Desbordamiento de buffer.

 Qué es?

Un desbordamiento del buffer es una situación en la que un programa en ejecución intenta escribir datos fuera del buffer de memoria que no está destinado a almacenar estos datos. Cuando esto sucede, estamos hablando de un desbordamiento del buffer. Un buffer de memoria es un área en la memoria de la computadora destinada a almacenar datos temporalmente. Cuando la cantidad de datos escritos en el buffer excede la cantidad esperada de datos, el buffer de memoria se desborda.

Esto sucede, por ejemplo, cuando se espera un nombre de usuario con un máximo de 8 bytes y se da un nombre de usuario de 10 bytes y se escribe en el buffer. En este caso, el buffer se supera en 2 bytes y se producirá un desbordamiento cuando no se evite que ocurra.

Tipos

Hay varios ataques de desbordamiento de buffer diferentes que emplean diferentes estrategias y apuntan a diferentes piezas de código. Esto puede provocar un desbordamiento del buffer. ASCII y Unicode son estándares de codificación que permiten que las computadoras representen texto. Por ejemplo, la letra ‘a’ está representada por el número 97 en ASCII.

Mientras que los códigos ASCII solo cubren caracteres de idiomas occidentales, Unicode puede crear caracteres para casi todos los idiomas escritos en la tierra debido a que hay muchos más caracteres disponibles, muchos caracteres Unicode son más grandes que el carácter ASCII más grande.

Lenguajes de programación más vulnerables

Ciertos lenguajes de codificación son más susceptibles al desbordamiento del buffer que otros. Los lenguajes más modernos como Java, PERL y C # tienen características integradas que ayudan a reducir las posibilidades de desbordamiento del buffer, pero no pueden evitarlo por completo.

Ejecución de código arbitrario y escalada de privilegios

Cuando se utiliza una vulnerabilidad de desbordamiento de buffer para escribir datos maliciosos en la memoria y el atacante puede tomar el control del flujo de ejecución de un programa, estamos lidiando con una grave vulnerabilidad de seguridad. Los desbordamientos del buffer pueden convertirse en serios problemas de seguridad. La ejecución de código arbitrario es el proceso de inyectar código en el buffer y hacer que se ejecute. La escalada de privilegios se realiza mediante la explotación de una vulnerabilidad de desbordamiento de buffer para ejecutar código arbitrario en un programa que se ejecuta con privilegios del sistema.

También con desbordamientos de buffer, el código ejecutado ocurre en el contexto de la aplicación en ejecución.

Denegación de servicio

No todas las vulnerabilidades de desbordamiento del buffer se pueden explotar para obtener la ejecución de código arbitrario. Como los desbordamientos del buffer pueden ocurrir vulnerabilidades en cualquier software, los ataques DoS no se limitan solo a los servicios y las computadoras. Un ejemplo de esta situación es el reciente Cisco ASA IKEv1 e IKEv2 Buffer Overflow exploits.

Exploremos 2 protecciones comunes que ayudan a mitigar el riesgo de explotación

Los ataques de desbordamiento de buffer generalmente dependen de conocer la ubicación exacta del código ejecutable importante, la aleatorización de los espacios de direcciones lo hace casi imposible. Los desarrolladores de software también pueden tomar precauciones contra las vulnerabilidades de desbordamiento del buffer escribiendo en idiomas que tengan protecciones incorporadas o utilizando procedimientos especiales de seguridad en su código. A pesar de las precauciones, los desarrolladores continúan descubriendo nuevas vulnerabilidades de desbordamiento del buffer, a veces a raíz de una explotación exitosa.

Conclusión

Es importante concienciar a los ingenieros de los requerimientos no funcionales y las buenas prácticas de programación que ayudan a disminuir el riesgo de experimentar vulnerabilidades en los sistemas. Aunque este sistema de protección tendría que ser suficiente para evitar los ataques, es preferible realizar un enfoque de protección en distintas capas. Para ayudar a mitigar los riesgos, los sistemas operativos han incluido diferentes mecanismos de protección. Sin embargo, estos mecanismos no evitan que la vulnerabilidad exista.

Pero sí consiguen que sea más difícil el proceso de un atacante para aprovechar una vulnerabilidad. Debemos saber que estos sistemas de protección no son perfectos y que los atacantes han creado técnicas para eludir su funcionamiento.

Los Troyanos.

 Qué es?

Pueden venir ocultos bajo muchas formas, desde un archivo de audio , un archivo ZIP o RAR, una extensión para el navegador, un instalador de un software legítimo, un archivo de actualización o una app para el teléfono, entre otras tantas.

Qué pueden llegar a hacer?

