Todo lo que hay que saber sobre el exploit WMF

Fuente: http://www.vsantivirus.com/faq-wmf-exploit.htm

Por Jose Luis Lopez (*)
[email protected]

Esta información está recogida de diferentes fuentes (algunas de las cuáles se mencionan al final de este artículo), y también de diversas pruebas que hemos realizado en nuestro laboratorio.

- ¿Abrir un archivo WMF con un editor como MSPAINT es seguro?

No, no es seguro aunque usted haya desregistrado el componente SHIMGVW.DLL. Incluso si un archivo .WMF es renombrado, MSPAINT (Paint), el editor de imágenes que trae Windows por defecto, abre el archivo y eso provoca la ejecución del exploit.

- ¿Utilizar un visualizador de terceros, como IrfanView o ACDSEE es seguro?

No, no lo es. Aunque se haya desregistrado SHIMGVW.DLL, al abrir un archivo .WMF con el IrfanView o IrfanView Thumbnails, puede provocar la ejecución del exploit.

- ¿Cuántos sitios o troyanos explotan actualmente esta vulnerabilidad?

La cantidad de sitios y de troyanos que se aprovechan de esta vulnerabilidad aumenta todos los días. Ya no es práctico tampoco filtrar algunos sitios como muchos aconsejaron al comienzo, ya que esta cantidad es enorme, y además cambia segundo a segundo.

- ¿Es seguro filtrar solo archivos con extensión .WMF?

No, no es seguro. Existen métodos para explotar esta vulnerabilidad utilizando otras extensiones asociadas al visor de imágenes y fax de Windows, como por ejemplo BMP, DIB, EMF, GIF, ICO, JFIF, JPE, JPEG, JPG, PNG, RLE, TIF, TIFF, etc. Además, muchos programas (como MSPAINT), interpretan el archivo WMF como tal aún cuando lo renombremos como JPG por ejemplo. Esto es porque leen los datos de su cabecera (los llamados "bytes mágicos"), sin tomar en cuenta la extensión. Por esta razón no es válida ninguna solución que pase por filtrar archivos por su extensión o tipo.

- ¿Es vulnerable Google Desktop?

Google Desktop no es directamente vulnerable, pero como dicha aplicación (y otras similares), crean un índice de archivos para hacer su búsqueda más rápida, al momento de indexar archivos con extensión .WMF que contengan el exploit, el mismo es ejecutado. Cómo esto ocurre sin que siquiera el usuario haya intentado abrir o visualizar un archivo vulnerable, aconsejamos no utilizar esta aplicación ni ninguna otra que realice búsquedas de archivos en su computadora.

- ¿Cuál es el uso más extenso que se ha dado al exploit?

Todos los exploits conocidos descargan y ejecutan otros archivos (generalmente troyanos), de Internet. El primer exploit que fue detectado, descrito en nuestro artículo "Alerta: Troyano que se ejecuta mediante archivos WMF", http://www.vsantivirus.com/28-12-05.htm, creaba un archivo A.EXE que al ejecutarse, intentaba descargar otro archivo desde la web. Actualmente, la mayoría de los exploits al ejecutarse, despliegan alguna clase de alerta de texto, por ejemplo una ventana de información (tipo globo), donde se le indica al usuario que está infectado con algún adware o spyware ("Your computer is infected!", etc.), y se le pide descargar un programa para limpiar la infección. Muchos de esos programas anti-spywares, figuran en nuestro listado "Anti Spywares sospechosos o no confiables (28/12/05)", http://www.vsantivirus.com/lista-nospyware.htm).

De todos modos, el escenario no está limitado a este tipo de acción, ya que al poderse ejecutar un código sin el conocimiento del usuario, cualquier acción maliciosa es posible. La razón de que la mayoría de los exploits conocidos a la fecha hagan cosas similares, es porque al haber sido hecho público el código del mismo, cualquiera puede crear su propio troyano. Cómo la mayoría de las personas no tienen los conocimientos necesarios, simplemente se dedican a cortar y pegar, y a cambiar unos pocas líneas del código original.

- ¿Estoy protegido si no utilizo Internet Explorer?

No se está totalmente protegido si se utiliza por ejemplo Firefox en lugar de Internet Explorer. Versiones más antiguas de Firefox (1.0.x), abren las imágenes WMF con el visor de imágenes y fax de Windows y son vulnerables. La versión más reciente (1.5.x), intentan abrirlas con el Reproductor de Windows Media, que no es vulnerable. Opera también abre estas imágenes con el visor de imágenes y fax de Windows. De todos modos, todos estos navegadores le preguntan al usuario si desea abrir dichos archivos.

Además, recuerde que la infección vía Web es solo uno de los escenarios posibles. Basta abrir una carpeta que contenga un archivo WMF para que el exploit se ejecute, siempre que tenga activo el visor de imágenes y fax de Windows. Y en esto no importa que navegador se esté utilizando.

- Microsoft recomienda también utilizar la protección DEP, ¿esto es efectivo?

DEP (Data Execution Prevention o "Prevención de ejecución de datos"), es una característica que se instala en Windows XP SP2, Windows Server 2003 SP1 y Windows XP Tablet PC Edition 2005, y que permite proteger el sistema de la ejecución de código malicioso en alguna parte de la memoria marcada sólo para datos. Esta protección puede aplicarse a nivel de hardware en los equipos más modernos, cuyos microprocesadores contengan dicha función, o en caso contrario a nivel de software. Cuando la protección es a nivel de software solamente (la mayoría de los equipos actuales no lo soporta por hardware aún), entonces el exploit igual se ejecuta. Por lo tanto, no recomendamos este tipo de protección, salvo que usted esté seguro que su computadora soporta esta protección por hardware (esto se explica en el artículo "La vulnerabilidad WMF y la solución basada en DEP", http://www.vsantivirus.com/30-12-05.htm)

- ¿Que hace exactamente que funcione el exploit?

Aunque actualmente el componente relacionado con el exploit es la biblioteca SHIMGVW.DLL, la razón de que se pueda ejecutar código, está en las características de la interfase gráfica de Windows (Windows Graphic Display Interface o GDI).

La interfase gráfica es la que permite a las aplicaciones utilizar gráficos y textos con formato. Las aplicaciones pueden utilizar llamadas especiales a la GDI para controlar funciones que directamente no podrían hacer, por ejemplo, detener un trabajo de impresión.

Los archivos WMF (Windows Metafile), son archivos gráficos que contienen además secuencias de llamadas a funciones GDI. La imagen es creada (visualizada), ejecutando dichas funciones.

El problema se presenta porque algunas de esas funciones pueden corromperse. El exploit actualmente en circulación, se vale de una función que ya es obsoleta, y se conserva solo por compatibilidad con las versiones de 16 bit de Windows. En concreto, es la secuencia de escape GDI llamada SETABORTPROC, la que el exploit utiliza para ejecutar código de forma arbitraria cuando un archivo WMF es visualizado. Sin embargo, otras funciones similares también podrían ser explotadas en el futuro.

Aunque el exploit actual se basa en el visor de imágenes y fax de Windows (SHIMGVW.DLL), la vulnerabilidad principal se encuentra en la biblioteca de la interfase gráfica propiamente dicha (GDI32.DLL, Windows Graphical Device Interface library). Desregistrar SHIMGVW.DLL solo nos protege del exploit actualmente hecho público. De todos modos, no se conocen al momento exploits para otros componentes relacionados con el GDI.

- ¿Sólo Windows o el Internet Explorer son vulnerables?

Esta vulnerabilidad afecta directa o indirectamente a otras aplicaciones, al momento actual se han confirmado las siguientes:

Google Desktop
Lotus Notes

Otras aplicaciones que visualicen o indexen archivos WMF también son indirectamente vulnerables (Firefox y Opera por ejemplo, aunque según la versión, y con la ventaja de que preguntan al usuario antes de abrir un archivo WMF).

- ¿Cuál es la protección más efectiva?

No existe una protección definitiva, hasta que Microsoft no publique un parche que corrija el problema. Mientras tanto, la que más resultados ha dado en nuestras pruebas, es la de desregistrar el componente SHIMGVW.DLL como se explica en el siguiente artículo:

Vulnerabilidad en visor de imágenes y fax de Windows
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm

Cómo este tipo de protección crea algunas dificultades a quienes hacen uso intensivo de la capacidad de vistas previas, o aún la de visualización de faxes, hemos creado una pequeña utilidad que puede descargar desde el siguiente enlace:

http://www.videosoft.net.uy/wmf-prot.vbs

Descargue este archivo en su escritorio para que le quede a mano. Cuando usted haga clic en él, una simple ventana de opciones le preguntará lo siguiente:

"Pulse Si para desregistrar No para registrar"

El script solo hace eso. La idea es que le permita quitar la protección (cuando no navegue, y no abra archivos descargados de Internet), y solo lo precise para su trabajo. Luego le aconsejamos que siempre recuerde volver a aplicar la protección (o sea pulsar en SI).

Esta herramienta es muy elemental. Por ejemplo, no discierne si ya ha sido aplicada la protección o no (sólo aplíquela si duda haberlo hecho, ya que no tiene consecuencias secundarias si la acción se repite). Pero la idea es que lo ayude si realmente trabaja con las vistas previas, miniaturas o imágenes que la protección altera. Pero sea consciente que la mayoría del tiempo, debería tener la protección activa. Además, cuando la tenga desactivada, no olvide que si usa programas que indexan archivos (como Google Desktop), podrían ejecutarse exploits de archivos descargados de Internet, por lo que le aconsejamos no instalar herramientas como la de Google.

Aún a pesar de todo ello, aconsejamos precaución extrema a la hora de abrir adjuntos, páginas de Internet o carpetas compartidas por programas P2P que contengan archivos .WMF.

Utilizar un cortafuegos que detecte intentos de conexión desde el PC hacia el exterior (por ejemplo ZoneAlarm), puede ser de gran ayuda a la hora de detener el intento de conexión de un archivo ejecutado por el exploit, cuando intente conectarse a un determinado sitio Web para descargar otros componentes.

Usar un antivirus actualizado es fundamental.

De todos modos, tenga en cuenta que no todas las versiones del exploit son detectadas por todos los antivirus.

Como ejemplo, estas son muestras enviadas a Virus Total apenas hace unos minutos:

Este es el resultado de analizar el archivo "exploit-wmf2.wmf" que VirusTotal ha procesado el dia 31/12/2005 a las 10:07:59 (CET).

AntiVir 6.33.0.70 30.12.2005 no ha encontrado virus
Avast 4.6.695.0 30.12.2005 Win32:Exdown
AVG 718 30.12.2005 no ha encontrado virus
Avira 6.33.0.70 30.12.2005 no ha encontrado virus
BitDefender 7.2 31.12.2005 Exploit.Win32.WMF-PFV
CAT-QuickHeal 8.00 31.12.2005 no ha encontrado virus
ClamAV devel-20051123 29.12.2005 no ha encontrado virus
DrWeb 4.33 30.12.2005 no ha encontrado virus
eTrust-Iris 7.1.194.0 30.12.2005 no ha encontrado virus
eTrust-Vet 12.4.1.0 31.12.2005 no ha encontrado virus
Ewido 3.5 30.12.2005 no ha encontrado virus
Fortinet 2.54.0.0 31.12.2005 no ha encontrado virus
F-Prot 3.16c 30.12.2005 no ha encontrado virus
Ikarus 0.2.59.0 30.12.2005 no ha encontrado virus
Kaspersky 4.0.2.24 31.12.2005 Exploit.Win32.IMG-WMF
McAfee 4663 30.12.2005 Exploit-WMF
NOD32v2 1.1347 30.12.2005 variant of Win32/Exploit.WMF
Norman 5.70.10 31.12.2005 W32/Exploit.Gen
Panda 9.0.0.4 30.12.2005 Exploit/WMF
Sophos 4.01.0 30.12.2005 no ha encontrado virus
Symantec 8.0 31.12.2005 no ha encontrado virus
TheHacker 5.9.1.064 29.12.2005 no ha encontrado virus
UNA 1.83 30.12.2005 no ha encontrado virus
VBA32 3.10.5 30.12.2005 no ha encontrado virus

Este es el resultado de analizar el archivo "exploit-wmf3.wmf" que VirusTotal ha procesado el dia 31/12/2005 a las 10:12:36 (CET).

