Comunidad Ethical Shields

EE UU bloquea por error 84.000 sitios

2011-02-18T05:23:00.000-08:00

El Gobierno de Estados Unidos ha cerrado por error 84.000 dominios que se vieron acusados de distribuir pornografía infantil. El problema se produjo al bloquear un dominio de un proveedor de acceso, Free DNS, del que dependían estos miles de subdominios. Los propietarios de los mismos se vieron sorprendidos al ver su página modificada y en la que aparecía un aviso oficial en el que se decía que la publicidad, transporte, distribución, cobro y posesión de pornografía infantil constituye un delito federal que conlleva penas de hasta treinta años de prisión y multas de 250.000 dólares. Las autoridades estadounidenses acudieron a un juez para ordenar el bloqueo de determinados dominios, diez, pero un error provocó el cierre de un dominio que albergaba al resto de 84.000 páginas web.

El propietario de FreeDNS hizo pública una nota en la que afirmaba que su empresa nunca había alojado este tipo de abusos y que estaban trabajando para remediar lo más rápidamente posible la situación.

Al cabo de unas horas, el dominio fue reabierto y progresivamente los subdominios van recuperando su fisonomía habitual. Con todo, se calcula que se tardará tres días en reestablecer la normalidad dada la cantidad de sitios afectados. Muchos de los dominios afectados pertenecen a particulares o a pequeñas empresas. Algunos de ellos se han apresurado a colocar en su web un aviso en el que niegan que mantengan ninguna práctica relacionada con la pornografía infantil.

Estre episodio se produce en el marco de una campaña de bloqueo de sitios de Internet acusados de pornografía, falsificación o vulneración de la propiedad intelectual. Esta semana en la cuarta oleada de bloqueos, las autoridades cerraron 18 sitios acusados de vender productos falsificados.

EE UU aprovecha su competencia en el control de los dominios de primer nivel (como .com o .net) para anular el registro de los dominios de los sitios sospechosos. En una anterior oleada cerraron el sitio español rojadirecta que ofrecía enlaces a retransmisiones deportivas en directo propiedad de emisoras.

Al menos 119 sitios han sido confiscados en el marco de esta operación. Las webs afectadas van desde las que ofrecen visionados en streaming (sin descarga) a tiendas de material sospechoso de estar falsificado.

Estas actuaciones han reabierto la polémica sobre el control que puede ejercer Estados Unidos sobre la gestión de los dominios en Internet. La entidad que los regula, ICANN, sociedad sin ánimo de lucro que se rige por las leyes de California, tiene esta competencia gracias a una cesión del departamento de Comercio de Estados Unidos que, por razones históricas del nacimiento de Internet, tiene el control de los mismos.

Fuente elpais.com

Google incluye un sistema avanzado de seguridad

2011-02-14T12:44:00.000-08:00

Una nueva mejora en la protección de las cuentas de Google añade más seguridad a nuestra información confidencial.

La proliferación de ataques y herramientas con las que obtener de forma fraudulenta las contraseñas que abren las puertas de acceso a nuestras cuentas de Google y por tanto a la información sensible que en ellas se guarda, ha llevado a la implementación de una nueva sesión de inicio con mayor garantía.

Tras una primera prueba con éxito meses atrás en Google Apps, se ha decidido incluir un nuevo inicio de sesión que junto al tradicional nombre de usuario y contraseña nos va a solicitar un código de verificación que Google nos enviará a través de SMS a nuestro teléfono móvil.

Este nuevo sistema avanzado de seguridad de acceso a cuentas de Google, no viene habilitado por defecto sino que todos aquellos usuarios interesados pueden activarlo desde Cuentas de Google-> Personal Settings -> Using 2-step verification.

El código facilitado con una duración de 30 días y que podrá ser utilizado para acceder a todos los servicios de Google ya ha empezado a implementarse en todas las cuentas de usuarios norteamericanos y pronto llegará al resto del mundo.

Fuente Desarrolloweb.com

Facebook y la (in)seguridad: Un resumen (I)

2011-02-14T12:39:00.000-08:00

Facebook ha llegado a los 600 millones de usuarios y sin duda, se ha convertido en un punto de referencia en Internet. En los últimos meses, además, la seguridad en Facebook ha dado demasiados dolores de cabeza a la compañía que, muy tímidamente y a pequeños pasos, intenta mejorar la protección del portal.

El problema de Facebook ha sido, históricamente, la privacidad. Un punto de encuentro tan popular donde 600 millones de personas introducen tantos datos y fotografías requiere que sus usuarios confíen en el portal al máximo y además de unos mecanismos y una infraestructura adecuados que garantice su intimidad. Y Facebook está proporcionando esta seguridad... poco a poco. Como es habitual, han aprendido a base de ensayo y error, y cada error ha sido un pequeño golpe a su imagen. Aunque sí es cierto que no ha sido el centro de enormes escándalos y que goza de una salud envidiable, sí que se ha visto obligada a ponerse manos a la obra para mejorar la seguridad global de portal. El 26 de enero anunciaban mejoras en este aspecto, curiosamente, tras sufrir una serie de problemas y ataques. Repasemos algunos hitos interesantes.

El 26 de enero Alex Rice, responsable de seguridad de Facebook anunciaba dos mejoras importantes con respecto a la seguridad.

* La primera es el uso de conexión segura (SSL) no solo a la hora de introducir la clave, sino durante toda la sesión. Esto es una medida que llega muy tarde, y en respuesta directa a herramientas como Firesheep. Se trata de un plugin para Firefox aparecido en octubre de 2010 que aúna varias herramientas de forma muy cómoda. Pone la tarjeta de red del sistema en modo promiscuo (a "escuchar" todo el tráfico de red local no segmentada) y extrae automáticamente los datos que le interesan (la cookie de sesión) de ciertas páginas no protegidas (entre ellas Facebook) y permite que un usuario suplante la identidad de otros que naveguen en la misma red local. Esto ya se puede hacer con un sniffer, un proxy local, envenenamiento ARP, etc... pero Firesheep demostró lo fácil que puede resultar para cualquiera robar la sesión a través de un solo click. La solución es también sencilla: cifrar toda la información. Facebook ha reaccionado permitiendo que toda la sesión se base en SSL, pero de forma opcional, lo que todavía deja en manos del usuario la decisión de que su sesión permanezca protegida o no. Es una medida necesaria pero insuficiente.

Además existe Borogove, otro programa que facilita con mecanismos similares la obtención de conversaciones de chat dentro de Facebook. Aunque se supone que debería estar protegido por el cifrado, el sistema de chateo no funciona correctamente bajo el cifrado.

* Autenticación Social. Esto, en resumen, es eliminar el tradicional CAPTCHA y utilizar el reconocimiento de caras de amigos para demostrar que eres un ser humano. Troyanos como koobface han demostrado que los CAPTCHA no son infalibles. Recordemos que el troyano Koobface, "secuestraba" el sistema y pedía a la víctima la resolución de varios CAPTCHA de Gmail. Así conseguía crear cuentas fantasma automáticamente para poder difundirse mejor, entre otros objetivos. Usaba a sus víctimas como esclavos o "CAPTCHA brokers".

Estas dos nuevas medidas se añaden a un continuo esfuerzo en Facebook por demostrar que están comprometidos con la seguridad y la privacidad de los datos. Ya anunciaron mejoras en marzo de 2008 (introdujo la categoría "amigos de amigos"), en diciembre de 2009 (facilitó los controles para proteger la seguridad de las cuentas), etc...

Fuente HISPASEC.com

El iPhone se puede ‘crackear’ en menos de seis minutos

2011-02-14T12:34:00.001-08:00

Un grupo de investigadores alemanes ha descubierto un agujero en Apple iOS que podría permitir que un hacker extraiga las credenciales de acceso de un dispositivo comprometido.

Una presentación de Fraunhofer SIT (PDF) sugiere que un ciberdelincuente que ha robado un iPhone, iPad o iPod Touch podría superar no sólo la protección de código de acceso del propio dispositivo sino acceder a otras contraseñas almacenadas en la herramienta de cadena de claves que gestiona las credenciales de acceso.

Los investigadores aseguran que el procedimiento se puede realizar en un dispositivo parcheado y sin modificar que esté bloqueado con un código de acceso que el atacante no pudiera adivinar ni obtener.

Superar las protecciones empieza por hacer un jailbreak en el dispositivo, o modificarlo. Un atacante podría conectar el dispositivo al ordenador mediante USB e instalar y ejecutar una herramienta de jailbreak para poder acceder a ciertas partes del terminal. Desde ese momento los investigadores fueron capaces de ejecutar un código de script y descifrar la información almacenada.

El equipo de investigadores asegura que el descifrado de la información se puede hacer porque en los actuales dispositivos basados en iOS las claves criptográficas no dependen del código de acceso secreto del usuario. Teniendo acceso a la cadena de claves un atacante podría obtener las credenciales de todos los sites y servicios almacenados dentro del dispositivo.

La conclusión, según los investigadores, es que tanto usuarios como empresas debería tener procedimientos de emergencia en caso de robo o pérdida del dispositivo.

Fuente: itespresso.com.es

Ciberdelicuencia: Falsos mensajes de texto que informan sobre el bloqueo de tarjetas de crédito

2011-02-14T12:32:00.000-08:00

Recursos afectados

Todos los usuarios de dispositivos móviles que reciban un SMS o MMS fraudulento, accedan al enlace que contiene e introduzcan sus datos bancarios.

Descripción
Se están propagando mensajes de texto fraudulentos que simulan provenir de entidades bancarias. Los mensajes están en español y contienen el siguiente texto: “Estimado cliente, su tarjeta visa ha sido bloqueada por su seguridad. Para desbloquear su tarjeta visite por favor www.[eliminado].com y complete los pasos, tiene 24 horas”.
Solución

Seguir las recomendaciones básicas de seguridad en dispositivos móviles:

* Ignorar / borrar SMS o MMS de origen desconocido que inducen a descargas o accesos a sitios potencialmente peligrosos.
* Si se sospecha de la veracidad de un mensaje, consulte con su entidad bancaria.
* No introducir nunca los datos bancarios o de las tarjetas de crédito en páginas de dudosa legalidad o que no contengan los elementos básicos de seguridad.

Si ha accedido al enlace y ha completado el formulario, es posible que los datos de su tarjeta bancaria hayan sido comprometidos; contacte con su entidad bancaria para anular las tarjetas de crédito. Si ya ha sido víctima de un fraude, además de contactar con su entidad bancaria, debe interponer una denuncia ante los Cuerpos y Fuerzas de Seguridad del Estado
Detalle

Haciendo uso de la ingeniería social, se están enviando mensajes de texto a dispositivos móviles que simulan provenir de entidades bancarias informando del bloqueo de una tarjeta de crédito. El enlace adjunto en el mensaje de texto lleva a un sitio web cuyo objetivo es conseguir datos de tarjetas bancarias mediante un formulario.

Fuente INTECO.COM.ES

Delicuentes apuntan a firmas Petroleras y de Energía en los ataques Night Dragon

2011-02-14T12:22:00.000-08:00

Las compañías mundiales petroleras, de energía y petroquímicas están siendo el blanco de una serie de ataques para robar información privada, mucha de la cual incluye información de financiera de proyectos, ofertas de campos, y otra información operativa. La operación, denominada ataques 'Night Dragon' por los investigadores de McAfee Inc., se origina en China, según un informe publicado por el proveedor de soluciones de seguridad.

En un informe detallado, "Global Energy Cyberattacks: 'Night Dragon'" (PDF) los investigadores de McAfee dicen que los ataques se detectaron por primera vez en Noviembre de 2009 y podrían involucrar a "muchos actores". El proveedor de seguridad estima que los ataques podrían haber estado sucediendo desde hace tanto como cuatro años.

"Ataques dirigidos y bien coordinados tales como Night Dragon, orquestados por un creciente grupo de atacantes maliciosos comprometidos con sus blancos, están creciendo rápidamente," dice McAfee en su informe. "Estos blancos ahora han avanzado más allá de la base industrial de defensa, de computadoras militares y gubernamentales para incluir blancos corporativos y comerciales mundiales."

El sector de la energía ha sido por mucho tiempo blanco del ciber-espionaje. El año pasado McAfee y el Centro para Estudios Estratégicos e Internacionales (CSIS) publicaron un informe que destacaba serias fallas en la seguridad informática en instalaciones de infraestructura crítica, incluyendo refinerías de petróleo y plantas químicas y eléctricas. El informe incluyó el resultado de una encuesta a 600 ejecutivos de seguridad y de TI de empresas de infraestructuras críticas. Los sectores del petróleo y el gas reportaron las tasas más altas de infiltraciones silenciosas (71%), contra el 54% del general de los encuestados, con más de una tercera parte que informaron sobre múltiples infiltraciones cada mes. La industria del petróleo y el gas también tuvo los indices más elevados de extorsión.

Es su informe del Night Dragon, McAfee dice que ha identificado a un individuo que proveyó de la infraestructura de comando y control (C&C) para los atacantes. Originando desde distintas ubicaciones en China, los atacantes usaron los servidores de comando y control ubicados en servicios alojamiento de los EEUU ta también en servidores comprometidos de Holanda para cometer sus ataques.

Adicionalmente a las compañias, los atacantes tambíén apuntaron a "individuos y ejecutivos de Kzajistán, Taiwan, Grecia y los EEUU para apoderarse de información privada y altamente confidencial," dijo McAfee.

McAfee dice que los métodos de los ataques fueron relativamente poco sofisticados y parecen ser "las técnicas de administración estándar, usando credenciales administrativas estándar. "Usando herramientas automatizadas, los atacantes primero usaron ataques de inyección SQL para comprometer los servidores web de las firmas de energía. Desde allí, los hackers consiguieron acceso a la Intranet de las firmas donde usaron software para romper contraseñas y así eludir la autenticación instalada en equipos e escritorio y servidores sensibles, dijo McAfee.

"Esto es por lo que principalmente son capaces de evadir la detección del software de seguridad estándar y las políticas de red," dice McAfee. "Usando el malware [herramienta de administración remota], procedieron a conectarse a otras máquinas (lo ejecutivos blanco) e infiltrarse en archivos de correo electrónico y otros documentos sensibles," dice McAfee. El blanco fueron las laptops de trabajadores móviles para comprometer las cuentas VPN corporativas.

McAfee publicó una herramienta de detección de la vulnerabilidad Night Dragon para comprobar si los sistemas son vulnerables a los tipos de métodos usados por los atacantes.

"Archivos de interés enfocados en sistemas operacionales de campos de petróleo y gas, y documentos financieros relacionados con exploración de campo y pujas fueron luego copiados de los equipos comprometidos o mediante servidores de extranet," dijo McAfee. "En algunos casos, los archivos fueron copiados y descargados por los atacantes desde los servidores web. En ciertos casos, los atacantes recolectaron información de sistemas SCADA."

FUente Segu-Info.com.ar

Un nuevo ataque revela las contraseñas de los iPhones en minutos

2011-02-10T08:29:00.000-08:00

Investigadores alemanes aseguran haber descubierto una forma de ataque que revela las contraseñas almacenadas en iPhones en tan sólo seis minutos sin necesidad de disponer del código de acceso a los dispositivos.
El ataque, que exige la posesión del iPhone, se dirige contra el sistema de gestión de contraseñas de Apple y se basa en exploits existentes que proporcionan acceso a grandes partes del sistema de archivos de iOS. Con él puede hacerse que el smartphone revele contraseñas de acceso a redes y sistemas de información corporativos en casos de robo o pérdida del dispositivo.

Los investigadores que lo han desarrollado, primero desbloquearon el iPhone utilizando herramientas de hailbreaking disponibles. Después instalaron un servidor SSH sobre el smartphone que permitía correr software sobre él.

A continuación copiaron un script de acceso a la gestión de contraseñas del iPhone, que utiliza funciones de sistemas que ya existen en el dispositivo para acceder a las entradas del sistema y finalmente revela a los atacantes los detalles de las cuentas que descubre.

El ataque funciona porque la clave criptográfica de los actuales dispositivos basados en el sistema operativo iOS está basada en material disponible dentro del dispositivo y es independiente del código de acceso al mismo, según los investigadores que lo han descubierto.

Las contraseñas que revela y desencripta, no obstante, se limitan a las del sistema de gestión de contraseñas de Apple “keychain”, quedando a salvo las protegidas por otros sistemas. Entre las vulnerables se incluyen las de cuentas en Google Mail o MS Exchange, LDAP y correo de voz, así como a las de acceso a VPN y WiFi.

Fuente CSOSPAIN

Michelle Obama prohibió a sus hijas usar Facebook

2011-02-10T08:23:00.000-08:00

La primera dama de Estados Unidos, Michelle Obama, es contraria a que sus hijas, Sasha y Malia, tengan una cuenta en la red social Facebook, según declaró.

"No soy una gran partidaria de que los muchachos jóvenes tengan Facebook. No es algo que les haga falta, no es necesario", declaró la primera dama en una entrevista concedida al programa "Today", de la cadena NBC, con ocasión del primer aniversario de su iniciativa "Let's Move" contra la obesidad infantil.

Sus hijas no tienen una cuenta en esa red social, reveló, algo para lo que las estrictas normas de seguridad que impone el Servicio Secreto -responsable de velar por la integridad física de la familia presidencial- ha resultado una gran ayuda.

"Creo que tenemos suerte de que haya tantos límites, cosas como el Servicio Secreto", explicó.

Malia, de doce años, y Sasha, de nueve, podrían abrir una cuenta en la red social una vez que los Obama abandonen la Casa Blanca, aunque, según precisa su madre, dependerá de la edad que tengan cuando eso ocurra.

Mientras tanto, subrayó, tanto ella como el presidente Barack Obama se esfuerzan en que las dos niñas tengan una infancia lo más normal posible.

"Nuestras hijas son de veras muy normales", aseguró, antes de añadir que "de la Casa Blanca han salido muchos niños estupendos. Las hijas de Bush son magníficas. Chelsea Clinton es una joven muy sólida... Ojalá que las niñas Obama se encuadren en el mismo grupo".

Facebook sólo permite abrir cuentas a los mayores de trece años, aunque niños más jóvenes consiguen entrar al declarar una edad superior en el momento de registrarse.

En la misma entrevista, Michelle Obama se refirió también a las canas que le han salido a su esposo desde su llegada a la presidencia.

Obama "tiene el pelo bastante gris", reconoció la primera dama, que subrayó que el presidente no se tiñe el cabello. "Es demasiado tarde" para empezar a hacerlo, se rió.

Quizás, si hubiera sabido hace diez años que iba a presentarse a las elecciones presidenciales y ganarlas, hubiera podido empezar a disimular las canas, bromeó.

Acerca de dos fotografías tomadas el mismo día el mes pasado, en las que se ve en una de ellas a Obama con el cabello más oscuro, atribuyó la diferencia a la iluminación.

El presidente, agregó Michelle Obama, "se preocupa muy poco por su aspecto", hasta el punto de que ella desearía que cambiara en algún momento el color de sus chaquetas.

Sus hijas y ella, agregó, "aplaudimos cuando se pone una camisa de color brillante".

Fuente: Segu-Info.com.ar

Redes zombies: La nueva gran amenaza de Internet

2011-02-10T08:12:00.001-08:00

La lógica hacker está cambiando. Los virus que llegan por e-mail cada vez tienen menos presencia y el centro de la escena la empiezan a ocupar las redes botnet o zombies. Estas redes no son ni más ni menos que computadoras hogareñas o de empresas controladas de forma remota –sin que sus dueños lo sepan– por intrusos.

En la Argentina los intentos de hackear las computadoras para que pasen a formar parte de una red botnet se duplicaron en el último año. En 2009, una de cada 150 personas en el país recibieron una amenaza botnet. Y en 2010 esa cifra trepó a una de cada 65 personas, según datos del laboratorio de la empresa de seguridad informática ESET.

Esta nueva manera de instalarse permanentemente en las PCs de los otros le permite a los hackers actuar de diversas maneras, según la conveniencia del día. “Antes, los malwares (virus, troyanos) eran estáticos. Un determinado troyano estaba diseñado para robar claves, por ejemplo. Y se instalaba en una PC vía e-mail para grabar las claves y el atacante las podía robar. Pero ahora con las redes botnet el malware pasa a ser dinámico. ‘Primero te tomo la máquina, armo una red de miles de PCs, y después veo para que la uso’”, explica Sebastián Bortnik, de ESET.

“Las botnet se han convertido en la amenaza más poderosa de Internet. Y se hacen segundo a segundo más sofisticadas”, coincide Maximiliano Cittadini, el especialista en el tema de Trend Argentina.

Con una red zombie un atacante puede usar todas las máquinas tomadas, y en un segundo inundar miles de casillas de correo con spam. También puede alojar, en las PCs, sitios de phishing (páginas truchas para robar claves) o sitios de pornografía. Además puede robar información y propagar malware. La novedad es que con la misma red puede ir variando de delito. En los últimos dos años, la cantidad de redes zombies se duplicaron. Y se espera que en 2011 lleguen a 7.000.

Para dimensionar el problema basta recordar que en marzo del año pasado La Guardia Civil española y el FBI desarticularon en Madrid la red Mariposa, una red zombie que tenía bajo control 13 millones de PCs, de las cuales 180 mil estaban en la Argentina.

Una de las claves de esta clase de redes es que es muy barato mantenerlas. “Las botnet están alojadas principalmente en servidores de Rusia, que cobran por el servicio entre 80 y 200 dólares al mes. Además, una botnet de 2.000 PCs tomadas se alquila por 40 dólares por día”, explica Bortnik.

Para que la computadora propia no se convierta en un zombie hay que tomar precauciones. “Hay que poner especial atención en los archivos que llegan por mail y borrar aquellos mensajes de desconocidos que tienen adjuntos”, dice Cittadini. “Descargar programas de sitios desconocidos y no usar los parches del sistema operativo pueden hacer que uno se convierta en víctima. Pero ojo que las botnet modernas infectan también por dispositivos USB”, finaliza Dmitry Bestuzhev, de Kaspersky.

Fuente: Diario el Clarin

Adobe soluciona 42 fallos en Reader y Flash

2011-02-10T08:10:00.000-08:00

Adobe acaba de parchear 29 vulnerabilidades en Reader, su aplicación para poder leer documentos en formato PDF, y otras 13 en Flash, como parte de su actualización de seguridad trimestral.

Esta es la primera vez que Adobe parchea Reader X, la última versión del software lanzada el pasado mes de noviembre y que incluía una ‘sandbox’, una tecnología anti-exploit en la versión de Windows.

La mayoría de los fallos de Reader se han calificado de ‘críticos’, lo que significa que pueden ser explotados por los atacantes para llenar de malware un sistema no parcheado. Dos de las 29 vulnerabilidades podrían generar ataques cross-site scripting (XSS); además, los ciberdelincuentes podrían explotar una de las vulnerabilidades, que sólo afecta a la versión para Windows, para obtener privilegios sobre la máquina.

La actualización afecta a las versiones 8.2.6, 9.4.2 y 10.0.1 de Reader pata Windows y Mac OS X. Los usuarios de Linux tendrán que esperar hasta el 28 de febrero.

Salvo tres, todos los fallos afectan a Reader X, la actualización que Adobe lanzó hace unos tres meses. La gran novedad en la versión de Windows fue la incorporación de una ‘sandbox’, una tecnología que aísla los procesos de la aplicación del ordenador, para detener y aislar un código de ataque e impedir de esta forma que afecte a todo el sistema. Desde Adobe confirman que ninguno de los 26 fallos que afectan a Reader X afectan a la sandbox y que no se pueden utilizar para superar su protección.

Adobe también ha actualizado Flash para solventar un total de 13 vulnerabilidades, todas consideradas como ‘críticas’ porque podrían ser explotadas para ejecutar ataques. Ocho de las 13 están relacionados con fallos de corrupción de memoria. La actualización de seguridad ha llevado a Flash a su versión 10.2.152.26.

A continuación Listado de parches

http://www.adobe.com/support/security/bulletins/apsb11-01.html
http://www.adobe.com/support/security/bulletins/apsb11-02.html
http://www.adobe.com/support/security/bulletins/apsb11-03.html
http://www.adobe.com/support/security/bulletins/apsb11-04.html

Fuente: Adobe.com

Oracle lanza un parche de seguridad de emergencia para Java

2011-02-10T08:06:00.000-08:00

Oracle ha anunciado un parche de emergencia que soluciona una vulnerabilidad en Java que puede causar que el sistema se cuelgue y que pueda ser explotado por atacantes de manera remota sin autenticación.

Según la alerta notificada por Oracle, el error hace que el entorno de ejecución Java se cuelgue al convertir “2.2250738585072012e-308″ a un número binario de punto flotante. Las aplicaciones y servidores web basados en Java están especialmente expuestos a esta vulnerabilidad, aseguran desde Oracle.

Varios son los productos afectados por el fallo, como Java SE y Java for Business. En la página de Oracle se puede acceder a un listado completo junto con los enlaces para conseguir los parches.

Normalmente Oracle lanza los parches de seguridad de sus productos trimestralmente, aunque en este caso el fallo resulta tan grave que la compañía se ha saltado la norma.

La última actualización de seguridad, en el mes de enero, incluía más de 60 parches, lo que según la opinión mayoritaria no son muchos si se tiene en cuenta la cantidad de adquisiciones que ha realizado Oracle en los últimos años.

Listado de Oracle
http://www.oracle.com/technetwork/topics/security/alert-cve-2010-4476-305811.html

Fuente: itespresso.es

Intel opta por Symantec para securizar sus próximos procesadores Core

2011-02-10T08:04:00.001-08:00

Intel y Symantec han dicho que su acuerdo servirá para unir las credenciales de Verisign Identity Protection (VIP) de Symantec con la Identity Protection Technology (IPT) de Intel, una plataforma que crea credenciales de usar y tirar en los chipsets de Intel.

Diseñado para proteger la información de las cuentas online, la plataforma VIP utiliza credenciales válidas para una única vez para autentificar a los usuarios e impedir accesos no autorizados cuando se ha conseguido robar un nombre de usuario y contraseña. El sistema fue parte de las tecnologías que Symantec adquirió con la compra de VeriSign.

