FAQ

Que son y que comportan
¿Que tiene que ver Aruba?
¿Puede Aruba ayudarme a comprender si mi ordenador es comprometido?
¿Que más ha hecho o puede hacer Aruba?
Lo que no puede hacer Aruba
Software aconsejado contra del malware
Videoguías Cortafuegos
Más detalles



Reciente aumento de difusión del virus “Malware”  
 
Recientemente se ha registrado un aumento de la difusión de particulares tipos de virus llamados generalmente “Malware” que tienen como finalidad principal la recolección de varios tipos de credenciales de acceso a otros datos sensibles o “identidad” como por ejemplo:
datos de tarjetas de crédito,
Cuenta corriente online (home banking o paypal),
Cuenta ebay,
Cuenta de red social como facebook, twitter, etc.

Además de dichos datos, el software Malware busca también otros datos de acceso considerados menos preciosos, que pero atañen a nosotros, como por ejemplo:
datos de acceso a cuentas de correo electrónico (en particular gmail, hotmail, yahoo mail),
datos de acceso FTP, datos de acceso a servidores dedicados o empresariales.

Para los malintencionados efectivamente es más simple y eficaz recoger todos estos datos directamente en los ordenadores conectados a internet en cambio de tentar de violar la seguridad de los servidores centrales (bancos o servidores web, mail, etc) que generalmente están bien protegidos y por lo tanto más difíciles de expugnar.

Claramente el Malware se flanqueará a otra práctica que tiene la misma finalidad, el “phishing” es decir el envío de mensajes falsos que solicitan de contestar al facilitar  voluntariamente estos mismos datos sensibles, siempre con el intento de recogerlos en cuantidad para un uso siguiente fraudulento o para sus ventas en bloqueo a otros malintencionados.

Además, diferentes tipos de Malware, más allá de recoger y transmitir los datos de acceso listados hasta aquí, también tratan de comprometer el ordenador atacado para permitir su control completo por el externo. En este caso además de “Malware” se habla en general de virus “trojan horse” o “caballos de Troya”.
Cuando este ocurre, el ordenador infectado es definido “zombi” y empieza a hacer parte de las así llamadas “botnet”, es decir grandes redes de ordenadores que pueden ser controladas por los atacantes y en su disposición para ataques destructivos (ej. ddos) o para enviar grandes cantidades de mensajes de spam.

Con respecto a los virus tradicionales, el Malware se diferencia por algunos aspectos fundamentales entre los cuales la finalidad, el método de difusión y la dificultad de eliminación.

Para lo que atañe la finalidad, en pasado estábamos acostumbrados a virus destructivos que trataban de comprometer el funcionamiento del ordenador por ejemplo al borrar el sistema, sus datos o al bloquear su sistema operativo. De otro lado el Malware necesita que el ordenador atacado quede en perfecta eficiencia, sobre todo si este último debe ser utilizado después como zombi.

Mientras que, para lo que atañe el método de difusión, los virus tradicionales estaban en general en condición de difundirse de manera autónoma al copiarse de un ordenador infectado al otro vía red o al infectar los soportes de almacenamiento (disquete, lápices, etc), sino al enviarse de manera autónoma por e-mail como archivo adjunto. Esto pero, los hacía siempre iguales (por lo menos en algunas secciones) y por lo tanto más fácilmente localizables por parte de los software antivirus. De otro lado el Malware es difundido en general por los sitios web comprometidos y por spam, al ofrecer por lo tanto la posibilidad de ser cambiado muchas veces y de no deber incluir la capacidad de auto-repetirse y difundirse, al hacerlo menos reconocible y localizable.
Incluso algunos Malware son disfrazados por milagrosos software antivirus, y por lo tanto hacen befa y daño.


Volver arriba



¿Que tiene que ver Aruba?

