Archives

.

Compartelo:
0

Capturando gusanos con unidades flash fantasmas

Jesus Bourne 30 de junio de 2012

El desarrollo del Honeypot Ghost USB de Sebastian Pöplau, originalmente desarrollado en la Universidad de Bonn, formará parte ahora del Proyecto Honeynet. El software emula una unidad flash USB insertada en un puerto USB de un sistema Windows y funciona como un cebo para el malware.

Si un sistema es infectado por gusanos como Conficker, Stuxnet o Flame, el gusano se copia a sí mismo dentro de la falsa unidad flash, cayendo en un archivo de imagen utilizado por el Ghost para simular un dispositivo USB por medio del cual puede ser analizado.

La idea es poder correr en segundo plano el software Honeypot en sistemas de producción a intervalos regulares, quizá cuando el usuario está inactivo y el salvapantallas se activa. Si algo se copia a la unidad flash dentro de un periodo de tiempo de aproximadamente 30 segundos, se puede asumir que se ha capturado algún tipo de malware.

Ghost USB actualmente corre solo en Windows XP, aunque el proyecto pretende agregar soporte para Windows 7. La página del proyecto contiene drivers pre-compilados para poder experimentar con ellos. Se requiere de un Windows Driver Kit para poder compilar el código fuente, el cual es software libre bajo licencia de GPLv3.

Fuentes: The H Security

0

Investigadores encuentran huecos de seguridad en plataformas de virtualización


Investigadores descubrieron vulnerabilidades en una serie de plataformas de virtualización que permite a atacantes obtener acceso no autorizado.

Estos huecos pueden explotarse para obtener privilegios elevados localmente y corromper la máquina virtual en software de proveedores como Xen, FreeBSD, Microsoft y RedHat, que se encuentran corriendo en sistemas operativos de 64-bit con procesadores Intel.

El investigador Rafal Wojtczuk de Invisible Things Lab descubrió estas fallas, las cuales permiten a un atacante ring3 colocar una pila de llamadas (stack frame) a ejecutarse por un kernel después de una excepción de protección general.

Jared Allar, especialista en seguridad del US CERT publicó una alerta mencionando que "la falla debe ser manejada antes del switch del stack, lo cual significa que el manejador de excepciones (exception handler) debe correr en un ring0 con el RSP seleccionado por el atacante permitiéndole escalar en privilegios."

Los procesadores VMware y AMD no se ven afectados. Se recomendó a los usuarios aplicar los parches de los proveedores. Para información más a detalle puedes consultar el US CERT advisory.



Fuentes: itnews

0

El auge de las redes zombi en 2012

Jesus Bourne

Hoy en día, las redes zombi constituyen una de las tecnologías más usadas por los ciberdelincuentes. Tal y como se desprende del Informe de Malware del Q1 de Kaspersky Lab. Estas tecnologías han evolucionado en los últimos años y han surgido, por ejemplo, las redes zombi descentralizadas, las móviles y las administradas por medio de las redes sociales, como la de Mac.

En este sentido, 2011 fue un año sin grandes novedades en cuanto a redes zombi, pero todo cambió a principios de 2012.

La bot invisible

En el primer trimestre de 2012 se descubrió una red zombi creada con una nueva tecnología: la bot "sin archivo". Este código malicioso pertenece a una extraña categoría de programas maliciosos que sólo existen en la memoria RAM del ordenador.

El problema se manifestaba en forma de anomalías en las computadoras infectadas que comienzan a enviar peticiones de red tras visitar algunos sitios web populares en Internet y en algunos casos, aparecieron archivos codificados en los discos duros. 

Sin embargo, no aparecía ningún nuevo archivo ejecutable en los discos duros. Un análisis detallado de Kaspersky Lab permitió identificar la cadena completa en la que estaban involucradas las computadoras infectadas que a su vez conformaban la red zombi.

Gracias a los expertos de Kaspersky Lab, del personal de AdFox y de un investigador anónimo, se logró detener la infección. Aunque los procesos maliciosos permanecían en la memoria RAM hasta que el sistema operativo se reiniciaba, la infección se propagó por medio de sitios web conocidos. 

Los ciberdelincuentes podían infectar computadoras a diario, lo que les permitía mantener la población de bots. Es importante destacar que no quedaba virtualmente ningún rastro de la infección o de los datos recogidos en el disco duro de la computadora una vez que se reiniciaba el sistema operativo.

Cuando se usa una bot “sin archivo”, resulta muy difícil identificar las computadoras que componen la red zombi, ya que no aparece ningún archivo ejecutable en el disco duro y los ciberdelincuentes realizan todas sus acciones camuflageándolas como procesos legítimos de Java. Aunque los parches son efectivos contra esta y otras amenazas similares, algunos usuarios no suelen parchar sus equipos de forma regular.

Esto significa que en el futuro podríamos volver a encontrarnos con programas similares maliciosos, aunque ya no a escala masiva ya que es algo bastante sofisticado.

Redes zombi móviles

Los desarrolladores de programas maliciosos para dispositivos móviles se han concentrado en la plataforma Android OS. En el primer trimestre de 2012, se detectaron más de 5 milprogramas maliciosos para esta plataforma. La cantidad total de programas maliciosos dirigidos a Android se ha multiplicado por nueve durante el último semestre.

Cantidad de modificaciones de programas maliciosos para Android OS

Los autores chinos y rusos de programas maliciosos son los que muestran mayor interés por la plataforma Android. Los autores chinos se las han ingeniado para crear una red zombi de 10 mil a 30 mil dispositivos activos, y la cantidad total de smartphones infectados llega a los cientos de miles.

Esta red zombi se creó con el (troyano) RootSmart, que posee una extensa funcionalidad relacionada con el control remoto de dispositivos y se propaga mediante un método probado: sus autores han paquetizado un programa legítimo y lo han subido al sitio web de una tienda no oficial de aplicaciones para Android que es muy popular en China. Como resultado, los usuarios que descargaron el programa para configurar sus dispositivos también recibieron el troyano que los capturó para la red zombi.

