Falso positivo en antivirus lleva a falsas conclusiones

Aunque no es frecuente, la industria de los productos anti-malware cada tanto da alguna noticia cuando sucede un falso positivo. En el caso sucedido hoy, el reconocido boletín de Networkworld titulaba Samsung instala keyloggers en sus portátiles (Samsung installs keylogger on its laptops).

El caso fue que un columnista de Networkworld escaneó por completo su nuevo equipo Samsung con el antivirus VIPRE el cual detectó, de forma equivocada, la presencia de un programa espia, un keylogger.

El asunto suscitó una serie de comunicaciones con Samsung y con GFI Labs (dueños desde hace poco tiempo de Sunbelt Software autores del antivirus VIPRE).

Según aclara GFI se trató de un falso positivo y pidieron disculpas publicamente por lo sucedido. También corrigieron el problema de la detección errada. El problema fue ocacionado por la heurística del producto y un directorio C:\windows\sl que contiene el idioma esloveno para la aplicación Windows Live.

Por supuesto Samsung también aclaró el punto en su blog titulando "Las portables Samsung de hecho son seguras".

El sitio Networkworld realizó las actualizaciones de las notas a medida que se fue develando el verdadero origen del asunto, para al final cambiar el título a: El keylogger de Samsung puede ser una falsa alarma.

Como decíamos al principio estos casos no son frecuentes pero no dejan de suceder, es propio de cualquier producto de software que tenga errores, tal como comentaba hace algunos años Hispasec. Tambien aqui hemos relatado otros casos como este de AVG que dejaba inutilizada la PC(de varios), o también falsos positivos de McAfee, como así TrendMicro y Symantec han tenido sus problemas al igual que muchas marcas más.

Esta noticia inicialmente mala sobre Samsung se difundió rápidamente aunque no tanto la corrección tras hallarse que se trató de un falso positivo de un antivirus en particular.

Raúl de la Redacción de Segu-Info

Seguir leyendo »

La web de Apple otra vez hackeada para distribuir malware

Los ataques masivos para distribuir malware se empezaron a poner de moda hace ya varios años. La idea es que el atacante selecciona las víctimas a través de un programa automático que busca patrones en los buscadores como Google o Bing. Una vez obtenida una larga lista de sitios vulnerables, se realizan ataques SQL Injection a todos ellos, que están especialmente creados para introducir código script malicioso en la página web. Así, cuando un visitante navegue por la web vulnerada será atacado con un exploit que tratará de ejecutar un malware en su máquina.

En este caso, la empresa de seguridad Websense ha publicado cómo se ha producido un ataque en masa para añadir referencias maliciosas a LizaMoon.com en 280.000 sitios, utilizando esta técnica de SQL Injection en masa.

Lo curioso es que la web de Apple se ha vuelto a ver afectada y aparece entre los sitios vulnerados que distribuyen malware. Hay que decir que Apple está trabajando rápido y ha limpiado la web de cualquier referencia a este sitio, aunque aún es posible acceder a los resultados utilizando la caché de los buscadores, y ver como, en esta ocasión, el código era inyectado en el título de los podcast en iTunes.

Seguir leyendo »

Seguir leyendo »

Tres preguntas en el Día del Backup: ¿Qué? ¿Cómo? ¿Cuándo?

Una serie de organizaciones dedicadas al alojamiento en linea han lanzado una interesante iniciativa denominando al día de hoy, 31 de marzo, como el Día Mundial del Backup (en inglés, World Backup Day). ¿Quién no ha perdido alguna vez un dispositivo USB y se ha arrepentido de no tener un backup? ¿Quién no ha sufrido la muerte de un disco rígido y perdió información que nunca más se pudo recuperar? Seguramente la mayoría de los lectores, y es por ello que los invito a aprovechar este día para pensar y reflexionar acerca de la importancia del backup.

Por lo tanto, si quieren aprovechar el día de la fecha para comenzar a realizar copias de respaldo en sus sistemas, comparto con ustedes las tres preguntas que deben realizarse antes de comenzar a realizarlos:

• ¿Qué información debo respaldar? Un backup no es simplemente el almacenamiento indiscriminado de todos los archivos del sistema, sino que es importante de alguna forma (al menos sencilla) valorizar la información y decidir qué información necesita tener una copia de respaldo. Por ejemplo, en una carpeta de imágenes no es lo mismo las fotos familiares y de los hijos, que una carpeta de fondos de pantalla interesantes. Seguramente la primera de estas deba ser sometida a un proceso de backup mientras que la segunda puede ser información que el usuario está dispuesto a perder en caso de un incidente, por la facilidad para recuperarla o re-armarla.
• ¿Cómo la voy a respaldar? En segundo lugar, es importante definir cómo será almacenada y respaldada la información. Hay gran cantidad de métodos y tecnologías disponibles para esto, y entre las más frecuentes podemos mencionar, por el lado del hardware, utilizar dispositivos USB (tanto un pen drive como un disco rígido externo), dispositivos ópticos (CD o DVD) como así también discos rígidos en la nube. Cualquiera de estas posibilidades es víable, y dependiendo del tamaño del backup, los costos y otros factores; el usuario podrá optar por cualquiera de estos. Por otro lado, desde el lado del software, podríamos decir que en el ámbito hogareño la decisión más importante es si utilizar una aplicación para este fin, o no. En muchos casos, las tareas pueden ser realizadas manualmente de forma periódica.
• ¿Cuándo la voy a respaldar? En tercer lugar, las copias de respaldo deben ser realizadas periódicamente, pero hay que definir cada cuánto serán realizadas. ¿Todos los días? ¿todas las semanas?  En lineas generales, eso dependerá de cada cuánto la información es modificada. Si uno almacena en un archivo los avances diarios de un proyecto, seguramente todos los días será necesario realizar una copia de respaldo. Una carpeta de imágenes quizás sólo es necesario respaldarla cuando se guardan nuevas fotografías, y así sucesivamente según el caso.

En el ámbito corporativo, vale agregar una pregunta más, y no por ello menos importante: ¿quién realizará el backup? Me ha tocado conocer y visitar empresas donde se han implementado costosos sistemas de backup (tanto a nivel hardware como software), y sin embargo estos no se aprovechan o no se utilizan ya que no está claro quién es el responsable de dicha tarea. Por otro lado, vale destacar que en estos entornos empresariales, es necesario implementar un sistema de backup que, como ya se dijo, preferiblemente debe estar apoyado en hardware o software diseñados para tal fin, como por ejemplo herramientas que permitan hacer copias de respaldo incrementales para no almacenar información que ya fue respaldada anteriormente, y que no ha cambiado desde el último backup.

Las copias de respaldo son parte de las medidas correctivas en torno a los controles de seguridad, por lo que vale destacar que su importancia viene dada por la necesidad de que sea acompañada de medidas preventivas ante incidentes que atenten contra la información. Por ejemplo, ante una infección por ransomware, un código malicioso que bloquea el acceso a los archivos del usuario y pide dinero a cambio para devolverlos, un backup podría ser de mucha utilidad para que el usuario recupere su información. No obstante, la presencia de un software antivirus u otra medida preventiva, podría evitar directamente la infección y así también los riesgos asociados a no tener toda la información necesaria en la copia del respaldo.

Hoy es el Día del Backup, lo que nos pareció un buen motivo para recordar la importancia de hacer copias de respaldo y, desde el lado del lector, lo invitamos a hacerse estas tres preguntas, y recordar que hacer un backup puede ser más sencillo de lo que uno se imagina y, fundamentalmente, es una gran medida de seguridad que seguramente le ahorrará algún dolor de cabeza.

Fuente: ESET Latianoamérica

Seguir leyendo »

Los datos corporativos son el nuevo objetivo de la ciberdelincuencia

Los cibercriminales han pasado de apuntar a la información personal de los individuos al capital intelectual de las corporaciones mundiales, según un informe publicado por McAfee y el contratista de defensa Science Applications International Corp. (SAIC).

El estudio de más de 1.000 altos ejecutivos de TI de una amplia gama de empresas en los Estados Unidos, Reino Unido, Japón, China, India, Brasil y el Medio Oriente, reveló que el capital intelectual a menudo tiene poca o ninguna protección. Además, los ciberdelincuentes han encontrado que los secretos comerciales, planes y resultados de investigación y desarrollo de marketing vale muchas veces más dinero que los datos personales, como números de tarjetas de crédito y credenciales de banco.

Desde la recesión económica, más empresas han hecho el traslado de almacenar datos fuera de su país de origen con la esperanza de reducir los costos, y aproximadamente la mitad de las organizaciones encuestadas dijeron que estaban reevaluando los riesgos de almacenar datos en el extranjero, señala el informe. China, Rusia y Pakistán son considerados los lugares menos seguros para el almacenamiento de datos, mientras que el Reino Unido, Alemania y Estados Unidos se consideran los más seguros.

Fuente: Blog Antivirus

Seguir leyendo »

El FBI pide ayuda para descifrar un código

Son notas manuscritas encontradas en el cuerpo de un hombre asesinado en 1999. Los especialistas del organismo no lograron, hasta ahora, dar con la clave y por eso apelan a la inteligencia de los internautas.

Al Buró Federal de Investigaciones de los Estados Unidos (FBI, por sus siglas en inglés) no le ha quedado otra alternativa que recurrir a la astucia del público para tratar de resolver un crimen impune desde hace casi doce años y cuyas principales pistas son dos notas que contienen mensajes tan bien encriptados que nadie ha podido leerlos aún.