Puesto que en este caso no son nuestros servidores a ser atacados, sino directamente los ordenadores de nuestros clientes, Aruba no puede solucionar el problema a la raíz. Pero podemos mitigar los efectos y contribuir al limitar el fenómeno al proporcionar indicaciones útiles para la seguridad de sus datos y al avisar desde ahora todos los clientes que suponemos hayan sido atacados por el problema. De esta manera ayudaremos a proteger  mejor los datos correspondientes a nuestros servicios, sino también  y sobre todo aquellos bancarios o de cualquier modo sensibles.

¿Qué puedo hacer yo para proteger mejor mis datos?
Antes que nada recordamos las prácticas de seguridad ordinarias:
-    Actualizar el sistema operativo. Muchas veces los Malware tratan de desfrutar de viejas vulnerabilidades conocidas y es por este motivo que las actualizaciones regulares  pueden ayudar mucho.
-    Actualizar el software, en particular el browser (Internet Explorer, Firefox, etc) y otros programas comunes como Adobe Acrobat Reader. También dicho software presenta con frecuencia vulnerabilidades conocidas de las viejas versiones y por lo tanto representa  un acceso fácil si no actualizados.
-    Actualizar su antivirus y ejecutar un escaneo completo periódicamente, posiblemente también con más de un software porque desgraciadamente no siempre  cada software está en condición de detectar todos los tipos de Malware en circulación
-    Tener siempre activo un cortafuego en protección de la conexión internet. Aún mejor si es un cortafuego  avanzado que visualiza los avisos cada vez que un programa que se encuentra en el ordenador trata de enviar datos en internet (los passwords recogidos deben ser enviados al atacante apenas en cuanto).
-    Cambiar su password cada 6 meses a lo sumo, para todos los servicios de Aruba y no.
-    
Vamos a ver algunas prácticas de seguridad específicas para el Malware:

-    No ejecutar adjuntos ejecutables por correo electrónico, aunque provengan de remitentes  conocidos (que podrían tener el ordenador comprometido).
-    No cliquear en los enlaces “sospechosos” recibidos por “red social” (facebook, twitter, etc) o por instant messaging (msn o yahoo messenger, gtalk, etc). En particular los que invitan a descargar software atractivo y “útil” para controlar sus amigos o con funciones parecidas.
-    No proporcionar nunca sus datos de acceso al contestar a mensajes e-mail que los requieren por fantasmal “actualizaciones de base de datos” o “pérdida en el servidor” o “bloqueo de la cuenta”. Es casi imposible que un proveedor de servicios pida a sus clientes el password, y aún menos por e-mail.
-    No descargar y no ejecutar software falsificado o “crack” de software original: también si aparentemente funcionante, dicho software incluye casi siempre un virus o Malware o trojan horse en su interior y con frecuencia se hace circular por este motivo.  
-    No guardar en su PC password y datos de acceso y no utilizar las funciones “recordar password”. Teclear el password cada vez es más incómodo sin falta, pero mucho más seguro: efectivamente el Malware ejecuta un escaneo en el ordenador donde mucho software (por ejemplo Filezilla) guarda una copia más o menos protegida de los datos de acceso almacenados.
-    Cuando son disponibles utilizar siempre los protocolos seguros como https, smtps, pop3s, imaps, ftps. De esta manera los datos de acceso pasarán en internet no en “claro”, sino protegidos por la criptografía: también si intervenidos resultarán ilegibles.

Volver arriba


¿Puede Aruba ayudarme a comprender si mi ordenador es comprometido?