El alcance que ha tenido la infección causada por RootSmart significa que los ciberdelincuentes han logrado lucrarse con la red zombi de dispositivos móviles. Eligieron el método más popular entre los ciberdelincuentes dedicados a los dispositivos móviles: el envío de mensajes SMS de pago a números comerciales. 

Pero, ¿para qué hacerse con el control total del dispositivo si la principal función de la bot es enviar mensajes SMS de pago? Es sencillo, el control total les permite ocultar la presencia del programa malicioso en el dispositivo por mucho tiempo, lo que a su vez les permite tomar el dinero de la cuenta de los usuarios también por más tiempo.

Red zombi de Mac

Otra red zombi que llamó la atención de los expertos en el primer trimestre de 2012 fue la implementada en ordenadores Mac OS X.

Las primeras versiones de Flashfake aparecieron en otoño. Los desarrolladores del programa malicioso tomaron algunas medidas para dificultar su detección (se aseguraron de que el troyano no se instalara en computadoras que contaran con soluciones antivirus, diseñaron bots para que desactivaran las actualizaciones del sistema de seguridad incorporado en el sistema Mac OS X, Xprotect, etc.).

Después, vimos que los cibercriminales experimentaron con nuevas formas de controlar sus redes zombi. Por ejemplo, algunas versiones de Flashfake usaban cuentas de Twitter creadas por los ciberdelincuentes como servidores de comando.

El principal objetivo de una bot era descargar y ejecutar módulos adicionales sin que el usuario se diera cuenta. Los ciberdelincuentes ganaban dinero por la generación de falsos resultados en los motores de búsqueda y se diseñó un módulo adicional para sustituir los enlaces en los resultados de las búsquedas más populares.

El creciente interés de los cibercriminales por la plataforma Apple queda confirmado con las estadísticas de Kaspersky Lab sobre detecciones de nuevas versiones de programas maliciosos dirigidas contra Mac OS X:

Cantidad de nuevos registros de programas maliciosos para Mac OS X añadidos a las bases de datos antivirus de Kaspersky Lab.

Fuentes: PC World





0

Descubren una manera para vulnerar tokens criptográficos


Los tokens criptográficos son un tipo de dispositivo informático muy extendido para la protección de determinados datos y sobre todo para la identificación de usuarios. Se trata de un mecanismo de seguridad muy utilizado en empresas, enfocado a la identificación de los trabajadores. 

Los tokens se desarrollan en forma de tarjeta de acceso o de llave que permite almacenar y presentar contenidos con más seguridad. 

Pese a que los tokens criptográficos destacan por los altos niveles de seguridad que prometen, investigadores de seguridad han encontrado una fórmula para vulnerar algunos modelos. 

De esta manera, los investigadores han descubierto que pueden acceder a la información contenida en determinados token con un proceso que dura alrededor de 15 minutos. Según Infosecurity, los investigadores responsables tienen intención de explicar su descubrimiento en el evento Crypto 2012, que se celebrará en agosto. 

Entre los token que aseguran que son vulnerables están modelos como RSA SecurID 800, Feitan ePass 2000 y 3003 o Siemens CardOS entre otros. Según los investigadores, pueden acceder a información de credenciales almacenada en dichos tokens, comprometiendo su seguridad. 

Teniendo en cuenta que estos dispositivos se usan para proteger dichas credenciales, el problema podría ser considerado como grave. 

Por su parte, por el momento solo hay reacciones de RSA, que ha cuestionado que el sistema identificado por los investigadores sea tan efectivo como defienden. Cuando en agosto se presente en Crypto 2012 todo el proceso se podrá determinar el grado de efectividad real y las implicaciones del anuncio de los investigadores.




Fuentes : Computer World

1

Cierran huecos críticos en las actualizaciones de seguridad de junio de Microsoft

Jesus Bourne 28 de junio de 2012

Microsoft ha liberado siete boletines de seguridad que reparan un total de 27 huecos, 13 de ellos en Internet Explorer. El resto de los parches afectan todas las versiones actuales de Windows, el Framework .NET, Escritorio remoto, Lync y Dynamics AX. Se anunció un parche para aplicaciones de Visual Basic próximo a lanzarse.

La actualizaciones más importantes están incluidas en el grupo (MS12-037), que incluye correcciones para los huecos que fueron blanco del exploit Pwn20wn. Microsoft es la última de las compañías en cerrar los huecos expuestos que fueron blanco durante la competencia de Pwn20wn; Google y Mozilla corrigieron sus navegadores en marzo.

'De acuerdo con Michael Kranawetter, el consejero de seguridad de Microsoft de Alemania, la actualización de Internet Explorer también afecta a Windows 8 y por lo tanto también al Explorer 10.

Otra actualización urgente es la MS12-036, que se relaciona a la negación de servicio y vulnerabilidades de ejecución remota de código en las características del escritorio remoto integradas en todas las versiones soportadas de Windows. 

La tercera actualización crítica afecta el framework .NET (MS12-038). Las 4 actualizaciones restantes son calificadas como “importantes” por Microsoft y cierran huecos de ejecución de código en Lync y los huecos de escalación de privilegios en Dinamics AX y Windows.

No hay actualizaciones liberadas hasta el momento para los huecos en los servicios XML de Microsoft que pueden ser dirigidos a través de Internet Explorer y documentos de Office. La vulnerabilidad afecta todas las versiones de Windows.

Microsoft ha publicado un aviso de seguridad y recomienda que los usuarios implementen una solución “Fix it” hasta que un parche esté disponible. Google informó a Microsoft, el 30 de mayo, que este hueco de seguridad está siendo activamente explotado para atacar sistemas operativos de Windows.



Fuente: H Security

0

Miles de cuentas de Twitter expuestas ante hackeo de TweetGif

Jesus Bourne

Parte de la base de datos que contiene credenciales de acceso de más de 8 mil cuentas de Twitter, aparentemente obtenidas por el servicio de hosting de imágenes TweetGif, están actualmente circulando en línea. El extracto contiene tokens de acceso y datos asociados a los tokens que pueden ser usados para ingresar a las cuentas de Twitter.

