miércoles, 30 de septiembre de 2009

Ekoparty Security Conference anuncia su 5ta edición en Argentina

Ekoparty Security Conference anuncia su 5ta edición en Argentina
“What if r00t was one of us?”

- El evento anual de seguridad informática, por sus características únicas y estilo, se ha convertido en referente para toda Latinoamérica.


- 3 días de Trainings + 2 días de Conferencias, en el Centro Cultural Konex.

Ekoparty (www.ekoparty.org) anuncia la realización de su 5ta edición del 14 al 18 de Septiembre en el Centro Cultural Konex, Buenos Aires, Argentina. Este evento anual de seguridad informática, por sus características únicas y estilo, se ha convertido en referente para toda Latinoamérica.

La idea surgida del circuito underground de IT, nació ante la necesidad de generar un espacio más amplio para el intercambio de conocimientos en un ámbito distendido. Además de poseer relevancia internacional y contar con una amplia audiencia técnica especializada, propone entrenamientos y conferencias con los más importantes profesionales de seguridad informática.

Ekoparty Security Conference permite a consultores, oficiales de seguridad, investigadores, programadores, técnicos, administradores de sistemas, Nerds y entusiastas de la tecnología reunirse y disfrutar de los descubrimientos más importantes en seguridad informática. En esta nueva edición se espera convocar a más de 400 asistentes y ofrece traducción simultánea inglés-español y español-inglés.


Como Ekoparty se caracteriza por sus conferencias y ambiente relajado, brinda a los asistentes el GetTogether luego de la primera jornada de conferencias y un AlterCon Party de cierre al terminar la semana. Este año la actividad de lockpick la va a hacer la organización reconocida a nivel internacional, Toool (http://toool.us/), marcando la diferencia con las ediciones anteriores del encuentro.

Entre los expositores del evento se encuentran:
- Alfredo Ortega/Anibal Sacco: Deactivate The Rootkit
- Cesar Cerrudo: Opening Intranets to attacks by using Internet Explorer
- Charlie Miller: iPhone Hacking: Fuzzing and Payloads
- Chema Alonso: Connection String Attacks
- Deviant Ollam: Ten Things Everyone Should Know About Lockpicking & Physical Security
- Leonardo Nve: Playing in a Satellite environment 1.2
- Luis Miras: Attacking SMS
- Moxie Marlinspike: More Tricks For Defeating SSL In Practice
- Nicolás Economou: Heurísticas aplicadas a la comparación (diffeo) de binarios
- Philippe Langlois: SCCP hacking, attacking the SS7 & SIGTRAN applications one step further and mapping the phone system
- Sebastián N. Fernandez: POSIX Meterpreter

Ekoparty Security Trainings 2009

Al igual que en las ediciones anteriores, previos a los dos días de conferencias (del 14 al 16 de septiembre) se dictarán trainings por los más importantes disertantes del sector. Los mismos son:

- Breaking Windows, Damian Gomez (Immunity)
- COMBAT Training (NINJA edition), Leonardo Pigñer (BASE4 Security)
- Hacking and Defending Oracle Databases, Esteban Martínez Fayó (ARGENISS)
- Lockpicking & Physical Security – from novice to master in one day, Deviant Ollam, (TOOOL)
- Programando Shellcode en Windows desde Cero, Pablo Solé (Immunity)
- Técnicas de Inyección (ciegas) en aplicaciones Web, Chema Alonso (Informática 64)
- Web Testing & Exploiting Workshop, Andrés Riancho (Bonsai)
- Evaluating Secure Protocols and Intercepting Secure Communication, Moxie Marlinspike

Para más información visiten el sitio oficial en: Ekoparty.org

Koobface y sus nuevos mensajes de infección vía Twitter y Facebook.

La empresa de seguridad TrendMicro acaba de publicar un interesante artículo en el blog de su laboratorio TrendLabs, sobre el descubrimiento de hasta el momento más de 40 tipos diferentes de falsos mensajes que utiliza el gusano de las redes sociales Koobface, para que por medio de estos puedan caer usuarios desprevenidos y terminen infectados por este malware.

Twitter es la plataforma elegida por Koobface para que por medio de sus tweets más una URL corta, nos ofrezca ver un vídeo o similar como se puede ver en el listado de abajo.

Si pulsamos en alguna de esas URLs nos llevara a un sitio que imita ser el sitio de Facebook donde se nos intentara instalar un archivo llamado “setup.exe” diciéndonos que es una actualización de Flash Player y el cual es nada más y nada menos que el mismo malware Koobface.

Ver listado de falsos tweets:



•Congratulations! You are on hidden camera!
•Congratulations! You are on news!
•Congratulations! You are on TV!
•Hey! Are you really in that video?
•Hey! Is that really you in that video?
•Hey! You are on hidden camera!
•Hey! You are on news!
•Hey! You are on TV!
•Holly shit! Are you really in this video?
•Holly shit! You are on hidden camera!
•Holly shit! You are on news!
•Holly shit! You are on TV!
•Nice! Your ass looks awesome on this video!
•Nice! Your ass looks great on this video!
•Nice! Your body looks awesome on this video!
•Nice! Your booty looks awesome on this video!
•Nice! Your booty looks great on this video!
•Saw that video the other day… Did you really do that?
•Saw that video the other day… How could you do something like that?
•Saw that video the other day… How could you do such a thing?
•Saw that video the other day… Why did you do that?
•Saw that video yesterday… Did you really do that?
•Saw that video yesterday… How could you do something like that?
•Saw that video yesterday… How could you do such a thing?
•Saw that video yesterday… Why did you do that?
•Sweet! Your ass looks awesome on this video!
•Sweet! Your ass looks great on this video!
•Sweet! Your body looks great on this video!
•Sweet! Your booty looks awesome on this video!
•Wow! Are you really in that video?
•Wow! Are you really in this video?
•Wow! Is that really you in that video?
•You were caught on our hidden camera!
•You were caught on our secret camera!
•You were caught on our stealthy camera!
•You were seen on our hidden camera!
•You were seen on our secret camera!
•You were seen on our stealthy camera!
•You were sighted on our hidden camera!
•You were sighted on our secret camera!
•You were sighted on our stealthy camera!


Si somos infectados por Koobface este tiene programadas varias tareas para realizar en nuestro equipo que van cambiando y mutando con cada variante que aparece de este, pero que principalmente son:

Secuestrar nuestras búsquedas en Google y otros motores para redireccionarnos a sus sitios afiliados que nos pueden seguir descargando otros malwares.

Descargarnos alguno de los tantos “Falsos Antivirus” con los cuales este esta afiliado como comentábamos hace unos días en el blog como: Total Security o similar.

Si somos usuarios de alguna de estas redes sociales como Twitter y/o Facebook, el gusano empezara a enviar mensajes sin nuestro consentimiento ni que nos enteremos, a todo nuestro grupo de amigos como algún mensajes como los de arriba y una nueva URL acortada para infectar a estos.



Como pudieron ver mas arriba todos los mensajes de este “por ahora” son únicamente en idioma ingles y no se ha descubierto ninguno en español, por lo que si su supuesto amigo/contacto que le envía este para que veamos su vídeo y sabemos que no habla ingles… NO entren! y aunque parezca un poco tota la recomendación recuerden que el sentido común es nuestra mejor protección :)

Los pasos para eliminar Koobface de nuestros equipos pueden depender del grado de infección que tengamos como que si este nos descargo algún otro malwares más o similar, pero como siempre pueden solicitar ayuda personalizada en nuestro foro.

Lo que si es bien importante realizar una vez que nuestro equipo ya se encuentra limpio de malwares, lo primero que tenemos que hacer es cambiar nuestro login y password de estas redes sociales si es que somos miembros.

Total Security un “Total engaño” que se distribuye por Facebook.

Total Security un “Total engaño” que se distribuye por Facebook.
Total Security Detalles Técnicos:
Nombre Completo: Total Security
Peligrosidad: Alta.
Tipo: Rogueware
Origen: Desconocido.
Sito web: hxxp://livetimevirusscaner
Clones: System Security 2009
Propagación: Koobface vía Facebook
Desinfección con: MalwareBytes

Total Security es otro de los nuevos Rogueware que utilizan el gusano de las redes sociales Koobface, para propagarse entre estas, principalmente Twitter y Facebook.

Si somos usuarios de alguna de estas redes sociales y nuestro PC es infectado por alguna variante de Koobface, al ingresar a alguna de estas, se enviara de forma automática y sin que nos demos cuenta, un mensaje para todos nuestros contactos/amigos con un enlace de un supuesto vídeo nuestro que dice: “Coool Video” en Facebook y “My Home Video” en Twitter, el cual para que lo puedan ver tienen que descargar una supuesta actualización de “Flash Player” que en realidad es este falso programa de seguridad “Total Security”

Una vez nuestro sistema infectado con “Total Security” este se vuelve una verdadera pesadilla para nuestro sistema emitiendo continuamente reportes y alertas de supuestas infecciones en nuestro sistema para generarnos pánico y que compremos su producto final el cual promete resolvernos todos los problemas. Lógicamente el producto final no va a resolvernos ningún problema y únicamente vamos a pasar a ser victimas de estos ciberdelincuentes.