El 30 de junio de 1999, la policía de St. Louis, Missouri, descubrió el cuerpo de un hombre de 41 años, Ricky McCormick, en un campo. El FBI dice que, pese a un extenso trabajo de su Unidad de Análisis Criptográfico y Antifraude (CRRU, por sus siglas en inglés) y de la asistencia de la American Cryptogram Association, los significados de estos dos textos -hallados en los bolsillos del muerto- siguen en el misterio.

En la página del Federal Bureau puede leerse: "Las más de 30 líneas codificadas usan una exasperante variedad de letras, números, guiones y paréntesis. McCormick era un desertor de la escuela secundaria, pero sabía leer y escribir y se decía que era 'street smart' [tenía calle, era vivo]. Según su familia, McCormick había usado ese tipo de notas encriptadas desde que era un niño, pero aparentemente ninguno de sus parientes sabe descifrarlos y se desconoce si alguien más, aparte de la víctima, podía traducir su lenguaje secreto. Los investigadores creen que las notas halladas en los bolsillos de McCormick fueron escritas tres días antes de su muerte".

El jefe del CRRU, Dan Olson, reconoció que "los procedimientos habituales del decriptaje haber chocado contra una pared". Para avanzar, los analistas necesitan otra muestra del código de McCormick o alguno similar que pueda ofrecer un contexto a las misteriosas notas o permitir una valiosa comparación. Pero, a falta de nueva evidencia, dice Olson, "tal vez alguna mirada fresca pueda aportarnos una idea brillante".

El FBI asegura que no es la primera vez que confía en la ayuda de la gente para la resolución de un crimen, pero sería la primera vez que pide asistencia para penetrar en los secretos de un código.

No se ofrece recompensa, dice el FBI, "sólo un desafío -y la satisfacción de saber que con su poder mental usted habrá, quizás, ayudado a llevar a un asesino ante la justicia".

El que tenga una idea, conozca códigos similares o, ¿por qué no?, posea información adicional sobre Ricky McCormick, debe escribir al CRRU a la siguiente dirección:

FBI Laboratory
Cryptanalysis and Racketeering Records Unit
2501 Investigation Parkway
Quantico, VA 22135
Attn: Ricky McCormick Case

Fuente: Infobae

Seguir leyendo »

Una red crítica de la NASA, abierta a ataques Internet

Seis servidores de la NASA expuestos a Internet han mantenido vulnerabilidades críticas que podrían haber puesto en peligro las misiones del Transbordador Espacial, la Estación Espacial Internacional y el telescopio Hubble al abrir la puerta a ataques Internet.

Según el inspector general de la NASA, las vulnerabilidades que dejaron expuestos los servidores a ataques Internet podrían haber sido descubiertas por un programa de supervisión de seguridad aprobado por la agencia el año pasado, pero aún sin implementar.

Todas ellas estaban relacionadas con proyectos de TI para el control de naves espaciales o que contenían información crítica de la NASA, según Linda Cureton, CIO de la agencia. Pese a ello, su inspector general, Paul Martin, comprobó que todavía no se había desplegado el sistema aprobado para detectar y corregir problemas similares en el momento mismo en que se producen y se ha dado a sí mismo hasta finales de septiembre para empezar a hacerlo.

La auditoría llevada a cabo para investigar el incidente ha revelado también que algunos servidores expuestos contenían claves de encriptación, contraseñas encriptadas e información sobre cuenta de usuarios, datos que podrían haber sido utilizados por los atacantes para acceder a la red de la agencia sin autorización.

Además del programa de supervisión de seguridad de la información que afecta a los servidores conectados a Internet, la CIO de la NASA se ha comprometido a iniciar el 21 de agosto otro programa piloto para descubrir los riesgos del resto de redes de la agencia, aunque no estén conectadas a Internet.

Fuente: CSOSpain

Seguir leyendo »

Phishing a Bancolombia tambien abusa de Bit.ly, Ow.ly, Goo.gl

Recibimos hoy una denuncia sobre un phishing dirigido a clientes del Bancolombia. Como en varias otras oportunidades informamos. Por lo visto siguen usando el mismo "kit" de phishing desde el año pasado.

El texto del correo dice (errores incluidos):

Estimado Cliente :

Debido a la importancia por la seguridad e integridad de nuestros servicios hemos decidido enviarle el siguiente mensaje de alerta en el cual le comunicamos que por su SEGURIDAD.

Hemos implementado el nuevo sistema de IDENTIDAD PROTEGIDA DE BANCOLOMBIA.

En Bancolombia nos preocupamos por su seguridad, por este motivo recibirá esta notificación de forma automática cada vez que sea necesario.

Para evitar bloqueos y suspensión de los servicios ofrecidos en nuestra sucursal virtual, acceda a su cuenta con su usuario haciendo click sobre el siguiente el enlace que lo llevara directo a nuestra Web. Si el acceso es exitoso nuestro sistema eliminara el bloqueo de manera inmediata y usted podrá seguir disfrutando de todos nuestros servicios.

https://www.bancolombia.com <-- vinculo falso que apunta a enlace bit.ly

Bancolombia pone a tu disposición, sin costo adicional nuevos servidores que cuentan con la última tecnología en protección y encriptacion de datos.
GRUPOBANCOLOMBIA S.A. Establecimiento Bancario.

En la captura se aprecia como se ve el correo:

Como se señala en el correo al posar el cursor sobre el vínculo se ve que apunta a un enlace de Bit.ly, abajo a la izquierda, mientras que simultáneamente en una caja de mensaje apenas abajo a la derecha repite la dirección supuesta.

El enlace del correo engañoso era una URL acortada de Bit.ly, que reportamos de inmediato, lleva a otra URL acortada de Ow.ly, difícil de encontrar donde reportar, y que lleva al sitio falso en cuestión.

Como en oportunidades anteriores es igual al original, incluso se observa que toma los gráficos y funciones del sitio original con un parecido y vínculos difícil de distinguir incluso para alguien experimentado. Por supuesto el detalle de la dirección es algo que por ahora no falla para darse cuenta del engaño, como se aprecia en la captura comparada de sitio auténtico y falso:

Mientras escribíamos este informe y luego de haber denunciado en Phishtank, Google SafeBrowsing y IE SmartScreen, recibimos otro reporte del mismo correo:

Este nuevo con un vínculo engañoso apuntado a un dominio CO.CC que a su vez redirige a un URL corto de Ow.ly y este a otro de Goo.gl el cual redirige a otro dominio CO.CC donde está el sitio falso. Desde Segu-Info procedimos a las denuncias correspondientes de la misma forma que antes.

Evidentemente la motivación por robar dinero, frustrada en parte por las denuncia que realizamos algunos miembros de la comunidad, es suficiente como para volver a montar el sitio el mismo día en otra parte.

Los delincuentes no descansan . . .  y nosotros tampoco. ;-)

Raúl de la Redacción de Segu-Info

Seguir leyendo »

Cómo organizar el Departamento de Seguridad

Excelente presentación de Castellanos, Raúl (CISM) de la empresa Cybsec que busca explicar una de las problemáticas más comunes que se enfrentan las compañías:

• ¿Cuáles son los distintos roles relacionados con seguridad de la información y gestión del riesgo?
• ¿Dónde deben ubicarse los mismos dentro del organigrama?
• ¿Cómo están formados los departamentos de seguridad?
• Grados de madurez de las áreas de seguridad informática
• Modelo de adopción de la seguridad en las organizaciones 

La presentación puede descargarse desde aquí.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Ecuador: los casos de Phishing aumentaron de 119 a 1308

Raúl V. luego de consultar el saldo de su cuenta por internet descubrió que su dinero desapareció al día siguiente. Le dejaron $ 8 de los $ 13.000 que poseía. Cuando reportó el caso al banco, lo colocaron como el principal sospechoso de la transferencia bancaria.

Luego de múltiples quejas y sin resultados inició una denuncia ante la Fiscalía. Técnicos de la entidad realizaron un peritaje al movimiento bancario y determinaron que su dinero fue enviado a Perú y luego volvió a tres cuentas distintas al mismo banco en Ecuador.

No era el único, en el camino se encontró a decenas de clientes a quienes los estafaron por Internet. Según la Fiscalía General, estos casos se han incrementado. De los 119 que se registraron en el 2009 hasta lo que va de este año hay 1.308, que representa entre y $ 1 y $ 2 millones de perjuicio.

La persona estafada admite que nunca se percató de que la página era falsa y entregó sus datos personales, claves de acceso. Según el director de la unidad de delitos informáticos de la Fiscalía, Santiago Acurio, existen diversas modalidades de estafa para los usuarios del sistema financiero. Uno de ellos se denomina phishing y se dedica a suplantar la identidad de un sitio web por otro para extraer información de modo fraudulento. Los perjudicados por esta clase de delito ingresan a páginas similares a las originales, creadas por hackers, donde digitan toda la información personal. Se utilizan como enganche los correos electrónicos masivos que parecen provenir de la institución financiera o de empresas con las que el cliente tiene algún tipo de relación.

Seguir leyendo »

Seguir leyendo »

ENISA publica informe sobre Cloud Computing en español

El informe "Security and Resilience in Governmental Clouds" (Riesgos y amenazas en cloud computing) que la ENISA publicó el pasado mes de enero ya tiene su versión en español.

