Daboweb | Seguridad y ayuda informática |

Se ha notificado un grave fallo de seguridad para Adobe Reader y Acrobat y para Adobe Flash Player. La explotación de esta vulnerabilidad podría permitir a un atacante tomar el control de los sistemas afectados.

Las versiones y plataformas afectadas son Adobe Reader y Adobe Acrobat en versiones 9.x para Windows, Macintosh y UNIX.

En el caso de Adobe Flash Player la versión afectada sería la 10.1.85.3, y anteriores, para los sitemas Windows, Macintosh, Solaris y UNIX y la versión 10.1.95.2 y anteriores para Android. En este manual puedes ver como Comprobar la versión de Flash Player instalada en tu equipo.

Parece ser que la vulnerabilidad está siendo explotada en Acrobat y Reader, por lo que se recomienda tomar las debidas precauciones en tanto sean publicados los parches o actualizaciones que las solucionen.

Una solución alternativa, podemos encontrarla en la web de Inteco, o bien, mientras se mantenga esta situación, utilizar otros programas visores de archivos PDF.

Se encuentran disponibles para su descarga e instalación la versión 3.6.12 y la versión 3.5.15 de Mozilla Firefox, que solventan una grave vulnerabilidad del navegador que parece está siendo explotada y que podría permitir infectar el sistema al visitar determinadas páginas web especialmente manipuladas.

Como siempre, la nueva versión de Firefox, tanto para la rama 3.6 como para la 3.5 se encuentra disponible para Windows, GNU/Linux o Mac OS X y es multilenguaje.

|  Notas de la versión 3.5.15. |  Notas de la versión 3.6.12. |

|  Descarga de Firefox 3.5.15 |  Descarga de Firefox 3.6.12

También puedes actualizar Firefox desde el propio navegador a través del menú Ayuda.

Es recomendable actualizar los navegadores en la mayor brevedad posible, a las últimas versiones disponibles.

En anteriores entregas:

Presentación | Parte 1 | Parte 2 | Parte 3 | Parte4

Estadísticas en Tshark II Parte.

Seguimos con las estádisticas.

Arbol de destinos

Sintáxis: -z dests,tree,filtro

Nos muestra información de número de paquetes, frames capturados, protocolos usados, puertos y ratios atendiendo al tráfico de destino de hosts. Podemos aplicar filtro:

>tshark -i2 -z dests,tree -q

Capturing on 3Com EtherLink PCI (Microsoft's Packet Scheduler) 314 packets captured  ===================================================================  IP Destinations        value           rate         percent -------------------------------------------------------------------  IP Destinations         312       0.049781   77.238.187.39            54       0.008616          17.31%    TCP                      54       0.008616         100.00%     7775                      3       0.000479           5.56%     7777                     13       0.002074          24.07%     7782                     23       0.003670          42.59%     7780                     11       0.001755          20.37%     7781                      4       0.000638           7.41%   192.168.1.5             114       0.018189          36.54%    TCP                     112       0.017870          98.25%     80                      112       0.017870         100.00%    UDP                       2       0.000319           1.75%     53                        2       0.000319         100.00%   72.51.46.230            138       0.022019          44.23%    TCP                     138       0.022019         100.00%     7762                     25       0.003989          18.12%     7765                     14       0.002234          10.14%     7766                     12       0.001915           8.70%     7768                     25       0.003989          18.12%     7771                     18       0.002872          13.04%     7772                     44       0.007020          31.88%   192.168.1.245             2       0.000319           0.64%    UDP                       2       0.000319         100.00%     31449                     1       0.000160          50.00%     56364                     1       0.000160          50.00%   74.125.43.100             4       0.000638           1.28%    TCP                       4       0.000638         100.00%     7784                      4       0.000638         100.00%  ===================================================================

Arbol de tipo de puerto

Sintáxis: -z ptype,tree

Nos muestra información de tipo de puerto TCP O UDP:

>tshark -i2 -z ptype,tree -q
Capturing on 3Com EtherLink PCI (Microsoft's Packet Scheduler)
901 packets captured

===================================================================
 IP Protocol Types        value         rate         percent
-------------------------------------------------------------------
 IP Protocol Types         890       0.016322
  TCP                       815       0.014947          91.57%
  UDP                        67       0.001229           7.53%
  NONE                        8       0.000147           0.90%

===================================================================
 Continue reading...

Adobe ha publicado un boletín de seguridad en el que informa que ha actualizado sus productos Adobe Acrobat y Adobe Reader, corrigiendo diversas vulnerabilidades críticas de las versiones anteriores, que podrían permitir a un atacante tomar el control del sistema afectado.