Integrando VIP directamente en la plataforma IPT, las dos compañías podrán hacer que el sistema de autenticación de VeriSign se integre directamente en el chipset. El resultado es un servicio que Symantec cree que permitirá a las empresas asegurar mejor los sistemas de los usuarios junto con la información de las cuentas online. Además, la compañía asegura que la oferta combinada permitirá a los administradores TI simplificar la gestión de la seguridad.

Atri Chatterjee, presidente de autenticación de Symantec, afirma que sincronizar VIP con los chipsets de Intel ha permitido crear una credencial de autenticación fuerte “que no se ve pero siempre está en el PC”.

Desde que Intel anunciara la compra de la empresa de seguridad McAfee en agosto del año pasado ha afirmado que la adquisición le permitiría integrar seguridad en su hardware, aunque por el momento no se ha anunciado un producto concreto que haya sido el resultado de aquel acuerdo de compra.

Fuente: itespresso.com.es

Aclaraciones sobre el filtrado del patrón de generación de claves WPA de Movistar y Jazztel

2011-02-10T08:03:00.000-08:00

El pasado 4 de febrero se hizo público el algoritmo que genera las contraseñas por defecto de los routers Comtrend. Estos son los que ofrecen MoviStar (Telefónica) y Jazztel a sus clientes para dar acceso a Internet. Mucho se ha especulado con el asunto. Hemos investigado sobre la filtración, acudiendo directamente a las fuentes, y queremos compartir algunos aspectos interesantes.

Me he puesto en contacto con Comtrend para contrastar la información, con los que he mantenido una interesante conversación telefónica. Desde ahí, me aseguran que seguridadwireless no ha sacado ni ha exigido a Comtrend ningún beneficio ni económico ni de ningún tipo por el descubrimiento.

Comtrend es una compañía cuyo departamento de investigación y desarrollo opera desde España, y el algoritmo generado ha sido diseñado por ellos mismos. Es importante destacar que desde Hispasec reconocemos que el algoritmo es robusto y correcto. Si bien se utiliza MD5 (no muy seguro hoy en día) creemos que la lógica del algoritmo no ha influido demasiado en su descubrimiento. Como todavía no sabemos los detalles de cómo ha sido descubierto, podemos especular que el punto débil puede ser en el hecho de que el algoritmo se ejecute en el mismo router cada vez que se inicializa su configuración (un comportamiento no exclusivo de Comtrend, casi todos los routers lo hacen de esta forma). Tanto desde Comtrend como desde seguridadwireless se niega explícitamente el filtrado de la información. Parece pues que el algoritmo fue consecuencia de ingeniería inversa avanzada.

¿Por qué no se ha publicado un firmware que solucione este fallo para los routers ya existentes? Hay que tener en cuenta que lógicamente tanto MoviStar como Jazztel son a su vez clientes muy importantes de Comtrend y parte de las decisiones técnicas son consensuadas. Desde Hispasec suponemos que no es una situación fácil para ninguno de los implicados. Las posibles actualizaciones de los routers que operan bajo MoviStar y Jazztel en España obligarían a la coordinación de todas las partes y además, a desplegar tanto un operativo técnico adecuado como una campaña de información sencilla para los usuarios "de a pie". Por si fuera poco, hay que tener en cuenta que los clientes que no han cambiado su clave, precisamente los más vulnerables, muy probablemente tampoco actualicen su firmware. Entendemos que es una situación delicada, tanto para MoviStar, Jazztel como para Comtrend y es por lo que todavía no existe un comunicado oficial de estos últimos. Deben pensar bien cuál es el siguiente paso para actuar responsablemente.

Contrastada la información de primera mano, creemos que desde ambas partes, tanto desde Comtrend como desde seguridadwireless, se ha actuado de buena fe y con las mejores intenciones aunque se hayan cometido algunos errores. No así la fuente anónima que publicó el algoritmo completo. En este caso concreto, la revelación tan temprana parece no haber beneficiado a nadie.

Queda esperar qué solución se propone en conjunto para que no sean los clientes finales los que se vean finalmente más afectados.

Fuente: Hispasec.com

Microsoft publicará 12 boletines el próximo martes

2011-02-07T14:17:00.000-08:00

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan doce boletines de seguridad. En esta ocasión la mayoría de los boletines, diez de ellos, van dirigidos hacia Microsoft Windows, los otros dos restantes van dirigidos a Microsoft Office y Internet Explorer.

Microsoft ha catalogado tres de ellos como Críticos, y los otros nueve restantes como Importantes. La mayoría permitiría a un atacante llevar a cabo una elevación de privilegios o la ejecución de código arbitrario, también hay cabida para una denegación de servicio y revelación de información sensible.

Microsoft también publicará simultáneamente una actualización para la herramienta Microsoft Windows Malicious Software Removal Tool. Igualmente se publicarán parches no relacionados con la seguridad que corrigen fallos de programación y mejoras.

Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora.

Microsoft Security Bulletin Advance Notification for February 2011
http://www.microsoft.com/technet/security/bulletin/ms11-feb.mspx?pubDate=2011-02-03

Fuente: HISPASEC

La botnet Zeus se desplaza a Europa del Este

2011-02-07T14:07:00.000-08:00

Una investigación ofrece nuevos datos sobre la botnet Zeus afirmando que en Estados Unidos casi el 40% de los sites se utilizan para controlarla.

Ha sido la empresa de seguridad Trusteer la que en un reciente estudio de cuatro meses de la botnet Zeus ha mostrado que el 39,8% de los sites se están utilizando como centros de control y comando de las máquinas infectadas tenían una dirección IP en Estados Unidos.

Tras Estados Unidos, Rusia, con un 21,6% de cuota de mercado de máquinas infectadas por Zeus. En Conjunto, los países de Europa del Este contabilizan el 32% de Zeus.

Zeus está considerado como una de las principales amenazas de Intenet. Extremadamente fácil de mantener, el malware se puede desplegar sin apenas costes. Además, Zeus también ha sido reconocido por su habilidad para conseguir que los usuarios desvelen su información personal. El programa puede interceptar páginas web de sites legítimos y añadir código para conseguir detalles de cuentas.

Según Trusteer aunque los grandes países tienen altos índices de infección, las estadísticas muestran que las naciones emergentes empiezan a ser objetivo del malware. Según la empresa de seguridad, el uso cada vez mayor de sistemas de servicios y registros automatizados en Internet hace que el seguimiento de un operador humano sea menos frecuente en los países con buenos accesos a Internet.

Fuente: itespresso.com.es

20.000 dólares y un portátil para quien tumbe a Chrome

2011-02-07T14:06:00.000-08:00

Google está tan seguro de que su navegador no se puede hackear que está ofreciendo un premio de 20.000 dólares y un portátil a la primera persona que sea capaz de romper la seguridad del navegador en una competición que tendrá lugar el próximo mes.

Los hackers participantes en la próxima competición Pwn2Own utilizarán máquinas con Microsoft Windows 7 o Mac OS X para buscar agujeros de seguridad en el navegador Google Chrome.

Microsoft, Mozilla y Apple también se han atrevido a llevar sus navegadores a la competición, de forma que los participantes también podrán escudriñar en Internet Explorer, Firefox y Safari. Las tres compañías han ofrecido 15.000 dólares al hacker ganador.

Los 20.000 dólares ofrecidos por Google es el mayor premio que se ha ofrecido en el Pwn2Own en sus cinco años de historia.

La competición de hackers tendrá lugar durante la conferencia de seguridad CanSecWest que se celebra en Vancouver el próximo 9 de marzo.

Fuente: itespresso.com.es

Un tercio de los internautas de la UE tuvieron algún virus en 2010

2011-02-07T14:04:00.000-08:00

El próximo 8 de marzo es el Día de Internet Seguro, y Eurostat lo ha empezado a celebrar publicando una serie de estadísticas sobre el tema en la Unión Europea. La conclusión del informe es clara: aunque una gran mayoría de los usuarios utiliza algún software de protección (un 84%, al igual que en España), eso no ha impedido que casi un tercio de los internautas europeos viera su ordenador infectado por algún virus en 2010.

El informe desglosa distintas áreas de seguridad, destacando los datos que indican que España fue, junto con Bulgaria, uno de los países en los que más usuarios (un 7%) afirmaron haber sufrido algún abuso o violación de su privacidad en la red. Además, un 3% de los usuarios de la UE aseguraron haber sufrido pérdidas económicas.

En cuanto al uso de software de control paternal, su uso en la Europa de los 27 continúa siendo bastante limitado, con tan solo el 14% de los usuarios que viven en un hogar con niños teniendo este tipo de software instalado (un 13% en España).

En este aspecto, el estudio también recoge las incidencias en las que los niños accedieron a sitios web inadecuados o conectaron con personas potencialmente peligrosas, concluyendo que esto ocurrió en el 5% de los casos en toda Europa y en el 3% en el caso de España.

Fuente: itespresso.com.es

Facebook ahora permite conexiones seguras SIEMPRE

2011-02-07T14:02:00.000-08:00

Hasta hace unas semanas Facebook solo cifraba nuestra información cuando ingresábamos en su sistema, dejando a merced de cualquiera con un sniffer o un navegador web, toda nuestra información (incluyendo chats, secciones, etc..); Facebook se dio cuenta del problema y empezó a cambiar esto permitiendo el uso de httpS siempre y no solo en el login, la noticia empezó a rodar por la web incluso en sitios relacionados con la seguridad en español, sin que esta solución estuviera todavía implementada en nuestro idioma (todos con el mismo pantallazo).

Facebook ahora permite conexiones seguras SIEMPRE

En la comunidad ya habíamos escrito artículos sobre como forzar las conexiones seguras en las redes sociales y hasta hace poco eran la única alternativa que teníamos los hispanohablantes para asegurar nuestra conexión segura en las redes sociales (aunque otros dijeran lo contrario).

Después de mucha espera, por fin Facebook ha decidido implementar esta funcionalidad también en los perfiles de cuentas en español, pero no viene activada por defecto, es por eso que les dejo el siguiente proceso para que asegures las conexiones a tu cuenta de Facebook en todo momento.
Como activar conexiones SSL en Facebook siempre?

* Ingresa con tu cuenta en Facebook
* Click en la esquina superior derecha Cuenta/Configuración de la cuenta.

SSLenFB Facebook ahora permite conexiones seguras SIEMPRE

* Dentro de la configuración de la cuenta buscamos Seguridad en la cuenta, y activamos la casilla Navegación segura (https)

SSLenFB1 Facebook ahora permite conexiones seguras SIEMPRE

* Le das al botón Guardar, y listo.

Con estos simples pasos podrás proteger tu cuenta y evitar que un usuario mal intencionado se haga con tus credenciales o espíe tu comportamiento dentro de Facebook.

Fuente: www.dragonjar.org

Rootkit.com : Los hackers también lloran

2011-02-07T14:00:00.000-08:00

Sigue la moda de publicar volcados de bases de datos con credenciales. Como ocurría cuando pHC entraba en alguno de sus "objetivos" y generaba un log con toda la información.

Luego le tocó el turno a varios portales importantes como rockyou o moneybrookers. Ayer fue el turno de rootkit.com y su base de datos. Esta web es uno de los puntos de encuentro de la gran mayoría de aficionados a la ingeniería inversa, así que la gran mayoría de sus usuarios son viejos conocidos.

Tras obtener las cuentas de correo de HBGary.com, y utilizando ingeniería social se consiguió el acceso al servidor de rootkit.com.

Una de las cosas que más curiosas me parecen de todo esto y por buscar algo gracioso, es siempre el top contraseñas, que por cierto, se almacenan en md5. ¡¡Oh sorpresa!! 123456 wins again.

Fuente: securiy by default

Android e iOS, objetivo de los piratas informáticos

2010-11-16T07:37:00.000-08:00

Android e iOS, objetivo de los piratas informáticos

Hackers infectan la página de descargas de Kaspersky

2010-10-21T14:19:00.000-07:00

La empresa de seguridad Kaspersky ha admitido haber sido víctima de un ataque de hacking el pasado fin de semana que ha explotado un fallo en un programa web que aparentemente está relacionado con las descargas de software.

Kaspersky ha dicho que los estafadores fueron capaces de engañar a los visitantes para que pensaran que estaban descargando un producto oficial de la compañía de seguridad cuando en realidad era falso.

El truco utilizado para engañar a los usuarios es viejo; apareció una ventana emergente que se ofreció a ejecutar una exploración en sus máquinas, si se aceptaba alertaba a los usuarios de que estaban infectados y se les proponía que descargaran una aplicación, que resultaba ser un antivirus falso.

Kaspersky ha dicho que el ataque estaba limitado a su dominio kasperskyusa.com, y que explotaba una vulnerabilidad de una aplicación externa a la compañía y utilizada para ayudar en las rutinas de administración de las páginas web.

La compañía ha confirmado que el dominio redirigió a los visitantes al programa fraudulento durante tres horas y media. Una vez que se dio cuenta de la vulnerabilidad, el servidor afectado estuvo durante diez minutos fuera de servicio. Los componentes vulnerables fueron eliminados y se reemplazaron con archivos limpios. Posteriormente Kaspersky auditó el site y aseguró que la información personal de los usuarios no se había visto expuesta.

Fuente itespresso.es

FaceTime para Macs se estrena con fallos de seguridad

2010-10-21T13:54:00.001-07:00

Poco han tardado las flamantes novedades presentadas ayer por Apple en dar sus primeros problemas: la primera ha sido la versión de FaceTime para Macs, que se ha estrenado poniendo en peligro la seguridad de las cuentas de iTunes de los usuarios que se instalaban la beta.

Según desvelaron en Macworld Germany, una vez que la beta de FaceTime es instalada en un Mac la contraseña de la cuenta de iTunes asociada puede ser cambiada sin haber tenido que introducir la contraseña original. Además, se tiene también acceso a otros cambios en la configuración que pueden ser realizados, una vez más, sin introducir ninguna clave de seguridad.

Un informe de seguridad distinto ha alertado además de que los ordenadores que ya están conectados con FaceTime muestran en la configuración de la cuenta toda la información del usuario, incluidas la pregunta de seguridad y su respuesta. Además, al desconectarse de la aplicación, la contraseña queda guardada en el campo del formulario correspondiente, por lo que cualquiera que abra el programa a continuación podría acceder a la cuenta.

La beta de FaceTime para Macs fue lanzada ayer en el evento de Apple Back to the Mac. Desde Apple aún no han comentado estos problemas de seguridad, aunque se supone que, al tratarse de una versión beta, estarán trabajando en su resolución para la versión final.

fuente itespresso.es

Vulnerabilidad del núcleo de GNU/Linux cede permisos de superusuario

2010-10-21T13:41:00.000-07:00

El sistema operativo open-source Linux contiene una seria falla de seguridad que puede ser explotada para conseguir permisos de superusuario en el sistema atacado.

La vulnerabilidad, en la implementación Linux del protocolo Reliable Datagram Sockets (RDS), afecta a versiones no parchadas del kernel de Linux, comenzando con la 2.6.30, donde fue incluido por primera vez el protocolo RDS.

Según VSR Security, el equipo de investigación que descubrió el agujero de seguridad, las instalaciones Linux solo son afectadas si la opción de configuración del núcleo CONFIG_RDS está activada, y si no hay restricciones para los usuarios no privilegiados de cargar la familia de paquetes de módulos, como es el caso en las mayoría de las distribuciones.

Debido a que las funciones del núcleo responsables del copiado de datos entre el kernel (kernel) y el espacio de usuario falló al verificar que la direccion provista por usuario actualmente reside en el segmento de usuario, un atacante local podía libera una llamada a una función socket preparada especialmente para escribir valores arbitrarios en la memoria del núcleo. Apoyandose en esta capacidad, es posible para usuarios no privilegiados el escalar sus privilegios a los de root.

La compañía ha liberado una explotación como prueba de concepto para demostrar la gravedad de la vulnerabilidad. Los muchachos de H Security probaron la explotación en Ubuntu 10.04 (64 bits) y tuvieron éxito en abrir una shell como root.

Un arreglo para este asunto ha sido enviado por Linus Torvald. VSR Secutrity recomienda a los usuarios instalar las actualizaciones provistas por las distribuciones o aplicar el parche liberado y recompilar sus kernel.

Fuente Segu-info.com.ar

El robo de información es un problema mayor que el robo de bienes

2010-10-21T13:39:00.000-07:00

Cualquier persona que ha recibido alguna "notificación" sobre extrañas actividades en su tarjeta de crédito, o una petición urgente por correo electrónico de la viuda de Mobutu Sese Seko, no se sorprenderá al saber que el robo de información es un gran problema. Pero una nueva encuesta de la Consultoría Kroll considera que también es una situación que enfrentan las empresas y que supera incluso al robo de bienes físicos.

En su Informe sobre Fraudes a Nivel Mundial, Kroll dijo que en una encuesta realizada a 800 ejecutivos reveló que el robo de información era la forma más denunciada de fraude, con un total de 27.3% de los encuestados que reportaron algún incidente de robo de información en los últimos 12 meses, frente a 18 % que reportó el robo de información en los últimos 12 meses en 2009. En comparación, los informes sobre el robo de activos físicos fueron menores, con tan solo 27.2% en los últimos 12 meses.

Kroll aplico la encuesta a 800 ejecutivos de alto nivel en empresas con presencia mundial a través de la Economist Intelligence Unit en julio y agosto de 2010. La encuesta abarcó a ejecutivos en una amplia gama de mercados verticales, incluidos los servicios financieros, comercio minorista, servicios profesionales, tecnología, medios de comunicación y así sucesivamente. Alrededor del 47% eran ejecutivos de nivel C, y la mayoría de los encuestados trabajaban en empresas con ingresos anuales de más de 500 millones de dólares. Alrededor del 30% provino de América del Norte, una cuarta parte provino de Europa y la región de Asia y el Pacífico, y 11% de América Latina, África y Oriente Medio.

El robo de información fue dirigida especialmente a empresas verticales centradas en la información, incluidos los servicios financieros, tecnología, servicios profesionales, así como los medios de comunicación y telecomunicaciones, según el sondeo. Cuarenta y dos por ciento de las empresas de servicios financieros encuestados por Kroll informaron de robo de información, pérdida o ataques en los últimos 12 meses, comparado con sólo el 24% en 2009. El número fue de 40% para las empresas de servicios profesionales, 27% más que el año pasado.

Los activos de tecnología pobremente protegidos son señalados como un factor que contribuye al crecimiento del problema de robo de información.

"La tecnología pobremente defendida es cada vez más fácil de explotar por parte de los defraudadores con cada vez más herramientas avanzadas de origen propio, que van desde la sofisticada piratería informática hasta una simple unidad de memoria", concluyó el informe.

Los ataques de robo de identidad fueron una importante fuente de preocupación, con un 20 por ciento de los encuestados que la menciona, así como "un incremento en el uso de la tecnología" o el llamado 'consumidor de las TI como los dos elementos más comunes de fraude que llevaron al robo de información.

Los temores entre las empresas sobre el robo de información tiene sus bases en el incremento de las inversiones en tecnología de la información de este año, con el 48% de los encuestados que mencionó que aumentará su inversión en tecnologías de seguridad y de lucha contra el fraude.

Un punto más para preocuparse, especialmente para los países en desarrollo, sin embargo es lo que las empresas no van a hacer, por ejemplo: ampliar las operaciones en los países donde existen altos riesgos a la corrupción, el robo de información o el robo de propiedad intelectual. Según la encuesta de Kroll, el 33% de los encuestados citaron los temores de robo de información como un factor para disuadirlos de hacer negocios en China. La preocupación por el robo de propiedad intelectual impidió que el 23% de los encuestados realizara negocio en ese país.

Fuente http://blog.segu-info.com.ar

La Agencia de Protección de Datos investiga si Facebook ha vulnerado la ley

2010-10-21T13:36:00.000-07:00

Una denuncia periodística del diario estadounidense The Wall Street Journal relativa a Facebook provocó el pasado día 18 la reacción inmediata en España de la Asociación de Consumidores y Usuarios en Acción-Facua, que se dirigió a la Agencia de Protección de Datos para que investigue si usuarios españoles han podido verse afectados por la trasmisión de datos de usuarios a terceros mediante distintos juegos y aplicaciones ofrecidos por la red social.

Hoy, la agencia ha anunciado la apertura de una investigación para determinar si Facebook ha vulnerado la legislación española de protección de datos y que remitirá un requerimiento a la red social solicitando información.

The Wall Street Journal denunció que varias aplicaciones de terceros en la red social han transmitido a empresas ajenas a la red datos sobre la identidad de los miembros de la citada red social.

Según el diario, los programadores de tales aplicaciones han comunicado a empresas de publicidad y de análisis datos como el nombre de los amigos de miembros de la red, incluso en el caso de que aquéllos habían especificado en la configuración de su perfil que se trataba de información privada.

La propia compañía había reconocido recientemente la difusión por problemas técnicos de datos como el identificador del usuario, y un identificador utilizado en los interfaces de programación de aplicaciones.

Seis de las aplicaciones implicadas son de la empresa Zynga: FarmVille, (con 59,4 millones de usuarios a nivel mundial), Texas HoldEm (36,3), FrontierVille (30,6), Café World (21,9), Mafia Wars (21,9) y Treasure Isle (15,3). El resto son Phrases (43,4 millones), Causes (26,7), Quiz Planet (16,5), e IHeart (14,0).

La filtración de datos privados debe tener duras consecuencias para las firmas que hayan incurrido en ella y los gobiernos de todos los países donde opera Facebook deben adoptar medidas para proteger los derechos de los usuarios, advierte Facua.

Fuente elpais.com

La herramienta “anti-Zeus” de Microsoft ha limpiado ya 275.000 PC - CSO

2010-10-19T17:29:00.000-07:00

La herramienta “anti-Zeus” de Microsoft ha limpiado ya 275.000 PC - CSO

Tercera variante del troyano que ataca a Android

2010-10-19T17:14:00.001-07:00

Kaspersky Labs ha identificado una tercera variante del troyano FakePlayer SMS, cuyo objetivo son los terminales móviles basados en el sistema operativo Android.

Desde los laboratorios de la empresa de seguridad Kaspersky anuncian la última variante del troyano de FakePlayer SMS, cuyo objetivo es enviar mensajes de texto a dos números: 7132 y 4161, y cuyo coste es de unos seis euros aproximadamente.

La actual variante de FakePlayer SMS Trojan también muestra un icono porno ya presente en la primera variante del troyano.

“No hay otros cambios. El mismo archivo –pornplayer.apk, la misma infección, no hay cambios reales”, aseguran desde Kaspersky Labs, salvo que ahora se trata de ganar un dinero adicional.

La empresa rusa de seguridad advierte que se debe tener cuidado con cualquier terminal que soporte J2ME, porque si el usuario accede a una página web que está expandiendo Trojan-SMS.AndroidOS.FakePlayer.c utilizando un navegador móvil, como Opera Mini, se le ofrecerá un enlace para que se descargue una aplicación J2ME, que realmente es el troyano.

fuente: itespresso.es

Nueva tormenta sobre la falta de privacidad en Facebook

2010-10-19T17:09:00.001-07:00

na nueva tormenta sobre la falta de privacidad de los usuarios se cierne sobre Facebook después de que The Wall Street Journal publicara un informe que deja en muy mal lugar a los mecanismos de seguridad de la mayor red social del mundo.

El diario norteamericano denuncia que al menos diez aplicaciones de Facebook han compartido datos personales de los usuarios con terceras empresas dedicadas a la publicidad, a pesar de que los miembros de la red hubieran configurado su privacidad para impedir el acceso a información de carácter personal.

Según el informe, se habrían compartido los nombres de los amigos que cada usuario tiene en la red social

Entre las aplicaciones que, según el diario, hacen un uso indebido de la información personal están algunas de las más populares como FarmVille, Texas HoldEm Poker o Frontier Ville.

Lo que estarían compartiendo dichas aplicaciones con las empresas de publicidad es la ID de usuario, a través de la cual se puede acceder a los datos personales, aunque desde la red social han declarado que “saber el ID no significa que se pueda acceder a información personal”.

Los portavoces de la red social se han apresurado a asegurar que están tomando medidas para solucionar este nuevo agujero en la privacidad de la red.

fuente: eweekeurope.es

Descubren una nueva categoría de amenaza contra la seguridad de red

2010-10-19T17:08:00.001-07:00

Stonesoft ha dado a conocer nuevas Técnicas de Evasión Avanzadas (AET) que pueden llegar a suponer una grave amenaza para los sistemas de seguridad de red de todo el mundo. Dado que estas AET amplían lo que se conoce hoy sobre las técnicas de evasión, la compañía ha compartido los detalles del hallazgo con CERT-FI en Finlandia, de cara a coordinar la respuesta ante esta vulnerabilidad y que sea validada por ICSA Labs.

Las AET ofrecen a los cibercriminales una llave maestra para acceder a cualquier aplicación vulnerable como los ERP y CRM, superando los sistemas actuales de seguridad de red. El resultado es que las empresas pueden sufrir una importante violación de sus datos llegando a la pérdida de información corporativa confidencial. Es más, estas AET podrían ser utilizadas por la delincuencia organizada y los ciberterroristas para llevar a cabo actividades ilegales y potencialmente muy perjudiciales.

Descubiertas en los laboratorios de investigación de Stonesoft en Helsinki (Finlandia), la compañía anunció su hallazgo y envió muestras al equipo nacional de respuesta ante los incidentes de seguridad informática del CERT-FI, así como a los ICSA Labs, división independiente de Verizon Business, que evalúa pruebas de terceros y certifica productos de seguridad y dispositivos conectados a la red. Al ser la entidad encargada de coordinar a nivel mundial con los proveedores de seguridad las soluciones a las vulnerabilidades identificadas, CERT-FI emitió una declaración sobre Técnicas de Evasión Avanzada. “La naturaleza dinámica e indetectable de estas Técnicas de Evasión Avanzada tiene el potencial de afectar directamente la seguridad de la red. Así pues, la industria se enfrenta a una carrera sin descanso contra este tipo de amenazas avanzadas y creemos que sólo las soluciones dinámicas pueden corregir esta vulnerabilidad”, explica Juha Kivikoski, Director de Operaciones (COO) de Stonesoft.