AntiVir 6.33.0.70 30.12.2005 no ha encontrado virus
Avast 4.6.695.0 30.12.2005 no ha encontrado virus
AVG 718 30.12.2005 no ha encontrado virus
Avira 6.33.0.70 30.12.2005 no ha encontrado virus
BitDefender 7.2 31.12.2005 Exploit.Win32.WMF-PFV
CAT-QuickHeal 8.00 31.12.2005 no ha encontrado virus
ClamAV devel-20051123 29.12.2005 no ha encontrado virus
DrWeb 4.33 30.12.2005 no ha encontrado virus
eTrust-Iris 7.1.194.0 30.12.2005 no ha encontrado virus
eTrust-Vet 12.4.1.0 31.12.2005 no ha encontrado virus
Ewido 3.5 30.12.2005 no ha encontrado virus
Fortinet 2.54.0.0 31.12.2005 no ha encontrado virus
F-Prot 3.16c 30.12.2005 no ha encontrado virus
Ikarus 0.2.59.0 30.12.2005 no ha encontrado virus
Kaspersky 4.0.2.24 31.12.2005 no ha encontrado virus
McAfee 4663 30.12.2005 Exploit-WMF
NOD32v2 1.1347 30.12.2005 variant of Win32/Exploit.WMF
Norman 5.70.10 31.12.2005 W32/Exploit.Gen
Panda 9.0.0.4 30.12.2005 Exploit/WMF
Sophos 4.01.0 30.12.2005 no ha encontrado virus
Symantec 8.0 31.12.2005 no ha encontrado virus
TheHacker 5.9.1.064 28.12.2005 no ha encontrado virus
UNA 1.83 30.12.2005 no ha encontrado virus
VBA32 3.10.5 30.12.2005 no ha encontrado virus

Más información:

Alerta: Troyano que se ejecuta mediante archivos WMF
http://www.vsantivirus.com/28-12-05.htm

Vulnerabilidad en visor de imágenes y fax de Windows
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm

TrojanDownloader.Wmfex. Detección para exploit WMF
http://www.vsantivirus.com/trojandownloader-wmfex.htm

La vulnerabilidad WMF y la solución basada en DEP
http://www.vsantivirus.com/30-12-05.htm

Referencias

Vulnerability Note VU#181038
Microsoft Windows Metafile handler SETABORTPROC GDI vulnerability
http://www.kb.cert.org/vuls/id/181038

Microsoft Windows Metafile Handling Buffer Overflow
http://www.us-cert.gov/cas/techalerts/TA05-362A.html

Microsoft Security Advisory (912840)
Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution.
http://www.microsoft.com/technet/security/advisory/912840.mspx

Windows WMF 0-day exploit in the wild
http://isc.sans.org/diary.php?rss&storyid=972

Update on Windows WMF 0-day
http://isc.sans.org/diary.php?storyid=975

Microsoft Windows WMF "SETABORTPROC" Arbitrary Code Execution
http://secunia.com/advisories/18255/

Microsoft Windows Graphics Rendering Engine
WMF Format Unspecified Code Execution Vulnerability
http://www.securityfocus.com/bid/16074

Q-085: Microsoft Windows Metafile File (WMF) Handling Vulnerability
[US-CERT Vulnerability Note VU#181038]
http://www.ciac.org/ciac/bulletins/q-085.shtml

Microsoft Windows WMF Handling Remote Code Execution Vulnerability
http://www.juniper.net/security/auto/vulnerabilities/vuln2830.html

F-Secure weblog
http://www.f-secure.com/weblog/archives/archive-122005.html#00000755

(*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director técnico y gerente general de NOD32 Uruguay.

[Última modificación: 31/12/05 18:19 -0200]

Seguir leyendo...

Agujero de seguridad de Windows puede ser explotado vía e-mail

Fuente: http://www.diarioti.com/gate/n.php?id=10281

Los intrusos informáticos no sólo tienen la posibilidad de atacar a usuarios de Internet mediante la recientemente descubierta vulnerabilidad de Windows. Según expertos, también es posible usar el correo electrónico y la mensajería instantánea.

La explotación del grave agujero de seguridad de Windows anunciado la víspera podría prepararse con gran rapidez. Al respecto, la compañía CSIS ha informado sobre la detección de los primeros casos de código maligno propagado mediante correo electrónico y mensajería instantánea.

En las horas siguientes a la primera detección de la vulnerabilidad, ésta estaba siendo aprovechada en sitios de descarga de software pirateado, pornografía, y códigos de los denominados “cracks” de software. El concreto, la vulnerabilidad se encuentra en Windows Picture and Fax Viewer.

CSIS califica la vulnerabilidad de “extremadamente crítica”, debido a que puede ser explotada incluso en sistemas Windows 2003 y Windows XP totalmente actualizados. Se trata además de una vulnerabilidad “de primer día”, contra la que ni Microsoft ni las compañías de seguridad informática tienen antídoto alguno.

Mediante la ejecución de los archivos WMF, los intrusos pueden instalar código maligno en un sistema vulnerado. Al cambiar el nombre de la raíz de un archivo WMF por GIF o JPG, y enviarla como anexo en un mensaje de correo electrónico o en un diálogo de mensajería instantánea, es posible infectar un PC sin que el usuario siquiera haya visitado un sitio maligno en Internet.

CSIS recuerda que en la versión más reciente de Outlook (2003) es posible desactivar la función de visualización de imágenes. Sin embargo, en otras versiones de Outlook y Outlook Express es posible que el código entre al sistema sin ser detectado ni por software antivirus ni por cortafuegos.

Seguir leyendo...

Nuevas consideraciones sobre la vulnerabilidad de proceso de WMFs

Fuente: http://www.hispasec.com/unaaldia/2624

La criticidad de los problemas de seguridad es siempre proporcional al alcance y peligrosidad de los mismos. Especialmente notorio en este campo, sin menospreciar la importante seguridad doméstica, es la seguridad de las corporaciones. Cuando lo que se pone en peligro es una posible ruptura de la continuidad de un negocio, los problemas de seguridad se convierten en problemas organizativos extremadamente críticos.

Según la información aparecida en el NIST, John Herron ha descubierto que todas las versiones 6.x y superiores de Lotus Notes son vulnerables al exploit de gestión de archivos de metadatos WMF recientemente aparecido. Es preciso informar que Lotus Notes es vulnerable incluso después de aplicar el "workaround" sobre regsvr32, en ausencia de parches, en el boletín de Microsoft (912840), lo que convierte a una vulnerabilidad ya de por sí extremadamente crítica en poco más o menos que dramática.

Lotus Notes es un software colaborativo cliente-servidor, muy popular en entornos corporativos, propiedad de Lotus Software, perteneciente al grupo de IBM Software.

En ausencia de parches, la recomendación que podemos transmitir a los responsables de IT y seguridad de las corporaciones que empleen Lotus Notes son filtrar en el perímetro las extensiones comunes asociadas a formatos gráficos, como BMP, DIB, EMF, GIF, ICO, JFIF, JPE, JPEG, JPG, PNG, RLE, TIF, TIFF y WMF, ya que las plataformas Microsoft Windows manejan estos ficheros no por la extensión que se emplee, sino por la información que exista en la cabecera de datos.

Por supuesto, es una recomendación igualmente válida es no abrir ni visualizar documentos gráficos procedentes de fuentes no fiables, a la espera de la puesta a disposición del público afectado de las pertinentes contramedidas. IBM está al corriente del problema, y se espera libere un boletín específico en las próximas horas, con lo que recomendamos a los usuarios de Lotus Domino contacten a la mayor brevedad posible con sus servicios técnicos y/o de atención al cliente para recibir la información más actualizada posible, habida cuenta del elevado riesgo de la problemática descrita.

Microsoft ha procedido a actualizar el boletín emitido en la jornada de ayer. Lo más relevante en esta actualización es que están centrando la investigación en la utilización de ficheros especialmente creados para ser explotados por Internet Explorer, y que no tienen constancia de actividad de explotación de ficheros maliciosos .WMF incrustados en documentos, como por ejemplo, en documentos Word.

De momento la compañía tampoco confirma que MSN Desktop Search pueda facilitar la explotación de la vulnerabilidad, tal y como sucede con Google Desktop, si bien van a investigar el caso con profundidad. Del mismo modo, confirman oficialmente que esta vulnerabilidad y la aparecida en Noviembre "MS05-053 - Vulnerabilities in Graphics Rendering Engine Could Allow Code Execution (896424)" son dos vulnerabilidades distintas, e invitan a los usuarios de sistemas de detección de intrusos a que contacten con susproveedores IDS, para ver cómo pueden cooperar estos mecanismos en la reducción a la exposición de esta hornada de malware.

Sobre IDS, han aparecido firmas específicas para SNORT, que pueden ser introducidas a mano por los administradores del IDS para añadir un grado de protección.

Como nota anecdótica, los usuarios del Internet Storm Center de SANS están respondiendo a una encuesta sobre qué acciones están tomando para tratar de evitar los efectos colaterales del exploit. Los resultados, por el momento, sobre un universo cercano a 1000 votantes, son estos:

26 % => Usar un antivirus actualizado
5 % => Activar DEP (Data Execution Prevention)
13 % => Formar a usuarios para evitar enlaces sospechosos
19 % => Filtrado de ficheros .WMF en el perímetro
3 % => Usar políticas de restricción inherentes al software de Microsoft
o equivalentes
24 % => Usar Sistemas Operativos no afectados por la vulnerabilidad
11 % => Otras medidas

Más información:

Lotus Notes vulnerable to MS Windows graphics rendering engine bug
http://www.nist.org/nist_plugins/content/content.php?content.25

Lotus Notes Vulnerable to WMF 0-Day Exploit
http://isc.sans.org/diary.php?rss&storyid=981

Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution. (Actualizado)
http://www.microsoft.com/technet/security/advisory/912840.mspx

Microsoft confirma la vulnerabilidad al procesar .WMF
http://www.hispasec.com/unaaldia/2623

Vulnerabilidad en tratamiento de archivos WMF de Windows
http://www.hispasec.com/unaaldia/2622

Sergio Hernando
[email protected]

Seguir leyendo...

Top Ten de los virus y spyware más frecuentemente detectados por Panda Software

Fuente: http://www.pandasoftware.es

En el año que ahora termina, Sdbot.ftp ha sido el ejemplar de malware más frecuentemente detectado por la solución antivirus online y gratuita Panda ActiveScan, seguido por el veterano Nestky.P. Por su parte, el ranking de spyware está liderado por New.net.

En 2005 la frecuencia de aparición de Sdbot.ftp se ha situado en el 3,7 %. Tras él están: Netsky.P (2,95%); Qhost.gen (2,29%); Gaobot.gen (1,96%); y Citifraud.A (1,29%). En las cinco últimas posiciones se encuentran Zapchast.D (1,13%); Parite.B (1,03%); Netsky.D (1,02%); Sasser.ftp (1%); y Psyme.C (0,97%).

Del Top Ten de virus más frecuentemente detectados por Panda ActiveScan en 2005 merecen destacarse los siguientes aspectos:

- Redes de bots y fraude financiero, un peligro en alza.
El liderazgo de Sdbot -un típico ejemplar de gusano bot-, así como la presencia en el ranking de amenazas como Citifraud.A, diseñada para realizar estafas tipo phishing, refleja el cambio de motivación de los autores de códigos maliciosos que, en la actualidad, tienen como principal objetivo el beneficio económico.

- Equipos mal protegidos, un riesgo que persiste.
La presencia de códigos maliciosos que hacen uso de vulnerabilidades de software resueltas hace tiempo, como Netsky.P, revela que muchos equipos se encuentras desprotegidos. Esta situación es muy favorable para los autores de virus, que encuentran en esos ordenadores una eficaz vía de distribución de nuevos ejemplares.

En lo que al spyware o software espía se refiere, según los datos de Panda ActiveScan, los más frecuentes en 2005 han sido: New.net (2,29%), Cydoor (2,06%), BetterInet (1,58%) y Altnet (1,23%). Tras ellos se encuentran, con porcentajes inferiores al 1%, Petro-Line, MarketScore, Virtumonde, Media-Motor, Aveo-Attune y Aureate-Radiate.

Seguir leyendo...

Compañía india diseña nuevo sistema para combatir virus

Fuente: http://diarioti.com/gate/n.php?id=10261

La compañía india Sanra Software ha desarrollado lo que denomina "un hito en la tecnología antivirus". Según asegura, su solución se concentra en el propósito esencial de los códigos malignos, y protege al PC de virus, troyanos, gusanos, spyware, keyloggers y hackers.

"Nuestra revolucionaria tecnología captura una imagen del PC, con todos sus detalles, en el momento en que se encuentra libre de códigos malignos; y posteriormente monitorea el sistema en búsqueda de alteraciones en su estructura e integridad", declaró N.S. Baskar, gerente general de Sanra Software, a EE Times.