Las nuevas versiones actualizadas son las numeradas como 9.4 y 8.2.5 para Windows, Unix y Macintosh.

Por tanto si utilizas este programa para manipular o ver los archivos pdf en tu equipo, recomendamos actualices a estas nuevas versiones a la mayor brevedad posible.

Acceder al boletin Adobe.

Varios responsables de empresas de seguridad informáticas situadas en el «mundo occidental», han apuntado la posibilidad de que el gusano informático de nombre Stuxnet haya sido creado con la complicidad del algún gobierno contrario al régimen islamista deTeheran, ya que en algo mas de un sesenta por ciento de los ordenadores afectados, se ha detectado que radican en ese pais de Oriente Próximo.

Kevin Hogan, directivo de Symantec ha manifestado que «Stuxnet es un prototipo temible y en funcionamiento de una cíber arma que llevará a la creación de una nueva carrera armamentística en el mundo».

Incluso los rumores van mas allá y varios especialistas en seguridad informática apuntan la posibilidad de la central nuclear de Bushehr, primera central de este tipo en el pais, sea el verdadero objetivo de este gusano, lo que podría interpretarse como un intento de dificultar el desarrollo de la energía nuclear en Irán, la cual siempre ha estado bajo sospecha de tratarse en realidad de conseguir armamento de destrucción masiva. No cabe duda de que la informática e Internet son también el campo de batalla donde los Estados también combaten «cuerpo a cuerpo».

En anteriores entregas;

Presentación | Parte 1 | Parte 2 | Parte 3

Estadísticas en Tshark.

La estadísticas en Tshark, nos informarán del uso de la red, protocolos involucrados en las capturas y estádisticas de uso, comunicaciones entre hosts, etc. Además podemos aplicar filtros a las estádisticas, de tal forma que la información obtenida por ellas es altamente personalizable y flexible.

Existe gran variedad de tipos de estádisticas a mostrar por Tshark: protocolos, comunicaciones entre hosts, estádisticas de direcciones de destino, estadísticas SMB, por longitud de paquetes, HTTP, etc y todo ello aplicando intervalos de tiempo para mostrar los resultados y filtros de captura. Se muestra también información de ratios y porcentajes.

El comando que invoca a las estadísticas es -z. vamos a ver, a continuación, los tipos de estádisticas y ejemplos. Si añadimos -q no apareceran las capturas en pantalla, solo las estadisticas tras pulsar Control+C.

Vamos a ver, a continuación, uno por uno los tipos de estádisticas.

Estadísticas de protocolo.

Sintáxis: -z io,stat,intervalo, filtro,filtro,

Nos muestra información de número de paquetes / frames capturados en un intervalo determinado de tiempo. Podemos aplicar un filtro o varios filtros.

Ejemplo sin aplicación de filtro:

>tshark -i2 -nqzio,stat,5
Capturing on 3Com EtherLink PCI (Microsoft's Packet Scheduler)
3244 packets captured

===================================================================
IO Statistics
Interval: 5.000 secs
Column #0:
                |   Column #0
Time            |frames|  bytes
000.000-005.000      23      8140
005.000-010.000     150     31724
010.000-015.000      96     31060
015.000-020.000      78     19897
020.000-025.000      32      5945
025.000-030.000    1212    580278
030.000-035.000     439    209404
035.000-040.000    1170    755060
040.000-045.000       3       174
045.000-050.000       7       408
050.000-055.000      15      1112
055.000-060.000       2       126
060.000-065.000       2       120
065.000-070.000       4       278
070.000-075.000       0         0
075.000-080.000       3       404
080.000-085.000       2       120
085.000-090.000       6       336
===================================================================

 Continue reading...

Una nueva entrada en nuestra sección de Seguridad Básica para los que empiezan y hoy trataremos un aspecto que en muchas ocasiones va a guardar mucha relación con la seguridad de nuestras contraseñas, que  vimos en la entrada anterior.

Y es que, aun cuando hayamos puesto en práctica las recomendaciones que ya vimos y seleccionado una robusta contraseña…

¿De qué nos va a servir si a través de la pregunta secreta alguien cuenta con la posibilidad de cambiarla y acceder a nuestra cuenta?.

En el tema de hoy vamos a ver una serie de consejos y recomendaciones a tener en cuenta a la hora de decidir la respuesta a la pregunta secreta, que hemos publicado en nuestro otro blog, Basicoyfacil.

