Próximos eventos en los que estaré presente

Noviembre se caracteriza por ser un mes de mucha actividad en lo referido a eventos ya que el 30 de este mes se "festeja" el Día Internacional de la Seguridad de la Información.

Por eso este mes estaré prácticamente sin días libre en este será mi calendario por si alguien está lo suficientemente desocupado como para tener interés en oírme:

Ante todo, este calendario siempre está en la sección de eventos de seguridad.

Del 1 al 5 de nov. estaré en las jornadas de la Policía Federal Argentina desarrollando el tema de amenazas informáticas y realizando algunas demostraciones sobre las mismas (con inscripción previa en la PFA).

El 6 y 7 de noviembre estaré en Cordoba (Arg.) en la 2da jornada de Civilización Digital, disertando de la seguridad en la web 2.0 (gratuito).

El 9 de noviembre a las 18.30 estaré presente en la Universidad Nacional Tecnológica UTN (regional Medrano) de CABA explicando diferentes alternativas del desarrollo seguro de aplicaciones (gratuito).

El 18 y 19 daré un curso de especialización en seguridad de la información en Buenos Aires pero organizado por la empresa Liderazgo desde Ecuador. Para asistir, desde Ecuador habrá un paquete turístico y de educación que traerá y llevará a los asistentes desde su país.
La información la pueden encontrar en aquí: http://www.liderazgo.com.ec/congresos/seguridad-informatica/

El 26 y 27 estaré en el evento 10 años de Habeas Data en Argentina festejando dicho suceso y con una interesante agenda y temario sobre legislación y seguridad (gratuito).

El último día de noviembre estaré viajando a Tucumán a la I Jornada de Auditoría, Seguridad y Peritaje Informático - JASEP-IT, organizado por graduados de la Universidad Tecnológica Nacional (regional Tucumán).

Finalmente cerrando el año (creo) el 9 de diciembre estaré presente en el primer evento de OWASP en Uruguay en la Universidad ORT (gratuito).

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Material de concientización en seguridad de Microsoft

Microsoft reconoce que la Concientización y el aprendizaje en seguridad de la información es fundamental para la estrategia de seguridad de la información de cualquier organización y sus operaciones de seguridad asociadas. Las personas son en muchos casos la última línea de defensa frente a amenazas tales como código malintencionado, empleados descontentos y terceros malintencionados.
Por lo tanto, es preciso educar a los usuarios en lo que su organización considera un comportamiento apropiado y consciente de la seguridad, y también acerca de qué prácticas recomendadas de seguridad es necesario adoptar en la actividad laboral diaria. Se ha reunido este kit para proporcionar orientación, muestras y plantillas para crear un programa de Concientización en seguridad.

• Guía de desarrollo del programa de Concientización en seguridad
• Materiales de muestra sobre Concientización
• Material de aprendizaje de muestra
• Plantilla de muestra

Descargas guías Material del programa de Concientización en seguridad (120 MB).

Fuente: Microsoft

Seguir leyendo »

Dominios que valen millones y el papel de NIC.ar

La palabra sexo vende, y mucho. Es con esta idea en la cabeza con la que debe entenderse la decisión de Clover Holdings, una empresa establecida en el antiguo paraíso fiscal del caribeño Saint Vicent, de comprar el dominio sex.com por nada más y nada menos que US$ 13 millones.

La noticia se conoció esta semana y volvió a poner sobre el tapete el funcionamiento del comercio de dominios, y qué es lo que ofrece un dominio genérico a una marca: tráfico asegurado en Internet, o sea, más negocios. Pero también revitalizó el oscuro mundo de los ciberokupas , aquellos que se aprovechan de las grietas en el sistema que pone el nombre a las URL (Localizador Uniforme de Recursos, en español) para hacer dinero.

Seguir leyendo »

Seguir leyendo »

Guía de continuidad de tu negocio para PyMEs

En los últimos años hemos sido espectadores de una serie de sucesos que sin duda han quedado fijos en nuestra retina. El incendio de la Torre Windsor en Madrid (12/02/2005), los graves cortes de luz y carreteras en Tenerife (febrero 2010) o el temporal de nieve de Cataluña (marzo 2010) son algunos ejemplos. Con ello, queremos reflexionar sobre la cierta posibilidad de que ocurran incidentes y que estos incidentes afecten a nuestro negocio.

Continuando con uno de los casos anteriormente citados, la Torre Windsor contaba con un sistema de seguridad según la normativa vigente, pero no contaba con un sistema de control contra incendios. Las consecuencias, varias empresas con sus actividades paralizadas y procesos judiciales entre empresas y aseguradoras por la responsabilidad civil derivada, que ascendería a más de 180 millones de euros. Por tanto, a raíz de este suceso, parece que una planificación más ajustada a las características reales del edificio podría haber evitado, o por lo menos, aminorado su efecto.

Con la Guía práctica para PYMES: cómo implantar un Plan de Continuidad de Negocio, queremos poner a disposición de todas las organizaciones, y especialmente aquellas empresas de menor tamaño y con menos medios a su alcance, una hoja de ruta para que puedan diseñar, implantar y mejorar una estrategia de continuidad de negocio válida para su realidad concreta.

Esta Guía ha sido elaborada por INTECO en colaboración con Deloitte, en el marco de un proyecto de investigación sobre el nivel de adopción de planes de continuidad de negocio entre las pymes españolas, cuyos resultados se publicarán en el mes de noviembre. A través de los canales del Observatorio os tendremos puntualmente informados.

Ejemplares de esta Guía en formato papel, están a disposición del público en los stands que tanto INTECO como Deloitte han instalado en ENISE4, el Encuentro Internacional de Seguridad de la Información en su edición de 2010, que durante estos días se está celebrando en León, y que os venimos comentando a través del Blog del Observatorio.

Fuente: INTECO

Seguir leyendo »

Publicado Boletín 160 - 30/10/2010

Boletín 160 - 30/10/2010

1. Memorias de Vive ForoS! (1 de 2)
2. El factor gente y la Seguridad de la Información
3. Desafío informático de Vive ForoS!
4. Segu-Info busca autores
5. Apoya a Segu-Kids, Juntos en la Red

Leer Boletín

Seguir leyendo »

Correcta utilización del DNI Electrónico

Cada vez son más las personas que poseen el DNI Electrónico, y por ello desde Ontinet.com, dentro del apartado consejos de seguridad, hace tiempo que pusimos nuestro granito de arena mostrando las características físicas y electrónicas del DNIe y además indicando una serie de recomendaciones para su uso.


Esta semana, el Instituto Nacional de Tecnologías de la Comunicación (INTECO), junto con Anova IT, han publicado un documento muy completo en el que se explican detalladamente las posibilidades que nos ofrece y las ventajas respecto a la seguridad de utilizar el DNI Electrónico. Pueden acceder a dicho documento pulsando aquí.

Los aspectos a destacar que se muestran en el documento son los siguientes:

• Hardware y software necesario para el correcto funcionamiento del DNI electrónico, mostrando los enlaces de descarga del software para su descarga.
• Como acceder a un sistema con el DNI electrónico e identificación a través de PIN.
• Funcionamiento de certificados y firma electrónica.

Aunque el DNI Electrónico es un método muy seguro, escribimos en su día que existen todavía, a día de hoy, algunos riesgos tales como que la privacidad pueda ser vulnerada o que el software para utilizarlo pueda estar manipulado, por ello desde el departamento técnico de ESET en Ontinet.com, aconsejamos aplicar los consejos respecto a seguridad indicados tanto en el documento como en nuestra página web.

Fuente: Ontinet

Seguir leyendo »

Otra vulnerabilidad en Adobe Reader y Flash

Adobe confirmó que otra vulnerabilidad “crítica” sin parchear de día cero que afecta a Adobe Flash Player, Reader y Acrobat está siendo explotada.

El fallo, que podría causar un accidente o permitir a un atacante tomar el control de un sistema afectado, está siendo explotado activamente contra Adobe Reader y Adobe Acrobat, según Adobe. La compañía no tiene conocimiento de que esté siendo explotado en Flash.

La vulnerabilidad existe tanto en las aplicaciones para Windows, como en Mac OS X y sistemas operativos basados en Unix.

Adobe está desarrollando una solución para la vulnerabilidad y espera proporcionar una actualización para Flash el 9 de noviembre y para Reader y Adobe Acrobat durante la semana del 15 de noviembre.
 
Fuente: Blog Antivirus

Seguir leyendo »

Mitos y recomendaciones para una navegación web segura a día de hoy

Os dejamos a continuación una serie de consejos para poder llevar a cabo una navegación web segura así como los 10 mitos sobre la seguridad en Internet. Muchos usuarios no conocen si navegan de forma segura, no saben evitar los sitios peligrosos, no utilizan una política sólida de acceso a Internet ni utilizan un navegador seguro, o no cuentan con la experiencia suficiente para reconocer un sitio peligroso con tan sólo verlo. Con que una sola de estas condiciones se cumpla, ya debería ser consciente de que se encuentra en un grave peligro.