Otras particularidad des Total Security:


•Total Security: ralentiza su PC.
•Total Security: produce falsos positivos.
•Total Security: produce falsos positivos.
•Total Security: simula un falso “Centro de Seguridad”
•Total Security: puede instalar otros malwares es su sistema.
•Total Security: produce continuas alertas falsas de infecciones.
•Total Security: modifica el fondo de tu escritorio agregando un WARNING.
•Total Security: puede Imposibilitar de acceder a sitios webs dedicados a la seguridad como InfoSpyware.com

Como dato anecdótico, probamos dos diferentes versiones del archivo infectador de “Total Security” en dos PCs diferentes y en ambos nos detecto 38 supuestas infecciones…. ni una mas ni una menos.

Si bien esta nueva variante es relativamente nueva y descubierta por los laboratorios de PandaLabs el pasado viernes, desde entonces estamos recibiendo más y más casos de infecciones de “Total Security” en nuestro Foro de InfoSpyware ya que al igual que en los otros casos de Scarewares, estos van mutando su archivo infectador para ser irreconocibles por los Antivirus y programas de seguridad verdaderos. Como muestra pueden ver el resultado del ultimo archivo llamado Antivirus_70.exe en Virus-Total, donde ninguno de los 41 motores AV detecta este como una infección… (por ahora claro)

domingo, 27 de septiembre de 2009

¿Qué son los Adware?

¿Qué son los Adware?
Adware "Advertising-Supported software" (Programa Apoyado con Propaganda),en otras palabras se trata de programas creados para mostrarnos publicidad.

Que diferencia hay entre Adwares y Spywares?
La diferencia esta en que suelen venir incluido en programas Shareware y por tanto, al aceptar los términos legales durante la instalación de dichos programas, estamos consintiendo su ejecución en nuestros equipos y afirmando que estamos informados de ello. Un ejemplo de esto pueden ser los banners publicitarios que aparecen en software diverso y que, en parte, suponen una forma de pago por emplear dichos programas de manera pseudo gratuita.



Como entran en nuestras PCs?
Estando ocultos en un programa gratuitos (Freeware) los cuales al aceptar sus condiciones de uso (casi siempre en ingles y que no leemos) estamos aceptando que cumplan sus funciones de mostrarnos su publicidad.



Cuales son los síntomas de tener un Adware?
Los Adwares se dedican a mostrarnos publicidades en los programas que estos vienen incluidos por medios de banners en estos, pero ya los mas peligrosos nos van a abrir ventanitas pop-ups por todas partes, van a agregar direcciones en los favoritos del IE y van a instalarnos barras de herramientas con el único objetivo de que naveguemos siempre dentro de sus redes de publicidad.



Programas conocidos que incluyen Adwares
Alexa, MyWebSearch, FlashGet, Cydoors, Gator, GoHit, Webhancer, Lop, Hotbar, eZula, KaZaa, Aureate / Radiate, RealPlayer, Zango, C2Media, CID, Messenger Plus etc…

Firewall = Cortafuegos

Se trata de aplicaciones destinadas a prevenir que penetren en la PC elementos no deseados vía Internet.

Para eso concentran todo el flujo entrante y saliente entre la PC e Internet y bloquea los pedidos de enlaces no solicitados por el usuario potencialmente inseguros, instalaciones clandestinas de programas y algunos hasta bloquean pop ups, publicidades, etc.



Como funcionan los Firewall
Se manejan por zonas (seguras o no) o bien por niveles de seguridad, los que establece el usuario según el grado de permisividad que le imponga al equipo. Pero luego el programa se va configurando con el tiempo. Como decimos en cada review, en realidad con los Firewalls no hay que hacer nada, sólo configurarlos según las necesidades o gustos del usuario, cosa que no termina con la instalación. Tras esta, una vez que el usuario se conecta a Internet (o aún antes) comienza a trabajar el programa. Los primeros días de uso pueden ser un tanto engorrosos ya que tanto el usuario como el programa “aprenden” mutuamente. El usuario aprende las funciones y el programa qué cosas debe dejar pasar, qué bloquear y qué programas dejar conectar, por eso al principio son puras preguntas, hasta que se van conformando las reglas de uso en la medida que el usuario haga determinadas acciones con las alarmas que pueden ser de varios tipos. Con este tipo de aviso el programa pide que se defina la regla que se va a aplicar entre alguna de las posibles.

Una vez que se determina qué hacer con esa acción (por ejemplo permitir que un programa se conecte siempre a Internet), con cada cartel de alerta se van configurando las reglas ya que luego ese aviso no va a volver a aparecer. Con el tiempo estos avisos se reducen al mínimo.

Por cada acción crean un registro de la actividad (log) para el posterior análisis del usuario.



Tipos de peligros que puede evitar un firewall
•-Instalación y ejecución de programas instalados clandestinamente desde Internet, por ejemplo vía aplicaciones ActiveX o Java que pueden llegar a transferir datos personales del usuario a sitios.


•-Acceso de terceros por fallas o errores de configuración de Windows (por ejemplo de NetBIOS).


•-Instalación de publicidad (advertisers) o elementos de seguimiento (track) como las cookies.


•-Troyanos: aplicaciones ocultas que se descargan de la red y que pueden ser usadas por terceros para extraer datos personales. A diferencia del virus, estos troyanos son activados en forma remota por un tercero.


•-Reducción del ancho de banda disponible por el tráfico de banners, pop us, sitios no solicitados, y otro tipo de datos innecesarios que ralentizan la conexión.
•-Spyware (ver que son los spyware)


•-Utilización de la línea telefónica por terceros por medio de Dialers (programas que cortan la actual conexión y utilizan la línea para llamadas de larga distancia)

viernes, 18 de septiembre de 2009

¿Qué es el Phishing?

¿Qué es el Phishing?

Phishing consiste en el envío de correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir un enlace que, al ser pulsado, lleva a páginas web falsificadas. De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que, en realidad, va a parar a manos del estafador.



Existe un amplio abanico de software y aplicaciones de toda índole que quedan clasificados dentro de la categoría de robo de información personal o financiera, algunas de ellas realmente complejas, como el uso de una ventana Javascript flotante sobre la barra de direcciones del navegador con el fin de confundir al usuario. Algunas de las características más comunes que presentan este tipo de mensajes de correo electrónico son:

•Uso de nombres de compañías ya existentes. En lugar de crear desde cero el sitio web de una compañía ficticia, los emisores de correos con intenciones fraudulentas adoptan la imagen corporativa y funcionalidad del sitio de web de una empresa existente, con el fin de confundir aún más al receptor del mensaje.

•Utilizar el nombre de un empleado real de una empresa como remitente del correo falso. De esta manera, si el receptor intenta confirmar la veracidad del correo llamando a la compañía, desde ésta le podrán confirmar que la persona que dice hablar en nombre de la empresa trabaja en la misma.

•Direcciones web con la apariencia correcta. El correo fraudulento suele conducir al lector hacia sitios web que replican el aspecto de la empresa que está siendo utilizada para robar la información. En realidad, tanto los contenidos como la dirección web son falsos e imitan los contenidos reales. Incluso la información legal y otros enlaces no vitales pueden redirigir al confiado usuario a la página web real.

•Factor miedo. La ventana de oportunidad de los defraudadores es muy breve, ya que una vez se informa a la compañía de que sus clientes están siendo objeto de este tipo de prácticas, el servidor que aloja al sitio web fraudulento y sirve para la recogida de información se cierra en el intervalo de unos pocos días. Por lo tanto, es fundamental para el defraudador el conseguir una respuesta inmediata por parte del usuario. En muchos casos, el mejor incentivo es amenazar con una pérdida, ya sea económica o de la propia cuenta existente, si no se siguen las instrucciones indicadas en el correo recibido.

•Man-in-the-middle (hombre en el medio). En esta técnica, el atacante se sitúa entre el usuario y el sitio web real, actuando a modo de proxy. De esta manera, es capaz de escuchar toda la comunicación entre ambos.Para que tenga éxito, debe ser capaz de redirigir al cliente hacia su proxy en vez de hacia el servidor real. Existen diversas técnicas para conseguirlo, como por ejemplo los proxies transparentes, el DNS Cache Poisoning (Envenenamiento de Caché DNS) y la ofuscación de la URL.