Suele ser habitual en muchos registros web, ya sean para acceso a un blog, foros e incluso para crear cuentas de correo electrónico (GMail, Hotmail, Yahoo, AOL, etc.), que además de indicar un nick y una contraseña, nos muestren una opción para rellenar un casillero, respondiendo a una pregunta secreta.

Esta pregunta secreta o de seguridad, no es más que una respuesta a una pregunta preestablecida que seleccionaremos y cuya finalidad va a ser la de recuperar nuestra contraseña en caso de pérdida u olvido de la misma.

Pero mucho ojo. Esta pregunta secreta en cierto modo, puede suponer un riesgo para la seguridad de nuestra cuenta, por ello hay que prestarle la debida atención en los registros, tal y  como hacemos con nuestras contraseñas.

Lo más interesante y seguro, es responder a esas preguntas generalmente ya predefinidas con respuestas que no tengan nada que ver con la pregunta planteada, os muestro un ejemplo.

• Pregunta: ¿Cual es tu número de pasajero favorito?.

• Respuesta: Llueve en Pamplona pero en la costa hace un calor horroroso.

Como veis no tiene nada que ver la respuesta con la pregunta planteada, es decir, no hay relación alguna.
En cambio, si mi respuesta hubiese sido un número, simplemente sería cuestión de tiempo y pruebas averiguarlo.

Por tanto prestad atención a este apartado en vuestros registros y utilizad respuestas que nada tengan que ver con vuestra vida personal, que además gente de vuestro entorno podría conocer, y sobre todo, para incrementar su dificultad y seguridad, que no tengan relación alguna con la pregunta planteada.

Hasta la próxima entrega.

Entradas publicadas de Seguridad Básica:

• Seguridad básica para los que empiezan.

• ¿A qué nos enfrentamos?.

• Las contraseñas.

• La pregunta secreta.

• Analiza siempre tus descargas con el antivirus.

• Utiliza cuentas de usuario limitadas.

• Enlaces cortos, como crearlos, precauciones.

Continuando con nuestra sección de Seguridad Básica para los que empiezan, hoy trataremos un apartado de vital importancia y al que no siempre se le da el valor que requiere.

Las Contraseñas  o Passwords.

Las contraseñas o passwords son ya un elemento imprescindible, tanto en nuestra vida cotidiana como en nuestra vida informática; tarjetas de crédito, alarmas, DNI-e, correo electrónico, accesos a foros y webs, acceso a banca online, Redes sociales, etc., son una pequeña muestra de ello.

Lejos de modas, repeticiones e insistencias que podáis encontrar a diario sobre este tema, como ya indicábamos en otra entrada de Daboweb, la comodidad en la seguridad se paga y a veces el precio es muy elevado.

En ocasiones además, tendemos a relajarnos tras un periodo en el que no hemos tenido ningún problema con los passwords o contraseñas que habitualmente manejamos y ello, va a posibilitar que tarde o temprano suframos un percance.

Entrando en materia, vamos a ver una serie de consejos y recomendaciones a tener en cuenta a la hora de elegir y trabajar con nuestras contraseñas, que hemos publicado en nuestro otro blog, Basicoyfacil.

Una Contraseña o Clave personal, también denominada con su anglicismo Password, es un código o combinación de caracteres, utilizado como medida de seguridad y cuyo objeto es el de proteger el “acceso no autorizado” a un recurso determinado.

Como ejemplo de contraseñas de uso cotidiano tenemos las de nuestras tarjetas de crédito, el pin y el puk del teléfono móvil, la de bloqueo del televisor, la alarma de casa o la oficina, etc., e informáticamente hablando; la de acceso al sistema operativo o a nuestra sesión de usuario, la del Messenger, la de nuestros correos electrónicos, la de acceso al blog, a nuestras cuentas bancarias, etc.

Como podréis observar es algo bastante habitual en nuestro día a día y por tanto, debemos metalizarnos de que hay que prestarle una atención máxima, tanto en su empleo como en su elección, discrección y mantenimiento posterior.

Consejos para la elección y empleo de las contraseñas:

• Una contraseña será más segura cuanto mayor sea la dificultad para averiguarla, pero claro, a veces la elección de contraseñas con combinaciones muy rebuscadas y difíciles de recordar complican su empleo posterior, pero esto nunca debe ser motivo para obviar este aspecto.
  Existen además programas informáticos que nos permiten almacenarlas para utilizarlas cuando sea necesario, como puede ser Keepass.

• Se recomienda utilizar contraseñas que estén compuestas por una combinación de caracteres de al menos 8 cifras, compuesto por Letras (mayúsculas y minúsculas), Números (1,2,3,4,5) y Signos ( & % $ ! = ? *· – / )  Por ejemplo: Di5/4%$ext&.