Este informe, en el que INTECO ha colaborado no sólo en su elaboración sino en su traducción al español, tiene la finalidad de servir de guía a las administraciones públicas en materia de cloud computing. Pretende mostrar los pasos a seguir para implementar una arquitectura de estas características.

El cloud computing ofrece una gran cantidad de beneficios potenciales a los organismos públicos, como la escalabilidad, la elasticidad, el alto rendimiento, la resistencia y la seguridad, además de la rentabilidad de costes. Comprender y gestionar los riesgos relacionados con la adopción e integración de las prestaciones de la computación en la nube en los organismos públicos supone un reto clave. La gestión eficaz de las cuestiones sobre seguridad y resistencia en relación con las prestaciones de cloud computing está llevando a muchos organismos públicos a innovar y, en ciertos casos, a replantearse sus procesos de evaluación del riesgo y de toma de decisiones fundadas respecto a este nuevo modelo de prestación de servicios.

En el citado informe se identifica un modelo de toma de decisiones del que podrán valerse los responsables de dirección a la hora de decidir de qué modo pueden llevar los requisitos operativos, jurídicos y de seguridad de la información a la identificación de la solución de arquitectura de computación que mejor se adapte a las necesidades de su organización.

Además, este informe pretende brindar apoyo, de forma indirecta, a los Estados miembros de la Unión Europea en la definición de su estrategia nacional respecto a cloud computing en lo que a seguridad y resistencia se refiere.

Sin embargo, este informe de la ENISA no es el único sobre cloud computing en el que INTECO interviene, ya que hace unas semanas INTECO publicó el documento de elaboración propia «Riesgos y amenazas en cloud computing», que analiza la problemática de estos entornos desde los puntos de vista de instituciones de gran reputación como NIST, Gartner y CSA, ofreciendo al usuario una visión global de estos entornos, partiendo de la clasificación de los mismos para finalizar con el análisis de los principales riesgos y amenazas.

Fuente: INTECO-CERT

Seguir leyendo »

¿Cuánto se gana haciendo spam?

Muchas veces nos hemos preguntado por qué demonios hay organizaciones que mandan spam: ¿Qué ganan con eso? ¿Alguien cae en esos tontos avisos de venta de Viagra?

Chris Kanich y un equipo de la Universidad de San Diego y el Instituto Internacional de Ciencia Computacional decidieron averiguarlo, de modo que secuestraron un botnet y se pusieron a investigar. El equipo infectó intencionalmente ocho computadores con un virus intermediario para interceptar las instrucciones que el botmaster enviaba a los PCs zombies.

Luego, cambiaron esas órdenes, convirtiendo a toda la red de bots en un zombie para la investigación. En lugar de enviar el tráfico (de los pobres incautos que creen los avisos de Viagra) al sitio del botmaster, los avisos del spam redirigían a un sitio armado por el equipo de Kanich. La web parecía una farmacia en internet auténtica, pero en lugar de cobrar de tarjetas de crédito y enviar pastillas de azúcar al que cayó en la trampa, el sitio lanzaba un error al visitante, y contaba el número de clicks.

Seguir leyendo »

Seguir leyendo »

Pagarán casi u$s 1 M por piratear a los Beatles

Los propietarios de una página web de California que ofrecía canciones de los Beatles antes de que salieran a la venta legamente en iTunes accedieron a pagar 950.000 dólares al sello de la banda para resolver una demanda por violación de derechos de autor.

Según documentos legales divulgados el lunes, una jueza federal determinó el pasado diciembre que Media Rights Technologies violó los derechos de autor de EMI Group al vender de forma ilegal música de los Beatles y otras bandas como Radiohead, Coldplay y Bonnie Raitt en su página BlueBeat.com en 2009 por 25 centavos cada una.

Media Rights había argumentado que BlueBeat.com no ofrecía el contenido original, sino que había regrabado la música e introducido toques artísticos basados en una técnica llamada "simulación psico-acústica".

La juez del distrito Josephine Staton Tucker rechazó este argumento, tachándolo de "lenguaje pseudo científico oscuro e indefinido (que) parece ser una forma retorcida de describir el sampling".

La tienda iTunes de Apple empezó a vender las canciones de los Beatles el pasado noviembre, culminando con éxito largas negociaciones por los derechos del catálogo posiblemente más codiciado de la era del rock. Los abogados de ambas partes a quienes se contactó no respondieron de inmediato.

Fuente: Ambito

Seguir leyendo »

Multas por descargas ilegales desde tu IP

Todos sabemos que en pocos meses comenzará a dar sus primeros «frutos» la tan traída Ley Sinde, en forma de las primeras denuncias y los primeros cierres de webs que promuevan o faciliten la distribución y descarga de obras protegidas por los derechos de autor. Pero antes de que eso ocurra, los enemigos de lo ajeno pueden aprovecharse del miedo y el desconocimiento de los usuarios para «recaudar» impunemente supuestas multas por descargas ilegales.

Esto ha comenzado ya a ocurrir en algunos países de nuestro entorno, según advierte el Grupo de Delitos Telemáticos de la Guardia Civil. El engaño puede llegarnos en forma de un mensaje supuestamente procedente de SGAE, AGEDI, EGEDA, FAP o cualquier otra entidad conocida por su defensa y representación de los derechos de autor. En él se nos informaría de que nuestra IP ha sido identficada como punto de descarga de películas o música. Entonces se nos dará la oportunidad de evitar posteriores actuaciones si pagamos una cantidad de -por ejemplo- 100 euros a través de PayPal u otro medio de pago on-line.

La gran mayoría de los usuarios se quedará asombrado y temerá que sea cierto que le han pillado. Si nuestra dirección IP no es fija, es muy probable que el número de IP que nos proporcionan en el mensaje nos parezca verídico, así que quizá prefiramos pagar la cantidad que nos piden y olvidarnos de todo el asunto. El método es ideal para engañar a los usuarios, porque probablemente pocos estemos libres de haber descargado alguna vez de Internet algún contenido protegido. Pero no seamos crédulos: la legislación española no tiene prevista la persecución y denuncia de los usuarios particulares (al menos de momento).

Así que si recibimos un mensaje de este tipo la recomendación es avisar al Grupo de Delitos Telemáticos de la Guardia Civil para que persigan a los delincuentes. Que no somos nosotros.

Fuente: PC Actual

Seguir leyendo »

Lección 6 de Intypedia: Malware

En Intypedia se encuentra disponible la Sexta lección de la Enciclopedia de la Seguridad de la Información: Malware. Su autor es D. Bernardo Quintero, Hispasec - VirusTotal Founder.

El vídeo tiene una duración de 13:26 minutos y está formado por 4 escenas o capítulos:

• Escena 1. Introducción al malware: conceptos
• Escena 2. Difusión del malware. ¿Cómo se infecta?
• Escena 3. El negocio del malware
• Escena 4. Contramedidas: detección y eliminación del malware

Alicia entrega a Bernardo su ordenador infectado por malware para que lo inspeccione. Antes de limpiar y actualizar el sistema, Bernardo le explica qué es el malware, cómo se clasifica y difunde, así como el negocio que hay detrás de ello. Comenta, además, qué medidas básicas son recomendables tener en cuenta para proteger nuestros equipos informáticos y analiza los dos tipos de malware que se encuentra en ese ordenador y que justifican su mal funcionamiento.

La siguiente entrega para el mes de abril de 2011 de la enciclopedia visual de la seguridad de la información es: Seguridad en aplicaciones Web. Introducción a las técnicas de inyección SQL, del autor D. José María Alonso de Informática64.

Fuente: Intypedia

Seguir leyendo »

Masiva propagación de videos por Facebook (a través de Clickjacking)

En los últimos días nos han reportado varios casos de engaños a través de Facebook utilizando la conocida técnica de Clickjacking (ver demo) en donde se "secuestra" el clic del usuario para lograr un cometido determinado.

En los casos de Facebook recientes, el motivo es lograr que el usuario haga clic en un video (real) pero que además suma "Like" al sitio del delincuente. Los motivos de algunos de los videos son:

• Se le sale una (.) mientras presenta un programa en vivo
• La Bellissima Marika Fruscio mostra le tette in una televisione privata!
• Grito a Cristan U: Me **** a tu novia, gordo boludo (Gran Hermano 2011)
• Increible accidente de helicoptero
• Espectacular gol de MESSI
• Guillermo B. Schelotto se pelea con un camarografo

Los dos primeros mensajes  ha sido localizados para Perú y México y redirigen al usuario a http://cocinapara[ELIMINADO].com/. Los demás son argentinos y rediregen al sitio http://[ELIMINADO]be.com.ar.
Inicialmente se propaga un mensaje y un enlace a los usuarios de la siguiente manera:

Cuando el usuario hace clic, se lo envía a algunos de los siguientes enlaces HTML, disponibles en el servidor del delincuente:

Como puede verse hay un archivo por cada engaño que se intenta realizar. Suponiendo que el usuario haya ingresado al sitio de Gran Hermano 2011, verá algo como lo siguiente:

Contrario a lo que se puede pensar, en este caso el video es real y efectivamente se puede hacer click en el botón Play (sección remarcada) pero es allí donde ocurre el clickjacking ya que en esa sección el creador de la página ha colocado una serie de enlaces (no visibles) y sobre los cuales el usuario realmente hará clic, sin saberlo.
Esa acción se puede apreciar sólo en el código fuente:

En la primera parte remarcada y subrayada, se aprecia que existe un DIV que está por encima del video pero permanece oculto (propiedad hidden) y de esa forma el usuario piensa que está realizando clic sobre el botón Play pero en realidad lo hace sobre uno de los cuatro enlaces que aparecen allí y que conducen al mismo sitio: sumar un "Me gusta" en Facebook (aunque podría hacer cosas peores).

