Ekoparty Security Conference anuncia su 5ta edición en Argentina

Ekoparty Security Conference anuncia su 5ta edición en Argentina
“What if r00t was one of us?”

- El evento anual de seguridad informática, por sus características únicas y estilo, se ha convertido en referente para toda Latinoamérica.


- 3 días de Trainings + 2 días de Conferencias, en el Centro Cultural Konex.

Ekoparty (www.ekoparty.org) anuncia la realización de su 5ta edición del 14 al 18 de Septiembre en el Centro Cultural Konex, Buenos Aires, Argentina. Este evento anual de seguridad informática, por sus características únicas y estilo, se ha convertido en referente para toda Latinoamérica.

La idea surgida del circuito underground de IT, nació ante la necesidad de generar un espacio más amplio para el intercambio de conocimientos en un ámbito distendido. Además de poseer relevancia internacional y contar con una amplia audiencia técnica especializada, propone entrenamientos y conferencias con los más importantes profesionales de seguridad informática.

Ekoparty Security Conference permite a consultores, oficiales de seguridad, investigadores, programadores, técnicos, administradores de sistemas, Nerds y entusiastas de la tecnología reunirse y disfrutar de los descubrimientos más importantes en seguridad informática. En esta nueva edición se espera convocar a más de 400 asistentes y ofrece traducción simultánea inglés-español y español-inglés.


Como Ekoparty se caracteriza por sus conferencias y ambiente relajado, brinda a los asistentes el GetTogether luego de la primera jornada de conferencias y un AlterCon Party de cierre al terminar la semana. Este año la actividad de lockpick la va a hacer la organización reconocida a nivel internacional, Toool (http://toool.us/), marcando la diferencia con las ediciones anteriores del encuentro.

Entre los expositores del evento se encuentran:
- Alfredo Ortega/Anibal Sacco: Deactivate The Rootkit
- Cesar Cerrudo: Opening Intranets to attacks by using Internet Explorer
- Charlie Miller: iPhone Hacking: Fuzzing and Payloads
- Chema Alonso: Connection String Attacks
- Deviant Ollam: Ten Things Everyone Should Know About Lockpicking & Physical Security
- Leonardo Nve: Playing in a Satellite environment 1.2
- Luis Miras: Attacking SMS
- Moxie Marlinspike: More Tricks For Defeating SSL In Practice
- Nicolás Economou: Heurísticas aplicadas a la comparación (diffeo) de binarios
- Philippe Langlois: SCCP hacking, attacking the SS7 & SIGTRAN applications one step further and mapping the phone system
- Sebastián N. Fernandez: POSIX Meterpreter

Ekoparty Security Trainings 2009

Al igual que en las ediciones anteriores, previos a los dos días de conferencias (del 14 al 16 de septiembre) se dictarán trainings por los más importantes disertantes del sector. Los mismos son:

- Breaking Windows, Damian Gomez (Immunity)
- COMBAT Training (NINJA edition), Leonardo Pigñer (BASE4 Security)
- Hacking and Defending Oracle Databases, Esteban Martínez Fayó (ARGENISS)
- Lockpicking & Physical Security – from novice to master in one day, Deviant Ollam, (TOOOL)
- Programando Shellcode en Windows desde Cero, Pablo Solé (Immunity)
- Técnicas de Inyección (ciegas) en aplicaciones Web, Chema Alonso (Informática 64)
- Web Testing & Exploiting Workshop, Andrés Riancho (Bonsai)
- Evaluating Secure Protocols and Intercepting Secure Communication, Moxie Marlinspike

Para más información visiten el sitio oficial en: Ekoparty.org

Koobface y sus nuevos mensajes de infección vía Twitter y Facebook.

La empresa de seguridad TrendMicro acaba de publicar un interesante artículo en el blog de su laboratorio TrendLabs, sobre el descubrimiento de hasta el momento más de 40 tipos diferentes de falsos mensajes que utiliza el gusano de las redes sociales Koobface, para que por medio de estos puedan caer usuarios desprevenidos y terminen infectados por este malware.

Twitter es la plataforma elegida por Koobface para que por medio de sus tweets más una URL corta, nos ofrezca ver un vídeo o similar como se puede ver en el listado de abajo.

Si pulsamos en alguna de esas URLs nos llevara a un sitio que imita ser el sitio de Facebook donde se nos intentara instalar un archivo llamado “setup.exe” diciéndonos que es una actualización de Flash Player y el cual es nada más y nada menos que el mismo malware Koobface.

Ver listado de falsos tweets:



•Congratulations! You are on hidden camera!
•Congratulations! You are on news!
•Congratulations! You are on TV!
•Hey! Are you really in that video?
•Hey! Is that really you in that video?
•Hey! You are on hidden camera!
•Hey! You are on news!
•Hey! You are on TV!
•Holly shit! Are you really in this video?
•Holly shit! You are on hidden camera!
•Holly shit! You are on news!
•Holly shit! You are on TV!
•Nice! Your ass looks awesome on this video!
•Nice! Your ass looks great on this video!
•Nice! Your body looks awesome on this video!
•Nice! Your booty looks awesome on this video!
•Nice! Your booty looks great on this video!
•Saw that video the other day… Did you really do that?
•Saw that video the other day… How could you do something like that?
•Saw that video the other day… How could you do such a thing?
•Saw that video the other day… Why did you do that?
•Saw that video yesterday… Did you really do that?
•Saw that video yesterday… How could you do something like that?
•Saw that video yesterday… How could you do such a thing?
•Saw that video yesterday… Why did you do that?
•Sweet! Your ass looks awesome on this video!
•Sweet! Your ass looks great on this video!
•Sweet! Your body looks great on this video!
•Sweet! Your booty looks awesome on this video!
•Wow! Are you really in that video?
•Wow! Are you really in this video?
•Wow! Is that really you in that video?
•You were caught on our hidden camera!
•You were caught on our secret camera!
•You were caught on our stealthy camera!
•You were seen on our hidden camera!
•You were seen on our secret camera!
•You were seen on our stealthy camera!
•You were sighted on our hidden camera!
•You were sighted on our secret camera!
•You were sighted on our stealthy camera!


