El jefe del grupo de delitos tecnológicos de la Jefatura Superior de la Policía de Andalucía Occidental, Eduardo Pascual Herrandz, ha asegurado que el 'Grooming', que se trata de una estrategia que los adultos desarrollan para ganarse la confianza de un menor a través de Internet, con el fin de captar o seducir a niños con fines sexuales, es el delito más común que se comete a través de las redes sociales.
Pascual, que ha participado este martes en 'Menores y redes sociales', dentro de los cursos de verano que la Universidad Pablo de Olavide (UPO) organiza en la casa palacio de los Briones en Carmona (Sevilla), ha hablado sobre los distintas situaciones que se dan cuando un menor está sólo delante de un ordenador.
Según el estudio realizado por el Instituto Nacional de Tecnología de Comunicación en 2008, los usuarios españoles de Internet que utilizan habitualmente redes sociales como medio de comunicación, se sitúa entre el 40 y el 50%. Estos datos indican un porcentaje muy alto, por lo que "engloba a niños menores", que también utilizan las redes sociales "con el fin de hablar con los amigos", afirma. Así pues, la posibilidad de que los niños "caigan en manos de pedófilos es muy alta", ya que el 77% de ellos "tienen visible su perfil público".
La forma de actuar de los pedófilos "siempre es la misma", asegura el jefe superior de la Policía, y se lleva a cabo por diferentes fases. La primera de ella hace referencia al establecimiento de un lazo de amistad entre el adulto y el niño, "con el fin tener un amigo". Más tarde, cuando ambos han establecido una relación, el adulto obtendrá información sobre el menor, hasta llegar al envío de imágenes pornográficas (producción). Una vez que el adulto tenga una foto del menor, "lo tiene cogido", por lo que comienza a mantener otras conversaciones más comprometidas.
En este momento, que es cuando el menor "ya ha depositado su confianza en su nuevo amigo", el adulto "comenzará a producir un ciber acoso" (chantaje). Este hecho provoca "una gran alarma social", ya que el menor se ve obligado a comunicar la situación a sus padres. Esta situación es la que se produce finalmente, en vez de llevarse a cabo al principio, debido "al miedo que los niños tienen a que sus padres le quiten Internet", añade.
Eduardo Pascual también ha informado acerca de los métodos que los pedófilos utilizan para establecer una "relación de amistad" con su nuevo amigo, entre las que destaca, "la reproducción de un vídeo pregrabado, la obtención de confianza de menores, el chantaje, amenazas, y utilizar una falsa identidad", aunque el más importante, según el jefe del grupo de delitos tecnológicos, "es la utilización de una cámara virtual (Webcams falsas), añadidas al sistema operativo".
Respecto a esto, Pascual ha informado del peligro que tiene el dejar utilizar a un menor una cámara web. "A un niño no se le puede dejar utilizar, bajo ningún concepto, una cámara web", ya que los menores "corren el riesgo de ser muy sensibles a que todos sepan de él" por el hecho "de captar cuanto más amigos mejor", asegura.
En este sentido, el jefe de delitos tecnológicos informó sobre una serie de recomendaciones que un menor debe seguir en el momento en que se registra como usuario de una red social. Entre ellas, ha destacado "el respeto hacia oros usuarios, desconfiar de extraños, no dar información privada, no concertar citas y, por último, en caso de recibir amenazas, no acceder".
Finalmente, Pascual ha afirmado que en los últimos años "son muchos los delitos que se han cometido a través de redes sociales" como Tuenti, una web destinada, sobre todo, a niños, "y de fácil acceso". Por ello, se aconseja los menores que hagan uso de ella "establecer un filtro en el perfil" para que sólo tus verdaderos amigos puedan ver las imágenes y comentarios que cuelgues, "poner una contraseña difícil", y "recordar que las imágenes colgadas en las web pueden ser copiadas" por otros usuarios.
Fuente Portaltic.es
Comunidad dedicada a la seguridad de información (noticias, foros, charlas, actualidad)
Bienvenido a la Comunidad Ethical Shields
Ethical Shields les da la bienvenida a nuestra comunidad, queremos invitarlos a compartir sus experiencias, noticias en el ambito de seguridad de información. Esta comunidad se enriquece con sus comentarios, y en ella estaremos publicando todo lo relacionado con esta importante tema. Aqui podras ver las ultimas noticias de interes, compatir con otros profesionales y estudiantes del area, experiencias, casos, anecdotas y podras estar en contactos con nuestros especialistas en el area.
Para mas información sobre nosotros visita www.ethicalshields.com
Para mas información sobre nosotros visita www.ethicalshields.com
miércoles, 29 de septiembre de 2010
martes, 28 de septiembre de 2010
Enlaces maliciosos en Twitter
Continúan las malas noticias para los usuarios de la red de Microbloggin Twitter. Si hace unos días el ataque fue producido por una vulnerabilidad en el sistema, hoy informamos de un nuevo ataque a sus usuarios. Aunque este tipo de ataque no se debe a ninguna vulnerabilidad, se puede decir que ha sido simplemente un ataque de ingeniería social.
El funcionamiento del mismo es el siguiente:
* Alguien publica un tweet con un texto, en el que se incluye la palabra “WTF” y un enlace a una imagen.
*El enlace tiene un código Javascript, en el cual, aparece el código necesario para que se publiquen dos tweets, uno de los cuales también tiene el enlace con el Javascript malicioso. El otro es un simple texto subido de tono.
Por lo que el usuario, al hacer clic en el enlace, verá como se le publican estos dos tweets en su propia cuenta, y de esta forma se propaga en pocos minutos, afectando a cada vez más usuarios curiosos.
Twitter ha hecho pública una nota donde informa de que el enlace ha sido deshabilitado y están intentando eliminar los tweets ofensivos.
Desde el departamento técnico de ESET en Ontinet.com, aconsejamos no pulsar en enlaces sospechosos, con texto llamativo, aunque vengan de usuarios conocidos. En este enlace encontrarán información acerca de los enlaces cortos y de como protegernos de su uso por parte de los creadores de malware.
El acortar los enlaces es una gran ventaja a la hora de publicar un texto, ya que nos permite poder agregar más texto, pero tiene un gran inconveniente, el desconocimiento, por parte del usuario, de a dónde nos va a redirigir ese enlace acortado. Mientras Twitter no solucione este tema, los usuarios de esta red social van a tener que prestar mucha atención siempre que se haga clic en uno de estos enlaces, no ocurra como en este caso que les hemos comentado.
Fuente ESET
El funcionamiento del mismo es el siguiente:
* Alguien publica un tweet con un texto, en el que se incluye la palabra “WTF” y un enlace a una imagen.
*El enlace tiene un código Javascript, en el cual, aparece el código necesario para que se publiquen dos tweets, uno de los cuales también tiene el enlace con el Javascript malicioso. El otro es un simple texto subido de tono.
Por lo que el usuario, al hacer clic en el enlace, verá como se le publican estos dos tweets en su propia cuenta, y de esta forma se propaga en pocos minutos, afectando a cada vez más usuarios curiosos.
Twitter ha hecho pública una nota donde informa de que el enlace ha sido deshabilitado y están intentando eliminar los tweets ofensivos.
Desde el departamento técnico de ESET en Ontinet.com, aconsejamos no pulsar en enlaces sospechosos, con texto llamativo, aunque vengan de usuarios conocidos. En este enlace encontrarán información acerca de los enlaces cortos y de como protegernos de su uso por parte de los creadores de malware.
El acortar los enlaces es una gran ventaja a la hora de publicar un texto, ya que nos permite poder agregar más texto, pero tiene un gran inconveniente, el desconocimiento, por parte del usuario, de a dónde nos va a redirigir ese enlace acortado. Mientras Twitter no solucione este tema, los usuarios de esta red social van a tener que prestar mucha atención siempre que se haga clic en uno de estos enlaces, no ocurra como en este caso que les hemos comentado.
Fuente ESET
Microsoft lanza una parche de emergencia para ASP.net
Adelantándose a su próximo boletín mensual de seguridad, Microsoft ha desarrollado un parche de emergencia para el cubrir una brecha de su servidor web Windows contra la que ya habían empezado a detectarse ataques.
Concretamente, el parche resuelve un fallo de seguridad en la tecnología ASP.net de Windows utilizada para crear aplicaciones web. Se trata de una vulnerabilidad que permite a los atacantes conseguir acceso a archivos protegidos o leer datos encriptados enviados por un servidor de aplicación web ASP.net.
El parche tardará unos días aún en llegar a la mayoría de los particulares, que dependen de las actualizaciones automáticas de Microsoft, pero la mayoría de ellos no son vulnerables excepto si corren un servidor web sobre sus equipos.
De cualquier modo, Microsoft ha decidido publicar hoy mismo la actualización de seguridad en su centro de descargas (Download Center) para aquellos usuarios con servidores web que prefieran aplicarlo de inmediato.
"Esta es la primera vez que hemos publicado una actualización por esta vía, pero debido a la naturaleza de los ataques activos que se están produciendo y la severidad de las posibles pérdidas de datos que pueden ocasionar, hemos decidido hacerlo así de forma que los clientes (especialmente grandes empresas, proveedores de servicios y suministradores de software independientes) puedan empezar a proteger sus sistemas", ha declarado Microsoft en un comunicado.
En cualquier caso, la compañía ha tranquilizado a los usuarios asegurando que por el momento la cantidad de ataques contra la brecha es "limitado".
Fuente Segu-info.com.ar
Concretamente, el parche resuelve un fallo de seguridad en la tecnología ASP.net de Windows utilizada para crear aplicaciones web. Se trata de una vulnerabilidad que permite a los atacantes conseguir acceso a archivos protegidos o leer datos encriptados enviados por un servidor de aplicación web ASP.net.
El parche tardará unos días aún en llegar a la mayoría de los particulares, que dependen de las actualizaciones automáticas de Microsoft, pero la mayoría de ellos no son vulnerables excepto si corren un servidor web sobre sus equipos.
De cualquier modo, Microsoft ha decidido publicar hoy mismo la actualización de seguridad en su centro de descargas (Download Center) para aquellos usuarios con servidores web que prefieran aplicarlo de inmediato.
"Esta es la primera vez que hemos publicado una actualización por esta vía, pero debido a la naturaleza de los ataques activos que se están produciendo y la severidad de las posibles pérdidas de datos que pueden ocasionar, hemos decidido hacerlo así de forma que los clientes (especialmente grandes empresas, proveedores de servicios y suministradores de software independientes) puedan empezar a proteger sus sistemas", ha declarado Microsoft en un comunicado.
En cualquier caso, la compañía ha tranquilizado a los usuarios asegurando que por el momento la cantidad de ataques contra la brecha es "limitado".
Fuente Segu-info.com.ar
Etiquetas:
asp.net,
boletin microsoft,
vulnerabilidad
Descubren un fraude de millones de dólares contra operadoras móviles francesas
La policía francesa ha desarticulado una red de piratas de telefonía móvil que han cometido un fraude valorado en millones de euros y ha arrestado a nueve personas, algunas de las cuales trabajan en operadoras.
Tres personas siguen en custodia después del arresto de este fin de semana, que culmina con un año de investigación de la red, que ha estado operando desde hace más de una década y que es la primera de su clase en Francia.
Los investigadores han explicado que los estafadores compraban códigos para desbloquear tarjetas SIM por tres euros a empleados de empresas de telefonía de alto rango que tenían acceso a las bases de datos de la compañía. Después, la red de estafadores vendía los códigos en Internet por 30 euros, dinero que iba a parar a diversas cuentas bancarias.
Uno de los empleados detenidos podría haber ganado hasta 250.000 euros en un mes. Con esos códigos se podía acceder a cualquier tarjeta SIM, incluso a tarjetas extranjeras, con sus teléfonos móviles.
La investigación sobre estos piratas de redes móviles se inició a finales de 2009 después de que se produjeran quejas en la compañía francesa SFR por las diferencias en sus sistemas de seguridad. Otras dos compañías afectadas por el fraude son Bouygues Telecom y Orange.
Fuente itespresso.es
Tres personas siguen en custodia después del arresto de este fin de semana, que culmina con un año de investigación de la red, que ha estado operando desde hace más de una década y que es la primera de su clase en Francia.
Los investigadores han explicado que los estafadores compraban códigos para desbloquear tarjetas SIM por tres euros a empleados de empresas de telefonía de alto rango que tenían acceso a las bases de datos de la compañía. Después, la red de estafadores vendía los códigos en Internet por 30 euros, dinero que iba a parar a diversas cuentas bancarias.
Uno de los empleados detenidos podría haber ganado hasta 250.000 euros en un mes. Con esos códigos se podía acceder a cualquier tarjeta SIM, incluso a tarjetas extranjeras, con sus teléfonos móviles.
La investigación sobre estos piratas de redes móviles se inició a finales de 2009 después de que se produjeran quejas en la compañía francesa SFR por las diferencias en sus sistemas de seguridad. Otras dos compañías afectadas por el fraude son Bouygues Telecom y Orange.
Fuente itespresso.es
Etiquetas:
Cibercrimen,
Seguridad
El troyano bancario Zeus también se fija en los móviles
Utilizado al principio en los ordenadores basados en Windows, el troyano bancario Zeus ya se está utilizando para tentar a las víctimas de los teléfonos móviles. Al menos es lo que dicen desde la empresa de seguridad Fortinet, que afirma haber descubierto un nuevo malware móvil al que han bautizado como SymbOS/Zitmo. Esta variante está diseñada para interceptar confirmaciones de mensajes de texto que los bancos envían a los usuarios de la banca online.
Estas interceptaciones permitirían a los criminales superar las autenticaciones bancarias y aprobar las transacciones sin el conocimiento de la víctima.
Normalmente el troyano Zeus compromete los ordenadores, bien haciendo que la víctima pinche sobre un enlace malicioso de un correo electrónico o en una página web que aloja el malware, de forma que las credenciales de acceso al banco se puedan robar. En este ataque el malware muestra una ventana en el navegador pidiendo a la víctima que proporcione el número y modelo de su teléfono móvil, información que después utiliza para enviar un SMS a la víctima que incluye un enlace a una versión del malware escrita para esa plataforma móvil.
El malware supervisa todos los mensajes de texto entrantes e instala una puerta trasera para que los atacantes puedan controlar el terminal.
fuente itespresso.es
Estas interceptaciones permitirían a los criminales superar las autenticaciones bancarias y aprobar las transacciones sin el conocimiento de la víctima.
Normalmente el troyano Zeus compromete los ordenadores, bien haciendo que la víctima pinche sobre un enlace malicioso de un correo electrónico o en una página web que aloja el malware, de forma que las credenciales de acceso al banco se puedan robar. En este ataque el malware muestra una ventana en el navegador pidiendo a la víctima que proporcione el número y modelo de su teléfono móvil, información que después utiliza para enviar un SMS a la víctima que incluye un enlace a una versión del malware escrita para esa plataforma móvil.
El malware supervisa todos los mensajes de texto entrantes e instala una puerta trasera para que los atacantes puedan controlar el terminal.
fuente itespresso.es
Etiquetas:
malware,
smartphone,
zeus
Facebook pide disculpas por su peor caída en cuatro años
Muchos usuarios de Facebook no pudieron acceder al sitio de networking social durante una hora y media el jueves. Se trata de la pero caída del servicio en cuatro años, según ha reconocido la propia empresa en una entrada de blog.
El motivo del fallo del servicio ha sido un cambio realizado por Facebook en uno de sus sistemas que tuvo como consecuencia la presentación ante los usuarios de un mensaje de error DNS y la imposibilidad para muchos de acceder a la red social.
Para resolverlo, la compañía tuvo que interrumpir todo el tráfico en el cluster de base de datos afectado, ha explicado Robert Johnson, director de ingeniería de software de Facebook. “Una vez las bases de datos se recuperaron y la causa raíz fue resuelta, fuimos poco a poco dejando entrar a la gente al sitio”.
En cualquier caso, el problema no ha sido resuelto por completo. Johnson ha informado de que Facebook tuvo que desactivar el sistema automatizado para hacer que la red volviera a funcionar adecuadamente, pero se trata de un sistema que desempeña un papel esencial en la protección del website. Actualmente la compañía investiga nuevas formas de solucionar la situación.
“Pedimos disculpas por la interrupción del servicio y queremos que los usuarios sepan que nos tomamos el rendimiento y la fiabilidad de Facebook con toda seriedad”, ha subrayado Johnson.
fuente: csospain.es
El motivo del fallo del servicio ha sido un cambio realizado por Facebook en uno de sus sistemas que tuvo como consecuencia la presentación ante los usuarios de un mensaje de error DNS y la imposibilidad para muchos de acceder a la red social.
Para resolverlo, la compañía tuvo que interrumpir todo el tráfico en el cluster de base de datos afectado, ha explicado Robert Johnson, director de ingeniería de software de Facebook. “Una vez las bases de datos se recuperaron y la causa raíz fue resuelta, fuimos poco a poco dejando entrar a la gente al sitio”.
En cualquier caso, el problema no ha sido resuelto por completo. Johnson ha informado de que Facebook tuvo que desactivar el sistema automatizado para hacer que la red volviera a funcionar adecuadamente, pero se trata de un sistema que desempeña un papel esencial en la protección del website. Actualmente la compañía investiga nuevas formas de solucionar la situación.
“Pedimos disculpas por la interrupción del servicio y queremos que los usuarios sepan que nos tomamos el rendimiento y la fiabilidad de Facebook con toda seriedad”, ha subrayado Johnson.
fuente: csospain.es
Etiquetas:
facebook,
vulnerabilidad
El FBI investiga el gusano “Here you have”
El FBI ha iniciado una investigación sobre el gusano “Here you have”, que ha infectado los sistemas de correo electrónico de un gran número de usuarios corporativos en Estados Unidos.
“Here you have” tuvo un gran impacto en Norteamérica, donde consiguió infectar los sistemas de correo electrónico de grandes organizaciones, como Disney, Proctor & Gamble y la NASA. El primer día de su aparición llegó a representar entre un 6 y un 14% de todo el spam sobre Internet, según datos de Cisco Systems.
Un hacker que opera con el nombre de Iraq Resistance se ha identificado como autor del gusano, aunque sin revelar su auténtica identidad, y ha asegurado que su intención era hacer propaganda contra la actuación de Estados Unidos en Irak.
El perfil de Iraq Resistance en YouTube indica que está localizado en España, pero el investigador Joe Stewart ha analizado el gusano y cree que su autor es un hacker libio que ha intentado conseguir apoyo para un grupo “ciber-yijad” cuyo objetivo es irrumpir en los sistemas de las agencias de la armada estadounidense.
El análisis de las direcciones IP de los mensajes de Iraq Resistance revela que ha utilizado la red móvil de Hutchison 3G en Reino Unido, así como direcciones proxy IP usadas por el navegador Opera Mini. Esto, no obstante, no significa que necesariamente opere desde Reino Unido, dado que también sería posible que hubiera hackeado un ordenado que utilizara Hutchison 3G para enviar los mensajes o que sencillamente hubiera comprado una tarjeta SIM utilizada para esa red.
fuente: csospain.es
“Here you have” tuvo un gran impacto en Norteamérica, donde consiguió infectar los sistemas de correo electrónico de grandes organizaciones, como Disney, Proctor & Gamble y la NASA. El primer día de su aparición llegó a representar entre un 6 y un 14% de todo el spam sobre Internet, según datos de Cisco Systems.
Un hacker que opera con el nombre de Iraq Resistance se ha identificado como autor del gusano, aunque sin revelar su auténtica identidad, y ha asegurado que su intención era hacer propaganda contra la actuación de Estados Unidos en Irak.
El perfil de Iraq Resistance en YouTube indica que está localizado en España, pero el investigador Joe Stewart ha analizado el gusano y cree que su autor es un hacker libio que ha intentado conseguir apoyo para un grupo “ciber-yijad” cuyo objetivo es irrumpir en los sistemas de las agencias de la armada estadounidense.
El análisis de las direcciones IP de los mensajes de Iraq Resistance revela que ha utilizado la red móvil de Hutchison 3G en Reino Unido, así como direcciones proxy IP usadas por el navegador Opera Mini. Esto, no obstante, no significa que necesariamente opere desde Reino Unido, dado que también sería posible que hubiera hackeado un ordenado que utilizara Hutchison 3G para enviar los mensajes o que sencillamente hubiera comprado una tarjeta SIM utilizada para esa red.
fuente: csospain.es
Etiquetas:
Cibercrimen,
malware
LinkedIn también llama la atención de los spammers
an sólo un día después de que los usuarios de Twitter sufrieran un nuevo ataque, Cisco Systems informa que los spammers han puesto sus ojos en los de LinkedIn.
Los usuarios de LinkedIn están recibiendo mensajes de correo electrónico que se hacen pasar por peticiones de conexión que, cuando se pincha sobre ellas muestran el mensaje: “Please waiting…4 seconds”, antes de redirigirlos a Google. Durante estos cuatro segundos se descarga el malware Zeus en sus ordenadores.
Zeus, que se integra en el navegador de la víctima y roba información personal del usuario, como las contraseñas de acceso a la banca online, se ha hecho muy famoso por conseguir datos bancarios.
Según Cisco estos mensajes han contabilizado el 24% del spam enviado con intervalos de 15 minutos. La compañía recomienda a los administradores TI que eliminen las peticiones de conexión, especialmente si no conocen el nombre del contacto.