Además, a pesar de encontrarnos en el siglo XXI, todavía están generalizados una serie de mitos sobre la seguridad en Internet que Sophos ha resumido en un informe y a los que ofrece la respuesta definitiva”,comenta Pablo Teijeira, Corporate Account Manager de Sophos Iberia. Los 10 mitos sobre la navegación segura por Internet:

Mito 1: Internet es seguro porque no he sufrido nunca una infección por malware.
Esta idea está muy extendida, aunque lo que puede ocurrir en realidad es que el usuario no sea consciente de que ya está infectado. Muchos ataques provocados por los programas maliciosos están diseñados para robar información personal y contraseñas, o para utilizar el equipo para distribuir correo no deseado, malware o contenido inapropiado sin que el usuario sea consciente de ello.

Mito 2: Mis usuarios no pierden el tiempo navegando por contenidos inapropiados.
Más del 40% del uso de Internet en entornos corporativos es inapropiado y no se comprueba, lo que equivale a una media de 1 a 2 horas por día y usuario. Además, el número de casos de adicción a Internet va en aumento, y los cálculos actuales indican que hasta entre un 5 y 10% de los usuarios de la Red de redes, sufren algún tipo de dependencia de la web.

Seguir leyendo »

Seguir leyendo »

Facebook ha perdido 10 millones de usuarios en tres meses

Facebook ha bajado de 550 a 540 millones de usuarios en los meses de junio a septiembre de 2010, según los datos de Adplanner de Google utilizados para realizar un estudio sobre Demografía del Social Media en el tercer trimestre de 2010.

El estudio aporta otros datos sorprendentes, tanto de Facebook como de otras redes sociales como Twitter o MySpace. A pesar de todo, no hay que alarmarse, significa únicamente que las redes sociales comienzan a crecer a un ritmo inferior, tras el boom experimentado en los últimos dos años.

Con respecto a Facebook, la caída de usuarios sólo muestra que el crecimiento se está estacionando, tras la etapa de investigación y curiosidad por la red social por parte de los internautas.

Sin embargo, quien se conecta a Facebook, lo hace más tiempo que antes. De media, pasa 23 minutos en la red social. Comparado con los tiempos que se pasa en otras redes sociales (14 minutos en MySpace; 13 en Twitter y casi 10 en LinkedIn) al día, Facebook continúa ganando por goleada.

Eso sí, Facebook también registra una caida de usuarios en el segmento de edad que mayor crecimiento había experimentado hasta ahora: los mayores de 54 años. Del 16% ha caído al 10% en los últimos seis meses.

Según el informe, Facebook llega al 57% de los estadounidenses, y al 35% de los habitantes de todo el planeta. Los porcentajes no dejan de sorprender. Lo que no varía es la distribución por sexos. El 57% de los usuarios de Facebook son mujeres.

Seguir leyendo »

Seguir leyendo »

Falsas postales de Gusanito infectan al usuario y roban credenciales

Nos han reportado un nuevo caso de postales falsas de Gusanito en donde con el engaño típico de la supuesta postal se busca infecta al usuario.

Este caso en particular se propaga por spam con el siguiente correo:

Como puede verse, el enlace no conduce a Gusanito sino que los delincuentes está utilizando el servicio de la empresa Track EmailMarketing para engañar al usuario y además este servicio les permite conocer cuántos usuarios han descargado la supuesta postal (un malware).
Cabe remarcar que este servicio es pago pero ofrece una versión de prueba que puede ser utilizada sin ningún problema para estos objetivos dañinos.

Si se realiza un seguimiento del enlace, se llega al servidor real en donde se encuentra el archivo ejecutable see_postal.exe:

El archivo ejecutable se encuentra en los servidores de una institución educativa de Perú y se trata de un troyano desarrollado en México, en lenguaje Visual Basic y es detectado por algunos antivirus.

Actualización 1: Acabo de comprobar que se trata de un troyano que se conecta a un servidor en México para enviar distintos datos del sistema del usuario y de sus contraseñas almacenadas en Internet Explorer, Firefox y MSN. Una vez ejecutado el troyano se agrega en la clave de auto-arranque del sistema operativo y establece una conexión con el servidor y envía la siguiente información a través de GET y recibe instrucciones en un comando codificado en Base64:

Además en la parte inferior se puede verificar la información del dominio y el nombre de su (supuesto) registrante. Me llama la atención el supuesto lugar de residencia, una ciudad que me agrada y aprecio mucho.

Actualización 2: luego de nuestra denuncia a la empresa que provee el servicio de DNS al delincuente, esta fue la respuesta:

 Si palabras... al menos respondieron rápido.

Por suerte con Track Email Marketing hemos tenido mejor suerte y la cuenta ha sido cancelada.


Actualización 3: siguiendo con la investigación de este sitio dañino hemos llegado al verdadero negocio de este delincuente que se dedica a investigaciones informáticas:

Al menos dejan claras sus técnicas de fuerza bruta he ingeniería social, es decir enviar postales falsas como las que dieron origen a este post. Además quizás alguien esté interesado en hacer publicidad en su sitio.

Actualización 4: ahora pueden votar al sitio como dañino en MyWot y así otros usuarios no caen en la trampa.

Actualización 20/11/2010: luego de 15 días la empresa que brindaba el DNS nos ha informado que dieron de baja el sitio pero el mismo ya se ha mudado a otro servidor y sigue en línea.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Novena edición del Informe de Inteligencia de Seguridad de Microsoft

Microsoft ha hecho pública la novena edición de su Informe de Inteligencia de Seguridad (SIRv9), en el que se pone de manifiesto la actual la proliferación de botnets (robots maliciosos) como plataforma para desarrollar el llamado cibercrimen.

“El Informe de Inteligencia de Seguridad de Microsoft en su novena versión incluye una de las investigaciones más detalladas sobre botnets y su tratamiento realizada hasta el momento. En dicho informe se evidencia claramente que las personas que los controlan, conocidos como “bot-herders”, trabajan a conciencia para asegurar su mantenimiento, preservación y crecimiento, con el objetivo de lograr ganancias económicas”, señala Luis Miguel García, director de Seguridad de Microsoft Ibérica.
García añade que, entre los meses de abril y junio de 2010, Microsoft desinfectó más de 6,5 millones de ordenadores atacados por botnets, el doble que en el mismo periodo del año pasado.

Seguir leyendo »

Seguir leyendo »

¿Cuál es la diferencia entre un ASP y un proveedor SaaS?

Por Jorge García

Quizá no es de sorprender que las definiciones que aparecen en Wikipedia respecto a estos términos contribuye un poco a acentuar la confusión entre ambos modelos. He aquí mi traducción de las definiciones allí presentadas:

Un application service provider (ASP) es una organización comercial que proporciona servicios de cómputo (aplicaciones) a sus clientes a través de una red de cómputo. A las aplicaciones que ofrecen las ASPs se les conoce también como aplicaciones sobre demanda o aplicaciones como servicio. La idea más básica de este tipo de servicio es el acceso una aplicación o programa en particular (tal como un sistema de administración de clientes) mediante el uso de un protocolo estándar tal como HTTP.

Software as a service (SaaS, typically pronounced [sæs]), también llamado “software sobre demanda”, es aquella aplicación de software que implementada sobre la Internet y/o implementada para ejecutarse detrás de un firewall sobre una red de área local o una computadora personal. Mediante SaaS, un proveedor licencia el uso de una aplicación a sus clientes como un servicio sobre demanda, a través de una suscripción, mediante un modelo de “pago por uso”, o incremental sin cargo alguno.

Seguir leyendo »

Seguir leyendo »

Fabric, lenguaje de programación seguro: crea seguridad autónoma según se está escribiendo un programa

Hasta el momento la gran mayoría de sistemas de seguridad eran reactivos, es decir, no se implementaban hasta que el sistema o programa había sido vulnerado, como parte de una reacción a dicho ataque. Sin embargo la creación de Fabric, un lenguaje de programación nacido como extensión de Java va a cambiar ese concepto radicalmente

El experto de seguridad Fred Schneider ha confirmado que el desarrollo de investigadores de Cornell conocido como Fabric, extensión al lenguaje de programación Java que crea sistemas de seguridad en un programa según se escribe.

Fabric está diseñado para crear sistemas seguros para computación distribuida donde los nodos interconectados no tienen por qué ser confiables. Estamos hablando de sistemas que mueven dinero, o bien hospedan historiales médicos.

En Fabric, todo es un “objeto” etiquetado con una serie de permisos sobre cómo y quien puede acceder a ello y también qué acciones pueden realizar. Incluso los bloques del código del programa tienen políticas integradas de uso sobre cuando y dónde pueden ejecutarse.

El compilador refuerza sobremanera las políticas de seguridad y no permite al programador escribir código no-seguro (PDF).

Si queréis echar un ojo a Fabric, su versión inicial ha sido liberada en la web de Cornell.

Autor: Jesús Maturana
Fuente: Muy Seguridad.Net

Seguir leyendo »

Josh Harris: "La batalla por la privacidad está perdida"

El hombre que hace diez años anticipó que la vida se transmitiría on line, anuncia su nueva visión: en breve las máquinas superarán la inteligencia humana.

Hace diez años, el norteamericano Josh Harris, considerado un gurú de la Red, anticipó que todos terminaríamos transmitiendo nuestra vida on-line. Nadie le creyó, se volvió loco, viajó a Etiopía para sanarse. Ahora está de regreso y, en diálogo con LN R , anuncia su nueva "visión": en breve las máquinas superarán la inteligencia de las personas. "Predije lo que iba a pasar -asegura-. Puedo volver a hacerlo".