Si somos infectados por Koobface este tiene programadas varias tareas para realizar en nuestro equipo que van cambiando y mutando con cada variante que aparece de este, pero que principalmente son:

Secuestrar nuestras búsquedas en Google y otros motores para redireccionarnos a sus sitios afiliados que nos pueden seguir descargando otros malwares.

Descargarnos alguno de los tantos “Falsos Antivirus” con los cuales este esta afiliado como comentábamos hace unos días en el blog como: Total Security o similar.

Si somos usuarios de alguna de estas redes sociales como Twitter y/o Facebook, el gusano empezara a enviar mensajes sin nuestro consentimiento ni que nos enteremos, a todo nuestro grupo de amigos como algún mensajes como los de arriba y una nueva URL acortada para infectar a estos.



Como pudieron ver mas arriba todos los mensajes de este “por ahora” son únicamente en idioma ingles y no se ha descubierto ninguno en español, por lo que si su supuesto amigo/contacto que le envía este para que veamos su vídeo y sabemos que no habla ingles… NO entren! y aunque parezca un poco tota la recomendación recuerden que el sentido común es nuestra mejor protección :)

Los pasos para eliminar Koobface de nuestros equipos pueden depender del grado de infección que tengamos como que si este nos descargo algún otro malwares más o similar, pero como siempre pueden solicitar ayuda personalizada en nuestro foro.

Lo que si es bien importante realizar una vez que nuestro equipo ya se encuentra limpio de malwares, lo primero que tenemos que hacer es cambiar nuestro login y password de estas redes sociales si es que somos miembros.

Total Security un “Total engaño” que se distribuye por Facebook.

Total Security un “Total engaño” que se distribuye por Facebook.
Total Security Detalles Técnicos:
Nombre Completo: Total Security
Peligrosidad: Alta.
Tipo: Rogueware
Origen: Desconocido.
Sito web: hxxp://livetimevirusscaner
Clones: System Security 2009
Propagación: Koobface vía Facebook
Desinfección con: MalwareBytes

Total Security es otro de los nuevos Rogueware que utilizan el gusano de las redes sociales Koobface, para propagarse entre estas, principalmente Twitter y Facebook.

Si somos usuarios de alguna de estas redes sociales y nuestro PC es infectado por alguna variante de Koobface, al ingresar a alguna de estas, se enviara de forma automática y sin que nos demos cuenta, un mensaje para todos nuestros contactos/amigos con un enlace de un supuesto vídeo nuestro que dice: “Coool Video” en Facebook y “My Home Video” en Twitter, el cual para que lo puedan ver tienen que descargar una supuesta actualización de “Flash Player” que en realidad es este falso programa de seguridad “Total Security”

Una vez nuestro sistema infectado con “Total Security” este se vuelve una verdadera pesadilla para nuestro sistema emitiendo continuamente reportes y alertas de supuestas infecciones en nuestro sistema para generarnos pánico y que compremos su producto final el cual promete resolvernos todos los problemas. Lógicamente el producto final no va a resolvernos ningún problema y únicamente vamos a pasar a ser victimas de estos ciberdelincuentes.



Otras particularidad des Total Security:


•Total Security: ralentiza su PC.
•Total Security: produce falsos positivos.
•Total Security: produce falsos positivos.
•Total Security: simula un falso “Centro de Seguridad”
•Total Security: puede instalar otros malwares es su sistema.
•Total Security: produce continuas alertas falsas de infecciones.
•Total Security: modifica el fondo de tu escritorio agregando un WARNING.
•Total Security: puede Imposibilitar de acceder a sitios webs dedicados a la seguridad como InfoSpyware.com

Como dato anecdótico, probamos dos diferentes versiones del archivo infectador de “Total Security” en dos PCs diferentes y en ambos nos detecto 38 supuestas infecciones…. ni una mas ni una menos.

Si bien esta nueva variante es relativamente nueva y descubierta por los laboratorios de PandaLabs el pasado viernes, desde entonces estamos recibiendo más y más casos de infecciones de “Total Security” en nuestro Foro de InfoSpyware ya que al igual que en los otros casos de Scarewares, estos van mutando su archivo infectador para ser irreconocibles por los Antivirus y programas de seguridad verdaderos. Como muestra pueden ver el resultado del ultimo archivo llamado Antivirus_70.exe en Virus-Total, donde ninguno de los 41 motores AV detecta este como una infección… (por ahora claro)

¿Qué son los Adware?

¿Qué son los Adware?
Adware "Advertising-Supported software" (Programa Apoyado con Propaganda),en otras palabras se trata de programas creados para mostrarnos publicidad.

Que diferencia hay entre Adwares y Spywares?
La diferencia esta en que suelen venir incluido en programas Shareware y por tanto, al aceptar los términos legales durante la instalación de dichos programas, estamos consintiendo su ejecución en nuestros equipos y afirmando que estamos informados de ello. Un ejemplo de esto pueden ser los banners publicitarios que aparecen en software diverso y que, en parte, suponen una forma de pago por emplear dichos programas de manera pseudo gratuita.



Como entran en nuestras PCs?
Estando ocultos en un programa gratuitos (Freeware) los cuales al aceptar sus condiciones de uso (casi siempre en ingles y que no leemos) estamos aceptando que cumplan sus funciones de mostrarnos su publicidad.



Cuales son los síntomas de tener un Adware?
Los Adwares se dedican a mostrarnos publicidades en los programas que estos vienen incluidos por medios de banners en estos, pero ya los mas peligrosos nos van a abrir ventanitas pop-ups por todas partes, van a agregar direcciones en los favoritos del IE y van a instalarnos barras de herramientas con el único objetivo de que naveguemos siempre dentro de sus redes de publicidad.



