En diciembre pasado un grupo de investigadores de Trend Micro infiltró un mercado de subastas de malware en el que se ofrecía para la venta un exploit para una vulnerabilidad recientemente descubierta (0day vuln) en Windows Vista. Su precio estaba por los US$50.000. Aunque esta vulnerabilidad no fue considerada de alto riesgo, debido a que permite al atacante escalar privilegios e instalar rootkits, sí debe ser objeto de mucha atención por parte de los administradores de red.
Además de esta vulnerabilidad, que llamó la atención, se ofrecían en subasta exploits que, dependiendo de sus capacidades, oscilaban entre los 20 y los 30 mil dólares, junto con códigos para reclutar botnets entre 5 mil y 20 mil dólares. Una situación similar se presentó durante el mes de diciembre de 2005, cuando investigadores de Kasperky Lab en Moscú encontraron que en el mercado underground era posible comprar exploits para la vulnerabilidad de Windows conocida como WMF, a tan solo US$4.000.
Los investigadores de Trend Micro también encontraron que el mercado está saturado con ofertas de información personal de víctimas de ataques de phishing y dinero virtual de apostadores que juegan a través de sitios en línea. Encontraron que el precio promedio de un PIN de tarjeta de crédito es US$500 y las cuentas de PayPal e eBay las venden a US$7.
Richard Genes, Chief Technology Officer (CTO) de Trend Micro comentó acá que la industria del software maligno puede estar ganando más dinero que las empresas que lo combaten.
Esto es lo que ocurre en otras latitudes… mientras tanto, en Colombia, solamente un mal llamado hacker ocupa lugares en la prensa nacional: su gran logro, realizar ataques realmente simples de ingeniería social para conseguir las claves de acceso a cuentas de Hotmail, Yahoo! y Gmail y se vanagloria de estar listo para ofrecer acceso a las cámaras web de potenciales víctimas, esperando cobrar $200.000 por permitir a sus clientes ver a sus exnovias o exnovios en la intimidad de sus hogares/oficinas.
Cuánto nos falta! No quiero decir que nos hagan falta delincuentes, obviamente, sino expertos con verdadera preparación que sean capaces de, por ejemplo, encontrar 0day vulns realmente críticas y de desarrollar los parches respectivos. Entre otras cosas, cuánta culpa le cabe a nuestras universidades, cuando muchas de ellas lo único que hacen es entrenar técnicos en mantenimiento de equipos? No hablo por todas, ni más faltaba, pero sí resalto la floja educación que muchos de ellos están recibiendo… 🙁
Carlos S. Álvarez
blogladooscuro @ gmail.com
@isitreallysafe
Je, los exploits los venden no solo para Vista, a todos les dan igual…los que creen que solo atacan a Windows miren en http://www.zone-h.org
——–
Califica:
Hay gente de muy buen nivel en Colombia. ¿Quien dijo que era tarea de las universidades formar expertos en seguridad? La mayoría se han formado a sí mismos. Conozco varios amigos de la «Nacho» a quienes echaron por perder Teoria Económica o Algebra Lineal, pero que son unos duros en seguridad. Cuál es el afán de figurar?
Califica:
Y qué sentido tendría pagar USD $50.000 por un exploit si para cuando salga la versión final de Vista al mercado la vulnerabilidad ya estará parchada?
Califica:
y quien dice que no hay nivel… el hecho que no sea público y se diga a los cuatro vientos no quiere decir que no existan. Ahora, si de nivel hablamos, conozco gente que incluso es kernel-dev en linux.
Califica:
1. VIVA LINUX!!!
2. Microsoft puede demorar años desarrollando parches, nosotros minutos dañándolos
Califica:
Tiene usted mucha razon, me dio un poco de rosa ver como colocaron en primera plana a un tipo que usa un pinche exploit para usuarios incautos.
Aqui falta mucho nivel, falta ver no mas los foros de computacion de España, en donde un muchacho conoce muchas cosas… aca andamos lamentablemente muy atrasados, y para colmo de males no se ve buenas cosas en el futuro, dado que la iniciativa de Negroponte no se le ha puesto la debida atencion. Que lastima!
Califica:
Que tristeza los expertos en informática por pereza acabaron con el Castellano, no se tropiezan nunca con la palabra adecuada, en este corto artículo encontré rápidamente once hermosos anglicismos: Exploit, rootkits, botnets, underground, phishing, paypol, ebay, software, hacker, oday, vulns. Con un pequeño esfuerzo estoy seguro que encontrarían el vocablo o una combinación equivalente, naturalmente no lo hacen porque estas palabras inglesas han hecho carrera y lo fácil es chantarla sin anexar el glosario. Lo mismo sucede con Windows y Linux, por el primero se paga, es universal (50% pirata) a todos nos enseñan con manuales y tutores (no tutorial) permanentes que facilitan la vida en idioma nativo, por el segundo no se paga hay que contratar por dinero al experto para asesorar, enseñar y no hay interesados por el vil dinero en hacernos amable la vida.
Califica:
windows rules…
Califica:
Mientras Linux y los otros s.o libres no cuentan con la lista de compatibilidad de Windows, jamas van a lograr derrotarlo. Linux es excelente, lo tengo en un equipo aparte pero debo dejar mi equipo principal porque un 80% de mi software no es compatible con Linux y si usara solo Linux me tocaria entonces buscar software similiar a los que ya tengo para poderlos instalar en Linux y me pregunto yo por que tendria que cambiar mi software que me trabaja bien, que estoy a gusto con ellos y que me gustan bastante para poder usar Linux??
