Esta mañana al consultar mi correo de Gmail he comprobado que el filtro antispam se ha “comido” dos mensajes en principio en apariencia claramente identificables.

El motivo parece simple: desde hace un mes los spammers están atacando a los filtros antispam con el envío de correos con PDF adjuntos que consiguen atravesar la “barrera”.

Por lo visto, lo que acabo de relatar es la penúltima moda para intentar evitar los filtros antispam que ha provocado que en los últimos meses la avalancha de mensajes no deseados ya no llega con imágenes, sino que ahora llega de la mano del formato PDF.

Técnicamente, las soluciones de filtrado antispam combinan varias técnicas para poder determinar si un mensaje es spam o no. Entre ellas están el análisis de las cabeceras del mensaje, comprobaciones sobre el servidor que realiza el envío, listas negras, aplicar filtros bayesianos que estadísticamente evaluan si un correo es spam o no por el contenido del texto, etc.

Evidentemente, los spammers eluden progresivamente con mayor o menor dificultad estas barreras, cada vez con técnicas más ingeniosas que permiten conseguir que el mensaje no deseado llegue sí o sí al buzón de correo.

Una de las técnicas más explotadas que seguro habreis vivido es evitar la detección por análisis del texto a través de enviar el mensaje “dibujado” en una imagen adjunta.

Para evitarlos, los filtros antispam comenzaron a utilizar plugins OCR de reconocimiento óptico de caracteres, para interpretar el texto que era dibujado en los gráficos, lo que fue respondido con la introdución de “ruido” en las imágenes para dificultar el reconocimiento automático por este tipo de software. Este “ruido” en su mayoría consiste en la distorsión de las imágenes con caracteres multicolor, mal enfoque, etc,

El último paso es adjuntar archivos PDF, un formato universal que goza de buena reputación, en el que, en lugar de texto que también sería interpretable, se introducen las imágenes con el mensaje distorsionado incrustadas en el PDF.

Por el momento parece que “sólo” es spam, pero el siguiente paso lógico será convertirlas en virus o troyanos, lo que sí me parece más preocupante.

Tiempo al tiempo.

Aurora me envía la noticia del Gadgetoblog sobre la impresora HP Printing Mailbox, que permite la impresión de correos electrónicos sin necesidad de contar con un PC (un post propio de la sección “Divertido aunque inútil” del blog de mi amiga María Luisa)

La impresora (véase imagen adjunta) imprime correos electrónicos conectándose directamente a la red, ya sea a través del ADSL o la línea telefónica, tal y como si fuera “un fax adaptado al siglo XXI”, en palabras del artículo mencionado.

En el Gadgetoblog lanzan la pregunta de si al lector le parece una locura, y a mí personalmente sí me lo parece ya que, por mucha “fobia al ordenador” o ganas de “simplificarte la vida”, en la época en la que vivimos me parece que imprimir todos los correos recibidos en una cuenta tiene varios problemas:

1. ¿Qué ocurre con el correo spam? Creo que nadie es ajeno a la recepción en su cuenta de mails no deseados de ofertas de compra de fármacos on-line (Viagra, Cialis), operaciones quirúrgicas (aumento de senos, alargamiento de pene), y un largo etcétera.
2. ¿No está ya suficientemente castigado el Amazonas? Cualquiera me podrá decir que utilizando papel reciclado se rebaja el atentado medioambiental, pero será que soy desconfiado y no sé pero me da que en pocas casas comúnmente se compra papel reciclado…

Según informan en el Gadgetoblog, la impresora es parte de un servicio de correo llamado Presto que filtra el spam y la publicidad. Bueno, todos los filtros antispam que conozco tienen sus agujeros y la efectividad, aunque muy alta, nunca es del 100% (los mejores se acercan al 96%).

La comparación con el fax, dispositivo que data de 1863, no me convence ya que si bien es cierto que es complicado deshacerse de algunos hábitos y tecnologías, sigue sin considerarse en los mismos términos el envío de un burofax que el correo electrónico.

