Noticias de Seguridad Informática

Cuidado: alguien quiere entrar en tu cerebro

noreply@blogger.com (Raúl) — Fri, 10 Jul 2009 14:08:00 PDT

Hace ya algunos años que los implantes electrónicos en el cerebro dejaron de ser ciencia ficción. Diminutos dispositivos cerebrales para tratar el Parkinson, depresiones graves o para controlar miembros artificiales, han sido implantados en pacientes de todo el mundo en la última década. Ahora, por primera vez en todo este tiempo, los científicos se han dado cuenta de que todo este sistema podría ser vulnerable a ataques externos y suponer un grave problema de seguridad.

En un artículo en Neurosurgical Focus, citado por Mind Hacks y por Wired, los expertos recuerdan que la mayoría de estos dispositivos se programan desde el exterior mediante control remoto, de una forma tan sencilla como cambiar los canales de una televisión.

A pesar de la alta tecnología, casi ningún aparato viene equipado con un sistema de autentificación o encriptación que proteja de intrusiones no deseadas, lo que supone que cualquiera que tenga la combinación adecuada puede modificar los parámetros del implante y programarlos según sus deseos. (Seguir leyendo)

Pero ¿por qué iba a querer alguien controlar nuestros implantes cerebrales? Aunque suene fantasioso, los científicos están convencidos de que puede ocurrir y empiezan a proliferar los artículos sobre la denominada “neuroseguridad”. De hecho, ya han realizado pruebas para demostrar los daños que se pueden causar desde un ordenador sobre uno de estos implantes.

En el año 2003, un grupo de investigadores puso a prueba un desfibrilador que acababa de salir al mercado y lo ‘hackearon’ con cierta facilidad utilizando un equipo de bajo coste. Los autores del experimento pudieron cambiar la terapia, desactivarla e incluso inducir una desfibrilación ventricular, que puede causar la muerte del paciente.

Aunque los sistemas actuales tienen un radio de alcance de unos 10 centímetros, los expertos advierten que hay que empezar a encriptar los aparatos y tapar todas las posibles puertas traseras de estos dispositivos. “Si no ponemos cuidado en la seguridad”, dice Tadayoshi Kohno de la Universidad de Washington, “puede que en cinco o diez años estemos lamentando un grave error”.

La última generación de prótesis robóticas, por ejemplo, incluye un sistema wireless que permite a los médicos hacer los ajustes necesarios sin intervención. Si no se ponen barreras de acceso, un habilidoso atacante podría hacerse con el control de esa prótesis y manejarla a su antojo.

Brazos que actúan por órdenes ajenas, implantes que pueden acelerar el corazón del paciente o administrar más o menos cantidad de determinada droga para alterar su estado de ánimo. Los científicos plantean incluso la posibilidad de que los pacientes intenten hackear su propio dispositivo y empiecen automedicarse, mandando señales al cerebro que mejoren su humor o que anulen el dolor.

Un asunto que suena lejano pero que tal vez se convierta en una desconcertante realidad.

Enlace: The Next Hacking Frontier: Your Brain? (Wired), Ghost in the machine (Mind Hacks)

Autor: Aberrón
Fuente: Fogonazos

Seguridad en tu Mac, El uso del firewall del sistema

noreply@blogger.com (Raúl) — Fri, 10 Jul 2009 12:44:00 PDT

La plataforma Mac está mucho más al margen de ataques externos como los que puede sufrir el usuario de Windows, sin embargo nunca está de más conocer algo sobre la seguridad en tu equipo para no permitir que nadie controle tu ordenador si tu consentimiento. El Firewall bloquea posibles entradas para estos “extraños” que mediante puertas abiertas intentan asaltar tu castillo. Por ello, y aunque el MacOs X Leopard por defecto lo lleva desactivado, siempre es conveniente activarlo, configurándolo para que tampoco interrumpa nuestra actividad en la red. Para ello deberemos entrar en Preferencias del Sistema/ Seguridad/ Firewall. Desde aquí podremos activar o desactivar las siguientes opciones:

Desde aquí podremos determinar qué programas tienen abierta la puerta para recibir conexiones entrantes, permitir únicamente los servicios básicos -hay que advertir que esta opción literalmente deshabilita la mayoría de servicios web, por lo que solo es aconsejable en redes realmente peligrosas -, o permitir todas las conexiones entrantes, encontrándonos más expuestos. Este apartado de seguridad, se complementará con el menú Compartir, de las mismas preferencias del sistema, ya que en él definiremos carpetas compartidas, pantalla, impresora, conexión a internet, etc… por lo que ambos menús trabajarán conjuntamente y nosotros tendremos que establecer los permisos y definir correctamente los usuarios con acceso a nuestro equipo.

En la misma pantalla de Firewall tenemos un menú avanzado, en la que podremos activar un registro de toda la actividad del Firewall para estar al tanto de posibles movimientos de ataque a nuestro equipo y poder tomar las medidas necesarias. También podremos activar un Modo Encubierto, con el que conseguir que las personas que intenten conectarse a nuestro Mac ni siquiera obtengan información de su existencia. El Firewall de Mac Os X Leopard es una aplicación potente y que te puede evitar algún que otro disgusto, sobre todo cuando te encuentras en redes que no son las habituales y están controladas por ti.

Fuente: K-tuin

Seguridad anti-hacker en Blogger (tutorial) | Anti-hacking

noreply@blogger.com (Raúl) — Fri, 10 Jul 2009 10:29:00 PDT

No suelo hacer este tipo de tutoriales pero algo me llamó la atención, vi en Twitter dos twitts [1] [2] de @varthdeider que me obliga a hacer este tutorial.

Muchos ya hemos recibido ataques por parte de Trolls que se dedican a hacerles la vida imposible a los Bloggers, lo se porque yo soy uno de ellos, si... lo admito (mea culpa), tengo un pasado troll, la cual es una de mis múltiples personalidades esquizofrénicas que se activa justo en épocas de campaña electoral cuando me dedico a joderles la vida a los blogs socialistas y pro Gobiernistas Ecuatorianos.

Por lo tanto, con toda mi experiencia, pues es lógico que se como atacar y como defenderme de ataques trolls en todas sus formas posibles.

Una de ellas es el hackeo de cuentas de administrador en los blogs, muchos recibirán en sus correos múltiples solicitudes de Google para restaurar su contraseña Gmail, Hotmail tiene un sistema en el cual te avisan que se ha intentado muchas veces de ingresar a tu correo, los otros sistemas de correos como Yahoo tienen sus propios métodos para protegerte o avisarte de un posible intento de hackeo.

Blogger no tiene nada para protegerse del hackeo de una cuenta (no es de sorprenderse), lo único sería armarse un sistema de seguridad manual con el cual protegerse y respaldar cada cierto tiempo tu blog.

Hace algún tiempo Martha Colmenares sufrió un hacking en su blog en el cual le borraron toda la información, muchos sufrimos ante esa situación ya que su blog es una biblioteca y un referente histórico de la situación política Latinoaméricana, pero hay gente a la cual no le interesa la historia en absoluto.

Por lo tanto la forma más efectiva a mi parecer para protegerse contra un ataque
hacker es:

Tutorial Vizcaínico antihacker para Blogger:

1.-Crea una cuenta ultrasecreta en Gmail

1.a.- La cuenta de correo debe ser muy rara y nunca pero nunca la uses ni se la des a nadie.

2.- Usa una clave tan rara que ni tu te la aprendas de memoria y guárdala en un papelito, a mi me sirvió una vez hacer uso de la marca de un ventilador Japonés en la página que le hice a un amigo, lo chistoso es que el me dijo que si botaba el ventilador se le olvidaba la clave, usa algo como esto: 387LosCoMuniStasvaLenVergA756, bueno... que no sea tan exagerado, pero procura que tenga números al principio y al final mezclando letras mayúsculas y minúsculas, osea un código alfanumérico :D :D

2.a.- Nunca uses una clave que se relacione contigo, nada de tu comida favorita, el nombre de tu mascota, nada de tu segundo nombre, nada de tu fecha de nacimiento ni la tuya ni la de ningún conocido, peor la de tus hijos o esposa (por supuesto nunca la de tu esposa), obvio no uses "garfield" estadisticamente reconocida como la clave mas usada por mujeres de 15 a 25 años.

3.- Ve a Blogger: Escritorio / Configuración / Permisos, y envíale una invitación a tu nueva cuenta como si fuera un invitado mas a tu blog para postear.

3.a- Abre el correo de tu invitado fantasma y ultrasecreto en otro navegador y acepta la invitación.

4.- En los permisos de tu usuario normal otorgale a tu invitado fantasma: "privilegios como administrador".

5.- Entra luego en Blogger en el otro navegador con tu nueva cuenta fantasma y quítate a tu usuario normal los privilegios de administrador, esto quiere decir que seguirás posteando como siempre pero de ahora en adelante lo harás como invitado.

5.a.- Un invitado a tu blog tiene acciones limitadas, el puede editar solo sus post, nunca podrá editar los post del resto, y menos podrá acceder al diseño de tu blog y la configuración donde se puede borrar el blog por completo.

5.b.- Con esto estarás protegido por si llegasen a hackearte tu usuario normal, lo máximo que sucederá será que borren tus post (no te importará por que los tendrás respaldados), y perderás tu perfil de Blogger usual, pero lo solucionas luego creándote otro perfil con el mismo nombre del que perdiste.

6.- Por último a tu usuario fantasma quítale las opciones de ver el perfil, esto lo haces dentro de: Escritorio / Editar perfil / Privacidad / compartir mi perfi (quitas el visto), y luego allí mismo en seguridad / Privacidad, pones donde dice: "Selecciona los blogs que deseas mostrar" y desmarcas tu blog, así nadie sabrá que ese usuario existe, será un fantasma total y absoluto :D :D

6.a.- Y ahora si lo último, en tu usuario fantasma dentro de: Configuración / Comentarios, donde dice: "Correo electrónico de notificación de comentarios" pon tu correo de siempre para que seas notificado cuando te llega algún nuevo comentario.

Anexos. 1.- Con tu nueva cuenta fantasma podrás entrar normalmente a tu blog y editar cosas como diseño y configuración, obvio no deberás postear nunca porque saldrá este como autor.

Anexos 1.a.- Cuando entres con tu usuario fantasma nunca lo hagas desde Internet Explorer wareber, ya que los "Ie" poseen una seguridad del perro, la razón es que al estar integrados al sistema operativo significa que actualizarlos sería actualizar tooodo el maldito sistema operativo, entra siempre desde Opera, que es el navegador con la mayor eficiencia en seguridad del mundo, no recomiendo Firefox en seguridad, solo Opera, el cual es mundialmente conocido por sus ventajas a nivel de seguridad informática.

Anexos 1.b.- Esto es demasiado útil si por ejemplo posees un blog separatista y atacas constantemente a tu Gobierno y tu familia está asustada porque creen que en cualquier momento les ponen una bomba, por lo que quieren desesperadamente borrarte el blog y están a la caza de que dejes abierto el escritorio bara borrártelo (en este caso además postea siempre con un proxy server), o si por alguna circunstancia tienes que postear desde un cyber o la casa de un amigo y desconfías en ti mismo por algún descuido (dejar marcado el recordarme siempre del navegador), la presencia de algún Keylogger o la presencia también siempre misteriosa de un sapo con vista ágil que te sapée la clave; y... si por alguna Dantezca razón (Dios no quiera), lograsen ingresar a tu escritorio pues solo encontrarán acciones muuuy limitadas.

Final 1.- Y listo, esto es exáctamente lo mismo que la seguridad que te da Windows Vista o Linux en los cuales tu no puedes realizar ninguna acción importante sino tienes los privilegios de administrador los cuales solo lo tiene quien posee la clave.

