Las medidas de seguridad para mantener al malware lejos de nuestros
ordenadores continúan mejorando, pero lo mismo se puede decir del código que
compone a estos bichos digitales. La astucia y la inteligencia de aquellos
que desarrollan código malicioso los lleva a explorar métodos poco
convencionales para esparcir sus creaciones. En general, que un virus
termine infectando a otro puede parecer un simple error de comportamiento,
aunque también es algo fabulosamente retorcido que, por ejemplo, un troyano
aproveche la capacidad de infección de un gusano para llegar a más sistemas.
Bienvenidos al "Frankenmalware".
La creatividad de los desarrolladores de malware continúa en ascenso, y
honestamente, es cuestión de tiempo para que algún bicho encuentre una
fisura y logre abrirse paso. Lamentablemente, aquella declaración del ERI en
el ataque al hotel Brighton también se aplica aquí: Nosotros debemos tener
suerte siempre, pero quien envía al malware sólo necesita tener suerte una
vez.
Caso teórico: Un troyano infecta a un gusano. El antivirus limpia al
gusano, cambiando su firma original en el proceso, y el antivirus ahora no
puede detectar al gusano. Dos errores harían un acierto para el malware.
Un comportamiento inusual pero no imposible entre el malware es que una
variante infecte a otra. A modo de ejemplo, tomemos a un gusano. Redes
sociales, P2P, correos electrónicos y servicios de chat están entre las
rutas de infección preferidas de un gusano. Pero como archivo ejecutable que
es, el gusano también puede convertirse en blanco de otro malware, como un
troyano. A decir verdad, esto suele ser accidental. El troyano infecta
archivos por tipo, y no por el comportamiento del mismo. Los blancos
preferidos son ejecutables de bajo nivel (explorer.exe, winlogon.exe) que
garanticen la presencia del malware en el ordenador desde su inicio,
aumentado así sus posibilidades de infección, y sería de una complejidad
bastante alta que un troyano intente "evitar" a otros "bichos colegas", por
lo tanto, otros ejecutables también se convierten en blancos válidos.
El problema es que, de acuerdo a la gente de Bitdefender, que ha estado
explorando este lado poco ortodoxo de las infecciones de malware, una
infección adrede de un virus a otro podría llevar a escenarios realmente
difíciles de enfrentar para cualquier usuario. El combo "gusano-troyano" es
particulamente perturbador. Imagina que un gusano es infectado por un
troyano. El antivirus detecta primero al troyano y "limpia" al gusano, pero
el gusano desinfectado no es técnicamente idéntico a su versión original, lo
que altera su firma. Si esta firma es diferente a la que tiene registrada el
antivirus para eliminarlo, el gusano quedaría "inmunizado" por la infección
del troyano, abriendo paso a una mutación. Como en todo caso, la mejor
defensa sigue siendo la prevención, pero si los desarrolladores llegaran a
"coordinar esfuerzos", el salto de calidad del malware sería preocupante.
Los desarrolladores suelen competir por el mismo botín (números de tarjetas,
contraseñas, robo de identidad, etc.), pero nadie está diciendo que sea algo
imposible. El nombre oficial para estos combos es "Frankenmalware", y según
Bitdefender, ya hay 40 mil de estos "paquetes" en la Web.
Fuente: Bitdefender
lunes, 30 de julio de 2012
Rakshasa: ¿Un malware que infecta al hardware?
Con la asistencia de la tecnología, algunos sueños pueden convertirse en
realidad, pero esto también se aplica para ciertas pesadillas. Suficiente
tenemos con combatir el malware a través de toda la Web y en nuestros
sistemas operativos, pero quienes estudian vulnerabilidades deben lidiar con
posibilidades aún más perturbadoras. Durante la semana pasada se llevaron a
cabo las conferencias Defcon y Black Hat, y fue allí en donde el CEO de
Toucan System Jonathan Brossard presentó a Rakshasa, un malware que puede
infectar tanto el BIOS de la placa base como el firmware en otros
dispositivos, haciéndose persistente y operando por fuera de cualquier
sistema operativo instalado.
