomendable). Dispone también de una verión online: Foca Online
* Metagoofil (Analiza Meta-Data).
* Libextractor (Analiza Meta-Data).

Soluciones:

Por otro lado disponemos de múltiples herramientas para LIMPIAR metadatos, aquí dejo algunas aplicaciones, entre otras:
OOMetaExtractor (Limpiar documentos OpenOffice o LibreOffice (.odt)).
JPEG y PNG Stripper (Limpiar metadatos de imágenes de formato JPEG y PNG).
MetaShield Protector y Metadata Extractor (Limpiar documentos ofimáticos: MS Office de la versión 97 a la 2007 y OpenOffice).

Si utilizamos documentos MS Office 2007, podremos limpar datos tal y como se muestra en esta captura: Inicio -> Preparar -> Inspeccionar elemento
Para versiones MS Office 2003 en Windows XP, podremos hacer uso de un complemento proporcionado por Microsoft: http://www.microsoft.com/downloads/es-es/details.aspx?FamilyID=144e54ed-d43e-42ca-bc7b-5446d34e5360&displaylang=es o esta otra opción: http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=8446.

(De esto ya se hizo referencia anteriormente en el post).


Click en la imágen para agrandar
(Ver también la "parte - 2" de la conferencia de Chema, donde explica diversas soluciones para ello.)

A parte de toda esta info. Dejo dos video-coferencias by Chema Alonso sobre la "Seguridad Informática en los Metadatos".
Unas video-conferencias aménas y todo muy bien explicado, recomiendo verlas ya que este tema me parece interesante respecto a la seguridad de los datos (LOPD) sobre todo si se trata de empresas.

Seguridad Informática en los Metadatos _ Parte - 1 (Chema Alonso)



Seguridad Informática en los Metadatos _ Parte - 1 (Chema Alonso)

05 diciembre, 2010

Herramientas de esteganografía

Aunque la esteganografía es un arte antiguo, el mundo digital le ha dado un nuevo sentido, llevando la idea a nuevos formatos y desarrollando técnicas bastante avanzadas. Aún así, si pensamos en seguridad, la esteganografía por sí sola se queda pequeña, por lo que la mayoría de los programas actuales cifran los datos antes de incrustarlos. Actualmente deberíamos pensar en la esteganografía como una técnica complementaria a la criptografía.

La cantidad de formatos en los que se pueden esconder datos es inmensa, y las técnicas para hacerlo en cada uno de ellos también son variadas. Vamos a ver una pequeña recopilación de formatos que pueden ser contenedores de información oculta, y algunos programas que hacen ésto posible.
 

Steghide: Libre, portable, rápido, soporta cifrado y compresión. Es uno de los más usados, y está disponible en los repositorios de software de un montón de distribuciones. Trabaja con JPEG, BMP, WAV y AU.
 

JPHide y JPSeek: Trabajan con JPEG, y prometen ser programas muy silenciosos, ya que la modificación del contenedor es mínima.

Gifshuffle: Como su nombre indica, utiliza ficheros GIF (animados también). Una herramienta muy portable, libre, rápida, y que soporta cifrado / compresión.

SNOW: Del mismo creador que Gifshuffle, utiliza espacios y tabulaciones al final de las líneas de un fichero de texto ASCII. También es altamente portable, libre, rápido y soporta cifrado / compresión.

wbStego: Tiene varias versiones, y pretende tener una interfaz más amigable. Utiliza formatos BMP, texto ASCII o ANSI, HTML y PDF.

MP3Stego: Utiliza ficheros MP3 como contenedores, admite compresión y cifrado.

Stelin y StegoSense: Herramientas de esteganografía sintáctica en textos.

Fuse::PDF: Ocultar documentos personales dentro de ficheros PDF.
 

Ésto es una pequeña muestra de todo lo que podemos encontrar en Internet, en la práctica a cada uno le gustarán más unas que otras y usará unos formatos sobre otros.

09 noviembre, 2010

Protege tus contraseñas de keyloggers con: KL-Detector

KL-Detector, es una pequeña aplicación gratuíta y portable, que te permite detectar keyloggers pudiendo así proteger mejor tus contraseñas y datos importantes.


Una vez lo ejecutes, el programa se minimizará en la bandeja del sistema durante 10 minutos.
Con el botón 'View Full Report', mostrará un informe con todos los archivos creados o modificados durante el tiempo de vigilancia.

Los inconvenientes son que: Solo es compatible con: Windows 2000, XP. Y solo esta disponible en inglés.

Descargar KL-Detector

08 noviembre, 2010

Cómo abrir, descifrar o romper archivos .rar y .zip protegidos con contraseña sin saberla con: Advanced Archive Password Recovery

- Advanced Archive Password Recovery, es una herramienta que nos permitirá abrir archivos; .RAR, .ZIP, .ACE o .ARJ que están protegidos con contraseña, y no la sabemos.

- Abrimos Advanced Archive Password Recovery, presionamos el botón 'Open' para elegir el archivo al cual quieres descifrar la contraseña, después de esto, si sospechas que la contraseña del archivo solamente incluye letras y no números, marca las casillas All caps latin (A-Z) y All small latin (a-z), pero si tiene número marca All digits también, All special symbols es para cuando la la contraseña incluye caracteres especiales, eso incluye acentos y la letra ñ. Es importante saber que entre más casillas marques, más tiempo tardará en descrifrar la contraseña, pues lo que hace es intentar con miles de combinaciones hasta encontrar la passw.

- Si este software no recupera la contraseña, vuelve a intentarlo una 2 o 3 veces más, y hay que tener en cuenta (depende lo que tardemos) que puede llegar a tardar entre 8, 10 o 15 mints.

- Si no recupera tu contraseña este programa en su versión gratuita es tal vez porque tiene una contraseña más complicada y necesitarás pagar por la versión completa que cuesta $45 dólares.

* Descarga : Aquí

05 noviembre, 2010

Hijacking en sesiones de redes sociales u otros sitios de internet con: Firesheep

Firesheep, es una herramienta que podría ser utilizada para robar identidades según las propias palabras de su autor Codebutler. La herramienta, que fue presentada en la última Toorcon 12 en San Diego, permite capturar tráfico de una gran cantidad de sitios web que envían el datos sin cifrar.

Una vez instalada la extensión en Firefox (Mac OS y Windows, ya que por el momento no dispone de una versión para SO Linux), Firesheep permite el robo de credenciales de los siguientes sitios, en los que podemos ver en la caputura, que nos deja Segu-Info:




Como explica Codebutler en su presentación una vez capturadas las Cookies y las sesiones del usuario, sería posible hacerse pasar por el mismo (Session Hijacking).

Para que este addon o complemento del navegador Firefox funcione, debemos tener instalado en Windows el controlador o driver: Winpcap.
Winpcap, es un controlador que permite a las aplicaciones capturar y trasmitir los paquetes de red puenteando la pila de protocolos, y tiene útiles características adicionales, incluyendo filtrado de paquetes a nivel del núcleo, un motor de generación de estadísticas de red y soporte para captura de paquetes remotos.

* Descarga e instala Firesheep: Aquí
* Descarga e instala Winpcap: Aquí
* Otras opciones para la descarga

*Nota: El fichero de descarga de Firesheep, viene con una extensión .xpi, simplemente tenemos que ejecutarlo y si Firefox no lo reconoce, abrir con -> y marcamos Firefox. De este modo, nos empezará a instalar el addon de manera normal.

* Fuente | Segu-Info

13 septiembre, 2010

Borrar o eliminar la password de la BIOS

Si queremos acceder a un equipo y dicho equipo tiene una contraseña en la BIOS, no vamos poder entrar a ella y su configuración.

Para ello podemos utilizar determinados metodos, para borrar dicha password de la BIOS:

[1] - Una de las tantas utilidades de las que dispone Hiren’s BOOT CD. (Actualizo este post a fecha de Enero de 2016 con la nueva versión de Hiren's BOOTCD).
Esto es ideal para cuando podemos bottear un LiveCD a través del "Menú BOOT" y que este no nos solice credencial para poder hacer bootstrap a dispositivos externos.


Dentro de las opciones "BIOS/CMOS Tools" tendremos un conjunto de herramientas, entre ellas BIOS Cracker y Kill CMOS.


Figura 1: BIOS Cracker

Figura 2: Kill CMOS

Figura 3: Eliminado con éxito de la password de BIOS.

[2] - En el caso de que no podamos bootear ningún LiveCD, tendremos que hacerlo desde el propio sistema operativo.
CMOS De-animator, es una utilidad gratuita que funciona en todas las versiones de Windows. Y que en principio no requiere elevar privilegios para acceder a la CMOS. Nos permitirá eliminar la password de la BIOS invalidando el checksum de la CMOS, una vez realize esto habrá "limpiado" la password de BIOS así como dejarla con sus configuración por defecto.


Figura 4: CMOS De-animator para Windows.

Actualmente está dispinible en su versión 3.0, la cual incluye ciertas mejoras sobretodo por su nueva interfaz de uso.

Saludos!

27 agosto, 2010

Realizar copias de seguridad y sincroniza en periodos específicos: discos duros, carpetas o archivos con: Synkron, FileBack PC y Handy Backup

Synkron, es un software libre gratuito para poder realizar copias espejo (mirrors) de para la sincronización de determinadas carpetas cuestión.

Se pueden especificar intervalos de sincronización o determinados días/hora de la semana, así como también tener varias sesiones de distintas ubicaciones en diferentes instancias o personalizar cada una de esas instancias que la aplicación la representa gráficamente con pestañas.