La solución, denominada Rudra, estudia todos los archivos, cambios de configuración, archivos cambiados, control del sistema, y alteraciones en aplicaciones críticas en búsqueda de potenciales amenazas. Cada cambio en el sistema, que representa una potencial amenaza, es inmediatamente verificado por Rudra.

Según EE Times, el programa contiene algoritmos que escanean el sistema cada tres minutos, eliminando potenciales amenazas, y restableciendo la última configuración plenamente funcional, en caso de ser necesario.

Sanra Software indica que su tecnología es más efectiva que la soluciones existentes, que están basadas en firmas o métodos heurísticos.

Los métodos basados en firmas precisan de actualizaciones constantes debido a que los virus y gusanos están siendo producidos todo el tiempo. Los métodos heurísticos, en tanto, se basan en conductas sospechosas. En tal sentido, Baskar recalca que estos procedimientos no distinguen entre conductas legítimas y sospechosas, lo que ocasiona falsas alarmas.

Sanjay Bhardwaj, gerente general de Sanra Software, escribe en un comunicado que el producto no depende de las actualizaciones constantes, lo que incide positivamente en el rendimiento del sistema. Aún así, la detección de códigos malignos será óptima y en tiempo real.

El lanzamiento comercial del sistema está programado para la segunda semana de enero próximo.

Seguir leyendo...

Microsoft confirma la vulnerabilidad al procesar .WMF

Fuente: http://www.hispasec.com/unaaldia/2623

Microsoft publica un aviso de seguridad donde confirma la existencia de una nueva vulnerabilidad en Windows, para la que aun no existe parche, y que está siendo aprovechada para infectar los sistemas automáticamente al visitar determinadas páginas webs.

Tal y como comentábamos en el una-al-día de ayer, están proliferando los sitios webs que contienen archivos Windows MetaFile (WMF) especialmente diseñados para explotar un desbordamiento de buffer en la biblioteca que procesa, entre otros, los archivos de imágenes WMF.

Microsoft amplía el número de sistemas afectados por la vulnerabilidad a prácticamente la mayoría de versiones Windows, según su aviso entre el software afectado se encuentra Windows 98, Windows 98SE, Windows ME, Windows 2000 SP4, Windows XP SP1, Windows XP SP2, Windows XP x64 Edition, Windows 2003 y Windows 2003 SP1 en sus versiones Itanium y x64.

En el apartado de prevención, se recomienda no visitar enlaces no confiables que nos lleguen a través del correo electrónico, IRC, mensajería instantánea, foros web, grupos de noticias, etc. que podrían ser un cebo para que visitemos las páginas que contienen los archivos WMF maliciosos.

Otro consejo genérico, que además puede prevenir de otro tipo de ataques, como el phishing, pasa por configurar nuestro cliente de correo para leer los mensajes sin formato, sólo en modo texto.

Adicionalmente, como medida de mitigación a la espera del parche específico que corrija esta vulnerabilidad, Microsoft ha documentado como puede desactivarse la biblioteca Shimgvw.dll utilizada por el Visor de imágenes y Fax de Windows, y que está siendo aprovechada por los archivos WMF maliciosos conocidos hasta la fecha.

Los pasos son los siguientes:

* Desde el menú Inicio, seleccionar Ejecutar, y teclear (sin las
comillas): "regsvr32 -u %windir%\system32\shimgvw.dll"

* Aparecerá una ventana informando de que la operación se ha realizado con éxito. Aceptamos.

Como efecto colateral a esta medida de mitigación, el Visor de Imágenes y Fax de Windows no funcionará cuando intentemos abrir directamente un archivo asociado a esta aplicación, ni podremos previsualizar los archivos WMF en Explorer.

Cuando Microsoft publique e instalemos el parche para corregir la vulnerabilidad podremos reestablecer la funcionalidad de esta aplicación con los mismos pasos descritos anteriormente, pero ejecutando en esta ocasión el comando (sin las comillas) "regsvr32 %windir%\system32\shimgvw.dll"

Desde Hispasec también debemos indicar que la mayoría de soluciones antivirus están incorporando firmas para proteger a sus usuarios contra los archivos WMF maliciosos, aunque la proliferación de variantes es continua.

Otra medida de mitigación, aunque evidentemente no es mencionada en el aviso de Microsoft, es utiliza un navegador diferente a Internet Explorer, como Firefox u Opera, que no procesan automáticamente los archivos WMF y requieren la intervención del usuario para abrirlos.

Por último, esperar que Microsoft acelere, en la medida de lo posible, la publicación del parche correspondiente, sin necesidad de esperar al segundo martes del mes que viene según su política de publicación periódica, ya que sin duda se trata de un caso excepcional: la vulnerabilidad es crítica, está siendo explotada de forma activa, y el número de ataques/variantes aumenta progresivamente.

Más información:

Microsoft Security Advisory (912840)
Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/912840.mspx

Microsoft Windows Metafile Handling Buffer Overflow
http://www.us-cert.gov/cas/techalerts/TA05-362A.html

28/12/2005 - Vulnerabilidad en tratamiento de archivos WMF de Windows
http://www.hispasec.com/unaaldia/2622

Bernardo Quintero
[email protected]

Seguir leyendo...

La Argentina es la más afectada por el virus Banker

Fuente: http://www.infobaeprofesional.com/interior/index.php?p=nota&idx=22991

La Argentina se convirtió en el país de América latina más afectado por la aparición del virus Banker, pese a que se trata de un troyano dirigido contra los usuarios bancarios de entidades de Venezuela. El nivel de infección supera el 27%, y en el momento de la redacción de este artículo, era apenas superada a nivel mundial por Inglaterra, donde el nivel de contagio llegaba casi al 28%.

Ante la explosiva propagación de los troyanos Nabload.U y Banker.BSX, que ya han causado miles de incidencias en computadoras de todo el mundo.

Nabload.U y Banker.BSX llevan a cabo un ataque combinado para conseguir instalarse en las PC.

El proceso sucede de la siguiente manera:

* El usuario recibe, a través de la aplicación MSN Messenger, un mensaje que junto al texto "ve esa vaina", muestra una dirección de Internet. Para mayor credibilidad, el mensaje simula proceder de alguno de los contactos almacenados en la mencionada aplicación.

* En caso de que el usuario visite el link que acaba de recibir, el troyano Nabload.U se descarga en el sistema. A su vez, éste descarga en el equipo al troyano Banker.BSX.

Banker.BSX está diseñado para robar las claves de acceso a varios servicios de banca online de países hispanohablantes. Para ello, controla las direcciones por las que el usuario navega, a la espera de que acceda a alguno de esos servicios. Cuando esto sucede, el troyano captura los datos y los envía a una dirección de correo electrónico donde el creador de los códigos maliciosos puede recogerlos para realizar todo tipo de acciones fraudulentas.

* Finalmente, Banker.BSX se encarga de enviar nuevos mensajes maliciosos a todos los contactos de MSN Messenger.

Según Luis Corrons, director de PandaLabs, "la forma de distribución de estos troyanos es especialmente peligrosa. Por una parte, emplean una aplicación de mensajería instantánea que es utilizada por millones de usuarios de todo el mundo. Por otra, se hace pasar por alguno de los contactos que se encuentran almacenados en dicha aplicación, lo que consigue que los usuarios, confiados, visiten el link que acaban de recibir. Esto explica la gran propagación que han experimentado estos troyanos desde el mismo momento de su aparición"

Es muy aconsejable comprobar si los equipos han sido afectados por estos nuevos códigos maliciosos, debido al riesgo que implica su presencia para las cuentas bancarias de los usuarios.

Seguir leyendo...

Vulnerabilidad en tratamiento de archivos WMF de Windows

Fuente: http://www.hispasec.com/unaaldia/2622


A lo largo del día de hoy se ha detectado en la red un exploit que aprovecha una vulnerabilidad de Microsoft Windows XP y 2003, para la que de momento no existe parche, y que puede ser explotada por atacantes remotos para comprometer los sistemas afectados.

Dicho código de explotación, localizado en el dominio unionseek[PUNTO]com, aprovecha un problema de Windows XP y 2003 (concretamente, en el componente "Visor de imágenes y fax de Windows") a la hora de tratar metaarchivos de Windows (WMF) para ejecutar código arbitrario.

Si la víctima utiliza Internet Explorer, puede provocarse la ejecución automática de código arbitrario al visitar la web maliciosa. Otros navegadores como Firefox preguntarán sobre si se quiere cargar la imagen en el componente vulnerable antes mencionado.

Este código malicioso se está utilizando para distribuir troyanos como Trojan-Downloader.Win32.Agent.abs, Trojan-Dropper.Win32.Small.zp, Trojan.Win32.Small.ga y Trojan.Win32.Small.ev.

En estos momentos varias soluciones antivirus presentes en VirusTotal detectan el exploit, por lo que además conviene mantener actualizado el antivirus que se utilice.

El problema se ha confirmado en sistemas XP y 2003 totalmente parcheados, aunque no se descarta que pueda afectar a otras plataformas.

A la espera de un parche de actualización que solvente el problema, se recomienda filtrar el acceso a dicho dominio, además de archivos en ese formato a nivel aplicación (proxy web, servidor de correo, etc).

Más Información:
Microsoft Windows Graphics Rendering Engine WMF Format Unspecified Code Execution Vulnerability
http://www.securityfocus.com/bid/16074/info

Windows WMF 0-day exploit in the wild (NEW)
http://isc.sans.org/diary.php?storyid=972

Julio Canto
[email protected]

Seguir leyendo...

La gran amenaza para el 2006

Fuente: http://www.todo-linux.com/modules.php?name=News&file=article&sid=3612

Virus para móviles
La proliferación de smartphones, teléfonos con capacidades multimedia y nuevos dispositivos portátiles amplian las posibilidades de los creadores de programas, virus según opinión de expertos en seguridad informática...(sigue)

En un informe reciente, McAfee advierte que los programas , virus desarrollados hacía este tipo de dispositivos crecerán exponencialmente y como mínimo triplicaran su número actual.

Para la firma de seguridad, los dispositivos portátiles ofrecen una excelente oportunidad para los creadores de programas , virus, dada su popularidad e implantación. Además, el 99,9% de este tipo de terminales no cuentan con ningún tipo de protección. (Proteccion Nula )

Además, algunos expertos evalúan la facilidad de la facilidad que supone atacar a ordenadores de sobremesa a la hora de sincronizar los dispositivos alcanzando incluso a las propias redes corporativas desde el propio terminal. Lo cual no dudemos de este metodo para futuros ataques.

Los PCs, para estos expertos, entienden que lo les llega desde el móvil es correcto y por lo tanto no bloquean ni revisan su contenido cuando sincronizan la información.

McAfee desaconseja bajar la guardia ante las amenazas informáticas. A juicio de la compañía, un virus de las características de "I Love You" tendría una propagación considerablemente mayor si fuese dirigido específicamente a los terminales móviles.

Phishing en auge
Junto a la llegada de nuevos virus para los terminales móviles, McAfee advierte también que para el próximo año seguirá incrementándose la llegada de ataques de sitios falsos creados para recabar información de los usuarios, adwares maliciosos y spyware.

Todo parece indicar que los nuevos códigos maliciosos buscan más "robar" información de los usuarios que atacar a los equipos para provocar su caída. Los datos robados, a través de estos códigos pueden ser usados para suplantar su identidad en compras o estafas electrónicas o vender perfiles para spammers y publicidad intrusiva.

Seguir leyendo...

ESET: en el año 2006 tendremos un crecimiento mayor al 500%

Fuente: http://www.mundoenlinea.cl/noticia.php?noticia_id=5151&categoria_id=4

Eset es una compañía global de soluciones de software de seguridad y una de las empresas que han "movido" al mercado chileno de antivirus en este año 2005 que ya termina.

A través de acciones de difusión muy focalizadas, han logrado ingresar al escenario local y conseguir nuevos clientes para su producto antivirus que es NOD32.

Durante este año en Chile, han participado en eventos orientados a la protección en empresas, y también en diversas exposiciones tecnológicas y seminarios en instituciones académicas como INACAP. Además, oficializaron la designación de ElSan Consultores IT como su nuevo distribuidor exclusivo en el país, con el objetivo de estimular el posicionamiento de la marca y potenciar sus ventas locales.

Con el objetivo de realizar un balance acerca de cómo fue el año 2005 para Eset y sobre las expectativas que tienen para el éxito de NOD32 en Chile, conversamos con Ignacio Sbampato, Vicepresidente de Eset para Latinoamérica.

