Descripción: Una vulnerabilidad fue reportada en Novell Identity Manager. Un usuario local puede obtener contraseñas.
Durante la instalación, el sistema puede guardar la contraseña del árbol eDirectory para el directorio '/ tmp / idmInstall.log' archivo. Un usuario local puede acceder al archivo para obtener la contraseña.
Impacto: Un usuario local puede obtener obtener información de contraseña.
Solución: Ninguna solución está disponible en el momento de esta entrada.
El vendedor recomienda eliminar del directorio el archivo '/tmp/idmInstall.log' luego de la instalación
asesoramiento del proveedor
Fuente securitytracker.com
Comunidad dedicada a la seguridad de información (noticias, foros, charlas, actualidad)
Bienvenido a la Comunidad Ethical Shields
Ethical Shields les da la bienvenida a nuestra comunidad, queremos invitarlos a compartir sus experiencias, noticias en el ambito de seguridad de información. Esta comunidad se enriquece con sus comentarios, y en ella estaremos publicando todo lo relacionado con esta importante tema. Aqui podras ver las ultimas noticias de interes, compatir con otros profesionales y estudiantes del area, experiencias, casos, anecdotas y podras estar en contactos con nuestros especialistas en el area.
Para mas información sobre nosotros visita www.ethicalshields.com
Para mas información sobre nosotros visita www.ethicalshields.com
martes, 31 de agosto de 2010
Vulnerabidad reportada en Novell Identity Manager permite que usuario local obtenga contraseñas
Etiquetas:
contraseña,
novell,
vulnerabilidad
Novell NetWare: Desbordamiento de búfer SFTP / SCP permite usuarios remotos autenticados ejecutar código arbitrario
Un vulnerabilidad reportada por Novell Netware indica que un usuario remoto autenticado puede enviar datos especialmente diseñada a través de SFTP o SCP para provocar un desbordamiento de búfer en SSHD.NLM y SFTP SVR.NLM y ejecutar código arbitrario en el sistema de destino. El código se ejecutará con los privilegios del servicio de destino. Una ruta de acceso que da lugar a una ruta absoluta de más de 512 caracteres puede desencadenar el desbordamiento.Francisco Provencher informó de esta vulnerabilidad a través de la Iniciativa Cero Day de TippingPoint.
Impacto: un usuario autenticado remoto puede ejecutar código arbitrario en el sistema de destino.
Solución: Ninguna solución está disponible en el momento de esta entrada.
El Fabricante no tiene previsto emitir una corrección para esta vulnerabilidad, como soporte financiero general de NetWare 6.5 ha sido discontinuado el Fabricante no tiene en cuenta el defecto de como críticos.
Aviso del Fabricante
Fuente securitytracker.com
Impacto: un usuario autenticado remoto puede ejecutar código arbitrario en el sistema de destino.
Solución: Ninguna solución está disponible en el momento de esta entrada.
El Fabricante no tiene previsto emitir una corrección para esta vulnerabilidad, como soporte financiero general de NetWare 6.5 ha sido discontinuado el Fabricante no tiene en cuenta el defecto de como críticos.
Aviso del Fabricante
Fuente securitytracker.com
Etiquetas:
buffer overflow,
codigo arbitrario,
novellnetware,
vulnerabilidad
lunes, 30 de agosto de 2010
Como saber si nuestro equipo es parte de una Botnet
Actualmente, las botnets se han convertido en una de las herramientas principales para el cibercrimen, dado que otorgan la posibilidad de realizar ataques a gran escala desde todos los sistemas infectados y de forma anónima.
Una botnet es una red de equipos infectados por códigos maliciosos que siendo controlados por un atacante, disponen de sus recursos para que trabajen de forma conjunta y distribuida. Cuando una computadora ha sido afectada por un malware de tipo bot se dice que se trata de un equipo robot o zombi.
Al controlar los sistemas remotamente (total o parcialmente), los dueños de las botnets pueden disponer de éstas para llevar a cabo diversas tareas maliciosas. Entre las principales se encuentra el envío de spam, la realización de ataques de denegación de servicio distribuido (DDoS), el alojamiento de archivos para sitios web (material pornográfico, pedófilo, warez, cracks, sitios de phishing, etc.), distribución e instalación de nuevo malware y abuso de publicidad online.
A continuación detallamos cuáles son los indicios que pueden indicar que nuestro equipo forma parte de una botnet. Cabe destacar que si bien cualquier código malicioso puede causar casi todos los síntomas de un bot, aún así, hay algunos signos que no deben pasarse por alto:
1. El ventilador arranca a toda marcha cuando el equipo está inactivo: Esto puede indicar que un programa se está ejecutando sin el conocimiento del usuario y que se están utilizando una cantidad considerable de recursos. Por supuesto, esto también podría ser producto de la instalación de actualizaciones de Microsoft, por ejemplo. Otro problema que puede hacer que el ventilador trabaje es el exceso de suciedad en el equipo o un ventilador de la CPU fallando.
2. Su equipo tarda mucho tiempo para apagarse, o no lo hace correctamente: Con frecuencia el malware posee errores que pueden causar una variedad de síntomas, incluyendo que el apagado del sistema sea muy largo o directamente falle. Desafortunadamente, los errores del sistema operativo o conflictos con programas legítimos también pueden causar el mismo síntoma.
3. Observar contenidos en su muro de Facebook que no has enviado: Existen algunas otras razones distintas al malware o el acceso no autorizado a la cuenta para que aparezca este problema. Si ve que ocurre, definitivamente deberá cambiar su contraseña y asegurarse que el sistema no está infectado. Lo ideal es asegurarse que la computadora no tiene malware antes de cambiar la contraseña y no usar la clave de Facebook en varios sitios distintos.
4. Las aplicaciones andan muy lento: Esto puede ocurrir porque programas ocultos estén utilizando una gran cantidad de recursos del equipo. Pero también podría ser causado por otros problemas.
5. No se pueden descargar las actualizaciones del sistema operativo: (siempre y cuando el sistema operativo sea legitimo) Este es un síntoma que no se puede ignorar. Incluso si no está siendo causado por un bot u otro malware, si no mantiene los parches de seguridad actualizados el sistema se va a infectar.
6. No se pueden descargar actualizaciones del antivirus o visitar sitios web de los proveedores: El malware a menudo trata de evitar que soluciones antivirus o de seguridad sean instaladas o ejecutadas. La imposibilidad de actualizar el antivirus o de visitar el sitio web del fabricante es un muy fuerte indicador de la presencia de código malicioso.
7. El acceso a Internet es muy lento: Si un bot está en ejecución en el sistema para, por ejemplo, enviar grandes cantidades de spam, realizar un ataque contra otros equipos o subir/bajar gran cantidad de datos, puede causar que el acceso a Internet sea muy lento.
8. Sus amigos y familiares han recibido mensajes de correo electrónico que usted no envió: Esto puede ser señal de un bot u otro tipo de malware, o bien que su cuenta de correo web haya sido comprometida por un atacante.
9. Se abren ventanas emergentes y anuncios, incluso cuando no se está usando un navegador web: Si bien este es un clásico signo de adware, los bots pueden instalar este programa malicioso en el equipo. Definitivamente debe atender este problema.
10. El Administrador de tareas de Windows muestra programas con nombres o descripciones extrañas: El uso del Administrador de Tareas requiere cierta habilidad e investigación. A veces software legítimo puede utilizar nombres extraños. Una entrada en el Administrador de Tareas no es suficiente para identificar un programa como dañino. Si bien puede ayudar a encontrar software malicioso, deben realizarse otros pasos adicionales para validar los resultados. Eliminar procesos, archivos o entradas del registro sólo porque se sospecha que es un bot u otro malware, puede resultar en que el equipo ni siquiera inicie. Tenga mucho cuidado al hacer suposiciones y tomar acciones sobre ellas.
“Si bien estas señales pueden ser también indicadores de otro tipo de código malicioso, son signos de relevancia que alertan sobre la posible infección del equipo. Para confirmar si efectivamente se trata de una botnet, lo recomendable es explorar el equipo con una solución antivirus”.
Fuente http://vulnerabilityteam.blogspot.com/
Una botnet es una red de equipos infectados por códigos maliciosos que siendo controlados por un atacante, disponen de sus recursos para que trabajen de forma conjunta y distribuida. Cuando una computadora ha sido afectada por un malware de tipo bot se dice que se trata de un equipo robot o zombi.
Al controlar los sistemas remotamente (total o parcialmente), los dueños de las botnets pueden disponer de éstas para llevar a cabo diversas tareas maliciosas. Entre las principales se encuentra el envío de spam, la realización de ataques de denegación de servicio distribuido (DDoS), el alojamiento de archivos para sitios web (material pornográfico, pedófilo, warez, cracks, sitios de phishing, etc.), distribución e instalación de nuevo malware y abuso de publicidad online.
A continuación detallamos cuáles son los indicios que pueden indicar que nuestro equipo forma parte de una botnet. Cabe destacar que si bien cualquier código malicioso puede causar casi todos los síntomas de un bot, aún así, hay algunos signos que no deben pasarse por alto:
1. El ventilador arranca a toda marcha cuando el equipo está inactivo: Esto puede indicar que un programa se está ejecutando sin el conocimiento del usuario y que se están utilizando una cantidad considerable de recursos. Por supuesto, esto también podría ser producto de la instalación de actualizaciones de Microsoft, por ejemplo. Otro problema que puede hacer que el ventilador trabaje es el exceso de suciedad en el equipo o un ventilador de la CPU fallando.
2. Su equipo tarda mucho tiempo para apagarse, o no lo hace correctamente: Con frecuencia el malware posee errores que pueden causar una variedad de síntomas, incluyendo que el apagado del sistema sea muy largo o directamente falle. Desafortunadamente, los errores del sistema operativo o conflictos con programas legítimos también pueden causar el mismo síntoma.
3. Observar contenidos en su muro de Facebook que no has enviado: Existen algunas otras razones distintas al malware o el acceso no autorizado a la cuenta para que aparezca este problema. Si ve que ocurre, definitivamente deberá cambiar su contraseña y asegurarse que el sistema no está infectado. Lo ideal es asegurarse que la computadora no tiene malware antes de cambiar la contraseña y no usar la clave de Facebook en varios sitios distintos.
4. Las aplicaciones andan muy lento: Esto puede ocurrir porque programas ocultos estén utilizando una gran cantidad de recursos del equipo. Pero también podría ser causado por otros problemas.
5. No se pueden descargar las actualizaciones del sistema operativo: (siempre y cuando el sistema operativo sea legitimo) Este es un síntoma que no se puede ignorar. Incluso si no está siendo causado por un bot u otro malware, si no mantiene los parches de seguridad actualizados el sistema se va a infectar.
6. No se pueden descargar actualizaciones del antivirus o visitar sitios web de los proveedores: El malware a menudo trata de evitar que soluciones antivirus o de seguridad sean instaladas o ejecutadas. La imposibilidad de actualizar el antivirus o de visitar el sitio web del fabricante es un muy fuerte indicador de la presencia de código malicioso.
7. El acceso a Internet es muy lento: Si un bot está en ejecución en el sistema para, por ejemplo, enviar grandes cantidades de spam, realizar un ataque contra otros equipos o subir/bajar gran cantidad de datos, puede causar que el acceso a Internet sea muy lento.
8. Sus amigos y familiares han recibido mensajes de correo electrónico que usted no envió: Esto puede ser señal de un bot u otro tipo de malware, o bien que su cuenta de correo web haya sido comprometida por un atacante.
9. Se abren ventanas emergentes y anuncios, incluso cuando no se está usando un navegador web: Si bien este es un clásico signo de adware, los bots pueden instalar este programa malicioso en el equipo. Definitivamente debe atender este problema.
10. El Administrador de tareas de Windows muestra programas con nombres o descripciones extrañas: El uso del Administrador de Tareas requiere cierta habilidad e investigación. A veces software legítimo puede utilizar nombres extraños. Una entrada en el Administrador de Tareas no es suficiente para identificar un programa como dañino. Si bien puede ayudar a encontrar software malicioso, deben realizarse otros pasos adicionales para validar los resultados. Eliminar procesos, archivos o entradas del registro sólo porque se sospecha que es un bot u otro malware, puede resultar en que el equipo ni siquiera inicie. Tenga mucho cuidado al hacer suposiciones y tomar acciones sobre ellas.
“Si bien estas señales pueden ser también indicadores de otro tipo de código malicioso, son signos de relevancia que alertan sobre la posible infección del equipo. Para confirmar si efectivamente se trata de una botnet, lo recomendable es explorar el equipo con una solución antivirus”.
Fuente http://vulnerabilityteam.blogspot.com/
Etiquetas:
botnet,
hacking,
Vulnerabilidades
Ofrecen recursos gratuitos para la lucha contra el cibercimen
LeaseWeb, un proveedor de soluciones de infraestructuras de hosting avanzadas ha lanzado un proyecto que ofrecerá capacidad de servidor y banda ancha a las organizaciones que monitorizan, identifican y combaten las fuentes del spam y el cibercrimen.
El proyecto, bautizado como Community Outreach Project, ofrecerá servidores dedicados dentro del centro de datos de LeaseWeb además de banda ancha a las organizaciones cualificadas que trabajen con la industria para identificar amenazas de seguridad procedentes de Internet, incluidos spam, virus, malware y fraudes como el phishing.
Ya hay dos organizaciones que se han sumado al proyecto y que compartirán información sobre la seguridad del tráfico de red. Una de ellas es ZeuS Tracker, un proyecto sin ánimo de lucro centrado en seguir los botnets Zeus, que ha comentado que cuando empezaron en 2008 LeaseWeb fue una de las muchas víctimas afectadas por los servidores de comando y control de Zeus, pero una de las pocas que reconoce estas amenazas y que se ha tomado en serio la lucha contra el cibercrimen.
Desde LeaseWeb aseguran que aunque no pueden controlar todo lo que pasa en la red, “trabajando con otras organizaciones de seguridad podemos ser proactivos en la detección y solución de muchos problemas”.
Fuente ITespresso.es
El proyecto, bautizado como Community Outreach Project, ofrecerá servidores dedicados dentro del centro de datos de LeaseWeb además de banda ancha a las organizaciones cualificadas que trabajen con la industria para identificar amenazas de seguridad procedentes de Internet, incluidos spam, virus, malware y fraudes como el phishing.
Ya hay dos organizaciones que se han sumado al proyecto y que compartirán información sobre la seguridad del tráfico de red. Una de ellas es ZeuS Tracker, un proyecto sin ánimo de lucro centrado en seguir los botnets Zeus, que ha comentado que cuando empezaron en 2008 LeaseWeb fue una de las muchas víctimas afectadas por los servidores de comando y control de Zeus, pero una de las pocas que reconoce estas amenazas y que se ha tomado en serio la lucha contra el cibercrimen.
Desde LeaseWeb aseguran que aunque no pueden controlar todo lo que pasa en la red, “trabajando con otras organizaciones de seguridad podemos ser proactivos en la detección y solución de muchos problemas”.
Fuente ITespresso.es
Etiquetas:
Botnet Zeus,
Cibercrimen,
Community Outreach Project,
Hosting,
LeaseWeb,
Seguridad
Diversas vulnerabilidades criticas en RealPlayer
Se han identificado siete vulnerabilidades de ejecución remota de código en el reproductor multimedia RealPlayer, que podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario en un sistema vulnerable.
RealPlayer es un reproductor multimedia disponible para distintas plataformas y que acepta archivos de audio y vídeo en un gran número de formatos.
Los problemas están relacionados con el tratamiento de archivos IVR con cabeceras modificadas, desbordamientos de entero en la función "ParseKnownType()" al tratar tipos de datos "HX_FLV_META_AMF_TYPE_MIXEDARRAY" y "HX_FLV_META_AMF_TYPE_ARRAY", un error en "RealPlayerActiveX", un desbordamiento de entero y otro desbordamiento de búfer en el tratamiento de archivos QCP específicamente construidos, un error en la transformación de contenido YUV420 y por último un error en el plugin ActiveX para Internet Explorer al abrir muchas ventanas del navegador.
Se ven afectados por estos problemas las versiones RealPlayer 11.1 (y anteriores) y RealPlayer SP 1.1.4 (y anteriores). Se recomienda actualizar a RealPlayer SP 1.1.5.
Fuente Hispasec
RealPlayer es un reproductor multimedia disponible para distintas plataformas y que acepta archivos de audio y vídeo en un gran número de formatos.
Los problemas están relacionados con el tratamiento de archivos IVR con cabeceras modificadas, desbordamientos de entero en la función "ParseKnownType()" al tratar tipos de datos "HX_FLV_META_AMF_TYPE_MIXEDARRAY" y "HX_FLV_META_AMF_TYPE_ARRAY", un error en "RealPlayerActiveX", un desbordamiento de entero y otro desbordamiento de búfer en el tratamiento de archivos QCP específicamente construidos, un error en la transformación de contenido YUV420 y por último un error en el plugin ActiveX para Internet Explorer al abrir muchas ventanas del navegador.
Se ven afectados por estos problemas las versiones RealPlayer 11.1 (y anteriores) y RealPlayer SP 1.1.4 (y anteriores). Se recomienda actualizar a RealPlayer SP 1.1.5.
Fuente Hispasec
Etiquetas:
realplayer,
Seguridad,
vulnerabilidad
Descubren primer rootkit dirigido a windows 64 bit
El 'rootkit' Alureon está de vuelta, y ha adquirido la habilidad de secuestrar computadoras que corren versiones de 64 bits de Microsoft Windows, declaró Marco Giuliani, investigador de seguridad de la compañía de seguridad Prevx.
Alureon (conocido también como TDL y Tidserv) ha conseguido mucha atención en febrero cuando se descubrió que estaba detrás de las caídas de sistemas que sucedían después que usuarios infectados intentaban actualizar su SO Windows.
Parece que en aquel momento, el rootkit fue incapaz de superar las características de seguridad que hacen a las versiones 64 bits de Windows Vista y 7 más seguro que sus contrapartes de 32 bits - a saber el Firmado de Código de Modo Kernel (Kernel Mode Code Signing) y la Protección de Parches de Kernel (Kernel Patch Protection).
El Firmado de Código de Modo Kernel no permite que drivers no firmados digitalmente accedan a la región de memoria del núcleo (y los rootkits de modo kernel a menudo no lo están), y la Protección de Parches de Kernel impide que los drivers de modo kernel puedan modificar áreas sensibles del núcleo de Windows. Pero ambos mecanismos de protección obviamente pueden ser superados por esta nueva versión de Alureon, que emparcha el Master Boot Record para poder interceptar las rutinas de inicio de Windows y luego cargar su driver.
"El rootkit necesita privilegios administrativos para infectar el Master Boot Record. Aún así, no puede cargar sus propio driver compatible de 64 bits debido a la seguridad del kernel de Windows. Entonces, fuerza a Windows a reiniciar inmediatamente. De esta forma el MBR emparchado puede hacer el trabajo sucio," dice Giuliani.
Bien, reiniciando Windows "por si mismo" de esta forma, me parece un buen signo para comenzar a preocuparse.
Giuliani también señala que este no es el primer rootkit capaz de pasar esos bloqueos de seguridad - un bootkit denominado Whistler ha sido señalado siendo ofrecido en venta en varios mercados negros hace algún tiempo - pero esta es la primera vez que un rootkit así ha sido detectado libre en uso. Según él, la era de los rootkits x64 ha comenzado oficialmente.
Fuente Segu.Info / Help Net Security
Alureon (conocido también como TDL y Tidserv) ha conseguido mucha atención en febrero cuando se descubrió que estaba detrás de las caídas de sistemas que sucedían después que usuarios infectados intentaban actualizar su SO Windows.
Parece que en aquel momento, el rootkit fue incapaz de superar las características de seguridad que hacen a las versiones 64 bits de Windows Vista y 7 más seguro que sus contrapartes de 32 bits - a saber el Firmado de Código de Modo Kernel (Kernel Mode Code Signing) y la Protección de Parches de Kernel (Kernel Patch Protection).
El Firmado de Código de Modo Kernel no permite que drivers no firmados digitalmente accedan a la región de memoria del núcleo (y los rootkits de modo kernel a menudo no lo están), y la Protección de Parches de Kernel impide que los drivers de modo kernel puedan modificar áreas sensibles del núcleo de Windows. Pero ambos mecanismos de protección obviamente pueden ser superados por esta nueva versión de Alureon, que emparcha el Master Boot Record para poder interceptar las rutinas de inicio de Windows y luego cargar su driver.
"El rootkit necesita privilegios administrativos para infectar el Master Boot Record. Aún así, no puede cargar sus propio driver compatible de 64 bits debido a la seguridad del kernel de Windows. Entonces, fuerza a Windows a reiniciar inmediatamente. De esta forma el MBR emparchado puede hacer el trabajo sucio," dice Giuliani.
Bien, reiniciando Windows "por si mismo" de esta forma, me parece un buen signo para comenzar a preocuparse.
Giuliani también señala que este no es el primer rootkit capaz de pasar esos bloqueos de seguridad - un bootkit denominado Whistler ha sido señalado siendo ofrecido en venta en varios mercados negros hace algún tiempo - pero esta es la primera vez que un rootkit así ha sido detectado libre en uso. Según él, la era de los rootkits x64 ha comenzado oficialmente.