Lo cierto es que, mientras los fundadores de YouTube aún estaban en la secundaria, Harris ya estaba realizando videos e instalaciones destinados a demostrar que Internet se convertiría en una suerte de reality show masivo. "Para un chico de 12 años vivir en público no es algo tan raro -se explaya-; creció con esta falta de privacidad. Es como la televisión, que para mí es lo más normal del mundo, pero no para mis padres".

Las más de cinco mil horas de video con las que registró su propia vida (experiencia que lo llevó al borde de la locura) derivaron en el documental We live in public, premiado en Sundance en 2009, y proyectado luego en el Museo de Arte Moderno de Nueva York. Ese mismo año Harris decidió que su psiquis había sanado, retornó a los Estados Unidos y se dedicó a dar charlas, acompañar las presentaciones del film y desarrollar un proyecto que, combinando tecnología, arte y comunicación, busca desarrollar el concepto de "singularidad" (el vaticinado triunfo de la inteligencia artificial por sobre la humana). Este singular personaje visitará Buenos Aires: el sábado 6 de noviembre ofrecerá una conferencia en el Malba. Asimismo, su documental se proyectará de viernes a domingo en Malba y C.C. Recoleta, en el marco del festival ArtFutura.

Fuente: La Nación

Seguir leyendo »

Aprueban estándar que podría terminar con el reinado del Bluetooth

La Wi-Fi Alliance aprobó Wi-Fi Direct, un estándar que permite la conexión entre dispositivos para intercambiar archivos sin necesidad de estar conectados a una red.

Hace poco más de un año en daba cuenta de la novedad, que finalmente fue aprobada y marca un paso notorio en la industria.

La Wi-Fi Alliance, organización que certifica los protocolos de este estándar, aprobó finalmente Wi-Fi Direct, un nuevo estándar que permite la conexión entre dispositivos.

Seguir leyendo »

Seguir leyendo »

El jefe de ingenieros de Microsoft reconoce que están «anticuados»

El jefe de ingenieros de Microsoft, Ray Ozzie, que anunció el cese de sus funciones la semana pasada, ha hecho unas declaraciones revolucionarias sobre el futuro de las nuevas tecnologías. Los servicios a través de cloud-computing y el acceso ubicuo a la web dominarán nuestra sociedad. Sus impresiones visionarias han calado hondo en el sector, sobre todo por el rapapolvo que ha dejado caer sobre su empresa, incitándola a ponerse al día en cuestiones tan importantes como la movilidad.

Después de anunciar que dejaba su cargo como arquitecto jefe de software de Microsoft, Ray Ozzie ha hablado acerca del futuro que espera al sector TI y de cómo se consumirá tecnología en los próximos años.

El directivo pronostica un "mundo post-PC" con dispositivos simples y globales, orientados a la navegación web. Estos aparatos podrían encontrarse en el coche, en casa o controlando un ascensor, e incluso una autopista.

Considerado una especie de visionario por su memorándum de hace cinco años ‘Internet Services Disruption’ (El trastorno de los servicios en Internet), que fue visto como el manifiesto de Microsoft para un Internet basado en el cloud-computing, Ray Ozzie tiene el rango de autoridad en la materia para hablar de este tipo de cosas. "Los próximos cinco años vendrán acompañados de otro punto de inflexión", señala refiriéndose a la creciente utilización de aplicaciones, lo que supondrá una gran oportunidad para muchas compañías.

"Los ordenadores, teléfonos y tabletas de hoy representan sólo los primeros comienzos", destaca Ozzie. La conectividad será ubicua: en nuestros escritorios y paredes, así como todo el entorno a nuestro alrededor.

Llevaremos "toda clase de compañeros conectados" presentes incluso en nuestra ropa. No es el único en afirmar este tipo de cosas, Michio Kaku dio una conferencia en Madrid hace unos días donde pronosticaba aspectos sorprendentes del futuro.

Fuente: ABC.es

Seguir leyendo »

Soluciones y fin del concurso de Seguridad "Web challenges from RootedCON'2010 CTF"

Todo lo bueno se acaba... Tras algo más de un mes de concurso y una magnífica acogida, doy por concluído el concurso de seguridad. Las estadísticas han sido impresionantes: más de 1000 participantes (700+ inscritos a fecha de comienzo del concurso) y 18 "web ninjas" que consiguieron pasar todas y cada una de las pruebas (un número relativamente elevado teniendo en cuenta que había pruebas realmente complicadas).

El ganador del premio (iPod touch 4G) ha sido el primer clasificado: PPP (Plaid Parliament of Pwning), un equipo estadounidense de conocida solvencia técnica, que se ha tenido que batir con otros equipos muy curtidos en el hacking de aplicaciones web como "FluxFingers" [tercer clasificado] (quién no ha leído los magníficos artículos de Reiners: [1], [2] y [3]) e incluso con personas en solitario como nuestro crack y amigo Kachakil (además de compañero de equipo en "int3pids") [segundo clasificado].

Ha habido un gran nivel técnico y el concurso no era fácil (potentes y conocidos equipos como los franceses Nibbles no consiguieron superar todas las pruebas) por lo que me quito el sombrero ante los que sí han logrado terminarlas todas con éxito: ius, pepelux, okaboy, s3ntin3l, phib, ...). Por supuesto, también hay que reconocer el esfuerzo y el mérito del resto de participantes. Podéis consultar el top 25 de los clasificados o incluso acceder al "hall of fame" completo.

El concurso, que pudo ser seguido en todo momento gracias a mi twitter (@roman_soft), contó con una peculiaridad más: el "hall of shame" (o muro de la vergüenza :-)). Esta funcionalidad del nuevo panel no pretendía ser más que un experimento y a la vez una especie de broma: cuando un participante intentaba hackear el panel, éste automáticamente lo introducía en el "hall of shame", sin más. El participante no era descalificado (a pesar de estar expresamente prohibido atacar el panel, según las reglas del concurso). Simplemente quería demostrar cómo la gran mayoría de los participantes intentarían hackear el panel y de hecho así fue (aunque por suerte para mí, sin éxito :-P). Como resultado, gran parte de los ganadores forman parte no sólo del "hall of fame" sino también del "hall of shame" :-) A nivel técnico, sólo coloqué unos cuantos check-points, situados estratégicamente, a modo de honeypot. Fue más que suficiente ;-)).

Seguro que muchos de vosotros tenéis curiosidad por saber cómo se pasaban una o más pruebas... ¿no es así? Os dejo los cuatro solucionarios que he recibido, comprimidos en un único fichero. Sus autores son: ppp, pepelux, danitorre y miguel (¡muy buen trabajo, chicos!). Para más información, no olvides leer el "readme" que hay dentro. Y si quieres seguir practicando (o probar algunas de las técnicas descritas en los solucionarios), date prisa y aprovecha ahora que todavía es posible: dejaré el reto online por un tiempo (quizás otro mes más aunque no es seguro) aunque por supuesto, ya no será posible puntuar. Como siempre, trataré de avisar vía twitter de cualquier novedad.

Finalmente agradecer de nuevo a Bernardo Quintero e Hispasec Sistemas, sponsor del concurso, su apoyo desinteresado. Y como no, a todos los que habéis participado en el concurso y que sois los que de verdad habéis hecho que este evento haya sido grande en todos los sentidos. ¡Gracias a todos!

Fuente: Roman Soft

Seguir leyendo »

Campaña de BlackHat SEO por Halloween

Diversos medios y empresas antivirus ya han alertado de campañas de Black Hat SEO sobre Halloween. Es decir que se está manipulando de los resultados de los buscadores (principalmente Google) para llevar al usuario a sitios dañinos que lo terminarán infectando.

Por ejemplo el siguiente resultado:

Al ingresar (no lo haga) se puede ver el siguiente script ofuscado en donde es fácil establecer que el usuario será redirigido a otro sitio chino:

El análisis de dicho sitio habla por sí mismo, habiendo infectado 239 dominios:

El malware descargado por dichos dominios pertenecen a un falso codec que supuestamente es necesario para ver correctamente una tarjeta virtual de Halloween y que corresponde al famoso troyano TDSS.

Además en estas últimas horas también ha aparecido otra campaña en donde destacan la gran cantidad de sitios españoles modificados en donde se han creado directorios en los servidores y los mismos contienen publicidad engañosa. Por ejemplo la siguiente búsqueda:

Una vez más los delincuentes aprovechan una fiesta popular para engañar e infectar a los usuarios, por lo que vale estar prevenidos.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

La policía holandesa cerró la botnet Bredolab

Oficiales de la policía en Holanda han capturado y desconectado 143 servidores enlazados a la peligrosa red zombie (botnet) Bredolab.

El desmantelamiento de Bredolab incluye un esfuerzo por redirigir cerca de 30 millones de computadoras infectadas a un sitio especial con instrucciones y asistencia para eliminar el malware.

El descabezamiento de la botnet ha suscitado cuestiones legales (se tuvo que cargar código en las máquinas infectadas para conseguir que fueran redireccionadas a un sitio de limpieza) pero muchos argumentan que este es el tipo de colaboración necesaria para contrarrestar efectivamente la amenaza de la botnet. Según las autoridades holandesas, la red zombie utilizaba servidores contratados en Holanda a un revendedor de LeaseWeb, el cual es el proveedor de alojamiento más grande de Holanda, y uno de los mayores alojamientos en Europa.

