Conficker: primero de abril, el día que todo ardío

Casi es primero de abril y me despido de Uds para siempre porque, al parecer dentro de unas pocas horas, todo lo que conocemos como Internet... desaparecerá en manos de Conficker.

Lo dije en nuestro Boletín 130 (punto 2).

DAMOS PENA y LÁSTIMA, somos INCONSCIENTES, IRRESPONSABLES y NEGLIGENTES.

... por eso seguimos pensando que el primero de abril se termina el mundo en manos de un gusano. Unas pocas líneas de código han demostrado que no hemos aprendido nada en 20 años.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Antivirus en el mundo real

Hemos repetido en más de una ocasión que no se debe utilizar VirusTotal para hacer evaluaciones o comparativas de antivirus. Entre otras razones porque las versiones utilizadas en VirusTotal (commandline) no son las mismas que las que instala el usuario final (escritorio), y estas últimas pueden tener funcionalidades añadidas que no se encuentran en las versiones de línea de comando (monitorización del comportamiento y otras capas de defensa).

Otra razón importante es que se debe reproducir el entorno real donde se pueden producir las infecciones. Error que todas las evaluaciones suelen cometer, ya sean comparativas de revistas, de la VirusBulletin, o de cualquier otro que se dedique a este tipo de evaluaciones.

En mi opinión, para no hacerlas tan mal (incluido las que yo he venido haciendo hasta la fecha), habría que reproducir tanto el entorno, como el vector de infección, así como completar la evolución de la amenaza, y hacerlas continuas en el tiempo.

El entorno parece claro que debe ser un ordenador real con el antivirus que puede comprar el usuario actualizado e instalado por defecto. El vector de infección debe ser el/los que se haya utilizado para propagar la muestra (no, no responde igual un antivirus si un ejecutable le llega por email, por web, o se copia en una carpeta). Además de ejecutar la muestra a través del vector de infección, habría que completar la evolución de la amenaza (un antivirus puede fallar al detectar un downloader, pero puede que detecte el ejecutable que éste intente descargar, o un antivirus puede fallar al detectar un troyano pero puede impedir que éste realice la acción para la que estaba diseñado, etc).

• Antivirus en el mundo real (I)
• Antivirus en el mundo real (II)
• Antivirus en el mundo real (III)

Seguir leyendo »

Seguridad y alineación con el negocio

Por Enrique Polanco (Adjunto al Consejero Delegado y director de Seguridad Corporativa del Grupo Prisa)

No es momento de ir cada uno por su lado. Nunca lo es dentro de una empresa, y ahora mucho menos. La seguridad no puede ahogar al negocio, y éste no puede avanzar dejando atrás unos riesgos que podrían lastrarlo o dar al traste con sus aspiraciones en cualquier momento. Ambos deben ir juntos y alineados.

Al hilo del cierre de presupuestos de 2008, comentábamos la importancia que los gastos en seguridad global podrían tener respecto al previsible aumento de los riesgos derivados de la tan cacareada crisis que, a la postre, parece estar resultando más dura de lo que preveíamos.

Contenido completo en CXO Community

Seguir leyendo »

¿Es la Seguridad un Desastre?

Después de el largo rato que me ha costado leer la crítica (PDF, Powerpoint) de Marcus J. Ranum, una persona con una larga e impresionante experiencia y sobre todo, imposible de contenerse a comentar las cosas que opina, me temo que lamentablemente tengo que estar de acuerdo con todo lo que expone, que basicamente se resume en la separación existente entre la Dirección de una empresa y la realidad de la Seguridad a la hora de analizar todos los riesgos cuando nos embarcamos en un nuevo proyecto.

Ranum pone como ejemplo la estrategia de la NASA (os recomiendo leer esta historia de Feynman, (con más detalle aquí) porque a muchos de vosotros os sonará vivir situaciones parecidas) y la separación que existe entre las expectativas de la Dirección y la realidad del asunto, o lo que es peor, entre el mundo de ciencia-ficción que se crea con la ayuda de las personas técnicas y su mensaje distorsionado, y la grave realidad que vivimos.

El problema a menudo reside en que la comunicación del mensaje no se hace con firmeza hacia arriba, con lo que para la Dirección es relativamente sencillo eludir cualquier tipo de comentario negativo que desaconseje el proyecto en cuestión (creo que, parece que, ...), con lo que ya no hace falta buscar un "comprador" para tu idea, sino que simplemente no hay razones claras y concisas que propongan la cancelación del proyecto. También es verdad que cuando sí que existen esas razones, es común buscar otro grupo al que le ilusione la idea para lanzarnos al ruedo (Ranum pone el ejemplo de que por ejemplo a Seguridad le parece mal, pero si se lo comenta a Marketing, le parece fabuloso).

Y aquí es donde entra en juego el Análisis de Riesgos, puesto que muchas veces se aceptan (no se eliminan o se mitigan) riesgos que son absolutamente innecesarios: poner el servidor donde guardo mis documentos confidenciales accesible por Internet es totalmente innecesario aunque luego ponga cortafuegos, IPS o todo lo que yo quiera. Muchas veces este riesgo va a ser aceptado por la Dirección, pero en el caso de desastre (en este caso robo de información), ¿quién va a responsabilizarse? Muchas veces el Análisis de Riesgos juega ese papel de "demonio" a la hora de intentar proteger nuestros activos: aceptar los riesgos no es tan bonito como parece.

La sensación es que es imposible ya reaccionar y que muchas de las decisiones que se tomaron en el pasado (incluso en la época de los 80) ya son imposibles de cambiar (y Ranum, de hecho, piensa así), pero en mi opinión, hay un atisbo de luz y puede que realmente no lleguen a ocurrir todas las desgracias que comenta, gracias principalmente a dos factores: la convergencia de Seguridad física y de la información, y el peso que gradualmente va ganando las decisiones en materia de Seguridad (ojo, por supuesto que sólo en muy pocos ámbitos). La incógnita que nos queda por despejar es saber si esas persona que están ganando peso en sus decisiones, a) tienen el sentido común necesario para no cometer los mismos errores, b) se rodea y confia en las personas que tiene a su alrededor para analizar con detalle todos los riesgos asociados.
Muchas veces decimos que el tiempo lo dirá, aunque en este caso ya lo estamos viendo, y por ahora lo que vemos es un futuro incierto con un pequeño atisbo de esperanza.

Autor: David Barroso
Fuente: S21sec e-crime

Seguir leyendo »

All your emails belong to me (Todos tus correos me pertenecen)

Hace tiempo comentábamos uno de los problemas de utilizar cuentas de correo tipo webmail. Pues bien, 4 meses después, se ha descubierto una vulnerabilidad que afecta a la mayor parte de los webmails de ISPs europeos con el problema que comentamos.

Más de 40 millones de cuentas de correo pudieron verse comprometidas por esta vulnerabilidad ya corregida.

El peligro de esta vulnerabilidad era crítico debido a tres factores:

• facilidad de llevarlo a cabo
• la víctima en ningún momento era consciente de que sus correos estaban siendo redirigidos
• la gran difusión y uso de webmails

El atacante sólo necesitaba enviar un correo a su víctima con una petición HTTP especialmente modificada y tan pronto como la víctima abría el correo (sin ningúna otra acción) la característica de reenvío se configuraba automáticamente con el destino elegido.

Esta vulnerabilidad estaba basada en los tan conocidos e infravalorados ataques XSS y CSRF.(versión en castellano)

Video demostrativo.

Autor: Emilio Casbas
Fuente: S21sec

Seguir leyendo »

Bruselas propone una estrategia común contra los ciberataques

La Comisión Europea ha presentado una serie de medidas para proteger las infraestructuras de telecomunicaciones ante el riesgo cada vez mayor de ataques cibernéticos, ya que considera que la vulnerabilidad de un Estado miembro puede poner en riesgo la seguridad del resto.

La comisaria de Sociedad de la Información y Medios, Vivianne Reding, ha advertido este lunes de que "no puede haber debilidad" en la ciberseguridad de la Unión Europea, ya que el buen funcionamiento de las redes de telecomunicaciones tiene una importancia "vital" tanto para la economía como para la sociedad europea.

Según datos del Ejecutivo comunitario, el 93 por ciento de las empresas de la Unión y un 51 por ciento de los europeos han utilizado internet de manera habitual en 2007. La posibilidad de que se produzca un fallo grave en estas infraestructuras en la próxima década (ya sea por catástrofes naturales, rotura de cables submarinos, terrorismo o ciberataques) es de entre un 10 y un 20%, lo que equivale a un coste económico de 193 millones de euros.

Para ello, la Comisión propone reforzar la prevención y la resistencia de la Unión Europea de cara a este tipo de amenazas e insta a que se impliquen en este objetivo tanto empresas como administraciones públicas y ciudadanos. La prevención es la base de la estrategia común propuesta por Bruselas, mediante una mejor cooperación e intercambio de información entre los Veintisiete y la creación de una asociación público-privada para compartir buenas prácticas entre las empresas y el sector público.

Para la detección y reacción adecuada a las amenazas, la Comisión aboga por desarrollar un sistema europeo de alerta e intercambio de información. También propone que los Estados miembros refuercen su cooperación con planes nacionales y multinacionales de emergencia para atenuar y recuperarse de los problemas.

Abrir un debate a nivel europeo para fijar unas prioridades de la UE que puedan ser promovidas a escala internacional y el establecimiento de criterios para infraestructuras "clave" dentro de la UE, son otras de las propuestas.

Fuente: Libertad Digital

Seguir leyendo »

Estudio: China estuvo involucrada en una operación mundial de ciberespionaje

Investigadores canadienses han descubierto una operación masiva de ciberespionaje que se realizaba desde China y tenía como blanco los ordenadores de varios gobiernos y organizaciones del mundo.

La red, denominada GhostNet, recopilaba datos confidenciales de más de 1.295 ordenadores infectados en 103 países.

Entre sus víctimas se encontraban los ministerios de asuntos exteriores de Irán, Bangladesh, Latvia, Indonesia, Filipinas, Brunei, Barbados y Bután.