Los usuarios ingresan al proveedor TweetGif por medio de su cuenta de Twitter, después Twitter provee a TweetGif de acceso por token. Este token otorga acceso permanente a TweetGif para la cuenta de usuario de Twitter sin que éste tenga que pedir acceso cada vez que desee ingresar.

El token permanece válido incluso si la contraseña de la cuenta cambia. Como medida de precaución, se recomienda a cualquiera que ha usado TweetGif alguna vez  revocar el acceso al servicio. Lo puede realizar en Configuracción/Aplicaciones de Twitter.com.

El grupo de hackers LulzsecReborn fue también el responsable de la publicación de información de MilitarySingles.com, un sitio de citas en linea y del proveedor de servicios de seguridad CSS Corp a principios del año.


Fuente: H Security

0

Correo falso de Amazon lleva a kit de exploits

Jesus Bourne 27 de junio de 2012

Confirmaciones de pedido falsas de Amazon atacan bandejas de entrada de correos, en un intento de engañar a usuarios para hacerlo caer en alguna de las ligas que distribuyen el kit de exploits Blackhole.

El correo (mostrado en la imagen) es bastante similar a uno de compra legítimo.


El único detalle que resalta a primera vista es que se incluyen múltiples destinatarios en el campo "Para:" y además, el correo está dirigido al primer destinatario.

"Todos los enlaces en el cuerpo del correo conducen a los usuarios a una página HTML hospedada en varios dominios de Wordpress legítimos, pero que han sido comprometidos," advierte Jovi Umawing de la firma de seguridad GFI, quien además indica que los enlaces tienden a ser cambiados constantemente.

La supuesta página simula que el usuario debe esperar a que se cargue la información sobre la compra realizada. En ese tiempo de espera, un código JavaScript se ejecuta y carga una página oculta, la cual redirecciona al usuario a otro sitio en donde se aloja el kit de exploits. 
 
El kit Blackhole verifica si el usuario cuenta con Adobe Reader o Adobe Flash en sus sistema para después implementar dos exploits que se aprovechan de una vulnerabilidad de Flash Player, Adobe Acrobat Reader y del Centro de Asistencia y Ayuda local de Microsoft para poder adueñarse del sistema y poder descargar malware dentro del mismo.

Se hace el recordatorio a los usuarios de mantener todo su software actualizado para poder así prevenir la ejecución de exploits. Los kits exploits usualmente no funcionan con las versiones más recientes.

Fuente: Help Net Security 

0

Códigos compartidos indican que creadores de Flame y Stuxnet trabajaron juntos

Jesus Bourne
Investigadores de Kaspersky Lab dicen que el mismo código se comparte en las dos amenazas, y que hubo un exploit en Stuxnet que no se conocía.


Una sección de código común entre ambas amenazas reveló que los desarrolladores de Stuxnet y del malware Flame compartieron su trabajo, comentan el día de hoy los investigadores de Kaspersky Lab.

Había dos equipos independientes, Flame precedía en desarrollo a Stuxnet y cada equipo desarrolló su propia plataforma de código desde 2007-2008 como máximo, dijeron los investigadores en un programa de la conferencia de prensa web (pero no se registran). Ambos proyectos fueron patrocinados por el Estado, creen los expertos.

Por otra parte, Stuxnet A - una variante temprana del malware – incluye un previo descubrimiento de un exploit  de elevación de privilegios de Windows. Los expertos creen que el malware fue desarrollado para sabotear el programa nuclear de Irán, dijo a los periodistas Roel Schouwenberg, investigador senior de  Kaspersky Lab.

"Tenemos una nuevo día cero", dijo refiriéndose a un ataque que aprovecha una vulnerabilidad previamente desconocida y sin parches. "Fue un día cero desde el momento de su creación y lo más probable es que también en el momento de la implementación."

Eso eleva a cinco el número de exploits de día cero utilizados por Stuxnet. El exploit, creado en febrero de 2009 es "sorprendentemente similar" a uno parchado por Microsoft en junio de 2009, dicen los investigadores.

Stuxnet.A, que data de junio de 2009, contiene un módulo denominado "Recurso 207", un cifrado de archivos de una biblioteca de vínculos dinámicos con un archivo ejecutable que comparte el código con Flame, comentan los investigadores de Kaspersky.

El recurso 207 no estaba en Stuxnet B, que salió en 2010. La función principal del código de Stuxnet es la distribución de la infección de una máquina a otra a través de unidades extraíbles USB y para explotar una vulnerabilidad en el kernel de Windows para obtener mayores privilegios del sistema, de acuerdo con un comunicado de la prensa de Kaspersky.

El código responsable de la difusión del malware a través de los controladores de dispositivos USB es idéntico al utilizado en Flame, comentaron los investigadores. Ambos usan la función AutoRun de Windows.

Inicialmente, los investigadores de Kaspersky especularon sobre los proyectos se desarrollaron en paralelo, pero no se decidían en la conclusión de si se han desarrollado o han sido encargados por la misma organización. Ahora han establecido un vínculo más definido y la historia es un poco más clara.

Creemos firmemente que la plataforma de Flame es anterior a la plataforma de Stuxnet. Parece que la plataforma de Flame fue un pedal de arranque para el proyecto de Stuxnet", dijo Schouwenberg. 

"Las operaciones fueron por caminos separados, tal vez porque el código de Stuxnet era lo suficientemente maduro para ser desplegado en ese momento. Ahora estamos 100 por ciento seguros de que el Stuxnet y los grupos de Flame trabajaron juntos."

Sin embargo, Alexander Gostev, experto y jefe de seguridad de Kaspersky Lab, tuvo la precaución de poner de relieve las diferencias entre Flame y Stuxnet, cuya arquitectura se conoce como la "plataforma Tilded". 

