¿Actualizó su antivirus? no la firmas, el programa

De tanto repetirlo todos los que nos dedicamos a la seguridad, hemos logrado que hasta nuestra abuelita sepa que hay que mantener actualizadas las firmas/definiciones del antivirus en nuestros equipos. Otra cosa distinta es que lo hagan, pero ya conseguimos algo. :)

Pero lo que no todos tenemos tan claro, y me refiero a los que nos dedicamos a la seguridad, es que los motores antivirus también tienen actualizaciones de seguridad pues pueden sufrir de fallas de seguridad, como cualquier programa.

En particular hay un tipo de fallas denominadas de evasión. Estas fallas consisten en que una vez halladas, un atacante podría explotarla de forma tal que logra evitar que el motor del antivirus sea capaz de examinar algún archivo particular que contenga una carga maliciosa.

Muchos productos de distintas marcas padecen y solucionan este tipo de fallas que investigadores como Thierry Zoller descubren y reportan para su solución. Y como pasa con los distintos fabricantes de software, no todos reaccionan velozmente prestando la debida atención a estos temas.

Una de las últimas fallas de evasión halladas por Zoller fue en el motor de todos los productos de Kaspersky y consiste en una forma de evadir al motor de escaneo de forma que un archivo PDF especialmente preparado, puede alojar un código malicioso y el motor heurístico no lo examinará ni lo hallará problemático dejándolo pasar.

Sorprende leer que una empresa como Kaspersky, después de un intento silencioso, aun no logró solucionarlo y también que no establece una buena comunicación con este investigador que les señala un problema en sus productos.

He observado cuantas instalaciones antivirus con sus licencias pagas al día siguen utilizando versiones de uno o más años de antigüedad. Evidentemente no se ha prestado atención a actualizar el programa, un aspecto de importancia tal como el actualizar las firmas.

Por eso es recomendable que los administradores además de las firmas verifiquen tener la última versión del motor/programa antivirus; sobre todo en los equipos servidores que analizan el ingreso de correo y sus adjuntos tanto como los que analizan archivos descargados o transferidos desde Internet. Sin entrar en mayores detalles, es en este tipo de equipos donde las fallas que permiten la evasión al escaneo afectan más.

Si quiere leer sobre la fallas descripta de Kaspersky puede verlo aquí. Y para conocer sobre las fallas de evasión en general vea esta nota en el blog de Zoller, es un trabajo corto y muy comprensible, para técnicos. (en inglés)

Algo que nos quedó claro después de revisar los reportes de fallas que hizo Zoller a distintos fabricantes de programas antivirus, es que no todas las empresas reaccionan igual cuando les informan de una falla en su producto.

De los reportes de fallas halladas por Zoller de este año, uno o dos por fabricante, se ve que fueron rápidos, colaboradores y de buena respuesta para solucionarla empresas como: AVG, Avira, BitDefender, Eset, McAfee, Comod y ClamAV.

En tanto otros ignoran, se demoran o no reaccionan con parches a las fallas reportadas, tales son los casos de F-Prot, Kaspersky, TrendMicro, Aladin, Avast, Fortinet, IBMProventia.

En una próxima nota examinaremos el impacto de estas falla de evasión en los motores Antivirus.

Basado en información del: blog de Thierry Zoller

Raúl de la redacción de Segu-info

Seguir leyendo »

Wikipedia censura artículo para salvar a periodista

La censura en Wikipedia es un tema delicado, pues si bien varios de nosotros tomamos una postura del estilo “todo, absolutamente todo se debe conocer”, la verdad es que en muchas ocasiones la decisión no es tan directa, y este fue justamente el caso que se dió sobre el artículo de David Rohde, periodista del New York Times que trabajaba en Afghanistan cuando fue capturado el 10 de noviembre pasado por el Talibán.

El Times, sabiendo que la notoriedad pública sólo aumentaba el riesgo que Rohde fuera ejecutado, decidió contactar a todos los medios tradicionales para evitar que la noticia fuera conocida por el público, algo que no es especialmente difícil al tener que lidiar sólo con los editores en jefe de cada publicación, pero el caso de Wikipedia fue mucho más complejo, pues la enciclopedia virtual no tiene “un puñado” de editores, sino más bien miles.

Como solución a este problema, el periódico decidió trabajar en conjunto con Jimmy Wales (co-fundador de Wikipedia) y algunos de los administradores del sitio, para que un grupo del Times se dedicara a mantener el artículo de Rohde libre de la mención de su captura por meses, librando las llamadas “edit wars” (Guerras de edición) entre lo usuarios que de una u otra forma habían escuchado de la noticia de Rohde (agregando la información al artículo) y aquellos que conocían las intenciones del Times (revirtiéndolo a su estado anterior), resultando en más de una discusión y dedos apuntándose.

Finalmente la historia tuvo un final feliz, pues este mes Rohde logró escapar del Talibán, con lo que el plan de censura pudo ser desarticulado, e incluso expuesto por el propio Times, pero a algunos aún les queda un sabor algo amargo, ¿acaso esto se podría repetir con fines menos benevolentes?.

Fuente: Fayerwayer

Seguir leyendo »

Buscadores: arma de doble filo

Los buscadores son los servicios más usados en Internet con diferencia y en la actualidad podemos afirmar que se han hecho totalmente imprescindibles dada la necesidad que tenemos de procesar la ingente cantidad de datos que encontramos en la red. No obstante y desde hace algún tiempo, han pasado a ser el objetivo de atacantes para usarlos con fines bien distintos.

Ya hablamos de técnicas como el malvertising, consistente en insertar anuncios maliciosos dentro de las redes de publicidad que se muestran en distintas webs, con el fin de infectar el equipo que visualiza el anuncio. Este tipo de técnicas amenazan el principal negocio de los buscadores, que es la publicidad, por lo que empresas como Google ya están empezando a ofrecer soluciones a este problema.

Otro de los problemas a los que se enfrentan en la actualidad los buscadores es el BlackHat SEO (Search Engine Optimization). Este término hace referencia a posicionar términos comunes asociados a URLs maliciosas en los principales buscadores, de modo que cuando accedamos a los resultados pensando que se trata de una URL legítima, se infecte nuestro equipo. Básicamente es usar las mismas técnicas que usa cualquier empresa para posicionarse en buscadores, pero con fines maliciosos y usando técnicas ilegales, como inyectar miles de URLs en páginas legítimas mediante alguna vulnerabilidad, SPAM en servicios como Twitter, etc.

No obstante el post de hoy habla de una de las técnicas más antiguas, el Google-hacking, que parece vivir una segunda juventud. Google-hacking consiste en la búsqueda de ciertos términos en cualquier buscador (son extrapolables dependiendo de la funcionalidad que ofrece cada uno de ellos) con la finalidad de detectar versiones de software vulnerables o vulnerabilidades en sí. De este modo, la búsqueda de una cadena que sepamos aparece cuando hay un error de SQL en un conocido CMS nos retornará miles de potenciales objetivos a explotar.

Tuvo un gran impacto en su momento para quedar en la actualidad en un segundo plano. No obstante está volviendo a ser una técnica muy usada para la realización de ataques masivos en campañas de infección masivas, inyectando en URLs vulnerables iframes que redirijan a sitios maliciosos, o buscando objetivos para campañas de BHSEO.

Finalmente, y en lo referente al mercado más under, estas técnicas siguen siendo explotadas, en esta ocasión para obtener números de tarjetas de crédito. En la actualidad este tipo de bienes tiene un valor muy bajo en el mercado, que maltrata el bien al revenderlo en multitud de ocasiones y debido al alto grado de fraude entre los mismos delincuentes. Es por ello que hay distintos niveles de calidad, siendo circulos cada vez más cerrados los que ofrecen material de primera mano. En los circulos más bajos, y dada la dificultad a acceder a dicho material, se buscan alternativas a la compras de dumps (conjuntos de números de tarjetas de crédito) que posiblemente son inusables a estas alturas. Una de las alternativas es volver a las técnicas

de Google-hacking.

La popularización de todo tipo de herramientas para la creación de tiendas on-line crea un mercado potencial muy amplio para la búsqueda de vulnerabilidades que puedan llevarnos a encontrar datos relacionados con la compra, esto es, tarjetas de crédito. A continuación se muestran algunas de las técnicas usadas para localizar los mismos:

Por supuesto recomendamos comprobar que ninguno de nuestros sitios sea vulnerable a los problemas relacionados con las búsquedas, así como mantenerse atento a cualquier nueva vulnerabilidad y a las técnicas utilizadas para su detección.

Fuente: S21Sec

Seguir leyendo »

Gmail y Live Mail, un poco más seguros

Gmail se ha convertido en mi única herramienta de correo electrónico para uso personal. Una de las principales razones para esto es que da soporte para encriptación de todo lo que entra y sale de nuestra casilla hacia y desde los servidores de Google.

El correo electrónico es uno de los servicios más inseguros que existen. Aunque es posible encriptar los mensajes, y casi cualquier geek que se precie debe poner sí o sí su clave pública al pie de los mensajes que envía, el resto de la humanidad no tiene ni la más remota idea de que sus e-mails son cartas abiertas (o casi) ni mucho menos cómo cerrarlas a cal y canto, si acaso esto es posible. Lo peor llega cuando se compra la notebook y el domingo por la mañana va a desayunar a su confitería de confianza que, por supuesto, tiene Wi-Fi. Allí, sin saberlo, sin siquiera sospecharlo, coloca en el aire, al alcance de cualquiera, sus mails y lo que chatea, entre otras cosas. Para el pirata es como robarle un caramelo a un chico. Más fácil, a decir verdad. Una buena porción del robo de identidad se realiza de esta forma.

No, el mail convencional no viaja encriptado, y cuando lo recibimos o enviamos por un Wi-Fi público, estamos emitiéndolo a los cuatro vientos y sin ningún cifrado. Literalmente.