LeaseWeb cooperó completamente para erradicar el problema de su red, como parte de su programa de Alcance Comunitario. El Equipo Holandés de Crimen de de Alta Tecnología (Dutch High Tech Crime Team) descubrió que este sistema botnet al finales del verano. Durante su investigación, el Equipo determinó que la red era capaz de infectar 3 millones de computadoras por mes. A finales de 2009 se estima que eran enviados unos 3,6 millones de correos electrónicos diarios con la carga viral de Bredolab hacia usuarios de computadora desprevenidos.

Aquí está el sitio web que se lanza automáticamente cuando un usuario infectado se conecta a Internet. Incluye información de los antecedentes de la amenaza y enlaces a cuatro escaneres antivirus gratuitos para ayudar con la desinfección.

Traducción: Raúl Batista - Segu-Info
Autor: Ryan Naraine
Fuente: Blogs ZDNet

Seguir leyendo »

Disponible Mozilla Firefox 3.6.12

Firefox 3.6.12 es la última revisión del navegador de la Fundación Mozilla.

Esta actualización esta centrada exclusivamente en solucionar una vulnerabilidad de seguridad presente en todas las versiones de Firefox 3.6 y 3.5, y que permite que un atacante comprometa nuestro sistema mediante la ejecución de código remoto. Aquellos que lo deseen pueden acceder a más detalles sobre la vulnerabilidad crítica solucionada desde www.mozilla.org.

Dada la gravedad del problema se recomienda a todos aquellos usuarios de Firefox se actualicen cuanto antes a esta nueva versión.

Contenido completo en: DesarrolloWeb

Para acceder a las notas de la versión, ingrese a Mozilla Europe

Seguir leyendo »

Qué responsabilidad les cabe a Facebook y Twitter por lo que se publica en sus páginas

El especialista Fernando Tomeo explicó las consecuencias legales que deben afrontar las redes sociales por los comentarios que aparecen en sus portales. Qué hacer ante dichos injuriosos o en los casos de usurpación de identidad

Así como la invención de la rueda en la antigüedad o la imprenta de Gutemberg cambiaron el destino de la humanidad, el advenimiento de las redes sociales generó un verdadero "tsunami" en las relaciones humanas y en la comunicación tradicional.
Facebook, Twitter y otras constituyen, en la actualidad, irrefutables plataformas activas de relaciones interpersonales donde navengan contenidos -de gran variedad- en un océano de fotos, videos, opiniones, pensamientos y tendencias.

El consumidor tradicional fue reemplazado por el de la web 2.0 o "prosumidor" que genera contenidos propios, esto es, opiniones, comentarios o críticas que pueden afectar sentimientos e intereses personales y corporativos.

Seguir leyendo »

Seguir leyendo »

Transmisión en vivo de Vive ForoS!

Ya ha comenzado la cuenta regresiva para este nuevo evento organizado por Segu-Info y TATA Consultancy Services y que además cuenta con el apoyo de Microsoft y que NO SE SUSPENDE a pesar de las noticias del día.

El jueves 28 a partir de las 13 hs (Arg), el evento se desarrollará en dos formatos:

• Presencial: debes inscribirte para aprovechar las últimas vacantes disponibles
• En vivo vía streaming: ingresando al sitio el día y hora del evento y sin necesidad de inscripción previa. Simplemente debes ingresar a Vive ForoS! y allí estaremos con la transmisión.

Puedes consultar los horarios en tu país. Ese día también se habilitará un desafío informático cuyo objetivo será convertirse en administrador de una botnet (jugando), siguiendo algunas pistas que se entregarán durante el evento.

Más información e inscripción:
http://www.segu-info.com.ar/vive-forosi/

Seguinos en Twitter: @seguinfo con el tag #viveforosi

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Troyano utiliza Java para propagarse en Mac OS X

Ha aparecido un nuevo troyano que afecta a Mac OS X (y Windows también), disfrazado de vídeo que se propaga en redes sociales. Cuando los usuarios hacen clic en un enlace se descarga un applet de Java que descargas un instalador que se ejecuta automáticamente sin el conocimiento del usuario.

El troyano, llamado trojan.osx.boonana.a por la firma de seguridad SecureMac, aparece como un mensaje en sitios de redes sociales como Facebook, que dice:

"Is this you in this video?"

Cuando el usuario hace clic en el enlace, se ejecuta un applet de Java e instala un programa que puede pasar por alto la contraseña habitual de verificación que OS X (incluyendo Snow Leopard OS X 10.6), requiere para su instalación.

El malware se ejecuta automáticamente en el arranque, se comunica con los servidores de C&C, y es capaz de seguir propagándose por spam en los perfiles de otros usuarios.

SecureMac afirma que debido a que la fase inicial del troyano se ejecuta en Java, este puede extenderse a Mac OS X y Windows, descargando la versión del troyano que corresponda.

Deshabilitar Java en el navegador puede ayudar a evitar la infección y SecureMac ha creado una herramienta gratuita de eliminación. La empresa también aprovecha para recordar que como la tasa de mercado de MAC aumenta, también lo hace el malware.

Fuente: Arstechnica

Seguir leyendo »

Éxitos y fracasos de Stuxnet

Stuxnet ha marcado un antes y un después en la mitología del malware, acaparando titulares y una buena parte de las últimas noticias mediáticas sobre malware. Hay quien dice que asistimos al nacimiento "de un nuevo mundo". No es para menos, sus virtudes no son pocas. Pero también ha cometido un error.

Eugene Kaspersky considera que Stuxnet (diseñado y financiado supuestamente por algún gobierno para atacar el plan nuclear Iraní) es "el prototipo funcional de una ciber-arma, que dará el pistoletazo de salida a una ciber-guerra en el mundo". Según Eugene, "este programa no ha sido diseñado para robar dinero, enviar spam o acceder a datos personales: ha sido diseñado para sabotear plantas y causar daños en entornos industriales. Me temo que es el principio de un nuevo mundo. Los 90 fueron la década de los ciber-vándalos, la década del 2000 fue la de los ciber-criminales, y me temo que ahora es la nueva era de las ciber-guerras y el ciber-terrorismo".

Al margen de los hitos establecidos, veamos algunos de los puntos fuertes de Stuxnet.

El uso de vulnerabilidades desconocidas hasta el momento para difundirse.

Stuxnet ha usado hasta cuatro vulnerabilidades desconocidas hasta el momento para ejecutar código en las máquinas infectadas. Esto lo hacía 100% eficaz contra cualquier Windows, desde 2000 hasta 7. Solo los administradores que hubiesen tomado las máximas precauciones (evitar la ejecución de programas no conocidos, limitar al máximo los privilegios u otras medidas similares) se habrían podido librar de la menaza.

El uso combinado e inteligente de estas vulnerabilidades.

• Parte I en Hispasec
• Parte II en Hispasec
• Parte III en Hispasec

Seguir leyendo »

Copiar el contenido de un pendrive de forma oculta en Mac OS X (USB Dumping)

Una de las técnicas de robo de información de forma local es la llamada ‘USB Dumping’. Ésta técnica consiste en realizar un copiado de la información de cualquier dispositivo USB que se conecte a nuestro equipo, de forma totalmente transparente al usuario.

Éste tipo de ataques puede resultar útil en entornos de trabajo en los cuales un compañero te pide la impresión de un documento, y para ello te proporciona un pendrive en el cual está el documento a imprimir junto con un montón de datos que el usuario, descuidadamente, mantiene en el mismo dispositivo.

De este modo, al conectar el dispositivo USB para la impresión del documento, se estará produciendo un copiado al completo del contenido del disco y, aunque el propietario del pendrive esté atento a las acciones realizadas sobre el mismo, le será imposible detectar que se ha realizado una copia de toda su información.

Desde Seguridad Apple hemos desarrollado un pequeño script que realiza esta tarea y que puedes tener corriendo siempre en tu sistema Mac OS X para ver que "cazas". Normalmente la gente suele mezclar en sus pendrives personales documentos de trabajo, datos de intercambio y cosas de alto nivel de intimidad.

Contenido Completo en Seguridad Apple

Seguir leyendo »

IPTables básico

En éste primer artículo de la serie, construiremos un script que creará un conjunto de reglas básicas apropiadas para todo equipo Linux, independientemente de la configuración de red del mismo, como ser cantidad o tipo de tarjetas de red, nombre de los dispositivos, direcciones IP, etc. Si bien hay muchos ejemplos de scripts IPTABLES por la red, lo interesante de éste es que se puede llevar a cualquier equipo sin cambiar nada, con lo que cubriremos lo básico con total facilidad.

Este script es apropiado para máquinas con "ip forwarding" deshabilitado. Esto quiere decir que aunque el equipo tenga más de una interfaz de red, sólo utilizará las mismas para enviar y recibir tráfico propio y no para enrutar tráfico de otros equipos entre redes distintas.

También mencionar que sólo se tratará el caso de IPv4, dejando IPv6 como ejercicio para el lector (siempre he querido decir eso)...

Para ejecutar IPTABLES o scripts que invoquen a IPTABLES debemos lanzar una shell como root o de lo contrario utilizar "sudo" delante de cada invocación.

Finalmente volver a mencionar que no se explicará aquí la sintaxis de IPTABLES. La misma se puede consultar aquí y está disponible en varios idiomas y formatos.

• Parte I en Kriptopolis
• Parte II en Kriptopolis
• Parte II en Kriptopolis

Seguir leyendo »

Eluden el bloqueo con código del iPhone (de nuevo)

Un usuario de iPhones encontró una forma trivial de eludir el bloqueo con código de cuatro dígitos en dispositivos iPhone (iOS 4.1) totalmente emparchados.