Cómo calificaría al año 2005 para NOD32?

Este año ha sido muy bueno para nuestra empresa a nivel mundial. Por cuarto año consecutivo hemos recibido el reconocimiento como una de las 50 empresas tecnológicas de mayor crecimiento en Europa Central, otorgado por la consultora Deloitte, y también, de acuerdo a la misma consultora, estamos entre las 100 de mayor crecimiento de toda Europa (estudio Fast Technology 500). Dichos resultados son productos del cada vez mayor reconocimiento que tiene nuestro producto, gracias a la calidad de nuestro extraordinario equipo de desarrollo.

Cómo evalúa la entrada y masificación de NOD32 en el mercado chileno?

El ingreso en el mercado chileno ha sido muy bueno, tanto en el aspecto comercial como en la recepción de nuestro producto por parte de los usuarios y empresas. Estamos muy satisfechos con los resultados del 2005 y estamos seguros que seguiremos creciendo durante el 2006. Desde diciembre, contamos con un distribuidor exclusivo en Chile, la empresa Elsan Consultores TI, que viene trabajando con nosotros desde el año 2004, y ha demostrado ser idónea para la tarea de desarrollar el mercado chileno.

En qué segmentos de industria han tenido una mejor recepción los productos de la empresa?

Inicialmente, organismos de Gobierno y Universidades han sido el segmento donde hemos tenido una mejor recepción, lo cual se debe en gran parte a los beneficios que brinda nuestro producto para aquellas redes con equipos que no están actualizados con las últimas tendencias de hardware. Dado que NOD32 es un producto que consume muy pocos recursos del sistema, las empresas y organismos con equipos antiguos se ven ampliamente favorecidas por nuestras prestaciones.

Cómo piensan enfrentar la competencia de los otros players en el mercado chileno?

Con un trabajo serio enfocado en la satisfacción del cliente. NOD32 es hoy en día uno de los productos más amigables del mercado, algo que se puede comprobar con solo instalarlo y además es el antivirus que brinda la más eficaz protección, como queda demostrado con nuestro récord de premios VB 100 % del premio Virus Bulletin y nuestra cada vez más reconocida tecnología ThreatSense, de Heurística Avanzada. Invitando a los interesados a probar nuestro producto y notar las diferencias, es como pensamos enfrentar el crecimiento de nuestro mercado en Chile.

Cuál es hoy el principal competidor de la compañía en el mercado local?

En todo el mundo sólo tenemos dos competidores de los que realmente nos preocupamos: los códigos maliciosos y la desinformación. Confiamos plenamente en las cualidades técnicas de NOD32 frente a otros productos antivirus y antispyware, y nuestra estrategia es tener una solución eficaz a la hora de la protección y mostrarles a los clientes lo que nuestro software puede brindarles, por encima de las soluciones existentes en el mercado.

Cuáles son sus proyecciones de ventas o porcentaje de participación de mercado que esperan para Chile durante el año 2006?

Calculamos que en el año 2006 tendremos un crecimiento mayor al 500 %, en comparación con el 2005, y más empresas y organismos confiarán en nuestro producto.

Seguir leyendo...

Detenidas 18 personas que integraban una red de pornografía infantil en Internet

Fuente: http://www.elpais.es/articulo/elpporsoc/20051225elpepusoc_1/Tes

La policía ha detenido a dieciocho personas en siete comunidades autónomas vinculadas a una red de pederastas y a las que se acusa de tenencia de imágenes y vídeos de pornografía infantil que distribuían por Internet, ha informado hoy la Dirección General de la Policía.

La operación arrancó en noviembre con la detención de varios sospechosos, entre ellos el concejal de ERC D.R., de 24 años, de La Seu d'Urgell, que fue cesado entonces de sus funciones y quedó en libertad con cargos, según han informado fuentes policiales.

Diez de los arrestos se han llevado a cabo en los últimos días en distintas localidades de Cataluña, Canarias, Baleares, Castilla y León, Castilla-La Mancha, Andalucía y Valencia. La operación, denominada Saimma, ha permitido obtener miles de logs (ficheros informáticos) de usuarios que han intercambiado archivos delictivos con los detenidos, tanto a nivel nacional como internacional, además de información sobre numerosos canales de IRC, una red de servidores de chat donde se intercambiaba pornografía infantil con fuertes medidas de seguridad y que hasta ahora eran desconocidos por la Policía.

Las investigaciones se iniciaron el pasado mes de marzo a raíz de una información procedente de la Oficina de Interpol de Helsinki (Finlandia) sobre la detención de un ciudadano de este país que distribuía pornografía infantil, en su mayoría imágenes de niños de diez años, a través de la red de servidores de chat IRC, actualmente el principal medio de intercambio de grabaciones utilizado por los pederastas, según la policía.

El sistema de transferencia de ficheros de esta red, conocido como DCC, almacena en sus archivos los "logs" de quienes escriben y reciben mensajes, unos datos con los que los investigadores pudieron detectar que algunos de los usuarios utilizaban proveedores de acceso españoles. Siguiendo este rastro, los agentes pudieron identificar a numerosas personas que habían compartido archivos con imágenes de niños "utilizados en actos sexuales con adultos", explica la Dirección General de la Policía en una nota de prensa.

Registros e intervenciones

En la operación se han practicado 14 registros domiciliarios y han sido intervenidos 36 discos duros, cuatro ordenadores portátiles, 452 discos compactos y DVDs, 26 cintas de videocámara, dos cámaras digitales, un teléfono móvil, 500 gramos de hachís a uno de los detenidos Oscar M.R., de 44 años y arrestado en Ibiza), así como varios pasaportes pakistaníes falsos.

Entre los dieciocho detenidos hay, además de españoles, ciudadanos británicos, de los Países Bajos, Argentina, Rusia y Pakistán residentes en España. Entre los detenidos españoles están, además del ex concejal catalán y del detenido con medio kilo de hachís, Pedro Luis B. C., de 44 años y nacido y residente en Ponferrada (León); Francisco Javier M. A., de 38 años, nacido en Huelva y residente en Jeréz de la Frontera (Cádiz); Millán T.F., de 40 años y nacido y residente en Las Palmas; Ignacio Manuel R., de 48 años, natural de Lanuza (Valencia); y Enrique M.J., de 37 años y residencia en El Prat de Llobregat.

También figuran entre los detenidos Carlos M.B., de 28 años y natural de Barcelona, donde reside; el madrileño Juan G.T.P., de 30 años y domiciliado en Pozuelo de Alarcón (Madrid) y Javier G.D., de 20 años y natural y domiciliado en Mataró (Barcelona).

Seguir leyendo...

El "SPAM" disminuye en EEUU gracias a la legislación y a filtros

Fuente: http://iblnews.com/story.php?id=7675

El flujo de correo electrónico no deseado o 'spam' parece estar disminuyendo en Estados Unidos como consecuencia de una ley de 2003 y de avances tecnológicos, según un informe gubernamental divulgado el martes.

El informe de la Comisión de Comercio Federal (FTC, en inglés) dijo que la avalancha de 'spam' sigue siendo un problema importante para los usuarios de internet, pero todo indica que los internatuas están recibiendo menos que hace dos años.

La FTC indicó que una encuesta de la firma de filtración de correo electrónico MX Logic encontró que el 'spam' representaba el 67% de todo el correo electrónico que pasaba por su sistema en los ochos primeros meses de 2005, lo cual representa una bajada del 9% con respecto al año anterior. La FTC dijo también que el portal de internet America Online señaló que sus miembros recibieron un 75% menos de 'spam' en 2004 que en 2003.

En términos globales, el informe citó investigaciones de Canadá y Finlandia para señalar que "los estudios de otros países también reportan un descenso en la cantidad de 'spam' que llega a las bandejas de correo de los consumidores".

Seguir leyendo...

Evaluar los gastos de Seguridad de la Información. VAN, TIR y ROI

Fuente: http://www.sahw.com/wp/archivos/2005/12/08/evaluar-los-gastos-de-seguridad-de-la-informacion-van-tir-y-roi

Fuente Original: Economic Evaluation of a Company’s Information Security Expenditures

Un tema complejo para las gerencias, sin duda. ¿Cuánto cuesta la seguridad de la información a una empresa?

Hace algún tiempo, hablé del tema de costes de seguridad en "una-al-día" de Hispasec. Publiqué el mismo texto en este blog, y también está enlazado en muchos sitios más, como Belt Ibérica.

Hoy os enlazo la opinión de alguien mucho más experto que yo en estos asuntos. Se trata de un administrador de red de Morgan Stanley, Kelly Lucas, que cuenta cómo evaluar estos costes desde una perspectiva financiera clásica: Retorno de la Inversión, Valor Neto Actual y la Tasa Interna de Retorno (en otras palabras, los famosos VAN y TIR, aderezados con el sempiterno ROI.

VAN

Todo esto me recuerda que tengo publicado por ahí temario de la asignatura Dirección Financiera, perteneciente a los estudios de segundo ciclo de Ingeniero en Organización Industrial, estudios que cursé en la Universidad de Málaga, en los que explico precisamente todo lo relativo a los criterios básicos de selección de inversión en la empresa. He subido los tres temas de análisis de inversión al servidor, así que el que quiera, que se los baje: vienen con teoría y ejemplos prácticos.

* Criterios para la selección y valoración de inversiones - Payback, TRC y otros métodos estáticos.
* Criterios para la selección y valoración de inversiones - Valor Actual Neto
* Criterios para la selección y valoración de inversiones - Tasa Interna de Rendimiento

Este es un claro ejemplo de que los métodos más clásicos y simples son útiles cuando se usan sabiamente. La evaluación de costes es un problema complejo pero puede ser simplificado con las herramientas adecuadas.

Seguir leyendo...

Expertos: "2006 será el año de los virus telefónicos"

Fuente: http://diarioti.com/gate/n.php?id=10192

A juicio de expertos, la proliferación de los smartphones y otras unidades portátiles ampliará el campo de acción y facilitará las actividades de intrusos y hackers. En tal contexto, el peligro que representan los virus informáticos podría crecer a un ritmo exponencial.

La compañía de seguridad informática McAfee anuncia que durante 2006 los virus para teléfonos móviles podrían triplicarse. En lo que va de 2005 se han detectado 226 virus para unidades móviles como smartphones y asistentes digitales personales. Para 2006, McAfee pronostica que la cifra será de 726.

Descuidan seguridad de PDA

McAfee espera además un incremento en los ataques específicos de tipo phishing, junto con un crecimiento sustancial del adware y spyware circulando en Internet. Con todo, los virus para teléfonos móviles representarán el mayor crecimiento entre las amenazas informáticas. A la par con la proliferación de los terminales portátiles, aumenta el interés que éstos generan entre los programadores de códigos malignos.

Otra causa para el pronosticado incremento de las amenazas, es que los usuarios descuidan asegurar sus terminales móviles contra ataques de virus.

En un comunicado, McAfee desaconseja bajar la guardia ante las amenazas informáticas. A juicio de la compañía, un virus de las características de "I Love You" tendría una propagación considerablemente mayor si fuese dirigido específicamente a los terminales móviles.

Seguir leyendo...

Un hombre se entrega a la policía por posesión de pornografía infantil tras recibir un mensaje del gusano Sober

Fuente: http://www.delitosinformaticos.com/noticias/113509387338672.shtml

Un informe elaborado por Reuters revela que un coleccionista de pornografía infantil se ha entregado a las autoridades al confundir un email del gusano Sober con una advertencia oficial en el que se le informaba que estaba siendo investigado, según ha informado la compañía de seguridad informática Sophos.

Este joven de 20 años y origen alemán, cuyo nombre no ha sido revelado, se creyó el mensaje enviado por el tenaz gusano Sober-Z en el que se le informaba de la investigación llevada a cabo por la Oficina Federal del Crimen de Alemania (conocida como BKA) y se le acusaba de visitar regularmente sitios Web ilegales. La policía de la ciudad de Paderborn arrestó a este hombre tras encontrar pornografía infantil en su ordenador.

"Normalmente tratamos de que la gente comprenda que un virus nunca puede ser bondadoso, pero ahora se da la paradoja de que accidentalmente Sober-Z ha conseguido que un pedófilo se entregue a la policía", comenta Annie Gay, Directora General de Sophos Francia y Europa del Sur. "Con una protección antivirus actualizada, este hombre nunca habría recibido el mensaje de Sober-Z, y si finalmente debe cumplir condena por posesión de pornografía infantil, podría dedicar su tiempo a reflexionar sobre la importancia de no creerse todo lo que nos llega por email".