Contenido completo en La Nación

Seguir leyendo »

14 detenidos por robar datos bancarios en Internet

Uno de los detenidos se hacía pasar por una entidad financiera para obtener las claves de usuarios de banca en línea

En dos operaciones distintas, la Policía Nacional ha detenido a 14 sospechosos de perpetrar fraudes en Internet -denominados phishing- mediante el empleo de datos bancarios y contraseñas de usuarios del sistema bancario. Como consecuencia del primer operativo policial ha caído un joven que se dedicaba a capturar claves mediante el envío masivo de correos electrónicos en los que simulaba ser una entidad bancaria. Una segunda actuación ha desarticulado al grupo que actuaba como intermediario a cambio de recibir transferencias en sus cuentas y enviar dinero a Ucrania, Moldavia o la República Checa.

La primera investigación comenzó a finales de 2007 y descubrió que un joven de Navarra enviaba correos desde el dominio de un supuesto banco español. El cliente era redirigido a través del hipervínculo a una página web fraudulenta que contaba con un formulario con los logos y signos distintivos de la entidad bancaria y en el que se solicitaban las claves de acceso. El autor de la maniobra recibía esta información y la utilizaba para adquirir productos y servicios en Internet. Para enmascarar el ordenador desde el que enviaba los correos spam, el detenido atacó un servidor alojado en España y logró el acceso a la Red desde una dirección IP gestionada por ese servidor.

La segunda investigación de la Brigada de Investigación Tecnológica (BIT) ha permitido detener a 13 supuestos intermediarios acusados de practicar transferencias electrónicas fraudulentas realizadas con datos obtenidos mediante phishing. Los arrestados colaboraban a cambio de un porcentaje del dinero que era ingresado en sus cuentas y después remitido mediante empresas de envío de dinero a países como Ucrania, Moldavia o la República Checa. Para captar a los intermediarios o 'mulas', los responsables simulaban actuar en nombre de empresas con diferente objeto social, que se dedicaban a la compraventa de maderas y a actividades financieras variadas.

La Policía ha recomendado a la población adoptar una serie de medidas para evitar ser víctimas de phishing. Entre ellas, recordar que los bancos nunca piden por correo electrónico a sus clientes que introduzcan sus contraseñas. Para acceder a los servicios de banca electrónica se debe teclear siempre la dirección directamente en el navegador, sin utilizar enlaces. Además, se aconseja contar con un antivirus actualizado para prevenir el ataque de los 'ciberdelincuentes'. Por último, la Policía ha advertido que colaborar con transferencias al extranjero a cambio de una comisión puede constituir un ilícito.

Fuente: ELPAÍS.com

Seguir leyendo »

¿A qué peligros pueden estar expuesto los niños y adolecentes que hacen un uso activo de Internet?

Como complemento al post "Programa Internet Segura - Recursos Docentes de Nivel Primario (Argentina)" donde le habíamos publicado algunos recursos del exitoso programa de capacitación y concientización "Internet Segura", presentamos las respuestas planteadas por el programa a la siguiente pregunta:

¿A qué peligros pueden estar expuesto los niños y adolecentes que hacen un uso activo de Internet?

1. Exposición a la violencia
A través de Internet, niños y adolescentes pueden acceder a sitios que hacen apología de la bulimia y la anorexia, las drogas, el racismo, el nazismo, la violencia y el suicido. Además de pornografía, páginas que incitan a la violencia, el terrorismo, la pedofilia y a realizar actos delictivos.

2. Violación de la intimidad familiar y personal
Pedófilos y delincuentes están permanentemente buscan niños y adolescentes, con el objetivo de tomar contacto con ellos, solicitándoles fotografías, conocerse personalmente, posar frente a una cámara Web, a veces a cambio de dinero, u ofreciéndoles publicación en diarios, castings de TV, ser modelos, etc. Algunas veces pidiéndoles sus datos personales: nombre, dirección, entre otros, con el objetivo de provocar daños (robos, secuestros, etc.) a la familia, involucrando a niños y adolescentes, algunas veces ingenuamente y otras concientemente, en delitos económicos, penales, contra los DDHH, etc.

3. Abuso emocional
El fácil acceso a la pornografía en línea expone al adolescente a materiales sexualmente explícitos y ésta suele ser una táctica usada por los pedófilos para reducir la resistencia del menor o las inhibiciones respecto del sexo.
Los pedófilos captan sus víctimas a través de salas de Chat, fotologs, Messenger, E-mail, juegos en red, sitios de encuentros personales, mensajes de texto (telefonia celular), etc. Una vez establecida la relación "amistosa" suelen enviar pornografía, primero adulta y luego infantil. Una vez creadas las condiciones apropiadas promueven un encuentro físico personal que, por lo general, es registrado a través de fotografías y videos. Aunque no se llegue a concretar el encuentro físico, los explotadores pueden conseguir imágenes del niño o niña a través de E-mail o cámara web.

4. Producción y difusión de imágenes indeseables
Las cámaras digitales y las cámaras web son otra manera de producción de pornografía infantil que involucran a niños y jóvenes que tienen acceso a las últimas TICs. Con ellas crean imágenes pornográficas de sí mismos, de sus amigos y de sus pares y luego las transmiten a espacios virtuales. Esto puede ocurrir por pedido de uno de sus pares o de un extraño. El advenimiento de las mini-cámaras, entre otras cosas, también permite que se tomen fotografías y videos sin que la persona objeto de esas fotos o video lo sepa.

5. Crisis en los patrones de cuidado
Han cambiado los peligros a los que los niños están expuestos y no han cambiado, al mismo tiempo, los paradigmas de cuidado de las familias y las escuelas. Los niños, niñas y adolescentes se han vuelto vulnerables en su propio hogar. Los adultos deben tomar conciencia que Internet es "salir al mundo" y la posibilidad de tener contacto con desconocidos, aún en la "seguridad" del hogar.

6. Cyber cafés: espacio compartido por adultos y niños/as
Se han constituido en otro lugar en el que los pedófilos-explotadores captan a las víctimas. Lamentablemente estos son considerados por los padres como lugar de juego o usados, muchas veces, como "guarderías" por padres y madres.

Fuente: Cryptex

Seguir leyendo »

WYSIWYG (What you sniff is what you get)

Cuando se quiere comprobar la seguridad de un sistema, el primer paso es recopilar la mayor cantidad de información posible hasta llegar a conocer que vulnerabilidades podrían afectarle. Hay varias técnicas y herramientas que facilitan o directamente automatizan esto. El problema viene cuando en el proceso se interactúa con el sistema de manera que efectivamente se explota una vulnerabilidad o por cualquier otro motivo el funcionamiento normal se ve afectado. Si se realiza de una manera controlada, las consecuencias pueden ser mínimas, imperceptibles para los usuarios, pero en caso de ser un sistema crítico, es inaceptable que se pueda poner en riesgo su correcto funcionamiento, aunque se haga bajo control. Cuando no se nos permite interactuar con el sistema, tan solo nos queda la técnica WYSIWYG (What you sniff is what you get) es decir, observar el tráfico de red y sacar toda la información posible de ahí. Vamos a suponer que se utiliza el tráfico es IP sobre las tecnologías conocidas como Ethernet, wifi o zigbee por ejemplo.

En primer lugar, las malas noticias. La información que se obtiene de observar el tráfico no solo es incompleta, sino que no es fiable al 100%. Al fin y al cabo hay que capturar tráfico en el momento adecuado y confiar en que el sistema no se ha modificado de manera que genera tráfico que se sale de lo que sería habitual. En este post vamos a suponer que no se ha modificado nada con la única intención de confundir o engañar.

En segundo lugar las buenas noticias. Se pueden extraer más datos de los que parece. Empecemos por lo más fácil/obvio:

• Dirección IP y de enlace (MAC) (agradecimientos al capitán obvio). En la mayoría de las tecnologías, la dirección MAC indica quien es el fabricante. Los drivers especialmente de wifi y tecnologías menos maduras que la clásica Ethernet tienen vulnerabilidades, algunas de ellas muy graves.
  
• Puertos abiertos y cerrados. Simplemente observamos los intentos de establecer una conexión (SYN) y las respuestas (SYN-ACK/RST). Aunque podemos suponer que cada puerto se utiliza para lo que está reservado, mirando el tráfico se puede comprobar que el protocolo es el esperado.
  
• Mensajes de broadcast. Otras aplicaciones o dispositivos que hacen anuncios a toda la red usando la dirección de broadcast y que pueden tener vulnerabilidades conocidas.
  
• Mensajes a nivel de aplicación. Algunas aplicaciones dan información clara del sistema operativo, el software, la versión e incluso el tipo de procesador que utiliza una máquina en concreto. Ejemplo, banners de servidores ftp y ssh o el campo user-agent de los navegadores web entre otros
  
• Si se establecen conexiones a servidores de actualizaciones puede obtenerse información de qué software y posiblemente qué versión se utiliza.

Lógicamente hay técnicas más complicadas. Las más conocidas se basan en estudiar las peculiaridades de los protocolos TCP (1, 2, 3 y otros) e IP (1) para intentar diferenciar entre sistemas operativos. En el estándar hay ciertos campos cuyos valores no están definidos en todas las situaciones o pueden tomar un valor dentro de un rango. Esto hace que cada implementación tenga pequeñas diferencias que son especialmente notables en las fases de establecimiento y finalización de la conexión. Hay varias herramientas que implementan esta idea. La más conocida seguramente sea p0f. Estos son los campos que resultan más útiles a la hora de identificar el sistema operativo cuando se está estableciendo una conexión:

• Tamaño de la ventana. Suelen tomar un valor característico para cada sistema operativo que puede ser fijo, o un múltiplo entero del MTU (Maximum Transmission Unit) o del MSS (Maximum Segment Size).
  
• TTL (Time To Live). Habitualmente cambia entre diferentes familias de sistemas operativos.
  