"A pesar de los hechos recién descubiertos, estamos seguros de que Fame y Tilded son plataformas completamente diferentes, que se utilizan para desarrollar múltiples ciber-armas", dijo en el comunicado de prensa.

Continuó:

Cada uno tiene diferentes arquitecturas, con sus propios y únicos trucos que se utilizaron para infectar los sistemas y ejecutar las tareas primarias. Los proyectos eran de hecho separados e independientes el uno del otro. 

Sin embargo, los nuevos hallazgos revelan cómo los equipos compartieron el código fuente de al menos un módulo en las primeras etapas de desarrollo de ambos, lo que demuestra que ambos grupos cooperaron al menos una vez. Lo que hemos encontrado es una evidencia muy fuerte de que las armas cibernéticas Stuxnet / Duqu y Flame están conectados.

A pesar de que Stuxnet tiene como objetivo instalaciones industriales, también infectó PCs ordinarias y como resultado fue descubierto en junio de 2010, un año después de que la versión más antigua fue creada, segun se creé.

En septiembre de 2011 llegó Duqu, que tiene un código idéntico al de Stuxnet, pero que parecía diseñado para el espionaje cibernético, en lugar de sabotaje. Flame fue descubierto el mes pasado.

Al igual que Stuxnet, Flame ha resultado ser complejo. Sus creadores usaron nombres de dominio registrados con nombres falsos para comunicarse con las computadoras infectadas en el  Medio Oriente, por lo menos durante cuatro años.

Flame fue capaz de extenderse a nuevas redes mediante el uso de un falso certificado digital de Microsoft, una técnica usada por Stuxnet. Utilizando un sofisticado método de ataque criptográfico. Después de que Flame fue expuesto, sus creadores iniciaron un programa de auto-destrucción en un intento de hacer desaparecer el malware.

En un artículo publicado a principios de este mes, el reportero David Sanger del New Yorke Times confirmó arraigadas sospechas de que EUA estaba detrás de Stuxnet y Flame.

Sanger, citando fuentes anónimas del gobierno de Estados Unidos, escribió que Stuxnet fue desarrollado por EUA, posiblemente con la ayuda de Israel, como una manera de anticiparse a un ataque militar contra Irán por su programa nuclear. Israel ha negado su participación respecto a Stuxnet y  Flame, mientras que EUA no ha marcado distancia.

Aquí se muestra un resumen de los últimos hallazgos Kaspersky Lab:

En el momento en que Stuxnet fue creado (en enero-junio de 2009), la plataforma de Flame ya existía (actualmente marcamos la fecha de creación como el verano de 2008) y ya tenían una estructura modular.

El código de Stuxnet de 2009 utilizó un módulo construido en la plataforma de Flame, probablemente creado específicamente para operar como parte de Stuxnet.

El módulo fue removido de Stuxnet en 2012, debido a la adición de un nuevo método de propagación (la vulnerabilidad MS10-046) en lugar de la "vieja" autorun.inf.

El módulo de Flame en Stuxnet explota una vulnerabilidad que no se conocía en ese momento, un verdadero día cero. Esto permitió una escalada de privilegios en Windows, posiblemente el exploit MS09-025.

Después de 2009, la evolución de la plataforma de Flame continuó de manera independiente a Stuxnet.

Kaspersky analiza los detalles de sus descubrimientos en un blog del día de hoy.

Fuente: Cnet News 

0

Flame recibe orden suicida

Jesus Bourne 24 de junio de 2012

Los autores del malware Flame reaccionaron a la reciente publicidad alrededor del ataque enviando un comando de autodestrucción.

De acuerdo con Symantec, algunas de las máquinas que controlan el programa han enviado un comando diseñado para 'borrar' el malware Flame de equipos comprometidos.

El comando al que Symantec ha nombrado 'urgent suicide' fue capturado en los honeypots (desde que una computadora ordinaria habría removido el malware sin que el usuario lo notara).

EL servidor C&C envío un archivo llamado browse32.ocx el cual actua como desinstalador de Flame, junto con una lista de archivos y folders para ser eliminados.

Luego de la eliminación, el módulo sobreescribe el disco con caracteres aleatorios. Como Symantec descubrió, el desinstalador "trata de no dejar rastro de la infección" con la finalidad de frustrar intentos de capturar o analizar el malware.

El módulo está configurado para eliminar más de 160 archivos y cuatro folders. Symantec menciona que Flame incluye un módulo de autodestrucción desde su origen y no sabe la razón del porqué un nuevo módulo suicida fue lanzado.

"La versión del módulo que tenemosse se creó el 9 de mayo de 2012, " remarca la publicación de Symantec, "solo unas semanas" antes de que el malware fuera conocido.


Fuente: the Register

0

Flame: ONU llama a la cooperación para prevenir ciberguerra global

Jesus Bourne
ONU presiona a las naciones en búsca de una “resolución pacífica” en el ciberespacio para prevenir una guerra cibernética global.


Los comentarios del jefe de la Agencia de Telecomunicaciones de las Naciones Unidas llegan una semana después de que se descubrió a Flame, uno de los ataques electrónicos más complejos hasta la fecha.

El Dr. Hamadoun Toure dijo a la BBC que no sospecha de EUA como uno de los autores del ataque. Añadió que se está proveyendo ayuda a países en vías de desarrollo para que puedan defenderse más adecuadamente contra este tipo de amenazas.

En su primer entrevista pública desde el descubrimiento de los ataques, el Dr. Toure dijo que la Unión Internacional de Telecomunicaciones (ITU, por sus siglas en inglés), que coordina la cooperación de infraestructuras de comunicación alrededor del mundo, ha estado dando seguimiento a Flame desde mayo. 

Dijo también que no considera a Flame como un acto de guerra cibernética."No ha alcanzado ese nivel aun ,ya que lo detectamos a tiempo",agrego.