Fuente Segu.Info / Help Net Security
Phishing a mercadolibre con Typosquatting
Nueva denuncia realizada a Segu-Info
Recibieron una denuncia de un caso de Phishing a Mercado Libre y cuyo dominio se aprovecha de la técnica de Typosquatting.
En este caso se creo un dominio .COM (IP 190.2.55.3 listado en algunas Blacklist) similar al original y con un error ortográfico y alojado en un servidor montado para tal fin.
El registro del dominio se realizó en febrero de 2010, el DNS está alojado en el mismo servidor e incluso llama la atención que otros dominios también se encuentren hosteados allí, como si el autor de este fraude no supiera lo que hace:
Además, y como si fuera poco la base de datos MySQL (IP 200.68.106.56) también es accesible desde dicho sitio web.
Actualización 30/08: luego de la denuncia realizada por Segu-Info, ahora la página dirige al usuario al sitio auténtico de Mercado Libre pero sólo en la página falsa, ya que cualquier otra página del mismo sitio, sigue mostrando que es un servidor fraudulento.
Fuente: Segu-Info.com.ar
Recibieron una denuncia de un caso de Phishing a Mercado Libre y cuyo dominio se aprovecha de la técnica de Typosquatting.
En este caso se creo un dominio .COM (IP 190.2.55.3 listado en algunas Blacklist) similar al original y con un error ortográfico y alojado en un servidor montado para tal fin.
El registro del dominio se realizó en febrero de 2010, el DNS está alojado en el mismo servidor e incluso llama la atención que otros dominios también se encuentren hosteados allí, como si el autor de este fraude no supiera lo que hace:
Además, y como si fuera poco la base de datos MySQL (IP 200.68.106.56) también es accesible desde dicho sitio web.
Actualización 30/08: luego de la denuncia realizada por Segu-Info, ahora la página dirige al usuario al sitio auténtico de Mercado Libre pero sólo en la página falsa, ya que cualquier otra página del mismo sitio, sigue mostrando que es un servidor fraudulento.
Fuente: Segu-Info.com.ar
Etiquetas:
ciberdelicuencia,
estafas,
typosquatting
Nueva estafa en Facebook: Detectives Informaticos Falsos
Han reportado un caso en donde se puede ver la nueva metodología de promoción que están utilizando los delincuentes de las investigaciones informáticas.
En este caso se trata de publicidad que aparece en facebook y que promociona el servicio de investigación y recuperación de contraseñas.
Si un usuario se interesa por este servicio, al hacer clic ingresará al sitio del delincuente que para más información está alojado en un servidor gratuito: http://[ELIMINADO].weebly.com/contacto-on-line.html y ante quien ha hemos realizado la denuncia para que se proceda a su baja.
Los delincuentes siempre encuentran nuevas maneras de promocionar sus servicios y por supuesto las redes sociales en este momento son el medio adecuado para hacerlo.
Leer más: Noticias de Seguridad Informática - Segu-Info.com.ar
En este caso se trata de publicidad que aparece en facebook y que promociona el servicio de investigación y recuperación de contraseñas.
Si un usuario se interesa por este servicio, al hacer clic ingresará al sitio del delincuente que para más información está alojado en un servidor gratuito: http://[ELIMINADO].weebly.com/contacto-on-line.html y ante quien ha hemos realizado la denuncia para que se proceda a su baja.
Los delincuentes siempre encuentran nuevas maneras de promocionar sus servicios y por supuesto las redes sociales en este momento son el medio adecuado para hacerlo.
Leer más: Noticias de Seguridad Informática - Segu-Info.com.ar
Etiquetas:
ciberdelicuencia,
estafas,
facebook
Creadores de virus que envían sus programas a Microsoft
Según Rocky Heckman, arquitecto de seguridad de Microsoft, cuando a un creador de virus sufre un fallo de sistema mientras está probando su programa, no es raro que, por accidente, envíe ese código a Microsoft.
Cuando Windows sufre un fallo de funcionamiento, muestra una ventana de diálogo donde nos invita a enviar a Microsoft un volcado de memoria para analizar el fallo y descubrir el problema. Si el causante del fallo es un programa que estamos desarrollando, el volcado enviado incluirá nuestro programa. ¿Y que ocurre si somos desarrolladores de virus y el programa que estamos desarrollando es justamente un virus? Pues que Microsoft recibirá una copia de nuestro nuevo y flamante malware.
En la conferencia Microsoft Tech Ed.2010 Heckman explico que, cuando aparece esta ventana, muchos piratas se equivocan y pulsan "enviar", con lo que Microsoft recibe gran cantidad de muestras de virus que todavía no han sido lanzados; "es asombrosa la cantidad de material que recibimos", ha declarado.
En esta conferencia Heckman también ha detallado cuales son los tipos de ataque mas usuales que utilizan los piratas, estadística que ha podido elaborar gracias a la gran cantidad de ataques que sufre Microsoft. Según Heckman, el primer sitio que ataca un script kiddie es la web de Microsoft; la consecuencia es que microsoft.com recibe entre 7.000 y 9.000 ataques por segundo.
Según Heckman, desde hace seis años los tipos de ataque mas usados son cross site scripting y SQL injection. Que la técnica no haya variado en tanto tiempo Heckman lo atribuye a dos motivos; el primero, que los piratas prefieren los métodos conocidos, y segundo, que los desarrolladores no escuchan. Heckman insiste en que cualquier dato que se reciba del usuario debe ser considerado dañino mientras no se demuestre lo contrario.
Fuente Segu-info
Cuando Windows sufre un fallo de funcionamiento, muestra una ventana de diálogo donde nos invita a enviar a Microsoft un volcado de memoria para analizar el fallo y descubrir el problema. Si el causante del fallo es un programa que estamos desarrollando, el volcado enviado incluirá nuestro programa. ¿Y que ocurre si somos desarrolladores de virus y el programa que estamos desarrollando es justamente un virus? Pues que Microsoft recibirá una copia de nuestro nuevo y flamante malware.
En la conferencia Microsoft Tech Ed.2010 Heckman explico que, cuando aparece esta ventana, muchos piratas se equivocan y pulsan "enviar", con lo que Microsoft recibe gran cantidad de muestras de virus que todavía no han sido lanzados; "es asombrosa la cantidad de material que recibimos", ha declarado.
En esta conferencia Heckman también ha detallado cuales son los tipos de ataque mas usuales que utilizan los piratas, estadística que ha podido elaborar gracias a la gran cantidad de ataques que sufre Microsoft. Según Heckman, el primer sitio que ataca un script kiddie es la web de Microsoft; la consecuencia es que microsoft.com recibe entre 7.000 y 9.000 ataques por segundo.
Según Heckman, desde hace seis años los tipos de ataque mas usados son cross site scripting y SQL injection. Que la técnica no haya variado en tanto tiempo Heckman lo atribuye a dos motivos; el primero, que los piratas prefieren los métodos conocidos, y segundo, que los desarrolladores no escuchan. Heckman insiste en que cualquier dato que se reciba del usuario debe ser considerado dañino mientras no se demuestre lo contrario.
Fuente Segu-info
viernes, 27 de agosto de 2010
AxCrypt: Cifrando información en Windows
a solución OpenSource AxCrypt, es un software ligero que se integra en el menú contextual de Windows y que permite cifrar un fichero o directorio creando un paquete ejecutable auto-descifrable (Encrypt to EXE) utilizando AES-128.
La aplicación únicamente se puede acceder desde este menú donde se encuentran todas las opciones, incluidas el cambio de idioma al Español.
Entre sus principales ventajas se encuentra su facil y sencillo uso ya que basta con pulsar el botón derecho sobre el contenido que se desea cifrar y asignarle una contraseña, que posteriormente será compartida (siempre y cuando se vaya a compartir la informacion) mediante otro canal, como por ejemplo vía telefónica.
A la hora de abrir el fichero cifrado se muestra una pantalla en donde solamente hay que introducir el password para desencriptar. Si la informacion es compartida con otras personas estas no necesitan tener ningun tipo de Sw instalados en sus maquinas solo basta con saber el password.
Otra característica importante y útil es la inclusión de borrado seguro o wipe (Shred and Delete), con la que rápidamente se eliminan ficheros y directorios asegurando que no podrán serán recuperados de ninguna forma
Fuente securitybydefault.com
La aplicación únicamente se puede acceder desde este menú donde se encuentran todas las opciones, incluidas el cambio de idioma al Español.
Entre sus principales ventajas se encuentra su facil y sencillo uso ya que basta con pulsar el botón derecho sobre el contenido que se desea cifrar y asignarle una contraseña, que posteriormente será compartida (siempre y cuando se vaya a compartir la informacion) mediante otro canal, como por ejemplo vía telefónica.
A la hora de abrir el fichero cifrado se muestra una pantalla en donde solamente hay que introducir el password para desencriptar. Si la informacion es compartida con otras personas estas no necesitan tener ningun tipo de Sw instalados en sus maquinas solo basta con saber el password.
Otra característica importante y útil es la inclusión de borrado seguro o wipe (Shred and Delete), con la que rápidamente se eliminan ficheros y directorios asegurando que no podrán serán recuperados de ninguna forma
Fuente securitybydefault.com
Etiquetas:
encriptación,
microsoft,
Windows
Cisco publica dos Security Advisories
Cisco ha publicado dos nuevos security advisories con referencia a multiples vulnerabilidades que afectan a los servicios Unified Communications Manager y Unified Presence.
Dichas vulnerabilidades afectan el procesamiento del Session Initiation Protocol (SIP). Explotanndo estos agujeros podria permitir a un atacante causar un DoS (denial-of-service) el cual podria causar una interrupcion de los servicios de voz.
Cisco Unified Communications Manager Denial of Service Vulnerabilities
Cisco Unified Presence Denial of Service Vulnerabilities
Dichas vulnerabilidades afectan el procesamiento del Session Initiation Protocol (SIP). Explotanndo estos agujeros podria permitir a un atacante causar un DoS (denial-of-service) el cual podria causar una interrupcion de los servicios de voz.
Cisco Unified Communications Manager Denial of Service Vulnerabilities
Cisco Unified Presence Denial of Service Vulnerabilities
Etiquetas:
actualizaciones,
cisco,
Seguridad,
vulnerabilidad
I Can Stalk you: ojo con las fotos que publicas en Twitter podrian estar informando mas de lo que crees
Seguro que muchos se acuerdan de PleaseRobMe. Pagina Web (hoy fuera de linea) que intentaba alertar a los usuarios de los problemas de privacidad que puede suponer andar twitteando en todo momento dónde nos encontramos o qué estamos haciendo.
Ahora tenemos otra iniciativa, esta vez llamada I Can Stalk U, que parte de una idea similar. Pero ICSU no se encarga de reunir información sobre esos tweets para alertar sobre cuándo una persona está en casa o no, sino para hacernos ver que hay que tener mucho cuidado con las imágenes que enviamos a través de Twitter y de la información que las acompaña.
En la mayoría de smartphones de hoy en día vienen activadas por defecto varias opciones de geolocalización. De esta forma, muchos de los tweets que enviamos con imágenes y fotos llevan asociada cierta información (metadata) que permite conocer exactamente desde qué lugar y en qué momento se tomó.
I Can Stalk U presenta esta información de una forma diferente para que podamos ver exactamente qué contienen estas imágenes. Como vemos en la imagen principal y podréis ver en la web, cada tweet se separa en tres apartados: localización en el mapa, ver la fotografía y ver el tweet original.
Así, con estas tres características, podremos ver cómo a partir de una simple imagen compartida se pueden obtener una cantidad de datos importantes como la fecha y el lugar. Desde ICSU ya dicen que esta iniciativa no nace con la idea de aprovecharse de estos datos, sino para alertar a los usuarios de que hay que tomar precauciones a la hora de compartir información en las redes sociales y de que existen opciones en los diferentes móviles para evitar que esta información sea compartida.
Sin ir más lejos, ellos mismos, bajo la sección “How” ofrecen una serie de tutoriales para Android, iOS, Blackberry y webOS sobre cómo evitar que estos datos sean integrados en nuestras imágenes o fotografías.
Fuente genbeta.com
Ahora tenemos otra iniciativa, esta vez llamada I Can Stalk U, que parte de una idea similar. Pero ICSU no se encarga de reunir información sobre esos tweets para alertar sobre cuándo una persona está en casa o no, sino para hacernos ver que hay que tener mucho cuidado con las imágenes que enviamos a través de Twitter y de la información que las acompaña.
En la mayoría de smartphones de hoy en día vienen activadas por defecto varias opciones de geolocalización. De esta forma, muchos de los tweets que enviamos con imágenes y fotos llevan asociada cierta información (metadata) que permite conocer exactamente desde qué lugar y en qué momento se tomó.
I Can Stalk U presenta esta información de una forma diferente para que podamos ver exactamente qué contienen estas imágenes. Como vemos en la imagen principal y podréis ver en la web, cada tweet se separa en tres apartados: localización en el mapa, ver la fotografía y ver el tweet original.
Así, con estas tres características, podremos ver cómo a partir de una simple imagen compartida se pueden obtener una cantidad de datos importantes como la fecha y el lugar. Desde ICSU ya dicen que esta iniciativa no nace con la idea de aprovecharse de estos datos, sino para alertar a los usuarios de que hay que tomar precauciones a la hora de compartir información en las redes sociales y de que existen opciones en los diferentes móviles para evitar que esta información sea compartida.
Sin ir más lejos, ellos mismos, bajo la sección “How” ofrecen una serie de tutoriales para Android, iOS, Blackberry y webOS sobre cómo evitar que estos datos sean integrados en nuestras imágenes o fotografías.
Fuente genbeta.com
Etiquetas:
icsu,
redes sociales,
vulnerabilidad
Aumentan las denuncias por estafas a través de las redes sociales
Ante el crecimiento de los fraudes de los que son víctimas los usuarios de las redes sociales, cada vez son más los que se animan a denunciarlo. Según los datos de la Federación de Usuarios y Consumidores Independientes (FUCI, España), en 2010 se han multiplicado por cinco las denuncias de este tipo en nuestro país.
Desde principios desde este 2010, y sólo durante los seis primeros meses del año los servicios jurídicos de la FUCI han recibido más de 1.300 quejas de usuarios que han sido víctimas de alguno de los muchos timos que hay por Internet en sitios web con concursos, juegos y promociones en las que, para participar, solicitan el su número de teléfono móvil.
Posteriormente, y sin que el usuario lo sepa, sus números de teléfono es utilizado para darles de alta en plataformas de descargas para móviles. Según la FUCI, los usuarios están recibiendo hasta 15 mensajes semanales, lo que se traduce en una estafa que asciende a unos 18 euros mensuales por cada usuario.
Ante la imparable aparición de este tipo de estafas, aunque la denuncia es un paso importante para tener conocimiento de los timos existentes para erradicarlos, desde esta entidad aconsejan a los usuarios darse de baja de forma inmediata de los servicios a los que se les han suscrito sin su conocimiento.
Fuente csospain.es
Desde principios desde este 2010, y sólo durante los seis primeros meses del año los servicios jurídicos de la FUCI han recibido más de 1.300 quejas de usuarios que han sido víctimas de alguno de los muchos timos que hay por Internet en sitios web con concursos, juegos y promociones en las que, para participar, solicitan el su número de teléfono móvil.
Posteriormente, y sin que el usuario lo sepa, sus números de teléfono es utilizado para darles de alta en plataformas de descargas para móviles. Según la FUCI, los usuarios están recibiendo hasta 15 mensajes semanales, lo que se traduce en una estafa que asciende a unos 18 euros mensuales por cada usuario.
Ante la imparable aparición de este tipo de estafas, aunque la denuncia es un paso importante para tener conocimiento de los timos existentes para erradicarlos, desde esta entidad aconsejan a los usuarios darse de baja de forma inmediata de los servicios a los que se les han suscrito sin su conocimiento.
Fuente csospain.es
Etiquetas:
ataques. internet,
estafas,
redes sociales
China podría forzar la salida del país de las empresas de seguridad
El hecho de que China esté incrementando sus esfuerzos para mantener los sistemas de seguridad que protegen infraestructuras críticas en manos de empresas locales podrían ser malas noticias para las compañías extranjeras con presencial en el país asiático.
China ha empezado a enviar inspectores para comprobar que se está cumpliendo una normativa poco conocida llamada Multi-Level Protection Scheme (MLPS). Lanzada hace tres años por parte del Ministerio de seguridad Pública de China, la MLPS obliga a que los productos clave utilizados por instituciones gubernamentales y compañías de infraestructura –como bancos y transportes- deben proceder de proveedores locales.
Recordamos que en los últimos años los inspectores gubernamentales han estado diciendo a algunas compañías que deben cambiar sus firewalls y otras tecnologías de seguridad por la que ofrezcan empresas chinas.
Esta estrategia de optar por empresas locales podría forzar a vendedores como Cisco Systems o Symantec a abandonar un mercado importante, o a aliarse con empresas locales.
La normativa MPLS es pública desde 2007, pero hasta ahora su aplicación no parecía ser obligatoria. Básicamente afecta a compañías que cuentan con infraestructura crítica para el país y es una de las políticas más duras diseñadas por China en los últimos años para defender la tecnología desarrollada localmente.
Fuente itesspreso.es
China ha empezado a enviar inspectores para comprobar que se está cumpliendo una normativa poco conocida llamada Multi-Level Protection Scheme (MLPS). Lanzada hace tres años por parte del Ministerio de seguridad Pública de China, la MLPS obliga a que los productos clave utilizados por instituciones gubernamentales y compañías de infraestructura –como bancos y transportes- deben proceder de proveedores locales.
Recordamos que en los últimos años los inspectores gubernamentales han estado diciendo a algunas compañías que deben cambiar sus firewalls y otras tecnologías de seguridad por la que ofrezcan empresas chinas.
Esta estrategia de optar por empresas locales podría forzar a vendedores como Cisco Systems o Symantec a abandonar un mercado importante, o a aliarse con empresas locales.
La normativa MPLS es pública desde 2007, pero hasta ahora su aplicación no parecía ser obligatoria. Básicamente afecta a compañías que cuentan con infraestructura crítica para el país y es una de las políticas más duras diseñadas por China en los últimos años para defender la tecnología desarrollada localmente.
Fuente itesspreso.es
Etiquetas:
:China,
Multi-Level Protection Scheme (MLPS),
Seguridad,
Tecnología
Rusia y Turquía son los países más peligrosos de Internet
Rusia y Turquía se han convertido en los países más peligrosos de Internet gracias al último estudio de la empresa de seguridad AVG, que afirma que los internautas de estos dos países del Caúcaso son los que tienen mayores riesgos de sufrir ataques online.
AVG afirma que Rusia y Turquía son los que tienen mayor concentración de intentos de ataque por ciudadano. En el informe se comparan los intentos de ataque recolectados por su Threat Labs, con número total de usuarios de internet de cada país.
Uno de cada diez usuarios turcos ha sido objeto de un intento de ataque este año. En Rusia la cifra es de uno por cada 14 usuarios.
El tercer país de la lista es Armenia, donde los datos muestras que uno de cada 24 usuarios es objeto de ataques, seguida de Azerbaiyán e India. Estados Unidos, uno de los países más TIC, es el noveno de la lista con un usuario afectado por cada 48.
El informe de AVG detalla también el país más seguro para navegar: Japón, con un ataque por cada 404 usuarios.
Fuente itesspreso.es
AVG afirma que Rusia y Turquía son los que tienen mayor concentración de intentos de ataque por ciudadano. En el informe se comparan los intentos de ataque recolectados por su Threat Labs, con número total de usuarios de internet de cada país.
Uno de cada diez usuarios turcos ha sido objeto de un intento de ataque este año. En Rusia la cifra es de uno por cada 14 usuarios.
El tercer país de la lista es Armenia, donde los datos muestras que uno de cada 24 usuarios es objeto de ataques, seguida de Azerbaiyán e India. Estados Unidos, uno de los países más TIC, es el noveno de la lista con un usuario afectado por cada 48.
El informe de AVG detalla también el país más seguro para navegar: Japón, con un ataque por cada 404 usuarios.
Fuente itesspreso.es
Etiquetas:
ataques. internet,
Seguridad
jueves, 26 de agosto de 2010
Emails anuncian falsas muertes de celebridades para propagar malware
El uso de personas famosas como reclamo para engañar a los usuarios (normalmente movidos por el morbo que generan) y hacer que pulsen sobre enlaces o ejecuten archivos adjuntos maliciosos, es algo frecuentemente usado por los creadores de malware. Este pasado fin de semana hemos podido comprobar como una nueva campaña de propagación de malware se difundía usando como asunto del mensaje la muerte de varias celebridades.
En ese mensaje se nos informa de que una persona famosa (Madonna, Jeniffer Lopez, Justin Timberlake, Miley Cyrus, etc.) ha fallecido junto con otras 34 personas en un accidente aéreo cuando intentaban aterrizar en el aeropuerto de Dubrovnik, debido a una intensa lluvia y pobre visibilidad. Obviamente, esta noticia es falsa y solo pretende captar la atención del usuario para que ejecute el archivo adjunto.
El archivo adjunto es un fichero .html que, en el caso de que lo ejecutemos, intentará acceder a una web maliciosa alojada en un dominio de México y, una vez allí, descargar un troyano que es detectado como HTML/IFrame.F. En el momento de escribir este artículo, el sitio ya era detectado y bloqueado por la mayoría de navegadores actuales pero algunos sistemas con navegadores antiguos como Internet Explorer 6 podrían no alertar al usuario de esta amenaza.