•Aprovechamiento de vulnerabilidades de tipo Cross-Site Scripting en un sitio web, que permiten simular una página web segura de una entidad bancaria, sin que el usuario pueda detectar anomalías en la dirección ni en el certificado de seguridad que aparece en el navegador.

•Aprovechamiento de vulnerabilidades de Internet Explorer en el cliente, que permiten mediante el uso de exploits falsear la dirección que aparece en el navegador. De esta manera, se podría redirigir el navegador a un sitio fraudulento, mientras que en la barra de direcciones del navegador se mostraría la URL del sitio de confianza. Mediante esta técnica, también es posible falsear las ventanas pop-up abiertas desde una página web auténtica.

•Algunos ataques de este tipo también hacen uso de exploits en sitios web fraudulentos que, aprovechando alguna vulnerabilidad de Internet Explorer o del sistema operativo del cliente, permiten descargar troyanos de tipo keylogger que robarán información confidencial del usuario.

•Otra técnica más sofisticada es la denominada Pharming. Se trata de una táctica fraudulenta que consiste en cambiar los contenidos del DNS (Domain Name Server, Servidor de Nombres de Dominio) ya sea a través de la configuración del protocolo TCP/IP o del archivo lmhost (que actúa como una caché local de nombres de servidores), para redirigir los navegadores a páginas falsas en lugar de las auténticas cuando el usuario accede a las mismas a través de su navegador. Además, en caso de que el usuario afectado por el pharming navegue a través de un proxy para garantizar su anonimato, la resolución de nombres del DNS del proxy puede verse afectada de forma que todos los usuarios que lo utilicen sean conducidos al servidor falso en lugar del legítimo.

¿Cómo funciona? ¿Cómo se distribuye?
El mecanismo más habitualmente empleado es la generación de un correo electrónico falso que simule proceder de una determinada compañía, a cuyos clientes se pretende engañar. Dicho mensaje contendrá enlaces que apuntan a una o varias páginas web que replican en todo o en parte el aspecto y la funcionalidad de la empresa, de la que se espera que el receptor mantenga una relación comercial. Si el receptor del mensaje de correo efectivamente tiene esa relación con la empresa y confía en que el mensaje procede realmente de esta fuente, puede acabar introduciendo información sensible en un formulario falso ubicado en uno de esos sitios web. En cuanto a su distribución, también presentan características comunes:

•De la misma manera que el spam, es enviado masiva e indiscriminadamente por correo electrónico o sistemas de mensajería instantánea.


•El mensaje insta al usuario a pulsar sobre un enlace, que le llevará a una página en la que deberá introducir sus datos confidenciales, con la excusa de confirmarlos, reactivar su cuenta, etc.Se envía como una alerta de una entidad financiera advirtiendo de un ataque. Incluye un enlace que se insta a pulsar y en el que se solicitan datos personales.

•Dado que el mensaje se distribuye masivamente, alguno de los receptores será efectivamente cliente de la entidad. En el mensaje se indica que, debido a algún problema de seguridad es necesario acceder a una dirección web donde debe reconfirmar sus datos: nombre de usuario, contraseña, número de tarjeta de crédito, PIN, número de seguridad social, etc.

•Por supuesto, el enlace no dirige a ninguna página de la compañía, sino más bien a un sitio web (similar al original) desarrollado a propósito por los estafadores y que reproduce la imagen corporativa de la entidad financiera en cuestión. Normalmente la dirección web contiene el nombre de la institución legítima por lo que el cliente no sospecha de la falsedad de la misma.


•Cuando el usuario introduce sus datos confidenciales, éstos se almacenan en una base de datos y lo que ocurre a continuación no necesita de un gran esfuerzo de imaginación: los estafadores utilizan esta información para conectarse a su cuenta y disponer libremente de los fondos.


Los principales daños provocados por el phishing son:
1. Robo de identidad y datos confidenciales de los usuarios (tarjetas de crédito, claves de acceso.

2. Pérdida de productividad.

3. Consumo de recursos de las redes corporativas (ancho de banda, saturación del correo, etc.).



¿Cómo puedo reconocer un mensaje de phishing?
•Distinguir un mensaje de phishing de otro legítimo puede no resultar fácil para un usuario que haya recibido un correo de tales características, especialmente cuando es efectivamente cliente de la entidad financiera de la que supuestamente proviene el mensaje.

•El campo De: del mensaje muestra una dirección de la compañía en cuestión. No obstante, es sencillo para el estafador modificar la dirección de origen que se muestra en cualquier cliente de correo.

•El mensaje de correo electrónico presenta logotipos o imágenes que han sido recogidas del sitio web real al que el mensaje fraudulento hace referencia.
•El enlace que se muestra parece apuntar al sitio web original de la compañía, pero en realidad lleva a una página web fraudulenta, en la que se solicitarán datos de usuarios, contraseñas, etc.

•Normalmente estos mensajes de correo electrónico presentan errores gramaticales o palabras cambiadas, que no son usuales en las comunicaciones de la entidad por la que se están intentando hacer pasar.


Todos los usuarios del correo electrónico corremos el riesgo de ser víctimas de estos intentos de ataques. Cualquier dirección pública en Internet (que haya sido utilizada en foros, grupos de noticias o en algún sitio web) será más susceptible de ser víctima de un ataque debido a los spiders que rastrean la red en busca de direcciones válidas de correo electrónico. Éste es el motivo de que exista este tipo de malware. Es realmente barato el realizar un ataque de este tipo y los beneficios obtenidos son cuantiosos con tan sólo un pequeñísimo porcentaje de éxito.


¿Cómo puedo protegerme del phishing?
En caso de que crea que el mensaje recibido pudiera ser legítimo, algo que de entrada debe ser considerado como altamente improbable, en primer lugar debería contactar con la institución financiera, telefónicamente o a través del medio que utilice habitualmente. Aun en caso afirmativo, verifique siempre los siguientes puntos antes de introducir cualquier clase de datos que puedan llegar a ser utilizados maliciosamente por terceros, para reducir drásticamente el riesgo de sufrir un ataque de phishing:

•Verifique la fuente de la información. No conteste automáticamente a ningún correo que solicite información personal o financiera. Si tiene dudas sobre si realmente esa entidad necesita el tipo de información que le solicita, basta con telefonear a su contacto habitual para asegurarse de la fuente de la información.

•Escriba usted mismo la dirección en su navegador de Internet. En lugar de hacer clic en el hipervínculo proporcionado en el correo electrónico, escriba la dirección web directamente en el navegador o utilice un marcador que haya creado con anterioridad. Incluso direcciones que aparentan ser correctas en los correos electrónicos pueden ocultar la ruta hacia un sitio web fraudulento.

•Refuerce su seguridad. Aquellos usuarios que realizan transacciones a través de Internet deberían configurar su sistema con suites de seguridad capaces de bloquear estas amenazas, aplicar los últimos parches de seguridad facilitados por los fabricantes y asegurarse de que operan en modo seguro a través de certificados digitales o protocolos de comunicación seguros como https://

•Compruebe que la página web en la que ha entrado es una dirección segura : ha de empezar con https:// y un pequeño candado cerrado debe aparecer en la barra de estado de nuestro navegador.

•Haga doble clic sobre dicho candado para tener acceso al certificado digital que confirma que la web se corresponde con la que está visitando.

•Revise periódicamente sus cuentas. Los extractos mensuales son especialmente útiles para detectar transferencias o transacciones irregulares, tanto operaciones que no haya realizado y se vean reflejadas en el extracto, como operaciones realizadas online y que no aparezcan en el extracto.


Cumplidos todos estos requisitos, el usuario puede proporcionar su información con una razonable seguridad de que ésta no será utilizada contra sus intereses. La mejor manera de protegerse del phishing es entender la manera de actuar de los proveedores de servicios financieros y otras entidades susceptibles de recibir este tipo de ataques. La regla principal que estas entidades no infringen es la solicitud de información sensible a través de canales no seguros, como por ejemplo el correo electrónico. Nota* Evite el Phishing navegando con Firefox AntiPhishing.

¿Qué son los Malwares?

Malware es la abreviatura de “Malicious software” (software malicioso), término que engloba a todo tipo de programa o código de computadora cuya función es dañar un sistema o causar un mal funcionamiento. Dentro de este grupo podemos encontrar términos como: Virus, Trojan (Caballo de Troya), Gusano (Worm), Dialers, Spyware, Adware, Hijackers, Keyloggers, FakeAVs, Rogues, etc….

En la actualidad y dado que los antiguos llamados Virus ahora comparten funciones con sus otras familias, se denomina directamente a cualquier parasito/infección, directamente como un “Malware”.



Todos ellos configuran el panorama del malware en la actualidad.