• Dependiendo del recurso que se proteja algunas de estas contraseñas podrán ser en cierto modo más livianas, más cortas, etc., pero aún así, recomendamos utilizar siempre que sea posible las combinaciones expresadas anteriormente.

• Para generar vuestras contraseñas huir de utilizar palabras comunes, de uso habitual o que se encuentren en el diccionario, no utilicéis vuestra fecha de nacimiento o de los familiares, matrícula del coche u otros datos relacionados, que alguien puede conocer y por tanto deducir.

• Por supuesto sobra decir que la contraseña es secreta y como tal debe tratarse. No se debe dejar al alcance de otras personas, poca validez puede tener por ejemplo la contraseña para arrancar nuestro equipo si la dejamos colocada en la pantalla con un Pos-it 😀

• Es recomendable cambiar las contraseñas periódicamente, quizás no es necesario hacerlo todos los días pero si hay que hacerlo de vez en cuando y sobre todo, siempre cambiarlas tras aquellos supuestos en que nuestro equipo haya estado comprometido (infectado por algun troyano, virus, etc).

• No es recomendable utilizar la opción que nos ofrecen determinados programas y navegadores web para guardar las contraseñas automáticamente para que en accesos posteriores no tengas que introducirla, piensa que otro usuario detrás de tí podrá acceder a ese programa.

• Y por supuesto, ni que decir tiene que no se debe utilizar la misma contraseña para todo.

Hasta la próxima entrega.

Entradas publicadas de Seguridad Básica:

• Seguridad básica para los que empiezan.
• ¿A qué nos enfrentamos?.

• Las contraseñas.

• La pregunta secreta.

• Analiza siempre tus descargas con el antivirus.

• Utiliza cuentas de usuario limitadas.

• Enlaces cortos, como crearlos, precauciones.

Adobe ha publicado un boletín de seguridad en el que informa que ha actualizado sus productos Adobe Acrobat y Adobe Reader, corrigiendo diversas vulnerabilidades críticas de las versiones anteriores, que podrían permitir a un atacante tomar el control del sistema afectado.

Las nuevas versiones actualizadas son las numeradas como 9.3.4 y 8.2.4 para Windows, Unix y Macintosh.

Por tanto si utilizas este programa para manipular o ver los archivos pdf en tu equipo, recomendamos actualices a estas nuevas versiones a la mayor brevedad posible.

Acceder al boletin Adobe.

Ya vimos en la primera parte de esta serie dedicada a Herramientas para la interpretación de capturas de red, el uso de Windump y TCPDump y la primera parte de la creación y establecimiento de filtros .pcap.

En la segunda hemos avanzado bastante en los filtros e interpretadas algunas capturas. Seguimos ahora con la  herramienta de captura Tshark. Los comandos, aplicación de filtros y formateo de datos, preferencias de columnas, etc.

Introducción a Tshark.

Tshark no es otra cosa que la herramienta de captura de tráfico de red Wirehsark pero en línea de comandos. Se sitúa en un nivel intermedio entre  capturadores como Windump o TCPDump y Wireshark que vermos más adelante.

Sin más dilación comenzamos a usar Tshark.

Listamos las interfaces:

root@bt:~# tshark -D
1. eth0
2. usbmon1 (USB bus number 1)
3. usbmon2 (USB bus number 2)
4. any (Pseudo-device that captures on all interfaces)
5. lo

Ejecutamos Tshark usando la interface eth0:

root@bt:~# tshark -i1
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
  0.000000  192.168.1.5 -> 82.159.204.86 TCP 6895 > http [FIN, ACK] Seq=1 Ack=1 Win=64167 Len=0
  0.000752 82.159.204.86 -> 192.168.1.5  TCP http > 6895 [ACK] Seq=1 Ack=2 Win=64581 Len=0
  0.462409 Dell_89:85:5b -> Broadcast    ARP Who has 192.168.1.29?  Tell 192.168.1.239
  2.261727 3Com_dd:e9:07 -> Broadcast    ARP Who has 192.168.1.1?  Tell 192.168.1.56
  6.260476 3Com_dd:e9:07 -> Broadcast    ARP Who has 192.168.1.1?  Tell 192.168.1.56
  6.913459 Dell_d3:4f:0c -> Broadcast    ARP Who has 192.168.1.28?  Tell 192.168.1.237
  7.211227 MS-NLB-PhysServer-01_00:00:00:00 -> Broadcast    MS NLB MS NLB heartbeat
^C7 packets captured