También se encontraron ordenadores comprometidos en las embajadas de India, Corea del Sur, Indonesia, Rumania, Chipre, Malta, Tailandia, Taiwán, Portugal, Alemania y Pakistán.

Los equipos de las oficinas del Dalai Lama en Londres, Bruselas y Nueva York también fueron víctimas de este ataque.

De hecho, las irregularidades en los sistemas del Tíbet fue lo que originó la investigación e hizo que se descubriera la gran magnitud del problema.

Los delincuentes a cargo de GhostNet enviaban correos masivos difundiendo programas nocivos entre internautas comunes.

Después utilizaban los ordenadores infectados para instalar programas espía en los sistemas de sus víctimas principales y robar todo tipo de archivos confidenciales de sus ordenadores.

Los delincuentes también instalaban programas nocivos que les permitía activar las cámaras web y micrófonos de los ordenadores infectados para escuchar conversaciones confidenciales y ver el interior de las oficinas de sus víctimas.

Aunque se cree que los ataques provienen de servidores chinos, no se sabe si el gobierno de China está involucrado en el asunto.

La investigación estuvo a cargo del Information Warfare Monitor (IWM) y duró alrededor de 10 meses. Se cree que los ataques estuvieron vigentes por dos años.

Fuente: Viruslist.com

Seguir leyendo »

Detectando Conficker en una red

Conficker es el software malicioso que ha ocupado la atención de los medios los últimos meses, incluido este blog (ver toda la información sobre Conficker). Los consejos para prevenir una infección de Conficker ya han sido publicados reiteradas veces. Sin embargo, un inconveniente frecuente en las redes corporativas es cuando el gusano ya ha infectado, y ya está instalado en la organización. ¿cómo protegerse?

La principal preocupación cuando el gusano ya ha infectado equipos, es cómo detectar cuáles equipos están infectados. Aunque mantener todos los equipos con las actualizaciones a la fecha, y protegidos por un antivirus que neutralice la amenaza, sería la principal protección; la realidad indica que muchas organizaciones poseen estructuras poco organizadas donde no hay configuraciones homogéneas de seguridad en los diferentes equipos de la red.

Para tal fin, fue desarrollada una herramienta, como iniciativa de The HoneyNet Project, que permite detectar qué equipos de la red están infectados. La misma escanea un segmento de red y verifica qué equipos probablemente estén infectados con Conficker. La herramienta puede descargarse aquí, es un script hecho en Phyton (ejecutable aquí)que puede ejecutarse muy fácilmente indicando como parámetros las direcciones IP para chequear.

Asimismo, Nessus, una de las aplicaciones de escaneo de vulnerabilidades más popular, ya cuenta con un plugin (#36036) que está basado en dicha herramienta. Por lo tanto, ya pueden integrarse las funcionalidades de Nessus para detectar la infección.

Teniendo en cuenta que en muchas de sus variantes el gusano se propaga por el resto de los equipos de la red, identificar los equipos ya infectados y desconectarlos de la red es un buen primer paso para iniciar la limpieza.

Una vez identificados los equipos y desinfectados, recuerden las medidas que ya hemos recordado para prevenir una nueva infección:

• Actualice su sistema operativo
  
• Active un Firewall (de perímetro o personal)
  
• Utilice un Antivirus
  
• No utilice su sistema con permisos administrativos

Fuentes:
Doxpara - Anuncio
Universidad de Bonn - informe completo
Nessus BlogNessus Plugin

Sebastián de la Redacción de Segu-Info

Seguir leyendo »

¡Lo sabía, Google nos espía!

Este es uno de los curiosos correos que cada día suelen llegar a Segu-Info, a nuestros grupos de discusión, a nuestro correo de contacto o a mi cuenta personal.

Este correo al menos descubre una conspiración internacional que yo ya sospechaba desde hace tiempo: Google nos espía.
Lo que más me preocupa del tema es que la "CIDE" (Servicio/Secretaria de Inteligencia del Estado (Argentina) está involucrado en este complot.

Menos mal que esta señora nos enseña que la forma de evitar esta violación a nuestros derechos se previene "habilitando los cookies de nuestro navegador".

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Informe de malware 2008 y 2009

Este informe de Norman expone cómo fue la seguridad en 2008 en cuestiones de malware y cómo será en 2009. Lo más interesante del informe quizás es el caso de estudio que se realiza sobre el gusano Conficker.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

10 configuraciones del IE para una navegación más segura

Pida, en una sala llena de especialistas de seguridad, una lista de configuraciones de seguridad que hagan seguro de usar el Internet Explorer (IE) y escuchara risas o el consejo de obtener un nuevo navegador tal como Firefox de Mozilla, Opera ó Chrome de Google.

Enfrentamiento de Navegadores: IE 8 vs. Firefox
Batalla de navegadores: Firefox 3.1 vs. Chrome vs. IE 8

Aun cuando Microsoft ha trabajado con diligencia para mejorar la seguridad en su navegador aquejado de problemas, especialmente en IE7 y el recientemente liberado IE8, los profesionales de seguridad sencillamente no le confían. La mayoría ha cambiado a navegadores alternativos, especialmente a Firefox [Vea: Microsoft Libera IE8, Refuerza la Seguridad]

Pero la intoxicación de seguridad que encuentran los profesionales de seguridad en Firefox y otros alternativos viene con una gran resaca. Cuando uno se levanta después de una noche de aventuras en línea con uno de los navegadores alternativos, la dura realidad es que no podrá nunca alejarse por completo del IE. La razón obvia es que IE está tan estrechamente integrado dentro del sistema operativo Windows, a pesar que algunas voces de la industria han llamado a Microsoft para divorciarlo del SO. [Vea: Experto de Seguridad: Microsoft debe amputar el IE del Windows]

"No vamos a ser capaces de escaparnos del IE en el mundo corporativo en el futuro cercano," dijo Christopher Mendlik, un analista de amenazas de Wachovia. Más allá de la estrecha integración con Windows, está la simple realidad que algunas aplicaciones de negocios solo funcionan con IE. En CSOonline y otras tiendas de medios, por ejemplo, los programas usados para poner contenido en linea tienden a ser alérgicos con los navegadores que no son IE.

Aquellos que no tienen otra opción que usar IE se han volcado a ciertos mecanismos para arreglárselas.

Mendlik elije fijar el IE con políticas de grupo (GPO), mantenerse al día con los nuevos parches y usar filtrado de contenidos en un proxy/firewall con listas negras de actualización en tiempo real. También monitorea las conexiones internas y las salientes como un águila en busca de cualquier actividad inusual.

Thomas Evans, un administrador de seguridad de red de Cleveland, sugiere instalar Sandbox for IE, el cual le permite a los usuarios correr cualquier programa en una "caja de arena" (sandbox) y confinar cualquier daño a la caja de arena y el registro virtual. "Cuando la sesión (de navegación) termina, se puede borrar todo lo asociado con esta de forma segura. Si uno se descargó algo mediante una descarga conducida (drive-by) no puede salir de allí para hacer ningún daño," dijo.

Además de estas medidas, CSOonline fue en busca de 10 configuraciones esenciales de seguridad para hacer que un paseo en linea a bordo del IE sea más seguro. Aquí está la lista de esos 10 provista por Jeff Forristal, un experimentado ingeniero de seguridad del proveedor de seguridad Zscaler:

1. Deshabilite los documentos XPS

Herramientas/Opciones de Internet/solapa Seguridad/Zona de Internet/Nivel personalizado/Documentos XPS: Deshabilitar. Los documentos XPS son un formato de imagen nuevo que se introdujo en Vista, dijo Forristal. Los atacantes han estado haciéndose un día de campo explotando los formatos de imagen/documento y los parsers, de modo que mientras menos formatos soporte con su navegador, mejor.

Contra: Esto puede afecta la visualización de documentos XPS simples, pero se puede conseguir un viso de XPS de MS que no requiere IE, dijo.

2. Deshabilitar la descarga de fuentes

Herramientas/Opciones de Internet/solapa Seguridad/Zona de Internet/Nivel personalizado/Descarga de fuentes: Deshabilitar.

Los sitios Web puede ofrecer que su navegador descargue e instale un archivo con la fuente apropiada para mostrar correctamente caracteres internacionales cuando se ve una página Web. Esto es, si embargo, otro formato de archivo y vector de ataque que podría albergar vulnerabilidades desconocidas o no descubiertas, dijo Forristal. Si no suele navegar sitios web fuera de su idioma normal, entonces realmente no necesita eso.

Contra: Esto podría hacer que algunas páginas se vean un poquito menos lindas, pero Forristal dice que aun así serán usables.

3. Deshabilitar la inclusión del camino del directorio local de archivos cuando se suben archivos a un servidor.

Herramientas/Opciones de Internet/solapa Seguridad/Zona de Internet/Nivel personalizado/Incluir camino de directorio de archivos local cuando se suben archivos a un servidor: Deshabilitar.

Cuando fuera que suba un archivo a un servidor Web (tal como una imagen a su blog o a su cuenta de Flickr), el navegador tiene la opción de enviar solo el nombre del archivo o el camino completo del archivo, aunque el sitio solo necesita el nombre del archivo, dijo Forristal. Esto resulta en una preocupación de privacidad benigna porque la ruta completa del archivo incluye información de identificación tal como su nombre de usuario para el ingreso en la computadora. Enviar "c:\Users\jforristal\Pictures\blog.gif" expone mi nombre de usuario "jforristal," señaló.

Contra: Nada obviamente negativo.

4. Deshabilitar preguntar si uno es proclive a dar clic en "si"

Herramientas/Opciones de Internet/solapa Seguridad/Zona de Internet/Nivel personalizado/(varios).

Muchas de las semi-opciones de seguridad en la solapa de zona de seguridad tienen por defecto la opción "preguntar", lo que significa que le pregunta que hacer. Si uno es proclive a seleccionar siempre que "si" sea cuando fuera que se le aparezca una ventana emergente (no es un buen hábito!), puede eliminar la tentación simplemente cambiando todas las opciones en "preguntar" al valor "deshabilitar". Esto usualmente es seguro si no suele uno recibir muchas consultas.

Contra: Nada obviamente negativo.