Virus:
Los Virus Informáticos son sencillamente programas creados para infectar sistemas y a otros programas creándoles modificaciones y daños que hacen que estos funcionen incorrectamente y así interferir en el funcionamiento general del equipo, registrar, dañar o eliminar datos, o bien propagarse por otros equipos y a través de Internet. Serian similares a los virus que afectan a los humanos ya que hay que implementar antibióticos en este caso serian los Antivirus.

Seguir leyendo sobre Virus »


Gusanos:
Son programas desarrollados para reproducirse por algún medio de comunicación como el correo electrónico (el más común), mensajeros o redes P2P. El objetivo de los mismos es llegar a la mayor cantidad de usuarios posible y lograr distribuir otros tipos de códigos maliciosos que se mencionarán a continuación. Estos últimos serán los encargados de llevar a cabo el engaño, robo o estafa. Otro objetivo muy común de los gusanos es realizar ataques de DDoS contra sitios webs específicos o incluso eliminar "virus que son competencia" para el negocio que se intente realizar.


Troyano:
En la teoría, un troyano no es virus, ya que no cumple con todas las características de los mismos, pero debido a que estas amenazas pueden propagarse de igual manera, suele incluírselos dentro del mismo grupo. Un troyano es un pequeño programa generalmente alojado dentro de otra aplicación (un archivo) normal. Su objetivo es pasar inadvertido al usuario e instalarse en el sistema cuando este ejecuta el archivo "huésped". Luego de instalarse, pueden realizar las más diversas tareas, ocultas al usuario. Actualmente se los utiliza para la instalación de otros malware como backdoors y permitir el acceso al sistema al creador de la amenaza. Algunos troyanos, los menos, simulan realizar una función útil al usuario a la vez que también realizan la acción dañina. La similitud con el "caballo de Troya" de los griegos es evidente y debido a esa característica recibieron su nombre.


Backdoors:
Estos programas son diseñados para abrir una "puerta trasera" en nuestro sistema de modo tal de permitir al creador de esta aplicación tener acceso al sistema y hacer lo que desee con él. El objetivo es lograr una gran cantidad de computadoras infectadas para disponer de ellos libremente hasta el punto de formas redes como se describen a continuación.


Adware:
El adware es un software que despliega publicidad de distintos productos o servicios. Estas aplicaciones incluyen código adicional que muestra la publicidad en ventanas emergentes, o a través de una barra que aparece en la pantalla simulando ofrecer distintos servicios útiles para el usuario. Generalmente, agregan ícono gráficos en las barras de herramientas de los navegadores de Internet o en los clientes de correo, la cuales tienen palabras claves predefinidas para que el usuario llegue a sitios con publicidad, sea lo que sea que esté buscando.

Seguir leyendo sobre los Adwares »


Spyware:
El spyware o software espía es una aplicación que recopila información sobre una persona u organización sin su conocimiento ni consentimiento. El objetivo más común es distribuirlo a empresas publicitarias u otras organizaciones interesadas. Normalmente, este software envía información a sus servidores, en función a los hábitos de navegación del usuario. También, recogen datos acerca de las webs que se navegan y la información que se solicita en esos sitios, así como direcciones IP y URLs que se visitan. Esta información es explotada para propósitos de mercadotecnia, y muchas veces es el origen de otra plaga como el SPAM, ya que pueden encarar publicidad personalizada hacia el usuario afectado. Con esta información, además es posible crear perfiles estadísticos de los hábitos de los internautas. Ambos tipos de software generalmente suelen "disfrazarse" de aplicaciones útiles y que cumplen una función al usuario, además de auto ofrecer su descarga en muchos sitios reconocidos.

Seguir leyendo sobre Spywares »


Dialer:
Tratan de establecer conexión telefónica con un número de tarificación especial.



Hijacker:
Se encargan de “Secuestrar” las funciones de nuestro sistema cambiando la pagina de inicio y búsqueda y/o otros ajustes del navegador. Estos pueden ser instalados en el sistema sin nuestro consentimiento al visitar ciertos sitos web mediante controles ActiveX o bien ser incluidos por un troyano.


Joke:
Gasta una broma informática al usuario.



Rootkit:
Es un conjunto de herramientas usadas frecuentemente por los intrusos informáticos o crackers que consiguen acceder ilícitamente a un sistema informático. Estas herramientas sirven para esconder los procesos y archivos que permiten al intruso mantener el acceso al sistema, a menudo con fines maliciosos. Hay rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o Microsoft Windows. Por ejemplo, el rootkit puede esconder una aplicación que lance una consola cada vez que el atacante se conecte al sistema a través de un determinado puerto. Los rootkits del kernel o núcleo pueden contener funcionalidades similares.

Seguir leyendo sobre los Rootkits »


Herramienta de Hacking:
Permite a los hackers realizar acciones peligrosas para las víctimas de los ataques.



Keylogger:
Aplicaciones encargadas de almacenar en un archivo todo lo que el usuario ingrese por el teclado (Capturadores de Teclado). Son ingresados por muchos troyanos para robar contraseñas e información de los equipos en los que están instalados.


Hoax:
Son mensajes de correo electrónico con advertencias sobre falsos virus.


Spam:
Es el envío indiscriminado de mensajes de correo no solicitados, generalmente publicitarios.



FakeAVs & Rogues:
Básicamente un Rogue software es un falso programa que nos mostrara falsos resultados de nuestro sistema ofreciéndonos a la vez pagar por este para que se encargue de repararlo. Por supuesto que esto es todo totalmente falso y el único objetivo es el de engañar al usuario a comprar su falso producto.

Entre los mas destacados están los FakesAVs (Falsos Antivirus) y FakeAS (Falsos Antispywares) de los cuales en InfoSpyware venimos llevando desde el año 2005 un listado de la mayoría de estos y que pueden ver en Listado de Falsos Antivirus – AntiSpyware y Rogue Software.

Cual es su objetivo ?
El objetivo es claro y sencillo, vender la mayor cantidad de copias de sus falsos productos que sea posibles hasta que los descubran y tengan que volver a rediseñar sus sitios con otros nombres para estos y para sus programas.




Como es que llegan a nuestros equipos ?
•Al descargar algún falsos codecs o falso plugin que se nos ofrece como necesario al intentar ver un video en Internet (por lo general videos del tipo erótico/pornográfico)
•Al visitar algunos sitios directamente fraudulentos o que su código web ha sido comprometido para descargarnos uno de estos Rogue Antivirus sin nuestro consentimiento.
•A través de alguno de los miles de Virus del tipo Troyano que están afiliados a estos y al infectarnos con uno de estos nos empezara a generar algunos de los síntomas que listamos más abajo.



Cuales son los síntomas visibles de infección ?
•Secuestro del navegador web.
•Enlentecimiento general del PC.
•Ventanas emergentes (pop-ups)
•Secuestro el fondo de escritorio.
•Secuestro de las búsquedas de Google.
•Secuestro de la pantalla de inicio de Windows.
•Secuestro de la pagina de Google que vemos en nuestro PC.
•Falsos mensajes de Alertas en barra de tareas al lado del reloj.
•Imposibilidad de actualizar y/o ejecutar su Antivirus o Antispywares tradicional
•Imposibilidad de acceder a sitios webs dedicados a la seguridad como InfoSpyware.com



Quienes están detrás de los Rogue ?
Organizaciones de Cibercriminales que cuentan con muy buenos recursos y afiliaciones en su mismo mercado undergorund, lo que les dan la capacidad de conseguir varios nombres de dominios, servidores webs, así también como diseñar tanto las paginas webs como las interfaces de sus programas visualmente muy profesionales.




Como evitar ser victimas de estos estafadores ?
•Mantenga sus sistema Windows actualizado.
•Cuente con una solución Antivirus y Firewall actualizado
•Nunca compre un producto sin investigar un poco de su reputación.
•Nunca compre un producto que se le recomiende por emails no solicitados.
•Si su sistema esta actualizado no tendría que tener problemas en ver algún video, por lo que tenga mucho cuidado al descargar algún codecs o plugin para ver estos.
•Descargue sus programas de seguridad únicamente desde la web del fabricante o desde sitios realmente confiables.
•Manténgase informado sobre las nuevas amenazas que circulan por la red de redes, visitando regularmente nuestro Blog o suscribiéndose a nuestro Feed de noticias.



Si fui victima del Rogue lo puedo denunciar ?
Por lo general los principales operarios de estas empresas fantasmas operan desde países sin legislación donde una denuncia legal directamente no se les puede realizar.

Si bien en estos últimos años dada la gran proliferación de estos ciberdelincuentes algunas grandes empresas como Microsoft, Google y otros están haciendo algo al respecto para poder pararlos cuanto antes, es tanto el dinero y los recursos que se mueven detrás de estos son tan grandes que se les hace prácticamente imposible poder pararlos.

Lo que si puede hacer es denunciarlo en nuestro Foro de Spywares donde llevamos desde el año 2004 un listado que ya asciende a más de 900 falsos antivirus y falsos Antispywares (sin contar con las variantes de cada uno)

¿Estoy seguro en las redes sociales?