Como se descubrieron las AET
Los expertos de Stonesoft descubrieron las nuevas amenazas mientras probaban la solución de seguridad de red StoneGate con los ataques más recientes y avanzados. Las pruebas de campo y los datos experimentales mostraron que muchas de las soluciones existentes de seguridad de red no detectaban las AET y, por lo tanto, no bloqueaban el ataque en el interior.

Asimismo, Stonesoft advierte que los hackers de todo el mundo ya pueden estar utilizando las AET en ataques avanzados y orientados. Y es que sólo un selecto grupo de productos está disponible para proporcionar una protección adecuada, lo que implica que las organizaciones han de proteger sus sistemas rápidamente.

La respuesta: soluciones dinámicas
La mejor defensa contra la naturaleza dinámica y en continua transformación de las AET se consigue a través de sistemas flexibles, es decir, sistemas de seguridad basados en software con actualizaciones remotas y capacidades de gestión centralizada, como es el caso de StoneGate.

fuente: csospain.es

Página falsa de Twitter inicia la descarga de malwares

2010-10-19T17:07:00.000-07:00

Recientemente Twitter renovó su diseño y agregó nuevas funciones, pero no cambió tanto como para poner videos de chicas sexys en su portada

Se trata de una página fraudulenta que intenta propagar malwares, al hacer clic se inicia la descarga de una actualización falsa de Java que infecta el equipo.

Copiar el diseño de Twitter para robar contraseñas o iniciar descargas maliciosas no es algo complicado, pero como lo comentan en Sunbelt no hay que molestarse en hacerlo cuando se pueden encontrar paquetes con todos los archivos necesarios, incluso con comentarios en las zonas del html que se deben editar

Recuerda que la página de Twitter no ofrece ninguna actualización o descarga y su URL es twitter.com, verifícala siempre antes de ingresar tu contraseña.

Security updates available for Adobe Reader and Acrobat

2010-10-06T08:19:00.000-07:00

Adobe ha publicado un boletín de actualización para las nuevas vulnerabilidades, consideradas como críticas, que se han encontrado el día 5 de octubre y que afectan a usuarios con Adobe Reader 9.3.4 y versiones anteriores. Este boletín ha sido liberado de forma anticipada para cubrir dichas vulnerabilidades ya que tenían previsto anunciarlo el día 12 de octubre; con este adelantamiento de fechas Adobe no publicará mejoras adicionales para Adobe Reader y Adobe Acrobat el dia 12 de octubre, tal como lo tenian planeado inicialmente.

El proximo boletein de actualizacions para Adobe Reader y Adobe Acrobat esta programado para el 8 de febrero del 2011.

BOLETIN DE ACTUALIZACIONES

Fuente vulnerabilityteam

La encriptación de backup de BlackBerry, crackeada!!

2010-10-06T08:17:00.002-07:00

Una compañía rusa especializada en herramientas de cracking asegura haber conseguido romper la protección basada en contraseña utilizada para securizar los backups de datos desde smartphones BlackBerry.

Según la empresa rusa Elcomsoft, una vulnerabilidad en la forma en que BlackBerry ha implementado la aparentemente segura encriptación AES de 256 bits en su programa de backup sobre PC y Mac, denominado BlackBerry Desktop Software, hace posible llevar a cabo con éxito un ataque de recuperación de contraseñas en el archivo de backup con relativa facilidad.

“Relativo” significa en este caso que una contraseña formada por una cadena de caracteres de cinco letras minúsculas y dos mayúsculas puede creackearse en alrededor de media hora utilizando un procesador Intel Core i7. Contraseñas más complejas son violables en tres días utilizando el mismo hardware, de acuerdo con los expertos de Elcomsoft. Además, los tiempos pueden acortarse considerablemente si se utiliza además hardware de gráficos, como una tarjeta ATI Radeon HD5970.

Lo que puede contener un archivo de backup del tipo de los violables por este sistema varían según los usuarios, pero en el caso de un usuario empresarial con un dispositivo gestionado, probablemente incluirá todos los datos del BlackBerry, como contactos, correo electrónico y contraseñas de acceso a correo electrónico y conectividad WiFi.

fuente: csospain.es

ALERTA!! Intento de phishing a Gmail

2010-10-06T08:17:00.000-07:00

El gigante Google advierte sobre intentos de robo de contraseñas en su servicio de correo Gmail. El informe de seguridad alerta sobre un correo que se hace pasar por un aviso auténtico de Gmail que permitiría a hackers robar su contraseña.

El departamento de comunicaciones de la compañía anunció que el correo en cuestión presenta el siguiente mensaje:

"Como miembro de Gmail, has recibido este mensaje de correo electrónico que te informa sobre actualizaciones y cambios en el servicio, nuestro mantenimiento regular y procesos de verificación, hemos detectado un error en la información que tenemos registrada de su cuenta. Nuestra política consiste únicamente en brindarle un mejor servicio Esto se debe a algunos de estos factores:

1. Un cambio reciente en su información personal (cambio de dirección, cambio de servicio (ISP), etc.)

2. Que usted haya proveído información invalida durante su proceso inicial de registro para Gmail o que usted aun no haya realizado dicho registro de su cuenta en la versión completa de Gmail.

3. Accesos a su cuenta a través de Gmail que han sido realizados desde diferentes direcciones IP.

Esto seguramente se debe a que la dirección IP de su PC es dinámica y varía constantemente, o debido a que usted ha utilizado mas de un computador para acceder a su cuenta. Para verificar la actividad de la misma y omitir el proceso de baja, debe ingresar a su cuenta a través del siguiente enlace Verificación de cuenta Gmail cuyo procedimiento se realizara en linea con un sifrado de (1024-Bits) para hacer segura e indetectable la transerencia de sus datos personales. Si la información en su cuenta no se actualiza en las siguientes 24 horas, el acceso a su cuenta será restringido hasta que esta información sea verificada y actualizada. Si no desea colaborar en esta verificación del servicio puede darlo de baja en el siguiente enlace cerrar tu cuenta.

Fuente vulnerabilityteam

Las redes sociales entrañan más riesgos si se usan desde el móvil

2010-10-06T08:14:00.001-07:00

La Agencia Europea de Seguridad de la Información y Redes, Enisa, ha publicado un informe en el que ofrece una lista de 17 Reglas de Oro para mantenerse seguro en las redes sociales.

Enisa, la Agencia Europea de Seguridad de la Información y Redes, ha lanzado un nuevo informe sobre los peligros de utilizar las redes sociales, particularmente desde los teléfonos móviles.

Enisa ha perfilado una serie de riesgos y amenazas asociadas con la utilización de este tipo de sites, y propone a los usuarios y organizaciones una lista de 17 Reglas de oro en su estudio ‘Online as soon as it happens’.

La mayoría de los usuarios utilizan sus teléfonos móviles para acceder a las redes sociales, y la agencia advierte de que hay que mantenerse seguros y evitar que cualquier información empresarial caiga en malas manos. En el informe se dice también que el uso cada vez mayor de las redes sociales ha sido tal que los hackers están “disfrutando de un rico botín”.

Son varios los estudios de seguridad publicados en Europa que han puesto de manifiesto que los usuarios tienen un nivel muy básico de seguridad cuando se adentran en estas palataformas, y el último informe de Enisa sugiere diferentes maneras de evitar ser víctima de los hackers.

Las 17 Reglas de Oro son:

1. Considera cuidadosamente qué imágenes, videos e información personal publicas.

2. Nunca ofrezcas información sensible.

3. Utiliza un pseudónimo.

4. No aceptes peticiones de amistad de gente que no conoces.

5. Verifica todos tus contactos.

6. Cuando te unas a una red social utiliza tu dirección de correo electrónico personal.

7. Ten cuidado de cómo describes a tu compañía en Internet.

8. No mezcles tus contactos de trabajo con los amigos.

9. No dejes que nadie vea tu perfil o información personal sin tu consentimiento.

10. No dejes tu teléfono móvil desatendido.

11. No guardes contraseñas en el móvil.

12. Utiliza las opciones de seguridad disponibles en tu teléfono.

13. Ten cuidado con lo que publicas sobre cualquiera.

14. Lee cuidadosamente la política de privacidad y las condiciones y términos de uso de la red social que escojas.

15. Utiliza los ajustes de privacidad.

16. Ten cuidado cuando utilices tu móvil.

17. Descativa los servicios basados en localización cuando no los estés utilizando.

fuente: itespresso.es

Protección de dispositivos portátiles: Seguridad física

2010-10-06T08:13:00.001-07:00

¿Cómo proteger el ordenador portátil o PDA?

* Proteja su ordenador: Asegúrese de que para poder acceder al equipo portatil (portatil o pda) necesite ingresar una contraseña (ver consejos-sencillos-para-crear-una-contrasena-menos-insegura)

* Mantenga su equipo portátil con usted en todo momento: Cuando viaja, mantenga su equipo portatil portátil con usted. Los horarios de comida son los momentos idoneos para que los ladrones, puedan comprobar, por ejemplo, en las habitaciones de hoteles si ha dejado su equop portatil alli. Si está asistiendo a una conferencia o feria comercial, debe ser especialmente cauteloso ya que en estos lugares con tanto publico pueden ser muy buenos para uqe los ladrones se hagan con un equipo portaitl repleto de informacion confidencial.

* Pasar desapercibido con su equipo portatil: No hay necesidad de anunciar a los ladrones que usted tiene un ordenador portátil o PDA. Evite el uso de su dispositivo portátil en áreas públicas (al menos que sea muy necesario), y considere usar maletines no tradicionales para llevar el ordenador portátil.

* Cuidado de los alrededores: Si usted usa su computadora portátil o PDA en una zona pública, preste atención a las personas a su alrededor. Tome precauciones para blindarse de “shoulder surfers”, asegúrese de que nadie puede ver cuando escriba sus contraseñas o ver cualquier información sensible en su pantalla.

* Considere la posibilidad de una alarma o candado: Muchas compañías venden alarmas o candados para que pueda protegere su dispositivo portatil. Si usted viaja a menudo o frecuenta zonas con mucha multitud es posible que desee considerar la posibilidad de invertir en una alarma para el maletin del portátil o un candado para asegurar su computadora portátil a alguna mesa o escritorio.

* Haga copia de seguridad de los archivos: Si le roban el dispositivo portátil, seria bastante desafortunado que alguien más acceda a su información. Para evitar perder toda la información, haga copias de seguridad de la información importante y guardelas en un lugar seprado (que no sea el mismo portaitl o en el mismo maletin del ordenador) . Realizando esta practica no sólo va a seguir siendo capaz de acceder a la información, sino que ademas será capaz de identificar exactamente la información que está en riesgo. (ver backup:necesidad-o-perdidad-de-tiempo-espacio-y-dinero)

Acciones a tomar en caso de robo o perdida de dispositivos portátiles.

Informe de la pérdida o el robo a las autoridades competentes. Si fue robado en algun hotel o centro de conferencias avisar a los organizadores y puesto de seguridad del mismo.
Si el dispositivo es de la empresa y lleva informacion confidencial de la compañia o algun cliente, reportar inmediatamente la pérdida o el robo para que puedan actuar con rapidez.

Fuente vulnerabilityteam.wordpress.com

Móviles y redes sociales, principales objetivos del cibercrimen en 2011

2010-10-06T08:12:00.000-07:00

Los cibercriminales no suelen tardar en adaptarse a las nuevas tendencias del mercado tecnológico, por lo que tanto las redes sociales como los smartphones no tardarán en convertirse en sus objetivos prioritarios. Eso es por lo menos lo que opina Enrique Salem, CEO de Symantec.

El experto en seguridad explicó en una conferencia que en 2011 habrá más teléfonos que PCs conectados a Internet, por lo que los ataques no tardarán en adaptarse a este nuevo y superpoblado nicho.

Las redes sociales, por su parte, ya llevan un tiempo siendo objetivo de ataques por parte de cibercriminales. Aún así, debido a que cada vez cuentan con más usuarios, las amenazas tenderán a multiplicarse y diversificarse, introduciendo “nuevos riesgos de seguridad”.

Para no ser víctima de estos ataques, serán claves tanto la prudencia del usuario como el papel de las compañías especialistas en seguridad a la hora de dar con soluciones que se adapten a las nuevas circunstancias.

fuente: itespresso.es

Symantec ofrece seguridad para Android y dispositivos Apple

2010-10-06T08:10:00.000-07:00

La empresa de seguridad Symantec, que estos días celebra su encuentro Vision 2010 en Barcelona, ha anunciado una ampliación de su seguridad para las plataformas Android e iOS4, con características clave como la ejecución remota de contraseñas y limpieza.

Desde Symantec aseguran que ampliando el soporte para dispositivos Andrid y Apple Symantec reducirá el riesgo de que los datos corporativos y las comunicaciones se pierdan o utilicen de forma incorrecta.

Además, la compañía ha adaptado sus productos de seguridad a los proveedores de comunicaciones para ayudarles a ofrecer una mejor experiencia a sus clientes reduciendo al mismo tiempo sus costes operativos. Es decir que les ayudará a reducir costes mientras ofrecen redes más seguras.

Vision 2010 también ha permitido a Symantec mostrar sus nuevas ofertas de cifrado y la integración de PGP Whole Disk Encryption con la tecnología de hardware Anti-Theft Technology de Intel, que ayuda a los usuarios a proteger sus datos e impedir el robo de portátiles.

PGP Whole Disk Encryption con soporte para Intel Anti-Theft Technology version 2.0 estará disponible en el invierno de 2011.

Este anuncio de colaboración muestra las intenciones de Intel de continuar colaborando con Symantec a pesar de haber comprado McAfee.

Fuente itespresso.es

El gusano Stuxnet podría haberse creado dentro de Siemens

2010-10-01T12:43:00.000-07:00

En la conferencia Virus Bulletin 2010 que estos días se celebra en Vancouver se ha podido escuchar que el gusano Stuxnet podría haber sido creado por alguien que trabaja para Siemens, cuyos sistemas se han visto afectados por el malware.

En declaraciones a V3.co.uk, un consultor de la empresa de seguridad Sophos comentó que el gusano parecía haber sido escrito por alguien con conocimientos internos de los sistemas informáticos de Siemens.

“El gusano parece haber sido escrito por alguien que sabe cómo funcionan los sistemas de Siemens”, afirmaba el consultor, diciendo al mismo tiempo que ninguno de los presentes había ofrecido ninguna evidencia sobre quién pudo escribirlo ni contra quién hay que ir. “A menos que se tenga acceso al ordenador en el que se ha escrito el virus o que alguien admita haberlo hecho, es probable que nunca se sepa”, aseguró.

El malware incluye una fecha: May 9 1979, que coincide con la ejecución de un empresario israelí en Irán, pero que también es el cumpleaños de la actriz Rosario Dawson por lo que los expertos de seguridad han dicho que podría ser simplemente una pista falsa.

Hay quienes ven en el gusano Stuxnet una manera de atacar al gobiernos, aunque lo cierto es que en la conferencia de seguridad se han centrado más en los detalles técnicos que en las motivaciones. La conclusión más obvia es que el gusano Stuxnet no tiene más motivación que el sabotaje.

Fuente itespresso.es

Las apps de Android recogen y distribuyen datos de sus usuarios

2010-10-01T12:39:00.000-07:00

Las apps de Android podrían estar recogiendo datos de los consumidores y distribuyéndolos a terceros sin que los usuarios lo sepan. Así lo asegura un estudio realizado por Intel Labs, Penn State y Duke University, que monitorizó las 30 aplicaciones más populares de Android Market.

El estudio analizó, a través de una aplicación de seguimiento, cómo las apps obtienen y distribuyen información privada una vez que son descargadas en los smartphones de los usuarios.

De las 30 aplicaciones estudiadas, 15 enviaban la situación geográfica del usuario a servidores remotos de publicidad, siete enviaban a desarrolladores un identificador del teléfono y, en algunos casos, también el número de teléfono y el número de serie de la tarjeta SIM.

Los investigadores han puesto la aplicación utilizada para su estudio, TaintDroid, a disposición de los usuarios, de forma que ellos mismos puedan comprender y comprobar qué ocurre con sus datos. Desde Google han asegurado que los usuarios “deben aprobar de forma explícita” el acceso de las apps a sus datos para poder instalarlas, así como el uso que se va a hacer de ellas.

Fuente itespresso.es

Los Expertos en seguridad quieren acabar con PDF

2010-10-01T12:37:00.000-07:00

Ha sido Paul Baccus, un investigador de la empresa de seguridad Sophos quien, durante la conferencia Virus Bulletin, ha pedido a la audiencia un sondeo de opinión sobre el futuro de Adobe PDF y en el que un 97% aproximadamente ha optado por dar por terminado el estándar y trabajar en uno nuevo a seguir.

Se trata, por supuesto, de una encuesta no oficial pero que ponen de manifiesto los temores que genera el código de Adobe, objetivo de los hackers desde hace años precisamente por su omnipresencia en Internet a pesar de que la compañía está dando pasos para mejorar la seguridad.

De hecho, la situación es tal que se ha comparado a Adobe con Microsoft en cuanto a los problemas de seguridad que generan sus programas, una compañía cuyo software tiene una penetración de mercado del 90% y que ha terminado por establecer un mecanismo de actualizaciones de seguridad mensuales. Los expertos afirman a que precisamente esta sea una de las razones por las que Microsoft ha mejorado la seguridad de su software, lo que lleva a los hackers a buscar otros.

La conferencia anual Virus Bulletin se ha celebrado este año en Vancouver reuniendo a 600 expertos de seguridad de todo el mundo.

fuente: itespresso.es

Skimming en Cajeros Automaticos

2010-10-01T12:35:00.000-07:00

El denominado Skimming es la modalidad de fraude de alta tecnología mediante el cual se usan dispositivos electrónicos que son insertados y acomadados físicamente por los delicuentes a un cajero automático real de una entidad financiera, por citar un ejemplo. Es suficiente emplear una micro cámara inalámbrica alimentada con una pequeña batería de 9v DC, con conexión a una computadora portátil (laptop) o hasta una lectora de bandas magnética.

Algunos consejos para utilizar el cajero:

* Oculta el teclado (con un bolso o la mano) cuando ingreses el PIN (como algunas personas hacen en el video), ten en cuenta que la cámara puede estar ubicada en cualquier lugar.
* Controla que no hayan elementos sospechosos en la ranura de la tarjeta o el teclado, en caso de encontrar algo extraño no hagas operaciones y busca un policía. Es muy probable que los estafadores estén cerca del cajero para capturar la información de forma inalámbrica o retirar el skimmer en caso de ser necesario.
* Si tienes problemas para realizar una operación ten cuidado con las personas que ofrecen ayuda, sobre todo si se estás en otro país como turista.
* Al finalizar una transacción retira el recibo del cajero, normalmente indican la cantidad de dinero que hay en la cuenta.
* Comprueba periódicamente los estados de cuenta y los retiros realizados.

fuente: spamloco.net

El 'grooming' es el delito más común en las redes sociales

2010-09-29T13:01:00.001-07:00

El jefe del grupo de delitos tecnológicos de la Jefatura Superior de la Policía de Andalucía Occidental, Eduardo Pascual Herrandz, ha asegurado que el 'Grooming', que se trata de una estrategia que los adultos desarrollan para ganarse la confianza de un menor a través de Internet, con el fin de captar o seducir a niños con fines sexuales, es el delito más común que se comete a través de las redes sociales.

Pascual, que ha participado este martes en 'Menores y redes sociales', dentro de los cursos de verano que la Universidad Pablo de Olavide (UPO) organiza en la casa palacio de los Briones en Carmona (Sevilla), ha hablado sobre los distintas situaciones que se dan cuando un menor está sólo delante de un ordenador.

Según el estudio realizado por el Instituto Nacional de Tecnología de Comunicación en 2008, los usuarios españoles de Internet que utilizan habitualmente redes sociales como medio de comunicación, se sitúa entre el 40 y el 50%. Estos datos indican un porcentaje muy alto, por lo que "engloba a niños menores", que también utilizan las redes sociales "con el fin de hablar con los amigos", afirma. Así pues, la posibilidad de que los niños "caigan en manos de pedófilos es muy alta", ya que el 77% de ellos "tienen visible su perfil público".

La forma de actuar de los pedófilos "siempre es la misma", asegura el jefe superior de la Policía, y se lleva a cabo por diferentes fases. La primera de ella hace referencia al establecimiento de un lazo de amistad entre el adulto y el niño, "con el fin tener un amigo". Más tarde, cuando ambos han establecido una relación, el adulto obtendrá información sobre el menor, hasta llegar al envío de imágenes pornográficas (producción). Una vez que el adulto tenga una foto del menor, "lo tiene cogido", por lo que comienza a mantener otras conversaciones más comprometidas.

En este momento, que es cuando el menor "ya ha depositado su confianza en su nuevo amigo", el adulto "comenzará a producir un ciber acoso" (chantaje). Este hecho provoca "una gran alarma social", ya que el menor se ve obligado a comunicar la situación a sus padres. Esta situación es la que se produce finalmente, en vez de llevarse a cabo al principio, debido "al miedo que los niños tienen a que sus padres le quiten Internet", añade.

Eduardo Pascual también ha informado acerca de los métodos que los pedófilos utilizan para establecer una "relación de amistad" con su nuevo amigo, entre las que destaca, "la reproducción de un vídeo pregrabado, la obtención de confianza de menores, el chantaje, amenazas, y utilizar una falsa identidad", aunque el más importante, según el jefe del grupo de delitos tecnológicos, "es la utilización de una cámara virtual (Webcams falsas), añadidas al sistema operativo".

Respecto a esto, Pascual ha informado del peligro que tiene el dejar utilizar a un menor una cámara web. "A un niño no se le puede dejar utilizar, bajo ningún concepto, una cámara web", ya que los menores "corren el riesgo de ser muy sensibles a que todos sepan de él" por el hecho "de captar cuanto más amigos mejor", asegura.

En este sentido, el jefe de delitos tecnológicos informó sobre una serie de recomendaciones que un menor debe seguir en el momento en que se registra como usuario de una red social. Entre ellas, ha destacado "el respeto hacia oros usuarios, desconfiar de extraños, no dar información privada, no concertar citas y, por último, en caso de recibir amenazas, no acceder".

Finalmente, Pascual ha afirmado que en los últimos años "son muchos los delitos que se han cometido a través de redes sociales" como Tuenti, una web destinada, sobre todo, a niños, "y de fácil acceso". Por ello, se aconseja los menores que hagan uso de ella "establecer un filtro en el perfil" para que sólo tus verdaderos amigos puedan ver las imágenes y comentarios que cuelgues, "poner una contraseña difícil", y "recordar que las imágenes colgadas en las web pueden ser copiadas" por otros usuarios.

Fuente Portaltic.es

Enlaces maliciosos en Twitter

2010-09-28T12:53:00.001-07:00

Continúan las malas noticias para los usuarios de la red de Microbloggin Twitter. Si hace unos días el ataque fue producido por una vulnerabilidad en el sistema, hoy informamos de un nuevo ataque a sus usuarios. Aunque este tipo de ataque no se debe a ninguna vulnerabilidad, se puede decir que ha sido simplemente un ataque de ingeniería social.

El funcionamiento del mismo es el siguiente:

* Alguien publica un tweet con un texto, en el que se incluye la palabra “WTF” y un enlace a una imagen.

*El enlace tiene un código Javascript, en el cual, aparece el código necesario para que se publiquen dos tweets, uno de los cuales también tiene el enlace con el Javascript malicioso. El otro es un simple texto subido de tono.

Por lo que el usuario, al hacer clic en el enlace, verá como se le publican estos dos tweets en su propia cuenta, y de esta forma se propaga en pocos minutos, afectando a cada vez más usuarios curiosos.

Twitter ha hecho pública una nota donde informa de que el enlace ha sido deshabilitado y están intentando eliminar los tweets ofensivos.

Desde el departamento técnico de ESET en Ontinet.com, aconsejamos no pulsar en enlaces sospechosos, con texto llamativo, aunque vengan de usuarios conocidos. En este enlace encontrarán información acerca de los enlaces cortos y de como protegernos de su uso por parte de los creadores de malware.

El acortar los enlaces es una gran ventaja a la hora de publicar un texto, ya que nos permite poder agregar más texto, pero tiene un gran inconveniente, el desconocimiento, por parte del usuario, de a dónde nos va a redirigir ese enlace acortado. Mientras Twitter no solucione este tema, los usuarios de esta red social van a tener que prestar mucha atención siempre que se haga clic en uno de estos enlaces, no ocurra como en este caso que les hemos comentado.

Fuente ESET

Microsoft lanza una parche de emergencia para ASP.net

2010-09-28T12:37:00.000-07:00

Adelantándose a su próximo boletín mensual de seguridad, Microsoft ha desarrollado un parche de emergencia para el cubrir una brecha de su servidor web Windows contra la que ya habían empezado a detectarse ataques.

Concretamente, el parche resuelve un fallo de seguridad en la tecnología ASP.net de Windows utilizada para crear aplicaciones web. Se trata de una vulnerabilidad que permite a los atacantes conseguir acceso a archivos protegidos o leer datos encriptados enviados por un servidor de aplicación web ASP.net.

El parche tardará unos días aún en llegar a la mayoría de los particulares, que dependen de las actualizaciones automáticas de Microsoft, pero la mayoría de ellos no son vulnerables excepto si corren un servidor web sobre sus equipos.

De cualquier modo, Microsoft ha decidido publicar hoy mismo la actualización de seguridad en su centro de descargas (Download Center) para aquellos usuarios con servidores web que prefieran aplicarlo de inmediato.

"Esta es la primera vez que hemos publicado una actualización por esta vía, pero debido a la naturaleza de los ataques activos que se están produciendo y la severidad de las posibles pérdidas de datos que pueden ocasionar, hemos decidido hacerlo así de forma que los clientes (especialmente grandes empresas, proveedores de servicios y suministradores de software independientes) puedan empezar a proteger sus sistemas", ha declarado Microsoft en un comunicado.