Firefox si es una competencia de peso para IE tiene lo mismo y hasta lo aventaja y nada es incompatible. Linux esta lejos todavia de ser esa competencia para Windows. Casi ningun soft de windows es compatible con Linux, olvidense de los juegos (ya tengo consolas asi que no me digan que compre una) y tantas aplicaciones buenas para windows que hay que no las podria disfrutar si solo tuviera Linux.
Califica:
Para dox22. Alguna vez se ha tomado la molestia de comprobar la gran cantidad de apicaciones que existen para Mac (OSX)? O se ha sentado a ver el Server de Mac OSX Server? Bastante robusto y poco usado (O muy usado, tal vez) y esa es una gran ventaja… Y en últimas, todo en el OSX es Unix, con las bondades y la robustez de un Unix bien diseñado. Y en cuanto a los costos de un servidor con Linux, usted dice que es de igual valor a uno con Windows; no se dónde los cotizó, pero le aseguro que lo están tumbando… los costos SI son inferiores en un servidor con Linux, en cualquiera de sus versiones.
Califica:
Como algunos me uno al voto q no existe un s.o lo bastante bueno en todos los ambitos. Ya q la inseguridad del windows genera tanto stress como me ha pasado con los malditos malware y spyware q existen… De linux no me quejo … el proble es q estamos reacostumbrados a lo bonito.. y se nos olvida lo robusto
Califica:
Señores buenos dias, para DOX22 creo que usted nunca paso por UNIX y por eso dice que Windows es el mejor S.O
Uhmmm lo siento por su limitacion en S.O
Califica:
no es por nada pero el letargo en cuanto al desarrollo de la ingenieria en COlombia se debe a las academias de sistemas de mala muerte que abundan en cada esquina ofreciendo como carreras asi sea tecnicas de ing de sistemas…. que clase de profesores tienen??, algunas ni siquiera tienen registro icfes para funcionar… y entiendo que no todo el mundo tiene el dinero para ir a una buena universidad de calidad reconocida, pero eso es problema del estado que no sirve para nada por que le importa nada la educacion y menos le importa aportar para temas como la investigacion y mucho menos ponerse a la vanguardia de los paises potencia, asi sea con el acceso masivo de internet. Aca la banda ancha es solo pa los ricos. Desigualdas nauseabunda. Amo mi patria y por eso no me voy, es mi tierra es mi suelo…. pero los gobernantes apestan
Califica:
Si Windows está instalado en la mayoría de los computadores del mundo es porque con la estrategia de Microsoft han logrado que se convierta casi en un estándar y quien no lo tiene luego sufre problemas de incompatibilidad. Afortunadamente el software libre está tomando terreno e incluso algunos congresistas preparan una ley para que las empresas estatales migren a Linux (esto salió en la semana Linux de la UN). Además, otro problema es que en los colegios y universidades nos meten en el camino de Windows y nos acortan la visión; deberían enseñar también Linux; las ventajas que brinda son muy buenas.
Califica:
bueno, lo único que puedo decir es que no existe S.O completo ni 100% funcional, Windows no es lo mejor pero es un software que día a día es atacado, funciona con todo y los millones de ataques que recibe (virus, troyanos, un largo etc),. por su facilidad lleva de lejos a linux lo cual es un carma hacer cualquier cosa simple (instalar un simple plug de flash es más díficil si lo comparas con NEXT de Windows), MAC es bonito punto, pero poco productivo a menos que te dediques a diseño gráfico o similares, entoncs las empresas deben buscar más y mejor protección y denunciar a aquellos que tratan de saltar la seguridad, es un mundo nuevo donde también ahi delincuentes…
Califica:
Aun con todo eso, Windows sigue siendo el mejor S.O. que existe. Soy ingeniero,y para MAC no encuentro software robusto que haga lo que necesito, y Linux…. un S.O. para perder el tiempo, lo mejor de Linux es la interfaz KDE, de resto es muy problematico, y eso de que aprovecha al maximo el equipo es cuestionable, lo mismo que su costo, un servidor con software Linux vale casi lo mismo que uno con Windows. Todos se quejan de Windows, pero todos lo usan (la mayoria pirata), deberian cuestionarse si ud.s pueden hacer un S.O. mejor que ese.
Califica:
Ahi esta pintado Microsoft… insitiendo en construir la casa sobre la arena. Ahora que? instalar el Vista, esperar suficientes ataques para que se liberen en su orden actualizaciones, hotfixes y Services Packs? Con XP tardaron casi 4 años en cerrar las «principales» (no todas) vulnerabilidades, llegando al SP 2. Windows 2000 llego al SP 4. NT al 6a… que nos espera por Dios??? que falta para que los desarrolladores de Linux se unan y dejen de andar cada uno por su lado???
Califica:
Creo que es mejor usar sistemas basados en UNIX- GNU/Linux, solo los bastardos mentales usan windows a muerte.
Califica:
Hola, depronto sí hay gente que sepa mucho del tema, lo que pasa es que SOMOS (lastimosamente me incluyo) conformistas con lo que nos enseñan en las universidades y allí nos quedamos. Además los que saben no comparten su conocimiento a no ser que haya un buen motivo $$$$ de por medio. Saludos.
Califica: