Spam en Correos ¿desde GMail y usando cuentas comprometidas?

Esta mañana me he levantado y me he encontrado con varios correos sospechosos enviados, al parecer, por gente a la que conozco. Todos ellos con correo de GMail.

Los correos sólo tienen un enlace a una página. Los servidores varían, pero el nombre de la página sí que es el mismo: google.html

Al comentar el tema con uno de los remitentes, éste me ha indicado que todas las personas de su libreta de direcciones parecen haber recibido los mensajitos de marras. Además, añadió, algunos mensajes habían sido enviados a una hora en la que ni su ordenador ni su teléfono móvil estaban encendidos.

Sospechoso. Tiene pinta de que alguien se ha hecho con un montón de cuentas de correo en GMail, quizá aprovechándose de contraseñas débiles, y las está utilizando para enviar SPAM.

Además, parece que los sitios web a los que dirigen los enlaces han sido comprometidos por algún ciberdelincuente aprovechando alguna brecha en su seguridad. De modo que a saber qué contenidos les han podido colar...

La página a la que dirige el enlace del correo contiene el texto:

You are here because one of your friends
have invited you.
Page loading, please wait....

E inmediatamente redirige al usuario a al dirección:

http://newsmarketnextgenonline5.com/?12/2

Que nadie la visite, que ya sabéis de donde la he sacado. El dominio en cuestión ha sido creado el 21 de diciembre de 2012 (hace cinco días en el momento en que escribo esto) y la persona que lo registró dice estar ubicada en Auckland (Nueva Zelanda).  La información puede consultarse en
http://dns.robtex.com/newsmarketnextgenonline5.com.html#whois


El sitio web se comporta de forma sospechosa. Buscando páginas pertenecientes a él en Google, los resultados obtenidos son "raros":

 

Como puede verse, aparece la página en cuestión que, si se visita directamente (¡no lo hagas, por si acaso esto cambia!), redirige a Google. En realidad, a:

http://www.google.com/?12/2

 

... como si se estuviera tratando de clonar un sitio (en este caso, Google). Algo que a veces se hace con el objetivo de "robar" el posicionamiento web a un tercero.

 

Existen también los dominios newsmarketnextgenonline1.com, newsmarketnextgenonline2.com, newsmarketnextgenonline3.com y newsmarketnextgenonline4.com. Y también newsmarketnextgenonline6.com, etc. Y con resultados muy parecidos a los anteriores. Sin embargo, alguno hay diferente que haría pensar en "extrañas" ofertas de trabajo (mucho cuidadín con ellas).

 

 

Lo dicho: si recibís estos correos, ni caso. Nada de hacer clic en el enlace. Y si os dicen que se enviaron desde vuestra cuenta, por si acaso, comenzad por cambiar la contraseña.

 

Saludos.

Antivirus y Android. Doce razones (1 de 3)

******************************************
Antivirus y Android. Doce razones (1 de 3)
Antivirus y Android. Doce razones (2 de 3)
Antivirus y Android. Doce razones (3 de 3)
******************************************

Las sugerencias de Google son cosa curiosa y digna de atención. Una que me llamó hace poco la atención es la siguiente:

Sugerencia

Escribo "android antivirus " y, tras el último espacio,... Google me sugiere en cuarto lugar la palabra "necesario".

Con ello se pone de manifiesto que hay una preocupación generalizada sobre este tema. Miles, quizá millones, de personas se preguntan si es necesario instalar un antivirus en su dispositivo Android. Y no son pocos quienes dan su opinión sobre el tema y les dan consejo. Consejos que, aunque se les presuponga la buena voluntad, no siempre me parecen excesivamente afortunados. En particular, me preocupan los artículos, posts y comentarios en que pueden leerse cosas como:

- "Pienso que si descargas apps confiables o navegas sitios seguros, no habría problemas. Yo no uso !"