Los troyanos pueden ser utilizados por un atacante para varios fines maliciosos, como abrir puertas traseras (backdoors), tomar control del dispositivo de la víctima, sustraer datos del equipo infectado y enviarlos al atacante, descargar y ejecutar en la computadora o dispositivo de la víctima software malicioso adicional, entre otras acciones. Al basar su éxito en la simulación y en la necesidad de que el usuario ejecute el archivo, los troyanos se caracterizan por una alta utilización de técnicas de ingeniería social.

Por qué un troyano no es un virus?

Si bien muchas personas suelen referirse a los troyanos como un virus, a diferencia de los virus informáticos los troyanos no tienen la capacidad de infectar a otros archivos por sí solos o de moverse dentro de la red o el equipo comprometido

Generalmente, los troyanos no infectan otros archivos del sistema y requieren de la intervención del usuario para poder propagarse.
A modo de adelanto, vale la pena mencionar que existe una gran variedad de troyanos y que cada uno puede ser muy diferente entre sí en cuanto a sus capacidades y las acciones que realizan en el dispositivo de la víctima, como los downloaders, bankers , backdoors, droppers, keyloggers, o los bots.

Principales características de los troyanos.

Los troyanos suelen ser códigos maliciosos con cierta sofisticación, aunque eso por supuesto que también depende del objetivo y la habilidad de quienes lo han desarrollado. Un troyano básico, por ejemplo, puede que inicialmente tenga funcionalidades de keylogger, pero una vez instalado en el equipo el troyano puede descargar otros componentes que le permitan realizar otras acciones, como robar información específica . Si bien esto generalmente depende del interés que tenga un atacante sobre el equipo infectado, la mayoría de las veces se trata de un proceso automatizado, ya que, por ejemplo, un troyano que se distribuye a través de una campaña de phishing puede llegar a infectar a cientos o miles de dispositivos, dependiendo la calidad de su distribución.

Tipos de troyanos más comunes.

Troyanos Backdoor: Las famosas “puertas traseras” que ofrecen al atacante un control mas refinado del equipo infectado. Algunos de estos troyanos pueden mostrar al atacante la pantalla de la víctima en tiempo real, grabar audio, utilizar el mouse y el teclado, crear, borrar y editar archivos, así como descargar y sustraer información.

Troyanos Bancarios: Este tipo de troyano esta diseñado con el objetivo de robar la información bancaria del usuario, ya sea las contraseñas o credenciales para acceder al sistema de banca en línea o de la aplicación bancaria, así como información sobre cuentas y tarjetas de crédito.

Troyanos Ransomware: Uno de los tipos mas peligrosos de malware que existen en la actualidad es el troyano ransomware, que posee la capacidad de cifrar documentos o bloquear un equipo infectado. Los atacantes podrían pedir algún tipo de pago a cambio de descifrar la información, o restablecer el uso de los sistemas comprometidos.

Troyanos Downloader: Una vez que se ha conseguido acceso a un equipo este tipo de troyano buscará descargar otras amenazas, ya sean otro tipo de troyanos o Adware.

Troyanos Dropper: Este tipo de troyano usualmente esta ofuscado y protegido de alguna manera para dificultar su análisis y su detección. Su función es instalar algún tipo de amenaza que está oculta en su interior.

Troyanos Spyware: Muy parecidos a los Backdoor, los troyanos espías buscan grabar todo tipo de información que hay en el equipo, así como tomar capturas de pantalla, videos, audio, y enviarlo a un atacante. Este proceso suele ser automatizado.

 

 

El Phising.

Phishing es el delito de engañar a las personas para que compartan información confidencial como contraseñas y números de tarjetas de crédito. Las víctimas reciben un mensaje de correo electrónico o un mensaje de texto que imita a una persona u organización de confianza, como un compañero de trabajo, un banco o una oficina gubernamental. Cuando la víctima abre el correo electrónico o el mensaje de texto, encuentra un mensaje pensado para asustarle, con la intención de debilitar su buen juicio al infundirle miedo. El mensaje exige que la víctima vaya a un sitio web y actúe de inmediato o tendrá que afrontar alguna consecuencia.

 

Según Adam Kujawa, Director de Malwarebytes Labs, «el phishing es la forma más sencilla de ciberataque y, al mismo tiempo, la más peligrosa y efectiva. » Los autores del phishing no tratan de explotar una vulnerabilidad técnica en el sistema operativo de su dispositivo, sino que utilizan «ingeniería social». Desde Windows e iPhones a Macs y Androids, ningún sistema operativo está completamente a salvo del phishing, con independencia de lo sólida que sea su seguridad. De hecho, los atacantes a menudo recurren al phishing porque no pueden encontrar ninguna vulnerabilidad técnica. 

 

 

Yendonos a un caso en concreto:

Nuevo caso de phishing: varios clientes de Amazon reciben correos falsos que se hacen pasar por la plataforma

 

 Varios usuarios de Amazon han recibido correos electrónicos que se hacían pasar por la plataforma, pero que eran falsos. Se aconseja directamente ni abrirlos,mejor borrarlos cuanto antes.