La propagación de este tipo de amenazas, camufladas en archivos html es una tendencia bastante frecuente en los últimos meses. Al no ser una extensión de las que los usuarios consideran peligrosas, la posibilidad de que pulsen sobre estos archivos es bastante mayor que en correos con otro tipo de ficheros adjuntos. Asimismo, a muchos filtros antispam aun les cuesta detectar amenazas en estos archivos puesto que el código malicioso suele encontrarse en un enlace preparado con ese fin y no en el correo.
Fuente http://blogs.protegerse.com/laboratorio/
En ese mensaje se nos informa de que una persona famosa (Madonna, Jeniffer Lopez, Justin Timberlake, Miley Cyrus, etc.) ha fallecido junto con otras 34 personas en un accidente aéreo cuando intentaban aterrizar en el aeropuerto de Dubrovnik, debido a una intensa lluvia y pobre visibilidad. Obviamente, esta noticia es falsa y solo pretende captar la atención del usuario para que ejecute el archivo adjunto.
El archivo adjunto es un fichero .html que, en el caso de que lo ejecutemos, intentará acceder a una web maliciosa alojada en un dominio de México y, una vez allí, descargar un troyano que es detectado como HTML/IFrame.F. En el momento de escribir este artículo, el sitio ya era detectado y bloqueado por la mayoría de navegadores actuales pero algunos sistemas con navegadores antiguos como Internet Explorer 6 podrían no alertar al usuario de esta amenaza.
La propagación de este tipo de amenazas, camufladas en archivos html es una tendencia bastante frecuente en los últimos meses. Al no ser una extensión de las que los usuarios consideran peligrosas, la posibilidad de que pulsen sobre estos archivos es bastante mayor que en correos con otro tipo de ficheros adjuntos. Asimismo, a muchos filtros antispam aun les cuesta detectar amenazas en estos archivos puesto que el código malicioso suele encontrarse en un enlace preparado con ese fin y no en el correo.
Fuente http://blogs.protegerse.com/laboratorio/
Mac OS X Security Update Fixes Over A Dozen Flaws
Apple has issued Security Update 2010-005, an 84 MB update that fixes a baker’s dozen flaws in Mac OS X 10.5 and 10.6, both client and server versions. One of the vulnerabilities that is corrected is described as follows:
A stack buffer overlow exists in Apple Type Services’ handling of embedded fonts. Viewing or downloading a document containing a maliciously crafted embedded font may lead to arbitrary code execution.
This flaw is similar to the “jailbreak vulnerability” that Apple fixed on its iOS. (We discussed the iOS update two weeks ago.)
Other fixes in this update cover networking, CoreGraphics, and update PHP to version 5.3.2.
Full information about the update is available here. You can get the update, as usual, through Software Update, or by download from Apple’s Downloads page.
Fuente intego.com
A stack buffer overlow exists in Apple Type Services’ handling of embedded fonts. Viewing or downloading a document containing a maliciously crafted embedded font may lead to arbitrary code execution.
This flaw is similar to the “jailbreak vulnerability” that Apple fixed on its iOS. (We discussed the iOS update two weeks ago.)
Other fixes in this update cover networking, CoreGraphics, and update PHP to version 5.3.2.
Full information about the update is available here. You can get the update, as usual, through Software Update, or by download from Apple’s Downloads page.
Fuente intego.com
Etiquetas:
actualizaciones,
mac,
vulnerabilidad
La ESTA (documento para entrar a USA), el nuevo reclamo al que echan mano los cibercriminales
La ESTA es el documento a cubrir en internet que permite a los viajeros de algunos países acceder a Estados Unidos sin el engorro de visitas a la Embajada para hacerse con un visado. Ahora también es un reclamo para la estafa, ya que como ha detectado McAfee los cibercriminales han descubierto su potencial.
Varios son los sitios que se ofrecen a gestionar la ESTA o bien se hacen pasar por el legítimo portal de solicitud, consiguiendo hacerse así con la información confidencial del viajero.
En las últimas semanas, y tras anunciar Estados Unidos que cobrará por el visado de acceso al país (hasta ahora gratuito y desde septiembre con un coste de 14 dólares), las falsas páginas de solicitud de la ESTA han florecido, alentadas por el potencial económico directo que ofrecen. Los cibercriminales cobran entre 20 y 250 dólares por la falsa ESTA, lo que les deja un increible margen de beneficios.
Las consecuencias de confiar en estos sitios falsos pueden ser desastrosas. Ya no sólo el viajero perderá el dinero que pague por la ESTA de pega, sino que además se arriesga a no poder entrar en Estados Unidos porque no ha hecho una solicitud real. Igualmente habrá puesto en manos de los ciberdelincuentes información especialmente preciada, ya que los formularios de inmigración - que tiene que cubrir toda persona que quiera entrar en el país - requieren facilitar datos tan confidenciales como los antecedentes penales.
Varios son los sitios que se ofrecen a gestionar la ESTA o bien se hacen pasar por el legítimo portal de solicitud, consiguiendo hacerse así con la información confidencial del viajero.
En las últimas semanas, y tras anunciar Estados Unidos que cobrará por el visado de acceso al país (hasta ahora gratuito y desde septiembre con un coste de 14 dólares), las falsas páginas de solicitud de la ESTA han florecido, alentadas por el potencial económico directo que ofrecen. Los cibercriminales cobran entre 20 y 250 dólares por la falsa ESTA, lo que les deja un increible margen de beneficios.
Las consecuencias de confiar en estos sitios falsos pueden ser desastrosas. Ya no sólo el viajero perderá el dinero que pague por la ESTA de pega, sino que además se arriesga a no poder entrar en Estados Unidos porque no ha hecho una solicitud real. Igualmente habrá puesto en manos de los ciberdelincuentes información especialmente preciada, ya que los formularios de inmigración - que tiene que cubrir toda persona que quiera entrar en el país - requieren facilitar datos tan confidenciales como los antecedentes penales.
Etiquetas:
ciberdelicuencia
Adode soluciona 20 vulnerabilidades en Shockwave
Adobe ha lanzado una actualización de seguridad que afecta a su reproductor Shockwave Player 11.5.7.609 tanto para Windows como para Mac OS.
Adobe ha lanzado un parche de seguridad que soluciona un total de 20 vulnerabilidades encontradas en su reproductor multimedia Shockwave. La actualización de seguridad, que la compañía califica de crítica, afecta a la versión 11.5.7.609 de Adobe Shockwave tanto para Mac OS como para Windows.
Desde Adobe explican que las vulnerabilidades podrían permitir, a un atacante que consiguiera explotarlas, la ejecución remota de código que afectara al sistema.
De las 20 vulnerabilidades 18 cubren los problemas que permitirían la ejecución remota de código de los sistemas afectados. Otra de las vulnerabilidades permite ejecutar ataques de denegación de servicio.
Adobe ha estado asediado por una serie de ataques contra su software, ya que los cibercriminales buscan programas populares que utilicen millones de personas. Para limitar en lo posible los problemas generados por las vulnerabilidades Adobe imitó a Microsoft estableciendo boletines de seguridad periódicos que solucionaran los problemas y además permitieran compartir la información con terceros.
Fuente Itespresso.es
Adobe ha lanzado un parche de seguridad que soluciona un total de 20 vulnerabilidades encontradas en su reproductor multimedia Shockwave. La actualización de seguridad, que la compañía califica de crítica, afecta a la versión 11.5.7.609 de Adobe Shockwave tanto para Mac OS como para Windows.
Desde Adobe explican que las vulnerabilidades podrían permitir, a un atacante que consiguiera explotarlas, la ejecución remota de código que afectara al sistema.
De las 20 vulnerabilidades 18 cubren los problemas que permitirían la ejecución remota de código de los sistemas afectados. Otra de las vulnerabilidades permite ejecutar ataques de denegación de servicio.
Adobe ha estado asediado por una serie de ataques contra su software, ya que los cibercriminales buscan programas populares que utilicen millones de personas. Para limitar en lo posible los problemas generados por las vulnerabilidades Adobe imitó a Microsoft estableciendo boletines de seguridad periódicos que solucionaran los problemas y además permitieran compartir la información con terceros.
Fuente Itespresso.es
Etiquetas:
actualizaciones,
adobe,
Seguridad,
shockwave
El 25% de los gusanos creados en 2010 están especialmente diseñados para infectar a través de dispositivos USB
a popularidad las memorias USB ha llevado a los ciberiminales a aprovecharse de su omnipresencia diseñando cada vez más malware para este tipo de dispositivos. El II Barómetro Internacional de Seguridad en PYMEs, publicado por Panda Security, explica que este tipo de amenazas se copian a sí mismas en cualquier unidad con capacidad de alojar información y un puerto USB: teléfonos móviles, discos duros externos, DVDs, flash de memoria, reproductores MP3 o 4 de cualquier tipo, etc.
El informe de Panda Security, para el que se han encuestado a 10.470 compañías de 20 países diferentes, señala que el 48% de las empresas confiesan haber diso infectadas por algún tipo de malware en el último año, y un 27% dice que la fuente de su infección ha sido un dispositivo con memoria extraíble conectado mediante USB al ordenador.
De momento, este método de infección no supera el uso de correo electrónico para distribuirse, pero la tendencia es a aumentar porque, como comenta Luis Corrons, Director Técnico de PandaLabs, “prácticamente, cualquier cosa que nos compramos, viene preparada para enchufar al USB del ordenador: cámaras digitales, teléfonos móviles, reproductores MP3 o MP4…”.
Como respuesta al problema Panda Security ha desarrollado Panda USB Vaccine, un producto gratuito que permite llevar a cabo una doble protección preventiva, o vacuna, tanto del mismo PC para deshabilitar la funcionalidad AutoRun, como de unidades y llaves USB individuales.
Fuente Itesspreso.es
El informe de Panda Security, para el que se han encuestado a 10.470 compañías de 20 países diferentes, señala que el 48% de las empresas confiesan haber diso infectadas por algún tipo de malware en el último año, y un 27% dice que la fuente de su infección ha sido un dispositivo con memoria extraíble conectado mediante USB al ordenador.
De momento, este método de infección no supera el uso de correo electrónico para distribuirse, pero la tendencia es a aumentar porque, como comenta Luis Corrons, Director Técnico de PandaLabs, “prácticamente, cualquier cosa que nos compramos, viene preparada para enchufar al USB del ordenador: cámaras digitales, teléfonos móviles, reproductores MP3 o MP4…”.
Como respuesta al problema Panda Security ha desarrollado Panda USB Vaccine, un producto gratuito que permite llevar a cabo una doble protección preventiva, o vacuna, tanto del mismo PC para deshabilitar la funcionalidad AutoRun, como de unidades y llaves USB individuales.
Fuente Itesspreso.es
2010, el año de las vulnerabilidades
En lo que va de año los investigadores de seguridad y administradores TI se han mantenido muy ocupados, unos descubriendo vulnerabilidades y otros aplicando los parches correspondientes. Y es que el último informe de X-Force ha desvelado que durante los primeros seis meses de 2010 se han superado los récords de vulnerabilidades existentes. De hecho, se han documentado un total de 4.396 vulnerabilidades de software en el primer semestre, un 35% más que en todo 2009.
La buena noticia es que para muchos estas cifras simplemente indican que los vendedores de software ofrecen más datos y han incrementado el número de investigadores de seguridad dedicados a encontrar fallos en el código. Podría decirse que, paradójicamente, el software está más seguro.
De las vulnerabilidades descubiertas por las compañías de software durante este año, cerca de la mitad siguen sin un parche disponible, un porcentaje que crece hasta el 71% cuando las vulnerabilidades se consideran críticas. En cuanto a las compañías, el informe de X-Force dice que Google es la más afectada, con un 33% de las vulnerabilidades importantes sin parchear.
Por primera vez desde que se realiza el informe, las vulnerabilidades de aplicaciones representan el 50% de todos los fallos de código descubiertos. En cuanto a las vulnerabilidades de los sistemas operativos, Windows es el más afectado, aunque parece ser lo más obvio cuando está presente en más del 80% de los ordenadores de todo el mundo.
fuente itesspreso.es
La buena noticia es que para muchos estas cifras simplemente indican que los vendedores de software ofrecen más datos y han incrementado el número de investigadores de seguridad dedicados a encontrar fallos en el código. Podría decirse que, paradójicamente, el software está más seguro.
De las vulnerabilidades descubiertas por las compañías de software durante este año, cerca de la mitad siguen sin un parche disponible, un porcentaje que crece hasta el 71% cuando las vulnerabilidades se consideran críticas. En cuanto a las compañías, el informe de X-Force dice que Google es la más afectada, con un 33% de las vulnerabilidades importantes sin parchear.
Por primera vez desde que se realiza el informe, las vulnerabilidades de aplicaciones representan el 50% de todos los fallos de código descubiertos. En cuanto a las vulnerabilidades de los sistemas operativos, Windows es el más afectado, aunque parece ser lo más obvio cuando está presente en más del 80% de los ordenadores de todo el mundo.
fuente itesspreso.es
Etiquetas:
ibm,
Seguridad,
vulnerabilidad,
xforce
Ciberestafas mas comunes y Tip de protección
Los delincuentes están siempre preparándose para el próximo evento importante, todo el viaje desde lanzar un enganche hasta un ataque, en un intento de engañarnos a creer sus mentiras. ¿Qué hay en estos ataques que logran engañar a tanta gente y qué podemos hacer para protegernos?
Los principales fraudes
1. El Top de la lista es el conocido ataque de phishing. Principalmente para robar nuestras credenciales, todos somos advertidos acerca de ellos con una sonrisa de suficiencia, suprimimos los mail de Nigeria que nos dice que, estamos a sólo un clic de distancia de convertirnos en millonarios. Sin embargo, por alguna razón, los estafadores continúan logrando aproximarse a un receptor, un ejemplo de ello es la reciente World Cup Lottery, la gente baja la guardia y hace clic en el enlace.
2. Una estafa bastante nueva que circula ahora es la comunicación falsa del departamento de TI de una empresa pediendo al personal, actualización automática de sus sistemas, con un link a un sistema que albergar malware malicioso que esta a la espera para descargar directamente al dispositivo del empleado “siempre hago lo que otros me dicen”
3. El ataque “Oficial” de phishing pertenece a bancos muy conocidos o a departamentos gubernamentales, o de otro tipo de autoridad. Este tipo de ataque puede tomar una serie de formatos, pero todos tienen la misma cosa en común, son en extremo bien ejecutados. Los criminales van a recrear minuciosamente membretes, direcciones de correo electrónico legítimos y nombres de dominio con el único propósito de engañarnos en la creencia de su legitimidad. Y lo que quieren son sus credenciales o datos.
4. La estafa de nombres de dominio se dirige principalmente a empresas y propietarios de dominio. Hay dos tipos de ataque: 1) hacer que usted compre más dominios de lo que necesitas por temor a perderlos y 2) para hacerle pagar para renovar su nombre de dominio, cuando lo que se realiza es la transferencia a los estafadores, que piden rescate por liberar el nombre de su dominio.
He aquí una lista para que usted, que le ayudará a mantenerse un paso por delante de los criminales y sus comunicaciones cada vez más sofisticadas:
1.-Asegúrese de estar siempre al día con el último sistema operativo, navegador y software de seguridad. Deberá ser prudentes y evitar descargas sospechosas de sitios no confiables, evitando la descarga de Malware. Utilice siempre un sitio de renombre, tales como Adobe, Microsoft, etc
2.-Al navegar por Internet, mantenga su instinto radar en sintonía y trate de evitar los sitios cuestionables. Vale la pena notar que, incluso si un sitio es devuelto por un motor de búsqueda - incluso los de buena reputación, aún debe tener cuidado cuando les visita, por que es posible para cualquiera tener acceso a un puerto de código malicioso y es mejor prevenir que curar. De hecho, un sitio perfectamente legítimo sin una protección adecuada es presa perfecta para un pirata informático que se instala el código malicioso para robar las credenciales, a menudo durante un corto período de tiempo, y se escapa sin ser detectado. Compruebe siempre la barra de direcciones en la parte superior de la pantalla de estados https: / / antes de enviar ningún registro o información personal, especialmente datos de la tarjeta de crédito. Con los nuevos navegadores la dirección de dominio será de color verde para los sitios seguros y con la advertencia en rojo de aquellos sitios que realmente no se debe confiar.
3.-Siempre cuestiónese la legitimidad de los archivos adjuntos a los correos electrónicos, incluso de sus amigos cercanos y familia, ya que sin darse cuenta puede estar transmitiendo un virus.
4.-Tenga cuidado al descargar software de Internet, especialmente de los sitios con los que no este familiarizado Vale la pena hacer un poco de historia en los foros para asegurarse de que el software no ha sido discutido previamente como potencialmente peligrosos.
5.-Desconfíe de los mensajes de correo electrónico que afirma provenir de su banco, el departamento de TI, Microsoft o del proveedor de software, etc que le solicitará que ejecute algún archivo. A menos que usted está esperando una comunicación de esta naturaleza. En caso de duda visite sus sitios web o departamentos, aunque no a través de los enlaces incorporados en la comunicación, y compruebe si ha habido ningún reporte de estos mensajes como fraudulentas.
6.-Del mismo modo, si usted recibe un correo electrónico que afirma provenir de su banco, o del departamento de TI, de Microsoft o del algun proveedor de software, etc pidiendo revelar información personal - incluso si parece ser un correo legítimo, debe sonar las campanas de alarma. Ninguna de estas organizaciones cada vez le pedirá que revele su contraseña.
7.-Como se ha mencionado en el punto 5, nunca haga clic en un enlace en un correo electrónico no solicitados, especialmente una que obliga a "actualizar sus datos '.
Los principales fraudes
1. El Top de la lista es el conocido ataque de phishing. Principalmente para robar nuestras credenciales, todos somos advertidos acerca de ellos con una sonrisa de suficiencia, suprimimos los mail de Nigeria que nos dice que, estamos a sólo un clic de distancia de convertirnos en millonarios. Sin embargo, por alguna razón, los estafadores continúan logrando aproximarse a un receptor, un ejemplo de ello es la reciente World Cup Lottery, la gente baja la guardia y hace clic en el enlace.
2. Una estafa bastante nueva que circula ahora es la comunicación falsa del departamento de TI de una empresa pediendo al personal, actualización automática de sus sistemas, con un link a un sistema que albergar malware malicioso que esta a la espera para descargar directamente al dispositivo del empleado “siempre hago lo que otros me dicen”
3. El ataque “Oficial” de phishing pertenece a bancos muy conocidos o a departamentos gubernamentales, o de otro tipo de autoridad. Este tipo de ataque puede tomar una serie de formatos, pero todos tienen la misma cosa en común, son en extremo bien ejecutados. Los criminales van a recrear minuciosamente membretes, direcciones de correo electrónico legítimos y nombres de dominio con el único propósito de engañarnos en la creencia de su legitimidad. Y lo que quieren son sus credenciales o datos.
4. La estafa de nombres de dominio se dirige principalmente a empresas y propietarios de dominio. Hay dos tipos de ataque: 1) hacer que usted compre más dominios de lo que necesitas por temor a perderlos y 2) para hacerle pagar para renovar su nombre de dominio, cuando lo que se realiza es la transferencia a los estafadores, que piden rescate por liberar el nombre de su dominio.
He aquí una lista para que usted, que le ayudará a mantenerse un paso por delante de los criminales y sus comunicaciones cada vez más sofisticadas:
1.-Asegúrese de estar siempre al día con el último sistema operativo, navegador y software de seguridad. Deberá ser prudentes y evitar descargas sospechosas de sitios no confiables, evitando la descarga de Malware. Utilice siempre un sitio de renombre, tales como Adobe, Microsoft, etc
2.-Al navegar por Internet, mantenga su instinto radar en sintonía y trate de evitar los sitios cuestionables. Vale la pena notar que, incluso si un sitio es devuelto por un motor de búsqueda - incluso los de buena reputación, aún debe tener cuidado cuando les visita, por que es posible para cualquiera tener acceso a un puerto de código malicioso y es mejor prevenir que curar. De hecho, un sitio perfectamente legítimo sin una protección adecuada es presa perfecta para un pirata informático que se instala el código malicioso para robar las credenciales, a menudo durante un corto período de tiempo, y se escapa sin ser detectado. Compruebe siempre la barra de direcciones en la parte superior de la pantalla de estados https: / / antes de enviar ningún registro o información personal, especialmente datos de la tarjeta de crédito. Con los nuevos navegadores la dirección de dominio será de color verde para los sitios seguros y con la advertencia en rojo de aquellos sitios que realmente no se debe confiar.
3.-Siempre cuestiónese la legitimidad de los archivos adjuntos a los correos electrónicos, incluso de sus amigos cercanos y familia, ya que sin darse cuenta puede estar transmitiendo un virus.
4.-Tenga cuidado al descargar software de Internet, especialmente de los sitios con los que no este familiarizado Vale la pena hacer un poco de historia en los foros para asegurarse de que el software no ha sido discutido previamente como potencialmente peligrosos.
5.-Desconfíe de los mensajes de correo electrónico que afirma provenir de su banco, el departamento de TI, Microsoft o del proveedor de software, etc que le solicitará que ejecute algún archivo. A menos que usted está esperando una comunicación de esta naturaleza. En caso de duda visite sus sitios web o departamentos, aunque no a través de los enlaces incorporados en la comunicación, y compruebe si ha habido ningún reporte de estos mensajes como fraudulentas.