Condicionando las capturas:

Podemos condicionar las capturas atendiendo, por ejemplo, a criterios de tiempo o de cantidad de paquetes capturados, haciendo que Tshark finalice la captura cuando deseemos:

• -c termina la captura hasta n paquetes
• -aduration n termina la captura hasta n segundos
• –afilesize n termina la captura hasta n Kb. (cuando salvemos a fichero la captura).
• -afiles n termina la captura hasta n ficheros (en caso de múltiples capturas)

Ejemplos:

• La captura termina después de 10 segundos: tshark -i1 -aduration:10
• La captura termina despues de salvar 200 Kb. en el fichero: tshark -i1 -afilesize:200 -w fichero.pcap
• La captura termina después de 10 paquetes capturados: tshark -i1 -c 10

Continue reading…

Ya vimos en la primera parte de esta serie dedicada a Herramientas para la interpretación de capturas de red, el uso de Windump y TCPDump y la primera parte de la creación y establecimiento de filtros .pcap.

En este segunda parte veremos el resto de la parte dedicada a filtros y comenzaremos con la interpretación de las capturas.

Filtros.

Seguimos con la aplicación de filtros pcap que comenzamos en la primera parte. Recordamos lo último que vimos sobre expresiones en formato hexadecimal y seguimos.

Expresiones en formato Hexadecimal.

Para especificar una dirección IP, TCPdump / Windump, etc,  trabaja mejor con el formato hexadecimal.

Para una dirección 192.168.1.5, su equivalente en hexadecimal sería:

192 > C0
168 > A8
1 > 01
5 > 05

es decir: C0A80405

Para Windump, añadimos el indicativo de que se trata de formato hexadecimal: 0x

y nos quedaría: 0xC0A80105

Apliquemos esto a nuestros ejemplos de filtros y a lo ya visto hasta ahora en la primera parte:

• Datagramas IP cuyo IP de origen sea 0xC0A80105 o 192.168.1.5

windump -i1 -qtn "ip[12:4] = 0xC0A80105"
IP 192.168.1.5.26495 > 192.168.1.245.53: UDP, length 30
IP 192.168.1.5.5879 > 192.168.1.245.53: UDP, length 31
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 621
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12565 > 209.85.229.99.80: tcp 0
IP 192.168.1.5.12567 > 209.85.229.102.80: tcp 0
IP 192.168.1.5.12567 > 209.85.229.102.80: tcp 0
IP 192.168.1.5.12567 > 209.85.229.102.80: tcp 640

• Datagramas IP cuyo IP de origen sea mayor que 192.168.1.5

windump -i1 -qtn "ip[12:4] > 0xC0A80105"
IP 192.168.1.200 > 224.0.0.251: igmp
IP 192.168.1.11 > 239.255.255.250: igmp
IP 192.168.1.202 > 224.0.0.251: igmp
IP 192.168.1.201 > 224.0.1.60: igmp
IP 209.85.229.99.80 > 192.168.1.5.12565: tcp 0
IP 209.85.229.99.80 > 192.168.1.5.12565: tcp 0

• Datagramas IP cuyo valor TTL sea mayor que 5

windump -i1 -qnt "ip[8]> 5"
IP 192.168.1.239.138 > 192.168.1.255.138: UDP, length 201
IP 192.168.1.30.138 > 192.168.1.255.138: UDP, length 201

Sobre datagramas IP, TTL, etc. más información en Seguridad y Redes:
http://seguridadyredes.nireblog.com/post/2009/11/05/wireshark-windump-analisis-capturas-trafico-red-interpretacian-datagrama-ip-actualizacian.

Continue reading…

A continuación, nos hacemos eco de la nota de prensa que nos han enviado desde la Universidad Politécnica de Madrid sobre este interesante evento relacionado con la seguridad informática de asistencia gratuita previa inscripción;

El martes 30 de noviembre de 2010, se celebrará en la Universidad Politécnica de Madrid DISI 2010, quinta edición del Día Internacional de la Seguridad de la Información organizado por la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información CAPSDESI, adscrita a la Escuela Universitaria de Ingeniería Técnica de Telecomunicación EUITT en el campus sur de dicha universidad.

El evento, cuya asistencia es gratuita previa inscripción, cuenta en esta quinta edición con la destacada participación del Dr. Taher Elgamal, criptólogo inventor de la firma digital que lleva su nombre y que deriva en el estándar Digital Signature Standard del NIST, además de uno de los desarrolladores del protocolo Secure Socket Layer SSL y de la norma SET, Secure Electronic Transaction.