Las redes sociales se han convertido en el principal objetivo de los cibercriminales. Twitter se ha visto afectado por un gusano durante el fin de semana y un fallo de cross-scripting, sin que los usuarios de Facebook sean inmunes a este tipo de ataques.
Actualmente el spam es la forma de ataque más popular y según Cisco veremos cada vez más mensajes no deseados con malware capaz de robar la información personal del usuario.
fuente: itespresso.es
Los usuarios de LinkedIn están recibiendo mensajes de correo electrónico que se hacen pasar por peticiones de conexión que, cuando se pincha sobre ellas muestran el mensaje: “Please waiting…4 seconds”, antes de redirigirlos a Google. Durante estos cuatro segundos se descarga el malware Zeus en sus ordenadores.
Zeus, que se integra en el navegador de la víctima y roba información personal del usuario, como las contraseñas de acceso a la banca online, se ha hecho muy famoso por conseguir datos bancarios.
Según Cisco estos mensajes han contabilizado el 24% del spam enviado con intervalos de 15 minutos. La compañía recomienda a los administradores TI que eliminen las peticiones de conexión, especialmente si no conocen el nombre del contacto.
Las redes sociales se han convertido en el principal objetivo de los cibercriminales. Twitter se ha visto afectado por un gusano durante el fin de semana y un fallo de cross-scripting, sin que los usuarios de Facebook sean inmunes a este tipo de ataques.
Actualmente el spam es la forma de ataque más popular y según Cisco veremos cada vez más mensajes no deseados con malware capaz de robar la información personal del usuario.
fuente: itespresso.es
Etiquetas:
redes sociales,
spam
viernes, 24 de septiembre de 2010
Facebook nuevamente fuera de servicio
La red social 'Facebook' ha dejado de estar operativa. En la tarde de este jueves los miles de usuarios que han tratado de conectarse sólo han podido dar con el siguiente mensaje: Service Unavailable - DNS failure.
Hacia las once de la noche (23 GTM / hora Peninsular), el servicio se ha restablecido.Un proveedor de red parece ser el origen del problema que afectó al acceso a las cuentas de Facebook, según confirmó la red social.
El sitio de monitoreo de actividad downrightnow.com, que lleva los reportes de personas que no pueden acceder a sitios en la web, confirmó los primeros problemas a las 15 horas.
"Hemos solucionado el problema con un tercer proveedor de red y todo aquel que se haya visto afectado debería ser capaz de acceder a Facebook con normalidad", ha explicado la compañía.
Este mismo miércoles ocurrió algo similar en Latinoamérica. Así, se trata del segundo fallo consecutivo del servicio en apenas 24 horas.
La falta de servicio en Facebook pudo comprobarse el miércoles en Argentina, Chile, Colombia, Venezuela y Bolivia. Por más que los usuarios intentaron acceder a Facebook, este no se abría.
Fuente: telecinco.es
Hacia las once de la noche (23 GTM / hora Peninsular), el servicio se ha restablecido.Un proveedor de red parece ser el origen del problema que afectó al acceso a las cuentas de Facebook, según confirmó la red social.
El sitio de monitoreo de actividad downrightnow.com, que lleva los reportes de personas que no pueden acceder a sitios en la web, confirmó los primeros problemas a las 15 horas.
"Hemos solucionado el problema con un tercer proveedor de red y todo aquel que se haya visto afectado debería ser capaz de acceder a Facebook con normalidad", ha explicado la compañía.
Este mismo miércoles ocurrió algo similar en Latinoamérica. Así, se trata del segundo fallo consecutivo del servicio en apenas 24 horas.
La falta de servicio en Facebook pudo comprobarse el miércoles en Argentina, Chile, Colombia, Venezuela y Bolivia. Por más que los usuarios intentaron acceder a Facebook, este no se abría.
Fuente: telecinco.es
Etiquetas:
facebook
Actualización de seguridad para Adobe Flash Player
Adobe ha publicado una actualización de seguridad destinada a corregir una vulnerabilidad crítica, (que habiamos publicado el dia 13 de septiembre) en Adobe Flash Player versión 10.1.82.76 (y anteriores) para Windows, Macintosh, Linux y Solaris y en Adobe Flash Player 10.1.92.10 para Android. La vulnerabilidad también afecta a Adobe Reader 9.3.4 (y anteriores) para Windows, Macintosh y UNIX; y a Adobe Acrobat 9.3.4 (y anteriores) para Windows y Macintosh.
La vulnerabilidad podría provocar la caída del sistema y potencialmente permitir a un atacante tomar el control de los sistemas afectados. El problema, del que no se han facilitado detalles, puede llegar a permitir la ejecución remota de código arbitrario al tratar contenido Flash o contenido Multimedia dentro de documentos PDF.
Actualizacion de Seguridad:
http://www.adobe.com/support/security/advisories/apsa10-03.html
fuente: adobe.com
La vulnerabilidad podría provocar la caída del sistema y potencialmente permitir a un atacante tomar el control de los sistemas afectados. El problema, del que no se han facilitado detalles, puede llegar a permitir la ejecución remota de código arbitrario al tratar contenido Flash o contenido Multimedia dentro de documentos PDF.
Actualizacion de Seguridad:
http://www.adobe.com/support/security/advisories/apsa10-03.html
fuente: adobe.com
Etiquetas:
actualizaciones,
adobe
Keyloggers: Qué son y cómo detectarlos
En febrero de 2005, Joe López, un empresario de Florida, enjuició al Bank of America después de que unos hackers desconocidos robaran 90.000 dólares de su cuenta en este banco. El dinero robado había sido transferido a Latvia.
Una investigación reveló que el ordenador de López había sido infectado con el virus conocido como Backdoor Coreflood, el cual registra cada pulsación del teclado y envía esta información a ciberdelincuentes vía Internet. Fue de esta manera que los hackers obtuvieron el nombre de usuario y la contraseña de Joe López, ya que él a menudo realizaba sus transacciones bancarias a través de Internet.
Sin embargo, el veredicto de la corte no favoreció al interpelante pues se adujo que Joe López había sido negligente por no tomar precauciones al manejar su cuenta bancaria a través de Internet. La signatura del código malicioso encontrado en su sistema había sido añadida a las bases de datos de casi todos los antivirus ya en 2003.
Las pérdidas de Joe López fueron causadas por una combinación de un descuido general y un programa keylogger ordinario.
Sobre Keyloggers
Por sí mismo, el término 'keylogger' es neutral y describe una función que registra las pulsaciones de las teclas del ordenador.
La mayoría de las fuentes consultadas definen keylogger como un programa diseñado para, en secreto, monitorear y registrar cada pulsación del teclado. Esta definición no es correcta del todo, pues un keylogger no necesariamente tiene que ser un programa, sino que también puede ser un dispositivo físico. Los dispositivos keylogger son menos conocidos que el software keylogger, pero es importante tener en cuenta la existencia de ambos cuando se habla de seguridad informática.
Los programas legítimos pueden tener una función de keylogger que se puede utilizar (y a menudo se utiliza), para iniciar ciertos programas mediante combinaciones de teclas (‘hotkeys’) o para cambiar la distribución del teclado (por ejemplo el teclado Ninja). Se encuentra disponible un gran número de programas diseñados que permiten a los administradores rastrear las actividades diarias de los empleados en sus ordenadores, o que permiten a los usuarios hacer lo mismo respecto a las actividades de terceros. Sin embargo, el límite ético entre el monitoreo justificado y el espionaje delincuencial suele ser muy tenue. Sucede que a menudo los programas legítimos son utilizados de manera deliberada para robar información confidencial del usuario, como por ejemplo sus contraseñas.
La mayoría de los modernos keyloggers se consideran software o hardware legítimo y se venden abiertamente en el mercado. Los desarrolladores y vendedores ofrecen una larga lista de casos en los cuales resulta legal el uso de los keyloggers, como por ejemplo:
* Control para padres: los padres pueden rastrear las actividades de sus hijos en Internet y pueden solicitar que se les envíe notificaciones en caso de acceso a sitios Internet con contenido para adultos;
* Las esposas o esposos celosos pueden recurrir a un keylogger para rastrear las actividades de su pareja en Internet si llegan a sospechar que están envueltos en una “relación virtual”;
* Seguridad corporativa: rastreado del uso de ordenadores con propósitos extralaborales, o el uso de las estaciones fuera de las horas de trabajo;
* Seguridad corporativa: uso de keyloggers para rastrear la introducción de palabras y frases clave asociadas con información comercial que podría perjudicar a la empresa (ya sea en el orden material u otro) si llegara a revelarse;
* Otro tipo de seguridad: uso de registros de keyloggers para analizar y rastrear incidentes relacionados con el uso de ordenadores personales;
* Otras razones.
Aunque las justificaciones arriba mencionadas son más subjetivas que objetivas, todas las situaciones pueden resolverse mediante otros métodos. Además, cualquier programa keylogger legítimo siempre puede ser utilizado con intenciones maliciosas o delincuenciales. Hoy en día los keyloggers se usan principalmente para robar información relacionada a varios sistemas de pago en línea, y los elaboradores de virus no cesan en su afán de elaborar nuevos troyanos keyloggers con tal propósito.
Asimismo, muchos keyloggers se esconden en el sistema, por ejemplo, pueden camuflarse como rootkits, lo cual los convierte en programas troyanos completamente furtivos.
Considerando que los keyloggers pueden usarse para cometer actos delictivos, la detección de tales programas se ha convertido en una prioridad para las compañías antivirus. El sistema clasificatorio de Kaspersky Lab tiene una categoría especial llamada Trojan-Spy, que resulta ser una perfecta definición para los keyloggers. Los troyanos-espía, tal como sugiere su nombre, rastrean la actividad del usuario, almacenan la información en el disco duro del ordenador del usuario y luego se la envían al autor o ‘dueño’ del troyano. La información robada incluye las teclas pulsadas por el usuario y fotografías de pantallas, las cuales se utilizan en el robo de información bancaria para llevar a cabo los fraudes en línea.
Por qué constituyen una amenaza
A diferencia de otros tipos de programas maliciosos, los keyloggers no representan una amenaza para el sistema mismo. Sin embargo, pueden significar una seria amenaza para los usuarios ya que pueden usarse para interceptar contraseñas y otro tipo de información confidencial ingresada a través del teclado. Como resultado, los ciberdelincuentes pueden obtener códigos PIN y números de cuentas de sistemas de pagos en línea, contraseñas para cuentas de usuarios de juegos en línea, direcciones de correo electrónico, nombres de usuario, contraseñas de correo electrónico, etcétera.
Una vez que el ciberdelincuente tiene en su poder la información confidencial del usuario, puede con toda facilidad proceder a transferir los fondos desde la cuenta del usuario o puede obtener acceso a la cuenta del usuario de juegos en línea. Por desgracia, este acceso a información personal a veces conlleva consecuencias de mayor gravedad que la pérdida de unos cuantos dólares por parte del usuario. Los keyloggers pueden ser usados como herramientas en el espionaje industrial y político, ya que se logra obtener datos que pudieran incluir información de propiedad comercial y material gubernamental clasificado que podrían llegar a comprometer la seguridad de organismos estatales, por ejemplo, mediante el robo de llaves privadas de cifrado.
Los keyloggers junto al phishing y a los métodos de ingeniería social (ver el artículo "El robo de propiedad virtual en las redes informáticas") son los principales métodos utilizados en el fraude electrónico moderno. Sin embargo, no es difícil para un usuario cauto protegerse. Basta ignorar aquellos correos electrónicos claramente identificados como phishing y no brindar ningún tipo de información personal a sitios Internet sospechosos. En cambio, no hay mucho que un usuario pueda hacer para prevenir el fraude cometido mediante los keyloggers, excepto recurrir a medios especializados de protección, puesto que resulta casi imposible comprobar un fraude cometido mediante un keylogger.
Según Cristine Hoepers, gerente del Equipo de Respuesta a Emergencias Informáticas del Brasil que trabaja en el marco de la Comisión sobre Internet de aquel país, los keyloggers han desplazado al phishing del primer lugar en la lista de los métodos más utilizados en el robo de información confidencial. Más aún, los keyloggers se están volviendo cada vez más sofisticados pues pueden rastrear sitios Internet visitados por el usuario y sólo registrar el uso del teclado en aquellos sitios de particular interés para el ciberdelincuente.
Durante los últimos años hemos presenciado un notable crecimiento en el número de los diferentes tipos de programas maliciosos con funciones de keyloggers. Ningún usuario de Internet se libra del riesgo de caer en manos de los ciberdelincuentes, sin importar en qué parte del mundo se encuentre ni la organización para la que trabaje.
Cómo utilizan los ciberdelincuentes los keyloggers
Uno de los últimos incidentes más conocidos en relación al uso de keyloggers fue el del robo de más de un millón de dólares de las cuentas de los clientes de uno de los mayores bancos escandinavos, el banco Nordea. En agosto de 2006, los clientes de Nordea empezaron a recibir correos electrónicos de parte del banco con ofertas para instalar un producto antispam, supuestamente adjunto al mensaje. En el momento en que el usuario trataba de abrir el archivo y descargarlo en su ordenador, este se infectaba con un conocido troyano llamado Haxdoor que se activaba cuando las víctimas se registraban en el servicio en línea de Nordea. El troyano lanzaba entonces una notificación de error solicitando al usuario reingresar la información provista al momento de registrarse. Luego, un keylogger que venía incorporado en el troyano grababa todos los datos ingresados por los clientes del banco y acto seguido procedía a enviar toda la información recogida al servidor del ciberdelincuente. Era de esta manera que los ciberdelincuentes accedían a las cuentas de los clientes y transferían los fondos que había en ellas. Según el autor de Haxdoor, el troyano ha sido utilizado en ataques contra bancos australianos así como contra muchos otros.
El 24 de enero de 2004, el conocido gusano Mydoom dio lugar a una gran epidemia. MyDoom rompió la marca anteriormente establecida por Sobig, causando la epidemia de mayores proporciones en la historia de Internet. El gusano se valía de métodos de ingeniería social y realizó un ataque DoS a www.sco.com inhabilitándolo por varios meses. El gusano dejó tras de sí un troyano en los ordenadores infectados que posteriormente se utilizó para infectar al ordenador cautivo con nuevas modificaciones del gusano. El hecho de que MyDoom tuviera una función de keylogger para capturar números de tarjetas de crédito apenas fue divulgado por la prensa.
A principios de 2005, la policía de Londres desbarató un grave ataque para robar información bancaria. Después de un ataque al sistema bancario, los ciberdelincuentes habían planeado robar 423 millones de dólares de la sucursal londinense de Sumitomo Mitsui. El principal componente del troyano utilizado, que fue creado por Yeron Bolondi, de 32 años, era un keylogger que permitía a los ciberdelincuentes rastrear todas las pulsaciones de teclas efectuadas por sus víctimas cuando utilizaban la interfaz para clientes del banco.
En mayo de 2005 la policía israelí detuvo en Londres a un matrimonio que se ocupaba de elaborar programas maliciosos que eran utilizados por algunas compañías israelíes para realizar espionaje industrial. Los alcances de este espionaje resultaron ser de proporciones escandalosas, pues los nombres de las compañías involucradas por las autoridades israelíes incluían a proveedores de servicios como Cellcom, Pelephone y el proveedor de televisión por satélite YES. Según se informó, el troyano fue utilizado para obtener acceso a información relacionada con la agencia de relaciones públicas Rani Rahay, cuyos clientes incluían a Partner Communications (el segundo proveedor de servicios de telefonía móvil en Israel) y el grupo de televisión por cable HOT. La compañía israelí Mayer, importadora de automóviles Volvo y Honda, resultó sospechosa de cometer espionaje industrial contra Champion Motors, importadora de automóviles Audi y Volkswagen. Ruth Brier-Haephrati, quien vendió el keylogger troyano que su marido Michael Haephrati había creado, fue sentenciada a cuatro años de prisión, mientras que Michael recibió una sentencia de dos años.
En febrero de 2006, la policía brasileña arrestó a 55 personas involucradas en la propagación de programas maliciosos utilizados para robar a los usuarios su información y contraseñas para sistemas bancarios. Los keyloggers se activaban mientras los usuarios visitaban el sitio Internet de sus bancos, y en secreto rastreaban los datos sobre estas páginas para luego enviarlas a los cibercriminales. El total del dinero robado de las cuentas de 200 clientes en seis bancos en el país, alcanzó los 4,7 millones de dólares.
Casi al mismo tiempo que esto sucedía, se arrestó una banda delincuente con similares características conformada por jóvenes rusos y ucranianos de entre 20 y 30 años . A fines de 2004, este grupo comenzó enviando mensajes de correo electrónico a clientes de bancos en Francia y en otros países. Estos mensajes contenían un programa malicioso, específicamente, un keylogger. Además, estos programas espía fueron colocados en sitios Internet especialmente creados para este propósito. Los usuarios eran engañados para dirigirse a estos sitios mediante métodos clásicos de ingeniería social. De la misma manera que en los casos arriba descritos, el programa se activaba cuando los usuarios visitaban el sitio Internet de sus bancos y el keylogger procedía a capturar toda la información ingresada por los usuarios para luego remitirla a los ciberdelincuentes. En el transcurso de once meses, robaron más de un millón de dólares.
Existen muchos más ejemplos sobre ciberdelincuentes que recurren a keyloggers: la mayoría de los delitos informáticos financieros se comete utilizando keyloggers, ya que estos programas son la herramienta más comprehensiva y confiable para rastrear información electrónica.
Aumento del uso de keyloggers por parte de los ciberdelincuentes
El hecho de que los ciberdelincuentes opten por los keyloggers de manera tan recurrente es confirmado por las compañías de seguridad informática.
Uno de los recientes informes de VeriSign subraya que en los últimos años la compañía ha notado un rápido crecimiento del número de programas maliciosos que incluyen la funcionalidad para los keyloggers.
En uno de sus informes, Symantec señala que alrededor del 50 por ciento de los programas detectados por los analistas de la compañía durante el año pasado no representan una amenaza directa para los ordenadores, sino que en todo caso son utilizados por ciberdelincuentes para capturar datos personales del usuario.
Según una investigación realizada por John Bambenek, analista del instituto SANS, sólo en los Estados Unidos unos diez millones de ordenadores están actualmente infectados con algún programa malicioso que contiene una función de keylogger. Combinando estas cifras con el número total de usuarios estadounidenses de sistemas de pago en línea, se estima que las posibles pérdidas asciendan a unos 24,3 millones de dólares.
Por su parte, Kaspersky Lab de manera constante detecta nuevos programas maliciosos que contienen una función de keylogger. Una de las primeras advertencias fue publicada el 15 de junio de 2001 en www.viruslist.com, el sitio Internet de Kaspersky Lab dedicado a proporcionar información sobre programas maliciosos. Dicha advertencia se relacionaba a TROJ_LATINUS.SVR, un troyano con una función de keylogger. Desde entonces, ha habido un constante flujo de nuevos keyloggers y de nuevas modificaciones. La base de datos antivirus de Kaspersky Lab cuenta con registros de más de 300 familias de keyloggers. Este número no incluye a los keyloggers que son parte de complejos programas maliciosos en los cuales la función espía no es la primordial.
La mayoría de los modernos programas maliciosos están constituidos por híbridos que utilizan diferentes tecnologías. Debido a ello, cualquier categoría de programa malicioso podría incluir programas con funciones o subfunciones de keyloggers.
Principios de construcción de keyloggers
La principal idea que guía a los keyloggers es colocarse entre dos puntos cualquiera en la cadena de eventos, entre el momento de pulsar una tecla y cuando la información aparece en el monitor. Esto se logra mediante el uso de dispositivos de video vigilancia, un dispositivo de hardware en el teclado, el cableado del ordenador, la intercepción de entradas y salidas, el cambio del driver del teclado, el cambio del driver de filtrado en la pila del teclado, la intercepción de funciones esenciales mediante cualquier método, (sustituyendo direcciones en las tablas del sistema, cortando códigos de funciones, etc.), la intercepción de funciones DLL en el modo del usuario, y por último, solicitando información desde el teclado mediante métodos estándar documentados.
La experiencia muestra que cuanto más complejo sea el enfoque, tanto más improbable será su uso en programas troyanos comunes y tanto más probable será su uso en programas troyanos especialmente diseñados para robar datos financieros de una determinada compañía.
Los keyloggers se pueden dividir en dos categorías: dispositivos físicos y programas. Los dispositivos keylogger por lo general son pequeños y pueden ser acoplados al teclado o colocados dentro de un cable o dentro del mismo ordenador. Los programas keylogger están diseñados para rastrear y registrar las digitaciones en el teclado.
Los métodos más comunes usados para construir programas keylogger son los siguientes:
* un sistema que intercepta notificaciones de que una tecla ha sido pulsada (se instala usando WinAPI SetWindowsHook para mensajes enviados por el procedimiento de ventana. Por lo general se escribe en C);
* una solicitud desde el teclado sobre información cíclica del teclado (usando WinAPI Get(Async)KeyState o GetKeyboardState, por lo general escrito en VisualBasic, y a veces en Borland Delphi);
* Usando el driver de filtrado (requiere conocimientos especializados y está escrito en C).
Los keyloggers que disfrazan sus archivos para evitar ser detectados manualmente o por un programa antivirus se están volviendo muy comunes en estos últimos tiempos. Tales métodos se llaman tecnologías rootkit. Los keyloggers utilizan dos principales tecnologías de camuflaje:
* enmascaradas en el Modo del Usuario;
* enmascaradas en Modo Kernel.