- "yo no uso antivirus en mi SII, bajo las aplicaciones del Market y las pagas, las compro. No he tenido ningún problema"

- "Controlar las aplicaciones maliciosas es muy sencillo, solamente vigilá de dónde instalás las cosas y qué permisos les das"

- "Eso es lo fuerte. Te habrá chupado lo que no te puedes imaginar en recursos y batería, para nada. Por eso os repetimos una y otra vez, NO hace falta un “antivirus”"

- "Mil veces preguntad y mil veces contestado: no es necesario. Android = Linux = no virus"

- "Si tu smartphone necesita antivirus es que has elegido el sistema equivocado"

- "para lo unico que sirve el antivirus es para relentizar el movil"

- "Los usuarios normales que dependen solo de Android Market (Google Play) para bajar aplicaciones no creo que se vean afectados. Somos mas bien los usuarios Root, que instalamos aplicaciones de internet y markets alternativas los que tendríamos que preocuparnos un poco"


Desde luego, me preocupa. Porque habrá muchas personas que se dejen guiar por estos consejos, sin cuestionarlos previamente, a la hora de tomar su decisión.

Cierto que los antivirus pueden ralentizar el sistema y consumir bastante batería. Y el problema puede ser especialmente serio con los dispositivos "low cost" y de baja gama que es de esperar que incrementen en el futuro su couta de mercado. Siempre que puedo, aprovecho para señalar que este tipo de productos me produce cierta inquietud: si las prestaciones no permiten tener una protección antivirus adecuada o si no es posible actualizar la versión del sistema operativo porque el hardware no lo soporta... casi habremos perdido la partida de la seguridad.

Pero hay razones muy sólidas para utilizar antivirus. Incluso en Android. Vayamos por partes.

1.- Los ciberdelincuentes existen.
Una de las cosas que me llamó la atención es que muchas veces parece que el asunto sea un problema entre el usuario y su teléfono o su tablet (o lo que sea). Si lo tratas bien, no pasa nada. Pero hay más agentes involucrados. Hay mala gente que quiere atacar cuantos equipos se conectan a Internet. No porque les divierta, sino porque con ello consiguen dinero.

Hay spam porque alguien paga por anunciarse. Hay robo de cuentas de correo y perfiles en redes sociales porque puedan venderse. Hay timos porque siempre alguien cae.

En definitiva, si se puede obtener ingresos infectando o atacando un equipo con Android, alguien lo intentará.


2.- Cuando usas Android, los riesgos existen.
Es curiosa la ecuación
Android = Linux = no virus

... un mensaje incorrecto por tres razones. La primera es que los virus son sólo una especie dentro del ecosistema del software malicioso. Hace tiempo que las soluciones antivirus ampliaron su ámbito de funciones y tratan de defender a sus usuarios de otros tipos de aplicaciones (y de cosas que no son aplicaciones) no deseadas, como caballos de Troya, spyware, puertas traseras, etc. Pero, bueno, si es que se hace por simplificar las cosas, acepto "virus" como animal de compañía.

La segunda, que sí que hay virus (y otros bichos) para Linux. Linux, como todo software complejo, tiene sus problemas de seguridad. Obviamente, los que se van conociendo suelen ser solucionados en versiones posteriores y quedar resueltos con las actualizaciones pero... siempre aparecerán otros nuevos. Por no hablar de las instalaciones desactualizadas. No hay sistemas invulnerables.

Es cierto que hay menos malware para Linux que para Windows, pero también hay muchos menos usuarios de Linux que de Windows. Y, para unos ciberdelincuentes que se mueven por dinero, siempre es más rentable un malware que valga para la mayor parte de la gente que uno que sólo pueda afectar a unos cuantos. Siempre se dedicará a lo que más beneficios pueda proporcionarle.

Y este último razonamiento puede servir también para marcar la diferencia entre Android y Linux. Android sí es un sistema operativo que, en su ámbito de aplicación, tiene un uso mayoritario. Sí es objetivo preferente para los ciberdelincuentes. Sí que hay un amplio mercado negro que explotar y, por lo tanto, muchos recursos invertidos en determinar sus fallos de seguridad.