• flag "do not fragment". Algunos sistemas operativos lo activan mientras que otros no. Su valor es indiferente al establecer una conexión.
  
• Opciones TCP. Un segmento TCP puede incluir una gran variedad de opciones. Es aquí donde realmente se pueden apreciar grandes diferencias, tanto en qué opciones están presente como en qué orden y qué valores tienen. Algunas de las más importantes son, el tamaño máximo de segmento, el escalado de ventana, el timestamp y la opción que indica el soporte de ACKs selectivos.
  
• Errores y comportamientos extraños. Si señores, desafiando toda lógica, hay errores en las implementaciones de los estándares. No significa que haya alguna vulnerabilidad sino que en algún momento es posible que no cumpla el estándar o que aún cumpliendo el estándar su comportamiento no es lógico. Uno de mis favoritos es una versión antigua del kernel de Linux, que en procesadores little-endian anunciaban un tamaño de ventana de 512 o 16384, mientras que en procesadores big-endian se convertía en 2 y 64 respectivamente (parece que alguien ha metido la pata, ejem, ejem...)

Aún hay más técnicas, algunas de ellas bastante complejas que nos dan información acerca del sistema a investigar.

• Peculiaridades en protocolos comunes, como ICMP, NETBIOS, DNS. Por ejemplo, la respuesta a un ICMP de tipo timestamp de algunos sistemas operativos es little-endian cuando debería ser big-endian.
  
• Particularidades en las cabeceras IP, como el uso de opciones o patrones detectables en el campo "identification".
  
• Análisis del comportamiento de TCP. En los algoritmos que definen TCP hay ciertas decisiones que puede tomar el implementador y que varían de una pila a otra. Por ejemplo el tamaño inicial de la ventana de congestión puede ser de 1 o 2 segmentos, o distintos sistemas operativos pueden implementar diferentes versiones de fast-recovery u otros.
  
• El campo timestamp en las opciones de TCP crece linealmente con el tiempo. Haciendo la regresión lineal con el tiempo de varios timestamp, se puede calcular cuantas veces se actualiza este valor por segundo, valor que varía de un sistema operativo a otro.

Como podéis ver, capturar y analizar el tráfico de red nos puede dar bastantes más pistas de a que nos enfrentamos de lo que parece. Además siempre es más divertido que pedir al administrador que nos diga que hay instalado.

Fuente: S21sec

Seguir leyendo »

La cédula de identidad electrónica se prepara para debutar en la Argentina

El puntapié inicial se dará en la provincia de San Luis. Entre otras aplicaciones, permitirá pagar el peaje en las rutas provinciales, además de contener la historia clínica, los antecedentes judiciales y el carné de conductor del ciudadano. Tendrá un sistema de protección de los datos personales.

Los 400 mil habitantes de la provincia de San Luis dispondrán de una cédula de identidad electrónica, que contendrá además de los datos identificatorios de su portador, la historia clínica, el carné de conductor y los antecedentes judiciales.

El anuncio fue realizado por el gobernador de ese distrito, Alberto Rodríguez Saá, quien aclaró que el documento tendrá “un protocolo de derechos humanos para resguardar la intimidad”.

Contenido completo en iProfesional.com

Seguir leyendo »

Denunciar contenido difamatorio en Blogger y Google

Es muy común que nos reporten casos de blogs difamatorios o con suplantación de identidad en Blogger.
En caso que esto suceda, es necesario denunciarlos para que los mismos sean dados de baja. Para ello se debe ingresar a datos en ciertos formularios, permitiendo que Blogger analice la información.

Si se desea denunciar suplantación de identidad, se debe completar este formulario o siga este procedimiento. Por otro lado si lo que se desea denunciar es el robo o plagio de contenido sin permiso y sin mencionar la fuente, se puede hacer a través de este otro procedimiento.

También se puede informar de un sitio web ilegal o de contenido pornográfico no autorizado.

Más información con respecto a Blogger puede ser encontrada aquí.

Con lo que respecta al buscador Google, si lo que se quiere eliminar es cierto contenido de un sitio web, es necesario contar con la colaboración del webmaster del mismo. Lo más aconsejable, por tanto, es ponerse en contacto con el webmaster de la página en cuestión.
Si la información que aparece en los resultados del buscador ya se ha modificado o eliminado de la página original y se desea comunicar a Google de tal situación, se debe enviar una solicitud de eliminación de página web para que se actualice la información que aparece en los resultados de Google.
Y, si se encuentra contenido para adultos en los resultados de las búsquedas de Google se debe enviar esta solicitud de eliminación de página web para que se elimine el contenido mencionado.

Más información con respecto a Google puede ser obtenida aquí.

Por supuesto que el tiempo de respuesta dependerá de Blogger y Google y no necesariamente se terminará dando de baja el sitio o la información denunciada.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Suplantación de la identidad: 'En la Red nadie sabe que eres un perro'

Por Carlos Sánchez-Almeida

Una persona ha robado una de mis cuentas de correo de hotmail a través de la introducción de un troyano en mi ordenador abusando de mi confianza, con lo cual logró descubrir la contraseña. Ahora la está utilizando haciéndose pasar por mi. ¿Qué medidas puedo adoptar? ¿Cómo podría recuperar mi cuenta de correo aunque esta persona haya cambiado la configuración de la misma, pregunta secreta, cuenta de correo alternativa etc?

El Abogado del Navegante ha recibido distintas consultas relacionadas con la sustracción de cuentas de correo electrónico.

Se trata de una práctica desgraciadamente muy común, y que acostumbra a llevar aparejada la comisión de distintos delitos, lo que puede llegar a comprometer seriamente a la víctima de la sustracción, especialmente en aquellos casos en los que se utiliza la cuenta suplantando la identidad del verdadero usuario.

Interceptación de correo electrónico y acceso a datos de carácter personal

En el caso que hoy analizamos, debemos diferenciar dos momentos distintos. El acceso a una cuenta de correo ajena, si se produce sin consentimiento de su titular, constituye un delito de revelación de secretos tipificado en el artículo 197 del Código Penal (España).

La protección penal a la intimidad electrónica se extiende no sólo a los mensajes de correo electrónico, cuya interceptación está penada en el primer apartado del artículo 197, sino también, y en virtud del segundo apartado de dicho artículo, a cualquier dato reservado de carácter personal o familiar de otro, como podría ser la libreta de direcciones. Por tanto, el delito podría cometerse incluso en el supuesto de que la cuenta de correo se encontrase vacía de mensajes, siempre y cuando se acceda a datos reservados de carácter personal o familiar.

La pena, en función de las circunstancias concurrentes, puede ascender hasta siete años de prisión, en aquellos casos que afecten a datos especialmente protegidos —ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o un incapaz-, si los hechos se realizan con fines lucrativos.

Daños informáticos

Si la conducta del infractor se limita al apoderamiento, utilización o modificación de los datos reservados, podrá ser perseguida como un delito de revelación de secretos, pero si además de ello se procede al borrado de información, estaremos también ante un delito de daños informáticos, castigado con hasta tres años de prisión por el artículo 264, 2 del Código Penal (España). Una práctica común, derivada de la sustracción de cuentas de correo, acostumbra a ser el borrado de los datos obrantes en la cuenta, de difícil recuperación una vez transcurrido el plazo establecido por las empresas que proveen de correo electrónico para la restauración de copias de seguridad.

Suplantación de identidad

Un aspecto interesante en la consulta que hoy analizamos es el que afecta a la mal denominada "suplantación de personalidad": casos en los que una cuenta de correo es utilizada por aquellos que han obtenido su control al margen de la voluntad del verdadero titular, asumiendo la identidad virtual de éste último.

La "suplantación de personalidad" como tal no aparece regulada por nuestro Código Penal, que con su aprobación en 1995 eliminó el antiguo delito de uso público de nombre supuesto. El nuevo código sólo castiga la denominada usurpación de estado civil, que requiere para ser perseguida una suplantación completa de identidad, que no se limite al nombre, sino a todas las características o datos que integran la identidad de una persona, haciéndose pasar por otro en todos los actos de la vida.

Es obvio que la actual regulación, pensada para el mundo físico, es del todo inadecuada para la situación actual de la Red, donde la sustracción de identidad, además de ser relativamente más sencilla, puede ocasionar gravísimos problemas. Como indica el conocido aforismo, "en Internet nadie sabe que eres un perro".

Falsedades y estafas

Una solución a la que apunta la actual jurisprudencia para perseguir a aquellos que utilizan el correo electrónico ajeno haciéndose pasar por otros, es su punición como falsedades documentales. En otras ocasiones, dicha falsedad será un simple instrumento para cometer delitos más graves, tales como las estafas conocidas como 'phishing', donde los estafadores se hacen pasar por una persona o empresa de confianza para acceder a las cuentas bancarias de las personas defraudadas.

Medidas a adoptar con carácter de urgencia

El mayor peligro derivado de la sustracción de una cuenta de correo electrónico reside en los delitos que pueden serle imputados a su verdadero titular, en el caso de que dicha cuenta sea utilizada para la comisión de actividades delictivas. La situación es semejante a la de los conductores de vehículos robados: al ladrón no le importan las señales de circulación, dado que las multas le llegan al verdadero propietario.

Es prioritaria la presentación de denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, denunciando la sustracción de la cuenta de correo electrónico. El Cuerpo de Policía Nacional, la Guardia Civil y las policías autonómicas cuentan con unidades altamente especializadas en la represión de delitos informáticos, que actuarán con la mayor diligencia para solicitar del Poder Judicial los correspondientes mandamientos dirigidos a las empresas proveedoras de correo electrónico, al objeto de determinar las circunstancias del hecho denunciado e impedir la continuación de las actividades delictivas.

La denuncia, además de permitir la recuperación de la cuenta de correo por su verdadero titular, impedirá atribuirle a éste los actos ilícitos cometidos durante el tiempo en que la cuenta estuvo en manos de los delincuentes.

