El Gobierno de Estados Unidos ha cerrado por error 84.000 dominios que se vieron acusados de distribuir pornografía infantil. El problema se produjo al bloquear un dominio de un proveedor de acceso, Free DNS, del que dependían estos miles de subdominios. Los propietarios de los mismos se vieron sorprendidos al ver su página modificada y en la que aparecía un aviso oficial en el que se decía que la publicidad, transporte, distribución, cobro y posesión de pornografía infantil constituye un delito federal que conlleva penas de hasta treinta años de prisión y multas de 250.000 dólares. Las autoridades estadounidenses acudieron a un juez para ordenar el bloqueo de determinados dominios, diez, pero un error provocó el cierre de un dominio que albergaba al resto de 84.000 páginas web.
El propietario de FreeDNS hizo pública una nota en la que afirmaba que su empresa nunca había alojado este tipo de abusos y que estaban trabajando para remediar lo más rápidamente posible la situación.
Al cabo de unas horas, el dominio fue reabierto y progresivamente los subdominios van recuperando su fisonomía habitual. Con todo, se calcula que se tardará tres días en reestablecer la normalidad dada la cantidad de sitios afectados. Muchos de los dominios afectados pertenecen a particulares o a pequeñas empresas. Algunos de ellos se han apresurado a colocar en su web un aviso en el que niegan que mantengan ninguna práctica relacionada con la pornografía infantil.
Estre episodio se produce en el marco de una campaña de bloqueo de sitios de Internet acusados de pornografía, falsificación o vulneración de la propiedad intelectual. Esta semana en la cuarta oleada de bloqueos, las autoridades cerraron 18 sitios acusados de vender productos falsificados.
EE UU aprovecha su competencia en el control de los dominios de primer nivel (como .com o .net) para anular el registro de los dominios de los sitios sospechosos. En una anterior oleada cerraron el sitio español rojadirecta que ofrecía enlaces a retransmisiones deportivas en directo propiedad de emisoras.
Al menos 119 sitios han sido confiscados en el marco de esta operación. Las webs afectadas van desde las que ofrecen visionados en streaming (sin descarga) a tiendas de material sospechoso de estar falsificado.
Estas actuaciones han reabierto la polémica sobre el control que puede ejercer Estados Unidos sobre la gestión de los dominios en Internet. La entidad que los regula, ICANN, sociedad sin ánimo de lucro que se rige por las leyes de California, tiene esta competencia gracias a una cesión del departamento de Comercio de Estados Unidos que, por razones históricas del nacimiento de Internet, tiene el control de los mismos.
Fuente elpais.com
Comunidad dedicada a la seguridad de información (noticias, foros, charlas, actualidad)
Bienvenido a la Comunidad Ethical Shields
Ethical Shields les da la bienvenida a nuestra comunidad, queremos invitarlos a compartir sus experiencias, noticias en el ambito de seguridad de información. Esta comunidad se enriquece con sus comentarios, y en ella estaremos publicando todo lo relacionado con esta importante tema. Aqui podras ver las ultimas noticias de interes, compatir con otros profesionales y estudiantes del area, experiencias, casos, anecdotas y podras estar en contactos con nuestros especialistas en el area.
Para mas información sobre nosotros visita www.ethicalshields.com
Para mas información sobre nosotros visita www.ethicalshields.com
viernes, 18 de febrero de 2011
EE UU bloquea por error 84.000 sitios
Etiquetas:
noticia
lunes, 14 de febrero de 2011
Google incluye un sistema avanzado de seguridad
Una nueva mejora en la protección de las cuentas de Google añade más seguridad a nuestra información confidencial.
La proliferación de ataques y herramientas con las que obtener de forma fraudulenta las contraseñas que abren las puertas de acceso a nuestras cuentas de Google y por tanto a la información sensible que en ellas se guarda, ha llevado a la implementación de una nueva sesión de inicio con mayor garantía.
Tras una primera prueba con éxito meses atrás en Google Apps, se ha decidido incluir un nuevo inicio de sesión que junto al tradicional nombre de usuario y contraseña nos va a solicitar un código de verificación que Google nos enviará a través de SMS a nuestro teléfono móvil.
Este nuevo sistema avanzado de seguridad de acceso a cuentas de Google, no viene habilitado por defecto sino que todos aquellos usuarios interesados pueden activarlo desde Cuentas de Google-> Personal Settings -> Using 2-step verification.
El código facilitado con una duración de 30 días y que podrá ser utilizado para acceder a todos los servicios de Google ya ha empezado a implementarse en todas las cuentas de usuarios norteamericanos y pronto llegará al resto del mundo.
Fuente Desarrolloweb.com
La proliferación de ataques y herramientas con las que obtener de forma fraudulenta las contraseñas que abren las puertas de acceso a nuestras cuentas de Google y por tanto a la información sensible que en ellas se guarda, ha llevado a la implementación de una nueva sesión de inicio con mayor garantía.
Tras una primera prueba con éxito meses atrás en Google Apps, se ha decidido incluir un nuevo inicio de sesión que junto al tradicional nombre de usuario y contraseña nos va a solicitar un código de verificación que Google nos enviará a través de SMS a nuestro teléfono móvil.
Este nuevo sistema avanzado de seguridad de acceso a cuentas de Google, no viene habilitado por defecto sino que todos aquellos usuarios interesados pueden activarlo desde Cuentas de Google-> Personal Settings -> Using 2-step verification.
El código facilitado con una duración de 30 días y que podrá ser utilizado para acceder a todos los servicios de Google ya ha empezado a implementarse en todas las cuentas de usuarios norteamericanos y pronto llegará al resto del mundo.
Fuente Desarrolloweb.com
Facebook y la (in)seguridad: Un resumen (I)
Facebook ha llegado a los 600 millones de usuarios y sin duda, se ha convertido en un punto de referencia en Internet. En los últimos meses, además, la seguridad en Facebook ha dado demasiados dolores de cabeza a la compañía que, muy tímidamente y a pequeños pasos, intenta mejorar la protección del portal.
El problema de Facebook ha sido, históricamente, la privacidad. Un punto de encuentro tan popular donde 600 millones de personas introducen tantos datos y fotografías requiere que sus usuarios confíen en el portal al máximo y además de unos mecanismos y una infraestructura adecuados que garantice su intimidad. Y Facebook está proporcionando esta seguridad... poco a poco. Como es habitual, han aprendido a base de ensayo y error, y cada error ha sido un pequeño golpe a su imagen. Aunque sí es cierto que no ha sido el centro de enormes escándalos y que goza de una salud envidiable, sí que se ha visto obligada a ponerse manos a la obra para mejorar la seguridad global de portal. El 26 de enero anunciaban mejoras en este aspecto, curiosamente, tras sufrir una serie de problemas y ataques. Repasemos algunos hitos interesantes.
El 26 de enero Alex Rice, responsable de seguridad de Facebook anunciaba dos mejoras importantes con respecto a la seguridad.
* La primera es el uso de conexión segura (SSL) no solo a la hora de introducir la clave, sino durante toda la sesión. Esto es una medida que llega muy tarde, y en respuesta directa a herramientas como Firesheep. Se trata de un plugin para Firefox aparecido en octubre de 2010 que aúna varias herramientas de forma muy cómoda. Pone la tarjeta de red del sistema en modo promiscuo (a "escuchar" todo el tráfico de red local no segmentada) y extrae automáticamente los datos que le interesan (la cookie de sesión) de ciertas páginas no protegidas (entre ellas Facebook) y permite que un usuario suplante la identidad de otros que naveguen en la misma red local. Esto ya se puede hacer con un sniffer, un proxy local, envenenamiento ARP, etc... pero Firesheep demostró lo fácil que puede resultar para cualquiera robar la sesión a través de un solo click. La solución es también sencilla: cifrar toda la información. Facebook ha reaccionado permitiendo que toda la sesión se base en SSL, pero de forma opcional, lo que todavía deja en manos del usuario la decisión de que su sesión permanezca protegida o no. Es una medida necesaria pero insuficiente.
Además existe Borogove, otro programa que facilita con mecanismos similares la obtención de conversaciones de chat dentro de Facebook. Aunque se supone que debería estar protegido por el cifrado, el sistema de chateo no funciona correctamente bajo el cifrado.
* Autenticación Social. Esto, en resumen, es eliminar el tradicional CAPTCHA y utilizar el reconocimiento de caras de amigos para demostrar que eres un ser humano. Troyanos como koobface han demostrado que los CAPTCHA no son infalibles. Recordemos que el troyano Koobface, "secuestraba" el sistema y pedía a la víctima la resolución de varios CAPTCHA de Gmail. Así conseguía crear cuentas fantasma automáticamente para poder difundirse mejor, entre otros objetivos. Usaba a sus víctimas como esclavos o "CAPTCHA brokers".