5. Preguntar siempre por el usuario y contraseña

Herramientas/Opciones de Internet/solapa Seguridad/Zona de Internet/Nivel personalizado/Autenticación de usuario/Logon: Preguntar por usuario y contraseña.

Para los usuarios hogareños y otros que usan computadoras que no están en un ambiente de empresa que use Active Directory, no hay ventaja de tener habilitado un auto-logon ya que no hay prácticamente nada a lo que querrá tener auto-logon en Internet, dijo. Normalmente IE limitará este comportamiento de auto-logon a los sitios de la zona de Intranet, pero ¿que pasaría sin un atacante lo engaña y le hace cree que un sitio web está en una zona diferente?. No hay motivo para arriesgarse por una característica que no necesita, para nada, dijo.

Contra: Nada obviamente negativo.

6. Deshabilitar el soporte de SSL 2.0

Herramientas/Opciones de Internet/solapa Avanzado/Usar SSL 2.0: sin marcar.

SSL2 ha sido declarado inseguro desde hace mucho y no es apropiado para usar según los reguladores de las instituciones financieras, señalo Forristal. Cualquier sitio web en el mundo que solo soporte SSL2 y nada mas nuevo (como SSL2 o TLS) es o bien algo que no es bueno o tan viejo que está lleno de vulnerabilidades, haciéndolo proclive a estar comprometido por un hacker y por lo tanto no es nada bueno.

Contra: Nada obviamente negativo.

7. Habilitar el soporte TLS

Herramientas/Opciones de Internet/solapa Avanzado/Usar TLS 1.0: marcado

TLS es una evolución de SSL, ofrece más mejoras de seguridad y extensiones que SSL3. Su uso está garantizado, y por lo tanto esta característica debe esta habilitada.

Contra: Nada obviamente negativo.

8. Deshabilitar la búsqueda desde la barra de direcciones URL

Herramientas/Opciones de Internet/solapa Avanzado/Buscar desde la barra de direcciones: No buscar desde la barra de direcciones

A Forristal personalmente no le gusta la idea de que cada error de copiar y pegar o de tipeo u otras cosas ingresadas en la barra de dirección URL sea enviado automáticamente hacia los motores de búsqueda como términos de búsqueda. Existe la posibilidad de que suceda una situación de divulgación de información. Por eso esta sugerencia.

Contra: Nada obviamente negativo.

9. Deshabilitar los agregados innecesarios

Herramientas/Opciones de Internet/solapa Programas/Administrar el botón de Agregados

Hay muchas herramientas de terceros que se añaden solas dentro de nuestro navegador. Cada una es técnicamente un camino para que potencialmente un atacante lo ataque, y por eso, deseará deshabilitar tantas como sea posible, dijo Forristal.

Contra: Desafortunadamente no siempre es obvio lo que hay que dejar y que debe ser deshabilitado, dijo Forristal.

Pero los usuarios deben examinar cuidadosamente la lista para ver si algo les salta a la vista como algo que no es mas necesario. Por ejemplo, preguntó, "¿Sigue usando Skype después de haberlo probado hace unos meses atrás? Luego uno puede deshabilitar con seguridad el agregado de Skype en el navegador.

10. Desinstalar viejas instalaciones de Java

(Vista) Menú Inicio/Panel de control/Programas y características.

Por alguna extraña razón, las nuevas versiones de Java a veces instalan completamente una nueva versión en lugar de actualizar las viejas existente. Esto puede ser problemático porque un atacante aun puede utilizar versiones viejas, y aquellas pueden albergar fallas de seguridad arregladas en la versiones más nuevas. De modo que Forristal sugiere verificar sus lista de aplicaciones instaladas, bajar hasta 'Java' y conservar la versión mas alta instalada eliminando las demás. "Cuando está allí, también es un buen momento de recorrer la lista y eliminar cualquier otra cosa que ya no use -- de nuevo, una menor superficie de ataque," dijo.

Contra: Nada obviamente negativo.

"La mayoría de las opciones señaladas, con la excepción de desinstalar versiones antiguas de Java, se pueden deshacer con seguridad simplemente cambiando un tilde o un botón de opción de configuración," dijo Forristal. "Así que está bien experimentar e intentar con estas configuraciones; si alguna le da problemas, sencillamente revierta el cambio y todo volverá a ser normal."

Traducción exclusiva de Segu-info: Raúl Batista
Autor: Bill Brenner
Fuente: NetworkWorld

Seguir leyendo »

Consejos para proteger tu intimidad en redes sociales

Las Redes Sociales son una forma de interacción social y uno de los servicios más demandados por los internautas. De hecho, más de la mitad de los internautas españoles están registrados en una red social según datos extraidos del estudio ‘Navegantes en la Red’ presentado el pasado mes por la AIMC. Hoy en día, las Redes Sociales, constituyen uno de los ejemplos de las aplicaciones más utilizadas en la denominada Web 2.0. y que está incrementando su uso día a día de forma vertiginosa.

Su valor como medio de comunicación es innegable, pero para poder disfrutar de todo lo que nos ofrecen sin arriesgar nuestra privacidad, es necesario adoptar determinadas medidas. Desde S21sec, te proponemos el decálogo para hacer uso de las redes sociales de forma segura:


1.- No indiques datos personales como tu dirección, trabajo o teléfono.
Esta información puede facilitar tu búsqueda a personas ajenas a tu entorno y de las que no puedes conocer sus intenciones.

2.- Utiliza una contraseña compleja y difícil de adivinar para tu cuenta de usuario. Si otra persona llega a descubrirla podrá acceder completamente a toda la información que tengas almacenada y si lo desea suplantar tu identidad en la Red. Según un estudio de ENISA sobre riesgos en los mundos virtuales, el robo de identidad es el problema que más se lleva a cabo.

3.- Si decides incluir información sobre tus gustos, aficiones o preferencias ten en cuenta que puedes sufrir un bombardeo de publicidad no deseada relacionada con los datos suministrados.

4.- Algunas redes ofrecen la posibilidad de utilizar tu cuenta de correo electrónico para localizar a tus amigos basándose en tu lista de contactos.
Ten en cuenta que, si aceptas esta opción, debes suministrar la contraseña de acceso a tu cuenta de correo, por lo que existe el riesgo de que puedan acceder también a tus mensajes.

5.- No incluyas datos bancarios o de tus tarjetas de crédito. Si deseas realizar una compra o efectuar un pago por Internet verifica y utiliza los medios de pago seguros habituales. (conexión https:, Verified by visa, tarjeta prepago, …)

6.- No des nunca información sobre tu situación laboral, familiar o futuros planes y viajes. Con esta información alguien puede saber que tú o tu familía estaréis ausentes del domicilio y facilitar así un posible robo.

7.- Cuando subas fotos o videos ten en cuenta que algunas redes sociales obligan a aceptar la cesión de la gestión de ese material, por lo que tu privacidad puede verse gravemente afectada.

8.- No publiques fotos comprometedoras sin restringir quiénes serán las personas que tendrán acceso a las mismas.

9.- No confíes siempre en todo lo que encuentras en la red, y en especial en las opiniones que puedas encontrar sobre temas “comprometidos” ya que no tienes garantía de su veracidad y puede tratarse de un cebo para captar tu interés y tratar de ganar tu confianza.

10.- Antes de añadir un nuevo contacto a tu lista de amigos trata de informarte bien sobre él y valora si debes incluirlo o no preguntando a tu grupo de amigos más cercano y de tu confianza.Tomar este tipo de medidas básicas hace que podamos evitarnos muchos problemas de privacidad.

Fuente: S21sec

Seguir leyendo »

Malware, ataques dirigidos y redes de ciber-espionaje

Vía F-Secure he localizado un interesante paper sobre ataques dirigidos. Los ataques segmentados no son ninguna novedad, pero siguen siendo protagonistas de infecciones relevantes dado su caracter orientado, lo que permite decidir a quién y cómo atacar, escogiéndose con frecuencia víctimas que desempeñan sus funciones en organismos e instituciones relevantes, con la esperanza de lograr acceso a información sensible y/o clasificada.

El motor que posibilita el éxito de estos ataques es tratar de generar la suficiente confianza para que los usuarios soslayen las recomendaciones de seguridad usuales. Estas acciones no se lanzan de manera masiva, sino que se ejecutan sobre sujetos específicos elegidos con anterioridad, lo que hace que en el argot estos movimientos se se denominen dirigidos o segmentados.

El mecanismo es simple, pero a su vez, complejo: la víctima recibe un correo electrónico con un documento adjunto, siendo el remitente conocido. El contenido del mensaje habla de cosas reales, aparentando ser un mensaje estructurado y con sentido. Como adjunto, un fichero PDF, DOC, PPT o XLS que cuando se abre muestra un documento real, pero que en paralelo, contamina la máquina del usuario sin su conocimiento, descargando de un sitio remoto un troyano. El resultado es el que todos imagináis: la infección inadvertida.

Al hilo de estos ataques, hoy mismo se ha publicado un artículo en el New York Times, donde es posible ver el alcance de las infecciones, usando como ejemplo Ghostnet, una red de ciber-espionaje basada en malware orientado y cuyos principales objetivos son equipos institucionales y gubernamentales. En este caso, los investigadores han detectado al menos 1.295 máquinas comprometidas en 347 localizaciones geográficas distintas, todas pertenecientes a servicios diplomáticos y gubernamentales del sur y sureste asiático.

Durante los últimos tiempos se vende a diestro y siniestro la idea de que el malware sólo se fabrica para contaminar a despistados usuarios Windows con el fin de vaciar sus cuentas bancarias. Nada más lejos de la realidad: sirva este caso como ejemplo.

Fuente: Sergio Hernando e Hispasec

Seguir leyendo »

Resumen de incidentes de seguridad de la semana (II)

Se resumen, en exclusiva para Segu-Info, los principales incidentes de las últimas dos semanas (desde el lunes 16 de marzo hasta el lunes 30 de marzo) reportados en el sitio DataLossDB.

