Editorial, Numero5

Hola a tod@ nuestros lectores, les damos la bienvenida a una nueva entrega de "El Apunte del Byte", boletín de divulgación de la Academia de Tecnologías de la Información y Telemática de la Universidad Politécnica de San Luis Potosí.

En esta ocasión les mandamos una gran felicitación a los alumnos que gracias a su esfuerzo y dedicación lograron obtener las certificaciones de Solaris y de Java, y también al Maestro Victor Fernández, encargado de su preparación final y de acompañarlos a la Cd. de México a presentar sus exámenes de certificación. Esperamos contar más certificados en estas tecnologías próximamente.

En este número contamos con las siguientes colaboraciones:

• Predicciones para 2011 en el área de tecnologías de la información para Latinoamérica según la IDC Por: Dr. Francisco Ordaz
• Importancia del Verano de la Ciencia Por: Dr. Jorge Simón Rodríguez
• Ingeniería Social – ¿Acaso me conoces?Por: MC Rafael Llamas Contreras
  Con la colaboración especial de Adrián Marcelo López Ávila y Cesar Vicente Luna Gallegos
• ¿Son seguros los PDF's? Por: MC Hugo Gonzalez

Predicciones para 2011 en el área de tecnologías de la información para Latinoamérica según la IDC

Por: Dr. Francisco Ordaz

A inicios de año la IDC publicó un estudio editado por Ricardo Villate en el que menciona las tendencias en el área de las tecnologías de la información. De acuerdo a éste estudio destacan temas como el uso de las redes sociales, la movilidad, las redes 4G, el cómputo en la nube y la participación en los mercados de empresas que no están ubicadas geográficamente en las ciudades principales gracias al uso de las telecomunicaciones.

De acuerdo a éste estudio se menciona que Latinoamérica superó la crisis de 2008 y que además se espera un año con un ligero crecimiento económico. Por otro lado se menciona un crecimiento en el mercado de las TI debido que se suman al mercado muchos consumidores jóvenes, al crecimiento de las empresas y al enfoque tecnológico de los gobiernos.

Por otro lado, se espera un cambio fuerte en la infraestructura tecnológica sobre todo de los datacenter, y en los proveedores de servicios en ciudades pequeñas pegado con la demanda de software y hardware que esto conlleva.

Se espera que los países más cercanos a Estados Unidos tengan un crecimiento más lento que los países de Sudamérica que tienen más relación con los mercados asiáticos, en general se espera un crecimiento en el área de TI de alrededor del 6.3%.

De acuerdo a otros estudios el área que tendrá mayor crecimiento son las redes de Voz sobre IP, así como la Telemática.

Importancia del Verano de la Ciencia

Por: Dr. Jorge Simón Rodríguez

Como cada año la Universidad Politécnica de San Luis Potosí, participa en el 13 Verano de la Ciencia de la Región Centro, esto a través de proyectos de investigación propuestos por profesores- investigadores de nuestra casa de estudios. El Verano de la Ciencia es un evento que convoca a estudiantes de nivel superior a llevar a cabo una estancia de investigación de cinco semanas colaborando en un proyecto bajo la supervisión de un investigador en cualquiera de las instituciones participantes, entre ellas la UPSLP. Lo anterior con el fin de propiciar la interacción entre investigadores y estudiantes con vocación científica, motivar al estudiante para que se incorpore al quehacer académico de investigación científica e impulsar a jóvenes con talento para su incorporación a programas de posgrado de la región.

Como podrán darse cuenta es un evento que seguramente les dejará muchas buenas experiencias, en el que aprenderán y participarán en un interesante proyecto de investigación científica y/ o tecnológica. Además de ser una experiencia con validez curricular, les da la oportunidad de aprovechar sus vacaciones en algo de provecho para ustedes y su Universidad así como acceder a una beca durante esa estancia de investigación.

En el caso de nuestra Universidad contamos con la participación de profesores de todas las
academias con los siguientes proyectos de investigación:

Creación de Ventajas Competitivas en PYMES Mexicanas en base a una Planeación Estratégica de Mercado: Desarrollo y Aplicación de la Metodología de Validación del Instrumento de Diagnóstico.
Francisco Rafael Rostro Contreras

Economía para no economistas
María del Pilar Pastor Pérez

El e-gobierno en San Luis Potosí
Cleopatra Soni Camargo

Laboratorio de análisis de Malware
Hugo Francisco González Robledo

Automatización de análisis de PDF maliciosos
Hugo Francisco González Robledo

Simulación de diodos Metal-Óxido-Metal acoplados a antenas y líneas de transmisión
Jorge Simón Rodríguez

Simulación de antenas para dispositivos de comunicación móvil
Jorge Simón Rodríguez

Caracterización de antenas para dispositivos móviles mediante termografía de infrarrojos
Jorge Simón Rodríguez

La producción de video como apoyo para la educación en la Universidad Politécnica de San Luis Potosí
Guadalupe del Socorro Palmer de los Santos

