La idea de esta estafa cibernética es muy simple: Mientras el usuario explora la red abriendo múltiples pestañas en su navegador, una página maliciosa cambia su contenido mientras el usuario no está mirando. Para entenderlo bien, nada mejor que ver el siguiente vídeo.

Cuando el usuario no está visualizando la pestaña que contiene la web maliciosa, esta última aprovecha para cambiar su aspecto. En este ejemplo, cuando el usuario regresa a dicha pestaña, la página maliciosa tiene una apariencia similar a Gmail, lo que podría hacernos pensar que la sesión ha terminado por falta de actividad e inducir a más de uno de nosotros a introducir nuestro nombre de usuario y contraseña.

Fijaros que, aunque el aspecto de la página ha cambiado, la URL sigue siendo la misma, por lo que el engaño solo tendría éxito con usuarios de nivel limitado o si nos despistamos.

Este tipo de técnicas se pueden aplicar a diferentes tipos de web y su objetivo es el robo de contraseñas, datos bancarios, etc. Según Raskin, la mejor manera de evitar estos ataques sería cambiar a la autenticación basada en el navegador, que evitaría estas confusiones con URL falsas.

Ya sé que este tipo de entradas se desvía un poco de la temática habitual de Noticias Ubuntu, pero puesto que todos utilizamos navegadores con pestañas, me ha parecido oportuno compartirla.

En cualquier caso, es de agradecer que existan desarrolladores como Aza Raskin, los cuales se devanan los sesos para llamar nuestra atención sobre este tipo de cuestiones, incluso mucho antes de que a cualquier cracker del mundo se le haya ocurrido empezar a explotarlas.

De momento, esta técnica solamente funciona en Firefox y  Google Chrome.

Vía | Genbeta

Más información | Aza Raskin

Vídeo | Vimeo

Un rootkit es una herramienta software maliciosa

Como todos sabemos, los sistemas GNU/Linux (como Ubuntu) no tienen prácticamente virus, ya que, aunque circula alguno por ahí, en principio no entraña ningún riesgo si no se ejecuta en nuestra máquina con permisos de superusuario. Pero de todas formas, si eres uno de esos usuarios preocupado por la posibilidad de estar infectado por un rootkit, en Ubuntu disponemos de dos sencillos programas muy fáciles de utilizar: Chkrootkit y Rootkit Hunter.

Existen rootkits de diferentes clases y para diferentes sistemas operativos (Windows, Solaris, GNU/Linux). Pueden funcionar a nivel de aplicación (reemplazando ejecutables, modificando aplicaciones, etc.) o a nivel de kernel (modificando código de forma intrínseca agregándose a través de drivers, módulos, etc.). Estos últimos son los más difíciles de detectar.

Chkrootkit

Es un programa que se maneja mediante consola. Permite localizar rootkits conocidos, realizando múltiples pruebas en las que busca entre los binarios modificados por dicho software, archivos PHP sospechosos, etc. Es una herramienta muy simple pero eficaz en cuanto a detección.

Para instalarlo podemos acudir a Sistema > Administración > Gestor de paquetes Sypnaptic o teclear en consola la orden:

sudo apt-get install chkrootkit

Para ejecutar Chkrootkit teclearemos en un terminal:

sudo chkrootkit

Si queremos ejecutarlo en modo experto:

sudo chkrootkit -x

Chkrootkit nos presentará un completo informe con el resultado del análisis y probablemente hará alguna sugerencia. Debemos confirmar que los resultados obtenidos son del tipo “not infected” o “nothing found”.

Rootkit Hunter

Funciona de forma similar a Chkrootkit. Permite escanear archivos de texto, archivos ocultos y nos da los resultados en base a una lista bastante larga de rootkits, backdoors y exploit locales conocidos.

Para instalarlo podemos acudir a Sistema > Administración > Gestor de paquetes Sypnaptic o teclear en consola la orden:

sudo apt-get install rkhunter

Para actualizar la base de datos de  Rootkit Hunter a la última versión introducimos la orden:

sudo rkhunter --update

Rootkit Hunter actualizará los ficheros necesarios. Después de actualizarlos podemos empezar con el escaneo tecleando la orden:

sudo rkhunter --checkall

Rootkit Hunter nos irá mostrando el resultado por pantalla (el test puede tardar unos minutos, dependiendo de tu CPU). Al finalizar el análisis nos mostrará un resumen por pantalla que puede consultarse con más detalle en /var/log/rkhunter.log.

Como último apunte os comentaré que ningún sistema operativo en ejecución es confiable al 100% para realizar una detección y lo realmente conveniente es ejecutar este tipo de programas mediante un CD-live o un pendrive, ya que cuando el sistema operativo está detenido el rootkit es más fácil de detectar.