El gusano Sober-Z, que actualmente representa cerca del 78% de los virus detectados por Sophos, se puede hacer pasar por mensajes del FBI, de la CIA o de la BKA. El gusano llega en un documento adjunto con el siguiente mensaje:

Estimado Señor/Señora:
Hemos localizado su direcci{on IP en más de 30 sitios Web ilegales.
Importante: por favor, responda a nuestras preguntas. Lista de preguntas en el documento adjunto.

Atentamente,
Steven Allison
Federal Bureau of Investigation-FBI-
935 Pennsylvania Avenue, NW , Room 3220
Washington , DC 20535
Teléfono: (202) 324-30000


Sophos recomienda tanto a particulares como a empresas que protejan la pasarela de entrada con una solución consolidada que les proteja contra virus, programas espía y spam. Las empresas también deben proteger sus ordenadores y servidores con una protección que se actualice automáticamente.

Seguir leyendo...

La última amenaza descubierta para la Seguridad TI

Fuente: http://www.mastermagazine.info/seguridad/8875.php

España supera a la media europea en conectar dispositivos personales al PC de la empresa, aumentando la posibilidad de transferir malware a la red corporativa y poniendo en peligro los datos confidenciales.

McAfee ha presentado un estudio que revela hasta qué punto los trabajadores europeos ponen en riesgo la seguridad TI de sus empresas frente a ataques. Esta "Amenaza desde dentro" está minando las inversiones significativas que realizan las empresas para protegerse de las amenazas TI. Sólo hace falta que un único empleado conecte un dispositivo infectado al sistema TI para causar una infección a toda la compañía.

El estudio de McAfee, llevado a cabo por ICM Research, ha analizado el comportamiento de los empleados en Europa, y revela tanto ignorancia como negligencia en el lugar de trabajo cuando se trata de utilizar los recursos TI de la empresa. Como resultado McAfee ha identificado también cuatro tipos de trabajadores que ponen en riesgo a su lugar de trabajo.

El estudio revela que:

· Cerca de un cuarto (24%) de los encuestados utilizan el portátil de la empresa en casa para conectarse a Internet, incrementando de manera dramática las posibilidades de infección del dispositivo y potencialmente de la red corporativa.
· Uno de cada cinco trabajadores (21%) dejan que la familia y los amigos utilicen los portátiles o PCs de la empresa para acceder a Internet
· Dos tercios (62%) admiten tener un conocimiento muy limitado sobre Seguridad TI
· Más de la mitad (51%) conecta sus propios dispositivos o aparatos al PC de su trabajo y un cuarto de éstos lo hacen a diario
· Alrededor del 60% admite almacenar contenidos personales en el PC del trabajo mientras que uno de cada diez admite descargar en el trabajo contenidos que no deberían

La amenaza de una infección

Los empleados que utilizan en casa los portátiles de la empresa, con una conexión a Internet desprotegida, supone una amenaza seria para la salud TI de la empresa. Un dispositivo no parcheado puede ser infectado por una serie de amenazas, desde virus a Troyanos y spyware, que podrían infectar la red corporativa al volver a conectarse a ésta. El hecho de que tanta gente no sepa cómo actualizar el software de seguridad en sus dispositivos del trabajo hace que este problema sea aún más agudo. Más de la mitad (51%) de los encuestados desconocen por completo cómo actualizar la protección antivirus del portátil/PC de su empresa.

Dejar que la familia y los amigos utilicen los dispositivos del trabajo supone una amenaza de infección incluso mayor, así como para la seguridad de los documentos de trabajo que en ellos se encuentran. Sólo hace falta que un niño abra un archivo infectado del mail o que un amigo descargue contenido ilegal para que ese dispositivo se convierta en un peligro para la red corporativa. En España el 16% de los encuestados reconoce que deja utilizar a familiares o amigos su portátil o PC del trabajo.

Multitud de aparatos

Las empresas también son susceptibles de ser infectadas por el creciente número de aparatos que los empleados llevan al lugar de trabajo. Cada vez más los empleados se están armando con multitud de aparatos como memorias USB, reproductores de música digital como las iPod, cámaras digitales, teléfonos móviles, etc. De nuevo, el riesgo principal es la transferencia de malware a la red, pero las empresas también pueden estar en peligro de que se les roben datos a través de estos dispositivos. El 24% de los encuestados en España admite que conecta dispositivos personales al PC del trabajo diariamente, y el 31% una vez a la semana, cifra que se sitúa por encima de la media europea (27%).

Contenido, Contenido, Contenido

En Europa, uno de cada diez empleados ha admitido que descarga contenido que no debería en el trabajo. En este sentido parece que los empleados españoles que respondieron a la encuesta son los peores ya que uno de cada cinco (18%) admite que descarga contenido inapropiado. Las empresas están en peligro por las descargas de contenidos tanto en términos de infección como desde el punto de vista legal. Si el contenido descargado y guardado en la red corporativa es ilegal, no solo puede verse afectado el empleo del trabajador, sino que a la empresa podría considerársela responsable.

Actividad maliciosa

Mientras la mayoría de los empleados ponen en riesgo a su empresa por satisfacción propia o por ignorancia, se cree que una pequeña minoría busca activamente perjudicar a la compañía desde dentro. El cinco por ciento (5%) de los encuestados afirman haber accedido a áreas del sistema TI a las que no debían (incluyendo acceso a archivos de RRHH y financieros), mientras que un número muy bajo admitió tomar información que no debían de la red. La presencia de un sólo un empleado con este perfil podría acarrear a la empresa serias consecuencias, tanto para la seguridad TI como para la salvaguarda de activos corporativos confidenciales.

Basándose en las conclusiones de este estudio, McAfee ha podido establecer cuatro perfiles de empleado dentro cualquier compañía media:
1. El "Flojo" en Seguridad (Security Softie) – Este grupo comprende a la mayoría de los empleados. Tienen un conocimiento sobre seguridad muy limitado y ponen a la empresa en peligro utilizando en casa su ordenador del trabajo o dejando navegar por Internet a los miembros de su familia a través de dicho PC
2. El "Acumulador" de Aparatos (Gadget Geek) – Aquellos que van al trabajo cargados de una gran variedad de dispositivos/aparatos, y todos ellos acaban siendo enchufados al PC
3. El "Ocupa" (Squatter) – Aquellos que utilizan los recursos TI de la compañía de formas que no deberían, como por ejemplo almacenar contenidos o juegos
4. El "Saboteador" (Saboteur) – Una pequeña minoría de empleados, aunque solo con uno basta para causar un incidente. Este grupo accederá maliciosamente a áreas del sistema TI a las que no debería tener acceso o desde dentro infectará la red a propósito

"Hemos observado que la gran mayoría de los trabajadores son prácticamente inconscientes del peligro al que pueden exponer a la red TI de su compañía,” afirma Blas Simarro, Director Técnico de McAfee, Inc. “Por lo tanto las empresas necesitan tanto educar a sus empleados sobre cómo hacer un uso seguro de los recursos TI de la compañía como al mismo tiempo implementar soluciones tecnológicas para asegurarse que los dispositivos ajenos a los sistemas de seguridad que exija la compañía no puedan acceder a la red."

Seguir leyendo...

Parche de Microsoft causa problemas a Internet Explorer

Fuente: http://www.diarioti.com/gate/n.php?id=10174

La semana pasada, Microsoft lanzó su actualización mensual de seguridad. Sin embargo, ésta tiene un efecto desafortunado en el navegador Internet Explorer.

DIARIO TI: Varios usuarios de Windows han reportado un ”comportamiento inusual” del sistema, después de haber instalado la última actualización mensual de seguridad. Según los usuarios, la actualización ha hecho que Internet Explorer deje de funcionar, presente enlaces sin contenido o abra varias ventanas simultáneamente.

Después de haber analizado el problema, Microsoft indica que éste se presenta en sistemas donde co-habitan la versión beta de Internet Explorer 7 y la versión definitiva de Internet Explorer 6.

”Después de haber analizado estos informes, hemos detectado la fuente del error”, escribe Jeremy Dallman, responsable de seguridad en Internet Explorer en IEBlog.

La primera versión beta de Internet Explorer 7 incorpora una clave errónea en el registro del sistema de Windows. Los usuarios que experimentan el error pueden solucionarlo eliminando la siguiente clave: (HKEY_CLASSES_ROOTCLSID{c90250f3-4d7d-4991-9b69-a5c5bc1c2ae6}), escriben IEblog y Cnet.

Seguir leyendo...

Una mezcla de caballo de Troya y phishing

Fuente: http://www.infobaeprofesional.com/interior/index.php?p=nota&idx=22616

Los autores de códigos maliciosos desarrollan técnicas para hacer más eficiente cada uno de los procesos de infección masiva de computadoras. Sistemas mejorados de propagación a través de diversos medios, como el e-mail, la mensajería instantánea, las páginas Web, las unidades compartidas de la red, etc., se asocian a nuevas formas de programación como los rootkits, que se combinan con sofisticados métodos de ingeniería social.

Todo esto ha hecho evolucionar las amenazas para afectar, por fines comerciales o de entretenimiento perverso, a los usuarios de computadoras que, en actitud ingenua o poco cautelosa, se conectan a la red de redes para trabajar u obtener algo de entretenimiento.

El phising es una de las técnicas más novedosas de engaño y los medios de comunicación reportan regularmente fraudes bancarios que utilizan esa mezcla de mensajes de correo engañosos con sitios Web clonados que simulan pertenecer a instituciones financieras.

Por e-mail
La empresa Trend Micro alertó en su último informe sobre el comportamiento de un caballo de Troya (TROJ_HANLO.J ), que hace uso de las estrategias de phishing para engañar a los destinatarios y lograr que realicen acciones que les afectarán a ellos o a sus sistemas.

Al igual que los mensajes que simulan ser de los bancos, HANLO.J envía un mensaje de correo electrónico que pretende provenir de un proveedor de soluciones antivirus. En él se advierte al usuario sobre una variedad de virus que amenaza la seguridad de sus computadoras, y les advierte de hacer clic en un link (vínculo) desde donde podrán descargar el parche de seguridad que los pondrá a salvo.

El usuario llega entonces a una página Web muy similar a la del proveedor antivirus que le ofreció la solución. En lugar del esperado parche se descarga y ejecuta en el sistema un ejemplar del troyano.

Este código malicioso, que corre en Windows 98, ME, NT, 2000, XP y Server 2003, tiene particularidades que aunque no son novedad en el mundo de los virus, “suelen ser eficientes”, según Trend Micro, para hacer saltar las barreras de seguridad de los sistemas y es el fundamento del phishing.

Intrusión eficiente
El mensaje electrónico que porta el vínculo web no lleva al código malicioso en sí y por tanto puede burlar con facilidad la protección de algunos productos antivirus. Es parte de una rutina de envío masivo de correo electrónico no deseado, pero su contenido es de caracteres e hipervínculos. No es sino hasta que el usuario llega a la página Web clonada cuando el troyano se descarga e instala, con la ayuda del usuario.

La apuesta de los autores es que el tiempo que transcurre entre la lectura del mensaje y la descarga del troyano es de pocos minutos y “suele ser poco reflexiva”. El nombre de un proveedor antivirus legitima falsamente un mensaje evidentemente engañoso y malintencionado.

Engaño
Jeffrey Aboud, director de Respuesta ante Amenazas de Trend Micro, señaló que los autores de TROJ_HANLO.J tienen la capacidad de manipular las líneas de la dirección de correo electrónico, para hacerlo aparecer como si proviniera de cualquier remitente que ellos seleccionen.

“Esto lo llamamos spoofing (engaño) y por desgracia no es nada nuevo”, dijo Aboud. “Hemos visto que los autores de malware simulan todo, desde nombres genéricos aleatorios y nombres listados en las libretas de direcciones de los usuarios infectados, hasta los de agencias como el FBI y la CIA en los Estados Unidos. Al igual que en estos ejemplos, disfrazar una firma de seguridad puede ser una técnica de ingeniería social muy eficiente para lograr que los usuarios bajen la guardia y confíen automáticamente en el contenido del mensaje”.

Recomendaciones
“Los usuarios de computadoras deben buscar una solución antivirus integral que los proteja tanto de código malicioso en si mismo, y que además proteja los vectores de entrada de los virus, como son los links que llegan por email o por mensajería instantánea, además de cubrir los accesos del spam, phishing, y que posea un firewall personal que limite los accesos no autorizados, entre otras funciones”, advirtió Trend Micro.