La nota de prensa al completo con todo el programa.

Comenzamos aquí lo que será la primera parte de Herramientas para la interpretación de capturas de red que dedicaremos a Windump (Windows), y TCPDump para sistemas basados en GNU/Linux-UNIX. Hablaremos de los dos indistíntamente.

El propósito de Windump / TCPDump es la captura y análisis del tráfico de red. Es un sniffer. Aquí teneís información sobre detección de sniffers: Detectando Sniffers en nuestra red. Redes conmutadas y no conmutadas.

Estan basados en la librería de captura de paquetes Pcap / Winpcap. Estas dos librerías son usadas por otras herramientas como Ethereal o Snort, e incluyen un lenguaje de filtros común para todos. Quizás, como ya hablamos en la introducción, Windump/TCPDump no sea la herramienta perfecta atendiendo a la interpretación fácil de los datos reportados, pero sí que es de las mejores en cuanto a su potencia y flexibilidad. Veremos el uso de estas herramientas desde un enfoque lo más práctico posible.

Enlaces para descarga de TCPDump y Windump:

• Linux: http://www.tcpdump.org/
• Windows: Winpcap (http://www.winpcap.org/windump/) Windump (http://www.winpcap.org/windump/)

Una vez instalada la librería y el programa en sí, tan sólo debemos de introducir en la línea de comandos (haremos referencia a Windump, para Windows, aunque casi todo es válido para su versión GNU/Linux).

Comenzando.

Antes que nada tendremos que averiguar cuales son las interfaces de red de que disponemos y, de ellas, cual vamos a usar:

root@bt:~# tcpdump -D
1.eth0
2.usbmon1 (USB bus number 1)
3.usbmon2 (USB bus number 2)
4.any (Pseudo-device that captures on all interfaces)
5.lo

Las opciones básicas para comenzar a usar son las siguientes:

-i(interface) interface que vamos ausar para la captura
-n no resolver los nombres de host
-v -vv cantidad de información que nos devuelve
-t elimina marcas de tiempo.
-q estableceremos el indicador de salida rápida que hará que nos devuelva menos información y que las líneas sean más cortas. Se puede combinar con -v y -vv

Vemos estas opciones iniciales con un ejemplo: Continue reading…

Wireshark es una herramienta multiplataforma de análisis de red, producto de la evolución de Ethereal. Funciona al igual que lo puede hacer cualquier otro sniffer tal como Windump, TCPDump ó dsniff. Pero, al contrario de estos, lo hace mostrando los datos a través de un entorno gráfico y de forma más amigable y entendible.

Cuando en Wireshark realizamos una captura de paquetes relacionada con el protocolo HTTP, podemos ver, e incluso guardar, todos los objetos transmitidos durante una determinada sesión de captura. También es posible extraer ficheros binarios. Este tipo de tareas las realiza Wireshark a través de Follow TCP Stream marcando la opción Raw.

También usando la opción Export Selected Packet Bytes del menú contextual situándonos en el campo DATA de la interfaz de Wireshark o, en caso de objetos HTTP desde File > Export > Objets > HTTP. Más información sobre extracción de ficheros binarios y objetos HTTP .

Gracias a Tadding Security Blog, disponemos ya de una nueva opción. La captura de objetos / ficheros SMB. Aunque, de momento, solo está disponible para Linux, esta opción nos permite capturar y visualizar los archivos involucrados en transacciones SMB.

SMB (Server Message Block), es, básicamente, un protocolo que permite compartir archivos, impresoras (Más info en Seguridad y Redes), puertos serie, etc entre hosts conectados en red. Pertenece a la capa de aplicación OSI y es un protocolo del tipo cliente servidor. SMB se encuentra por encima de NETBIOS, que es la que se encarga de la resolución de Nombre Host / IP. Más información sobre SMB / CIFS y NETBIOS.

Esta nueva opción la tenemos gracias a un plugin desarrollado por Tadding Security Blog: http://blog.taddong.com/2010/05/capturing-smb-files-with-wireshark.html. Para disponer de esta opción tan solo instalar o actualizar a la última versión disponible para Wireshark. La versión para Windows está siendo ahora verificada por el equipo de Wireshark.

Cómo funciona;

Si realizamos una captura de red, en la que tengamos tráfico SMB, una vez terminada solo tenemos que ir a File > Export > Object > SMB… y obtendremos una ventana con una lista de objetos o ficheros recopilados con su ubicación, tamaño, etc. Podemos abrir los ficheros directamente o guardarlos:

Más información sobre Wireshark:

Iniciamos ya de pleno esta nueva sección de la que os hablamos hace unos días, en esta entrega vamos a dar un repaso a los diferentes tipos de amenazas electrónicas contra las que tendremos que enfrentarnos a lo largo de nuestra andadura informática.