Conclusión.- Por múltiples razones los blogs en Wordpress no son muy seguros que digamos ya que dependen de cada servidor o hosting, sino que lo diga Marthita, es verdad que brinda muchísimas ventajas, pero yo prefiero entre las innumerables desventajas de Blogger una sola: "la seguridad", un blog de Blogger es practicamente "inhackeable", a menos que averiguen tu clave y si lo hacen aun después de este tutorial es exclusivamente "culpa tuya".

Disfrútalo, espero que te sea muy útil.

Autor: Víctor Vizcaíno
Fuente: LaPlegariaDeUnPpagano.com

Microsoft publicará seis boletines de seguridad el próximo martes

noreply@blogger.com (Raúl) — Fri, 10 Jul 2009 07:04:00 PDT

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan seis boletines de seguridad. Tres de las actualizaciones afectan a Windows en general, una a Publisher, una a ISA Server y otra Virtual PC (Server). Parece que corregirá los dos "0 days" activos que mantiene.

Si en junio se publicaron doce boletines que parchearon hasta 31 vulnerabilidades diferentes, este mes Microsoft prevé publicar seis actualizaciones el martes 14 de julio. Tres boletines son críticos, y el resto importantes. De los tres boletines dedicados a Windows, las versiones de XP se llevan la peor parte, pues se ven afectados por todos. Vista y 2008, sin embargo, solo se ven afectados por uno de estos boletines.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

La buena noticia es que en que se confirma que en esta tanda se solucionará la vulnerabilidad CVE-2009-1537, un problema de ejecución de código en DirectShow que Microsoft reconoció a finales de mayo. Sobre la otra vulnerabilidad que está siendo aprovechada por atacantes, CVE-2008-0015 ("0 day" destapado hace unos días) Microsoft dice que "nuestros ingenieros han trabajado las 24 horas del día para producir una actualización" y "creen que estará lista con la calidad apropiada" para el martes. Teniendo en cuenta que conocían la vulnerabilidad desde la primavera de 2008, da la impresión de que realmente han realizado en unos días (desde que se hizo pública) el esfuerzo de todo un año.

Microsoft ha reconocido que mientras "estudiaba a fondo" la vulnerabilidad, los atacantes lo descubrieron de forma paralela y comenzaron a explotarla. Son los riesgos de investigar durante más de un año la solución de un desbordamiento de memoria intermedia sin que interfiera en otros elementos del sistema operativo. Es demasiado tiempo, una ventana de riesgo excesivamente amplia. Existen investigadores a tiempo completo, dedicados a la creación de malware, que descubrirán el fallo tarde o temprano. Cuanto más tiempo pase, más posibilidades de que lo hagan. ¿Cuántas vulnerabilidades están siendo aprovechadas sin que lo detectemos mientras estudian una solución? Este problema puede ocurrir con cualquier pieza de software, pero con este incidente Microsoft ha dado a entender que mientras no salten a la luz, la espera puede alargarse considerablemente y no se sienten tan presionados como para solucionarlos lo antes posible, o no les imprimen la prioridad que los problemas se merecen. Si la excusa para el letargo es que "existen otros problemas de seguridad más urgentes que atender", el consuelo es mínimo.

Los parches anunciados están sujetos a cambios, en cualquier caso, con lo que no se garantiza que no se produzcan cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.

Más Información:

Microsoft conocía el último "0 day" desde 2008
http://www.hispasec.com/unaaldia/3911/microsoft-conocia-ultimo-day-desde

0 day en la librería msvidctl.dll de Microsoft Windows
http://www.hispasec.com/unaaldia/3907/day-libreria-msvidctldll-microsoft-windows

Autor: Sergio de los Santos
Fuente: Hispasec

¿0 day en SSH? - Peligroso defecto de seguridad probablemente sólo una falsa alarma

noreply@blogger.com (Raúl) — Thu, 09 Jul 2009 19:52:00 PDT

Analistas de seguridad consideran no hay pruebas de lo que se alega sea una vulnerabilidad de día cero en OpenSSH, que está instalado en decenas de millones de servidores.

Una reivindicación de una vulnerabilidad en el software de un programa utilizado para conectarse de forma segura a los servidores a través de Internet es probablemente una falsa alarma, según un analista del Centro de Tormenta SANS Internet.

El programa, llamado OpenSSH (Secure Shell), está instalado en decenas de millones de servidores de proveedores tales como Red Hat, Hewlett-Packard, Apple e IBM. Es utilizado por los administradores para hacer conexiones encriptadas con otros ordenadores y realizar tareas como la actualización de archivos de forma remota. OpenSSH es la versión de código abierto, y hay versiones comerciales del programa.

A principios de esta semana, SANS recibió un correo electrónico anónimo reivindicando una vulnerabilidad de día cero en OpenSSH, lo que significa una falla en el software ya está siendo explotado, y que se ha hecho público. Es el tipo más peligroso de vulnerabilidad de software, ya que significa que aún no hay solución y que los chicos malos la conocen.

Una verdadera vulnerabilidad de día cero en OpenSSH podría ser devastador para la Internet, permitiendo a los hackers a tener carta blanca para el acceso a servidores y PCs hasta que una solución o un parche esté listo.

"Por eso creo que la gente realmente está creando un poco de pánico", dijo Bojan Zdrnja, un analista y consultor senior de seguridad de la información de SANS en Infigo, una compañía de seguridad y pruebas de penetración en Zagreb, Croacia."La gente que no debe entrar en pánico ahora. Nada en este momento señala que haya un exploit que se esté utilizando."

Las pruebas de una verdadera vulnerabilidad de día cero en OpenSSH es débil, dijo Zdrnja. Hasta ahora, los analistas no han visto un exploit funcionando, a pesar de las preocupaciones de un grupo llamado Anti-Sec puedan haber encontrado un día cero que les haya permitido el control de un servidor Web. Detalles sobre el hackeo se publicaron en Full Disclosure, que es un foro de información de seguridad, sin moderador.

Cuando fue presionado por más detalles, una persona que dice ser parte de Anti-Sec escribió un e-mail al Servicio de Noticias IDG diciendo "no estoy autorizado a discutir realmente la explotación (o si existe o no)", quien firmó con "Anónimo".

Zdrnja dijo que el mismo grupo comprometió recientemente otro servidor, pero parece ser un ataque de fuerza bruta contra OpenSSH. Un ataque de fuerza bruta es cuando un hacker intenta muchas combinaciones de credenciales de autenticación a fin de obtener acceso a un servidor.Si un administrador está utilizando simples inicios de sesión y las contraseñas, eso hace más vulnerable a un servidor a un ataque de fuerza bruta, dijo Zdrnja.

Ambos servidores comprometidos son administrados por la misma persona. "Supongo que lo que estamos tratando aquí son dos piratas informáticos en una guerra entre ellos mismos", dijo Zdrnja.

Pero hay otros factores que indican un día cero para OpenSSH no existe. Si el día cero ha existido, los hackers quizás sería más probable que lo utilicen contra un servidor de más alto perfil que el que recientemente fue comprometido, dijo Zdrnja.

Uno de los desarrolladores de OpenSSH, Damien Miller, también echó agua fría sobre la posibilidad de un día cero. Miller escribió en un foro de OpenSSH el miércoles que intercambió mensajes de correo electrónico con una supuesta víctima del día cero, pero los ataques parecen ser "simple fuerza bruta."

"Por lo tanto, no estoy convencido de que exista un día cero en absoluto", escribió Miller. "La única prueba hasta el momento son algunos rumores anónimos y transcripciones de intrusión no verificable".

También parece haber cierta confusión entre el presunta día cero y una vulnerabilidad en OpenSSH, dijo Zdrnja. Esa vulnerabilidad, que estaba hasta un momento sin parchear, podía permitir a un atacante recuperar hasta 32 bits de texto plano de un bloque de texto cifrado arbitrario de una conexión asegurada mediante el protocolo SSH en la configuración estándar, según un del Centro del Reino Unido para la Protección de Infraestructura Nacional (CPNI).

La gravedad de la vulnerabilidad se considera alto, pero la probabilidad de éxito de la explotación es baja, de acuerdo con CPNI. Zdrnja dijo que los administradores pueden implementar mecanismos de autenticación más fuertes en OpenSSH usando claves públicas y privadas para protegerse contra un ataque exitoso. En un boletín, OpenSSH también estableció que la posibilidad de un ataque con éxito es baja.

Fuente: Infoworld y SANS.org ISC
Traducción de Raúl Batista para Segu-Info

Invasores de PC le cuestan u$s 415.000 a un condado de Kentucky

noreply@blogger.com (Raúl) — Thu, 09 Jul 2009 17:10:00 PDT

Ciber-criminales con base en Ucrania se robaron u$s415.000 de las arcas del condado de Bullitt, Kentucky esta semana. Los ladrones contaron con la ayuda de más de dos docenas de co-conspiradores en los EEUU, y también de na variante de un programa malicioso capaz de vencer las medidas de seguridad en linea que tienen muchos bancos.

El abogado del Condado de Bullitt Walt Sholar dijo que el problema comenzó el 22 de junio, cuando alguien comenzó a hacer transferencias no autorizadas de u$s10.000 o menos de los suelos a cuentas perteneciente a al menos 25 individuos a lo largo del país (algunos recibieron varios pagos). El 29 de Junio, el banco del condado se dio cuenta que algo andaba mal, y comenzó a pedir a los bancos que recibían esas transferencias que la empezaran a revertir, dijo Sholar.

"Nuestro banco nos dijo que para el jueves sabrían cuantas de esas transacciones podrían ser revertidas," dijo Sholar. "Nos dijeron que pensaban que tendríamos algo del dinero de vuelta, solo que no estaban seguros de cuanto."

Sholar dijo que las transferencias no autorizadas parecen haber sido facilitadas por "alguna clase de virus de computadora". Security Fix se ha estado comunicando con un investigador de crímenes informáticos que está familiarizado con el caso. Lo que sigue es una descripción del programa malicioso usado, un relato pormenorizado de como realizaron el atraco los atacantes, y entrevistas con un par de mujeres contratadas para recibir los fondos robados y transferirles el dinero a los que cometieron el fraude en Ucrania. Este caso sirve también de ejemplo de como las estafas por correo electrónico pueden ser usadas para embaucar a víctimas que desconociéndolo sirven como cómplices en sus planes.

Según mi fuente, que pidió no ser identificada porque aun está investigando diferentes lados de este caso, los criminales robaron el dinero usando una variante adaptada de un troyano con capacidad de registro de teclado conocido como "Zeus" (también conocido como "Zbot") que incluyó dos características nuevas. La primera que que las credenciales robadas son enviadas inmediatamente mediante mensajería instantánea a los atacantes. Pero la segunda, y más interesante característica de este malware, dijo el investigador, es que crea una conexión directa entre el sistema Windows infectado y los atacantes, permitiendo a los malos ingresar a la cuenta bancaria de la víctima usando la propia conexión Internet de la víctima.

Muchos bancos en linea verifican si la dirección de Internet del cliente viene de una ubicación que ya estaba asociada al nombre y contraseña del cliente, o al menos de una ubicación geográfica que sea cercana a donde vive el cliente. Conectándose mediante la PC de la víctima o su conexión Internet, los chicos malos pueden evitar levantar sospechas.

Esto podría ser suficiente para engañar a los bancos minoristas que dan servicio a usuarios comunes de banca en línea, pero el banco del Condado de Bullitt, como muchos otros bancos comerciales, usan esquemas de autenticación aún mas rigurosos. Por ejemplo, algunas tecnologías adoptadas por los sitios Web de bancos comerciales usan técnicas de programación especiales de Javascript para verificar varios aspectos del sistema del cliente -- incluyendo el tamaño de la pantalla, la versión del navegador, sistema operativo, y una gran cantidad de otras variables -- para crear una "huella digital" única de las computadoras de sus clientes. En tales casos, aún si los criminales han secuestrado la conexión Internet de la víctima, un banco que use este enfoque aún será capaz de detectar que el cliente se está conectando desde una computadora diferente porque las huellas digitales no coinciden.