Cómo se propagan los keyloggers
Los keyloggers se propagan de manera muy parecida a como lo hacen otros programas maliciosos. Exceptuando aquellos casos en los que los keyloggers son adquiridos e instalados por una pareja celosa, o son usados por servicios de seguridad, por lo general se propagan mediante los siguientes métodos:
* Un keylogger se puede instalar cuando un usuario abre un archivo adjunto a un mensaje de correo electrónico;
* Un keylogger se puede instalar cuando un archivo se ejecuta desde un directorio de acceso abierto en una red P2P;
* Un keylogger puede instalarse a través de una rutina de una página de Internet que aprovecha una vulnerabilidad de un navegador y automáticamente ejecuta el programa cuando el usuario visita un sitio Internet infectado;
* Un keylogger puede instalarse mediante un programa malicioso previamente instalado, capaz de descargar e instalar otros programas maliciosos en el sistema.
Cómo protegerse contra los keyloggers
La mayoría de las compañías antivirus ya han añadido descripciones de conocidos keyloggers a sus bases de datos, volviendo así la protección contra los keyloggers similar a la protección contra otros tipos de programas maliciosos: instalan un producto antivirus y mantienen actualizada su base de datos. Sin embargo, debido a que la mayoría de los productos antivirus clasifican a los keyloggers como potenciales programas maliciosos, los usuarios deberían asegurarse de que su producto antivirus detecte, con la configuración por defecto, este tipo de malware. Si no sucede así, el producto debería ser configurado apropiadamente para garantizar una protección contra los keyloggers comunes.
Demos una mirada más detallada a los métodos que se pueden utilizar como protección contra keyloggers desconocidos o contra un keylogger diseñado para atacar un sistema en particular.
Puesto que el principal objetivo de los keyloggers es capturar información confidencial (números de tarjetas bancarias, contraseñas, etc.) las formas más lógicas de protegerse contra keyloggers desconocidos son las siguientes:
1. usando contraseñas válidas por una sola vez o un proceso de autentificación de dos pasos,
2. usando un sistema con protección proactiva diseñada para detectar programas keyloggers,
3. usando un teclado virtual.
El uso de contraseñas válidas por una sola vez ayuda a minimizar las pérdidas si la contraseña ingresada es interceptada, ya que la contraseña generada puede ser utilizada una sola vez, y el periodo de tiempo durante el cual puede ser utilizada es limitado. Incluso si se llega a interceptar una contraseña de uso único, el ciberdelincuente no podrá usarla para obtener acceso a información confidencial.
Para obtener contraseñas de uso único, se puede recurrir a mecanismos especiales como:
1. una tecla USB (tal como Aladdin eToken NG OTP):
2. una ‘calculadora’ (tal como RSA SecurID 900 Signing Token):
Para generar contraseñas válidas por una sola vez, también es posible utilizar sistemas de textos de teléfonos móviles que estén registrados en el sistema bancario y reciban un código PIN como repuesta. Posteriormente se utiliza el PIN junto al código personal para lograr la autentificación.
Si alguno de los mecanismos arriba descritos se usa para generar contraseñas, el procedimiento a seguir se describe a continuación:
1. el usuario se conecta a Internet y abre una ventana de diálogo en la cual se puede ingresar los datos personales;
2. luego, pulsa un botón en el mecanismo para generar una contraseña de uso único, la cual aparecerá en la pantalla LCD del dispositivo durante 15 segundos;
3. ingresa su nombre de usuario, su código PIN personal y la contraseña de uso único generada en la ventana de diálogo (por lo general el código PIN y la clave son ingresados uno después del otro en un solo campo para códigos);
4. los códigos ingresados son verificados por el servidor y se toma una decisión sobre si el usuario puede o no obtener acceso a información confidencial.
Cuando se usa un mecanismo calculador para generar una contraseña, el usuario ingresa su código PIN en el mecanismo de ‘teclado’ y pulsa el botón ">".
Los generadores de contraseñas de uso único son ampliamente usados por sistemas bancarios en Europa, Asia, los Estados Unidos y Australia. Por ejemplo, el importante banco Lloyds, decidió usar generadores de contraseñas únicas ya en noviembre de 2005.
Sin embargo, en este caso, el banco tiene que gastar considerables sumas de dinero ya que debe adquirir y distribuir generadores de contraseñas a sus clientes, además de desarrollar o comprar el software complementario.
Una solución con un costo más eficiente es la protección proactiva por parte de los clientes de los bancos (proveedores, etc.), capaces de advertir al usuario en caso de un intento de instalar o ejecutar programas keyloggers.
El método final para protegerse contra los programas y los dispositivos keyloggers es el uso de un teclado virtual. Un teclado virtual es un programa que muestra un teclado en la pantalla y las teclas pueden ser pulsadas mediante el ratón.
La idea de un teclado en la pantalla no es nada nuevo. El sistema operativo Windows tiene incorporado un teclado en la pantalla que puede ser activado de la siguiente manera: Inicio > Programas > Accessorios > Accessibilidad > Teclado en pantalla.
Sin embargo, los teclados en pantalla no son un método muy común para neutralizar los keyloggers. No fueron diseñados para protegerse contra amenazas cibernéticas, sino como una herramienta de accesibilidad para usuarios discapacitados. La información ingresada mediante el teclado en pantalla puede ser interceptada con facilidad por algún programa malicioso. Para que este teclado en pantalla pueda ser utilizado contra los keyloggers tiene que ser especialmente diseñado para poder asegurar que la información ingresada o transmitida por este medio no sea interceptada.
Conclusiones
Este artículo ha brindado información general sobre cómo funcionan los keyloggers, tanto programas como dispositivos, y cómo se los usa.
* Aunque los desarrolladores de keyloggers comercializan sus productos como software legítimo, la mayoría de los keyloggers pueden ser utilizados para robar información personal de los usuarios y para fines de espionaje político e industrial.
* Actualmente, los keyloggers son, junto al phishing y a los métodos de ingeniería social ,uno de los métodos más utilizados para cometer fraudes cibernéticos.
* Las compañías de seguridad informática han registrado un permanente aumento del número de programas maliciosos con funciones de keykoggers.
* Los informes muestran que hay una marcada tendencia en el uso de tecnologías rootkit en los programas keyloggers con el fin de permitir que éstos evadan la detección manual y la de soluciones antivirus.
* Sólo una protección especial puede detectar que un keylogger esta siendo utilizado con propósitos de espionaje.
* Se pueden tomar las siguientes medidas para protegerse contra los keyloggers:
o Usar un antivirus estándar que pueda ser adaptado para la detección de programas potencialmente maliciosos (opción preconfigurada en muchos productos), la protección proactiva protegerá el sistema contra nuevas modificaciones de keyloggers existentes;
o Uso de un teclado virtual o de un sistema para generar contraseñas de uso único para protegerse contra programas y dispositivos keylogger.
Fuente:Kaspersky Lab
Una investigación reveló que el ordenador de López había sido infectado con el virus conocido como Backdoor Coreflood, el cual registra cada pulsación del teclado y envía esta información a ciberdelincuentes vía Internet. Fue de esta manera que los hackers obtuvieron el nombre de usuario y la contraseña de Joe López, ya que él a menudo realizaba sus transacciones bancarias a través de Internet.
Sin embargo, el veredicto de la corte no favoreció al interpelante pues se adujo que Joe López había sido negligente por no tomar precauciones al manejar su cuenta bancaria a través de Internet. La signatura del código malicioso encontrado en su sistema había sido añadida a las bases de datos de casi todos los antivirus ya en 2003.
Las pérdidas de Joe López fueron causadas por una combinación de un descuido general y un programa keylogger ordinario.
Sobre Keyloggers
Por sí mismo, el término 'keylogger' es neutral y describe una función que registra las pulsaciones de las teclas del ordenador.
La mayoría de las fuentes consultadas definen keylogger como un programa diseñado para, en secreto, monitorear y registrar cada pulsación del teclado. Esta definición no es correcta del todo, pues un keylogger no necesariamente tiene que ser un programa, sino que también puede ser un dispositivo físico. Los dispositivos keylogger son menos conocidos que el software keylogger, pero es importante tener en cuenta la existencia de ambos cuando se habla de seguridad informática.
Los programas legítimos pueden tener una función de keylogger que se puede utilizar (y a menudo se utiliza), para iniciar ciertos programas mediante combinaciones de teclas (‘hotkeys’) o para cambiar la distribución del teclado (por ejemplo el teclado Ninja). Se encuentra disponible un gran número de programas diseñados que permiten a los administradores rastrear las actividades diarias de los empleados en sus ordenadores, o que permiten a los usuarios hacer lo mismo respecto a las actividades de terceros. Sin embargo, el límite ético entre el monitoreo justificado y el espionaje delincuencial suele ser muy tenue. Sucede que a menudo los programas legítimos son utilizados de manera deliberada para robar información confidencial del usuario, como por ejemplo sus contraseñas.
La mayoría de los modernos keyloggers se consideran software o hardware legítimo y se venden abiertamente en el mercado. Los desarrolladores y vendedores ofrecen una larga lista de casos en los cuales resulta legal el uso de los keyloggers, como por ejemplo:
* Control para padres: los padres pueden rastrear las actividades de sus hijos en Internet y pueden solicitar que se les envíe notificaciones en caso de acceso a sitios Internet con contenido para adultos;
* Las esposas o esposos celosos pueden recurrir a un keylogger para rastrear las actividades de su pareja en Internet si llegan a sospechar que están envueltos en una “relación virtual”;
* Seguridad corporativa: rastreado del uso de ordenadores con propósitos extralaborales, o el uso de las estaciones fuera de las horas de trabajo;
* Seguridad corporativa: uso de keyloggers para rastrear la introducción de palabras y frases clave asociadas con información comercial que podría perjudicar a la empresa (ya sea en el orden material u otro) si llegara a revelarse;
* Otro tipo de seguridad: uso de registros de keyloggers para analizar y rastrear incidentes relacionados con el uso de ordenadores personales;
* Otras razones.
Aunque las justificaciones arriba mencionadas son más subjetivas que objetivas, todas las situaciones pueden resolverse mediante otros métodos. Además, cualquier programa keylogger legítimo siempre puede ser utilizado con intenciones maliciosas o delincuenciales. Hoy en día los keyloggers se usan principalmente para robar información relacionada a varios sistemas de pago en línea, y los elaboradores de virus no cesan en su afán de elaborar nuevos troyanos keyloggers con tal propósito.
Asimismo, muchos keyloggers se esconden en el sistema, por ejemplo, pueden camuflarse como rootkits, lo cual los convierte en programas troyanos completamente furtivos.
Considerando que los keyloggers pueden usarse para cometer actos delictivos, la detección de tales programas se ha convertido en una prioridad para las compañías antivirus. El sistema clasificatorio de Kaspersky Lab tiene una categoría especial llamada Trojan-Spy, que resulta ser una perfecta definición para los keyloggers. Los troyanos-espía, tal como sugiere su nombre, rastrean la actividad del usuario, almacenan la información en el disco duro del ordenador del usuario y luego se la envían al autor o ‘dueño’ del troyano. La información robada incluye las teclas pulsadas por el usuario y fotografías de pantallas, las cuales se utilizan en el robo de información bancaria para llevar a cabo los fraudes en línea.
Por qué constituyen una amenaza
A diferencia de otros tipos de programas maliciosos, los keyloggers no representan una amenaza para el sistema mismo. Sin embargo, pueden significar una seria amenaza para los usuarios ya que pueden usarse para interceptar contraseñas y otro tipo de información confidencial ingresada a través del teclado. Como resultado, los ciberdelincuentes pueden obtener códigos PIN y números de cuentas de sistemas de pagos en línea, contraseñas para cuentas de usuarios de juegos en línea, direcciones de correo electrónico, nombres de usuario, contraseñas de correo electrónico, etcétera.
Una vez que el ciberdelincuente tiene en su poder la información confidencial del usuario, puede con toda facilidad proceder a transferir los fondos desde la cuenta del usuario o puede obtener acceso a la cuenta del usuario de juegos en línea. Por desgracia, este acceso a información personal a veces conlleva consecuencias de mayor gravedad que la pérdida de unos cuantos dólares por parte del usuario. Los keyloggers pueden ser usados como herramientas en el espionaje industrial y político, ya que se logra obtener datos que pudieran incluir información de propiedad comercial y material gubernamental clasificado que podrían llegar a comprometer la seguridad de organismos estatales, por ejemplo, mediante el robo de llaves privadas de cifrado.
Los keyloggers junto al phishing y a los métodos de ingeniería social (ver el artículo "El robo de propiedad virtual en las redes informáticas") son los principales métodos utilizados en el fraude electrónico moderno. Sin embargo, no es difícil para un usuario cauto protegerse. Basta ignorar aquellos correos electrónicos claramente identificados como phishing y no brindar ningún tipo de información personal a sitios Internet sospechosos. En cambio, no hay mucho que un usuario pueda hacer para prevenir el fraude cometido mediante los keyloggers, excepto recurrir a medios especializados de protección, puesto que resulta casi imposible comprobar un fraude cometido mediante un keylogger.
Según Cristine Hoepers, gerente del Equipo de Respuesta a Emergencias Informáticas del Brasil que trabaja en el marco de la Comisión sobre Internet de aquel país, los keyloggers han desplazado al phishing del primer lugar en la lista de los métodos más utilizados en el robo de información confidencial. Más aún, los keyloggers se están volviendo cada vez más sofisticados pues pueden rastrear sitios Internet visitados por el usuario y sólo registrar el uso del teclado en aquellos sitios de particular interés para el ciberdelincuente.
Durante los últimos años hemos presenciado un notable crecimiento en el número de los diferentes tipos de programas maliciosos con funciones de keyloggers. Ningún usuario de Internet se libra del riesgo de caer en manos de los ciberdelincuentes, sin importar en qué parte del mundo se encuentre ni la organización para la que trabaje.
Cómo utilizan los ciberdelincuentes los keyloggers
Uno de los últimos incidentes más conocidos en relación al uso de keyloggers fue el del robo de más de un millón de dólares de las cuentas de los clientes de uno de los mayores bancos escandinavos, el banco Nordea. En agosto de 2006, los clientes de Nordea empezaron a recibir correos electrónicos de parte del banco con ofertas para instalar un producto antispam, supuestamente adjunto al mensaje. En el momento en que el usuario trataba de abrir el archivo y descargarlo en su ordenador, este se infectaba con un conocido troyano llamado Haxdoor que se activaba cuando las víctimas se registraban en el servicio en línea de Nordea. El troyano lanzaba entonces una notificación de error solicitando al usuario reingresar la información provista al momento de registrarse. Luego, un keylogger que venía incorporado en el troyano grababa todos los datos ingresados por los clientes del banco y acto seguido procedía a enviar toda la información recogida al servidor del ciberdelincuente. Era de esta manera que los ciberdelincuentes accedían a las cuentas de los clientes y transferían los fondos que había en ellas. Según el autor de Haxdoor, el troyano ha sido utilizado en ataques contra bancos australianos así como contra muchos otros.
El 24 de enero de 2004, el conocido gusano Mydoom dio lugar a una gran epidemia. MyDoom rompió la marca anteriormente establecida por Sobig, causando la epidemia de mayores proporciones en la historia de Internet. El gusano se valía de métodos de ingeniería social y realizó un ataque DoS a www.sco.com inhabilitándolo por varios meses. El gusano dejó tras de sí un troyano en los ordenadores infectados que posteriormente se utilizó para infectar al ordenador cautivo con nuevas modificaciones del gusano. El hecho de que MyDoom tuviera una función de keylogger para capturar números de tarjetas de crédito apenas fue divulgado por la prensa.
A principios de 2005, la policía de Londres desbarató un grave ataque para robar información bancaria. Después de un ataque al sistema bancario, los ciberdelincuentes habían planeado robar 423 millones de dólares de la sucursal londinense de Sumitomo Mitsui. El principal componente del troyano utilizado, que fue creado por Yeron Bolondi, de 32 años, era un keylogger que permitía a los ciberdelincuentes rastrear todas las pulsaciones de teclas efectuadas por sus víctimas cuando utilizaban la interfaz para clientes del banco.
En mayo de 2005 la policía israelí detuvo en Londres a un matrimonio que se ocupaba de elaborar programas maliciosos que eran utilizados por algunas compañías israelíes para realizar espionaje industrial. Los alcances de este espionaje resultaron ser de proporciones escandalosas, pues los nombres de las compañías involucradas por las autoridades israelíes incluían a proveedores de servicios como Cellcom, Pelephone y el proveedor de televisión por satélite YES. Según se informó, el troyano fue utilizado para obtener acceso a información relacionada con la agencia de relaciones públicas Rani Rahay, cuyos clientes incluían a Partner Communications (el segundo proveedor de servicios de telefonía móvil en Israel) y el grupo de televisión por cable HOT. La compañía israelí Mayer, importadora de automóviles Volvo y Honda, resultó sospechosa de cometer espionaje industrial contra Champion Motors, importadora de automóviles Audi y Volkswagen. Ruth Brier-Haephrati, quien vendió el keylogger troyano que su marido Michael Haephrati había creado, fue sentenciada a cuatro años de prisión, mientras que Michael recibió una sentencia de dos años.
En febrero de 2006, la policía brasileña arrestó a 55 personas involucradas en la propagación de programas maliciosos utilizados para robar a los usuarios su información y contraseñas para sistemas bancarios. Los keyloggers se activaban mientras los usuarios visitaban el sitio Internet de sus bancos, y en secreto rastreaban los datos sobre estas páginas para luego enviarlas a los cibercriminales. El total del dinero robado de las cuentas de 200 clientes en seis bancos en el país, alcanzó los 4,7 millones de dólares.
Casi al mismo tiempo que esto sucedía, se arrestó una banda delincuente con similares características conformada por jóvenes rusos y ucranianos de entre 20 y 30 años . A fines de 2004, este grupo comenzó enviando mensajes de correo electrónico a clientes de bancos en Francia y en otros países. Estos mensajes contenían un programa malicioso, específicamente, un keylogger. Además, estos programas espía fueron colocados en sitios Internet especialmente creados para este propósito. Los usuarios eran engañados para dirigirse a estos sitios mediante métodos clásicos de ingeniería social. De la misma manera que en los casos arriba descritos, el programa se activaba cuando los usuarios visitaban el sitio Internet de sus bancos y el keylogger procedía a capturar toda la información ingresada por los usuarios para luego remitirla a los ciberdelincuentes. En el transcurso de once meses, robaron más de un millón de dólares.
Existen muchos más ejemplos sobre ciberdelincuentes que recurren a keyloggers: la mayoría de los delitos informáticos financieros se comete utilizando keyloggers, ya que estos programas son la herramienta más comprehensiva y confiable para rastrear información electrónica.
Aumento del uso de keyloggers por parte de los ciberdelincuentes
El hecho de que los ciberdelincuentes opten por los keyloggers de manera tan recurrente es confirmado por las compañías de seguridad informática.
Uno de los recientes informes de VeriSign subraya que en los últimos años la compañía ha notado un rápido crecimiento del número de programas maliciosos que incluyen la funcionalidad para los keyloggers.
En uno de sus informes, Symantec señala que alrededor del 50 por ciento de los programas detectados por los analistas de la compañía durante el año pasado no representan una amenaza directa para los ordenadores, sino que en todo caso son utilizados por ciberdelincuentes para capturar datos personales del usuario.
Según una investigación realizada por John Bambenek, analista del instituto SANS, sólo en los Estados Unidos unos diez millones de ordenadores están actualmente infectados con algún programa malicioso que contiene una función de keylogger. Combinando estas cifras con el número total de usuarios estadounidenses de sistemas de pago en línea, se estima que las posibles pérdidas asciendan a unos 24,3 millones de dólares.
Por su parte, Kaspersky Lab de manera constante detecta nuevos programas maliciosos que contienen una función de keylogger. Una de las primeras advertencias fue publicada el 15 de junio de 2001 en www.viruslist.com, el sitio Internet de Kaspersky Lab dedicado a proporcionar información sobre programas maliciosos. Dicha advertencia se relacionaba a TROJ_LATINUS.SVR, un troyano con una función de keylogger. Desde entonces, ha habido un constante flujo de nuevos keyloggers y de nuevas modificaciones. La base de datos antivirus de Kaspersky Lab cuenta con registros de más de 300 familias de keyloggers. Este número no incluye a los keyloggers que son parte de complejos programas maliciosos en los cuales la función espía no es la primordial.
La mayoría de los modernos programas maliciosos están constituidos por híbridos que utilizan diferentes tecnologías. Debido a ello, cualquier categoría de programa malicioso podría incluir programas con funciones o subfunciones de keyloggers.
Principios de construcción de keyloggers
La principal idea que guía a los keyloggers es colocarse entre dos puntos cualquiera en la cadena de eventos, entre el momento de pulsar una tecla y cuando la información aparece en el monitor. Esto se logra mediante el uso de dispositivos de video vigilancia, un dispositivo de hardware en el teclado, el cableado del ordenador, la intercepción de entradas y salidas, el cambio del driver del teclado, el cambio del driver de filtrado en la pila del teclado, la intercepción de funciones esenciales mediante cualquier método, (sustituyendo direcciones en las tablas del sistema, cortando códigos de funciones, etc.), la intercepción de funciones DLL en el modo del usuario, y por último, solicitando información desde el teclado mediante métodos estándar documentados.