Cuando se le cuestionó acerca de la posible fuente del ataque, dijo que "todas las pistas apuntan a que Flame ha sido creado por un Estado-nación, eso queda claro," añadiendo que "la ITU no está obligada a emitir un juicio sobre quién es responsable. Nuestro rol es trabajar con nuestros socios para fomentar una mejor cooperación."

Sin embargo, el Dr. Toure dijo que ha comentado la situación directamente con algunos países, agregando sin embargo que "no sospecho que EUA esté detrás de esto." Dijo que los reportes de los medios involucrando a los Estados Unidos en el desarrollo de Stuxnet, otro gran ataque descubierto en junio de 2010, son "especulaciones".

Eslabones débiles

Toure comentó a la BBC que es importante que los Estados miembros de la ONU trabajen en conjunto para defenderse a sí mismos contra las amenazas emergentes. "Existe un riesgo de ciberguerra, riesgo innecesario. Es lo que estamos tratando de hacer: prevenir.

Estamos diciendo que la mejor manera de ganar una guerra es evitándola." Agregó: "Como las Naciones Unidas, por supuesto que estamos interesados en asegurar una resolución pacífica al respecto".

Refiriéndose a la ITU, comenta que "es nuestro rol coordinar los esfuerzos internacionales, no solo compartir conocimiento, sino también entrenar personal, especialmente de naciones en desarrollo, porque queremos evitar que un país se convierta en el eslabón débil de todo el proceso.

Por lo tanto, estamos tratando de que exista un esfuerzo global por mantener al ciberespacio libre de política, ideologías, y sobre todo de criminales." 

Reconoció que los gobiernos se enfrentan a un reto al tratar de garantizar la seguridad de sus ciudadanos y, al mismo tiempo, conservar su libertad en línea, algo que el Dr.Toure considera un "derecho fundamental."Añadió que "existe una delgada línea entre seguridad y libertad.

Algunas personas tratan de oponérseles. Nosotros decimos 'no, queremos ambos'. No puedes ser libre si no te encuentras seguro. No puedes tener privacidad sin seguridad, por eso queremos que existan ambas."

Actualmente continúan los esfuerzos por establecer la fuente y la extensión completa del ataque de Flame.
Kaspersky Labs, una de las compañías que reveló el malware por primera vez, dijo esta semana que el ataque buscaba principalmente el robo de documentos técnicos de Irán.



Fuente: BBC News 

0

Google anuncia sistema de alerta de ciberataques respaldados por Estados


La empresa contará con un sistema de alerta que se encargará de avisar a sus usuarios cuando puedan estar bajo la amenaza de un ataque respaldado por un Estado, como sucedió recientemente con el virus Stuxnet. No solamente alertará del posible ataque, sino que también indicará de qué país proviene.

Google ha anunciado que comenzará a alertar a sus usuarios de posibles ciberataques apoyados por diferentes Estados del mundo y que comprometan su información personal. 

Desde la empresa aseguran que cuentan con las herramientas apropiadas para reconocer dichos ataques y que es parte de sus obligaciones alertar a sus usuarios.

Hoy en día, los internautas debemos estar alerta de ataques provenientes de hackers, cibercriminales y activistas de todo el planeta. A estas amenazas tenemos que sumar los posibles ataques respaldados por algunos gobiernos, debido a la creciente tensión entre países.

La nueva función que Google anuncia se encargará de alertar a sus usuarios de estos posibles ataques y busca generar conciencia de la importancia de tomar medidas de seguridad.

Hace unas semanas  se hizo pública la noticia de que el famoso el complejo malware Flame, que fue encontrado en semanas anteriores en numerosos sistemas del medio oriente y alrededores, tardará meses, si no es que años, en poder ser analizado. Esto abre una gran incógnita referente a las posibles amenazas para los navegantes de Internet.

El sistema que plantea el buscador emitirá mensajes advirtiendo de la posibilidad de que las cuentas de sus usuarios sean comprometidas. De acuerdo a un comunicado publicado recientemente por la compañía, el servicio lleva un tiempo desarrollado pero no había sido puesto en práctica por motivos de seguridad.

Al mismo tiempo las autoridades de Google han aconsejado a los internautas que, de obtener alguno de dichos mensajes, tomen precauciones de manera automática.

Entre las medidas recomendadas se incluye el cambio de contraseña, un punto de actualidad tras el robo de millones de passwords de cuentas de LinkedIn.

En cuanto a la tecnología utilizada para detectar amenazas provenientes de diferentes países, Google no ha querido dar mayor información con la única finalidad de proteger su funcionamiento y reducir su índice de vulnerabilidad.

Fuentes: Eset Uruguay

0

El ataque HULK DDoS en una computadora es fácil de frustrar

Jesus Bourne

Expertos en seguridad restan importancia a la nueva herramienta de ataque de negación de servicio (DoS).

El programa "HTTP Unbearable Load King",  mejor conocido como HULK, fue desarrollado por un investigador de seguridad en redes, quien la compartió en su blog mediante una prueba de concepto de cómo derribar servidores web sin mucho esfuerzo. No obstante, existe preocupación de que algunos utilicen el programa con propósitos maliciosos.

Barry Shteiman, el desarrollador del script python de HULK, fue capaz de hacer que un servidor web Microsoft IIS 7 "cayera de rodillas" en menos de un minuto utilizando la herramienta desde un solo equipo.
Neal Quinn, Jefe de operaciones de la compañía de defensa DoS, Prolexic, comentó: "Hemos probado la herramienta internamente y funciona.

Lo que hace peligrosa a HULK es el hecho de que un solo individuo con una computadora cualquiera puede derribar un pequeño servidor sin las correctas configuraciones de seguridad, en cuestión de minutos".

HULK realiza la carga de hilos de ejecución para lanzar una "inundación" de peticiónes HTTP GET con valores de encabezados y parametros URL aleatorios. Esta asignación aleatoria hace más difícil distinguir entre el tráfico generado por el ataque y el tráfico legítimo. Sin embargo, neutralizar la herramienta no es realmente difícil, de acuerdo a Prolexic.