Además, el proceso de crear y aprobar una transferencia desde la cuenta del condado no se puede completar sin dos usuarios diferentes autorizados para firmar la transacción. En el caso del Condado de Bullitt, esos sistemas de cheques y balances fueron diseñados para ser llevados a cabo por el tesorero del condado y un juez local.

Finalmente, si por cualquier razón el sistema del banco detecta que alguna de las dos cuentas es usada de una PC con una huella digital desconocida, el intento de ingreso fallará, y ese usuario se le pedirá verificar su cuenta de correo para una passphrase especial de única vez que deberá ser reingresada junto con el usuario y la contraseña, para poder conseguir ingresar a la cuenta.

Según el investigador, el ataque contra la cuenta bancaria del Condado de Bullitt sucedió así:

- Los atacantes lograron de alguna forma poner el Troyano Zeus en la PC del tesorero del condado, y la usaron para robar el usuario y contraseña del tesorero necesarios para acceder al correo y a la cuenta del banco del condado.

- Los atacantes ingresaron en la cuenta bancaria del condado mediante un túnel a través de la conexión del Internet del tesorero.

- Una vez dentro, los criminales cambiaron la contraseña del juez, y también la dirección de correo relacionada con la cuenta del juez, de modo que futuras notificaciones sobre passphrases de única vez fueran a una cuenta de correo controlada por los atacantes.

- Entonces crearon varios empleados ficticios del condado (estos eran los 25 personas reales, co-conspiradoras contratadas por los atacantes para recibir los fondos robados), y crearon un lote de transferencias para esos individuos para ser aprobado.

- Los delincuentes entonces ingresaron en la cuenta bancaria del condado usando las credenciales del juez y una computadora fuera del estado de Kentucky. Cuando el sistema de seguridad del banco falló en reconocer el perfil de la PC, el banco envió un correo con la passphrase de desafío a la dirección de correo controlada por los atacantes.

- Los atacantes obtienen la passphrase del correo, ingresan nuevamente con las nuevas credenciales del juez y la passphrase de única vez. Una vez que ingresaron, los delincuentes fueron capaces de aprobar el lote de transferencias.

Cuando fue consultado para comentar esta versión de los eventos, Sholar el abogado del Condado dijo que estaba limitado en lo que podía decir, porque el FBI le pidió no dar detalles de la causa. Pero dijo que "Sabemos que se iniciaron y aprobaron transferencias que fueron generadas y enviadas al banco mediante computadoras que estaban ubicadas físicamente fuera del estado de Kentucky."

El rol de las mulas de dinero - Estafadas para servir
Con la ayuda del investigador de delitos informáticos, pude logra contactar a dos de las 25 denominadas "mulas de dinero" quienes fueron contratadas para actuar como intermediarios en esta estafa. Ambas fueron mujeres de menos de 35 años que fueron contactadas después de publicar sus currículos en Careerbuilder.com. Cada una recibió correos electrónicos de una compañía que se hacía llamar Fairlove Delivery Service. Ambas mujeres acordaron hablar con Security Fix en condiciones de anonimato.

Ambas fueron contratadas por Fairlove para editar y corregir la gramática de documentos, y se les prometió una paga de u$s8 por cada kilobyte de datos que procesaran (vea el correo inicial de la estafa en Careerbuilder aqui). Los documentos para los que fueron contratadas de editar estaban llenos de errores gramaticales, equivocaciones o errores de puntuación. Ambas mulas de dinero dijeron que parecía que quien fuera que escribió las cartas no era alguien que hablara Inglés nativo.

No queda claro si los ciber-estafadores reclutaron la mulas como editores de texto para probar su confiabilidad, o porque realmente necesitaban su ayuda para lograr que sus cartas de la estafa parecieran más creíbles. Lo que queda claro de ver copias de las cartas que les pidieron corregir, es que estaban corrigiendo cartas que serían enviadas para reclutar y estafar a otras mulas. Dele un vistazo a esos mensajes por corregir enviados a nuestras mulas anónimas, visibles en este enlace.

La primer persona con la que hablé, una mujer de 34 años de Miami, ha estado editando textos que le fueron enviados por correo electrónico por representantes de Fairlove por un par de semanas. Poco después que ella preguntó cuando le iban a pagar por su trabajo, recibió un correo que le preguntaba que si estaba interesada en la posición como "agente local", para la compañía. El representante de Fairlove que la contactó por correo electrónico dijo algo respecto que como la compañía tenía a menudo problemas enviando dinero a sus clientes del extranjero tan rápido como lo necesitaban, y que necesitaban desesperadamente acelerar aquel proceso (al menos eran honestos en esa afirmación). Una descripción de la posición de agente local le fue enviada a esta mujer y está disponible aquí.

El jueves pasado, ella recibió un depósito de más de u$s9.900, con instrucciones de girarlo casi por completo excepto unos u$s500 (su 5 por ciento de comisión) vía Western Union a una cuenta de un banco en Ucrania. La mujer dijo que comenzaron a crecer sus sospechas sobre "algo que no andaba bien con todo este asunto," y solo giró u$s3.000 de ese dinero. Después que fue contactada por Security Fix acerca de la estafa, se enteró que su banco le había congelado la cuenta. Su banco le aseguró que si ella venía y mostraba que los correos electrónicos que la atraparon en una estafa, ellos podrían conseguir hacer algo.

La segunda mujer con la que hablé, una madre soltera de 27 años, también de Florida, no fue tan afortunada. Ella tuvo mas de u$S 9.700 transferidos el lunes a su cuenta desde el banco del Condado de Bullitt por los delincuentes. Ella sacó casi todo ese monto de su banco inmediatamente, girando cerca de u$s9.200 a los estafadores en Ucrania. Poco después de eso, su banco revirtió el depósito inicial de u$s9.700 a pedido del banco del Condado de Bullitt. Su banco dijo ahora que ella estaba enganchada por ese monto: el saldo de su cuenta corriente estaba en casi u$s9.000 en rojo.

He aquí algunas observaciones y consejos para que no lo estafen, sin importar lo obvio que pueda resultar:

- Evite responder ofrecimiento de trabajo recibidos por correo electrónico. Si busca trabajo en sitios como Monster.com o Careerbuilder.com, al menos esté advertido que bandas criminales también usan estos sitios para reclutar a quienes estan desesperados, incautos y a codiciosos.

- Si se involucra con una compañía que ni siquiera investigó en Google, espere lamentarse de eso: Una búsqueda sobre Fairlove Delivery Service devolvió apenas unas páginas llenas de quejas de otros que buscaban trabajo que fueron estafados por estos criminales.

- Evite seguir vínculos en correos electrónicos que no esperaba, y esté particularmente atento de cualquier correo electrónico que le advierta de terribles consecuencias a menos que usted actúe o responda inmediatamente. El malware usado para infectar las computadoras del Condado Bullitt eran parte de la enorme campaña de spam Zeus/Zbot que sucedió desde hace unas semanas hasta ahora, spam variados disfrazados de alertas sobre tarjetas de felicitación, números de seguimiento de encomiendas, y actualizaciones de seguridad de Microsoft.

- La última vez que escribí sobre mulas de dinero estafadas, algunos lectores me escribieron para decirme, en efecto: "Las mulas fueron estúpidas: debieron haber tomado TODO el dinero." Estos lectores se olvidan del punto fundamental sobre estas estafas que los chicos malos comprenden muy bien: es todo una cuestión de sincronización. El banco siempre va a reclamar el deposito. Es sólo cuestión de cuando.

- Sea extremadamente cauteloso --no, mejor huya de -- cualquier transacción en la cual la otra parte le pida convertir una transacción revocable en una irrevocable. El dinero en efectivo enviado por Western Union, Moneygram u otros servicios de envíos, son un ejemplo de transacciones irrevocables: Una vez que se hicieron, no se pueden deshacer. Por el contrario, los cheques pueden ser cancelados, y los depósitos pueden ser revertidos.

Autor: Brian Krebs
Fuente: Security Fix - The Washington Post
Traducción de Raúl Batista para Segu-Info

Microsoft conocía el último "0 day" desde 2008

noreply@blogger.com (Raúl) — Thu, 09 Jul 2009 11:48:00 PDT

El pasado día 4 de julio se supo que ciertos atacantes estaban aprovechando de forma masiva una vulnerabilidad no hecha pública hasta ahora en un ActiveX de Microsoft. Poco después Microsoft confirmaba el problema en una notificación, que ofrecía contramedidas pero en el que todavía no se publicaba parche oficial. Al parecer, Microsoft estaba al tanto desde 2008 no solo de esta, sino de otra vulnerabilidad más en el mismo componente.

CVE-2008-0015 es el CVE que Microsoft ha asignado a este nuevo "0 day". El CVE es el Common Vulnerabilities and Exposures, un estándar (administrado por la organización Mitre.org) que se encarga de identificar unívocamente a las vulnerabilidades. El CVE ha tenido gran aceptación entre todos los fabricantes porque la mayor parte de las veces es muy complejo saber a qué vulnerabilidad nos estamos refiriendo solo por ciertas características. Es necesario una especie de número de identidad único para cada fallo, puesto que en ocasiones son tan parecidas, complejas o se ha ofrecido tan poca información sobre ellas que la única forma de diferenciar las vulnerabilidad es por su CVE.

¿Por qué asignar un CVE de 2008 en 2009? Esto significa que Microsoft conocía el fallo desde el año pasado. Los fabricantes solicitan CVEs al Mitre y los asignan libremente a las vulnerabilidades que encuentran. Ryan Smith y Alex Wheeler de IBM ISS X-Force lo descubrieron y lo reportaron entonces. Microsoft asignó el CVE pero todavía no lo ha hecho público ni lo ha solucionado... hasta que se ha convertido en un "0 day". Los atacantes (no se sabe cómo) han descubierto la existencia del fallo y desde no se sabe cuándo, están aprovechándolo para instalar malware en los sistemas Windows. Esto ha hecho que Microsoft deje de mantener la vulnerabilidad en el letargo y tenga que ponerse a trabajar en ella cuanto antes.

¿Es normal tardar tanto para solucionar una vulnerabilidad? Según Microsoft, básicamente depende de si es conocida o no. La compañía se vuelca totalmente en un fallo cuando es público, si no, va a "otro ritmo" a la hora de parchear. Incluso cuando la vulnerabilidad es pública, hay que tener en cuenta que Microsoft hace insistentes pruebas de compatibilidad cada vez que saca un parche, y aun así, a veces comete errores. El código del sistema operativo es demasiado complejo y las interacciones pueden ser impredecibles, así que la estrategia para los parches de Windows es "lento pero (en lo posible) seguro". En este caso Microsoft ha sido lento sin excusas, teniendo en cuenta la gravedad de la vulnerabilidad, el tiempo transcurrido y que (como ha pasado) al final la información o bien ha sido filtrada o descubierta independientemente por los atacantes. Microsoft tiene la responsabilidad de actuar (por volumen de uso, por recursos disponibles y por ser objetivo principal del malware) mucho más rápido. Wheeler, uno de los descubridores del fallo, piensa que no: que hay muchos problemas de seguridad, y que es normal que Microsoft se dedique a los que están siendo explotados con prioridad. Como este no era público hasta hace poco, no piensa que sea demasiado tiempo.

Para colmo, se ha dado a conocer que desde el IBM ISS X-Force, también se notificó a Microsoft otra vulnerabilidad en 2008, identificada con el CVE-2008-0020, en la misma librería Msvidctl.dll de DirectShow. Esta todavía no ha sido reconocida por Microsoft, pero es probable que sea parcheada junto con la CVE-2008-0015.