Uno de los métodos de difusión del Malware prevé la utilización de datos de acceso FTP recogidos en ordenadores infectados para comprometer los sitios web correspondientes y a través de ellos hacer descargar el mismo Malware a todos los visitadores.
Esto en general es hecho al insertar el código Javascript “ofuscado” dentro de la página principal del sito: la página mantiene su aspecto y funcionamiento, pero en cada abertura tratará de hacer descargar al visitador archivos infectados que llegan de otros sitios.
En algunos casos el sitio comprometido es utilizado para hacer descargar el Malware, en otros sólo para hospedar los archivos infectados.
El otro método utilizado es el envío por spam, y también en este caso serán detectados y bloqueados los envíos sospechosos, además de ser limpiados los mensajes por el antivirus.
A través del análisis del log de FTP, nuestras herramientas automáticas proveerán con el detectar comportamientos anómalos y al señalarlos a los correspondientes propietarios de las cuentas. Además será señalada cada vez que uno de nuestros software antivirus quitará algo (código javascript o Malware mismo) de los contenidos publicados.
Claramente los clientes que recibirán dichos avisos deberán efectuar las comprobaciones apropiadas y acciones aconsejadas  porque probablemente por lo menos uno de los ordenadores en los cuales han utilizado de antemano las credenciales de acceso es compromiso.

¿Qué hacer si mi ordenador o mi sitio web resultan infectados?
Listamos abajo algunas de las acciones a emprender, a ejecutar en este orden:
- si ya no ha sido hecho por Aruba, quitar todo el código malévolo que se puede encontrar en las páginas de sus sitios web. Si es necesaria una ayuda en la individuación de este código se puede abrir un ticket en el área de asistencia apropiada.
- comprobar posibles infecciones que se encuentran en su ordenador. En caso de que para la publicación del sitio se aproveche de colaboradores y/o webmaster debe ser comprobada la integridad de todos los ordenadores utilizados, efectivamente es bastante que uno de ellos sea vulnerable o infectado para que sean robadas las credenciales de acceso.
- limpiar los ordenadores eventualmente detectados por el software antivirus apropiado y antiMalware, luego proceder al activar las protecciones oportunas en término de antivirus y cortafuegos para evitar el repetirse de problemas similares.
Sólo después de haberse asegurado que cada ordenador utilizado para la publicación del sitio haya sido puesto en seguridad, proceder con el cambio de todas las credenciales de acceso utilizadas en precedencia. También si no es posible dar indicaciones seguras sobre los datos de acceso de servicios no gestionados por Aruba (home banking, social network etc...) se aconseja de todos modos de cambiar también dichos datos, eventualmente al dirigirse a los correspondientes proveedores del servicio.

Nota Bien : También si al momento de la comprobación en su ordenador no se individuasen Malware activos, es de cualquier modo necesario hacer el cambio de las credenciales de acceso porque si estas han sido utilizadas en precedencia son ahora comprometidas (por ejemplo si se ha proveído, mientras tanto, con una nueva instalación o cambio de su ordenador)


Volver arriba


¿Que más ha hecho o puede hacer Aruba ?

Para combatir mejor este particular fenómeno hemos:
-    Hecho disponible la versión “segura” de cada protocolo utilizado para acceder a nuestros servicios: https, smtps, pop3s, imaps, ftps. Pero, para utilizarlos es necesaria una modificación de la configuración de su ordenador según las guías reportadas en nuestra KB. -- LINK ALLA GUIDA --
-    Realizado el software para borrar de manera automática el código javascript correspondiente al Malware de los sitios web de nuestros clientes. Este se flanqueará al software antivirus comercial que ya está.
-    Realizado el software para la comprobación automática de los sitios indicados por google como “peligrosos” porque comprometidos. En el caso de que haya un sitio de un cliente Aruba, este será informado y el sitio limpiado.
-    Activada la exclusión automática de los ip que efectúan actividad FTP o Mail sospechosa de manera que no sea permitido a máquinas comprometidas de conectarse de nuevo a nuestros servicios.


Volver arriba



Lo que no puede hacer Aruba.

Como explicado, este problema particular no atañe directamente a Aruba o a los proveedores de servicios en general, puesto que se trata principalmente de un problema de seguridad  de los ordenadores conectados a internet.
Es por este motivo que sin la colaboración de nuestros clientes, no podemos hacer mucho para ayudarlos a solucionar las causas del problema con respecto al simple obrar sobre los efectos.
Agradecemos a todos nuestros clientes para la colaboración.