Los ataques a sitios de Internet se han incrementado a medida que la sociedad se ha tecnificado; para evitar ser víctima de los hackers, los expertos proponen evitar publicar datos personales.

Los piratas informáticos ponen el dedo en la llaga y atacan ahora a las redes sociales, que tienen millones de usuarios e información en Internet, quienes utilizan además conexiones de banda ancha.

Facebook tiene aproximadamente 91 millones de usuarios, Twitter 27 millones, MySpace 63 millones de acuerdo con la página Quantcast.com.

El número de ataques hacia sitios de Internet se ha incrementado en los últimos años, debido a que la sociedad se ha vuelto sumamente sensible hacia la tecnología, por lo que el crimen ha comenzado a migrar hacia las plataformas cibernéticas, explicó en entrevista con CNNExpansión.com el presidente ejecutivo de la empresa coreana de seguridad para transacciones en línea y seguridad de información, AhnLab, Phil H. Kim.

A mediados de julio la página de Twitter se colapsó debido a un ataque conocido como negación de servicio (DDoS o Distributed Denial of Service), el cual también afectó a otras redes sociales como Facebook y LiveJournal.

En el caso de Twitter, una serie de hackers ingresaron a cuentas de empleados de la red social, a través de las cuales recopilaron datos de cientos de usuarios debido a que la información no fue bien administrada por Twitter, afirma Carlos Lang, director de la empresa especializada en seguridad en línea, Damage Control y representante de AhnLab en América Latina.

¿Cómo asegurarnos que nuestros datos están seguros en las redes sociales?

El directivo de Damage Control, Lang, dice que esto es posible tomando precauciones y utilizando el sentido común, "ya que te conviertes en un objetivo en el momento en que publicas tu información en uno de estos sitios". Además, ahora los hackers sólo requieren de una de tus cuentas para entrar a tus perfiles de MSN, Twitter, Facebook, Gmail, Hotmail y Yahoo.

Para Kim, publicar tu nombre o tu fecha de cumpleaños puede ayudar a los piratas informáticos a adivinar tu contraseña, ingresar a tu cuenta y robar la información. Aunque considera que los hackers sólo ingresan a aquellas en donde pueden encontrar algún tipo de negocio.

Los ataques de tipo DDoS se han popularizado recientemente, son dirigidos a proveedores en específico, a quienes después se les pide dinero a cambio de reestablecer su servicio; los hackers utilizan miles de computadoras para generar un exceso de visitas en el tráfico de una página, por lo que sumado a los ingresos regulares de la misma, éstas colapsan y niegan la entrada a los usuarios, afirmó el CEO de AhnLab.

Para los cibernautas no existe riesgo de robo de información durante este tipo de ataques, pero si existe la posibilidad de infectarse con virus o troyanos a través de utilizar las redes sociales, especialmente si se intercambian productos multimedia, como lo es publicar videos o canciones, agregó.

Lo relevante es que los piratas informáticos han cambiado su manera de trabajar, antes utilizaban cientos de virus que infectaban a un grupo de computadoras, mientras que ahora envían una mezcla de virus y troyanos para atacar a un blanco en concreto.

Además filtran códigos maliciosos en las páginas de Internet, por medio de los cuales pueden ingresar a las computadoras y convertirlas en zombies, con lo que es posible controlar a otros equipos a través de ellas, afirmó el CEO.

De acuerdo con la encuesta de Crimen y Seguridad de la empresa CSI (Computer Security Institute), las empresas en Estados Unidos gastaron alrededor de 350,000 dólares en 2007 para lidiar con computadoras zombies, sólo detrás de los 500,000 perdidos a través de fraudes por robo de información.

Este mercado negro en línea tiene un valor cercano a los 7,000 millones de dólares en todo el mundo, según Symantec.


Fuente: CNNExpansión.com con información de Symantec.

Por lo que la recomendación de los expertos para los usuarios es actualizar periódicamente los antivirus y contar con firewalls o sistemas de bloqueo para lograr la mayor protección posible en los equipos.

En caso de haber sido infectado por un virus o un troyano es necesario aislar a la computadora en problemas, además de deshabilitar o bloquear los accesos a los servicios o equipos, de acuerdo con la firma de seguridad Symantec.

En cuanto a la información, es importante ser sensato a la hora de decidir que datos personales colocar en la red y qué tan grave sería que ellos cayeran en manos equivocada

Fuente : http://blog.segu-info.com.ar

Nuevo control sobre redes infectadas

Un investigador ha descubierto una nueva modalidad de control ejercida sobre las redes de máquinas infectadas, conocidas como botnets.

Una botnet ("bot" por "robot" y "net" por "red" en inglés), está integrada por ordenadores que han sido comprometidos por algún malware. Los mismos pueden ser tanto equipos de uso doméstico, como una red empresarial completa. Luego de la infección, son controlados de forma remota y sin el conocimiento del usuario legítimo, mediante lo que se conoce como un "C&C", un centro de comando y control.

Existen distintas maneras de gestionar las acciones de una botnet, una de las más clásicas es a través de un canal de IRC (Internet Relay Chat). Otro método muy utilizado, es a través de otra computadora infectada, que cumple la función de servidor.

Sin embargo, han aparecido nuevas técnicas como la detectada por el investigador José Nazario, quien reportó el uso de cuentas en Twitter y otros sitios similares de la llamada Web 2.0 (o sea, la Internet interactiva), como cadenas de control de botnets.

Twitter es un servicio de microblogging que está siendo cada vez más utilizado por sus usuarios. La idea original era decir a otras personas "¿qué estoy haciendo ahora?". Cada nuevo mensaje que el usuario publica, es enviado a todos aquellos que se estén suscriptos a ese canal.

Nazario descubrió una cuenta que agregaba en todos sus mensajes un texto corto con números y letras. Después de analizarlo y decodificarlo pudo ver que era una dirección de Internet que llevaba a la descarga de un archivo comprimido, no solo con instrucciones, sino también con mejoras o nuevas versiones del malware existente en el equipo infectado.

Esa cuenta y otra similar, pero en otra empresa con el mismo servicio, fueron desactivadas tras alertar al departamento de seguridad respectivo.

Algunos comentarios sugieren que parte del malware descubierto se encuentra relacionado con una campaña de phishing, montada para obtener credenciales de usuarios del Banco de Brasil, en ese país.

Fuente: enciclopediavirus.com

jueves, 10 de septiembre de 2009

Ranking de las amenazas informáticas mas importantes de los últimos 20 años

Coincidiendo con la celebración del 20 Aniversario de Panda Security, los expertos de PandaLabs han elaborado el ranking de las consideradas amenazas informáticas más peligrosas de los últimos 20 años, tanto para usuarios finales como para compañías, y les han puesto “cara”.

Las diferentes amenazas han sido seleccionadas por la popularidad que han alcanzado al haber sido protagonistas de grandes epidemias. La galería de famosos es:

Viernes 13 o Jerusalem: Creado en Israel en 1988 (incluso antes de la fundación de Panda), supuestamente conmemoraba el cuarenta aniversario del Estado Judío en la ciudad de Jerusalem. Cuando coincidía en el calendario viernes y 13, todos los programas que intentaban ejecutarse en el ordenador se borraban.

Barrotes: El primer virus conocido español, que apareció en 1993. Una vez en el PC, permanecía oculto hasta el 5 de enero, fecha en la que se activaba dejando ver sólo unas barras en el monitor.

Cascade o Falling Letters: Nació en Alemania en 1997. Cuando un PC se infectaba, hacía caer las letras de la pantalla como si se tratara de una cascada.

CIH o Chernobyl: Nació en junio de 1998 en Taiwán, y sólo tardó una semana en distribuirse e infectar a miles de ordenadores.

Melissa: Este virus con nombre de mujer hizo su aparición el 26 de marzo de 1999 en Estados Unidos. La muy cuca ya utilizaba técnicas de ingeniería social, ya que llegaba con el mensaje “Aquí está el documento que me pediste… no se lo enseñes a nadie ;-)”.

- ILoveYou o Loveletter: Tan famoso, que casi no hace falta ni presentarlo. El virus amoroso apareció en el año 2000, desde Filipinas. Llegaba con el asunto ILoveYou y fue capaz de infectar a millones de ordenadores e importantes instituciones como el Pentágono.

- Klez: Llegó en 2001 desde Alemania, y sólo infectaba los días 13 de los meses impares.

- Nimda: El nombre le viene de admin, con el orden de las letras cambiadas, ya que era capaz de crear privilegios de administrador en el ordenador afectado. Nació en China el 18 de septiembre de 2001.

