[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Nota de Seguridad UNAM-CERT 2002-002
Ataques de Ingenieria Social Via IRC y Mensajero Instantaneo
------------------------------------------------------------------
En los últimos días el UNAM-CERT ha recibido una serie de reportes de ataques
de ingeniería social a usuarios de los servicios Internet Relay Chat (IRC) e
Instant Messanging (IM). Los intrusos engañan a los usuarios para que
descarguen y ejecuten software malicioso, lo cual permite a los intrusos
utilizar los sistemas como plataformas de lanzamiento de ataques DDoS
(Distributed Denial of Service).
El Equipo de Respuesta a Incidentes UNAM-CERT indica que cientos de
sistemas han sido recientemente comprometidos de esta manera.
DESCRIPCIÓN
-----------
Reportes recibidos por el CERT/UNAM-CERT indican que los intrusos están
utilizando herramientas automatizadas para enviar mensajes a usuarios ingenuos
de los servicios de IRC o IM. Estos mensajes típicamente ofrecen la
oportunidad de descargar software de algún valor para los usuarios, incluyendo
mejoras de software de música, protección antivirus, o pornografía. Una vez
que los usuarios descargan y ejecutan el software, su sistema es utilizado por
un intruso como un agente en un ataque DDoS. Otros reportes indican que
Caballos Troyanos y programas backdoors están siendo propagados por medio de
técnicas similares.
A continuación se muestra un ejemplo de lo mencionado anteriormente:
" You are infected with a virus that lets hackers get into your machine
and read ur files, etc. I suggest you to download [malicious url] and clean ur
infected machine. Otherwise you will be banned from [IRC network].
Esto es puramente, un ataque de ingeniería social debido a que la
decisión del usuario de descargar y ejecutar el software es el factor
decisivo para un ataque fallido o satisfactorio. Aunque esta actividad
no es novedosa, la técnica es aún efectiva, como evidencia se tienen
los reportes de cientos de miles de sistemas que han comprometidos de
esta manera.
Consulte IN-2000-08: Clientes de Chat y Seguridad en Red (www.cert.org)
IMPACTO
-------
Al igual que cualquier instalación de herramienta DDoS, el impacto es doble.
Primero, en los sistemas que son comprometidos por usuario ejecutando software
no confiable, los intrusos podrían:
* Ejercer un control remoto
* Exponer datos confidenciales
* Instalar otro software malicioso
* Cambiar archivos
* Borrar archivos
El riesgo no está limitado a la instalación de agentes DDoS. De hecho, cada
vez que los usuarios ejecuten software no confiable estos peligros estarán
presentes.
El segundo impacto es para los sitios que son atacados por los agentes DDoS.
Los sitios que sufren un ataque DDoS podrían experimentar usualmente volúmenes
de tráfico pesados o rangos de paquetes altos, resultando en una degradación
de servicios o perdida de conectividad total.
SOLUCIONES
----------
Usuarios Caseros
* Ejecutar y Mantener Actualizado un Producto Antivirus
El código malicioso que esta siendo distribuido en estos ataques esta bajo
continuo desarrollo por los intrusos, pero la mayoría de los vendedores de
software antivirus liberan frecuentemente información de actualización,
herramientas, o bases de datos de virus para ayudar a detectar y recuperarse
de los códigos maliciosos envueltos en esta actividad. De esta manera, es
importante que los usuarios mantengan su software antivirus actualizado. El
CERT/UNAM-CERT mantiene una lista parcial de vendedores antivirus en:
http://www.cert.org/other_sources/viruses.html#VI
Muchos paquetes antivirus soportan actualización automática de definiciones de
virus. El CERT/UNAM-CERT recomiendan utilizar estas actualizaciones
automáticas cuando estén disponibles.
* No Ejecutar Programas de Origen Desconocido
Nunca descargue, instale, o ejecute un programa al menos que sea autorizado
por una persona o compañía en la que se confía. Los usuarios de los servicios
IRC e IM deberían ser particularmente precavidos al seguir ligas o ejecutar
software que les son enviados por otros usuarios, debido a que esto es un
método comúnmente utilizado entre los intrusos intentando construir redes de
agentes DDoS.
* Entendiendo los Riesgos
Se aconseja a los usuarios revisar el tip de seguridad "Home Network
Security", el cual proporciona una visión general de los riesgos y estrategias
de mitigación para los usuarios caseros.
http://www.cert.org/tech_tips/home_networks.html
* Sitios
Se aconseja a los administradores de sitios revisar el reporte sobre amenazas
de tecnologías de negación de servicio, también seguir las recomendaciones
para manejar la amenaza de los ataques de negación de servicio.
Trends in Denial of Service Attack Technology
http://www.cert.org/archive/pdf/DoS_trends.pdf
Managing the Threat of Denial-of-Service Attacks
http://www.cert.org/archive/pdf/Managing_DoS.pdf
INFORMACIÓN
----------
Para mayor información acerca de esta nota de seguridad contactar a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA, UNAM E-mail: unam-cert en seguridad unam mx
Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43
Del. Coyoacan WWW: http://www.seguridad.unam.mx
04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx
-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i
Charset: cp850
iQEVAwUBPJg+43AvLUtwgRsVAQEMCAf+Lta+6P/rsUUo9xQDmRsjLP2zHwtRUSBc
SuqtClIotIh/LkL9YnsJ1MSlhYuLz/Ifvio8xkz927l/ouYjws4WZ0NCjT67I1zD
JmCWjxp1Jz8Cso3u5iO13oz4p51DzApZJSFpe5rNtPKrqLqqFj6qilzHFxlYJ9Pq
VYhP1pE+ACAwoXNQfY0sEPQ0wFUcaZVZkjw26rWGdfH1Q7xIRellLn3ANJPM9Iup
RSgBhm9Kyv6BeQ5xRN8CiI1dWsZIrBmzrr1NxvXQ0piwBRCXGYzBp++gPfY1pMtJ
F+zlOnTnlWzooRVtqiwMVARs1UcEaQp7xUtafkuk91oUHY2IK5vHag==
=VLhn
-----END PGP SIGNATURE-----
Lista de correo linux en linux net mx
Preguntas linux-owner en linux net mx
http://www.linux.net.mx/