La vulnerabilidad fue publicada en el foro MacRumors por un usuario neozelandés de iPhone que descubrió una secuencia de golpes de tecla que volvió inútil el bloqueo con código.

Cuando su iPhone es bloqueado con un código de golpe de Llamada de Emergencia, entonces ingrese un número que no sea de emergencia tal como ###. Luego golpee el botón de llamada e inmediatamente el botón de bloqueo. Se deberá abrir la aplicación de Teléfono donde podrá ver todos sus contactos, llamar a cualquier número, etc.

Probé esto en mi iPhone que está completamente actualizado y confirmé que esto funciona tal cual como dicen.

No es la primera vez que el código de iPhone es deshabilitado con unos pocos golpes de tecla.

Traducción: Raúl Batista - Segu-Info
Autor: Ryan Naraine
Fuente: Blogs ZDNet

Seguir leyendo »

MySpace admite que entregó datos de usuarios a anunciantes

La red social MySpace reconoció que provee datos a sus anunciantes que se pueden usar para identificar las páginas de sus usuarios. La empresa tuvo que emitir un comunicado luego que el diario The Wall Street Journal divulgara la información el viernes.

MySpace aseguró que no cree que esos datos sirvan para identificar a una persona porque los usuarios no están obligados a usar sus nombres verdaderos. Sin embargo, reconoció que le transmitió a sus anunciantes el nombre de usuario y la última página visitada antes que la persona hizo clic en un aviso.

Si bien MySpace permiter a los creadores de aplicaciones ver los nombres de los usuarios, no deja que sean usados para otros fines. Según informó el diario mundoenlínea.cl, la red social dijo que descubrió hace poco que la aplicación “Tagme” había vuelto a violar esta prohibición, pero que su creador, BitRhymes, había corregido la situación con rapidez.

BitRhymes indicó en un comunicado que la difusión de datos “por parte de una compañía anunciante con la que trabajamos” no fue intencional y que su política es no darle a terceros la información personal de los usuarios.

Fuente: Identidades en Peligro

Seguir leyendo »

Seguridad efectiva en cloud computing

¿Por qué cómputo en la nube?
Además de ser un tema de moda (al menos como "buzzword"), el cómputo en nube realmente no tiene nada de nuevo. Se trata simplemente de una evolución natural de la operación de TI que está siendo habilitado por tecnologías que han madurado lo suficiente, como es el caso de la virtualización.

No se trata simplemente de hacer cosas a menor costo, el cómputo en nube permite hacer las cosas de forma más eficiente y en varios casos también de forma más segura (cierto, no es fácil de creer).

¿Por qué la resistencia a adoptar cómputo en nube?
Porque si bien no es algo nuevo, su adopción nos obliga a reflexionar sobre situaciones que dábamos por resueltas en esquemas tradicionales de servicios TI locales, como los temas de propiedad, privacidad e integridad de la información. Muchas de estas cuestiones están fundamentadas en preocupaciones reales:

• Leyes de privacidad más estrictas en todo el mundo.
• Limitantes y dudosa efectividad de algunos controles de seguridad tradicionales
• Dificultad de medir y exigir cumplimiento de niveles de servicio con proveedores

Seguir leyendo »

Seguir leyendo »

Twitter puede vender tus fotografías sin pagarte

Twitter ha estado realizando muchos cambios últimamente. Los fotógrafos quizá quieran releer la letra pequeña en las condiciones de servicio. En PhotoFocus lo hicieron y, después de consultar con sus abogados, se sorprendieron al descubrir que cada fotografía que se comparta en Twitter puede ser sublicenciada por Twitter sin la necesidad de pagar regalías a los usuarios.

Una mirada más profunda a las condiciones de servicio, revela que Twitter puede hacer prácticamente lo que quiera con las fotografías que se publican a través de su servicio, y no hay mucho que los usuarios puedan hacer.

Muchos servicios para compartir imágenes (como TwitPic) tienen condiciones similares, para la mayoría de los usuarios que utilizan Twitter, o cualquier otra red social para compartir fotografías, el conflicto está relacionado con la privacidad. Sin embargo, este descubrimiento debería de ser una preocupación muy seria para los fotógrafos profesionales, ya que legalmente no pueden vender los derechos en exclusiva de ninguna imagen que publiquen en Twitter.

El blog CARL Book Beacon ha recogido la historia y señala de que manera esto puede afectar no sólo a los profesionales, sino también a cualquiera que le preocupe lo que pueda suceder con sus fotografías:

Vale, somos bibliotecarios, sabemos que ya nadie lee. Aquí están las partes más importantes:

“Al introducir, publicar o exhibir contenido en, o a través, de los servicios, nos otorgas una licencia no exclusiva, libre de regalías y a nivel mundial (con el derecho de sublicenciar) para usar, copiar, reproducir, procesar, adaptar, modificar, publicar, transmitir, exhibir y distribuir tal contenido en cualquier medio de comunicación o método de distribución (conocido o que se desarrolle posteriormente)”.

¿Tienen derecho a utilizar mis cosas gratis? ¿Qué pasa si yo no quiero que las fotografías del 80 cumpleaños de la abuela Edna sean utilizados de forma comercial? Ese día llevaba un sombrero horrible y mi camisa tenía manchas.

¡Pero espera, hay más!

“Aceptas que esta licencia incluye el derecho para Twitter de hacer que ese contenido este disponible para otras compañías, organizaciones o individuos que pacten con Twitter la sindicación, emisión o publicación de tal contenido en otros medios y servicios, sujetos a nuestros términos y condiciones para tal uso del contenido”.

¿Pueden vender el contenido a terceros, como AP, y yo no obtengo ninguna remuneración pero ellos sí? Esto va a complicar mi trabajo como freelance.

Fuente: Identidades en peligro

Seguir leyendo »

Vulnerabilidad de 'dia-cero' en Firefox bajo ataque en el sitio oficial del Premio Nobel

Hackers maliciosos están explotando una vulnerabilidad 0-day en el navegador Firefox de Mozilla para lanzar un ataque de descargas silenciosas (drive-by download) contra los visitantes del sitio web del Premio Nobel.

Según investigadores de Norman ASA, Los usuarios de Firefox que navegaron el sitio fueron infectados silenciosamente con Belmoo, un troyano de Windows que le da al atacante control completo de la máquina.

La explotación fue exitosa en las versiones Firefox 3.5 y 3.6 según informa Norman.

Una vez realizada la descarga silenciosa, dice Norman, el malware podría intentar conectarse con dos direcciones de Internet, ambas apuntan a un servidor en Taiwan. El equipo de respuesta de Mozilla esta investigando el tema, según un vocero.

Traducción: Raúl Batista - Segu-Info
Autor: Ryan Naraine
Fuente: Blogs ZDNet

Seguir leyendo »

El Pentágono niega las acusaciones de Wikileaks

El jefe del Estado Mayor del Ejército señala que no se revisó a la baja la cifra de víctimas civiles. Casey asegura que la política era investigar los abusos a los prisioneros.

El Ejército de Estados Unidos niega haber revisado a la baja el número de muertes civiles en la guerra de Irak y haber ignorado los casos de abuso cometidos por las fuerzas iraquíes contra prisioneros, tal y como se apunta en los archivos de inteligencia desclasificados recientemente por la página Wikileaks. En dichos documentos, dados a conocer el viernes, se habla de una diferencia de 15.000 víctimas mortales entre los datos oficiales del Ejército estadounidense y las cifras reales.

El jefe del Estado Mayor del Ejército, George Casey, ha asegurado que los soldados entraban en las mezquitas para contar los cadáveres. "No recuerdo haber minimizado las bajas civiles", ha señalado quien estuviera al mando de la operación militar en Irak entre 2004 y 2007.
El portavoz del Pentágono, coronel Dave Lapan, ha afirmado que el Ejército nunca dijo que contara con un balance exacto de bajas civiles, y ha señalado que las estimaciones hechas por organizaciones privadas también suelen variar. "Durante los años ha resultado imposible para las distintas organizaciones (...) llegar a un acuerdo sobre una cifra específica", ha declarado. Durante la contienda las fuerzas norteamericanas recogían en sus balances menos bajas civiles que la Policía o fuentes del hospital.

Torturas
Respecto a los supuestos casos de abusos a prisioneros, Casey ha negado que los soldados estadounidenses los hubieran ignorado. "En todo momento nuestra política fue que donde los soldados americanos fueran sorprendidos abusando a un prisionero serían detenidos y se informaría inmediatamente a las cadenas de mando estadounidense e iraquí", ha relatado.

Las autoridades iraquíes ya han prometido investigar estos hechos, mientras que figuras como el viceprimer ministro británico, Nick Clegg, insisten en la gravedad de las informaciones y piden igualmente investigar.

El viernes la página web Wikileaks reveló cerca de 400.000 archivos clasificados sobre la guerra de Irak. Ya en julio había dado a conocer otros 70.000 documentos sobre el conflicto afgano. Los investigadores apuntan a que el responsable de las filtraciones es Bradley Manning, analista de inteligencia militar de Estados Unidos en Irak. Éste ya fue acusado y estuvo en prisión por mostrar en 2007 un vídeo sobre un ataque de helicóptero en el que murieron más de diez personas, entre ellas dos periodistas de la agencia Reuters.