El uso y aprovechamiento de la plataforma blackboard por parte de los estudiantes y profesores de la Universidad Politécnica de San Luis Potosí
Guadalupe del Socorro Palmer de los Santos

Identificación de factores que inciden en la falta de crecimiento de las MIPYMES
Luisa Renée Dueñas Salmán

Identificación de factores que inciden en la falta de crecimiento de las MIPYMES
Bernardo León García

Diseño y manufactura de un prototipo de semáforo para 2 vías controlado por PLC
Sergio Enrique Hernández Corpus

Promoción de la lectura en la Universidad Politécnica de San Luis Potosí: uso e impacto de la colección de literatura en la comunidad de la Universidad.
Alí Omar Mirabal Santillán

Diseño y construcción de un dispositivo periférico para teléfonos celulares como apoyo al área medica
Martín Hernández Sustaita

Desarrollo de material multimedia para dispositivos móviles
Martín Hernández Sustaita

Todos los proyectos son bastante novedosos y relacionados con las líneas de investigación que se cultivan en la UPSLP.

Para mayores informes sobre el 13 Verano de la Ciencia de la Región Centro consultar la pagina http://www.colsan.edu.mx/eventos/verano/verano13/, o bien acudir con el Dr. Martín Hernández Sustaita de la academia de ciencias en el cubículo A-62 de la UAM2, en la dirección de correo martin.hernandez(arroba)upslp(punto)edu(punto)mx o en la cuenta de facebook Verano Universitario.

No duden en aprovechar la oportunidad !!!

Ingeniería Social – ¿Acaso me conoces?

Por: MC Rafael Llamas Contreras
Con la colaboración especial de Adrián Marcelo López Ávila y Cesar Vicente Luna Gallegos

Un sistema puede ser el más seguro pero siempre dependerá de un ser humano, lo que será su más grande debilidad. Como decía Kevin Mitnick “Usted puede tener la mejor tecnología, firewalls, sistemas de detención de ataques, dispositivos biométricos, etc. Lo único que se necesita es un llamado a un empleado desprevenido e ingresar sin más. Tiene todo en sus manos”. La ingeniería social es una herramienta poderosa que facilitara las cosas a los atacantes informáticos porque les abrirá muchas puertas, le dará acceso a datos de importancia etc. sin ninguna complicación.

Quizás hablar de la ingeniería social para muchos de nosotros puede parecer un tema que no siempre relacionamos con algún tipo de delito, pero si lo pusiéramos en términos más coloquiales, los extorsionadores telefónicos, tan de moda hoy en día, utilizan la ingeniería social para intentar cometer sus extorsiones, por lo que respecta a Internet, con la aparición de la redes sociales los delincuentes utilizan esos espacios para seleccionar a sus víctimas en base a la información que obtienen de sus perfiles y de la información que los usuarios publican en esos espacios.

La ingeniería social comienza con la investigación del individuo que será atacado. Por lo tanto, es altamente efectivo, como atacante, como ya dijimos valerse de las redes sociales y la interacción con los contactos allegados al individuo en cuestión. Un ingeniero social exitoso es incluso capaz de desarrollar diferentes perfiles de personalidad para engañar a todo aquel que pueda revelarle información valiosa.

Los ataques de ingeniería social son muy similares a los ataques que hacen las agencias de inteligencia para infiltrar sus objetivos, pudiera parecer muy descabellada la idea, sin embargo en la precisión de los ataques esta el éxito del mismo. Los pasos que normalmente se siguen son [1]:

1. Recolección de información de inteligencia
2. Selección del objetivo
3. Ataque

Este último punto se puede dividir en 3 sub-categorías:

3.1 Ataques que se basan en la vanidad o el ego de la victima
3.2 Ataques que sacan ventaja de la empatía y simpatía
3.3 Ataques que están basados en la intimidación

Los ataque pueden venir de cualquier lado y con solo realizar acciones que el usuario cree inofensivas como un simple llenado de cuestionarios en línea puede provocar un ataque a sí mismo, digamos que se suscribe en una red social y empieza a agregar amigos, las redes sociales por lo regular sugieren agregar a sujetos que tienen amigos en común contigo pero son personas que realmente no conoces, decides agregarlo y en tu perfil pones toda tu información como dónde vives en que trabajas etc. Esto facilita la primera etapa en la que el atacante obtiene toda la información necesaria para generar un perfil para engañar a la persona (recolección de información de inteligencia). Esta puede usarse para ataques de ingeniería social pero también con solo tener esa información ya se puede proceder a sacar beneficios con los datos recopilados a partir de un perfil del usuario objetivo.

En otra etapa es ganarse la confianza de la victima ya sea por la misma red social o por otros medios a través de los cuales se pueda acceder a información. Normalmente a partir ataque, dependiendo del tipo de información que se obtenga, se puede llegar a obtener un beneficio económico a través del secuestro o la extorsión.