Programas conocidos que incluyen Adwares
Alexa, MyWebSearch, FlashGet, Cydoors, Gator, GoHit, Webhancer, Lop, Hotbar, eZula, KaZaa, Aureate / Radiate, RealPlayer, Zango, C2Media, CID, Messenger Plus etc…

Firewall = Cortafuegos

Se trata de aplicaciones destinadas a prevenir que penetren en la PC elementos no deseados vía Internet.

Para eso concentran todo el flujo entrante y saliente entre la PC e Internet y bloquea los pedidos de enlaces no solicitados por el usuario potencialmente inseguros, instalaciones clandestinas de programas y algunos hasta bloquean pop ups, publicidades, etc.



Como funcionan los Firewall
Se manejan por zonas (seguras o no) o bien por niveles de seguridad, los que establece el usuario según el grado de permisividad que le imponga al equipo. Pero luego el programa se va configurando con el tiempo. Como decimos en cada review, en realidad con los Firewalls no hay que hacer nada, sólo configurarlos según las necesidades o gustos del usuario, cosa que no termina con la instalación. Tras esta, una vez que el usuario se conecta a Internet (o aún antes) comienza a trabajar el programa. Los primeros días de uso pueden ser un tanto engorrosos ya que tanto el usuario como el programa “aprenden” mutuamente. El usuario aprende las funciones y el programa qué cosas debe dejar pasar, qué bloquear y qué programas dejar conectar, por eso al principio son puras preguntas, hasta que se van conformando las reglas de uso en la medida que el usuario haga determinadas acciones con las alarmas que pueden ser de varios tipos. Con este tipo de aviso el programa pide que se defina la regla que se va a aplicar entre alguna de las posibles.

Una vez que se determina qué hacer con esa acción (por ejemplo permitir que un programa se conecte siempre a Internet), con cada cartel de alerta se van configurando las reglas ya que luego ese aviso no va a volver a aparecer. Con el tiempo estos avisos se reducen al mínimo.

Por cada acción crean un registro de la actividad (log) para el posterior análisis del usuario.



Tipos de peligros que puede evitar un firewall
•-Instalación y ejecución de programas instalados clandestinamente desde Internet, por ejemplo vía aplicaciones ActiveX o Java que pueden llegar a transferir datos personales del usuario a sitios.


•-Acceso de terceros por fallas o errores de configuración de Windows (por ejemplo de NetBIOS).


•-Instalación de publicidad (advertisers) o elementos de seguimiento (track) como las cookies.


•-Troyanos: aplicaciones ocultas que se descargan de la red y que pueden ser usadas por terceros para extraer datos personales. A diferencia del virus, estos troyanos son activados en forma remota por un tercero.


•-Reducción del ancho de banda disponible por el tráfico de banners, pop us, sitios no solicitados, y otro tipo de datos innecesarios que ralentizan la conexión.
•-Spyware (ver que son los spyware)


•-Utilización de la línea telefónica por terceros por medio de Dialers (programas que cortan la actual conexión y utilizan la línea para llamadas de larga distancia)

¿Qué es el Phishing?

¿Qué es el Phishing?

Phishing consiste en el envío de correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir un enlace que, al ser pulsado, lleva a páginas web falsificadas. De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que, en realidad, va a parar a manos del estafador.



Existe un amplio abanico de software y aplicaciones de toda índole que quedan clasificados dentro de la categoría de robo de información personal o financiera, algunas de ellas realmente complejas, como el uso de una ventana Javascript flotante sobre la barra de direcciones del navegador con el fin de confundir al usuario. Algunas de las características más comunes que presentan este tipo de mensajes de correo electrónico son:

•Uso de nombres de compañías ya existentes. En lugar de crear desde cero el sitio web de una compañía ficticia, los emisores de correos con intenciones fraudulentas adoptan la imagen corporativa y funcionalidad del sitio de web de una empresa existente, con el fin de confundir aún más al receptor del mensaje.

•Utilizar el nombre de un empleado real de una empresa como remitente del correo falso. De esta manera, si el receptor intenta confirmar la veracidad del correo llamando a la compañía, desde ésta le podrán confirmar que la persona que dice hablar en nombre de la empresa trabaja en la misma.

•Direcciones web con la apariencia correcta. El correo fraudulento suele conducir al lector hacia sitios web que replican el aspecto de la empresa que está siendo utilizada para robar la información. En realidad, tanto los contenidos como la dirección web son falsos e imitan los contenidos reales. Incluso la información legal y otros enlaces no vitales pueden redirigir al confiado usuario a la página web real.

•Factor miedo. La ventana de oportunidad de los defraudadores es muy breve, ya que una vez se informa a la compañía de que sus clientes están siendo objeto de este tipo de prácticas, el servidor que aloja al sitio web fraudulento y sirve para la recogida de información se cierra en el intervalo de unos pocos días. Por lo tanto, es fundamental para el defraudador el conseguir una respuesta inmediata por parte del usuario. En muchos casos, el mejor incentivo es amenazar con una pérdida, ya sea económica o de la propia cuenta existente, si no se siguen las instrucciones indicadas en el correo recibido.

•Man-in-the-middle (hombre en el medio). En esta técnica, el atacante se sitúa entre el usuario y el sitio web real, actuando a modo de proxy. De esta manera, es capaz de escuchar toda la comunicación entre ambos.Para que tenga éxito, debe ser capaz de redirigir al cliente hacia su proxy en vez de hacia el servidor real. Existen diversas técnicas para conseguirlo, como por ejemplo los proxies transparentes, el DNS Cache Poisoning (Envenenamiento de Caché DNS) y la ofuscación de la URL.

•Aprovechamiento de vulnerabilidades de tipo Cross-Site Scripting en un sitio web, que permiten simular una página web segura de una entidad bancaria, sin que el usuario pueda detectar anomalías en la dirección ni en el certificado de seguridad que aparece en el navegador.