Aboud recomendó a los usuarios que sean cautelosos de aquellos mensajes de correo que no esperan, incluso cuando aparenten provenir de una fuente conocida. “En caso de duda, lo mejor es verificarlo con el remitente antes de abrir los archivos adjuntos o seleccionar alguna liga. Si un mensaje se presenta fuera de lo común de un remitente que usted conoce, o sencillamente no está seguro, siempre será mejor tomarse un momento para verificarlo”.

Seguir leyendo...

Sophos lanza un pequeño manual de consejos básicos para las compras navideñas por Internet

Fuente: http://www.cibersur.com/modules.php?name=News&file=article&sid=4269&theme=Cibersur&ref=39

Esperando poder sacar tajada de las tradicionales compras navideñas, los creadores de spam y cibercriminales trabajan más que nunca para poder timar a los usuarios desprevenidos. Ofreciendo mercancías defectuosas y otras estafas, el cibercrimen aumenta considerablemente durante estas fechas.

"La tentación de ofrecer un buen regalo estas navidades por un bajo precio puede conducir directamente a la trampa de un criminal" comenta Annie Gay, Directora General de Sophos Francia y Europa del Sur."Compradores impulsivos que quieren ahorrar en tiempo y dinero comprando por Internet, pueden estar abriendo las puertas de sus ordenadores a criminales sin saberlo, ofreciéndoles la posibilidad de robar números de tarjetas de crédito u otros datos personales".

Una encuesta llevada a cabo por Sophos revela que el 69% de los consumidores on line tienen sus reticencias a la hora de adquirir productos por Internet debido a la falta de seguridad en las transacciones.

"A la gente le gusta comprar por Internet porque existe gran variedad de artículos y se puede cambiar de tienda con tan solo pulsar un botón en vez de tener que pasar largas horas viendo tiendas" continua Annie Gay. "Sin embargo, los consumidores son conscientes del riesgo que corren al exponerse a los posibles ataques de hackers".

En primer lugar, la compañía apuesta por la cautela ante ofertas que llegan a través de mensajes no solicitados. Los creadores de spam se aprovechan de las fiestas navideñas, lo que hace muy probable que se reciban más mensajes con anuncios de relojes Rolex y otros artículos de lujo que en el resto del año (a finales del año pasado, este tipo de ofertas aumentaron en más de un 300%).

Asimismo, es importante que el internauta no se deje engañar por tarjetas de felicitación navideñas. Los creadores de virus y troyanos a menudo utilizan tarjetas virtuales u otras astucias para infectar a los usuarios confiados. En este sentido, el persistente gusano Zafi-D se extiende a través de un mensaje con el asunto "Felices Fiestas".

Sophos también pide un poco de atención ante los fraudes de pesca de información. Durante los periodos de compras, las tarjetas de crédito y el dinero se vuelven el centro de muchas conversaciones, pero de ninguna manera debe plantearse la posibilidad de dar información confidencial, sea cual sea el modo en que se piden esos datos.

Otro consejo relevante es pararse y reflexionar antes de pulsar. Hay que tener precaución antes de ir a un enlace anunciado en un email ya que pueden conducirle a un sitio Web controlado por hackers.

También asegurarse de que sus programas antivirus, anti-spyware, anti-spam y cortafuegos están al día y que su sistema operativo dispone de los parches de seguridad más modernos. Se han hallado más virus, gusanos y troyanos el mes pasado que ningún otro mes en la historia, por ello la importancia de contar con una protección actualizada es mayor que nunca.

Aunque parezca mentira, la compañía apuesta por no ser arriesgado, es decir, no lo probar, no lo comprar y no responder. No importa lo tentativo o auténtico que un email pueda parecer, a menos que esté seguro al 100% de que su fuente es legítima, bórrelo. Si una oferta parece demasiado buena para ser verdad, lo más probable es que no lo sea.

Los consumidores deben mantener la guardia alta en el nuevo año y sólo ofrecer información personal - por ejemplo, número del carné de identidad, nombre y dirección, numero de cuenta bancaria, numero de tarjeta de crédito, dirección de correo, etc. - a fuentes de confianza, y deben destruir todos aquellos documentos que contengas este tipo de información.

Seguir leyendo...

Balance y tendencias en seguridad informática

Fuente: http://www.canal-ar.com.ar/Noticias/NoticiaMuestra.asp?Id=2629

Por Nayla Simeone - [email protected]

El problema de la seguridad informática cada vez se percibe más como un cuento sin final, ni remedio. En diálogo con Canal AR, Carlos Benitez, jefe del laboratorio de seguridad informática del Instituto de Investigaciones Científicas y Técnicas de las Fuerzas Armadas (Citefa); Julio Cella, gerente de relaciones interinstitucionales y marketing de Trend Argentina; e Ignacio Sbampato, vicepresidente de Latinoamérica de Eset (proveedor de las soluciones de NOD32), señalaron cuáles fueron los principales riesgos en 2005, qué se espera para 2006 y cuáles son los principales aspectos para poder mantener una red segura

El problema de la seguridad informática cada vez se percibe más como un cuento sin final, ni remedio. Canal AR analiza esta problemática junto al Instituto de Investigaciones Científicas y Técnicas de las Fuerzas Armadas (Citefa), Trend Argentina y Eset (proveedor de las soluciones de NOD32).

- ¿Cómo fue el 2005 en términos de seguridad informática? -

Carlos Benitez, señaló: "Depende del punto de vista. Desde los ataques, se han vuelto mucho más intensos contra las aplicaciones web. Desde la tecnología, el punto más crítico en cuanto a seguridad fueron (y van a seguir siendo) las redes wireless".

Por su parte, Julio Cella comentó que a su criterio, los spywares han invadido a las computadoras, el spam se ha transformado en una amenaza real, debido a las máquinas zombies y los ataques de virus no han disminuido. "Para estas semanas, proyectamos un incremento del 400% en lo que a código malicioso se refiere".

En base a esto, Ignacio Sbampato indicó que durante 2005 NOD 32 se ha encontrado con varias confirmaciones y algunas nuevas tendencias en materia de seguridad antivirus. A su criterio, los gusanos de correo electrónico se mantuvieron como los códigos maliciosos de mayor propagación.

"Además de estas confirmaciones, comenzaron a utilizar con mayor frecuencia los rootkits, así como también notamos un incremento en los códigos maliciosos para dispositivos móviles, especialmente en Europa y Estados Unidos", agregó.

En cuanto a las tendencias para 2006, Benitez comentó que los ataques se enfocarán más fuertemente hacia las aplicaciones web y en un futuro un poco más lejano a los sistemas embebidos de aplicaciones móviles. Y las redes inalámbricas serán el mayor dolor de cabeza para los administradores.

"Creemos que para 2006 los spywares seguirán perjudicando a los internautas y las estafas en Internet estarán a la orden del día. También tenemos que considerar que los hackers ahora son empresas que dirigen sus ataques con el fin de ganar dinero", señaló Cella.

El phishing sigue siendo una importante fuente de preocupación; cada vez más personas están alertas sobre el tema. Según los especialistas, se producirá una mayor especialización en este tipo de ataques con el fin de poder seguir realizando estafas a través de Internet.

Por otro lado, según un informe denominado "Actitudes de los gerentes de IT de Latinoamérica respecto a la seguridad", realizado por la firma de investigación independiente Kaagan Research and Associates, patrocinado y presentado por Cisco e IBM (ver nota), sólo el 35% del top management de las empresas argentinas considera que la seguridad de datos es de una muy alta prioridad.

Esta tendencia, según aseveró el jefe del laboratorio de seguridad informática de Citefa, responde a que en el mercado local todavía se actúa en forma reactiva y no preventiva. "Sólo se empieza a tomar en serio a la seguridad cuando la empresa se ve afectada por incidentes serios que repercuten económicamente", indicó Benitez. De este modo, el problema se percibe tarde. "Es un poco producto de nuestra cultura, no somos muy de prever y de planificar a largo plazo", concluyó.

En cambio, el gerente de relaciones interinstitucionales y marketing de Trend Argentina sostiene que a pesar del bajo porcentaje, está vislumbrándose una tendencia más positiva respecto de la concientización de este aspecto por el simple hecho de que se revalora a la información como uno de los principales activos de la empresa. A lo que Sbampato agregó: "El costo en materia de pérdida de información o interrupción de servicios será mucho más alto que el de la seguridad de datos en sí misma".

Enemigo interno

Un tema que repercute continuamente es el de los ataques internos en las empresas. La semana pesada en Argentina fue ratificado por la Sala II de la Cámara Nacional de Apelaciones Contencioso Administrativo Federal el fallo que declaró en junio de este año como inconstitucional a la Ley 25.873, más conocida como "Ley espía" y su Decreto reglamentario 1563/04 (ver nota). A pesar de los inconvenientes y de los robos de información que pueden llegar a producirse por medio de correos electrónicos enviados directamente desde las empresas, Benitez comentó estar totalmente de acuerdo con la ratificación del fallo.

"Todos continuamente elegimos entre libertad y seguridad. Una ley así difícilmente mejore la seguridad real de los usuarios de Internet. Como siempre, los ataques verdaderamente peligrosos no se verían afectados por las medidas que propone la ley, la evadirían fácilmente. Sólo los usuarios comunes se verían afectados", agregó Benitez.

Por su parte, Cella señaló que hoy en día es posible analizar el correo o el Chat para verificar o frenar palabras o temas peligrosos para la sociedad. La manera de hacerlo es mediante un sistema de análisis de información que no viola la privacidad del contenido pero que sí analiza palabras.

Seguridad en el aire

- Un tema muy polémico en relación a la seguridad informática es de las redes wireless. ¿Qué opinan al respecto? –

Benitez: Actualmente las redes Wireless son inseguras por fallas muy importantes en la construcción de los estándares originales. La tecnología implementada en el hardware actual es vulnerable. Y los nuevos estándares, que se están creando permanentemente y febrílmente, parecen ser mejores, pero son incompatibles con las generaciones anteriores y la gente no cambia sus equipos tan rápido. Mantener una red wireless segura es casi imposible hoy en día.

Cella: Las redes wireless son, en términos de seguridad, equivalentes a las redes físicas de datos, la única diferencia es el tipo de acceso. Wireless también es TCP IP que es el protocolo de Internet. Este protocolo de redes es tan seguro o inseguro como el resto.

Sbampato: La tecnología inalámbrica no es insegura de por sí, sino que hay aplicaciones inseguras. Aplicando protocolos de encriptación, validación de acceso a través de autenticación, políticas de seguridad informática y control de las conexiones, una red inalámbrica puede ser tan segura como cualquier otra.

Seguir leyendo...

Microsoft detecta propagación masiva de rootkits para Windows

Fuente: http://www.diarioti.com/gate/n.php?id=10149

Más del 20% de todo el malware detectado en Windows XP con Service Pack 2 (SP2) consiste de rootkits ocultos. Las estadísticas corresponden a la herramienta gratuita de la propia Microsoft para la eliminación de malware en Windows, Malicious Software Removal Tool.

La información fue proporcionada por Jason Garms, arquitecto y director del Equipo de Tecnologías Anti-Malware, a la publicación eWeek.

Según Garms, el malware más frecuente son los rootkit de tipo FU basado en código fuente compartido. ”Puedo informarles que FU se ubica en el quinto lugar de la lista de malware que con mayor frecuencia es eliminado de XP”, explicó Garms. ”Encontramos FU en diversas versiones de Rbot”, explicó. Rbot es una puerta trasera controlada por IRC, que permite a instrusos controlar el sistema infectado.

De igual modo, la familia WinNT/lspro es uno de los rootkits que figura cada mes en la lista ”top-10” de rootkits, y también suele estar vinculado a software espía, que permite a los atacantes modificar determinados archivos y claves del registro de Windows para impedir al usuario detectar que su sistema ha sido infectado.

A juicio de Garms, el alto nivel de infecciones de rootkit confirman el temor de que los autores de virus usan técnicas cada vez más sofisticadas para camuflar el malware. Recientemente, Sony BMG usó un método similar para ocultar una aplicación de control de derechos digitales, que acompañaba a una serie de CDs de música. El caso recibió amplia cobertura mediática, y Sony BMG incluso ha sido demandada por varios afectados.

Los sistemas con versiones no actualizadas de Windows XP presentan el mayor número de incidencias de rootkit, aunque también las máquinas actualizadas se ven afectadas.

Según Garms, la mayor causa de las incidencias radica en que un gran número de usuarios de Internet descuidadamente abre archivos anexos o enlaces de mensajería instantánea, lo que propaga las infecciones de distintos malware.