Si eres usuario de Pidgin, esto puede que te haga plantear utilizar otro cliente de mensajería

Y a los usuarios que han intentado reportar este “fallo” desde 2007 y sugerir algún tipo de cifrado se les ha cerrado el reporte dándoles como respuesta el wiki, donde se les invita a saber que es su forma de almacenarlas, ya que ni lo consideran necesario, ni quieren depender de características específicas de cada entorno gráfico para ofrecer el cifrado.

Si introducimos el siguiente código en una terminal:

cat ~/.purple/accounts.xml | grep "<name>"; cat ~/.purple/accounts.xml | grep "<protocol>"; cat ~/.purple/accounts.xml | grep "<password>"

Veremos que se listarán en orden, todas las cuentas que tenemos guardadas, y a continuación la contraseña de cada una de ellas.

Y que tiene esto de importante, si los sistemas GNU/Linux ya impiden que se puedan leer archivos de de otras cuentas de usuario, ¿no?

Pues es tan sencillo, como que un simple software malicioso podría buscar si existe dicho archivo y hacer con esos datos lo que el autor del malware quisiera. A continuación adjunto una prueba de concepto de que es relativamente fácil extraer estos datos (podéis revisar el código, no contiene sorpresas ocultas ):

1. Descargar: Prueba de conceptop - Pidgin and PasswordPlain.sh 

2. Click derecho --> Propiedades --> Pestaña Permisos, y activamos las 3 de Ejecución

3. Doble click y Ejecutar

Y el problema es mayor al ser Pidgin un cliente multiplataforma, lo cual lo hace más vulnerable si cabe en los sistemas operativos de Microsoft (donde yo lo había usado en su formato portable y no volveré a hacerlo de momento), ya que en sistemas libres, normalmente tenemos la carpeta de usuario bloqueada a nuestro acceso únicamente, con lo que otro usuario de la misma máquina no podría leerlo desde su cuenta, y en versiones más recientes ya se permite a los usuarios cifrar sus datos, con lo que aún sería más difícil intentar robar este tipo de información. Algo que desde mi punto de vista, no excusa a los desarrolladores de Pidgin para mantener las claves en texto plano.

Me ha parecido leer en alguna respuesta a los reportes de los usuarios, que puede que para la versión 3.0.0 (o antes) esté disponible la posibilidad de almacenar contraseñas cifradas, algo que estaría bien que aceleraran, ya que, yo por lo menos lo considero más importante que disponer de audio/vídeo chat.

Para cifrar nuestras conversaciones utilizaremos el plug-in Off-the-Record Messaging (OTR). Este tutorial tiene un solo inconveniente: Para que sea efectivo, la otra persona o personas con las que queramos establecer una comunicación segura deberán tener también instalado Pidgin (el cual es multiplataforma y podéis descargarlo desde su web ofcial) y tener activado igualmente el plugin OTR, de lo contrario la comunicación cifrada no podrá llevarse acabo. Para activar este plugin tenemos que seguir los siguientes pasos:

Paso 1

En la ventana principal de Pidgin nos dirigimos a Herramientas > Complementos.

Paso 2

Una vez allí activamos el plugin Mensajería off the record.

Paso 3

Pulsamos en Configurar complemento. En la ventana que nos aparecerá seleccionamos la pestaña de configuración (Config.). Una vez aquí elegimos la cuenta en la que tengamos el contacto (o contactos) con los que queramos establecer una comunicación cifrada segura.

Como podéis observar, en nuestro caso estamos configurando una cuenta de MSN, pero podría ser una cuenta de Gmail, etc., puesto que Pidgin es un cliente de mensajería multiprotocolo que nos brinda la posibilidad de abrir varias cuentas a la vez.

Una vez seleccionada la cuenta pulsamos en Generar. En ese instante Pidgin se pondrá a calcular una huella para nuestra cuenta de correo (lo cual puede tardar unos segundos dependiendo de la CPU que tengamos, así que sed pacientes). Esta huella es nuestra clave digital, la cual será utilizada por Pidgin, mediante OTR, para cifrar los mensajes que enviemos. Este procedimiento de generación de huellas digitales podéis repetirlo para todas las cuentas que tengáis en Pidgin y deseéis mantener conversaciones seguras con algún contacto.

Por otro lado, en esta ventana aparecen varias opciones con la posibilidad de ser activadas. Os recomiendo “palomear” o activar Mostrar botón OTR en la barra de herramientas, ya que, cuando mantengáis una conversación segura con algún contacto, se os avisará con un icono (en la ventana de chat) de que la conversación es “Privada”. El resto de opciones podéis dejarlas como vengan por defecto.