El envío de burofax tiene la utilidad de que se certifica tanto el envío a su destinatario (como una carta certificada con acuse de recibo), como el contenido de lo enviado, del cual el contratante del servicio guarda una copia sellada por el funcionario.

Ese carácter de registro permite garantizar el no repudio en origen y destino, lo que no resulta tan fácilmente alcanzable en su contraparte de correo electrónico, requiere el uso de la firma digital, y socialmente no guarda la misma confiabilidad (que es lo que hace que “sea un componente artificial de seguridad y fiabilidad que no tiene un adjunto de correo electrónico“).

No soy un especial ferviente seguidor de la “oficina sin papel” (siempre he pensado que en ocasiones en imprescindible trabajar con “documentos en papel” en lugar de “en pantalla“), pero el uso de este dispositivo no lo veo necesario ni conveniente en absoluto.

Se abre la veda de opiniones: ¿os lo compraríais? ¿os parece útil?

Leo en Barrapunto la información publicada en El País de que la NSA (National Security Agency) ha participado en el desarrollo de Windows Vista.

La noticia fue publicada este pasado martes en el Washington Post donde se apunta que es la primera vez que el gigante propietario del software más difundido del planeta ha reconocido la ayuda de una agencia de seguridad, lo que por supuesto no significa que no haya colaborado en el pasado.

La NSA ha comunicado que su participación en el desarrollo del nuevo sistema se ha limitado a los aspectos de seguridad, para protegerlo contra gusanos, troyanos, y todo tipo de ataques otros software maliciosos.

Esa colaboración se ha realizado a través de Tony Sager, el jefe de análisis de vulnerabilidades y del grupo de operaciones de la NSA, estableciendo dos equipos encargados de analizar el software, un equipo con el rol de tratar de corromper o robar información mientras que el otro mejorando la configuración y defensa de Windows Vista frente a los ataques.

En Microsoft indican que la ayuda prestada por la NSA lleva produciéndose desde hace cuatro años, y que algunas de esas mejoras se pueden apreciar en la versión para el usuario de Windows XP y en la de usuarios corporativos para Windows Server 2003.

La noticia ha levantado las lógicas suspicacias teniendo en cuenta que la NSA es «una agencia del gobierno de los Estados Unidos responsable de obtener y analizar información transmitida por cualquier medio de comunicación, y de garantizar la seguridad de las comunicaciones del gobierno contra otras agencias similares de otros países» (fuente: Wikipedia).

Dedicada a actividades de espionaje, escuchas e interceptación de las comunicaciones, tanto de representantes extranjeros como recientemente de ciudadanos estadounidenses como parte de la política de la Administración Bush para combatir el terrorismo, su participación en el sistema operativo más usado del planeta claramente da lugar a las lógicas dudas sobre dobles intenciones.

Sin embargo, parece que Microsoft no es el único que trata de buscar este tipo de ayudas y que Apple con su MacOS X y Novell con su distribución SUSE Linux también contactaron con la NSA para conocer la opinión de la agencia sobre estos productos.

¡Cuidado! Te están vigilando…

Hace unos días hablábamos sobre el aviso aparecido en Hispasec sobre nuevos troyanos que capturan el video del usuario para saltarse la protección de los “teclados virtuales”.

Pues hoy recibo, a través de mi amigo Jorge Sánchez, un nuevo aviso del laboratorio de Hispasec sobre nuevos troyanos con el mismo propósito (saltarse los “teclados virtuales”) pero que en lugar de grabar video, capturan pantallas alrededor de la pulsación del ratón (menos consumo de ancho de banda en el proceso de ‘espía’ y en el envío de los datos), y encima están “especializados” en entidades españolas y latinoamericanas.

Está claro que hay que tener mucho cuidado con qué tienes instalado en el PC, y tener actualizados tus programas antivirus, antiphising, antispyware y anti todo este tipo de programas y códigos maliciosos englobados bajo la denominación de “malware“.

Para más detalles sobre las entidades y el funcionamiento del troyano, consultar el informe de Hispasec ubicado aquí.