•Aprovechamiento de vulnerabilidades de Internet Explorer en el cliente, que permiten mediante el uso de exploits falsear la dirección que aparece en el navegador. De esta manera, se podría redirigir el navegador a un sitio fraudulento, mientras que en la barra de direcciones del navegador se mostraría la URL del sitio de confianza. Mediante esta técnica, también es posible falsear las ventanas pop-up abiertas desde una página web auténtica.

•Algunos ataques de este tipo también hacen uso de exploits en sitios web fraudulentos que, aprovechando alguna vulnerabilidad de Internet Explorer o del sistema operativo del cliente, permiten descargar troyanos de tipo keylogger que robarán información confidencial del usuario.

•Otra técnica más sofisticada es la denominada Pharming. Se trata de una táctica fraudulenta que consiste en cambiar los contenidos del DNS (Domain Name Server, Servidor de Nombres de Dominio) ya sea a través de la configuración del protocolo TCP/IP o del archivo lmhost (que actúa como una caché local de nombres de servidores), para redirigir los navegadores a páginas falsas en lugar de las auténticas cuando el usuario accede a las mismas a través de su navegador. Además, en caso de que el usuario afectado por el pharming navegue a través de un proxy para garantizar su anonimato, la resolución de nombres del DNS del proxy puede verse afectada de forma que todos los usuarios que lo utilicen sean conducidos al servidor falso en lugar del legítimo.

¿Cómo funciona? ¿Cómo se distribuye?
El mecanismo más habitualmente empleado es la generación de un correo electrónico falso que simule proceder de una determinada compañía, a cuyos clientes se pretende engañar. Dicho mensaje contendrá enlaces que apuntan a una o varias páginas web que replican en todo o en parte el aspecto y la funcionalidad de la empresa, de la que se espera que el receptor mantenga una relación comercial. Si el receptor del mensaje de correo efectivamente tiene esa relación con la empresa y confía en que el mensaje procede realmente de esta fuente, puede acabar introduciendo información sensible en un formulario falso ubicado en uno de esos sitios web. En cuanto a su distribución, también presentan características comunes:

•De la misma manera que el spam, es enviado masiva e indiscriminadamente por correo electrónico o sistemas de mensajería instantánea.


•El mensaje insta al usuario a pulsar sobre un enlace, que le llevará a una página en la que deberá introducir sus datos confidenciales, con la excusa de confirmarlos, reactivar su cuenta, etc.Se envía como una alerta de una entidad financiera advirtiendo de un ataque. Incluye un enlace que se insta a pulsar y en el que se solicitan datos personales.

•Dado que el mensaje se distribuye masivamente, alguno de los receptores será efectivamente cliente de la entidad. En el mensaje se indica que, debido a algún problema de seguridad es necesario acceder a una dirección web donde debe reconfirmar sus datos: nombre de usuario, contraseña, número de tarjeta de crédito, PIN, número de seguridad social, etc.

•Por supuesto, el enlace no dirige a ninguna página de la compañía, sino más bien a un sitio web (similar al original) desarrollado a propósito por los estafadores y que reproduce la imagen corporativa de la entidad financiera en cuestión. Normalmente la dirección web contiene el nombre de la institución legítima por lo que el cliente no sospecha de la falsedad de la misma.


•Cuando el usuario introduce sus datos confidenciales, éstos se almacenan en una base de datos y lo que ocurre a continuación no necesita de un gran esfuerzo de imaginación: los estafadores utilizan esta información para conectarse a su cuenta y disponer libremente de los fondos.


Los principales daños provocados por el phishing son:
1. Robo de identidad y datos confidenciales de los usuarios (tarjetas de crédito, claves de acceso.

2. Pérdida de productividad.

3. Consumo de recursos de las redes corporativas (ancho de banda, saturación del correo, etc.).



¿Cómo puedo reconocer un mensaje de phishing?
•Distinguir un mensaje de phishing de otro legítimo puede no resultar fácil para un usuario que haya recibido un correo de tales características, especialmente cuando es efectivamente cliente de la entidad financiera de la que supuestamente proviene el mensaje.

•El campo De: del mensaje muestra una dirección de la compañía en cuestión. No obstante, es sencillo para el estafador modificar la dirección de origen que se muestra en cualquier cliente de correo.

•El mensaje de correo electrónico presenta logotipos o imágenes que han sido recogidas del sitio web real al que el mensaje fraudulento hace referencia.
•El enlace que se muestra parece apuntar al sitio web original de la compañía, pero en realidad lleva a una página web fraudulenta, en la que se solicitarán datos de usuarios, contraseñas, etc.

•Normalmente estos mensajes de correo electrónico presentan errores gramaticales o palabras cambiadas, que no son usuales en las comunicaciones de la entidad por la que se están intentando hacer pasar.


Todos los usuarios del correo electrónico corremos el riesgo de ser víctimas de estos intentos de ataques. Cualquier dirección pública en Internet (que haya sido utilizada en foros, grupos de noticias o en algún sitio web) será más susceptible de ser víctima de un ataque debido a los spiders que rastrean la red en busca de direcciones válidas de correo electrónico. Éste es el motivo de que exista este tipo de malware. Es realmente barato el realizar un ataque de este tipo y los beneficios obtenidos son cuantiosos con tan sólo un pequeñísimo porcentaje de éxito.


¿Cómo puedo protegerme del phishing?
En caso de que crea que el mensaje recibido pudiera ser legítimo, algo que de entrada debe ser considerado como altamente improbable, en primer lugar debería contactar con la institución financiera, telefónicamente o a través del medio que utilice habitualmente. Aun en caso afirmativo, verifique siempre los siguientes puntos antes de introducir cualquier clase de datos que puedan llegar a ser utilizados maliciosamente por terceros, para reducir drásticamente el riesgo de sufrir un ataque de phishing:

•Verifique la fuente de la información. No conteste automáticamente a ningún correo que solicite información personal o financiera. Si tiene dudas sobre si realmente esa entidad necesita el tipo de información que le solicita, basta con telefonear a su contacto habitual para asegurarse de la fuente de la información.