******************************************
Antivirus y Android. Doce razones (1 de 3)
Antivirus y Android. Doce razones (2 de 3)
Antivirus y Android. Doce razones (3 de 3)
******************************************

Antivirus y Android. Doce razones (2 de 3)

******************************************
Antivirus y Android. Doce razones (1 de 3)
Antivirus y Android. Doce razones (2 de 3)
Antivirus y Android. Doce razones (3 de 3)
******************************************


3.- Aún cuando no instales nada, el riesgo de que te ejecuten código existe
El malware para Android existe... y no es cosa nueva. Por ejemplo, ya en 2008 se notificaba un serio problema de seguridad del que puede leerse en:
http://securityevaluators.com/content/case-studies/android/

Cito unas cuantas líneas:

-----------------
A user of an Android phone who uses the web browser to surf the internet may be exploited if they visit a malicious page. Upon visiting the malicious site, the attacker can run any code they wish with the privileges of the web browser application. We have a very reliable exploit for this issue for demonstration purposes. This exploit will not be released until a fix is available.

The Android security architecture is very well constructed and the impact of this attack is somewhat limited by it. A successful attacker will have access to any information the browser may use, such as cookies used for accessing sites, information put into web application form fields, saved passwords, etc. They may also change the way the browser works, tricking the user into entering sensitive information. However, they can not control other, unrelated aspects of the phone, such as dialing the phone directly.
-----------------
Que, traducido al español, quedaría algo como:
-----------------
Un usuario de un teléfono Android que utilice el navegador web para visitar páginas en Internet puede sufrir las consecuencias del ataque si visita una página maliciosa. Tras visitar el sitio malicioso, el atacante podrá ejecutar cualquier código que desee con los privilegios con que corra el navegador. Disponemos de un exploit muy fiable para este problema con propósitos de demostraciones. Este exploit no será publicado hasta que el problema esté solucionado.

La arquitectura de seguridad de Android está muy bien construida y el impacto del ataque queda limitado en parte por ello. Un atacante que consiga su objetivo tendrá acceso a cualquier información que el navegador pueda usar, tal como cookies para el acceso a sitios, información utilizada para rellenar campos de formularios, constraseñas guardadas, etc. También podría cambiar la forma en que el navegador trabaja, engañando al usuario para que introduzca información sensible. En todo caso, no controlaría otros elementos del teléfono tales como la marcación de número de teléfono directamente
-----------------

Un sistema con Android no tiene sólo el sistema operativo. También están las aplicaciones instaladas. Aunque todas ellas sean conocidas y obtenidas de fuentes fiables, basta con que una de ellas presente una vulnerabilidad.

Cierto que esto ocurrió ya hace años y que el sistema operativo ha mejorado. Pero los ciberdelincuentes también han ido desarrollando y aprendiendo nuevos "trucos".



4.- La elevación de privilegios existe
Muchas veces, cuando se habla de la severidad y las repercusiones de una vulnerabilidad se recomienda que los programas se ejecuten con los privilegios mínimos imprescindibles. Ciertamente, lo contrario sería una imprudencia. En el caso anterior, si el navegador hubiera corrido con privilegios de root, o tuviera acceso directo a la marcación de números, la cosa habría sido peor.

Pero no es suficiente. Hay que contar siempre con eso que se llama "elevación de privilegios". Hay ocasiones en que, aprovechando un fallo del software o incluso engañando al usuario, es posible conseguir el acceso con una cuenta distinta o unos privilegios superiores a aquellos con la que inicialmente se tenían. Desde luego, no siempre es fácil ni siempre se sabrá como hacerlo... por ahora, pero quizá mañana sí.

Y en el mundo de los teléfonos... ¿qué es el rooteo?


5.- Los usuarios arriesgados existen
Efectivamente, los hay. Y es de desear que sean conscientes de los riesgos que corren. Desde luego, ser root permite controlar mejor su dispositivo pero también puede incrementar el impacto de cualquier incidente de seguridad. Utilizar markets alternativos proporciona mayor libertad para instalar aplicaciones, pero supone depositar en ellos una confianza que, quizá, ni siquiera deberíamos tener en los más "oficiales"...

Cuanto más elementos se añaden al sistema, más complejo se vuelve. Más se escapa a nuestro control lo que hace.


6.- Los programas engañosos existen
Los markets, al menos los oficiales, tratan de detectarlos y de eliminarlos, pero existen programas que simulan ser una aplicación útil o un juego divertido y, mientras tanto, hacen cosas que no debieran. Y a veces tardan demasiado en ser descubiertos.


Para muestras pueden servir los artículos
http://www.pcmag.com/article2/0,2817,2411163,00.asp New Android Trojan Found in Google Play y
http://threatpost.com/en_us/blogs/new-trojan-app-spreading-app-store-and-google-play-070512 New Trojan Spreading On App Store and Google Play , ambos bastante recientes.