Otra opción es el poder determinar el tipo de sincronización a realizar entre ambas carpetas (origen > destino). Así como escoger entre carpetas maestro y esclavo, que nos permitirá realizar el sincronismo de una forma u otra dando prioridad a lo que seleccionemos según nuestras necesidades.


Creo que es de las aplicaciones más interesantes a resaltar de este artículo con el añadido ya digo, de que es gratuita. 


Descargar Synkron: Aquí

FileBack PC, es una herramienta que nos permitirá hacer copias de seguridad en forma de sincronizaciones en los periodos que tú le especifiques. Podremos realizas copias de: discos duros, carpetas o archivos.


- Se instala en la bandeja del sistema.
- Podrás definir qué ficheros se copiarán, dónde y cuándo.
- Puede monitorizar los cambios en ficheros para que sólo detectando una nueva versión haga copia de seguridad de forma automática.

- Si sólo tienes un disco duro, pero tienes a tu disposición una red de ordenadores, también podrás utilizar unidades remotas tanto como origen como destino. Lo ideal, en este caso, sería hacer las copias de seguridad en un ordenador que funcione como servidor.

Existe una versión gratuita de prueba de esta herramienta, pero si queremos un rendimiento pleno de FileBack PC solo está disponible pagando por ella.


Pasos para la instalación del registro:
Como se nos muestra en la captura, a la hora de registrar FileBack PC cuando lo ejecutemos después de su instalación.

Elegimos:
"Global Configuration" -> y pulsamos "Next"
En la siguiente ventana, pulsamos en el botón que dice: "Open registration File..." y buscamos (en el directorio donde tengamos guarda la instalación) la siguiente ubicación: "crackFileBackPC4.1 -> FileBack.PC.v4.1-YAG -> Crack" y ahí abrimos el archivo serial.txt. Que contendrá el código para el registro del programa. Pulsamos "Next", ir siguiendo los siguientes pasos. Y listo.

Sitio Oficial de FileBack PC: Aquí
 



Handy Backup, es una herramienta que desempeñas la misma tarea que, FileBack PC.


La ventaja de esta es, que es muy facil de usar y está disponible en español.
Para cambiar el idioma: Tan sencillo como irnos a la barra de herramientas a la sección "Languaje" y cambiarlo por "Spanish", o el que deseemos.


Handy Backup, a diferencia de la aplicación anterior, cuenta con una utilidad de compresión de archivos en formato ZIP, otra para protegerlos con contraseña y otra para encriptarlos con un algoritmo de 128 bits.

Handy Backup es un software de pago, solo nos ofrece 30 días de prueba y para eso, no con el uso pleno de esta herramienta.



Sitio Oficial de Handy Backup: Aquí



10 agosto, 2010

Recuperar numeros de serie de Windows y otras aplicaciones instaladas

- Para poder recuperar las claves o serial de Windows o aplicaciones como Adobe, Office u otras, que a veces nos olvidamos de anotar y guardar. Utilizaremos dos programas, los cuales son aplicaciones portables:

- LicenseCrawler, este se encargará de buscar en el registro de nuestro PC los números de serie de todas las aplicaciones que tenemos instaladas.
- La aplicación es muy sencilla de utilizar. Basta con darle click a "Start Search" y en segundos, irá apareciendo una lista de números de serie.


- ProduKey, (una aplicación de Nirsoft), esta se centra más en números de serie como pueden ser el de: Windows XP-Vista-7, Microsoft Office, etc.
- El programa nos dará los números de serie instantáneamente, así que solo tendremos que copiarlos y guardarlos.

* Descarga LicenseCrawler: Aquí
* Descarga ProduKey: Aquí

------------------------------------------------------
* Entradas realacionadas:
- Jalapeño Keyfinder
------------------------------------------------------

06 agosto, 2010

Cambiar la fecha y hora de archivos o carpetas

Bulk File Chan­ger, es un pro­grama gra­tuito, creado por Nir­soft, con el que podremos modificar la meta­data de fechas de los archivos.


Podremos traducir esta herramienta al castellano, con este archivo .ini, el cual después de descargarlo lo pegaremos en donde este instalado el programa.
Podremos utilizar esta aplicación como una herramienta portable, ejecutable la que no requiere instalación.

Descarga Bulk File Chan­ger: Aquí


Restamper, es otra herramienta portable y gratuita, que nos va permitir cambiar la fecha y hora de cualquier archivo. También podemos cambiar la fecha y hora de las carpetas y directorios.




Simplemente, arrastrar y suelta el fichero o carpeta en el programa, y este nos creará en el sitio donde estemos una carpeta con copias de seguridad del registro de los archivos que cargemos, por si algo falla, podemos volver a restaurarlos (para ello nos iríamos a: Stamp -> Restore..., y seleccionamos la carpeta de copia de seguridad que nos creara Restamper).

Descarga Restamper: Aquí


SKTimeStamp, es una pequeña aplicación que se instala como una librería y que se añade como pestaña a las propiedades de un fichero o carpeta, el cual nos permitirá modificar de forma rápida la fecha/hora de creación, modificación y acceso de dicho fichero o carpeta.


Descargar SKTimeStamp: Aquí

27 julio, 2010

BlueScreenView [Dumping BSoD]: Leer los “Pantallazos Azules” de errores BSoD de Windows

BlueScreenView, es una herramienta de NirSoft portable, la cual buscará los archivos con extensión .dmp llamados minidumps, ubicado por defecto en el path: %systemroot%\Minidump (C:\Windows\Minidump) donde se almacenan los registros de todos los pantallazos azules de Windows, también llamados BSOD (Blue Screen Of Death), si el equipo sigue funcionando después de un error así lo podrás usar fácilmente si no, habría que extraer el disco duro físico y examinar este/s archivo/s desde otro PC.


Para cada mensaje BSOD, pantallazo azul, se pueden ver los controladores que tenía cargados en ese momento el PC, ya que muchas veces esos BSODs son ocasionados por controladores de dispositivos incompatibles o dañados.

Podemos cambiar la vista de visualización de los ficheros .dmp y así ver el mensaje de error de diferentes formas cambiando la vista en, Opciones > Modo de panel inferior: Solo controladores, todos los controladores, estilo de la BSOD en WinXP, etc.
Es compatible con cualquier versión de Windows XP, Vista y 7

Nota: Está disponible en español, simplemente hay que descargar a parte el fichero correspondiente al idioma y pegarlo "suelto" en la misma carpeta donde estén los demás ficheros de BlueScreenView junto el mismo path que el ejecutable .exe.

Descargar BlueScreenView


A continuación se mencionan algunas referencias a los posibles significados de los típicos y más comunes mensajes BSOD. (La siguiente información está extraída de forospyware.com).

IRQL NOT LESS OR EQUAL: Drivers incompatibles o mal diseñados.
UNKNOWN HARD ERROR: Archivos del registro dañados o borrados, RAM defectuosa.
STATUS SYSTEM PROCESS TERMINATED: Software o drivers incompatibles.
STATUS IMAGE CH HECKSUM MISMATCH: Archivos modificados, errores en el acceso al disco, RAM defectuosa.
KMODE EXCEPTION NOT HANDLED: Drivers incompatibles o mal diseñados, software con fallas graves, hardware defectuoso.
NTFS FILE SYSTEM: Disco duro dañado, cables de disco en mal estado, sistema de archivos dañado.
FAT FILE SYSTEM o NTFS FILE SYSTEM: Error en el ntfs.sys (driver que permite al sistema, leer y escribir en unidades NTFS).
INACCESSIBLE BOOT DEVICE: Cambio de motherboard o controladora, cambio de disco a otra PC, virus.
PAGE FAULT IN NONPAGED AREA: Drivers incompatibles, software incompatible, RAM o motherboard fallado.
NO MORE SYSTEM PTES: Un driver no se está liberando correctamente.
UNEXPECT TED KERNEL MODE TRAP: Hardware defectuoso, posiblemente memoria RAM o placa base; software incompatible.
KERNEL STACK INPAGE ERROR: Sector donde se aloja archivo de intercambio dañado, cables de disco defectuosos, virus.
SYSTEM THREAD EXCEPTION NOT HANDLED: Drivers o software incompatibles, BIOS defectuoso, hardware incompatible.
KERNEL MODE EXCEPTION NOT HANDLED: Hardware, drivers o BIOS incompatible. Lo más habitual es que se trate de RAM defectuosa.
DRIVER POWER STATE FAILURE: Driver que no funciona correctamente con las funciones de ahorro de energía.
BAD POOL CALLER: Driver o software mal diseñado.
DRIVER IRQL NOT LESS OR EQUAL: Driver mal diseñado.
THREAD STUCK IN N DEVICE DRIVER: Driver, típicamente de la tarjeta gráfica, mal diseñado.
UNMOUNTABLE BOOT VOLUME: Cambio de placa o controladora, cables IDE defectuosos o inadecuados, cambios en la conexión de los discos.
MACHINE CHECK EXCEPTION: Este comportamiento se debe a que el procesador del equipo ha detectado un error de hardware irrecuperable y ha informado sobre él a Windows. Se debe a una falla en el procesador, mother board u overclocking extremo.

03 junio, 2010

Eliminar trabajos de la cola de impresión almacenados en Windows

Cuando queremos imprimir algo y a veces pasa que se nos queda el sistema o la impresora "atascada", parece que no responde o que se bloquea los trabajos que están almacenados en la cola de impresión de las tareas pendientes de impresión, y no los conseguimos eliminar. Para poder eliminarlos:
Realiza los siguientes pasos para salir de estos apuros en estas situaciones:

[1] - Abrimos una ventana Ejecutar (Tecla Windows + R). Después tecleamos cmd y pulsamos Enter.
[2] - Se nos abrirá el command prompt de Windows, escribimos la siguiente instrucción y damos Enter:

net stop spooler
Esto detendrá el servicio encargado de administrar la cola de impresiones.