La experiencia muestra que cuanto más complejo sea el enfoque, tanto más improbable será su uso en programas troyanos comunes y tanto más probable será su uso en programas troyanos especialmente diseñados para robar datos financieros de una determinada compañía.
Los keyloggers se pueden dividir en dos categorías: dispositivos físicos y programas. Los dispositivos keylogger por lo general son pequeños y pueden ser acoplados al teclado o colocados dentro de un cable o dentro del mismo ordenador. Los programas keylogger están diseñados para rastrear y registrar las digitaciones en el teclado.
Los métodos más comunes usados para construir programas keylogger son los siguientes:
* un sistema que intercepta notificaciones de que una tecla ha sido pulsada (se instala usando WinAPI SetWindowsHook para mensajes enviados por el procedimiento de ventana. Por lo general se escribe en C);
* una solicitud desde el teclado sobre información cíclica del teclado (usando WinAPI Get(Async)KeyState o GetKeyboardState, por lo general escrito en VisualBasic, y a veces en Borland Delphi);
* Usando el driver de filtrado (requiere conocimientos especializados y está escrito en C).
Los keyloggers que disfrazan sus archivos para evitar ser detectados manualmente o por un programa antivirus se están volviendo muy comunes en estos últimos tiempos. Tales métodos se llaman tecnologías rootkit. Los keyloggers utilizan dos principales tecnologías de camuflaje:
* enmascaradas en el Modo del Usuario;
* enmascaradas en Modo Kernel.
Cómo se propagan los keyloggers
Los keyloggers se propagan de manera muy parecida a como lo hacen otros programas maliciosos. Exceptuando aquellos casos en los que los keyloggers son adquiridos e instalados por una pareja celosa, o son usados por servicios de seguridad, por lo general se propagan mediante los siguientes métodos:
* Un keylogger se puede instalar cuando un usuario abre un archivo adjunto a un mensaje de correo electrónico;
* Un keylogger se puede instalar cuando un archivo se ejecuta desde un directorio de acceso abierto en una red P2P;
* Un keylogger puede instalarse a través de una rutina de una página de Internet que aprovecha una vulnerabilidad de un navegador y automáticamente ejecuta el programa cuando el usuario visita un sitio Internet infectado;
* Un keylogger puede instalarse mediante un programa malicioso previamente instalado, capaz de descargar e instalar otros programas maliciosos en el sistema.
Cómo protegerse contra los keyloggers
La mayoría de las compañías antivirus ya han añadido descripciones de conocidos keyloggers a sus bases de datos, volviendo así la protección contra los keyloggers similar a la protección contra otros tipos de programas maliciosos: instalan un producto antivirus y mantienen actualizada su base de datos. Sin embargo, debido a que la mayoría de los productos antivirus clasifican a los keyloggers como potenciales programas maliciosos, los usuarios deberían asegurarse de que su producto antivirus detecte, con la configuración por defecto, este tipo de malware. Si no sucede así, el producto debería ser configurado apropiadamente para garantizar una protección contra los keyloggers comunes.
Demos una mirada más detallada a los métodos que se pueden utilizar como protección contra keyloggers desconocidos o contra un keylogger diseñado para atacar un sistema en particular.
Puesto que el principal objetivo de los keyloggers es capturar información confidencial (números de tarjetas bancarias, contraseñas, etc.) las formas más lógicas de protegerse contra keyloggers desconocidos son las siguientes:
1. usando contraseñas válidas por una sola vez o un proceso de autentificación de dos pasos,
2. usando un sistema con protección proactiva diseñada para detectar programas keyloggers,
3. usando un teclado virtual.
El uso de contraseñas válidas por una sola vez ayuda a minimizar las pérdidas si la contraseña ingresada es interceptada, ya que la contraseña generada puede ser utilizada una sola vez, y el periodo de tiempo durante el cual puede ser utilizada es limitado. Incluso si se llega a interceptar una contraseña de uso único, el ciberdelincuente no podrá usarla para obtener acceso a información confidencial.
Para obtener contraseñas de uso único, se puede recurrir a mecanismos especiales como:
1. una tecla USB (tal como Aladdin eToken NG OTP):
2. una ‘calculadora’ (tal como RSA SecurID 900 Signing Token):
Para generar contraseñas válidas por una sola vez, también es posible utilizar sistemas de textos de teléfonos móviles que estén registrados en el sistema bancario y reciban un código PIN como repuesta. Posteriormente se utiliza el PIN junto al código personal para lograr la autentificación.
Si alguno de los mecanismos arriba descritos se usa para generar contraseñas, el procedimiento a seguir se describe a continuación:
1. el usuario se conecta a Internet y abre una ventana de diálogo en la cual se puede ingresar los datos personales;
2. luego, pulsa un botón en el mecanismo para generar una contraseña de uso único, la cual aparecerá en la pantalla LCD del dispositivo durante 15 segundos;
3. ingresa su nombre de usuario, su código PIN personal y la contraseña de uso único generada en la ventana de diálogo (por lo general el código PIN y la clave son ingresados uno después del otro en un solo campo para códigos);
4. los códigos ingresados son verificados por el servidor y se toma una decisión sobre si el usuario puede o no obtener acceso a información confidencial.
Cuando se usa un mecanismo calculador para generar una contraseña, el usuario ingresa su código PIN en el mecanismo de ‘teclado’ y pulsa el botón ">".
Los generadores de contraseñas de uso único son ampliamente usados por sistemas bancarios en Europa, Asia, los Estados Unidos y Australia. Por ejemplo, el importante banco Lloyds, decidió usar generadores de contraseñas únicas ya en noviembre de 2005.
Sin embargo, en este caso, el banco tiene que gastar considerables sumas de dinero ya que debe adquirir y distribuir generadores de contraseñas a sus clientes, además de desarrollar o comprar el software complementario.
Una solución con un costo más eficiente es la protección proactiva por parte de los clientes de los bancos (proveedores, etc.), capaces de advertir al usuario en caso de un intento de instalar o ejecutar programas keyloggers.
El método final para protegerse contra los programas y los dispositivos keyloggers es el uso de un teclado virtual. Un teclado virtual es un programa que muestra un teclado en la pantalla y las teclas pueden ser pulsadas mediante el ratón.
La idea de un teclado en la pantalla no es nada nuevo. El sistema operativo Windows tiene incorporado un teclado en la pantalla que puede ser activado de la siguiente manera: Inicio > Programas > Accessorios > Accessibilidad > Teclado en pantalla.
Sin embargo, los teclados en pantalla no son un método muy común para neutralizar los keyloggers. No fueron diseñados para protegerse contra amenazas cibernéticas, sino como una herramienta de accesibilidad para usuarios discapacitados. La información ingresada mediante el teclado en pantalla puede ser interceptada con facilidad por algún programa malicioso. Para que este teclado en pantalla pueda ser utilizado contra los keyloggers tiene que ser especialmente diseñado para poder asegurar que la información ingresada o transmitida por este medio no sea interceptada.
Conclusiones
Este artículo ha brindado información general sobre cómo funcionan los keyloggers, tanto programas como dispositivos, y cómo se los usa.
* Aunque los desarrolladores de keyloggers comercializan sus productos como software legítimo, la mayoría de los keyloggers pueden ser utilizados para robar información personal de los usuarios y para fines de espionaje político e industrial.
* Actualmente, los keyloggers son, junto al phishing y a los métodos de ingeniería social ,uno de los métodos más utilizados para cometer fraudes cibernéticos.
* Las compañías de seguridad informática han registrado un permanente aumento del número de programas maliciosos con funciones de keykoggers.
* Los informes muestran que hay una marcada tendencia en el uso de tecnologías rootkit en los programas keyloggers con el fin de permitir que éstos evadan la detección manual y la de soluciones antivirus.
* Sólo una protección especial puede detectar que un keylogger esta siendo utilizado con propósitos de espionaje.
* Se pueden tomar las siguientes medidas para protegerse contra los keyloggers:
o Usar un antivirus estándar que pueda ser adaptado para la detección de programas potencialmente maliciosos (opción preconfigurada en muchos productos), la protección proactiva protegerá el sistema contra nuevas modificaciones de keyloggers existentes;
o Uso de un teclado virtual o de un sistema para generar contraseñas de uso único para protegerse contra programas y dispositivos keylogger.
Fuente:Kaspersky Lab
Etiquetas:
keyloggers,
Seguridad
Evolución del SPAM
Evolución del spam
El principio
El spam (publicidad masiva no solicitada vía correo electrónico) hizo su primera aparición a mediados de los noventa, es decir, inmediatamente después de que la suficiente cantidad de personas empezó a usar el correo electrónico. En 1997, se empezó a considerar que el spam era un problema, y la primera Lista Negra en Tiempo Real (Real-Time Black List, RBL), apareció el mismo año.
Las técnicas de los spammers han evolucionado en respuesta a la aparición de cada vez más y mejores filtros. Tan pronto como las compañías de seguridad desarrollan filtros efectivos, los spammers cambian sus tácticas para eludirlos. Y esto lleva a un círculo vicioso, en el que los spammers reinvierten sus ganancias en el desarrollo de nuevas técnicas de evasión de los filtros de spam. La situación crea un torbellino fuera de control.
Desarrollo de las técnicas de los spammers
Publicidad directa
Al principio, el spam era enviado directamente a los usuarios. Es más, los spammers ni siquiera necesitaban falsificar la información del remitente. Este tipo primitivo de spam era fácil de bloquear: si se incluía a un remitente o una dirección IP específica, se estaba a salvo. Como respuesta, los spammers empezaron a suplantar las direcciones de los remitentes y otra información técnica.
Retransmisión abierta (Open Relay)
A mediados de los noventa, todos los servidores de correo electrónico ofrecían servicios de retransmisión abierta (Open Relay). El spam y otros problemas de seguridad llevaron a los administradores a reconfigurar los servidores postales en todo el mundo. No obstante, el proceso avanzaba con lentitud y no todos los propietarios de servidores postales o sus administradores estaban dispuestos a colaborar. Una vez que este proceso tomo su rumbo, los analistas de seguridad empezaron a escanear Internet en busca de servidores postales con el servicio de retransmisión abierto.Las listas negras de DNS obtenidas se pusieron a disposición del público, haciendo posible que los administradores responsables de la seguridad bloqueen el correo entrante desde esos servidores. A pesar de todo, los servidores con servicio de retransmisión abierta se siguen usando para hacer envíos masivos de correo.
Banco de módems (Modem Pool)
En el momento en que enviar spam por servidores de retransmisión abierta se hace menos eficiente, los spammers empiezan a usar conexiones dial-up. Con esto, se explotan la forma en que algunos proveedores de Internet estructuran sus servicios de acceso telefónico y utilizan los defectos del sistema:
* Como regla, los servidores postales de los proveedores de Internet remiten el correo generado por los clientes.
* Las conexiones por dialup se realizan usando direcciones IP dinámicas. Por eso, los spammers usan una nueva dirección IP para cada sesión de envíos.
Como respuesta a la explotación de los spammers, los proveedores de Internet empezaron a limitar la cantidad de mensajes que un usuario podía enviar en una sesión. Las listas de direcciones de dialup sospechosas y los filtros que bloqueaban el correo llegado desde esas direcciones aparecieron en Internet.
Servidores proxy
El nuevo siglo llegó con los spammers usando conexiones a Internet de alta velocidad y explotando las vulnerabilidades del hardware. Las conexiones por cable y por ADSL permitieron a los spammers hacer envíos masivos baratos y rápidos. En adición, los spammers poco tardaron en descubrir que muchos modems ADSL tenían servidores socks o proxy de HTTP incorporados. Ambos son utilidades simples que dividen un canal de Internet entre varios ordenadores. La característica que tienen es que cualquier persona, desde cualquier parte del mundo puede obtener acceso a estos servidores, porque no tienen ningún tipo de protección. En otras palabras, los usuarios maliciosos pueden usar las conexiones ADSL de otras personas para hacer lo que les venga en gana, incluso enviar spam. Asimismo, el spam aparecerá como si hubiese sido enviado desde la dirección IP de la víctima. Desde que millones de personas en todo el mundo tienen estas conexiones, los spammers harán su agosto hasta que los fabricantes de harware cierren las brechas de seguridad en sus dispositivos.
Redes zombi o "bot"
En 2003 y 2004, los spammers efectuaron la mayor parte de sus envíos masivos desde equipos pertenecientes a usuarios que no sospechaban nada. Los spammers usaban programas maliciosos para instalar troyanos en los equipos de las víctimas, dejándolos abiertos al uso remoto. Los métodos usados para penetrar en los equipos de las víctimas incluyen:
* Los droppers y descargadores de troyanos se incorporan al software pirata que es distribuido vía redes de intercambio de archivos P2P (Kazaa, eDonkey, etc).
* Vulnerabilidades en MS Windows y aplicaciones populares como Internet Explorer y Outlook.
* Gusanos de correo electrónico
Quienquiera que posea la parte "cliente" que controla el troyano, puede controlar el equipo o red infectados. Las redes de este tipo reciben el nombre de redes bot y son objeto de comercio e4ntre los spammers.
Los analistas estiman que hay troyanos instalados en millones de equipos en todo el mundo. Los troyanos modernos son tan sofisticados que pueden descargar nuevas versiones de sí mismos, descargar y ejecutar órdenes desde sitios web específicos o canales de IRC, enviar spam, realizar ataques DDoS y mucho más.
Desarrollo de las técnicas de los spammers
Análisis de contenidos
El funcionamiento de muchos filtros antispam se basan en el análisis del contenido de los mensajes: el encabezado, el texto y los datos adjuntos. Hoy en día, los spammers gastan grandes recursos en desarrollar contenidos que evadan los filtros de contenido.
Texto simple y HTML
En sus orígenes, el spam era simple: mensajes idénticos eran enviados a todos los destinatarios de una lista de correo. Esos mensajes de correo electrónico eran ridículamente fáciles de filtrar, gracias a la abundancia de textos idénticos.
Mensajes personalizados
Después, los spammers empezaron a incluir en los mensajes un saludo basado en la dirección del destinatario. Como cada mensaje contenía un saludo personal, los filtros que bloqueaban mensajes idénticos no detectaban este tipo de spam. Entonces, los expertos en seguridad diseñaron filtros que identificaban los renglones idénticos, que podían ser agregados a las reglas de filtración. También se desarrollaron técnicas de lógica difusa (fuzzy logic), que detectaban textos levemente modificados y tecnologías estadísticas de filtración tales como los filtros Bayes.
Renglones de texto aleatorio y texto invisible
Ahora, para evadir los filtros, los spammers ponen renglones de texto similares a los de la correspondencia de negocios legítima o renglones de texto aleatorio al principio o al final de los mensajes. Otro método para evadir los filtros es incluir texto invisible en los mensajes en formato HTML: el texto es demasiado pequeño para ser visto, o el color de las letras es igual que el del fondo.
Ambos métodos tienen bastante éxito contra los filtros de contenido y estadísticos. Los analistas respondieron desarrollando motores de búsqueda que escaneaban los mensajes en busca de textos típicos, que también realizaban un análisis detallado del HTML y del contenido. Muchas soluciones antispam podían detectar tales trucos sin ni siquiera analizar en detalle el contenido de mensajes individuales.
Gráficos
Es muy difícil detectar el spam que se envía en formato gráfico. Los analistas están desarrollando métodos de extraer y analizar el texto contendido en los archivos gráficos.
Textos parafraseados
Un anuncio puede ser parafraseado miles de veces, haciendo que cada mensaje individual aparente ser legítimo. Como resultado, los filtros antispam tienen que ser configurados usando un gran número de muestras antes de que estos mensajes sean detectados como spam.
Resumen
En la actualidad, los spammers suelen usar los tres métodos recién descritos en una variedad de combinaciones. Muchos programas antispam son incapaces de detectarlos. Mientras el envío de spam siga siendo rentable, los usuarios de programas antispam de baja calidad continuarán con su buzón lleno de publicidad.
Fuente viruslist.com
El principio
El spam (publicidad masiva no solicitada vía correo electrónico) hizo su primera aparición a mediados de los noventa, es decir, inmediatamente después de que la suficiente cantidad de personas empezó a usar el correo electrónico. En 1997, se empezó a considerar que el spam era un problema, y la primera Lista Negra en Tiempo Real (Real-Time Black List, RBL), apareció el mismo año.
Las técnicas de los spammers han evolucionado en respuesta a la aparición de cada vez más y mejores filtros. Tan pronto como las compañías de seguridad desarrollan filtros efectivos, los spammers cambian sus tácticas para eludirlos. Y esto lleva a un círculo vicioso, en el que los spammers reinvierten sus ganancias en el desarrollo de nuevas técnicas de evasión de los filtros de spam. La situación crea un torbellino fuera de control.
Desarrollo de las técnicas de los spammers
Publicidad directa
Al principio, el spam era enviado directamente a los usuarios. Es más, los spammers ni siquiera necesitaban falsificar la información del remitente. Este tipo primitivo de spam era fácil de bloquear: si se incluía a un remitente o una dirección IP específica, se estaba a salvo. Como respuesta, los spammers empezaron a suplantar las direcciones de los remitentes y otra información técnica.
Retransmisión abierta (Open Relay)
A mediados de los noventa, todos los servidores de correo electrónico ofrecían servicios de retransmisión abierta (Open Relay). El spam y otros problemas de seguridad llevaron a los administradores a reconfigurar los servidores postales en todo el mundo. No obstante, el proceso avanzaba con lentitud y no todos los propietarios de servidores postales o sus administradores estaban dispuestos a colaborar. Una vez que este proceso tomo su rumbo, los analistas de seguridad empezaron a escanear Internet en busca de servidores postales con el servicio de retransmisión abierto.Las listas negras de DNS obtenidas se pusieron a disposición del público, haciendo posible que los administradores responsables de la seguridad bloqueen el correo entrante desde esos servidores. A pesar de todo, los servidores con servicio de retransmisión abierta se siguen usando para hacer envíos masivos de correo.
Banco de módems (Modem Pool)
En el momento en que enviar spam por servidores de retransmisión abierta se hace menos eficiente, los spammers empiezan a usar conexiones dial-up. Con esto, se explotan la forma en que algunos proveedores de Internet estructuran sus servicios de acceso telefónico y utilizan los defectos del sistema:
* Como regla, los servidores postales de los proveedores de Internet remiten el correo generado por los clientes.
* Las conexiones por dialup se realizan usando direcciones IP dinámicas. Por eso, los spammers usan una nueva dirección IP para cada sesión de envíos.
Como respuesta a la explotación de los spammers, los proveedores de Internet empezaron a limitar la cantidad de mensajes que un usuario podía enviar en una sesión. Las listas de direcciones de dialup sospechosas y los filtros que bloqueaban el correo llegado desde esas direcciones aparecieron en Internet.
Servidores proxy
El nuevo siglo llegó con los spammers usando conexiones a Internet de alta velocidad y explotando las vulnerabilidades del hardware. Las conexiones por cable y por ADSL permitieron a los spammers hacer envíos masivos baratos y rápidos. En adición, los spammers poco tardaron en descubrir que muchos modems ADSL tenían servidores socks o proxy de HTTP incorporados. Ambos son utilidades simples que dividen un canal de Internet entre varios ordenadores. La característica que tienen es que cualquier persona, desde cualquier parte del mundo puede obtener acceso a estos servidores, porque no tienen ningún tipo de protección. En otras palabras, los usuarios maliciosos pueden usar las conexiones ADSL de otras personas para hacer lo que les venga en gana, incluso enviar spam. Asimismo, el spam aparecerá como si hubiese sido enviado desde la dirección IP de la víctima. Desde que millones de personas en todo el mundo tienen estas conexiones, los spammers harán su agosto hasta que los fabricantes de harware cierren las brechas de seguridad en sus dispositivos.
Redes zombi o "bot"
En 2003 y 2004, los spammers efectuaron la mayor parte de sus envíos masivos desde equipos pertenecientes a usuarios que no sospechaban nada. Los spammers usaban programas maliciosos para instalar troyanos en los equipos de las víctimas, dejándolos abiertos al uso remoto. Los métodos usados para penetrar en los equipos de las víctimas incluyen:
* Los droppers y descargadores de troyanos se incorporan al software pirata que es distribuido vía redes de intercambio de archivos P2P (Kazaa, eDonkey, etc).
* Vulnerabilidades en MS Windows y aplicaciones populares como Internet Explorer y Outlook.
* Gusanos de correo electrónico
Quienquiera que posea la parte "cliente" que controla el troyano, puede controlar el equipo o red infectados. Las redes de este tipo reciben el nombre de redes bot y son objeto de comercio e4ntre los spammers.
Los analistas estiman que hay troyanos instalados en millones de equipos en todo el mundo. Los troyanos modernos son tan sofisticados que pueden descargar nuevas versiones de sí mismos, descargar y ejecutar órdenes desde sitios web específicos o canales de IRC, enviar spam, realizar ataques DDoS y mucho más.
Desarrollo de las técnicas de los spammers
Análisis de contenidos
El funcionamiento de muchos filtros antispam se basan en el análisis del contenido de los mensajes: el encabezado, el texto y los datos adjuntos. Hoy en día, los spammers gastan grandes recursos en desarrollar contenidos que evadan los filtros de contenido.