Estas dos nuevas medidas se añaden a un continuo esfuerzo en Facebook por demostrar que están comprometidos con la seguridad y la privacidad de los datos. Ya anunciaron mejoras en marzo de 2008 (introdujo la categoría "amigos de amigos"), en diciembre de 2009 (facilitó los controles para proteger la seguridad de las cuentas), etc...
Fuente HISPASEC.com
El problema de Facebook ha sido, históricamente, la privacidad. Un punto de encuentro tan popular donde 600 millones de personas introducen tantos datos y fotografías requiere que sus usuarios confíen en el portal al máximo y además de unos mecanismos y una infraestructura adecuados que garantice su intimidad. Y Facebook está proporcionando esta seguridad... poco a poco. Como es habitual, han aprendido a base de ensayo y error, y cada error ha sido un pequeño golpe a su imagen. Aunque sí es cierto que no ha sido el centro de enormes escándalos y que goza de una salud envidiable, sí que se ha visto obligada a ponerse manos a la obra para mejorar la seguridad global de portal. El 26 de enero anunciaban mejoras en este aspecto, curiosamente, tras sufrir una serie de problemas y ataques. Repasemos algunos hitos interesantes.
El 26 de enero Alex Rice, responsable de seguridad de Facebook anunciaba dos mejoras importantes con respecto a la seguridad.
* La primera es el uso de conexión segura (SSL) no solo a la hora de introducir la clave, sino durante toda la sesión. Esto es una medida que llega muy tarde, y en respuesta directa a herramientas como Firesheep. Se trata de un plugin para Firefox aparecido en octubre de 2010 que aúna varias herramientas de forma muy cómoda. Pone la tarjeta de red del sistema en modo promiscuo (a "escuchar" todo el tráfico de red local no segmentada) y extrae automáticamente los datos que le interesan (la cookie de sesión) de ciertas páginas no protegidas (entre ellas Facebook) y permite que un usuario suplante la identidad de otros que naveguen en la misma red local. Esto ya se puede hacer con un sniffer, un proxy local, envenenamiento ARP, etc... pero Firesheep demostró lo fácil que puede resultar para cualquiera robar la sesión a través de un solo click. La solución es también sencilla: cifrar toda la información. Facebook ha reaccionado permitiendo que toda la sesión se base en SSL, pero de forma opcional, lo que todavía deja en manos del usuario la decisión de que su sesión permanezca protegida o no. Es una medida necesaria pero insuficiente.
Además existe Borogove, otro programa que facilita con mecanismos similares la obtención de conversaciones de chat dentro de Facebook. Aunque se supone que debería estar protegido por el cifrado, el sistema de chateo no funciona correctamente bajo el cifrado.
* Autenticación Social. Esto, en resumen, es eliminar el tradicional CAPTCHA y utilizar el reconocimiento de caras de amigos para demostrar que eres un ser humano. Troyanos como koobface han demostrado que los CAPTCHA no son infalibles. Recordemos que el troyano Koobface, "secuestraba" el sistema y pedía a la víctima la resolución de varios CAPTCHA de Gmail. Así conseguía crear cuentas fantasma automáticamente para poder difundirse mejor, entre otros objetivos. Usaba a sus víctimas como esclavos o "CAPTCHA brokers".
Estas dos nuevas medidas se añaden a un continuo esfuerzo en Facebook por demostrar que están comprometidos con la seguridad y la privacidad de los datos. Ya anunciaron mejoras en marzo de 2008 (introdujo la categoría "amigos de amigos"), en diciembre de 2009 (facilitó los controles para proteger la seguridad de las cuentas), etc...
Fuente HISPASEC.com
El iPhone se puede ‘crackear’ en menos de seis minutos
Un grupo de investigadores alemanes ha descubierto un agujero en Apple iOS que podría permitir que un hacker extraiga las credenciales de acceso de un dispositivo comprometido.
Una presentación de Fraunhofer SIT (PDF) sugiere que un ciberdelincuente que ha robado un iPhone, iPad o iPod Touch podría superar no sólo la protección de código de acceso del propio dispositivo sino acceder a otras contraseñas almacenadas en la herramienta de cadena de claves que gestiona las credenciales de acceso.
Los investigadores aseguran que el procedimiento se puede realizar en un dispositivo parcheado y sin modificar que esté bloqueado con un código de acceso que el atacante no pudiera adivinar ni obtener.
Superar las protecciones empieza por hacer un jailbreak en el dispositivo, o modificarlo. Un atacante podría conectar el dispositivo al ordenador mediante USB e instalar y ejecutar una herramienta de jailbreak para poder acceder a ciertas partes del terminal. Desde ese momento los investigadores fueron capaces de ejecutar un código de script y descifrar la información almacenada.
El equipo de investigadores asegura que el descifrado de la información se puede hacer porque en los actuales dispositivos basados en iOS las claves criptográficas no dependen del código de acceso secreto del usuario. Teniendo acceso a la cadena de claves un atacante podría obtener las credenciales de todos los sites y servicios almacenados dentro del dispositivo.
La conclusión, según los investigadores, es que tanto usuarios como empresas debería tener procedimientos de emergencia en caso de robo o pérdida del dispositivo.
Fuente: itespresso.com.es
Una presentación de Fraunhofer SIT (PDF) sugiere que un ciberdelincuente que ha robado un iPhone, iPad o iPod Touch podría superar no sólo la protección de código de acceso del propio dispositivo sino acceder a otras contraseñas almacenadas en la herramienta de cadena de claves que gestiona las credenciales de acceso.
Los investigadores aseguran que el procedimiento se puede realizar en un dispositivo parcheado y sin modificar que esté bloqueado con un código de acceso que el atacante no pudiera adivinar ni obtener.
Superar las protecciones empieza por hacer un jailbreak en el dispositivo, o modificarlo. Un atacante podría conectar el dispositivo al ordenador mediante USB e instalar y ejecutar una herramienta de jailbreak para poder acceder a ciertas partes del terminal. Desde ese momento los investigadores fueron capaces de ejecutar un código de script y descifrar la información almacenada.
El equipo de investigadores asegura que el descifrado de la información se puede hacer porque en los actuales dispositivos basados en iOS las claves criptográficas no dependen del código de acceso secreto del usuario. Teniendo acceso a la cadena de claves un atacante podría obtener las credenciales de todos los sites y servicios almacenados dentro del dispositivo.
La conclusión, según los investigadores, es que tanto usuarios como empresas debería tener procedimientos de emergencia en caso de robo o pérdida del dispositivo.
Fuente: itespresso.com.es
Ciberdelicuencia: Falsos mensajes de texto que informan sobre el bloqueo de tarjetas de crédito
Recursos afectados
Todos los usuarios de dispositivos móviles que reciban un SMS o MMS fraudulento, accedan al enlace que contiene e introduzcan sus datos bancarios.
Descripción
Se están propagando mensajes de texto fraudulentos que simulan provenir de entidades bancarias. Los mensajes están en español y contienen el siguiente texto: “Estimado cliente, su tarjeta visa ha sido bloqueada por su seguridad. Para desbloquear su tarjeta visite por favor www.[eliminado].com y complete los pasos, tiene 24 horas”.
Solución
Seguir las recomendaciones básicas de seguridad en dispositivos móviles:
* Ignorar / borrar SMS o MMS de origen desconocido que inducen a descargas o accesos a sitios potencialmente peligrosos.
* Si se sospecha de la veracidad de un mensaje, consulte con su entidad bancaria.
* No introducir nunca los datos bancarios o de las tarjetas de crédito en páginas de dudosa legalidad o que no contengan los elementos básicos de seguridad.
Si ha accedido al enlace y ha completado el formulario, es posible que los datos de su tarjeta bancaria hayan sido comprometidos; contacte con su entidad bancaria para anular las tarjetas de crédito. Si ya ha sido víctima de un fraude, además de contactar con su entidad bancaria, debe interponer una denuncia ante los Cuerpos y Fuerzas de Seguridad del Estado
Detalle
Haciendo uso de la ingeniería social, se están enviando mensajes de texto a dispositivos móviles que simulan provenir de entidades bancarias informando del bloqueo de una tarjeta de crédito. El enlace adjunto en el mensaje de texto lleva a un sitio web cuyo objetivo es conseguir datos de tarjetas bancarias mediante un formulario.