•Escriba usted mismo la dirección en su navegador de Internet. En lugar de hacer clic en el hipervínculo proporcionado en el correo electrónico, escriba la dirección web directamente en el navegador o utilice un marcador que haya creado con anterioridad. Incluso direcciones que aparentan ser correctas en los correos electrónicos pueden ocultar la ruta hacia un sitio web fraudulento.

•Refuerce su seguridad. Aquellos usuarios que realizan transacciones a través de Internet deberían configurar su sistema con suites de seguridad capaces de bloquear estas amenazas, aplicar los últimos parches de seguridad facilitados por los fabricantes y asegurarse de que operan en modo seguro a través de certificados digitales o protocolos de comunicación seguros como https://

•Compruebe que la página web en la que ha entrado es una dirección segura : ha de empezar con https:// y un pequeño candado cerrado debe aparecer en la barra de estado de nuestro navegador.

•Haga doble clic sobre dicho candado para tener acceso al certificado digital que confirma que la web se corresponde con la que está visitando.

•Revise periódicamente sus cuentas. Los extractos mensuales son especialmente útiles para detectar transferencias o transacciones irregulares, tanto operaciones que no haya realizado y se vean reflejadas en el extracto, como operaciones realizadas online y que no aparezcan en el extracto.


Cumplidos todos estos requisitos, el usuario puede proporcionar su información con una razonable seguridad de que ésta no será utilizada contra sus intereses. La mejor manera de protegerse del phishing es entender la manera de actuar de los proveedores de servicios financieros y otras entidades susceptibles de recibir este tipo de ataques. La regla principal que estas entidades no infringen es la solicitud de información sensible a través de canales no seguros, como por ejemplo el correo electrónico. Nota* Evite el Phishing navegando con Firefox AntiPhishing.

¿Qué son los Malwares?

Malware es la abreviatura de “Malicious software” (software malicioso), término que engloba a todo tipo de programa o código de computadora cuya función es dañar un sistema o causar un mal funcionamiento. Dentro de este grupo podemos encontrar términos como: Virus, Trojan (Caballo de Troya), Gusano (Worm), Dialers, Spyware, Adware, Hijackers, Keyloggers, FakeAVs, Rogues, etc….

En la actualidad y dado que los antiguos llamados Virus ahora comparten funciones con sus otras familias, se denomina directamente a cualquier parasito/infección, directamente como un “Malware”.



Todos ellos configuran el panorama del malware en la actualidad.

Virus:
Los Virus Informáticos son sencillamente programas creados para infectar sistemas y a otros programas creándoles modificaciones y daños que hacen que estos funcionen incorrectamente y así interferir en el funcionamiento general del equipo, registrar, dañar o eliminar datos, o bien propagarse por otros equipos y a través de Internet. Serian similares a los virus que afectan a los humanos ya que hay que implementar antibióticos en este caso serian los Antivirus.

Seguir leyendo sobre Virus »


Gusanos:
Son programas desarrollados para reproducirse por algún medio de comunicación como el correo electrónico (el más común), mensajeros o redes P2P. El objetivo de los mismos es llegar a la mayor cantidad de usuarios posible y lograr distribuir otros tipos de códigos maliciosos que se mencionarán a continuación. Estos últimos serán los encargados de llevar a cabo el engaño, robo o estafa. Otro objetivo muy común de los gusanos es realizar ataques de DDoS contra sitios webs específicos o incluso eliminar "virus que son competencia" para el negocio que se intente realizar.


Troyano:
En la teoría, un troyano no es virus, ya que no cumple con todas las características de los mismos, pero debido a que estas amenazas pueden propagarse de igual manera, suele incluírselos dentro del mismo grupo. Un troyano es un pequeño programa generalmente alojado dentro de otra aplicación (un archivo) normal. Su objetivo es pasar inadvertido al usuario e instalarse en el sistema cuando este ejecuta el archivo "huésped". Luego de instalarse, pueden realizar las más diversas tareas, ocultas al usuario. Actualmente se los utiliza para la instalación de otros malware como backdoors y permitir el acceso al sistema al creador de la amenaza. Algunos troyanos, los menos, simulan realizar una función útil al usuario a la vez que también realizan la acción dañina. La similitud con el "caballo de Troya" de los griegos es evidente y debido a esa característica recibieron su nombre.


Backdoors:
Estos programas son diseñados para abrir una "puerta trasera" en nuestro sistema de modo tal de permitir al creador de esta aplicación tener acceso al sistema y hacer lo que desee con él. El objetivo es lograr una gran cantidad de computadoras infectadas para disponer de ellos libremente hasta el punto de formas redes como se describen a continuación.


Adware:
El adware es un software que despliega publicidad de distintos productos o servicios. Estas aplicaciones incluyen código adicional que muestra la publicidad en ventanas emergentes, o a través de una barra que aparece en la pantalla simulando ofrecer distintos servicios útiles para el usuario. Generalmente, agregan ícono gráficos en las barras de herramientas de los navegadores de Internet o en los clientes de correo, la cuales tienen palabras claves predefinidas para que el usuario llegue a sitios con publicidad, sea lo que sea que esté buscando.

Seguir leyendo sobre los Adwares »


Spyware:
El spyware o software espía es una aplicación que recopila información sobre una persona u organización sin su conocimiento ni consentimiento. El objetivo más común es distribuirlo a empresas publicitarias u otras organizaciones interesadas. Normalmente, este software envía información a sus servidores, en función a los hábitos de navegación del usuario. También, recogen datos acerca de las webs que se navegan y la información que se solicita en esos sitios, así como direcciones IP y URLs que se visitan. Esta información es explotada para propósitos de mercadotecnia, y muchas veces es el origen de otra plaga como el SPAM, ya que pueden encarar publicidad personalizada hacia el usuario afectado. Con esta información, además es posible crear perfiles estadísticos de los hábitos de los internautas. Ambos tipos de software generalmente suelen "disfrazarse" de aplicaciones útiles y que cumplen una función al usuario, además de auto ofrecer su descarga en muchos sitios reconocidos.