Universidad de Toledo

• Fecha: 16 de marzo
  
• Cantidad de datos: 24,450
  
• Resumen: Una computadora robada de la universidad, contenía información personal de unos 24 mil estudiantes y 450 profesores de los últimos tres años académicos. La información incluía identificaciones personales y calificaciones, en el caso de los estudiantes; e información más sensible, como números de seguro social, fecha de nacimiento e información personal en el caso del profesorado.
  
• http://datalossdb.org/incidents/1835-stolen-computer-contains-personal-information-of-24-000-students-and-450-faculty

Shell Oil

• Fecha: 17 de marzo
  
• Cantidad de datos: 5,900
  
• Resumen: Un ataque al sitio web de la organización permitió el robo de casi 6000 datos privados de los clientes (1400 de Nueva Zelanda y 4500 de Australia). "La información obtenida es equivalente a lo que puede encontrarse normalmente en una tarjeta laboral: nombre de la compañia, domicilio, email y algunos datos de las cuentas bancarias", declaró un vocero de la empresa afectada.
  
• http://datalossdb.org/incidents/1836-hacked-website-exposes-5900-customers-names-addresses-email-addresses-and-bank-account-details

Universidad Penn State

• Fecha: 17 de marzo
  
• Cantidad de datos: 1,000
  
• Resumen: Un virus informática infectó un ordenador que contenía la información de mil personas con su nombre y número de seguro social. Las personas que estaban en la lista fueron informadas del incidente. "No tenemos evidencias que afirmen que el virus ha accedido a la información. Sin embargo, aunque no estamos seguros que haya habido un problema, creemos oportuno alertar a los involucrados", declaró un vocero de la institución.
  
• http://datalossdb.org/incidents/1837-computer-containing-over-1-000-social-security-numbers-infected-by-virus

Sistema de Retiro de Kentucky

• Fecha: 18 de marzo
  
• Cantidad de datos: 28,000
  
• Resumen: Un archivo con nombres, fechas de nacimiento y números de seguro social de 28000 jubilados fue envíado por email sin cifrar. La probabilidad de daños es mínima, pero existe la posibilidad que los datos hayan sido accedidos mientras eran transmitidos.
  
• http://datalossdb.org/incidents/1840-file-containing-28000-retirees-names-dates-of-birth-and-social-security-numbers-emailed-without-encryption

Universidad de Georgia del Oeste

• Fecha: 18 de marzo
  
• Cantidad de datos: 1,300
  
• Resumen: Una computadora portátil fue robada a un profesor de la universidad en Italia. La misma contenía datos de 1300 estudiantes y profesores: nombres, domicilios y números de seguro social.
  
• http://datalossdb.org/incidents/1839-stolen-laptop-exposes-1300-student-and-faculty-names-addresses-and-social-security-numbers

Escuelas Públicas Metropolitanas de Nashville

• Fecha: 19 de marzo
  
• Cantidad de datos: 21
  
• Resumen: Una mujer de Nashville, que iba caminando por la calle, encontró papeles que listaban información de estudiantes: nombres, números de seguro social y discapacidades. "Me parece que es extremadamente serio, quedé muy preocupada. Iba caminando por la calle y veo esos papeles en la calle y la vereda".
  
• http://datalossdb.org/incidents/1843-students-paperwork-found-on-street-exposes-names-social-security-numbers-and-disabilities

Hospital de Massachusetts

• Fecha: 24 de marzo
  
• Cantidad de datos: 66
  
• Resumen: Papelería que contenía la información de al menos 66 pacientes del hospital fue perdida, aparentemente olvidada por un empleado, en un tren. Los datos incluídan nombres, fechas de nacimiento e información médica (diganósticos, proveedores, etc.). El hospital envío cartas a todos los pacientes cuyas identidades estaban en los papeles perdidos.
  
• http://datalossdb.org/incidents/1845-patient-billing-records-left-on-train

Más información: Base de datos con incidentes de seguridad

Sebastián de la Redacción de Segu-Info

Seguir leyendo »

Las mulas: La prevención de blanqueo de capitales en el ámbito tecnológico

Como ya muchos sabéis, son numerosos los casos en los que hemos recibido, generalmente vía correo electrónico, ofertas de trabajo muy golosas, es las que suelen ser factor común los altos ingresos y el poco esfuerzo y consumo de tiempo necesario por nuestra parte.

Por lo general, también sabemos que los ingresos son proporcionales al esfuerzo y/o a la responsabilidad, y que salvo raras excepciones, nadie se va a fijar en nosotros para darnos un sueldo muy elevado pretendiendo que sólo invirtamos una o dos horas al día sentados en casa y trabajando a distancia. Aún así, el número de usuarios involucrados en estafas es distinto a cero, lo que implica que muchos usuarios pican.

En el argot, las personas que blanquean dinero (habitualmente sin saberlo) son conocidas como mulas o muleros.

Contenido completo en el Blgo de Sergio Hernando

Seguir leyendo »

¿Hay publicidad exagerada de Conficker?

Sí. Es igual que siempre cuando un gusano tiene una fecha de activación (en este caso el primero de abril). Ya sucedió en casos como Michelangelo (1992), CIH (1999), Sobig (2003), Mydoom (2004) y Blackworm (2006).

No. El gusano Conficker ha sido peligroso, si no se toman las precauciones necesarias, desde su fecha de lanzamiento en noviembre:

• Actualice su sistema operativo
• Active un Firewall (de perímetro o personal)
  
• Utilice un Antivirus
• No utilice su sistema con permisos administrativos

Toda la información sobre Conficker

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Requerimientos TIA-942 - Selección de ubicación

En algunos grupos de LinkedIn como Datacenter Real Estate, y Datacenter Engineering se ha producido una interesante discusión sobre la cuestión de los riesgos asumibles en la elección de la ubicación de un centro de datos. Como el estándar ANSI\TIA-942 aborda esta cuestión, aunque únicamente a título informativo, os cuento un resumen de algunas de las cuestiones a valorar que se presenta en el Anexo F del documento (traducción libre) y su grado de cumplimiento en las instalaciones de NIXVAL:

1. Consideraciones arquitectónicas

• 2 accesos al edificio desde carreteras\calles separadas.
• Preferentemente edificio de una planta dedicato exclusivamente a datacenter
• Otros inquilinos del edificio si los hay no deberán dedicarse a actividades industriales
• La posible altura de la sala del centro de datos debe tenerse en cuenta, ya que alturas de 4 metros pueden ser necesarias para albergar la totalidad de la instalación.
• Existencia de un muelle de descarga
• Distancia a fuentes de radiaciones electromagnéticas y de radiofrecuencia.
• Ubiciación por encima de los niveles de agua. Nunca deben instalarse sistemas críticos en los sótanos.
• No ubicar la sala de alojamiento bajo salas con instalaciones de fontanería.
• La sala no debe tener ventanas.

Las instalaciones de NIXVAL cumplen todos estos requerimientos, incluido el posible acceso por 2 calles distintas (habitualmente tenemos el segundo acceso cerrado).

2. Consideraciones eléctricas

• Verificar la capacidad de las acometidas eléctricas al edificio, disponibilidad de mas de un proveedor y que el edificio dispone de acometidas eléctricas subterráneas.

Nuestra parcela no cumple que exista más de un proveedor disponible para prestar servicios de suministro de energía simultáneamente al edificio y desde subestaciones eléctricas distintas. Prácticamente no existen edificios en España que cumplan esta característica.

3. Telecomunicaciones

• El edificio debe disponer de al menos 2 entrance rooms de fibra óptica que sigan caminos diferentes.
• Estas acometidas de fibra deben terminar en ubicaciones físicas distintas de los proveedores.
• Diversos proveedores de servicios de telecomunicaciones tienen que ofrecer servicios en las instalaciones.
• El equipamiento de telecomunicaciones debe estar instalado en el área del datacenter y no en areas compartidas del edificio. El cableado debe estar adecuadamente canalizado, estar dedicado a telecomunicaciones y no ser accesible a terceros.
• Estos requerimientos se cumplen actualmente en su totalidad. El edificio cuenta actualmente con 4 acometidas de fibra óptica de 3 proveedores distintos. Sobre los que prestan servicios de telecomunicacones 7 operadores distintos. Además las acometidas están en lados opuestos del edificio separadas más de 20 metros (como exije el estándar).

4. Seguridad

• Accesibilidad 24 x 7 x 365
• Monitorización de accesos, parking y muelle de descarga y resto de zonas comunes.
• El edificio no deberá ubicarse en una zona con riesgo medio de inundaciones o superior, es decir frecuencia inferior a 100 años y calado alto (0,8 m), o en áreas con riesgos sísmicos, o de otro tipo de catástrofes.
• No se ubicará el CPD en edificios que puedan resultar dañados por edificios colindantes durante un terremoto o inundación.
• El edificio no podrá ubicarse en los pasillos aéreos de aeropuertos.
• El edificio se ubicará como mínimo a 0,4 Km. de aeropuertos, ríos, la costa o presas con reservas de agua.
• El edificio de debe ubicarse a menos de 0,8 Km de autopistas.
• El edificio estará como mínimo a 0,8 Km. de bases militares.
• El edificio no se ubicará a menos de 1,6 Km. de centrales nucleares, polvorines y fábricas de armamento.
• El edificio no se ubicará adyacente a una embajada extranjera.
• Se indicará la proximidad de estaciones de policía, parque de bomberos y hospitales.
• NIXVAL cumple la totalidad de estas recomendaciones; aunque las discusiones mencionadas al principio dan indicaciones variables para algunos de estos valores, por ejemplo, entre 0,5 Km y 1 milla (1,6Km) de distancia a la autopista más cercana.

Fuente: Nixval - Centro de Datos

Seguir leyendo »

¿Dónde pongo un CPD?

Aunque es un tema complejo y muy técnico, es crucial la selección de una buena ubicación para el CPD que minimice en el diseño los máximos riesgos posibles. A este respecto existen ya algunas normativas de construcción para garantizar que se tienen en consideración todos los aspectos importantes y lograr así el mejor alojamiento para los sistemas de información de una organización.