Fuente INTECO.COM.ES
Todos los usuarios de dispositivos móviles que reciban un SMS o MMS fraudulento, accedan al enlace que contiene e introduzcan sus datos bancarios.
Descripción
Se están propagando mensajes de texto fraudulentos que simulan provenir de entidades bancarias. Los mensajes están en español y contienen el siguiente texto: “Estimado cliente, su tarjeta visa ha sido bloqueada por su seguridad. Para desbloquear su tarjeta visite por favor www.[eliminado].com y complete los pasos, tiene 24 horas”.
Solución
Seguir las recomendaciones básicas de seguridad en dispositivos móviles:
* Ignorar / borrar SMS o MMS de origen desconocido que inducen a descargas o accesos a sitios potencialmente peligrosos.
* Si se sospecha de la veracidad de un mensaje, consulte con su entidad bancaria.
* No introducir nunca los datos bancarios o de las tarjetas de crédito en páginas de dudosa legalidad o que no contengan los elementos básicos de seguridad.
Si ha accedido al enlace y ha completado el formulario, es posible que los datos de su tarjeta bancaria hayan sido comprometidos; contacte con su entidad bancaria para anular las tarjetas de crédito. Si ya ha sido víctima de un fraude, además de contactar con su entidad bancaria, debe interponer una denuncia ante los Cuerpos y Fuerzas de Seguridad del Estado
Detalle
Haciendo uso de la ingeniería social, se están enviando mensajes de texto a dispositivos móviles que simulan provenir de entidades bancarias informando del bloqueo de una tarjeta de crédito. El enlace adjunto en el mensaje de texto lleva a un sitio web cuyo objetivo es conseguir datos de tarjetas bancarias mediante un formulario.
Fuente INTECO.COM.ES
Etiquetas:
Cibercrimen,
ingenieria social
Delicuentes apuntan a firmas Petroleras y de Energía en los ataques Night Dragon
Las compañías mundiales petroleras, de energía y petroquímicas están siendo el blanco de una serie de ataques para robar información privada, mucha de la cual incluye información de financiera de proyectos, ofertas de campos, y otra información operativa. La operación, denominada ataques 'Night Dragon' por los investigadores de McAfee Inc., se origina en China, según un informe publicado por el proveedor de soluciones de seguridad.
En un informe detallado, "Global Energy Cyberattacks: 'Night Dragon'" (PDF) los investigadores de McAfee dicen que los ataques se detectaron por primera vez en Noviembre de 2009 y podrían involucrar a "muchos actores". El proveedor de seguridad estima que los ataques podrían haber estado sucediendo desde hace tanto como cuatro años.
"Ataques dirigidos y bien coordinados tales como Night Dragon, orquestados por un creciente grupo de atacantes maliciosos comprometidos con sus blancos, están creciendo rápidamente," dice McAfee en su informe. "Estos blancos ahora han avanzado más allá de la base industrial de defensa, de computadoras militares y gubernamentales para incluir blancos corporativos y comerciales mundiales."
El sector de la energía ha sido por mucho tiempo blanco del ciber-espionaje. El año pasado McAfee y el Centro para Estudios Estratégicos e Internacionales (CSIS) publicaron un informe que destacaba serias fallas en la seguridad informática en instalaciones de infraestructura crítica, incluyendo refinerías de petróleo y plantas químicas y eléctricas. El informe incluyó el resultado de una encuesta a 600 ejecutivos de seguridad y de TI de empresas de infraestructuras críticas. Los sectores del petróleo y el gas reportaron las tasas más altas de infiltraciones silenciosas (71%), contra el 54% del general de los encuestados, con más de una tercera parte que informaron sobre múltiples infiltraciones cada mes. La industria del petróleo y el gas también tuvo los indices más elevados de extorsión.
Es su informe del Night Dragon, McAfee dice que ha identificado a un individuo que proveyó de la infraestructura de comando y control (C&C) para los atacantes. Originando desde distintas ubicaciones en China, los atacantes usaron los servidores de comando y control ubicados en servicios alojamiento de los EEUU ta también en servidores comprometidos de Holanda para cometer sus ataques.
Adicionalmente a las compañias, los atacantes tambíén apuntaron a "individuos y ejecutivos de Kzajistán, Taiwan, Grecia y los EEUU para apoderarse de información privada y altamente confidencial," dijo McAfee.
McAfee dice que los métodos de los ataques fueron relativamente poco sofisticados y parecen ser "las técnicas de administración estándar, usando credenciales administrativas estándar. "Usando herramientas automatizadas, los atacantes primero usaron ataques de inyección SQL para comprometer los servidores web de las firmas de energía. Desde allí, los hackers consiguieron acceso a la Intranet de las firmas donde usaron software para romper contraseñas y así eludir la autenticación instalada en equipos e escritorio y servidores sensibles, dijo McAfee.
"Esto es por lo que principalmente son capaces de evadir la detección del software de seguridad estándar y las políticas de red," dice McAfee. "Usando el malware [herramienta de administración remota], procedieron a conectarse a otras máquinas (lo ejecutivos blanco) e infiltrarse en archivos de correo electrónico y otros documentos sensibles," dice McAfee. El blanco fueron las laptops de trabajadores móviles para comprometer las cuentas VPN corporativas.
McAfee publicó una herramienta de detección de la vulnerabilidad Night Dragon para comprobar si los sistemas son vulnerables a los tipos de métodos usados por los atacantes.
"Archivos de interés enfocados en sistemas operacionales de campos de petróleo y gas, y documentos financieros relacionados con exploración de campo y pujas fueron luego copiados de los equipos comprometidos o mediante servidores de extranet," dijo McAfee. "En algunos casos, los archivos fueron copiados y descargados por los atacantes desde los servidores web. En ciertos casos, los atacantes recolectaron información de sistemas SCADA."
FUente Segu-Info.com.ar
En un informe detallado, "Global Energy Cyberattacks: 'Night Dragon'" (PDF) los investigadores de McAfee dicen que los ataques se detectaron por primera vez en Noviembre de 2009 y podrían involucrar a "muchos actores". El proveedor de seguridad estima que los ataques podrían haber estado sucediendo desde hace tanto como cuatro años.
"Ataques dirigidos y bien coordinados tales como Night Dragon, orquestados por un creciente grupo de atacantes maliciosos comprometidos con sus blancos, están creciendo rápidamente," dice McAfee en su informe. "Estos blancos ahora han avanzado más allá de la base industrial de defensa, de computadoras militares y gubernamentales para incluir blancos corporativos y comerciales mundiales."
El sector de la energía ha sido por mucho tiempo blanco del ciber-espionaje. El año pasado McAfee y el Centro para Estudios Estratégicos e Internacionales (CSIS) publicaron un informe que destacaba serias fallas en la seguridad informática en instalaciones de infraestructura crítica, incluyendo refinerías de petróleo y plantas químicas y eléctricas. El informe incluyó el resultado de una encuesta a 600 ejecutivos de seguridad y de TI de empresas de infraestructuras críticas. Los sectores del petróleo y el gas reportaron las tasas más altas de infiltraciones silenciosas (71%), contra el 54% del general de los encuestados, con más de una tercera parte que informaron sobre múltiples infiltraciones cada mes. La industria del petróleo y el gas también tuvo los indices más elevados de extorsión.
Es su informe del Night Dragon, McAfee dice que ha identificado a un individuo que proveyó de la infraestructura de comando y control (C&C) para los atacantes. Originando desde distintas ubicaciones en China, los atacantes usaron los servidores de comando y control ubicados en servicios alojamiento de los EEUU ta también en servidores comprometidos de Holanda para cometer sus ataques.
Adicionalmente a las compañias, los atacantes tambíén apuntaron a "individuos y ejecutivos de Kzajistán, Taiwan, Grecia y los EEUU para apoderarse de información privada y altamente confidencial," dijo McAfee.
McAfee dice que los métodos de los ataques fueron relativamente poco sofisticados y parecen ser "las técnicas de administración estándar, usando credenciales administrativas estándar. "Usando herramientas automatizadas, los atacantes primero usaron ataques de inyección SQL para comprometer los servidores web de las firmas de energía. Desde allí, los hackers consiguieron acceso a la Intranet de las firmas donde usaron software para romper contraseñas y así eludir la autenticación instalada en equipos e escritorio y servidores sensibles, dijo McAfee.