6.-Del mismo modo, si usted recibe un correo electrónico que afirma provenir de su banco, o del departamento de TI, de Microsoft o del algun proveedor de software, etc pidiendo revelar información personal - incluso si parece ser un correo legítimo, debe sonar las campanas de alarma. Ninguna de estas organizaciones cada vez le pedirá que revele su contraseña.
7.-Como se ha mencionado en el punto 5, nunca haga clic en un enlace en un correo electrónico no solicitados, especialmente una que obliga a "actualizar sus datos '.
Etiquetas:
malware,
phishing,
protección de información,
Seguridad
martes, 24 de agosto de 2010
Critical security holes in Adobe Shockwave
Adobe has shipped a Shockwave Player update to fix 20 security holes, some serious enough to lead to system takeover attacks.
The vulnerabilities, rated “critical,” affect Shockwave Player 11.5.7.609 and earlier versions for Windows and Macintosh.
From Adobe’s advisory:
Critical vulnerabilities have been identified in Adobe Shockwave Player 11.5.7.609 and earlier versions on the Windows and Macintosh operating systems. The vulnerabilities could allow an attacker, who successfully exploits these vulnerabilities, to run malicious code on the affected system.
Users of Adobe Shockwave Player 11.5.7.609 and earlier versions should immediately upgrade to version 11.5.8.612 using this link: http://get.adobe.com/shockwave/.
The vulnerabilities, rated “critical,” affect Shockwave Player 11.5.7.609 and earlier versions for Windows and Macintosh.
From Adobe’s advisory:
Critical vulnerabilities have been identified in Adobe Shockwave Player 11.5.7.609 and earlier versions on the Windows and Macintosh operating systems. The vulnerabilities could allow an attacker, who successfully exploits these vulnerabilities, to run malicious code on the affected system.
Users of Adobe Shockwave Player 11.5.7.609 and earlier versions should immediately upgrade to version 11.5.8.612 using this link: http://get.adobe.com/shockwave/.
Etiquetas:
actualizaciones,
adobe
5 ways to protect yourself from the threat of USB drives
Fallo de seguridad en la carga dinámica de librerías en Windows
FUENTE INTECO.ES
Importancia: 5 - Máxima
Fecha de publicación: 24/08/2010
Recursos afectados
Multitud de aplicaciones para Windows (todavía no confirmadas)
Descripción
Se ha publicado un fallo de seguridad relacionado con la carga dinámica de librerías que afecta a multitud de aplicaciones para Windows y que pueden permitir a un atacante ejecutar código malicioso y comprometer un equipo.
Solución
Microsoft ha publicado una solución provisional para deshabilitar la carga de librerías de WebDAV y recursos compartidos remotos (se abre en nueva ventana) hasta que esté disponible una actualización de seguridad que ayude a solucionar y bloquear parte de los ataques conocidos hasta el momento.
Para mayor seguridad puede deshabilitarse el cliente WebDaV mediante los siguientes pasos:
* Pulsar en inicio -> ejecutar y escribir Services.msc
* Botón derecho sobre WebClient y selecionar propiedades
* Cambiar el tipo de inicio a Disable. En el caso de que esté ejecutándose pulsar Stop
Nota: Después de aplicar esta solución todavía es posible para un atacante remoto explotar esta vulnerabilidad provocando que Microsoft Office Outlook ejecute programas ubicados en el ordenador del usuario o en la red de área local (LAN) aunque se les pedirá confirmación antes de ejecutar dichos programas desde Internet.
Otra solución adicional consistiría en bloquear los puertos 139 y 445 en el cortafuegos. Estos puertos se utilizan para iniciar una conexión con el componente afectado. Microsoft recomienda bloquear toda comunicación entrante no solicitada desde Internet para impedir ataques que puedan utilizar otros puertos.
Detalle
Esta vulnerabilidad se produce cuando un tipo de archivo vulnerable es abierto desde dentro de un directorio controlado por el atacante. Este directorio puede ser una unidad USB, un recurso compartido en red o WebDAV. En la mayoría de los casos, el usuario tendrá que ir al directorio y después abrir dicho archivo. El fallo reside en la aplicación encargada de gestionar dicho fichero que cargará una DLL desde el directorio de trabajo.
Cuando una aplicación carga dinámicamente una librería de enlace dinámico (DLL) sin especificar un nombre de ruta de acceso completa, Windows intenta localizar el archivo DLL mediante la búsqueda en una serie de directorios definidos. Si un atacante obtiene el control de uno de los directorios, pueden forzar a la aplicación a cargar una copia de una DLL maliciosa en lugar de la DLL que la apliCacion esperaba. Estos ataques se conocen como "ataques de precarga DLL" y son comunes en la mayoría de sistemas operativos que soportan carga dinámica de librerías compartidas.
El siguiente sería un ejemplo de carga de librería de forma insegura:
DWORD retval = SearchPath(NULL, "schannel", ".dll", err, result, NULL);
HMODULE handle = LoadLibrary(result);
De acuerdo con la función anterior, la aplicación buscará "schannel.dll" por medio de la ruta de búsqueda menos segura. Si un atacante puede poner schannel.dll en CWD (Current Working Directory), se cargará incluso antes de que la aplicación busque los directorios de Windows para la librería adecuada.
Esta vulnerabilidad, por tanto, puede ser explotada mediante el envío al usuario de un enlace a un recurso compartido, por ejemplo, \\servidor\peliculas\ junto con un conjunto de ficheros que se vean afectados por esta vulnerabilidad. El usuario intentará abrir cualquiera de esos ficheros, por ejemplo un fichero multimedia, y el programa encargado de reproducirlo cargará una o mas DLL que contendrán el código malicioso. iTunes se vio afectado por este fallo de seguridad la semana pasada pero se ha descubierto que la mayoría de las aplicaciones para Windows (se abre en nueva ventana) tienen esta vulnerabilidad también.
Al parecer, dicho fallo de seguridad fue descubierto la semana pasada al investigar sobre la vulnerabilidad .lnk por el experto de seguridad HD Moore; pero según afirma este, a principios de este año, Taeho Kwon y Zhendong Su de la Universidad de California, publicaron un document o titulado "Automatic Detection of Vulnerable Dynamic Component Loadings" donde ya se describían las diferentes variantes de DLL hijacking además de mostrarse una lista de aplicaciones vulnerables.
Microsoft recomienda que los desarrolladores de software definan con claridad desde dónde van a cargar librerías específicas y ha publicado recientemente un artículo para MSDN denominado "Dynamic-Link Library Security" que proporciona orientación a los desarrolladores sobre cómo cargar las librerías de manera segura. De forma genérica las recomendaciones son:
* Siempre que sea posible, utilice un nombre de ruta de acceso completa al cargar una librería;
* Elimine el directorio actual de la ruta de búsqueda mediante el uso de SetDLLDirectory;
* No utilizar SearchPath para ubicar una librería.
* No cargar librerías exclusivamente para identificar la versión de Windows. En su lugar, utilice GetVersionEx, o una función similar que ofrece la API de Windows.
Microsoft ha elaborado recientemente un documento para orientar y ayudar a los desarrolladores a entender este problema.
Mientras los fabricantes de software afectado desarrollen parches para solucionar el problema, se recomienda llevar a cabo las soluciones temporales propuestas por Microsoft y comentadas en el presente aviso técnico
Importancia: 5 - Máxima
Fecha de publicación: 24/08/2010
Recursos afectados
Multitud de aplicaciones para Windows (todavía no confirmadas)
Descripción
Se ha publicado un fallo de seguridad relacionado con la carga dinámica de librerías que afecta a multitud de aplicaciones para Windows y que pueden permitir a un atacante ejecutar código malicioso y comprometer un equipo.
Solución
Microsoft ha publicado una solución provisional para deshabilitar la carga de librerías de WebDAV y recursos compartidos remotos (se abre en nueva ventana) hasta que esté disponible una actualización de seguridad que ayude a solucionar y bloquear parte de los ataques conocidos hasta el momento.
Para mayor seguridad puede deshabilitarse el cliente WebDaV mediante los siguientes pasos:
* Pulsar en inicio -> ejecutar y escribir Services.msc
* Botón derecho sobre WebClient y selecionar propiedades
* Cambiar el tipo de inicio a Disable. En el caso de que esté ejecutándose pulsar Stop
Nota: Después de aplicar esta solución todavía es posible para un atacante remoto explotar esta vulnerabilidad provocando que Microsoft Office Outlook ejecute programas ubicados en el ordenador del usuario o en la red de área local (LAN) aunque se les pedirá confirmación antes de ejecutar dichos programas desde Internet.
Otra solución adicional consistiría en bloquear los puertos 139 y 445 en el cortafuegos. Estos puertos se utilizan para iniciar una conexión con el componente afectado. Microsoft recomienda bloquear toda comunicación entrante no solicitada desde Internet para impedir ataques que puedan utilizar otros puertos.
Detalle
Esta vulnerabilidad se produce cuando un tipo de archivo vulnerable es abierto desde dentro de un directorio controlado por el atacante. Este directorio puede ser una unidad USB, un recurso compartido en red o WebDAV. En la mayoría de los casos, el usuario tendrá que ir al directorio y después abrir dicho archivo. El fallo reside en la aplicación encargada de gestionar dicho fichero que cargará una DLL desde el directorio de trabajo.
Cuando una aplicación carga dinámicamente una librería de enlace dinámico (DLL) sin especificar un nombre de ruta de acceso completa, Windows intenta localizar el archivo DLL mediante la búsqueda en una serie de directorios definidos. Si un atacante obtiene el control de uno de los directorios, pueden forzar a la aplicación a cargar una copia de una DLL maliciosa en lugar de la DLL que la apliCacion esperaba. Estos ataques se conocen como "ataques de precarga DLL" y son comunes en la mayoría de sistemas operativos que soportan carga dinámica de librerías compartidas.
El siguiente sería un ejemplo de carga de librería de forma insegura:
DWORD retval = SearchPath(NULL, "schannel", ".dll", err, result, NULL);
HMODULE handle = LoadLibrary(result);
De acuerdo con la función anterior, la aplicación buscará "schannel.dll" por medio de la ruta de búsqueda menos segura. Si un atacante puede poner schannel.dll en CWD (Current Working Directory), se cargará incluso antes de que la aplicación busque los directorios de Windows para la librería adecuada.
Esta vulnerabilidad, por tanto, puede ser explotada mediante el envío al usuario de un enlace a un recurso compartido, por ejemplo, \\servidor\peliculas\ junto con un conjunto de ficheros que se vean afectados por esta vulnerabilidad. El usuario intentará abrir cualquiera de esos ficheros, por ejemplo un fichero multimedia, y el programa encargado de reproducirlo cargará una o mas DLL que contendrán el código malicioso. iTunes se vio afectado por este fallo de seguridad la semana pasada pero se ha descubierto que la mayoría de las aplicaciones para Windows (se abre en nueva ventana) tienen esta vulnerabilidad también.
Al parecer, dicho fallo de seguridad fue descubierto la semana pasada al investigar sobre la vulnerabilidad .lnk por el experto de seguridad HD Moore; pero según afirma este, a principios de este año, Taeho Kwon y Zhendong Su de la Universidad de California, publicaron un document o titulado "Automatic Detection of Vulnerable Dynamic Component Loadings" donde ya se describían las diferentes variantes de DLL hijacking además de mostrarse una lista de aplicaciones vulnerables.
Microsoft recomienda que los desarrolladores de software definan con claridad desde dónde van a cargar librerías específicas y ha publicado recientemente un artículo para MSDN denominado "Dynamic-Link Library Security" que proporciona orientación a los desarrolladores sobre cómo cargar las librerías de manera segura. De forma genérica las recomendaciones son:
* Siempre que sea posible, utilice un nombre de ruta de acceso completa al cargar una librería;
* Elimine el directorio actual de la ruta de búsqueda mediante el uso de SetDLLDirectory;
* No utilizar SearchPath para ubicar una librería.
* No cargar librerías exclusivamente para identificar la versión de Windows. En su lugar, utilice GetVersionEx, o una función similar que ofrece la API de Windows.
Microsoft ha elaborado recientemente un documento para orientar y ayudar a los desarrolladores a entender este problema.
Mientras los fabricantes de software afectado desarrollen parches para solucionar el problema, se recomienda llevar a cabo las soluciones temporales propuestas por Microsoft y comentadas en el presente aviso técnico
Etiquetas:
falla dia cero,
microsoft,
vulnerabilidad,
Windows
¿Quien es el culpable de la perdida de datos?
Kroll Ontrack ha realizado una encuesta sobre las causas de la pérdida de datos que constata el desfase entre lo que perciben los usuarios y lo que ocurre en realidad.
Así, mientras que los errores de hardware y de software todavía se consideran importantes como causa de estas pérdidas, los resultados señalan cómo los encuestados perciben la complejidad asociada a la implementación y mantenimiento de la tecnología de almacenamiento de hoy día.
Para obtener estos resultados, Kroll Ontrack realizó más de 2000 entrevistas en 17 países preguntando cuál era la causa de la pérdida de datos más reciente que hubieran sufrido y el 40 por ciento de los entrevistados consideraron que el error humano era la causa principal. Eso sí, sólo el 27 por ciento manifestó que podía atribuir una pérdida de datos reciente a errores humanos. El 29 por ciento indicó que la causa de la pérdida de datos más reciente que habían sufrido se debía a problemas de hardware o del sistema.
Es curioso cómo la pérdida de datos atribuida a virus informáticos y a desastres naturales sigue siendo bastante baja. En la encuesta de 2010, los virus informáticos suponen menos del 7 por ciento de las pérdidas de datos recientes. Los desastres naturales sólo son responsables del 3 por ciento de los incidentes en 2010.
“Mientras la tecnología y la aptitud tecnológica continúan mejorando año tras año, la realidad es que los fallos de hardware, así como los errores humanos continúan siendo factores que se deben tener en cuenta", ha asegurado Nicholas Green, director de Kroll Ontrack España, aunque también aclara que “ningún factor se puede eliminar totalmente, con lo que la pérdida de datos es siempre una posibilidad real. Por ello, no es cuestión de si se producirá una pérdida de datos o no, sino más bien de cuándo se producirá. Así que ni los usuarios empresariales ni los usuarios particulares pueden fiarlo todo a la suerte. Muy al contrario: deben aplicar medidas de prevención para garantizar que quienes manejen sistemas de almacenamiento dispongan de la formación adecuada, de la redundancia funcional exigible y de un plan de continuidad que esté actualizado y sea accesible si se produce una pérdida de datos”.
Pero si un dato sorprende de esta encuesta es que, aunque más del 90 por ciento de los entrevistados había perdido información, el 18 por ciento “no sabía” cómo se había producido la pérdida.
Fuente www.idg.es
Así, mientras que los errores de hardware y de software todavía se consideran importantes como causa de estas pérdidas, los resultados señalan cómo los encuestados perciben la complejidad asociada a la implementación y mantenimiento de la tecnología de almacenamiento de hoy día.
Para obtener estos resultados, Kroll Ontrack realizó más de 2000 entrevistas en 17 países preguntando cuál era la causa de la pérdida de datos más reciente que hubieran sufrido y el 40 por ciento de los entrevistados consideraron que el error humano era la causa principal. Eso sí, sólo el 27 por ciento manifestó que podía atribuir una pérdida de datos reciente a errores humanos. El 29 por ciento indicó que la causa de la pérdida de datos más reciente que habían sufrido se debía a problemas de hardware o del sistema.
Es curioso cómo la pérdida de datos atribuida a virus informáticos y a desastres naturales sigue siendo bastante baja. En la encuesta de 2010, los virus informáticos suponen menos del 7 por ciento de las pérdidas de datos recientes. Los desastres naturales sólo son responsables del 3 por ciento de los incidentes en 2010.
“Mientras la tecnología y la aptitud tecnológica continúan mejorando año tras año, la realidad es que los fallos de hardware, así como los errores humanos continúan siendo factores que se deben tener en cuenta", ha asegurado Nicholas Green, director de Kroll Ontrack España, aunque también aclara que “ningún factor se puede eliminar totalmente, con lo que la pérdida de datos es siempre una posibilidad real. Por ello, no es cuestión de si se producirá una pérdida de datos o no, sino más bien de cuándo se producirá. Así que ni los usuarios empresariales ni los usuarios particulares pueden fiarlo todo a la suerte. Muy al contrario: deben aplicar medidas de prevención para garantizar que quienes manejen sistemas de almacenamiento dispongan de la formación adecuada, de la redundancia funcional exigible y de un plan de continuidad que esté actualizado y sea accesible si se produce una pérdida de datos”.
Pero si un dato sorprende de esta encuesta es que, aunque más del 90 por ciento de los entrevistados había perdido información, el 18 por ciento “no sabía” cómo se había producido la pérdida.
Fuente www.idg.es
Facebook explica cómo escapar de Places
Facebook no está dispuesta a que las ya habituales quejas por falta de privacidad echen por tierra todo el trabajo que la red social ha puesto en su nuevo servicio Places. Para ello, ha publicado un vídeo en el que explica cómo hacer para desactivar la herramienta.
La queja que ha provocado esta respuesta ha sido la de la Unión Americana por las Libertades Civiles (ALCU), que ha dicho que “Facebook pone muy fácil decir “sí” a que tus amigos te etiqueten“, pero que para desactivar la herramienta tan solo se le da al usuario una “opción de ‘no ahora’”.
Además, “si utilizas Places”, no te dan esa opción, “tan solo te dicen que tus amigos pueden etiquetarte, y tienes que descubrir por ti solo que puedes cambiar esta configuración rebuscando entre tus controles de privacidad“.
Con su vídeo, Facebook muestra paso a paso cómo “rebuscar” entre los controles de privacidad para desactivar esa acción. Tan solo falta ver cómo se toman esta acción los detractores de la compañía, si dejan de atacar a Places o lo ven tan solo como una forma de desviar la atención.
Fuente ITespresso.es
La queja que ha provocado esta respuesta ha sido la de la Unión Americana por las Libertades Civiles (ALCU), que ha dicho que “Facebook pone muy fácil decir “sí” a que tus amigos te etiqueten“, pero que para desactivar la herramienta tan solo se le da al usuario una “opción de ‘no ahora’”.
Además, “si utilizas Places”, no te dan esa opción, “tan solo te dicen que tus amigos pueden etiquetarte, y tienes que descubrir por ti solo que puedes cambiar esta configuración rebuscando entre tus controles de privacidad“.
Con su vídeo, Facebook muestra paso a paso cómo “rebuscar” entre los controles de privacidad para desactivar esa acción. Tan solo falta ver cómo se toman esta acción los detractores de la compañía, si dejan de atacar a Places o lo ven tan solo como una forma de desviar la atención.
Fuente ITespresso.es
Etiquetas:
facebook,
place,
vulnerabilidad
Los cibercriminales están explotando una supuesta brecha de seguridad en iTunes para robar miles de dólares a usuarios confiados.
Un grupo de usuarios están reclamando cargos falsos que han sido realizados por iTunes a través de Paypal. Al menos es lo que aseguran en AppleInsider.
Paypal ha reconocido los cargos fraudulentos y está realizando reembolso a los clientes afectados, a pesar de lo cual insiste en que la brecha de seguridad está en iTunes.
Apple, por su parte, afirma tiene conocimiento del problema y que está trabajando para solucionarlo.
La compañía de la manzana también afirma que entre las nuevas medidas de seguridad, iTunes requiere ahora que el código de seguridad de la tarjeta de crédito del cliente se introduzca varias veces, para añadir después que si el número de la tarjeta se ha robado y después se ha utilizado en iTunes lo recomendable es hablar con el banco para cancelar la tarjeta y solicitar la devolución de cualquier transacción no autorizada.
Finalmente, Apple recomienda que se cambie la contraseña de iTunes “inmediatamente”.
Fuente ITespresso.es
Paypal ha reconocido los cargos fraudulentos y está realizando reembolso a los clientes afectados, a pesar de lo cual insiste en que la brecha de seguridad está en iTunes.
Apple, por su parte, afirma tiene conocimiento del problema y que está trabajando para solucionarlo.
La compañía de la manzana también afirma que entre las nuevas medidas de seguridad, iTunes requiere ahora que el código de seguridad de la tarjeta de crédito del cliente se introduzca varias veces, para añadir después que si el número de la tarjeta se ha robado y después se ha utilizado en iTunes lo recomendable es hablar con el banco para cancelar la tarjeta y solicitar la devolución de cualquier transacción no autorizada.
Finalmente, Apple recomienda que se cambie la contraseña de iTunes “inmediatamente”.
Fuente ITespresso.es
Etiquetas:
apple,
ciberdelicuencia,
Seguridad,
vulnerabilidad
lunes, 23 de agosto de 2010
Ciberbullying: Como poner limite a los acosadores online
A medida que se populariza la tecnología, también crecen los ataques online, sobre todo entre adolescentes. En esta nota, las herramientas que ayudan a detenerlo. Qué hacer en las redes sociales, cómo manejarse con el mail y los softwares especiales.
Los acosadores escolares actuales no se limitan a las cafeterías, las clases de gimnasia y los patios de recreo. Con la tecnología, pueden aparecen en todo rincón digital de la vida de un chico moderno. Pero los chicos y sus padres pueden quedarse más tranquilos. También puede usarse la tecnología para combatir a los acosadores online.