Fuente: El Mundo

Seguir leyendo »

Facebook: abrieron una cuenta a su nombre y los encontró

e pasó a una empleada del Bapro. Alguien robó sus fotos y contactos. La sumó a grupos pornográficos. Amenazó a su nombre y puso en riesgo su trabajo. La dirección de Comunicaciones rastreó la computadora y la ubicó donde trabaja un ex novio de la víctima, en pleno centro platense

Le pasó a una empleada del Bapro. Alguien robó sus fotos y contactos. La sumó a grupos pornográficos. Amenazó a su nombre y puso en riesgo su trabajo. La dirección de Comunicaciones rastreó la computadora y la ubicó donde trabaja un ex novio de la víctima, en pleno centro platense

Gabriela Astorga tiene 35 años, dos hijos de 14 y 15, está a cargo de la proveeduría de la sucursal La Plata del Banco Provincia, y -como a millones de personas en todo el mundo- la tentó la idea de abrir una cuenta en Facebook, sin sospechar que lo que abría era la puerta a una pesadilla. Aquí no se hablará de los riesgos potenciales de las redes sociales y otras “yerbas”. Esta es una historia real: alguien le robó su nombre, sus fotos y sus contactos para crear una cuenta paralela desde la que se sumó a grupos pornográficos, buscó pareja, creó intrigas entre sus amigos y hasta amenazó a funcionarios provinciales.

Todo esto derivó en una causa penal que ayer tuvo su remate con el allanamiento a las oficinas donde estaba la computadora desde la que se organizó la maniobra (en pleno centro), procedimiento que ordenó el juez Néstor De Aspro a instancias del fiscal Alejandro Villordo. El hombre que allí trabaja será investigado bajo la ley de Delitos Informáticos. Su identidad se mantendrá por ahora en reserva. Sólo diremos que tiene unos 35 años y hace 4 estuvo ligado sentimentalmente a Astorga, que en todo este tiempo jamás sospechó de él.

Ayer hablamos con ella. Y recordó cómo empezó todo. “Fue el 7 de marzo. Una amiga a la que en el verano habíamos visitado en Ushuahia me llamó para preguntarme por qué le había mandado un email acusándola de haberle robado dinero a uno de mis hijos”. Gabriela imaginó que alguien le había hackeado la cuenta y se olvidó del asunto, hasta que la llamó otra amiga -con la que había ido al teatro-, confundida por su “declaración de amor”. “Haciéndose pasar por mí le escribió que yo no había podido dejar de mirarla, que estaba enamorada de ella, y a otra amiga le contó lo mismo, pidiéndoles que no dijeran nada y tampoco me lo comentaran”, recordó Gabriela. Quien hizo esto lo hizo desde una cuenta de Facebook en la que figuraba su nombre y su foto, además de un álbum con imágenes de las vacaciones en el sur y de aquella salida al teatro, entre otras. Ya alarmada,

Astorga verificó que en su cuenta no había nada raro, la cerró y accedió a la “clonada”, donde advirtió que quien estaba detrás de esto le dedicaba mucho tiempo -“la actualizaba a toda hora”- y la había sumado a varios grupos interesados en una sola cosa: sexo. Ejemplo: “Me gusta el sexo anal”, “Masturbémonos todos juntos”, “Me masturbo, me gusta y qué”, pero además se había incorporado al grupo de empleados del Banco Provincia, de modo que unas 300 personas vinculadas a su trabajo accedían a esos datos falsos.

Es más, creó contactos masculinos que curiosamente no tenían ni un amigo y hacían referencia a fogosos encuentros íntimos. Después de golpear a más de una puerta (ver recuadro), Astorga y la dirección de Comunicaciones consiguieron que Facebook cerrara esa cuenta. Pero el 11 de mayo el obsesivo usuario creó otra. “Lo peor fue cuando me llamó la secretaria de un ministro para preguntarme si era yo la que amenazaba con involucrarla con un funcionario del banco Provincia”, aseguró la joven, que recién ahora puede contar su historia sin llorar. “Nunca tuve miedo de nada, pero con esto sí. Pusieron en riesgo mi familia y mi trabajo. Quiero que esto sirva para que nadie más crea que puede destruir a otro desde el anonimato de una computadora”, concluyó.

La de Delitos Informáticos será la ley del futuro

Lo dijo el especialista que encabezó los peritajes de la causa. La víctima reveló: “Antes no confiaba en la Policía”. La dirección de Comunicaciones investiga 15 casos similares en La Plata. A dónde recurrir

Sin saber qué hacer, ni a dónde recurrir, Gabriela Astorga dio por fin con la UFI 9. Alejandro Villordo se hizo cargo de la denuncia y le dio intervención a la sección Pericias Informáticas de la dirección de Comunicaciones, que fue creada hace unos años y funciona en 8, 46 y 47, a cargo del teniente primero Hernán Ivanovich. “Nunca confié en la Policía, hasta ahora”, dijo la joven, “porque tomaron el caso como si les hubiera pasado a un familiar, trabajaron mucho, rápido y muy bien”. Junto con la DDI La Plata, ayer allanaron el lugar de trabajo del sospechoso, donde secuestraron un equipo informático, un rooter y un módem se informó oficialmente.

El muchacho quedó identificado, en principio, por supresión de identidad, pero más adelante podría imputársele la comisión de otros delitos.
Fuentes judiciales admitieron que el caso “no tiene precedentes”, pero la dirección está investigando otras 15 denuncias similares. Y aunque hay miles que saben de la existencia de cuentas a su nombre que jamás abrieron (sobre todo los famosos), casi nadie recurre a la instancia legal.

El propio Ivanovich admitió que no es sencillo el trato con los representantes que Facebook, o cualquier red social o buscadores, tienen en Argentina. “Se amparan en el argumento de que los servidores están en otros países, pero si lo que está en riesgo es la integridad moral, física o económica de una persona, deben intervenir rápidamente”, explicó, asegurando que la de Delitos informáticos demostró, en poco más de un año de entrar en vigencia, que es “la ley del futuro”. Fue sancionada, precisamente, el 4 de junio de 2008 y vino a llenar un gravísimo vacío legal en un campo que creció (y sigue creciendo) fuera de control.

Fuente: Diario Hoy

Seguir leyendo »

Defacing al sitio web del PJ

Un día después de las elecciones, atacaron la página del partido con leyendas contra Kirchner; "¿Qué te pasa Néstor, estás nervioso?", preguntan.

Un día después de las elecciones legislativas en las que el kirchnerismo perdió en la provincia de Buenos Aires y en grandes distritos del país, el sitio web del PJ apareció hackeado.

"¿Qué te pasa Néstor, estás nervioso?", reza la primera línea del sitio y continúa: "Se cosecha lo que se siembra... Atte, La Republica".
Días atrás, el sitio de la Cámara Nacional Electoral había sido hackeado durante media hora, justo, horas antes del comienzo de la veda electoral.

La falla se había producido en la tabla de distritos de los padrones generales, en los que se ingresaron palabras que imposibilitaron las búsquedas de las mesas de votación.

Así, se pudo leer en la solapa provincial, por ejemplo, "Buenos Aires de ladrones". Algo similar ocurrió para los que intentaron ingresar para buscar datos de la ciudad. "Capital Federal de chorros" y "Capital Federal, aumenten la seguridad; así está el país", eran las leyendas que usaron los hackers.

Según informaron fuentes de la Cámara Electoral, la maniobra duró media hora, entre las 20.30 y las 21, hasta que fue detectada por los equipos técnicos.

Fuente: La Nación

Seguir leyendo »

Podcast de Seguridad

¿Problemas de vista cansada? ¿Tienes los ojos rojos de leer tantos feeds a lo largo de la semana que ni el Vispring puede ayudarte?

Este domingo te daremos un respiro y dejaremos que relajes la vista. Por ello os proponemos unos Podcast de seguridad para que os entretengáis un rato y además agudicéis el oído.

El Guardián, el programa de radio de seguridad tecnológica te ofrece un resumen con las noticias más importantes de seguridad, que incluye una sección de software libre y alertas de seguridad con información actualizada sobre virus, troyanos y otras amenazas.

El CERT también nos ofrece su sección de podcast donde los líderes empresariales nos presentan los principios generales cuando se disponen a poner en marcha un plan de seguridad en su empresa o asegurarse que su programa de seguridad que tienen implantado está funcionando correctamente.

Desde el pasado mes de febrero el SANS Internet Storm Center (ISC) se ha unido a la emisión de podcast. El mes pasado ofreció información actual sobre amenazas de seguridad para entender mejor estos ataques y propuso medios para luchar contra ellos.

Desde New York City Off The Hook, una radio que lleva emitiéndose más de 20 años, asociada a la revista 2600 The Hacker Quarterly, este podcast es todo un clásico.

Por último otro en nuestra lengua, Yaocelotl.org donde podréis encontrar conceptos básicos de Ethical Hacking y te explicarán la metodología Hacking, las fases que sigue un hacker para realizar un ataque, marco legal, fase de escaneo...

Fuente: Security by Default

Seguir leyendo »

La Auditoría Centralizada está aquí y ¡es Gratis!

Discutiendo la Auditoría Centralizada, enfocado en los requerimientos fundamentales y principales ventajas.

Introducción

Al haber estado hablando, evangelizando, educando, y escribiendo sobre los sistemas operativos Windows los últimos 15 años, he escuchado un pedido común durante todo este tiempo. "¿Cómo centralizo los registros generados en el Visor de Sucesos de las distintas computadoras?". Mi respuesta siempre ha sido usar un producto de terceros ya que las soluciones de Microsoft no soportan esta característica. Sin embargo, con el lanzamiento de Windows 2008 y Windows Vista, es posible el registro centralizado de eventos. Antes que deje de leer este artículo porque no tiene Windows 2008 o Vista instalado, por favor ¡siga leyendo! Microsoft ha diseñado el registro centralizado para reportar a un equipo con Windows 2008 o Windows Vista pero también lo ha hecho compatible con versiones anteriores para Windows 2003 o clientes Windows XP. Es así, en tanto uno tenga un equipo con Windows 2008 Server ó Windows Vista, uno puede tener registro centralizado de sus computadoras Windows.