[3] - Ahora, ejecutamos por separado cada una de las siguientes instrucciones:

del %systemroot%\system32\spool\printers\*.spl
del %systemroot%\system32\spool\printers\*.shd
net start spooler
Este último activará el servicio de nuevo de la cola de impresiones.

Existen otros ficheros (.tmp) que podremos borrar manualmente si nos vamos a la ruta en cuestión (C:\%systemroot%\system32\spool\printers\ (%systemroot%: normalmente, si no es modificada, es la carpeta "Windows")). Podremos eliminar todo el contenido para intentar desatascar la impresora en el caso de que no los pudiésemos quitar en la propia ventana de cola de impresión de la impresora.
Esto en una linea de comandos en vez de poner las dos anteriores para elimnarlos podríamos poner solo esta:
del %systemroot%\system32\spool\printers\*.*
Para este trabajo, en caso de hacerlo constantemente, simpre podremos generar un fichero de lotes .bat. Con las instrucciones anteriores.

Los ficheros .spl son los archivos de cola de impresión.
Los archivos .shd proporcionan información acerca de qué impresora y el proceso de los trabajos de impresión.

Estos archivos son una "sombra", que mantiene un seguimiento de la impresora lógica y también contiene el orden de los archivos en la cola, el usuario que envió el archivo a la impresora y otras informaciones.

28 mayo, 2010

Analiza si una web contiene o no virus o malware en: Urlvoid

- Urlvoid, es sencillamente una página web que nos mostrará resultados de un analisis, para decirnos si un sitio web contiene o no virus o malware. Usando el motor de conocidos antivirus como McAfee SiteAdvisor, TrendMicro Web Reputation o el propio Google Diagnostic, urlvoid es capaz de darnos un diagnóstico de una dirección web determinada de amenazas como virus o malware.

- Nos muestra información sobre la dirección IP en la que está alojada la web buscada.
- En el resultado al final del analisis, muestra una lista completa de los sitios a partir de los cuales obtuvo la información.

* Visita Urlvoid: Aquí

26 mayo, 2010

Poner contraseñas y proteger las carpetas de windows con: My Lockbox 2.0 [Nueva versión]

- Hace algún tiempo había publicado: Lockdir, una aplicación con la que podemos poner contraseñas a nuestras carpetas. Pues bien, My Lockbox 2.0 es la nueva versión para proteger nuestras carpetas.

- My Lockbox 2.0, ahora cuenta con una integración completa con el explorador de Windows, permitiéndono tener más cerca las funcionalidades del programa, solo con hacer clic derecho y seleccionar la opción “Protect with My Lockbox” podrás proteger la carpeta que quieras.

- El almacenamiento de contraseñas ha sido mejorado haciéndolo ahora mucho más seguro ante la intrusión de cualquier usuario que quiera acceder a nuestros datos privados. Cuenta con una nueva funcionalidad, llamada "Trusted Process", que permite escoger cuáles procesos (de los que están ejecutándose) pueden acceder a nuestros ficheros protegidos.

- Sin embargo, tenemos puntos negativos:
-* No permitirá bajo ninguna circunstancia actualizar la modalidad de trabajo de la versión vieja a la nueva, y si tú estás protegiendo carpetas actualmente (con la versión vieja) recomendamos desprotegerla, para luego, desinstalar dicha versión, e instalar la nueva versión, porque carece de la capacidad de adaptar las viejas configuraciones a las nuevas.
- Y está lleno de publicidad incómoda, pero ignorando estos detalles. Es una herramienta útil.

- Compatible con windows XP, Vista y 7. Totalmente gratuita que se puede descargar desde su sítio oficial.

* Descarga desde su sitio oficial: Aquí

* Fuente | BlogInformatico

20 mayo, 2010

sfc /scannow [Escanear, detectar, reparar archivos dañados en Windows]

Cuando en nuestro PC no cargan ciertas aplicaciones internas de Windows, no nos permite instalar herramientas de Microsoft, como el Messenger, o no nos abre Paint, etc.
A que es devido esto? Una de las razones puede ser que los archivos “protegidos” de Windows están corruptos o dañados, situación que se puede presentar cuando nuestro sistema está infectado por algún tipo de malware.

El comando (System File Checker - SFCsfc /scannow, lo que hace es comprobar la integridad de los ficheros protegidos del sistema Windows, y repararlos en caso de que presenten algún tipo de corrupción o anormalidad.
sfc /scannow

Podemos utilizar antes de /scannow: sfc /purgecache. Este purga la caché de archivos y examina todos los archivos de sistema protegidos. 


Para la ejecución de este comando, debes estar como administrador del sistema e introducir el LiveCD de Windows, (ya que en algún momento nos lo puede pedir y de ese modo ya lo tendremos corriendo). Si tienes windows Vista o 7 deberás ejecutarlo de este modo:
En "C:\Windows\System32" buscamos la consola de windows "cmd.exe", cuando la encontremos pulsamos botón derecho y ejecutamos la consola como administrador.

O También: Inicio -> escribimos en el cuadro de búsqueda CMD -> y veremos como resultado: cmd.exe -> botón derecho -> Ejecutar como administrador. Y ya entraremos en la Shell de Windows donde podremos introducir el comando mencionado.

21 abril, 2010

Tipos de Malware y clasificación de Virus Informáticos

Este artículo es con la intención de comprender en aspectos básicos las asociaciones de los diversos terminos para las amenazas relazionadas con el Malware o Badware. Y de ese modo conseguir una mayor comprensión sobre el tema.
Esta info fue recopilada de diversos espacios webs y adaptada en este artículo con el fin de tener así una recopilación en una misma entrada.

Tipos de Malware/Badware:

Troyanos:
No es propiamente un virus como tal, ya que no se replica ni tampoco intenta infectar a otros archivos. Si no que es un programa malicioso con los que veremos a posteriori. Existen multitud de malwares Troyanos y métodos de troyanización.
La tarea que realizan esta clase de aplicaciones es la de introducirse en la computadora víctima mediante el engaño. Para ello, los desarrolladores de los mismos introducen en una aplicación aparentemente inofensiva un segundo programa, es decir el troyano propiamente dicho, el cual instalará en nuestra PC el código necesario para cumplir con las tareas especificadas por su creador.
Las acciones que pueden ser desarrolladas por estos troyanos incluyen la apertura de puertos de nuestra computadora, para permitir que cualquier intruso controle nuestros movimientos de forma remota. Así como también recolectar y enviar cualquier dato sensible que podamos tener a resguardo en nuestro equipamiento informático.
Asimismo pueden contener bombas lógicas, las cuales ejecutarán su código malicioso al cumplirse cualquier condición que haya establecido su programador.
Un aspecto muy importante a tener en cuenta es la peligrosidad de estos programas. De forma similar a los virus, estos tienen la capacidad de destruir de manera permanente cualquier archivo, además de inutilizar por completo la información guardada en el disco rígido.

Worms (Gusanos):
Si bien a efectos de su catalogación son considerados como virus, lo cierto es que este tipo de programas no infectan otros archivos. El objetivo para el cual fueron desarrollados es la replicación a la máxima celeridad posible, logrando de este modo el colapso total de cualquier red en la cual pudieran haber ingresado.
El chat o el correo electrónico es una de las formas más utilizadas para la propagación e infección de los gusanos. También pueden propagarse y desarrollarse en la memoria RAM de la computadora.

Virtual Crab (Ladillas virtuales):
Es un tipos de programa maligno que, como analogía al parásito de transmisión sexual, entra en una computadora a través del "sexo virtual", sitios webs pornográficos o cualquier aplicación relacionada.
Los sitios web pornográficos suelen ser un gran caldo de cultivo para estos parásitos virtuales.  Al igual que los gusanos intentan multiplicarse por todo el sistema una vez infectado y los síntomas que pueden padecer los atacantes son similares a los de los Gusanos (Worms).

Botnet (redes de computadores Zombies):
Los bots son propagados a través de Internet utilizando a un gusano como transporte, envíos masivos de ellos mediante correo electrónico o aprovechando vulnerabilidades en navegadores web.
Una vez que se logra una gran cantidad de sistemas infectados mediante Troyanos, se forman amplias redes que "trabajan" para el creador del programa. Aquí hay que destacar tres puntos importantes:
  1. Este trabajo en red se beneficia del principio de "computación distribuida", miles de sistemas funcionando juntos tienen una mayor capacidad de procesamiento que cualquier sistema aislado.
  2. El creador del programa puede ser una red de delincuencia que ha armado su ataque, y que tienen estos programas trabajando en su beneficio.
  3. El grupo "propietario de la red" de zombies puede alquilar a otros grupos su red para realizar alguna acción ilegal. El objetivo de las redes zombies puede ser realizar ataques de DDoS (Distributed Denial of Service), distribución de SPAM, etc.
Backdoor:
Estos programas son diseñados para abrir una "puerta trasera" en nuestro sistema de modo tal de permitir al creador del backdoor tener acceso al sistema y hacer lo que desee con él.
El objetivo es lograr una gran cantidad de computadoras infectadas para disponer de ellos libremente hasta el punto de formas redes de botnes.