Este engaño es difícil de detectar por un usuario incauto o sin preparación y la única forma de evitar caer en la trampa es no creer en todo lo que llega a nuestra casilla o muro.

Existen también herramientas como la extensión NoScript para Firefox o en el caso de utilizar Internet Explorer 8 o 9, los enlaces ocultos directamente no funcionarán y serán bloqueados.

Con respecto al dominio, el mismo está registrado a nombre de un supuesto estudiante argentino:

Desde Segu-Info ya hemos realizado las denuncias pertinentes para que el sitio sea dado de baja a la brevedad.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Inyeccion SQL y XSS con posterior publicación de datos de MySQL

Este fin de semana unos hackers rumanos pusieron en evidencia la falta de seguridad de algunos sitios web de Mysql.com y Sun (Full Disclosure bug mailing list), al exponer nombres de usuario y hashes de contraseñas obtenidos a través de un ataque a ciegas usando nada menos que una inyección SQL o Blind SQL injection.

Los hackers TinKode y Ne0h (del grupo Rumano Slacker.Ro) publicaron un volcado de credenciales robadas de MySQL.com, MySQL.fr, MySQL.de, MySQL.it y www-jp.mysql.com en Pastebin. Entre los datos se incluye la pobre contraseña de 4 dígitos que Robin Schumacher, director de gestión de productos, utilizaba en su cuenta de WordPress para blogs.mysql.com.

Los datos expuestos se corresponden con las credenciales de los usuarios del servidor MySQL y el volcado de la base de datos principal del sitio. Entre las credenciales pueden observarse nombres de usuario, contraseñas hasheadas, correos y direcciones.

Algunos de los hashes han sido además publicados en texto claro ya que eran tan sencillos que posiblemente a los atacantes les llevo escaso tiempo encontrar su correspondencia utilizando fuerza bruta con tablas rainbow. Sorprende (o no) observar contraseñas tan débiles como un simple número de 4 cifras para la cuenta de administrador.

La base de datos expuesta contenía correos electrónicos y credenciales de miembros y empleados, así como tablas con información de clientes y socios, y detalles internos de la red. Los hashes fueron publicados con algunos que ya habían sido descifrados. Por otro lado, XSSed.com también detalla una vulnerabilidad XSS (Cross Site Scripting) que afectan a MySQL.com y que podría haber proporcionado un punto de entrada secundaria que ponía en peligro a los visitantes y empleados desde principios de enero de 2011.

Al mismo tiempo un par de sitios de Sun/Oracle recibieron un ataque similar, pero en este caso sin comprometer datos de acceso. Mientras tanto, el sitio Sucuri solicitó a los usuarios registrados en Mysql que cambiaran sus contraseñas.

Fuente: DDSMedia y Seclists

Seguir leyendo »

Phishing a Banco Bradesco abusa de URLs cortas de Bit.ly. Más del 5% caen engañados

Hoy recibimos una nueva denuncia de phishing que apunta a robar credenciales bancarias de clientes del Banco Bradesco (Brasil). El mensaje falso induce a engañar a la víctima para que visite el sitio al que lleva el enlace del correo, que es compuesto solo por una imagen. El correo se ve así:

El enlace de la imagen y el vínculo de la misma usan URLs acortadas del servicio gratuito de Bit.ly. Gracias a esto podemos observar que a las 9:45hs había sido visitado por 654 víctimas en tanto la imagen que se muestra al abrir el correo fue vista por 19.183 destinatarios de este correo. Una cuenta sencilla arroja una tasa del 3,4% de los destinatarios haciendo clic en el enlace, cayendo en la trampa!

Una hora después, a las 11:00hs, las visitas al sitio falso fueron 1.308 y Bit.ly nos regala con sus estadísticas el dato que fueron 572 clics desde las 10:00hs en el sitio falso y un total de 28.342 abrieron el correo (la imagen). Así, la tasa de gente engañada es del 4,61%.

Si bien desde Segu-Info denunciamos de inmediato a Bit.ly, a las 9:50hs, las dos direcciones que usan los delincuentes para este engaño, más de una hora después siguen activas y las victimas siguen cayendo en la trampa. A las 11:46 fue desactivado el URL acortado del sitio de phishing, con 1.735 clics (¿víctimas?) y 33.139 de la imagen del correo,o sea la tasa final de la "campaña" tuvo una tasa de 5,24% de usuarios engañados.

Mayor velocidad de respuesta tuvimos con Tinypic.com, el sitio (ab) usado para guardar la imagen de correo de phishing, quienes la dieron de baja a los 5 minutos de nuestra denuncia. Pero fuera del alcance de ellos están los cache que hacen que en muchos casos aun persista.

Los delincuentes montaron un kit de phisihing desarrollado por brasileros (en portugués figuran los archivos e instrucciones) en un servidor cuya IP es de EEUU y que también hemos denunciado sin respuesta aún.

Una investigación (búsqueda en Google) nos lleva en 30 segundos a saber que el cracker autor del kit tiene 18 años y además de programador hace los envíos de spam.

Afortunadamente para quienes usan FireFox, el navegador advierte que el sitio es fraudulento, no así con otros navegadores, salvo que usen el plug-in de WOT que también lo identifica.

Como es costumbre Segu-Info denunció el caso a Phishtank.

Otros informes similares sobre Phishing:

• Cantidad de ingresos a un sitio de Phishing
• Los números y estadísticas de phishing
• Los números del Phishing (III): 400 víctimas en el último phishing de Santander

Raúl de la Redacción de Segu-Info

Seguir leyendo »

El papel de las empresas occidentales en el bloqueo de Internet

Casi siempre, al hablar de censura, aparecen nombres como China, Irán, Egipto o Arabia Saudí. La razón es que en Asia y África los bloqueos y apagones de Internet son allí más claros y, cada vez, más evidentes. Sin embargo, la mayor parte de los países se sirven de herramientas creadas y gestionadas por empresas occidentales. Una investigación ha puesto sus nombres y sus roles sobre el papel.

La Iniciativa OpenNet ha publicado un informe sobre los roles de las compañías tecnológicas en la represión online que ha acompañado a los movimientos revolucionarios contra las dictaduras de la península arábiga y el norte de África. Los autores, Helmi Noman y Jillian C. York “encuentran que nueve países de la región han utilizado herramientas para el bloqueo de contenido social y político creadas en occidente, que han logrado bloquear en total a aproximadamente 20 millones de usuarios de Internet el acceso a páginas web”. Un dato pequeño si se ampliase el estudio al mapa de la censura online en el mundo.

Intel y Netsweeper, muy implicadas

En total han encontrado nueve países en los que se han empleado tecnología occidental por parte de las compañías de telecomunicaciones para ejecutar los bloqueos de la red. Son Arabia Saudí, Bahrain, Emiratos Árabes Unidos, Kuwait, Omán, Qatar, Sudán, Túnez y Yemen.

Utilizaron servicios para el bloqueo de páginas web basándose en el hosting, proxies y anonimato, con contenidos como ateísmo o divulgación anti musulmana, sexualidad y citas. Mantener la lista de sitios que pueden ser censurados por un tipo de software es tarea de esas compañías, que trabajan de forma coordinada con sus clientes en el resto del mundo. Es decir, que estas empresas trabajan directamente y con conocimiento en actividades de control con herramientas diseñadas específicamente para obtener beneficios de las estrecheces de Internet.

Entre las marcas implicadas aparecen nombres como McAfee (ahora propiedad de Intel), que ofrece sus software SmartFilter y Websense, o la canadiense Netsweeper. Siria, sin embargo, ha recorrido a herramientas de software libre.

Para York, el descubrimiento más importante del informe (descargar PDF) es “cuánto dinero se está gastando Estados Unidos en tecnología para burlar los filtros que sus propias compañías producen”. Y lo que es aún más sorprendente, lo fácil que es que una página sea catalogada por error por uno de estos filtros y, por tanto, censurada; especialmente como pornografía en cuanto hace alguna referencia a conceptos como la transexualidad o el lesbianismo. O lo que es aún más preocupante, sitios sobre tratamientos y prevención del cáncer de mama.

El informe de la Iniciativa OpenNet muestra al detalle cómo funcionan estos sistemas de filtrado, qué categorías recogen y cuál está siendo el uso que le da cada país.

Fuente: ReadWriteWeb

Seguir leyendo »

Hacker de Comodo se da a conocer, afirma 'no tener relación con el CyberEjercito Iraní'

El presunto hacker de Comodo dio un paso al frente este fin de semana para explicar cómo generó los falsos certificados SSL para login.skype.com, mail.google.com, login.live.com y otros sitios populares de Internet (código fuente utilizado).

Su historia es que fue capaz de comprometer los socios de Comodo, GlobalTrust.it e InstantSSL.it. Ambos sitios están actualmente "en construcción".