Microsoft acumula así dos vulnerabilidades en DirectShow que se sabe que están siendo aprovechadas por atacantes (CVE-2009-1537 y CVE-2008-0015) y otra de la que no se sabe demasiado (CVE-2008-0020).

Por otro lado, en el "advisory" oficial de Microsoft se ofrecía información interesante. Por ejemplo, limita el problema a Windows XP y 2003. También enumera nuevos CLSID a los que se les puede activar el Kill Bit para evitar que sean explotables a través de Internet Explorer. Esto puede significar que son potenciales nuevos vectores de ataque que podrían ser usados para aprovechar la vulnerabilidad. Los ataques estaban llevándose a cabo a través de un solo CLSID (asociado a una librería) para aprovechar la vulnerabilidad, pero al parecer existen más, que Microsoft bloquea ahora para prevenir futuros ataques hasta que el problema sea solucionado por completo.

Se recomienda en todo caso, ejecutar la herramienta que Microsoft ha publicado para activar todos los Kill Bits de los CLSID implicados, que si bien no soluciona el fallo de raíz, evita que Internet Explorer se convierta en un vector de ataque.

Más Información:

Vulnerability in Microsoft Video ActiveX Control Could Allow Remote Code
Execution
http://www.microsoft.com/technet/security/advisory/972890.mspx

Microsoft Security Advisory: Vulnerability in Microsoft Video ActiveX
control could allow remote code execution
http://support.microsoft.com/kb/972890/en-us

http://www.eweek.com/c/a/Security/Was-Microsoft-Slow-to-Patch-Video-ActiveX-Vulnerability-130458
Was Microsoft Slow to Patch Video ActiveX Vulnerability?

Autor: Sergio de los Santos
Fuente: Hispasec

Análisis Forense

noreply@blogger.com (Raúl) — Thu, 09 Jul 2009 11:01:00 PDT

Organizar un equipo de respuesta a incidentes requiere establecer, entre otros aspectos, unos procedimientos y métodos de análisis que nos permitan identificar, recuperar, reconstruir y analizar evidencias de lo ocurrido y una de las ciencias que cubren estas necesidades es la Ciencia Forense, la cual nos aporta las técnicas y principios necesarios para realizar la investigación.

En el ámbito de los sistemas informáticos, a la Ciencia Forense se le llama Análisis Forense Digital. Esta disciplina es relativamente nueva y se aplica tanto para la investigación de delitos "tradicionales" (homicidios, fraude financiero, narcotráfico...), como para los propiamente relacionados con las tecnologías de la información y las comunicaciones, entre los que destacan piratería de software y comunicaciones, intrusiones, "hacking", spam, phishing... . Dicho de otra manera, se define el Análisis Forense Digital como un conjunto de principios y técnicas que comprende el proceso de adquisición, conservación, documentación, análisis y presentación de evidencias y que llegado el caso puedan ser aceptadas legalmente en un proceso judicial.

Un incidente de seguridad informática puede considerarse como un violación o intento de violación de la política de seguridad, de la política de uso adecuado o de las buenas prácticas de utilización de los sistemas informáticos, como por ejemplo: Incidentes de denegación de servicios, de código malicioso, de acceso no autorizado, por uso inapropiado, incidente múltiple....
Los incidentes en la realidad pueden enmarcarse en varias categorías de las anteriormente mencionadas, por lo que una buena forma de identificarlos puede ser el mecanismo de transmisión empleado.

En el análisis forense digital pueden diferenciarse las siguientes fases:

Identificación del incidente: descubrir las señales de ataque.
Recopilación de evidencias: registros y contenidos de la caché, contenidos de la memoria, estado de las conexiones de red, tablas de rutas, estado de los procesos en ejecución, contenido de archivos y discos duros...
Preservación de la evidencia: realizar copias, métodos adecuados para el almacenamiento y etiquetado de las evidencias.
Análisis de la evidencia: acondicionar un entorno de trabajo adecuado, reconstrucción de la secuencia temporal del ataque, determinación de cómo se realizó el ataque, identificación del autor del incidente y evaluación del impacto causado al sistema.
Documentación y presentación de los resultados: utilización de formularios de registro de incidente, informe técnico e informe ejecución.

Una vez que hemos pasado la primera fase del análisis y estamos seguros de que nuestro sistema informático ha sido atacado, debemos decidir qué es más importante para nosotros: tener nuevamente operativo nuestro sistema o realizar una investigación forense detallada.

Los administradores lo primero que suelen hacer es devolver a la normalidad el sistema, aunque así puedan perder casi todas las evidencias del ataque, y ello impida llevar a cabo acciones legales posteriores si fuera necesario. En sistemas SCADA, una vez identificado el incidente la única opción que tenemos es la de restablecer el sistema, ya que sería impensable dejar de suministrar gas, agua.... y comenzar con un análisis forense, ya que son sistemas críticos. Por ello, una posible solución sería registrar todo tipo de evento que pueda suceder en cualquier dispositivo de nuestro sistema.

En las redes SCADA hay dispositivos que son capaces de registrar eventos, sin embargo, existen otros que no lo son (PLC, RTU...), así una buena solución sería establecer soluciones de software que puedan registrar dichos eventos de estos dispositivos SCADA. Los PLC y RTU´s suelen utilizar protocolos concretos (ModbusTCP, DNP3, IEC104, ...) que tendrán que ser interpretados por este software, de tal modo que permita determinar que información es la que se desea registrar.

En ocasiones esto no es suficiente y es necesario además incluir una ultima interpretación de lo que está sucediendo en la red para crear el registro necesario de estos eventos, como por ejemplo, se está actualizando un firmware en un dispositivo y esta actualización NO se ha completado con éxito, todo ello con el fin de disponer de toda la información suficiente para realizar un análisis forense más completo.

Autor: Iker Berriozabal
Fuente: S21Sec labs

EE.UU detecta ciberataques masivos provenientes de Corea del Norte

noreply@blogger.com (Raúl) — Thu, 09 Jul 2009 10:50:00 PDT

Las amenazas se han dado contra sitios oficiales del país norteamericano y Corea del Sur.

Las autoridades estadounidenses han identificado a Corea del Norte como origen de los recientes ataques a las webs de algunos de sus organismos oficiales y redes privadas, así como a sitios de Corea del Sur.

Según los funcionarios americanos, aún se tardará un tiempo en descubrir quiénes han perpetrado estos ciberdelitos contra su administración digital y, pese a que la fuente se haya localizado en el país norcoreano, esto no implica necesariamente que los responsables estén relacionados con el gobierno de Pyongyang.

Los ataques de software fueron tan fuertes que obligaron a clausurar las páginas del Departamento de Defensa y la Comisión Federal de Comercio (FTC) durante varios días, aunque otros sitios como el del Pentágono o la Casa Blanca apenas notaron una pequeña interrupción de su servicio y se defendieron sin problemas, según informa MSNBC.

En cualquier caso, estos incidentes dejan el descubierto la falta de seguridad en las propias infraestructuras tecnológicas del país más poderoso del mundo. Estados Unidos ya está impulsando varias medidas para hacer frente a estas carencias, como la creación de un grupo especial transatlántico con sede en Roma para la lucha contra el cibercrimen y un comando denominado “Cybercom” dependiente del Ministerio de Defensa que hará frente a los hackers.

Autor: Alberto Payo
Fuente: siliconnews.es

Chrome OS, solo agregue Internet

noreply@blogger.com (Raúl) — Thu, 09 Jul 2009 06:21:00 PDT

“Google es una empresa que pone mucho énfasis en desarrollar aplicaciones web y conceptos tan simples como crear accesos directos a dichas aplicaciones, muestra como independientemente de que haya tomado a muchos por sorpresa la aparición de Chrome, este paso era lógico para Google, pues a fin de cuentas el “sistema operativo” con el cual operan la mayoría de sus productos es el navegador.”

Este párrafo lo escribí hace 10 meses atrás y servía para justificar la lógica de que Google lanzara un navegador al mercado. El espíritu de lo que decía el párrafo era que a diferencia de la mayoría de empresas tradicionales que viven del software de una forma o de otra, Google era una de las pocas empresas en el mundo donde prácticamente el 100% de sus aplicaciones viven en un navegador.

Google lo tenía claro desde un principio y por eso hoy anunciaron el siguiente paso obvio en su estrategia: lanzarán un sistema operativo basado en un kernel de Linux cuya interface y programas giran en torno a su navegador Google Chrome. Pero esta obviedad solo resulta del todo clara posterior a esta bomba de hidrogeno lanzada por la gran G, pues técnicamente los rumores de que esto ocurriese habían sido acallados cuando la empresa dio a conocer a Android.

Leer el anuncio de Google era haber revivido el lanzamiento de la Palm Pre, donde un muy capaz aparato giraba en torno a un sistema operativo basado en estándares web llamado precisamente webOS. La belleza de este sistema operativo desarrollado por Palm era que el único requisito para desarrollar aplicaciones era saber cómo programar con las herramientas web disponibles en la actualidad. Por ende, el universo de posibles desarrolladores es mucho más amplio que cualquier otra plataforma que ha partido de cero en el último tiempo. El anuncio, fue gigante y el potencial enorme, sin embargo, hasta la fecha Palm no ha hecho su trabajo muy bien y el acceso a la plataforma webOS sigue siendo muy restringida.

Sin embargo, a Google parece que la misma gitana le leyó las cartas pues la empresa está apostando por la misma estrategia que Palm, con su flamante Chrome OS. Como fue mencionado en el principio, la transición de un navegador a un sistema operativo -en el caso de Google- es una extensión absolutamente natural que es coherente con todos sus desarrollos. La lógica para este sistema operativo es la misma que implementaron para cuando lanzaron Chrome : los navegadores actuales (descontando el de Google) tienen mucho bagaje pues su código contiene muchos aspectos del nacimiento y la infancia de la web -solo hay que reemplazar navegadores por sistemas operativos.

Google considera los sistemas operativos actuales lentos pesados e inseguros y piensa resolver esto partiendo de cero desarrollando un sistema operativo sencillo, liviano, rápido y seguro. Pero esto no es todo, la empresa define que la plataforma de desarrollo de software es la web, por lo que cualquier aplicación web actual y futura funcionara de forma automática en Chrome OS. Considerando que Chrome funcionara tanto en plataformas x86 y ARM, que sus aplicaciones serán cualquier programa hecho con herramientas web y que dichas aplicaciones no solamente funcionaran en este sistema operativo sino en cualquier navegador que cumpla estándares, estamos hablando de que este nuevo desarrollo de Google es de temer, especialmente en Redmond.

Dos razones poderosas hay para lo anterior: la gran mayoría de aplicaciones que hay para sistemas operativos actuales existen de una forma o como versión web incluyendo suites ofimáticas. Se ha hecho tan popular esto que hasta Microsoft anuncio una versión en línea de Office en el futuro. Por otra parte, el navegador e Internet están presentes prácticamente en todas partes por lo que la gran ventaja del software tradicional, un medio físico donde este almacenado el software, ya en muchas partes es irrelevante. Ahora para cuando el tema de la conectividad sea relevante, tecnologías disponibles en la actualidad como Google Gears (que permiten acceder a las aplicaciones de Google sin estar conectado a Internet) se encargaran de cubrir la brecha entre el mundo online y offline.

Desde hace un muy buen tiempo, los sistemas operativos tradicionales han dado pistas que tienden hacia simplemente comportarse como maquinas virtuales. En el ambiente de servidores es prácticamente un requisito, en sistemas operativos de consumidores se está volviendo necesario tener una maquina virtual y muchos grupos de desarrolladores -incluyendo Microsoft- están pensando “partir de cero” nuevamente, creando un sistema operativo nuevo en donde la compatibilidad se maneja a través de maquinas virtuales. El mejor ejemplo de la actualidad es la maquina virtual de Windows XP que vendrá con algunas versiones de Windows 7 para mantener compatibilidad con programas antiguos.