En definitiva, no hace falta que el usuario sea temerario. Sólo que lo engañen.


7.- Las aplicaciones maliciosas que se descargan sin que tú lo sepas existen
... y en 2012 ha habido ejemplos de ello. Como el que se relata en
http://www.pcworld.com.mx/Articulos/22916.htm
El troyano NotCompatible para Android: Lo que tienes que saber
Basta con visitar una página maliciosa para que el programa se descargue. Llegado el momento, el sistema indicará al usuario que dispone de una aplicación lista para instalar y le preguntará si desea hacerlo. Obviamente el nombre de la aplicación no será "el virus malvado" sino algo que suene más inocente, o incluso beneficioso, como "actualización de seguridad". Algo que invite a decir que sí.
Para que la instalación se realice, es necesario que el sistema acepte aplicaciones desde orígenes de software desconocidos. Pero eso es algo no poco frecuente...


******************************************
Antivirus y Android. Doce razones (1 de 3)
Antivirus y Android. Doce razones (2 de 3)
Antivirus y Android. Doce razones (3 de 3)
******************************************

Antivirus y Android. Doce razones (3 de 3)

******************************************
Antivirus y Android. Doce razones (1 de 3)
Antivirus y Android. Doce razones (2 de 3)
Antivirus y Android. Doce razones (3 de 3)
******************************************
 
8.- Las páginas maliciosas en sitios legítimos existen
Si alguien piensa que para protegerse de este tipo de cosas basta con no visitar páginas "raras", se equivoca.

Aún resuenan en los medios de comunicacióna algunos "defaces" memorables realizados por grupos de hacktivistas a sitios webs gubernamentales y de grandes organizaciones. Historias de sitios que tenían una vulnerabilidad que permitía modificar sus contenidos y hacktivistas que la encontraron. Situaciones que en muchas ocasiones se comentan entre chanzas

Pero... ¿qué ocurre cuando un ciberdelincuente, cuyo objetivo es el dinero, encuentra esta misma vulnerabilidad? En muchas ocasiones, la aprovechará para incluir en las páginas elementos ocultos que traten de infectar a los visitantes. No hace falta que el sitio web sea malicioso. Sólo que esté controlado por alguien que sí lo sea.



9.- El daño a la sociedad existe
En un mundo tan interconectado como éste en que nos movemos, ya van quedando pocas "islas" de seguridad. Es algo de lo que no se habla con la profundidad que el tema merece. Revisitando el ejemplo de los sitios web con vulnerabilidades: ¿son conscientes los usuarios de que esos fallos de seguridad no sólo afectan al sitio web, de que ellos también pueden ser víctimas al visitarlos? ¿lo son los administradores y propietarios del sitio? ¿se preocupan unos y otros? ¿hasta qué punto se preocupan o se deberían preocupar y ocupar los gobiernos? ¿qué penalización debería tener alguien que mantiene una web insegura?

Quizá leyendo el párrafo anterior alguien piense en imponer sanciones a quienes actúen de forma negligente en materia de seguridad. Pero el problema no sólo es de los sitios web. Quien tiene un ordenador infectado por un troyano en casa ya no es su dueño. Al menos, no completamente. Los ciberdelincuentes que crearon el malware pueden darle órdenes y hacerle enviar SPAM. Mensajes que quizá se utilicen para estafar a alguien. O atacar los sistemas de una organización para dejarlos fuera de servicio. O realizar parte de las tareas necesarias para descifrar una contraseña. ¿Qué habría que hacer con quienes no ciudan la seguridad de sus equipos? ¿dónde habría que marcar la línea que separa negligencia de indefensión?

Lo único que tengo claro es que, mientras yo pensaba y escribía esto, unos cuantos equipos habrán caído bajo el control de algún ciberdelincuente en algún lugar del mundo.


10.- El daño para las organizaciones existe
En estos tiempos del Bring Your Own Device y la generalizción de los dispositivos móviles y portables, las organizaciones no pueden resistir la tentación de aprovechar las nuevas posibilidades que la tecnología ofrece. Pero no siempre toman las medidas de seguridad oportunas.