Fuente: Ideal.es

Seguir leyendo »

FAQ sobre Botnets, Crimeware y Exploit Packs

MalwareDatabase ha publicado una FAQ sobre botnets, Exploit Kits y Crimeware solicitando a varios expertos que respondan sobre los mismos, teniendo en cuenta que actualmente existen decenas de ellos y se habla demasiado sin conocerlos.

Se responden preguntas como ¿qué son exactamente? ¿Qué características tienen? ¿Quiénes los desarrollan? y, más importante aún, ¿cómo podemos detener la propagación de estos tipos de paquetes y cómo pueden los usuarios protegerse contra los peligros que plantean?

Si quieres vivir una experiencia personal sobre cada uno de ellos, te sugiero que participes de Vive ForoS! en donde Jorge Mieres, presentará en exclusivo una investigación sobre estos temas.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Programas de radio y TV "Templarios de la seguridad" disponibles

Desde hace poco tiempo tengo el honor de ser miembro del programa de radio y TV Templarios de la seguridad junto a Lic. Carlos Tomassino, Lic. Roberto Langdon e Ing. Oscar Schmitz.

Es nuestro objetivo, difundir y evangelizar al mercado sobre situaciones de exposición de seguridad, aspectos legales a considerar, soluciones y tecnologías de seguridad informática y seguridad física, normas y estándares a cumplimentar, entre otros. Tendremos como invitados a empresas privadas, organismos de gobierno, PYMES, proveedores de tecnologías, universidades, abogados, periodistas especializados y representantes de empresas de servicios de los ramos de seguridad física e informática.

El programa de radio es emitido los días viernes de 16:00 a 17:00 horas (Argentina) por Aldea Global y se puede escuchar en vivo.

El programa de TV es emitido los días miércoles de 19 a 19.30 horas (Argentina) y puede ser visto en vivo o se pueden descargar los programas anteriores aquí.

Para ponerse en contacto con cualquiera de los programas pueden escribir a templariosdelaseguridad(at)gmail.com.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Cómo asegurar iPads para uso corporativo

Cuando el (sistema operativo) iOS 4.2 de Apple debute el mes próximo, ofrecerá suficientes características como para hacer de la tableta iPad un dispositivo seguro para empresas, si los equipos de seguridad de TI toman las medidas apropiadas.

Entre las primeros agregados está el almacenamiento cifrado en el dispositivo de los correos y los adjuntos, dice Andrew Jaquith, un analista de Forrester Research.

"Esperamos que el nuevo criptosistema asistido por hardware de Apple permita que los datos cifrados permanezcan cifrados, incluso si el teléfono ha sido sometido a jailbreak o comprometido en un ataque tipo side-channel," dice Jaquith en su informe "iPhone y iPad de Apple: ¿suficientemente seguros para empresas?"

Además, la administración de dispositivos móviles añaden APIs que soportan aplicaciones de terceros que pueden bloquear o borrar los iPads que se supongan han sido comprometidos. Estas APIs también soportan realizar inventario remoto de los dispositivos y la administración de contraseñas por aplicaciones de terceros, dijo.

Seguir leyendo »

Seguir leyendo »

Vulnerabilidad (solucionada) en ListaRobinson.es

En Junio del 2009, la Agencia Española de Protección de Datos (AEPD) junto con la Federación de Comercio Electrónico y Marketing Directo (FECEMD) presentaron en Madrid un nuevo servicio para los ciudadanos denominado Lista Robinson en el cual (citando la propia nota de prensa sobre el Servicio Lista Robinson) "pueden inscribirse para evitar recibir comunicaciones comerciales, mediante llamadas, sms, correo postal y correo electrónico, de empresas con las que no mantenga o no haya mantenido algún tipo de relación."

Pues bien, a continuación os dejamos con un artículo que hemos recibido a nuestro buzón de contribuciones sobre dicha web del servicio que explica, entre otros temas, la exposición de dicha Lista Robinson sin necesidad siquiera de registrarse como usuario, ni teniendo acceso como entidad autorizada. El artículo, según su autor, pretende ser meramente constructivo y formativo, para evitar caer de nuevo en este tipo de vulnerabilidades referentes a la seguridad en aplicaciones web.

Resaltar la rapidez en la respuesta y actuación de la federación FECEMD (que hace unos días cambió su nombre a adigital) encargada de dicho servicio frente a estas vulnerabilidades, que las subsanaron en apenas unas pocas horas tras su reporte por parte de SecurityByDefault al recibir esta contribución anónima.

Contenido completo en Security by Default

Seguir leyendo »

Zeus desaparece… ¿o se fusiona con SpyEye?

El investigador Brian Krebs publicó el día de ayer un interesante informe en su blog, titulado “SpyEye v. ZeuS Rivalry Ends in Quiet Merger” (en español, “La rivalidad de Zeus y SpyEye termina en una amistosa fusión”). En el mismo, el autor cuenta cómo ingresando en diversos foros de (in)seguridad pudo obtener información respecto a Zeus, ya que su autor ha comunicado que dejará de desarrollar el troyano y, por ende, de dar soporte a aquellos “clientes” que compraron el paquete de crimeware.

Según lo que se ha estado mencionando en foros underground, el autor de Zeus (conocido como “Slavik” y “Monstr“) dejaría de comercializar el troyano, y habría otorgado el código fuente del mismo al autor de SpyEye, otro crimeware similar, también especializado en el robo de información bancaria. En la siguiente imagen pueden observar cómo el autor de SpyEye (conocido como “Harderman” y “Gribodemon”) anuncia en un foro la noticia, y posteriormente una traducción al español de lo dicho:

Buen día,
Voy a estar a cargo del producto Zeus desde hoy en adelante. Se me ha dado de forma gratuita su código para que los clientes que ya lo han comprado no se queden sin soporte técnico. Slavik no se hará más cargo del producto, ha borrado el código fuente de su computadora, ya no lo vende y no tiene más relación con él. Tampoco realizará más negocios por Internet y en unos días su información de contacto no estará más activa.
Me pidió que les informe que ha sido un placer trabajar con ustedes. Si tienen algún tema sin resolver con él, pónganse en contacto lo antes posible.
Todos los clientes que compraron el software a Slavik serán atendidos por mí con las mismas condiciones que lo venían haciendo, y pueden acudir directamente a mí por cualquier problema.
Gracias a todos por su atención.

Lo curioso de este hecho, es que SpyEye se caracterizó por ser “oposición” a Zeus, teniendo en cuenta que sus variantes verificaban si este estaba instalado en la computadora y lo desinstalaba de ser necesario, lo que demuestra que los atacantes pueden sorprendernos día a día, y que más allá de sus “rivalidades” su intención es económica y maliciosa.

¿Cuál es el impacto de esta noticia? En primer lugar podría aparecer un aspecto positivo: de una u otra forma, Zeus está desapareciendo, ya que aunque su soporte continuará, el mismo no seguirá siendo comercializado ni existirán nuevos desarrollos. Vale destacar que, aunque ya no será comercializado, todas las versiones de Zeus ya adquiridas siguen en funcionamiento, por lo que esto no representa la desaparición total de esta amenaza. Teniendo en cuenta que ha sido una de las botnets más utilizadas en el último año, a priori esta parece una buena noticia, ya que su estructura en crecimiento impactaba en altos índices de propagación e infección.

Sin embargo, según la investigación de Krebs, el propio autor de SypEye anunció en otros foros que las dos familias de amenazas serán “fusionadas en un poderoso troyano” en breve, por lo que es de esperarse que en los próximos meses aparezca una amenaza importante en términos de botnets. Esta no es una noticia tan alentadora: mientras SpyEye es una amenaza joven (su primera versión es del 2 de enero de 2010) que se ha caracterizado por ser muy eficiente, aunque aún no tan difundida, Zeus ha sido el bot más importante de los últimos meses; y la combinación de ambos podría ser muy importante.

Sebastián Bortnik
Coordinador de Awareness & Research

Fuente: ESET Latinoamérica

Seguir leyendo »

Cursos y videos de Metasploit

Con el anuncio del lanzamiento de la nueva versión de Metasploit 3.5 varios usuarios me han consultado sobre cursos de este útil framework, por lo que dejo algunos que recorren desde su uso básico hasta la creación de exploits propios.

• Curso Metasploit Unleashed (directo desde sus creadores)
• Metasploit Unleashed en Español (traducido desde el original)
• Curso en video Metasploit Megaprimer 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17
• Video de Iron Geek
• Curso completo en video de Iron Geek 
• Videos de Demostración
• Videos sobre Metasploit 3 (parte 1 y 2)
• Videos en Vimeo
• Wiki usando Metasploit
• Libro Metasploit Toolkit (Amazon)
• Descargar libro Metasploit Toolkit

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Todo listo para Vive ForoSI

Ya ha comenzado la cuenta regresiva para este nuevo evento organizado por Segu-Info y TATA Consultancy Services y que además cuenta con el apoyo de Microsoft por lo que comienzo a adelantar lo que sin duda será un evento muy interesante para disertantes y asistentes.

El objetivo inicial es propiciar el intercambio y debates entre disertantes y asistentes ya que debido a la experiencia de cada uno todos siempre tenemos algo que aportar. Por otro lado nos interesa ese intercambio porque propicia la investigación de quienes se interesen por los temas tratados.

Por eso este evento es presencial y te puedes inscribir para asistir y también será transmitido en vivo (no es necesario inscripción).