Requisitos y Configuración para el Equipo de Registro Centralizado

Cualquier equipo con Windows 2008 Server o Windows Vista puede convertirse en su equipo de registro centralizado. Esto quiere decir que todos los registros que configure en sus equipos con Windows 2008 Server, Windows 2003 Server, Windows Vista o Windows XP serán enviados a este equipo centralizado de registros donde queden registrados todos los eventos clave.

Si quiere que su equipo Windows 2008 Server o Vista contengan el registro centralizado, no es mucho lo que se necesita hacer. Sin embargo, necesita configurar el equipo para que soporte el registro; puede hacerlo ejecutando unos pocos comandos desde una linea de comandos con los privilegios elevados.

Nota:
La linea de comandos debe elevarse cuando está habilitado el UAC (User Account Control).

El primer comando que debe ejecutar configurará la Administración Remota (Remote Management) en el equipo. Es el comando siguiente:

winrm qc

Este comando generará una respuesta informándole que se deben realizar ciertas tareas en el sistema, sólo debe confirmar con “Yes” que uno desea que se realicen. El mensaje se puede ver en la figura 1.

Nota:
Si utiliza el parámetro –q al final de su comando, el comando y las acciones se realizarán automáticamente y de forma silenciosa.

Figura 1: Configurando la administración remota en un equipo Windows Vista

Después de ingresar Y para realizar los cambios, aparecerán instantáneamente los resultados indicando que las acciones fueron exitosas.

El segundo comando configurará el servicio Recolector de Eventos (Event Collector service):

wecutil qc /q

Nuevamente, recibirá confirmación que la acción fue exitosa.

Requisitos y Configuración para el Equipo de Registro Centralizado

Si usa Windows 2008 Server o Windows Vista como su equipo origen, entonces sólo necesita ejecutar un comando para tener preparado el equipo para reenviar al equipo de registro centralizado. Es el mismo comando que usó para conseguir que el equipo centralizado tenga la administración remota configurada correctamente:

winrm qc –q

Si está usando Windows Server 2003 o XP, necesitará descargar e instalar la parte de Reenvío de la administración remota para estos sistemas operativos.

Nota:
Debe tener SP1 para Windows Server 2003 y SP2 para Windows XP instalados antes de configurar correctamente el reenvío.

Puede descargarlo aquí. Después de la instalación, ejecute la el mismo comando e configuración de administración remota:

winrm qc –q

Nota:
Debe tener credenciales administrativas para realizar esta configuración.

Puede verificar que la configuración funcionó abriendo el Visor de Eventos. Cuando este está abierto, verá un nuevo nodo llamado Microsoft-Windows-Forwarding/Operational, tal como se muestra en la Figura 2.

Figura 2: registro de reenvío en Visor de Sucesos de Windows XP

Configurando una Suscripción

La configuración de suscripciones se realiza en equipo de registros centralizados. Para estos pasos, necesitará configurar lo siguiente:

• Nombre de equipo del cual quiere recolectar información
• Tipo de Evento (crítico, error, advertencia, etc.)
• Por registro (Sistema, aplicación, etc)
• Por orígen (Lista enorme de opciones!)
• ID(s) de Evento/s (típicamente no querrá recolectarlos todos, así que lístelos separando los números con coma)
• Palabras clave
• Usuario o Equipo

Nota:
No se requieren todos los mencionados, ¡son todas las opciones disponibles!

Su primer paso es determinar de que equipo quiere recolectar información. Esto se hace con clic derecho sobre el nodo de Suscripciones en el Visor de Eventos, luego seleccionando Crear Suscripción. En el cuadro de Propiedades de la Suscripción, seleccione el botón Seleccionar equipos, como se ve en la Figura 3.

Figura 3: El cuadro de Propiedades de la Suscripción permite configurar los registros que se desean recolectar

Dentro del cuadro de selección de equipo, se pueden "Agregar Computadoras del Dominio" a la lista de equipos de los que se desean recolectar eventos. Esto es útil, ya que así uno puede crear una suscripción para recolectar eventos similares de muchos equipos definiendo sólo un conjunto de eventos. También tiene una opción de Prueba, para asegurarse que el equipo centralizado pueda ver a los equipos remotos de donde recolectaran los eventos, según se ve en la figurar 4.

Figura 4: Se puede probar para asegurarse que el equipo del cual se quieren recolectar está configurado correctamente

Después de configurar los equipos de los cuales se desea recolectar eventos, solo se necesita configurar los eventos y detalles de lo que se quiere recolectar. La figura 5 ilustra cuales son las opciones.

Figura 5: Cada suscripción le permite ser muy detallado en lo que se desea recolectar

Después de configurar cuales eventos desea recolectar, basado en la miríada de opciones que tiene disponibles, solo necesita esperar a que recolecten los eventos en los equipos de origen y se envíen al equipo de registro centralizado.

Ver los Eventos Recolectados

Para ver los eventos recolectados en su equipo centralizado, solo necesita ir al Visor de Eventos. Allí verá un nodo debajo de los registros de Windows denominado Eventos reenviados. El equipo origen está configurado para enviar todos los eventos a esta ubicación. Por supuesto uno puede configurar Vistas Personalizadas para separar u organizar sus eventos en otros registros personalizados (lo cual podría ser beneficioso si está recolectando de muchos equipos y distintos tipos de eventos). La figura 6 ilustra un conjunto ejemplo de eventos que están siendo recolectados desde un equipo Windows XP en un equipo Windows 2008 Server.

Figura 6: Eventos recolectados por un Windows XP y enviados a un equipos de registro centralizado Windows Server 2008

Resúmen

Microsoft vino al rescate si usted es responsable por administrar y revisar los registros de eventos. Hay una nueva tecnología en Windows 2008 Server y Windows Vista que le permite crear un equipo de registros centralizados. Una vez configurado ese equipo, solo necesita iniciar el componente de Administración Remota en su equipo origen. El equipo origen puede ser Windows XP SP2, Windows Server 2003 SP1, Windows Vista, o Windows Server 2008.Las suscripciones son configuradas en el el equipo de registros centralizados. Todo lo que debe hacer es establecer de cuales equipos desea recolectar, y que tipo de eventos desea obtener. Con respecto a los demás equipos, solo revise en el Visor de Eventos del equipo de registros centralizados para ver eventos de la red mientras que les presta servicio.

Autor: Derek Melber
Fuente: WindowsSecurity.com
Traducción de Raúl Batista para Segu-Info

Seguir leyendo »

Lo procesan por bajar música de la Red

Fallo sin precedente / Por una investigación en un cybercafé porteño

La resolución de la Cámara del Crimen juzga el delito de defraudación por reproducción de software y de fonogramas

La tradicional costumbre de bajar música y programas de computación en forma clandestina de Internet parecía una práctica sin castigo en la Argentina. La confirmación del procesamiento de una persona por la Cámara del Crimen porteña parece cambiar el panorama para aquellos que habitualmente ejercitan este mal hábito.

Contenido completo en La Nacion.com

Seguir leyendo »

Guía y video sobre ciberbullying y grooming

Las últimas noticias y detenciones deben empezar a hacer reflexionar tanto a padres como educadores sobre la necesidad cada vez mayor de informar y formar a los menores en el uso de Internet.

He podido encontrar este excelente vídeo sobre Grooming y Cyberbulling.

El INTECO recientemente ha publicado una guía sobre el acoso a través de la Red que podéis obtener en esta dirección.
Esta guía ofrece, de un lado, información acerca de las principales conductas que pueden ser englobadas dentro del acoso a menores a través de medios electrónicos y de los elementos empleados para dicho fin. De otro lado, recoge el análisis jurídico respecto del acoso a menores a través de dichos medios y una serie de recomendaciones, dirigidas tanto a los menores como a los padres y tutores legales, sobre cómo actuar ante estas situaciones.

Fuente: Javier Cao Avellaneda

Seguir leyendo »

Seguridad informática para PyMEs ¿Gasto o inversión?

Las pymes, componente importante en el motor de la economía, generan el 89% del empleo nacional. Plantear un correcto uso de las TIC es un asunto que requiere atención por parte del empresario y/o equipo directivo, porque es una herramienta de trabajo que, aprovechándola al máximo genera productividad y eficiencia.
El uso de ordenadores en las pymes según señala AETIC es considerable, lo que representa la cara más visible de la implementación TIC en las empresas. Su penetración llega a un 93,3%, y con un incremento anual del 1,3% en los tres últimos años.

• Plantear un correcto uso de las TIC es un asunto que requiere atención por parte del empresario y/o equipo directivo, porque es una herramienta de trabajo que, aprovechándola al máximo genera productividad y eficiencia.
• Plantear un correcto uso de las TIC es un asunto que requiere atención por parte del empresario y/o equipo directivo, porque es una herramienta de trabajo que, aprovechándola al máximo genera productividad y eficiencia.
• Ante los riesgos informáticos las pymes necesitan tomar precauciones con el fin de impedir ataques o infecciones externas. Según Coelco un 50% de los delitos a futuro se cometerán por medio de sistemas virtuales (cyberfraudes), resaltando que un 50% de las pymes nacionales no aplican una política de seguridad informática.
• En España el gasto en seguridad en las pymes con respecto al año anterior se ha mantenido en un 61% de las empresas, mientras que en un 10% ha diminuido, y en un 2% ha subido sustancialmente.
• Parece que algo de complejidad y respuesta tardía en los sistemas existe y condiciona el resultado. Es decir, la seguridad informática ayuda más ex-post y menos ex-ante con lo que no se anticipa plenamente a los riesgos.