En cualquier caso, la compañía ha tranquilizado a los usuarios asegurando que por el momento la cantidad de ataques contra la brecha es "limitado".

Fuente Segu-info.com.ar

Descubren un fraude de millones de dólares contra operadoras móviles francesas

2010-09-28T12:32:00.000-07:00

La policía francesa ha desarticulado una red de piratas de telefonía móvil que han cometido un fraude valorado en millones de euros y ha arrestado a nueve personas, algunas de las cuales trabajan en operadoras.

Tres personas siguen en custodia después del arresto de este fin de semana, que culmina con un año de investigación de la red, que ha estado operando desde hace más de una década y que es la primera de su clase en Francia.

Los investigadores han explicado que los estafadores compraban códigos para desbloquear tarjetas SIM por tres euros a empleados de empresas de telefonía de alto rango que tenían acceso a las bases de datos de la compañía. Después, la red de estafadores vendía los códigos en Internet por 30 euros, dinero que iba a parar a diversas cuentas bancarias.

Uno de los empleados detenidos podría haber ganado hasta 250.000 euros en un mes. Con esos códigos se podía acceder a cualquier tarjeta SIM, incluso a tarjetas extranjeras, con sus teléfonos móviles.

La investigación sobre estos piratas de redes móviles se inició a finales de 2009 después de que se produjeran quejas en la compañía francesa SFR por las diferencias en sus sistemas de seguridad. Otras dos compañías afectadas por el fraude son Bouygues Telecom y Orange.

Fuente itespresso.es

El troyano bancario Zeus también se fija en los móviles

2010-09-28T12:30:00.001-07:00

Utilizado al principio en los ordenadores basados en Windows, el troyano bancario Zeus ya se está utilizando para tentar a las víctimas de los teléfonos móviles. Al menos es lo que dicen desde la empresa de seguridad Fortinet, que afirma haber descubierto un nuevo malware móvil al que han bautizado como SymbOS/Zitmo. Esta variante está diseñada para interceptar confirmaciones de mensajes de texto que los bancos envían a los usuarios de la banca online.

Estas interceptaciones permitirían a los criminales superar las autenticaciones bancarias y aprobar las transacciones sin el conocimiento de la víctima.

Normalmente el troyano Zeus compromete los ordenadores, bien haciendo que la víctima pinche sobre un enlace malicioso de un correo electrónico o en una página web que aloja el malware, de forma que las credenciales de acceso al banco se puedan robar. En este ataque el malware muestra una ventana en el navegador pidiendo a la víctima que proporcione el número y modelo de su teléfono móvil, información que después utiliza para enviar un SMS a la víctima que incluye un enlace a una versión del malware escrita para esa plataforma móvil.

El malware supervisa todos los mensajes de texto entrantes e instala una puerta trasera para que los atacantes puedan controlar el terminal.

fuente itespresso.es

Facebook pide disculpas por su peor caída en cuatro años

2010-09-28T12:06:00.001-07:00

Muchos usuarios de Facebook no pudieron acceder al sitio de networking social durante una hora y media el jueves. Se trata de la pero caída del servicio en cuatro años, según ha reconocido la propia empresa en una entrada de blog.

El motivo del fallo del servicio ha sido un cambio realizado por Facebook en uno de sus sistemas que tuvo como consecuencia la presentación ante los usuarios de un mensaje de error DNS y la imposibilidad para muchos de acceder a la red social.

Para resolverlo, la compañía tuvo que interrumpir todo el tráfico en el cluster de base de datos afectado, ha explicado Robert Johnson, director de ingeniería de software de Facebook. “Una vez las bases de datos se recuperaron y la causa raíz fue resuelta, fuimos poco a poco dejando entrar a la gente al sitio”.

En cualquier caso, el problema no ha sido resuelto por completo. Johnson ha informado de que Facebook tuvo que desactivar el sistema automatizado para hacer que la red volviera a funcionar adecuadamente, pero se trata de un sistema que desempeña un papel esencial en la protección del website. Actualmente la compañía investiga nuevas formas de solucionar la situación.

“Pedimos disculpas por la interrupción del servicio y queremos que los usuarios sepan que nos tomamos el rendimiento y la fiabilidad de Facebook con toda seriedad”, ha subrayado Johnson.

fuente: csospain.es

El FBI investiga el gusano “Here you have”

2010-09-28T12:05:00.001-07:00

El FBI ha iniciado una investigación sobre el gusano “Here you have”, que ha infectado los sistemas de correo electrónico de un gran número de usuarios corporativos en Estados Unidos.

“Here you have” tuvo un gran impacto en Norteamérica, donde consiguió infectar los sistemas de correo electrónico de grandes organizaciones, como Disney, Proctor & Gamble y la NASA. El primer día de su aparición llegó a representar entre un 6 y un 14% de todo el spam sobre Internet, según datos de Cisco Systems.

Un hacker que opera con el nombre de Iraq Resistance se ha identificado como autor del gusano, aunque sin revelar su auténtica identidad, y ha asegurado que su intención era hacer propaganda contra la actuación de Estados Unidos en Irak.

El perfil de Iraq Resistance en YouTube indica que está localizado en España, pero el investigador Joe Stewart ha analizado el gusano y cree que su autor es un hacker libio que ha intentado conseguir apoyo para un grupo “ciber-yijad” cuyo objetivo es irrumpir en los sistemas de las agencias de la armada estadounidense.

El análisis de las direcciones IP de los mensajes de Iraq Resistance revela que ha utilizado la red móvil de Hutchison 3G en Reino Unido, así como direcciones proxy IP usadas por el navegador Opera Mini. Esto, no obstante, no significa que necesariamente opere desde Reino Unido, dado que también sería posible que hubiera hackeado un ordenado que utilizara Hutchison 3G para enviar los mensajes o que sencillamente hubiera comprado una tarjeta SIM utilizada para esa red.

fuente: csospain.es

LinkedIn también llama la atención de los spammers

2010-09-28T12:04:00.001-07:00

an sólo un día después de que los usuarios de Twitter sufrieran un nuevo ataque, Cisco Systems informa que los spammers han puesto sus ojos en los de LinkedIn.

Los usuarios de LinkedIn están recibiendo mensajes de correo electrónico que se hacen pasar por peticiones de conexión que, cuando se pincha sobre ellas muestran el mensaje: “Please waiting…4 seconds”, antes de redirigirlos a Google. Durante estos cuatro segundos se descarga el malware Zeus en sus ordenadores.

Zeus, que se integra en el navegador de la víctima y roba información personal del usuario, como las contraseñas de acceso a la banca online, se ha hecho muy famoso por conseguir datos bancarios.

Según Cisco estos mensajes han contabilizado el 24% del spam enviado con intervalos de 15 minutos. La compañía recomienda a los administradores TI que eliminen las peticiones de conexión, especialmente si no conocen el nombre del contacto.

Las redes sociales se han convertido en el principal objetivo de los cibercriminales. Twitter se ha visto afectado por un gusano durante el fin de semana y un fallo de cross-scripting, sin que los usuarios de Facebook sean inmunes a este tipo de ataques.

Actualmente el spam es la forma de ataque más popular y según Cisco veremos cada vez más mensajes no deseados con malware capaz de robar la información personal del usuario.

fuente: itespresso.es

Facebook nuevamente fuera de servicio

2010-09-24T06:52:00.000-07:00

La red social 'Facebook' ha dejado de estar operativa. En la tarde de este jueves los miles de usuarios que han tratado de conectarse sólo han podido dar con el siguiente mensaje: Service Unavailable - DNS failure.

Hacia las once de la noche (23 GTM / hora Peninsular), el servicio se ha restablecido.Un proveedor de red parece ser el origen del problema que afectó al acceso a las cuentas de Facebook, según confirmó la red social.

El sitio de monitoreo de actividad downrightnow.com, que lleva los reportes de personas que no pueden acceder a sitios en la web, confirmó los primeros problemas a las 15 horas.

"Hemos solucionado el problema con un tercer proveedor de red y todo aquel que se haya visto afectado debería ser capaz de acceder a Facebook con normalidad", ha explicado la compañía.
Este mismo miércoles ocurrió algo similar en Latinoamérica. Así, se trata del segundo fallo consecutivo del servicio en apenas 24 horas.

La falta de servicio en Facebook pudo comprobarse el miércoles en Argentina, Chile, Colombia, Venezuela y Bolivia. Por más que los usuarios intentaron acceder a Facebook, este no se abría.

Fuente: telecinco.es

Actualización de seguridad para Adobe Flash Player

2010-09-24T06:49:00.000-07:00

Adobe ha publicado una actualización de seguridad destinada a corregir una vulnerabilidad crítica, (que habiamos publicado el dia 13 de septiembre) en Adobe Flash Player versión 10.1.82.76 (y anteriores) para Windows, Macintosh, Linux y Solaris y en Adobe Flash Player 10.1.92.10 para Android. La vulnerabilidad también afecta a Adobe Reader 9.3.4 (y anteriores) para Windows, Macintosh y UNIX; y a Adobe Acrobat 9.3.4 (y anteriores) para Windows y Macintosh.

La vulnerabilidad podría provocar la caída del sistema y potencialmente permitir a un atacante tomar el control de los sistemas afectados. El problema, del que no se han facilitado detalles, puede llegar a permitir la ejecución remota de código arbitrario al tratar contenido Flash o contenido Multimedia dentro de documentos PDF.

Actualizacion de Seguridad:
http://www.adobe.com/support/security/advisories/apsa10-03.html

fuente: adobe.com

Keyloggers: Qué son y cómo detectarlos

2010-09-24T06:46:00.000-07:00

En febrero de 2005, Joe López, un empresario de Florida, enjuició al Bank of America después de que unos hackers desconocidos robaran 90.000 dólares de su cuenta en este banco. El dinero robado había sido transferido a Latvia.

Una investigación reveló que el ordenador de López había sido infectado con el virus conocido como Backdoor Coreflood, el cual registra cada pulsación del teclado y envía esta información a ciberdelincuentes vía Internet. Fue de esta manera que los hackers obtuvieron el nombre de usuario y la contraseña de Joe López, ya que él a menudo realizaba sus transacciones bancarias a través de Internet.

Sin embargo, el veredicto de la corte no favoreció al interpelante pues se adujo que Joe López había sido negligente por no tomar precauciones al manejar su cuenta bancaria a través de Internet. La signatura del código malicioso encontrado en su sistema había sido añadida a las bases de datos de casi todos los antivirus ya en 2003.

Las pérdidas de Joe López fueron causadas por una combinación de un descuido general y un programa keylogger ordinario.

Sobre Keyloggers

Por sí mismo, el término 'keylogger' es neutral y describe una función que registra las pulsaciones de las teclas del ordenador.

La mayoría de las fuentes consultadas definen keylogger como un programa diseñado para, en secreto, monitorear y registrar cada pulsación del teclado. Esta definición no es correcta del todo, pues un keylogger no necesariamente tiene que ser un programa, sino que también puede ser un dispositivo físico. Los dispositivos keylogger son menos conocidos que el software keylogger, pero es importante tener en cuenta la existencia de ambos cuando se habla de seguridad informática.

Los programas legítimos pueden tener una función de keylogger que se puede utilizar (y a menudo se utiliza), para iniciar ciertos programas mediante combinaciones de teclas (‘hotkeys’) o para cambiar la distribución del teclado (por ejemplo el teclado Ninja). Se encuentra disponible un gran número de programas diseñados que permiten a los administradores rastrear las actividades diarias de los empleados en sus ordenadores, o que permiten a los usuarios hacer lo mismo respecto a las actividades de terceros. Sin embargo, el límite ético entre el monitoreo justificado y el espionaje delincuencial suele ser muy tenue. Sucede que a menudo los programas legítimos son utilizados de manera deliberada para robar información confidencial del usuario, como por ejemplo sus contraseñas.

La mayoría de los modernos keyloggers se consideran software o hardware legítimo y se venden abiertamente en el mercado. Los desarrolladores y vendedores ofrecen una larga lista de casos en los cuales resulta legal el uso de los keyloggers, como por ejemplo:

* Control para padres: los padres pueden rastrear las actividades de sus hijos en Internet y pueden solicitar que se les envíe notificaciones en caso de acceso a sitios Internet con contenido para adultos;
* Las esposas o esposos celosos pueden recurrir a un keylogger para rastrear las actividades de su pareja en Internet si llegan a sospechar que están envueltos en una “relación virtual”;
* Seguridad corporativa: rastreado del uso de ordenadores con propósitos extralaborales, o el uso de las estaciones fuera de las horas de trabajo;
* Seguridad corporativa: uso de keyloggers para rastrear la introducción de palabras y frases clave asociadas con información comercial que podría perjudicar a la empresa (ya sea en el orden material u otro) si llegara a revelarse;
* Otro tipo de seguridad: uso de registros de keyloggers para analizar y rastrear incidentes relacionados con el uso de ordenadores personales;
* Otras razones.

Aunque las justificaciones arriba mencionadas son más subjetivas que objetivas, todas las situaciones pueden resolverse mediante otros métodos. Además, cualquier programa keylogger legítimo siempre puede ser utilizado con intenciones maliciosas o delincuenciales. Hoy en día los keyloggers se usan principalmente para robar información relacionada a varios sistemas de pago en línea, y los elaboradores de virus no cesan en su afán de elaborar nuevos troyanos keyloggers con tal propósito.

Asimismo, muchos keyloggers se esconden en el sistema, por ejemplo, pueden camuflarse como rootkits, lo cual los convierte en programas troyanos completamente furtivos.

Considerando que los keyloggers pueden usarse para cometer actos delictivos, la detección de tales programas se ha convertido en una prioridad para las compañías antivirus. El sistema clasificatorio de Kaspersky Lab tiene una categoría especial llamada Trojan-Spy, que resulta ser una perfecta definición para los keyloggers. Los troyanos-espía, tal como sugiere su nombre, rastrean la actividad del usuario, almacenan la información en el disco duro del ordenador del usuario y luego se la envían al autor o ‘dueño’ del troyano. La información robada incluye las teclas pulsadas por el usuario y fotografías de pantallas, las cuales se utilizan en el robo de información bancaria para llevar a cabo los fraudes en línea.
Por qué constituyen una amenaza

A diferencia de otros tipos de programas maliciosos, los keyloggers no representan una amenaza para el sistema mismo. Sin embargo, pueden significar una seria amenaza para los usuarios ya que pueden usarse para interceptar contraseñas y otro tipo de información confidencial ingresada a través del teclado. Como resultado, los ciberdelincuentes pueden obtener códigos PIN y números de cuentas de sistemas de pagos en línea, contraseñas para cuentas de usuarios de juegos en línea, direcciones de correo electrónico, nombres de usuario, contraseñas de correo electrónico, etcétera.

Una vez que el ciberdelincuente tiene en su poder la información confidencial del usuario, puede con toda facilidad proceder a transferir los fondos desde la cuenta del usuario o puede obtener acceso a la cuenta del usuario de juegos en línea. Por desgracia, este acceso a información personal a veces conlleva consecuencias de mayor gravedad que la pérdida de unos cuantos dólares por parte del usuario. Los keyloggers pueden ser usados como herramientas en el espionaje industrial y político, ya que se logra obtener datos que pudieran incluir información de propiedad comercial y material gubernamental clasificado que podrían llegar a comprometer la seguridad de organismos estatales, por ejemplo, mediante el robo de llaves privadas de cifrado.

Los keyloggers junto al phishing y a los métodos de ingeniería social (ver el artículo "El robo de propiedad virtual en las redes informáticas") son los principales métodos utilizados en el fraude electrónico moderno. Sin embargo, no es difícil para un usuario cauto protegerse. Basta ignorar aquellos correos electrónicos claramente identificados como phishing y no brindar ningún tipo de información personal a sitios Internet sospechosos. En cambio, no hay mucho que un usuario pueda hacer para prevenir el fraude cometido mediante los keyloggers, excepto recurrir a medios especializados de protección, puesto que resulta casi imposible comprobar un fraude cometido mediante un keylogger.

Según Cristine Hoepers, gerente del Equipo de Respuesta a Emergencias Informáticas del Brasil que trabaja en el marco de la Comisión sobre Internet de aquel país, los keyloggers han desplazado al phishing del primer lugar en la lista de los métodos más utilizados en el robo de información confidencial. Más aún, los keyloggers se están volviendo cada vez más sofisticados pues pueden rastrear sitios Internet visitados por el usuario y sólo registrar el uso del teclado en aquellos sitios de particular interés para el ciberdelincuente.

Durante los últimos años hemos presenciado un notable crecimiento en el número de los diferentes tipos de programas maliciosos con funciones de keyloggers. Ningún usuario de Internet se libra del riesgo de caer en manos de los ciberdelincuentes, sin importar en qué parte del mundo se encuentre ni la organización para la que trabaje.

Cómo utilizan los ciberdelincuentes los keyloggers

Uno de los últimos incidentes más conocidos en relación al uso de keyloggers fue el del robo de más de un millón de dólares de las cuentas de los clientes de uno de los mayores bancos escandinavos, el banco Nordea. En agosto de 2006, los clientes de Nordea empezaron a recibir correos electrónicos de parte del banco con ofertas para instalar un producto antispam, supuestamente adjunto al mensaje. En el momento en que el usuario trataba de abrir el archivo y descargarlo en su ordenador, este se infectaba con un conocido troyano llamado Haxdoor que se activaba cuando las víctimas se registraban en el servicio en línea de Nordea. El troyano lanzaba entonces una notificación de error solicitando al usuario reingresar la información provista al momento de registrarse. Luego, un keylogger que venía incorporado en el troyano grababa todos los datos ingresados por los clientes del banco y acto seguido procedía a enviar toda la información recogida al servidor del ciberdelincuente. Era de esta manera que los ciberdelincuentes accedían a las cuentas de los clientes y transferían los fondos que había en ellas. Según el autor de Haxdoor, el troyano ha sido utilizado en ataques contra bancos australianos así como contra muchos otros.

El 24 de enero de 2004, el conocido gusano Mydoom dio lugar a una gran epidemia. MyDoom rompió la marca anteriormente establecida por Sobig, causando la epidemia de mayores proporciones en la historia de Internet. El gusano se valía de métodos de ingeniería social y realizó un ataque DoS a www.sco.com inhabilitándolo por varios meses. El gusano dejó tras de sí un troyano en los ordenadores infectados que posteriormente se utilizó para infectar al ordenador cautivo con nuevas modificaciones del gusano. El hecho de que MyDoom tuviera una función de keylogger para capturar números de tarjetas de crédito apenas fue divulgado por la prensa.

A principios de 2005, la policía de Londres desbarató un grave ataque para robar información bancaria. Después de un ataque al sistema bancario, los ciberdelincuentes habían planeado robar 423 millones de dólares de la sucursal londinense de Sumitomo Mitsui. El principal componente del troyano utilizado, que fue creado por Yeron Bolondi, de 32 años, era un keylogger que permitía a los ciberdelincuentes rastrear todas las pulsaciones de teclas efectuadas por sus víctimas cuando utilizaban la interfaz para clientes del banco.

En mayo de 2005 la policía israelí detuvo en Londres a un matrimonio que se ocupaba de elaborar programas maliciosos que eran utilizados por algunas compañías israelíes para realizar espionaje industrial. Los alcances de este espionaje resultaron ser de proporciones escandalosas, pues los nombres de las compañías involucradas por las autoridades israelíes incluían a proveedores de servicios como Cellcom, Pelephone y el proveedor de televisión por satélite YES. Según se informó, el troyano fue utilizado para obtener acceso a información relacionada con la agencia de relaciones públicas Rani Rahay, cuyos clientes incluían a Partner Communications (el segundo proveedor de servicios de telefonía móvil en Israel) y el grupo de televisión por cable HOT. La compañía israelí Mayer, importadora de automóviles Volvo y Honda, resultó sospechosa de cometer espionaje industrial contra Champion Motors, importadora de automóviles Audi y Volkswagen. Ruth Brier-Haephrati, quien vendió el keylogger troyano que su marido Michael Haephrati había creado, fue sentenciada a cuatro años de prisión, mientras que Michael recibió una sentencia de dos años.

En febrero de 2006, la policía brasileña arrestó a 55 personas involucradas en la propagación de programas maliciosos utilizados para robar a los usuarios su información y contraseñas para sistemas bancarios. Los keyloggers se activaban mientras los usuarios visitaban el sitio Internet de sus bancos, y en secreto rastreaban los datos sobre estas páginas para luego enviarlas a los cibercriminales. El total del dinero robado de las cuentas de 200 clientes en seis bancos en el país, alcanzó los 4,7 millones de dólares.

Casi al mismo tiempo que esto sucedía, se arrestó una banda delincuente con similares características conformada por jóvenes rusos y ucranianos de entre 20 y 30 años . A fines de 2004, este grupo comenzó enviando mensajes de correo electrónico a clientes de bancos en Francia y en otros países. Estos mensajes contenían un programa malicioso, específicamente, un keylogger. Además, estos programas espía fueron colocados en sitios Internet especialmente creados para este propósito. Los usuarios eran engañados para dirigirse a estos sitios mediante métodos clásicos de ingeniería social. De la misma manera que en los casos arriba descritos, el programa se activaba cuando los usuarios visitaban el sitio Internet de sus bancos y el keylogger procedía a capturar toda la información ingresada por los usuarios para luego remitirla a los ciberdelincuentes. En el transcurso de once meses, robaron más de un millón de dólares.

Existen muchos más ejemplos sobre ciberdelincuentes que recurren a keyloggers: la mayoría de los delitos informáticos financieros se comete utilizando keyloggers, ya que estos programas son la herramienta más comprehensiva y confiable para rastrear información electrónica.

Aumento del uso de keyloggers por parte de los ciberdelincuentes

El hecho de que los ciberdelincuentes opten por los keyloggers de manera tan recurrente es confirmado por las compañías de seguridad informática.

Uno de los recientes informes de VeriSign subraya que en los últimos años la compañía ha notado un rápido crecimiento del número de programas maliciosos que incluyen la funcionalidad para los keyloggers.

En uno de sus informes, Symantec señala que alrededor del 50 por ciento de los programas detectados por los analistas de la compañía durante el año pasado no representan una amenaza directa para los ordenadores, sino que en todo caso son utilizados por ciberdelincuentes para capturar datos personales del usuario.

Según una investigación realizada por John Bambenek, analista del instituto SANS, sólo en los Estados Unidos unos diez millones de ordenadores están actualmente infectados con algún programa malicioso que contiene una función de keylogger. Combinando estas cifras con el número total de usuarios estadounidenses de sistemas de pago en línea, se estima que las posibles pérdidas asciendan a unos 24,3 millones de dólares.

Por su parte, Kaspersky Lab de manera constante detecta nuevos programas maliciosos que contienen una función de keylogger. Una de las primeras advertencias fue publicada el 15 de junio de 2001 en www.viruslist.com, el sitio Internet de Kaspersky Lab dedicado a proporcionar información sobre programas maliciosos. Dicha advertencia se relacionaba a TROJ_LATINUS.SVR, un troyano con una función de keylogger. Desde entonces, ha habido un constante flujo de nuevos keyloggers y de nuevas modificaciones. La base de datos antivirus de Kaspersky Lab cuenta con registros de más de 300 familias de keyloggers. Este número no incluye a los keyloggers que son parte de complejos programas maliciosos en los cuales la función espía no es la primordial.

La mayoría de los modernos programas maliciosos están constituidos por híbridos que utilizan diferentes tecnologías. Debido a ello, cualquier categoría de programa malicioso podría incluir programas con funciones o subfunciones de keyloggers.
Principios de construcción de keyloggers

La principal idea que guía a los keyloggers es colocarse entre dos puntos cualquiera en la cadena de eventos, entre el momento de pulsar una tecla y cuando la información aparece en el monitor. Esto se logra mediante el uso de dispositivos de video vigilancia, un dispositivo de hardware en el teclado, el cableado del ordenador, la intercepción de entradas y salidas, el cambio del driver del teclado, el cambio del driver de filtrado en la pila del teclado, la intercepción de funciones esenciales mediante cualquier método, (sustituyendo direcciones en las tablas del sistema, cortando códigos de funciones, etc.), la intercepción de funciones DLL en el modo del usuario, y por último, solicitando información desde el teclado mediante métodos estándar documentados.

La experiencia muestra que cuanto más complejo sea el enfoque, tanto más improbable será su uso en programas troyanos comunes y tanto más probable será su uso en programas troyanos especialmente diseñados para robar datos financieros de una determinada compañía.

Los keyloggers se pueden dividir en dos categorías: dispositivos físicos y programas. Los dispositivos keylogger por lo general son pequeños y pueden ser acoplados al teclado o colocados dentro de un cable o dentro del mismo ordenador. Los programas keylogger están diseñados para rastrear y registrar las digitaciones en el teclado.

Los métodos más comunes usados para construir programas keylogger son los siguientes:

* un sistema que intercepta notificaciones de que una tecla ha sido pulsada (se instala usando WinAPI SetWindowsHook para mensajes enviados por el procedimiento de ventana. Por lo general se escribe en C);
* una solicitud desde el teclado sobre información cíclica del teclado (usando WinAPI Get(Async)KeyState o GetKeyboardState, por lo general escrito en VisualBasic, y a veces en Borland Delphi);
* Usando el driver de filtrado (requiere conocimientos especializados y está escrito en C).

Los keyloggers que disfrazan sus archivos para evitar ser detectados manualmente o por un programa antivirus se están volviendo muy comunes en estos últimos tiempos. Tales métodos se llaman tecnologías rootkit. Los keyloggers utilizan dos principales tecnologías de camuflaje:

* enmascaradas en el Modo del Usuario;
* enmascaradas en Modo Kernel.