En el supuesto mail que recibían estas personas dice:"Hemos bloqueado su cuenta de Amazon y todos sus pedidos pendientes”.La razón que dan en el correo es que supuestamente se ha dado “información de facturación” que “no coincide con la información almacenada con el emisor de la tarjeta” y que el usuario debe actualizarlos.

 Para cambiar los datos, en el correo piden no crear nuevas cuentas y ofrecen una página web falsa que supuestamente es de Amazon para que el usuario añada sus datos. En realidad, al poner la información es ese espacio similar a la plataforma de comercio electrónico , el usuario proporciona los datos de su tarjeta de crédito a los ladrones. 

 

 Tipos de Phishing 

Phising de clonación: en este ataque, los delincuentes hacen una copia, o clonan, correos electrónicos legítimos enviados anteriormente que contienen un enlace o un archivo adjunto. Los usuarios desprevenidos hacen clic en el enlace o abren el adjunto, lo que a menudo permite tomar el control de sus sistemas.

 

419/Estafass nigerianas: un extenso correo electrónico de phishing de alguien que afirmaba ser un príncipe nigeriano es una de las estafas más antiguas de Internet. El Dr. Tunde afirmaba que su primo, el comandante de las Fuerzas Aéreas Abacha Tunde, se había quedado atrapado en una antigua estación espacial soviética durante más de 25 años. Por cierto, el número «419» está asociado con esta estafa. 

 

Phising telefónico: normalmente le piden que pague con una transferencia bancaria o con tarjetas prepago, porque son imposibles de rastrear.

 

 

 Cómo reconocer un ataque de Phising

 

Reconocer un intento de phising no siempre es sencillo, pero algunos consejos, un poco de disciplina y algo de sentido común pueden ayudar mucho. Busque algo que sea raro o inusual. Pregúntese si el mensaje le despierta alguna sospecha. Confíe en su intuición, pero no se deje llevar por el miedo. Los ataques de phishing a menudo utilizan el miedo para nublar su razonamiento.

Aquí tiene algunas señales más de un intento de phishing:

El correo electrónico hace una oferta que parece demasiado buena para ser verdad. Podría decir que ha ganado la lotería, un premio caro, o alguna otra cosa de valor muy elevado.  

• Reconoce al remitente, pero es alguien con quién no trata. Incluso si conoce el nombre del remitente, sospeche si es alguien con quien normalmente no se comunica, especialmente si el contenido del correo electrónico no tiene nada que ver con sus responsabilidades laborales habituales. Lo mismo ocurre si aparece en copia en un correo electrónico a personas a las que ni siquiera conoce, o quizá un grupo de colegas de departamentos con los que no tiene relación.
• El mensaje suena aterrador. Tenga cuidado si el correo electrónico tiene un lenguaje alarmista para crear un sentido de urgencia, instándole a que haga clic y “actúe ahora” antes de se elimine su cuenta. Recuerde, las organizaciones responsables no solicitan detalles personales a través de Internet.
• El mensaje contiene archivos adjuntos inesperados o extraños. Estos adjuntos pueden contener malware, ransomware o alguna otra amenaza online.
• El mensaje contiene enlaces que parecen un poco extraños. Incluso si no siente un hormigueo por ninguno de los puntos anteriores, no asuma que los hiperenlaces incluidos llevan a donde parece. En su lugar, pase el cursor por encima del enlace para ver la URL real. Esté especialmente atento a sutiles errores ortográficos en un sitio web que le sea familiar, porque indica una falsificación. Siempre es mejor escribir directamente la URL en lugar de hacer clic en el enlace incorporado.

Aquí tiene un ejemplo de un intento de phishing que suplanta la identidad de un aviso de PayPal, solicitando al destinatario que haga clic en el botón “Confirmar ahora”. Al pasar el cursor del ratón por encima del botón se revela la URL de destino real en el rectángulo rojo.

Aquí tiene otra imagen de un ataque de phishing, esta vez afirmando ser de Amazon. Observe la amenaza de cerrar la cuenta si no hay respuesta en 48 horas.

Hacer clic en el enlace le lleva a este formulario, que le invita a revelar lo que el phisher necesita para saquear sus bienes:

 

 

¿Cómo protegerse del Phising?

 

Si sospecha que un correo electrónico no es legítimo, seleccione un nombre o parte del texto del mensaje y llévelo a un motor de búsqueda para ver si existe algún ataque de phishing conocido que utiliza los mismos métodos. La mayoría de las herramientas de seguridad informática tienen la capacidad de detectar cuando un enlace o un archivo adjunto no es lo que parece, por lo que incluso si llega a caer en un intento inteligente de phishing, no terminará compartiendo su información con las personas erróneas. Todos los productos de seguridad de Malwarebytes Premium proporcionan protección sólida contra el phishing. Consulte todos nuestros informes sobre phishing en Malwarebytes Labs.