Seguir leyendo...

Dos boletines de seguridad de Microsoft en diciembre

Fuente: http://www.hispasec.com/unaaldia/2607

Como cada segundo martes, Microsoft ha publicado sus boletines de seguridad. Este mes, para finalizar el año se han publicado dos nuevos boletines (MS05-054 y MS05-055). El primero de ellos referente a Internet Explorer y el segunda al kernel de Windows 2000.

* MS05-054: Se trata de una actualización acumulativa para Internet Explorer, que además soluciona cuatro nuevas vulnerabilidades en el navegador de Microsoft, que pueden llegar a permitir la ejecución remota de código. Está calificado como "crítico".

* MS05-055: Soluciona una vulnerabilidad de elevación de privilegios en el modo en que se procesan en el núcleo de Windows 2000 las llamadas a procedimientos asincrónicos. Esta vulnerabilidad podría permitir que un usuario local con una sesión abierta tomara control completo del sistema. Microsoft lo califica como "Importante".

De esta forma, si Microsoft no publica ningún boletín con carácter de urgencia se cierra el año con 55 boletines de seguridad, diez más que en el pasado año.

Más Información:

Microsoft Security Bulletin MS05-054 Cumulative Security Update for Internet Explorer
http://www.microsoft.com/technet/security/bulletin/ms05-054.mspx

Microsoft Security Bulletin MS05-055 Vulnerability in Windows Kernel Could Allow Elevation of Privilege
http://www.microsoft.com/technet/security/bulletin/ms05-055.mspx

Seguir leyendo...

El historial de búsquedas en la Red vale como prueba en los juicios

Fuente: http://www.baquia.com/noticias.php?id=10276

En Durham (Carolina del Norte, EEUU) un magistrado ha aceptado como pruebas las palabras halladas en el historial de Google, que el presunto asesino usó días antes de que denunciara la desaparición de su esposa.

En Durham (Carolina del Norte, EEUU) un magistrado ha aceptado como pruebas las palabras halladas en el historial de Google, que el presunto asesino usó días antes de que denunciara la desaparición de su esposa.

Resulta sin duda toda una novedad la decisión del juez, que ha permitido conocer que entre las búsquedas de Robert Petrick, el acusado, figuraban términos como romper, cuello y sujetar. Asimismo, buscó información acerca de lagos, nivel de aguas y rampas de embarcaciones. Sin duda, bastante sospechoso.

Ahora, cientos de miles de internautas estadounidenses y de todo el planeta siguen con atención el devenir del juicio, ya que éste podría sentar un precedente a tener en cuenta. Las pruebas se han hecho públicas dos años después de hallarse el cadáver de Janine Sutphen, la mujer de Petrick, flotando en un lago. El presunto asesino estaba bien informatizado, por otra parte: los investigadores del caso le confiscaron un total de diez ordenadores.

Seguir leyendo...

A día de hoy, Firefox 1.5 sigue siendo seguro

Fuente: http://www.kriptopolis.org/node/1574

A medida que pasan los días, el bug que iba a acabar con la reputación de Firefox 1.5 se va quedando en poco más que nada, y desde luego parece no afectar a su seguridad en ningún caso.

A estas alturas, ni Packestorm ha sido capaz de probar sus insinuaciones iniciales sobre una posible ejecución de código (de hecho el enlace inicial al aviso ya ni siquiera funciona), y ni Mozilla ni SANS han sido capaces de observar cuelgue alguno (sino más bien un considerable retraso en la carga de Firefox)...

No se trata de menospreciar el bug, pero Firefox puede acabar saliendo reforzado de este episodio, ya que parece demostrado que trampear una dirección asignándole dos millones y medio de caracteres ni siquiera logra colgarlo, ni -mucho menos- afectar a su seguridad.

En pocas palabras y para duros de oído: Firefox 1.5 no tiene, a día de hoy, ningún fallo conocido de seguridad.

Y que dure...

Seguir leyendo...

NOD32 se anima y le gana a Norton

Fuente: http://www.mastermagazine.info/seguridad/8787.php

NOD32 derrotó a Norton Antivirus en la comparativa realizada por la revista Dr. Max durante el mes de Noviembre, en su edición 44.

La revista Dr. Max, parte del grupo MP Ediciones, realizó durante Noviembre una comparativa antivirus entre NOD32 2.5, de Eset, y Norton Antvirus 2005, de Symantec. La evaluación fue propuesta como un enfrentamiento entre “los dos productos más poderosos del mercado” y el ganador fue NOD32.

Dr. Max es la segunda publicación en cantidad de lectores del grupo editorial MP Ediciones, detrás de la reconocida USERS. Además, lanzaron hace dos meses una nueva revista titulada Expand IT, lo cual demuestra el crecimiento e importancia que tienen sus publicaciones en el mercado argentino.

La comparativa fue separada en 14 categorías distintas como: Consumo de recursos, Motor de detección, Velocidad para Escanear y Protección contra códigos maliciosos; entre otras. NOD32 fue superior o igual en 13 de las 14 categorías de la comparativa, alcanzando un puntaje de 8.14, contra un 6.6 de Norton Antivirus.

La revisión incluye una descripción de NOD32 y sus funcionalidades principales, con una clara explicación de cada uno de sus diferentes módulos.

Dr. Max afirma que a la hora de elegir un antivirus, hay que tener en cuenta tres factores fundamentales: el bajo consumo de recursos para no ralentizar la PC, la detección de nuevos virus y el precio. Así como también, aclara sobre la diferencia entre la detección reactiva y proactiva, explicando la importancia de esta última frente al reconocimiento de virus nuevos y desconocidos. Uno de los puntos evaluados por la revista fue justamente el Motor de detección, donde Norton Antivirus aparece como “Reactivo” y NOD32 como “Proactivo”, lo que le otorgó una mayor calificación al antivirus de Eset.

La revista afirma que Norton Antivirus es “un clásico entre los clásicos”, un buen software con buenos porcentajes de detección de virus. Sin embargo, NOD32 ganó ampliamente en la comparativa gracias a su liviano motor y su tecnología de heurística ThreatSense.

Aquí un extracto de la revista: “Apto tanto para una PC hogareña como para un servidor laboral, NOD32 es la mejor opción en cuanto a la ecuación precio/rendimiento/consumo de recursos. Es insuperable en su capacidad de detectar virus conocidos ("in-the-wild", según el lenguaje técnico) como así también nuevas variantes, gracias a su motor proactivo. Además, protege contra gusanos que se envían por mail, códigos maliciosos de algunas páginas y hasta del famoso ‘phishing’ (Esta estafa bancaria por medio de un mail falso, muy de moda en estos días). No por la nada la prestigiosa Virus Bulletin le otorga, desde 1998, su sello de calidad, al detectar y eliminar el 99 por ciento de los virus conocidos”.

En la comparativa, la revista incluye un ranking de posiciones generales en el cual ubica a NOD32 en el primer lugar, seguido de Norton Antivirus, y por encima de otros antivirus reconocidos y no tanto.

“El resultado de la evaluación realizada por Dr. Max muestra el lugar que NOD32 está empezando a tener en la opinión de los usuarios y expertos”, comentó Ignacio M. Sbampato, Vicepresidente para Latinoamérica de Eset. “Además, es un claro premio a nuestro brillante equipo de desarrolladores y técnicos, que han logrado conjugar en un solo producto, características esenciales para la protección antivirus.”

Para ver la comparativa en forma completa deberá adquirir el número 44 de la revista publicada en durante Noviembre del 2005.

Seguir leyendo...

Numerosos sitios web instalan spyware mediante bug no parcheado de Explorer

Fuente: http://www.kriptopolis.org/node/1560

Websense ha emitido una alerta donde dice haber detectado que numerosos sitios web están aprovechando una vulnerabilidad no parcheada de Internet Explorer para instalar programas espía en los ordenadores de los usuarios.
Según Websense, visitar uno de esos sitios con un Windows XP completamente actualizado provoca que el escritorio del usuario muestre un mensaje avisándole de que su ordenador contiene spyware y ofreciéndole una "solución". Mientras tanto, el PC se conecta a un sitio web del dominio .biz alojado en Estados Unidos, de donde descarga y ejecuta más de diez programas sin que el usuario se entere...

Websense afirma haber detectado miles de sitios que conectan a esa web e intentan explotar diversas vulnerabilidades de Explorer.

Seguir leyendo...

Preocupa la seguridad informática en Latinoamérica

Fuente: http://www.infochannel.com.mx/mundos33.asp?id_nota=13693&industria=1

Por: Staff High Tech Editores

El 63% de los encuestados destacó que los riegos en la seguridad aumentaron drásticamente en los últimos tres años

Los incidentes de seguridad informática en las empresas latinoamericanas continúan aumentando al igual que el riesgo de ataques futuros, mientras disminuye la confidencia de los ejecutivos de poder enfrentarlos, según se desprende del estudio "Actitudes de los gerentes de TI de Latinoamérica respecto a la seguridad", realizado por la firma de investigación Kaagan Research and Associates, y patrocinado por Cisco Systems e IBM.

Un 38% de los ejecutivos entrevistados comunicaron el hecho de haber recibido un ataque de seguridad durante el último año, en donde las compañías tanto mexicanas como brasileñas resultaron ser las más afectadas (46 y 42 % respectivamente).

Analizando los riesgos, el 63% de los entrevistados destacó que los riegos en la seguridad informática han aumentado drásticamente en los últimos tres años, mientras que un número menor manifestó estar muy confiado de que sus empresas están muy protegidas ante las posibles amenazas a su seguridad.

De acuerdo con los datos obtenidos, el 63% de las empresas no cuentan con un gerente o director de seguridad TI, por lo que el 33% tienen planeado contratar alguno dentro de los próximos dos años. Es así, que la probabilidad de contar con un director es proporcional al tamaño de una compañía, es decir que del 50% de las empresas que cuentan con 1.000 o más empleados tienen un director.

En promedio un 15.4% del presupuesto de TI de las empresas latinoamericanas es invertido en seguridad, el 66 % de los entrevistados manifestaron que el presupuesto aumentó en los últimos dos años y sólo un 3% manifestó que el presupuesto disminuyó en los últimos dos años. Del presupuesto de seguridad, 51% se invierte en hardware y 49% en software.

En cuanto, a los riesgos de seguridad, un 63% de los entrevistados, consideran que los riesgos de seguridad informática han aumentado en los últimos tres años.

Un pequeño porcentaje de los entrevistados (18%), confía en que su empresa está protegida de las posibles amenazas, tanto externas como internas. La confianza en la protección ante las amenazas de seguridad decrece con el tamaño de la empresa: 8% de las compañías con 1,000 o más empleados están confiados de que sus organizaciones están protegidas frente a las amenazas internas; 16% en las compañías con entre 300 a 1,000 empleados y 25 % en las compañías con 300 o menos empleados.

La principal amenaza a los sistemas de TI, de acuerdo a lo comentado por los ejecutivos entrevistados, son los hackers, 47% de los ejecutivos están preocupados. Los ejecutivos de grandes compañías (1.000 o más empleados) son los más preocupados (61%). La segunda preocupación en materia de seguridad son las empresas competidoras. El 39 % de los entrevistados manifestaron que sus competidores son una amenaza a la seguridad de sus sistemas de TI. Esta cifra es especialmente alta en México, donde el 52% de los entrevistados considera a la competencia como una amenaza a la seguridad.

En cuanto a los retos de seguridad, las limitaciones en el presupuesto son un gran impedimento que enfrentan los ejecutivos TI. Para el 80% de los entrevistados el presupuesto es un problema. Para el 42% de los entrevistados en un "problema grande" y para el 32% de los entrevistados es un "problema menor". Otros de los retos, es concienciar a los ejecutivos el valor de la seguridad TI.

Seguir leyendo...

Denegación de servicio (DoS) en Firefox 1.5

Fuente: http://www.vsantivirus.com/vul-firefox15-dos-071205.htm

Por Angela Ruiz
[email protected]

Se ha publicado un exploit para el nuevo Firefox 1.5, el cuál puede provocar una condición de denegación de servicio (DoS) luego que el usuario afectado visita una página web maliciosa.

El problema ocurre porque el archivo HISTORY.DAT que crea Firefox, llega a almacenar una entrada excesivamente larga luego que el navegador visualiza la página HTML que contiene el exploit (un simple JavaScript).

Esto provoca que luego de cerrado el navegador, todas las siguientes veces que el usuario intente acceder a él, el programa se negará a responder.

Esta situación se mantendrá hasta que el archivo HISTORY.DAT sea borrado manualmente.