Contenido completo en n-economía

Seguir leyendo »

Guía para la seguridad de la familia de Google

Internet es un maravilloso océano de información que ha cambiado la forma en la que estudiamos, jugamos, trabajamos y nos divertimos. Pero somos concientes de que no todas las páginas de Internet tienen contenidos apropiados para las familias y nuestros hijos.

Las redes sociales y lo que se ha dado en llamar Web 2.0 son herramientas insuperables para la comunicación y colaboración. Y si bien muchos lo llaman "mundo virtual", para los niños y adolescentes de hoy, ese es su "mundo real" y como tal tiene su lenguaje, sus códigos de conducta, sus bondades y también sus peligros.

Concientes del impacto que la tecnología genera en los jóvenes, queremos acercarles a las familias esta Guía que contempla una serie de consejos prácticos con el propósito de:

• Brindarle a los padres herramientas que los ayuden a elegir qué contenidos quieren que sus hijos vean online.
• Educar a las familias sobre cómo pueden hacer uso de Internet en forma segura.

Fuente: Mazalan y Consejos para la seguridad en línea de la familia

Seguir leyendo »

Checkeos y auditoria de SAP R/3

En el caso en que se deba realizar una auditoria sobre SAP R/3, es bueno tener una lista de controles a realizar y que permitan revisar su infraestructura y su seguridad:

• R/3 Security- Audit Check
• SAP R/3 user ID SAP* and other system user id has been adequately secured.
• The production system has been set to productive.
• Access Restriction: SCC4 and SE06
• S_DEVELOP is securedChange management is secured and controlled
• Transport access to production is restricted
• Developer access in production
• Change critical number range is restricted
• Custom tables has authorization groupLocking of sensitive systems transaction codesBDC user types should has only required accessRun Program in the back ground
• Changes to critical SAP R/3 tables are logged
• Scheduling and Monitoring Batch jobs
• Access to run reports should be restricted.
• Critical and custom SAP R/3 tables are restricted

Fuente: SAP Security Online

Seguir leyendo »

Resultado encuesta Seguridad en Latinoamérica 2009

La Asociación Colombiana de Ingenieros de Sistemas - ACIS, la Universidad del Valle de Atemajac UNIVA, México y el Centro de Atención de Incidentes de Seguridad Informática y Telecomunicaciones - ANTEL, de URUGUAY, han unido esfuerzos para adelantar la I Encuesta Latinoamericana de Seguridad de la Información, que busca comprender mejor las tendencias en seguridad de la información en Latinoamérica.

El análisis presentado a continuación se desarrolló basado en una muestra aleatoria de profesionales de tecnologías de información de Argentina, Chile, Colombia, México, Uruguay y otros países de Latinoamérica, la cual respondió una encuesta de manera interactiva a través de una página web, dispuesta por la Asociación Colombiana de Ingenieros de Sistemas (ACIS), para tal fin.
Dadas las limitaciones de tiempo y recursos disponibles en la Asociación, se ha realizado un conjunto de análisis básicos, los cuales pretenden ofrecer los elementos más sobresalientes de los resultados obtenidos que orienten al lector sobre las tendencias identificadas en el estudio.

Se puede leer resultado de la I Encuesta Latinoamericana de Seguridad de la Información y los resultados de la III encuesta nacional sobre seguridad informática en México (comparativa 2007-2008-2009).

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Ver sin develar: IBM promociona avance sobre cifrado

Dice IBM hoy que uno de sus investigadores ha hecho posible que un sistema de computación realice cálculos sobre información cifrada sin descifrarla. Si bien eso suena como algo contradictorio y complicada, IBM dice que este avance permitiría servicios de computación, tales como Google u otros que almacenan la información confidencial de otros ser capaces de analizar completamente la información en nombre de sus clientes sin la costosa interacción con el cliente y sin ver realmente nada de la información privada.

La idea es que un usuario pueda buscar información usando palabras de búsqueda cifradas, y obtener resultados cifrados que después pueda descifrar por sí mismo. Otras aplicaciones potenciales incluyen el habilitar filtros para identificar spam, incluso dentro de correo cifrado, o proteger información contenida en registros médicos electrónicos. El avance podría también algun día permitir que los usuarios de computadoras obtengan información de un motor de búsqueda con mayor confidencialidad, dijo IBM.

El investigador de IBM Craig Gentry apareció con lo que llama “cifrado completamente homomórfico,” el cual utiliza un sistema matemático conocido como un “retículo ideal,” que le permite a las personas interactuar completamente con información cifrada de formas que antes se pensaban imposibles.

Usar la tecnología podría también reforzar el modelo de computación en la nube donde un proveedor de servicios almacena información confidencial de otros. Podría permitir un mejor servicio para realizar cálculos sobre la información del cliente najo demanda, tal como analizar patrones de ventas, sin exponer la información original.

“El cifrado homomórfico completo es parecido a permitir que un lego realice una neurocirugía sin fallas mientras tiene los ojos vendados, y sin recordar a posterior el episodio. Creemos que este avance permitirá que las empresas tomen decisiones más informadas, basadas en análisis mas estudiados, sin comprometer la privacidad. También pensamos que el enfoque de retícula tiene el potencial para ayudad a resolver desafíos adicionales de criptografía en el futuro,” dijo Charles Lickel, vice-presidente de Investigacion de Software de IBM en un comunicado.

Según un artículo en Forbes.com, la solución de Gentry tiene una trampa: requiere una inmensa capacidad de cómputo. En el caso de una búsqueda de Google, por ejemplo, realizar el proceso con palabras de búsqueda cifradas podría multiplicar la necesidad de cómputo en aproximadamente 1 billón, estima Gentry.

IBM dijo que dos padres del cifrado moderno -- Ron Rivest y Leonard Adleman – juntos con Michael Dertouzos, introdujeron y lucharon con la noción del cifrado homomórfico completo hace aproximadamente 30 años. Aunque el avance a traves de los años ofreció soluciones parciales a este problema, una solución completa que consigua todas las propiedades deseadas del cifrado homomórfico hasta ahora no existe.

Autor: Layer8
Fuente: NetworkWorld
Traducción de Raúl Batista para Segu-Info

Seguir leyendo »

SecureTwitter, "antivirus" para Twitter

Finjan ha lanzado el plug-in para navegadores SecureTwitter, que protege a los PC del malware que pueda descargarse de las direcciones URL acortadas. SecureTwitter forma parte de la suite de productos gratuita SecureBrowsing destinada tanto a empresas como particulares.

Twitter se ha convertido en el último año en una herramienta de comunicación ampliamente utilizada. No obstante, la herramienta de microblogging ha sido, asimismo, objeto del continuo acoso de los hackers, habiendo sufrido en los últimos meses numerosos ataques.

Tratando de contrarrestar estas amenazas contra la seguridad que acecha desde Internet, el suministrador de seguridad web en tiempo real para el mercado empresarial Finjan propone SecureTwitter, que advierte a los usuarios de la credibilidad de los links que otros postean en el famoso servicio de microblogging.

Dado el límite de 140 caracteres impuesto por Twitter, la mayoría de las URL tienen que acortarse utilizando servicios como Bit.ly o TinyURL. Estos servicios ocultan el verdadero destino del enlace, lo que representa cierto peligro porque los usuarios no saben si les llevará directos a un site que busca vulnerabilidades de software para infectar sus PC con malware.

SecureTwitter forma parte de SecureBrowsing, un plug-in tanto para Firefox como Explorer que muestra un "visto bueno" verde junto al enlace indicando así que la web final es correcta o una X roja si es maligna. También puede mostrar un interrogante si no puede escanear el site.

En la barra superior de Twitter, los usuarios verán un circulo rotando que indica que Finjan está escaseando las URL. Los enlaces se envían a un centro de datos de la compañía para su escaneo y posterior informe de su estado en un par de segundos. Si el resultado es malo, salta una ventana con un enlace a la página de Finjan donde se proporciona una explicación de por qué el sitio de destino ha sido calificado como malo.

SecureBrowsing también escaneará links a otros servicios web y redes sociales como Bebo, Digg, Slashdot, MySpace, Gmail y las búsquedas de Google y Yahoo.

Fuente: IDG

Seguir leyendo »

Verificar la seguridad de un sitio web en línea

Existen diversos servicios que pueden ser utilizados por cualquier webmaster o usuario para verificar la seguridad de un sitio web, si el mismo ha sido vulnerado o si contiene scripts dañinos, lo que hace posible estar advertido ante cualquier amenaza antes de ingresar al mismo.

El primero de ellos y quizás el más conocido es SafeBrowsing, de Google. Ejemplo: análisis de Segu-Info con SafeBrowsing.

Otro servicio similar lo brinda Symantec con su Norton Safe Web, en donde se puede observar cualquier tipo de amenaza del cual haya sido víctima el sitio. Si se es webmaster, es necesario registrarse para analizar el sitio. Ejemplo: análisis de Segu-Info con Norton Safe Web.

El tercero es el reciente Dasient Web Anti-Malware, desarrollado por ex-miembros de Google. Los webmasters deben registrarse para que periodicamente sean notificados sobre el estado de su sitio.

Otro menos conocidos son SiteAdvisor de Mcfee, Online Link Scan, AVG Online Scan y Site Truth.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Dasient Web Antimalware, servicio de seguridad web gratuito

Normalmente cuando un intruso obtiene acceso a un servidor remoto en forma ilegítima (A.K.A. "Hackear") opta por pintar el index del sitio web comprometido (defacement), destruir los datos completamente (estupidez) o muchas veces simplemente modifica el código HTML incrustando código malicioso que redirecciona al usuario, sin que este se entere, a otro sitio web donde un montón de virus y malware esperan infectarlo. Esto lo hacen inyectando un iframe de 0 de ancho por 0 de alto, haciendolo invisible para el usuario.

Lo bueno es que Neil Daswani, anterior administrador de productos de seguridad de Google, y el ingeniero de software Shariq Rizvi han lanzado un nuevo servicio de detección de sitios web con malware denominado Dasient Web Anti-Malware (WAM)...