Cómo se propagan los keyloggers

Los keyloggers se propagan de manera muy parecida a como lo hacen otros programas maliciosos. Exceptuando aquellos casos en los que los keyloggers son adquiridos e instalados por una pareja celosa, o son usados por servicios de seguridad, por lo general se propagan mediante los siguientes métodos:

* Un keylogger se puede instalar cuando un usuario abre un archivo adjunto a un mensaje de correo electrónico;
* Un keylogger se puede instalar cuando un archivo se ejecuta desde un directorio de acceso abierto en una red P2P;
* Un keylogger puede instalarse a través de una rutina de una página de Internet que aprovecha una vulnerabilidad de un navegador y automáticamente ejecuta el programa cuando el usuario visita un sitio Internet infectado;
* Un keylogger puede instalarse mediante un programa malicioso previamente instalado, capaz de descargar e instalar otros programas maliciosos en el sistema.

Cómo protegerse contra los keyloggers

La mayoría de las compañías antivirus ya han añadido descripciones de conocidos keyloggers a sus bases de datos, volviendo así la protección contra los keyloggers similar a la protección contra otros tipos de programas maliciosos: instalan un producto antivirus y mantienen actualizada su base de datos. Sin embargo, debido a que la mayoría de los productos antivirus clasifican a los keyloggers como potenciales programas maliciosos, los usuarios deberían asegurarse de que su producto antivirus detecte, con la configuración por defecto, este tipo de malware. Si no sucede así, el producto debería ser configurado apropiadamente para garantizar una protección contra los keyloggers comunes.

Demos una mirada más detallada a los métodos que se pueden utilizar como protección contra keyloggers desconocidos o contra un keylogger diseñado para atacar un sistema en particular.

Puesto que el principal objetivo de los keyloggers es capturar información confidencial (números de tarjetas bancarias, contraseñas, etc.) las formas más lógicas de protegerse contra keyloggers desconocidos son las siguientes:

1. usando contraseñas válidas por una sola vez o un proceso de autentificación de dos pasos,
2. usando un sistema con protección proactiva diseñada para detectar programas keyloggers,
3. usando un teclado virtual.

El uso de contraseñas válidas por una sola vez ayuda a minimizar las pérdidas si la contraseña ingresada es interceptada, ya que la contraseña generada puede ser utilizada una sola vez, y el periodo de tiempo durante el cual puede ser utilizada es limitado. Incluso si se llega a interceptar una contraseña de uso único, el ciberdelincuente no podrá usarla para obtener acceso a información confidencial.

Para obtener contraseñas de uso único, se puede recurrir a mecanismos especiales como:

1. una tecla USB (tal como Aladdin eToken NG OTP):
2. una ‘calculadora’ (tal como RSA SecurID 900 Signing Token):

Para generar contraseñas válidas por una sola vez, también es posible utilizar sistemas de textos de teléfonos móviles que estén registrados en el sistema bancario y reciban un código PIN como repuesta. Posteriormente se utiliza el PIN junto al código personal para lograr la autentificación.

Si alguno de los mecanismos arriba descritos se usa para generar contraseñas, el procedimiento a seguir se describe a continuación:

1. el usuario se conecta a Internet y abre una ventana de diálogo en la cual se puede ingresar los datos personales;
2. luego, pulsa un botón en el mecanismo para generar una contraseña de uso único, la cual aparecerá en la pantalla LCD del dispositivo durante 15 segundos;
3. ingresa su nombre de usuario, su código PIN personal y la contraseña de uso único generada en la ventana de diálogo (por lo general el código PIN y la clave son ingresados uno después del otro en un solo campo para códigos);
4. los códigos ingresados son verificados por el servidor y se toma una decisión sobre si el usuario puede o no obtener acceso a información confidencial.

Cuando se usa un mecanismo calculador para generar una contraseña, el usuario ingresa su código PIN en el mecanismo de ‘teclado’ y pulsa el botón ">".

Los generadores de contraseñas de uso único son ampliamente usados por sistemas bancarios en Europa, Asia, los Estados Unidos y Australia. Por ejemplo, el importante banco Lloyds, decidió usar generadores de contraseñas únicas ya en noviembre de 2005.

Sin embargo, en este caso, el banco tiene que gastar considerables sumas de dinero ya que debe adquirir y distribuir generadores de contraseñas a sus clientes, además de desarrollar o comprar el software complementario.

Una solución con un costo más eficiente es la protección proactiva por parte de los clientes de los bancos (proveedores, etc.), capaces de advertir al usuario en caso de un intento de instalar o ejecutar programas keyloggers.

El método final para protegerse contra los programas y los dispositivos keyloggers es el uso de un teclado virtual. Un teclado virtual es un programa que muestra un teclado en la pantalla y las teclas pueden ser pulsadas mediante el ratón.

La idea de un teclado en la pantalla no es nada nuevo. El sistema operativo Windows tiene incorporado un teclado en la pantalla que puede ser activado de la siguiente manera: Inicio > Programas > Accessorios > Accessibilidad > Teclado en pantalla.

Sin embargo, los teclados en pantalla no son un método muy común para neutralizar los keyloggers. No fueron diseñados para protegerse contra amenazas cibernéticas, sino como una herramienta de accesibilidad para usuarios discapacitados. La información ingresada mediante el teclado en pantalla puede ser interceptada con facilidad por algún programa malicioso. Para que este teclado en pantalla pueda ser utilizado contra los keyloggers tiene que ser especialmente diseñado para poder asegurar que la información ingresada o transmitida por este medio no sea interceptada.
Conclusiones

Este artículo ha brindado información general sobre cómo funcionan los keyloggers, tanto programas como dispositivos, y cómo se los usa.

* Aunque los desarrolladores de keyloggers comercializan sus productos como software legítimo, la mayoría de los keyloggers pueden ser utilizados para robar información personal de los usuarios y para fines de espionaje político e industrial.
* Actualmente, los keyloggers son, junto al phishing y a los métodos de ingeniería social ,uno de los métodos más utilizados para cometer fraudes cibernéticos.
* Las compañías de seguridad informática han registrado un permanente aumento del número de programas maliciosos con funciones de keykoggers.
* Los informes muestran que hay una marcada tendencia en el uso de tecnologías rootkit en los programas keyloggers con el fin de permitir que éstos evadan la detección manual y la de soluciones antivirus.
* Sólo una protección especial puede detectar que un keylogger esta siendo utilizado con propósitos de espionaje.
* Se pueden tomar las siguientes medidas para protegerse contra los keyloggers:
o Usar un antivirus estándar que pueda ser adaptado para la detección de programas potencialmente maliciosos (opción preconfigurada en muchos productos), la protección proactiva protegerá el sistema contra nuevas modificaciones de keyloggers existentes;
o Uso de un teclado virtual o de un sistema para generar contraseñas de uso único para protegerse contra programas y dispositivos keylogger.

Fuente:Kaspersky Lab

Evolución del SPAM

2010-09-24T06:39:00.000-07:00

Evolución del spam

El principio

El spam (publicidad masiva no solicitada vía correo electrónico) hizo su primera aparición a mediados de los noventa, es decir, inmediatamente después de que la suficiente cantidad de personas empezó a usar el correo electrónico. En 1997, se empezó a considerar que el spam era un problema, y la primera Lista Negra en Tiempo Real (Real-Time Black List, RBL), apareció el mismo año.

Las técnicas de los spammers han evolucionado en respuesta a la aparición de cada vez más y mejores filtros. Tan pronto como las compañías de seguridad desarrollan filtros efectivos, los spammers cambian sus tácticas para eludirlos. Y esto lleva a un círculo vicioso, en el que los spammers reinvierten sus ganancias en el desarrollo de nuevas técnicas de evasión de los filtros de spam. La situación crea un torbellino fuera de control.

Desarrollo de las técnicas de los spammers

Publicidad directa

Al principio, el spam era enviado directamente a los usuarios. Es más, los spammers ni siquiera necesitaban falsificar la información del remitente. Este tipo primitivo de spam era fácil de bloquear: si se incluía a un remitente o una dirección IP específica, se estaba a salvo. Como respuesta, los spammers empezaron a suplantar las direcciones de los remitentes y otra información técnica.
Retransmisión abierta (Open Relay)

A mediados de los noventa, todos los servidores de correo electrónico ofrecían servicios de retransmisión abierta (Open Relay). El spam y otros problemas de seguridad llevaron a los administradores a reconfigurar los servidores postales en todo el mundo. No obstante, el proceso avanzaba con lentitud y no todos los propietarios de servidores postales o sus administradores estaban dispuestos a colaborar. Una vez que este proceso tomo su rumbo, los analistas de seguridad empezaron a escanear Internet en busca de servidores postales con el servicio de retransmisión abierto.Las listas negras de DNS obtenidas se pusieron a disposición del público, haciendo posible que los administradores responsables de la seguridad bloqueen el correo entrante desde esos servidores. A pesar de todo, los servidores con servicio de retransmisión abierta se siguen usando para hacer envíos masivos de correo.

Banco de módems (Modem Pool)

En el momento en que enviar spam por servidores de retransmisión abierta se hace menos eficiente, los spammers empiezan a usar conexiones dial-up. Con esto, se explotan la forma en que algunos proveedores de Internet estructuran sus servicios de acceso telefónico y utilizan los defectos del sistema:

* Como regla, los servidores postales de los proveedores de Internet remiten el correo generado por los clientes.
* Las conexiones por dialup se realizan usando direcciones IP dinámicas. Por eso, los spammers usan una nueva dirección IP para cada sesión de envíos.

Como respuesta a la explotación de los spammers, los proveedores de Internet empezaron a limitar la cantidad de mensajes que un usuario podía enviar en una sesión. Las listas de direcciones de dialup sospechosas y los filtros que bloqueaban el correo llegado desde esas direcciones aparecieron en Internet.
Servidores proxy

El nuevo siglo llegó con los spammers usando conexiones a Internet de alta velocidad y explotando las vulnerabilidades del hardware. Las conexiones por cable y por ADSL permitieron a los spammers hacer envíos masivos baratos y rápidos. En adición, los spammers poco tardaron en descubrir que muchos modems ADSL tenían servidores socks o proxy de HTTP incorporados. Ambos son utilidades simples que dividen un canal de Internet entre varios ordenadores. La característica que tienen es que cualquier persona, desde cualquier parte del mundo puede obtener acceso a estos servidores, porque no tienen ningún tipo de protección. En otras palabras, los usuarios maliciosos pueden usar las conexiones ADSL de otras personas para hacer lo que les venga en gana, incluso enviar spam. Asimismo, el spam aparecerá como si hubiese sido enviado desde la dirección IP de la víctima. Desde que millones de personas en todo el mundo tienen estas conexiones, los spammers harán su agosto hasta que los fabricantes de harware cierren las brechas de seguridad en sus dispositivos.
Redes zombi o "bot"

En 2003 y 2004, los spammers efectuaron la mayor parte de sus envíos masivos desde equipos pertenecientes a usuarios que no sospechaban nada. Los spammers usaban programas maliciosos para instalar troyanos en los equipos de las víctimas, dejándolos abiertos al uso remoto. Los métodos usados para penetrar en los equipos de las víctimas incluyen:

* Los droppers y descargadores de troyanos se incorporan al software pirata que es distribuido vía redes de intercambio de archivos P2P (Kazaa, eDonkey, etc).
* Vulnerabilidades en MS Windows y aplicaciones populares como Internet Explorer y Outlook.
* Gusanos de correo electrónico

Quienquiera que posea la parte "cliente" que controla el troyano, puede controlar el equipo o red infectados. Las redes de este tipo reciben el nombre de redes bot y son objeto de comercio e4ntre los spammers.

Los analistas estiman que hay troyanos instalados en millones de equipos en todo el mundo. Los troyanos modernos son tan sofisticados que pueden descargar nuevas versiones de sí mismos, descargar y ejecutar órdenes desde sitios web específicos o canales de IRC, enviar spam, realizar ataques DDoS y mucho más.

Desarrollo de las técnicas de los spammers

Análisis de contenidos

El funcionamiento de muchos filtros antispam se basan en el análisis del contenido de los mensajes: el encabezado, el texto y los datos adjuntos. Hoy en día, los spammers gastan grandes recursos en desarrollar contenidos que evadan los filtros de contenido.

Texto simple y HTML

En sus orígenes, el spam era simple: mensajes idénticos eran enviados a todos los destinatarios de una lista de correo. Esos mensajes de correo electrónico eran ridículamente fáciles de filtrar, gracias a la abundancia de textos idénticos.
Mensajes personalizados

Después, los spammers empezaron a incluir en los mensajes un saludo basado en la dirección del destinatario. Como cada mensaje contenía un saludo personal, los filtros que bloqueaban mensajes idénticos no detectaban este tipo de spam. Entonces, los expertos en seguridad diseñaron filtros que identificaban los renglones idénticos, que podían ser agregados a las reglas de filtración. También se desarrollaron técnicas de lógica difusa (fuzzy logic), que detectaban textos levemente modificados y tecnologías estadísticas de filtración tales como los filtros Bayes.

Renglones de texto aleatorio y texto invisible

Ahora, para evadir los filtros, los spammers ponen renglones de texto similares a los de la correspondencia de negocios legítima o renglones de texto aleatorio al principio o al final de los mensajes. Otro método para evadir los filtros es incluir texto invisible en los mensajes en formato HTML: el texto es demasiado pequeño para ser visto, o el color de las letras es igual que el del fondo.

Ambos métodos tienen bastante éxito contra los filtros de contenido y estadísticos. Los analistas respondieron desarrollando motores de búsqueda que escaneaban los mensajes en busca de textos típicos, que también realizaban un análisis detallado del HTML y del contenido. Muchas soluciones antispam podían detectar tales trucos sin ni siquiera analizar en detalle el contenido de mensajes individuales.
Gráficos

Es muy difícil detectar el spam que se envía en formato gráfico. Los analistas están desarrollando métodos de extraer y analizar el texto contendido en los archivos gráficos.

Textos parafraseados

Un anuncio puede ser parafraseado miles de veces, haciendo que cada mensaje individual aparente ser legítimo. Como resultado, los filtros antispam tienen que ser configurados usando un gran número de muestras antes de que estos mensajes sean detectados como spam.
Resumen

En la actualidad, los spammers suelen usar los tres métodos recién descritos en una variedad de combinaciones. Muchos programas antispam son incapaces de detectarlos. Mientras el envío de spam siga siendo rentable, los usuarios de programas antispam de baja calidad continuarán con su buzón lleno de publicidad.

Fuente viruslist.com

Colegial australiano fue autor del caos de Twitter

2010-09-23T08:54:00.000-07:00

Colegial australiano fue autor del caos de Twitter

Facebook sufre caída momentánea (Actualizado)

2010-09-23T08:52:00.000-07:00

Facebook sufre caída momentánea (Actualizado)

Un 23% de estudiantes universitarios ha “hackeado” sistemas

2010-09-23T08:06:00.000-07:00

Una cuarta parte de los estudiantes universitarios ha “hackeado” con éxito algún sistemas informático, al menos eso dice la empresa de seguridad Tufin Technologies – que recientemente realizó una encuesta a 1.000 estudiantes de entre 18 y 21 años.

De esta encuesta, encontró que un 37% había hackeado perfiles de Facebook, 26% cuentas de correo electrónico y un 10% cuentas de compras en línea, entre otras actividades. Un tercio lo hace por diversión, 22% por curiosidad y un 15% para hacer dinero.

Aunque el 84% sabían que esto estaba mal, casi un tercio dijo que era algo “cool” y fácil de hacer. Más de un tercio utiliza su propia computadora para estas actividades, mientras que el 32% dijo que usa una máquina de la universidad y un 23% utiliza una PC en un café Internet.

Por otro lado, el estudio también descubrió que un 46% de los estudiantes había sido víctima de “hackeos” o fallas de seguridad en su propio perfil de redes sociales o cuenta de correo electrónico.

“Lo que este estudio pone en manifiesto es que el hacking de cuentas personales, ya sea correo electrónico o Facebook está sucediendo con regularidad entre la población estudiantil (…) Vivimos en un mundo donde las redes sociales, el correo electrónico e Internet son parte de nuestra vida diaria a edad temprana, por lo que una oportuna educación es esencial para garantizar que los jóvenes conozcan las consecuencias que puede tener esta actividad. El Hacking es ilegal y tenemos que asegurarnos que todo el mundo lo entienda” dijo Stuart Hyde, presidente de la sociedad para patrullaje del ciberespacio (POLCYB).

Shaul Efraim de Tufin Technologies esta consciente que hay una generación inteligente emergente que entiende cómo funcionan los sistemas, por lo que, sería bueno orientarlos para seguir una carrera en el sector de la seguridad para asegurar que todas las organizaciones se beneficien de su evidente capacidad para fortalecer los sistemas de seguridad y detener la fuga de datos.

En fin, si consideramos que en países como en Chile, el 85% de los estudiantes de preparatoria se consideran expertos en el uso de Internet, no sería extraño que en la universidad los Script Kiddies se las gasten para conseguir la contraseña de su novia.

Fuente fayerwayer.com

Informe Veracode: La mitad de las aplicaciones tienen problemas de seguridad

2010-09-23T08:01:00.000-07:00

Más de la mitad del software utilizado en las empresas tienen problemas de seguridad, según un nuevo informe publicado por Veracode, una compañía centrada en la seguridad de las aplicaciones.

Veracode ha estudiado más de 2.900 aplicaciones durante un periodo de 18 meses y ha descubierto que el 57% de todas las aplicaciones tenían una calidad “inaceptable” respecto a la seguridad.

Ocho de cada diez aplicaciones web fracasan a la hora de cumplir con los requerimientos de OWASP (Open Web Application Security Project ), necesario para que puedan utilizarse en páginas web financieras y de comercio electrónico.

El informe de Veracode también pone de manifiesto que el código de terceros, cada vez más utilizado en las empresas, a menudo es inseguro. El 81% de las veces estos proveedores fracasan a la hora de cumplir con estándares de seguridad aceptables.

Mientras, las vulnerabilidades cross-site scripting, o XSS, siguen siendo las más comunes y las aplicaciones .NET muestran un número de fallos “anormalmente alto”.

Desde Veracode aseguran que es necesario trabajar más en la seguridad del software, y reconocen a través de su informe que los fallos de seguridad se solucionan más rápido que nunca, lo que indica una mayor educación y formación por parte de los desarrolladores, herramientas más maduras y una mayor presión por parte de las empresas

Rusia rivaliza con China como destino de los creadores de malware

2010-09-23T07:57:00.000-07:00

La empresa de seguridad M86 asegura que los centros de control de las botnet utilizadas para expandir el malware a través de Internet cerradas por el gobierno Chino han aparecido en Rusia.

Desde M86 aseguran que el reciente cierre en China parece haber forzado a la mayoría de los operadores de botnets de malware a mirar hacia otro lado, y parece que Rusia es ahora su refugio.

Se han detectado unos 5.000 nuevos dominios de spam que tienen su origen en un par de registradores rusos durante el último mes. Entre los que se han movido hacia los proveedores rusos están los operadores que controlan el malware Zeus.

Entre las operaciones vinculadas a los nuevos registradores rusos pueden citarse campañas de spam, casinos online y operaciones farmacológicas a través de Internet.

El cambio de país se ha producido meses después de que grupos de seguridad se hayan movido para poner freno a las operaciones de Asia y Europa del Este.

Fuente itespresso.es

Microsoft Security Essentials, disponible para PYMES

2010-09-23T07:55:00.000-07:00

El popular software antivirus gratuito de Microsoft, Security Essentials, hasta ahora pensado para el segmento de consumo, también estará disponible para las pequeñas empresas a partir del próximo mes de octubre.

Aunque Microsoft apuntaba en un primer momento que Security Essentials sólo sería para el segmento OEM y de consumo, ahora ha cambiado esta estrategia y ha anunciado que el este antivirus gratuito también estará disponible para la pequeña empresa a partir del próximo mes de octubre.

Con este movimiento, Microsoft apunta aquél segmento de compañías de tamaño pequeño y que podrán descargarse Security Essentials para su instalación en su parque de hasta 10 PC. Y es que, los responsables de la compañía destacan que la razón por la que han decidido apostar por las empresas de este tamaño se debe a un cambio en los acuerdos de licenciamiento de los usuarios finales que permite que los clientes de pequeñas empresas puedan descargarse legalmente este software antivirus en equipos corporativos individuales. “Esta nueva posibilidad permitirá a las pequeñas empresas a aprovechar las ventajas del servicio antimalware sin costes de Microsoft que les ayudará a ahorrar tiempo y dinero y ser productivos al mismo tiempo que las protege de virus, spyware y otras amenazas de seguridad”, apunta desde Microsoft Eric Foster, en el blog corporativo de Windows.

Este cambio se suma a los ya apuntados en la versión beta de Security Essentials, lanzada el pasado mes de julio, que mostraban cómo la nueva versión dispondría de novedades como un nuevo motor de protección y un sistema de inspección.

Fuente Partnerzone

El 33% de las fugas de datos son brechas internas malintencionadas

2010-09-22T08:15:00.000-07:00

Los hackers son responsables de las pérdidas de datos en un 29% de los casos, mientras que el 33% son brechas internas con malas intenciones; el resto de los incidentes se deben a accidentes, según un estudio.

El informe Securosis 2010 de Imperva, realizado a más de 1.100 profesionales de seguridad TI, señala que la estrategia de seguridad de datos más efectiva apuntada por la mayoría de los encuestados es aquella aúne tecnología para proteger aplicaciones y bases de datos junto a un planteamiento más tradicional, como los firewalls de aplicaciones, catalogados entre las cinco principales tecnologías para reducir el número de incidentes por pérdida de datos.

Otras tecnologías utilizadas para este fin son la adopción de prevención de pérdida de datos en la red, encriptación total de los discos, refuerzo de servidores y puntos finales, y prevención de pérdida de datos en el punto final.

Fuente Partnerzone

Cerca de dos tercios de las organizaciones no sabían si habían sufrido incidentes de pérdida de datos o no eran conscientes de haber experimentado ningún caso. Sin embargo, de los encuestados que se sabían víctimas de pérdida de datos o brecha, el 46% aseguró haber visto una reducción en el número de incidentes, mientras que el 27% manifestó haber percibido el mismo número que en el año anterior.

Una brecha en el entorno ASP.Net de Microsoft pone en peligro millones de sitios web

2010-09-22T08:13:00.000-07:00

Microsoft advirtió ayer a los usuarios de la existencia de un agujero crítico en ASP.Net. La brecha puede ser aprovechada por los atacantes para intervenir sesiones web encriptadas y robar nombres de usuarios y contraseñas de los websites.
Según la información dada por Microsoft, el fallo afecta a todas las versiones de ASP.Net, entorno de aplicación web de la compañía utilizado para en la creación de millones de sitios y aplicaciones.

Por tanto, Microsoft tendrá que parchear la totalidad de versiones soportadas de su sistema operativo Windows, desde XP Service Pack 3 (SP3) y Server 2003 hasta Windows 7 y Server 2008 R2, así como otros productos, incluidos los servidores IIS (Internet Information Server) y SharePoint.

Microsoft ha hecho pública la vulnerabilidad el mismo día que dos investigadores especializados en seguridad, Juliano Rizzo y Thai Duong, demostraban en el marco de la conferencia Ekoparty, que se está celebrando en Buenos Aires (Argentina), cómo es posible explotar la encriptación de ASP.Net para descodificar cookies de sesión y otros datos encriptados sobre un servidor remoto y después acceder y robar archivos de sitios o aplicaciones web basadas en el entorno de Microsoft.
Según Rizzo y Duong, su ataque les permite acceder a aplicaciones web con el nivel más alto de privilegios de administrador, con lo que es posible realizar cualquier acción sobre el sistema, desde revelar información residente en él, hasta comprometerlo por completo.

De acuerdo con las estimaciones de estos dos investigadores, el 25% de todos los sitios web a nivel mundial utilizan ASP.Net.
Para prevenir los ataques contra el fallo hasta que el correspondiente parche esté disponible, Microsoft recomienda activar la funcionalidad customErrors de ASP.Net y configurar explícitamente las aplicaciones para entregar siempre la misma página de error, independientemente del tipo de error, dado que el agujero es explotable consiguiendo acceso a tales páginas y analizando los distintos mensajes de fallo hasta descubrir la clave de encriptación.

Fuente partnerzone.net

España: Las coacciones por Internet aumentan de forma “preocupante”

2010-09-22T08:08:00.000-07:00

La red no siempre se utiliza para el bien y, según la Fiscalía General, el uso para el mal está cada vez más extendido a través de coacciones y amenazas relacionados con la revelación de secretos personales.

Así lo advierte la Fiscalía General del Estado en la Memoria que ha publicado hoy, en la que explica que la mayor parte de estos ataques se realizan utilizando de forma ilegítima claves personales de acceso a programas de mensajería instantánea o al correo electrónico.

Los responsables de las coacciones son muchas veces personas cercanas a la víctima que, “por móvil de despecho”, recurren a estas nuevas formas de amenazas.

La Fiscalía alerta también de otro tipo de ataques “mucho más graves” a la integridad moral como son la grabación de imágenes ofensivas –palizas, etc. –y su posterior publicación en redes sociales o sitios de vídeo como Facebook o YouTube.

Fuente itespresso.es

El gusano Arcoiris de Twitter

2010-09-22T08:01:00.000-07:00

Los usuarios de Twitter se han visto sorprendidos por una larga cadena de caracteres raros que aparecían en su timeline.

Se trata de una vulnerabilidad en Twitter que hace que cualquier usuario que opere a través de la web twitter.com, al pasar el puntero del ratón por el tweet que contiene esta cadena extraña, le pueda pasar diferentes cosas inesperadas:

* Automáticamente, y sin que él haga nada, enviará a sus followers la cadena maliciosa, contribuyendo así a su distribución
* Le pueden aparecer mensajes extraños con letras gigantes, cuadros de diálogo donde se lee “Hola”, cuadros negros donde debería estar el texto de un tweet, etc.
* Cuando cualquiera visita su perfil, éste puede ser redirigido a cualquier otra dirección web

El origen podría ser una cuenta creada en Twitter, llamada Rainbow.

Es un gusano, ya que se autorreplica y además su capacidad de distribución es altísima y a una gran velocidad: hasta 1.000 retweets del código malicioso se están registrando cada 20 o 25 segundos.

Al principio, las primeras inyecciones de javascript eran simples bromas, aunque con el paso del tiempo, ha ido evolucionando, y parece que algunos usuarios con otras intenciones están utilizando dicha vulnerabilidad para hacer cosas más serias.