Volver arriba



Software aconsejado contra del Malware



WINDOWS LINUX MAC

SOFTWARE


  • zeus trojan remover v1.2.0
  • malwarebytes


  • zeus trojan remover v1.2.0
  • malwarebytes

 


ANTIVIRUS
  •  Pc Tools
  • Zone Allarm 
  • Avira


  • Avira


  • Pc Tools
 

FIREWALL

 

  • Pc Tools
  • Zone Allarm
  • Comodo
  • OnLine – Armor
  • Avira


  • Firestarter 
  • Avira


  •  Pc Tools
  • Little Snitch 
  • NetBarrier X4


Abajo la lista para win y linux

zeus trojan remover v1.2.0
http://www.novirusthanks.org

malwarebytes
http://www.malwarebytes.org/

La versión gratuita es compatible también con los 64 Bit
Little Snitch
http://www.versiontracker.com/dyn/moreinfo/macos/17642
-------------------------------------------------------------
Para quien utiliza I Mac

Avira
http://www.avira.com/es/download/index.php
-------------------------------------------------------------
Para quien utiliza sistemas Win, Linux y Unix
Pc Tools
http://free.pctools.com/free-antivirus/
Para quien utiliza Win y Mac
PC Tools Firewall Plus 6: Un cortafuego muy eficaz gratuito para Windows que defiende el ordenador al bloquear el acceso por parte de los usuarios no autorizados. Está en condición de bloquear trojan, backdoor, keylogger, para evitar que dañen el ordenador y roben información personal. La prevención contra los ataques y los exploit más conocidos es activada por configuración predefinida, mientras que los usuarios expertos pueden  personalizar las defensas a través de las opciones avanzadas. Ofrece una protección en tiempo real excelente y realiza actualizaciones regulares. A probar sin falta.
-------------------------------------------------------------
FIREWALL
Comodo
http://personalfirewall.comodo.com/
Compatible con Xp,Vista,WIn7 32 y 64 Bit
Comodo Internet Security 3: es el paquete completo de Comodo, incluye Antivirus y Cortafuego. Al momento de la configuración es posible seleccionar si configurar uno sólo de los 2 componentes o ambos. Ciertamente el mejor cortafuego que existe actualmente y está en condición de proteger el PC prácticamente de cualesquiera amenazas para lo que atañe los accesos no autorizados a nuestro ordenador. La última versión, con respecto a las precedentes, presenta una interfaz más moderna y simple de utilizar, también si se aconseja a los menos expertos de no modificar las opciones predefinidas, para evitar excesivos bloqueos. Merezca el primero puesto en nuestra Clasificación de Cortafuego 2010, porque aunque sea gratuito, ofrece prestaciones mejores de cualquier otro competidor de pago. La versión Pro de pago ofrece además asistencia 24 horas al día por parte del personal de Comodo para la eliminación de amenazas particularmente peligrosas.
-------------------------------------------------
OnLine - Aemor
http://www.online-armor.com/downloads.php
Online Armor Premium 4: Al primero inicio Online Armor Free analiza el ordenador a la búsqueda de programas no seguros. Si los encuentra, permite de seleccionar si bloquearlos o menos. Particularmente indicado si se utilizan servicios bancarios o transacciones online, para proteger sus datos del ataque de los hacker. Trabaja en background durante la navegación al proteger el ordenador en tiempo real y al comprobar todas las conexiones en entrada y en salida. Desgraciadamente es de pago y se encuentra sólo en idioma inglés. La versión Free es gratuita y más reducida pero de cualquier modo eficaz.
-------------------------------------------------
Pc Tools
http://free.pctools.com/free-antivirus/
Para quien utiliza Win y Mac
PC Tools Firewall Plus 6: Un cortafuego muy eficaz gratuito para Windows que defiende el PC al bloquear el acceso por parte de usuarios no autorizados. Está en condición de bloquear  trojan, backdoor, keylogger, para evitar que dañen el ordenador y roben información personal. La prevención contra los ataques y los exploit más conocidos es activada por configuración predefinida, mientras que los usuarios expertos pueden  personalizar las defensas a través de las opciones avanzadas. Ofrece una protección en tiempo real excelente y realiza actualizaciones regulares. A probar sin falta.