Seguir leyendo sobre Spywares »


Dialer:
Tratan de establecer conexión telefónica con un número de tarificación especial.



Hijacker:
Se encargan de “Secuestrar” las funciones de nuestro sistema cambiando la pagina de inicio y búsqueda y/o otros ajustes del navegador. Estos pueden ser instalados en el sistema sin nuestro consentimiento al visitar ciertos sitos web mediante controles ActiveX o bien ser incluidos por un troyano.


Joke:
Gasta una broma informática al usuario.



Rootkit:
Es un conjunto de herramientas usadas frecuentemente por los intrusos informáticos o crackers que consiguen acceder ilícitamente a un sistema informático. Estas herramientas sirven para esconder los procesos y archivos que permiten al intruso mantener el acceso al sistema, a menudo con fines maliciosos. Hay rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o Microsoft Windows. Por ejemplo, el rootkit puede esconder una aplicación que lance una consola cada vez que el atacante se conecte al sistema a través de un determinado puerto. Los rootkits del kernel o núcleo pueden contener funcionalidades similares.

Seguir leyendo sobre los Rootkits »


Herramienta de Hacking:
Permite a los hackers realizar acciones peligrosas para las víctimas de los ataques.



Keylogger:
Aplicaciones encargadas de almacenar en un archivo todo lo que el usuario ingrese por el teclado (Capturadores de Teclado). Son ingresados por muchos troyanos para robar contraseñas e información de los equipos en los que están instalados.


Hoax:
Son mensajes de correo electrónico con advertencias sobre falsos virus.


Spam:
Es el envío indiscriminado de mensajes de correo no solicitados, generalmente publicitarios.



FakeAVs & Rogues:
Básicamente un Rogue software es un falso programa que nos mostrara falsos resultados de nuestro sistema ofreciéndonos a la vez pagar por este para que se encargue de repararlo. Por supuesto que esto es todo totalmente falso y el único objetivo es el de engañar al usuario a comprar su falso producto.

Entre los mas destacados están los FakesAVs (Falsos Antivirus) y FakeAS (Falsos Antispywares) de los cuales en InfoSpyware venimos llevando desde el año 2005 un listado de la mayoría de estos y que pueden ver en Listado de Falsos Antivirus – AntiSpyware y Rogue Software.

Cual es su objetivo ?
El objetivo es claro y sencillo, vender la mayor cantidad de copias de sus falsos productos que sea posibles hasta que los descubran y tengan que volver a rediseñar sus sitios con otros nombres para estos y para sus programas.




Como es que llegan a nuestros equipos ?
•Al descargar algún falsos codecs o falso plugin que se nos ofrece como necesario al intentar ver un video en Internet (por lo general videos del tipo erótico/pornográfico)
•Al visitar algunos sitios directamente fraudulentos o que su código web ha sido comprometido para descargarnos uno de estos Rogue Antivirus sin nuestro consentimiento.
•A través de alguno de los miles de Virus del tipo Troyano que están afiliados a estos y al infectarnos con uno de estos nos empezara a generar algunos de los síntomas que listamos más abajo.



Cuales son los síntomas visibles de infección ?
•Secuestro del navegador web.
•Enlentecimiento general del PC.
•Ventanas emergentes (pop-ups)
•Secuestro el fondo de escritorio.
•Secuestro de las búsquedas de Google.
•Secuestro de la pantalla de inicio de Windows.
•Secuestro de la pagina de Google que vemos en nuestro PC.
•Falsos mensajes de Alertas en barra de tareas al lado del reloj.
•Imposibilidad de actualizar y/o ejecutar su Antivirus o Antispywares tradicional
•Imposibilidad de acceder a sitios webs dedicados a la seguridad como InfoSpyware.com



Quienes están detrás de los Rogue ?
Organizaciones de Cibercriminales que cuentan con muy buenos recursos y afiliaciones en su mismo mercado undergorund, lo que les dan la capacidad de conseguir varios nombres de dominios, servidores webs, así también como diseñar tanto las paginas webs como las interfaces de sus programas visualmente muy profesionales.




Como evitar ser victimas de estos estafadores ?
•Mantenga sus sistema Windows actualizado.
•Cuente con una solución Antivirus y Firewall actualizado
•Nunca compre un producto sin investigar un poco de su reputación.
•Nunca compre un producto que se le recomiende por emails no solicitados.
•Si su sistema esta actualizado no tendría que tener problemas en ver algún video, por lo que tenga mucho cuidado al descargar algún codecs o plugin para ver estos.
•Descargue sus programas de seguridad únicamente desde la web del fabricante o desde sitios realmente confiables.
•Manténgase informado sobre las nuevas amenazas que circulan por la red de redes, visitando regularmente nuestro Blog o suscribiéndose a nuestro Feed de noticias.



Si fui victima del Rogue lo puedo denunciar ?
Por lo general los principales operarios de estas empresas fantasmas operan desde países sin legislación donde una denuncia legal directamente no se les puede realizar.

Si bien en estos últimos años dada la gran proliferación de estos ciberdelincuentes algunas grandes empresas como Microsoft, Google y otros están haciendo algo al respecto para poder pararlos cuanto antes, es tanto el dinero y los recursos que se mueven detrás de estos son tan grandes que se les hace prácticamente imposible poder pararlos.

Lo que si puede hacer es denunciarlo en nuestro Foro de Spywares donde llevamos desde el año 2004 un listado que ya asciende a más de 900 falsos antivirus y falsos Antispywares (sin contar con las variantes de cada uno)

¿Estoy seguro en las redes sociales?

Los ataques a sitios de Internet se han incrementado a medida que la sociedad se ha tecnificado; para evitar ser víctima de los hackers, los expertos proponen evitar publicar datos personales.

Los piratas informáticos ponen el dedo en la llaga y atacan ahora a las redes sociales, que tienen millones de usuarios e información en Internet, quienes utilizan además conexiones de banda ancha.