El mayor peligro podría ser que la URL utilizada en el ataque usara alguna vulnerabilidad para infectar nuestros equipos. Si un delincuente hace que además de hacer un RT del código, la URL implicada usara técnicas de Drive-by-Download, estaríamos hablando de millones de víctimas potenciales, aunque es poco probable ya que presumiblemente twitter tape el agujero antes de que esto suceda.

En este caso, al pasar el ratón por encima de este tweet, el navegador web te redirigiría sin preguntar a la página web de Panda Security (con lo que nuestros amigos de web estarían muy contentos registrando muchas visitas nuevas en Google Analytics, algo que sin duda es posible que empiezan a utilizar muchos spammers ;-) .

Para finalizar, un consejo para evitar males mayores: cualquier cliente de Twitter que no ejecute javascript, como TweekDeck, nos permite seguir utilizando la red social sin ningún riesgo. Así que, evitemos utilizar la web, al menos, hasta que se solvente la vulnerabilidad.

Fuente Pandalabs

Roban la identidad del jefe de la Interpol en Facebook

2010-09-20T12:34:00.000-07:00

Puede ser una de las personas más poderosas de la policía a nivel mundial, pero, en Facebook, el jefe de la Interpol, Ronald K. Noble, es tan vulnerable como cualquier otro al robo de identidades.

La semana pasada, durante la inauguración de la conferencia Interpol Information Security Conference en Hong Kong, Noble dijo los ciberdelincuentes habían creado dos cuentas suplantando su identidad en Facebook este verano, en el transcurso de la operación policial Operation Infra-Red. Según Noble, el fraude no ha sido descubierto hasta hace poco por el equipo Security Incident Response Team de la Interpol.

“Uno de los suplantadores estaba utilizando el perfil para conseguir información sobre fugitivos durante nuestra reciente Operation Infra-Red”, explicó el jefe de la Interpol. Esta operación tuvo lugar entre mayo y julio, fue de alcance mundial, aunque estuvo liderada por la Interpol. Su propósito era localizar una serie de fugitivos acusados de asesinato, pedofilia, fraude, corrupción, tráfico de drogas y blanqueo de dinero. Finalmente, fueron arrestadas 130 personas gracias a esta iniciativa de cooperación de la policía a nivel mundial.

Comentando el incidente de usurpación de su identidad, Noble subrayó que “el cibercrimen está emergiendo como una amenaza muy concreta”. Es más, considerando el anonimato del ciberespacio, según Noble, “puede ser de hecho una de las amenazas criminales más poderosas a que nos hayamos enfrentado nunca”.

www.csospain.es

Los riesgos de seguridad online varían según el país

2010-09-20T12:29:00.001-07:00

Un estudio de F-Secure pone de manifiesto la disparidad entre países en la percepción por parte de los usuarios informáticos del peligro de las amenazas de seguridad.

Los 1.450 usuarios consultados para el informe de F-Secure procedían de Finlandia, Alemania, Malasia, Polonia, Suecia, Reino Unido y Estados Unidos. Preguntados acerca de la preocupación por la privacidad online y la seguridad de los datos, los alemanes y malasios se mostraron como los más preocupados, con un 77% y un 73%, respectivamente, mientras que los suecos y fineses parecen ser los que más confían en su vida online.

Del total de la muestra, el 49% se había visto afectado por malware en el último año, si bien su software de seguridad les había avisado y evitado la infección. Los países más afectados por código malicioso fueron Polonia (70%), Finlandia (60%) y Malasia (54%), con Alemania reportando la menor cifra (32%). También Polonia y Malasia tienen la mayor proporción de encuestados afectados por malware sin ningún tipo de protección antivirus en sus ordenadores, con un 14% y 11%, respectivamente.

El estudio también refleja la falta de conocimiento del nivel de seguridad de muchos usuarios. Así, mucha gente no sabe si sus ordenadores han sido infectados en Suecia (38%), Estados Unidos (34%), Reino Unido (33%) y Alemania (32%).

Otro punto a resaltar es la diversa concienciación sobre los diferentes tipos de ataques de malware. Los alemanes (65%) y malasios (59%) son los más preocupados por la descarga de malware de una página web, frente al 22% de los consultados en Finlandia. El riesgo de encontrar resultados de búsquedas envenenados, utilizado para llevar a los internautas a páginas web maliciosas, es un punto muy serio por los alemanes (62%) y los británicos (41%).

Un 7% de los consultados de los siete países desconoce lo que es un código malicioso o malware, con los mayores ratios procedentes de países como Reino Unido y Estados Unidos, ambos con un 12%, y Malasia (9%). También destaca que el 29% de los estadounidenses y el 28% de los británicos no eran conscientes de lo que son resultados de búsquedas envenenados.

Fuente Csospain.com

Ethical Shields Educación a distancia

2010-09-19T06:35:00.000-07:00

Ethical Shields: "- Enviado mediante la barra Google"

MALWARE: Una historia de porno, drogas, spam, twitter y zombies

2010-09-17T09:19:00.000-07:00

Para quien piense que la Internet es un medio ambiente creado a imagen y semejanza de la naturaleza humana, no se equivoca. El instrumento sobre el cual descansa buena parte de nuestra realidad ordinaria, concentra su tráfico informativo en cinco temas: porno, drogas, spam, twitter y zombies; todo un caldo de cultivo para malicias informáticas.

Esta afirmación es el resultado de una investigación realizada por Commtouch -una proveedora de seguridad informática con base en Netanya, Israel y Sunnyvale, California-, en donde construyeron una imagen verbal de Internet en tan sólo cinco palabras. Resultado: porno, drogas, spam, twitter y zombies.

Un universo de dos millones de correos electrónicos al día concentró el estudio durante un periodo de tres meses, en el que se sondeó el tráfico de palabras más usuales como un colorido mármol cibernético, permitiendo con ello observar que con más frecuencia de lo que creíamos, estos tópicos están lejos de los radares de riesgos informáticos.

El informe también señala que la escalada de ataques cibernéticos ha tenido un incremento notable desde el desarrollo de los “zombies”. Así, la combinación de la mensajería en general con los elementos de ingeniería basados en la web y redes sociales, supone que los “chicos malos” incrementen sus niveles de éxito.

Esta serie de estrategias, llevan a la utilización del correo electrónico o motores de búsqueda, para atraer a sus víctimas a páginas web legítimas, pero que están siendo comprometidas para alojar secretamente publicidad de spam, malware, o fraudes electrónicos.

Esta táctica de ataque masivo, suele contar con un alto grado de éxito, debido a que en la inmensa mayoría de los casos, los sitios infectados no tienen la menor idea de que están siendo empleados para estos fines. Por supuesto, lo peor del caso es que en su mayoría, este tipo de usuario no tiene idea alguna acerca de la seguridad informática, lo que facilita la propagación y permanencia del mal.

Fuente: usuariotech.com

Sondeo: Las redes sociales infectan a una de cada tres pequeñas y medianas empresas

2010-09-17T09:04:00.001-07:00

Un sondeo ha demostrado que los programas maliciosos que se propagan mediante redes sociales infectan un tercio de las Pequeñas y medianas empresas (PyMEs) que se cruzan en su camino.

La empresa Panda Security realizó el estudio, en el que entrevistó a 1.000 empleados de 315 PyMEs de Estados Unidos en julio de este año para ver cómo les afectan las amenazas virtuales que se propagan por sitios de interacción social como Facebook, Twitter y YouTube.

La red social más popular entre las empresas es Facebook, con el 69,3%. En segundo lugar está Twitter con el 44,4%, seguido por YouTube con el 32% y LinedIn con el 22,9%. Sólo un cuarto de las PyMEs entrevistadas bloquean el acceso a las redes sociales.

El estudio reveló que el 33% de las empresas entrevistadas sufrieron una infección por visitar una red social. El 35% de las empresas infectadas afirmó que había sufrido pérdidas financieras a causa de la amenaza: un tercio de estas empresas perdió alrededor de $5.000, y algunas sufrieron pérdidas de hasta $100.000.

Otro problema que causan las redes sociales son las violaciones de privacidad. Un 23% de los entrevistados afirmó que los empleados habían sufrido algún tipo de violación de privacidad por utilizar redes sociales.

Facebook es la red social que más afecta de forma negativa a los internautas: un 71,6% de los entrevistados culpó a la red social por las infecciones de virus y el 73,2% la asocia con problemas de privacidad que sufrió su empresa.

A pesar de todos estos problemas, dos tercios de las empresas permiten el uso personal de redes sociales desde los equipos de la empresa, sólo un cuarto prohíbe que se instalen aplicaciones para redes sociales y menos de un tercio prohíbe que se juegue en línea desde los ordenadores de la oficina.

Fuente: Viruslist.com

Cibercriminales usan correos robados para vender la casa de una de sus víctimas

2010-09-17T09:03:00.001-07:00

La policía australiana está investigando a los cibercriminales responsables de haber vendido una casa de medio millón de dólares con datos y documentos que robaron de la cuenta de correo electrónico de un internauta.

Se cree que los delincuentes robaron los datos de acceso a la cuenta de correos de Roger Mildenhall, el dueño legítimo de la propiedad, y al espiar entre sus correos encontraron una serie de documentos personales, entre ellos los títulos de propiedad de una de las casas de Mildenhall.

La propiedad se encuentra en Australia, pero el dueño reside en Sudáfrica desde hace un año. La distancia evitó que Mildenhall se diera cuenta de lo sucedido, y sólo se enteró del problema la semana pasada, cuando sus vecinos le comentaron que alguien había puesto su casa en venta.

Mildenhall viajó a Australia justo a tiempo para evitar que se cierre el trato, pero allí se enteró de que en junio los cibercriminales habían vendido otra de sus propiedades, avaluada en $500.000.

Brian Greig, del Instituto de Bienes Raíces de Australia Occidental (REIWA) dijo que todas las transacciones se realizaron por correo electrónico, teléfono y fax, sin tener ninguna relación personal con el dueño de los bienes.

“Los agentes nos han informado que es cada vez más frecuente que se realicen transacciones sin interacción cara a cara, en especial cuando los compradores viven en otros países o estados”, explicó Greig.

“Está claro que este fue una ataque sofisticado que engañó al dueño, al agente de Bienes Raíces, al agente de convenios, a los bancos, y (…) al Departamento de Administración de Tierras”, dijo Greig.

El Departamento de Protección al Consumidor de Australia ha iniciado una investigación para determinar con exactitud qué hicieron los cibercriminales para hacerse pasar por Mildenhall y recolectar la cantidad suficiente de documentación como para vender las propiedades.

Fuentes:
Australia scammers stage secret sale of man's home AFP

Fraud squad probes Perth housing scam ABC News

Crims use hacked email to steal house ZDNet

Crecen hasta 1.3 millones las webs infectadas de malware

2010-09-17T09:01:00.001-07:00

Recientemente, Dasient informaba de los numerosos agujeros negros en las webs corporativas que permiten la entrada y el establecimiento del malware en sitios sin que sus webmasters lo sepan. Su último informe pone cifras a este fenómeno e identifica quiénes son los más afectados.

Según el informe de la compañía de security-as-a-service Dasient, en el último trimestre había 1.300.000 páginas web albergando malware, más del doble de las contabilizadas durante el trimestre anterior. Además descubrieron tendencias como que las campañas de “malvertising”, el camuflaje del malware en la publicidad tomando varias formas, comienzan durante los fines de semana, que están aumentando los ataques vía JavaScript y que las páginas creadas con ASP son un objetivo creciente.

En el caso de las páginas creadas con esta tecnología de Microsoft, Dasient ha determinado que la correlación no implica causalidad. Sin embargo, recomienda poner más atención a las páginas web basadas en ASP a la hora de configurar los sistemas de seguridad como el que ellos mismos ofrecen o los firewalls como Breach WebDefend, Citrix Netscaler o Imperva SecureSphere.

Las inyecciones a través de JavaScript crecieron un 19% mientras que las que llegan vía iFRAME se redujeron un 11% entre un trimestre y otro. El informe concluye que este cambio se debe a los múltiples accesos que JavaScript ofrece los hackers para llegar a sus víctimas: elementos DOM, información de páginas de origen y cookies.

En cuanto a la temporalidad, el estudio ha encontrado una tendencia a que comiencen principalmente durante los fines de semana. La razón fundamental es que es más probable que, durante esos días, es menos probable que el personal de informática pueda responder de forma efectiva al ataque.

Para terminar, quedan recogidos los datos porcentuales sobre los tres canales principales de infección que utilizan los hackers: widgeds externos (75%), publicidad externa (42%) y aplicaciones externas (91%). Es lo que más hay que vigilar.

Google parchea Chrome por segunda vez en este mes

2010-09-17T08:58:00.001-07:00

Google ha resuelto diez vulnerabilidades de Chrome esta semana, incluida una crítica sobre Mac. Se trata de la segunda actualización de seguridad emitida por la compañía para su navegador en lo que va de mes.

De los diez fallos de seguridad parcheados, uno ha sido clasificado como “crítico”, el máximo nivel de peligrosidad dentro de la escala de cuatro niveles de Google. Seis han sido valoradas como de nivel “alto”, el segundo grado de riesgo, y tres como de nivel “bajo”.

La compañía no ha facilitado detalles sobre ninguna de las vulnerabilidades, aunque se sabe que ha pagado 4.000 dólares a cuatro investigadores independientes en recompensa por haberla informado de seis de ellas.

La única vulnerabilidad crítica sólo afecta a Chrome sobre Mac y dos de las de bajo nivel lo hacen únicamente al navegador cuando funciona sobre plataformas Linux. Otras brechas parcheadas en esta actualización incluyen un par de problemas relacionados con el análisis de elementos SVG (Scalable Vector Graphics) embebidos en los sitios Web, así como una vulnerabilidad de corrupción de memoria en el API de geolocalización.

Fuente Partnerzone.com

La brecha del API de geolocalización permitía a las aplicaciones web y a los desarrolladores de sitios identificaran la localización de un usuario, por ejemplo, sobre un servicio de mapas como Google Maps.

La batalla por las patentes de encriptación podría afectar a la seguridad de las bases de datos

2010-09-17T08:57:00.001-07:00

El desarrollador de soluciones de seguridad de datos Protegrity ha demandado a varios fabricantes. De hecho, ha añadido nuevos nombres a una larga lista de compañías a las que quiere demandar alegando que han violado sus patentes de encriptación.

La primera compañía demandada fue Ingrian Networks, pero en mayo de este año se añadieron los nombres de Safenet, nuBridges y Voltage Security. Y la lista continuará, porque, “hemos invertido mucho en investigación, innovación y desarrollo de producto en nuestra tecnología patentada y estamos decididos a proteger esas inversiones”, ha declarado el CEO de Protegrity, Iain Kerr.

Protegrity acusa a las compañías demandadas de haber infringido múltiples patentes relacionadas con aspectos de alto nivel técnico, críticos a la hora de aplicar, gestionar y renovar elementos de la encriptación a la hora de proteger bases de datos.

Todas esas patentes parecen estar relacionadas con determinadas “formas de hacer las cosas”, lo que significa que Protegrity cree que tuvo esas ideas primero. Lo cierto es que esas patentes son controvertidas debido a que, en algunas circunstancias, sólo pueden hacerse las cosas de un limitado número de modos y, además, puede llegarse a esas conclusiones de maneras diferentes a lo largo del tiempo. El caso podría tener, por tanto, implicaciones en los sistemas de cifrado de bases de datos en general.

En el lado contrario, Protegrity se ve a sí misma como la líder en algunos conceptos sobre los que considera que tiene un derecho adquirido por haber sido una de las primeras en ponerlos en marcha.

“El trabajo de desarrollo e innovación de la compañía se remonta a mediados de los noventa, cuando la encriptación de bases de datos granulares se consideró inviable. Protegrity desafió el acuerdo común en aquel momento, cuando el simple control de acceso era suficiente para proteger datos críticos”, han declarado en una nota de prensa portavoces de la compañía.

Fuente partnerzone.com

Las contraseñas no garantizan ninguna protección si no estan bien configuradas

2010-09-15T11:31:00.001-07:00

Un estudio de BitDefender pone de manifiesto lo sencillo que resulta encontrar datos relevantes de los cibernautas como cuentas de correo, nombres de usuario o contraseñas. Asimismo, también revela que un gran número de usuarios utiliza la misma password para acceder a su email y a su red social.

El estudio realizado por BitDefender muestra como más de 250.000 direcciones de correo electrónico, nombres de usuario y contraseñas, pueden ser encontradas fácilmente en Internet a través de comentarios, blogs, plataformas de colaboración torrents u otros canales. Asimismo, también revela que el 87% de esas direcciones de correo, nombres de usuario y contraseñas, seguían siendo válidas, de modo que cualquier podría acceder a ellas.

Además, un análisis detallado de las cuentas de correo mostró que un 75% de los usuarios utiliza la misma contraseña para acceder a su email que a su red social. Esto significa que en tres de cada cuatro casos, la información disponible en Internet no sirve sólo para acceder al correo de los usuarios, sino también a sus cuentas en redes como Facebook o Tuenti.

BitDefender advierte a los usuarios sobre los riesgos de seguridad que estos resultados implican y que van desde el robo de datos personales hasta el uso de la cuenta de correo o de la red social del usuario para enviar spam o malware.

Fuente partnerzone.com

Microsoft parcha una vulnerabilidad explotada por Stuxnet

2010-09-15T11:27:00.003-07:00

Este martes Microsoft ha lanzado una serie de actualizaciones para sus sistemas operativos, incluyendo una para parchar una vulnerabilidad antes desconocida que el gusano Stuxnet ya había comenzado a explotar para atacar a los internautas.

En total, Microsoft publicó nueve boletines de seguridad para solucionar 13 vulnerabilidades, cuatro de ellas críticas, que ponían en riesgo a sus usuarios.

Uno de los boletines de seguridad más importantes de esta serie es el denominado MS10-061, descubierto por expertos de Kaspersky Lab mientras investigaban el gusano Stuxnet. El gusano estaba explotando esta vulnerabilidad en Print Spooler, aprovechando que los expertos en seguridad todavía no la habían descubierto.

“Es muy difícil saber con exactitud lo que un programa malicioso va a hacer en una plataforma específica porque el comportamiento en cada plataforma es muy diferente, así que tuvimos que analizar el código byte por byte. (…) Pudimos lograrlo mucho más rápido trabajando en equipo, y el boletín es en esencia fruto de ello [del trabajo en equipo]”, dijo Maarten Van Horenbeeck, del Centro de Respuesta de Seguridad de Microsoft (MSRC).

Microsoft ha clasificado esta vulnerabilidad como “crítica” para Windows XP e “importante” para Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2. La vulnerabilidad permite que los atacantes tomen control del ordenador infectado, pero en XP la amenaza es mayor porque crea una cuenta para visitantes de forma automática cuando detecta a un usuario anónimo, a diferencia de los otros sistemas que piden que el usuario lo haga manualmente.

Mientras tanto, Microsoft está desarrollando un parche para otras dos vulnerabilidades que los expertos en seguridad también descubrieron mientras analizaban a Stuxnet. El gusano ya está explotando estas otras dos vulnerabilidades.

Fuente Viruslist.com

Protegerse del exploit Adobe con EMET

2010-09-15T11:19:00.000-07:00

Recientemente Microsoft ha lanzado EMET 2.0 que es una herramienta gratuita que implanta medidas de seguridad en las aplicaciones sin necesidad de ser compiladas de nuevo.

Utilizando esta herramienta es posible protegerse contra diferente tipos de exploits a ataques a aplicaciones de terceros y que generalmente son utilizadas sobre Windows.

Un ejemplo puede ser el reciente 0-day en Adobe Acrobat (uno de los cientos que abundan en las aplicaciones de Adobe). Para proteger Adobe Reader con EMET, el proceso es muy simple y se puede realizar por linea de comando o a través de su interface de la siguiente manera.

Descargar EMET (es gratuito) e instalarlo. Una vez instalado se ejecuta y por defecto EMET muestras las aplicaciones que se están ejecutando en ese momento y las medidas de protección que incorporan esas aplicaciones (DEP - Dynamic Data Execution Prevention, SEHOP - Structure Exception Handler Overwrite Protection, ASLR Space Layout Randomisation y Null Page Allocation)

Para proteger cualquier programa con EMET se debe agregar la aplicación deseada (botón "Configure Apps") y indicar que se desea protegerla:
A partir de ese momento cada vez que se ejecute dicha aplicación, la misma será controlada por EMET para evitar la ejecución arbitraria de código no autorizado. Este proceso se debe realizar por única vez con cada aplicación a proteger.

Fuente Segu-Info.com.ar

Falsa noticia de supuesta homosexualidad de Santos propaga Malware

2010-09-15T11:14:00.000-07:00

Han reportado un caso de malware que se está propagando a través de un correo electrónico que dice provenir del popular diario El Tiempo de Colombia pero que en realidad conduce a la descarga de un troyano.

La supuesta noticia enviada por correo hace referencia a un video (inexistente) que probaría la homosexualidad del presidente Juan Manuel Santos de Colombia:

Al intentar hacer clic para ver el video, se descarga un archivo ejecutable dañino que infecta al sistema del usuario. El archivo se llama Juan_Manuel_Santos.avi.exe y se descarga desde http://[ELIMINADO].com/_files/bio/0/Juan_Manuel_Santos.php)

Fuente Segu-Info

Boletin de Septiembre de Seguridad Publicado por Microsoft

2010-09-15T11:10:00.000-07:00

El Boletin de Seguridad de Microsoft publicado ayer, coincidiendo con su programa de actualizaciones de seguridad los segundos martes de cada mes, esta compuesto por 9 boletines, 4 de ellos catalogados como criticos y 5 catalogados como importantes. Este boletin corrige muchas vulnerabilidades reportadas en los ultimos dias.

Los boletines criticos son los siguientes:

MS10-061
Vulnerability in Print Spooler Service Could Allow Remote Code Execution (2347290)

MS10-062
Vulnerability in MPEG-4 Codec Could Allow Remote Code Execution (975558)

MS10-063
Vulnerability in Unicode Scripts Processor Could Allow Remote Code Execution (2320113)

MS10-064
Vulnerability in Microsoft Outlook Could Allow Remote Code Execution (2315011)

Los boletines importantes son:

MS10-065
Vulnerabilities in Microsoft Internet Information Services (IIS) Could Allow Remote Code Execution (2267960)

MS10-066
Vulnerability in Remote Procedure Call Could Allow Remote Code Execution (982802)

MS10-067
Vulnerability in WordPad Text Converters Could Allow Remote Code Execution (2259922)

MS10-068
Vulnerability in Local Security Authority Subsystem Service Could Allow Elevation of Privilege (983539)

MS10-69
Vulnerability in Windows Client/Server Runtime Subsystem Could Allow Elevation of Privilege (2121546)

Formas de detectar el ROGUE

2010-09-15T11:02:00.000-07:00

Para aquellos que no lo saben, se llama rogue al software que simula ser una aplicación antivirus o de seguridad, cuando, en realidad, busca instalar malware en el equipo u obtener un crédito económico a raíz de la venta de la aplicación en cuestión. Es importante destacar que la aplicación no brinda protección alguna, solo simula analizar el equipo y desinfectarlo.
Entonces, ¿cómo identificar un rogue? Los puntos a tener en cuenta son los siguientes:

1. La amenaza por lo general se descarga sin autorización del usuario o solicita su descarga de forma muy perseverante luego de ingresar a un sitio donde se realiza un falso análisis online de nuestro equipo. Dicha simulación de análisis siempre detecta amenazas e insiste en que nuestro equipo se encuentra en peligro.
2. Al realizar la exploración desde la supuesta aplicación de seguridad, siempre se encuentra una gran cantidad de amenazas (obviamente esto no es cierto), pero casi nunca se detalla puntualmente qué archivos se encontrarían infectados.
3. Al querer realizar la limpieza de las amenazas el programa, el mismo lo “invitara” a comprar la licencia del producto, generalmente por medio de un pop-up que lo llevará a un sitio donde puede realizar la transacción con tarjeta de crédito. Es muy importante que bajo ninguna circunstancia se ingresen dichos datos.
4. El rogue, una vez instalado, tiende a realizar ciertas modificaciones a nuestro sistema operativo para enfatizar el riesgo que posee el mismo y asi incentivar al usuario a realizar la compra del producto. Estos cambios incluyen, por ejemplo, la modificación del fondo de pantalla, constantes y molestos avisos de alertas de seguridad, modificaciones a la pantalla de inicio del sistema operativo e incluso modificaciones a la barra de inicio.
5. Si se intenta desinstalar la herramienta desde la opción “Agregar o quitar programas” del panel de control, al reiniciar el equipo la misma se vuelve a instalarse de forma automática.

5 formas de identificar un rogue
De poseer una solución antivirus con detección proactiva, al intentar realizar la descarga de la amenaza se disparará una alerta del producto informando que el mismo se encuentra infectado con Win32/Adware.[nombre_del_rogue].

Es por esto que siempre es recomendable utilizar herramientas de seguridad reconocidas en el mercado y comprobar su legitimidad en sitios populares de teste independiente como son Virus Bulletin y http://www.av-comparatives.org/, entre otros.

fuente: blogs.eset-la.com

Rogue: Malware que no pasa de moda

2010-09-15T11:00:00.000-07:00

Rogue es un software que, simulando ser una aplicación anti-malware (o de seguridad), realiza justamente los efectos contrarios a estas: instalar malware. Por lo general, son ataques que muestran en la pantalla del usuario advertencias llamativas respecto a la existencia de infecciones en el equipo del usuario. La persona, es invitada a descargar una solución o, en algunos casos, a pagar por ella. Los objetivos, según el caso, varían desde instalar malware adicional en el equipo para obtener información confidencial o, directamente, la obtención de dinero a través del ataque.

En cualquiera de los casos, es un ataque complementado por una alta utilización de Ingeniería Social, utilizando mensajes fuertes y exagerando las consecuencias de la supuesta amenaza. Vocabulario informal, palabras escritas en mayúscula, descripción detallada de las consecuencias, e invitaciones a adquirir un producto, son algunas de las principales características de esta amenaza.