"Se la usa para extender el dolor, pero lo bueno es que puede utilizársela para poner fin a ese dolor", dijo Hemanshu Nigam, fundador de SSP Blue, una firma asesora sobre seguridad y privacidad, y ex gerente de seguridad de las propiedades online de News Corporation, MySpace entre ellas. Hay muchas herramientas que pueden ayudarnos a eliminar contenidos ofensivos, a interrumpir el contacto agresivo y a evitar ese tipo de conductas, agregó.
Los siguientes son datos para encontrar esas herramientas y aprender a usarlas.
Monitorear las redes sociales
Las intimidaciones más dañinas tienen lugar en las redes sociales porque los ataques son públicos.
Los acosadores pueden dejar comentarios crueles en perfiles de Facebook, MySpace u otra red social. Los acosadores pueden subir fotos o videos desfavorecedores, así como crear perfiles falsos o grupos online dedicados a denigrar a personas que no les gustan. Ha habido instancias de acosadores que obtuvieron las contraseñas de las cuentas de sus víctimas, secuestraron perfiles y subieron comentarios difamatorios.
En 2008, una chica de octavo grado de Florida que compartía su contraseña de MySpace con una amiga descubrió, después de distanciarse de la amiga, que su cuenta se usaba para subir contenido sexual ofensivo. Tres chicos de catorce años de Newburyport, Massachusetts, fueron detenidos este año tras haber creado una página falsa de Facebook para hostigar a un compañero de clase. Un colegio secundario de Seattle suspendió este año a veintiocho alumnos por acosar online a un compañero de curso.
Los sitios de redes sociales más populares están preparados para manejar problemas. Todos los sitios permiten que los usuarios eliminen comentarios de sus propios perfiles, corten relaciones con amigos y bloqueen y denuncien los casos de maltrato. También se puede restringir el acceso a un perfil utilizando las configuraciones de privacidad.
"Es una batalla constante para garantizar la seguridad de los adolescentes", afirmó Joe Sullivan, el gerente de seguridad de Facebook. Cuando aparece el acoso "queremos eliminarlo con rapidez", dijo, y por lo general lo hacen en menos de veinticuatro horas.
Para denunciar o eliminar a un acosador de la lista de amigos en Facebook hay que entrar en su perfil y cliquear en "Report/Block this Person" (Denunciar/Bloquear a esta persona) o en "Remove from Friends" (Eliminar de amigos). Hay que avisar del contenido ofensivo en páginas de grupos y admiradores mediante un click en "Report Page" (Denunciar página) y especificar la ofensa, lo que contribuye a que Facebook dé prioridad a los incidentes graves. La gente que figura en fotos puede borrarse mediante un click en la foto y en "remove tag" (Eliminar etiqueta) junto a su nombre. Si hay desnudos u otras violaciones de las reglas de Facebook, hay que denunciarlo y Facebook puede retirarlo. De lo contrario, hay que pedirle al que subió el material que lo retire.
En My Space, se puede bloquear a un acosador de la página del perfil de la persona acosada y denunciarlo haciendo un click en "Contact MySpace" (Contactarse con MySpace) en la parte inferior de cualquier página. MySpace también permite que la gente dé su aprobación previa a todos los comentarios que se hacen sobre sus perfiles. Hay que ir a las configuraciones, seleccionar "Spam" y luego "Require approval before comments are posted" (Exigir aprobación antes de subir los comentarios).
Bloquear los mensajes agresivos
Los acosadores también usan el e-mail y otros servicios de mensajes para extender la tortura. Los mensajes desagradables pueden reenviarse muchas veces a mucha gente y son casi imposibles de detener.
Sin embargo, al igual que los sitios sociales, los servicios de webmail populares entre los adolescentes por lo general tienen códigos de conducta que prohíben el acoso y la intimidación, así como mecanismos para denunciar la conducta nociva.
En Hotmail, hay que cliquear en "Options" en el margen superior derecho de cualquier página, navegar a "Blocked Senders" (Remitentes bloqueados) y agregar las direcciones de e-mail de los acosadores. En Gmail, se instala un filtro de direcciones agresivas desde el menú "More actions" y se elige el borrado automático de futuros mensajes (y tal vez también su reenvío a un padre).
Los mensajes instantáneos suelen llegar sólo después de que un usuario ha agregado a los remitentes a una lista de chat, y los acosadores suelen ser fáciles de eliminar, bloquear y denunciar.
Convertirse en un celador
Hay varios programas de software y servicios online que pueden ayudar a los padres a detectar y abordar el acoso.
El software de control paterno, que se instala en las PC que usan los chicos, tiene versiones gratuitas y pagas de una serie de compañías y comprende diversos niveles de intromisión. Norton Online Family, un servicio gratuito del fabricante de software de seguridad Symantec, por ejemplo, puede monitorear el uso de redes sociales y supervisar determinadas listas de chat y conversaciones por mensajes instantáneos.
SafetyWeb y SocialShield son servicios más nuevos que también pueden contribuir al monitoreo del uso de las redes sociales. Ambos cuestan diez dólares por mes. SafetyWeb busca cuentas online vinculadas a las direcciones de e-mail de los chicos y monitorea la actividad pública online para detectar indicios de problemas, así como también la actividad semipública si, por ejemplo, un chico tiene a un padre como amigo en Facebook. La compañía se opone al "espionaje", dice uno de sus fundadores, Geoffrey Arone, de modo que se concentra en alertar a los padres sobre posibles problemas sobre la base de la detección de vulgaridades y palabras clave.
SocialShield bucea a más profundidad en el contenido privado de las redes sociales mediante el recurso de hacer que los chicos agreguen sus aplicaciones de Twitter, MySpace y Facebook. Con ese acceso, SocialShield monitorea y filtra lo que pasa y alerta a los padres sobre contenido sospechoso.
Varios nuevos servicios monitorean los mensajes de texto en teléfonos inteligentes, entre ellos Kid Phone Advocate, de Parents Are Listening Services, y CellSafety, de WebSafety (ambos tienen un costo de diez dólares mensuales en los EE.UU.). Los dos productos buscan palabras y frases que puedan ser problemáticas.
Llamar a las autoridades
En situaciones graves se puede necesitar ayuda del colegio o de la autoridades policiales, sobre todo si hay amenazas de violencia. Eso significa que se necesitan pruebas.
Hay que demostrar el problema con fotos de la pantalla o con copias guardadas de páginas web (seleccionar "guardar como") y copias de e-mails, mensajes instantáneos y textos. Los puede conservar uno mismo o utilizar software como CyberBully Alert (14,95 dólares por año en los EE.UU.).
Si se va a la justicia, es mejor tener pruebas digitales directamente de servicios online y de la computadora del propio acosador, dice Mark D. Rasch, que antes era fiscal en casos de delitos digitales en el Departamento de Justicia de los Estados Unidos y en la actualidad dirige la firma consultora Secure IT Experts.
Los servicios online no conservan los datos para siempre y los discos rígidos se borran. La mejor forma, y la más fácil, de conservar las pruebas es acudir a las autoridades. De lo contrario, se necesitará un abogado, una demanda civil y citaciones, además de bolsillos profundos.
"No hay que esperar", dice Rasch. "Si hay alguna amenaza creíble de ofensa o daño, hay que tomarse las cosas en serio y hacer que se investigue."
Fuente Segu-info.com
Los acosadores escolares actuales no se limitan a las cafeterías, las clases de gimnasia y los patios de recreo. Con la tecnología, pueden aparecen en todo rincón digital de la vida de un chico moderno. Pero los chicos y sus padres pueden quedarse más tranquilos. También puede usarse la tecnología para combatir a los acosadores online.
"Se la usa para extender el dolor, pero lo bueno es que puede utilizársela para poner fin a ese dolor", dijo Hemanshu Nigam, fundador de SSP Blue, una firma asesora sobre seguridad y privacidad, y ex gerente de seguridad de las propiedades online de News Corporation, MySpace entre ellas. Hay muchas herramientas que pueden ayudarnos a eliminar contenidos ofensivos, a interrumpir el contacto agresivo y a evitar ese tipo de conductas, agregó.
Los siguientes son datos para encontrar esas herramientas y aprender a usarlas.
Monitorear las redes sociales
Las intimidaciones más dañinas tienen lugar en las redes sociales porque los ataques son públicos.
Los acosadores pueden dejar comentarios crueles en perfiles de Facebook, MySpace u otra red social. Los acosadores pueden subir fotos o videos desfavorecedores, así como crear perfiles falsos o grupos online dedicados a denigrar a personas que no les gustan. Ha habido instancias de acosadores que obtuvieron las contraseñas de las cuentas de sus víctimas, secuestraron perfiles y subieron comentarios difamatorios.
En 2008, una chica de octavo grado de Florida que compartía su contraseña de MySpace con una amiga descubrió, después de distanciarse de la amiga, que su cuenta se usaba para subir contenido sexual ofensivo. Tres chicos de catorce años de Newburyport, Massachusetts, fueron detenidos este año tras haber creado una página falsa de Facebook para hostigar a un compañero de clase. Un colegio secundario de Seattle suspendió este año a veintiocho alumnos por acosar online a un compañero de curso.
Los sitios de redes sociales más populares están preparados para manejar problemas. Todos los sitios permiten que los usuarios eliminen comentarios de sus propios perfiles, corten relaciones con amigos y bloqueen y denuncien los casos de maltrato. También se puede restringir el acceso a un perfil utilizando las configuraciones de privacidad.
"Es una batalla constante para garantizar la seguridad de los adolescentes", afirmó Joe Sullivan, el gerente de seguridad de Facebook. Cuando aparece el acoso "queremos eliminarlo con rapidez", dijo, y por lo general lo hacen en menos de veinticuatro horas.
Para denunciar o eliminar a un acosador de la lista de amigos en Facebook hay que entrar en su perfil y cliquear en "Report/Block this Person" (Denunciar/Bloquear a esta persona) o en "Remove from Friends" (Eliminar de amigos). Hay que avisar del contenido ofensivo en páginas de grupos y admiradores mediante un click en "Report Page" (Denunciar página) y especificar la ofensa, lo que contribuye a que Facebook dé prioridad a los incidentes graves. La gente que figura en fotos puede borrarse mediante un click en la foto y en "remove tag" (Eliminar etiqueta) junto a su nombre. Si hay desnudos u otras violaciones de las reglas de Facebook, hay que denunciarlo y Facebook puede retirarlo. De lo contrario, hay que pedirle al que subió el material que lo retire.
En My Space, se puede bloquear a un acosador de la página del perfil de la persona acosada y denunciarlo haciendo un click en "Contact MySpace" (Contactarse con MySpace) en la parte inferior de cualquier página. MySpace también permite que la gente dé su aprobación previa a todos los comentarios que se hacen sobre sus perfiles. Hay que ir a las configuraciones, seleccionar "Spam" y luego "Require approval before comments are posted" (Exigir aprobación antes de subir los comentarios).
Bloquear los mensajes agresivos
Los acosadores también usan el e-mail y otros servicios de mensajes para extender la tortura. Los mensajes desagradables pueden reenviarse muchas veces a mucha gente y son casi imposibles de detener.
Sin embargo, al igual que los sitios sociales, los servicios de webmail populares entre los adolescentes por lo general tienen códigos de conducta que prohíben el acoso y la intimidación, así como mecanismos para denunciar la conducta nociva.
En Hotmail, hay que cliquear en "Options" en el margen superior derecho de cualquier página, navegar a "Blocked Senders" (Remitentes bloqueados) y agregar las direcciones de e-mail de los acosadores. En Gmail, se instala un filtro de direcciones agresivas desde el menú "More actions" y se elige el borrado automático de futuros mensajes (y tal vez también su reenvío a un padre).
Los mensajes instantáneos suelen llegar sólo después de que un usuario ha agregado a los remitentes a una lista de chat, y los acosadores suelen ser fáciles de eliminar, bloquear y denunciar.
Convertirse en un celador
Hay varios programas de software y servicios online que pueden ayudar a los padres a detectar y abordar el acoso.
El software de control paterno, que se instala en las PC que usan los chicos, tiene versiones gratuitas y pagas de una serie de compañías y comprende diversos niveles de intromisión. Norton Online Family, un servicio gratuito del fabricante de software de seguridad Symantec, por ejemplo, puede monitorear el uso de redes sociales y supervisar determinadas listas de chat y conversaciones por mensajes instantáneos.
SafetyWeb y SocialShield son servicios más nuevos que también pueden contribuir al monitoreo del uso de las redes sociales. Ambos cuestan diez dólares por mes. SafetyWeb busca cuentas online vinculadas a las direcciones de e-mail de los chicos y monitorea la actividad pública online para detectar indicios de problemas, así como también la actividad semipública si, por ejemplo, un chico tiene a un padre como amigo en Facebook. La compañía se opone al "espionaje", dice uno de sus fundadores, Geoffrey Arone, de modo que se concentra en alertar a los padres sobre posibles problemas sobre la base de la detección de vulgaridades y palabras clave.
SocialShield bucea a más profundidad en el contenido privado de las redes sociales mediante el recurso de hacer que los chicos agreguen sus aplicaciones de Twitter, MySpace y Facebook. Con ese acceso, SocialShield monitorea y filtra lo que pasa y alerta a los padres sobre contenido sospechoso.
Varios nuevos servicios monitorean los mensajes de texto en teléfonos inteligentes, entre ellos Kid Phone Advocate, de Parents Are Listening Services, y CellSafety, de WebSafety (ambos tienen un costo de diez dólares mensuales en los EE.UU.). Los dos productos buscan palabras y frases que puedan ser problemáticas.
Llamar a las autoridades
En situaciones graves se puede necesitar ayuda del colegio o de la autoridades policiales, sobre todo si hay amenazas de violencia. Eso significa que se necesitan pruebas.
Hay que demostrar el problema con fotos de la pantalla o con copias guardadas de páginas web (seleccionar "guardar como") y copias de e-mails, mensajes instantáneos y textos. Los puede conservar uno mismo o utilizar software como CyberBully Alert (14,95 dólares por año en los EE.UU.).
Si se va a la justicia, es mejor tener pruebas digitales directamente de servicios online y de la computadora del propio acosador, dice Mark D. Rasch, que antes era fiscal en casos de delitos digitales en el Departamento de Justicia de los Estados Unidos y en la actualidad dirige la firma consultora Secure IT Experts.
Los servicios online no conservan los datos para siempre y los discos rígidos se borran. La mejor forma, y la más fácil, de conservar las pruebas es acudir a las autoridades. De lo contrario, se necesitará un abogado, una demanda civil y citaciones, además de bolsillos profundos.
"No hay que esperar", dice Rasch. "Si hay alguna amenaza creíble de ofensa o daño, hay que tomarse las cosas en serio y hacer que se investigue."
Fuente Segu-info.com
Etiquetas:
ciberbullying,
ciberdelicuencia,
Seguridad
Apple desarrolla una tecnología para detectar los iPhones ‘jailbroken
Apple ha solicitado una patente titulada “Systems and Methods for Identifying Unauthorized Users of an Electronic Device”, que incluye una serie de medidas de seguridad para proteger automáticamente los dispositivos de los ladrones y de “usuarios no autorizados”, que es como se refiere la compañía a los que aplican jailbreaks a sus dispositivos, un método que les permite ejecutar aplicaciones que no están autorizadas por la compañía.
La patente, archivada en febrero de 2009 y hecha pública ahora, describe una serie de medidas para identificar “actividades particulares que puedan indicar conductas sospechosas” y que puedan llevar a la compañía a tomar lo que ha calificado como “medidas de seguridad” para restringir las funciones del dispositivo. Entre las actividades se cita el “hacking, jailbreaking o eliminación de la tarjeta SIM”. Además, Apple tiene intención de enviar mensajes de advertencia a los propietarios a través de mensajes de correo electrónico o SMS cuando se detecte la actividad.
Cuando se detecte una utilización no autorizada, la patente señala que se podrá restringir el acceso a una aplicación en particular, acceso a información sensible o la información sensible puede borrarse del dispositivo electrónico.
Fuente ITespresso.es
La patente, archivada en febrero de 2009 y hecha pública ahora, describe una serie de medidas para identificar “actividades particulares que puedan indicar conductas sospechosas” y que puedan llevar a la compañía a tomar lo que ha calificado como “medidas de seguridad” para restringir las funciones del dispositivo. Entre las actividades se cita el “hacking, jailbreaking o eliminación de la tarjeta SIM”. Además, Apple tiene intención de enviar mensajes de advertencia a los propietarios a través de mensajes de correo electrónico o SMS cuando se detecte la actividad.
Cuando se detecte una utilización no autorizada, la patente señala que se podrá restringir el acceso a una aplicación en particular, acceso a información sensible o la información sensible puede borrarse del dispositivo electrónico.
Fuente ITespresso.es
Etiquetas:
apple,
iphone,
jailbreak,
jailbroken
Virgin Media ayudará a desinfectar a sus clientes
El servidor de Internet Virgin Media ha anunciado que iniciará una campaña para combatir el malware en la cual alertará a sus clientes cuando sus ordenadores estén infectados y les ayudará a deshacerse del problema.
La empresa ya trabaja junto a organizaciones y agencias de seguridad que le notifican cuando sus usuarios han sido afectados por un virus informático o forman parte de una red zombi.
El servidor utilizará estos datos para identificar a su cliente afectado y le enviará un correo electrónico advirtiéndole sobre las amenazas que le acechan e informándole sobre sus diferentes alternativas para desinfectar su ordenador, incluyendo programas antivirus gratuitos y una solución de seguridad desarrollada por la empresa.
Por ahora la medida es temporal, y dependerá de los comentarios de los usuarios si Virgin Media continúa aplicándola, la expande o la interrumpe.
La empresa afirmó que el 25% de las quejas que recibe por problemas en la velocidad de conexión son por causa de un programa malicioso.
“Ya es hora de que los servidores de Internet den un paso más y hagan lo que puedan para proteger a sus clientes de este problema creciente”, dijo Jon James, Director Ejecutivo de Banda Ancha de Virgin Media.
Fuente viruslist.com
La empresa ya trabaja junto a organizaciones y agencias de seguridad que le notifican cuando sus usuarios han sido afectados por un virus informático o forman parte de una red zombi.
El servidor utilizará estos datos para identificar a su cliente afectado y le enviará un correo electrónico advirtiéndole sobre las amenazas que le acechan e informándole sobre sus diferentes alternativas para desinfectar su ordenador, incluyendo programas antivirus gratuitos y una solución de seguridad desarrollada por la empresa.
Por ahora la medida es temporal, y dependerá de los comentarios de los usuarios si Virgin Media continúa aplicándola, la expande o la interrumpe.
La empresa afirmó que el 25% de las quejas que recibe por problemas en la velocidad de conexión son por causa de un programa malicioso.
“Ya es hora de que los servidores de Internet den un paso más y hagan lo que puedan para proteger a sus clientes de este problema creciente”, dijo Jon James, Director Ejecutivo de Banda Ancha de Virgin Media.
Fuente viruslist.com
Etiquetas:
malware,
Seguridad,
virgin media
Sondeo: los empleados prefieren robar datos que grapadoras
Un sondeo realizado en Estados Unidos y el Reino Unido ha revelado que un gran porcentaje de empleados ha considerado robar algún tipo de propiedad virtual de su empresa cuando esté a punto de dejarla.
La empresa de seguridad corporativa SailPoint registró las opiniones de 3.500 empleados a tiempo parcial y completo de ambas regiones.
El 49% de los entrevistados en los Estados Unidos y el 52% de los empleados del Reino Unido afirmó que tomaría algún tipo de propiedad de la empresa si fuera a cambiar de empleo, y una cantidad similar de personas (el 45% de los estadounidenses y 48% de los británicos) dijo que esta decisión no tenía nada que ver con la crisis económica.
Alrededor de un cuarto de los entrevistados, el 29% de los estadounidenses y el 23% de los británicos, dijo que intentaría robar archivos electrónicos de la empresa antes de irse, como listas de clientes e información para contactarlos.
Por el contrario, sólo un 13% de los norteamericanos y un 22% de los europeos dijo que se llevaría pequeños objetos de oficina como lapiceros, cuadernos o grapadoras. El 15% de los estadounidenses y el 17% de los británicos admitió que daría un paso más y se atrevería a robar planes corporativos y diseños de productos de la empresa que está dejando.
El sondeo también reveló que los trabajadores británicos son más curiosos que los estadounidenses: el 57% dijo que no aguantaría las ganas de leer archivos confidenciales de la empresa si se presentara la oportunidad, a diferencia del 45% de los estadounidenses.
Sin embargo, muy pocos tienen en mente planes criminales: sólo el 1% de los británicos y el 0,5% de los estadounidenses dijo que estaría dispuesto a vender la información robada en el mercado negro.
“Las empresas deberían preocuparse por las respuestas de esta encuesta”, dijo Jackie Gilbert, co-fundador de SailPoint. “Creo que el sondeo demuestra que los empleados no creen que tomar los datos de una empresa sea el equivalente a robarlos. Esto se nota en el hecho de que existen más empleados que se sienten cómodos robando datos de una empresa, como datos para contactar a sus clientes, que llevándose una grapadora”, opinó Gilbert.
Fuente: viruslist.com
La empresa de seguridad corporativa SailPoint registró las opiniones de 3.500 empleados a tiempo parcial y completo de ambas regiones.
