Como evitar infectar nuestros equipos con Pen Drives

Desde hace algún tiempo los Pen Drives se han convertido en uno de los principales vectores de propagación de virus. Puede pasar, y sucede a menudo, que insertamos un Pen Drive en un equipo infectado, luego en nuestro equipo y nos contagiamos con el virus. Sin necesidad de ejecutar los archivos. Esto se resuelve con un Antivirus siempre y cuando el mismo detecte a la amenaza en cuestión, y por experiencia eso sucede la mayoría de las veces pero no siempre. Pero cual es el riesgo en particular en los pendrives? el riesgo es ese bendito archivo autorun.inf, veamos la estructura de este archivo

Es un simple archivo que posee al menos dos lineas:

1.- [AutoRun]
2.- OPEN=virus.exe

Donde la primera le indica al sistema operativo que tipo de archiv es, y la segunda que acción llevar a cabo. En nuestro ejemplo instalar un virus. Todo sin confirmación del usuario, lo cual es un peligro importante (A quién se le habra ocurrido tan brillante idea?)

Es necesario evitar que este archivo se ejecute. Así bastará con no ejecutar el archivo virus.exe para no infectarnos. Pero como hacemos para efectuar esta acción?

Podemos con el antivirus (no todos tienen esta opción) evitar que el archivo autorun.inf sea ejecutado por los procesos svchost.exe y explorer.exe.

Otra opción es bloquear el archivo autorun.inf en forma general, o bien desde el antivirus o bien desde el registro de windows. Para ello encontre en internet la siguiente solución

One quick trick prevents AutoRun attacks

Que consiste en efectuar los siguientes pasos:

1.- Abrir un block de notas
2.- Copiar el siguiente texto:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

3.- Guardar el archivo como loquesea.reg
4.- Ejecutarlo

Nota: Algunos CDs de audio y juegos utilizan este procedimiento para ejecutarce solos cuando son ingresados a la PC, de ahora en mas el usuario que ejecute este metodo deberá hacer click derecho sobre el CD y solicitarle al sistema que reproduzca la musica. Como debería ser en realidad.

Nota 2: Si tuviesen linux esto no les pasaría :-)

Se viene un nuevo antivirus gratuito

Esta semana nos enteramos de una noticia que conmociono a los medios especializados en el rubro tecnológico, Microsoft cambiará el esquema de licenciamiento de su solución OneCare para hacerlo gratuito a partir del próximo año.

Que es OneCare?

para los que no lo conocen, OneCare es el AntiVirus de Microsoft para los usuarios hogareños. El mismo tenía un costo de aproximadamente 50 dolares anuales que sus usuarios ya no tendrán que afrontar. El producto de Microsoft no era de los mas populares del mercado (solamente se ejecutaba en el 2% de los equipos) y se espera que ahora amplie su cuota del mercado.

Esta es una buena noticia ya que Microsoft recomienda que se ejecute un Antivirus en sus sistemas pero no proveia ninguno con el sistema operativo.

Que sucederá?

Entiendo que es este el paso previo a discontuar el producto, y tambíen podrá pasar que Microsoft discontinúe su solución para entornos empresariales, ForeFront, que tampoco ha tenido exito en el mercado.

Entonces el año que viene los usuarios de sistemas operativos Microsoft dispondrán de un nuevo antivirus gratuito, y el primero de un fabricante reconocido. Al menos durante el año que viene. No creo que sea recomendable ejecutarlo ya que al día de hoy, que es un producto pago, su calidad no es buena. Entiendo que la calidad seguira decayendo hasta volverse un producto obsoleto.

Que sucede si es usted usuario de OneCare?

Bien, ya no deberá pagar su suscripción. Si la misma vence antes que se oficialice esta noticia, usted deberá renovarla hasta que se haga efectivo el nuevo esquema de licenciamiento. Luego no deberá tomar acción sobre su equipo.

Fuente: Blog oficial de OneCare

AntiSpyWare, que me conviene usar? Da lo mismo si soy usuario hogareño o una empresa?

Basándonos en una consulta que nos hizo un lector en un artículo anterior he decidió dar el titulo al actual.

Quisiera empezar por definir “qué es un spyware?”. Los programas espías o spywares son aplicaciones que recopilan información sobre una persona sin su conocimiento y/o consentimiento. La función más común que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas. Dado que el spyware usa normalmente la conexión de una computadora a Internet para transmitir información, consume ancho de banda, con lo cual, puede verse afectada la velocidad de transferencia de datos entre dicha computadora y otra(s) conectada(s) a Internet. La información a la que puede tener acceso spyware incluye por ejemplo: direcciones de correo electrónico, passwords, datos personales que se completen al registrarse en diferentes páginas, e incluso información de nuestra tarjeta de crédito.