¿A qué va lo anterior? Cuando analicé el manejo de memoria de Chrome el año pasado dije: “Viendo esto, es claro que Google ve más a su navegador como una maquina virtual la cual debe funcionar de forma eficiente para no hacer decaer el rendimiento del computador. Ciertamente esta mentalidad es muy acertada y es un paso en la dirección correcta para hacer de los navegadores herramientas aun más poderosas.” Esto muestra que Google va claramente adelantado en la carrera de los sistemas operativos del futuro y va a ser un rival altamente competitivo.

Un sistema operativo liviano, limpio y rápido con miles de aplicaciones familiares desde el día de lanzamiento. El anuncio de Google no pudo llegar en un momento más oportuno cuando los sistemas operativos actuales están teniendo problemas para cumplir fechas de entrega y ofrecer razones de fondo para adquirirlos. Google Chrome OS es una muy interesante apuesta que está bien fundamentada y encaminada.

Desde luego, no es que durante el segundo semestre del 2010 Google vaya a tomar un 20% del mercado de sistemas operativos ni mucho menos, es un esfuerzo a largo plazo (tal como lo han venido siendo su suite de aplicaciones) que dependerá, dentro de muchas cosas, del nivel de adopción del sistema operativo, su compatibilidad con el hardware y su idoneidad para reemplazar los esquemas de computación tradicionales. Sin embargo de todas las empresas que podrían lograr tener éxito en el cometido de lanzar un nuevo sistema operativo y ser una potencial amenaza para el líder indiscutido actual -Windows- Google era el mejor candidato.

Autor: Nicolas Rencoret
Fuente: CHW

Los ladrones pueden estar dentro

noreply@blogger.com (sb) — Thu, 09 Jul 2009 06:12:00 PDT

La incertidumbre laboral dispara el robo de información confidencial por los empleados.

Cuanto valgo como empleado?" Es una pregunta que se hacen muchos trabajadores en estos momentos de incertidumbre laboral, con el paro disparado y la posibilidad de verse en la calle muy presente. La respuesta varía según cada uno, pero todas tienen un añadido común: "Valdré más si dispongo de información confidencial de mi empresa para ofrecer a la competencia".

El caso no es remoto. La fuga de información confidencial de las compañías ha aumentado un 60 % desde el año pasado, según un informe del Grupo Paradell Consultores de investigación privada y prevención del fraude, que ha pasado de constatar 400 a más de 600 casos. Sin contar los que nunca llegan a conocerse.

Ingresos adicionales

Otro estudio, elaborado por Kroll y The Economist Intelligence Unit, reveló que el 85 % de los ejecutivos de algunas de las principales empresas de Europa, América del Norte y África admitieron que su compañía ha sufrido al menos un fraude en los últimos tres años.
"En el 80 % de las ocasiones se trata de un trabajador o ex trabajador de la empresa con acceso a los datos", explica Jordi Besoli, director del área de Seguridad Informática de Paradell. "El fraude ha aumentado por varios motivos", continúa: "Cada vez es más fácil acceder a los datos, incluso desde casa a través del ordenador; con la crisis algunos empleados se sienten más inseguros y ven en esta opción una fuente de ingresos adicionales, también está el resentimiento o despecho con la empresa o el valor añadido que supone tenerlos".

Pero no sólo de robar datos vive el fraudulento, aunque es una parte importante del hurto a la empresa (30%). Competencia desleal (11%), fraude informático (4%), plagio o imitación (9%), contraespionaje industrial (11%), fingir o prolongar bajas (32%) y el absentismo laboral (5%) completan la fotografía del fraude, si bien es cierto que los dos últimos apartados han caído bastante.

España es reactiva

La buena noticia para las empresas es que se puede luchar contra el robo. Investigando los casos, las aseguradoras españolas redujeron de 275 millones de euros a 75 millones el fraude que sufrieron en 2007. En España no se hace, pero prevenir también funciona. "Ése es el modelo anglosajón, aquí somos más reactivos, y eso es más caro siempre para la empresa", explica Mariano Paradell, director del Grupo Paradell.

La creciente regulación también ayuda. Un informe de Deloitte se refiere a la presión de la CNMV sobre las empresas cotizadas para que informen de los riesgos que corren, y ala reforma del Código Penal, que responsabiliza a las personas jurídicas por los actos punibles de sus empleados. Estas circunstancias "empujan a nuestras empresas a implantar o revisar sus mecanismos de control", dice la auditora.

Fuente: Cryptex

Ciberataques contra EE.UU. y Corea del Sur

noreply@blogger.com (www.segu-info.com.ar) — Wed, 08 Jul 2009 11:56:00 PDT

Agencias de los gobiernos de Estados Unidos y Corea del Sur han sido blanco de una serie de ataques cibernéticos que paralizaron varios sitios estatales de internet en estos países. Seúl sospecha que Corea del Norte estaría detrás de la sofisticada operación.

Este ciber-ataque resalta de nuevo la vulnerabilidad de la seguridad informática de los gobiernos que, según algunas autoridades, podría tener consecuencias equivalentes a una guerra devastadora o un atentado terrorista.

Todo empezó el 4 de julio, día de la Fiesta Patria de EE.UU., cuando los sitios de las principales organizaciones gubernamentales empezaron a congelarse. Casi una docena de entidades quedaron afectadas, incluyendo el Departamento del Tesoro y el Servicio Secreto.

El problema luego se extendió a Corea del Sur, donde el Palacio Presidencial y el Ministerio de Defensa fueron blanco de los ataques.

Ataque coordinado

Se piensa que los sitios fueron paralizados por un ataque coordinado en el que miles de computadores infectados con virus son infiltrados y dirigidos simultáneamente hacia un sitio en particular, inutilizándolo con un abrumador volumen de tráfico.

El corresponsal de la BBC en Seúl, John Sudworth, dice que los sitios sufrieron problemas de acceso, algunas veces de falla total, pero no se cree que se hubiese violado la seguridad o comprometiese alguna información confidencial.

Nuestro corresponsal asegura que el efecto no ha ido más allá de generar un gran inconveniente, aunque algunos sitios afectados continúan manifestando problemas y se cree que podría tratarse de un ataque prolongado y bien organizado.

La agencia de espionaje surcoreana está investigando si se trata de una operación deliberada de piratería cibernética proveniente de Corea del Norte, pero otros debaten si ese país tiene el conocimiento tecnológico para realizarlo.

Hace unos dos años, el gobierno de Estonia fue blanco de ataques informáticos contra toda la red de sus sitios oficiales. Sus páginas fueron secuestradas por ciberpiratas y redirigidas a sitios de propaganda rusa.

"Terrorismo virtual"

Los eventos sucedieron tras un conflicto político entre ese pequeño país báltico y Rusia que degeneraron en enfrentamientos y violencia callejera.

El gobierno de Tallin acusó a Moscú de estar involucrado en lo que llamó terrorismo cibernético.

Rusia negó participación alguna, pero la situación obligó inclusive la intervención de la Organización del Tratado Atlántico Norte (OTAN) que se preguntó cómo lidiar con ese tipo de ataques contra un país europeo y si constituyen un acto de guerra.

El año pasado, el entonces secretario del Departamento de Seguridad Interna de Estados Unidos, Michael Chertoff, advirtió sobre las graves amenazas al ciberespacio durante la mayor conferencia internacional de seguridad informática, RSA 2008.

Chertoff dijo que los ataques cibernéticos son "equivalentes a lo que este país (EE.UU.) sufrió trágicamente el 11-S".

El que era máximo jefe de la seguridad de su país anunció la conformación de un nuevo grupo para coordinar esfuerzos entre el gobierno federal y empresas informáticas para proteger las redes oficiales.

El gobierno de Estados Unidos no ha dado detalles del ataque de este fin de semana, aunque una portavoz del Departamento de Seguridad Interna expresó que el Equipo de Emergencia Informática de esa entidad alertó a los departamentos federales de la situación y de los pasos para mitigar tales ataques.

La nueva secretaria de Seguridad, Janet Napolitano, afirmó recientemente a la BBC que la protección contra ataques virtuales son de "gran preocupación" y un área en la que EE.UU. se estaba "moviendo con gran prontitud".

Fuente: BBC

Anuncio oficial de Google Chrome OS (el post oficial en castellano)

noreply@blogger.com (Raúl) — Wed, 08 Jul 2009 11:50:00 PDT

Google anunció un próximo sistema operativo basado en el kernel de Linux y en el navegador Chrome. La noticia ya se propagó rápidamente por Internet y sin duda será pasada de página en página cada vez más tergiversada. Por eso decidí traducir al castellano el anuncio oficial de Google en su totalidad. Ésta es toda la información que Google hizo oficial en el anuncio:

Ya han pasado nueve excitantes meses desde que lanzamos el navegador Google Chrome. Ya más de 30 millones de personas lo usan regularmente. Diseñamos Google Chrome para la gente que vive en la web - buscando información, revisando el email, actualizándose con las noticias, haciendo compras o sólo manteniéndose en contacto con amigos. Sin embargo, los sistemas operativos sobre los cuales corren los navegadores fueron diseñadoes en una época donde no había Internet. Así que hoy, estamos anunciando un nuevo proyecto que es la extensión natural de Google Chrome - el Sistema Operativo Google Chrome. Es nuestro intento de repensar cómo debería ser un sistema operativo.

El Google Chrome OS de código fuente libre, es un sistema operativo liviano que estará inicialmente apuntado a las netbooks. Más tarde en este año liberaremos su código fuente, y netbooks corriendo Google Chrome OS estarán disponibles a los consumidores en la segunda mitad del 2010. Debido a que ya estamos hablando con socios acerca del proyecto, y pronto estaremos trabajando con la comunidad de la fuente libre, queríamos compartir nuestra visión ahora para que todos puedan entender qué es lo que intentamos lograr.

Velocidad, simplicidad y seguridad son los aspectos clave del Google Chrome OS. Estamos diseñando el sistema operativo para que sea rápida y liviano, que encienda y te permita usar la web en pocos segundos. La interfaz es mínima para que no obstruya el camino, y la mayor parte de la experiencia toma lugar en la web. Al igual que como hicimos con el navegador Google Chrome, estamos volviendo a lo fundamental y rediseñando completamente la arquitectura de seguridad del sistema operativo para que lo usuarios no tengan que lidiar con virus, malware y actualizaciones de seguridad. Debería simplemente funcionar.

Google Chrome OS va a correr tanto en chips x86 como ARM y estamos trabajando con múltiples OEMs para traer un número de netbooks al mercado para el año próximo. La arquitectura de software es simple - Google Chrome corriendo un nuevo sistema de manejo de ventanas sobre un kernel de Linux. Para los desarrolladores de programas, la plataforma es la web. Todos los programas basados en la web va a funcionar automáticamente y nuevos programas pueden ser escritos usando sus tecnologías de web favoritas.
Por supuesto, estos programas no sólo correrán en el sistema operativo Google Chrome, si no que también en cualquier navegador basado en los stándard en Windows, Mac y Linux dándoles a los desarrolladores la mayor base de usuarios establecida de cualquier plataforma.

El sistema operativo Google Chrome es un proyecto nuevo, separado de Android. Android fue diseñado desde el principio para funcionar en una variedad de dispositivos, desde teléfonos a cajas autocontenidas y netbooks. Google Chrome OS está siendo creado para la gente que pasa la mayoría de su tiempo en la web, y está siendo diseñado para que mueva a la computadoras desde pequeñas netbooks a computadoras de escritorio de tamaño completo. Mientras que hay áreas donde el Sistema Operativo Google Chrome y Android solapa, creemos que la oferta de opciones impulsará a la inovación y beneficiará a todos, incluyendo a Google.