- SQLSlammer: También fue un verdadero quebradero de cabeza para las empresas. Nació el 25 de enero de 2003, y llegó a afectar a más de medio millón de servidores en cuestión de días.

- Blaster: Desde Estados Unidos, el 11 de agosto de 2003 este virus, que contenía un mensaje en su código: “Sólo quiero decir que te quiero san!!” (todavía no sabemos quién sería san ;-), y añadía “Billy gates, por qué haces posible esto? Para de hacer dinero y arregla tu software”.

- Sobig: Fue famoso durante el verano de 2003, vino desde Alemania. La variante F fue la más dañina, atacando el 19 de agosto del mismo año y generando más de un millón de copias de sí mismo.

- Bagle: Apareció el 18 de enero de 2004, y ha sido uno de los más prolíficos en cuanto a cantidad de variantes diferentes.

- Netsky: Este gusano nació en Alemania en el año 2004 y se aprovechaba de vulnerabilidades de Internet Explorer. Su creador también fue el padre de otro virus famoso, Sasser.

- Conficker: El último y el más reciente, aparecido en noviembre de 2008. A modo de curiosidad, si tenías el teclado configurado en ucraniano, no te afectaba…

Más información esta disponible en este enlace

Fuente: Panda Security

Vulnerabilidad crítica en Twitter.

El popular servicio de microblogging recientemente añadió la característica added rel=nofollow en los enlaces producidos por su API -por ejemplo, los clientes que usamos para twittear-, y esa característica puede ser aprovechada para un ataque muy peligroso.

Un usuario de esta red ha descubierto que al cambiar el enlace en la configuración de la aplicación, ese cambio afecta a todos los tweets de nuestro historial que han sido generados por la aplicación modificada. De modo que es posible experimentar para tratar de evitar el atributo nofollow.

Eso hace que sea posible aplicar un ataque Cross-Site Scripting que enlace a sitios que no deberían poder enlazarse. Por ejemplo, se podría incluir un código JavaScript que robase la cookie del login del usuario que pincha en ese falso enlace y la enviara al atacante.

Tribunal sueco obliga a cerrar el servidor del portal “The Pirate Bay”

El proveedor de servicios de internet Black Internet ha dejado de alojar al portal sueco “The Pirate Bay”, uno de los principales del mundo para intercambiar archivos por Internet, en respuesta a una sentencia de un tribunal de Estocolmo.


El tribunal sueco ordenó a Black Internet, el principal servidor donde se aloja “The Pirate Bay”, que cierre el acceso a este portal bajo amenaza de multa de 500.000 coronas suecas (menos de 50.000 euros).

Black Internet denunció hoy haber sido víctima de un sabotaje de grandes dimensiones tan sólo unas horas después de haber desalojado de su servidor al portal sueco, si bien el director de la compañía, Victor Möller, rechazó establecer un vínculo entre ambos hechos.

Los cuatro responsables de “The Pirate Bay” fueron condenados el pasado 17 de abril a un año de cárcel y a pagar una indemnización de 30 millones de coronas (2,7 millones de euros) por violar la ley de propiedad intelectual.

La sentencia consideró a los cuatro acusados cómplices de un delito contra la ley de derechos de autor, ya que al proporcionar la tecnología necesaria, el portal, creado en 2004, facilitaba la descarga ilegal de archivos.

La compañía de software sueca Global Gaming Factory X (GGF) anunció a finales de junio un acuerdo de compra de “The Pirate Bay” por 60 millones de coronas (5,5 millones de euros).

Global Gaming Factory X señaló entonces que pretendía impulsar el lanzamiento de un nuevo modelo de negocio de pago de derechos a los dueños de la propiedad intelectual, pero la operación de compra de “The Pirate Bay” aún no se ha cerrado casi dos meses después.

Detenido uno de los mayores “piratas”de música y películas en Suecia

La policía sueca ha detenido a un individuo en la localidad de Västerås, en el centro del país, sospechoso de formar parte de una red dedicada al intercambio ilegal de archivos en Internet, informó hoy Radio de Suecia.


El hombre, de 33 años, fue liberado hoy tras permanecer un día en prisión por, supuestamente, haber compartido archivos de forma ilegal y haber violado la ley de propiedad intelectual, comunicó la Policía, que mantiene abiertas las investigaciones sobre el caso.

En el registro de la residencia del individuo se encontró un servidor con 90 terabites de material protegido como películas, música, juegos, series de televisión y libros digitales, según la Agencia Antipirata, que agrupa a la industria audiovisual sueca.

El servidor en cuestión ha funcionado como “fuente principal” de muchas copias ilegales que luego han acabado en portales de Internet para el intercambio de archivos, como la famosa página web sueca “The Pirate Bay,” señaló en un comunicado la Agencia Antipirata.

La detención fue realizada a raíz de una denuncia de esta organización, que ha anunciado que reclamará una indemnización económica al individuo basada en 10.000 películas “ilegales”.

El sospechoso ha proclamado su inocencia y ha asegurado que creía que el servidor contenía sólo juegos de ordenador.

La ley contra la piratería cibernética en Suecia, vigente desde el 1 de abril, permite al poseedor de los derechos de propiedad intelectual de una obra recurrir a un tribunal para solicitar que se obligue al servidor de Internet a desvelar la identidad oculta tras una dirección IP que ha compartido archivos de forma ilegal.

Los afectados pueden reclamar una indemnización que cubra el “daño real” provocado o presentar una demanda civil, según la ley, que establece que el intercambio de archivos debe de ser de “cierta dimensión”.

sábado, 5 de septiembre de 2009

McAfee asegura las redes de Extreme Networks

La firma de un acuerdo entre ambas compañía tiene como fin promover la seguridad y la fiabilidad de las redes.

Por Rosalía Arroyo [26-08-2009]

Extreme Networks ha firmado un acuerdo con la empresa de seguridad McAfee, por el que podrá ofrecer soluciones de conectividad seguras a las grandes empresas.

Según ha afirmado ambas compañías, con esta alianza, Extreme Networks y McAfee podrán proporcionar a sus clientes de todo el mundo redes seguras y unificadas por medio de la oferta más completa de soluciones de conectividad y seguridad (gestión de riesgos y amenazas) Ethernet de alto rendimiento de las dos compañías. La oferta en seguridad de McAfee incorpora soluciones para la seguridad del host, detección y prevención de intrusiones, cortafuegos, así como medidas para prevenir la filtración de datos confidenciales a través de las redes LAN de las empresas.

Por otra parte, la alianza estratégica entre Extreme Networks y McAfee permitirá desarrollar actividades de marketing comunes en el área de seguridad de redes, así como pruebas de interoperabilidad. Además, los clientes también podrán gestionar sus aplicaciones de seguridad por medio del software ePolicy Orchestrator de McAfee, una consola de gestión centralizada que ayuda a las organizaciones protegerse ante el creciente número de riesgos a su seguridad.

Un devastador ataque SQL afecta a más 50.000 sites

Los más afectados serán las pequeñas empresas que no cuentan con el personal apropiado y sí con tráfico en sus páginas web.

Por Rosalía Arroyo [26-08-2009]

Más de 50.000 páginas web se han visto afectadas por un ataque de inyección SQL que amenaza con causar el caos entre usuarios inocentes. Al menos eso es lo que se afirma en un nuevo informe de ScanSafe.

La empresa de seguridad dice en un blog que ha sido la primera en detectar el problema, que se inició el pasado viernes. El ataque inserta un 'iframe' malicioso en el site que, tras ser visitado por un usuario, empieza a descargar lo que la investigadora de seguridad de ScanSafe, Mary Landesman, describe como “un potente cocktail de troyano con puertas traseras y ladrones de contraseñas”

Actualmente el número de sites afectados alcanza los 57.000 y desde ScanSafe afirman que los más afectados serán las pequeñas empresas que no cuentan con el personal apropiado y sí con tráfico en sus páginas web.

Landesman ha pedido a las empresas que busquen información sobre cómo impedir esos ataques en la web, donde hay incluso herramientas que ayudan a detectar si una página web tiene 'iframes' maliciosos.

Google soluciona varias vulnerabilidades en Chrome

El navegador de Google recibe una serie de parches que resuelven varias vulnerabilidades, algunas de ellas graves con posibilidad de robo de información sensible.

Por Rosalía Arroyo [26-08-2009]

Google ha solventado dos vulnerabilidades severas en la versión estable de su navegador Chrome que podrían permitir a un atacante tomar el control del ordenador de un usuario remotamente.

Un ataque sobre el motor JavaScript V8 de Google a través de un código JavaScript malicioso de una página web dejaría olibre acceso a los datos sensibles a un hackers o que ejecutara código arbitrario en el ordenador dentro de un área protegida de Chrome, según ha anunciado la compañía. Chrome 2.0.172.43 soluciona dos vulnerabilidades graves y otras calificadas como medias. Una vez que el programa se ha instalado carga las actualizaciones automáticamente y las aplica una vez que el usuarios restaura el navegador.