-------------------------------------------------
NetBarrier X4
http://netbarrier.en.softonic.com/mac/download-version/netbarrier-x4.10.4.5
http://www.intego.com/pub/Manual_NBX4_it.pdf
Para quien utiliza los Mac
Aunque si un Macintosh no es expuesto, cuando es en internet, al mismo número de potenciales amenazas de un ordenador Windows, y también si hay un cortafuego en el OS X (más o menos útil según las opiniones), existe sin embargo un número válido de razones para tener un buen cortafuego activo. Primera entre todas comprobar los programas que pueden acceder a internet y los que no pueden: esta es una cosa que sólo nosotros podemos decidir. No hay sólo el problema del spyware, sino también de programas que podemos descargar por internet como prueba, o por error (o por otros motivos) y que podrían enviar información de nuestro ordenador alrededor sin nuestro consentimiento.
Por este motivo un cortafuego con las características de NetBarrier es necesario absolutamente.
NetBarrier puede ser configurado enteramente, defiende de posibles ataques externos (aún raros afortunadamente para un Macintosh), permite de bloquear el acceso a internet de los programas que no se quiere que accedan, y -cosa agradable- permite de monitorizar todo nuestro tráfico (Web, FTP, Correo, etc.) de manera detallada.

-------------------------------------------------
Firestarter
http://www.fs-security.com/
Para quien utiliza los sistemas linux
Cuando se habla de un cortafuego y de Linux es inevitable hablar también de Firestarter, programa gratuito, disponible en muchísimas distribuciones, que con su simplicidad defiende perfectamente el ordenador de ataques externos. Óptimo para el uso personal, este cortafuegos es pero poco flexible y podría no ser bastante para un administrador exigente. En efecto, como muchos otros aplicativos de esta categoría, Firestarter es un front-end de iptables que utiliza netfilter, y por lo tanto una interfaz que permite de crear reglas con extrema simplicidad y configurar de nuestro agrado  las varias opciones disponibles.

-------------------------------------------------
Zone Alarm
http://www.zonealarm.com/security/en-us/anti-virus-spyware-free-download.htm

Volver arriba


Videoguías Cortafuego

Comodo Cortafuego
http://vademecum.aruba.it/start/sic/firewall/comodo/

Sunbelt Cortafuego
http://vademecum.aruba.it/start/sic/firewall/sunbelt/

Agnitum Outpost Cortafuego

http://vademecum.aruba.it/start/sic/firewall/outpost/

Seguridad del ordenador
http://vademecum.aruba.it/main/sicurezza_tot_subs.asp

Volver arriba


Más detalles :

http://www.kaspersky.com/it/reading_room?chapter=207716819
http://www.itespresso.it/hellrts-il-nuovo-Malware-per-mac-os-x-44994.html
http://www.zeusnews.it/index.php3?ar=stampa&cod=11695
http://punto-informatico.it/2865579/PI/News/zeus-ora-punta-al-conto-banca.aspx
http://www.lineaedp.it/articolo.php?aId=0000043724
http://www.corriere.it/scienze_e_tecnologie/10_febbraio_22/twitter-attacco-account-compromessi_e3efaf14-1fc7-11df-b445-00144f02aabe.shtml
http://www.corriere.it/scienze_e_tecnologie/speciali/2009/smau/notizie/intervista-hypponen-sicurezza_c1687a8a-bfdb-11de-856b-00144f02aabc.shtml
http://www.corriere.it/notizie-ultima-ora/Scienze_e_tecnologia/Informatica-attacco-hacker-oggi-sfrutterebbe-falla-Firefox/18-02-2010/1-A_000083808.shtml
http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/zeusapersistentcriminalenterprise.pdf

Volver arriba