Exploit:
Un Exploit es un programa o código que "explota" una vulnerabilidad del sistema o de parte de él para aprovechar esta deficiencia en beneficio del creador del mismo.
Si bien el código que explota la vulnerabilidad no es un código malicioso en sí mismo, generalmente se lo utiliza para otros fines como permitir el acceso a un sistema o como parte de otros malware como gusanos y troyanos.
Es decir que actualmente, los exploits son utilizados como "componente" de otro malware ya que al explotar vulnerabilidades del sistema permite hacer uso de funciones que no estarían permitidas en caso normal.
Existen diversos tipos de exploits dependiendo las vulnerabilidades utilizadas y son publicados cientos de ellos por día para cualquier sistema y programa existente pero sólo una gran minoría son utilizados como parte de otros malware (aquellos que pueden ser explotados en forma relativamente sencilla y que pueden lograr gran repercusión).

0-Day - Zero Day (Día cero): Cuando está aplicado a la información, el "Zero Day" significa generalmente información no disponible públicamente. Esto se utiliza a menudo para describir exploits de vulnerabilidades a la seguridad que no son conocidas por los profesionales del tema.
Se definie Zero Day como cualquier exploit que no haya sido mitigado por un parche del vendedor.

Keylogger:
Como su nombre lo indica un Keylogger es un programa que registra y graba la pulsación de teclas (y algunos también clicks del mouse). La información recolectada será utilizada luego por la persona que lo haya instalado. Actualmente existen dispositivos de hardware o bien aplicaciones (software) que realizan estas tareas.
Los Keyloggers físicos son pequeños dispositivos que se instalan entre nuestra computadora y el teclado. Son difíciles de identificar para un usuario inexperto pero si se presta atención es posible reconocerlos a simple vista. Tienen distintas capacidades de almacenamiento, son comprados en cualquier casa especializada y generalmente son instalados por empresas que desean monitorizar a ciertos empleados.
Cabe aclarar que esta forma de actuar puede traer problemas legales a quien lo instala ya que registrar a un usuario mediante este accionar puede interpretarse como una violación a su privacidad. Es aquí donde cobra relevancia una política de seguridad clara, puesta por escrito y firmada por el usuario.
Con respecto a las Keyloggers por software, actualmente son los más comunes, muy utilizados por el malware orientado a robar datos confidenciales o privados del usuario. Como es de imaginar, la información obtenida es todo lo que el usuario ingrese en su teclado como por ejemplo documentos, nombres de usuarios, contraseñas, números de tarjetas, PINes, etc.
Esto explica el porque de su gran éxito y utilización actual ya que como sabemos el malware, cada vez más orientado al delito, puede utilizar esta herramienta para proporcionar información sensible del usuario a un atacante.

Stealer:
Se define como Stealer (ladrón de información) a un programa troyano que se introduce a través de internet en un ordenador con el propósito de obtener de forma fraudulenta información confidencial del propietario, logins en accesos a sitios web, contraseñas o números de tarjetas de crédito. Se suele propagar en la mayoría de los casos mediante correos electrónicos en forma de Spam.
Entre alguno de sus síntomas están los de: la desconexión involuntaria de un sitio web, para así volver a logearnos en el sitio y Stealer capturar esa información, sería como un Keylogger por software. Si somo usuarios de MSN Messenger, este envía mensajes falsos e incluso introduciendo en ellos datos incluidos haciendo creer al usuario destinatario que son datos enviados por el usuario infectado, pero el destinatario no lo sabe. Para usuarios inexpertos es dificil que sepan detectar el tipo de mensajes, pero solo con ver algunos ejemplos ya uno se da de cuenta del engaño.

Phising:
Se define Phishing como la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en el sitio web original, en lugar del falso. Normalmente, se utiliza con fines delictivos enviando correos electrónicos de SPAM e invitando acceder a la página señuelo. El objetvo del engaño es adquirir información confidencial del usuario como contraseñas, tarjetas de crédito o datos financieros y bancarios.
El Phishing consiste en el envío de correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir un enlace que, al ser pulsado, lleva a páginas web falsificadas.
De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que, en realidad, va a parar a manos del estafador. Existe un amplio abanico de software y aplicaciones de toda índole que quedan clasificados dentro de la categoría de robo de información personal o financiera, algunas de ellas realmente complejas, como el uso de una ventana Javascript flotante sobre la barra de direcciones del navegador con el fin de confundir al usuario.
Para evitar este tipo de ataques, no debemos abrir enlaces de remitentes que desconozcamos o nos parezcan sospechos, si el contenido del mensaje tiene faltas ortográficas, el mensaje está mezclado e dos o más lenguas, debemos tener la confianza de que el enlace que se nos puedra mostrar es de confianza. Nunca abrir un enlace con un clic del ratón desde el propio panel de correo, colocándonos encima del enlace en la navegador web que utilicemos nos avisará en la parte infererior (barra de complementos) hacia donde nos redirije dicho enlace. Iigualmente, si tenemos confianza en el sitio deberémos seleccionar el enlace -> copiarlo -> y pegarlo e la barra de direcciones de una nueva pestaña o ventana del navegador. Si una vez dentro nos parece sospecho a la hora de ingresar algún dato, cerramos la web y porsupuesto no proporcionámos ninguna información. 

Pharming:
El Pharming es el aprovechamiento de una vulnerabilidad en el software de los servidores DNS (Domain Name System - Encargados de convertir direcciones IP en nombres) que permite a un atacante adquirir el nombre de dominio de un sitio, y redirigir el tráfico de la página Web original hacia la página Web falsa.

Rogues, Scareware o FakesAVs (falsos antivirus):
Los Rogue, Scareware o FakesAVs son sitios web o programas que simulan ser una aplicación de seguridad, generalmente gratuita, pero que en realidad instalan otros programas dañinos. Bajo la promesa de solucionar falsas infecciones, cuando el usuario instala estos programas, su sistema es infectado.
Estos programas, que el la mayoría de los casos son falsos antivirus, no suelen realizar exploraciones reales, ni tampoco eliminan los virus del sistema si los tuviera, simplemente informan que se ha realizado con éxito la desinfección del equipo, aunque en realidad no se a realizado ninguna acción, si no, que a sido infectado con el código malicioso que el atancante desarrollara para obenter algún veneficio.
Para los delicuentes es sencillo desarrollar este tipo de software, ya que los programas sólo muestran unas pocas pantallas y unos cuantos mensajes falsos para engañar al usuario.

Ransomware:
Los Ransomware es un tipo de malware que mediante distintas técnicas imposibilita al usuario propi de un documento acceder al mismo. El modo más comúnmente utilizado es cifrar con clave dicho documento y dejar instrucciones al usuario para obtenerla, posterior al pago de "rescate". Es una variante de los malwares tipo Rogue o FakesAVs.

Hoax:
Un Hoax (del inglés: engaño, bulo) es un mensaje de correo electrónico con contenido falso o engañoso y normalmente distribuido en cadena. Algunos informan sobre virus desastrosos, otros apelan a la solidaridad con un niño enfermo o cualquier otra noble causa, otros contienen fórmulas para hacerse millonario o crean cadenas de la suerte como las que existen por correo postal. Los objetivos que persigue quien inicia un hoax son: alimentar su ego, captar direcciones de correo y saturar la red o los servidores de correo.
Frecuentemente, circulan por Internet falsos mensajes de alerta sobre virus, conocidos como Hoaxes o bulos. Su finalidad es generar alarma y confusión entre los usuarios.