Asimismo recomiendo la visualizacion de los video-flash explicativos (1 y 2), que a mí al menos me da problemas de visualización en Internet Explorer, pero se puede visualizar en Firefox o Mozilla.

Mi amigo Paco me envío la semana pasada un interesante link de Baquia en el que se trata el problema, cada vez más insistente, de la aparición del spam en la blogosfera, que ha sido bautizado poco originalmente como splog (SPam+bLOG).

Un splog es un blog en el que los artículos son falsos e inútiles y guardan el único propósito de promocionar y publicitar a otros sitios mediante enlaces, ya que así se produce un incremento del PageRank (conocido método de medida de importancia de una página Google)

Ojo, que no debe confundirse con el envío de spam a blogs, fenómeno también cada vez más creciente, pero que se diferencia del anterior en que lo que se produce en este caso es una publicación de comentarios en un blog “no relacionado“ (sin vinculación ni propósito alguno con relación al publicador del comentario), aprovechando la posibilidad de que los comentarios permiten la inclusión de enlaces. Diversos software o módulos para evitarlo se han extendido, como por ejemplo Akismet.

La finalidad de los splogs es engañar a los buscadores, pero algunos sitios como Technorati han establecido controles que determinan que cuando en poco tiempo se reciben miles de comentarios apuntando a una web, el sistema lo identifica como spam.

En Baquia exponen las cifras de un artículo publicado por Wired, que son claramente demodeledoras: el 56% de los blogs en inglés son spam.

Como indican en el artículo de Baquia, el problema es que realizar splog sale tan barato como rentable: se trata de mezclar sistemas automatizados de recopilación de información con otros de publicación.

Los buscadores están empezando a detectarlos, pero al mismo tiempo, los spammers están empezando a crear blogs “menos detectables” mediante la inclusión de artículos que “parecen reales” y que en muchos casos son una mera copia de posts de otros blogs.

Está claro que si a día de hoy el spam en el correo electrónico sigue siendo un grave problema para todos, los splogs y el spam en blogs no va a ser un problema de unos días.

Publican en Hispasec esta noticia sobre la nueva amenaza que se ha detectado de «varios troyanos que realizan un vídeo de la pantalla del usuario mientras éste se autentica para entrar en su cuenta bancaria por Internet».

Esta funcionalidad representa un salto cualitativo en la peligrosidad de los troyanos bancarios, en especial contra los teclados virtuales implantados por muchas entidades como CajaMadrid, Santander, Unicaja, etc.

Los “teclados virtuales” son representaciones gráficas de teclados en pantalla, de forma que se evita la pulsación del teclado físico para la introducción de la contraseña o clave de acceso, sustituyendola por la pulsación con el ratón sobre los diferentes números o letras para introducir sus contraseñas.

Esta solución se estableció hace ya tiempo en muchas entidades como medida de protección frente a troyanos que actuaran como keyloggers, es decir, como programas capturadores de pulsaciones sobre el teclado.

El nuevo ataque, según se indica en el informe adjunto a la noticia disponible aquí, se ha detectado por el momento como forma de ataque sobre entidades brasileñas, que sufren gran presión y proliferación de ataques troyanos autóctonos.

En Europa, y en particular en España, el origen de los troyanos es generalmente de países del este con técnicas diferentes que o bien se inyectaban en el navegador y capturaban el usuario y contraseña antes de que fuera enviado por HTTPS al servidor de la entidad (independientemente de si se introduce con el teclado físico o virtual), o bien se activan al hacer click con el ratón, almacenando la posición del cursor o realizando pequeñas capturas de pantalla.

La novedad reside en que el nuevo troyano tiene la capacidad de generar un vídeo que recoge toda la actividad de la pantalla mientras que el usuario está autenticándose en la banca electrónica, técnica que seguramente se exportará y llegará dentro de poco a nuestro entorno.

Para más información, recomiendo la lectura del artículo de Hispasec y del informe adjunto con los detalles de la programación de un troyano de estas características.