"Esto es por lo que principalmente son capaces de evadir la detección del software de seguridad estándar y las políticas de red," dice McAfee. "Usando el malware [herramienta de administración remota], procedieron a conectarse a otras máquinas (lo ejecutivos blanco) e infiltrarse en archivos de correo electrónico y otros documentos sensibles," dice McAfee. El blanco fueron las laptops de trabajadores móviles para comprometer las cuentas VPN corporativas.
McAfee publicó una herramienta de detección de la vulnerabilidad Night Dragon para comprobar si los sistemas son vulnerables a los tipos de métodos usados por los atacantes.
"Archivos de interés enfocados en sistemas operacionales de campos de petróleo y gas, y documentos financieros relacionados con exploración de campo y pujas fueron luego copiados de los equipos comprometidos o mediante servidores de extranet," dijo McAfee. "En algunos casos, los archivos fueron copiados y descargados por los atacantes desde los servidores web. En ciertos casos, los atacantes recolectaron información de sistemas SCADA."
FUente Segu-Info.com.ar
Etiquetas:
SQL inyection
jueves, 10 de febrero de 2011
Un nuevo ataque revela las contraseñas de los iPhones en minutos
Investigadores alemanes aseguran haber descubierto una forma de ataque que revela las contraseñas almacenadas en iPhones en tan sólo seis minutos sin necesidad de disponer del código de acceso a los dispositivos.
El ataque, que exige la posesión del iPhone, se dirige contra el sistema de gestión de contraseñas de Apple y se basa en exploits existentes que proporcionan acceso a grandes partes del sistema de archivos de iOS. Con él puede hacerse que el smartphone revele contraseñas de acceso a redes y sistemas de información corporativos en casos de robo o pérdida del dispositivo.
Los investigadores que lo han desarrollado, primero desbloquearon el iPhone utilizando herramientas de hailbreaking disponibles. Después instalaron un servidor SSH sobre el smartphone que permitía correr software sobre él.
A continuación copiaron un script de acceso a la gestión de contraseñas del iPhone, que utiliza funciones de sistemas que ya existen en el dispositivo para acceder a las entradas del sistema y finalmente revela a los atacantes los detalles de las cuentas que descubre.
El ataque funciona porque la clave criptográfica de los actuales dispositivos basados en el sistema operativo iOS está basada en material disponible dentro del dispositivo y es independiente del código de acceso al mismo, según los investigadores que lo han descubierto.
Las contraseñas que revela y desencripta, no obstante, se limitan a las del sistema de gestión de contraseñas de Apple “keychain”, quedando a salvo las protegidas por otros sistemas. Entre las vulnerables se incluyen las de cuentas en Google Mail o MS Exchange, LDAP y correo de voz, así como a las de acceso a VPN y WiFi.
Fuente CSOSPAIN
El ataque, que exige la posesión del iPhone, se dirige contra el sistema de gestión de contraseñas de Apple y se basa en exploits existentes que proporcionan acceso a grandes partes del sistema de archivos de iOS. Con él puede hacerse que el smartphone revele contraseñas de acceso a redes y sistemas de información corporativos en casos de robo o pérdida del dispositivo.
Los investigadores que lo han desarrollado, primero desbloquearon el iPhone utilizando herramientas de hailbreaking disponibles. Después instalaron un servidor SSH sobre el smartphone que permitía correr software sobre él.
A continuación copiaron un script de acceso a la gestión de contraseñas del iPhone, que utiliza funciones de sistemas que ya existen en el dispositivo para acceder a las entradas del sistema y finalmente revela a los atacantes los detalles de las cuentas que descubre.
El ataque funciona porque la clave criptográfica de los actuales dispositivos basados en el sistema operativo iOS está basada en material disponible dentro del dispositivo y es independiente del código de acceso al mismo, según los investigadores que lo han descubierto.
Las contraseñas que revela y desencripta, no obstante, se limitan a las del sistema de gestión de contraseñas de Apple “keychain”, quedando a salvo las protegidas por otros sistemas. Entre las vulnerables se incluyen las de cuentas en Google Mail o MS Exchange, LDAP y correo de voz, así como a las de acceso a VPN y WiFi.
Fuente CSOSPAIN
Michelle Obama prohibió a sus hijas usar Facebook
La primera dama de Estados Unidos, Michelle Obama, es contraria a que sus hijas, Sasha y Malia, tengan una cuenta en la red social Facebook, según declaró.
"No soy una gran partidaria de que los muchachos jóvenes tengan Facebook. No es algo que les haga falta, no es necesario", declaró la primera dama en una entrevista concedida al programa "Today", de la cadena NBC, con ocasión del primer aniversario de su iniciativa "Let's Move" contra la obesidad infantil.
Sus hijas no tienen una cuenta en esa red social, reveló, algo para lo que las estrictas normas de seguridad que impone el Servicio Secreto -responsable de velar por la integridad física de la familia presidencial- ha resultado una gran ayuda.
"Creo que tenemos suerte de que haya tantos límites, cosas como el Servicio Secreto", explicó.
Malia, de doce años, y Sasha, de nueve, podrían abrir una cuenta en la red social una vez que los Obama abandonen la Casa Blanca, aunque, según precisa su madre, dependerá de la edad que tengan cuando eso ocurra.
Mientras tanto, subrayó, tanto ella como el presidente Barack Obama se esfuerzan en que las dos niñas tengan una infancia lo más normal posible.
"Nuestras hijas son de veras muy normales", aseguró, antes de añadir que "de la Casa Blanca han salido muchos niños estupendos. Las hijas de Bush son magníficas. Chelsea Clinton es una joven muy sólida... Ojalá que las niñas Obama se encuadren en el mismo grupo".
Facebook sólo permite abrir cuentas a los mayores de trece años, aunque niños más jóvenes consiguen entrar al declarar una edad superior en el momento de registrarse.
En la misma entrevista, Michelle Obama se refirió también a las canas que le han salido a su esposo desde su llegada a la presidencia.
Obama "tiene el pelo bastante gris", reconoció la primera dama, que subrayó que el presidente no se tiñe el cabello. "Es demasiado tarde" para empezar a hacerlo, se rió.
Quizás, si hubiera sabido hace diez años que iba a presentarse a las elecciones presidenciales y ganarlas, hubiera podido empezar a disimular las canas, bromeó.
Acerca de dos fotografías tomadas el mismo día el mes pasado, en las que se ve en una de ellas a Obama con el cabello más oscuro, atribuyó la diferencia a la iluminación.
El presidente, agregó Michelle Obama, "se preocupa muy poco por su aspecto", hasta el punto de que ella desearía que cambiara en algún momento el color de sus chaquetas.
Sus hijas y ella, agregó, "aplaudimos cuando se pone una camisa de color brillante".
Fuente: Segu-Info.com.ar
"No soy una gran partidaria de que los muchachos jóvenes tengan Facebook. No es algo que les haga falta, no es necesario", declaró la primera dama en una entrevista concedida al programa "Today", de la cadena NBC, con ocasión del primer aniversario de su iniciativa "Let's Move" contra la obesidad infantil.
Sus hijas no tienen una cuenta en esa red social, reveló, algo para lo que las estrictas normas de seguridad que impone el Servicio Secreto -responsable de velar por la integridad física de la familia presidencial- ha resultado una gran ayuda.
"Creo que tenemos suerte de que haya tantos límites, cosas como el Servicio Secreto", explicó.
Malia, de doce años, y Sasha, de nueve, podrían abrir una cuenta en la red social una vez que los Obama abandonen la Casa Blanca, aunque, según precisa su madre, dependerá de la edad que tengan cuando eso ocurra.
Mientras tanto, subrayó, tanto ella como el presidente Barack Obama se esfuerzan en que las dos niñas tengan una infancia lo más normal posible.
"Nuestras hijas son de veras muy normales", aseguró, antes de añadir que "de la Casa Blanca han salido muchos niños estupendos. Las hijas de Bush son magníficas. Chelsea Clinton es una joven muy sólida... Ojalá que las niñas Obama se encuadren en el mismo grupo".
Facebook sólo permite abrir cuentas a los mayores de trece años, aunque niños más jóvenes consiguen entrar al declarar una edad superior en el momento de registrarse.
En la misma entrevista, Michelle Obama se refirió también a las canas que le han salido a su esposo desde su llegada a la presidencia.
Obama "tiene el pelo bastante gris", reconoció la primera dama, que subrayó que el presidente no se tiñe el cabello. "Es demasiado tarde" para empezar a hacerlo, se rió.
Quizás, si hubiera sabido hace diez años que iba a presentarse a las elecciones presidenciales y ganarlas, hubiera podido empezar a disimular las canas, bromeó.