A quienes no conozcan las características técnicas de un SpyWare y sus síntomas recomiendo leer el siguiente artículo de la Wikipedia que es muy completo en ese sentido: http://es.wikipedia.org/wiki/Spyware

Habiendo aclarado lo anterior, un AntiSpyWare, es un programa que analiza nuestros equipos en búsqueda de programas espías, y los elimina.

Encarando, ahora sí, el tópico original quisiera comenzar por la diferenciación entre el AntiSpyWare corporativo y el hogareño. Los AntiSpyware y Antivirus corporativos tienen la ventaja de ser administrables desde un servidor central, el cual se encarga de administrar las mismas políticas de configuración y escaneo a todos los equipos, como así también de centralizar los eventos de infección en toda la red. En cambio, los antivirus y AntiSpywares hogareños deben configurarse localmente en cada una de las computadoras de la red casera, deben administrarse independientemente (seguimiento de estado de actualización y de resultados de escaneos periódicos) y sus eventos deben analizarse localmente en cada uno de los equipos protegidos.

En lo referente a calidad/cantidad de las detecciones en líneas generales los antispywares conocidos suelen tener resultados similares. Las ventajas en este sentido de un AntiSpyware empresarial es la periodicidad de actualización, por lo general las compañías antivirus actualizan las firmas de sus productos corporativos al menos una vez al día, mientras que la periodicidad de actualización de los productos gratuitos suele ser de entre una semana a 21 días. En la actualidad, los virus y programas espías mutan a una velocidad impredecible y considerando estas características es mejor contar con un programa AntiSpyware pago y tener en cuenta la periodicidad de emisión de sus actualizaciones.

Entre los principales programas AntiSpyware hogareños se encuentran: el Spybot Search & Destroy, el Ad-Aware de Lavasoft, el AVG Anti-Spyware de Grisoft y Spy Sweeper de Webroot. En los corporativos se destacan los de McAfee, Trend, Symantec y NOD32.

No me atrevería a recomendar uno de estos particularmente ya que cada computadora y cada usuario es un caso específico. Pero si les recomiendo basarse mínimamente en la prueba de los productos aquí citados para la selección de su protección AntiSpyware.

Tengo un virus?

Este artículo está orientado a aquellas personas que tienen la duda si tienen o no un virus. Propondré mencionar los pasos a seguir ante la amenaza de un posible virus. Estos pasos son solo los que un usuario sin conocimientos de sistema puede llevar a cabo, si usted es un usuario experto encontrará estos pasos escuetos. En cambio si usted necesita instrucciones precisas para rápidamente saber si está infectado, sígame, no se va a arrepentir.

Antes que nada, usted debería tener instalado un Antivirus si es que está utilizando un sistema operativo Windows, este debería estar actualizado al día de la fecha. Ese es el paso cero, primero compruébelo y luego continúe con el paso número uno.

Si usted tiene antivirus actualizado e igualmente existe comportamiento anómalo en su PC, verifique que los procesos que se están ejecutando en su máquina sean los convencionales. Si usted tiene conocimientos de sistemas lo hará con facilidad, sino obviemos este paso por que será extenso de explicar. Veamos algo que podemos hacer rápidamente sin tener muchos conocimientos: ejecute un explorador y navegue hasta C:\Windows\System32 ordene los archivos por fecha de modificación y los que se hayan creado o modificado en los últimos días, es posible, que sean virus. Para confirmarlo (y partiendo de que no confía en lo que dice su antivirus) suba las muestras a: http://www.virustotal.com/es/ que es un servicio gratuito que analiza los archivos con los principales motores antivirus. Si tuvo un positivo, ha usted confirmado que tiene un virus, consiga un antivirus que lo elimine o póngase en contacto con el soporte del suyo. En caso que no exista positivo, sigamos con el paso dos.

Diríjase a inicio à ejecutar à tipee regedit y presione enter à navegue hasta HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run verifique las rutas donde están los archivos y proceda igual que el paso uno.


Si sigue pensando que tiene un virus descargue desde Microsoft el software process explorer


Verifique las imágenes (desde donde se ejecutan los procesos) de acuerdo con el paso número uno.

Si aún cree que tiene un virus, consulte con un experto, pero cuidado, la mayoría de las personas que arreglan PCs no son expertas. Y recuerdo que lo barato sale caro.