Paso 4

Con todo esto ya estamos listos para iniciar conversaciones seguras con otros contactos de nuestra cuenta de MSN, siempre y cuando dispongan también de un cliente de mensajería con el plugin OTR activado. Si ese es el caso, tan solo tenemos que pulsar el icono de “No privado” para iniciar el cifrado en la conversación. Acto seguido, se nos pedirá que validemos al usuario por diferentes métodos, es decir, que confirmemos que sabemos que dicho usuario es quien dice ser. Veamos que métodos nos propone el sistema:

Pregunta y respuesta:

Consiste en autenticar a nuestro contacto usando una pregunta, cuya respuesta solo conoce nuestro contacto y nosotros (para ello podríamos haber utilizado otro medio de comunicación: Teléfono, una carta, quedando con él , etc.). Introduciremos la pregunta y la respuesta, y esperaremos a que nuestro contacto haga lo propio en su cliente Pidgin. Si las respuestas coinciden, la autenticación se completa y podemos establecer una comunicación segura. Si las respuestas no coinciden, Pidgin nos advierte de que podríamos estar hablando con un “impostor”.

Compartir el secreto:

Para autenticar mediante secreto compartido debemos establecer previamente un secreto o frase conocida por ambos, nuestro contacto y nosotros mismos. Como en el caso anterior, este secreto debe haber sido compartido previamente a través de otro canal seguro, aunque en la práctica bastará con llamar a nuestro amigo por teléfono, etc.

Para autenticar a nuestro amigo mediante este método deberemos introducir el secreto compartido y esperar a que nuestro contacto haga lo mismo. En el supuesto de que los secretos no coincidan, Pidgin nos avisará de que nuestro contacto podría ser un “impostor”.

Verificación manual de huella:

Quizá sea el método menos seguro de los tres, pero sin duda el más práctico. El método de “huella dactilar” consiste simplemente en verificar que la huella de nuestro contacto es correcta. La idea consiste en que durante la validación contactemos con nuestro amigo a través de otro canal autenticado, como el teléfono, correo electrónico firmado por GPG, etc. El grado de seguridad del otro canal dependerá de lo importante que sean las comunicaciones que se vayan a establecer posteriormente. Mediante este método, cada uno de los dos envía al otro su huella dactilar. Si todo va bien, y ambos verificáis la huella del otro, la comunicación segura podrá establecerse. Para ello debe confirmarse que para la supuesta huella de nuestro contacto “Tengo verificado que es en realidad el correcto” (para la dirección de nuestro amigo o amiga).

Las huellas de nuestros contactos se almacena en Herramientas > Complementos > Mensajería off the record > Configurar complemento, en la pestaña de Huellas, y pueden ser consultadas en cualquier momento. En la captura podéis ver que tenemos almacenada la huella de uno de nuestros contactos de MSN. Además nos permite olvidarla (borrar la huella), iniciar una conversación segura con él, etc.

Cuando tengáis todo esto configurado, notaréis que en la esquina inferior derecha de vuestras ventanas de conversación aparecerá un icono con unos muñecos de color gris al lado de la frase “No privado”.

Este icono se coloreará cuando establezcáis una conversación segura mediante cifrado con alguno de vuestros contactos (que también disponga del plugin OTR) y os avisará de que la conversación es “Privada”.

Las conversaciones privadas pueden establecerse automáticamente si tenemos el plugin OTR configurado de esta forma o de forma manual pulsando el icono de No privado y posteriormente en Iniciar conversación privada:

Este tutorial se puede aplicar a otras cuentas que tengáis: MSN, Gmail, etc. Pero recordad que para poder usar esta característica, vuestro contacto o amigo también debe disponer de un cliente de mensajería con el plugin OTR activado.

Asi que ya sabeis, recomendad Pidgin a vuestros amigos y conocidos.

Soporta tareas como permitir o bloquear aplicaciones preconfiguradas que tengamos instaladas en nuestro sistema (como aMule, cliente de BitTorrent Transmission, etc.), así como diversos servicios o puertos individuales.

Esta herramienta, diseñada para Ubuntu, también funciona en cualquier otro sistema donde Python, GTK, y Ufw estén disponibles. Si acabamos de instalar nuestro sistema operativo Ubuntu es recomendable instalar Gufw y , ya que no viene configurado por defecto. Para instalarlo tan solo debéis acudir a Aplicaciones > Añadir y quitar… Una vez allí buscaremos gufw entre las aplicaciones disponibles y marcaremos para instalar la Configuración de cortafuegos.

Gufw nos proporciona una manera fácil e intuitiva de manejar nuestro firewall, por lo que, sin duda, recomendamos su instalación a los recién iniciados en Ubuntu.