Se jacta de cómo decidió derribar el sistema de certificados raíz SSL y empezó por atacar el algoritmo RSA, pero cuando se encontró con las vulnerabilidades de estos sitios web se decidió por ese enfoque.

En ese punto tendría que estar de acuerdo con él, ya que atacar el algoritmo RSA parece un reto mucho más difícil, pero el texto de su "manifiesto" está tan llena de jactancia es incluso difícil de leer.

Si bien es iraní, afirma no tener ninguna relación con el "CyberEjército iraní " e insiste en que es simplemente un hacker con unas 1000 veces el conocimiento y la experiencia que todos los demás...

Mientras investigaba la forma en que podría poner en peligro a una entidad emisora ​​de certificados (CA) se topó con InstantSSL.it y el uso de un archivo DLL en ese sitio, utilizado para enviar solicitudes de firma de certificado (CSR) para la firma inmediata de la CA.

Al des-ensamblar esta DLL, descubrió un nombre de usuario y contraseña en texto claro usado como parte del proceso de envío del CSR, lo que le permitió enviar cualquier CSR que quisiera para ser firmado por Comodo y obtener el certificado firmado de inmediato.

Al principio no estaba claro si este tipo era el real, y por supuesto es imposible saberlo. Lo que hizo después fue publicar parte del código fuente de la TrustDLL.dll en pastebin, incluyendo las partes utilizadas para la autenticación que almacena la contraseña no cifrada.

Una vez más volvemos a las contraseñas inseguras y las técnicas de manejo de contraseñas. Afortunadamente, el impacto de este incidente es muy pequeño y puede ser una llamada de atención para la industria de certificados en su conjunto.

Como Mozilla señaló en una nota del blog, la práctica de firmar los certificados directamente con el certificado raíz, como Comodo lo ha estado haciendo, es realmente una mala práctica.

El único misterio que queda es este: Si se trata de un hacker solitario señalando su punto, ¿por qué emitir certificados de estos sitios web específicos, todos ellos relacionados con los métodos seguros de comunicación usados a menudo por los disidentes para organizar protestas y compartir noticias con el mundo? Sus divagaciones muestran sin duda su apoyo a Mahmud Ahmadinejad y el régimen iraní actual, pero no hay vínculos concluyentes con su gobierno.

Traducción: Raúl Batista - Segu-Info
Autor: Chester Wisniewski
Fuente: Sophos Blog - Naked Security

Seguir leyendo »

México: cerca del 50% de la población es víctima del robo de identidad

Dos de cada tres mexicanos ha perdido o le han robado en alguna ocasión, algún tipo de documentación, por lo que más del 50 por ciento de la población es potencial víctima de un robo de identidad, informó un estudio del grupo CCP en México.

Alfonso Flores, director del grupo advirtió que más del 60 por ciento de quienes han perdido un documento han extraviado o le han robado la cartera o el bolso y a más de la mitad las tarjetas bancarias.

El estudio también reveló que 23 por ciento de la población proporciona datos personales en redes sociales, 11 por ciento lo hace por teléfono, a pesar de tratarse de personas desconocidas; mientras que 16 por ciento de las personas mandan información confidencial, como claves y contraseñas de sus cuentas y tarjetas, por correo electrónico.

Otra forma es al pagar con alguna tarjeta, pues el 27 por ciento de los mexicanos descuida su plástico, momento que se puede utilizar para obtener los datos del tarjetahabiente.


"Con esta información personal, los delincuentes pueden abrir cuentas bancarias, solicitar préstamos y financiar vehículos, usurpando la identidad de otra persona, además de comprar bienes y servicios o establecer contratos como de telefonía móvil y alquiler de viviendas en su nombre", alertó el directivo.

Para evitar este tipo de fraudes recomendó no tirar a la papelera información personal, sin destruirla previamente, no revelar datos personales en llamadas telefónicas de desconocidos, no perder de vista la tarjeta y utilizar contraseñas seguras y complejas.

Fuente: Cronica

Seguir leyendo »

Robo de datos a través del chat de Facebook

Nos han reportado una nueva aplicación engañosa de Facebook que simula ser un juego de Mario Bros pero en realidad roba los datos privados de los usuarios y se replica a través del chat de la red social.

Inicialmente el perfil de un usuario afectado comienza a enviar invitaciones a todos sus contactos. Generalmente esta acción se hace sin consentimiento del usuario afectado y este no se entera de este envío:

Si quien recibe el mensaje, hace clic sobre el enlace la dirección corta de Goo.gl lo redirige a una aplicación dañina de Facebook, como se puede ver a continuación:

Al ingresar a la aplicación, se solicita autorización del usuario para instalar la misma en el perfil del usuario:

Si el usuario brinda su consentimiento, en realidad está brindando su permiso para que a partir de ese momento la aplicación comience a enviar los mensajes a través del chat, vistos previamente:

Si Ud. ya autorizó esta aplicación la misma puede darse de baja desde Cuenta -> Configuración de la Privacidad en Facebook.

Luego de las denuncias correspondientes de Segu-Info, tanto la URL acortada de Goo.gl  como la aplicación dañina han sido dadas de baja, aunque esto solo indica que seguirán apareciendo.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Publicados los datos de la encuesta «EU Kids online»

Continúan apareciendo los datos recogidos dentro de la encuesta EU Kids online II promovida por la Comisión Europea en el marco de su programa Safer Internet y de la que ya habíamos informado anteriormente. En esta ocasión se han presentado bajo el título Riesgos y seguridad en internet: Los menores españoles en el contexto europeo las conclusiones relativas a los internautas españoles (de 9 a 16 años), algunas de las cuales resumimos a continuación:

Conclusiones

• El riesgo con mayor incidencia entre los menores entrevistados es el contacto a través de internet con personas que no conocen previamente en persona (21%), aunque sólo el 9% llega a quedar con alguno de esos amigos de Internet.
• Casi la mitad (42%) de los menores españoles acceden a Internet desde sus cuartos privados, lo cual hace “casi imposible” la supervisión parental. Es de las tasas más bajas de Europa, aunque se prevé que aumente.
• Dado que los lugares de acceso más frecuentes son el hogar (84%) y después el colegio (63%), es responsabilidad principal de los padres y en segundo lugar de los profesores velar por la seguridad de los menores al acceder a Internet.
• Aunque a nivel europeo más del 40% de los menores encuestados se conectan a Internet a través del teléfono móvil u otro dispositivo portátil, en España esa cifra no pasa aún del 10%. Es una oportunidad para estudiar y prevenir anticipadamente los riesgos derivados de ese nuevo uso móvil y por tanto más difícil de controlar por los padres.
• La edad es la variable que más influye en el uso y los riesgos que los menores experimentan de internet. Así, por ejemplo, en el caso del bullying a través de internet, la incidencia es del 7% en los de 15 y 16 años y sólo del 1% aproximadamente entre los de 9 y 10.
• Los menores de más edad están más expuestos a los diferentes riesgos, pero a la vez están más capacitados para afrontarlos y les causan menor sufrimiento.
• El sexo también marca diferencias: los varones están más expuestos a la pornografía en internet y a la recepción de mensajes sexuales, mientras que entre las niñas es más frecuente sufrir ciberbullying.
• Los adolescentes pasan mucho más tiempo en Internet, y tienden a hacerlo en entornos privados (en su dormitorio o vía dispositivo portátil); en muchos casos se podría hablar de un uso excesivo. España es de los países europeos con mayor porcentaje de menores que responden a algunos de los parámetros relacionados con un uso excesivo de Internet.
• Los internautas más pequeños poseen menos habilidades internéticas, dependen más de la guía parental y están menos satisfechos con los contenidos de la Red.
• 1 de cada 10 menores entre 12 y 16 años afirma haber recibido mensajes de carácter sexual.
• El 19% de los menores afirmaron haber accedido a contenidos potencialmente perjudiciales generados por otros usuarios (incitación al odio, a la anorexia o al consumo de drogas…).

Autores
El informe ha sido dirigido por Maialen Garmendia, investigadora principal del grupo EU Kids Online en España y el resto de miembros del grupo: Carmelo Garitaonandia, Gemma Martínez y Miguel Ángel Casado. Todos ellos profesores e investigadores de la Universidad del País Vasco/Euskal Herriko Unibertsitatea.

Sobre EU Kids online
EU Kids Online II ha diseñado y llevado acabo una gran encuesta cuantitativa a menores de entre 9 y 16 años sobre las experiencias de riesgo en Internet en 25 países europeos. Los hallazgos son sistemáticamente comparados con las percepciones y las prácticas de sus padres, y se están difundiendo a través diferentes publicaciones y presentaciones que continuarán hasta 2012.

Fuente: Pantallas Amigas

Seguir leyendo »

Según un investigador la demora en revelar el robo de SSL puso en riesgo a activistas Iraníes.

La demora en divulgar un robo de certificados digitales para alguno de los sitios web más importantes, incluyendo Google, Skype, Microsoft y Yahoo, puso en riesgo la vida de activistas Iraníes, sostuvo el miércoles un investigador.

Comodo, la compañía de seguridad de Jersey City, NJ cuyo revendedor publicó certificados falsos, cuestiona la acusación, diciendo que en ningún momento nadie estuvo en riesgo.