Por otro lado ese día se habilitará un desafío cuyo objetivo será convertirse en administrador de una botnet, siguiendo algunas pistas que daremos en el evento.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Robando sesiones (e identidades) con Firesheep

Firesheep, es una herramienta que podría ser utilizada para robar identidades según las propias palabras de su autor Codebutler. La herramienta, que fue presentada en la última Toorcon 12 en San Diego, permite capturar tráfico de una gran cantidad de sitios web que envían el datos sin cifrar.

Una vez instalada la extensión en Firefox (Mac OS y Windows), Firesheep permite el robo de credenciales de los siguientes sitios:

Como explica Codebutler en su presentación una vez capturadas las Cookies y las sesiones del usuario, sería posible hacerse pasar por el mismo (Session Hijacking).

Solución: olvidarse del Wifi gratuito, cifrar todo el tráfico end-to-end y exigir SSL en todas parte

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Niño de 12 años recibe 3000 dólares por encontrar falla crítica en Firefox

Un niño de 12 años reportó este crítico desbordamiento de búfer y vulnerabilidad de corrupción de memoria en el navegador Firefox, y además del reconocimiento que pueda tener también recibe 3.000 dólares por su colaboración.

Alexander Miller, como se llama el niño, había informado previamente de una vulnerabilidad de Firefox, pero no reunía los requisitos para el pago en efectivo, que va desde 500 a 3.000 dólares.

Los 3.000 dólares prometidos motivaron al estudiante a emplear un par de horas diarias para encontrar errores en los productos de Mozilla. Y por lo que cuentan lo consiguió identificando un fallo de seguridad crítico en el navegador web Firefox.

Un descubrimiento nada sencillo según el responsable de seguridad de Mozilla y que pocos pueden detectar ya que se trata de un área muy técnica. ¿Y cómo lo ha detectado un chaval de 12 años sin cualificación? Dicen que se trata de uno de esos genios autodidactas apasionados por la tecnología que se empapan libros técnicos en sus ratos libres.

Además de descubrir nuevos talentos, parece que el reciente aumento de dotación económica del programa de recompensas de Mozilla por descubrir vulnerabilidades da sus frutos. Una estrategia que también sigue Google para el Chrome y que permite –gracias a la colaboración comunitaria- parchear los errores críticos del software antes de que sea difundido públicamente y aprovechado para distribuir malware.

La vulnerabilidad, que puede hacer que un atacante pueda potencialmente ejecutar código arbitrario en el equipo de la víctima, fue parcheado esta semana en Firefox 3.6.11 y Firefox 3.5.14.

Fuente: Blog Antivirus y Muy Computer

Seguir leyendo »

El CISO: Atributos

Continuando con la serie sobre el CISO, hoy os incluyo algunos atributos que bajo mi punto de vista debe tener un CISO y que en buena parte he sacado de una presentación que se impartió hace un par de años en ISMS Forum.

He aquí sus atributos (mm… suena un poco extraño, aunque de esos también tiene que tener:

Honesto	Integro	Comunicativo
Apasionado	Jugador de Equipo	Político
Con Sentido del Humbor	Líder	Negociador
Intérprete	Agente para el cambio	Gestor de Proyectos
Integrador	Estratega	Tenaz
Futurista	Evangelista	Gestor de la Tecnología
Buen Burócrata	Excelente Creador de Políticas	Policía
Experto Legal	Persona del Negocio	…e incluso, Ingeniero de Seguridad

La próxima y última entrega contendrá algunas recomendaciones para los CISOs …

Autor: Samuel Linares
Fuente: InfoSecMan Blog

Seguir leyendo »

Skimmer, la instalación, el robo y el dinero obtenido

El clonado de tarjetas de crédito en cajeros automáticos (ATM) es un negocio millonario, en el siguiente video se puede ver a dos estafadores colocando un dispositivo de clonado. Uno coloca el skimmer o lector de tarjetas y el otro un panel superior para capturar el ingreso de PINs con una cámara oculta.

Estos artículos y videos muestran el proceso completo y la cantidad de dinero que pueden obtener los delicuentes:

• Video: Instalando un ATM skimmer en 10 segundos
• Video: Robando PINs en un cajero
• Video: Instalando un ATM skimmer y luego extrayendo el dinero de la víctima
• Record en Europa, 5.743 ataques de skimming en 6 meses

Fuente: Spam Loco

Seguir leyendo »

Argentina: Elegirán gobernador por voto electrónico

La Provincia de Salta adelanta las elecciones para poder aplicarlo. Tierra del Fuego seguirá el mismo camino, en junio.

Lejos todavía de concretarse en elecciones a nivel nacional como recientemente se realizaron con éxito en Brasil, con casi diez veces más personas que en los últimos sufragios presidenciales de la Argentina, algunas provincias decidieron avanzar en la implementación del voto electrónico en los comicios locales de 2011. Ante la certera imposibilidad de que las próximas elecciones presidenciales se lleven adelante con un sistema automatizado con computadoras (el tema fue eyectado de la Reforma Política de diciembre de 2009), el Gobierno de Salta y el de Tierra del Fuego apuestan a poner en marcha el año que viene el «e-voto» a escala local.

El gobernador salteño, Juan Manuel Urtubey, firmará hoy el decreto de convocatoria para elegir a su sucesor al frente del Ejecutivo, también a senadores, diputados provinciales, intendentes y concejales, para el 10 de abril de 2011.

La fecha fijada se aleja un poco más de seis meses de las elecciones nacionales, que se prevén para el 23 de octubre, pero para no dar lugar a otras interpretaciones de tinte político, el mandatario fundamentará su decisión en la vigencia de la reforma política en la provincia, que avanzó en la implementación del voto electrónico, circunstancia que obliga a desdoblar la votación del calendario nacional. Por otra parte, se fijarán las internas abiertas, simultáneas y obligatorias para el 30 de enero ya que la norma establece que debe haber al menos 70 días entre esa votación y la elección general.

Si bien la provincia es una de las pocas que apuntó a consolidar un sistema informático que servirá para agilizar el conteo posterior de votos, apenas un 33% de los salteños utilizará urnas electrónicas.

En tanto, en Tierra del Fuego, la gobernadora Fabiana Ríos también quiere implementar el «e-voto» para las elecciones locales del año que viene en al menos dos de los municipios más grandes y poblados de la provincia: Río Grande y Ushuaia. Aún falta la ratificación de la Legislatura, y de hecho se habla de una fuerte resistencia del peronismo fueguino que no estaría dispuesto a abandonar el «voto-papel», sin embargo, se respira con entusiasmo la posibilidad de que las partes lleguen a un acuerdo a favor de las pretensiones de la ex arista, que en los próximos días anunciará su intención de buscar un nuevo mandato.

La elección de autoridades fueguinas sería el 17 de junio, ya que la Constitución provincial indica que deben realizarse cuatro meses antes que los comicios nacionales.

Entre los distritos que ya confirmaron para sus elecciones locales fechas desdobladas de la presidencial, Catamarca marcó el 13 de marzo y Chubut anunció que serán el 20 de ese mes.

Y, en el conjunto de las que ya ensayaron implementar el voto electrónico, Córdoba y Buenos Aires han tenido buenas experiencias aunque todavía no suficientes para extenderlas a un sufragio general. Luego de que la localidad bonaerense de Pinamar se convirtiera en marzo en la primera del país en usar el sistema, la ciudad cordobesa de Marcos Juárez lo estrenó en septiembre en los comicios locales de intendente, concejales y tribunos de cuentas.

Fuente: Ambito

Seguir leyendo »

Resumen No cON Name 2010

El 20 y 21 de octubre se llevó a cabo el Congreso No cON Name 2010 y Un enfermo de los bits ha realizado un resumen del Día 1 y 2 y lo propio ha hecho Securityetalii con el primer y segundo dia.

Algunas de las conferencias han sido las siguientes:

• HTC Nand dumping for forensics purposes
• 802.1X y 802.11i – La única seguridad real en Red
• Nuking and defending SCADA networks
• IP Fragmentation Overlapping
• Development of security-critical embedded systems
• SMSspoofing: fundamentos, vectores de ataque y salvaguardas
• Resolución de concursos de la No cON Name 2010

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Nuevo Metasploit 3.5

Luego que se cumpla el primer aniversario de la adquisición del proyecto Metasploit por parte de Rapid7, se anunció el lanzamiento de la nueva versión del Metasploit Framework, 3.5.0, con 613 exploits y cientos de bugs corregidos, ofreciendo mayor estabilidad y agregando nuevas funcionalidades. Por ejemplo ahora Meterpreter también se encuentra disponible para Windows de 64 bits.

Esta nueva versión incluye mayor funcionalidad con la nueva GUI en JAVA Scriptjunkie, en reemplazo de la ya vieja msfgui. Desde esta nueva interfaz ahora se puede controlar Nessus, VMWare.
Se han ampliando la posibilidad de importación de bases de datos de Retina y de Netsparker y ahora además se puede exportar a XML con el mismo comando db_export de siempre.

Para más detalle consulten la lista de cambios de la versión 3.5.

Pero lo más importante, tal y como se prometió, Metasploit Framework seguirá siendo gratuito y todavía se encuentra disponible bajo la misma licencia BSD.

Fuente: Blog de Metasploit

Seguir leyendo »

¿Qué pasó con RedUsers?