Texto simple y HTML
En sus orígenes, el spam era simple: mensajes idénticos eran enviados a todos los destinatarios de una lista de correo. Esos mensajes de correo electrónico eran ridículamente fáciles de filtrar, gracias a la abundancia de textos idénticos.
Mensajes personalizados
Después, los spammers empezaron a incluir en los mensajes un saludo basado en la dirección del destinatario. Como cada mensaje contenía un saludo personal, los filtros que bloqueaban mensajes idénticos no detectaban este tipo de spam. Entonces, los expertos en seguridad diseñaron filtros que identificaban los renglones idénticos, que podían ser agregados a las reglas de filtración. También se desarrollaron técnicas de lógica difusa (fuzzy logic), que detectaban textos levemente modificados y tecnologías estadísticas de filtración tales como los filtros Bayes.
Renglones de texto aleatorio y texto invisible
Ahora, para evadir los filtros, los spammers ponen renglones de texto similares a los de la correspondencia de negocios legítima o renglones de texto aleatorio al principio o al final de los mensajes. Otro método para evadir los filtros es incluir texto invisible en los mensajes en formato HTML: el texto es demasiado pequeño para ser visto, o el color de las letras es igual que el del fondo.
Ambos métodos tienen bastante éxito contra los filtros de contenido y estadísticos. Los analistas respondieron desarrollando motores de búsqueda que escaneaban los mensajes en busca de textos típicos, que también realizaban un análisis detallado del HTML y del contenido. Muchas soluciones antispam podían detectar tales trucos sin ni siquiera analizar en detalle el contenido de mensajes individuales.
Gráficos
Es muy difícil detectar el spam que se envía en formato gráfico. Los analistas están desarrollando métodos de extraer y analizar el texto contendido en los archivos gráficos.
Textos parafraseados
Un anuncio puede ser parafraseado miles de veces, haciendo que cada mensaje individual aparente ser legítimo. Como resultado, los filtros antispam tienen que ser configurados usando un gran número de muestras antes de que estos mensajes sean detectados como spam.
Resumen
En la actualidad, los spammers suelen usar los tres métodos recién descritos en una variedad de combinaciones. Muchos programas antispam son incapaces de detectarlos. Mientras el envío de spam siga siendo rentable, los usuarios de programas antispam de baja calidad continuarán con su buzón lleno de publicidad.
Fuente viruslist.com
Etiquetas:
spam
jueves, 23 de septiembre de 2010
Un 23% de estudiantes universitarios ha “hackeado” sistemas
Una cuarta parte de los estudiantes universitarios ha “hackeado” con éxito algún sistemas informático, al menos eso dice la empresa de seguridad Tufin Technologies – que recientemente realizó una encuesta a 1.000 estudiantes de entre 18 y 21 años.
De esta encuesta, encontró que un 37% había hackeado perfiles de Facebook, 26% cuentas de correo electrónico y un 10% cuentas de compras en línea, entre otras actividades. Un tercio lo hace por diversión, 22% por curiosidad y un 15% para hacer dinero.
Aunque el 84% sabían que esto estaba mal, casi un tercio dijo que era algo “cool” y fácil de hacer. Más de un tercio utiliza su propia computadora para estas actividades, mientras que el 32% dijo que usa una máquina de la universidad y un 23% utiliza una PC en un café Internet.
Por otro lado, el estudio también descubrió que un 46% de los estudiantes había sido víctima de “hackeos” o fallas de seguridad en su propio perfil de redes sociales o cuenta de correo electrónico.
“Lo que este estudio pone en manifiesto es que el hacking de cuentas personales, ya sea correo electrónico o Facebook está sucediendo con regularidad entre la población estudiantil (…) Vivimos en un mundo donde las redes sociales, el correo electrónico e Internet son parte de nuestra vida diaria a edad temprana, por lo que una oportuna educación es esencial para garantizar que los jóvenes conozcan las consecuencias que puede tener esta actividad. El Hacking es ilegal y tenemos que asegurarnos que todo el mundo lo entienda” dijo Stuart Hyde, presidente de la sociedad para patrullaje del ciberespacio (POLCYB).
Shaul Efraim de Tufin Technologies esta consciente que hay una generación inteligente emergente que entiende cómo funcionan los sistemas, por lo que, sería bueno orientarlos para seguir una carrera en el sector de la seguridad para asegurar que todas las organizaciones se beneficien de su evidente capacidad para fortalecer los sistemas de seguridad y detener la fuga de datos.
En fin, si consideramos que en países como en Chile, el 85% de los estudiantes de preparatoria se consideran expertos en el uso de Internet, no sería extraño que en la universidad los Script Kiddies se las gasten para conseguir la contraseña de su novia.
Fuente fayerwayer.com
De esta encuesta, encontró que un 37% había hackeado perfiles de Facebook, 26% cuentas de correo electrónico y un 10% cuentas de compras en línea, entre otras actividades. Un tercio lo hace por diversión, 22% por curiosidad y un 15% para hacer dinero.
Aunque el 84% sabían que esto estaba mal, casi un tercio dijo que era algo “cool” y fácil de hacer. Más de un tercio utiliza su propia computadora para estas actividades, mientras que el 32% dijo que usa una máquina de la universidad y un 23% utiliza una PC en un café Internet.
Por otro lado, el estudio también descubrió que un 46% de los estudiantes había sido víctima de “hackeos” o fallas de seguridad en su propio perfil de redes sociales o cuenta de correo electrónico.
“Lo que este estudio pone en manifiesto es que el hacking de cuentas personales, ya sea correo electrónico o Facebook está sucediendo con regularidad entre la población estudiantil (…) Vivimos en un mundo donde las redes sociales, el correo electrónico e Internet son parte de nuestra vida diaria a edad temprana, por lo que una oportuna educación es esencial para garantizar que los jóvenes conozcan las consecuencias que puede tener esta actividad. El Hacking es ilegal y tenemos que asegurarnos que todo el mundo lo entienda” dijo Stuart Hyde, presidente de la sociedad para patrullaje del ciberespacio (POLCYB).
Shaul Efraim de Tufin Technologies esta consciente que hay una generación inteligente emergente que entiende cómo funcionan los sistemas, por lo que, sería bueno orientarlos para seguir una carrera en el sector de la seguridad para asegurar que todas las organizaciones se beneficien de su evidente capacidad para fortalecer los sistemas de seguridad y detener la fuga de datos.
En fin, si consideramos que en países como en Chile, el 85% de los estudiantes de preparatoria se consideran expertos en el uso de Internet, no sería extraño que en la universidad los Script Kiddies se las gasten para conseguir la contraseña de su novia.
Fuente fayerwayer.com
Etiquetas:
hacker
Informe Veracode: La mitad de las aplicaciones tienen problemas de seguridad
Más de la mitad del software utilizado en las empresas tienen problemas de seguridad, según un nuevo informe publicado por Veracode, una compañía centrada en la seguridad de las aplicaciones.
Veracode ha estudiado más de 2.900 aplicaciones durante un periodo de 18 meses y ha descubierto que el 57% de todas las aplicaciones tenían una calidad “inaceptable” respecto a la seguridad.
Ocho de cada diez aplicaciones web fracasan a la hora de cumplir con los requerimientos de OWASP (Open Web Application Security Project ), necesario para que puedan utilizarse en páginas web financieras y de comercio electrónico.
El informe de Veracode también pone de manifiesto que el código de terceros, cada vez más utilizado en las empresas, a menudo es inseguro. El 81% de las veces estos proveedores fracasan a la hora de cumplir con estándares de seguridad aceptables.
Mientras, las vulnerabilidades cross-site scripting, o XSS, siguen siendo las más comunes y las aplicaciones .NET muestran un número de fallos “anormalmente alto”.
Desde Veracode aseguran que es necesario trabajar más en la seguridad del software, y reconocen a través de su informe que los fallos de seguridad se solucionan más rápido que nunca, lo que indica una mayor educación y formación por parte de los desarrolladores, herramientas más maduras y una mayor presión por parte de las empresas
Veracode ha estudiado más de 2.900 aplicaciones durante un periodo de 18 meses y ha descubierto que el 57% de todas las aplicaciones tenían una calidad “inaceptable” respecto a la seguridad.
Ocho de cada diez aplicaciones web fracasan a la hora de cumplir con los requerimientos de OWASP (Open Web Application Security Project ), necesario para que puedan utilizarse en páginas web financieras y de comercio electrónico.
El informe de Veracode también pone de manifiesto que el código de terceros, cada vez más utilizado en las empresas, a menudo es inseguro. El 81% de las veces estos proveedores fracasan a la hora de cumplir con estándares de seguridad aceptables.
Mientras, las vulnerabilidades cross-site scripting, o XSS, siguen siendo las más comunes y las aplicaciones .NET muestran un número de fallos “anormalmente alto”.
Desde Veracode aseguran que es necesario trabajar más en la seguridad del software, y reconocen a través de su informe que los fallos de seguridad se solucionan más rápido que nunca, lo que indica una mayor educación y formación por parte de los desarrolladores, herramientas más maduras y una mayor presión por parte de las empresas
Rusia rivaliza con China como destino de los creadores de malware
La empresa de seguridad M86 asegura que los centros de control de las botnet utilizadas para expandir el malware a través de Internet cerradas por el gobierno Chino han aparecido en Rusia.
Desde M86 aseguran que el reciente cierre en China parece haber forzado a la mayoría de los operadores de botnets de malware a mirar hacia otro lado, y parece que Rusia es ahora su refugio.
Se han detectado unos 5.000 nuevos dominios de spam que tienen su origen en un par de registradores rusos durante el último mes. Entre los que se han movido hacia los proveedores rusos están los operadores que controlan el malware Zeus.
Entre las operaciones vinculadas a los nuevos registradores rusos pueden citarse campañas de spam, casinos online y operaciones farmacológicas a través de Internet.
El cambio de país se ha producido meses después de que grupos de seguridad se hayan movido para poner freno a las operaciones de Asia y Europa del Este.
Fuente itespresso.es
Desde M86 aseguran que el reciente cierre en China parece haber forzado a la mayoría de los operadores de botnets de malware a mirar hacia otro lado, y parece que Rusia es ahora su refugio.
Se han detectado unos 5.000 nuevos dominios de spam que tienen su origen en un par de registradores rusos durante el último mes. Entre los que se han movido hacia los proveedores rusos están los operadores que controlan el malware Zeus.
Entre las operaciones vinculadas a los nuevos registradores rusos pueden citarse campañas de spam, casinos online y operaciones farmacológicas a través de Internet.
El cambio de país se ha producido meses después de que grupos de seguridad se hayan movido para poner freno a las operaciones de Asia y Europa del Este.
Fuente itespresso.es
Microsoft Security Essentials, disponible para PYMES
El popular software antivirus gratuito de Microsoft, Security Essentials, hasta ahora pensado para el segmento de consumo, también estará disponible para las pequeñas empresas a partir del próximo mes de octubre.
Aunque Microsoft apuntaba en un primer momento que Security Essentials sólo sería para el segmento OEM y de consumo, ahora ha cambiado esta estrategia y ha anunciado que el este antivirus gratuito también estará disponible para la pequeña empresa a partir del próximo mes de octubre.
Con este movimiento, Microsoft apunta aquél segmento de compañías de tamaño pequeño y que podrán descargarse Security Essentials para su instalación en su parque de hasta 10 PC. Y es que, los responsables de la compañía destacan que la razón por la que han decidido apostar por las empresas de este tamaño se debe a un cambio en los acuerdos de licenciamiento de los usuarios finales que permite que los clientes de pequeñas empresas puedan descargarse legalmente este software antivirus en equipos corporativos individuales. “Esta nueva posibilidad permitirá a las pequeñas empresas a aprovechar las ventajas del servicio antimalware sin costes de Microsoft que les ayudará a ahorrar tiempo y dinero y ser productivos al mismo tiempo que las protege de virus, spyware y otras amenazas de seguridad”, apunta desde Microsoft Eric Foster, en el blog corporativo de Windows.
Este cambio se suma a los ya apuntados en la versión beta de Security Essentials, lanzada el pasado mes de julio, que mostraban cómo la nueva versión dispondría de novedades como un nuevo motor de protección y un sistema de inspección.
Fuente Partnerzone
Aunque Microsoft apuntaba en un primer momento que Security Essentials sólo sería para el segmento OEM y de consumo, ahora ha cambiado esta estrategia y ha anunciado que el este antivirus gratuito también estará disponible para la pequeña empresa a partir del próximo mes de octubre.
Con este movimiento, Microsoft apunta aquél segmento de compañías de tamaño pequeño y que podrán descargarse Security Essentials para su instalación en su parque de hasta 10 PC. Y es que, los responsables de la compañía destacan que la razón por la que han decidido apostar por las empresas de este tamaño se debe a un cambio en los acuerdos de licenciamiento de los usuarios finales que permite que los clientes de pequeñas empresas puedan descargarse legalmente este software antivirus en equipos corporativos individuales. “Esta nueva posibilidad permitirá a las pequeñas empresas a aprovechar las ventajas del servicio antimalware sin costes de Microsoft que les ayudará a ahorrar tiempo y dinero y ser productivos al mismo tiempo que las protege de virus, spyware y otras amenazas de seguridad”, apunta desde Microsoft Eric Foster, en el blog corporativo de Windows.
Este cambio se suma a los ya apuntados en la versión beta de Security Essentials, lanzada el pasado mes de julio, que mostraban cómo la nueva versión dispondría de novedades como un nuevo motor de protección y un sistema de inspección.
Fuente Partnerzone
miércoles, 22 de septiembre de 2010
El 33% de las fugas de datos son brechas internas malintencionadas
Los hackers son responsables de las pérdidas de datos en un 29% de los casos, mientras que el 33% son brechas internas con malas intenciones; el resto de los incidentes se deben a accidentes, según un estudio.
El informe Securosis 2010 de Imperva, realizado a más de 1.100 profesionales de seguridad TI, señala que la estrategia de seguridad de datos más efectiva apuntada por la mayoría de los encuestados es aquella aúne tecnología para proteger aplicaciones y bases de datos junto a un planteamiento más tradicional, como los firewalls de aplicaciones, catalogados entre las cinco principales tecnologías para reducir el número de incidentes por pérdida de datos.
Otras tecnologías utilizadas para este fin son la adopción de prevención de pérdida de datos en la red, encriptación total de los discos, refuerzo de servidores y puntos finales, y prevención de pérdida de datos en el punto final.
Fuente Partnerzone
Cerca de dos tercios de las organizaciones no sabían si habían sufrido incidentes de pérdida de datos o no eran conscientes de haber experimentado ningún caso. Sin embargo, de los encuestados que se sabían víctimas de pérdida de datos o brecha, el 46% aseguró haber visto una reducción en el número de incidentes, mientras que el 27% manifestó haber percibido el mismo número que en el año anterior.
El informe Securosis 2010 de Imperva, realizado a más de 1.100 profesionales de seguridad TI, señala que la estrategia de seguridad de datos más efectiva apuntada por la mayoría de los encuestados es aquella aúne tecnología para proteger aplicaciones y bases de datos junto a un planteamiento más tradicional, como los firewalls de aplicaciones, catalogados entre las cinco principales tecnologías para reducir el número de incidentes por pérdida de datos.
Otras tecnologías utilizadas para este fin son la adopción de prevención de pérdida de datos en la red, encriptación total de los discos, refuerzo de servidores y puntos finales, y prevención de pérdida de datos en el punto final.
Fuente Partnerzone
Cerca de dos tercios de las organizaciones no sabían si habían sufrido incidentes de pérdida de datos o no eran conscientes de haber experimentado ningún caso. Sin embargo, de los encuestados que se sabían víctimas de pérdida de datos o brecha, el 46% aseguró haber visto una reducción en el número de incidentes, mientras que el 27% manifestó haber percibido el mismo número que en el año anterior.
Etiquetas:
robo de información,
vulnerabilidad
Una brecha en el entorno ASP.Net de Microsoft pone en peligro millones de sitios web
Microsoft advirtió ayer a los usuarios de la existencia de un agujero crítico en ASP.Net. La brecha puede ser aprovechada por los atacantes para intervenir sesiones web encriptadas y robar nombres de usuarios y contraseñas de los websites.
Según la información dada por Microsoft, el fallo afecta a todas las versiones de ASP.Net, entorno de aplicación web de la compañía utilizado para en la creación de millones de sitios y aplicaciones.
Por tanto, Microsoft tendrá que parchear la totalidad de versiones soportadas de su sistema operativo Windows, desde XP Service Pack 3 (SP3) y Server 2003 hasta Windows 7 y Server 2008 R2, así como otros productos, incluidos los servidores IIS (Internet Information Server) y SharePoint.
Microsoft ha hecho pública la vulnerabilidad el mismo día que dos investigadores especializados en seguridad, Juliano Rizzo y Thai Duong, demostraban en el marco de la conferencia Ekoparty, que se está celebrando en Buenos Aires (Argentina), cómo es posible explotar la encriptación de ASP.Net para descodificar cookies de sesión y otros datos encriptados sobre un servidor remoto y después acceder y robar archivos de sitios o aplicaciones web basadas en el entorno de Microsoft.
Según Rizzo y Duong, su ataque les permite acceder a aplicaciones web con el nivel más alto de privilegios de administrador, con lo que es posible realizar cualquier acción sobre el sistema, desde revelar información residente en él, hasta comprometerlo por completo.
De acuerdo con las estimaciones de estos dos investigadores, el 25% de todos los sitios web a nivel mundial utilizan ASP.Net.
Para prevenir los ataques contra el fallo hasta que el correspondiente parche esté disponible, Microsoft recomienda activar la funcionalidad customErrors de ASP.Net y configurar explícitamente las aplicaciones para entregar siempre la misma página de error, independientemente del tipo de error, dado que el agujero es explotable consiguiendo acceso a tales páginas y analizando los distintos mensajes de fallo hasta descubrir la clave de encriptación.
Fuente partnerzone.net
Según la información dada por Microsoft, el fallo afecta a todas las versiones de ASP.Net, entorno de aplicación web de la compañía utilizado para en la creación de millones de sitios y aplicaciones.
Por tanto, Microsoft tendrá que parchear la totalidad de versiones soportadas de su sistema operativo Windows, desde XP Service Pack 3 (SP3) y Server 2003 hasta Windows 7 y Server 2008 R2, así como otros productos, incluidos los servidores IIS (Internet Information Server) y SharePoint.
Microsoft ha hecho pública la vulnerabilidad el mismo día que dos investigadores especializados en seguridad, Juliano Rizzo y Thai Duong, demostraban en el marco de la conferencia Ekoparty, que se está celebrando en Buenos Aires (Argentina), cómo es posible explotar la encriptación de ASP.Net para descodificar cookies de sesión y otros datos encriptados sobre un servidor remoto y después acceder y robar archivos de sitios o aplicaciones web basadas en el entorno de Microsoft.
Según Rizzo y Duong, su ataque les permite acceder a aplicaciones web con el nivel más alto de privilegios de administrador, con lo que es posible realizar cualquier acción sobre el sistema, desde revelar información residente en él, hasta comprometerlo por completo.
De acuerdo con las estimaciones de estos dos investigadores, el 25% de todos los sitios web a nivel mundial utilizan ASP.Net.
Para prevenir los ataques contra el fallo hasta que el correspondiente parche esté disponible, Microsoft recomienda activar la funcionalidad customErrors de ASP.Net y configurar explícitamente las aplicaciones para entregar siempre la misma página de error, independientemente del tipo de error, dado que el agujero es explotable consiguiendo acceso a tales páginas y analizando los distintos mensajes de fallo hasta descubrir la clave de encriptación.
Fuente partnerzone.net
Etiquetas:
asp.net,
microsoft,
vulnerabilidad
España: Las coacciones por Internet aumentan de forma “preocupante”
La red no siempre se utiliza para el bien y, según la Fiscalía General, el uso para el mal está cada vez más extendido a través de coacciones y amenazas relacionados con la revelación de secretos personales.
Así lo advierte la Fiscalía General del Estado en la Memoria que ha publicado hoy, en la que explica que la mayor parte de estos ataques se realizan utilizando de forma ilegítima claves personales de acceso a programas de mensajería instantánea o al correo electrónico.
Los responsables de las coacciones son muchas veces personas cercanas a la víctima que, “por móvil de despecho”, recurren a estas nuevas formas de amenazas.
La Fiscalía alerta también de otro tipo de ataques “mucho más graves” a la integridad moral como son la grabación de imágenes ofensivas –palizas, etc. –y su posterior publicación en redes sociales o sitios de vídeo como Facebook o YouTube.
Fuente itespresso.es
Así lo advierte la Fiscalía General del Estado en la Memoria que ha publicado hoy, en la que explica que la mayor parte de estos ataques se realizan utilizando de forma ilegítima claves personales de acceso a programas de mensajería instantánea o al correo electrónico.
Los responsables de las coacciones son muchas veces personas cercanas a la víctima que, “por móvil de despecho”, recurren a estas nuevas formas de amenazas.
La Fiscalía alerta también de otro tipo de ataques “mucho más graves” a la integridad moral como son la grabación de imágenes ofensivas –palizas, etc. –y su posterior publicación en redes sociales o sitios de vídeo como Facebook o YouTube.
Fuente itespresso.es
Etiquetas:
amenazas,
ciberdelicuencia,
redes sociales
El gusano Arcoiris de Twitter
Los usuarios de Twitter se han visto sorprendidos por una larga cadena de caracteres raros que aparecían en su timeline.