SPAM:
Se define SPAM a los mensajes no solicitados, habitualmente de tipo publicitario, enviados en forma masiva. La vía más utilizada es la basada en el correo electrónico pero puede presentarse por programas de mensajería instantánea o por teléfono móvil.
El término spam tiene su origen en el "jamón especiado" (SPiced hAM), primer producto de carne enlatada que no necesitaba frigorífico para su conservación.
Debido a esto, su uso se generalizó, pasando a formar parte del rancho habitual de los ejércitos de Estados Unidos y Rusia durante la Segunda Guerra Mundial. Posteriormente, en 1969, el grupo de actores Monthy Python protagonizó una popular escena, en la cual los clientes de una cafetería intentaban elegir de un menú en el que todos los platos contenían...jamón especiado, mientras un coro de vikingos canta a voz en grito "spam, spam, spam, rico spam, maravilloso spam".
En resumen, el spam aparecía en todas partes, y ahogaba el resto de conversaciones . Haciendo un poco de historia, el primer caso de spam del que se tiene noticia es una carta enviada en 1978 por la empresa Digital Equipment Corporation.
Esta compañía envió un anuncio sobre su ordenador DEC-20 a todos los usuarios de ArpaNet (precursora de Internet) de la costa occidental de los Estados Unidos. Sin embargo, la palabra spam no se adoptó hasta 1994, cuando en Usenet apareció un anuncio del despacho de los abogados Lawrence Cantera y Martha Siegel. Informaban de su servicio para rellenar formularios de la lotería que da acceso a un permiso para trabajar en Estados Unidos. Este anuncio fue enviado mediante un script a todos los grupos de discusión que existían por aquel entonces. Algunas de las características más comunes que presentan este tipo de mensajes de correo electrónico son:
  1. La dirección que aparece como remitente del mensaje no resulta conocida para el usuario, y es habitual que esté falseada.
  2. El mensaje no suele tener dirección Reply (no se puede contestar).
  3. Presentan un asunto llamativo.
  4. El contenido es publicitario: anuncios de sitios web, fórmulas para ganar dinero fácilmente, productos milagro, ofertas inmobiliarias, o simplemente listados de productos en venta en promoción.
  5. La mayor parte del spam está escrito en inglés y se origina en Estados Unidos o Asia, pero empieza a ser común el spam en español.
Aunque el método de distribución más habitual es el correo electrónico, existen diversas variantes, cada cual con su propio nombre asociado en función de su canal de distribución:
  1. Spam: enviado a través del correo electrónico.
  2. Spim: específico para aplicaciones del tipo Mensajería Instantánea (MSN Messenger, Yahoo Messenger, etc).
  3. Spit: spam sobre telefonía IP. La telefonía IP consiste en la utilización de Internet como medio de transmisión para realizar llamadas telefónicas.
  4. Spam SMS: spam destinado a enviarse a dispositivos móviles mediante SMS (Short Message Service).
El spam es un fenómeno que va en aumento día a día, y representa un elevado porcentaje del tráfico de correo electrónico total. Además, a medida que surgen nuevas soluciones y tecnologías más efectivas para luchar contra el spam, los spammers (usuarios maliciosos que se dedican profesionalmente a enviar spam) se vuelven a su vez más sofisticados, y modifican sus técnicas con objeto de evitar las contramedidas desplegadas por los usuarios.
¿Cómo funciona? ¿Cómo se distribuye? Obtención de direcciones de correo Los spammers tratan de conseguir el mayor número posible de direcciones de correo electrónico válidas, es decir, realmente utilizadas por usuarios. Con este objeto, utilizan distintas técnicas, algunas de ellas altamente sofisticadas:
  1. Listas de correo: el spammer se da de alta en la lista de correo, y anota las direcciones del resto de miembros.
  2. Compra de bases de datos de usuarios a particulares o empresas: aunque este tipo de actividad es ilegal, en la práctica se realiza, y hay un mercado subyacente.
  3. Uso de robots (programas automáticos), que recorren Internet en busca de direcciones en páginas web, grupos de noticias, weblogs, etc. En las que pueda haber direcciones de correo electrónico.
  4. Técnicas de DHA (Directory Harvest Attack): el spammer genera direcciones de correo electrónico pertenecientes a un dominio específico, y envía mensajes a las mismas. El servidor de correo del dominio responderá con un error a las direcciones que no existan realmente, de modo que el spammer puede averiguar cuáles de las direcciones que ha generado son válidas. Las direcciones pueden componerse mediante un diccionario o mediante fuerza bruta, es decir, probando todas las combinaciones posibles de caracteres.
Por lo tanto, todos los usuarios del correo electrónico corremos el riesgo de ser víctimas de estos intentos de ataques. Cualquier dirección pública en Internet (que haya sido utilizada en foros, grupos de noticias o en algún sitio web) será más susceptible de ser víctima del spam.
Actualmente hay empresas que facturan millones de dólares al año recolectando direcciones de correo electrónico, vendiéndolas y enviándoles mensajes de promociones, ofertas, y publicidad no solicitada, pero con la sofisticación de que algunas saben lo que nos interesa y buscamos y nos envian publicidad relacionada, para caer más facilmente en el engaño.
Las recomendaciones para evitar el SPAM son las siguientes:
  1. No enviar mensajes en cadena ya que los mismos generalmente son algún tipo de engaño (hoax).
  2. Si aún así se deseara enviar mensajes a muchos destinatarios hacerlo siempre Con Copia Oculta (CCC), ya que esto evita que un destinatario vea (robe) el mail de los demás destinatarios.
  3. No publicar una dirección privada en sitios webs, foros, conversaciones online, etc. ya que sólo facilita la obtención de las mismas a los spammers (personas que envían spam).
  4. Si se desea navegar o registrarse en sitios de baja confianza hágalo con cuentas de emails destinada para ese fin. Algunos servicios de webmail disponen de esta funcionalidad: protegemos nuestra dirección de email mientras podemos publicar otra cuenta y administrar ambas desde el mismo lugar.
  5. Para el mismo fin también es recomendable utilizar cuentas de correo temporales y descartables como las mencionadas al pie del presente.
  6. Nunca responder este tipo de mensajes ya que con esto sólo estamos confirmando nuestra dirección de email y sólo lograremos recibir más correo basura.
  7. Es bueno tener más de una cuenta de correo (al menos 2 o 3): una cuenta laboral que sólo sea utilizada para este fin, una personal y la otra para contacto público o de distribución masiva.
Algunos filtros heurísticos de correo funcionan efectivamente previniendo gran cantidad de SPAM, pero ninguno funciona lo suficientemente bien como para olvidarnos de estos simples consejos que, utilizados correctamente, nos ayudará a recibir menos correo no deseado. Otra característica negativa de los filtros es que algunos funcionan tan sensiblemente que terminan filtrando a la carpeta de correo de spam o no deseado el correo normal o que realemente nos interesa. Pero para ello grandes compañías como Gmail, Hotmail o Yahoo trabajan a diario para mejorar estos filtros.

Adware:
Se define como Adware al software que despliega publicidad de distintos productos o servicios. Estas aplicaciones incluyen código adicional que muestra la publicidad en ventanas emergentes (pop-up), o a través de una barra que aparece en la pantalla simulando ofrecer distintos servicios útiles para el usuario.
Generalmente, estas aplicaciones agregan iconos gráficos en las barras de herramientas de los navegadores de Internet o en los clientes de correo. Estas barras de tareas personalizadas tienen palabras claves predefinidas para que el usuario llegue a sitios con publicidad, sea lo que sea que el mismo usuario esté buscando. También puede reflejarse en banners publicitarios, en la mayoría de los casos engaños, que hacen scroll por la website visitada.

Spyware:
Se define como Spyware o Software Espía a las aplicaciones que recopilan información sobre una persona u organización sin su conocimiento, ni consentimiento. El objetivo más común es distribuirlo a empresas publicitarias u otras organizaciones interesadas.
Normalmente, estos software envían información a sus servidores, en función de los hábitos de navegación del usuario. También, recogen datos acerca de las webs que se visitan y la información que se solicita en esos sitios, así como direcciones IP y URLs que se navegan.
Esta información es explotada para propósitos de mercadotecnia y muchas veces es el origen de otra plaga como el SPAM, ya que pueden encarar publicidad personalizada hacia el usuario afectado. Con estos datos, además, es posible crear perfiles estadísticos de los hábitos de los internautas.
Los programas espías son aplicaciones informáticas que recopilan datos sobre los hábitos de navegación, preferencias y gustos del usuario. Los datos recogidos son transmitidos a los propios fabricantes o a terceros, bien directamente, bien después de ser almacenados en el ordenador.
Las recomendaciones para evitar la instalación de este tipo de software son las siguientes:
  1. Verifique cuidadosamente los sitios por los que navega, ya que es muy común que estas aplicaciones auto-ofrezcan su instalación o que la misma sea ofrecida por empresas de dudosa reputación.
  2. Si es posible, lea atentamente las políticas de privacidad de estas aplicaciones. Generalmente incluyen puntos como "recolectamos la siguiente información del usuario" o "los daños que causa la aplicación no es nuestra responsabilidad" o "al instalar esta aplicación ud. autoriza que entreguemos sus datos a...".
  3. Estas aplicaciones normalmente prometen ser barras con funcionalidades extras que se instalan sobre el explorador.
  4. Actualmente, se nota una importante aparición de aplicaciones que simulan ser software anti-spyware que en realidad contiene spyware. Una lista de los mismos puede ser encontrada en la dirección que se detalla al pie del presente.
  5. Cuando una aplicación intente instalarse sin que ud. lo haya solicitado, desconfíe y verifique la lista anterior.
  6. Es común que los sitios dedicados al underground o pornográficos, contengan un alto contenido de programas dañinos que explotando diversas vulnerabilidades del sistema operativo o del explorador, le permiten instalarse.
  7. Verificar los privilegios de usuarios. Es común que todos los usuarios que hacen uso del PC lo hagan con permisos administrativos. Esto no necesariamente debe ser así, es recomendable que cada usuario tenga su propio perfil, sólo con los permisos necesarios para realizar sus tareas y no estar logeado como root del sistema. Ya que esto disminuye el campo de acción de un posible intruso (virus, backdoor, usuario no autorizado, etc.).
  8. Estas aplicaciones evolucionan continuamente por lo que contar con un antivirus actualizado y con capacidades proactivas es fundamental para detectar estas aplicaciones y evitar su instalación.
El spyware puede ser instalado en el sistema a través de numerosas vías, entre las que se encuentran: troyano, que los instalan sin consentimiento del usuario; visitas a páginas web que contienen determinados controles ActiveX o código que explota una determinada vulnerabilidad; aplicaciones con licencia de tipo shareware o freeware descargadas de Internet, etc.
El spyware puede ser instalado con el consentimiento del usuario y su plena conciencia, pero en ocasiones no es así. Lo mismo ocurre con el conocimiento de la recogida de datos y la forma en que son posteriormente utilizados.
Lista de Antispyware sospechoso: http://www.spywarewarrior.com/rogue_anti-spyware.htm
Este sitio ofrece una lista de software sospechoso. La lista es mantenida por Eric L. Howes profesor en la GSLIS (Graduate School of Library and Information Science) de la Universidad de Illinois, EE.UU.

Dialer:
Tratan de establecer conexión telefónica con un número de tarificación especial.
Dialer es un programa que, sin el consentimiento del usuario, cuelga la conexión telefónica que se está utilizando en ese momento (la que permite el acceso a Internet, mediante el marcado de un determinado número de teléfono) y establece otra, marcando un número de teléfono de tarificación especial. Esto supondrá un notable aumento del importe en la factura telefónica.
Los dialers NO funcionan con conexiones ADSL y/o cable ya que este tipo de conexiones no realiza marcado para una conexión telefónica.

Scumware:
Estas aplicaciones infectan los sitios Web, a través de ordenadores y servidores, modificando su contenido y estructura sin permiso. El Scumware puede modificar nuestros banners de publicidad, agregar información falsa u ofensiva en nuestras páginas, añadir enlaces publicitarios sin permiso, etcétera. Lo que sería conocido como ataques "Website defacement" o "Defacing".