La semana pasada, atacantes usaron un usuario y contraseña válidos para obtener nueve certificados SSL -- usados para probar que un sitio es legítimo --- de un afiliado de Comodo. Los certificados fueron para seis sitios Web, incluyendo sitios de ingreso a Hotmail de Microsoft, Gmail de Google, el servicio de teléfono y chat de Skype y el correo de Yahoo. Un certificado para el sitio de agregados de Firefox de Mozilla también fue conseguido.

Según reveló Comodo, la empresa atacada para generar certificados falsos, al menos uno de los certificados logon.yahoo.com fue usado para legitimar un sitio falso de Yahoo alojado en un ISP Iraní.

Según Melih Abdulhayoglu el CEO y fundador de Comodo hay evidencia altamente circunstancial respecto que el gobierno Iraní respaldó el ataque a su socio para obtener certificados SSL. Agrregó que el ataque fue "muy bien ejecutado por los cibercriminales. Fue bien planeado y sabía exactamente lo que querían obtener."

Comodo esperó ocho días antes de revelar el ataque, usando ese tiempo para investigar, revocar los certificados y contactar a los fabricantes de navegadores como Google, Firefox y Microsoft para que pudieran publicar actualizaciones que bloquearan los certificados falsos.

Esa demora puso a Iraníes en riesgo, dice Jacob Appelbaum, un investigador del Laboratorio de investigación de seguridad y privacidad de la Universidad de Washington. Appelbaum descubrió de forma independiente el robo de certificados la semana pasada y se comunicó con Comodo, Mozilla y Google sobre lo que descubrió.

El martes Appelbaum publicó su análisis en el blog del proyecto Tor. Tor es un sistema que permite a la gente conectarse anónimamente a la Web y es usado a menudo en países donde el gobierno vigila la actividad en linea de sus ciudadanos.

"Al mantener esto en silencio por ocho días, Comodo y otros pusieron en riesgo vidas", dice Appelbaum, refiriéndose a los activistas anti-gobierno de Iraníes que pudieron haber sido redirigidos a sitios falsos y así revelar sus identidades y planes. "Fueron completamente incapaces de protegerse durante ese lapso de tiempo. Los usuarios deberían haber tenido más temprano esta información".

Appelbaum dijo que las autoridades Iraníes confrontan a los activistas con evidencia en linea de sus alegados crímenes durante interrogatorios. "Regularmente le muestran a quienes son arrestados la información de su tráfico en Internet," dijo Appelbaum.

Abdulhayoglu dijo que no hubo prueba que nadie en Irán haya estado en riesgo debido a la demora en la divulgación.

El único certificado que Comodo vio realmente en uso fue uno de los tres asignados a Yahoo, login.yahoo.com. "Solo se vio en vivo un certificado, y fue solo una prueba," dijo Abdulhayoglu,

Según Comodo, el sitio Yahoo falso quedó fuera de linea apenas despues que la compañía revocara los certificados falsos.

Comodo no ha sido capaz de confirmar si los atacantes realmente fueron capaces de obtener algo de los otros ocho certificados antes que fueran revocados, admitió Abdulhayoglu. También declinó compartir detalles sobre el ataque, incluyendo el revendedor cuya cuenta fue usada para adquirir los certificados o como los atacantes obtuvieron el nombre de usuario y contraseña del revendedor, citando una investigación en curso por parte de la justicia.

De cualquier forma, no hubo razón para revelar el robo antes que los fabricantes de navegadores pudieran parchar su software para bloquear los certificados robados. "No tiene sentido revelarlo si no tiene un remedio," dijo Abdulhayoglu. "Ahí los parches, que hacen a todos seguros".

Varias veces Abdulhayoglu dijo que la demora fue necesaria para una "divulgación responsable", la práctica de contener la información sobre vulnerabilidades de seguridad o problemas hasta que esté listo un arreglo.

Google, Microsoft y Mozilla han publicado cada uno actualizaciones para agregar los nueve certificados falsos a la lista negra en sus navegadores.

Google actualizó Chrome la semana pasada, y el martes Mozilla liberó actualizaciones para Firefox . Microsodt publicó su actualización el miércoles para sus usuarios de Windows.

Pero Appelbaum discute que nadie -- a excepción del atacante que tuvo los certificados robados -- podría haber sido dañado si Comodo y los otros hubiera publicado la noticia antes.

"La única gente que que puede atacar usando los certificados son aquellos que los tienen," dijo Appelbaum. "No puedo lanzar un ataque, solo soy capaz de detectar un ataque usando los certificados."

Traducción: Raúl Batista - Segu-Info
Autor: Gregg Keizer
Fuente: Networkworld

Seguir leyendo »

Proyecto de ley para prevenir PC zombies hace obligatorio el software de seguridad

¿Cómo combate las redes bot? ¿Con racionalismo, o con radicalismo?

El recientemente propuesto proyecto de Ley de Prevención de PCs Zombies en Corea del Sur, apunta a combatirlas con sentido común haciendo obligatorio el software de seguridad en las PCs de los usuarios. Lo que es de particular interés en el proyecto de ley, es la puerta trasera que deja abierta, confiriéndole al gobierno poder "examinar los detalles de negocios, registros, documentos y otros" de los usuarios y compañías que no cumplan.

Más detalles del proyecto:

• impone a cada ciudadano la obligación legal de instalar y usar software de seguridad conforme al Decreto Presidencial a ser publicado bajo la Ley
• confiere al departamento de gobierno (Comisión de Comunicaciones de Corea, KCC) el poder para prohibir o permitir los negocios de los proveedores de soluciones de seguridad que el KCC elija prohibir o permitir de acuerdo a cierto criterio
• hacer que los proveedores de soluciones de seguridad se enfoquen en ganarse el favor de los funcionarios de gobierno (mediante ejercer presión, lobby) más que ganándose a los consumidores en el mercado mediante la competencia y la innovación en la calidad de los productos
• capacita a los agentes del KCC, sin orden de allanamiento, a "examinar los detalles de negocios, registros, documentos y otros" de cualquiera bajo la mera suposición que esa persona (individuo o compañía) haya violado el deber de usar software de seguridad.

En el pasado han habido numerosos casos de mejores prácticas forzadas, o como la la falta de ellas podrían llevar a resultados desagradables:

• Usuarios finales sin software de seguridad no pueden demandar por fraudes en sus cuentas de banca electrónica
• Comunidad multada con $100 mil por no obligar al software de seguridad en sus PCs
• Citizens Financial fueron demandados por falta de suficientes medidas de seguridad en banca electrónica

Lo que los miembros de congreso parecen haber olvidado es el hecho que el software antivirus solo mitiga un cierto porcentaje del riesgo, y que es solo una parte de una estrategia de defensa en profundidad bien desarrollada. Muchos informes independientes y pruebas muestran que da pesar que los usuarios están usando software antivirus, se siguen infectando con malware.

¿Cuál piensa que es la mejor forma de combatir las redes bot?  Racionalismo o radicalismo. ¿Usar software de seguridad es una obligación, o llegó el momento que los ISPs se ocupen cada uno de sus propio patio trasero.

Traducción: Raúl Batista - Segu-Info
Autor: Dancho Danchev
Fuente: ZDNet

Seguir leyendo »

Facebook no quiere que llegue el "derecho al olvido" a la Web

"Lo que necesitamos es encontrar mecanismos que puedan ocuparse de las excepciones, en vez de imponer cosas a los usuarios mayoritarios que se sienten cómodos poniendo información online".
Con esta frase el responsable europeo de la privacidad en Facebook, Richard Allan, salió al cruce del intento de la Unión Europea (UE) de incorporar el derecho al olvido en la Web.

La frase del referente europeo de una de las redes sociales más grandes a nivel mundial fue dicha anteayer durante su discurso en el foro de los medios de Westminster, Inglaterra, donde Allan también consideró que los cambios que se analiza realizar suponen generalizar una medida solicitada por pocos usuarios y en casos excepcionales.

La semana pasada la comisionada europea de Justicia, Derechos Fundamentales y Ciudadanía, Viviane Reding, había adelantado que la UE analizaba modificar las leyes de protección de datos para obligar a las compañías de Internet (redes sociales, navegadores y servidores) a borrar la información de los usuarios que así lo desearan.

Para alcanzar este objetivo, la UE introduciría cambios antes de diciembre en las leyes europeas sobre protección de datos personales, que hace 16 años que no sufren cambios.

El caso de Facebook, que tiene más de 500 millones de usuarios en el mundo, es emblemático, ya que hace un par de años es blanco de críticas por sus leyes de protección de datos y privacidad que debieron modificarse paulatinamente a raíz de varios planteos alrededor del planeta.

Allan también dijo que se deberían buscar mecanismos para tratar aquellos casos excepcionales que pueden surgir. Por ejemplo, cuando las personas deseen eliminar fotos o información de su juventud que puedan afectarlas en su presente o futuro laboral.

Sin embargo, el referente de la compañía aclara que no es responsabilidad de Facebook el material que cada persona decide subir y compartir en la plataforma.
La semana pasada Reding había dicho: "Cualquier compañía que opera en el mercado europeo o para cualquier producto online que tenga como compradores a consumidores de la Unión Europea debe cumplir con la reglas de la UE".

A raíz de esta afirmación la medida afectaría a todo el mundo, en especial a los Estados Unidos, debido a que la mayor parte de las empresas proveedoras de Internet, redes sociales o buscadores se encuentran en ese país.