Escuchamos mucho de nuestros usuarios y su mensaje es claro - las computadoras necesitan mejorar. La gente quiere llegar a su email instantáneamente, sin tener que perder tiempo para que sus computadoras se inicien y que arranque el navegador. Quieren que sus computadoras siempre corrar igual de rápido que cuando las compraron por primera vez. Quieren que sus datos sean accesibles dondequiera que estén y no tener que preocuparse de perder su computadora y olvidarse de hacer una copia de seguridad de los archivos. Incluso más importantemente, no quieren tener que pasar horas configurando sus computadoras para qur funcionen con cada nueva pieza de hardware, o tener que preocuparse con permanentes actualizaciones de software. Y cualquier momento que nuestros usuarios tienen una mejor experiencia computacional, Google se beneficia también al tener usuarios felices que tienden a pasar más tiempo en Internet.

Tenemos mucho trabajo que hacer, y definitivamente vamos a necesitar mucha ayuda de la comunidad de fuente libre para lograr esta visión. Estamos excitados por lo que está por venir y esparamos que ustedes también lo estén. Manténganse pendientes de la próximas actualizaciones en el otoño y tengan un gran verano.

Escrito por Sundar Pichai, VP Product Management and Linus Upson, Engineering Directo.
Traducido por www.tecnoscopio.com

Fuente: Tecnoscopio.com

Detienen estafadores por u$s 500.000 en Internet

noreply@blogger.com (www.segu-info.com.ar) — Wed, 08 Jul 2009 08:41:00 PDT

La Guardia Civil española detuvo a 15 personas de diversas nacionalidades, entre ellas un ciudadano argentino, por cometer estafas bancarias a través de Internet por un importe cercano a los 400.000 euros (u$s 550.000).

La operación, en la que han sido imputadas otras 39 personas, se desarrolló en seis provincias españolas, informaron fuentes policiales.

La red había realizado 90 operaciones de captura de datos bancarios y contraseñas a través de Internet y enviaba la mayor parte del dinero estafado a países de la Europa del Este.

Entre los detenidos figuran varios moldavos y lituanos, así como un argentino, un brasileño y un peruano, entre otros.

Las investigaciones se iniciaron en marzo de 2008 cuando la Guardia Civil detectó que un grupo de moldavos retiraba grandes cantidades de dinero de bancos en el sur de la isla de Tenerife.

Varios de ellos mantenían contacto con un grupo con ramificaciones en Inglaterra, Italia, Moldavia, Ucrania y Rusia, dedicado a cometer estafas bancarias a través de Internet.

Las operaciones fraudulentas tenían como víctimas tanto a empresas como a particulares de distintas provincias de España.

La organización utilizaba un "hacker" informático para obtener las claves de acceso de empresas y particulares usuarios de banca electrónica.

Una vez obtenidas las claves, a través de equipos informáticos de particulares ajenos a la organización, ordenaban las transferencias bancarias.

La organización contaba con colaboradores captados a través de anuncios publicados en la prensa rusa y en foros y chats de internet de Rusia y Moldavia, que se encargaban de abrir cuentas bancarias a las que era trasferido el dinero estafado.

A cambio de ello percibían una comisión de entre el 5 y el 10% de esas cantidades.

Una vez que el dinero llegaba a esas cuentas, lo retiraban y lo remitían a través de empresas de envío de dinero a miembros de la organización asentados principalmente en Moldavia, Ucrania y Rusia.

Los agentes realizaron ocho registros domiciliarios en los que intervinieron trece computadoras y distinto material informático.

Fuente: Ambito

Phishing al Banco Frances II (Argentina)

noreply@blogger.com (www.segu-info.com.ar) — Wed, 08 Jul 2009 06:31:00 PDT

Ayer reportamos un Phishing al Banco Frances y hoy nuevamente nos han reportado nuevos caso activos que no es detectado por ningún navegador web.

Los sitios activos actualmente son:

http://personas.online.[ELIMINADO].as/
http://www.restauracion.personas.[ELIMINADO].as/
http://www.productos[ELIMINADO].com/html/prod/checkear_coordenadas/
http://we[ELIMINADO].com.ar/secciones/wc-galeria/back.php

Además de pedir los datos tradicionales de usuario, contraseña, número de tarjeta y PIN, en este caso también se solicita al usuario la tarjeta de coordenadas completa:
Como puede verse ningún banco queda exento de este tipo de delincuentes.

Cristian de la Redacción de Segu-Info

Empresas españolas gastan menos y se infectan más

noreply@blogger.com (www.segu-info.com.ar) — Tue, 07 Jul 2009 18:24:00 PDT

Generalmente, las pequeñas y medianas empresas no tienen una visión global sobre la situación de su seguridad. La falta de recursos provoca, a veces, que muchas PYMES cuenten con una seguridad insuficiente o no sepan exactamente cuáles son las medidas que tienen que adaptar para estar protegidos. A fin de conocer cuál es el estado de la seguridad en las pequeñas y medianas empresas españolas y comparar esta con la media europea y con algunos de los países más importantes de todo el mundo, Panda Security ha realizado este estudio en el que se han entrevistado a más de 2500 empresas de entre 1 y 400 ordenadores de toda España y más de 5000 de diversos países.

En este estudio se ha tratado de averiguar cuáles son las principales tendencias, problemas de
seguridad, inversiones, etc., en el entorno de la pequeña y mediana empresa mundial, comparándolo, en todo momento, con los datos extraídos de las empresas españolas.

Fuente: Panda Security y Cronica Económica

Phishing al Banco Frances (Argentina)

noreply@blogger.com (www.segu-info.com.ar) — Tue, 07 Jul 2009 13:35:00 PDT

En las últimas horas nos han reportado un caso de Phishing al Banco Francés de Argentina. Lo curioso de este caso es el remitente del correo, que puede verse en la siguiente imagen, sumado a los errores de ortográficos y gramaticales a los que ya estamos acostumbrados:
En este caso evidentemente el delincuente ha utilizado la dirección de HI5 para simular un correo de dicha red social y, posteriormente utilizó la misma dirección para generar este engaño del banco mencionado.

La dirección al sitio falso a la cual lleva este correo es http://bid-2-[ELIMINADO].com/uploads/cgi-bin/www.bancofrances.com.ar y ya no se encuentra disponible.

Actualización 08/07/2009: otra de estas direcciones es http://personas.online.[ELIMINADO].as/ y todavía se encuentra activo al escribir esto.

Cristian de la Redacción de Segu-Info

Mitos y leyendas: El Directorio Activo (II) (Instalación segura)

noreply@blogger.com (sb) — Tue, 07 Jul 2009 12:31:00 PDT

Una vez creado el dominio a través de un primer controlador , es muy aconsejable agregar un nuevo controlador para obtener ventajas de seguridad. Un segundo controlador proporciona un sistema de seguridad adicional en caso de fallo. Además supone un buen balance de carga para el sistema en caso de que miles de usuarios hagan uso del Directorio Activo y deba soportar muchas peticiones.

Habitualmente la manera tradicional de agregar un controlador de dominio a un dominio existente es la instalación de un Windows 2000 Server, 2003 o 2008 y ejecutar la herramienta dcpromo.exe. Los pasos durante la instalación de este segundo controlador son relativamente sencillos, guiados a través de un asistente que explica de forma más o menos detallada cada paso.

Una vez en marcha, comienza la replicación por red de la información desde el primer controlador original, de forma que se duplica la base de directorio del Directorio Activo y ambos sistemas poseerán la misma información. A partir de Windows 2003 se introdujo un nuevo método (Install From Media, IFM) mucho más efectivo que además obliga a realizar una copia de seguridad que se utilizará para la replicación. La táctica consiste en la instalación de un segundo controlador de dominio a partir de una copia de seguridad del primero, sin necesidad de replicar la base de datos a través de la red.

Ventajas

Esto es importante con respecto a la seguridad y el rendimiento porque:

* Obliga a realizar una copia de seguridad del controlador primario.
* Impide que la información de replicado se desplace por la red en caso de que los datos viajen por un canal no seguro.
* Ahorra tiempo y recursos porque no hay necesidad de que los datos se repliquen por la red. En una LAN quizá esto no suponga un problema, pero en sistemas de larga distancia, cualquier dato perdido o mal interpretado puede llegar a crear inconsistencias en las bases de datos.

Creando una copia de seguridad

La utilidad más adecuada en este caso es ntbackup.exe, que viene de serie en cualquier Windows excepto Vista. En ella se debe indicar que se quiere realizar una copia de respaldo del "estado del sistema" (opción solo disponible en los controladores de dominio). Después de unos minutos, esto creará un archivo con extensión BKF de (como mínimo) unos 500 megabytes.

Este fichero está "protegido" por la contraseña introducida durante el proceso de instalación del primer controlador de dominio. Este aspecto es importante porque induce a error. Existe un imperdonable fallo de traducción en los Windows 2003 que puede llegar a confundir a los administradores. Durante el proceso de instalación del directorio activo, el asistente pregunta en un momento dado por la "Contraseña de modo remoto" en el menú "Contraseña de admin. de Modo de restauración de directorio". Esta "Contraseña de modo remoto" es una traducción fallida de "Restore mode password", que queda mucho más claro en inglés. Esta contraseña no debe ser la misma que la de administrador, ni sirve para presentarse ante ningún recurso de dominio. Tampoco sirve para ningún tipo de modo remoto. En realidad su utilidad es la de entrar en el modo seguro del controlador de dominio cuando ha ocurrido algún tipo de error o se quieren realizar recuperaciones de objetos. También protege al fichero que acaba de crearse (o sea, para restaurarlo será necesario conocer la contraseña).

Usando la copia de seguridad en el controlador secundario

El archivo BKF puede ser trasladado a través de cualquier medio seguro al servidor secundario. Pero no se debe restaurar el archivo al "sitio original" que aparecerá por defecto al ejecutar ntbackup, sino a una carpeta separada. De ahí se tomarán los datos para promocionar más tarde el segundo servidor. Por ejemplo, se debe indicar que se va a restaurar el "estado del sistema" a una carpeta llamada "RestaurarADTmp". Esto se indica en las opciones avanzadas del programa de restauración.

Promocionando finalmente el servidor

Ahora es el momento de promocionar el servidor, pero debe hacerse también de una manera diferente, arrancando las opciones avanzadas de dcpromo.exe para poder elegir la opción de instalar el controlador desde una carpeta de restauración. Esto se consigue con:

dcpromo.exe /adv

De esta forma aparecerá en el asistente una nueva opción que permitirá elegir de dónde conseguir la información para instalar el controlador de dominio adicional. Se le debe indicar la carpeta creada a tal efecto (en este caso RestaurarADTmp), indicarle la contraseña de restauración, y el dominio será instalado.

La copia de seguridad debe ser descartada, por defecto, antes de 60 días (para dominios creados antes de Windows 2003 SP1, 180 días para dominios posteriores). Si se restaura después de ese tiempo, se corre el riego de sufrir inconsistencias entre los diferentes controladores. Ese es el valor del tombstone (lápida), tiempo de "vida" de los objetos borrados, o sea, el tiempo que permanecen en una especie de papelera desde donde se pueden recuperar. Este valor también sirve para evitar el riesgo de replicaciones entre controladores que no se han comunicado en todo ese tiempo.

Fuente: Hispasec

Arrestan a un funcionario de Goldman Sachs por robar información confidencial

noreply@blogger.com (sb) — Tue, 07 Jul 2009 09:27:00 PDT

Un juez ha otorgado la libertad bajo fianza a un ex programador que trabajaba en la empresa Goldman Sachs, acusado de haber filtrado datos confidenciales de la compañía.

Para quedar libre durante el curso de la investigación, el acusado debe entregar su pasaporte a las autoridades y pagar una fianza de 750.000 dólares.