"Afortunadamente, no se trata de una herramienta DoS muy compleja", añadió Neal Quinn. "Fuimos capaces rápidamente de entender su funcionamiento y neutralizarla completamente. 

Es bastante sencillo detener ataques de HULK y contrarrestar esta vulnerabilidad con las configuraciones y reglas apropiadas".

Prolexic ha agregado reglas a sus herramientas de mitigación de ataques distribuidos DoS, para proteger contra posibles ataques que utilicen la técnica HULK, como se explica aquí.



Fuente: The Register 

0

Gusano Stuxnet podría dar un giro

Jesus Bourne 22 de junio de 2012

Al parecer EUA tuvo mucho que ver en la creación del gusano Stuxnet, diseñado para frustrar las ambiciones nucleares de Irán. Uno de los puntos que preocupan respecto a estas estrategias de guerra cibernética es el control.

“El reto de controlar el aumento a través del tiempo, ya que muchas variables de malware cambian constantemente y se encuentran fuera del área de control de los escritores de malware,” dijo Andrew Storms de nCircle.

En 2010, investigadores de seguridad en TI se percataron de un nuevo virus que saltaba de un país a otro a través de Internet. Lo denominaron "Stuxnet" y lo incluyeron entre la infinidad de gusanos que son liberados cada año.

En un punto clave, sin embargo, Stuxnet resultó ser un poco diferente: Según se informa, fue creado por los gobiernos de Estados Unidos e Israel como parte de un ataque sistémico contra el enriquecimiento de las instalaciones nucleares de Irán.

Los orígenes de Stuxnet fueron ampliamente divulgados hasta la semana pasada, cuando The New York Times publicó un artículo describiendo el programa de armas cibernéticas de los Estados Unidos, basado en el libro próximo a publicarse: Confrontar y Conciliar: Las guerras secretas de Obama y el sorpresivo uso del poder americano (Confront and Conceal: Obama's Secret Wars and Surprising Use of American Power), escrito por David Sanger.

Cuando Stuxnet logró salir a un entorno abierto en vez de permanecer confinado a su objetivo designado, la administración de Obama consideró detener el programa, de acuerdo con el escrito. Sin embargo continuaba causando daños a las operaciones de las instalaciones iraníes, por lo que la administración decidió continuar con su ataque cibernético.

Este reporte del ataque de los Estados Unidos a Irán es relevante. EUA apenas ha admitido que desarrolla armas cibernéticas, pero nunca se había tenido conocimiento de su uso. Ahora, el libro de Sanger sugiere que Stuxnet es parte de una operación más grande, y seguramente se convertirá un punto importante en la diplomacia internacional.

De hecho, Rusia ha estado impulsando el tema de la prohibición de la guerra cibernética desde hace algún tiempo, pero con poco éxito, en gran parte porque ha tenido pocas pruebas de que dichas operaciones eran llevadas a cabo.La Casa Blanca no respondió a la petición para comentar al respecto para este articulo.

El argumento en contra

En resumen, es probable que haya una reacción negativa como resultado de esta divulgación, no solo alrededor del mundo, sino también en los Estados Unidos. Para empezar, no está claro si las aspiraciones nucleares de Irán quedaron permanentemente deshabilitadas por el gusano informático.

Supuestamente, el país ha cesado su programa de armas nucleares, pero ha habido sospechas de que tienen suficiente material intacto para reiniciarlo.

Otro inconveniente de la ciberguerra es que este tipo de armas pueden convertirse en ataques al interior, es decir, que se salgan de control y perjudiquen la infraestructura informática de EUA o de sus aliados.

Es complicado

Este razonamiento, sin embargo es demasiado simplista, sobre todo cuando la información acerca del tema es escasa, dijo Andrew Storms, Director de Operaciones de Seguridad en nCircle.

"Les guste o no, los ataques cibernéticos son la nueva cara de la guerra moderna y eso cambia todo",  dijo para TechNewsWorld.

"La naturaleza técnica y secreta de la guerra de la información hace que sea casi imposible evaluar el impacto y las ramificaciones de Stuxnet y otros ataques cibernéticos patrocinados por naciones," dijo Storms. "Simplemente no tenemos acceso a tanta información."

Es importante señalar que algunas de las personas que hacen afirmaciones de que Estados Unidos "perdió el control" y fue "ingenuo" tienen sus propios intereses, dijo para TechNewsWorld, Phil Lieberman, CEO de Software Liebeman.

Muchas de esas afirmaciones han sido hechas por "expertos en seguridad" independientes con la intención de promover su reputación en lugar de sopesar los pros y contras de la estrategia, dijo.
"A fin de cuentas, esta fue una estrategia bien pensada con un claro entendimiento acerca de genios saliendo de botellas mágicas," remarcó Lieberman.

"Se deber considerar que todas las otras soluciones kinéticas tienen profundas y serias consecuencias y efectividad limitada," continuó. "Aquellos que cuestionan la estrategia tienen una vista muy limitada del mundo e incluso de la seguridad de las poblaciones occidentales e intereses occidentales del mundo."

El problema con la contención

La contención es claramente un problema, aún si los desarrolladores de virus (ej. El gobierno de los Estados Unidos) trataran con esfuerzo de evitar el daño colateral, señaló Storms.

"El control del malware es probablemente el reto técnico más importante, y es también el más complicado," explicó. "El reto del control aumenta con el tiempo, porque hay tantas variantes de malware que están constantemente cambiando y están fuera del control de los desarrolladores de malware".

¿Un problema de libertades civiles?

Hay otra forma en la que los virus pueden salírse de las manos, sugirió Leonid Shtilman, CEO de la compañía Viewfinity: si caen en las manos equivocadas, pueden ser usados para espiar ciudadanos y establecimientos.