El 49% de los entrevistados en los Estados Unidos y el 52% de los empleados del Reino Unido afirmó que tomaría algún tipo de propiedad de la empresa si fuera a cambiar de empleo, y una cantidad similar de personas (el 45% de los estadounidenses y 48% de los británicos) dijo que esta decisión no tenía nada que ver con la crisis económica.
Alrededor de un cuarto de los entrevistados, el 29% de los estadounidenses y el 23% de los británicos, dijo que intentaría robar archivos electrónicos de la empresa antes de irse, como listas de clientes e información para contactarlos.
Por el contrario, sólo un 13% de los norteamericanos y un 22% de los europeos dijo que se llevaría pequeños objetos de oficina como lapiceros, cuadernos o grapadoras. El 15% de los estadounidenses y el 17% de los británicos admitió que daría un paso más y se atrevería a robar planes corporativos y diseños de productos de la empresa que está dejando.
El sondeo también reveló que los trabajadores británicos son más curiosos que los estadounidenses: el 57% dijo que no aguantaría las ganas de leer archivos confidenciales de la empresa si se presentara la oportunidad, a diferencia del 45% de los estadounidenses.
Sin embargo, muy pocos tienen en mente planes criminales: sólo el 1% de los británicos y el 0,5% de los estadounidenses dijo que estaría dispuesto a vender la información robada en el mercado negro.
“Las empresas deberían preocuparse por las respuestas de esta encuesta”, dijo Jackie Gilbert, co-fundador de SailPoint. “Creo que el sondeo demuestra que los empleados no creen que tomar los datos de una empresa sea el equivalente a robarlos. Esto se nota en el hecho de que existen más empleados que se sienten cómodos robando datos de una empresa, como datos para contactar a sus clientes, que llevándose una grapadora”, opinó Gilbert.
Fuente: viruslist.com
Etiquetas:
robo de información,
Seguridad
Spam suplanta dominio de la Guardia Civil para propagar malware
Obviando la fama que puedan tener entre los ciudadanos españoles los agentes de los cuerpos y fuerzas de seguridad del estado, cualquier usuario que reciba un email remitido desde el dominio guardiacivil.gob.es, es más que probable que se asuste pensando en alguna multa de tráfico o citación judicial. De este temor parece que se han aprovechado los creadores de una reciente campaña de propagación de malware usando enlaces maliciosos contenidos en correos electrónicos.
La técnica usada no presenta ninguna novedad con respecto a otras usadas con anterioridad. Se nos envía un correo (bastante mal redactado, todo sea dicho) simulando ser una notificación de la Guardia Civil, instándonos a descargar un archivo desde un enlace proporcionado en el propio correo. Posiblemente, este correo hubiese pasado bastante desapercibido si no fuese por el remitente, suplantado usando técnicas de spoofing para hacer creer a los usuarios que este email proviene de alguien de confianza.
Ante el temor de que este archivo que se nos invita a descargar sea alguna denuncia o multa, es más que probable que muchos usuarios piquen en el anzuelo. No obstante, cuando procedemos a realizar la descarga aparecen pistas que nos pueden hacer pensar que, tal vez, el correo no venga de quien dice ser. Si nos fijamos en la dirección desde la cual se descarga el archivo, comprobaremos que no tiene nada que ver con el dominio de la Guardia Civil. Además, el archivo que se descarga es un ejecutable en lugar de un documento en formato .doc, .pdf o similar. Esto no quiere decir que estos otros tipos de archivos no puedan contener malware, pero es lógico pensar que un archivo .exe poca relación tiene con un documento.
Si optamos por descargar el archivo y lo ejecutamos, nuestro sistema quedará infectado con un código malicioso que las soluciones de seguridad de ESET detectan como un troyano Win32/TrojanDownloader.Banload.PFI. Una vez nuestro sistema esté infectado con este malware, procederá a descargarse más archivos maliciosos sin nuestro conocimiento además de robar información sensible de nuestro sistema como usuarios y contraseñas o direcciones de correo electrónico.
A pesar de que la técnica usada para propagarse no es nada novedosa, el uso de un remitente de confianza sigue siendo útil para engañar a los usuarios. Es por eso que, desde el laboratorio de ESET en Ontinet.com, aconsejamos desconfiar siempre de este tipo de correos y revisar con atención cualquier aspecto sospechoso del mismo (enlaces que no se correspondan al dominio del remitente, descarga de archivos de extensión diferente a la que nos esperamos, etc.). Asimismo, contar con un antivirus actualizado, puede evitar que nos infectemos si pulsamos sobre el enlace malicioso.
Fuente: ontinet.com
La técnica usada no presenta ninguna novedad con respecto a otras usadas con anterioridad. Se nos envía un correo (bastante mal redactado, todo sea dicho) simulando ser una notificación de la Guardia Civil, instándonos a descargar un archivo desde un enlace proporcionado en el propio correo. Posiblemente, este correo hubiese pasado bastante desapercibido si no fuese por el remitente, suplantado usando técnicas de spoofing para hacer creer a los usuarios que este email proviene de alguien de confianza.
Ante el temor de que este archivo que se nos invita a descargar sea alguna denuncia o multa, es más que probable que muchos usuarios piquen en el anzuelo. No obstante, cuando procedemos a realizar la descarga aparecen pistas que nos pueden hacer pensar que, tal vez, el correo no venga de quien dice ser. Si nos fijamos en la dirección desde la cual se descarga el archivo, comprobaremos que no tiene nada que ver con el dominio de la Guardia Civil. Además, el archivo que se descarga es un ejecutable en lugar de un documento en formato .doc, .pdf o similar. Esto no quiere decir que estos otros tipos de archivos no puedan contener malware, pero es lógico pensar que un archivo .exe poca relación tiene con un documento.
Si optamos por descargar el archivo y lo ejecutamos, nuestro sistema quedará infectado con un código malicioso que las soluciones de seguridad de ESET detectan como un troyano Win32/TrojanDownloader.Banload.PFI. Una vez nuestro sistema esté infectado con este malware, procederá a descargarse más archivos maliciosos sin nuestro conocimiento además de robar información sensible de nuestro sistema como usuarios y contraseñas o direcciones de correo electrónico.
A pesar de que la técnica usada para propagarse no es nada novedosa, el uso de un remitente de confianza sigue siendo útil para engañar a los usuarios. Es por eso que, desde el laboratorio de ESET en Ontinet.com, aconsejamos desconfiar siempre de este tipo de correos y revisar con atención cualquier aspecto sospechoso del mismo (enlaces que no se correspondan al dominio del remitente, descarga de archivos de extensión diferente a la que nos esperamos, etc.). Asimismo, contar con un antivirus actualizado, puede evitar que nos infectemos si pulsamos sobre el enlace malicioso.
Fuente: ontinet.com
Etiquetas:
malware,
Seguridad,
spam,
suplantación
viernes, 20 de agosto de 2010
Actualización crítica para Adobe
Adobe ha lanzado una actualización de emergencia para la vulnerabilidad crítica en su Flash Player, Acrobat y Acrobat Reader que cubren los agujeros divulgados por el investigador Charlie Miller en la conferencia Black Hat y que afecta a todos los sistemas operativos.
Adobe ha aclarado que de todos lanzará la versión 9.3.4 el próximo 31 de agosto y que estas liberaciones no afectan la fecha de la próxima actualización trimestral normal programada para el 12 de octubre
Para ver la actualización http://www.adobe.com/support/security/bulletins/apsb10-17.html
Adobe ha aclarado que de todos lanzará la versión 9.3.4 el próximo 31 de agosto y que estas liberaciones no afectan la fecha de la próxima actualización trimestral normal programada para el 12 de octubre
Para ver la actualización http://www.adobe.com/support/security/bulletins/apsb10-17.html
Etiquetas:
actualizaciones,
adobe
¿Que tan anónima es la navegación privada?
La Universidad de Stanford ha desarrollado un informe en el que analiza en profundidad los modos de navegación segura implementado en varios de los navegadores actuales.
La privacidad es una de las principales preocupaciones de los usuarios de Internet, por este motivo los navegadores han ido incorporando funcionalidades de navegación segura con el objetivo de borrar cualquier rastro de información que pudiera dejar un usuario tras visitar contenido web. El objetivo del informe llevado a cabo por la Universidad de Stanford es verificar hasta que punto el modo de navegación, denominado de diversas formas (InPrivate para Internet Explorer, Private Browsing en Firefox y Safari, e Incognito en Chrome) asegura la privacidad de los datos del usuario.
El análisis ha contemplado únicamente los datos persistentes en disco, es decir, ignorando aquellos residentes en memoria y se ha enfocado desde dos puntos de vista. Por un lado desde el punto de vista local, es decir, los datos que un atacante podría obtener en la máquina del usuario una vez que éste ha finalizado la navegación segura. Y por otra parte, desde el lado del servidor web, esto es, un atacante que controla las páginas web que el usuario visita. Esta visión de la privacidad se implanta de forma distinta por los diversos navegadores; por ejemplo Firefox y Chrome, intentan protegerse contra usuarios locales y toman ciertas consideraciones para protegerse desde ataques web mientras que Safari solo tiene en cuenta ataques locales.
ver el informe completo en http://cert.inteco.es/cert/Notas_Actualidad/como_anonima_es_navegacion_privada_20100817
La privacidad es una de las principales preocupaciones de los usuarios de Internet, por este motivo los navegadores han ido incorporando funcionalidades de navegación segura con el objetivo de borrar cualquier rastro de información que pudiera dejar un usuario tras visitar contenido web. El objetivo del informe llevado a cabo por la Universidad de Stanford es verificar hasta que punto el modo de navegación, denominado de diversas formas (InPrivate para Internet Explorer, Private Browsing en Firefox y Safari, e Incognito en Chrome) asegura la privacidad de los datos del usuario.
El análisis ha contemplado únicamente los datos persistentes en disco, es decir, ignorando aquellos residentes en memoria y se ha enfocado desde dos puntos de vista. Por un lado desde el punto de vista local, es decir, los datos que un atacante podría obtener en la máquina del usuario una vez que éste ha finalizado la navegación segura. Y por otra parte, desde el lado del servidor web, esto es, un atacante que controla las páginas web que el usuario visita. Esta visión de la privacidad se implanta de forma distinta por los diversos navegadores; por ejemplo Firefox y Chrome, intentan protegerse contra usuarios locales y toman ciertas consideraciones para protegerse desde ataques web mientras que Safari solo tiene en cuenta ataques locales.
ver el informe completo en http://cert.inteco.es/cert/Notas_Actualidad/como_anonima_es_navegacion_privada_20100817
Etiquetas:
INTECO,
navegadores,
Seguridad
Google soluciona 10 vulnerabilidades en Chrome
Ayer jueves Google ha parcheado 10 vulnerabilidades en Chrome y terminó pagando más de 10.000 dolares en recompensas según su plan de abonar distinta cantidad según el grado de importancia de la vulnerabilidad.
Google no divulgó los detalles de las vulnerabilidades y, como es su costumbre, bloquearon el acceso público a su base de datos de seguimiento de bugs por 2 meses, una práctica destinada a evitar que los atacantes utilicen esa información de manera dañina. Mozilla desde hace un tiempo también hace lo mismo pero Microsoft no lo hace.
De las 10 vulnerabilidades, dos quizás podrían explotar errores archivos de imágenes SVG. Otros podrían ser utilizadas para falsificar el contenido de la barra de direcciones o revelar contraseñas.
Según el Blog de Google, también agregaron un work-around (solución temporal) para un error crítico en código que no es de Google pudiendo corresponderse con las actualizaciones lanzadas estos meses por Microsoft.
Leer más: Noticias de Seguridad Informática - Segu-Info: Google soluciona 10 vulnerabilidades en Chrome http://blog.segu-info.com.ar/2010/08/google-soluciona-10-vulnerabilidades-en.html#ixzz0xB2kcTku
Under Creative Commons License: Attribution Non-Commercial Share Alike
fuente Segu-info
Google no divulgó los detalles de las vulnerabilidades y, como es su costumbre, bloquearon el acceso público a su base de datos de seguimiento de bugs por 2 meses, una práctica destinada a evitar que los atacantes utilicen esa información de manera dañina. Mozilla desde hace un tiempo también hace lo mismo pero Microsoft no lo hace.
De las 10 vulnerabilidades, dos quizás podrían explotar errores archivos de imágenes SVG. Otros podrían ser utilizadas para falsificar el contenido de la barra de direcciones o revelar contraseñas.
Según el Blog de Google, también agregaron un work-around (solución temporal) para un error crítico en código que no es de Google pudiendo corresponderse con las actualizaciones lanzadas estos meses por Microsoft.
Leer más: Noticias de Seguridad Informática - Segu-Info: Google soluciona 10 vulnerabilidades en Chrome http://blog.segu-info.com.ar/2010/08/google-soluciona-10-vulnerabilidades-en.html#ixzz0xB2kcTku
Under Creative Commons License: Attribution Non-Commercial Share Alike
fuente Segu-info
Etiquetas:
Google,
vulnerabilidad
El Pentágono advierte sobre la ciberamenaza china
En lo que se ve como una señal de advertencia a Pekín, Estados Unidos ha mostrado su preocupación esta semana, a través de un informe hecho público, en el que afirma que el Ejército Popular de Liberación está utilizando “unidades de información” para desarrollar virus que atacan a sistemas y redes informáticas enemigas, y que en estas unidades participan informáticos profesionales civiles.
Desde el Pentágono afirman estar preocupados sobre cualquier amenaza potencial a sus redes informáticas.
La advertencia se produce en un momento en que tanto Estados Unidos como otros países están luchando por mejorar la cooperación en torno al cibercrimen y el establecimiento de una serie de directivas para supervisar Internet.
James Lewis, experto en seguridad e investigador del Centro de Estudios Estratégicos e Internacionales, ha afirmado que “el gobierno chino, y en particular el Ejército Popular de Liberación, se han aprovechado de la comunidad de hackers”, y asegura que una de las cosas que el Departamento de Defensa ha estado buscando es la manera de señalar potenciales oponentes cuyas actividades puedan cruzar el ciberespacio.
El informe del Pentágono afirma que numerosos sistemas informáticos de todo el mundo, “incluidos algunos del gobierno de Estados Unidos, continuaron siendo objeto de intrusiones que parecen tener su origen en China”. A menudo el objetivo de los ataques es conseguir informaciones, que “pudiera ser de utilidad estratégica o militar”.
fuente itespresso.es
Desde el Pentágono afirman estar preocupados sobre cualquier amenaza potencial a sus redes informáticas.
La advertencia se produce en un momento en que tanto Estados Unidos como otros países están luchando por mejorar la cooperación en torno al cibercrimen y el establecimiento de una serie de directivas para supervisar Internet.
James Lewis, experto en seguridad e investigador del Centro de Estudios Estratégicos e Internacionales, ha afirmado que “el gobierno chino, y en particular el Ejército Popular de Liberación, se han aprovechado de la comunidad de hackers”, y asegura que una de las cosas que el Departamento de Defensa ha estado buscando es la manera de señalar potenciales oponentes cuyas actividades puedan cruzar el ciberespacio.
El informe del Pentágono afirma que numerosos sistemas informáticos de todo el mundo, “incluidos algunos del gobierno de Estados Unidos, continuaron siendo objeto de intrusiones que parecen tener su origen en China”. A menudo el objetivo de los ataques es conseguir informaciones, que “pudiera ser de utilidad estratégica o militar”.
fuente itespresso.es
Etiquetas:
china,
ciberdelicuencia,
vulnerabilidad
jueves, 19 de agosto de 2010
Adobe solucionará los fallos en Reader y Acrobat
La compañía lanzará mañana varias actualizaciones para enmendar las vulnerabilidades descubiertas en Black Hat.
Las vulnerabilidades de Reader y Acrobat desveladas el mes pasado en la conferencia Black Hat ya tienen fecha de caducidad. Esta semana Adobe lanzará varias actualizaciones de emergencia para poner fin a estos problemas.
Los parches servirán para las versiones de Adobe Reader 9.3.3 para Windows, Macintosh y UNIX; Adobe Acrobat 9.3.3 para Windows y Mac; y Adobe Reader 8.2.3 para Windows y Mac.
Las vulnerabilidades, según la firma de seguridad Secunia, podrían ser utilizadas por hackers para tomar el control del ordenador de la víctima. Además, existe otro fallo en TrueType que podría afectar a los archivos PDF.
La siguiente actualización de seguridad trimestral no tocaba hasta el 12 de octubre, por lo que el lanzamiento de estos parches dos meses antes muestra la preocupación de Adobe por el tema, y que las vulnerabilidades podrían ser de verdad peligrosas.
Las vulnerabilidades de Reader y Acrobat desveladas el mes pasado en la conferencia Black Hat ya tienen fecha de caducidad. Esta semana Adobe lanzará varias actualizaciones de emergencia para poner fin a estos problemas.
Los parches servirán para las versiones de Adobe Reader 9.3.3 para Windows, Macintosh y UNIX; Adobe Acrobat 9.3.3 para Windows y Mac; y Adobe Reader 8.2.3 para Windows y Mac.
Las vulnerabilidades, según la firma de seguridad Secunia, podrían ser utilizadas por hackers para tomar el control del ordenador de la víctima. Además, existe otro fallo en TrueType que podría afectar a los archivos PDF.
La siguiente actualización de seguridad trimestral no tocaba hasta el 12 de octubre, por lo que el lanzamiento de estos parches dos meses antes muestra la preocupación de Adobe por el tema, y que las vulnerabilidades podrían ser de verdad peligrosas.
Etiquetas:
adobe,
Black Hat,
TrueType,
vulnerabilidad
Se encuentra un nuevo fallo de ejecución de código en Windows y en 40 aplicaciones
El fallo está relacionado en la manera en que se cargan los archivos “seguros” desde localizaciones de redes remotas, y que es casi idéntico a uno que Apple solución en iTunes la semana pasada. No obstante, los investigadores que han descubierto el fallo afirman que no están autorizados a proporcionar detalles adicionales sobre las técnicas para explotarlo o las otras aplicaciones vulnerables.
Según los detalles que se conocen del fallo de iTunes, la vulnerabilidad permitiría a los atacantes ejecutar código malicioso en las máquinas basadas en Windows permitiendo que el reproductor multimedia abra un archivo localizado en la misma red que comparte con un archivo DLL maliciosamente diseñado.
Es decir que todo lo que un usuario tiene que hacer es plantar un DLL malicioso con un nombre específico en una red compartida y hacer que el usuario abra un archivo multimedia desde esta localización de red en iTunes, lo que no requiere demasiada ingeniería social
Y ya que los sistema Windows ejecutan por defecto el servicio Web Client, que permite acceder a una red remota a través de WebDAV, el DLL malicioso también le afecta, algo que Microsoft ya ha anunciado que está estudiando.
Fuente Itespresso.es
Según los detalles que se conocen del fallo de iTunes, la vulnerabilidad permitiría a los atacantes ejecutar código malicioso en las máquinas basadas en Windows permitiendo que el reproductor multimedia abra un archivo localizado en la misma red que comparte con un archivo DLL maliciosamente diseñado.
Es decir que todo lo que un usuario tiene que hacer es plantar un DLL malicioso con un nombre específico en una red compartida y hacer que el usuario abra un archivo multimedia desde esta localización de red en iTunes, lo que no requiere demasiada ingeniería social
Y ya que los sistema Windows ejecutan por defecto el servicio Web Client, que permite acceder a una red remota a través de WebDAV, el DLL malicioso también le afecta, algo que Microsoft ya ha anunciado que está estudiando.
Fuente Itespresso.es
Etiquetas:
Ejecución remota de código,
Fallos,
Vulnerabilidades,
Windows
Corregido un peligroso fallo en el kernel Linux 2.6
Fuente Hispasec
Recientemente se ha parcheado una vulnerabilidad en el kernel Linux, rama 2.6, que podría permitir a un atacante elevar privilegios y ejecutar código arbitrario con permisos de root.
La vulnerabilidad ha sido descubierta por Rafal Wojtczuk de Invisible Things Labs, la empresa de la conocida investigadora Joanna Rutkowska. Rafal descubrió el bug mientras estaba trabajando en la virtualización de la interfaz de usuario del sistema operativo Qubes.
Qubes es el proyecto más ambicioso de Rutkowska, un sistema operativo que permite virtualizar procesos independientemente.
Según Rutkowska el bug descubierto podría haber estado ya presente desde la introducción de la rama 2.6 a finales de 2003. Aunque en un primer momento los investigadores reportaron el error a los desarrolladores del servidor X (X.org) finalmente se derivó a los mantenedores del kernel. Esto fue debido a que no se trataba de un fallo inherente al servidor X sino a la forma en la que el kernel maneja la memoria en determinadas circunstancias.
La explotación de la vulnerabilidad permitiría a cualquier proceso no privilegiado con acceso al servidor X escalar a root. De facto los procesos de usuario que posean GUI corren con acceso al servidor X y de ahí que, como teoriza Rutkowska, la explotación de una vulnerabilidad no relacionada en una aplicación de usuario podría ser encadenada y aprovechar ésta para elevar privilegios. La puerta a una ejecución remota de código queda abierta.
Técnicamente la explotación del bug reside en cargar de forma reiterativa en memoria pixmaps (XPM) de gran tamaño aumentando así el área de memoria mapeada.