Facebook tiene aproximadamente 91 millones de usuarios, Twitter 27 millones, MySpace 63 millones de acuerdo con la página Quantcast.com.

El número de ataques hacia sitios de Internet se ha incrementado en los últimos años, debido a que la sociedad se ha vuelto sumamente sensible hacia la tecnología, por lo que el crimen ha comenzado a migrar hacia las plataformas cibernéticas, explicó en entrevista con CNNExpansión.com el presidente ejecutivo de la empresa coreana de seguridad para transacciones en línea y seguridad de información, AhnLab, Phil H. Kim.

A mediados de julio la página de Twitter se colapsó debido a un ataque conocido como negación de servicio (DDoS o Distributed Denial of Service), el cual también afectó a otras redes sociales como Facebook y LiveJournal.

En el caso de Twitter, una serie de hackers ingresaron a cuentas de empleados de la red social, a través de las cuales recopilaron datos de cientos de usuarios debido a que la información no fue bien administrada por Twitter, afirma Carlos Lang, director de la empresa especializada en seguridad en línea, Damage Control y representante de AhnLab en América Latina.

¿Cómo asegurarnos que nuestros datos están seguros en las redes sociales?

El directivo de Damage Control, Lang, dice que esto es posible tomando precauciones y utilizando el sentido común, "ya que te conviertes en un objetivo en el momento en que publicas tu información en uno de estos sitios". Además, ahora los hackers sólo requieren de una de tus cuentas para entrar a tus perfiles de MSN, Twitter, Facebook, Gmail, Hotmail y Yahoo.

Para Kim, publicar tu nombre o tu fecha de cumpleaños puede ayudar a los piratas informáticos a adivinar tu contraseña, ingresar a tu cuenta y robar la información. Aunque considera que los hackers sólo ingresan a aquellas en donde pueden encontrar algún tipo de negocio.

Los ataques de tipo DDoS se han popularizado recientemente, son dirigidos a proveedores en específico, a quienes después se les pide dinero a cambio de reestablecer su servicio; los hackers utilizan miles de computadoras para generar un exceso de visitas en el tráfico de una página, por lo que sumado a los ingresos regulares de la misma, éstas colapsan y niegan la entrada a los usuarios, afirmó el CEO de AhnLab.

Para los cibernautas no existe riesgo de robo de información durante este tipo de ataques, pero si existe la posibilidad de infectarse con virus o troyanos a través de utilizar las redes sociales, especialmente si se intercambian productos multimedia, como lo es publicar videos o canciones, agregó.

Lo relevante es que los piratas informáticos han cambiado su manera de trabajar, antes utilizaban cientos de virus que infectaban a un grupo de computadoras, mientras que ahora envían una mezcla de virus y troyanos para atacar a un blanco en concreto.

Además filtran códigos maliciosos en las páginas de Internet, por medio de los cuales pueden ingresar a las computadoras y convertirlas en zombies, con lo que es posible controlar a otros equipos a través de ellas, afirmó el CEO.

De acuerdo con la encuesta de Crimen y Seguridad de la empresa CSI (Computer Security Institute), las empresas en Estados Unidos gastaron alrededor de 350,000 dólares en 2007 para lidiar con computadoras zombies, sólo detrás de los 500,000 perdidos a través de fraudes por robo de información.

Este mercado negro en línea tiene un valor cercano a los 7,000 millones de dólares en todo el mundo, según Symantec.


Fuente: CNNExpansión.com con información de Symantec.

Por lo que la recomendación de los expertos para los usuarios es actualizar periódicamente los antivirus y contar con firewalls o sistemas de bloqueo para lograr la mayor protección posible en los equipos.

En caso de haber sido infectado por un virus o un troyano es necesario aislar a la computadora en problemas, además de deshabilitar o bloquear los accesos a los servicios o equipos, de acuerdo con la firma de seguridad Symantec.

En cuanto a la información, es importante ser sensato a la hora de decidir que datos personales colocar en la red y qué tan grave sería que ellos cayeran en manos equivocada

Fuente : http://blog.segu-info.com.ar

Nuevo control sobre redes infectadas

Un investigador ha descubierto una nueva modalidad de control ejercida sobre las redes de máquinas infectadas, conocidas como botnets.

Una botnet ("bot" por "robot" y "net" por "red" en inglés), está integrada por ordenadores que han sido comprometidos por algún malware. Los mismos pueden ser tanto equipos de uso doméstico, como una red empresarial completa. Luego de la infección, son controlados de forma remota y sin el conocimiento del usuario legítimo, mediante lo que se conoce como un "C&C", un centro de comando y control.

Existen distintas maneras de gestionar las acciones de una botnet, una de las más clásicas es a través de un canal de IRC (Internet Relay Chat). Otro método muy utilizado, es a través de otra computadora infectada, que cumple la función de servidor.

Sin embargo, han aparecido nuevas técnicas como la detectada por el investigador José Nazario, quien reportó el uso de cuentas en Twitter y otros sitios similares de la llamada Web 2.0 (o sea, la Internet interactiva), como cadenas de control de botnets.

Twitter es un servicio de microblogging que está siendo cada vez más utilizado por sus usuarios. La idea original era decir a otras personas "¿qué estoy haciendo ahora?". Cada nuevo mensaje que el usuario publica, es enviado a todos aquellos que se estén suscriptos a ese canal.

Nazario descubrió una cuenta que agregaba en todos sus mensajes un texto corto con números y letras. Después de analizarlo y decodificarlo pudo ver que era una dirección de Internet que llevaba a la descarga de un archivo comprimido, no solo con instrucciones, sino también con mejoras o nuevas versiones del malware existente en el equipo infectado.

Esa cuenta y otra similar, pero en otra empresa con el mismo servicio, fueron desactivadas tras alertar al departamento de seguridad respectivo.

Algunos comentarios sugieren que parte del malware descubierto se encuentra relacionado con una campaña de phishing, montada para obtener credenciales de usuarios del Banco de Brasil, en ese país.