En el año 1998 apareció un virus llamado CIH, y a ese sí que le teníamos
miedo. El problema estaba en que CIH y sus variantes (también conocido como
Chernobyl) tenían un comportamiento mucho más destructivo del que habíamos
visto en otros ejemplares. CIH podía, entre otras cosas, sobreescribir con
ceros los primeros sectores de un disco duro, y en algunos casos modificar
el BIOS de una placa base, algo que podía dejar al ordenador infectado
completamente fuera de operación. Si bien el potencial daño del CIH era
reversible, atacar al hardware causa otra sensación entre los usuarios, una
mucho más escalofriante a decir verdad. En estos días, un malware puede
hacer cosas como robar contraseñas o números de tarjetas de crédito. Sin
embargo, infectar el firmware de una grabadora de DVD o instalarse en el
BIOS de una placa base cambiaría las reglas por completo.
Rakshasa reemplaza al BIOS, garantizando su permanencia en el sistema
Eso es exactamente lo que ha presentado Jonathan Brossard, CEO de Toucan
System. El nombre del malware en cuestión es Rakshasa, derivado del demonio
cambiaformas mencionado en el Hinduísmo y el Budismo. La "presentación en
sociedad" de Rakshasa se realizó durante las conferencias Defcon y Black
Hat, pero lo más importante de este malware no es solamente su capacidad de
infección, sino también las medidas que toma para evadir su detección y
permanecer en el sistema. Utilizando una combinación de Coreboot y SeaBIOS,
Rakshasa puede reemplazar al BIOS original en la placa base de un ordenador,
y extenderse a otros dispositivos como tarjetas de red (gracias a iPXE) y
unidades ópticas. Y como Coreboot ofrece soporte para imágenes
personalizadas, quien despliegue al malware podría usar logos u otras
imágenes para que Rakshasa pase desapercibido.
Purgar a un malware como Rakshasa requeriría de un gran esfuerzo técnico, el
cual está fuera del alcance del usuario promedio. El despliegue remoto de
Rakshasa también sería posible (hay herramientas para flashear un BIOS que
funcionan desde el interior de Windows con los privilegios suficientes),
pero la mejor forma sería teniendo acceso físico al ordenador, algo que, por
ejemplo, podría suceder en la línea de producción de una fábrica. Al mismo
tiempo, Rakshasa puede descargarse por completo de la memoria, lo que
anularía la capacidad de detección de las herramientas convencionales.
Aunque Rakshasa no fue "liberado" al público (el malware no deja de ser una
prueba de concepto), la naturaleza de código abierto del software
involucrado podría llevar al desarrollo de un clon similar. Rakshasa (o
cualquier cosa parecida) tiene el potencial de causar un verdadero desastre,
sin embargo, un ataque a nivel hardware requiere de una defensa al mismo
nivel. Una solución dentro de todo práctica sería instalar interruptores
físicos de "sólo lectura" para BIOS y firmware (o en otras palabras, un
jumper, algo que muchos fabricantes ya hacen), o proteger el proceso de
flash con algún cifrado robusto. Más allá de las dificultades que
presentaría un despliegue masivo (el hardware es, después de todo, muy
variado), Rakshasa cumplió con su objetivo: Demostrar que el hardware puede
ser vulnerable.
Fuente: ComputerWorld
realidad, pero esto también se aplica para ciertas pesadillas. Suficiente
tenemos con combatir el malware a través de toda la Web y en nuestros
sistemas operativos, pero quienes estudian vulnerabilidades deben lidiar con
posibilidades aún más perturbadoras. Durante la semana pasada se llevaron a
cabo las conferencias Defcon y Black Hat, y fue allí en donde el CEO de
Toucan System Jonathan Brossard presentó a Rakshasa, un malware que puede
infectar tanto el BIOS de la placa base como el firmware en otros
dispositivos, haciéndose persistente y operando por fuera de cualquier
sistema operativo instalado.
En el año 1998 apareció un virus llamado CIH, y a ese sí que le teníamos
miedo. El problema estaba en que CIH y sus variantes (también conocido como
Chernobyl) tenían un comportamiento mucho más destructivo del que habíamos
visto en otros ejemplares. CIH podía, entre otras cosas, sobreescribir con
ceros los primeros sectores de un disco duro, y en algunos casos modificar
el BIOS de una placa base, algo que podía dejar al ordenador infectado
completamente fuera de operación. Si bien el potencial daño del CIH era
reversible, atacar al hardware causa otra sensación entre los usuarios, una
mucho más escalofriante a decir verdad. En estos días, un malware puede
hacer cosas como robar contraseñas o números de tarjetas de crédito. Sin
embargo, infectar el firmware de una grabadora de DVD o instalarse en el
BIOS de una placa base cambiaría las reglas por completo.
