El laberinto de Falken

A estas alturas ya hemos asumido que la seguridad total en Internet es, cuanto menos, un mito. Ningún software está libre de vulnerabilidades, y por mucha auditoría, test de intrusión o pruebas de fuzzing que nos empeñemos en hacer, ninguna metodología puede demostrar sin lugar a dudas que un software es 100% seguro. Ante este panorama, hay dos tendencias mayoritarias a la hora de hacer públicas las vulnerabilidades. Por un lado, están los que piensan que cuando se descubre un fallo ha de hacerse público de forma inmediata. En este escenario, la publicación de una vulnerabilidad es el pistoletazo de salida para una carrera entre el desarrollador para sacar el parche y los "malos" para lograr explotarla. Esta política es conocida como full disclosure . Por otro lado, tenemos a los siguen una política responsible disclosure , que abogan por mantener la vulnerabilidad en secreto hasta la salida del parche por parte del desarrollador. Sin entrar en cuestiones filosóficas que no

ClamAv es un antivirus opensource y multiplataforma creado por Tomasz Kojm muy utilizado en los servidores de correo Linux. Este antivirus es desarrollado por la comunidad, y su utilidad práctica depende de que su base de datos de firmas sea lo suficientemente grande y actualizado. Para ello es necesario que voluntarios contribuyan activamente aportando firmas. El presente artículo pretende describir de manera sencilla cómo crear firmas de virus para ClamAV y contribuir con ellas a la comunidad.

No hace mucho os contaba en este blog la historia de un "Hacker" que, por encargo, entraba en el servidor de una empresa y robaba los datos de los clientes. Al final de la historia, el ciberdelincuente acaba entre rejas, y ésta es la historia de cómo fue cazado.

Si examinas los procesos que están corriendo en tu Windows con el administrador de tareas verás que hay varios procesos llamados svchost.exe. La función de estos es alojar a otros procesos que realizan diferentes funciones, es decir, actúan como contenedores de otros servicios. Además de esto, también es uno de los lugares favoritos que tiene el malware para alojarse sin tu permiso. Hay dos formas en las que un malware puede usar estos procesos para esconderse. La primera forma es agregándose a un svchost.exe que ya esté ejecutándose. La otra manera es creando un proceso svchost.exe falso que en realidad está ejecutando el malware. Vamos ver cómo podemos identificar estos svchost.exe falsos (y dejamos para otro día el primer caso en el que los programas maliciosos que se alojan en svchost.exe auténticos).