En tanto, compañías como Google, Yahoo, Twitter o Skype no opinaron respecto del cambio de legislación que avanza en Europa y que podría significar un cambio en difusión y almacenamiento de información personal en la Web.

En la Argentina, el "derecho al olvido" se aplica a través de la ley 25.326 en los casos que tienen que ver con información sobre riesgos crediticios. Sin embrago, la ley vigente no habla taxativamente de las redes sociales, navegadores o buscadores de Internet.

El debate previo

En 2010 ya se había generado otra controversia en Europa en función de la incorporación de servicios de geolocalización en las redes sociales. El año pasado Facebook lanzó esa función, que comenzó primero en los Estados Unidos y que ahora ya está disponible en la Argentina.

La aplicación se llama Place (lugares, en inglés) y permite a los usuarios de Facebook que cuenten con un smarthpone indicar en qué lugar están.
Por su parte, Google ya había presentado una aplicación similar denominada Latitude.
"Imagine que dentro de un año podrán decirle que estaba en tal lugar, cerca de tal persona", razonaba en ese entonces Alain Pannetrat, experto en tecnologías de la Comisión Nacional de Informática y Libertades francesa (CNIL), un ente administrativo independiente dedicado a la defensa de la vida privada y las libertades en la era digital.

Sin embargo, la expansión del servicio de geolocalización aumentó e, incluso, se crearon redes sociales que basan su existencia en la ubicación de las personas. Tal es el caso de Foursquare.

"Cualquier compañía que opera en el mercado europeo o para cualquier producto online que tenga como compradores a consumidores de la UE debe cumplir con la reglas de la UE"
 VIVIANE REDING
Comis. Jus., DD.FF. y Ciu. de la UE

Fuente: La Nación

Seguir leyendo »

Irán descubre usuarios detrás de TOR (actualizado)

La herramienta para ocultar la identidad online Tor ya no es suficiente para escapar del control de los gobiernos. Lo ha confirmado el mismo equipo de la compañía, que además ha reconocido que conocía la vulnerabilidad y da cifras sobre el número de usuarios que tiene en el país asiático. Según el equipo de desarrollo de Tor, Irán ha logrado crear un mecanismo para saber quién está detrás de cada mensaje enviado a la red utilizando esta herramienta para ocultar identidades online.

Las sospechas sobre esta capacidad de desencriptado de la ciberpolicía iraní se centra en saber si están empleando Tecnología DPI (Inspección Profunda de Paquete por sus siglas en inglés). Ya en 2009 The Wall Street Journal proclamó que Siemens y Nokia habían contribuido a dotar al país asiático de la tecnología un año antes.

“Estamos en una carrera armamentística muy lenta”, dijo el de director ejecutivo de Tor, Andrew Lewman, que también opina que Irán está un paso por delante de China en su capacidad para rastrear y bloquear las acciones de los ciberdisidentes

Tor para huir del control online

Tor es una de las herramientas para la ciberdisidencia más utilizadas. Permite saltarse la censura online gracias a un procedimiento doble que oculta la dirección IP y encripta los mensajes enviados, ya sean mensajes instantáneos o correos electrónicos. En un principio, Tor fue creado por los investigadores el ejército de Estados Unidos para su uso militar, pero después su código fue liberado y ahora es de dominio público.

Según las estadísticas de Tor, hay unas 2.800 personas que están utilizando su herramienta de ciberdisidencia en Irán. Su uso se disparó especialmente tras las elecciones presidenciales de 2009, un momento en el que la sociedad iraní manifestó su rechazo al resultado a través de Twitter. Marcó un momento histórico tras demostrar el potencial de las redes sociales en la movilización y el activismo político, una realidad que se ha constatado recientemente durante las revueltas que tienen lugar en Asia y África.

El triunfo de la mayoría de estas revueltas ha impedido que se tomen represalias contra los usuarios más activos en la agitación social a través de las redes sociales. Países como Egipto y Libia se han limitado a cortar internet completamente para evitar el uso de Twitter o Facebook como herramientas políticas. Sin embargo, países más fuertes y estables como Irán, China o incluso Estados Unidos, poseedores de tecnología DPI, pueden ir directos a por los activistas si no son capaces de ocultar su identidad.

Lewman ha reconocido que conocía la vulnerabilidad de la herramienta ante este tipo de estrategias pero no han tomado medidas para evitarlo. ¿Qué opinarán ahora los usuarios que se han sentido seguros confiando en Tor?

Actualización importante (gracias David):
Como comentaron en el artículo de UPI, la fuente original es el Telegraph de UK.

Allí se puede leer que lo que Andrew Lewman en realidad dijo fue "Estamos intentando tener una carrera armamentística lo más lenta posible". También dice algo fundamental que el UPI omitió: "En las últimas semanas los desarrolladores han rediseñado el software de modo tal que su tráfico sea indistinguible del tráfico cifrado normal, y el número de conexiones iraníes ha vuelto a la normalidad".

Fuente: El Mundo y Telegraph

Seguir leyendo »

La agencia europea presenta el primer informe acerca de cómo medir la fiabilidad

“Si no lo puedes medir, no lo puedes mejorar”, Lord Kelvin. La agencia europea presenta el primer informe exhaustivo acerca de Métricas y formas de medición de fiabilidad de la red y de los servicios, mostrando la falta de estándares y de coherencia.

Empresas y administraciones públicas dependen de las redes seguras. Pero, ¿cómo medir la fiabilidad de estas redes? La Agencia para la Seguridad de las Redes y de la Información (ENISA) ha publicado “Principales retos y recomendaciones para Métricas de Fiabilidad en redes y servicios”, además de un informe técnico. Este es el primer informe redactado en Europa dirigido a señalar la falta de una revisión holística del área.

Un marco de métricas y mediciones es esencial para el asesoramiento en prácticas y políticas para mejorar la fiabilidad de las redes y de los servicios. La publicación elaborada por ENISA muestra que:

a) Hay muy pocos marcos de trabajo y ninguno está globalmente aceptado
b) No hay prácticas estandarizadas y las diferentes organizaciones usan diferentes conjuntos de métricas iniciales y marcos de trabajo
c) Es difícil combinar o agregar diversos marcos de trabajo en un evaluación de alto nivel

Seguir leyendo »

Seguir leyendo »

Ecuador: bancos pueden ser enjuiciados por fraudes informáticos

La Fiscalía General anunció que iniciará acciones legales en contra de los bancos privados que no acaten la resolución que ordena la devolución de fondos a los más de 2 mil perjudicados por delitos informáticos.

La Fiscalía General anunció que iniciará acciones legales en contra de los bancos privados que no acaten la resolución firmada entre la Superintendencia de Bancos y Seguros (SBS) y la Fiscalía General.

El pasado 21 de marzo, los titulares de las dos entidades decidieron devolver el dinero a más de 2.000 perjudicados por delitos informáticos ante la fragilidad de la seguridad informática de las instituciones financieras.

Pero esta decisión no fue acogida por la Asociación de Bancos Privados del Ecuador (ABPE) integrada por 25 entidades en el país. Su representante, César Robalino, señaló a la decisión interinstitucional como “una monstruosidad” y argumentó que es inaplicable. Sin embargo, dijo que debería revisarse caso por caso para analizar la entrega.

El fiscal general, Washington Pesántez, sobre la base del Art. 30 de la Ley General de Instituciones del Sistema Financiero, dispuso iniciar procesos penales por desacato a los bancos que no cumplan con la disposición de resarcir el dinero a los clientes víctimas de fraudes informáticos.

Pesántez dijo que la resolución adoptada fue consensuada con directivos de principales bancos del país.

La comisión de ambas entidades que investigó los casos de delitos informáticos concluyó que la responsabilidad es compartida entre las instituciones financieras y el cliente.

Afirmó que la resolución adoptada por la Fiscalía y la SBS se orienta a que los bancos asuman su responsabilidad en estos delitos.

Fuente: El Telégrafo

Seguir leyendo »

Intentan legalizar el "derecho al olvido" en la Web

Por José María Costa

Como si se tratase de una relación sentimental que se termina donde uno quiere borrar y olvidar todo lo pasado, la comisionada europea de Justicia, Derechos Fundamentales y Ciudadanía, Viviane Reding, adelantó que la Unión Europea (UE) analiza modificar las leyes de protección de datos para obligar a las compañías de Internet a borrar los datos de los usuarios que así lo deseen.

La idea es simple: aquellos europeos que decidan darse de baja de algún sitio web o red social podrán exigir a la compañía lo que se denomina "derecho al olvido", que incluye eliminar todos los datos de la persona que el sitio tuviese almacenados.

La medida, que aún está en estudio, busca actualizar las leyes europeas sobre protección de datos personales, que desde hace 16 años se mantienen intactas.

Lo que la UE quiere es que los proveedores de Internet, los buscadores y las redes sociales almacenen la menor cantidad de datos posibles de las personas.

"Cualquier compañía que opera en el mercado europeo o para cualquier producto on line que tenga como compradores a consumidores de la Unión Europea debe cumplir con la reglas de la UE", dijo Reding.

Pensada de esta manera, la medida afectaría a todo el mundo, en especial a los Estados Unidos, debido a que la mayor parte de las empresas proveedoras de Internet, redes sociales o buscadores se encuentran en ese país.

"Creo que nuestro entendimiento de base de las normas es muy similar", declaró Fiona Alexander, del Departamento de Comercio de los Estados Unidos, y agregó: "La aplicación en el pasado puede haber sido diferente".