Rakshasa reemplaza al BIOS, garantizando su permanencia en el sistema
Eso es exactamente lo que ha presentado Jonathan Brossard, CEO de Toucan
System. El nombre del malware en cuestión es Rakshasa, derivado del demonio
cambiaformas mencionado en el Hinduísmo y el Budismo. La "presentación en
sociedad" de Rakshasa se realizó durante las conferencias Defcon y Black
Hat, pero lo más importante de este malware no es solamente su capacidad de
infección, sino también las medidas que toma para evadir su detección y
permanecer en el sistema. Utilizando una combinación de Coreboot y SeaBIOS,
Rakshasa puede reemplazar al BIOS original en la placa base de un ordenador,
y extenderse a otros dispositivos como tarjetas de red (gracias a iPXE) y
unidades ópticas. Y como Coreboot ofrece soporte para imágenes
personalizadas, quien despliegue al malware podría usar logos u otras
imágenes para que Rakshasa pase desapercibido.
Purgar a un malware como Rakshasa requeriría de un gran esfuerzo técnico, el
cual está fuera del alcance del usuario promedio. El despliegue remoto de
Rakshasa también sería posible (hay herramientas para flashear un BIOS que
funcionan desde el interior de Windows con los privilegios suficientes),
pero la mejor forma sería teniendo acceso físico al ordenador, algo que, por
ejemplo, podría suceder en la línea de producción de una fábrica. Al mismo
tiempo, Rakshasa puede descargarse por completo de la memoria, lo que
anularía la capacidad de detección de las herramientas convencionales.
Aunque Rakshasa no fue "liberado" al público (el malware no deja de ser una
prueba de concepto), la naturaleza de código abierto del software
involucrado podría llevar al desarrollo de un clon similar. Rakshasa (o
cualquier cosa parecida) tiene el potencial de causar un verdadero desastre,
sin embargo, un ataque a nivel hardware requiere de una defensa al mismo
nivel. Una solución dentro de todo práctica sería instalar interruptores
físicos de "sólo lectura" para BIOS y firmware (o en otras palabras, un
jumper, algo que muchos fabricantes ya hacen), o proteger el proceso de
flash con algún cifrado robusto. Más allá de las dificultades que
presentaría un despliegue masivo (el hardware es, después de todo, muy
variado), Rakshasa cumplió con su objetivo: Demostrar que el hardware puede
ser vulnerable.
Fuente: ComputerWorld
domingo, 29 de julio de 2012
Canales RSS en YouTube
A veces es necesario consultar los vídeos de YouTube de un modo distinto al
habitual. En ocasiones, lo que necesitamos no es una lista de vídeos para
seleccionar el que más nos interesa, sino que tenemos que compartir
información entre aplicaciones. Por ejemplo, hacer que un programa se
«entere» que hay un vídeo nuevo sobre gatos y automáticamente lo descargue.
Eso ya no lo hace, por defecto, nuestro navegador Mozilla Firefox o Internet
Explorer, sino que es preciso un programa específico capaz de «comunicarse»
con Youtube. El reproductor libre Miro, por ejemplo, lleva a cabo tal tarea.
Y la forma a través de la que se comunica son los hilos RSS.
Las suscripciones RSS son conocidas por los lectores habituales de blogs.
Mediante ellas, consiguen que sus programas de suscripción se comuniquen con
sus blogs subscritos, de manera que, en lugar de tener que buscar las nuevas
informaciones que se producen cada día blog por blog, reciben directamente
una relación de novedades desde la última consulta.
Youtube tiene canales de subscripción RSS, pero los tiene tan escondidos que
a veces cuesta encontrarlos. Una vez se sabe cómo obtener una URL del hilo
RSS de la etiqueta «gatos», ya es posible subscribirse a través de Miro o de
Google Reader, por ejemplo.
La información para obtener los hilos RSS la ponen a disposición de los
internautas los propios responsables de Youtube, en un difícilmente
accesible apartado llamado Acerca de RSS. Lo que sigue es un resumen:
Obtener una URL de suscripción RSS para una etiqueta.