Hijacker:
Se encargan de “Secuestrar” las funciones de nuestro sistema cambiando la página de inicio y búsqueda y/o otros ajustes del navegador. Estos pueden ser instalados en el sistema sin nuestro consentimiento al visitar ciertos sitios web mediante controles ActiveX o bien ser incluidos por un troyano. 

Joke:
El objetivo de un Joke es crear algún efecto molesto o humorístico como una broma al ordenador del usuario.

RootKit:
Un RootKit es un programa o conjunto de programas que un intruso usa para esconder su presencia en un sistema integrándose ocultamente e otras aplicaciones, procesos, archivos, directorios, claves de registro. Abre puertos de nuestra máquina que al atacante le permitirá acceder en el futuro para acceso al sistema y así manipular el mismo.
Para completar su objetivo, un Rootkit altera el flujo de ejecución del sistema operativo o manipula un conjunto de datos del sistema para evitar la auditoria.
Un rootkit no es un exploit, es lo que el atacante usa después del exploit inicial. En algunos aspectos, un rootkit es más interesante que un Exploit, incluso que un 0-day.
Un Expoit 0-day es una bala, pero un Rootkit puede decir mucho del atacante, como cuál era su motivación para disparar.
Windows es diseñado con seguridad y estabilidad en mente. El núcleo (kernel) debe ser protegido de las aplicaciones de usuario, pero estas aplicaciones requieren cierta funcionalidad desde el kernel.
Para proveer esto Windows implementa dos modos de ejecución: modo usuario y modo kernel. Windows hoy solo soporta esos dos modos, aunque las CPU Intel y AMD soportan cuatro modos de privilegios o anillos en sus chips para proteger el codigo y datos del sistema de sobreescrituras maliciosas o inadvertidas por parte de código de menor privilegio.
Originalmente el término RootKit proviene de sistemas Unix y hacía referencia a pequeñas utilidades y herramientas que permitían acceso como "root" de esos sistemas.
El término ha evolucionado y actualmente es un conjunto de herramientas utilizadas en cualquier sistema para conseguir acceder ilícitamente al mismo. Generalmente se los utiliza para ocultar procesos y programas que permiten acceso al sistema atacado, incluso tomar control de parte del mismo.
Es importante remarcar que un Rootkit no es un Malware en sí mismo pero, debido a que es utilizado ampliamente para ocultar los mismos, muchas veces se lo considera incorrectamente como programa dañino.
Actualmente, incluso son utilizados por ciertas empresas para controlar componentes del sistema y permitir o denegar su utilización. Hay que remarcar que el uso de estos programas es éticamente incorrecto (o incluso ilegal), ya que se hace sin la autorización expresa del usuario.

Metodología de Infección y Clasificación de Virus/Malware:

A continuación detallo los método de trabajo que poseen los virus informáticos más conocidos y difundidos en la actualidad, con el fin de que se conozca más en profundidad su funcionamiento, su modo de infección y sus objetivos, y de esta manera estar mejor preparado ante una posible infección del PC.

Bombas Lógicas:
La particularidad más notoria de las bombas lógicas reside en que mientras no se cumplan ciertas condiciones, el virus no realizará ninguna acción destructiva, permaneciendo escondido al acecho de nuestros datos. Básicamente, una bomba lógica se compone de lineas de código insertadas dentro de otro programa, y tienen por finalidad destruir los datos de una computadora o causar otros importantes perjuicios.
Entre los daños que las bombas lógicas pueden causarnos la eliminación total de los contenidos de la unidad del disco rígido, o acciones tales como mostrar un mensaje, reproducir una canción o el envío de un correo electrónico sin nuestro consentimiento, entre otros.
Cabe destacar que su accionar puede llegar a ser extremadamente destructivo, ya que es uno de los más peligrosos de su tipo.

Tipos de Virus:

Residente:
Como su nombre lo indica, esta clase de virus poseen la particularidad de poder ocultarse en sectores de la memoria RAM del equipo y residir allí, controlando cualquier operación de entrada o salida de datos que lleve a cabo el sistema operativo.
Su principal misión es la de infectar todos los archivos y programas que puedan ser llamados para su ejecución, ya sea para su copia, borrado o toda otra operación que pueda ser realizada con ellos.
Mientras permanecen ocultos en la RAM de nuestra computadora, yacen latentes a la espera de cualquier evento que haya sido programado por su desarrollador para comenzar con su ataque.
Esta reacción puede ser desencadenada, por ejemplo, al haberse cumplido un lapso de tiempo en una fecha u hora prevista.

Acción Directa:
La característica fundamental que define a los virus de tipo de Acción Directa es que no necesitan permanecer residentes en la memoria RAM de la computadora, ya que su método para comenzar con su ataque es esperar que se cumpla una determinada condición para activarse y poder replicarse y realizar la tarea para la cual fueron concebidos.
Para poder lograr su infección, esta clase de virus realiza una búsqueda de todos los archivos existentes en su directorio. Además poseen la particularidad de buscar en los directorios que se listan en la línea PATH del archivo Autoexec.bat.
Este tipo de virus poseen la particularidad de, tras una infección de archivos, estos ficheros pueden ser por completo restaurados, volviendo al estado anterior a su infección.

Sobreescritura:
Los virus del tipo de sobreescritura poseen la habilidad de destruir todo o parte del contenido de un archivo infectado por él, ya que cuando un fichero es infectado por el virus, este escribe datos dentro del mismo, dejando a este archivo total o parcialmente inútil.
Una característica que define a este tipo de virus informático, es que los archivos no aumentarán de tamaño en caso de una infección, esto es debido a que el virus oculta su código reemplazando parte del código propio del archivo infectado.
Este es uno de los virus más perjudiciales que circulan en la actualidad. Lamentablemente una de las pocas formas que existen de erradicar el virus, es eliminado el archivo infectado, con la consiguiente pérdida de los datos escritos en él.

Booting o Arranque:
Como todos sabemos el sector de arranque o también conocido por MBR (Master Boot Record), es una zona del disco rígido donde reside el programa de carga para el inicio del sistema operativo.
La clase de virus que ataca el sector de arranque no infectarán archivos, sino que su misión principal es replicarse en cualquier otro disco rígido que se encuentre a su alcance.
Se trata de un virus del tipo residente, ya que cuando el mismo se encuentra activo en la memoria, uno de los aspectos más importantes al momento de determinar su existencia, es el notorio decaimiento de las cifras que arroja cualquier conteo de la memoria libre del sistema.
Sin embargo, el código del virus no incorpora ninguna clase de rutina perjudicial, salvo la propia replicación del mismo.

Macro:
El principal motivo de creación de estos virus es la de poder infectar a todos aquellos archivos que tengan la posibilidad de ejecutar macros.
Estas macros son pequeñas aplicaciones destinadas a facilitar la tarea del usuario mediante la automatización de ciertas y complejas operaciones que de otro modo serían demasiado tediosas de llevar a cabo.
Estos micro-programas, al contener código ejecutable, también son propensos.
El método de infección del cual hacen uso los virus de esta índole es simple, una vez cargado el archivo, estas macros se cargarán en memoria y el código se ejecutará produciéndose de esta forma la infección.
Cabe destacar que gran parte de estas aplicaciones cuentan con una protección incorporada para esta clase de amenazas, si bien no siempre es efectiva. Además lo cierto es que la mayoría de estos virus no pueden atacar a todas las aplicaciones por igual, debido a que su código está escrito para atacar a un programa en particular.
Los ejemplos más importantes de esta clase de ficheros son los documentos generados por Microsoft Word, cuya extensión es .doc y .docx, como así también los archivos de Microsoft Excel de extensión .xls y .xlsx, los ficheros de Microsoft Access con extensión .mdb, las presentaciones de Microsoft PowerPoint con extensión .pps, ppt, ppsx y pptx, también algunos ficheros realizados por CorelDraw .cdr entre otros.

Enlace:
Este tipo de virus tiene la facultad de modificar las direcciones específicas de ubicación de programas y archivos para comenzar su infección, es decir, los lugares en donde el sistema operativo buscará estos programas o archivos para su ejecución.
El método de infección utilizado por este virus, como mencionamos, es alterar la ubicación de un determinado programa o fichero.
Al momento de que el sistema operativo o el usuario del mismo necesite ejecutar este programa o fichero infectado, lo que en realidad sucede es la ejecución del código malicioso que porta el virus, produciéndose de este modo la infección de cualquier programa con extensión .exe o .com.
Cabe destacar que cuando se produce una infección por virus de tipo de enlace, resulta prácticamente imposible la localización de los programas que han sido reemplazados por el accionar de los mismos.

Encriptación:
Los desarrolladores de esta peculiar clase de virus utilizan el método de cifrado por encriptación para lograr el objetivo de no ser descubiertos por las exploraciones que realizan las aplicaciones antivirus.
Si bien no se trata estrictamente de un tipo de virus, es una denominación que se le otorga a cierta clase de técnica utilizada para el ocultamiento de los mismos.
Esta denominación también es extensible a virus de otras categorías, tales como los virus de tipo polifórmico.
Los virus de tipo de encriptación, tienen la capacidad de autoencriptarse, ocultándose de este modo a los intentos de los programas antivirus cuando realizan sus rutinas de escaneo del sistema.
Para cumplir con la misión encomendada por su programador, el virus de encriptación se autodesencriptará y una vez finalizada su tarea volverá a su anterior estado, es decir, se encriptará a sí mismo.
Para acometer con su infección, los virus encriptados incorporan a su código los algoritmos necesarios para su cifrado y descifrado, debido a que el cifrado es una técnica que necesita de una clave para encriptarlo y desencriptarlo, la cual obviamente no posee el usuario que ha sido infectado.
Cabe destacar que esta clase de virus sólo pueden ser descubiertos por los programas antivirus cuando se encuentran en ejecución.