Este estándar que en sus orígenes se basa en una serie de especificaciones para comunicaciones y cableado estructurado, avanza sobre los subsistemas de infraestructura proporcionando los criterios que se deben seguir para clasificar estos subsistemas en función de los distintos grados de disponibilidad que se pretende alcanzar.

Contenido completo en el Blog de Javier Cao Avellaneda

Seguir leyendo »

El cracker de los famosos españoles... al final está un poco loco

No le había prestado demasiada atención a la historia del cracker detenido ayer en Jerez de la Frontera más allá del detalle curioso de que por lo visto se dedicaba especialmente a fisgonear e las vidas digitales de personas famosas y a tocarles un poco las narices.

Pero según cuenta Antonio Manfredi en El cracker detenido, donde la realidad supera la ficción, el caso es realmente de película.

Y, finalmente, lo que provocó un importante impacto entre los agentes que lo interrogaron fue lo que ocurrió al segundo día. En la primera jornada, estuvieron con él 5 horas de largo interrogatorio. Al día siguiente, el acusado, utilizando su doble personalidad, fue capaz de reproducir íntegramente el interrogatorio anterior, incluyendo las preguntas y todas sus respuestas. Lo hizo literalmente, de modo que, cuando llevaba 30 minutos, le ordenaron que se callara y los agentes se marcharon a consultar a sus superiores.

Para empezar, aunque al final J.M.N. terminó siendo detenido a causa de una denuncia del Ayuntamiento de Minas de Riotinto en la que se decía que una persona podía haber vulnerado varias cuentas de correo electrónico, oficiales y particulares, pertenecientes a la corporación, en realidad hay al menos 42 diligencias judiciales abiertas contra él.

En un caso, una periodista vio como este individuo se hacía no sólo con los datos referentes a ella sino también con los de su hijo, un menor; en otro caso, por lo visto se habría hecho pasar por un alto cargo del PSOE y enviado correos electrónicos en su nombre que habrían estado a punto de provocar un incidente diplomático.

Y es que al parecer el cracker tenía unas completísimas fichas de cada una de sus víctimas y dedicaba tiempo y tiempo a jugar con sus vidas, más que a obtener ningún tipo de beneficio económico. Prefería darles de baja en los servicios que tuvieran contratados para sus domicilios o darles de alta en otros y cosas así.

No está claro, de todos modos, que tuviera una gran habilidad técnica, sino que más bien parece que se trata de un verdadero profesional de la ingeniería social.

Pero con todo, lo más peculiar del caso es que por lo visto esta persona padece un serio trastorno de la personalidad que hizo que el segundo día de interrogatorios su segunda personalidad comenzara a repetir palabra por palabra las cinco horas de interrogatorio del día anterior, dejando a los agentes que lo interrogaban totalmente descolocados.

Me pregunto cuanto tardarán en llamarle desde Hollywood para comprarle los derechos de su historia.

Fuente: Microsiervos, Antonio Delgado y Sanlucar

Seguir leyendo »

Conficker se apodera de la red del parlamento británico

Una notificación firmada por el Director de Tecnologías de la Información y Comunicación del parlamento británico ha informado de que el gusano Conficker se ha tomado otra víctima, extendiéndose por la red del parlamento y ralentizándola hasta un punto casi inutilizable.

Según el informe filtrado se menciona que “Todos los usuarios que se hayan conectado a la red del parlamento han sido afectados por un virus conocido como conficker.”

La red del parlamento británico está “protegida” con una solución de seguridad de MessageLabs, subsidiaria de Symantec. Según el informe se ha prohibido el uso de pendrives y dispositivos de MP3 mientras se realiza la desinfección de la red.

Según The Register, una fuente anónima de dentro del parlamento ha confirmado la autenticidad del informe y también ha corroborado el malfuncionamiento de la red durante la semana pasada.

Hay que tener en cuenta que se espera un nuevo brote de una variante de Conficker para el próximo día 1 de abril, que, pese a ser el día de los santos inocentes en la cultura estadounidense, podría tener una gran repercusión a nivel mundial con un gusano que ha tenido tan alto grado de infección anteriormente.

Fuente: The Inquirer

Seguir leyendo »

Estudio sobre hábitos seguros en el uso de las TIC por niños y adolescentes y e-confianza de sus padres

El Observatorio de la Seguridad de la Información de INTECO hace públicos los resultados de su investigación sobre los hábitos seguros en el uso de las TIC por niños y adolescentes y e-confianza de sus padres.

La naturalidad con la que nuestros hijos se aproximan a las Tecnologías de la Información y la Comunicación les proporciona innegables beneficios de carácter educativo, social y de ocio. Sin embargo, también existen una serie de riesgos relacionados con las TIC, que pueden afectar de forma especial a los menores. Por ello, para que niños y adolescentes puedan disfrutar de las TIC en toda su extensión y aprovechar las múltiples posibilidades que éstas les ofrecen, es clave que sepan cuáles son sus riesgos y conozcan la forma de afrontarlos. De ese modo, también aumentará la confianza de sus padres hacia las TIC y su incorporación a la Sociedad del Conocimiento.

En este contexto, el presente estudio tiene como objetivo la elaboración de un diagnóstico de la situación española en lo que respecta a hábitos de uso de las TIC por parte de los menores, así como los conocimientos sobre la seguridad de la información y herramientas utilizadas. La metodología empleada, basada en la realización de más de 1.200 encuestas a menores de entre 10 y 16 años y a sus padres o tutores legales, permite contrastar la visión de ambos colectivos. El informe se enriquece con la visión de 36 expertos con el objeto de garantizar un enfoque global y multidisciplinar al proyecto.

El estudio ofrece una visión completa de la realidad de la sociedad española en estos aspectos, y ofrece recomendaciones a los diferentes actores y colectivos implicados (administraciones, industria y sector educativo), con el objetivo último de contribuir a hacer de Internet un sitio más seguro para los niños y adolescentes.

Descargar documento:
Estudio sobre hábitos seguros en el uso de las TIC por niños y adolescentes y e-confianza de sus padres

Fuente: Inteco

Seguir leyendo »

La 'Liga Conficker' da pelea a la amenza de seguridad en Internet

ICANN está liderando a los white hats (hackers éticos) en una "extraordinaria batalla tras bambalinas" contra las fuerzas detrás del malware Conficker, informa John Markoff en el Times.

Dancho Danchev señaló recientemente que:

Entre las innovaciones clave del gusano Conficker (W32.Downadup) está el algoritmo de generación de [nombres de] dominios pseudo-aleatoria usada para la generación dinámica de los lugares de control y comando para hacer casi imposible a los investigadores y la industria que puedan derrotarlos.

La impresionante botnet ha fusionado a los expertos de seguridad mundiales en la llamada Liga Conficker (Conficker Cabal).

“Llegué hasta un general de tres estrella el miércoles y le pregunté si podía ayudarmes para enfretar una botnet de millones de nodos," dijo Rick Wesson, un investigador de seguridad informática involucrado en combatir el Conficker. "No obtuve una respuesta."

Imagínese al Conficker como una red bot en la nube (botcloud).

El programa Conficker está hecho de manera tal que después de alojarse en las computadoras infectadas, puede ser programado remotamente por software para dar servicio a un vasto sistema de distribución de spam o de otro malware.

En la primer semana de Marzo, la cuarta versión conocida del programa, Conficker C, amplió el número de sitios que puede usar a 50.000. Ese cambio hace virtualmente imposible de detener a los autores del Conficker de comunicarse con su red de equipos zombis (botnet.)

"Vale la pena señalar que esto son tipos que se lo están tomando en serio y no están cometiendo muchos errores," dijo José Nazario, un miembro del grupo de seguridad internacional e investigador de Arbor Networks, una compañía en Lexington, Mass., que provee herramientas de monitoreo y de desempeño de redes. "Se la están jugando por completo."

No es sólo una botnet en la nube, sino una con implicancias de seguridad nacional muy reales, le dijo al Times Phillip Porras, un director de investigaciones de SRI International y uno de los autores de un informe sobre el virus.

Quizás el aspecto más obviamente aterrador del Conficker C sea su claro potencial para hacer daño. Quizás en el mejor de los casos, Conficker pueda ser usado como una plataforma sostenida y redituable para fraudes y robos en Internet. En el peor escenario, Conficker podría volverse una poderosa arma ofensiva para realizar ataques de guerra concertados contra la información que podrían afectar no sólo a los países, sino a Internet en sí misma.

Traducción exclusiva de Segu-info: Raúl Batista
Autor: Richard Koman
Fuente: ZDnet

Seguir leyendo »

Publicado el Boletín 133 - 28/03/2009

Boletín 133 - 28/03/2009

Los temas tratados son:

1. NIC.ar habilita el uso multilingüe (la vergüenza Argentina)
2. Sorteo para Bootcamp CISSP
3. Serialized SQL Injection
4. Segu-Kids y su presentación en la comunidad

Leer Boletín

Seguir leyendo »

Informe anual de amanazas de Trend Micro

El malware está evolucionando a una velocidad sin precedentes y alcanzó volúmenes hasta ahora nunca vistos durante el pasado año, sin embargo, en 2009 aumentará la cooperación entre fabricantes de seguridad y los organismos policiales y legales para acabar con las empresas y actividades criminales, según se indica el Informe Anual Trend Micro Threat Roundup & 2009 Forecast, del fabricante.

Mientras los autores de malware siempre han reaccionado rápidamente a la hora de lanzar código malicioso tan pronto se descubre una vulnerabilidad, el equipo de investigación de amenazas de Trend Micro (TS4704), líder global en seguridad de contenidos en Internet, ha presenciado una proliferación del malware en 2008, en parte porque los modelos de amenazas “in-the-cloud” y porque las arquitecturas ciber-criminales se han rediseñado enfocándose a la obtención de beneficios, haciendo de Internet el mayor medio utilizado para extender el malware. Para la industria de la seguridad esto implica que los métodos tradicionales de protección son inadecuados. Ante esta situación, en 2008 Trend Micro apostó por luchar contra el ciber-crimen desde la nube de Internet para que las amenazas sean detenidas antes de que puedan afectar al usuario.