Este servicio, basado en la arquitectura de Cloud Computing (Computación en la Nube) e ideal para administradores y webmasters, utiliza una combinación de técnicas de heurística y Web Crawlers (Robots que recorren la web saltando de sitio en sitio indexándolos y generando estadísticas) para detectar automáticamente código que haya sido instalado en sitios web legítimos por ciber-criminales con la finalidad de que sus visitantes descarguen software malicioso (virus, troyanos, spyware, etc.) o sean redireccionados a sitios web fraudulentos. Si el administrador del sitio Web vulnerado detecta este problema puede rápidamente eliminarlo simplemente modificando el código HTML, pero los problemas no terminan siempre ahí. El sitio web vulnerado queda marcado en listas negras que generan algunas compañías de seguridad como MCAffe, Symantec, WebSense e incluso Google las cuales recorren Internet buscando este tipo de problemas y almacenando información sobre sitios web comprometidos para evitar que sus usuarios sean redireccionados ahí.

Esta situación puede ser bastante complicada para un administrador de un servicio Web porque en el caso de ser etiquetado como potencialmente peligroso por alguna de estas listas negras, un usuario (por ejemplo que tenga instalado Norton Internet Security) será protegido al no permitir su acceso ahí. Dasient puede ser una solución a este problema con su modelo orientado a la computación en la nube.

Principalmente Dasient ofrece 3 servicios:

- Monitoreo de Listas Negras
- Monitoreo de Malware (Software Malicioso)
- Cuarentena

El monitoreo de listas negras permite registrar un sitio web y el servicio de Dasient comenzará a revisar periódicamente si ese sitio está incorporado en alguna lista negra de empresas conocidas avisando al administrador cuando esto suceda.

El servicio de detección de Malware también revisa regularmente un sitio Web y avisa al administrador cuando se haya infectado con malware, permitiéndole reaccionar antes de que sea puesto en alguna lista negra y seguir operando en forma normal.

El servicio de cuarentena permite instalar un módulo en el servidor Web que monitorea el malware en los sitios web que corren en él y si detecta algun evento se gatilla una serie de procedimientos que permiten dejar el código maligno aislado temporalmente de Internet.

Los dos primeros servicios se ofrecen gratuitamente en modo Beta mientras que para el tercero hay que solicitarlo por correo y solo es aplicable a quienes almacenen una página Web en un servidor dedicado.

Vale la pena probar este sistema si es que usted es un administrador de algún sitio Web o con mayor razón si administra un servicio de Webhosting (los planes de Dasient parten de los U$50 mensuales).

Fuente: Seguridad Informática

Seguir leyendo »

Como averiguar los servicios que se esconden bajo el proceso Svchost.exe

Svchost.exe es para muchos el proceso más misterioso de Windows. Svchost.exe es un nombre de proceso de host genérico para servicios que se ejecutan desde bibliotecas de vínculos dinámicos (DLL). El archivo Svchost.exe se encuentra en la carpeta %SystemRoot%\System32.

Durante el inicio, Svchost.exe examina la parte de servicios del Registro para elaborar una lista de los servicios que hay que cargar. Es posible que el sistema ejecute varias instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener una agrupación de servicios. Por tanto, se pueden ejecutar distintos servicios dependiendo de cómo y dónde se inicie Svchost.exe.

Los grupos de Svchost.exe se pueden identificar en la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

Algunos gusanos se aprovechan de este proceso para camuflarse en el sistema y no ser detectados con una simple exploración de procesos. Existe malware que utiliza esta técnica de camuflaje como los gusanos: Jeefo, Welchia, Assarm y más recientemente el Conficker.

Con la herramienta gratuita Svchost Process Analyzer podemos enumerar todos los procesos svchost del sistema y comprobar los servicios que contienen. Aunque existe una forma de comprobarlo, en la consola de comandos mediante las ordenes: “Tasklist /SVC” y “Tasklist /FI "PID eq IdDeProceso" (con las comillas)”. Se obtiene más información y más concisa con Svchost Process Analyzer.

Esta herramienta está disponible para: Windows Vista, XP, 2000 y 2003. Para un correcto uso de este analizador del proceso svchost, es preciso ejecutarlo con una cuenta de administrador del sistema.

Fuente: Guru de la Informática

Seguir leyendo »

¿Por qué mis correos llegan como Spam?

Esta es una de las preguntas que más me hacen siempre que hablo de algo que tiene que ver con correo electrónico. Tiempo ha me hicieron escribir una lista de medidas para mejorar los resultados en los motores antispam de los correos electrónicos legítimos emitidos por una empresa. Aunque no son todas las medidas que se pueden aplicar, ésta es una buena lista de precauciones.

Muchas de las verificaciones que se realizan para validar o no un correo se realizan sobre la dirección IP del servidor utilizado para enviar el correo electrónico, para tener una IP cuidada es recomendable.

1.- Marca las IP de los servidores autorizados para enviar correo en tu dominico con el registro SPF en el DNS. Esto hará que las comprobaciones del registro SPF de Sender Policy Framework y Sender ID sean positivas.

2.- Comprueba que tus IPs no estén en listas RBL (Real-time Blackhole List). Si tu IP cae en una de estas listas muchos de los servidores no aceptarán tus correos. Ten siempre una IP de backup limpia e intenta, cuando caiga, sacarla de todas las listas. Muchas se alimentan las unas de las otras, así que revisa todas.

3.- No compartas la IP con varios dominios si es posible y menos si no los controlas tú, ya que la IP pude caer en una RBL tanto por mal uso de tu dominio como por mal uso de cualquier otro.

4.-Ten la IP a nombre de tu empresa e intenta controlar los registros PTR. Algunos filtros comprueban el valor del registro PTR en el DNS para autenticar el nivel.

5.- Actualiza el software y configúralo de forma segura. Los filtros de reputación realizan comprobaciones reversas para ver si está mal configurado el servidor y puede ser víctima de los spammers. Si es así, no admiten correos de tu dominio.

6.- Firma digitalmente tus correos con DKIM para que se puedan autenticar el dominio del emisor aquellos dominios que hagan uso de él.

7.- Evita correos con múltiples destinatarios o contigo mismo en el destinatario, eso suele hacer subir el SCL (Spam Confidence Level) del correo.

8.- Usa antivirus en el correo saliente. Si un usuario de tu red queda infectado puede intentar infectar a otros mediante el envío del malware por correo electrónico. Si un dominio detecta que le llega malware de tu dominio meterá tu IP en las RBLs.

9.- Si tu correo sale por la misma IP que por la que sale, es decir, si el MX y el SPF son iguales, aunque es peor para la redundancia de seguridad, es mejor para aumentar el alcance de los correos, ya que alguno aún utiliza como comprobación el filtro de Reverse MX Lookup.

10.- Y la más importante... no seas spammer y haz un uso correcto del correo electrónico.

Fuente: Un informátivo en el lado del mal

Seguir leyendo »

Mitos y leyendas: El Directorio Activo (I) (Conceptos)

El Directorio Activo es la joya de la corona de los productos de Microsoft. Destronó a Novell Netware en este ámbito cuando decidió estandarizar sus protocolos de autenticación, resolución de nombres, etc. O sea, cuando apareció Windows 2000, puesto que NT mantenía sus propios protocolos para realizar (de forma discutible) tareas que ya estaban resueltas por estándares más que probados.

El Directorio Activo (nombre comercial que da Microsoft a un servicio de directorio en una red distribuida) es uno de los puntos de negocio fuertes de Microsoft. Las redes de grandes empresas (compuestas por miles de puestos y decenas de servidores todos Windows) suelen basarse en este servicio que facilita enormemente la labor de un administrador. En ocasiones, Microsoft antepone (comercial y técnicamente) este tipo de sistemas sostenidos por grandes empresas a las necesidades de los clientes individuales. De ahí que a veces precise de tanto tiempo para desarrollar un parche de seguridad efectivo: debe asegurarse de que infraestructuras críticas de empresas no dejen de funcionar, puesto que son buena parte del motor de su mercado.

Microsoft plantea la estrategia de aparición de sus sistemas operativos como clientes o servidores para que sean aprovechados al máximo según este esquema. Windows NT era el controlador de dominio ideal para Windows 95 y 98. Windows 2000 Server se suponía el servidor perfecto para Windows 2000 Professional (arquitectura con la que una buena parte de las empresas todavía se sienten cómoda), Windows 2003 para XP y 2008 Server para Vista o Windows 7 (a la mayoría les costará años evolucionar hacia esta última combinación). Aunque con ciertas limitaciones o asumiendo riesgos de seguridad que hay que tener en cuenta y subsanar, casi todos pueden convivir todavía en una red.

Windows implementa el concepto de dominio mediante el de directorio, que no es más que un almacén de datos jerárquico que guarda información sobre recursos (objetos) en la red. El directorio se implementa como una base de datos optimizada para operaciones de lectura sobre la que se pueden realizar búsquedas de grandes cantidades de información, y con capacidades de exploración (un árbol, básicamente). El Directorio Activo se convierte así en un medio de organizar, administrar y controlar centralizadamente el acceso a los recursos de la red.

Microsoft, a partir de Windows 2000, decidió seguir estándares para implementar toda la infraestructura que se intercomunica e interactúa para conformar un Directorio Activo. No pudo dejar atrás de golpe lo que venía sosteniendo con Windows NT, pero poco a poco ha ido quedando obsoleto. Entre los estándares que componen un Directorio Activo, y que han ayudado a mejorar su seguridad, destacan:

* DNS (Domain Name System): Windows NT funcionaba básicamente con WINS, una alternativa poco eficiente al DNS. WINS mantenía una tabla con la correspondencia entre direcciones IP y nombres NetBIOS, y la forma de intercambiar esta información entre servidores era realmente poco eficiente.