Acerca de dos fotografías tomadas el mismo día el mes pasado, en las que se ve en una de ellas a Obama con el cabello más oscuro, atribuyó la diferencia a la iluminación.
El presidente, agregó Michelle Obama, "se preocupa muy poco por su aspecto", hasta el punto de que ella desearía que cambiara en algún momento el color de sus chaquetas.
Sus hijas y ella, agregó, "aplaudimos cuando se pone una camisa de color brillante".
Fuente: Segu-Info.com.ar
Etiquetas:
obama,
redes sociales,
Seguridad
Redes zombies: La nueva gran amenaza de Internet
La lógica hacker está cambiando. Los virus que llegan por e-mail cada vez tienen menos presencia y el centro de la escena la empiezan a ocupar las redes botnet o zombies. Estas redes no son ni más ni menos que computadoras hogareñas o de empresas controladas de forma remota –sin que sus dueños lo sepan– por intrusos.
En la Argentina los intentos de hackear las computadoras para que pasen a formar parte de una red botnet se duplicaron en el último año. En 2009, una de cada 150 personas en el país recibieron una amenaza botnet. Y en 2010 esa cifra trepó a una de cada 65 personas, según datos del laboratorio de la empresa de seguridad informática ESET.
Esta nueva manera de instalarse permanentemente en las PCs de los otros le permite a los hackers actuar de diversas maneras, según la conveniencia del día. “Antes, los malwares (virus, troyanos) eran estáticos. Un determinado troyano estaba diseñado para robar claves, por ejemplo. Y se instalaba en una PC vía e-mail para grabar las claves y el atacante las podía robar. Pero ahora con las redes botnet el malware pasa a ser dinámico. ‘Primero te tomo la máquina, armo una red de miles de PCs, y después veo para que la uso’”, explica Sebastián Bortnik, de ESET.
“Las botnet se han convertido en la amenaza más poderosa de Internet. Y se hacen segundo a segundo más sofisticadas”, coincide Maximiliano Cittadini, el especialista en el tema de Trend Argentina.
Con una red zombie un atacante puede usar todas las máquinas tomadas, y en un segundo inundar miles de casillas de correo con spam. También puede alojar, en las PCs, sitios de phishing (páginas truchas para robar claves) o sitios de pornografía. Además puede robar información y propagar malware. La novedad es que con la misma red puede ir variando de delito. En los últimos dos años, la cantidad de redes zombies se duplicaron. Y se espera que en 2011 lleguen a 7.000.
Para dimensionar el problema basta recordar que en marzo del año pasado La Guardia Civil española y el FBI desarticularon en Madrid la red Mariposa, una red zombie que tenía bajo control 13 millones de PCs, de las cuales 180 mil estaban en la Argentina.
Una de las claves de esta clase de redes es que es muy barato mantenerlas. “Las botnet están alojadas principalmente en servidores de Rusia, que cobran por el servicio entre 80 y 200 dólares al mes. Además, una botnet de 2.000 PCs tomadas se alquila por 40 dólares por día”, explica Bortnik.
Para que la computadora propia no se convierta en un zombie hay que tomar precauciones. “Hay que poner especial atención en los archivos que llegan por mail y borrar aquellos mensajes de desconocidos que tienen adjuntos”, dice Cittadini. “Descargar programas de sitios desconocidos y no usar los parches del sistema operativo pueden hacer que uno se convierta en víctima. Pero ojo que las botnet modernas infectan también por dispositivos USB”, finaliza Dmitry Bestuzhev, de Kaspersky.
Fuente: Diario el Clarin
En la Argentina los intentos de hackear las computadoras para que pasen a formar parte de una red botnet se duplicaron en el último año. En 2009, una de cada 150 personas en el país recibieron una amenaza botnet. Y en 2010 esa cifra trepó a una de cada 65 personas, según datos del laboratorio de la empresa de seguridad informática ESET.
Esta nueva manera de instalarse permanentemente en las PCs de los otros le permite a los hackers actuar de diversas maneras, según la conveniencia del día. “Antes, los malwares (virus, troyanos) eran estáticos. Un determinado troyano estaba diseñado para robar claves, por ejemplo. Y se instalaba en una PC vía e-mail para grabar las claves y el atacante las podía robar. Pero ahora con las redes botnet el malware pasa a ser dinámico. ‘Primero te tomo la máquina, armo una red de miles de PCs, y después veo para que la uso’”, explica Sebastián Bortnik, de ESET.
“Las botnet se han convertido en la amenaza más poderosa de Internet. Y se hacen segundo a segundo más sofisticadas”, coincide Maximiliano Cittadini, el especialista en el tema de Trend Argentina.
Con una red zombie un atacante puede usar todas las máquinas tomadas, y en un segundo inundar miles de casillas de correo con spam. También puede alojar, en las PCs, sitios de phishing (páginas truchas para robar claves) o sitios de pornografía. Además puede robar información y propagar malware. La novedad es que con la misma red puede ir variando de delito. En los últimos dos años, la cantidad de redes zombies se duplicaron. Y se espera que en 2011 lleguen a 7.000.
Para dimensionar el problema basta recordar que en marzo del año pasado La Guardia Civil española y el FBI desarticularon en Madrid la red Mariposa, una red zombie que tenía bajo control 13 millones de PCs, de las cuales 180 mil estaban en la Argentina.
Una de las claves de esta clase de redes es que es muy barato mantenerlas. “Las botnet están alojadas principalmente en servidores de Rusia, que cobran por el servicio entre 80 y 200 dólares al mes. Además, una botnet de 2.000 PCs tomadas se alquila por 40 dólares por día”, explica Bortnik.
Para que la computadora propia no se convierta en un zombie hay que tomar precauciones. “Hay que poner especial atención en los archivos que llegan por mail y borrar aquellos mensajes de desconocidos que tienen adjuntos”, dice Cittadini. “Descargar programas de sitios desconocidos y no usar los parches del sistema operativo pueden hacer que uno se convierta en víctima. Pero ojo que las botnet modernas infectan también por dispositivos USB”, finaliza Dmitry Bestuzhev, de Kaspersky.
Fuente: Diario el Clarin
Etiquetas:
BOOTNET,
RED ZOMBIS
Adobe soluciona 42 fallos en Reader y Flash
Adobe acaba de parchear 29 vulnerabilidades en Reader, su aplicación para poder leer documentos en formato PDF, y otras 13 en Flash, como parte de su actualización de seguridad trimestral.
Esta es la primera vez que Adobe parchea Reader X, la última versión del software lanzada el pasado mes de noviembre y que incluía una ‘sandbox’, una tecnología anti-exploit en la versión de Windows.
La mayoría de los fallos de Reader se han calificado de ‘críticos’, lo que significa que pueden ser explotados por los atacantes para llenar de malware un sistema no parcheado. Dos de las 29 vulnerabilidades podrían generar ataques cross-site scripting (XSS); además, los ciberdelincuentes podrían explotar una de las vulnerabilidades, que sólo afecta a la versión para Windows, para obtener privilegios sobre la máquina.
La actualización afecta a las versiones 8.2.6, 9.4.2 y 10.0.1 de Reader pata Windows y Mac OS X. Los usuarios de Linux tendrán que esperar hasta el 28 de febrero.
Salvo tres, todos los fallos afectan a Reader X, la actualización que Adobe lanzó hace unos tres meses. La gran novedad en la versión de Windows fue la incorporación de una ‘sandbox’, una tecnología que aísla los procesos de la aplicación del ordenador, para detener y aislar un código de ataque e impedir de esta forma que afecte a todo el sistema. Desde Adobe confirman que ninguno de los 26 fallos que afectan a Reader X afectan a la sandbox y que no se pueden utilizar para superar su protección.
Adobe también ha actualizado Flash para solventar un total de 13 vulnerabilidades, todas consideradas como ‘críticas’ porque podrían ser explotadas para ejecutar ataques. Ocho de las 13 están relacionados con fallos de corrupción de memoria. La actualización de seguridad ha llevado a Flash a su versión 10.2.152.26.
A continuación Listado de parches
http://www.adobe.com/support/security/bulletins/apsb11-01.html
http://www.adobe.com/support/security/bulletins/apsb11-02.html
http://www.adobe.com/support/security/bulletins/apsb11-03.html
http://www.adobe.com/support/security/bulletins/apsb11-04.html
Fuente: Adobe.com
Esta es la primera vez que Adobe parchea Reader X, la última versión del software lanzada el pasado mes de noviembre y que incluía una ‘sandbox’, una tecnología anti-exploit en la versión de Windows.