Contenido completo en InfoComercial

Seguir leyendo »

España: La Agencia de Protección de Datos pide a Facebook más garantías de privacidad

Entre otras cuestiones, su director ha pedido a esta red social que sea transparente en la información que da a sus usuarios, que fije mecanismos de verificación de la edad para evitar que los menores de catorce años accedan a los contenidos de la plataforma, y que simplifique el proceso de cancelación de datos personales.

La Agencia Española de Protección de Datos (AEPD) ha pedido a Facebook que garantice a sus usuarios más privacidad de sus datos y que practique una política informativa “clara, accesible y comprensible”.

El director de la AEPD, Artemi Rallo, ha hecho esta petición a los responsables de Facebook en una reunión celebrada esta mañana y que forma parte de una ronda de contactos de la agencia con las principales plataformas de redes sociales.

Un reciente estudio de la AEPD ponía de manifiesto que el 43 por ciento de los usuarios de redes sociales como Facebook tiene configurado su perfil de forma que puede ser visto por cualquier persona de la red (casi 8 millones en España), un hecho que pone en serio riesgo su privacidad.

Advertía también de que, con frecuencia, las redes sociales solicitan a los nuevos usuarios información sobre su ideología política, orientación sexual y preferencia religiosa, unos datos que son visibles para todos sus contactos, en la mayoría de los casos.

Por ello, la AEPD ha pedido a Facebook que fije por defecto el máximo grado de privacidad del perfil de los usuarios.

Fuente: NoticiasDot

Seguir leyendo »

El 1 de Abril, ¿comienza Conficker?

En los últimos días ha sido publicada, por innumerable cantidad de medios, la noticia de una nueva variante de Conficker, que se "activará el 1 de abril". Hemos recibido gran cantidad de consultas de usuarios preocupados por lo que pudiera pasar a partir de ese día (curiosamente el día de los inocentes en Estados Unidos).

En primer término dejemos en claro qué ocurrirá ese día: una familia de variantes de Conficker, creadas en el mes de marzo, ha sido realizada con una modificación respecto a sus predecesoras. Las primeras variantes consultaban diariamente un listado de dominios en búsqueda de actualizaciones del malware desde el momento en que se alojaban en el sistema. En este caso, el malware comenzará a consultar dominios pseudo-aleatorios a partir del primer día del mes de abril (y el número de dominios a consultar será mayor).

Contenido completo en el Blog de ESET

Seguir leyendo »

Más de un 25% de las empresas elevará su gasto en seguridad de aplicaciones Web

n nuevo sondeo revela que a pesar de la difícil situación económica, más de un 25% de las empresas prevé aumentar este año su gasto en seguridad de aplicaciones Web, y que la conformidad con la legislación es el principal motivo de su inversión en este terreno.

El proyecto Security Spending Benchmarks (marzo de 2009) de OWASP (Open Web Application Security Project), entidad dedicada al desarrollo y fomento de buenas prácticas en seguridad de aplicaciones Web, considera que en el mercado escasean los datos sobre este área y, por eso, ha decidido elaborar un estudio al respecto con periodicidad trimestral.

Como señala esta organización, las compañías a menudo ahorran muchos costes operativos mediante las ventas basadas en Internet, pero no debe olvidarse que esta forma de comercialización exige afrontar nuevos riesgos, como las brechas de datos y la consiguiente pérdida de confianza de los clientes en sus servicios. De ahí la importancia de invertir en seguridad web y de dar a conocer el estado del mercado al respecto a través de análisis periódicos.

Según el primero de los sondeos de OWASP, más de la cuarta parte de las organizaciones tomadas como muestra –todas ellas con ingresos superiores a los 1.000 millones de dólares anuales- espera aumentar su gasto en seguridad de aplicaciones Web a lo largo de este año, pero el 36% prevé mantenerlo plano. Y aunque el 50% asegura que la seguridad es parte de su estrategia de marca, el 61% considera que la seguridad como ventaja competitiva no es una motivación para la inversión. El 40% de las firmas sondeadas dijo que la conformidad constituye el principal motivo de su gasto en seguridad de aplicaciones Web en estos momentos.

Entre las conclusiones más claras de este análisis destaca el hecho de que una buena parte de las empresas están aún en fase de preparación para los nuevos modelos de negocio. Más de una tercera parte de las firmas encuestadas por OWASP ni siquiera utiliza un firewall de aplicaciones Web para asegurar sus sistemas frente a intrusiones o anomalías.

Marta Cabanillas

Fuente: IDG

Seguir leyendo »

Mozilla adelanta la actualización de Firefox 3.0.8

Aunque anunciaron que la publicarían para principios de la semana que viene, ya está disponible la versión 3.0.8 de Firefox que corrige la grave vulnerabilidad de la que hablábamos en esta una-al-día.

Además de otro fallo crítico que se descubrió en la Pwn2Own 2009 de la CanSecWest.

Solucionar el primer problema era relativamente sencillo (apenas una permutación de líneas en el código) pero es cierto que con los cambios en programas mastodónticos nunca se sabe, y es necesaria una fase de comprobación y pruebas. Con el anuncio para la semana que viene, quizás buscaban cubrirse las espaldas, cuando en realidad intuían que podrían publicar la actualización oficial varios días antes, como finalmente han hecho. Ante este celeridad, solo cabe esperar que efectivamente hayan realizado las comprobaciones oportunas y las modificaciones realizadas solucionen tajantemente los fallos. En cualquier caso, bien por el equipo de la fundación Mozilla.

Fuente: Blog de Hispasec

Seguir leyendo »

Condenados a permanecer en la Red

Crece el número de personas que solicitan modificar o retirar noticias que dañan su imagen. La amplificación en Internet agrava los efectos de los errores periodísticos.

"Si entra en Google con mi nombre verá como punto dos una noticia acerca de mí, de hace veinte años, nada agradable, que no quiero dejar a mis nietos. Máxime cuando es francamente obsoleta. (...) Le ruego tenga a bien ordenar su retiro". La carta llega desde Buenos Aires y está firmada por un profesor de Farmacología. Efectivamente, al introducir su nombre en el buscador, aparece como primera referencia un listado de Dialnet con los 11 libros de los que es autor, y como segunda entrada, una noticia publicada en EL PAÍS en 1988 sobre su ingreso en prisión por un asunto relacionado con ETA. No hay otras entradas que permitan saber en qué quedó aquello. En el archivo de EL PAÍS figuran 14 noticias con ese nombre, pero ninguna informa tampoco sobre el desenlace del proceso.

Contenido completo en El País

Seguir leyendo »

Cuando la tecnología de la información se transforma en un riesgo

Marcelo Rodríguez, de Risk Group, analiza en esta columna para iProfesional.com los alcances de los seguros sobre los activos informáticos.

El seguro es una promesa de pago que la empresa aseguradora realiza a la empresa asegurada, bajo determinadas condiciones que se establecen entre ambas partes.

En el caso del seguro cibernético, consiste en la promesa de proteger económicamente a la empresa que lo adquirió- hasta una suma previamente determinada- , en determinadas situaciones vinculadas con el uso de la informática. Veamos algunos ejemplos:

• Cuando hay transmisión involuntaria y negligente de cualquier virus informático, realizada por la empresa a alguna persona con la cual ésta lleva a cabo actividades comerciales, o que utiliza el sitio web de la compañía en el curso regular de los negocios. Cabe señalar que esto no se aplica a virus creados por la empresa, sus empleados o personal contratado por ella.
• Otro caso es el del uso fraudulento de una firma electrónica o correo electrónico externo, por parte de cualquiera de los empleados o de cualquier trabajador autónomo contratado por la empresa, en un claro intento de causarle una pérdida y obtener una ganancia personal para sí mismo, más allá de cualquier sueldo, bonificación o comisión.
• Vandalismo cibernético, que ocurre cuando la empresa sufre una pérdida económica directa como resultado del daño o alteración de los contenidos de su sitio Web o cualquiera de sus programas, sistemas informáticos, redes o cualquier dato que posea en forma electrónica, que pueda demostrar que surgió en forma directa de cualquier acceso no autorizado a través de Internet u otro enlace electrónico, por parte de alguien externo quien la eligió específicamente con una clara intención de causarle una pérdida y un daño.
• Fraude comercial cibernético, por ejemplo cuando la empresa ha sufrido una pérdida económica directa como resultado directo del uso fraudulento y no autorizado de su propia firma electrónica, certificado electrónico o correo electrónico encriptado o sitio Web (que no sea por parte de un director o socio suyo); o el daño, destrucción, agregado, modificación o alteración fraudulenta de cualquier dato que su empresa posea en forma electrónica, que surja directamente de cualquier acceso no autorizado (que no sea por parte de un director o socio suyo) a través de Internet u otro enlace externo
  
  

Qué se paga
En cada caso puede haber diferentes condiciones. Por ejemplo, en caso de Vandalismo cibernético, la compañía de seguros puede pagar sus pérdidas cibernéticas: los gastos en los que se haya incurrido, con el previo consentimiento prestado por escrito de la aseguradora, por el reemplazo o la reparación del sitio Web de la empresa, programa, sistema informático, red o datos de la misma calidad y con los mismos contenidos que tenían antes del daño, destrucción o alteración. Esto incluirá todos los gastos de publicidad o promoción comprendidos para ponerse en contacto con cualquier persona que haya intentado utilizar su sitio Web mientras el mismo estaba destruido, dañado o alterado.

En cambio, en caso de fraude del comercio cibernético, la aseguradora puede abonar el valor de las sumas de dinero, bienes, productos o mercaderías de la empresa que hayan sido transferidas, o cualquier beneficio económico que haya sido proporcionado a un tercero, por usted o en su nombre; o cualquier suma que la empresa esté legalmente obligado a pagar por cualquier bien, servicio, producto o mercadería que no haya recibido.

Demás está decir que, en la actualidad, contar con un seguro cibernético puede resultar de suma importancia para cualquier empresa, ya que en caso de haber sido víctima de algún problema relacionado con la informática como los señalados más arriba, le permitirá llegar más fácilmente a una solución. Por ejemplo, reemplazar o reparar su sitio Web, programa, sistema informático, red o datos. Pero cabe señalar que para que una compañía de seguros acepte asegurarlo, antes su empresa debe proporcionar información completa, precisa y no engañosa. Incluso, y debido a su importancia, el formulario de propuesta y cualquier otra información escrita que la empresa proporcione, se incorpora al seguro y constituye la base del mismo. Luego, cuando se detecta una situación irregular hay que avisar a la aseguradora inmediatamente.