Polimórficos:
Los virus polimórficos, una técnica muy sofisticada y que demanda mucho conocimiento por parte del desarrollador, son aquellos que poseen la habilidad de encriptarse de un modo diferente y variable con cada nueva infección que realizan.
Su principal característica consiste en que con cada replicación, utilizan diferentes claves y algoritmos de encriptación, de modo que las cadenas que componen su código, una especie de firma para los sistemas antivirus, varían de tal forma que nunca lograrán concordar con las firmas existentes en las bases de datos que utilizan estos antivirus para su detección. Es decir, cada vez que se replican y encriptan van cambiando en forma secuencial. Cabe destacar que estos virus son los más difíciles de detectar y eliminar, ya que puede producir muchas y diferentes copias de sí mismo
Debido a la utilización de esta complicada técnica, estos virus son capaces de generar gran cantidad de copias de sí mismos, pero nunca iguales.

Multipartite:
Podemos considerar, debido a los estudios y trabajos realizados por expertos en seguridad informática en todo el mundo, que este tipo de virus es actualmente uno de los más perjudiciales que cualquier usuario, tanto experto como novato, puede encontrar.
Estos virus deben su peligrosidad al hecho de que pueden realizar, mediante la utilización conjunta de diferentes técnicas y métodos de ataque, múltiples y variadas infecciones.
El objetivo principal de su existencia, es la posibilidad de destruir con su código a todos aquellos archivos y programas ejecutables que tenga la posibilidad de infectar.
Entre los blancos preferidos de esta clase de virus podemos citar archivos, programas y aplicaciones, las macros que incorporan suites de ofimática como Microsoft Office, discos rígidos, unidades de almacenamiento extraíbles como: pendrives, tarjetas de memoria de todo tipo, etc.
Cabe destacar que tras el ataque de un virus de tipo multipartite, los datos que contienen los elementos infectados serán imposibles de recuperar.

Uniforme:
Son aquellos virus que pueden replicarse a sí mismos en forma idéntica.

Stealth o furtivo:
Tienen la particularidad de poder ocultar al usuario los síntomas de la infección.

Oligomórficos:
Estos poseen sólo una reducida cantidad de funciones de encriptación y pueden elegir en forma aleatoria cual de ellas puede utilizar.

Metamórficos:
Son aquellos que poseen la singularidad de reconstruir todo su código cada vez que se replican. Es importante señalar que esta clase de virus no suele encontrarse más allá de los límites de los laboratorios de investigación de malwares.

Fuentes: Informatica-hoy, Segu-info, Infospyware, Wikipedia.


Saludos!

03 abril, 2010

Herramientas, consejos y recomendaciones para Anti-Malware y Anti-Spyware

Esta es un guía con 6 útilies herramientas para intentar tener el sistema totalmente libre de cualquier tipo de malware. Recomiendo también para más información el blog y comunidad: infospyware.com, forospyware.com. En los cuales se pueden encontrar algunas de las herramientas Anti-Malware/Anti-Spyware que hago referencia en este artículo.

[1] - Utilizar AntiVirus/AntiMalwre

- Actualiza tu antivirus residente y realiza un análisis completo.
- Si no tienes un antivirus instalado. En este blog hay un artículo en el cual recopilara una lista de antivirus: Lista de: Antivirus/Antimalwares gratuitos.

[2] - Antivirus online u otro que no sea el residente en el sistema


Por último debemos realizar un análisis online o desde otro antivirus que no sea el que tengamos instalado en el sistema, para obtener una segunda opinión y asegurarnos completamente de que el equipo esté "limpio".


Para realizar analisis de ficheros concretos o URLs de sitios web en los que podemos tener sospechas, podremos utilizar virustotal.com. Este nos realiza un escaneo por numerosos motores de antivirus/antimalwares y la final del proceso muestra un informe de los resultados de cada uno de ellos. Otra opción sería: Metascan-Online.com con el que podemos analizar ficheros Online en 18 antivirus a la vez. Un antivirus externo: NOD32 online de ESET es un antivirus online que, además de analizar el sistema elimina posibles amenazas encontradas. 


A continuación dejo serie de listas (extraidas de elhacker.net) de diversos antivirus, anti-espías y analizadores de ficheros.

Antivirus Online:
http://www.pandasecurity.com/activescan/index/?track=1&Lang=es-ES&IdPais=62
http://www.eset-la.com/online-scanner
http://www.kaspersky.com/sp/virusscanner
http://www.bitdefender-es.com/scan8/ie.html
http://www.pandasoftware.com/activescan
http://housecall.trendmicro.com
http://us.mcafee.com/root/mfs/default.asp
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://www.freedom.net/viruscenter/onlineviruscheck.html

AntiSpyware Online:
http://www.trendmicro.com/spyware-scan
http://www.sunbelt-software.com/dell/scan.cfm
http://www.spywareguide.com/txt_onlinescan.html
http://www.webroot.com/consumer/products/spysweeper/freescan.html

¿Saber si un fichero contiene ulgún tipo de malware?
http://www.virustotal.com
http://virscan.org
http://www.filterbit.com
http://virusscan.jotti.org
http://www.kaspersky.com/remoteviruschk.html
http://www.fortiguardcenter.com/antivirus/virus_scanner.html

[3] - CD de Rescate
 

También se puede hacer uso de un "CD de rescate" como el de F-Secure - Rescue CD. Una guía de Rescue CD (D-Secure)

[4] - Analizar e intentar desinfectar el equipo con herramientas AntMalware/AntiSpyware


Las herramientas de escaneo de malware es recomendable hacerlo en un SafeMode (Modo a prueba de fallos de Windows).

RKill herramienta desarrollada por BleepingComputer que se encarga de detener los procesos de malwares conocidos y que, por lo general evitan que se puedan ejecutar herramientas antivirus para desinfectar el sistema. Esta técnica de “autoprotección” por parte del malware es muy común en el Rogue Software (Falsos Antivirus).

RKill está "camuflado" como iExplorer.exe (podemos confiar en esta tool). Para que el antivirus ya instalado en el equipo no lo interprete como un malware. Después de ejecutarlo, se abrirá una consola de Windows y se pondrá a escanear mostrándonos finalmente el resultado en un log de texto .txt. 


Cuando termine, se mostrará un archivo de registro que muestra los procesos que se dieron por terminados. Rkill no elimina esos procesos maliciosos ni otra parte del malware, solo los detiene.


Figura 1: Escaneo del sistema con Rkill.
   
Spybot - Search & Destroy herramienta con la que podrás realizar un análisis del sistema. Elimina diversas amenazas. Los propietarios de este software también ponen a disposición de los usuarios otras herramientas de seguridad y optimización del sistema.


Figura 2: Escaneo del sistema con Spybot - Search & Destroy.

 Malwarebytes' Anti-Malware este software elimina una amplia variedad de programas maliciosos y es recomendado para la eliminación de rogues antimalware o falsos antivirus.


Figura 3: Escaneo del sistema con Malwarebytes' Anti-Malware

 SUPERAntiSpyware Free edition analiza el sistema en busca de cualquier tipo de amenaza que pueda colarse en el sistema: spyware, dialers, troyanos, rootkits, gusanos, adware, malware, aplicaciones maliciosas, etc


Figura 4: Escano del sistema con SUPERAAntiSpyware Free.
Ad-Aware Free diseñada para eliminar todo tipo de Spywares/Adwares. Se actualiza de habitualmente para la detección nuevos Spywares.


Figura 5: Escaneo del sistema con Ad-Aware Free.

SpywareBlaster previene infecciones de spywares. No los elimina, simplemente deshabilita los controles ActiveX de los mas conocidos spywares.



Figura 6: Escaneo del sistema con SpywareBlaster.



HijackThis escanea el sistema intentando detectar spyware, browser Hijacker, malware u otro programa malicioso. Su uso requiere ciertos conocimientos para interpretar el log que genera. El log también puede ser analizado de forma automática, ideal para aquellos que quieren ahorrar tiempo interpretándolo o tienen dudas sobre qué borrar y qué no. Guía para la interpretación del log de HijackThis.


Figura 7: Analizando sistema con HijackThis.


 
AdwCleaner busca y elimina: adware, barras de herramientas de los navegadores (toolbars), programas potencialmente no deseados o indeseables (PUP/LPI - 'Potentially Unwanted Program or undesirables') y secuestradores de navegador como Hijackers los cuales entre otras cosas, capturan la página de inicio del navegador web y la cambian por otra de su interés.

Figura 8: Escaneando sistema con AdwCleaner.

[5] - Eliminar temporales y optimizar el registro

Para eso podemos descargar y utilizar el programa gratuíto CCleaner. Escaneará todo el equipo y comprobará aquellas claves de registro que ya no son de uso para el sistema, la gran parte de software eliminado. También ficheros temporales de los navegadores web, cachés del sistema, etc.



[6] - Seguridad y privacidad en la nevagación web


Si utilizamos los navegadores más populares de hoy en día: Internet Explorer, Mozilla Firefox, Google Chrome, Opera o Safari. En su apartado de configuración podemos encontraremos parámetros para coseguir intentar estar un poco más seguros y sobre todo mantener nuestra privacidad. Todo lo que almacenamos en nuestro navegador web (contraseñas, datos de formularios, páginas web visitadas, etc.) serán almacenados también en nuestro equipo local en forma de cookies. En un análises forense de nuestro sistema hay que tener en cuenta que toda esta información estaría accesible. Comentaré algunos consejos que nos ayudarán a mejorar nuestra privacidad almacenada en nuestro navegador web y el equipo informático local.