El autor del exploit advierte que una modificación del mismo, podría servir para la ejecución de código.

Más información:
Firefox 1.5 buffer overflow
http://packetstormsecurity.org/0512-exploits/firefox-1.5-buffer-overflow.txt

Créditos:
ZIPLOCK

Seguir leyendo...

Pronostican "vida eterna" para el gusano Blaster

Fuente: http://www.diarioti.com/gate/n.php?id=10124

Alrededor de 79% de todos los PC con Windows XP sin SP1 ni SP2 están infectados por el gusano Blaster. Por tal razón, expertos pronostican que el molesto gusano nunca desaparecerá.

Los sistemas de los usuarios que hayan instalado la actualización más reciente de Windows XP, SP2, y además procuran instalar las actualizaciones mensuales de Windows, no pueden ser infectados por Blaster. Entre los usuarios que sólo han instalado SP1, el 21% de los sistemas ha sido infectado.

La información corresponde a una investigación realizada por el equipo Anti-Malware Engineeering de Microsoft.

Pesimismo

Las conclusiones de la investigación son más bien pesimistas. Probablemente, el gusano Blaster no desaparecerá nunca, sino continuará propagándose mediante PCs que no están ”parchadas”. Tales PCs continuarán activas hasta que la última de ellas sea apagada y el mundo ya no use Windows XP.

El gusano Blaster surgió por primera vez en agosto de 2003 y afecta a Windows 2000 aparte de Windows XP (no la versión de 64 bits). Desde entonces se ha propagado a varias decenas de miles de sistemas en todo el mundo.

El autor ha sido encarcelado

Poco tiempo después de la detección del gusano, su autor Jeffrey Lee Parson, de 18 años de edad, fue detenido bajo cargos de haber propagado la variante "B" del gusano. En enero de 2005, Lee Parson fue sentenciado a 18 meses de cárcel por un tribunal estadounidense.
El gusano ha continuado propagándose, en una gran cantidad de variantes, camufladas en distintos mensajes, asuntos y anexos, escribe eWeek.

Seguir leyendo...

10 consejos vitales para protegerse de los virus

Fuente: http://www.rafaela.com/portal/modules.php?name=News&file=article&sid=4929

Complemento a este artículo

MyDoom inauguró el 2004 con un ataque virulento, que ahora siguen Sasser, Beagle y muchos más. Y con mutaciones que complican todo.

El virus MyDoom provocó una verdadera ola de mails con gusanos que continúa propagándose, eso sí, por todo el mundo. Como el Sasser, el Beagle y muchos más que amenazan la Red. Más alla de estos gusanos, las plagas prometen molestar todo el año, por eso es importante saber cómo protegerse y salir indemne. De todas maneras, si la computadora ya está infectada, lo mejor es recurrir a los servicios online que ofrecen los distintos fabricantes de antivirus como Symantec o Panda para eliminar el ciberbicho.

Si todavía no se infectó, aquí van los 10 consejos más importantes para tener muy en cuenta:

Cuidado con los archivos VBS

No abrir archivos cuya extensión sea VBS (Visual Basic Script es un lenguaje que permite ejecutar rutinas dentro de la PC) a menos que se esté absolutamente seguro que el mail viene de una persona confiable y que haya indicado previamente sobre el envío.

No esconder extensiones de archivos tipos de programa conocidos

Todos los sistemas operativos Windows, por predeterminación, esconden la extensión de archivos conocidos en el Explorador de Windows. Ésta característica puede ser usada por los diseñadores de virus y hackers para disfrazar programas maliciosos como si fueran otra extensión de archivo. Por eso los usuarios, son engañados, y cliquean el archivo de ¿texto¿ y sin darse cuenta ejecutan el archivo malicioso.

Configurar la seguridad de Internet Explorer como mínimo a "Media"

Para activar esta función hay que abrir el navegador, ir a Herramientas, Opciones de Internet, Seguridad. Después elegir la zona correspondiente (en este caso Internet) y un clic en el botón Nivel Personalizado: allí hay que seleccionar Configuración Media o Alta, según el riesgo que sienta el usuario en ese momento. Aceptar y listo.

Instalar un buen firewall

Otra opción muy recomendable para aumentar la seguridad. Puede bajarse alguno gratuito o configurar el del sistema operativo (especialmente si se cuenta con Windows XP). Esta es una lista con los mejores firewall.

Hacer copias de seguridad

Un camino es subir periódicamente los archivos más vitales a Internet. En la Web existen ¿bauleras¿ muy fáciles de usar para guardar lejos de la PC la información más importante y que puede devorada por algún virus. El otro camino es realizar copias de seguridad de esos archivos o carpetas en zips, discos, disquetes o cualquier otra plataforma para copiar.

Actualizar el sistema operativo

Fundamental para aumentar al máximo la seguridad ante eventuales ataques víricos ya que muchos de los gusanos que recorren el mundo buscan, especialmente, los agujeros de seguridad de muchos de los productos de Microsoft. Para ello esta empresa ofrece periódicamente actualizaciones ¿críticas¿ para descargar y si el usuario el algo vago para buscarlas, se puede configurar Windows para que las descargue en forma automática. Más información.

Cuidado con los archivos que llegan por email

Al recibir un nuevo mensaje de correo electrónico, analizarlo con el antivirus antes de abrirlo, aunque conozca al remitente. En los últimos meses, muchos virus se activaron porque los usuarios abrían los archivos adjuntos de los emails. Es preferible guardar los archivos en el disco local y luego rastrearlo con un antivirus actualizado (En vez de hacer doble click sobre el archivo adjunto del email entrante).

El chat, otra puerta de entrada

En las salas de chat es muy común enviar archivos de todo tipo a través del sistema DDC. Si se recibe uno que no se solicitó o de origen desconocido jamás aceptarlo por más interesante que parezca.

Otros consejos

Prestar mucha atención si los archivos aumentan de tamaño inesperadamente o aparecen avisos extraños de Windows. También evitar descargar programas desde sitios de Internet que despierten sospechas o desconocidos.

Y por supuesto, actualizar el antivirus

Hoy en día existen buenos antivirus pagos y gratuitos. En ambos casos se actualizan automáticamente, por lo que la gran mayoría ya dispone del parche para el peligroso MyDoom en todas sus variantes. En la próxima página, una selección con los mejores antivirus en Terra Downloads.

Seguir leyendo...

"Ethical hacking", el nuevo método para prevenir fraudes informáticos

Fuente: http://www.infobaeprofesional.com/interior/index.php?p=nota&idx=22053

Cada vez más empresas usan esta técnica que consiste en usar los mismos procedimientos que los hackers para probar la resistencia de los sistemas informáticos.

"Ethical Hacking" es la técnica cada vez empleada en el mundo de la seguridad informática de las empresas y organimos públicos para prevenir fraudes y ataques de hackers.

En otras palabras se trata de "provocar" los sistemas de una empresa con simulacros los más pegados a la realidad posible empleando las mismas armas que usa el enemigo para vulnerar, explotar o ingresar. Se lo conoce también el ethical hacking como "Penetration Testing" o "Intrusion Testing".

El ingeniero Pablo Masoero, Presidente Baicom Networks S.A., empresa especializada en seguridad informática, explica cómo se emplea este recurso y a qué tipo de empresa le conviene instrumentarlo.

Una técnica de auditoría
Se podría decir que como método es el más conveniente, pues aunque el atacante tiene tiempo ilimitado para probar y atacar, y el auditor no, con este recurso se hacen pruebas exhaustivas de todos los sistemas con absoluta libertad.

Actividades

Existen tres actividades fuertes:

* Security Assessment: es un método de auditoria de seguridad no intrusiva, o sea se buscan fallas pero no se explotan, pero al no tratar de ingresar al sistema, no podemos estar seguros ciento por ciento que un atacante no sería capaz de realizarlo.
* Penetration Testing: con este método se busca ingresar de la manera que se pueda dentro de un sistema. Una vez obtenida la muestra de ingreso, se terminan los testeos, ya que quedó demostrado que el sistema era penetrable.
* Ethical Hacking: se busca ingresar dentro de un sistema de todas las maneras posibles, para alcanzar a determinar la totalidad de las maneras posibles por medio de las cuales un atacante podría entrar al sistema.

Lo mas importante de todo esto es el término "Ethical", que se refiere a lo ético de la actividad, dado que la información que se maneja es sensible, y es de vital importancia tener en claro quién va a poder acceder a esa información y quien no.

En seguridad hay un punto en el cual se usa un modelo similar al "trust", es decir, uno tiene que tener confianza en la empresa que esta realizando estos trabajos por dos motivos excluyentes.

El primero es porque el “Ethical Hacking” depende 99% del recurso humano que se dedica a esa tarea, pues no existe para que esto sea realmente válido, ningún software que automatice la tarea.
El segundo motivo se debe a que dependiendo de quien tenga acceso a esa información en primer lugar (la idea es que no sea un atacante), podría llegar a lucrar con la misma.

Chicos malos y buenos
Aquí, es donde nacen los términos de "Blackhats" (se refiere a los "chicos malos") y "Whitehats" (remite a los "chicos buenos").

El procedimiento básicamente se resume en:

* Footprinting (poder reunir información de distintos lugares).
* Scanning (poder examinar quien esta presente en esa red).
* Enumeration (poder enumerar cuales son los servicios que se prestan).
* Hacking/Exploiting (poder explotar las vulnerabilidades encontradas).
* Vulnerability Research (investigación de nuevas vulnerabilidades)

Para empresas medianas y grandes

En general, las empresas que mas solicitan este tipo de servicios son empresas medianas y grandes y cuanto mas presencia internacional tienen, más consumidores de este tipo de servicios son, ya que el mercado internacional esta más conciente de los riesgos que realmente existen.

Las fallas mas insólitas comienzan por la mala configuración de los sistemas, seguido de la trivialidad de los passwords y concluyendo en las vulnerabilidades detectadas de la plataforma. Estos hitos nombrados aisladamente parecen no tener conexión con la vida de un CEO. Justamente lo que hay que entender es qué pasa si se vulnera ese sistema con la operación de la empresa. Esto va mucho más allá de la tecnología en sí misma.

Cuando las empresas reciben los informes del análisis en general quedan muy sorprendidas, ya que no tenían en claro cuanta información que ellos consideraban privada en realidad era pública.

La realidad es que hoy, la gran mayoría de las empresa basan su operación de “core” en algún punto en tcnología, lo cual sirve como parámetro para poder medir cuán seguros deberían estar en una empresa en la que su información es manejada por quien o quienes la propia empresa determine.

Situación del mercado

La situación de seguridad en el mercado es:

* Se producen aproximadamente 200 incidentes de gravedad en Seguridad Informática publicados en el mundo diariamente.
* El 90% de las empresas del mundo son víctimas de algún tipo de ataque informático.
* El 70% de los ataques provienen desde Internet.
* Se espera haber detectado para el 2005 alrededor de 500 nuevas vulnerabilidades.
* En el 2004 los ataques provocaron pérdidas que oscilan entre 40.000 y 50.000M de dólares.

Todo esto puede sonar muy paranoico, pero destaquemos que las empresas hoy deben tener en cuenta como factor de riesgo claro a los posibles incidentes de seguridad, al espionaje informático, entre otros.

No hay que asustarse sino que ser precavido y tratar de tener las cosas lo más ordenadas y seguras posible.

Capacitación de usuarios

La seguridad absoluta es una utopía, pero es fundamental la capacitación y concientización de los usuarios de los sistemas, los periódicos Secutity Assessment y Penetration Test de las redes y servicios prestados (realizados por un tercero sin intereses en la organización) y las correspondientes adecuaciones que se necesitan para elevar el nivel de seguridad.

La seguridad desarrollada "in house" tiene muy poco efecto, en primer lugar porque la seguridad informática es un nicho tan específico que debe contar con gente muy especializada en el tema y que se esté actualizando constantemente. En segundo lugar, si la persona que realiza las distintas pruebas y recomendaciones tuviera intereses con la empresa o con algún empleado de la misma, estos informes (que en definitiva son los que van a darnos la herramienta para proteger nuestro negocio) van a carecer de efectividad.

En la empresa Baicom todos los colaboradores firman un código de ética y a su vez son controlados por auditores externos, de manera que se pueda garantizar a nuestros clientes la total confidencialidad de su información.

Con esto nace la figura del MSSP "Managed Security Service Provider", que básicamente es una empresa de servicios de seguridad que se dedica a operar la seguridad de distintas empresas, teniendo un know how & expertise muy fuerte en el área.

Seguir leyendo...