Se trata de una vulnerabilidad en Twitter que hace que cualquier usuario que opere a través de la web twitter.com, al pasar el puntero del ratón por el tweet que contiene esta cadena extraña, le pueda pasar diferentes cosas inesperadas:
* Automáticamente, y sin que él haga nada, enviará a sus followers la cadena maliciosa, contribuyendo así a su distribución
* Le pueden aparecer mensajes extraños con letras gigantes, cuadros de diálogo donde se lee “Hola”, cuadros negros donde debería estar el texto de un tweet, etc.
* Cuando cualquiera visita su perfil, éste puede ser redirigido a cualquier otra dirección web
El origen podría ser una cuenta creada en Twitter, llamada Rainbow.
Es un gusano, ya que se autorreplica y además su capacidad de distribución es altísima y a una gran velocidad: hasta 1.000 retweets del código malicioso se están registrando cada 20 o 25 segundos.
Al principio, las primeras inyecciones de javascript eran simples bromas, aunque con el paso del tiempo, ha ido evolucionando, y parece que algunos usuarios con otras intenciones están utilizando dicha vulnerabilidad para hacer cosas más serias.
El mayor peligro podría ser que la URL utilizada en el ataque usara alguna vulnerabilidad para infectar nuestros equipos. Si un delincuente hace que además de hacer un RT del código, la URL implicada usara técnicas de Drive-by-Download, estaríamos hablando de millones de víctimas potenciales, aunque es poco probable ya que presumiblemente twitter tape el agujero antes de que esto suceda.
En este caso, al pasar el ratón por encima de este tweet, el navegador web te redirigiría sin preguntar a la página web de Panda Security (con lo que nuestros amigos de web estarían muy contentos registrando muchas visitas nuevas en Google Analytics, algo que sin duda es posible que empiezan a utilizar muchos spammers ;-) .
Para finalizar, un consejo para evitar males mayores: cualquier cliente de Twitter que no ejecute javascript, como TweekDeck, nos permite seguir utilizando la red social sin ningún riesgo. Así que, evitemos utilizar la web, al menos, hasta que se solvente la vulnerabilidad.
Fuente Pandalabs
Se trata de una vulnerabilidad en Twitter que hace que cualquier usuario que opere a través de la web twitter.com, al pasar el puntero del ratón por el tweet que contiene esta cadena extraña, le pueda pasar diferentes cosas inesperadas:
* Automáticamente, y sin que él haga nada, enviará a sus followers la cadena maliciosa, contribuyendo así a su distribución
* Le pueden aparecer mensajes extraños con letras gigantes, cuadros de diálogo donde se lee “Hola”, cuadros negros donde debería estar el texto de un tweet, etc.
* Cuando cualquiera visita su perfil, éste puede ser redirigido a cualquier otra dirección web
El origen podría ser una cuenta creada en Twitter, llamada Rainbow.
Es un gusano, ya que se autorreplica y además su capacidad de distribución es altísima y a una gran velocidad: hasta 1.000 retweets del código malicioso se están registrando cada 20 o 25 segundos.
Al principio, las primeras inyecciones de javascript eran simples bromas, aunque con el paso del tiempo, ha ido evolucionando, y parece que algunos usuarios con otras intenciones están utilizando dicha vulnerabilidad para hacer cosas más serias.
El mayor peligro podría ser que la URL utilizada en el ataque usara alguna vulnerabilidad para infectar nuestros equipos. Si un delincuente hace que además de hacer un RT del código, la URL implicada usara técnicas de Drive-by-Download, estaríamos hablando de millones de víctimas potenciales, aunque es poco probable ya que presumiblemente twitter tape el agujero antes de que esto suceda.
En este caso, al pasar el ratón por encima de este tweet, el navegador web te redirigiría sin preguntar a la página web de Panda Security (con lo que nuestros amigos de web estarían muy contentos registrando muchas visitas nuevas en Google Analytics, algo que sin duda es posible que empiezan a utilizar muchos spammers ;-) .
Para finalizar, un consejo para evitar males mayores: cualquier cliente de Twitter que no ejecute javascript, como TweekDeck, nos permite seguir utilizando la red social sin ningún riesgo. Así que, evitemos utilizar la web, al menos, hasta que se solvente la vulnerabilidad.
Fuente Pandalabs
lunes, 20 de septiembre de 2010
Roban la identidad del jefe de la Interpol en Facebook
Puede ser una de las personas más poderosas de la policía a nivel mundial, pero, en Facebook, el jefe de la Interpol, Ronald K. Noble, es tan vulnerable como cualquier otro al robo de identidades.
La semana pasada, durante la inauguración de la conferencia Interpol Information Security Conference en Hong Kong, Noble dijo los ciberdelincuentes habían creado dos cuentas suplantando su identidad en Facebook este verano, en el transcurso de la operación policial Operation Infra-Red. Según Noble, el fraude no ha sido descubierto hasta hace poco por el equipo Security Incident Response Team de la Interpol.
“Uno de los suplantadores estaba utilizando el perfil para conseguir información sobre fugitivos durante nuestra reciente Operation Infra-Red”, explicó el jefe de la Interpol. Esta operación tuvo lugar entre mayo y julio, fue de alcance mundial, aunque estuvo liderada por la Interpol. Su propósito era localizar una serie de fugitivos acusados de asesinato, pedofilia, fraude, corrupción, tráfico de drogas y blanqueo de dinero. Finalmente, fueron arrestadas 130 personas gracias a esta iniciativa de cooperación de la policía a nivel mundial.
Comentando el incidente de usurpación de su identidad, Noble subrayó que “el cibercrimen está emergiendo como una amenaza muy concreta”. Es más, considerando el anonimato del ciberespacio, según Noble, “puede ser de hecho una de las amenazas criminales más poderosas a que nos hayamos enfrentado nunca”.
www.csospain.es
La semana pasada, durante la inauguración de la conferencia Interpol Information Security Conference en Hong Kong, Noble dijo los ciberdelincuentes habían creado dos cuentas suplantando su identidad en Facebook este verano, en el transcurso de la operación policial Operation Infra-Red. Según Noble, el fraude no ha sido descubierto hasta hace poco por el equipo Security Incident Response Team de la Interpol.
“Uno de los suplantadores estaba utilizando el perfil para conseguir información sobre fugitivos durante nuestra reciente Operation Infra-Red”, explicó el jefe de la Interpol. Esta operación tuvo lugar entre mayo y julio, fue de alcance mundial, aunque estuvo liderada por la Interpol. Su propósito era localizar una serie de fugitivos acusados de asesinato, pedofilia, fraude, corrupción, tráfico de drogas y blanqueo de dinero. Finalmente, fueron arrestadas 130 personas gracias a esta iniciativa de cooperación de la policía a nivel mundial.
Comentando el incidente de usurpación de su identidad, Noble subrayó que “el cibercrimen está emergiendo como una amenaza muy concreta”. Es más, considerando el anonimato del ciberespacio, según Noble, “puede ser de hecho una de las amenazas criminales más poderosas a que nos hayamos enfrentado nunca”.
www.csospain.es
Etiquetas:
ciberdelicuencia,
facebook
Los riesgos de seguridad online varían según el país
Un estudio de F-Secure pone de manifiesto la disparidad entre países en la percepción por parte de los usuarios informáticos del peligro de las amenazas de seguridad.
Los 1.450 usuarios consultados para el informe de F-Secure procedían de Finlandia, Alemania, Malasia, Polonia, Suecia, Reino Unido y Estados Unidos. Preguntados acerca de la preocupación por la privacidad online y la seguridad de los datos, los alemanes y malasios se mostraron como los más preocupados, con un 77% y un 73%, respectivamente, mientras que los suecos y fineses parecen ser los que más confían en su vida online.
Del total de la muestra, el 49% se había visto afectado por malware en el último año, si bien su software de seguridad les había avisado y evitado la infección. Los países más afectados por código malicioso fueron Polonia (70%), Finlandia (60%) y Malasia (54%), con Alemania reportando la menor cifra (32%). También Polonia y Malasia tienen la mayor proporción de encuestados afectados por malware sin ningún tipo de protección antivirus en sus ordenadores, con un 14% y 11%, respectivamente.
El estudio también refleja la falta de conocimiento del nivel de seguridad de muchos usuarios. Así, mucha gente no sabe si sus ordenadores han sido infectados en Suecia (38%), Estados Unidos (34%), Reino Unido (33%) y Alemania (32%).
Otro punto a resaltar es la diversa concienciación sobre los diferentes tipos de ataques de malware. Los alemanes (65%) y malasios (59%) son los más preocupados por la descarga de malware de una página web, frente al 22% de los consultados en Finlandia. El riesgo de encontrar resultados de búsquedas envenenados, utilizado para llevar a los internautas a páginas web maliciosas, es un punto muy serio por los alemanes (62%) y los británicos (41%).
Un 7% de los consultados de los siete países desconoce lo que es un código malicioso o malware, con los mayores ratios procedentes de países como Reino Unido y Estados Unidos, ambos con un 12%, y Malasia (9%). También destaca que el 29% de los estadounidenses y el 28% de los británicos no eran conscientes de lo que son resultados de búsquedas envenenados.
Fuente Csospain.com
Los 1.450 usuarios consultados para el informe de F-Secure procedían de Finlandia, Alemania, Malasia, Polonia, Suecia, Reino Unido y Estados Unidos. Preguntados acerca de la preocupación por la privacidad online y la seguridad de los datos, los alemanes y malasios se mostraron como los más preocupados, con un 77% y un 73%, respectivamente, mientras que los suecos y fineses parecen ser los que más confían en su vida online.
Del total de la muestra, el 49% se había visto afectado por malware en el último año, si bien su software de seguridad les había avisado y evitado la infección. Los países más afectados por código malicioso fueron Polonia (70%), Finlandia (60%) y Malasia (54%), con Alemania reportando la menor cifra (32%). También Polonia y Malasia tienen la mayor proporción de encuestados afectados por malware sin ningún tipo de protección antivirus en sus ordenadores, con un 14% y 11%, respectivamente.
El estudio también refleja la falta de conocimiento del nivel de seguridad de muchos usuarios. Así, mucha gente no sabe si sus ordenadores han sido infectados en Suecia (38%), Estados Unidos (34%), Reino Unido (33%) y Alemania (32%).
Otro punto a resaltar es la diversa concienciación sobre los diferentes tipos de ataques de malware. Los alemanes (65%) y malasios (59%) son los más preocupados por la descarga de malware de una página web, frente al 22% de los consultados en Finlandia. El riesgo de encontrar resultados de búsquedas envenenados, utilizado para llevar a los internautas a páginas web maliciosas, es un punto muy serio por los alemanes (62%) y los británicos (41%).
Un 7% de los consultados de los siete países desconoce lo que es un código malicioso o malware, con los mayores ratios procedentes de países como Reino Unido y Estados Unidos, ambos con un 12%, y Malasia (9%). También destaca que el 29% de los estadounidenses y el 28% de los británicos no eran conscientes de lo que son resultados de búsquedas envenenados.
Fuente Csospain.com
Etiquetas:
riegos,
seguridad online
domingo, 19 de septiembre de 2010
Ethical Shields Educación a distancia
Ethical Shields: "- Enviado mediante la barra Google"
viernes, 17 de septiembre de 2010
MALWARE: Una historia de porno, drogas, spam, twitter y zombies
Para quien piense que la Internet es un medio ambiente creado a imagen y semejanza de la naturaleza humana, no se equivoca. El instrumento sobre el cual descansa buena parte de nuestra realidad ordinaria, concentra su tráfico informativo en cinco temas: porno, drogas, spam, twitter y zombies; todo un caldo de cultivo para malicias informáticas.
Esta afirmación es el resultado de una investigación realizada por Commtouch -una proveedora de seguridad informática con base en Netanya, Israel y Sunnyvale, California-, en donde construyeron una imagen verbal de Internet en tan sólo cinco palabras. Resultado: porno, drogas, spam, twitter y zombies.
Un universo de dos millones de correos electrónicos al día concentró el estudio durante un periodo de tres meses, en el que se sondeó el tráfico de palabras más usuales como un colorido mármol cibernético, permitiendo con ello observar que con más frecuencia de lo que creíamos, estos tópicos están lejos de los radares de riesgos informáticos.
El informe también señala que la escalada de ataques cibernéticos ha tenido un incremento notable desde el desarrollo de los “zombies”. Así, la combinación de la mensajería en general con los elementos de ingeniería basados en la web y redes sociales, supone que los “chicos malos” incrementen sus niveles de éxito.
Esta serie de estrategias, llevan a la utilización del correo electrónico o motores de búsqueda, para atraer a sus víctimas a páginas web legítimas, pero que están siendo comprometidas para alojar secretamente publicidad de spam, malware, o fraudes electrónicos.
Esta táctica de ataque masivo, suele contar con un alto grado de éxito, debido a que en la inmensa mayoría de los casos, los sitios infectados no tienen la menor idea de que están siendo empleados para estos fines. Por supuesto, lo peor del caso es que en su mayoría, este tipo de usuario no tiene idea alguna acerca de la seguridad informática, lo que facilita la propagación y permanencia del mal.
Fuente: usuariotech.com
Esta afirmación es el resultado de una investigación realizada por Commtouch -una proveedora de seguridad informática con base en Netanya, Israel y Sunnyvale, California-, en donde construyeron una imagen verbal de Internet en tan sólo cinco palabras. Resultado: porno, drogas, spam, twitter y zombies.
Un universo de dos millones de correos electrónicos al día concentró el estudio durante un periodo de tres meses, en el que se sondeó el tráfico de palabras más usuales como un colorido mármol cibernético, permitiendo con ello observar que con más frecuencia de lo que creíamos, estos tópicos están lejos de los radares de riesgos informáticos.
El informe también señala que la escalada de ataques cibernéticos ha tenido un incremento notable desde el desarrollo de los “zombies”. Así, la combinación de la mensajería en general con los elementos de ingeniería basados en la web y redes sociales, supone que los “chicos malos” incrementen sus niveles de éxito.
Esta serie de estrategias, llevan a la utilización del correo electrónico o motores de búsqueda, para atraer a sus víctimas a páginas web legítimas, pero que están siendo comprometidas para alojar secretamente publicidad de spam, malware, o fraudes electrónicos.
Esta táctica de ataque masivo, suele contar con un alto grado de éxito, debido a que en la inmensa mayoría de los casos, los sitios infectados no tienen la menor idea de que están siendo empleados para estos fines. Por supuesto, lo peor del caso es que en su mayoría, este tipo de usuario no tiene idea alguna acerca de la seguridad informática, lo que facilita la propagación y permanencia del mal.
Fuente: usuariotech.com
Etiquetas:
malware
Sondeo: Las redes sociales infectan a una de cada tres pequeñas y medianas empresas
Un sondeo ha demostrado que los programas maliciosos que se propagan mediante redes sociales infectan un tercio de las Pequeñas y medianas empresas (PyMEs) que se cruzan en su camino.
La empresa Panda Security realizó el estudio, en el que entrevistó a 1.000 empleados de 315 PyMEs de Estados Unidos en julio de este año para ver cómo les afectan las amenazas virtuales que se propagan por sitios de interacción social como Facebook, Twitter y YouTube.
La red social más popular entre las empresas es Facebook, con el 69,3%. En segundo lugar está Twitter con el 44,4%, seguido por YouTube con el 32% y LinedIn con el 22,9%. Sólo un cuarto de las PyMEs entrevistadas bloquean el acceso a las redes sociales.
El estudio reveló que el 33% de las empresas entrevistadas sufrieron una infección por visitar una red social. El 35% de las empresas infectadas afirmó que había sufrido pérdidas financieras a causa de la amenaza: un tercio de estas empresas perdió alrededor de $5.000, y algunas sufrieron pérdidas de hasta $100.000.
Otro problema que causan las redes sociales son las violaciones de privacidad. Un 23% de los entrevistados afirmó que los empleados habían sufrido algún tipo de violación de privacidad por utilizar redes sociales.
Facebook es la red social que más afecta de forma negativa a los internautas: un 71,6% de los entrevistados culpó a la red social por las infecciones de virus y el 73,2% la asocia con problemas de privacidad que sufrió su empresa.
A pesar de todos estos problemas, dos tercios de las empresas permiten el uso personal de redes sociales desde los equipos de la empresa, sólo un cuarto prohíbe que se instalen aplicaciones para redes sociales y menos de un tercio prohíbe que se juegue en línea desde los ordenadores de la oficina.
Fuente: Viruslist.com
La empresa Panda Security realizó el estudio, en el que entrevistó a 1.000 empleados de 315 PyMEs de Estados Unidos en julio de este año para ver cómo les afectan las amenazas virtuales que se propagan por sitios de interacción social como Facebook, Twitter y YouTube.
La red social más popular entre las empresas es Facebook, con el 69,3%. En segundo lugar está Twitter con el 44,4%, seguido por YouTube con el 32% y LinedIn con el 22,9%. Sólo un cuarto de las PyMEs entrevistadas bloquean el acceso a las redes sociales.
El estudio reveló que el 33% de las empresas entrevistadas sufrieron una infección por visitar una red social. El 35% de las empresas infectadas afirmó que había sufrido pérdidas financieras a causa de la amenaza: un tercio de estas empresas perdió alrededor de $5.000, y algunas sufrieron pérdidas de hasta $100.000.
Otro problema que causan las redes sociales son las violaciones de privacidad. Un 23% de los entrevistados afirmó que los empleados habían sufrido algún tipo de violación de privacidad por utilizar redes sociales.
Facebook es la red social que más afecta de forma negativa a los internautas: un 71,6% de los entrevistados culpó a la red social por las infecciones de virus y el 73,2% la asocia con problemas de privacidad que sufrió su empresa.
A pesar de todos estos problemas, dos tercios de las empresas permiten el uso personal de redes sociales desde los equipos de la empresa, sólo un cuarto prohíbe que se instalen aplicaciones para redes sociales y menos de un tercio prohíbe que se juegue en línea desde los ordenadores de la oficina.
Fuente: Viruslist.com
Etiquetas:
malware,
redes sociales,
vulnerabilidad
Cibercriminales usan correos robados para vender la casa de una de sus víctimas
La policía australiana está investigando a los cibercriminales responsables de haber vendido una casa de medio millón de dólares con datos y documentos que robaron de la cuenta de correo electrónico de un internauta.
Se cree que los delincuentes robaron los datos de acceso a la cuenta de correos de Roger Mildenhall, el dueño legítimo de la propiedad, y al espiar entre sus correos encontraron una serie de documentos personales, entre ellos los títulos de propiedad de una de las casas de Mildenhall.
La propiedad se encuentra en Australia, pero el dueño reside en Sudáfrica desde hace un año. La distancia evitó que Mildenhall se diera cuenta de lo sucedido, y sólo se enteró del problema la semana pasada, cuando sus vecinos le comentaron que alguien había puesto su casa en venta.
Mildenhall viajó a Australia justo a tiempo para evitar que se cierre el trato, pero allí se enteró de que en junio los cibercriminales habían vendido otra de sus propiedades, avaluada en $500.000.
Brian Greig, del Instituto de Bienes Raíces de Australia Occidental (REIWA) dijo que todas las transacciones se realizaron por correo electrónico, teléfono y fax, sin tener ninguna relación personal con el dueño de los bienes.
“Los agentes nos han informado que es cada vez más frecuente que se realicen transacciones sin interacción cara a cara, en especial cuando los compradores viven en otros países o estados”, explicó Greig.
“Está claro que este fue una ataque sofisticado que engañó al dueño, al agente de Bienes Raíces, al agente de convenios, a los bancos, y (…) al Departamento de Administración de Tierras”, dijo Greig.
El Departamento de Protección al Consumidor de Australia ha iniciado una investigación para determinar con exactitud qué hicieron los cibercriminales para hacerse pasar por Mildenhall y recolectar la cantidad suficiente de documentación como para vender las propiedades.
Fuentes:
Australia scammers stage secret sale of man's home AFP
Fraud squad probes Perth housing scam ABC News
Crims use hacked email to steal house ZDNet
Se cree que los delincuentes robaron los datos de acceso a la cuenta de correos de Roger Mildenhall, el dueño legítimo de la propiedad, y al espiar entre sus correos encontraron una serie de documentos personales, entre ellos los títulos de propiedad de una de las casas de Mildenhall.
La propiedad se encuentra en Australia, pero el dueño reside en Sudáfrica desde hace un año. La distancia evitó que Mildenhall se diera cuenta de lo sucedido, y sólo se enteró del problema la semana pasada, cuando sus vecinos le comentaron que alguien había puesto su casa en venta.
Mildenhall viajó a Australia justo a tiempo para evitar que se cierre el trato, pero allí se enteró de que en junio los cibercriminales habían vendido otra de sus propiedades, avaluada en $500.000.
Brian Greig, del Instituto de Bienes Raíces de Australia Occidental (REIWA) dijo que todas las transacciones se realizaron por correo electrónico, teléfono y fax, sin tener ninguna relación personal con el dueño de los bienes.
“Los agentes nos han informado que es cada vez más frecuente que se realicen transacciones sin interacción cara a cara, en especial cuando los compradores viven en otros países o estados”, explicó Greig.
“Está claro que este fue una ataque sofisticado que engañó al dueño, al agente de Bienes Raíces, al agente de convenios, a los bancos, y (…) al Departamento de Administración de Tierras”, dijo Greig.