Además, las aseguradoras no cubren problemas preexistentes (es decir, cualquier reclamo, posible reclamo, defectos en su trabajo o pérdida cibernética de los que la empresa sabía - o debió haber sabido razonablemente- antes de que la compañía de seguros aceptara tomarlo como cliente).

Tampoco lo cubrirán, claro está, si hay daños aquellos causados por alguna mala gestión (por ejemplo, si de la empresa no realizó las tareas debidas para proteger los sistemas informáticos, o realizar copias de seguridad /back-ups).

Fuente: iProfesional.com
Resumen a mostrar

Seguir leyendo »

Estudio: SmartScreen de IE8 lidera en protección contra malware

Un estudio de NSS Labs publicado recientemente, afirma que el Internet Explorer 8 supera por mucho a los navegadores de la competencia en términos de protección a los usuarios contra el malware basado en la web.

Según el estudio basado en una modesta muestra de 492 URLs, no sólo el filtro SmartScreen de IE8 consigue una posición de liderazgo frente al resto de los navegadores populares, sino que también los supera en términos del tiempo promedio que toma bloquear sitios que ya se conocen como sitios maliciosos comprobados. Entre las conclusiones clave está que Opera 9.64 e Internet Explorer 7 "prácticamente no proveen protección contra el malware".

Así es como el estudio posiciona a los navegadores:

• Microsoft Internet Explorer v8 (RC1) consiguió bloquear 69%
• Mozilla Firefox v3.07 consiguió bloquear apenas más del 30%
• Apple Safari v3 consiguió un bloqueo de 24%
• Google Chrome 1.0.154 consiguió un bloqueo de 16%
• Opera 9.64 consiguió un bloqueo de 5%
• Microsoft Internet Explorer v7 consiguió un bloqueo de 4%

La metodología del estudio tiene sin embargo grandes fallas en varios puntos clave, haciendo sus conclusiones abiertas a la interpretación que deberían ser el caso en pruebas comparativas.

• Vea los post relacionados detallando el crecimeinto de las vulnerailidades del lado del cliente: Secunia: suites de seguridad populares fallan al bloquear explotaciones; Google introduce diagnóstico Safe Browsing para ayudar a los propietarios de sitios comprometidos; Reporte: 92% de las vulnerabilidades críticas de Microsoft mitigadas por cuentas de Menores Privilegios

Para los que no conocen, NSS Labs emprendió un enfoque minimalista hacia la definición del malware de Web. En este estudio, las URLs de malware que están usando son básicamente "enlaces que llevan directamente a una descarga que libera una carga maliciosa", una decisión que mina la declaración de "tasa de bloqueo" en tiempos en que las vulnerabilidades del lado cliente son abusadas masivamente como cortesía de los kits de malware para explotación web. Y como no se usaron URLs actuales de explotación, la característica de Protección de Memoria DEP/NX dentro de IE8 naturalmente no fue comparada frente a sitios conocidos que sirven explotaciones, o al menos no fue mencionado en el informe.

Además, el uso de la API de SafeBrowsing en los navegadores de la competencia, una combinación de esfuerzos automáticos (clientes honey) y apoyados por la comunidad para analizar un sitio web en un sentido mucho más amplio de lo "malicioso", tiene una potencial más alto para mantener una base más abarcativa de los sitios conocidos con badware. También sorprende que Firefox, Safari y Chrome tenga tal variación de la tasa de bloqueo teniendo en cuenta que esos navegadores aprovechan la base de datos del proyecto SafeBrowsing. Básicamente, tener un conjunto de diez URL maliciosas y correrlas contra los navegadores supondría que deberían devolver resultados idénticos debido a la base de datos centralizada de sitios conocidos con badware.

De forma interesante, el estudio usó Apple Safari v3 para llegar con el 24% de bloqueo, el cual excluye la característica incluida de anti-phishing y anti-malware introducidas en Safari v4. El informe es publicado antes del debut de IE8, pero incluso si el estudio de NSS es relevante de hecho en un escenario de ataque de la vida real, ¿importaría de verdad que IE8 superara al resto de los navegadores por varias veces cuando los usuarios de IE8 están volviendo de nuevo al IE7?
De cualquier forma, considere revisar el informe, con un salero en la mano.

Traducido para blog Segu-info por Raúl Batista
Autor: Dancho Danchev
Fuente: Blogs Zdenet

Seguir leyendo »

Sitio falso de VISA promociona loteria

En los últimos días se han vuelto ha popularizar una serie de sitios que simulan ser de Visa y que supuestamente entregan un a suma de dinero determinada en Dólares:
Por supuesto se trata de un engaño con el objetivo de obtener información de los usuarios que puedan ingresar. Incluso se puede ver la solicitud del número de tarjeta de crédito y su PIN correspondiente.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Nic.ar: abierto el registro de dominios multilingües

Una de cal y otra de arena...

Finalmente está abierto el registro de dominios multilingües argentinos (Más sobre el tema 1, 2, 3, 4).

Lamentablemente al registrar un nuevo dominio hay que hacer 2 trámites, uno para el común y otro para el multilingüe.

Y al tratar de registrar el multilingüe las opciones no son muy claras, porque hay que seleccionar la primera opción y no la segunda (La correcta es ‘Para solicitar el registro de este dominio…’ y no ‘En caso de nombre de dominio multilingüe’).

Y para nuestro divertimento y curiosidad, Nic.ar publicó una lista de los primeros dominios que fueron otorgados.

Nic y el control al pedo

Mucho trámite, mucho papeleo, habilitamos los IDN, permitimos las eñes, pero al fin de cuentas Nic.ar sigue funcionando como el orto permitiendo que los domainers se hagan de todo el espacio de nombres de dominios argentinos.

Viendo la lista de los autorizados con dominios que permiten la Ñ y otros símbolos, se nota un patrón obvio en los dominios cortos, un script registrando indiscriminadamente, uno tras otro, dominios que tengan la ñ pero sean bien cortitos (2 letras, 3 letras, etc.). No sorprende, molesta.

De 3006 dominios registrados al momento de armar este post 1765 pertenecen al top 10 de registradores-spammers.

Antes de agregar los IDN, podrían comenzar a regular un poquito esto? no se, por lo menos cuando tienen un registrador masivo cancelarle o bloquearle los registros y obligarlo a declarar para que quiree 100 dominios de un saque. No se, algo que frene esto y termine haciendo que para cada negocio web te convenga pagar en EE.UU. y no la "idea loca" de cobrar más caro que un .com, cosa que proponía el Ministerio antes de arreglar el quilombo que hacen.

Desde un punto de administración de datos no es tan complejo, simplemente un count sobre lo que ya tienen algunos, pero, se dice, eso está justamente liberado domainers... muéranse.

PS: Los datos aquí publicados son los mismos que publicó Nic.Ar al día de hoy, son públicos, por si algún domainer se molesta.

Fuente: Badd y Fabio

Seguir leyendo »

Advierten sobre el peligro de no mirar la letra chica de los contratos en la red

La información que colocan los usuarios en los perfiles a la hora de suscribirse a redes sociales se utiliza en muchos casos para vender publicidad

Las condiciones contractuales que casi ningún usuario examina al registrarse en las redes sociales como Facebook, Sónico y Hi5, o a otros sitios como Blogger, MSN Messenger o Taringa son aprovechadas por algunas personas para vender publicidad.

Uno de los sustentos de estas redes es la publicidad y otras, incluyen cláusulas abusivas ocurre que el envío de avisos se pacta en los contratos que nadie lee, según publica Clarín en su edición de hoy.

La mayoría de los sitios usan los datos que suben a Internet los usuarios cuando se registran. Y con ellos personalizan los anuncios, propios o de otros que les pagan por ese servicio. Pero no venden avisos "al voleo".

La información que colocan los usuarios en sus perfiles, más los comentarios que expresan hostilidad o preferencias, forman parte de un tentador legajo virtual que es recolectado con la imprudente aprobación de los beneficiarios.

Esta suma de variables les permite a los administradores del sitio segmentar a su público por edad, sexo y nivel educativo, y tener datos sobre sus gustos, costumbres y relaciones de esta forma le garantiza a sus clientes que la publicidad que están enviando va a llegar al consumidor indicado.

Vender audiencia
Martín Spinetto, gerente de Servicios Online de Microsoft, advierte que "no compartimos la base de datos con otras empresas. Pero sí vendemos audiencia". Esto implica que si una firma quiere apuntar su campaña a un determinado sector, Microsoft sabe a quién enviarla usando su base, explica el matutino.

En el Centro de Privacidad se anuncia: "Microsoft no venderá, alquilará ni cederá sus listados de clientes a terceros. En ocasiones, como ayuda para poder prestar los servicios, podrá proporcionar datos a otras empresas que actúan en nombre de Microsoft".

Para el director de Asuntos Públicos de Google, Alberto Arébalos, la publicidad basada en intereses, es una modalidad que le permite al consumidor elegir los temas que quiere ver y, en caso de no estar interesado, seleccionar la opción de no mostrar ninguna propaganda en su sitio", detalla.

Tomás O'Farrell, de Sónico, una red social similar a Facebook que según datos propios suma 30 millones de usuarios en Latinoamérica, reconoce a Clarín que la publicidad personalizada es un método empleado.

"Estamos utilizando nuevas formas de ingresos para sustentar la red". Otra cuestión es el uso que en la red se hacen de los contenidos que suben los usuarios, lo que puede llevar a quejas por la exhibición de imágenes no autorizadas.

El abogado Leandro González Frea previene también sobre las normas que imperan en Hi5, otra red que alberga a 80 millones de cibernautas. "Obligan a los usuarios a conceder una licencia irrevocable, perpetua, no exclusiva, mundial, para reproducir, distribuir, mostrar públicamente e interpretar, usar de cualquier modo el contenido incorporarlo en otras obras, y conceder o autorizar sublicencias", explica al matutino.