* LDAP (Lightweight Directory Access Protocol): Protocolo ligero (o compacto) de acceso a directorio. Este es el protocolo mediante el que las aplicaciones acceden y modifican la información existente en el directorio.

* Kerberos: Protocolo utilizado para la autenticación de usuarios y máquinas. Este protocolo es sin duda mucho más eficiente y efectivo que NTLM, usado para autenticar en una red controlada por Windows NT. El servidor de Kerberos coincide con el controlador de dominio. En ciertas circunstancias bajo un dominio, se sigue usando LM/NTLM o LMv2/NTLMv2 para autenticar. La combinación de los dos primeros sufría enormes problemas de diseño que lo hacían realmente poco fiable. La fuerza bruta funcionaba muy bien sobre ellos. Su evolución, LMv2/NTLMv2, aunque bastante más sofisticada, no puede competir con el estándar Kerberos. Aun así, en Windows 2003 todavía estos protocolos no estaban activados por defecto para ser usados obligatoriamente.

Además de adoptar los estándares, la implementación que ha hecho Microsoft de estos protocolos ha dado buenos resultados en cuestión de fallos de seguridad. Apenas se reportan desde hace tiempo 3 ó 4 fallos de seguridad al año en protocolos o servicios exclusivos de los servidores de dominio. Por supuesto, independientemente de las vulnerabilidades encontradas en el sistema operativo que los sostiene. Una de las más graves ocurrió en abril de 2007. Se encontró un 0day en la implementación DNS de Microsoft. Un desbordamiento de memoria intermedia en la interfaz RPC del servidor DNS a la hora de procesar peticiones mal formadas. Podía ser aprovechado por atacantes para ejecutar código arbitrario con privilegios de SYSTEM (control total sobre el sistema) si se enviaba una petición especialmente manipulada al sistema vulnerable.

Más Información:
7/04/2007 Detalles y evolución de la vulnerabilidad RPC/DNS de Microsoft Windows
http://www.hispasec.com/unaaldia/3097

Autor: Sergio de los Santos
Fuente: Hispasec

Seguir leyendo »

Aparece malware con la muerte de Michael Jackson

Ya han aparecido los primeros malware que son propagados a través de spam y que, con la muerte de Michael Jackson como pretexto, son utilizados para que el usuario descargue troyanos a su sistema. Ver video de Websense.
El spam simula tener un enlace a un video de Youtube y el primer malware es descargado desde http://www.[ELIMINADO].com.au/images/mixes/Michael.Jackson_videos_fotos.php (MD5: 12957db2b6f6f80c455e15d2a7e9c060 o 238bfe5b86b09e5627c2393f0cbc5c29, activos al momento de escribir el presente) y que ya es detectado por algunos antivirus. Otro de los malware recibe el nombre de Michael.Jackson.videos.scr (MD5: 664cb28ef710e35dc5b7539eb633abca).

Estos programas por otro lado descargan nuevos troyanos desde http://video.xmanc[ELIMINADO].org/, http://alls-tube-he[ELIMINADO].com, http://oneplace-all-[ELIMINADO].com/

Ver estadísticas del spam recibido por este motivo.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Argentina: Atacaron la página oficial del padrón electoral nacional

Agregaron palabras ofensivas sobre los distritos de Capital Federal y Provincia de Buenos Aires. Sólo duró algunos minutos.
En el día en que comenzó la veda electoral, algunos hacker buscaron divertirse. Ingresaron a la página del padrón electoral y agregaron leyendas ofensivas sobre los distritos de Capital Federal y Provincia de Buenos Aires. El sitio, perteneciente al Poder Judicial de la Nación, fue rápidamente corregido, pero sin embargo aún puede verse esto en el código fuente de la página (me pregunto ¿cuál es la utilidad de estos datos?):
Sin embargo, no pudieron evitar que durante algunos minutos apareciera la palabra "chorros" pegada a Capital y "ladrones" a la de Buenos Aires. Luego, cuando las primeras leyendas fueron suprimidas, volvieron a ingresar al sitio (www.padrones.gov.ar) para escribir: "aumenten la seguridad". La Justicia precisó que la información de los padrones y de los lugares de votación "no fue modificada". Y explicaron que los técnicos trabajaban esta noche para evitar que la página volviera a ser afectada. Más acerca del "hack" al padrón electoral.

Fuente: Clarin y Cristian de Segu-Info

Seguir leyendo »

Coto al poder de Google

La empresa que nació en un garaje de California como alternativa al imperio de Microsoft ha dejado de ser amistosa - Como su rival, hoy está amenazada por la sospecha de prácticas monopolísticas.

Hay una empresa que canaliza aproximadamente el 70% de las búsquedas que se hacen en Internet y tiene el poder de redirigirlas a los sitios web que desee. Además, ofrece correo electrónico a más de 100 millones de personas en todo el mundo. Sus máquinas analizan el contenido de los mensajes enviados para ofrecer publicidad relevante. Esta compañía ha creado programas que ofrecen mapas del mundo, los océanos y el cielo. Entre sus últimos productos está una aplicación telefónica que le permite a la empresa saber y revelar dónde se encuentra exactamente el usuario.

No es ciencia ficción. Se trata de Google, una empresa que en una década ha cambiado mucho. Nació en un garaje del Estado estadounidense de California en 1998, como el proyecto de dos estudiantes de la Universidad de Stanford, Larry Page y Sergey Brin. Ambos crearon un buscador que operaba de forma distinta de los demás, ofreciendo resultados insólitamente relevantes, priorizados según el número de enlaces que apuntan a cada página.

Contenido completo en El País

Seguir leyendo »

Microsoft detiene las descargas del beta de Security Essentials

Los avances de Microsoft Security Essentials, el antivirus gratuito que la compañía está desarrollando para computadores con Windows XP, Vista y 7, están siendo seguidos por una inusitada cantidad de personas, quizás por la popularidad que acarrea Windows 7 o por la posibilidad de disponer de un antivirus de buena calidad para competir contra soluciones como Avira y Avast, sin mencionar la posibilidad de quitarle terreno a los siempre mal vistos McAfee y Norton.

A pesar de todo esto, no todas son buenas noticias, pues apenas un día después que Microsoft dispusiera de 75.000 copias del beta de Security Essentials para descarga desde su página web oficial, la compañía ha cortado por completo la posibilidad de descargarlo de manera oficial, con un escueto mensaje de “No estamos aceptando más participantes en este momento”.

Aún no es muy claro si Security Essentials resultó ser tan popular que las suscripciones se acabaron en tiempo récord o si existe un bug relativamente grave en el sistema actual, pero mientras tanto quienes se atrevieron a instalar la suite reportan que tiene un desempeño notable, con un consumo de RAM de 34 MB en promedio, velocidad de escaneo rápido de 10 minutos y uno completo en cerca de 45 minutos, pero su porcentaje de efectividad reconociendo virus aún se desconoce.

De cualquier forma, la descarga aún está disponible desde sitios no-tan-oficiales como el de Microsoft.

Fuente: Fayerwayer

Seguir leyendo »

Nuevos casos de Phishing a Galicia

En el día de la fecha nos han reportado otro caso de Phishing (y van) al Banco Galicia que es igual a los casos anteriores I, II y III.

En esta nueva oportunidad, se repite la metodología de colocar la misma página falsa en un sitio vulnerado y enviar el siguiente correo electrónico a las posibles víctimas:
Los sitios vulnerados en esta ocasión son:

• http://www.fovi[ELIMINADO].com/Scripts/include/www.e-galicia.com/
• http://www.lasarenas[ELIMINADO].org/admin/scripts/pestanas/include/homebanking/www.e-galicia.com/portal/
• http://pound-[ELIMINADO].com/maac/includes/domit/scripts/include/homebanking/www.e-galicia.com/portal/

Ya hemos informado el caso para que se proceda a la baja de la página falsa.

Actualización 16:00 hs: los sitios han sido dados de baja.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

El Pentágono aprueba la creación de un cibercomando para proteger sus redes

El Secretario de Defensa de los Estados Unidos Robert Gates, ha firmado los documentos que autorizan la creación de un cibercomando para proteger las redes militares de los Estados Unidos.

Es probable que el comando esté a cargo de la Agencia Nacional de Seguridad (NSA) de los Estados Unidos, y su base esté en el Fuerte Meade, Maryland.

Bryan Whitman, portavoz del Pentágono, aclaró que el nuevo comando se encargará de defender los sistemas del ejército estadounidense, pero no protegerá redes privadas ni del gobierno estadounidense.

Aunque la función principal del nuevo comando sería la defensa de las redes, el Pentágono tampoco descarta la idea de realizar ataques a sus enemigos para cumplir con su misión.

“Este comando se enfocará en asegurar la protección y funcionamiento de redes del Departamento de Defensa”, dijo Whitman. “El comando hará lo que sea necesario para lograrlo”, afirmó.

“No es una exageración nuestra dependencia militar en las redes informáticas: el comando y control de nuestras fuerzas, la inteligencia y logística de las que dependen, las tecnologías de armas que desarrollamos y probamos, todos dependen de nuestros sistemas y redes informáticas”, explicó William Lynn, Subsecretario de Defensa de los Estados Unidos.

“Es más, nuestro ejército del siglo 21 simplemente no puede funcionar sin ellos (los sistemas y redes informáticas)”, agregó Lynn.

Las autoridades estadounidenses ya habían expresado su preocupación por la gran cantidad de ataques que reciben sus redes militares.

Lynn recalcó que las redes estadounidenses están bajo amenazas de seguridad constantes, y aseguró que organizaciones militares de más de 100 países han intentado irrumpir en sus redes en varias ocasiones.

Pero los ataques no sólo provienen otros gobiernos. “El poder de dañar y destruir, antes sólo en manos de naciones, ahora lo tienen pequeños grupos e individuos, desde grupos terroristas y de crimen organizado hasta espías de empresas, activistas piratas y adolescentes”, dijo Whitman.

Fuente: Viruslist.com

Seguir leyendo »