Desactivar o deshabilitar:

  • Recordar historial.
  • No recordar nada en la barra de direcciones.
  • No recordar credenciales en formularios de registro, así como no proporcionar datos personales en el perfil de usuario del sistema.
  • Bloquear ventanas emergentes (POP-UP).
  • Advertir cuando un sitio web desea instalar un complemento (podremos añadir excepciones si confiamos el sitio web).
  • Bloquear sitios reportados como no deseados, que no son de confianza o pueda ser una posible web falsificada no legítima (Phishing).
  • Intentar usar, si el website lo permite, protocolos criptográficos para la encriptación o cifrado de la comunicación de datos en red: SSL (Secure Sockets Layer) o TLS (Transport Layer Security). A trabés del protocolo HTTPS (Hypertext Transfer Protocol Secure).
Complementos para mantenernos seguros en navegadores web

Para el uso de HTTPS podemos utlizar complementos que nos ofrecen los navegadores web. Que permiten "forzar" el uso de HTTPS siempre que la página web lo use. Estas redireccionan el protocolo HTTP a HTTPS. HTTPS Finder, Force-TLS, HTTPS Everywhere para Firefox, KB SSL Enforcer para Chrome.

Sobre los complementos HTTPS Everywhere y HTTPS Finder ya había hablado en este blog sobre ellos.


Estos nos ayudará a prevenirnos de ataques Hijacking. Ya se hablara en este blog del complemento Firesheep.

NoScript es otro complemento para Firefox el cual muchos consultores de seguridad web lo aconsejan. Ya hablara sobre la importancia de NoScript.

[7] - Evitar infectarse lo menos posible con mensajes de correos electrónicos


La mayoría de malwares usan el correo electrónico para llegar a sus víctimas y así poder infectar sus equipos. Ya sea para técnicas de Phishing con webs falsas (Scam), hoax, ficheros (imágnes, vídeo, PDF, etc.) que puedan ejecutar código malintencionado explotando alguna vulnerabilidad del sistema o aplicación instalada en el equipo.de imágenes, PDF, etc, el correo basura (Spam).



Algunos consejos para minimizar el contagio de malware por correo:
 
  1. Confiar en el remitente del correo.
  2. Fijarse en la redacción, expresión del texto, faltas de ortografía o textos que desordenados.
  3. No abrir enlaces de correos de los que desconocemos su procedencia, sospechamos de que puedan ser engaños, etc.
  4. Si el correo procede de entidades bien conocidas que tienen su certificado de seguridad, comprobarlo. De forma que sepamos que es un correo legítimo. Servidores de correos como Gmail, Yahoo o Hotmail (Outlook Web), disponen de listas en los que ya clasifican y comprueban estos remitentes, mostrándole al usuario que recibe el correo con algún icono con un candado verde e indicando el tipo de cifrado.
  5. Intentar tener nuestro correo "limpio", con esto me refiero a que si nos registramos un sitio web automáticamente en los formularios de registros a parte del check para aceptar las políticas suele acompañerse de otro check para suscripciones por correo, intentar darnos cuenta de desactivar estos check si no queremos recibir correos masivos de sitios web que no nos interesen.
  6. Si recibimos un correo de nuestra entidad bancaria, por muy legítimo que lo veamos, si nos piden "cambio de contraseñas" nunca proporcionar nuestras credenciales a ninguna de estas páginas web, ya que serían phishing. Una entidad bancaria nunca nos pediría información de caracter sensible por correo ni por teléfono y menos nuestras credenciales.
  7. Sentido común. Hoy en día los correos de spam son sofisticados en su redacción pero si recibimos un correo de que nos a tocado un viaje o millones de euros, no caigamos en el engaño si sabemos que no nos inscribimos a ningún sorteo de ese tipo.

Evitar el Spyware:

Spyware o Software espía son aplicaciones que recopilan información sobre una persona u organización sin su conocimiento, ni consentimiento. El objetivo más común es distribuirlo a empresas publicitarias u otras organizaciones interesadas.
Algunas recomendaciones para evitar la instalación de este tipo de software:
  1. Verificar cuidadosamente los sitios por los que navega, ya que es muy común que estas aplicaciones auto-ofrezcan su instalación o que la misma sea ofrecida por empresas de dudosa reputación.
  2. Si es posible, leer atentamente las políticas de privacidad de estas aplicaciones. Generalmente incluyen puntos como "recolectamos la siguiente información del usuario" o "los daños que causa la aplicación no es nuestra responsabilidad" o "al instalar esta aplicación ud. autoriza que entreguemos sus datos a...".
  3. Estas aplicaciones normalmente prometen ser barras con funcionalidades extras que se instalan sobre el explorador.
  4. Actualmente, se nota una importante aparición de aplicaciones que simulan ser software anti-spyware que en realidad contiene spyware. Una lista de los mismos puede ser encontrada en la dirección que se detalla al pie del presente.
  5. Cuando una aplicación intente instalarse sin que ud. lo haya solicitado, desconfíe y verifique la lista anterior.
  6. Es común que los sitios dedicados al underground o pornográficos, contengan un alto contenido de programas dañinos que explotando diversas vulnerabilidades del sistema operativo o del explorador, le permiten instalarse.
  7. Verificar los privilegios de usuarios. Es común que todos los usuarios que hacen uso del PC lo hagan con permisos administrativos. Esto no necesariamente debe ser así, es recomendable que cada usuario tenga su propio perfil, sólo con los permisos necesarios para realizar sus tareas y no estar logeado como root del sistema. Ya que esto disminuye el campo de acción de un posible intruso (virus, backdoor, usuario no autorizado, etc.).
  8. Estas aplicaciones evolucionan continuamente por lo que contar con un antivirus actualizado y con capacidades proactivas es fundamental para detectar estas aplicaciones y evitar su instalación.

[8] - Actualizaciones, Firwall, copias de seguridad, GPOs y gestión de usuarios:


Un equipo informático se hace más susceptible de infectarse por cualquier tipo de malware cuanto más desactualizado que esté. El sistema operativo y las aplicaciones de terceros tienen fallos de seguridad, los cuales son explotados por el malware. 


Por eso es muy muy importante, tener el sistema actualizado a su última versión al igual que todas las aplicaciones que este tiene instaladas. Si se trata de software de terceros disponer de la versión original y legal, no utilizar cracks o parches para activar los productos ya que la gran mayoría de estos cracks a parte de activarte el programa (que no siempre lo hacen) están regalándote un fantástico malware en tu equipo.

Activar si o si el Firewall. Si somos ususarios "normales", de andar por casa, el firewall de nuestro sistema sea el que sea lo mantedremos siempre activado. 

La función de un Firewall dicho a groso modo sería la de "Permitir y/o denegar acceso de aplicaciones u otros (mediante puertos) al equipo local". Esto evitará dejar todos nuestros puertos abiertos, con esto lo que conseguiremos es darle acceso al sistema de forma más fácil a los malos. Es como si un ladrón quiere robar en tu casa y tu le dejas la puerta abierta mientras tu no estás. 

Hacer copias de seguridad del sistema periódicamente. En el caso de catastrofe, sea la quesea, poder restaurar el sistema e una copia de seguridad que sabemos que es estable. 

Revisar las políticas de usuarios y grupos (GPOs) a través de la consola gpedit.msc. Podría hablar mucho sobre este punto, pero no quiero alargar más esta entrada, simplemente echar un vistazo, leerlas y habilitar o deshabilitar cada una de las políticas de nuestro sistema podríamos estar un peldaño más seguros. 

Y uno de los puntos que considero más importante, es la correcta gestión correcta de usuarios locales del sistema. Podemos tener el sistema muy securizado, con filtros en el firewall específicos, configuraciones del sistema avanzadas personalizadas, todo el sistema actualizado y sus aplicaciones una buena plantilla de políticas de usuarios y grupos bien establecida. Pero realmente si no configuramos correctamente los usuarios estamos igualmente expuesto a la ejecución de amenazas y digo ejecución por que precisamente eso es lo que permite a un malware ejecutarse o no en nuestro equipo: El usuario del sistema que estemos usando. 

Por defecto la cuenta de administrador local a partir de Windows Vista viene desactivada por seguridad. La mayoría de usuarios suelen activarla y trabajar con esta cuenta en el sistema para su funcionamiento cotidiano y no debería ser así. El usuario administrador está para administrar el sistema no para abrir correos, navegar por internet, descargar ficheros de internet, etc. Para eso está el usuario raso. Un usuario raso es cualquier usuario que se cree por defecto el sistema que no sea administrador ni tampoco usuario invitado, es decir, que forma parte del grupo de usuarios del sistema. Un usuario raso te permitirá hacer lo mismo que el usuario administrador en cuanto a trabajos cotidianos en nuestro sistema, solo en el caso de instalar algún software o cambiar configuraciones del sistema usaremos el usuario administrador. A paritr de Windows 7 existe un mecanísmo fabuloso llamado UAC (User Account Control o Control de cuentas de usuario) este nos permite desde una sesión de un usuario raso ejecutar una operación de privilegios elevados a través de una ventana de credenciales en las que nos podemos autenticar con un usuario administrador y solamente en esa instancia estará ejecutándose la cuenta de administrador a la par que la sesión de usuario sigue activa. 

Concluyendo... deja el usuario administrador-system que viene deshabilitado por el sistema: deshabilitado. Crea un usuario administrador manualmente, que pertenezca al grupo administradores y así hacer con este usuario tareas administrativas de privilegios elevados en el sistema. Crea otro usuario que perteneza al grupo de usuarios locales y se este el que utilizes de forma habitual.

Saludos!
Entradas Relacionadas