Fuente: enciclopediavirus.com

Ranking de las amenazas informáticas mas importantes de los últimos 20 años

Coincidiendo con la celebración del 20 Aniversario de Panda Security, los expertos de PandaLabs han elaborado el ranking de las consideradas amenazas informáticas más peligrosas de los últimos 20 años, tanto para usuarios finales como para compañías, y les han puesto “cara”.

Las diferentes amenazas han sido seleccionadas por la popularidad que han alcanzado al haber sido protagonistas de grandes epidemias. La galería de famosos es:

Viernes 13 o Jerusalem: Creado en Israel en 1988 (incluso antes de la fundación de Panda), supuestamente conmemoraba el cuarenta aniversario del Estado Judío en la ciudad de Jerusalem. Cuando coincidía en el calendario viernes y 13, todos los programas que intentaban ejecutarse en el ordenador se borraban.

Barrotes: El primer virus conocido español, que apareció en 1993. Una vez en el PC, permanecía oculto hasta el 5 de enero, fecha en la que se activaba dejando ver sólo unas barras en el monitor.

Cascade o Falling Letters: Nació en Alemania en 1997. Cuando un PC se infectaba, hacía caer las letras de la pantalla como si se tratara de una cascada.

CIH o Chernobyl: Nació en junio de 1998 en Taiwán, y sólo tardó una semana en distribuirse e infectar a miles de ordenadores.

Melissa: Este virus con nombre de mujer hizo su aparición el 26 de marzo de 1999 en Estados Unidos. La muy cuca ya utilizaba técnicas de ingeniería social, ya que llegaba con el mensaje “Aquí está el documento que me pediste… no se lo enseñes a nadie ;-)”.

- ILoveYou o Loveletter: Tan famoso, que casi no hace falta ni presentarlo. El virus amoroso apareció en el año 2000, desde Filipinas. Llegaba con el asunto ILoveYou y fue capaz de infectar a millones de ordenadores e importantes instituciones como el Pentágono.

- Klez: Llegó en 2001 desde Alemania, y sólo infectaba los días 13 de los meses impares.

- Nimda: El nombre le viene de admin, con el orden de las letras cambiadas, ya que era capaz de crear privilegios de administrador en el ordenador afectado. Nació en China el 18 de septiembre de 2001.

- SQLSlammer: También fue un verdadero quebradero de cabeza para las empresas. Nació el 25 de enero de 2003, y llegó a afectar a más de medio millón de servidores en cuestión de días.

- Blaster: Desde Estados Unidos, el 11 de agosto de 2003 este virus, que contenía un mensaje en su código: “Sólo quiero decir que te quiero san!!” (todavía no sabemos quién sería san ;-), y añadía “Billy gates, por qué haces posible esto? Para de hacer dinero y arregla tu software”.

- Sobig: Fue famoso durante el verano de 2003, vino desde Alemania. La variante F fue la más dañina, atacando el 19 de agosto del mismo año y generando más de un millón de copias de sí mismo.

- Bagle: Apareció el 18 de enero de 2004, y ha sido uno de los más prolíficos en cuanto a cantidad de variantes diferentes.

- Netsky: Este gusano nació en Alemania en el año 2004 y se aprovechaba de vulnerabilidades de Internet Explorer. Su creador también fue el padre de otro virus famoso, Sasser.

- Conficker: El último y el más reciente, aparecido en noviembre de 2008. A modo de curiosidad, si tenías el teclado configurado en ucraniano, no te afectaba…

Más información esta disponible en este enlace

Fuente: Panda Security

Vulnerabilidad crítica en Twitter.

El popular servicio de microblogging recientemente añadió la característica added rel=nofollow en los enlaces producidos por su API -por ejemplo, los clientes que usamos para twittear-, y esa característica puede ser aprovechada para un ataque muy peligroso.

Un usuario de esta red ha descubierto que al cambiar el enlace en la configuración de la aplicación, ese cambio afecta a todos los tweets de nuestro historial que han sido generados por la aplicación modificada. De modo que es posible experimentar para tratar de evitar el atributo nofollow.

Eso hace que sea posible aplicar un ataque Cross-Site Scripting que enlace a sitios que no deberían poder enlazarse. Por ejemplo, se podría incluir un código JavaScript que robase la cookie del login del usuario que pincha en ese falso enlace y la enviara al atacante.

Tribunal sueco obliga a cerrar el servidor del portal “The Pirate Bay”

El proveedor de servicios de internet Black Internet ha dejado de alojar al portal sueco “The Pirate Bay”, uno de los principales del mundo para intercambiar archivos por Internet, en respuesta a una sentencia de un tribunal de Estocolmo.


El tribunal sueco ordenó a Black Internet, el principal servidor donde se aloja “The Pirate Bay”, que cierre el acceso a este portal bajo amenaza de multa de 500.000 coronas suecas (menos de 50.000 euros).

Black Internet denunció hoy haber sido víctima de un sabotaje de grandes dimensiones tan sólo unas horas después de haber desalojado de su servidor al portal sueco, si bien el director de la compañía, Victor Möller, rechazó establecer un vínculo entre ambos hechos.

Los cuatro responsables de “The Pirate Bay” fueron condenados el pasado 17 de abril a un año de cárcel y a pagar una indemnización de 30 millones de coronas (2,7 millones de euros) por violar la ley de propiedad intelectual.

La sentencia consideró a los cuatro acusados cómplices de un delito contra la ley de derechos de autor, ya que al proporcionar la tecnología necesaria, el portal, creado en 2004, facilitaba la descarga ilegal de archivos.

La compañía de software sueca Global Gaming Factory X (GGF) anunció a finales de junio un acuerdo de compra de “The Pirate Bay” por 60 millones de coronas (5,5 millones de euros).

Global Gaming Factory X señaló entonces que pretendía impulsar el lanzamiento de un nuevo modelo de negocio de pago de derechos a los dueños de la propiedad intelectual, pero la operación de compra de “The Pirate Bay” aún no se ha cerrado casi dos meses después.