Recuerde que las herramientas que se propusieron en este artículo son gratuitas, de fabricantes reconocidos y no se instalan. Si quiere empeorar la situación haga e instale todo lo que le recomiendan en espacios iguales a este :-)

Recuerde que si tuviera Linux no le pasarían estas cosas :-)

Navegador mas seguro

Siempre existió el mito de que navegar con Firefox es mas seguro que navegar con internet explorer. En cierto sentido es verdad, sobre todo, porque aún el navegador de la fundación Mozilla no es tan popular como su competidor de Microsoft. Entonces, si yo hiciese un virus o un troyano o lo que sea, y usase una pagina web para propagarlo, apuntaría al navegador mas utilizado por los usuarios, solamente a fines de asegurarme la mayor cantidad de víctimas. Lamentablemente, quienes manipulan sitios web ya resolvieron este inconveniente. Distinguen que navegador utiliza quien se conectan y así lanzan un ataque personalizado para cada cliente. Entonces, usan un exploit (así se llama al código que aprovecha una vulnerabilidad de algún software) para cada versión de navegador. Para realizar esta acción, que es bastante simple, leen un encabezado del protocolo http, el user-agent, que es el que delata a nuestro navegador web. Basándonos nosotros también en esto vamos a camuflarnos para evitar este tipo de ataque.

Utilizaremos alguna versión de firefox y haremos creer al servidor que aloja a la pagina web que estamos usando otro totalmente distinto. Esto, además de servirnos a fines de aumentar la seguridad, nos servirá para aquellos sitios que solo soportan internet explorer.

Es necesario descargar el complemento gratuito de firefox llamado modify headers que modifica "al vuelo" el contenido de los encabezados de internet, que son la forma en la que nuestro cliente (navegador) negocia con el servidor (pagina web).

Agregaremos una regla a fin de modificar el encabezado user-agent para que en vez de enviar los datos reales envié los datos correspondientes a un internet explorer 7 sobre Windows Vista. El valor a agregar es el siguiente:

Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; WOW64; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; InfoPath.2)

En el siguiente gráfico se divisa como quedara entonces nuestro complemento:


Entonces si visitamos un sitio web con contenido malicioso, este en vez de intentar ejecutar código que aproveche una vulnerabilidad de firefox intentará hacerlo con un exploit de Internet explorer, y como realmente estamos usando firefox el mismo no tendrá oportunidades de ejecutarse.

Seguridad para celulares convencionales

Muchas veces nos preocupamos por la seguridad de nuestras PCs pero olvidamos uno de los principales medios de comunicación personal que utilizamos, el teléfono celular. Y no estoy hablando de la posibilidad de tener malware o que alguien escuche nuestras conversaciones. Me refiero a la información que hay alojada en los teléfonos móviles. La mas común seguramente será la agenda con los contactos. Pero también pueden ser fotografías, mensajes, etc. Los teléfonos celulares son muy simples de extraviar o es grande la posibilidad de que alguien nos lo robe. Les contaré una anegdota que me sucedió a mi.

Hace algunos meses a un amigo mío le robaron su teléfono. El mismo día llamaron a todos sus contactos, pidiendo un rescate por personas que supuestamente habían sido secuestradas (incluyéndome). En la mayoría de los casos esto no pasaba a mayores pero mi amigo tenía mi contacto: Alexis; y el de mi madre: Madre de Alexis; y el de mi casa: Casa de Alexis. Esto generó una confusión importante que por suerte no llego a mayores. Aprendimos entonces a que debemos proteger la información dentro de los celulares. Algunos tips:

No marcar contactos como Mamá, casa, tío, etc
Configurar contraseña utilizar el teléfono, agenda, mensajes, etc.
Denunciar el celular robado o extraviado en la policía (pueden ser usados para delitos)

PDFs mas rápido y mas seguros.