Si lo que queremos es recibir todos los vídeos nuevos relacionados con una
palabra, debemos suscribirnos a una dirección del tipo:
http://gdata.youtube.com/feeds/base/videos/-/[PONER LA ETIQUETA
AQUÍ]?client=ytapi-youtube-browse&v=2
Hay que substituir [PONER LA ETIQUETA AQUÍ] por la etiqueta deseada. Por
ejemplo, para vídeos etiquetados con la palabra «gatos», la URL sería:
http://gdata.youtube.com/feeds/base/videos/-/gatos?client=ytapi-youtube-browse&v=2
Obtener una URL de subscripción RSS para los resultados de la búsqueda de un
término.
El método anterior solo mostrará los vídeos que la persona que los haya
subido haya marcado, explícitamente, con la palabra «gatos». Si es nuestro
deseo no perdernos ningún vídeo sobre gatos, aunque la persona que los haya
subido no haya puesto este término en las etiquetas sino en la descripción o
en el título, debemos obtener una URL de suscripción RSS para los resultados
de la búsqueda de un término. Se consigue así:
http://gdata.youtube.com/feeds/base/videos/-/[PONER LA PALABRA
AQUÍ]?client=ytapi-youtube-browse&v=2
Siguiendo con el ejemplo de los gatos, la URL sería:
http://gdata.youtube.com/feeds/base/videos/-/gatos?client=ytapi-youtube-browse&v=2
Obtener una URL de subscripción RSS para los vídeos de un usuario.
Tal vez nos interese suscribirnos a los vídeos de un usuario. Se puede hacer
con una URL como la siguiente:
http://gdata.youtube.com/feeds/base/users/[NOMBRE DE USUARIO]/uploads
Por ejemplo, si queremos estar atentos a todos los vídeos del usuario
smartplanet, que es la cuenta en YouTube que usa la productora de Eduard
Punset, lo podemos hacer así:
http://gdata.youtube.com/feeds/base/users/smartplanet/uploads
Autor: Álvaro Martinez Majado (11/07/2010)
habitual. En ocasiones, lo que necesitamos no es una lista de vídeos para
seleccionar el que más nos interesa, sino que tenemos que compartir
información entre aplicaciones. Por ejemplo, hacer que un programa se
«entere» que hay un vídeo nuevo sobre gatos y automáticamente lo descargue.
Eso ya no lo hace, por defecto, nuestro navegador Mozilla Firefox o Internet
Explorer, sino que es preciso un programa específico capaz de «comunicarse»
con Youtube. El reproductor libre Miro, por ejemplo, lleva a cabo tal tarea.
Y la forma a través de la que se comunica son los hilos RSS.
Las suscripciones RSS son conocidas por los lectores habituales de blogs.
Mediante ellas, consiguen que sus programas de suscripción se comuniquen con
sus blogs subscritos, de manera que, en lugar de tener que buscar las nuevas
informaciones que se producen cada día blog por blog, reciben directamente
una relación de novedades desde la última consulta.
Youtube tiene canales de subscripción RSS, pero los tiene tan escondidos que
a veces cuesta encontrarlos. Una vez se sabe cómo obtener una URL del hilo
RSS de la etiqueta «gatos», ya es posible subscribirse a través de Miro o de
Google Reader, por ejemplo.
La información para obtener los hilos RSS la ponen a disposición de los
internautas los propios responsables de Youtube, en un difícilmente
accesible apartado llamado Acerca de RSS. Lo que sigue es un resumen:
Obtener una URL de suscripción RSS para una etiqueta.
Si lo que queremos es recibir todos los vídeos nuevos relacionados con una
palabra, debemos suscribirnos a una dirección del tipo:
http://gdata.youtube.com/feeds/base/videos/-/[PONER LA ETIQUETA
AQUÍ]?client=ytapi-youtube-browse&v=2
Hay que substituir [PONER LA ETIQUETA AQUÍ] por la etiqueta deseada. Por
ejemplo, para vídeos etiquetados con la palabra «gatos», la URL sería:
http://gdata.youtube.com/feeds/base/videos/-/gatos?client=ytapi-youtube-browse&v=2
Obtener una URL de subscripción RSS para los resultados de la búsqueda de un
término.