La mayoría de los fallos de Reader se han calificado de ‘críticos’, lo que significa que pueden ser explotados por los atacantes para llenar de malware un sistema no parcheado. Dos de las 29 vulnerabilidades podrían generar ataques cross-site scripting (XSS); además, los ciberdelincuentes podrían explotar una de las vulnerabilidades, que sólo afecta a la versión para Windows, para obtener privilegios sobre la máquina.
La actualización afecta a las versiones 8.2.6, 9.4.2 y 10.0.1 de Reader pata Windows y Mac OS X. Los usuarios de Linux tendrán que esperar hasta el 28 de febrero.
Salvo tres, todos los fallos afectan a Reader X, la actualización que Adobe lanzó hace unos tres meses. La gran novedad en la versión de Windows fue la incorporación de una ‘sandbox’, una tecnología que aísla los procesos de la aplicación del ordenador, para detener y aislar un código de ataque e impedir de esta forma que afecte a todo el sistema. Desde Adobe confirman que ninguno de los 26 fallos que afectan a Reader X afectan a la sandbox y que no se pueden utilizar para superar su protección.
Adobe también ha actualizado Flash para solventar un total de 13 vulnerabilidades, todas consideradas como ‘críticas’ porque podrían ser explotadas para ejecutar ataques. Ocho de las 13 están relacionados con fallos de corrupción de memoria. La actualización de seguridad ha llevado a Flash a su versión 10.2.152.26.
A continuación Listado de parches
http://www.adobe.com/support/security/bulletins/apsb11-01.html
http://www.adobe.com/support/security/bulletins/apsb11-02.html
http://www.adobe.com/support/security/bulletins/apsb11-03.html
http://www.adobe.com/support/security/bulletins/apsb11-04.html
Fuente: Adobe.com
Oracle lanza un parche de seguridad de emergencia para Java
Oracle ha anunciado un parche de emergencia que soluciona una vulnerabilidad en Java que puede causar que el sistema se cuelgue y que pueda ser explotado por atacantes de manera remota sin autenticación.
Según la alerta notificada por Oracle, el error hace que el entorno de ejecución Java se cuelgue al convertir “2.2250738585072012e-308″ a un número binario de punto flotante. Las aplicaciones y servidores web basados en Java están especialmente expuestos a esta vulnerabilidad, aseguran desde Oracle.
Varios son los productos afectados por el fallo, como Java SE y Java for Business. En la página de Oracle se puede acceder a un listado completo junto con los enlaces para conseguir los parches.
Normalmente Oracle lanza los parches de seguridad de sus productos trimestralmente, aunque en este caso el fallo resulta tan grave que la compañía se ha saltado la norma.
La última actualización de seguridad, en el mes de enero, incluía más de 60 parches, lo que según la opinión mayoritaria no son muchos si se tiene en cuenta la cantidad de adquisiciones que ha realizado Oracle en los últimos años.
Listado de Oracle
http://www.oracle.com/technetwork/topics/security/alert-cve-2010-4476-305811.html
Fuente: itespresso.es
Según la alerta notificada por Oracle, el error hace que el entorno de ejecución Java se cuelgue al convertir “2.2250738585072012e-308″ a un número binario de punto flotante. Las aplicaciones y servidores web basados en Java están especialmente expuestos a esta vulnerabilidad, aseguran desde Oracle.
Varios son los productos afectados por el fallo, como Java SE y Java for Business. En la página de Oracle se puede acceder a un listado completo junto con los enlaces para conseguir los parches.
Normalmente Oracle lanza los parches de seguridad de sus productos trimestralmente, aunque en este caso el fallo resulta tan grave que la compañía se ha saltado la norma.
La última actualización de seguridad, en el mes de enero, incluía más de 60 parches, lo que según la opinión mayoritaria no son muchos si se tiene en cuenta la cantidad de adquisiciones que ha realizado Oracle en los últimos años.
Listado de Oracle
http://www.oracle.com/technetwork/topics/security/alert-cve-2010-4476-305811.html
Fuente: itespresso.es
Intel opta por Symantec para securizar sus próximos procesadores Core
Intel y Symantec han dicho que su acuerdo servirá para unir las credenciales de Verisign Identity Protection (VIP) de Symantec con la Identity Protection Technology (IPT) de Intel, una plataforma que crea credenciales de usar y tirar en los chipsets de Intel.
Diseñado para proteger la información de las cuentas online, la plataforma VIP utiliza credenciales válidas para una única vez para autentificar a los usuarios e impedir accesos no autorizados cuando se ha conseguido robar un nombre de usuario y contraseña. El sistema fue parte de las tecnologías que Symantec adquirió con la compra de VeriSign.
Integrando VIP directamente en la plataforma IPT, las dos compañías podrán hacer que el sistema de autenticación de VeriSign se integre directamente en el chipset. El resultado es un servicio que Symantec cree que permitirá a las empresas asegurar mejor los sistemas de los usuarios junto con la información de las cuentas online. Además, la compañía asegura que la oferta combinada permitirá a los administradores TI simplificar la gestión de la seguridad.
Atri Chatterjee, presidente de autenticación de Symantec, afirma que sincronizar VIP con los chipsets de Intel ha permitido crear una credencial de autenticación fuerte “que no se ve pero siempre está en el PC”.
Desde que Intel anunciara la compra de la empresa de seguridad McAfee en agosto del año pasado ha afirmado que la adquisición le permitiría integrar seguridad en su hardware, aunque por el momento no se ha anunciado un producto concreto que haya sido el resultado de aquel acuerdo de compra.
Fuente: itespresso.com.es
Diseñado para proteger la información de las cuentas online, la plataforma VIP utiliza credenciales válidas para una única vez para autentificar a los usuarios e impedir accesos no autorizados cuando se ha conseguido robar un nombre de usuario y contraseña. El sistema fue parte de las tecnologías que Symantec adquirió con la compra de VeriSign.
Integrando VIP directamente en la plataforma IPT, las dos compañías podrán hacer que el sistema de autenticación de VeriSign se integre directamente en el chipset. El resultado es un servicio que Symantec cree que permitirá a las empresas asegurar mejor los sistemas de los usuarios junto con la información de las cuentas online. Además, la compañía asegura que la oferta combinada permitirá a los administradores TI simplificar la gestión de la seguridad.
Atri Chatterjee, presidente de autenticación de Symantec, afirma que sincronizar VIP con los chipsets de Intel ha permitido crear una credencial de autenticación fuerte “que no se ve pero siempre está en el PC”.
Desde que Intel anunciara la compra de la empresa de seguridad McAfee en agosto del año pasado ha afirmado que la adquisición le permitiría integrar seguridad en su hardware, aunque por el momento no se ha anunciado un producto concreto que haya sido el resultado de aquel acuerdo de compra.
Fuente: itespresso.com.es
Aclaraciones sobre el filtrado del patrón de generación de claves WPA de Movistar y Jazztel
El pasado 4 de febrero se hizo público el algoritmo que genera las contraseñas por defecto de los routers Comtrend. Estos son los que ofrecen MoviStar (Telefónica) y Jazztel a sus clientes para dar acceso a Internet. Mucho se ha especulado con el asunto. Hemos investigado sobre la filtración, acudiendo directamente a las fuentes, y queremos compartir algunos aspectos interesantes.
Me he puesto en contacto con Comtrend para contrastar la información, con los que he mantenido una interesante conversación telefónica. Desde ahí, me aseguran que seguridadwireless no ha sacado ni ha exigido a Comtrend ningún beneficio ni económico ni de ningún tipo por el descubrimiento.
Comtrend es una compañía cuyo departamento de investigación y desarrollo opera desde España, y el algoritmo generado ha sido diseñado por ellos mismos. Es importante destacar que desde Hispasec reconocemos que el algoritmo es robusto y correcto. Si bien se utiliza MD5 (no muy seguro hoy en día) creemos que la lógica del algoritmo no ha influido demasiado en su descubrimiento. Como todavía no sabemos los detalles de cómo ha sido descubierto, podemos especular que el punto débil puede ser en el hecho de que el algoritmo se ejecute en el mismo router cada vez que se inicializa su configuración (un comportamiento no exclusivo de Comtrend, casi todos los routers lo hacen de esta forma). Tanto desde Comtrend como desde seguridadwireless se niega explícitamente el filtrado de la información. Parece pues que el algoritmo fue consecuencia de ingeniería inversa avanzada.