Algo semejante ocurre con Taringa!, uno de los portales más visitados por los navegantes argentinos. González Frea cuenta que: "Taringa! se adjudica expresamente los derechos de autor sobre la obra de clasificación y compilación realizada por cualquiera de sus usuarios, obligándolos a transferirle todos los derechos que pudieran corresponderles". Entre otros "materiales", se incluyen fotos, diseños, sonidos y marcas.

O'Farrell, de Sónico, explica que el objetivo de estas cláusulas es la protección legal del sitio: "Por ejemplo, si un usuario sube una foto de otro, éste no puede demandarnos por ello". Pero, ¿los usuarios tienen algún tipo de defensa? González Frea apunta que estos servicios están amparados por la Ley de Defensa del Consumidor.

Según destacan los entrevistados, lo que sí es cierto es que estos contratos de adhesión son redactados unilateralmente por las empresas y no dan lugar a los usuarios para negociar los términos de inclusión. Y si el usuario está en desacuerdo, el no aceptar equivale a quedar afuera.

Fuente: iProfesional.com

Seguir leyendo »

Chrome resulta vencedor en competencia de hackers

Internet Explorer, Firefox y Safari fueron hackeados el mismo día, pero el navegador de Google resultó ser invulnerable.

En la conferencia de hackers Pwn2Own, organizada por CanSecWest, una serie de expertos en seguridad informática intentaron doblegar la seguridad de los cuatro mayores navegadores, Internet Explorer, Firefox, Safari y Chrome. El navegador de Apple, Safari, fue el que menos resistencia presentó y fue vulnerado en menos de 10 segundos por el experto Charlie Miller.

Otro participante, identificado como "Nils" dedicó más tiempo para hackear Safari, pero a cambio de ello también logró vulnerar los navegadores Internet Explorer y Firefox. Chrome, de Google, resultaría ser más difícil.

Nils explicó que a pesar de haber encontrado un agujero de seguridad en Chrome no había logrado explotarlo. La causa sería la función Sandbox de Chrome, combinada con los propios dispositivos de seguridad del programa, que convierten al navegador de Google en un formidable oponente para los hackers.

Fuente: Cryptex

Seguir leyendo »

Vulnerabilidad 0 day en Mozilla Firefox 3.x para todos los sistemas operativos

El día 25 de marzo se ha publicado sin previo aviso una prueba de concepto que hace que Firefox deje de responder. No existe parche disponible y se sabe que la vulnerabilidad, en realidad, permite ejecución de código. Se trata por tanto, de un 0 day. Al parecer la fundación Mozilla ya ha programado la solución pero no hará pública una nueva versión 3.0.8 del navegador hasta principios de la semana que viene.

El pasado miércoles, un tal Guido Landi hacía públicos (sin previo aviso) los detalles de una vulnerabilidad que permite la ejecución de código en el navegador con solo interpretar un archivo XML especialmente manipulado. En principio la prueba de concepto publicada hace que el navegador deje de responder, pero es posible de forma relativamente sencilla modificar el exploit para que permita la ejecución de código. El problema afecta a todas las versiones (actual y anteriores) del navegador sobre cualquier sistema operativo.

Los desarrolladores de Mozilla han calificado la vulnerabilidad como crítica y urgente, y afirman que ya lo tienen solucionado (en realidad se trata simplemente de un cambio de orden de una línea de código), pero que no publicarán Firefox 3.0.8 hasta principios de la semana que viene. Si el fallo es también reproducible en Thunderbird, es previsible que haya que esperar incluso más tiempo para que se publique una nueva versión.

Se recomienda no visitar páginas sospechosas. Los usuarios más avanzados pueden descargar el archivo corregido directamente del repositorio y recompilar.

Fuente: Hispasec

Seguir leyendo »

Conficker.D y la activación el 1ro. de Abril

La nueva variante de Conficker en aparecer en escena, la variante Conficker.D, ha causado interés en los medios y preocupación entre los administradores de TI y usuarios en general.

El hecho de que esta variante active parte de su funcionalidad ofensiva en el 1ro. de Abril parece haber sido la causa principal del interés que ha despertado esta variante. Sin embargo, un análisis juicioso nos lleva a concluir que esta variante es una de las menos malignas de la familia de Conficker, he aqui las razones:

1. La variante de Conficker.D, a diferencia de otras variantes de la familia Conficker como Conficker.B y Conficker.C, no se propaga utilizando medios de almacenamiento removibles, ni recursos compartidos en red. El único vector de infección que utiliza , es la vulnerabilidad descrita en el boletin de seguridad MS08-067. Si ya se instaló esta actualización, se está protegido contra esta variante y no hay nada de que preocuparse.
2. A diferencia de otras variantes de la familia Conficker, la variante Conficker.D después de instalarse no construye una lista de URLs de inmediato para tratar de conectarse y bajar archivos. Esta actividad solo la va a llevar a cabo, pero hasta despues del 1ro. de Abril. Por supuesto, esto es mas bueno que malo. A diferencia de Conficker.B que lo hace inmediatamente despues de instalarse, Conficker.D nos da un espacio de tiempo (hasta el primero de Abril) para poder detectar y eliminar la infección antes de que el gusano baje archivos maliciosos de sitios en internet que permitan que terceros tomen el control de nuestro sistema (instalando un módulo de control y haciéndolo parte de un botnet, o instalando un rootkit, etc).

Debido a estas razones, tenemos menos que temer de Conficker.D que de las otras variantes que componen la familia, siendo esta variante, junto con Conficker.A las menos peligrosas de la familia Conficker, y las dos únicas variables que utilizan un solo vector de infección (la explotación de la vulnerabilidad descrita en MS08-067) para propagarse.

Nuestras recomendaciones siguen siendo las mismas anteriormente descritas y nuestras soluciones de antimalware son capaces de detectar esta variante al utilizar las nuevas definiciones disponibles. Esto incluye Windows Live One Care, los productos Forefront y la versión gratuita del examen de seguridad de Windows Live.

Si Ud. cree que pueda estar infectado con este gusano, contacte a Microsoft en http://support.microsoft.com/contactus

Fuente: blogs.technet

Seguir leyendo »

Ataque “scareware” asusta a los usuarios de buscadores

Se ha detectado un nuevo ataque “scareware” ucraniano que tiene como blanco a los internautas que realizan búsquedas en sitios como Google.

Este tipo de ataques se caracteriza por alarmar de forma innecesaria a los usuarios diciéndoles que sus ordenadores están infectados con algún programa nocivo. Después intentan vender programas de seguridad falsos a sus víctimas.

Para realizar este ataque, los cibercriminales comprometieron cientos de sitios web legítimos introduciendo una página en formato HTML llena de palabras clave de búsquedas frecuentes.

Conscientes de que los internautas cometen errores al teclear, los delincuentes incluyeron palabras mal escritas como “Obbama” y “gogle” en su lista.

Así los criminales intentaban hacer que los sitios comprometidos aparezcan entre los primeros resultados de las búsquedas más populares, aumentando las probabilidades de que los internautas los visiten.

Aunque no se ha especificado cuáles fueron los sitios comprometidos, un portavoz de Finjan, la empresa que descubrió el ataque, afirma que en su mayoría eran sitios de noticias y compras en línea.

Los delincuentes también inyectaron un script en los sitios comprometidos que redirigía a sus visitantes a un sitio creado por los delincuentes.

En este sitio, los internautas recibían un mensaje que les advertía sobre su falso problema de seguridad y se les sugería que comprasen un programa de seguridad inútil.

Este sitio recibió alrededor de 1,8 millones de visitas en un período de 16 días.

Como los cibercriminales reciben una comisión por cada usuario que dirigen al sitio, se calcula que ganaron unos $10.800 al día.

Además, entre el 7 y el 12% de los internautas cayeron en la trampa y decidieron comprar el programa a precios que oscilaban entre los 20 y 50 dólares.

Fuente: Viruslist.com

Seguir leyendo »

Herramientas para detectar Sniffers.

Los sniffers son grandes amenazas de seguridad en una red y detectarlos a tiempo puede salvarnos de intrusiones de seguridad como las capturas de paquetes con datos de autentificación, usando programas como “Cain & Abel”. Aunque la mejor forma de protegerse ante estas amenazas es utilizar un IDS o cifrar las conexiones, aunque algunas veces no es posible.

Para detectar estas amenazas de una forma rápida, en redes que no utilizan las contramedidas anteriormente citadas, podemos utilizar herramientas que detectan los adaptadores de red que están funcionando en modo promiscuo (modo necesario para el funcionamiento de los sniffers). Herramientas como:

En Linux
Sniffdet es un sistema de pruebas para la detección remota de los sniffers de red. Usa las técnicas test ICMP, test ARP, test DNS y test de ping de latencia.
Más información y descarga de Sniffdet:
http://sniffdet.sourceforge.net/

El proyecto del Sentinel es una puesta en práctica de las técnicas de detección de modo promiscuo. Necesita las bibliotecas: libpcap y libnet. Utiliza los métodos de: test DNS, test ARP, prueba ICMP Etherping, y ping de latencia.
Más información y descarga de Sentinel:
http://www.packetfactory.net/Projects/sentinel/

En Windows
ProDETECT es un explorador de sniffers, que utiliza una técnica de análisis del paquete ARP.
Más información y descarga de ProDETECT:
http://sourceforge.net/projects/prodetect/

Promgry y PromgryUI son dos herramientas que detectan los adaptadores de red que están funcionando en modo promiscuo, la diferencia entre una y otra es que PromgryUI tiene interfaz grafica y Promgry se ejecuta en consola de comandos.
Más información, descarga y modo de empleo de Promgry y PromgryUI:
http://support.microsoft.com/kb/892853/es

PromiscDetect comprueba si su adaptador de red está funcionando en modo promiscuo, sirve para probar que un sniffers está funcionando en la maquina.
Más información y descarga de PromiscDetect:
http://www.ntsecurity.nu/toolbox/promiscdetect/

Fuente: Cryptex

Seguir leyendo »