El método anterior solo mostrará los vídeos que la persona que los haya
subido haya marcado, explícitamente, con la palabra «gatos». Si es nuestro
deseo no perdernos ningún vídeo sobre gatos, aunque la persona que los haya
subido no haya puesto este término en las etiquetas sino en la descripción o
en el título, debemos obtener una URL de suscripción RSS para los resultados
de la búsqueda de un término. Se consigue así:
http://gdata.youtube.com/feeds/base/videos/-/[PONER LA PALABRA
AQUÍ]?client=ytapi-youtube-browse&v=2
Siguiendo con el ejemplo de los gatos, la URL sería:
http://gdata.youtube.com/feeds/base/videos/-/gatos?client=ytapi-youtube-browse&v=2
Obtener una URL de subscripción RSS para los vídeos de un usuario.
Tal vez nos interese suscribirnos a los vídeos de un usuario. Se puede hacer
con una URL como la siguiente:
http://gdata.youtube.com/feeds/base/users/[NOMBRE DE USUARIO]/uploads
Por ejemplo, si queremos estar atentos a todos los vídeos del usuario
smartplanet, que es la cuenta en YouTube que usa la productora de Eduard
Punset, lo podemos hacer así:
http://gdata.youtube.com/feeds/base/users/smartplanet/uploads
Autor: Álvaro Martinez Majado (11/07/2010)
lunes, 23 de julio de 2012
Chess Fighter
Sabemos que la archiconocida saga Street Fighter está de aniversario este
año. Capcom, de hecho, nos anunció el pasado mes de mayo un recopilatorio
muy especial sobre ella bajo el nombre de Street Fighter: 25th Anniversary,
y no va a cesar en su empeño por sacar más productos que la homenajeen.
Incluso aunque no tengan nada que ver. Como por ejemplo un tablero de
ajedrez.
Dicho y hecho. Tenemos tablero de ajedrez conmemorativo al canto, y a un
precio ostensiblemente superior al del recopilatorio antes citado. Si en uno
nos íbamos hasta los 149,99 dólares en el tablero nos iremos a unos desorbitados 245,86 euros. Algo en parte explicable debido a que esta edición especial está limitada a tan solo 5.000 unidades en todo el mundo, pudiendo hacer la
reserva desde ya mismo desde la Capcom Store. El producto se pondrá a la
venta en agosto de este año, por cierto. Barato desde luego que no será este tablero de ajedrez, pero su nivel de detalle está muy cuidado. Aparte que contamos con iconos del Street Fighter a modo de reyes (Ryu y M. Bison), reinas (Chun-Li y
Juri), alfiles (Ken, Guile, Balrog y Vega), torres (Dhalsim, Zangief, Sagat
y Seth) y caballos (E. Honda, Blanka, Rolento y Akuma), quedando los peones
reservados para, por un lado, el puño de Ryu, y por otro la calavera de
Shadaloo.
fuente: vidaextra
año. Capcom, de hecho, nos anunció el pasado mes de mayo un recopilatorio
muy especial sobre ella bajo el nombre de Street Fighter: 25th Anniversary,
y no va a cesar en su empeño por sacar más productos que la homenajeen.
Incluso aunque no tengan nada que ver. Como por ejemplo un tablero de
ajedrez.
Dicho y hecho. Tenemos tablero de ajedrez conmemorativo al canto, y a un
precio ostensiblemente superior al del recopilatorio antes citado. Si en uno
nos íbamos hasta los 149,99 dólares en el tablero nos iremos a unos desorbitados 245,86 euros. Algo en parte explicable debido a que esta edición especial está limitada a tan solo 5.000 unidades en todo el mundo, pudiendo hacer la
reserva desde ya mismo desde la Capcom Store. El producto se pondrá a la
venta en agosto de este año, por cierto. Barato desde luego que no será este tablero de ajedrez, pero su nivel de detalle está muy cuidado. Aparte que contamos con iconos del Street Fighter a modo de reyes (Ryu y M. Bison), reinas (Chun-Li y
Juri), alfiles (Ken, Guile, Balrog y Vega), torres (Dhalsim, Zangief, Sagat
y Seth) y caballos (E. Honda, Blanka, Rolento y Akuma), quedando los peones
reservados para, por un lado, el puño de Ryu, y por otro la calavera de
Shadaloo.
fuente: vidaextra
Suscribirse a:
Entradas (Atom)