Hay un término que se utiliza mucho para englobar a todas las amenazas electrónicas en forma de virus, troyanos, Keyloggers, spyware, etc(de los cuales hablaremos a fondo al igual que todo lo que reseñamos en esta primera entrega ) que puede afectar a nuestros sistemas. Nos referimos al «Malware», una palabra que viene de la combinación de otras dos inglesas «malicious software», (programa o software malicioso).

Nuestro mayor problema es que ese software malicioso cada vez actúa en más frentes y escenarios, por lo que tendremos que extremar   las precauciones casi en el 100 % de las ocasiones en la que estamos usando un ordenador.

Esta afirmación puede ser considerada como un tanto paranoide, cierto, no lo vamos a negar, pero el número de servicios de los que  diariamente hacemos uso vía web es cada vez mayor y por lo tanto,  las posibles brechas de seguridad aumentan.

No hace tanto, mantener un sistema protegido contra  amenazas externas, era una tarea relativamente fácil, hoy en día y sin darnos cuenta, estamos caminando virtualmente en un campo minado, sólo es cuestión de ver cuanto tiempo tardas en pisar esa mina, si no cuidas tus pasos te puede acabar explotando, es cuestión de tiempo…

Lo importante es que si llega ese momento, podamos recuperarnos del desastre informático lo antes posible y con la mínima pérdida de datos. Este curso tratará principalmente de cómo ponérselo difícil al malware en todas su variantes y que tardes en caer en sus oscuras  redes.

¿A qué nos enfrentamos?

A toda una industria de destrucción masiva informáticamente hablando. Son tantos frentes que hacer una lista ahora mismo al completo, sólo serviría para confundirte pero…

Puede que intenten engañarte a través del correo electrónico, unas veces se harán pasar por tu banco e intentarán conseguir tus datos de   conexión, otras veces querrán que abras un fichero adjunto que, bajo la inofensiva apariencia de ser una presentación de Powerpoint, puede esconder un virus que dañe tu sistema o un troyano con el que serás controlado remotamente, en silencio…

Pero siempre estará ahí, aunque a algunos les parezca increible, el Spam, correo basura o no solicitado, sigue siendo un negocio rentable y cuanto más envian, más posibilidades hay de que » compres »  o caigas en la trampa.

En otras ocasiones será tu antivirus el que pueda ser atacado, si, los antivirus no dejan de ser programas que son susceptibles a poder ser bloqueados o controlados por el malware, también intentarán engañar a tu firewall o cortafuegos para dejar alguna puerta abierta en tu equipo por la que poder entrar y salir a sus anchas o recibir y enviar información a terceros.

Otro día puede ser en tu messenger u otro de tus programas de mensajería instantánea, no es extraño ver como de pronto se abre una ventana de tus contactos que te saluda, con un mensaje aparentemente normal en el que te invita a ver una foto en un enlace externo que en realidad es un sitio web malicioso especialmente manipulado para comprometer su equipo…

Podrás cruzarte con toda esa basura electrónica navegando tranquilamente, quizás ese anuncio en el que te lo ponen todo tan de color de   rosa sea otra cosa después de haber pinchado para verlo, puede que ese programa que te has descargado o esa película que tienes   tantas ganas de ver y que por fin la encuentras, sea de las que no acaben bien…

El malware se siente cómodo en las redes P2P (de intercambio de ficheros) y en programas como Emule y similares sabe moverse bien. Le gusta mezclarse con la música que está más de moda y algunos torrent llegan «con sorpresa» incluida.

Puede que tu mismo sin saberlo te conviertas en una máquina al servicio de esa industria y que tu equipo acabe siendo parte de una red de «zombies» controlado remotamente y usado como vía de ataque hacia otros usuarios o sitios web.

A veces, el simple uso de una aparentemente inofensiva red Wi-fi (inalámbrica) abierta o mal configurada, puede ser un vector de ataque mediante un sniffer o herramientas de análisis y captura de tráfico en una red. Puede servir también de ejemplo el uso del protocolo de transferencia de ficheros (FTP) en redes inseguras, unas redes por la que si tus datos no «viajan» con las capas de cifrado adecuadas, (SSL, SFTP,etc), pueden ser capturados y verse por terceros…

¿ Pero… Siempre me enfrento a máquinas o programas?