En tanto, las compañías ya comenzaron a expresar su opinión respecto del pretendido cambio de legislación en la UE y del trabajo en conjunto con los Estados Unidos.

"Las empresas necesitan normas claras y sólidas para seguir invirtiendo y ser competitivas", dijo John Vassallo, vicepresidente de asuntos europeos de Microsoft. "Ahora, hay demasiadas normas compitiendo", agregó.

"Con relación al «derecho al olvido», nuestra ley de protección de datos personales (25.326) lo regula expresamente, aunque sólo en el ámbito de los informes de riesgo crediticio, que únicamente pueden brindar información sobre el cumplimiento de obligaciones de los últimos cinco años (plazo que, en algunos casos, se reduce a dos años)", explicó a La Nacion Juan Darío Veltani, abogado del estudio AVOA, que se especializa en delitos informáticos.

El especialista agregó: "Esto se debe a que cuando fue sancionada nuestra ley, el fenómeno de las redes sociales casi no existía y, por lo tanto, no se vislumbraba la necesidad de regular el derecho al olvido de un modo general".
En la Argentina

"No obstante, quienes trabajamos con temas de protección de datos personales entendemos que, por aplicación de los principios que surgen de la ley 25.326, se puede afirmar que el derecho al olvido también resulta aplicable en otros ámbitos, distintos de los informes de riesgo crediticio", argumentó Veltani, que también coordina el posgrado en Derecho de la Alta Tecnología de la Universidad Católica Argentina (UCA).

"Uno de los principios básicos de nuestra ley es que los titulares de los datos personales deben tener control sobre ellos. Es por esto ?prosiguió Veltani? que la ley establece una serie de principios, como ser el de consentimiento informado (es necesario tener el consentimiento expreso del titular), el de finalidad (una vez cumplido el fin para el cual se recabó un dato personal éste debe ser eliminado de la base de datos) y el de calidad de los datos (la información que se recabe para un fin determinado no debe ser excesiva, debe estar actualizada y ser correcta), entre otros."

El especialista aseguró: "La armónica interpretación de estos principios permite interpretar que, aun sin una norma expresa que lo consagre, existe un derecho al olvido en la Argentina".

Fuente: La Nación

Seguir leyendo »

Phishing con troyano alojado en DropBox.com

Hoy recibimos, en nuestra dirección de reportes de phishing, una denuncia de un caso de correo engañoso sobre un supuesto presupuesto de un portal de compras brasilero. El texto del falso correo dice:

Prezado(a) Senhor(ª),
Sua empresa está cadastrada em nosso sistema, por isso solicitamos através desta o orçamento dos ítens discriminados na planilha em anexo abaixo, assim como prazo e formas de pagamento, na certeza da mais alta colaboração e urgência para cumprimento de todas as nossas obrigações, desde já agradecemos vossa colaboração.

Y el correo malicioso, se ve como en esta captura:

Correo falso, con enlace a DropBox.com

Se puede apreciar en este engaño que los delincuentes incluyen en el enlace falso al supuesto presupuesto, un enlace a un conocido sitio de almacenamiento de datos gratuito, http://dl.dropbox.com/u/[ELIMINADO]/Lista-Nova.com.

Evidentemente los delincuentes están apostando, en su juego de engaño, a la confianza y conocimiento que uno podría tener de este sitio DropBox.com, que a las claras no pudo identificar este archivo como malicioso. Debemos entonces estar alertas, en DropBox no siempre es detectado el malware.

El archivo de malware Lista-Nova.com es un troyano mediante el cual los delincuentes buscan infectar la PC de la víctima para posteriores acciones delictivas tales como acceso a datos contenidos en la PC, unir la PC a una red bot, robo de credenciales bancarias, de tarjeta de crédito etc.

El troyano ya ha sido reportado a VirusTotal donde apenas es detectado por 2 motores AV y pasa desapercibido para todos los motores de las primeras marcas, al menos en la modalidad que VT escanea los archivos.

Desde Segu-Info procedimos a denunciar el archivo a DropBox.com, tarea para la cual uno debe estar registrado en su servicio de soporte, pues a diferencia de otros servicios, no poseen una entrada directa para reportar abusos si bien se puede hacer la denuncia en forma anónima.

Actualización 29/03: Después de 4 días Dropbox nos responde que eliminó el archivo malicioso.En nuestra opinión un pésimo tiempo de respuesta.

Raúl de la Redacción de Segu-Info

Seguir leyendo »

¿Qué debemos transmitir a los menores sobre sexting?

El sexting consiste en el envío de fotos o imágenes de contenido sexual a través de dispositivos tecnológicos como el teléfono móvil, y es un fenómeno incipiente pero que crece entre los adolescentes, con riesgos para la privacidad de los datos personales, la intimidad y la propia imagen y la seguridad de la información y las personas. Por ello es uno de los campos de estudio del Observatorio, cuyo resultado ha sido la reciente publicación la Guía sobre adolescencia y sexting: qué es y cómo prevenirlo.

• Existen riesgos para la privacidad del menor cuya imagen se difunde. La imagen personal es un dato que nos identifica y al ser publicada, se pierde el control sobre ella y por tanto, sobre nuestra privacidad.
• Los riesgos del contacto con otros pueden darse en dos niveles: el menor puede verse humillado por otro menor, pero también puede ocurrir que sea un adulto el que esté detrás del acoso. En este segundo caso, este adulto puede chantajear al menor para obtener nuevas imágenes con tintes pornográficos e incluso intentar un contacto en el mundo real.
• El riesgo quizás más desconocido para los chicos es el legal. Cualquier persona que robe los mensajes o la información de otras personas está cometiendo un delito, incluso si se trata de un menor de edad. Es decir, apropiarse de las fotos o vídeos de otros y difundirlos para atentar contra su intimidad puede conllevar el correspondiente castigo. La legislación española también contempla expresamente delitos asociados con la tenencia y difusión de pornografía infantil.

Contenido completo en Obserbatorio de Seguridad de la Información de INTECO

Seguir leyendo »

Yoduro de potasio: proteja sus toroides con algo de spam

"¡Proteja su tiroides!". "¡Tenga a mano una herramienta para prevenir problemas en caso de contaminación nuclear!". Señuelos como estos han comenzado a proliferar estos días entre el 'spam' que habitualmente promociona el uso de Viagra o los tratamientos de alargamiento de pene.

El miedo siempre es un buen reclamo para aumentar las ventas, y el temor a las posibles consecuencias de un accidente como el ocurrido en Fukushima no iba a ser una excepción. Con el planeta pendiente de los riesgos de la radiación, muchos están intentando hacer su agosto particular con la venta de "remedios" a través de internet.

Uno de los productos más publicitados por estas webs de dudosa procedencia son las tan mencionadas pastillas de yoduro de potasio. Es cierto que estas píldoras se emplean en caso de accidente nuclear para saturar la glándula tiroides e impedir que se fije en ella el yodo radiactivo. Sin embargo, en ningún caso pueden considerarse un 'antídoto' contra la radiación, tal y como ha señalado la Organización Mundial de la Salud (OMS) en un comunicado.

Seguir leyendo »

Seguir leyendo »

Preocupación en la Unión Europea por un ataque informático a sus oficinas

Tras tener constancia de la ofensiva, Bruselas puso en marcha "medidas urgentes" y preventivas, entre ellas el cierre del e-mail de los funcionarios.

La Comisión Europea (CE) y el Servicio Europeo de Acción Exterior de la Unión Europea (UE) fueron objeto de un ataque informático que no afectó de forma significativa a su funcionamiento, aunque el alcance de esta acción aún se está evaluando.

Según dijo a la agencia EFE una fuente comunitaria, el "ciberataque", de origen y magnitud por ahora desconocidos, fue detectado el martes por la noche.

La ofensiva podría estar aún en marcha durante este jueves, cuando se celebra una cumbre de dirigentes europeos en Bruselas, según explicó Antony Gravily, portavoz de la CE para Relaciones Institucionales y Administración.

Tras tener constancia del ataque, la Comisión puso en marcha "medidas urgentes" de carácter preventivo, entre ellas el cierre provisional del acceso desde el exterior a la red interna de la CE y a las direcciones de correo profesionales de los funcionarios europeos.

También se pidió al personal comunitario que cambiase sus contraseñas de acceso a las zonas restringidas de su red informática, añadió Gravily, quien señaló que estas medidas "todavía se mantienen".

Ni el ataque ni las precauciones tomadas para evitar la posible filtración de datos internos "afectaron de forma significativa" al funcionamiento de las instituciones europeas, cuyos trabajadores pudieron desempeñar sus funciones "con total normalidad" -salvo por la interrupción del acceso informático desde el exterior-, recalcó el portavoz.

Gravily restó importancia al ataque, ya que las instituciones comunitarias "son frecuentemente objeto de este tipo de acciones", y no quiso dar más detalles del mismo "por razones de seguridad".

Por el momento, se descarta que otras instituciones comunitarias como el Consejo Europeo -que acoge la cumbre de jefes de Estado y de Gobierno de hoy- o el Parlamento Europeo hayan sido también blancos del 'ciberataque'.

La Comisión está llevando a cabo una investigación sobre la naturaleza de la acción y de sus posibles consecuencias, e informará más adelante sobre sus resultados.

Fuente: iProfesional

Seguir leyendo »