El viernes, el FBI arrestó a Sergey Aleynikov, un inmigrante ruso de 39 años que vive en los Estados Unidos. La demanda no especifica a qué empresa había atacado, pero fuentes de Wall Street indican que la víctima fue la importante empresa Goldman Sachs, con sede en Wall Street, Nueva York.

La fiscalía estadounidense afirma que Aleynikov copió los códigos secretos de intermediación de la empresa y los subió a un sitio de intercambio de archivos en un servidor alemán.

Se cree que Aleynikov descargó los datos desde su ordenador portátil, el de su empresa y el de su domicilio y que, en los cuatro días que duró el ataque el mes pasado, subió 32 MB de información al sitio web.

Según la demanda, la información robada consiste en el código de un programa que realiza "intercambios sofisticados, rápidos y de grandes volúmenes de varios mercados de acciones y mercancías", analizando de forma muy veloz los cambios de las condiciones del mercado.

Goldman se dio cuenta del problema tras revisar los sistemas de vigilancia que detectan intentos de filtrar archivos de la empresa y transferirlos a servidores externos.

Aleynikov había trabajado en la empresa de Wall Street desde mayo de 2007, y renunció a principios de junio diciendo que iba a ir a trabajar a una empresa en Chicago que le ofrecía triplicar su salario de 400.000 dólares.

La abogada defensora de Aleynikov aseguró que su cliente no tenía intención de compartir la información con terceras personas ni usarla para violar los términos del contrato que tenía con Goldman.

Se cree que este caso no ha perjudicado a los clientes de Goldman Sachs, aunque la empresa no ha querido comentar sobre el asunto.

Fuente: Viruslist

Casi la mitad de las empresas han reducido sus presupuestos TI

noreply@blogger.com (www.segu-info.com.ar) — Tue, 07 Jul 2009 07:24:00 PDT

El último estudio de Gartner muestra que los presupuestos en TI han descendido un 4,7% en 2009.

Casi la mitad de las empresas han reducido sus presupuestos en TI en el primer trimestre de este año. En una encuesta realizada por Gartner entre 900 directores de tecnología de la información, el 42% afirmó que el dinero destinado al departamento de TI se había visto reducido respecto a la cantidad del trimestre anterior. El gasto, de hecho, se ha situado en niveles de 2007, según Gartner, que ha calculado que los presupuestos han descendido un 4,7% este año.

Los directores ejecutivos tienen problemas con el presupuesto y un 46% afirma que el relativo a 2009 ha cambiado desde que fuera aprobado. De hecho más del 90% de las empresas están reduciendo sus presupuestos iniciales, con una media del 7%. Sólo el 4% de las empresas afirman que su presupuesto en tecnologías de la información se ha incrementado, fundamentalmente las pertenecientes a la industria de la salud.

La mayor caída de los presupuestos, con un 10% de media, ha afectado a los servicios profesionales, telecomunicaciones y tecnología. Los gastos en tecnología de fabricación caerán un 8%, mientras que los gastos en servicios financieros caerán un 4%. Según Gartner el porcentaje de directores de tecnología con un un plan de contingencia, para el caso de nuevos recortes presupuestarios, se ha duplicado hasta más del 60%.

Para 2010 la mayoría de los CIOS esperan que la economía mejore en los primeros nueve meses del año lo que podría conllevar un incremento del personal y de las inversiones en proyectos de TI.

Fuente: IT Espresso

DataSlide reinventa los HDs

noreply@blogger.com (Raúl) — Tue, 07 Jul 2009 06:39:00 PDT

La compañía británica DataSlide ha desarrollado un nuevo sistema de almacenamiento basado en discos duros. La diferencia con los diseños actuales es que gracias a un nuevo sistema de lectura/escritura el rendimiento es altísimo. Los discos duros tradicionales usan un sistema de discos girando y unos cabezales que se mueven para leer o escribir datos en los mismos. El nuevo sistema de DataSlide se denomina Hard Rectangular Drive (HRD) y dispone de una pequeña matriz bidimensional de 64 cabezales.

El cambio de filosofía es radical frente a los habituales discos duros (discos magnéticos girando y cabezales moviéndose) ya que se dispone de una pequeña matriz de 64 cabezales para leer y escribir datos en unos platos magnéticos que pasan a ser cuadrados. Los sectores de los HRD están perfectamente alineados en lugar de ser sectoriales en los platos magnéticos.

Al hacer una comparación del rendimiento que se obtiene por dicha tecnología se han revelado transferencias de 500 Mbytes/s y hasta 160.000 IOPS, y con los discos duros magnéticos tradicionales afirman que los discos duros tradicionales tendrían que girar a 96.000 rpm para lograr estos rendimientos. La matriz de cabezales trabajaría de forma paralela y se desplazaría por la superficie mediante desplazamientos piezoeléctricos.

Además de ello la nueva tecnología DataSlide promete un consumo un 60% menor que los discos duros tradicionales y una disipación nula de calor junto con un rendimiento capaz de saturar un bus PCIe de 32 líneas. Parece que el futuro de los discos duros magnéticos está empezando a ver un claro frente a toda la avalancha de unidades SSD que están poblando el mercado del almacenamiento.

Si queréis más datos, podéis ver la presentación (PowerPoint) que realizaron en 2006 de dicha tecnología.

Autor: Antonio Moreno
Fuente: muycomputer.com

Las redes sociales online redefinen la privacidad personal

noreply@blogger.com (www.segu-info.com.ar) — Mon, 06 Jul 2009 12:56:00 PDT

Una generación entera está creciendo en compañía de webs de redes sociales como Facebook y MySpace, donde colocan información sobre su vida para que la vean sus amigos, y todo el mundo. Pocos usuarios se dan cuenta de que la información que revelan, cuando se combina con nuevas tecnologías de recopilación de datos, puede crear una especie de huella dactilar de su comportamiento.

Esa información genera oportunidades no sólo para los negocios legítimos, sino también para ladrones de identidad y otros depredadores, de acuerdo con profesores de Wharton y de otras instituciones.

"Se está desafiando la definición tradicional de privacidad", observa Andrea Matwyshyn, profesora de Estudios Jurídicos de Wharton, responsable de la organización, a principios de este año, de una conferencia en Wharton sobre las mejores prácticas de seguridad de la información [Information Security Best Practices Conference]. Entre otros temas, la conferencia trató sobre cuestiones de seguridad motivadas por las redes sociales.

La investigación sobre las redes sociales y la forma acerca de cómo se pueden alterar los patrones de privacidad está dando sus primeros pasos, según explican analistas del sector de tecnología. "Hoy en día, nuestros hijos darían toda su información personal, pero no sabemos qué consecuencias podrá tener eso a largo plazo", evalúa Peter S. Fader, profesor de Marketing de Wharton. "La privacidad es una diana en constante movimiento".

Los investigadores dicen que los límites de la privacidad varían de acuerdo con la persona y que esos límites están siendo probados por las redes sociales. Es difícil, dicen, señalar cuál es el impacto exacto de las redes sociales en Internet. Pero es evidente que las personas recurren cada vez más a las webs para mantenerse en contacto con los amigos, conseguir empleo y ampliar las posibilidades profesionales. Las webs de redes sociales atrajeron 139,8 millones de visitantes en abril, un aumento del 12% en relación a los 124,4 millones registrados en marzo, de acuerdo con comScore, empresa que mide el tráfico en Internet. La encuesta de abril constató que MySpace lideraba la categoría con 71 millones de visitas, Facebook venía a continuación con 67,5 millones y Twitter con 17 millones, lo que supone un aumento del 83%.

Explorando los datos

Lance Hoffman, profesor de Ciencias de la Computación de la Universidad George Washington que habló en el congreso de Wharton, dijo que al proporcionar datos como nombre, fecha de nacimiento y redes de amigos, los usuarios revelan mucho más de lo que se imaginan. Aplicaciones de terceros, dijo Hoffman, pueden llevar esa información fuera de los límites de camaradería de una web de red social y combinarlas con datos de otras fuentes y con eso reunir un volumen suficiente de información para robar la identidad del usuario. El nombre y la fecha de nacimiento -comúnmente encontrados en el perfil de Facebook- pueden ser muy útiles para un ladrón de identidades, dice Hoffman.

"He tenido estudiantes que usaron aplicaciones de terceros y así obtuvieron acceso a amigos de amigos, que fueron identificados por medio de reconocimiento facial", dice Hoffman. "Ellos no sabían qué hacer con esa información, pero quizás otra persona lo sabría. ¿Qué sucede cuando la obtención de ese tipo de información se automatiza?"

Durante la conferencia, Hoffman mostró cómo se establecen las conexiones sociales online y la facilidad con que un extraño puede formar parte de una red. Él dijo que constantemente le añaden a listas de contactos y le invitan a hacerse amigo de empresas que usan las webs como herramienta de marketing. Las páginas usadas por empresas en Facebook se han rediseñado recientemente para que se parezcan más a las páginas usadas por usuarios comunes.

Además de eso, la línea que separa las redes profesionales como LinkedIn, y redes sociales como Facebook, "se ha vuelto extremadamente fina", dijo Hoffman. Diversos usuarios de Facebook pueden crear una imagen más informal en ese tipo de sitio web, al contrario de lo que sucede en LinkedIn, donde sólo suelen poner información profesional. Sin embargo, ambas webs son visitadas por posibles empleadores y clientes, lo que puede generar complicaciones. Por ejemplo: cuando un contacto profesional de LinkedIn manifiesta que quiere hacerse su amigo en Facebook, ¿aceptaría la invitación? Si acepta, sepa que eso le permitirá acceder a las fotos de su perfil en las que usted aparece en imágenes captadas en una fiesta en la playa el pasado verano.

¿Y qué pasa con aquella persona, que no conoce, pero que desea ser su amiga porque tienen amigos en común? Según Hoffman, ese nuevo amigo tal vez sólo esté investigando su círculo social en busca de información. A medida que las redes crecen, y más amigos de amigos (y los amigos de ellos) son aceptados por los usuarios, ya no se sabe en quien confiar.

A fin de cuentas, la seguridad de las redes sociales depende del uso que haga cada usuario del servicio (es posible rechazar las invitaciones para hacerse amigo). Hoffman aconsejó a los usuarios de las redes sociales que conozcan las políticas de privacidad de las webs que frecuentan, gestionando, entre otras cosas, de qué forma se utiliza la información que suministra.

Al mismo tiempo, dijo Hoffman, las webs deben trabajar con políticas de privacidad fáciles de entender. "Las políticas difieren en la teoría y en la práctica. En la teoría, el consumidor conoce la política de privacidad de la web y confía en la red. La realidad es que nadie lee ese tipo de cosas. Yo no las leo". Hoffman citó la política de privacidad de Facebook como ejemplo de política oscura, que garantiza a los usuarios el control de sus datos y las informaciones que comparte. (La versión más reciente tiene más de 3.700 palabras - es decir, más del doble de palabras de este artículo). Hoffman aboga por la necesidad de nuevos formatos para las políticas de privacidad. Éstos serían semejantes a los rótulos de nutrientes que hay en los productos alimenticios.

Privado aquí, pero allí no

Un estudio realizado por Alessandro Acquisti, profesor de Gestión y Políticas públicas de la Universidad Carnegie Mellon, que participó en el congreso, constató que las ideas de las personas sobre privacidad son maleables dependiendo del contexto de la interacción. De acuerdo con Acquisti, las personas se muestran más dispuestas a divulgar información personal importante -foto, fecha de cumpleaños, ciudad natal y número de teléfono- en webs de red social que en otras webs. Su estudio, de 2005, llamó la atención sobre los problemas relativos a la privacidad, como el acoso virtual y real.