Gracias a la extensión MIT-SHM del servidor X, se posibilita y se crea un segmento de memoria compartida que será usado por el proceso del servidor X.
La idea es aumentar el tamaño de memoria mapeada y seguidamente llamar a una función recursiva que vaya creando marcos de pila llevando el segmento de pila hacia la zona de memoria compartida, ya de por sí en direcciones altas debido a la expansión de la memoria mapeada usada a alojar los pixmaps.
Durante ese instante, el puntero de pila ha llegado a la zona de memoria compartida y el atacante obtiene el control de la pila ya que puede escribir en esa área posibilitando de ésta forma la ejecución de código arbitrario.
El fallo ha sido corregido en el repositorio de código del kernel y su CVE asignado es CVE-2010-2240.
Más Información:
Skeletons Hidden in the Linux Closet: r00ting your Linux Desktop for Fun and Profit
http://theinvisiblethings.blogspot.com/2010/08/skeletons-hidden-in-linux-closet.html
Exploiting large memory management vulnerabilities in Xorg server running on Linux
http://www.invisiblethingslab.com/resources/misc-2010/xorg-large-memory-attacks.pdf
Recientemente se ha parcheado una vulnerabilidad en el kernel Linux, rama 2.6, que podría permitir a un atacante elevar privilegios y ejecutar código arbitrario con permisos de root.
La vulnerabilidad ha sido descubierta por Rafal Wojtczuk de Invisible Things Labs, la empresa de la conocida investigadora Joanna Rutkowska. Rafal descubrió el bug mientras estaba trabajando en la virtualización de la interfaz de usuario del sistema operativo Qubes.
Qubes es el proyecto más ambicioso de Rutkowska, un sistema operativo que permite virtualizar procesos independientemente.
Según Rutkowska el bug descubierto podría haber estado ya presente desde la introducción de la rama 2.6 a finales de 2003. Aunque en un primer momento los investigadores reportaron el error a los desarrolladores del servidor X (X.org) finalmente se derivó a los mantenedores del kernel. Esto fue debido a que no se trataba de un fallo inherente al servidor X sino a la forma en la que el kernel maneja la memoria en determinadas circunstancias.
La explotación de la vulnerabilidad permitiría a cualquier proceso no privilegiado con acceso al servidor X escalar a root. De facto los procesos de usuario que posean GUI corren con acceso al servidor X y de ahí que, como teoriza Rutkowska, la explotación de una vulnerabilidad no relacionada en una aplicación de usuario podría ser encadenada y aprovechar ésta para elevar privilegios. La puerta a una ejecución remota de código queda abierta.
Técnicamente la explotación del bug reside en cargar de forma reiterativa en memoria pixmaps (XPM) de gran tamaño aumentando así el área de memoria mapeada.
Gracias a la extensión MIT-SHM del servidor X, se posibilita y se crea un segmento de memoria compartida que será usado por el proceso del servidor X.
La idea es aumentar el tamaño de memoria mapeada y seguidamente llamar a una función recursiva que vaya creando marcos de pila llevando el segmento de pila hacia la zona de memoria compartida, ya de por sí en direcciones altas debido a la expansión de la memoria mapeada usada a alojar los pixmaps.
Durante ese instante, el puntero de pila ha llegado a la zona de memoria compartida y el atacante obtiene el control de la pila ya que puede escribir en esa área posibilitando de ésta forma la ejecución de código arbitrario.
El fallo ha sido corregido en el repositorio de código del kernel y su CVE asignado es CVE-2010-2240.
Más Información:
Skeletons Hidden in the Linux Closet: r00ting your Linux Desktop for Fun and Profit
http://theinvisiblethings.blogspot.com/2010/08/skeletons-hidden-in-linux-closet.html
Exploiting large memory management vulnerabilities in Xorg server running on Linux
http://www.invisiblethingslab.com/resources/misc-2010/xorg-large-memory-attacks.pdf
Etiquetas:
linux,
Seguridad,
vulnerabilidad
Campaña de propagación de malware usando Caja Cantabria (España) como gancho
Es frecuente encontrarnos en nuestra bandeja de entrada correos trampa que dicen ser de entidades bancarias. La mayoría se trata de casos de phishing que pretenden hacerse con nuestras credenciales de acceso a la banca online para poder sustraer nuestros ahorros. No obstante, existe otra modalidad, especializada en propagar malware desde enlaces supuestamente albergados en sitios webs de entidades bancarias con cierta reputación. El caso que analizamos hoy es uno de estos ejemplos.
Entre la multitud de emails que diariamente nuestro servidor de correo cataloga como spam, encontramos uno que nos llama la atención. Este correo dice provenir de la entidad Caja Cantabria y nos informa del ingreso de una cantidad (variable dependiendo del correo recibido) en nuestra cuenta.
Independientemente de que el usuario sea cliente de esa entidad, la simple curiosidad por ver si realmente se nos ha ingresado esa cantidad hace picar a más de uno. No es de extrañar que una cantidad nada despreciable de usuarios muerda el anzuelo y acceda a una web preparada para la ocasión. En esta web vemos como la referencia del banco pasa de Caja Cantabria al Banco de España, aunque, si nos fijamos atentamente, el dominio esta albergado en Rusia (pulse sobre la imagen para ampliarla).
Una vez aquí, lo único que se nos permite hacer es descargar un archivo ejecutable también albergado en el mismo dominio ruso. Si nos fijamos en estos detalles antes de descargar archivos de sitios sospechosos, podremos evitar muchas infecciones.
Si descargamos y ejecutamos este archivo, nuestro sistema se verá infectado por un malware del tipo bot, haciendo que nuestra máquina pase formar parte de un ejército de ordenadores zombies a disposición de un botmaster. Las soluciones de seguridad de ESET catalogan a este código malicioso como una variante de Win32/Kryptik.FZS.
Desde el laboratorio de ESET en Ontinet.com nos gustaría recordar que, cada día, miles de ordenadores caen en las redes de las botnets por infecciones parecidas. Es necesario que nosotros, como usuarios, estemos educados para prevenir estos engaños y descarguemos e instalemos un antivirus que nos permita bloquear las amenazas en el caso de que nos confiemos y pulsemos sobre ese enlace malicioso.
Actualización 19/08: Horas después de publicar esta entrada observamos como se están enviando múltiples correos de este tipo pero usando como remitentes a la mayoría de cajas y bancos más conocidos. Aconsejamos eliminar cualquier correo parecido al que hemos analizado en este artículo, aunque como remitente aparezca su entidad bancaria.
Ver articulo completo en http://blogs.protegerse.com/laboratorio/
Entre la multitud de emails que diariamente nuestro servidor de correo cataloga como spam, encontramos uno que nos llama la atención. Este correo dice provenir de la entidad Caja Cantabria y nos informa del ingreso de una cantidad (variable dependiendo del correo recibido) en nuestra cuenta.
Independientemente de que el usuario sea cliente de esa entidad, la simple curiosidad por ver si realmente se nos ha ingresado esa cantidad hace picar a más de uno. No es de extrañar que una cantidad nada despreciable de usuarios muerda el anzuelo y acceda a una web preparada para la ocasión. En esta web vemos como la referencia del banco pasa de Caja Cantabria al Banco de España, aunque, si nos fijamos atentamente, el dominio esta albergado en Rusia (pulse sobre la imagen para ampliarla).
Una vez aquí, lo único que se nos permite hacer es descargar un archivo ejecutable también albergado en el mismo dominio ruso. Si nos fijamos en estos detalles antes de descargar archivos de sitios sospechosos, podremos evitar muchas infecciones.
Si descargamos y ejecutamos este archivo, nuestro sistema se verá infectado por un malware del tipo bot, haciendo que nuestra máquina pase formar parte de un ejército de ordenadores zombies a disposición de un botmaster. Las soluciones de seguridad de ESET catalogan a este código malicioso como una variante de Win32/Kryptik.FZS.
Desde el laboratorio de ESET en Ontinet.com nos gustaría recordar que, cada día, miles de ordenadores caen en las redes de las botnets por infecciones parecidas. Es necesario que nosotros, como usuarios, estemos educados para prevenir estos engaños y descarguemos e instalemos un antivirus que nos permita bloquear las amenazas en el caso de que nos confiemos y pulsemos sobre ese enlace malicioso.
Actualización 19/08: Horas después de publicar esta entrada observamos como se están enviando múltiples correos de este tipo pero usando como remitentes a la mayoría de cajas y bancos más conocidos. Aconsejamos eliminar cualquier correo parecido al que hemos analizado en este artículo, aunque como remitente aparezca su entidad bancaria.
Ver articulo completo en http://blogs.protegerse.com/laboratorio/
Etiquetas:
ingenieria social,
malware,
phishing
Phishing a Mastercard SecureCode
Han reportado un nuevo caso de Phishing a Mastercard SecureCode tipico de robo de cuentas.En este caso las páginas falsas se encuentran alojadas en un sitio vulnerado en una carpeta creada para tal fin y las imágenes del mismo han sido alojadas en Imageshack.
El sitio es el siguiente: http://www.galway[ELIMINADO].com/aa124sa512zsd12541/
Luego que los datos son robados, se redirige al usuario al sitio real de SecureCode.
En este momento Firefox y Chrome detectan el sitio falso y alertan al usuario y además el caso ya fue reportado a Phishtank.
Fuente segu-info news
El sitio es el siguiente: http://www.galway[ELIMINADO].com/aa124sa512zsd12541/
Luego que los datos son robados, se redirige al usuario al sitio real de SecureCode.
En este momento Firefox y Chrome detectan el sitio falso y alertan al usuario y además el caso ya fue reportado a Phishtank.
Fuente segu-info news
Etiquetas:
phishing,
Seguridad,
vulnerabilidad
miércoles, 18 de agosto de 2010
Descubren una aplicación de espionaje encubierto en Android
Los usuarios de Android han sido advertidos de la existencia de una aplicación para Android que en realidad está diseñada para el espionaje encubierto. Se trata del juego Tap Snake, muy parecido al tradicional Snake de los años 60 pero que una vez instalado empieza a ejecutar un software de vigilancia llamado GPS SPY. El software envía la posición del usuario a un servidor central cada quince minutos, y no se pueden desactivar.
Durante la instalación, el juego pide al usuario permiso para acceder a ciertas funciones del terminal, incluida la del GPS. El usuario debe dar permiso, aunque Symantec advierte de que la gente debe ser más consciente del peligro y que tengan cuidado con lo que se está instalando si pide derechos para acceder a lo que realmente no necesita.
Otra empresa de seguridad, F-Secure, también advierte a los usuarios sobre el software y asegura que la aplicación será eliminada de Android Marketplace y que Google debería considerar utilizar la opción Remote Application Removal para eliminar el software completamente.
fuente ITespresso.es
Durante la instalación, el juego pide al usuario permiso para acceder a ciertas funciones del terminal, incluida la del GPS. El usuario debe dar permiso, aunque Symantec advierte de que la gente debe ser más consciente del peligro y que tengan cuidado con lo que se está instalando si pide derechos para acceder a lo que realmente no necesita.
Otra empresa de seguridad, F-Secure, también advierte a los usuarios sobre el software y asegura que la aplicación será eliminada de Android Marketplace y que Google debería considerar utilizar la opción Remote Application Removal para eliminar el software completamente.
fuente ITespresso.es
SANS publica su indice The 20 Top Cyber Security Risks
SANS a publicado su nuevo indice con los 20 TOP Riesgos de Seguridad Cirbernetica. Este informe se basa en la investigación durante todo el año, dirigido por destacados expertos y con datos de ataques del mundo real, asi como el análisis de algunas de las industrias más respetadas del mercado.
Para ver el informe completo http://www.sans.org/top-cyber-security-risks/?ref=top20
Para ver el informe completo http://www.sans.org/top-cyber-security-risks/?ref=top20
Etiquetas:
riesgos,
sans,
Seguridad,
vulnerabilidad
Vulnerabilidad en el reproductor VLC Media Player
Se ha descubierto una vulnerabilidad en el reproductor de archivos multimedia VLC (versiones 0.9.0 a 1.1.2) que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario.
VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.
El problema reside en un error de corrupción de memoria en la función "ReadMetaFromId3v2()" (de modules/meta_engine/taglib.cpp) incluida en el plugin TagLib cuando se extrae meta-información de etiquetas ID3v2. Un atacante podría aprovechar este problema para lograr ejecutar código arbitrario convenciendo a un usuario para que abra un archivo multimedia específicamente creado.
fuente hispasec.com
VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.
El problema reside en un error de corrupción de memoria en la función "ReadMetaFromId3v2()" (de modules/meta_engine/taglib.cpp) incluida en el plugin TagLib cuando se extrae meta-información de etiquetas ID3v2. Un atacante podría aprovechar este problema para lograr ejecutar código arbitrario convenciendo a un usuario para que abra un archivo multimedia específicamente creado.
fuente hispasec.com
Etiquetas:
codigo arbitrario,
media player,
vulnerabilidad
Denegación de servicio en Cisco IOS
Cisco ha anunciado la existencia de una vulnerabilidad de denegación de servicio en dispositivos con software Cisco IOS (versión 15.1(2)T) durante la fase de establecimiento TCP.
La vulnerabilidad, que se puede explotar de forma remota, sólo afecta a los dispositivos con versión de IOS 15.1(2)T. El problema reside en un error en el tratamiento de paquetes entrantes durante la fase de establecimiento TCP. Como resultado podría dar lugar a que las conexiones TCP embrionarias permanezcan en un estado SYNRCVD o SYNSENT y lleguen a consumir los recursos del sistema e impidan que los dispositivos afectados acepten o inicien nuevas conexiones TCP
Para solucionar este problema Cisco ha publicado la versión 15.1(2)T0a de Cisco IOS.
Más Información:
Cisco IOS TCP Establishment Phase Denial of Service Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20100812-tcp.shtml
La vulnerabilidad, que se puede explotar de forma remota, sólo afecta a los dispositivos con versión de IOS 15.1(2)T. El problema reside en un error en el tratamiento de paquetes entrantes durante la fase de establecimiento TCP. Como resultado podría dar lugar a que las conexiones TCP embrionarias permanezcan en un estado SYNRCVD o SYNSENT y lleguen a consumir los recursos del sistema e impidan que los dispositivos afectados acepten o inicien nuevas conexiones TCP
Para solucionar este problema Cisco ha publicado la versión 15.1(2)T0a de Cisco IOS.
Más Información:
Cisco IOS TCP Establishment Phase Denial of Service Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20100812-tcp.shtml
Etiquetas:
cisco,
Seguridad,
vulnerabilidad
martes, 17 de agosto de 2010
Otra comparativa antivirus: solo detectan un 19% del malware
La compañía Cyveillance ha creado un informe en el que se concluye algo que resulta tan obvio como "real". Los porcentajes de detección de los antivirus son bajos. Detectan por firmas el 19% del malware "fresco" mientras que pasado un mes, sube al 61.7%. El estudio puede servir de excusa para recordar el estado de la industria del (anti)malware.
Cyveillance recopiló 1.708 binarios reconocidos como malware por al menos tres antivirus de los 13 contemplados en el estudio. Estos binarios eran archivos recolectados en los tres últimos días por la empresa con sus propios métodos. Analizó los archivos cada 6 horas durante 30 días con los 13 motores. La media de detección iba desde el 19% del día 1, hasta el 61.7% el día 30.
Apreciaciones sobre ciertos puntos
* Catalogan como malware confirmado el binario que es detectado por al menos tres motores de los 13 que contemplan. Nuestra experiencia con VirusTotal (subjetiva), nos dice que el malware realmente "fresco", suele ser detectado (a través de firmas) por menos de tres casas antivirus. En ocasiones, por ninguna. Además, los falsos positivos son comunes. El hecho de que tres motores detecten un binario no es definitivo para concluir que deba ser reconocido. Sólo un análisis manual lo es.
* Es injusto comparar los antivirus solo por sus firmas. Aunque el informe no especifica explícitamente que se haya realizado el estudio de esta forma, todo apunta a que así se ha hecho. Esto no es nada nuevo: desde siempre, los virus "recién creados" han sido menos detectados por firmas en un principio. Tampoco es difícil crear específicamente troyanos "no detectados" por firmas. Los atacantes lo hacen todos los días. Otra cosa es que sean detectados por comportamiento en el sistema una vez ejecutados, que es el punto fuerte de las suites antivirus en estos momentos.
No es ningún secreto que el modelo de detección por firmas es cada vez "una parte más" de los antivirus, y no se puede juzgar a un producto exclusivamente por la detección estática de muestras. Es lo mismo que ocurre con VirusTotal. Los resultados obtenidos al enviar una muestra son analizados de forma estática, por tanto pueden diferir de lo que un usuario obtiene con el antivirus instalado en su sistema. Las suites, cada vez más, se basan en el comportamiento de las muestras para detectar el malware. Hacen una buena labor en ese sentido, y no es posible hoy en día evaluar un producto completo sólo por una de sus funciones. Si se quiere evaluar la calidad y cantidad de firmas, se debe ser consciente de que eso es sólo una parte del producto. También cabe recordar que, aunque las propias casas antivirus utilizaron esta métrica errónea de las firmas en el pasado cuando los números le eran beneficiosos, cada vez abandonan más esta práctica.
* ¿Son 1.708 binarios suficientes? No sabemos la naturaleza de los binarios. Por ejemplo, sabemos que las casas antivirus tienen serios problemas para detectar los "rogueware" (falsos antivirus). Pueden pasar semanas hasta que algún motor los detecta por firmas. La producción actual es tan prolífica que a efectos prácticos es imposible luchar contra ello de forma efectiva. Solo se puede mitigar el problema.
Sabemos que un laboratorio antivirus puede recibir cada día más de mil nuevas muestras de malware para las que no disponen de firma de detección específica. 1.000 firmas que crear en 24 horas. Utilizan sistemas automatizados para catalogar, con todas sus ventajas e inconvenientes. Solo las muestras muy relevantes o nuevas pasan a ser analizadas manualmente. Que, tras 30 días, la media suba del 19 a algo más del 61% de detección por firmas, es incluso un buen trabajo.
* Es evidente en cierta forma que la industria antivirus se encuentra en "quiebra técnica". Deben mantener una lista negra actualizándose constantemente; una heurística agresiva para detectar nuevos especímenes que no estén en su lista negra; y una lista blanca más pequeña y que se actualiza menos, para evitar detectar demasiado goodware como malware y provocar algún daño en el sistema, por ejemplo. A pesar de sus esfuerzos, siguen sufriendo muchos problemas: o bien están detectando como malicioso software legítimo, o bien siguen sin detectar malware de verdad, o en el peor de los casos, ambas cosas.
* Sí es cierto que el usuario medio suele ser víctima del marketing de las casas antivirus, y creen que la suite les salvará de todo mal. Slogans como "Protección total" o "Blindaje del sistema" calan en el usuario que concluye que realmente es lo único que necesita. Este tipo de informes, puede ayudar a desterrar esa idea aunque, por otro lado, a veces también pueden llegar a polarizan la opinión: "¿Acaso, a pesar del dinero invertido en la solución antimalware, no estoy protegido por completo?" o "Las soluciones antimalware no sirven para nada". Ninguna de las dos posiciones es adecuada. Como concluye el informe, las soluciones antivirus son imprescindibles, pero es necesario combinarlas con otros métodos de prevención.
En definitiva, estudiar porcentajes de detección de forma objetiva hoy en día es una tarea compleja... para todos.
Recomendaciones
Ya lo sabemos: la seguridad es un proceso continuo y que se debe complementar en diferentes capas... seguridad en profundidad. El principal consejo para los usuarios de sistemas operativos en general y los de Windows en particular es no usar la cuenta de administrador. Actualizar el sistema, y no sólo Windows, sino todos los programas que tengamos instalados deben estar actualizados a la última versión de su rama. También mantenerse informado sobre tendencias de seguridad, malware y estado en general de la seguridad en la red. ¿Y el antivirus? Por supuesto. También es imprescindible tener un antivirus actualizado a diario.
Aunque el informe no especifica explícitamente que se haya realizado el estudio de esta forma, todo apunta a que así se ha hecho. Nos hemos puesto en contacto con ellos para aclarar este punto, pero no ha habido respuesta.
mas información
Cyveillance testing finds AV vendors detect on average less than 19% of
malware attacks
http://www.cyveillance.com/web/news/press_rel/2010/2010-08-04.asp
Cyveillance recopiló 1.708 binarios reconocidos como malware por al menos tres antivirus de los 13 contemplados en el estudio. Estos binarios eran archivos recolectados en los tres últimos días por la empresa con sus propios métodos. Analizó los archivos cada 6 horas durante 30 días con los 13 motores. La media de detección iba desde el 19% del día 1, hasta el 61.7% el día 30.
Apreciaciones sobre ciertos puntos
* Catalogan como malware confirmado el binario que es detectado por al menos tres motores de los 13 que contemplan. Nuestra experiencia con VirusTotal (subjetiva), nos dice que el malware realmente "fresco", suele ser detectado (a través de firmas) por menos de tres casas antivirus. En ocasiones, por ninguna. Además, los falsos positivos son comunes. El hecho de que tres motores detecten un binario no es definitivo para concluir que deba ser reconocido. Sólo un análisis manual lo es.