Un terminal Android puede estar conectado, por ejemplo, a dos redes distintas en un entorno corporativo. Por un lado, a través de la red de telefonía móvil, a Internet y, por otro, a través de conexiones WiFi, a la red de un centro de trabajo. En caso de estar infectado con malware, el atacante podría utilizarlo para enrutar tráfico entre ambas redes, consiguiendo acceso a equipos y recursos internos de la organización.

Y cuando se trabaja con clientes o con otras organizaciones la cosa puede ser aún peor. Por un lado, si llega a saberse que se ha producido una infección, por la mala imagen que se pueda causar y la confianza que pueda perderse. Por otro, si no llega a descubrirse, por los efectos que puede llegar a tener...



11.- El riesgo para otros sistemas operativos existe
Android no crea un ecosistema cerrado. Todo lo contrario: se relaciona con equipos con otros sistemas operativos, como Windows o Linux. ¿Qué ocurre cuando una tablet o un teléfono pueden conectarse a un PC mediante un cable USB? ¿Cuando pueden utilizados como dispositivos de almacenamiento masivo, como unidades de disco, tal y como se podría hacer con un pendrive?

El equipo Android podría contener ficheros, quizá descargados sin ser conscientes de ello, que, sin ser nocivos para el propio Android, sí lo sean para el sistema operativo al que se conectan. Por ejemplo, virus creados para Windows.



12.- Además de tables y smartphones, otros equipos con Android existen
Ya se empiezan a ver a buen precio los Android-TV, pequeños dispositivos con Android diseñados para conectarlos a la tele y convertirlas en Smart-TVs. E incluso las propias televisiones con Android. El mercado está abierto y los precios son lo suficientemente atractivos como para esperar que el número de dispositivos con Android y sus posibles aplicaciones crezcan rápidamente en un futuro próximo. Siempre que no lo consigan antes otros sistemas operativos alternativos, claro.

Estos dispositivos contendrán o podrán acceder cada vez a más y más información sobre nosotros. Sobre nuestros gustos. Sobre nuestro consumo. Sobre nuestras relaciones sociales. Sobre nuestro trabajo. Todo ello en un entorno interconectado en el que el fallo de un elemento puede afectar al resto. En que un equipo controlado por un ciberdelincuente puede comprometer la información contenida en los demás.



Ya van doce razones para utilizar antivirus en Android. Suficientes. Por lo menos, para mí. Ahora habría que buscar uno bueno...


 
******************************************
Antivirus y Android. Doce razones (1 de 3)
Antivirus y Android. Doce razones (2 de 3)
Antivirus y Android. Doce razones (3 de 3)
******************************************

Dos XSS más (cerradas) en RoundCube

Hoy, 4-12-2012, los desarrolladores de RoundCube han cerrado y dado por resuelto un ticket que abrí ayer mismo y en el que les comunicaba dos nuevas vulnerabilidades de tipo XSS.

Los detalles figuran en el ticket
http://trac.roundcube.net/ticket/1488850

Y, sobre todo, en el fichero adjunto al mismo, que contiene una prueba de concepto:
http://trac.roundcube.net/attachment/ticket/1488850/RoundCube2XSS.pdf

Básicamente, para potenciales víctimas que utilicen Internet Explorer, es posible ejecutar scripts en el contexto de la sesión actual de webmail mediante el uso de enlaces a URLs de tipo "vbscript:".

En el caso de Mozilla Firefox, un resultado similar puede obtenerse mediante URLs de tipo "data:". Este tipo de URLs permiten embeber en un documento HTML contenidos que de otro modo tendrían que ser obtenidos de fuentes externas como, por ejemplo, imágenes.

Para más detalles sobre las URL "data:" se puede leer el siguiente RFC:
http://www.ietf.org/rfc/rfc2397.txt

Mediante el uso de las mismas, es posible crear de forma dinámica, y seguidamente abrir,  un documento HTML con código JavaScript al seguir un enlace creado y diseñado para este fin.

Es de esperar que las próximas versiones de RoundCube no presenten ya estos problemas. Pero siempre habrá instalaciones que se queden sin actualizar. Y es más que probable que otras aplicaciones de webmail tengan fallos similares. Así que si administras un correo web, quizá sea conveniente que realices comprobaciones al respecto...