En el día de hoy nos han llegado varias denuncias sobre el estado del sitio RedUsers (omito el enlace para no producir una infección en el lector), el conocido sitio argentino de noticias de IT y de la editorial homónima.

Al parecer y según indica Google, el sitio fue modificado en las últimas horas y han logrado insertarles scripts dañinos que redirigen al usuario a sitios de descarga de malware:

Si bien el momento de escribir el presente, Google y Firefox informan de que se trata de un sitio dañino, no he podido comprobar que los scripts sigan estando en el código fuente del sitio, por lo que probablemente el mismo ya haya sido sanitizado.


De todos modos este es un indicio más de que se debe contar con las herramientas de protección adecuadas antes de ingresar a cualquier sitio, sea cual sea.

Actualización 22:00 hs: los problemas ya parecen haberse solucionado.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Detienen a un joven bahiense por estafas cometidas por Internet (Argentina)

El imputado habría accedido a una casilla de correo en Hotmail para obtener números de cuentas corrientes y tarjetas de crédito.

Un hombre de 23 años fue detenido en la ciudad bonaerense de Bahía Blanca, en el marco de una investigación que se inició por una denuncia radicada en La Plata y que permitió descubrir no menos de diez estafas en la capital provincial y algunas en la ciudad del sur de la provincia, cometidas a través de Internet.

Se trata de Juan Pablo Gizzi, quien ya cuenta con un antecedente por una modalidad delictiva similar, hace poco más de dos años.

El allanamiento fue ordenado por la jueza de Garantías Nº 1, Gilda Stemphelet, a partir de un pedido del fiscal Eduardo Quirós y contó con la intervención de efectivos de la DDI local y de personal de pericias informáticas de la superintendencia de Comunicaciones del Ministerio de Justicia y Seguridad bonaerense, con asiento en La Plata.

En la vivienda de Gizzi, ubicada en Malvinas 524, se secuestraron además una PC, una notebook, dos módems, un pendrive, CD y otros elementos, que acreditarían su intervención en el delito.

Seguir leyendo »

Seguir leyendo »

¿Confiamos en las aplicaciones de Cydia?

El gestor de paquetes Cydia es el programa que triunfa entre los usuarios que deciden "liberar" su iPhone o derivados. Desde hace algún tiempo, los métodos para hacer jailbreak al dispositivo instalan por defecto esta aplicación, y gracias a ella se descargan los paquetes adicionales.

El software se instala desde repositorios (Cydia es un gestor de paquetes), y los que vienen por defecto son supuestamente los más fiables. Podríamos diferenciar entre los repositorios privados, donde solo los administradores suben su software, y los públicos donde cualquier usuario puede proponer una aplicación.

Hace poco tuve contacto con uno de estos repositorios 'by default' públicos, y me quedé bastante asombrado por el poquísimo control que se tenía sobre los paquetes que enviaban los usuarios.

Contenido completo en SdB

Seguir leyendo »

Entrevista con Anonymous (de los ataques a RAE, MPAA y RIAA)

En las últimas semanas he estado investigando el ataque DDoS llevado a cabo por Anonymous contra varios organismos audiovisuales mundiales. Esta pequeña pero ruidosa comunidad de Internet lanzó una campaña de ataques llamada “Operación Payback (Venganza)”, con ataques selectivos de Denegación de Servicio (DDoS) contra empresas e instituciones que apoyan al lobby anti-piratería.
El ataque, provocado por un ataque similar llevado a cabo por una empresa de la India contra sitios Web de intercambio de archivos, provocó que los organizadores de Anonymous se volvieran prácticamente locos de indignación. Tras seguir sus comunicaciones durante las últimas semanas, me vino a la cabeza la escena de la película “Network” (de 1976), en la que Peter Finch hace que todo el mundo se asome a la ventana gritando “¡Estoy muy cabreado y no pienso aguantar esto nunca más!”

Se repartieron panfletos llamando a la acción (como los de las imágenes inferiores) por todo el mundo y en distintos idiomas. Se usaron sitios como Reddit, Digg, 4chan, y Twitter para animar a miles de personas a unirse a la causa, alzarse y atacar al lobby anti-piratería.

Entrevista completa en Panda

Seguir leyendo »

Documental "La historia de Internet"

Hace un par de años el canal Discovery presentó uno de los mejores documentales sobre internet que se han hecho hasta el momento, son 4 capítulos que repasan algunos de los momentos más importantes de la red en los últimos 15 años... desde el nacimiento de su primer navegador hasta lo que es hoy en día.

• Capítulo I
• Capítulo II
• Capítulo III
• Capítulo IV

Además en tudiscovery.com hay una presentación interactiva con diapositivas (impresionante!) que destacan los hechos más importantes de internet desde los 60s hasta el 2007.

Fuente: Spam Loco

Seguir leyendo »

Usuarios de Mac advertidos de la creciente amenaza de los virus

Ahora hasta 500 amenazas por mes, dice un proveedor de seguridad.

Lo ataques en Mac ahora son suficientemente significativos para que los usuarios de Apple justifique la inversión en un producto antivirus, dijo la compañía de seguridad Panda en el lanzamiento de un nuevo producto que ofrece esa protección.

¿Una acción de marketing para cosechar de la economía de Apple o una precaución justificada? Panda apunta a los números. Ahora hay 5.000 familias de malware que afectan a Mac y la compañía dice que esta viendo 500 muestras nuevas por mes específicas para Mac.

En 2009, se detectaron 34 vulnerabilidades en el OS X de Apple, que se elevaron a 175 hasta ahora en 2010, con un total en 20 años de 170,000 macro virus que afectan a la plataforma.

Para ser claros, tales amenazas de seguridad están relacionadas solo con las computadoras de escritorio y portátiles de Apple y no con los iPads o iPhones, que son vulnerables solamente si han sido sometidos a 'jailbreak' o si, de alguna manera, una aplicación falsa consigue colarse en el proceso de aprobación.

Que las compañías de seguridad estén mirando a los ricos usuarios de Apple no es nada nuevo y cada compañía importante de antivirus tiene ahora un producto Mac, impulsado en parte por la relativamente mayor base de usuarios en los EEUU.

Sin embargo quedan interrogantes sobre la escala de la amenaza.

En relación a Windows, la comparación es que no compite. Las nuevas amenazas de Windows sobrepasan a las de Apple por entre 100 a 1 y 500 a 1 dependiendo a quien uno le pregunte, e ignorando la sofisticación mucho mayor que muestran.

Muchas de las vulnerabilidades del software que nota Panda fueron fallas de navegadores multi-plataforma, y no específicas de Mac. Y respecto a los 170.000 macro virus, si bien amenazan de cierta forma, tal malware es tan obsoleto en las PC que los proveedores ni siquiera se molestan en contarlos.

El argumento se basa en el número de amenazas de nuevo malware que se ve ahora y su complejidad. Por lejos, la evidencia sugiere que en tanto ahora aparecen troyanos complicados, el malware para Mac aun es sencillo.

"Siempre sostuvimos la teoría que cuando Apple alcanzara una mayor participación de mercado, cerca del 15 por ciento mundial (que dado el rápido crecimiento se alcanzará pronto), los hackers comenzarán a dirigir sus ataques contra esta plataforma," afirmó el vicepresidente de Panda Ivan Fermon.

"Incluso podríamos decir que hoy, el sistema operativo Windows es más seguro que el de Mac, sencillamente porque Microsoft ha estado trabajando pro-activamente en la seguridad durante varios años," agregó.

Hay pocas cifras confiables respecto de la participación de mercado de Apple y aquellas que existen tienden a está relacionadas sólo con los EEUU y el mercado de consumo. Con las computadoras de escritorio disminuyendo en importancia, las posibilidades de Apple de conseguir el 15 por ciento de las ventas parecen extremadamente remotas. Esta escala importa porque es lo que impulsa el interés de los criminales.

Dada la pequeña pero plausible naturaleza de la amenaza, hay un argumento que Apple misma debería ofrecer un programa de seguridad como parte de su oferta, en lugar de dejarlo en manos de terceros. Es lo que Microsoft terminó haciendo, actualizando XP con un firewall y más recientemente entregando un programa antivirus gratuito, Security Essentials.

Irónicamente, la razón por la cual Microsoft evitaba hacer eso en primer lugar era la preocupación por las investigaciones antimonopolio las cuales podrían haber sido vistas como una movida anti-competitiva. Este espíritu  de libre mercado lamentablemente malentendió la naturaleza de la amenaza y el mundo aun esta hoy limpiando el desastre hecho.

Para el registro, el antivirus Panda para Mac ofrece protección en tiempo real, escaneo de archivos y la capacidad de revisar los iPhones y iPads para asegurarse que no estén albergando malware incluso si ese malware no pueda dañas los dispositivos.

Panda también señala que los productos antivirus para Mac detienen el paso de malware para Windows que pueda pasar (como adjuntos) a los usuarios de PC aunque parece poco probable que la gente querrá comprar protección para otros usuarios que probablemente ya tienen su propia protección.

Los usuarios de Mac interesados en Panda Security for Mac pueden comprar una licencia de un año para el software por £42 (aproximadamente u$s 66). Esto es más alto que lo que un usuario de Windows pagaría por una protección equivalente pero este es el caso con todo el software de Mac. Los costos de desarrollo son mayores para un numero de usuarios menor.

Traducción: Raúl Batista - Segu-Info
Autor: John E. Dunn
Fuente: Networkworld

Seguir leyendo »