¿Por qué no se ha publicado un firmware que solucione este fallo para los routers ya existentes? Hay que tener en cuenta que lógicamente tanto MoviStar como Jazztel son a su vez clientes muy importantes de Comtrend y parte de las decisiones técnicas son consensuadas. Desde Hispasec suponemos que no es una situación fácil para ninguno de los implicados. Las posibles actualizaciones de los routers que operan bajo MoviStar y Jazztel en España obligarían a la coordinación de todas las partes y además, a desplegar tanto un operativo técnico adecuado como una campaña de información sencilla para los usuarios "de a pie". Por si fuera poco, hay que tener en cuenta que los clientes que no han cambiado su clave, precisamente los más vulnerables, muy probablemente tampoco actualicen su firmware. Entendemos que es una situación delicada, tanto para MoviStar, Jazztel como para Comtrend y es por lo que todavía no existe un comunicado oficial de estos últimos. Deben pensar bien cuál es el siguiente paso para actuar responsablemente.
Contrastada la información de primera mano, creemos que desde ambas partes, tanto desde Comtrend como desde seguridadwireless, se ha actuado de buena fe y con las mejores intenciones aunque se hayan cometido algunos errores. No así la fuente anónima que publicó el algoritmo completo. En este caso concreto, la revelación tan temprana parece no haber beneficiado a nadie.
Queda esperar qué solución se propone en conjunto para que no sean los clientes finales los que se vean finalmente más afectados.
Fuente: Hispasec.com
Me he puesto en contacto con Comtrend para contrastar la información, con los que he mantenido una interesante conversación telefónica. Desde ahí, me aseguran que seguridadwireless no ha sacado ni ha exigido a Comtrend ningún beneficio ni económico ni de ningún tipo por el descubrimiento.
Comtrend es una compañía cuyo departamento de investigación y desarrollo opera desde España, y el algoritmo generado ha sido diseñado por ellos mismos. Es importante destacar que desde Hispasec reconocemos que el algoritmo es robusto y correcto. Si bien se utiliza MD5 (no muy seguro hoy en día) creemos que la lógica del algoritmo no ha influido demasiado en su descubrimiento. Como todavía no sabemos los detalles de cómo ha sido descubierto, podemos especular que el punto débil puede ser en el hecho de que el algoritmo se ejecute en el mismo router cada vez que se inicializa su configuración (un comportamiento no exclusivo de Comtrend, casi todos los routers lo hacen de esta forma). Tanto desde Comtrend como desde seguridadwireless se niega explícitamente el filtrado de la información. Parece pues que el algoritmo fue consecuencia de ingeniería inversa avanzada.
¿Por qué no se ha publicado un firmware que solucione este fallo para los routers ya existentes? Hay que tener en cuenta que lógicamente tanto MoviStar como Jazztel son a su vez clientes muy importantes de Comtrend y parte de las decisiones técnicas son consensuadas. Desde Hispasec suponemos que no es una situación fácil para ninguno de los implicados. Las posibles actualizaciones de los routers que operan bajo MoviStar y Jazztel en España obligarían a la coordinación de todas las partes y además, a desplegar tanto un operativo técnico adecuado como una campaña de información sencilla para los usuarios "de a pie". Por si fuera poco, hay que tener en cuenta que los clientes que no han cambiado su clave, precisamente los más vulnerables, muy probablemente tampoco actualicen su firmware. Entendemos que es una situación delicada, tanto para MoviStar, Jazztel como para Comtrend y es por lo que todavía no existe un comunicado oficial de estos últimos. Deben pensar bien cuál es el siguiente paso para actuar responsablemente.
Contrastada la información de primera mano, creemos que desde ambas partes, tanto desde Comtrend como desde seguridadwireless, se ha actuado de buena fe y con las mejores intenciones aunque se hayan cometido algunos errores. No así la fuente anónima que publicó el algoritmo completo. En este caso concreto, la revelación tan temprana parece no haber beneficiado a nadie.
Queda esperar qué solución se propone en conjunto para que no sean los clientes finales los que se vean finalmente más afectados.
Fuente: Hispasec.com
Etiquetas:
Seguridad,
telefonia movil
lunes, 7 de febrero de 2011
Microsoft publicará 12 boletines el próximo martes
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan doce boletines de seguridad. En esta ocasión la mayoría de los boletines, diez de ellos, van dirigidos hacia Microsoft Windows, los otros dos restantes van dirigidos a Microsoft Office y Internet Explorer.
Microsoft ha catalogado tres de ellos como Críticos, y los otros nueve restantes como Importantes. La mayoría permitiría a un atacante llevar a cabo una elevación de privilegios o la ejecución de código arbitrario, también hay cabida para una denegación de servicio y revelación de información sensible.
Microsoft también publicará simultáneamente una actualización para la herramienta Microsoft Windows Malicious Software Removal Tool. Igualmente se publicarán parches no relacionados con la seguridad que corrigen fallos de programación y mejoras.
Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora.
Microsoft Security Bulletin Advance Notification for February 2011
http://www.microsoft.com/technet/security/bulletin/ms11-feb.mspx?pubDate=2011-02-03
Fuente: HISPASEC
Microsoft ha catalogado tres de ellos como Críticos, y los otros nueve restantes como Importantes. La mayoría permitiría a un atacante llevar a cabo una elevación de privilegios o la ejecución de código arbitrario, también hay cabida para una denegación de servicio y revelación de información sensible.
Microsoft también publicará simultáneamente una actualización para la herramienta Microsoft Windows Malicious Software Removal Tool. Igualmente se publicarán parches no relacionados con la seguridad que corrigen fallos de programación y mejoras.
Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora.
Microsoft Security Bulletin Advance Notification for February 2011
http://www.microsoft.com/technet/security/bulletin/ms11-feb.mspx?pubDate=2011-02-03
Fuente: HISPASEC
Etiquetas:
boletin microsoft,
microsoft
La botnet Zeus se desplaza a Europa del Este
Una investigación ofrece nuevos datos sobre la botnet Zeus afirmando que en Estados Unidos casi el 40% de los sites se utilizan para controlarla.
Ha sido la empresa de seguridad Trusteer la que en un reciente estudio de cuatro meses de la botnet Zeus ha mostrado que el 39,8% de los sites se están utilizando como centros de control y comando de las máquinas infectadas tenían una dirección IP en Estados Unidos.
Tras Estados Unidos, Rusia, con un 21,6% de cuota de mercado de máquinas infectadas por Zeus. En Conjunto, los países de Europa del Este contabilizan el 32% de Zeus.
Zeus está considerado como una de las principales amenazas de Intenet. Extremadamente fácil de mantener, el malware se puede desplegar sin apenas costes. Además, Zeus también ha sido reconocido por su habilidad para conseguir que los usuarios desvelen su información personal. El programa puede interceptar páginas web de sites legítimos y añadir código para conseguir detalles de cuentas.
Según Trusteer aunque los grandes países tienen altos índices de infección, las estadísticas muestran que las naciones emergentes empiezan a ser objetivo del malware. Según la empresa de seguridad, el uso cada vez mayor de sistemas de servicios y registros automatizados en Internet hace que el seguimiento de un operador humano sea menos frecuente en los países con buenos accesos a Internet.
Fuente: itespresso.com.es
Ha sido la empresa de seguridad Trusteer la que en un reciente estudio de cuatro meses de la botnet Zeus ha mostrado que el 39,8% de los sites se están utilizando como centros de control y comando de las máquinas infectadas tenían una dirección IP en Estados Unidos.
Tras Estados Unidos, Rusia, con un 21,6% de cuota de mercado de máquinas infectadas por Zeus. En Conjunto, los países de Europa del Este contabilizan el 32% de Zeus.
Zeus está considerado como una de las principales amenazas de Intenet. Extremadamente fácil de mantener, el malware se puede desplegar sin apenas costes. Además, Zeus también ha sido reconocido por su habilidad para conseguir que los usuarios desvelen su información personal. El programa puede interceptar páginas web de sites legítimos y añadir código para conseguir detalles de cuentas.
Según Trusteer aunque los grandes países tienen altos índices de infección, las estadísticas muestran que las naciones emergentes empiezan a ser objetivo del malware. Según la empresa de seguridad, el uso cada vez mayor de sistemas de servicios y registros automatizados en Internet hace que el seguimiento de un operador humano sea menos frecuente en los países con buenos accesos a Internet.
Fuente: itespresso.com.es
20.000 dólares y un portátil para quien tumbe a Chrome
Google está tan seguro de que su navegador no se puede hackear que está ofreciendo un premio de 20.000 dólares y un portátil a la primera persona que sea capaz de romper la seguridad del navegador en una competición que tendrá lugar el próximo mes.
