CABASE, entidad que nuclea a empresas de conectividad en la Argentina, emitió un comunicado donde desmerece la paranoia difundida por algunos medios sobre un ataque masivo a computadoras.

A la mañana leí una republicación con tono alarmista. Y me acordaba del debate que tuvimos en Twitter con Lalo Zanoni e Ignacio Sbampato, sobre la exageración como una (mala) estrategia de venta de algunas empresas, algo que hace unos años me llevó a escribir algo.

Más tarde, recibí una información que publico abajo completa, textualmente: la comisión de CSIRT de CABASE cotejó la información con empresas de seguridad radicadas en la Argentina, con el gobierno y con expertos en seguridad, y todos coinciden en que el alerta es viejo, está desfasado con los sistemas de seguridad actuales que pueden conseguirse en el mercado.

El tema plantea nuevamente el debate nunca resuleto sobre la seriedad con la que algunos medios masivos tocan temas especializados. ¿Y si probamos con la verdad, aunque venda menos?

PD: Y son varios los medios que publicaron la alarma…

La gacetilla

Información periodística errónea sobre Kneber Botnet
 
Buenos Aires, 19 de febrero de 2010. 

La misión del CSIRT CABASE se centra en los incidentes informáticos reales, de los cuales este no lo es, pero debido a la difusión que tuvo esta información errónea en los medios de prensa, consideramos adecuado publicar un informe al respecto. Se trata de un malware cuya primera versión apareció hace casi dos años y hoy es detectado por la mayoría de los antivirus, firewalls de capa 7 y IDSs. La difusión de la información se originó en un informe de una empresa estadounidense, fue interpretado de manera catastrófica por algunos medios y dispersado por otros que verificaron la información.

Descripción

Kneber Botnet es uno de los nombres con que se conoce al malware designado en forma estándar como ZeuS.

Como la mayoría de los malware de alto nivel de dispersión en los últimos dos años, compendia acciones de diferentes tipos de programas dañinos, aunque no todas funcionan eficientemente.

Su función primaria es comportarse como BotNet debido a que tiene la posibilidad de ser controlado de manera remota y realizar acciones coordinadas por un intruso informático dentro de un conjunto de computadoras infectadas.

Una vez que una computadora está infectada, el código de este malware corre en la capa 3 (aplicaciones) del sistema operativo, con lo que puede controlar los dispositivos que haya conectados, ya que en estos se puede encontrar la información que busca capturar.

Las últimas versiones conocidas de ZeuS tienen las siguientes características, una vez que la computadora está infectada:

- Monitorea el tráfico de red del protocolo TCP.

- Intercepta las conexiones FTP y POP3 de cualquier puerto.

- Intercepta las solicitudes HTTP y HTTPS de todas las aplicaciones que funcionen con la librería wininet.dll.

- Hace capturas de pantallas y puede transmitirlas en tiempo real.

- Realiza algunas acciones que forman parte de ataques de phishing.

- Tiene un módulo de defensa rudimentario que despliega mecanismos antidetección como el autoencriptado polimórfico de su código.

- Se comunica encriptando su tráfico con el algoritmo simétrico RC4 con una clave constante.

Nivel de riesgo: Bajo

Se estima que la fluctuación de la red de computadoras infectadas es de alrededor de 75.000, lo que es, a nivel mundial, una cifra un poco por debajo de la media del tamaño de las redes BotNet detectadas. Esto no ha variado en los últimos meses, por lo que la alerta por parte de la prensa no está justificada.

Solución

La mayoría de los antivirus detectan la presencia de ZeuS y algunos tienen la capacidad de realizar acciones de erradicación del mismo de un equipo infectado.

Alcanza con tener un antivirus confiable y correctamente instalado y actualizado.

También es recomendable la utilización de un Firewall Personal en la estación de trabajo

Be Sociable, Share!

• 

No hay notas relacionadas.