Muchas veces utilizamos nuestra PC para leer documentos que descargamos desde internet, muchas veces esos documentos provienen de sitios los cuales no nos detenemos a evaluar si representan una amenaza. Desde hace ya un tiempo, el malware utiliza otros vectores para ejecutarse en nuestros equipos, y uno de esos vectores son los lectores de documentos PDFs. Si bien no son tan comunes como otras amenazas que andan dando vuelta por la red. Es más probable que nos encuentre desprevenidos. Seamos sinceros, cuantos de nosotros se preocupa por que su lector de PDFs disponga de su última actualización. Nadie, ni yo, que soy bastante paranoico.
Como sucede habitualmente, el software mas popular es el que los hackers estudian con mayor detenimiento. Por eso hay tantas vulnerabilidades conocidas para Windows, Internet Explorer, Office y Acrobat reader entre otros. Pero soluciones que cumplen la misma función sin ser tan populares son mas seguras porque no existen ataques para estas. Por tal motivo cuando uso una máquina nunca le instalo el Acrobat Reader, no solamente porque no me guste, sino porque no debo preocuparme si este esta o no actualizado. Particularmente uso el Foxit Reader que además de tener menos urgencia de ser "parcheado" es mucho mas rápido. Desde el siguiente link podrán descargarlo y probarlo. Como siempre es totalmente gratis y solo habrá que pagar por la versión que también permite crear documentos al igual que las soluciones de Adobe.

http://foxitsoftware.com

Finalmente otra solución de calidad es Sumatra PDF el cual puede ser descargado desde el siguiente link:

http://fastdl.org/SumatraPDF-0.9.1.zip

Como es de suponer los usuarios de Linux no tienen este tipo de problemas ya que las vulnerabilidades para Okular o Evince son inexistentes. Espero que esto les haya servido y sepan que además de cerrar la seguridad sobre sus equipos estarán mejorando la performance considerablemente al momento de leer PDFs.

Navegación segura, vigilada por expertos

Todos nosotros convivimos a diario con búsquedas de información en los sitios más importantes de internet (www.google.com, y www.yahoo.com). La gran cantidad de resultados que estos sitios nos devuelven con nuestras búsquedas nos llevan a ingresar a varios sitios sin que nos imaginemos el riesgo que esto puede significar para la seguridad de nuestras computadoras personales.

En los últimos años la cantidad y los tipos de amenazas informáticas han crecido y han ido mutando para evitar las detecciones de productos antivirus, ¿Cómo logran esto? Porque un proceso que a nuestros ojos es tan simple como ingresar una página y que la misma sea presentada ante nosotros implica que se están ejecutando procesos y escribiendo archivos en nuestros equipos. El uso malicioso de estos archivos puede llevar a la ejecución de código sin nuestro consentimiento y esto podría implicar un riesgo para nuestra información.

¿Qué podemos hacer para protegernos? Para esto existen herramientas gratuitas como McAfee SiteAdvisor (http://www.siteadvisor.com/) que luego de una muy simple instalación clasifican los resultados de una búsqueda usando un semáforo para indicar el riesgo que implicaría ingresar a un sitio.

¿Cómo funciona una herramienta de este tipo? Este software se mantiene al día de las últimas amenazas ya que dispone de un grupo de “robots” inteligentes, u ordenadores virtuales, que continuamente buscan en Internet, descargan sitios y los analizan para comprobar si contienen programas malintencionados. Estos “robots” incluso completan formularios de inscripción para determinar si el hecho de inscribirse desencadena el envío de correo no deseado.

¿Qué interacción necesita por parte del usuario? Una vez instalado el software, no se requiere interacción extra ninguna. Una simple búsqueda devolverá sus resultados habituales acompañados de un semáforo indicando el análisis de riesgo del sitio: rojo para los sitios más riesgosos para nuestros equipos, amarillos para aquellos que presentan un riesgo limitado, verde para los no riesgosos, y gris para aquellos que no han sido analizados aún. De esta manera el navegante está avisado de antemano evitando correr riesgos



Sin embargo SiteAdvisor no es la única herramienta que nos provee protección extra. Existen hoy diferentes maneras de protegernos de este tipo de riesgos. Otros ejemplos, de este tipo de tecnologías son: Norton Safe Web (http://safeweb.norton.com/) muy similar al analizado,



y el Google Safe Browsing Diagnostic
(http://www.google.com/safebrowsing/diagnostic?site=http://malware.testing.google.test/testing/malware/) que a diferencia de los anteriores requiere que el usuario ingrese en la dirección del navegador el sitio a analizar.

El porque de este blog.

Durante mucho tiempo, amigos y familiares me han efectuado preguntas simples acerca de sus sistemas personales y acerca de cómo navegar seguros. Entonces decidí crear este espacio para que la gente que no trabaja en el área de sistemas obtenga respuestas simples a sus dudas.