Los hackers participantes en la próxima competición Pwn2Own utilizarán máquinas con Microsoft Windows 7 o Mac OS X para buscar agujeros de seguridad en el navegador Google Chrome.
Microsoft, Mozilla y Apple también se han atrevido a llevar sus navegadores a la competición, de forma que los participantes también podrán escudriñar en Internet Explorer, Firefox y Safari. Las tres compañías han ofrecido 15.000 dólares al hacker ganador.
Los 20.000 dólares ofrecidos por Google es el mayor premio que se ha ofrecido en el Pwn2Own en sus cinco años de historia.
La competición de hackers tendrá lugar durante la conferencia de seguridad CanSecWest que se celebra en Vancouver el próximo 9 de marzo.
Fuente: itespresso.com.es
Los hackers participantes en la próxima competición Pwn2Own utilizarán máquinas con Microsoft Windows 7 o Mac OS X para buscar agujeros de seguridad en el navegador Google Chrome.
Microsoft, Mozilla y Apple también se han atrevido a llevar sus navegadores a la competición, de forma que los participantes también podrán escudriñar en Internet Explorer, Firefox y Safari. Las tres compañías han ofrecido 15.000 dólares al hacker ganador.
Los 20.000 dólares ofrecidos por Google es el mayor premio que se ha ofrecido en el Pwn2Own en sus cinco años de historia.
La competición de hackers tendrá lugar durante la conferencia de seguridad CanSecWest que se celebra en Vancouver el próximo 9 de marzo.
Fuente: itespresso.com.es
Etiquetas:
chrome,
seguridad.
Un tercio de los internautas de la UE tuvieron algún virus en 2010
El próximo 8 de marzo es el Día de Internet Seguro, y Eurostat lo ha empezado a celebrar publicando una serie de estadísticas sobre el tema en la Unión Europea. La conclusión del informe es clara: aunque una gran mayoría de los usuarios utiliza algún software de protección (un 84%, al igual que en España), eso no ha impedido que casi un tercio de los internautas europeos viera su ordenador infectado por algún virus en 2010.
El informe desglosa distintas áreas de seguridad, destacando los datos que indican que España fue, junto con Bulgaria, uno de los países en los que más usuarios (un 7%) afirmaron haber sufrido algún abuso o violación de su privacidad en la red. Además, un 3% de los usuarios de la UE aseguraron haber sufrido pérdidas económicas.
En cuanto al uso de software de control paternal, su uso en la Europa de los 27 continúa siendo bastante limitado, con tan solo el 14% de los usuarios que viven en un hogar con niños teniendo este tipo de software instalado (un 13% en España).
En este aspecto, el estudio también recoge las incidencias en las que los niños accedieron a sitios web inadecuados o conectaron con personas potencialmente peligrosas, concluyendo que esto ocurrió en el 5% de los casos en toda Europa y en el 3% en el caso de España.
Fuente: itespresso.com.es
El informe desglosa distintas áreas de seguridad, destacando los datos que indican que España fue, junto con Bulgaria, uno de los países en los que más usuarios (un 7%) afirmaron haber sufrido algún abuso o violación de su privacidad en la red. Además, un 3% de los usuarios de la UE aseguraron haber sufrido pérdidas económicas.
En cuanto al uso de software de control paternal, su uso en la Europa de los 27 continúa siendo bastante limitado, con tan solo el 14% de los usuarios que viven en un hogar con niños teniendo este tipo de software instalado (un 13% en España).
En este aspecto, el estudio también recoge las incidencias en las que los niños accedieron a sitios web inadecuados o conectaron con personas potencialmente peligrosas, concluyendo que esto ocurrió en el 5% de los casos en toda Europa y en el 3% en el caso de España.
Fuente: itespresso.com.es
Facebook ahora permite conexiones seguras SIEMPRE
Hasta hace unas semanas Facebook solo cifraba nuestra información cuando ingresábamos en su sistema, dejando a merced de cualquiera con un sniffer o un navegador web, toda nuestra información (incluyendo chats, secciones, etc..); Facebook se dio cuenta del problema y empezó a cambiar esto permitiendo el uso de httpS siempre y no solo en el login, la noticia empezó a rodar por la web incluso en sitios relacionados con la seguridad en español, sin que esta solución estuviera todavía implementada en nuestro idioma (todos con el mismo pantallazo).
Facebook ahora permite conexiones seguras SIEMPRE
En la comunidad ya habíamos escrito artículos sobre como forzar las conexiones seguras en las redes sociales y hasta hace poco eran la única alternativa que teníamos los hispanohablantes para asegurar nuestra conexión segura en las redes sociales (aunque otros dijeran lo contrario).
Después de mucha espera, por fin Facebook ha decidido implementar esta funcionalidad también en los perfiles de cuentas en español, pero no viene activada por defecto, es por eso que les dejo el siguiente proceso para que asegures las conexiones a tu cuenta de Facebook en todo momento.
Como activar conexiones SSL en Facebook siempre?
* Ingresa con tu cuenta en Facebook
* Click en la esquina superior derecha Cuenta/Configuración de la cuenta.
SSLenFB Facebook ahora permite conexiones seguras SIEMPRE
* Dentro de la configuración de la cuenta buscamos Seguridad en la cuenta, y activamos la casilla Navegación segura (https)
SSLenFB1 Facebook ahora permite conexiones seguras SIEMPRE
* Le das al botón Guardar, y listo.
Con estos simples pasos podrás proteger tu cuenta y evitar que un usuario mal intencionado se haga con tus credenciales o espíe tu comportamiento dentro de Facebook.
Fuente: www.dragonjar.org
Facebook ahora permite conexiones seguras SIEMPRE
En la comunidad ya habíamos escrito artículos sobre como forzar las conexiones seguras en las redes sociales y hasta hace poco eran la única alternativa que teníamos los hispanohablantes para asegurar nuestra conexión segura en las redes sociales (aunque otros dijeran lo contrario).
Después de mucha espera, por fin Facebook ha decidido implementar esta funcionalidad también en los perfiles de cuentas en español, pero no viene activada por defecto, es por eso que les dejo el siguiente proceso para que asegures las conexiones a tu cuenta de Facebook en todo momento.
Como activar conexiones SSL en Facebook siempre?
* Ingresa con tu cuenta en Facebook
* Click en la esquina superior derecha Cuenta/Configuración de la cuenta.
SSLenFB Facebook ahora permite conexiones seguras SIEMPRE
* Dentro de la configuración de la cuenta buscamos Seguridad en la cuenta, y activamos la casilla Navegación segura (https)
SSLenFB1 Facebook ahora permite conexiones seguras SIEMPRE
* Le das al botón Guardar, y listo.
Con estos simples pasos podrás proteger tu cuenta y evitar que un usuario mal intencionado se haga con tus credenciales o espíe tu comportamiento dentro de Facebook.
Fuente: www.dragonjar.org
Rootkit.com : Los hackers también lloran
Sigue la moda de publicar volcados de bases de datos con credenciales. Como ocurría cuando pHC entraba en alguno de sus "objetivos" y generaba un log con toda la información.
Luego le tocó el turno a varios portales importantes como rockyou o moneybrookers. Ayer fue el turno de rootkit.com y su base de datos. Esta web es uno de los puntos de encuentro de la gran mayoría de aficionados a la ingeniería inversa, así que la gran mayoría de sus usuarios son viejos conocidos.
Tras obtener las cuentas de correo de HBGary.com, y utilizando ingeniería social se consiguió el acceso al servidor de rootkit.com.
Una de las cosas que más curiosas me parecen de todo esto y por buscar algo gracioso, es siempre el top contraseñas, que por cierto, se almacenan en md5. ¡¡Oh sorpresa!! 123456 wins again.
Fuente: securiy by default
Luego le tocó el turno a varios portales importantes como rockyou o moneybrookers. Ayer fue el turno de rootkit.com y su base de datos. Esta web es uno de los puntos de encuentro de la gran mayoría de aficionados a la ingeniería inversa, así que la gran mayoría de sus usuarios son viejos conocidos.
Tras obtener las cuentas de correo de HBGary.com, y utilizando ingeniería social se consiguió el acceso al servidor de rootkit.com.
Una de las cosas que más curiosas me parecen de todo esto y por buscar algo gracioso, es siempre el top contraseñas, que por cierto, se almacenan en md5. ¡¡Oh sorpresa!! 123456 wins again.
Fuente: securiy by default
Etiquetas:
rootkit
Suscribirse a:
Entradas (Atom)