Es por eso que se vuelve más que importante cuidar la información que proporcionamos de manera personal a desconocidos o en todo caso, cuidar lo que publicamos en nuestras redes sociales ya que la información, sobre todo la de índole personal, corre el riesgo de ser usada por los ingenieros sociales para cometer sus ilícitos en nuestro perjuicio.

Referencias

[1] “Social Engineering: The Forgoten Risk”. Information Security Management Handbook. Fifth Edition. Harold F. Tripton,
Micki Krause.

¿Son seguros los PDF's?

Por: MC Hugo Gonzalez

En esta ocasión trataré un tema en el que tengo un proyecto para el Verano de la Ciencia y que me ha resultado bastante atractivo. Se trata de un vector de ataque para comprometer equipos de cómputo y son los archivos PDF.

Algunas veces se cree que solo los archivos ejecutables pueden ser peligrosos, luego vinieron los virus de macro, como el "I love you" o el "Melissa", en estos últimos casos los programas incluyen código malicioso directamente, que ejecuta acciones específicas sobre el sistema aprovechandose del mismo motor del programa para verlos.

En otros casos, archivos que se consideran no peligrosos, pueden contener piezas de contenido malicioso que se aprovechen no del motor de la aplicación, sino de errores de programación de la misma aplicación para ejecutar código arbitrario en el sistema. Algunos de estos casos incluyen videos, páginas web, documentos de oficina ( Hojas de Cálculo, Presentaciones), imágenes, animaciones y un largo etc. De manera general una vez que "explotan" la vulnerabilidad en el sistema que los reproduce o interpreta, descargan un archivo de internet, desarman el antivirus, crean nuevos usuarios, se conectan a casa o realizan alguna otra actividad que permite al atacante controlar el sistema "explotado", en caso extremo eliminan y destruyen todo el sistema, aunque eso pasa lo menos por los mayores beneficios económicos que se obtienen a controlar miles de equipos conectados a Internet.

El caso de los PDF maliciosos se encuentra entre los dos anteriores, hay ocasiones que aprovechan fallas de programación para "explotar" algún lector en particular, como adobe o foxit, pero también se dá el caso de que se aprovechan de las capacidades de reproducir javascript de la especificación de PDF y confunden e instan a los reproductores a realizar diversas acciones maliciosas para comprometer el equipo, como ejemplo a descargar y ejecutar algún archivo de la web, a crear nuevos objetos en el sistema, o a generar un archivo que afecte a otro programa en el sistema.

Actualmente es difícil detectar los archivos PDF's maliciosos, ya que no todos son reconocidos por los antivirus, ya que generan codigo "mutante" que cambia de archivo en archivo y que aunque realiza la misma función, no se parece.

Para el análisis de los PDF's así como de malware, una metodología sugiere proceder realizando primero un análisis estático y luego en análisis dinámico del archivo, esto tiene que ver con los costos computacionales más altos del análisis dinámico.

Análisis dinámico:
1a. fase. Se ejecuta (se abre) el archivo PDF en un sistema "limpio" o recién instalado, se espera cierto tiempo y se analizan los cambios que se generaron, por ejemplo si se crearon nuevos archivos, servicios o si se descargaron archivos de Internet.
2a. fase. Se se generaron algunos de estos cambios, en una maquina "limpia" y con la ayuda de un depurador o "debugger" se ejecuta otra vez el PDF, siguiendo paso a paso para analizar con detalle las acciones que ejecuta y detectar el comportamiento malicioso.

Análisis estático:
1a. fase. Lo pasas por un antivirus para saber si lo detecta como malicioso.
2a. fase. Se analiza el contenido del archivo, la especificación de PDF nos habla de objetos que forman el archivo, que están contenidos en un documento de texto plano (puedes usar tu editor de textos favorito para ver el contenido del PDF). Estos objetos pueden estar codificados con diferentes métodos, si son textos, imágenes, código Javascript, etc. Entonces lo primero que habría que hacer es decodificarlos para poder seguir con el análisis, y buscar el flujo de información para interpretar el PDF.

Aparentemente es más complejo el análisis dinámico, pero este es más fácil de automatizar y es más rápido para realizarlo en un equpo de cómputo que el análisis dinámico. Además que se puede realizar con menos recursos de RAM y Disco Duro.

Actualmente estoy trabajando en un pre-analizador, que de manera automática asigne una calificación de que tan sospechoso es un archivo PDF para ser malicioso. Este se basa en lo siguiente:

1. Si incluye urls activas dentro del archivo.
2. Si tiene javascript ofuscado.
3. Si tiene javascript plano y funciones sospechosas.
4. Si tiene imagenes TIFF, y estas inclueyn urls dentro.
5. Si contiene un shellcode .

Algunas de estas tareas pueden resultar triviales, y otras no tanto, pero al lograr automatizarlas podremos identificar cuales de los PDF's merecen ser investigados con más detalle con análisis estático, y luego cuales deben ser pasados al análisis dinámico.

Hasta la proxima, y espero tener alumnos para completen este trabajo durante el verano.