Leo en Dirson que Google va a mostrar a partir de ahora un mensaje de aviso para aquellas páginas a las que se accede tras buscarlas con su buscador y sean sospechosas de distribuir ‘badware‘.

Badware es la denominación que han adoptado desde StopBadware.org para denominar a cualquier tipo de software malicioso, ya sea spyware, malware, adware, etc

Por su parte, StopBadware.org es una organización nacida en enero de este año que está dirigida por varias organizaciones sin ánimo de lucro y Departamentos de Universidades, y que cuenta con el patrocinio de Google y de Sun Microsystems.

Como muestra, la búsqueda que indican en Dirson, cuyo resultado reproducimos aquí.

Vodafone España ha presentado hace unas semanas la firma electrónica móvil, sistema de acreditación que permite verificar la identidad de las personas mediante el uso de certificados digitales, autenticando las comunicaciones generadas en movilidad por los usuarios de los teléfonos.

Según informan en Aecomo.org, en los últimos 2 años el uso de firma electrónica se ha triplicado, a lo que ahora se añade la disponibilidad en entornos móviles que puede acelerar el proceso de adopción.

La Administración Pública, la Banca, el sector Servicios y la Sanidad son algunos de los campos donde la firma electrónica móvil aportará más operatividad puesto que el nuevo servicio ofrece garantías de seguridad, idénticas a las de la tradicional firma electrónica, junto con el valor añadido de la movilidad.

De hecho, el servicio ha sido desarrollado por el Departamento de Innovación y Desarrollo de Vodafone España con la colaboración de la Entidad Pública Empresarial Red.es, adscrita al Ministerio de Industria, Turismo y Comercio (MITYC) a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información.

El uso de plataformas móviles digitales contribuye a la creación de una Administración Electrónica plenamente desarrollada, lo que constituye uno de los objetivos claves del Plan Avanza, puesto en marcha por MITYC el pasado 1 de enero y uno de los ejes estratégicos del Programa Ingenio 2010.

Hoy se publica en varios medios (El Mundo, Libertad Digital) que «Microsoft alerta de ocho 'fallos de seguridad fundamentales' en su sistema operativo Windows y en su paquete Office que podrían permitir a un intruso hacerse con el control de un ordenador»

Es la mayor actualización de este tipo desde febrero de 2005, incluyendo el boletín de seguridad solución a 21 errores. En total se trata de 12 parches (uno menos que en febrero de 2005), 8 de carácter crítico, 3 de ellos considerados "importantes" y uno de peligrosidad moderada.

Además, 19 de los fallos corregidos son ejecuciones de código remoto que pueden permitir a un atacante tomar el control del equipo.

El software afectado incluye al núcleo de Windows, Internet Explorer, Word, Powerpoint, Exchange Server, Windows Media Player y Microsoft JScript. Los fallos en estos productos, al permitir la ejecución de código remoto, podrían permitir a un tercero controlar un equipo de forma no autorizada.

Vía Slashdot, leo la noticia de que según un reciente estudio realizado por CipherTrust, casi las dos terceras partes del spam enviado en la red se envía desde servidores localizados en Taiwan, seguido de los Estados Unidos con un 24%, a gran distancia del tercero, China, con sólo un 3%.

Tanto Taiwan, como los Estados Unidos y China son países que proporcionan acceso de banda ancha muy barato y que cuentan con proveedores que son "bastante lentos" en cerrar cuentas abiertas con propósitos malintencionados.

Para obtener sus datos, CipherTrust ha desplegado una red de equipos "infectables" distribuidos por el mundo que han recogido información y la inteligencia de las operaciones de envío de spam que les "atacaban".

De esta forma, estas máquinas, al igual que las conocidas "honeypots", evitan la transmisión de spam o ataques de phishing a los usuarios finales, pero recogen y analizan los mensajes enviados por los spammers que intentan controlarlas, de forma que CipherTrust ha podido determinar la localización de los servidores emisores.

La localización de los spammers que provocan el envío, sin embargo, es todavía más compleja, ya que seguir el rastro en este caso es mucho más complejo.