El Departamento de Protección al Consumidor de Australia ha iniciado una investigación para determinar con exactitud qué hicieron los cibercriminales para hacerse pasar por Mildenhall y recolectar la cantidad suficiente de documentación como para vender las propiedades.
Fuentes:
Australia scammers stage secret sale of man's home AFP
Fraud squad probes Perth housing scam ABC News
Crims use hacked email to steal house ZDNet
Etiquetas:
Cibercrimen,
robo de información
Crecen hasta 1.3 millones las webs infectadas de malware
Recientemente, Dasient informaba de los numerosos agujeros negros en las webs corporativas que permiten la entrada y el establecimiento del malware en sitios sin que sus webmasters lo sepan. Su último informe pone cifras a este fenómeno e identifica quiénes son los más afectados.
Según el informe de la compañía de security-as-a-service Dasient, en el último trimestre había 1.300.000 páginas web albergando malware, más del doble de las contabilizadas durante el trimestre anterior. Además descubrieron tendencias como que las campañas de “malvertising”, el camuflaje del malware en la publicidad tomando varias formas, comienzan durante los fines de semana, que están aumentando los ataques vía JavaScript y que las páginas creadas con ASP son un objetivo creciente.
En el caso de las páginas creadas con esta tecnología de Microsoft, Dasient ha determinado que la correlación no implica causalidad. Sin embargo, recomienda poner más atención a las páginas web basadas en ASP a la hora de configurar los sistemas de seguridad como el que ellos mismos ofrecen o los firewalls como Breach WebDefend, Citrix Netscaler o Imperva SecureSphere.
Las inyecciones a través de JavaScript crecieron un 19% mientras que las que llegan vía iFRAME se redujeron un 11% entre un trimestre y otro. El informe concluye que este cambio se debe a los múltiples accesos que JavaScript ofrece los hackers para llegar a sus víctimas: elementos DOM, información de páginas de origen y cookies.
En cuanto a la temporalidad, el estudio ha encontrado una tendencia a que comiencen principalmente durante los fines de semana. La razón fundamental es que es más probable que, durante esos días, es menos probable que el personal de informática pueda responder de forma efectiva al ataque.
Para terminar, quedan recogidos los datos porcentuales sobre los tres canales principales de infección que utilizan los hackers: widgeds externos (75%), publicidad externa (42%) y aplicaciones externas (91%). Es lo que más hay que vigilar.
Según el informe de la compañía de security-as-a-service Dasient, en el último trimestre había 1.300.000 páginas web albergando malware, más del doble de las contabilizadas durante el trimestre anterior. Además descubrieron tendencias como que las campañas de “malvertising”, el camuflaje del malware en la publicidad tomando varias formas, comienzan durante los fines de semana, que están aumentando los ataques vía JavaScript y que las páginas creadas con ASP son un objetivo creciente.
En el caso de las páginas creadas con esta tecnología de Microsoft, Dasient ha determinado que la correlación no implica causalidad. Sin embargo, recomienda poner más atención a las páginas web basadas en ASP a la hora de configurar los sistemas de seguridad como el que ellos mismos ofrecen o los firewalls como Breach WebDefend, Citrix Netscaler o Imperva SecureSphere.
Las inyecciones a través de JavaScript crecieron un 19% mientras que las que llegan vía iFRAME se redujeron un 11% entre un trimestre y otro. El informe concluye que este cambio se debe a los múltiples accesos que JavaScript ofrece los hackers para llegar a sus víctimas: elementos DOM, información de páginas de origen y cookies.
En cuanto a la temporalidad, el estudio ha encontrado una tendencia a que comiencen principalmente durante los fines de semana. La razón fundamental es que es más probable que, durante esos días, es menos probable que el personal de informática pueda responder de forma efectiva al ataque.
Para terminar, quedan recogidos los datos porcentuales sobre los tres canales principales de infección que utilizan los hackers: widgeds externos (75%), publicidad externa (42%) y aplicaciones externas (91%). Es lo que más hay que vigilar.
Google parchea Chrome por segunda vez en este mes
Google ha resuelto diez vulnerabilidades de Chrome esta semana, incluida una crítica sobre Mac. Se trata de la segunda actualización de seguridad emitida por la compañía para su navegador en lo que va de mes.
De los diez fallos de seguridad parcheados, uno ha sido clasificado como “crítico”, el máximo nivel de peligrosidad dentro de la escala de cuatro niveles de Google. Seis han sido valoradas como de nivel “alto”, el segundo grado de riesgo, y tres como de nivel “bajo”.
La compañía no ha facilitado detalles sobre ninguna de las vulnerabilidades, aunque se sabe que ha pagado 4.000 dólares a cuatro investigadores independientes en recompensa por haberla informado de seis de ellas.
La única vulnerabilidad crítica sólo afecta a Chrome sobre Mac y dos de las de bajo nivel lo hacen únicamente al navegador cuando funciona sobre plataformas Linux. Otras brechas parcheadas en esta actualización incluyen un par de problemas relacionados con el análisis de elementos SVG (Scalable Vector Graphics) embebidos en los sitios Web, así como una vulnerabilidad de corrupción de memoria en el API de geolocalización.
Fuente Partnerzone.com
La brecha del API de geolocalización permitía a las aplicaciones web y a los desarrolladores de sitios identificaran la localización de un usuario, por ejemplo, sobre un servicio de mapas como Google Maps.
De los diez fallos de seguridad parcheados, uno ha sido clasificado como “crítico”, el máximo nivel de peligrosidad dentro de la escala de cuatro niveles de Google. Seis han sido valoradas como de nivel “alto”, el segundo grado de riesgo, y tres como de nivel “bajo”.
La compañía no ha facilitado detalles sobre ninguna de las vulnerabilidades, aunque se sabe que ha pagado 4.000 dólares a cuatro investigadores independientes en recompensa por haberla informado de seis de ellas.
La única vulnerabilidad crítica sólo afecta a Chrome sobre Mac y dos de las de bajo nivel lo hacen únicamente al navegador cuando funciona sobre plataformas Linux. Otras brechas parcheadas en esta actualización incluyen un par de problemas relacionados con el análisis de elementos SVG (Scalable Vector Graphics) embebidos en los sitios Web, así como una vulnerabilidad de corrupción de memoria en el API de geolocalización.
Fuente Partnerzone.com
La brecha del API de geolocalización permitía a las aplicaciones web y a los desarrolladores de sitios identificaran la localización de un usuario, por ejemplo, sobre un servicio de mapas como Google Maps.
Etiquetas:
actualizaciones,
Google
La batalla por las patentes de encriptación podría afectar a la seguridad de las bases de datos
El desarrollador de soluciones de seguridad de datos Protegrity ha demandado a varios fabricantes. De hecho, ha añadido nuevos nombres a una larga lista de compañías a las que quiere demandar alegando que han violado sus patentes de encriptación.
La primera compañía demandada fue Ingrian Networks, pero en mayo de este año se añadieron los nombres de Safenet, nuBridges y Voltage Security. Y la lista continuará, porque, “hemos invertido mucho en investigación, innovación y desarrollo de producto en nuestra tecnología patentada y estamos decididos a proteger esas inversiones”, ha declarado el CEO de Protegrity, Iain Kerr.
Protegrity acusa a las compañías demandadas de haber infringido múltiples patentes relacionadas con aspectos de alto nivel técnico, críticos a la hora de aplicar, gestionar y renovar elementos de la encriptación a la hora de proteger bases de datos.
Todas esas patentes parecen estar relacionadas con determinadas “formas de hacer las cosas”, lo que significa que Protegrity cree que tuvo esas ideas primero. Lo cierto es que esas patentes son controvertidas debido a que, en algunas circunstancias, sólo pueden hacerse las cosas de un limitado número de modos y, además, puede llegarse a esas conclusiones de maneras diferentes a lo largo del tiempo. El caso podría tener, por tanto, implicaciones en los sistemas de cifrado de bases de datos en general.
En el lado contrario, Protegrity se ve a sí misma como la líder en algunos conceptos sobre los que considera que tiene un derecho adquirido por haber sido una de las primeras en ponerlos en marcha.
“El trabajo de desarrollo e innovación de la compañía se remonta a mediados de los noventa, cuando la encriptación de bases de datos granulares se consideró inviable. Protegrity desafió el acuerdo común en aquel momento, cuando el simple control de acceso era suficiente para proteger datos críticos”, han declarado en una nota de prensa portavoces de la compañía.
Fuente partnerzone.com
La primera compañía demandada fue Ingrian Networks, pero en mayo de este año se añadieron los nombres de Safenet, nuBridges y Voltage Security. Y la lista continuará, porque, “hemos invertido mucho en investigación, innovación y desarrollo de producto en nuestra tecnología patentada y estamos decididos a proteger esas inversiones”, ha declarado el CEO de Protegrity, Iain Kerr.
Protegrity acusa a las compañías demandadas de haber infringido múltiples patentes relacionadas con aspectos de alto nivel técnico, críticos a la hora de aplicar, gestionar y renovar elementos de la encriptación a la hora de proteger bases de datos.
Todas esas patentes parecen estar relacionadas con determinadas “formas de hacer las cosas”, lo que significa que Protegrity cree que tuvo esas ideas primero. Lo cierto es que esas patentes son controvertidas debido a que, en algunas circunstancias, sólo pueden hacerse las cosas de un limitado número de modos y, además, puede llegarse a esas conclusiones de maneras diferentes a lo largo del tiempo. El caso podría tener, por tanto, implicaciones en los sistemas de cifrado de bases de datos en general.
En el lado contrario, Protegrity se ve a sí misma como la líder en algunos conceptos sobre los que considera que tiene un derecho adquirido por haber sido una de las primeras en ponerlos en marcha.
“El trabajo de desarrollo e innovación de la compañía se remonta a mediados de los noventa, cuando la encriptación de bases de datos granulares se consideró inviable. Protegrity desafió el acuerdo común en aquel momento, cuando el simple control de acceso era suficiente para proteger datos críticos”, han declarado en una nota de prensa portavoces de la compañía.
Fuente partnerzone.com
Etiquetas:
bases de datos,
encriptación,
Seguridad
miércoles, 15 de septiembre de 2010
Las contraseñas no garantizan ninguna protección si no estan bien configuradas
Un estudio de BitDefender pone de manifiesto lo sencillo que resulta encontrar datos relevantes de los cibernautas como cuentas de correo, nombres de usuario o contraseñas. Asimismo, también revela que un gran número de usuarios utiliza la misma password para acceder a su email y a su red social.
El estudio realizado por BitDefender muestra como más de 250.000 direcciones de correo electrónico, nombres de usuario y contraseñas, pueden ser encontradas fácilmente en Internet a través de comentarios, blogs, plataformas de colaboración torrents u otros canales. Asimismo, también revela que el 87% de esas direcciones de correo, nombres de usuario y contraseñas, seguían siendo válidas, de modo que cualquier podría acceder a ellas.
Además, un análisis detallado de las cuentas de correo mostró que un 75% de los usuarios utiliza la misma contraseña para acceder a su email que a su red social. Esto significa que en tres de cada cuatro casos, la información disponible en Internet no sirve sólo para acceder al correo de los usuarios, sino también a sus cuentas en redes como Facebook o Tuenti.
BitDefender advierte a los usuarios sobre los riesgos de seguridad que estos resultados implican y que van desde el robo de datos personales hasta el uso de la cuenta de correo o de la red social del usuario para enviar spam o malware.
Fuente partnerzone.com
El estudio realizado por BitDefender muestra como más de 250.000 direcciones de correo electrónico, nombres de usuario y contraseñas, pueden ser encontradas fácilmente en Internet a través de comentarios, blogs, plataformas de colaboración torrents u otros canales. Asimismo, también revela que el 87% de esas direcciones de correo, nombres de usuario y contraseñas, seguían siendo válidas, de modo que cualquier podría acceder a ellas.
Además, un análisis detallado de las cuentas de correo mostró que un 75% de los usuarios utiliza la misma contraseña para acceder a su email que a su red social. Esto significa que en tres de cada cuatro casos, la información disponible en Internet no sirve sólo para acceder al correo de los usuarios, sino también a sus cuentas en redes como Facebook o Tuenti.
BitDefender advierte a los usuarios sobre los riesgos de seguridad que estos resultados implican y que van desde el robo de datos personales hasta el uso de la cuenta de correo o de la red social del usuario para enviar spam o malware.
Fuente partnerzone.com
Etiquetas:
contraseña,
Seguridad
Microsoft parcha una vulnerabilidad explotada por Stuxnet
Este martes Microsoft ha lanzado una serie de actualizaciones para sus sistemas operativos, incluyendo una para parchar una vulnerabilidad antes desconocida que el gusano Stuxnet ya había comenzado a explotar para atacar a los internautas.
En total, Microsoft publicó nueve boletines de seguridad para solucionar 13 vulnerabilidades, cuatro de ellas críticas, que ponían en riesgo a sus usuarios.
Uno de los boletines de seguridad más importantes de esta serie es el denominado MS10-061, descubierto por expertos de Kaspersky Lab mientras investigaban el gusano Stuxnet. El gusano estaba explotando esta vulnerabilidad en Print Spooler, aprovechando que los expertos en seguridad todavía no la habían descubierto.
“Es muy difícil saber con exactitud lo que un programa malicioso va a hacer en una plataforma específica porque el comportamiento en cada plataforma es muy diferente, así que tuvimos que analizar el código byte por byte. (…) Pudimos lograrlo mucho más rápido trabajando en equipo, y el boletín es en esencia fruto de ello [del trabajo en equipo]”, dijo Maarten Van Horenbeeck, del Centro de Respuesta de Seguridad de Microsoft (MSRC).
Microsoft ha clasificado esta vulnerabilidad como “crítica” para Windows XP e “importante” para Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2. La vulnerabilidad permite que los atacantes tomen control del ordenador infectado, pero en XP la amenaza es mayor porque crea una cuenta para visitantes de forma automática cuando detecta a un usuario anónimo, a diferencia de los otros sistemas que piden que el usuario lo haga manualmente.
Mientras tanto, Microsoft está desarrollando un parche para otras dos vulnerabilidades que los expertos en seguridad también descubrieron mientras analizaban a Stuxnet. El gusano ya está explotando estas otras dos vulnerabilidades.
Fuente Viruslist.com
En total, Microsoft publicó nueve boletines de seguridad para solucionar 13 vulnerabilidades, cuatro de ellas críticas, que ponían en riesgo a sus usuarios.
Uno de los boletines de seguridad más importantes de esta serie es el denominado MS10-061, descubierto por expertos de Kaspersky Lab mientras investigaban el gusano Stuxnet. El gusano estaba explotando esta vulnerabilidad en Print Spooler, aprovechando que los expertos en seguridad todavía no la habían descubierto.
“Es muy difícil saber con exactitud lo que un programa malicioso va a hacer en una plataforma específica porque el comportamiento en cada plataforma es muy diferente, así que tuvimos que analizar el código byte por byte. (…) Pudimos lograrlo mucho más rápido trabajando en equipo, y el boletín es en esencia fruto de ello [del trabajo en equipo]”, dijo Maarten Van Horenbeeck, del Centro de Respuesta de Seguridad de Microsoft (MSRC).
Microsoft ha clasificado esta vulnerabilidad como “crítica” para Windows XP e “importante” para Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2. La vulnerabilidad permite que los atacantes tomen control del ordenador infectado, pero en XP la amenaza es mayor porque crea una cuenta para visitantes de forma automática cuando detecta a un usuario anónimo, a diferencia de los otros sistemas que piden que el usuario lo haga manualmente.
Mientras tanto, Microsoft está desarrollando un parche para otras dos vulnerabilidades que los expertos en seguridad también descubrieron mientras analizaban a Stuxnet. El gusano ya está explotando estas otras dos vulnerabilidades.
Fuente Viruslist.com
Etiquetas:
actualizaciones,
boletin microsoft,
microsoft,
Seguridad
Protegerse del exploit Adobe con EMET
Recientemente Microsoft ha lanzado EMET 2.0 que es una herramienta gratuita que implanta medidas de seguridad en las aplicaciones sin necesidad de ser compiladas de nuevo.
Utilizando esta herramienta es posible protegerse contra diferente tipos de exploits a ataques a aplicaciones de terceros y que generalmente son utilizadas sobre Windows.
Un ejemplo puede ser el reciente 0-day en Adobe Acrobat (uno de los cientos que abundan en las aplicaciones de Adobe). Para proteger Adobe Reader con EMET, el proceso es muy simple y se puede realizar por linea de comando o a través de su interface de la siguiente manera.
Descargar EMET (es gratuito) e instalarlo. Una vez instalado se ejecuta y por defecto EMET muestras las aplicaciones que se están ejecutando en ese momento y las medidas de protección que incorporan esas aplicaciones (DEP - Dynamic Data Execution Prevention, SEHOP - Structure Exception Handler Overwrite Protection, ASLR Space Layout Randomisation y Null Page Allocation)
Para proteger cualquier programa con EMET se debe agregar la aplicación deseada (botón "Configure Apps") y indicar que se desea protegerla:
A partir de ese momento cada vez que se ejecute dicha aplicación, la misma será controlada por EMET para evitar la ejecución arbitraria de código no autorizado. Este proceso se debe realizar por única vez con cada aplicación a proteger.
Fuente Segu-Info.com.ar
Utilizando esta herramienta es posible protegerse contra diferente tipos de exploits a ataques a aplicaciones de terceros y que generalmente son utilizadas sobre Windows.
Un ejemplo puede ser el reciente 0-day en Adobe Acrobat (uno de los cientos que abundan en las aplicaciones de Adobe). Para proteger Adobe Reader con EMET, el proceso es muy simple y se puede realizar por linea de comando o a través de su interface de la siguiente manera.
Descargar EMET (es gratuito) e instalarlo. Una vez instalado se ejecuta y por defecto EMET muestras las aplicaciones que se están ejecutando en ese momento y las medidas de protección que incorporan esas aplicaciones (DEP - Dynamic Data Execution Prevention, SEHOP - Structure Exception Handler Overwrite Protection, ASLR Space Layout Randomisation y Null Page Allocation)
Para proteger cualquier programa con EMET se debe agregar la aplicación deseada (botón "Configure Apps") y indicar que se desea protegerla:
A partir de ese momento cada vez que se ejecute dicha aplicación, la misma será controlada por EMET para evitar la ejecución arbitraria de código no autorizado. Este proceso se debe realizar por única vez con cada aplicación a proteger.
Fuente Segu-Info.com.ar
Falsa noticia de supuesta homosexualidad de Santos propaga Malware
Han reportado un caso de malware que se está propagando a través de un correo electrónico que dice provenir del popular diario El Tiempo de Colombia pero que en realidad conduce a la descarga de un troyano.
La supuesta noticia enviada por correo hace referencia a un video (inexistente) que probaría la homosexualidad del presidente Juan Manuel Santos de Colombia:
Al intentar hacer clic para ver el video, se descarga un archivo ejecutable dañino que infecta al sistema del usuario. El archivo se llama Juan_Manuel_Santos.avi.exe y se descarga desde http://[ELIMINADO].com/_files/bio/0/Juan_Manuel_Santos.php)
Fuente Segu-Info
La supuesta noticia enviada por correo hace referencia a un video (inexistente) que probaría la homosexualidad del presidente Juan Manuel Santos de Colombia:
Al intentar hacer clic para ver el video, se descarga un archivo ejecutable dañino que infecta al sistema del usuario. El archivo se llama Juan_Manuel_Santos.avi.exe y se descarga desde http://[ELIMINADO].com/_files/bio/0/Juan_Manuel_Santos.php)
Fuente Segu-Info
Boletin de Septiembre de Seguridad Publicado por Microsoft
El Boletin de Seguridad de Microsoft publicado ayer, coincidiendo con su programa de actualizaciones de seguridad los segundos martes de cada mes, esta compuesto por 9 boletines, 4 de ellos catalogados como criticos y 5 catalogados como importantes. Este boletin corrige muchas vulnerabilidades reportadas en los ultimos dias.
Los boletines criticos son los siguientes:
MS10-061
Vulnerability in Print Spooler Service Could Allow Remote Code Execution (2347290)
MS10-062
Vulnerability in MPEG-4 Codec Could Allow Remote Code Execution (975558)
MS10-063
Vulnerability in Unicode Scripts Processor Could Allow Remote Code Execution (2320113)
MS10-064
Vulnerability in Microsoft Outlook Could Allow Remote Code Execution (2315011)
Los boletines importantes son:
MS10-065
Vulnerabilities in Microsoft Internet Information Services (IIS) Could Allow Remote Code Execution (2267960)
MS10-066
Vulnerability in Remote Procedure Call Could Allow Remote Code Execution (982802)
MS10-067
Vulnerability in WordPad Text Converters Could Allow Remote Code Execution (2259922)
MS10-068
Vulnerability in Local Security Authority Subsystem Service Could Allow Elevation of Privilege (983539)
MS10-69
Vulnerability in Windows Client/Server Runtime Subsystem Could Allow Elevation of Privilege (2121546)
Los boletines criticos son los siguientes:
MS10-061
Vulnerability in Print Spooler Service Could Allow Remote Code Execution (2347290)
MS10-062
Vulnerability in MPEG-4 Codec Could Allow Remote Code Execution (975558)
MS10-063
Vulnerability in Unicode Scripts Processor Could Allow Remote Code Execution (2320113)
MS10-064
Vulnerability in Microsoft Outlook Could Allow Remote Code Execution (2315011)
Los boletines importantes son:
MS10-065
Vulnerabilities in Microsoft Internet Information Services (IIS) Could Allow Remote Code Execution (2267960)
MS10-066
Vulnerability in Remote Procedure Call Could Allow Remote Code Execution (982802)
MS10-067
Vulnerability in WordPad Text Converters Could Allow Remote Code Execution (2259922)
MS10-068
Vulnerability in Local Security Authority Subsystem Service Could Allow Elevation of Privilege (983539)
MS10-69
Vulnerability in Windows Client/Server Runtime Subsystem Could Allow Elevation of Privilege (2121546)
Etiquetas:
actualizaciones,
boletin microsoft,
Seguridad
Formas de detectar el ROGUE
Para aquellos que no lo saben, se llama rogue al software que simula ser una aplicación antivirus o de seguridad, cuando, en realidad, busca instalar malware en el equipo u obtener un crédito económico a raíz de la venta de la aplicación en cuestión. Es importante destacar que la aplicación no brinda protección alguna, solo simula analizar el equipo y desinfectarlo.