Muchas variantes de rogue, además, simulan hacer un escaneo del sistema, con barra de progreso incluida y minuciosos detalles respecto a la extensa cantidad de amenazas que se encuentran en el ordenador. Los resultados nunca son alentadores y obviamente siempre se encuentra un número de amenazas importantes para el ordenador y, además, se detallan las peligrosas consecuencias de no solucionar el problema con rapidez.

Para detectar este ataque, como usuario, es importante tener en cuenta que los mensajes de amenazas en nuestro ordenador deben prevenir únicamente de la solución anti-malware que esté instalada y que, por lo general, las empresas de seguridad no utilizan carteles extremadamente llamativos y poco formales para indicar la presencia de amenazas.

Fuente ESET

Se descubre otro 0 day en Adobe Acrobat muy sofisticado

2010-09-14T10:25:00.001-07:00

A estas alturas, ya no es noticia que se descubra un problema de seguridad en los gestores de PDF de Adobe previamente desconocido y siendo aprovechado por los atacantes. Últimamente, es el día a día de esta compañía. Este último fallo de seguridad destaca porque es muy sofisticado, elude las protecciones de los últimos Windows, y además está firmado digitalmente.

Se ha descubierto un nuevo ataque contra las últimas versiones de Adobe Reader y Adobe Acrobat. Se trata de un desbordamiento de memoria intermedia al realizar una llamada a la función strcat en la libraría CoolType.dll y permite a un atacante ejecutar código en el sistema si la víctima abre (con estos programas de Adobe) un fichero PDF que utilice un tipo de letra manipulada. El fallo es público, está siendo aprovechado por atacantes en estos momentos y Adobe ya lo ha reconocido. La propia compañía confirma que no existe parche ni contramedida propia disponible (habitualmente era suficiente con desactivar JavaScript para, al menos, mitigar el problema, pero no es el caso en esta ocasión). Ha actualizado su alerta para indicar que, gracias a Microsoft's Enhanced Mitigation Evaluation Toolkit (EMET) es posible bloquear el ataque.

Este escenario, aunque potencialmente muy peligroso, no es sorprendente ni nuevo. Sorprende sin embargo las peculiaridades con las que los atacantes han aprovechado el fallo para ejecutar el código arbitrario (que, evidentemente, resulta en malware). Lo más llamativo es que los atacantes han trabajado a fondo para poder aprovechar la vulnerabilidad usando técnicas muy parecidas a dos de las que recientemente hemos hablado en una-al-día: Las que usara hace poco Rubén Santamarta para aprovechar un fallo en Quicktime; y el uso de certificados reales para firmar el malware, como el "reciente" troyano Stuxnet.

A primera vista, el fallo no es sencillo de explotar. Al desbordar la memoria, la pila queda en un estado no demasiado "ideal" para utilizar la dirección de retorno adecuada y ejecutar código. Para eludir estos problemas, los atacantes han usado una librería icucnv36.dll que no soporta ASLR (básicamente, siempre está en la misma zona de memoria y esto sirve de referencia para lanzar código) y han usado una técnica conocida como ROP (Return oriented programming). Hasta aquí, el ataque es muy parecido al que descubrió Santamarta en Quicktime, y demuestra una gran habilidad del atacante. Para colmo en este caso, dado que la librería no da mucho juego (no importa funciones interesantes que permitan fácilmente la llamada a código) el atacante se vale de otras menos potentes que, combinadas, consiguen su objetivo. Todo un alarde de conocimientos.

Una vez ejecutado, el binario que ejecutan los atacantes (incrustado en el PDF, aunque también descarga otros) está firmado con un certificado real y robado, igual que hizo Stuxnet hace un par de meses (se trata del malware que se ejecutaba gracias a la infame vulnerabilidad en los archivos LNK de Windows). En este caso se trata de un certificado robado a Vantage Credit Union. Otro toque de profesionalidad. Hay quien pronostica que el malware firmado será tendencia en 2011.

Adobe tiene previsto su siguiente ciclo de actualizaciones en octubre, pero (una vez más), seguro que publica un parche antes. Desde hace tiempo, el periodo de tres meses que eligieron para publicar parches les viene demasiado largo, y las excepciones en las que han tenido que romper el ciclo y publicar parches "a destiempo" han sido numerosas.

Fuente Hispasec.com

Protección de Laptos Ante robos

2010-09-14T10:15:00.000-07:00

Debido a algunas consultas en relación a este tipo de incidentes Segu-Info realizó un pequeño lab asociado a la evaluación de 2 productos opensource referidos a la protección/recupero de laptops:

1. PreyProject @ www.preyproject.com
2. The Laptop Lock @ www.thelaptoplock.com

El primero dentro de todo es una solución nueva y el segundo ya tiene un tiempo.

En ambos productos es necesario registrarse, y a través de la instalación de un agente, dar de alta los equipos que quieren monitorearse. En este sentido PreyProject provee muchas más opciones de monitoreo que The Laptop Lock, sin embargo este último provee acciones al denunciar robada la laptop, que el otro producto no provee, por ejemplo, borrar una determinada carpeta, cifrar el contenido de una carpeta, etc.

En los dos productos es necesario denunciar el equipo robado a través de la interfaz web, lo cual dispara las distintas acciones que hayamos configurado en el agente.

A modo de ejemplo les comento algunas acciones:
Preyproject: genera un mensaje en el equipo robado con el texto que nosotros definamos, por ejemplo "Este equipo ha sido extraviado, contáctese con "x"", además se puede disparar una sirena que comienza a reproducirse en el equipo. Una característica importante es que toma una captura de pantalla de la sesión activa, el usuario logueado, los procesos y direccionamiento público y privado. El direccionamiento lo trata de ubicar geográficamente (esto último no está funcionando muy bien). En apple y linux puede cambiar el wallpaper con algún texto que nosotros definamos. Con toda esta información genera un reporte que luego puede ser visualizado vía web, también envía alertas por mail anunciando que el contenido está disponible.
El agente puede configurarse para que trabaje cada "n" cantidad de minutos, en el equipo evaluado no se ha notado caída de performance por el funcionamiento del producto.

Preyproject utiliza unix (cron, bash), sin embargo toda la configuración es a través de un GUI junto con la instalación y desinstalación. Cerrando la sesión activa, e iniciando otra, también ha notificado que el equipo ha sido robado y ha generado un informe con las características antes mencionadas.

Si el usuario logueado posee permisos privilegiados también informa el Default Gateway y la Mac Address.

The Laptop Lock: el producto es mucho más simple que Preyproject, sin embargo provee medidas de protección reactivas que favorecen el resguardo de la información que pudiera contener el equipo robado. Cifrar archivos o carpetas, reproducir un comando, etc son las facilidades que provee este producto, la protección del agente a través de una contraseña es una medida de seguridad que lo diferencia de Preyproject. Los reportes contienen la IP involucrada y un link hacia DNStuff para realizar un WhoIs, etc, pero no tiene el mismo detalle que Preyproject en cuanto a los reportes.

Conclusiones
Los 2 productos son buenos, tienen diferencias que permiten optar por uno u otro según el tipo de tratamiento/protección que queramos implementar. Es importante mencionar que la utilización de estos productos debe estar acompañada de políticas de seguridad asociadas a la gestión de los equipos portables/móviles, dado que un usuario con permisos de administración podría desinstalar el producto. Adicionalmente dado que estos productos requieren de internet para comunicarse con el web service, si no tienen conexión no se podrá relevar ninguna información.

Estos productos no reemplazan una solución de cifrado (si la clasificación de la información lo amerita), sino que son un complemento a estas medidas y podrían facilitar el recupero de los equipos.
Por otro lado, políticas asociadas al uso de la información podrían disminuir la posibilidad de que en los equipos portables se encuentre información de negocio que tuviera algún valor para un posible atacante.

En fin estos productos no son infalibles, pero sin dudas, en conjunto con otros controles podrían ser muy útiles para el recupero de equipos robados.

Fuente segu-info.com.ar

Nueva Vulnerabilidad: Cisco Wireless LAN Controller CVE-2010-3034 ACL Security Bypass Vulnerability

2010-09-14T10:10:00.000-07:00

Cisco Wireless LAN Controller is prone to a security-bypass vulnerability.

An attacker can exploit this issue to bypass certain security restrictions.

This issue is being tracked by Cisco BugID CSCtf36051.

REFERENCIA DE LA VULNERABILIDAD

Más información: http://www.cisco.com/warp/public/707/cisco-sa-20100908-wlc.shtml

Exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.

fuente: securityfocus.com

Microsoft muestra su solución para el agujero en Acrobat y Reader

2010-09-14T10:08:00.000-07:00

Microsoft ha anunciado que sus herramientas incluidas en la versión 2.0 de su Enhanced Mitigation Experience Toolkit, pueden utilizarse para bloquear el los ataques de día cero que pueden producirse como consecuencia del agujero detectado en Acrobat y Reader descubierto la semana pasada.

En una alerta publicada por Microsoft, la compañía detalla cómo su herramienta Enhanced Mitigation Experience Toolkit 2.0 puede emplearse como solución para parar un ataque como los que pueden producirse debido a la vulnerabilidad detectada en los programas Acrobat y Reader de Adobe.

Con el uso de estas herramientas, los usuarios de la versión 9.3.4 de Acrobat y Reader podrán protegerse de posibles ataques de día cero antes de que Adobe lance su propio parche de seguridad. No en vano, los usuarios de estas soluciones esperan que el fabricante lance su nueva actualización des seguridad ya que la propia Adobe considera este agujero de seguridad “crítico”, y que puede dejar que un atacante se haga con el control de millones de ordenadores que cuentan con el popular programa para leer archivos PDF.

Según apuntaba la alerta de Microsoft, ambas compañías han trabajado conjuntamente para buscar una solución ante este agujero detectado y, tras analizarlo, han decidido recomendar el uso de esta solución de Microsoft, Enhanced Mitigation Experience Toolkit 2.0, a la espera del próximo parche de seguridad de Adobe.

Fuente Vulnerabilityteam

Un nuevo troyano ataca a los terminales Android

2010-09-14T10:07:00.000-07:00

Clasificado como Trojan-SMS, se ha descubierto un nuevo malware en los móviles basados en la plataforma de Google que hace que llamen a números Premium sin el consentimiento del usuario.

El nuevo gusano que está afectando a los dispositivos Android se distribuye mediante páginas web en ruso con contenidos para adultos. Desde el site, se insta al usuario a descargar un reproductor de vídeos que en el caso de los usuarios de Android es un troyano, mientras que los usuarios de otras plataformas reciben el contenido deseado.

“Como su predecesor, el troyano Trojan-SMS.AndroidOS.FakePlayer.b, se enmascara como un reproductor”, explican desde Kaspersky, añadiendo que un smartphone sólo puede infectarse si el usuario instala manualmente la aplicación. A los usuarios de smartphones con Android se les pide que descarguen la aplicación pornplayer.apk desde una web infectada para ver vídeos con contenidos para adultos.

Kaspersky señala que el archivo de instalación sólo pesa 16,4 KB y que, durante la instalación, el troyano busca el consentimiento del usuario para enviar mensajes SMS, un requisito poco probable para la instalación de un reproductor. El resultado del malware es que el usuario del terminal Android empieza a enviar mensajes de texto a números premium, cuya consecuencia es una elevada factura telefónica.

Desde la firma de seguridad advierten de que los usuarios de Android deberían prestar atención a los servicios a los que una aplicación pide permiso para acceder. “Permitir automáticamente a una nueva aplicación acceder a cada servicio que dice necesitar significa que se puede terminar con aplicaciones maliciosas o no deseadas haciendo todo tipo de cosas sin solicitar ninguna información adicional”, concluye Denis Maslennikov, director del grupo de investigación móvil de Kaspersky Lab.

Fuente Vulnerabilityteam

Detenida una banda que buscaba en Facebook información para sus robos

2010-09-14T10:03:00.001-07:00

Si usted está en Facebook, tenga cuidado con las actualizaciones de estado. En Estados Unidos tres personas han sido detenidas por robar en casas en las que los dueños habían publicado en su página de Facebook que no iban a estar en sus hogares.
Las compañías de seguridad ya lo han advertido en numerosas ocasiones. Si usted está en Facebook, tenga cuidado con lo que publica en su muro si no quiere ser víctima de un robo.

Y es que los delincuentes utilizan cada vez con más asiduidad las redes sociales para conocer los hábitos de los usuarios. Así, la policía de Nashua, New Hampshire (Estados Unidos) ha detenido a tres personas sospechosas de haber robado en varias casas, cuyos dueños habían escrito en Facebook que estarían fuera a una hora concreta o durante el fin de semana.

Según recoge Europa Press, los tres detenidos son sospechosos de haber robado en al menos 18 de los 50 hogares que sufrieron robos durante el mes de agosto en la localidad. El valor de los bienes robados oscila entre 78.000 y 156.000 dólares.

Según palabras del jefe del departamento de la Policía de Nashua, Ron Dickerson, “es necesario tener cuidado con lo que se publica en las redes sociales. Sabemos, a ciencia cierta, que algunos ladrones emplean estos sitios para determinar su próximo objetivo".

Fuente Partnerzone.com

Seguridad inalámbrica. Cómo ayudar a los empleados a evitar peligros

2010-09-14T10:02:00.000-07:00

Los empleados están exponiendo información profesional y personal sin saberlo cuando ingresan en hot spots Wi-Fi públicos en hoteles, aeropuertos y cafeterías.

De hecho, tal y como confiesa Ryan Crum, anterior director de seguridad de la información de PricewaterhouseCoopers Advisory Services, no es difícil ver números de la Seguridad Social sin proteger, datos financieros e información sobre fusiones y adquisiciones circulando en redes Wi-Fi públicas, sobre todo, en mensajes de correo electrónico.

Por eso, los expertos en seguridad recomiendan que los responsables de TI de las empresas tomen una serie de precauciones para proteger los datos corporativos de los peligros que les acechan en los puntos de acceso públicos.

Establecer y hacer cumplir fuertes políticas de autenticación para los dispositivos que intentan acceder a redes corporativas.

Pedir a los empleados utilizar una VPN corporativa y medidas de encriptación cuando hagan conexiones e intercambien datos. Mejor aún, configurar los equipos y otros dispositivos móviles de modo que se conecten automáticamente a la VPN y encripten los datos, eso sí, siempre después de que se haya determinado que el dispositivo no ha sido robado o se haya perdido.

Asegurarse de que todos los dispositivos y aplicaciones de software están configurados apropiadamente y cuentan con los parches de seguridad más recientes.

Confirmar que las políticas de seguridad corporativas prohíben a las personas transferir datos sensibles a dispositivos móviles o equipos no autorizados.

Fuente Partnerzone.com

El supuesto responsable de VBMania dice que quería protestar contra la guerra y la intolerancia religiosa

2010-09-14T09:59:00.000-07:00

Un usuario de Internet ha publicado un video en YouTube en el que se hace responsable por haber distribuido el gusano VBMania, también conocido como “Here you have”, que tanto ha dado de qué hablar durante los últimos días.

El gusano emplea métodos viejos y pocos sofisticados, pero aún así ganó notoriedad por haber infectado los sistemas de grandes empresas y organizaciones como Disney, la NASA, el Departamento de Transportes de Florida, Coca Cola, Google, etc.

Algunos expertos creen que el pirata, que se hace llamar “IRAQ Resistance”, es un ciudadano de Libia que encabeza el grupo Tarek Bin Ziad Group, un grupo musulmán que organiza “Jihad cibernéticas”. El video también incluye un mapa de Andalucía, y el perfil del pirata dice que reside en España.

El pirata dice que una de las razones principales por las que se dedicó a crear y difundir el programa malicioso es para protestar contra la guerra de Estados Unidos en Irak.

“Lo que quería decir es que Estados Unidos no tiene derecho a invadir a nuestra gente y robar el petróleo en nombre de las armas nucleares ¿Acaso han visto alguna?… ¡con qué facilidad matan y destruyen!”, dice parte del mensaje que está grabado en un inglés pobre con una voz computarizada.

El pirata también aprovechó para defenderse de las acusaciones de algunos medios de comunicación que dicen que es un terrorista. IRAQ Resistance afirmó que los verdaderos terroristas eran personas como Terry Jones, el pastor de una pequeña iglesia de Florida que amenazó con movilizar a la población cristiana para que quemara copias del Corán para conmemorar el ataque terrorista del 11 de septiembre.

“Podría aplastar a todos los infectados, pero no lo haré, y por favor no utilicen la palabra ‘terrorista’. Espero que todos comprendan que no soy una persona negativa”.

Fuentes:
Hacker Posts Video Claiming 'Here You Have' Worm ABC News

Anti-US hacker takes credit for 'Here you have' worm Computerworld

YouTube Video Claims Here You Have Worm Targeted U.S. eWeek

El gusano “Here you have” era una herramienta propagandística contra Estados Unidos

2010-09-13T14:19:00.000-07:00

Un hacker que asegura ser el autor del gusano de correo electrónico “Here you have” que se propagó rápidamente la semana pasada y afectó a múltiples redes corporativas explicó que el código malicioso fue diseñado, en parte, como herramienta propagandística contra Estados Unidos.

El hacker conocido como Iraq Resistence respondó a una serie de preguntas enviadas a una dirección de correo electrónico asociada al gusano “Here you have”, que durante un breve período el jueves pasado llegó a representar alrededor del 10% de todo el spam que circulaba por Internet.

Iraq Resistence no dio detalles sobre su identidad, pero ha dicho que el gusano era una herramienta para hacer oír su voz “entre la gente quizá..., o quizá para otras cosas”.

También reconoció que no esperaba que “Here you have” se extendiera con tanta rapidez como lo hizo y aseguró que podía haber hecho mucho más daño a sus víctimas. “Pude haber derribado a los infectados, pero no lo hice. Espero que la gente entienda que no soy una persona negativa”. En otras partes de sus declaraciones, manifiesta su condena de la guerra de Estados Unidos en Iraq.

Fuente pcworld.com

Como se roban las cuentas de Facebook y como protegerse

2010-09-13T10:07:00.000-07:00

"Te envié un video en el que estás vos". La frase, amistosa e inocente, puede ser una sentencia a corto plazo. Detrás de estas invitaciones -"Mirá este video impactante!" es otra de las más comunes- se esconden personas, grupos o verdaderas organizaciones criminales que operan en Facebook, a nivel mundial, tras el rastro de información personal, claves y contraseñas.

Con sólo hacer un clic en el enlace, comienza el derrotero. Una vez que los cibercriminales atrajeron la atención del incauto, necesitan su nombre de usuario y contraseña para iniciar la siguiente fase del ataque. Entonces se lo envía a una página de inicio que parece exactamente igual a la de Facebook, pero en realidad es una copia alojada en otra dirección web. Es lo que Marcelo Pizani, Gerente de Producto de la empresa de seguridad informática Panda Security, denomina en la jerga informática "el gancho".

Una vez que el usuario suministró sus datos de ingreso, la aplicación maliciosa le requiere pleno acceso a su información personal y derechos para publicar a través de su perfil, lo que le asegura difundir el ataque entre todos los contactos del usuario.

Como toda estafa, el engaño se basa en la confianza: al tratarse de una red de amigos, familiares y conocidos, la tasa de efectividad de la maniobra se dispara. "En otros fraudes suele ser de un 3 o 4%, en este llega al 10%", revela Pizani. En el mundo Facebook, ese porcentaje puede significar cientos de infectados en cuestión de minutos.

Los ataques así se diseminan con velocidad pero por fortuna suelen tener corta vida, porque alguna de las víctimas sospecha, intenta verificar la autenticidad del link y cuando descubre la trampa alerta al resto de la cadena. En las últimas semanas se vivió el auge de los videos sobre "la tragedia de los mineros chilenos". Antes fue el furor de los anzuelos con "Michael Jackson". "Los temas de actualidad tienen gran aceptación", explica el especialista.

Una clave para tener en cuenta es mirar el dominio de la presunta página de entrada a Facebook, y chequear si la URL es la auténtica o falsa. En caso de duda, nunca reescribir la contraseña y volver a ingresar desde el sitio confiable.

En manos de los delincuentes
Los planes de los hackers son variados, pero los más peligrosos no admiten límites. "Hay muchos que cuando te sacan la cuenta pueden infectar a toda la red. Logran el acceso a diversas aplicaciones y descargan virus 'troyanos' que quedan residentes en el sistema. El 'troyano' permanece oculto y cuando el usuario descubre el ataque, que modifica su contraseña de Facebook y vuelve a tener control, puede sin saberlo entregar la información. Un 'troyano', por ejemplo, puede registrar todo lo que se pulsa en el teclado y acceder a la contraseña del homebanking", sintetiza Pizani.

Si la contraseña de Facebook es la misma que la utilizada para un webmail, cuentas de bancos y demás, la vulnerabilidad es absoluta. Las dos recomendaciones más básicas, repetidas pero en muchos casos olvidadas: "No repetir las contraseñas y que contengan, sí o sí, una combinación de letras y números".

Un riesgo adicional es que la aplicación queda asociada al perfil, a la cuenta, entonces si uno se conecta desde la computadora del trabajo, y después ingresa a Facebook en su casa, también se descarga en esa máquina.

¿Qué hacer si el perfil de Facebook ha sido hackeado?
Paso 1: Lo primero de todo, eliminar los permisos a la aplicación maliciosa. Es un proceso sencillo: desde "Cuenta > Configuración de las aplicaciones" en la esquina superior derecha del perfil de Facebook. Esto garantizará que la aplicación no siga teniendo acceso al perfil una vez cambiada la contraseña.

Paso 2: Cambiar el usuario y la contraseña de acceso a la red social, yendo a "Cuenta > y Configuración de la Cuenta" en el menú de la esquina superior derecha del perfil de Facebook.

El paso siguiente es enviar mensajes a todos los contactos, incluso reforzar el alerta a través de e-mails. El "Muro" de Facebook también es una excelente vía de información.

Hay que cuidarse las espaldas. El definitiva el problema no es de Facebook. "No tiene responsabilidad. Obviamente el hecho de que el sitio tenga mensajería instantánea va a permitir que te manden un mensaje malicioso, pero ¿qué debería hacer el sitio, restringirla? Es una red social con muchas aplicaciones, ese tipo de medidas le quitaría la funcionalidad. Lo que puede hacer es mejorar en la concientización, recomendar, advertir", concluye Pizani.

El problema es serio. Nuestro país es tercero en cantidad de este tipo de ataques en la región, detrás de Brasil y México. Aunque parezca insólito, todo empieza con la invitación a salir de un chico o una chica, un trabajo atractivo para desarrollar desde el hogar o el último método para hacerse millonario. Puede estar orquestado desde Rusia, Nigeria, o una remota ciudad asiática, porque se programa desde cualquier sitio y en el idioma que domina la futura víctima. El resto es esperar: Facebook tiene más de 500 millones de usuarios.

Fuente Segu-Info.com.ar

Controles críticos de seguridad para evitar ataques en redes corporativas

2010-09-13T10:05:00.000-07:00

El instituto SANS lleva desde hace unos años manteniendo unas buenas prácticas que incluyen un total de 20 controles de seguridad a tener en cuenta para protegernos (o sentirnos más seguros) de posibles ataques tanto externos como internos. En ellos, se proponen, además de acciones posibles, herramientas que podrían facilitarnos las tareas de automatización para llevar a cabo y cubrir correctamente casi 15 de los 20 puntos.

Vamos a revisar uno por uno los puntos para tener una visión muy general de las directrices que conforman esta guía. Para obtener más información en profundidad sobre cada uno de ellos, lo mejor es echarle un vistazo a todo el proyecto y a su extensa literatura:

#1: Inventario de dispositivos autorizados y no autorizados
Conocer e inventariar los dispositivos que forman parte o deben pertenecer a nuestra red, y bloquear el acceso al resto.

#2: Inventario de software autorizado y no autorizado
Al igual que con los dispositivos, realizar la misma tarea con el software corporativo. Esto facilitará futuras tareas ya sean de mantenimiento, actualización, etc. Así mismo, utilizar herramientas que hagan un seguimiento del software instalado, consolas de gestión y centralización...Con ello podremos evitar contar en nuestra infraestructura con el típico PC del rincón con acceso a internet y con una jungla que ni la del amazonas con tanto espécimen.

#3: Configuraciones seguras de hardware y software para portátiles, equipos y servidores.
Bastionado de los equipos que utilizan los usuarios, antes de su inclusión en la red así como durante su actividad. Aunque parezca simple la acción de enchufar un cable de red a un portátil, os recuerdo que hace unos años existía un bicho que en 10 segundos nos dejaba los equipos inutilizados nada más configurar la conexión a Internet, reiniciándonos el sistema una y otra vez.

#4: Configuraciones seguras para dispositivos de red (Firewalls, Routers y Switches)
Hace poco os hablábamos por aquí sobre herramientas capaces de auditar la seguridad de estos dispositivos de red. En la mayoría de los casos son dispositivos que no sufren grandes cambios en sus configuraciones, por lo que no está de más revisarlos, ya que en muchas ocasiones todo el peso de la seguridad se delega en ellos.

#5: Defensa perimetral
Establecer una buena seguridad "perimetral" mediante proxys, redes DMZ, sistemas de prevención de intrusiones (IPS - Intrusion Prevention System), firewalls... Para ataques que provengan del exterior, esta es la primera puerta que se encontrarán nuestros amigos los "malos", por lo que conviene tenerla con unas cuantas cerraduras.

#6: Mantenimiento, monitorización y análisis de registros de auditoría
Aunque en muchos casos se opte por desactivar los registros de eventos en los dispositivos por cuestiones de rendimiento, y evitar tener trabajo de revisión de logs todas las mañanas a primera hora que nos dificulten el disfrutar de nuestro primer café, conviene revisar las configuraciones para registrar los eventos adecuados, ya que en un futuro lo agradeceremos cuando se nos pidan explicaciones frente a cualquier tipo de incidentes.