Google no ha ofrecido demasiados detalles de la vulnerabilidad a la espera de que la mayoría de los usuarios actualicen el navegador.

La inocencia de los usuarios de smartphones

Un estudio realizado por Trend Micro indica que a pesar de que el correo electrónico o Internet es lo más utilizado por los usuarios de smartphones, ésto no parecen preocupados por el malware.

Por Rosalía Arroyo [24-08-2009]

Los usuarios de smartphones consideran más alarmante la pérdida o robo de su teléfono, con toda su información personal, que ser víctimas de ataques de phishing. Al menos esto es lo que se desprende de un informe de Trend Micro en el que han participado 1.000 usuarios de smartphones, incluido el iPhone, mayores de 18 años.

El 44% de los encuestado afirma que navegar por Internet desde sus terminales es tan seguro, o más, que navegar desde un PC. Otro dato revelante pone de manifiesto que sólo el 23% utiliza software de seguridad, mientras que uno de cada cinco considera que instalar un software de seguridad no resulta efectivo porque “el riesgo de navegar con un smartphone es limitado”. Y todo esto a pesar de que la mayoría de usuarios de terminales móviles avanzados están familiarizados con diferentes tipos de amenazas y que casi la mitad se han visto afectados por malware.

El phishing es el término más familiar de ataque entre los usuarios de smartphones y el spam también triunfa entre los móviles.

Panda Internet Security 2010

Excepto por un ligero cambio en el color de fondo, Panda Internet Security 2010 parece idéntico a la versión del año pasado. Es decir que manteniendo un buen interfaz, la compañía ha preferido centrarse en cambios que no se ven a simple vista pero que mejoran tanto el rendimiento como la detección de malware de la solución.

La instalación del producto es sencilla y únicamente es de destacar la aparición de una ventana que muestra un acuerdo de cooperación en el que se solicita al usuario que permite a Panda el envío de información y que los elementos en cuarentena se envíen automáticamente para que la base de datos de malware de Panda esté lo más actualizada posible.

Panda Internet Security 2010 es una suite de seguridad extremadamente completa que protege al usuarios mediante un antivirus, un firewall protección de identidad, anti-spam y protección de contenidos web, que hay que instalar a parte sin ninguna complicación, y cada una de estas opciones cuenta con enormes posibilidades y opciones de configuración, por lo que la nueva oferta de Panda es ideal tanto para el usuario más avanzado que quiera personalizar al máximo su solución de seguridad como para el que prefiere que todo funcione sin su intervención.

Además de la protección mencionada, Panda Internet Security 2010 tiene una opción de mantenimiento del sistema que se reduce a hacer una copia de seguridad, tanto offline como online. Esta opción empieza a ser bastante habitual en las soluciones de seguridad que hay en el mercado, y que están extendiendo su alcance fuera de lo que es propiamente seguridad para adentrarse en las opciones de mantenimiento del sistema. Panda se estrena en esta opción ofreciendo 2GB de backup online. También se ofrece, aunque en la pestaña 'Servicios' la posibilidad de crear discos de rescate, ideales por si se necesita iniciar el ordenador desde un entorno limpio.




Son muchas las mejoras, sobre todo en lo que respecta a la tecnología de detección, capaz de detener y eliminar automáticamente virus, spyware, troyanos, rootkits, bots y otros tipos de malware antes de que infecte el ordenador. Y junto a estas mejoras hay novedades, algunas muy interesantes, como Panda USB Vaccine, que se centra en las unidades USB, objetivo delos hackers para la propagación de sus obras. También es nuevo el motor anti troyanos bancarios gracias al cual se podrá hacer uso de la banca online con tranquilidad.

Como en versiones anteriores, Panda Internet Security 2010 ofrece informaciones muy útiles como los informes de sucesos o un fácil acceso a los archivos que pueden estar en cuarentena y su estado.

Precio: 59,95 euros (1 licencia)

Fabricante: Panda Security



Web: www.pandasecurity.com/spain/

viernes, 4 de septiembre de 2009

Norton Internet Security Mac Edition 2009

La apuesta de Apple por los procesadores de Intel, junto con la bajada de precios de sus productos y el acceso a la virtualización, que permite mantener dos sistemas operativos en el mismo ordenador, ha empezado a extender la plataforma Macintosh entre multitud de usuarios. Pero este movimiento, incipiente aún, ha despertado el interés de los creadores de virus, que tradicionalmente se ha centrado en Windows por ser el sistema operativo utilizado por la casi totalidad de los usuarios y por tanto el que mayores efectos causaba. De forma que los usuarios de Mac OS, que miraban sorprendidos a sus vecinos Windows ante la avalancha de virus, y amenazas en general, a la que están sometidos desde hace varios años, empiezan a sufrir en sus propias carnes lo que por ahora son simples avisos.

No son muchas las empresas de seguridad que ofrecen productos alternativos a la plataforma dominante, Windows, pero Symantec es uno de ellas desde hace alguna años y en su gama Norton no podía faltar una propuesta para Mac.

Norton Internet Security Mac Edition ofrece a los usuarios de la plataforma de Apple una capa extra de seguridad, sobre todo durante su acceso a Internet, donde no se verán libres de diferentes ataques. En concreto este programa de seguridad incorpora las siguientes tecnologías: Antivirus, antiphishing, protección de identidad, firewall de dos vías, protección de vulnerabilidades, protección de intrusiones, protección de archivos, protección del navegador y Norton DeepSight.

La instalación del programa es sencilla y extremadamente rápida, y lo primero que hace es conectarse con Symantec para conseguir las últimas actualizaciones. El programa se ejecuta en segundo plano y el usuario sólo notará un icono en una esquina de la pantalla que, cuando se pincha sobre él, llevará al usuario a la pantalla de Norton donde podrá ver las estadísticas y estado del ordenador, realizar exploraciones manuales de un fichero, o carpeta o unidad de disco, etc.




Nueva en esta versión de Norton Internet Security Mac Edition 2009 es la protección de vulnerabilidades que monitoriza la conexión a Internet y impedir el acceso no autorizado a tu sistema. Uno de los aspectos más interesantes es Norton Confidential, una herramienta antiphishing que detecta las páginas web falsas y se asegura de que el nombre de usuario y contraseña no se roban en este tipo de sites. Norton DeepSight incorpora una lista de direcciones IP maliciosas y lo que hace es bloquear el acceso a las mismas.

Precio: 69,99 euros

Fabricante: Symantec



Web: www.symantec.com/es/es/index.jsp

Panda Cloud Antivurs

Panda ha lanzado un antivirus gratuito basado en la nube. Utilizando su Inteligencia Colectiva junto con la 'cloud computing' y una plataforma basada en la comunidad de usuarios, los que ha hecho Panda es lanzar una oferta muy diferente a lo existente hasta ahora.

Para empezar, la instalación de Panda Cloud Antivirus es extremadamente rápida, y su uso, extremadamente sencillo, tanto que realmente el programa cuenta con un interfaz de usuario con cuatro pestañas, a cual más básica que no volverá locos a los usuarios noveles.

Como hemos dicho, el programa cuenta con cuatro pestañas: Configuración, Análsis, Informe y Estado y en ninguna de ellas se ofrecen demasiadas opciones. En la primera los usuarios pueden seleccionar la opción que permite a Panda Cloud Antivirus enviar información, de manera anónima, a la Inteligencia Colectiva situada en la nube, donde se analiza, clasifica y, en general, se administra el malware. Este permite crear una enorme comunidad en la que los usuarios se ayudan entre sí permitiendo que Panda esté lo más informada posible de lo que ocurre en la red, detectando rápidamente nuevos tipos de malware y dejando que sea la comunidad la que se convierta en “laboratorio”. Es por tanto mediante esta Inteligencia Colectiva como Panda Cloud Antivirus puede reducir el consumo de recursos, por la protección no reside tanto en el PC como en la nube, en centros de datos distribuidos.




La pestaña de Análisis también es extremadamente sencilla, con dos opciones, o explorar todo el PC o explorar determinas carpetas o elementos. La tercera pestaña, la de Informe mantiene al usuario al día de lo que ha detectado el antivirus, el número de virus, gusanos, troyanos, spyware, adware, dialers... que ha detectado, permitiendo al usuario ver lo que ha ocurrido en determinados periodos de tiempo y acceder a un informe más completo de sucesos. Finalmente, la última pestaña puede mostrarte un gran 'stick' verde que te dice que todo está correcto o una gran cruz roja que indica algún problema.

Finalmente destacar que Panda Cloud Antivirus incorpora una curiosa papelera a la que se accede desde la esquina inferir derecha y en la que el usuario podrá encontrar cualquier programa que el programa haya decidido neutralizar por algún motivo.