"La gente dice que su privacidad es importante, pero se comporta de tal forma que se hace evidente la falta de preocupación por ella", dijo Acquisti. "Las decisiones y evaluaciones de privacidad son cosas maleables", pero hay dudas en cuanto a los factores que conducen a una apertura mayor. Uno de esos factores puede ser el "efecto manada", dijo. En un estudio realizado, Acquisti constató que las personas divulgan información cuando ven a otras haciendo lo mismo. Esa tendencia, en su opinión, tal vez explique porque tantas personas se muestran dispuestas a suministrar información personal en Internet.

La información cosechada en esas webs es útil no sólo para los ladrones de identidad, sino también para quienes trabajan en marketing y otros negocios igualmente honestos. A veces, la información puede ser usada para cazar delincuentes, según muestra la investigación llevada a cabo por Shawndra Hill, profesora de Gestión de Operaciones y de la Información de Wharton, junto con Deepak K. Agarwal, Robert Bell y Chris Volinsky, investigadores de AT&T. Hill dice que el patrón de comportamiento en varias redes puede revelar características esenciales del usuario semejantes a huellas dactilares - o quizás huellas dactilares de amigos, - que podrán ser usadas para solucionar una serie de dificultades propias de los negocios, del marketing dirigido a la publicidad o a la detección de fraudes.

El estudio, titulado Construyendo una representación eficaz para redes dinámicas [Building an Effective Representation for Dynamic Networks], tiene su origen en una propuesta de solución de fraude en la industria de telecomunicaciones. Los autores querían identificar los suscriptores del servicio telefónico que dejaban de pagar frecuentemente sus cuentas contratando el servicio mediante seudónimo. El problema no es nuevo. Pero el enfoque del estudio era mostrar de qué forma se podía identificar claramente la firma de la red social del cliente y compararla a las firmas creadas por clientes que habían dejado de pagar la cuenta anteriormente. "Los morosos reincidentes pueden ser identificados a lo largo del tiempo, a pesar de los seudónimos, gracias a su 'firma de red social', según explica el estudio.

"En otras palabras, el consumidor es aquel a quien telefonean, envían un correo electrónico o un mensaje instantáneo", dice Hill. "Aunque no sea difícil entrar usando un seudónimo, es extremadamente difícil cambiar de amigos y de familia". Grandes empresas de telecomunicaciones, proveedores de Internet y webs de redes sociales como MySpace y Facebook disponen de ricos conjuntos de datos que pueden ser consultados para identificar las firmas de red. Hill dice que la técnica está en fase de perfeccionamiento. Su precisión actual es del 95%.

Pero las cuestiones relacionadas con la privacidad son problemas complicados para los profesionales de marketing, que han estado buscando modelos de éxito de publicidad para las redes sociales. De acuerdo con la empresa de investigación eMarketer, el gasto en ese tipo de publicidad será de cerca de US$ 1.290 millones este año, mucho más que el valor previsto de US$ 1.170 millones en 2008. MySpace es dueño del 50% del total de los ingresos. La publicidad en redes sociales corresponde a una pequeña parte de los US$ 25.700 millones que se gastarán en anuncios online en 2009, según datos de eMarketer.

Eric T. Bradlow, profesor de Marketing de Wharton, dice que el mayor objetivo de cualquier profesional del área de marketing es monitorizar el cliente y sus amigos -y lo que dicen acerca de un determinado producto- por medio de las redes sociales. "Las personas se muestran más dispuestas a divulgar información si el objetivo es social, y los principales usuarios están en la franja de los 18 a los 25 años", observa Bradlow. "Los patrones sociales relativos a la privacidad ya no serán los mismos de antes".

Pero según dijo Acquisti, las normas sociales aceptables estarán sujetas al contexto. "Vamos a imaginar que una gestora de tarjetas de crédito tuviera la información que usted colocó en Facebook", dice Bradlow. "Se asustaría. Es el contexto. Las personas quieren determinar cuándo y dónde se pueden compartir los datos".

Fuente: Universia

¿Bing Hacking?

noreply@blogger.com (Raúl) — Mon, 06 Jul 2009 09:31:00 PDT

Hola a tod@s!

En cualquier auditoría informática pueden pedirnos que realicemos tareas de footprinting o “búsqueda de información”.

Una de las técnicas más utilizadas es realizar consultas utilizando la lógica de los buscadores. En función de lo acertada que sea nuestra consulta junto con las limitaciones del propio buscador, unido a la información que los buscadores tengan indexada, así serán los resultados que obtengamos por pantalla.

Para realizar estas tareas, se suelen utilizar las consultas avanzadas que nos ofrecen los buscadores. Para echar un vistazo a las posibles consultas avanzadas que ofrece el nuevo buscador de Spectra “Bing”, se puede consultar estos comandos en el siguiente link.

Llevo un rato jugando con este nuevo buscador, y si siguen optimizando los resultados, podemos encontrarnos con un “buen buscador” para este tipo de tareas. Por ejemplo, he realizado una simple búsqueda de OWA (Outlook Web Access) tanto en Google como en Bing, y aquí están los resultados:

Resultados Bing

Resultados Google

Un problema que le veo a este buscador, es la nula posiblidad de buscar por tipos de ficheros, aunque lo tiene reflejado con la orden “filetype”, los resultados han sido penosos. Tan solo he encontrado resultados para los ficheros pdf y para los doc. No como el buscador de Google, que encuentra ficheros, gracias a una mezcla entre extensiones y tipos de fichero. Esto último ya lo comentó el maligno en su blog. Esto afecta a la forma en que vayamos a realizar algunas consultas. Como ejemplo, pongo dos consultas con el parámetro filetype.

Resultados Bing

Resultados Google

En cambio, si consultamos ficheros del tipo xml, Bing no devuelve ningún tipo de resultado, y Google devuelve algunos Links:

Resultados Bing

Resultados Google

Lo mismo pasa para ficheros con extensión sql, ldif, etc…

En cambio, si buscamos por lo que devuelve el fichero, o la estructura del mismo, la cosa cambia y Bing empieza a devolver resultados. Fijáos en los resultados cuando se busca la cadena “– MySQL dump 10.11″ en ambos buscadores:

Resultados Bing

Resultados Google

En Google, que no en Bing, se puede todavía filtrar más si a la consulta le añadimos la opción filetype:sql. En su contra, hay resultados que deja de mostrar y que sí corresponden a ficheros de tipo sql.

Puede ser que todavía quede un largo camino por recorrer para que Bing sea aceptado en la comunidad, así que me despido con una frase que escuché una vez y me hizo mucha gracia.

El buscador de Spectra busca, y el de Google encuentra.

Esta frase se la escuché a alguien que comparó el antiguo buscador de Spectra (Live) con el de Google.

Según las pruebas que he realizado, he de decir que Bing, al igual que Google, encuentra.

Saludetes!

Fuente: El diario de Juanito

0 day en la librería msvidctl.dll de Microsoft Windows

noreply@blogger.com (Raúl) — Mon, 06 Jul 2009 07:42:00 PDT

Malos momentos para Microsoft. Se acaba de detectar un nuevo 0 day en Windows que está siendo aprovechado activamente. Microsoft no ha reconocido todavía el fallo, pues ha sido "destapado" por terceras partes. El exploit es público, y parece que (como viene siendo habitual) muchas páginas legítimas comprometidas están sirviendo para infectar los sistemas.

El fallo en cuestión es un desbordamiento de memoria intermedia basado en pila en la función 'MPEG2TuneRequest' de la librería msvidctl.dll. Un atacante remoto podría aprovechar esto para ejecutar código arbitrario con los permisos del usuario bajo el que se ejecuta el navegador.

La única contramedida disponible es la activación del kill bit del control. Es posible hacerlo guardando este archivo con extensión .reg y ejecutarlo como administrador:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}]
"Compatibility Flags"=dword:00000400

No se ha confirmado aún a qué versiones de Windows en concreto afecta. La detección del JavaScript que explota el fallo es bastante pobre todavía. Según VirusTotal, solo McAfee, AntiVir, VirusBuster y Microsoft lo reconocen (recordando siempre que esto puede cambiar en un entorno de escritorio). El ejecutable que descarga sí tiene un mejor ratio de detección.

Malos momentos para Microsoft, puesto que acumula dos 0 day sin solución por ahora. A finales de mayo Microsoft reconocía un problema de ejecución de código explotable a través de archivos de QuickTime. En el posterior ciclo de actualizaciones de junio, no solucionó el problema, y tampoco parece que vaya a sacar un parche fuera de ciclo. La diferencia con este nuevo 0 day en msvidct.dll es que en aquel caso, no había información pública sobre cómo aprovecharlo. Esto hace mucho más peligroso este nuevo problema y sin duda hará que Microsoft actúe con mayor celeridad.

Más Información:
http://www.microsoft.com/technet/security/advisory/972890.mspx

29/05/2009 0 day en Microsoft DirectX
http://www.hispasec.com/unaaldia/3870

Autor: Sergio de los Santos
Fuente: Hispasec

Keyloggers

noreply@blogger.com (Raúl) — Mon, 06 Jul 2009 07:17:00 PDT

Hace poco un compañero comentaba en un post la comercialización por internet de USB’s infectados con malware. La realidad es que no paran de surgir nuevas posibilidades de infecciones virus, troyanos, etc.

Dentro de todo este maremágnum de software malicioso, me voy a centrar en los keyloggers, ya que parece que está bastante de moda el uso de los mismos.

Como podemos comprobar ya no sólo son los troyanos los que capturan pulsaciones de teclado con el fin de robar credenciales y cometer fraude posteriormente con los mismos, como es el caso del Mebroot. Troyano que vemos que evoluciona constantemente variando de manera que resulta cada vez más difícil la detección del mismo. Existe también multitud de Spyware (programas espía) que monitorizan toda la actividad que tenemos en nuestro ordenador, y por supuesto, también capturan las pulsaciones dando varias posibilidades, crear archivos de logs con las pulsaciones, enviarlas a un servidor ftp, enviarlas a una cuenta de correo, etc. Lo cierto es que hemos analizado una gran cantidad de keylogers que incluyen este tipo de programas espía, los que aparecen en este <a target=">link y otros tantos más.

Utilizando tanto aplicaciones del mercado, como aplicaciones propias hemos visto que la técnica que más predomina en este tipo de malware son los hooks SetWindowsHookEx. En RING 3 (espacio de usuario) en torno al 80% de las aplicaciones analizadas utiliza ésta técnica SetWindowsHookEx. En RING 0 (espacio del kernel) normalmente acceden a los datos del dispositivo de teclado correspondiente (USB, PS/2). Parece obvio que el porcentaje de keyloggers en RING 0 sea bastante menor pues la programación a este nivel es mucho más compleja.

Es evidente que debemos protegernos de este tipo de malware, para ello tenemos varias opciones:

Programas Antivirus. Normalmente detectan este tipo de malware o bien por firmas o por técnicas heurísticas. Algunos de los programas de monitorización aseguran en sus web que son indetectables con este tipo de programas.

Programas Anti-Keyloggers o Antiespía. La mayoría son similares a los antivirus, es decir necesitamos firmas, y por tanto tener actualizado el programa para detectar los últimos keyloggers.

Programas especializados en la detección de rootkits. Programas que no suelen utilizar firmas, sino que basan su análisis en las estructuras internas del sistema operativo (procesos, drivers, IDT, SDT, etc.) para detectar modificaciones sospechosas, por ejemplo GMER, Rootkit Unhooker, etc.

Lo cierto es que en nuestras pruebas hemos podido constatar que aunque la eficacia de detección en cualquiera de los tipos de programas anteriormente mencionados es alta, no llega a ser del 100%, cosa que es lógica dada la constante evolución del malware.

No debemos olvidar que, a pesar que tengamos actualizados nuestros antivirus, anti-spyware y usemos varias herramientas de detección, la mejor forma de evitar este tipo de infecciones es usar el sentido común.

Autor: Raúl García
Fuente: S21sec e-crime