* Es injusto comparar los antivirus solo por sus firmas. Aunque el informe no especifica explícitamente que se haya realizado el estudio de esta forma, todo apunta a que así se ha hecho. Esto no es nada nuevo: desde siempre, los virus "recién creados" han sido menos detectados por firmas en un principio. Tampoco es difícil crear específicamente troyanos "no detectados" por firmas. Los atacantes lo hacen todos los días. Otra cosa es que sean detectados por comportamiento en el sistema una vez ejecutados, que es el punto fuerte de las suites antivirus en estos momentos.
No es ningún secreto que el modelo de detección por firmas es cada vez "una parte más" de los antivirus, y no se puede juzgar a un producto exclusivamente por la detección estática de muestras. Es lo mismo que ocurre con VirusTotal. Los resultados obtenidos al enviar una muestra son analizados de forma estática, por tanto pueden diferir de lo que un usuario obtiene con el antivirus instalado en su sistema. Las suites, cada vez más, se basan en el comportamiento de las muestras para detectar el malware. Hacen una buena labor en ese sentido, y no es posible hoy en día evaluar un producto completo sólo por una de sus funciones. Si se quiere evaluar la calidad y cantidad de firmas, se debe ser consciente de que eso es sólo una parte del producto. También cabe recordar que, aunque las propias casas antivirus utilizaron esta métrica errónea de las firmas en el pasado cuando los números le eran beneficiosos, cada vez abandonan más esta práctica.
* ¿Son 1.708 binarios suficientes? No sabemos la naturaleza de los binarios. Por ejemplo, sabemos que las casas antivirus tienen serios problemas para detectar los "rogueware" (falsos antivirus). Pueden pasar semanas hasta que algún motor los detecta por firmas. La producción actual es tan prolífica que a efectos prácticos es imposible luchar contra ello de forma efectiva. Solo se puede mitigar el problema.
Sabemos que un laboratorio antivirus puede recibir cada día más de mil nuevas muestras de malware para las que no disponen de firma de detección específica. 1.000 firmas que crear en 24 horas. Utilizan sistemas automatizados para catalogar, con todas sus ventajas e inconvenientes. Solo las muestras muy relevantes o nuevas pasan a ser analizadas manualmente. Que, tras 30 días, la media suba del 19 a algo más del 61% de detección por firmas, es incluso un buen trabajo.
* Es evidente en cierta forma que la industria antivirus se encuentra en "quiebra técnica". Deben mantener una lista negra actualizándose constantemente; una heurística agresiva para detectar nuevos especímenes que no estén en su lista negra; y una lista blanca más pequeña y que se actualiza menos, para evitar detectar demasiado goodware como malware y provocar algún daño en el sistema, por ejemplo. A pesar de sus esfuerzos, siguen sufriendo muchos problemas: o bien están detectando como malicioso software legítimo, o bien siguen sin detectar malware de verdad, o en el peor de los casos, ambas cosas.
* Sí es cierto que el usuario medio suele ser víctima del marketing de las casas antivirus, y creen que la suite les salvará de todo mal. Slogans como "Protección total" o "Blindaje del sistema" calan en el usuario que concluye que realmente es lo único que necesita. Este tipo de informes, puede ayudar a desterrar esa idea aunque, por otro lado, a veces también pueden llegar a polarizan la opinión: "¿Acaso, a pesar del dinero invertido en la solución antimalware, no estoy protegido por completo?" o "Las soluciones antimalware no sirven para nada". Ninguna de las dos posiciones es adecuada. Como concluye el informe, las soluciones antivirus son imprescindibles, pero es necesario combinarlas con otros métodos de prevención.
En definitiva, estudiar porcentajes de detección de forma objetiva hoy en día es una tarea compleja... para todos.
Recomendaciones
Ya lo sabemos: la seguridad es un proceso continuo y que se debe complementar en diferentes capas... seguridad en profundidad. El principal consejo para los usuarios de sistemas operativos en general y los de Windows en particular es no usar la cuenta de administrador. Actualizar el sistema, y no sólo Windows, sino todos los programas que tengamos instalados deben estar actualizados a la última versión de su rama. También mantenerse informado sobre tendencias de seguridad, malware y estado en general de la seguridad en la red. ¿Y el antivirus? Por supuesto. También es imprescindible tener un antivirus actualizado a diario.
Aunque el informe no especifica explícitamente que se haya realizado el estudio de esta forma, todo apunta a que así se ha hecho. Nos hemos puesto en contacto con ellos para aclarar este punto, pero no ha habido respuesta.
mas información
Cyveillance testing finds AV vendors detect on average less than 19% of
malware attacks
http://www.cyveillance.com/web/news/press_rel/2010/2010-08-04.asp
Etiquetas:
antivirus,
Seguridad,
vulnerabilidad
Nuevo peligro del mundo online: las "geoetiquetas"
Los especialistas en seguridad y privacidad han empezado a advertir sobre los posibles peligros de las geoetiquetas que contienen las fotos y videos tomados con cámaras digitales y teléfonos inteligentes equipados con GPS. Como los datos de localización no son visibles para el observador casual, lo que resulta preocupante es que mucha gente pueda no darse cuenta de que esa información está ahí, por lo que podría poner en peligro su privacidad –o su seguridad- cuando sube elementos geoetiquetados online.
Cuando Adam Savage, el conductor del popular programa de ciencias "MythBusters", subió una foto a Twitter en la que se veía su auto estacionado frente a su casa, permitió que sus admiradores supieran mucho más de él que el hecho de que tenía una Toyota Land Cruiser.
La imagen contenía una geoetiqueta, información que proporcionó la longitud y la latitud del punto donde se sacó la foto Así, reveló con precisión el lugar donde vivía. Como el texto que acompañaba la foto era "Ahora me voy a trabajar", posibles ladrones supieron que no iba a estar en su casa.
Los especialistas en seguridad y privacidad han empezado a advertir sobre los posibles peligros de las geoetiquetas que contienen las fotos y videos tomados con cámaras digitales y teléfonos inteligentes equipados con GPS. Como los datos de localización no son visibles para el observador casual, lo que resulta preocupante es que mucha gente pueda no darse cuenta de que esa información está ahí, por lo que podría poner en peligro su privacidad –o su seguridad- cuando sube elementos geoetiquetados online.
Savage dijo que estaba informado sobre las geoetiquetas. (Como corresponde, dado que conduce un popular programa con entusiastas de la tecnología.) Pero señalo que se había olvidado de desactivar la función de su iPhone antes de sacar la foto y subirla a Twitter.
"Supongo que no me preocupé, ya que no soy tan famoso como para que me persigan", declaró. "Si lo soy, quiero un aumento."
De todos modos, a partir de entonces Savage desactivó el geoetiquetado de su iPhone, y no piensa más en la foto archivada en Twitter porque se mudó.
Otros, sin embargo, pueden no estar tan informados ni preocuparse tan poco por su privacidad.
"Yo diría que muy poca gente está enterada del geoetiquetado", dijo Peter Eckersley, un especialista en tecnología de la Electronic Frontier Foundation de San Francisco, "y el consentimiento se convierte en una especie de terreno resbaladizo cuando la única forma en que se puede desactivar la función de un teléfono inteligente es a través de un menú invisible del que nadie sabe gran cosa."
De hecho, desactivar la función de geoetiquetado por lo general comprende pasar por varias capas de menús hasta que se encuentra la función "ubicación" (location), luego de lo cual se selecciona "desactivar" (off) o "no permitir" (don't allow). Pero hacer eso a veces puede desactivar todas las funciones de GPS, incluido el mapeo, de modo que puede ser complicado.
El sitio web ICanStalkU.com proporciona instrucciones paso a paso para desactivar la función de geoetiquetado de fotos en aparatos iPhone, BlackBerry, Android y Palm.
La ubicación de una persona también se revela al usar servicios como Foursquare y Gowalla, así como cuando se postea a Twitter desde un celular con GPS, pero los datos no están ocultos, como pasa cuando se suben fotos.
VER LA NOTICIA COMPLETA EN http://www.clarin.com/internet/Nuevo-peligro-mundo-online-geoetiquetadas_0_315568651.html
Cuando Adam Savage, el conductor del popular programa de ciencias "MythBusters", subió una foto a Twitter en la que se veía su auto estacionado frente a su casa, permitió que sus admiradores supieran mucho más de él que el hecho de que tenía una Toyota Land Cruiser.
La imagen contenía una geoetiqueta, información que proporcionó la longitud y la latitud del punto donde se sacó la foto Así, reveló con precisión el lugar donde vivía. Como el texto que acompañaba la foto era "Ahora me voy a trabajar", posibles ladrones supieron que no iba a estar en su casa.
Los especialistas en seguridad y privacidad han empezado a advertir sobre los posibles peligros de las geoetiquetas que contienen las fotos y videos tomados con cámaras digitales y teléfonos inteligentes equipados con GPS. Como los datos de localización no son visibles para el observador casual, lo que resulta preocupante es que mucha gente pueda no darse cuenta de que esa información está ahí, por lo que podría poner en peligro su privacidad –o su seguridad- cuando sube elementos geoetiquetados online.
Savage dijo que estaba informado sobre las geoetiquetas. (Como corresponde, dado que conduce un popular programa con entusiastas de la tecnología.) Pero señalo que se había olvidado de desactivar la función de su iPhone antes de sacar la foto y subirla a Twitter.
"Supongo que no me preocupé, ya que no soy tan famoso como para que me persigan", declaró. "Si lo soy, quiero un aumento."
De todos modos, a partir de entonces Savage desactivó el geoetiquetado de su iPhone, y no piensa más en la foto archivada en Twitter porque se mudó.
Otros, sin embargo, pueden no estar tan informados ni preocuparse tan poco por su privacidad.
"Yo diría que muy poca gente está enterada del geoetiquetado", dijo Peter Eckersley, un especialista en tecnología de la Electronic Frontier Foundation de San Francisco, "y el consentimiento se convierte en una especie de terreno resbaladizo cuando la única forma en que se puede desactivar la función de un teléfono inteligente es a través de un menú invisible del que nadie sabe gran cosa."
De hecho, desactivar la función de geoetiquetado por lo general comprende pasar por varias capas de menús hasta que se encuentra la función "ubicación" (location), luego de lo cual se selecciona "desactivar" (off) o "no permitir" (don't allow). Pero hacer eso a veces puede desactivar todas las funciones de GPS, incluido el mapeo, de modo que puede ser complicado.
El sitio web ICanStalkU.com proporciona instrucciones paso a paso para desactivar la función de geoetiquetado de fotos en aparatos iPhone, BlackBerry, Android y Palm.
La ubicación de una persona también se revela al usar servicios como Foursquare y Gowalla, así como cuando se postea a Twitter desde un celular con GPS, pero los datos no están ocultos, como pasa cuando se suben fotos.
VER LA NOTICIA COMPLETA EN http://www.clarin.com/internet/Nuevo-peligro-mundo-online-geoetiquetadas_0_315568651.html
Etiquetas:
geoetiquetas,
Seguridad,
vulnerabilidad
Las empresas aumentan el gasto en software de seguridad
El gasto en software de seguridad alcanzará los 16.500 millones de dólares, o 12.857 millones de euros, este año. Al menos es lo que asegura la empresa de investigación de mercado Gartner en su último informe.
La cifra representa un crecimiento del 11% si se compara con la del año pasado, cuando el gasto en software de seguridad se quedó por debajo de los 15.000 millones de dólares (11.694 millones de euros).
Gartner asegura que la crisis económica había reducido las inversiones, pero que el mercado de software de seguridad continuará creciendo en los próximos años, aunque con variaciones entre las tecnologías más estables y las menos maduras. De hecho Gartner asegura que la seguridad será una de las áreas de mayor crecimiento dentro del mercado de software empresarial.
Los consumidores serán los que más gastarán en software de seguridad, generando ingresos de 4.200 millones de dólares en 2010, una variación pequeña si la comparamos con los 3.900 millones de dólares de 2009.
Las empresas serán las segundas, incrementando los 2.900 millones de dólares (2.260 millones de euros) de 2009 hasta los 3.000 millones de dólares (2.338 millones de euros) de 2010.
fuente Itespresso.es
La cifra representa un crecimiento del 11% si se compara con la del año pasado, cuando el gasto en software de seguridad se quedó por debajo de los 15.000 millones de dólares (11.694 millones de euros).
Gartner asegura que la crisis económica había reducido las inversiones, pero que el mercado de software de seguridad continuará creciendo en los próximos años, aunque con variaciones entre las tecnologías más estables y las menos maduras. De hecho Gartner asegura que la seguridad será una de las áreas de mayor crecimiento dentro del mercado de software empresarial.
Los consumidores serán los que más gastarán en software de seguridad, generando ingresos de 4.200 millones de dólares en 2010, una variación pequeña si la comparamos con los 3.900 millones de dólares de 2009.
Las empresas serán las segundas, incrementando los 2.900 millones de dólares (2.260 millones de euros) de 2009 hasta los 3.000 millones de dólares (2.338 millones de euros) de 2010.
fuente Itespresso.es
Un fallo en PDF permite alterar las firmas de los documentos
Siempre que hablamos de PDF nos acordamos de Adobe o Acrobat, pero el formato de archivo es un estándar ISO, concretamente el ISO 32000-1:2008, y son muchos los productos de software que lo implementan, desde lector PDF alternativos como Foxit a Microsoft Office o el mismísimo iPad de Apple. Todos ellos se basan en la especificación de una serie de reglas sobre cómo leer y escribir archivos PDF.
Por lo tanto, parte de esta especificación establece las reglas sobre cómo los archivos PDF se pueden firmar digitalmente para demostrar la prueba de una autoría. Pero una nueva investigación ha descubierto un fallo en esta especificación que hace que sea posible modificar un archivo firmado sin invalidar la firma. El análisis realizado por Florian Zumbiehl, que incluye una descripción del formato PDF, muestra dos archivos PDF con la misma firma digital pero contenidos diferentes.
El problema tiene que ver con la descripción en el archivo sobre dónde está la firma y qué secciones del archivo están firmadas por ella. El proceso es complicado pero podría llevar a la falsificación de documentos.
fuente Itespresso.es
Por lo tanto, parte de esta especificación establece las reglas sobre cómo los archivos PDF se pueden firmar digitalmente para demostrar la prueba de una autoría. Pero una nueva investigación ha descubierto un fallo en esta especificación que hace que sea posible modificar un archivo firmado sin invalidar la firma. El análisis realizado por Florian Zumbiehl, que incluye una descripción del formato PDF, muestra dos archivos PDF con la misma firma digital pero contenidos diferentes.
El problema tiene que ver con la descripción en el archivo sobre dónde está la firma y qué secciones del archivo están firmadas por ella. El proceso es complicado pero podría llevar a la falsificación de documentos.
fuente Itespresso.es
Etiquetas:
adobe,
pdf,
vulnerabilidad
lunes, 16 de agosto de 2010
La seguridad de la información sortea la crisis
El mercado de la seguridad de la información es uno de los pocos que no ha sucumbido a la crisis económica internacional. Las organizaciones siguen invirtiendo en seguridad al mismo ritmo que antes e incluso con más fuerza. No en vano, la consultora IDC prevé que este mercado, a escala global, incremente su volumen de negocio hasta los 7.300 millones de dólares a finales de este año 2010, lo que supondría un crecimiento de un 11% respecto al año anterior. Es más, según datos de PricewaterhouseCoopers, la recesión no afectará a los presupuestos de seguridad TI. De hecho, el 63% de los encuestados por la consultora afirmaba recientemente que su inversión en seguridad incrementará o se mantendrá estable este año 2010. Sin duda la inestabilidad económica, junto con un incremento del riesgo y la mayor complejidad regulatoria han impactado positivamente en la función de seguridad y han intensificado la importancia de ésta en las compañías.
leer articulo completo en http://www.idg.es/computerworld/
leer articulo completo en http://www.idg.es/computerworld/
Etiquetas:
Seguridad
Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (1er trimestre de 2010)
El Observatorio de la Seguridad de la Información de INTECO hace públicos los resultados de la duodécima oleada del Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles, correspondiente al 1er trimestre de 2010.
Por tercer trimestre consecutivo se registra un mínimo histórico en la detección de malware: en marzo de 2010, el 52,8% de los equipos presentan algún tipo de código malicioso. Es el resultado que se obtiene tras la realización de 11.854 análisis online a los 5.212 equipos que componen el panel.
El informe describe las herramientas de seguridad instaladas en los equipos domésticos y profundiza en los hábitos seguros que observan los usuarios de Internet. Una vez más, antivirus, cortafuegos y actualizaciones del sistema operativo son las medidas de seguridad más ampliamente adoptadas en los hogares españoles.
Descarga directa del Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (1er trimestre de 2010) en formato PDF accesible. Disponible el informe completo en castellano y el resumen ejecutivo en castellano e inglés.
Fuente INTECO.ES
Por tercer trimestre consecutivo se registra un mínimo histórico en la detección de malware: en marzo de 2010, el 52,8% de los equipos presentan algún tipo de código malicioso. Es el resultado que se obtiene tras la realización de 11.854 análisis online a los 5.212 equipos que componen el panel.
El informe describe las herramientas de seguridad instaladas en los equipos domésticos y profundiza en los hábitos seguros que observan los usuarios de Internet. Una vez más, antivirus, cortafuegos y actualizaciones del sistema operativo son las medidas de seguridad más ampliamente adoptadas en los hogares españoles.
Descarga directa del Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (1er trimestre de 2010) en formato PDF accesible. Disponible el informe completo en castellano y el resumen ejecutivo en castellano e inglés.
Fuente INTECO.ES
La aceleración gráfica genera problemas de seguridad
La creciente integración de procesadores gráficos en tareas informáticas normales podría amenazar las protecciones de seguridad.
El Georgia Tech Research Institute ha realizado un estudio en el que ha descubierto que las plataformas de procesamiento sobre GPU (GPGPU) podrían incrementar exponencialmente el éxito de los ataques de ruptura de contraseña mediante lo que se denomina la fuerza bruta, o ‘brute force password cracking’.
Las plataformas GPGPU como OpenCL han despegado en los últimos tiempos, cuando fabricantes de chips y desarrolladores han decidido aprovecharse de la potencia de los chips gráficos para tareas de informática intensiva como análisis financieros o modelados físicos, para los que en principio no estaban pensados.
Pero al utilizar las capacidades de multitarea de los chips gráficos, un atacante podría incrementar la frecuencia de los intentos de combinar claves y contraseñas para acceder a los sistemas.
Los investigadores sugieren que utilizando la técnica ‘brute force password cracking’ con una tarjeta gráfica normal permitiría que un atacante comprometiera fácilmente contraseñas de más de siete caracteres.
Según la investigación, las contraseñas de menos de doce caracteres serían vulnerables, y los administradores necesitarían instituir contraseñas alfanuméricas con una longitud de una oración para mantener sus sistemas seguros.
El Georgia Tech Research Institute ha realizado un estudio en el que ha descubierto que las plataformas de procesamiento sobre GPU (GPGPU) podrían incrementar exponencialmente el éxito de los ataques de ruptura de contraseña mediante lo que se denomina la fuerza bruta, o ‘brute force password cracking’.
Las plataformas GPGPU como OpenCL han despegado en los últimos tiempos, cuando fabricantes de chips y desarrolladores han decidido aprovecharse de la potencia de los chips gráficos para tareas de informática intensiva como análisis financieros o modelados físicos, para los que en principio no estaban pensados.
Pero al utilizar las capacidades de multitarea de los chips gráficos, un atacante podría incrementar la frecuencia de los intentos de combinar claves y contraseñas para acceder a los sistemas.
Los investigadores sugieren que utilizando la técnica ‘brute force password cracking’ con una tarjeta gráfica normal permitiría que un atacante comprometiera fácilmente contraseñas de más de siete caracteres.
Según la investigación, las contraseñas de menos de doce caracteres serían vulnerables, y los administradores necesitarían instituir contraseñas alfanuméricas con una longitud de una oración para mantener sus sistemas seguros.
Apple: Actualización de seguridad para Quicktime
Apple ha publicado una nueva versión de QuickTime (la 7.6.7), que solventa un problema de seguridad crítico en sus versiones para Windows.
El problema reside en un desbordamiento de búfer (basado en pila) en el sistema de registro de errores de QuickTime. Visualizar un archivo de vídeo específicamente credo podría dar lugar a la ejecución remota de código arbitrario. Como contramedida se puede desactivar el registro de errores. Este problema no afecta a los usuarios de sistemas Mac OS X.
La actualización puede instalarse a través de las funcionalidades de actualización automática (Software Update) de Apple, o descargándolas directamente desde:
http://www.apple.com/quicktime/download/
Más Información:
APPLE-SA-2010-08-12-1 QuickTime 7.6.7
http://lists.apple.com/archives/security-announce/2010/Aug/msg00002.html
El problema reside en un desbordamiento de búfer (basado en pila) en el sistema de registro de errores de QuickTime. Visualizar un archivo de vídeo específicamente credo podría dar lugar a la ejecución remota de código arbitrario. Como contramedida se puede desactivar el registro de errores. Este problema no afecta a los usuarios de sistemas Mac OS X.
La actualización puede instalarse a través de las funcionalidades de actualización automática (Software Update) de Apple, o descargándolas directamente desde:
http://www.apple.com/quicktime/download/
Más Información:
APPLE-SA-2010-08-12-1 QuickTime 7.6.7
http://lists.apple.com/archives/security-announce/2010/Aug/msg00002.html
Etiquetas:
actualizaciones,
apple,
quicktime,
Seguridad
Suscribirse a:
Entradas (Atom)