Entonces, ¿cómo identificar un rogue? Los puntos a tener en cuenta son los siguientes:
1. La amenaza por lo general se descarga sin autorización del usuario o solicita su descarga de forma muy perseverante luego de ingresar a un sitio donde se realiza un falso análisis online de nuestro equipo. Dicha simulación de análisis siempre detecta amenazas e insiste en que nuestro equipo se encuentra en peligro.
2. Al realizar la exploración desde la supuesta aplicación de seguridad, siempre se encuentra una gran cantidad de amenazas (obviamente esto no es cierto), pero casi nunca se detalla puntualmente qué archivos se encontrarían infectados.
3. Al querer realizar la limpieza de las amenazas el programa, el mismo lo “invitara” a comprar la licencia del producto, generalmente por medio de un pop-up que lo llevará a un sitio donde puede realizar la transacción con tarjeta de crédito. Es muy importante que bajo ninguna circunstancia se ingresen dichos datos.
4. El rogue, una vez instalado, tiende a realizar ciertas modificaciones a nuestro sistema operativo para enfatizar el riesgo que posee el mismo y asi incentivar al usuario a realizar la compra del producto. Estos cambios incluyen, por ejemplo, la modificación del fondo de pantalla, constantes y molestos avisos de alertas de seguridad, modificaciones a la pantalla de inicio del sistema operativo e incluso modificaciones a la barra de inicio.
5. Si se intenta desinstalar la herramienta desde la opción “Agregar o quitar programas” del panel de control, al reiniciar el equipo la misma se vuelve a instalarse de forma automática.
5 formas de identificar un rogue
De poseer una solución antivirus con detección proactiva, al intentar realizar la descarga de la amenaza se disparará una alerta del producto informando que el mismo se encuentra infectado con Win32/Adware.[nombre_del_rogue].
Es por esto que siempre es recomendable utilizar herramientas de seguridad reconocidas en el mercado y comprobar su legitimidad en sitios populares de teste independiente como son Virus Bulletin y http://www.av-comparatives.org/, entre otros.
fuente: blogs.eset-la.com
Entonces, ¿cómo identificar un rogue? Los puntos a tener en cuenta son los siguientes:
1. La amenaza por lo general se descarga sin autorización del usuario o solicita su descarga de forma muy perseverante luego de ingresar a un sitio donde se realiza un falso análisis online de nuestro equipo. Dicha simulación de análisis siempre detecta amenazas e insiste en que nuestro equipo se encuentra en peligro.
2. Al realizar la exploración desde la supuesta aplicación de seguridad, siempre se encuentra una gran cantidad de amenazas (obviamente esto no es cierto), pero casi nunca se detalla puntualmente qué archivos se encontrarían infectados.
3. Al querer realizar la limpieza de las amenazas el programa, el mismo lo “invitara” a comprar la licencia del producto, generalmente por medio de un pop-up que lo llevará a un sitio donde puede realizar la transacción con tarjeta de crédito. Es muy importante que bajo ninguna circunstancia se ingresen dichos datos.
4. El rogue, una vez instalado, tiende a realizar ciertas modificaciones a nuestro sistema operativo para enfatizar el riesgo que posee el mismo y asi incentivar al usuario a realizar la compra del producto. Estos cambios incluyen, por ejemplo, la modificación del fondo de pantalla, constantes y molestos avisos de alertas de seguridad, modificaciones a la pantalla de inicio del sistema operativo e incluso modificaciones a la barra de inicio.
5. Si se intenta desinstalar la herramienta desde la opción “Agregar o quitar programas” del panel de control, al reiniciar el equipo la misma se vuelve a instalarse de forma automática.
5 formas de identificar un rogue
De poseer una solución antivirus con detección proactiva, al intentar realizar la descarga de la amenaza se disparará una alerta del producto informando que el mismo se encuentra infectado con Win32/Adware.[nombre_del_rogue].
Es por esto que siempre es recomendable utilizar herramientas de seguridad reconocidas en el mercado y comprobar su legitimidad en sitios populares de teste independiente como son Virus Bulletin y http://www.av-comparatives.org/, entre otros.
fuente: blogs.eset-la.com
Rogue: Malware que no pasa de moda
Rogue es un software que, simulando ser una aplicación anti-malware (o de seguridad), realiza justamente los efectos contrarios a estas: instalar malware. Por lo general, son ataques que muestran en la pantalla del usuario advertencias llamativas respecto a la existencia de infecciones en el equipo del usuario. La persona, es invitada a descargar una solución o, en algunos casos, a pagar por ella. Los objetivos, según el caso, varían desde instalar malware adicional en el equipo para obtener información confidencial o, directamente, la obtención de dinero a través del ataque.
En cualquiera de los casos, es un ataque complementado por una alta utilización de Ingeniería Social, utilizando mensajes fuertes y exagerando las consecuencias de la supuesta amenaza. Vocabulario informal, palabras escritas en mayúscula, descripción detallada de las consecuencias, e invitaciones a adquirir un producto, son algunas de las principales características de esta amenaza.
Muchas variantes de rogue, además, simulan hacer un escaneo del sistema, con barra de progreso incluida y minuciosos detalles respecto a la extensa cantidad de amenazas que se encuentran en el ordenador. Los resultados nunca son alentadores y obviamente siempre se encuentra un número de amenazas importantes para el ordenador y, además, se detallan las peligrosas consecuencias de no solucionar el problema con rapidez.
Para detectar este ataque, como usuario, es importante tener en cuenta que los mensajes de amenazas en nuestro ordenador deben prevenir únicamente de la solución anti-malware que esté instalada y que, por lo general, las empresas de seguridad no utilizan carteles extremadamente llamativos y poco formales para indicar la presencia de amenazas.
Fuente ESET
En cualquiera de los casos, es un ataque complementado por una alta utilización de Ingeniería Social, utilizando mensajes fuertes y exagerando las consecuencias de la supuesta amenaza. Vocabulario informal, palabras escritas en mayúscula, descripción detallada de las consecuencias, e invitaciones a adquirir un producto, son algunas de las principales características de esta amenaza.
Muchas variantes de rogue, además, simulan hacer un escaneo del sistema, con barra de progreso incluida y minuciosos detalles respecto a la extensa cantidad de amenazas que se encuentran en el ordenador. Los resultados nunca son alentadores y obviamente siempre se encuentra un número de amenazas importantes para el ordenador y, además, se detallan las peligrosas consecuencias de no solucionar el problema con rapidez.
Para detectar este ataque, como usuario, es importante tener en cuenta que los mensajes de amenazas en nuestro ordenador deben prevenir únicamente de la solución anti-malware que esté instalada y que, por lo general, las empresas de seguridad no utilizan carteles extremadamente llamativos y poco formales para indicar la presencia de amenazas.
Fuente ESET
martes, 14 de septiembre de 2010
Se descubre otro 0 day en Adobe Acrobat muy sofisticado
A estas alturas, ya no es noticia que se descubra un problema de seguridad en los gestores de PDF de Adobe previamente desconocido y siendo aprovechado por los atacantes. Últimamente, es el día a día de esta compañía. Este último fallo de seguridad destaca porque es muy sofisticado, elude las protecciones de los últimos Windows, y además está firmado digitalmente.
Se ha descubierto un nuevo ataque contra las últimas versiones de Adobe Reader y Adobe Acrobat. Se trata de un desbordamiento de memoria intermedia al realizar una llamada a la función strcat en la libraría CoolType.dll y permite a un atacante ejecutar código en el sistema si la víctima abre (con estos programas de Adobe) un fichero PDF que utilice un tipo de letra manipulada. El fallo es público, está siendo aprovechado por atacantes en estos momentos y Adobe ya lo ha reconocido. La propia compañía confirma que no existe parche ni contramedida propia disponible (habitualmente era suficiente con desactivar JavaScript para, al menos, mitigar el problema, pero no es el caso en esta ocasión). Ha actualizado su alerta para indicar que, gracias a Microsoft's Enhanced Mitigation Evaluation Toolkit (EMET) es posible bloquear el ataque.
Este escenario, aunque potencialmente muy peligroso, no es sorprendente ni nuevo. Sorprende sin embargo las peculiaridades con las que los atacantes han aprovechado el fallo para ejecutar el código arbitrario (que, evidentemente, resulta en malware). Lo más llamativo es que los atacantes han trabajado a fondo para poder aprovechar la vulnerabilidad usando técnicas muy parecidas a dos de las que recientemente hemos hablado en una-al-día: Las que usara hace poco Rubén Santamarta para aprovechar un fallo en Quicktime; y el uso de certificados reales para firmar el malware, como el "reciente" troyano Stuxnet.
A primera vista, el fallo no es sencillo de explotar. Al desbordar la memoria, la pila queda en un estado no demasiado "ideal" para utilizar la dirección de retorno adecuada y ejecutar código. Para eludir estos problemas, los atacantes han usado una librería icucnv36.dll que no soporta ASLR (básicamente, siempre está en la misma zona de memoria y esto sirve de referencia para lanzar código) y han usado una técnica conocida como ROP (Return oriented programming). Hasta aquí, el ataque es muy parecido al que descubrió Santamarta en Quicktime, y demuestra una gran habilidad del atacante. Para colmo en este caso, dado que la librería no da mucho juego (no importa funciones interesantes que permitan fácilmente la llamada a código) el atacante se vale de otras menos potentes que, combinadas, consiguen su objetivo. Todo un alarde de conocimientos.
Una vez ejecutado, el binario que ejecutan los atacantes (incrustado en el PDF, aunque también descarga otros) está firmado con un certificado real y robado, igual que hizo Stuxnet hace un par de meses (se trata del malware que se ejecutaba gracias a la infame vulnerabilidad en los archivos LNK de Windows). En este caso se trata de un certificado robado a Vantage Credit Union. Otro toque de profesionalidad. Hay quien pronostica que el malware firmado será tendencia en 2011.
Adobe tiene previsto su siguiente ciclo de actualizaciones en octubre, pero (una vez más), seguro que publica un parche antes. Desde hace tiempo, el periodo de tres meses que eligieron para publicar parches les viene demasiado largo, y las excepciones en las que han tenido que romper el ciclo y publicar parches "a destiempo" han sido numerosas.
Fuente Hispasec.com
Se ha descubierto un nuevo ataque contra las últimas versiones de Adobe Reader y Adobe Acrobat. Se trata de un desbordamiento de memoria intermedia al realizar una llamada a la función strcat en la libraría CoolType.dll y permite a un atacante ejecutar código en el sistema si la víctima abre (con estos programas de Adobe) un fichero PDF que utilice un tipo de letra manipulada. El fallo es público, está siendo aprovechado por atacantes en estos momentos y Adobe ya lo ha reconocido. La propia compañía confirma que no existe parche ni contramedida propia disponible (habitualmente era suficiente con desactivar JavaScript para, al menos, mitigar el problema, pero no es el caso en esta ocasión). Ha actualizado su alerta para indicar que, gracias a Microsoft's Enhanced Mitigation Evaluation Toolkit (EMET) es posible bloquear el ataque.
Este escenario, aunque potencialmente muy peligroso, no es sorprendente ni nuevo. Sorprende sin embargo las peculiaridades con las que los atacantes han aprovechado el fallo para ejecutar el código arbitrario (que, evidentemente, resulta en malware). Lo más llamativo es que los atacantes han trabajado a fondo para poder aprovechar la vulnerabilidad usando técnicas muy parecidas a dos de las que recientemente hemos hablado en una-al-día: Las que usara hace poco Rubén Santamarta para aprovechar un fallo en Quicktime; y el uso de certificados reales para firmar el malware, como el "reciente" troyano Stuxnet.
A primera vista, el fallo no es sencillo de explotar. Al desbordar la memoria, la pila queda en un estado no demasiado "ideal" para utilizar la dirección de retorno adecuada y ejecutar código. Para eludir estos problemas, los atacantes han usado una librería icucnv36.dll que no soporta ASLR (básicamente, siempre está en la misma zona de memoria y esto sirve de referencia para lanzar código) y han usado una técnica conocida como ROP (Return oriented programming). Hasta aquí, el ataque es muy parecido al que descubrió Santamarta en Quicktime, y demuestra una gran habilidad del atacante. Para colmo en este caso, dado que la librería no da mucho juego (no importa funciones interesantes que permitan fácilmente la llamada a código) el atacante se vale de otras menos potentes que, combinadas, consiguen su objetivo. Todo un alarde de conocimientos.
Una vez ejecutado, el binario que ejecutan los atacantes (incrustado en el PDF, aunque también descarga otros) está firmado con un certificado real y robado, igual que hizo Stuxnet hace un par de meses (se trata del malware que se ejecutaba gracias a la infame vulnerabilidad en los archivos LNK de Windows). En este caso se trata de un certificado robado a Vantage Credit Union. Otro toque de profesionalidad. Hay quien pronostica que el malware firmado será tendencia en 2011.
Adobe tiene previsto su siguiente ciclo de actualizaciones en octubre, pero (una vez más), seguro que publica un parche antes. Desde hace tiempo, el periodo de tres meses que eligieron para publicar parches les viene demasiado largo, y las excepciones en las que han tenido que romper el ciclo y publicar parches "a destiempo" han sido numerosas.
Fuente Hispasec.com
Etiquetas:
adobe,
falla dia cero,
vulnerabilidad
Protección de Laptos Ante robos
Debido a algunas consultas en relación a este tipo de incidentes Segu-Info realizó un pequeño lab asociado a la evaluación de 2 productos opensource referidos a la protección/recupero de laptops:
1. PreyProject @ www.preyproject.com
2. The Laptop Lock @ www.thelaptoplock.com
El primero dentro de todo es una solución nueva y el segundo ya tiene un tiempo.
En ambos productos es necesario registrarse, y a través de la instalación de un agente, dar de alta los equipos que quieren monitorearse. En este sentido PreyProject provee muchas más opciones de monitoreo que The Laptop Lock, sin embargo este último provee acciones al denunciar robada la laptop, que el otro producto no provee, por ejemplo, borrar una determinada carpeta, cifrar el contenido de una carpeta, etc.
En los dos productos es necesario denunciar el equipo robado a través de la interfaz web, lo cual dispara las distintas acciones que hayamos configurado en el agente.
A modo de ejemplo les comento algunas acciones:
Preyproject: genera un mensaje en el equipo robado con el texto que nosotros definamos, por ejemplo "Este equipo ha sido extraviado, contáctese con "x"", además se puede disparar una sirena que comienza a reproducirse en el equipo. Una característica importante es que toma una captura de pantalla de la sesión activa, el usuario logueado, los procesos y direccionamiento público y privado. El direccionamiento lo trata de ubicar geográficamente (esto último no está funcionando muy bien). En apple y linux puede cambiar el wallpaper con algún texto que nosotros definamos. Con toda esta información genera un reporte que luego puede ser visualizado vía web, también envía alertas por mail anunciando que el contenido está disponible.
El agente puede configurarse para que trabaje cada "n" cantidad de minutos, en el equipo evaluado no se ha notado caída de performance por el funcionamiento del producto.
Preyproject utiliza unix (cron, bash), sin embargo toda la configuración es a través de un GUI junto con la instalación y desinstalación. Cerrando la sesión activa, e iniciando otra, también ha notificado que el equipo ha sido robado y ha generado un informe con las características antes mencionadas.
Si el usuario logueado posee permisos privilegiados también informa el Default Gateway y la Mac Address.
The Laptop Lock: el producto es mucho más simple que Preyproject, sin embargo provee medidas de protección reactivas que favorecen el resguardo de la información que pudiera contener el equipo robado. Cifrar archivos o carpetas, reproducir un comando, etc son las facilidades que provee este producto, la protección del agente a través de una contraseña es una medida de seguridad que lo diferencia de Preyproject. Los reportes contienen la IP involucrada y un link hacia DNStuff para realizar un WhoIs, etc, pero no tiene el mismo detalle que Preyproject en cuanto a los reportes.
Conclusiones
Los 2 productos son buenos, tienen diferencias que permiten optar por uno u otro según el tipo de tratamiento/protección que queramos implementar. Es importante mencionar que la utilización de estos productos debe estar acompañada de políticas de seguridad asociadas a la gestión de los equipos portables/móviles, dado que un usuario con permisos de administración podría desinstalar el producto. Adicionalmente dado que estos productos requieren de internet para comunicarse con el web service, si no tienen conexión no se podrá relevar ninguna información.
Estos productos no reemplazan una solución de cifrado (si la clasificación de la información lo amerita), sino que son un complemento a estas medidas y podrían facilitar el recupero de los equipos.
Por otro lado, políticas asociadas al uso de la información podrían disminuir la posibilidad de que en los equipos portables se encuentre información de negocio que tuviera algún valor para un posible atacante.
En fin estos productos no son infalibles, pero sin dudas, en conjunto con otros controles podrían ser muy útiles para el recupero de equipos robados.
Fuente segu-info.com.ar
1. PreyProject @ www.preyproject.com
2. The Laptop Lock @ www.thelaptoplock.com
El primero dentro de todo es una solución nueva y el segundo ya tiene un tiempo.
En ambos productos es necesario registrarse, y a través de la instalación de un agente, dar de alta los equipos que quieren monitorearse. En este sentido PreyProject provee muchas más opciones de monitoreo que The Laptop Lock, sin embargo este último provee acciones al denunciar robada la laptop, que el otro producto no provee, por ejemplo, borrar una determinada carpeta, cifrar el contenido de una carpeta, etc.
En los dos productos es necesario denunciar el equipo robado a través de la interfaz web, lo cual dispara las distintas acciones que hayamos configurado en el agente.
A modo de ejemplo les comento algunas acciones:
Preyproject: genera un mensaje en el equipo robado con el texto que nosotros definamos, por ejemplo "Este equipo ha sido extraviado, contáctese con "x"", además se puede disparar una sirena que comienza a reproducirse en el equipo. Una característica importante es que toma una captura de pantalla de la sesión activa, el usuario logueado, los procesos y direccionamiento público y privado. El direccionamiento lo trata de ubicar geográficamente (esto último no está funcionando muy bien). En apple y linux puede cambiar el wallpaper con algún texto que nosotros definamos. Con toda esta información genera un reporte que luego puede ser visualizado vía web, también envía alertas por mail anunciando que el contenido está disponible.
El agente puede configurarse para que trabaje cada "n" cantidad de minutos, en el equipo evaluado no se ha notado caída de performance por el funcionamiento del producto.
Preyproject utiliza unix (cron, bash), sin embargo toda la configuración es a través de un GUI junto con la instalación y desinstalación. Cerrando la sesión activa, e iniciando otra, también ha notificado que el equipo ha sido robado y ha generado un informe con las características antes mencionadas.
Si el usuario logueado posee permisos privilegiados también informa el Default Gateway y la Mac Address.
The Laptop Lock: el producto es mucho más simple que Preyproject, sin embargo provee medidas de protección reactivas que favorecen el resguardo de la información que pudiera contener el equipo robado. Cifrar archivos o carpetas, reproducir un comando, etc son las facilidades que provee este producto, la protección del agente a través de una contraseña es una medida de seguridad que lo diferencia de Preyproject. Los reportes contienen la IP involucrada y un link hacia DNStuff para realizar un WhoIs, etc, pero no tiene el mismo detalle que Preyproject en cuanto a los reportes.
Conclusiones
Los 2 productos son buenos, tienen diferencias que permiten optar por uno u otro según el tipo de tratamiento/protección que queramos implementar. Es importante mencionar que la utilización de estos productos debe estar acompañada de políticas de seguridad asociadas a la gestión de los equipos portables/móviles, dado que un usuario con permisos de administración podría desinstalar el producto. Adicionalmente dado que estos productos requieren de internet para comunicarse con el web service, si no tienen conexión no se podrá relevar ninguna información.
Estos productos no reemplazan una solución de cifrado (si la clasificación de la información lo amerita), sino que son un complemento a estas medidas y podrían facilitar el recupero de los equipos.
Por otro lado, políticas asociadas al uso de la información podrían disminuir la posibilidad de que en los equipos portables se encuentre información de negocio que tuviera algún valor para un posible atacante.
En fin estos productos no son infalibles, pero sin dudas, en conjunto con otros controles podrían ser muy útiles para el recupero de equipos robados.
Fuente segu-info.com.ar
Etiquetas:
protección de información
Suscribirse a:
Entradas (Atom)