La simplicidad de este antivirus, y sobre todo su ligereza, son las grandes bazas de esta oferta gratuita con la que Panda reta al mercado.

Precio: Gratuito

Fabricante: Panda Security



Web: www.pandasecurity.com/spain

jueves, 3 de septiembre de 2009

Más reglas a tener en cuenta

La segunda lección es que tú no eres el propietario del hardware de forma que para llevar a cabo una exploración de vulnerabilidades, o una prueba de penetración, se necesita el permiso expreso del proveedor del servicio en la nube; si no, el cliente está 'hackeando' los sistemas del proveedor.

En la tercera lección se afirma que mientras la 'cloud computing' ofrece a las compañías inmensos beneficios, como permitir el acceso a los datos desde cualquier lugar y eliminar los quebraderos de cabeza a los directores de TI, el hecho de que el servicio siempre esté activo también significa que los ataques de phishing que amenazan a los trabajadores en casa también podrían afectar a la compañía. Un remedio clave es aumentar la educación de los usuarios sobre los peligros de Internet, no sólo para ellos, sino para sus compañías.

La cuarta lección de Haroon Meer hace referencia a que cuando se utiliza una máquina virtual de un proveedor, las empresas nunca deberían confiar en el sistema. Los investigadores de su compañía han explorado una serie de instancias preconfiguradas y han encontrado claves de autenticación en la caché, datos de tarjetas de crédito, y código maliciosos escondido dentro del sistema. Y es que, según Meer, la mayoría de sus clientes no tienen en cuenta las implicaciones de seguridad a la hora de utilizar la imagen de una máquina creada por un desarrollador externo; por lo tanto las empresas deberían crear sus propias imágenes para uso interno, o protegerse técnicamente y legalmente de desarrolladores con fines algo turbios.

El quinto y último punto afirma: Reconsidera tus hipótesis, que se refiere a que en todos los casos, cuando está en juego la seguridad, los directores de tecnologías de la información tiene que reconsiderar sus hipótesis sobre la nube.

Seguridad, la asignatura pendiente de la cloud computing

Seguridad, la asignatura pendiente de la cloud computing


Aunque la mayoría de las compañías piensan en mover sus aplicaciones a la nube, la seguridad de los servicios de terceros todavía deja mucho que desear, según advirtieron los expertos en el Black Hat, la conferencia de seguridad celebrado a finales de julio.

El clima económico ha hecho que la cloud computing sea uno de los temas candentes del sector TI gracias a los ahorros de costes que consiguen las empresas que se han aprovechado de las máquinas virtuales y de las aplicaciones que las grandes empresas llevan a ellas.

Haroon Meer, director técnico de seguridad de SensePost afirmó en el Black Hat que las empresas pequeñas están utilizando la infraestructura en la nube, pero que “el peligro es que las grandes empresas empiezan a utilizarla sin haber pasado por una auditoría”.

La experiencia de Haroon Meer le llevó a decir que normalmente las empresas no exploran las instancias de las máquinas disponibles de algunos proveedores. Se podría crear fácilmente una instancia maliciosa como si fuera un troyano para acceder a la red interna de la compañía, dijo Meer.

Con estos peligros en mente Haroon Meer estableció cinco lecciones que deberían de tenerse en cuenta a la hora de adentrarse en el mundo de la cloud compunting. La primera es que la nube ofrece menos protección legal; las empresa tienen que darse cuenta de que los datos de la nube están sujetos a una norma jurídica inferior en términos de búsqueda y captura.

Alex Stamos, consultor de iSec Partners y asistente al Black Hat, afirmó que los proveedores de 'cloud computing' están más preocupados por protegerse que proteger al cliente por lo que “no hay que esperar servicios legales a favor de tu empresa”.

Otras curiosidades del Black Hat

Junto con el peligro de los SMS y algunas herramientas que nos llamaron la atención, el Black Hat también ha dejado algunas informaciones que nos presentan un futuro poco halagüeño en el terreno de la seguridad, como hecho de que se puedan estar utilizando las actualizaciones de software para expandir el malware e infectar los ordenadores.

Mediante una herramienta que explora las redes en busca de ordenadores que estén pidiendo actualizaciones de software, se puede engañar al ordenador para, en lugar de ir al servidor de actualizaciones de una aplicación, ir a otro donde lo que se descarga es malware.

Y como todo parece tener su contrapunto, también optamos por lo positivo recordando que el Black Hat también es el marco para algunas noticias buenas, como que dos investigadores de HP han presentado la posibilidad de crear darknets basadas en un navegador, lo que no sólo facilita su propia creación, sino su gestión, algo normalmente complicado de llevar a cabo

martes, 1 de septiembre de 2009

Herramientas para el hacker

Además de hablar de fallos y hacer demostraciones el Black Hat es, como muchos congresos de tecnología, el lugar ideal para presentar las últimas herramientas en el terreno de la seguridad, aunque a veces parezca que estén 'en el lado oscuro'.

En este sentido, interesante fue la que se presentó capaz de quebrar las bases de datos de Oracle. Chris Gates y Mario Ceballos fueron los encargados de presentar Oracle Pentesting Methodology, diseñada para ayudar a las empresas a establecer si sus sistemas son vulnerables.

Otras herramientas son las que permiten escuchar a escondidas video conferencias e interceptar el vídeo de las cámaras de seguridad. UCSniff es una herramienta gratuita, disponibles tanto para Windows como para Linux, con un interfaz de usuarios muy sencillo, según sus creadores, y que permite detectar vídeo conferencias. Básicamente la herramienta engaña a las redes de voz sobre IP (VoIP) que llevan vídeo enviando paquetes de datos al ordenador del atacante, que puede utilizarlo para espiar a la gente escuchando una información confidencial entre dos ejecutivos, por ejemplo

La herramienta también sirve para ver lo que esté recogiendo una cámara de seguridad, como en las mejores películas de grandes robos. También puede servir para hacer alguna gamberrada, como se explicó durante el Black Hat, ya que se podría inyectar a esa red otro tipo de vídeo, pornográfico, por ejemplo.

Las empresas pueden utilizar cifrado en el servidor de redes para protegerse contra estos ataques, pero este cifrado no está activado por defecto, advirtieron los expertos.

SMS, un peligro para los móviles

SMS, un peligro para los móviles


El fallo en la implementación del SMS en el iPhone no es la única vulnerabilidad en la que los mensajes de texto están involucrados.

Durante el Black Hat se hizo una demostración de cómo un atacante podría suplantar un mensaje SMS que parece que ha enviado una operadora o alguna otra fuente de confianza. Este ataque basado en mensajes MMS, o multimedia, permitiría a un atacante engañar a los visitantes de una página web. Y es que, al pensar que procede de la operadora, se le podría tentar con una recarga o descuento de 20 euros para el que usuario accediera a una página web infectada.

Este tipo de ataques funciona en cualquier tipo de teléfonos que pueden enviar y recibir MMS y que funcionen sobre redes GSM. Durante la demostración se utilizó un iPhone modificado desde el que se pudo sortear la protección de la operadora para las comunicaciones SMS enviando mensajes MMS especiales. Las operadoras utilizan las comunicaciones SMS se utilizan para contactar con los usuarios y por eso son de confianza

En otras demostraciones los atacantes pudieron superar otras protecciones, como los filtros antimalware para detectar, entre otras cosas qué versión y sistema operativo está utilizando el usuario para lanzar un ataque dedicado. Curiosamente durante el Black Hat se presentó una herramienta denominada TAFT (There's an Attack For That) que automatiza la implementación de fallos que ya han sido resueltos.

Un fallo para el iPhone

Un fallo para el iPhone

Entre el 25 y el 30 de julio se ha celebrado en Las Vegas la conferencia de seguridad Black Hat, donde se han tratado las amenazas de seguridad más avanzadas junto con los fallos no descubiertos más peligrosos. Muchas han sido las ponencias que, ante cerca de 4.000 asistentes presentaron un panorama en el que parece que, de momento, van ganando los malos.

Quizá uno de los temas que más ha llamado la atención de toda la prensa ha sido el referido al fallo en el iPhone, popular hasta en estos menesteres. El experto en seguridad Charlie Miller reveló durante la conferencia que Apple estaba trabajando en un parche para un fallo de seguridad del iPhone relacionado con la implementación SMS y que podría llevar a la ejecución de código arbitrario.

El iPhone puede ejecutar datos de un SMS como si fuera un código en lugar de un simple mensaje de texto si lo hace con privilegios y sin la intervención del usuario. El último término esto podría llevar a desactivar la comprobación de firmas de códigos ya incorporados en el sistema operativo del iPhone para cargar otras librerías y, finalmente, llevar a un atacante a tomar el control del dispositivo, incluido el acceso a cualquier dato almacenado en él.