No, realmente y por mucho que a algunos Matrix nos haya dejado huella, (tampoco tenemos que dramatizar-;), detrás ese malware están las personas, unos con profundos conocimientos informáticos y de como responde el ser humano ante ciertas situaciones y otros con poca idea de casi nada y muchas ganas de aguarnos la fiesta a todos con un denominador común, se dedican a crear, fomentar y distribuir ese malware (software malicioso) contra el que nos enfrentamos diariamente.

El problema se acrecenta cuando detrás de todo eso, se empiezan a mezclar intereses empresariales. Es un gran negocio saber cuales son tus hábitos de vida, gustos, preferencias de compra, etc, para luego bom.ardearte con publicidad masiva, previa recopilación de datos del usuario.

Luego pueden estar los ataques que más daño te pueden hacer, se trata de los que van dirigidos concretamente hacia el usuario, ataques donde se mezclan motivos personales y/o profesionales y el objetivo puede ser desde intentar acceder a tu correo electrónico, robarte tu cuenta de servicios como MSN, Facebook, flickr, Tuenti, etc, etc o en otro extremo, a través de un ataque hacia el usuario, acabar comprometiendo la seguridad de tu web, blog o servidor.

¿Me enfrento también a mi mismo?

Si, definitivamente, además del malware y las consecuencias que tiene en nuestra vida electrónica y la integridad de nuestros datos,   hablando de seguridad informática, nuestra preparación y previsión ante un desastre informático es vital además de un estado de alerta cuasi-permanente.

Tenemos que enfrentarnos a la pereza que da dedicarse a hacer copias de seguridad para paliar los efectos de borrados y pérdidas de datos accidentales, en ocasiones podrás solventarlo con herramientas de recuperación, pero habrá información que no se pueda restaurar.

Esa pereza a la que aludía antes, puede llevarnos a pagar un precio muy alto si además de no usar contraseñas con la robustez necesaria, no son cambiadas frecuentemente y se usa la misma para todos los servicios.

Debemos preocuparnos de tener todo el software que usemos actualizado, tanto el propio sistema operativo con los parches que provee el fabricante, como el resto de aplicaciones siendo algunas más importantes en estas pautas que las demás (cliente de correo, navegador, antivirus, antispyware, antitroyanos, firewall) pero sin usar versiones obsoletas o vulnerables de ningún programa.

También una mala configuración o instalación del sistema operativo o del tipo de cuenta que estés usando, es un riesgo potencial, pero no sólo del S.O, sino de ciertas aplicaciones en las cuales el activar o no una opción determinada, puede marcar la diferencia a favor o en contra…

En Daboweb regularmente venimos reseñando riesgos potenciales de seguridad para los sistemas operativos y aplicaciones, no te olvides de estar al tanto.

Nos enfrentamos también al exceso de confianza, a ser víctimas de todo tipo de ataques a través de la ingeniería social o el conocimiento de datos sensibles de tu persona que en un momento dado, pueden ser utilizados en tu contra, ese exceso de confianza puede que haga que subestimes al  atacante o cr..ker (no confundir con hacker) que está esperando el más mínimo fallo para entrar en acción…

¿Cómo puedo protegerme de todo esto?

Desde esta nueva sección dedicada a los que empiezan hablando de seguridad, iremos dándote las pautas necesarias para ayudarte en la labor de mantenerte a salvo de estos peligros que permanentemente acechan a tu sistema. También iremos paso a paso intentando explicarte las medidas a poner en práctica para que todo eso no ocurra y a cambiar tu forma de pensar respecto a los problemas de seguridad que a lo largo de tu vida informática te irás encontrando.

Si en el peor de los casos, algo de lo que hemos comentado llega a pasarte, en esta sección, aprenderás también a recuperar la estabilidad de tu sistema o datos y paliar en parte los daños causados en el mismo.

También aprovecho para indicaros que nos importa más que entendáis los conceptos generales y particulares de los diferentes escenarios y situaciones que vamos a cubrir que sigáis a rajatabla el contenido del típico tutorial de configuración del antivirus de turno.

Esa información, cuando pasa el tiempo, aún siendo válida puede quedar obsoleta, en cambio, si cogéis bien el concepto, entenderéis mejor el por qué de las cosas y que hábitos de seguridad tenéis que llevar a cabo.

Entradas publicadas de Seguridad Básica:

• Seguridad básica para los que empiezan.

• ¿A qué nos enfrentamos?.

• Las contraseñas.

• La pregunta secreta.

• Analiza siempre tus descargas con el antivirus.

• Utiliza cuentas de usuario limitadas.

• Enlaces cortos, como crearlos, precauciones.