Los usuarios de hogar, es decir aquellos usuarios que no pertenecen a ninguna empresa o no están asesorados y provistos de soluciones por un departamento de sistemas, y menos aún por un departamento de seguridad informática, necesitan, aunque a veces ni siquiera lo consideren, soluciones para proteger su información personal o sus equipos. Parte del problema es que estos usuarios deben solventarse ellos mismos los costos de las soluciones orientadas a proteger sus redes hogareñas, y no solamente me refiero al costo de las licencias sino también los costos de administración y mantenimiento. Pero, por ejemplo, ¿Por qué un arquitecto tiene que preocuparse de configurar su router inalámbrico? ¿Por qué un medico debe ocuparse de actualizar su sistema operativo? La respuesta es bien simple, para proteger lo que hay en su red domestica. Pero de nuevo debemos hacernos una pregunta, ¿Qué hay en nuestra red domestica que valga la pena el esfuerzo? Si nos refiriésemos a una red corporativa la respuesta sería simple: LA INFORMACIÓN. Pero no estamos en una red corporativa, estamos en nuestra hogar y aquí existen otros factores que deben preocuparnos, me refiero a las personas. En nuestras redes hogareñas pueden navegar niños, o podemos comprometer nuestra propia identidad. Podemos perder datos fundamentales como números de tarjeta de crédito. Y claro esta, también podemos comprometer nuestras PCs. Algunos de las preguntas que debemos efectuarnos son las siguientes:

• Información

  • Alguien puede querer robar mi información?

  • Qué pasa si mi información se destruye con mi equipo?

  • Qué pasa con mi imagen profesional si se descubre que perdí información sobre mis clientes?

• Activos

  • Cuanto me salió el equipo?

  • Cuanto me cobra el técnico?

• Personas

• Hay niños utilizando la red?

• Puede alguien interesarse en mis datos personales.

Es importante conocer que información uno quiere proteger, por ejemplo un escritor considerará su novela importantísima. Un arquitecto no querrá por ningún motivo que alguien modifique sus planos o robe sus ideas. Pero ¿Cuánto tiempo me cuesta esto? ¿Cuánto dinero tengo que invertir? ¿Puedo delegar en un experto?

Las respuestas son simples: Algunas horas de tiempo, nada de dinero y de ninguna manera un experto calificado aceptara trabajar para un usuario hogareño al menos que no pague como tal. Hasta puede darse el caso que un supuesto experto utilice nuestra confianza para robarnos datos 

privados o información confidencial. Es simple, cuando llevamos nuestra PC a arreglar el técnico, este puede ver toda la información que esta contiene, y puede tratarse desde fotos de nuestras últimas vacaciones hasta datos de nuestra tarjeta de crédito, o las historias clínicas de nuestros pacientes.

Entonces, que se puede hacer?

• Podemos instalar programas gratuitos, pero de calidad.

• Podemos configurar correctamente lo que ya tenemos.

• Podemos tomar recaudos cuando navegamos.

• Podemos migrar a plataformas libres donde nos evitamos los costos de licencias.

En lo sucesivo incorporaré comparativas de distintas soluciones siempre y cuando sean gratuitas y seguras. También realizaré algunas recomendaciones al momento de configurar las PCs o los elementos de la red hogareña.

Como proteger a la navegación en internet?

En realidad este artículo puede utilizarse no solamente para proteger a los niños sino también puede aplicarse al bloqueo de sitios por categorías y el segundo nos indica cuando un sitio contiene sitios que pueden contener código maligno que pueda dañar nuestros equipos.
Bluecoat K9 Web Protection.

Este es un programa gratuito del prestigioso fabricante de soluciones de optimización de redes y filtros de navegación web.

Ideal para:

Maquinas desde donde navegan niños como ser escuelas, cibercafés o PCs hogareñas.
Pequeñas oficinas o comercios donde puede bloquearse además el acceso a diarios, chats, etc.
Usuarios en general que no quieren acceder por error a sitios con contenido no apropiado.
Puede obtenerse más información en el siguiente link:

http://www1.k9webprotection.com/

Al momento de descargar estos programas nos serán solicitados algunos datos (nombre, apellido y dirección de correo) y se nos enviará por correo electrónico una licencia para poder utilizarlo. La instalación es simple y la configuración del mismo se realiza desde el navegador web.




Podemos decidir entre los 60 distintos tipos de sitios sobre los cuales podemos bloquear el acceso o registrarlos en un horario en particular o siempre. Cada vez que intentemos acceder a alguna url el programa consultará con la base de sitios que bluecoat mantiene periódicamente y le dará a este una categoría de las sesenta que se mencionaron anteriormente.

De acuerdo a las decisiones que tomemos durante la configuración el sitio que intentemos acceder estará o no disponible.

Descarga desde:

http://www1.k9webprotection.com/getk9/index.php