"Es difícil creer que la gente que desarrolla los virus tengan una solución a prueba de balas para confinar el objetivo," dijo para TechNewsWorld. "Parece muy difícil si no es que imposible protegerse contra este virus en suelo de Estados Unidos, y usarlo para obtener inteligencia solamente en un país foráneo"



Fuente: TechNewsWorld 

0

Flame firmado con un certificado de Microsoft falso

Jesus Bourne 20 de junio de 2012

Según la investigación reciente de Microsoft, estos certificados digitales no autorizados permitían a los autores de Flame hacer pasar al gusano por componentes legítimos de Windows. La compañía ya liberó un parche de emergencia a través del servicio Windows Update para bloquear los certificados que utiliza Flame.

Mike Reavey, Director General del Centro de Respuesta de Seguridad de Microsoft (MSRC), menciona que el código malicioso fue firmado utilizando una Terminal del Servidor del Servicio de Licencias, la cual se utiliza por clientes corporativos para autorizar servicios de escritorio remoto.

Reavey no provee detalles específicos de cómo los desarrolladores de Flame fueron capaces de firmar su código con tales certificados, pero si menciona que se relaciona con la explotación de una vulnerabilidad en 'un viejo algoritmo de cifrado'.

Esto pudo significar que la Autoridad Certificadora de Microsoft (Microsoft Certificate Authority CA) utilizó el algoritmo MD5, que ahora es considerado como inseguro, para firmar estos certificados. Por medio de colisiones de hash, un atacante puede crear un certificado fraudulento que tenga el mismo hash MD5 como el del Certificado Oficial de Microsoft.

El atacante puede entonces usar un segundo certificado para firmar el código que será aceptado como proveniente del mismo Microsoft debido a la coincidencia del hash. “La Terminal del Servidor del Servicio de Licencias ya no expide certificados que permitan firmar los códigos” añadió Reavey.

En total, tres certificados fueron afectados, estos incluyen dos licencias forzadas "Microsoft Intermediate PCA", certificados expedidos por la "Entidad emisora raíz de Microsoft" y uno de "Licencia Forzada de Autoridad de Registro Microsoft CA (SHA1)" certificado de la "Entidad Emisora de Certificados Raíz de Microsoft". 

El parche de emergencia emitida por Microsoft para todas las versiones compatibles de Windows traslada estos para el Almacén de certificados que no son de confianza, bloqueando el software firmado por los certificados no autorizados.



Fuente: The H security 

0

Un error de puerta trasera en chip militar pone en duda la seguridad nacional


Un defecto de hardware encontrado en un chip de silicio manufacturado en China y utilizado por el gobierno de Estados Unidos podría ofrecer formas de manipular aplicaciones sensibles relacionadas con seguridad nacional, dicen los expertos.

Investigadores de la Universidad de Cambridge en el Reino Unido encontraron un punto de acceso secreto en un arreglo de compuertas de campos programables (Field Programmable Gate Array, por sus siglas en inglés FPGA), en un dispositivo semiconductor que puede ser configurado por los usuarios para agregar alguna funcionalidades personalizadas.     


Un investigador de Google explica que el chip en cuestión, el Actel ProASIC3 (AP3), fabricado por Microsemi en California, era utilizado por la industria militar y algunas otras en aplicaciones sensibles, incluyendo armas, controles de vuelo, distribución de energía y plantas de energía nuclear, según un estudio publicado por investigadores de la universidad.

“Este acceso de puerta trasera podría convertirse en una avanzada arma Stuxnet para atacar potencialmente a millones de sistemas,” escribió el martes en su blog Sergei Skorobogatov, investigador de la Universidad de Cambridge y co-autor del estudio. “La escala y rango de los posibles ataques tiene grandes implicaciones para la seguridad nacional y su infraestructura pública.”

De acuerdo con el estudio, mientras las vulnerabilidades de software pueden ser fácilmente neutralizadas utilizando un parche, los defectos de hardware no son tan sencillos de corregir, además de ser mucho más costosos.

“Si el hardware tiene una vulnerabilidad, entonces toda la energía en defensa a nivel de software es vulnerable,” escribió. “Debe hacerse un esfuerzo por una estrategia más amplia para defender y detectar vulnerabilidades a nivel de hardware.”

Aunque el estudio alude que la puerta trasera fue implementada intencionalmente, no hay evidencia del intento malicioso, escribió en su blog Robert Graham, CEO de Errata Security.

A pesar de que no se niega haber encontrado el error de puerta trasera en el chip, Graham cita en el estudio numeroso huecos, incluyendo el hecho de que solamente se trate de especulación y no haya indicios reales que aludan a espionaje cibernético chino.

"Los chinos pudieron haber realizado el FPGA para hacer posible en un futuro el robo de la propiedad intelectual escrita en los chips, pero la idea del defecto de hardware intencional para atacar a la milicia de los Estados Unidos es bastante irreal", publicó.   

Fuente: SC Magazine 

0

El gusano espía Flame podría tardar años en desaparecer

Análisis: El complejo malware Flame, que fue encontrado en semanas anteriores en numerosos sistemas del medio oriente y alrededores, tardará meses, si no es que años, en poder ser analizado.

Indagaciones previas sugieren que Flame es un conjunto de herramientas de ciberespionaje que ha infectado computadoras principalmente en Irán e Israel, aunque no de forma exclusiva. Probablemente el gusano haya estado circulando por al menos dos años (quizás mucho más) pero se tuvo noticias de él hace unas semanas, en una serie de anuncios de grupos de seguridad y compañías de soluciones antivirus.

El Equipo de Respuesta a Incidentes de Cómputo Nacional de Irán (Irán CERT) publicó una advertencia acerca de un virus que roba información, prometiendo un antídoto: hasta ahora el malware ha evadido completamente la detección de soluciones antivirus comerciales.

Investigadores iranís describieron similitudes con el malware de Stuxnet, el famoso y bien diseñado gusano que saboteó sistemas de control industriales vinculados al controversial programa nuclear de Irán.

Kaspersky Lab dijo que la Unión Internacional de Telecomunicaciones de la ONU había emitido una alerta sobre Flame y le pidió ayuda en el análisis del malware, que se creía borraba información de computadoras del Este Medio. Kaspersky anunció que este virus espía se ha estado expandiendo desde marzo de  2010.