#7: Seguridad en aplicaciones software
Todos los desarrollos, ya sean propios de nuestra compañía como desarrollos de terceros, deberían ser revisados antes de ponerlos a funcionar dentro de nuestra infraestructura. Aún con herramientas automáticas (que facilitarían a su vez revisiones periódicas) o de forma manual, nunca está de más conocer a fondo los posibles peligros o riesgos. No importa de dónde venga el software que tenemos que implantar, al fin y al cabo...programan humanos.

#8: Uso controlado de privilegios de administración
Con unos buenos mecanismos de control de acceso para dispositivos, ya sean de red, equipos de usuario o servidores, un usuario con privilegios máximos se autenticará en los sistemas en ocasiones contadas con los dedos de una mano. Por ello, se recomienda vigilar, monitorizar y rastrear accesos mediante usuarios que cuenten con privilegios máximos. Pongamos un ejemplo rápido: Si en una compañía, el único método de acceso a equipos de usuarios es mediante una cuenta del dominio, la cuenta de Administrador local se encuentra restringida, ¿no resultaría extraño que todas las mañanas, a las 9, se detectara un proceso de logon en un equipo por el usuario Administrador?.

#9: Acceso controlado a recursos basado en su grado de confidencialidad
Siempre es necesario realizar un ejercicio de análisis de la información a la que se pueda acceder, y por ello, es conveniente realizar segregaciones de datos en base a su nivel de confidencialidad. En ejemplos de recursos compartidos, por ejemplo, los privilegios deberían definirse según directorios y quién pueda acceder a ellos.

#10: Análisis continuo de vulnerabilidades y sus correspondientes mitigaciones
Se deben realizar análisis periódicos de vulnerabilidades de nuestros activos, no únicamente cuando estos se vayan a conectar en nuestra red. En la actualidad, gran parte de las herramientas utilizadas para la auditoría de vulnerabilidades en sistemas suelen contar con gestión de procesos periódicos, capaces de generar informes detallados con la "foto" entre análisis y análisis. Quizás una revisión diaria sea absurda, pero en ciertas ocasiones, y según el tipo de dispositivos en objeto de revisión, un año resulte demasiado. Busquemos el término medio que no moleste y sea adecuado.

#11: Control y monitorización de cuentas
Al hilo de la recomendación #8, también sería conveniente contar con registros un poco más detallados sobre los accesos. No sólo cuando y quién accede, si no posibles intentos fallidos continuos, si la autenticación fallida se debe al usuario o a la contraseña suministrada, etc.

#12: Defensa frente a malware
Punto clave, de nada sirve protegernos de lo que nos pueda venir de fuera, si luego permitimos que nuestra red interna sea un parque de atracciones para los bichos que puedan venir en pendrives y demás. La protección y monitorización de estas amenazas también debe constituirse estableciéndose en diferentes puntos de nuestra red, apoyándonos no sólo en las soluciones típicas de antivirus, si no en sistemas de detección y prevención de intrusiones.

#13: Control y limitación de puertos de red, protocolos y servicios
Cuantas veces habremos oído las típicas frases de "hombre, si desde fuera no pueden acceder, ¿para que voy a restringir puertos?". Mal. Es muy habitual realizar revisiones internas de infraestructuras y encontrarse sistemas en los que dudas si realmente son honeypots (mínimo 1000 puertos abiertos, desde el finger, echo, daytime....) o sistemas que ofrezcan un servicio legítimo. No está de más restringir siempre, a nivel del propio sistema, puertos y servicios que no sean necesarios para la función que desempeña.

#14: Control de dispositivos wireless
Podemos contar con dispositivos y access points que ofrezcan los mecanismos de cifrado más potentes para nuestras redes inalámbricas, portales cautivos, con restricciones a nivel físico, etc etc etc...y luego de repente descubres que X departamento le ha dado por enchufar un router wifi típico para su conexión propia de ADSL. Y si, también es posible mediante ellos acceder a la red interna. Es conveniente en ocasiones sacar a pasear cualquier Stumbler para comprobar, al igual que necesitábamos inventariar todos los dispositivos de red, si tenemos en cuenta todos y cada uno de los dispositivos que ofrezcan conectividad inalámbrica y que formen parte, en muchos casos sin conocimiento alguno, de nuestra infraestructura.

#15: Prevención de fugas de información
La fuga de información está suponiendo, cada vez más, una grave amenaza para multitud de empresas. Ya lejos de volcados de bases de datos por aplicaciones vulnerables online, o incluso de robo de portátiles que tanto estuvieron de moda, en la mayoría de los casos el problema viene desde dentro. Muchas veces lo hemos comentado por aquí, cuando se dan situaciones en los que los empleados tienen su emule instalado y compartiendo carpetas que no deben, cuando tienen acceso, por no prevenir lo comentado en el punto #9, a demasiada información, cuando por correo electrónico pasan ciertos documentos a otras compañías....para ello ya existen soluciones software denominadas DLP (Data Loss Prevention) que son capaces de definir, monitorizar y proteger aquella información sensible.

#16: Ingeniería de red segura
El buen diseño y arquitectura de una red es fundamental, definiendo una correcta y adecuada segmentación basada tanto en la organización como en la seguridad.

#17: Tests de intrusión y pruebas por parte de equipos "Red Team"
Además de los típicos análisis de vulnerabilidades, es conveniente definir y simular una serie de patrones de posibles ataques sobre nuestra infraestructura contra los que nos podríamos enfrentar, y conocer si estamos preparados antes ellos, para su monitorización, respuesta y actuación. Estas pruebas suelen contratarse a personal externo de la organización, pudiendo así tener una perspectiva diferente y alejada de "nuestra realidad".

#18: Capacidad de respuesta frente a incidentes
Lejos de pruebas, en este punto se propone la elaboración de procedimientos para la respuesta frente a incidentes que puedan ocasionarse. Al igual que con los simulacros de incendios, también es conveniente revisar y poner en práctica estos procedimientos para definir si realmente son correctos y suficientes, provocando acciones como las comentadas en el anterior punto #17

#19: Capacidad de recuperación de datos
Que decir de las copias de seguridad y su vital importancia, en varias ocasiones os hemos hablado de ellas en este blog. Debe contarse con un sistema robusto de copias de seguridad, sobretodo para aquellos datos de mayor importancia.

#20: Estudio de técnicas de seguridad y formación necesaria para cubrir huecos
Formación, formación y formación. Pero no sólo a nuestro personal más técnico, todos y cada uno (también sabiendo diferenciar perfiles y el tipo de formación a ofrecer) de nuestros empleados deberían contar con una formación básica en materia de seguridad. Quizás a algunos departamentos sólo debamos recordarles los consejos básicos sobre navegación segura por internet, elección de contraseñas robustas, identificación de posibles phishings en e-mails...y a otros como validar correctamente los parámetros de sus aplicaciones en desarrollo, como cifrar las conexiones, etc etc.

Para conocer muchísimo más a fondo cada uno de los puntos descritos anteriormente, podréis pasaros por la versión HTML o versión interactiva de estos 20 controles de seguridad a modo de buenas prácticas para evitar posibles ataques en nuestras redes corporativas. También se han publicado estos puntos en formato poster, incluyendo otros diferentes TOP relacionados con la seguridad, vectores de ataque típicos, posibles atacantes...

FUENTE securitybydefault.com

Ataque de phishing con supuestos premios a Master Card

2010-09-13T09:57:00.000-07:00

Segu-Info.com.ar informa de nuevo ataque de phishing.

"Un lector del blog nos envía su denuncia de un correo phishing sobre un falso premio a poseedores de la tarjeta Mastercard.

El enlace del correo phishing lleva a un sitio distinto al que se visualiza en el correo: http://www.master[ELIMINADO]card.com/master/notps/goto/ que es una página falsa montado para robar datos de los usuarios de la tarjeta. Cabe aclarar que el sitio que se visualiza en el correo, no existe.

Más abajo se observa en detalle todos los datos que intentan robar los delincuentes. Información que comercializarán o usaran de forma fraudulenta para realizar compras a cargo del dueño de la tarjeta que engañado cargue por error sus datos. No se debe dar esta información tan completa y detallada a otros.

Aquí el engaño para actuar en contra del sentido común es la promesa de un falso e inexistente premio.

Como respuesta a esta denuncia desde Segu-Info procedimos a denunciar el sitio en Phishtank y en MyWOT sitios que han reaccionado velozmente en el bloqueo del sitio falso, lo reportamos en Google Safebrowsing mediante FireFox y en SmartSreen desde el navegador IE.

También hemos denunciado el dominio utilizado para el engaño al registro responsable"

Actualización 19hs: El registro del dominio nos informa que lo ha suspendido mientras investigan. El registro de dominio figura a nombre de Visa Corporation, algo obviamente falso y una ironía de los delincuentes que lo registraron.

Fuente Segu-Info.com.ar

Cómo detectar un ataque de "hacker"

2010-09-10T12:14:00.000-07:00

La mayoría de las vulnerabilidades de ordenadores pueden ser aprovechadas de varias formas. Los ataques Hacker pueden utilizar un simple exploit específico, o varios exploits al mismo tiempo, una configuración deficiente en uno de los componentes del sistema o inclusive un backdoor instalado en un ataque anterior.

Debido a esto, detectar los ataques hacker no es una tarea fácil, sobre todo para un usuario inexperto. Este artículo da unas cuantas ideas y guías básicas para ayudarle a darse cuenta si su máquina está bajo un ataque o si la seguridad de su sistema está expuesta a peligro. Tenga en cuenta que no hay una garantía del 100% de que usted detecte un ataque hacker de esta forma. Sin embargo, hay buenas probabilidades de que si su sistema ha sido penetrado, muestre uno o más de los siguientes comportamientos.

Equipos con Windows:

* Tráfico de red de salida sospechosamente alto. Si usted está en una cuenta de discado o utiliza ADSL y nota un volumen alto no usual en el tráfico de salida (sobre todo si este tráfico sucede cuando su ordenador esta inactivo o no necesariamente cargando datos) entonces es posible que su ordenador esté en peligro. Su ordenador puede estar siendo utilizado ya sea para enviar spam o por un gusano de red que se esta reproduciendo y enviando copias de si mismo. Para las conexiones por cable, esto es menos relevante – es muy común tener la misma cantidad de tráfico de salida como el tráfico de entrada; inclusive si usted no está haciendo nada más que visitar sitios o descargar datos de Internet.
* Gran actividad del disco duro o archivos de aspecto sospechoso en los directorios raíces de cualquiera de los discos. Después de penetrar en el sistema, muchos hackers realizan un escaneo masivo para encontrar documentos interesantes o archivos que contengan contraseñas o detalles de cuentas de banco o de pagos como PayPal. De igual forma, algunos gusanos buscan en el disco archivos que contengan direcciones de correo electrónico y las usan para propagarse. Si usted nota una gran actividad en su disco cuando el sistema esta inactivo, y archivos de nombres sospechosos en carpetas comunes, este puede ser un indicio de penetración en el sistema o de una infección de malware.
* Un gran número de paquetes que vienen de una dirección simple son y son bloqueados por un cortafuegos (firewall) personal. Después de ubicar un blanco (Ej: el rango IP de una compañía o un grupo de usuarios de servicios de cable) los hackers suelen usar herramientas automáticas de prueba que tratan de usar varios exploits para irrumpir en el sistema. Si usted tiene un cortafuegos (firewall) personal (un elemento fundamental para protegerse de los ataques hacker) y notan un número inusualmente alto de paquetes que vienen de la misma dirección, entonces este es un claro indicador de que su equipo está bajo ataque. Las buenas noticias son que si su cortafuegos (firewall) personal está reportando estos ataques, es muy probable de que usted esté seguro. Sin embargo, dependiendo de la cantidad de servicios que usted expone a Internet, el cortafuegos personal puede fallar en protegerlo contra un ataque dirigido a un servicio FTP específico de su sistema que haya sido abierto a todos los usuarios. En este caso, la solución es bloquear el IP ofensor temporalmente hasta que cesen los intentos de conexión. Muchos cortafuegos (firewall)s personales y IDS tienen incorporada una función de bloqueo.
* Un gran número de paquetes que vienen de una sola dirección y son bloqueados por su cortafuegos (firewall) personal. Después de ubicar un blanco (Ej: el rango IP de una compañía o un grupo de usuarios de servicios de cable) los hackers suelen usar herramientas automáticas de prueba que tratan de usar varios exploits para irrumpir en el sistema. Si usted tiene un cortafuegos (firewall) personal (un elemento fundamental para protegerse de los ataques hacker) y notan un número inusualmente alto de paquetes que vienen de la misma dirección, entonces este es un claro indicador de que su equipo está bajo ataque. Las buenas noticias son que si su cortafuegos (firewall) personal está reportando estos ataques, es muy probable de que usted esté seguro. Sin embargo, dependiendo de la cantidad de servicios que usted expone a Internet, el cortafuegos personal puede fallar en protegerlo contra un ataque dirigido a un servicio FTP específico de su sistema que haya sido abierto a todos los usuarios. En este caso, la solución es bloquear el IP ofensor temporalmente hasta que cesen los intentos de conexión. Muchos cortafuegos (firewall)s personales y IDS tienen incorporada una función de bloqueo. Su antivirus residente de pronto comienza a informar que ha detectado backdoors o caballos de Troya, inclusive si usted no ha hecho nada fuera de lo ordinario. Aunque los ataques de hacker pueden ser complejos e innovadores, los caballos troyanos o backdoor conocidos siguen utilizándose para obtener acceso completo al sistema amenazado. Si el componente residente de su antivirus está detectando y reportando este tipo de malware, puede ser un indicio de alguien está intentando penetrar a su sistema.

Unix machines:

* Archivos con nombres sospechosos en el archivo/tmp folder. Muchos exploits en el mundo Unix se basan en la creación de archivos temporales en el fólder /tmp, que no siempre son borrados después del hackear el sistema. Lo mismo sucede con algunos gusanos que infectan los sistemas Unix; ellos se apoderan del directorio tmp y lo utilizan como su "casa".
* Con frecuencia, después de ingresar al sistema, el hacker intenta asegurarse el acceso instalando una "puerta trasera" en uno de los demonios con acceso directo desde el Internet, o mediante la modificación de utilidades standard del sistema que se usan para conectarse con otros sistemas. Los binarios modificados son usualmente parte de un rootkit y generalmente son invisibles ante una inspección simple. En todos los casos, es una buena idea mantener una base de datos de las sumas de control de cada utilidad de sistema y verificarlas periódicamente desconectando el sistema de la red y en modo de usuario único.
* La alteración de /etc/passwd, /etc/shadow, u otros archivos de sistemas en el directorio /etc. A veces los ataques de hackers pueden añadir un nuevo usuario en /etc/passwd que puede obtener ingreso remoto al sistema en una fecha posterior. Busque cualquier nombre de usuario sospechoso en el archivo de contraseñas y monitoree todos los usuarios agregados, especialmente en un sistema de usuarios múltiples.
* Los servicios sospechosos añadidos a /etc/services. Para abrir una puerta trasera en un sistema Unix a veces basta añadir dos líneas de texto. Esto se lleva a cabo al modificar /etc/services así como /etc/ined.conf. Monitoree de cerca estos dos archivos y preste atención a cualquier adición que podría indicar una conexión backdoor a un puerto sospechoso o no usado.

Cibercriminales propagan el troyano de SMS para Android con técnicas SEO

2010-09-10T12:10:00.000-07:00

Los usuarios de Android que busquen pornografía en sus smartphones pueden llevarse una sorpresa muy costosa.

Mientras buscaba el origen del primer troyano SMS para dispositivos Android, encontré un nuevo paquete para Android que se hacía pasar por un reproductor de media pornográfico pero que en vez de eso enviaba mensajes SMS a números Premium.

Los mensajes SMS cuestan $6 cada uno y se envían a escondidas para que el usuario no lo note.

El último malware de Android (que detectamos como Trojan-SMS.AndroidOS.FakePlayer.b) se distribuye mediante ingeniosas técnicas de optimización de motores de búsqueda (SEO), una señal clara de que los cibercriminales están esforzándose al máximo para infectar los dispositivos móviles. El uso de SEO es un desarrollo significativo que confirma nuestra creencia de que el malware para teléfonos móviles, en especial el que es para Android, es un negocio muy lucrativo para los usuarios maliciosos.

El código de la última variante es similar al de la primera versión, y estoy seguro de que la misma persona (o grupo) está creando y distribuyendo este troyano. La amenaza se está propagando entre los usuarios de Android en Rusia.

El reproductor falso de pornografía no tiene una interfaz. Cuando se lo instala, sólo descarga un ícono (una imagen pornográfica) en la pantalla del smartphone y comienza a enviar mensajes SMS Premium sin el conocimiento del usuario cada vez que se ejecuta la aplicación.

El malware no está disponible en la tienda de aplicaciones de Android. Se está distribuyendo mediante sitios web, pero tomando en cuenta las técnicas de optimización de búsquedas que utiliza es posible que infecte a muchos usuarios.

La aplicación pide al usuario que realice la instalación de forma manual y que le permita el acceso a ciertas partes del sistema operativo, como cualquier otra aplicación para Android. Esto debería ser suficiente para ponerte alerta, en especial porque los reproductores de media no necesitan acceso ni permiso para enviar mensajes SMS.

Como dije en la anterior entrada del blog que escribí sobre este tema, los usuarios de Android deberían prestar mucha atención a los servicios a los que las aplicaciones solicitan acceso. Si no te detienes a pensar en esto y permites que una aplicación acceda a todos los servicios que solicita podrías acabar con una aplicación maliciosa que tiene la libertad de hacer todo lo que quiera sin consultarte. Y no te enterarás de lo que hace.

Fuente viruslist.com

Disponible Mozilla Firefox 3.6.9

2010-09-10T12:02:00.000-07:00

La nueva versión de Firefox 3.6.9 soluciona 10 vulnerabilidades clasificadas como críticas e incluyen la solución al problema de inyección DLL tal y como indican en esecurityplanet.

* Agrega soporte para el manejo de X-FRAME-OPTIONS HTTP en el header. Los webmasters pueden utilizar esta opción para mitigar ataques de Clickjacking y asegurarse que su contenido no es embebido en otros sitios.
* Varios problemas de seguridad.
* Diversos problemas de estabilidad.

Fuente Segu-info.com.ar

Atacan nueva vulnerabilidad "dia cero" de Adobe PDF

2010-09-10T11:58:00.000-07:00

Adobe sonó hoy la alarma por una nueva falla de día cero en su software Reader/Acrobat para PDF, advirtiendo que hackers están explotando activamente la vulnerabilidad en la práctica.

Los detalles de la vulnerabilidad aún no son públicos pero la repentina advertencia de Adobe es una señal segura que documentos PDF manipulados están siendo usados por hackers maliciosos para tomar el control completo de máquinas con las últimas versiones del Adobe Reader/Acrobat instalado.

Aquí está la advertencia de Adobe:

Existe una vulnerabilidad critica en Adobe Reader 9.3.4 y versiones anteriores para Windows, Macintosh y Unix, y Adobe Acrobat 9.3.4 y anteriores para Windows y Macintosh. Esta vulnerabilidad (CVE-2010-2883) podría causar un crash y potencialmente permitir a un atacante tomar control del sistema afectado. Hay informes que esta vulnerabilidad está siendo explotada activamente en la práctica.
Adobe está en el proceso de evaluar la fecha para una actualización que resuelva esta vulnerabilidad.

De forma inquietante, Adobe dice no poder ofrecer ningún consejo previo al parche para ayudar a los usuarios a frustrar los ataques.

Lamentablemente, no podemos ofrecer ninguna mitigación. Sin embargo, Adobe esta compartiendo activamente información sobre esta vulnerabilidad (y las vulnerabilidades en general) con socios en la comunidad de seguridad para permitirles desarrollar rápidamente los métodos de detección y cuarentena para proteger a los usuarios hasta que esté disponible un parche. Como siempre, Adobe recomienda a los usuarios seguir las mejores prácticas de seguridad manteniendo sus programas anti-malware y definiciones actualizados.

Una portavoz de Adobe describió el ataque como "limitado" pero advirtió que eso puede cambiar con la disponibilidad pública del código de explotación. Dijo que la compañía fue notificada ayer sobre los ataques (martes 7 de septiembre de 2010) a través de información de una compañía privada compañera.

Los programas afectados incluyen:

* Adobe Reader 9.3.4 y versiones anteriores para Windows, Macintosh y UNIX
* Adobe Acrobat 9.3.4 y versiones anteriores para Windows y Macintosh

El próximo lote de parches para Adobe Reader/Acrobat está programado para el 12 de octubre de 2010 pero es probable que la compañía publique una actualización fuera de calendario para este asunto.

ACTUALIZACIÓN: Un PDF de ejemplo del ataque está disponible públicamente. Apunta a usuarios Windows, afecta a Acrobat 8 y 9, explota múltiples versiones a la vez, y elude [las protecciones] DEP y ASLR.

Fuente Segu-Info.com.ar

Nuevas variantes de vulnerabildiades para Wireshark

2010-09-10T11:53:00.000-07:00

Wireshark 0.8.20 through 1.2.8 Multiple Vulnerabilities

Wireshark DOCSIS Dissector Denial of Service Vulnerability

Wireshark 0.10.8 to 1.0.14 and 1.2.0 to 1.2.9 Multiple Vulnerabilities

Exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.

fuente: securityfocus.com

Microsoft solucionará 13 fallos en Windows, IIS y Office

2010-09-10T11:50:00.001-07:00

La próxima semana, coincidiendo con la actualización periódica de Microsoft los segundos martes de cada mes, la compañía publicará nueve boletines que solucionan 13 vulnerabilidades que afectan a Windows, Internet Information Services y Microsoft Office.

Cuatro de los boletines están calificados de “críticos” y es resto se consideran “importantes”, según han informado desde el Microsoft Security Response Center.

Los programas afectados por las vulnerabilidades incluyen a Windows XP, Vista y Windows 7; Windows Server 2003 y 2008; y Office XP, 2003 y 2007.

Microsoft asegura que las organizaciones que están ejecutando Windows 7 y Server 2008 R2 están trabajando con plataformas mucho más seguras, y que las que todavía trabajan con Windows XP y Server 2003 “tienen que valorara el coste y los riesgos asociados con permanecer en estas plataformas”.

Es posible que alguno de los boletines soluciones el fallo en la manera en que Windows gestione los archivos DLL (dynamic-link library), aprovechado por los creadores de malware en sus araques. A este respecto recordar que Microsoft ha lanzado una herramienta que permite a los administradores de sistemas reducir el riesgo de la vulnerabilidad.

Fuente itespresso.es

A los gusanos también les va lo “retro”

2010-09-10T11:48:00.001-07:00

Varias empresas de seguridad están advirtiendo de la existencia de un gusano a la antigua usanza, que se transfiere a través de correo electrónico y que se están extendiendo rápidamente por Internet.

El malware utiliza adjuntos en el correo electrónico bajo el título “Here you have” para extenderse e incluye un archivo .scr disfrazado de PDF. El correo electrónico pide a los usuarios que comprueben el contenido, que es lo que activa el malware. El ataque se ha extendido rápidamente y mientras que ayer el número de infecciones se cifraban en 60.000, ahora se habla de cientos de miles de ordenadores infectados que, entre otras, están afectando a ABC/Disney, Google o Coca Cola.

Un experto en seguridad afirma que cuando se ejecuta el archivo .scr se descargan una serie de herramientas, una de las cuales parece intentar registrarse como un controlador. Después el malware intenta desactivar los paquetes antivirus y utiliza la libreta de direcciones de Outlook para enviar spam.

Desde McAfee aseguran que el malware instala una aplicación llamada CSRSS.EXE en la máquina infectada y después utiliza el correo electrónico para auto-enviarse a través de máquinas remotas accesibles.

Las infecciones de malware a través de adjuntos de correo electrónico fueron muy comunes hace una década. Entre otros fue famoso el ataque “I love You”, pero poco a poco los creadores de malware dejaron de utilizar estas tácticas para extender sus creaciones. Y es que la enorme cantidad de tráfico que generan hace que a las empresas de seguridad les resulte muy fácil crear una firma que detenga su avance y advierta a los departamentos de TI de que algo está mal. Actualmente la mayoría de las empresas de seguridad están bloqueando el gusano.

Fuente itespresso.es

Agujeros negros en las webs corporativas

2010-09-10T11:46:00.000-07:00

La empresa de control de malware Dasient ha publicado un “white paper” que identifica elementos externos fuera del control de los webmasters de empresa como los mayores agujeros de seguridad en sitios Web corporativos. Específicamente, Dasient identifica widgets de JavaScript externos, anuncios y aplicaciones online como los mayores peligros.

El malware ciertamente no es nada nuevo en la red, pero según los datos recogidos por Microsoft y Websense que cita Dasient, las infecciones diarias por malware han ido aumentando rápidamente durante los últimos años.

Widgets de terceros
Por widgets, Dasient se refiere a analíticas de tráfico, vídeo incrustado, encuestas y otras aplicaciones basadas en JavaScript que conectan a sitios Web de terceros. Cuantos más de estos widgets emplee un sitio, más oportunidades hay para que el malware consiga llegar a él. Incluso proveedores de servicios legítimos se pueden ver afectados. Según Dasient, el 75% de los sitios Web usan widgets JavaScript externos.

Publicidad de terceros
El tercer caso señalado de “publicidad malware” fue el ataque en anuncios al New York times que tuvo lugar el año pasado. Unos hakers haciéndose pasar por un anunciante legítimo nacional publicaron un anuncio inocuo una semana, y después lo cambiaron por malware que propagaba un anuncio falso de antivirus. Dasient afirma que el 42% de los sitios Web muestran anuncios externos.
Aplicaciones de terceros

Los servicios de ayuda, foros, CRM, CMS y otras aplicaciones online de cara al exterior se pueden explotar, especialmente si no están convenientemente parcheadas. En el informe se cita la elevada cifra del 91% al contar los sitios Web con aplicaciones online anticuadas.

Fuente ReadWriteWeb.es

Rogueware utiliza la filosofía de Virustotal para que la víctima escoja su "troyano"

2010-09-08T08:52:00.000-07:00