Sin embargo, investigadores de seguridad húngaros del Laboratorio de Criptografía y Seguridad en Sistemas (CrySyS por sus siglas en inglés) teme que el gusano Flame haya estado activo desde hace cinco u ocho años.

El laboratorio con sede en Budapest ha publicado un análisis preliminar del malware al cual habían llamado sKyWIper – El laboratorio CrySyS descubrió que la complicada pieza de software malicioso que arduamente habían estado analizando por semanas era claramente una versión previa de Flame.

Desde entonces otras compañías de seguridad han estado haciendo sus observaciones y análisis previos; entre confusiones, otros investigadores han nombrado a la amenaza Viper o Flamer.

Se cree que Flame es la amenaza de malware más elaborada que se haya descubierto hasta ahora. El equipo Húngaro conluye que el malware fue desarrollado por algún gobierno o nación con una inversión monetaria muy grande, además de mucho esfuerzo y que podría estar relacionado a actividades de guerra cibernética.

Cómo se propaga Flame

El virus de 20MB compromete equipos Windows mientras de forma sigilosa se instala a sí mismo antes de robar datos y contraseñas, tomando capturas de pantallas y encendiendo el micrófono de forma inadvertida para grabar conversaciones de audio. El malware instala una puerta trasera y abre canales cifrados a servidores de comando y control (C&C) usando protocolos SSL.

Flame comparte algunas características con los anteriores gusanos Duqu y Stuxnet, pero también tiene varias diferencias.

De forma similar a Stuxnet y Duqu, el malware Flame puede ser esparcido vía memorias USB y a través de redes inseguras. Los tres infectan equipos con el sistema operativo Microsoft. Flame contiene exploits para vulnerabilidades conocidas y ya parchadas, como el bug de ejecución de código remoto de la cola de impresión y el hueco de seguridad .Ink encontrado anteriormente en Stuxnet.

Sin embargo, Flame es mucho más complejo que ambos: está elaborado a base de módulos para lanzar ataques que pueden ser cambiados dentro o fuera como se requiera para un trabajo en particular, usa varias bibliotecas opensource incluyendo libz para la compresión, el código está esparcido en muchos archivos en vez de un solo ejecutable, y aún más inusual, usa una base de datos administrada por la biblioteca SQLite.

También ejecuta un pequeño conjunto de scripts escritos en Lua (un lenguaje de programación empleado por desarrolladores de videojuegos como Rovio, creadores de Angry Birds), los cuales dirigen la operación de los módulos de ataque.

Muchos archivos de Flame se hacen pasar por componentes de Microsoft Windows, pero ninguno está firmado con una llave privada (ni siquiera robada) a diferencia de archivos firmados usados por Duqu y Stuxnet.

Duqu y Stuxnet tenían como objetivos sistemas de control industrial, mientras que Flame es por mucho, más versátil. Los análisis sugieren que mientras Stuxnet y Duqu usan los mismos bloques de construcción (una plataforma comúnmente usada por el mismo equipo de programación), Flame usa una arquitectura totalmente independiente.

“La amenaza muestra gran similitud a Stuxnet y Duqu en algunas de sus formas de operación aunque su código base e implementación son muy diferentes y mucho más complejas”, señala McAfee, planteando la hipótesis de que Flame puede ser un proyecto paralelo a Stuxnet y Duqu.

El gusano sale a la luz después de ataques a sistemas relacionados con el petróleo

En las semanas previas al día en que se hizo el anuncio sobre este nuevo malware, Irán reportó insistentes ataques cibernéticos en su sector energético, lo que supuestamente fue la continuación a los ataques de Stuxnet y Duqu.

Esto podría estar relacionado con la decisión del mes pasado de desconectar la principal terminal de exportación de petróleo en la isla Kharg en el golfo pérsico, debido a una infección.

"Evidentemente, la amenaza fue desarrollada a lo largo de varios años, posiblemente por un grupo numeroso y especializado", afirma McAfee.

Encontramos reportes públicos de compañías antispyware y archivos de registro en foros públicos que podrían indicar infecciones de variantes anteriores de Spywiper en Europa e Irán hace varios años (por ejemplo en mayo de 2010). Skywiper parece haber tenido mayor presencia que Doqu con un número de variantes similares.

Symantec coincide con sus rivales, acerca de que Flame fue creado por un grupo, concluyendo que "el código no fue desarrollado por una sola persona, sino por un grupo bien organizado y con líneas de trabajo". Contrario a Stuxnet, Flame no tiene objetivos particulares y ha sido distribuido a sistemas propiedad de civiles en varios países.

"La telemétrica inicial indica que lo principales objetivos de esta amenaza se encuentra en el West Bank de Palestina, en Hungría, Irán y Líbano. Otros blancos incluyen Rusia, Austria, Hong Kong y los Emiratos Árabes Unidos. Los sectores industriales o características de los individuos atacados aún no son claros", dice Symantec.

"De cualquier forma, la evidencia inicial indica que no todas las víctimas fueron atacadas por la misma razón. Muchas parecen haber sido infectadas debido a sus actividades personales, no por la organización en que trabajan.

Resulta interesante que además de las organizaciones particulares que resultaron afectadas, muchas de las computadoras comprometidas parecen ser propiedad de usuarios caseros en conexiones personales."

David Harley, investigador sénior en ESET concuerda con McAffe en que Stuxnet y Flame tienen más diferencias que similitudes.

"El hecho de que el virus (Flame) está dirigido a un país específico, no queda claro. Finalmente, habíamos asumido que Stuxnet fue creado originalmente para dirigirse a Irán, pero más tarde detectado en una área mayor", dijo Harley. "Respecto a la especulación de que Flame está relacionado con Stuxnet y Duqu, a mi parecer es demasiado ambiguo por el momento, sobre todo porque el código parece ser muy distinto".

"Otros dicen que el trabajo es parecido al de los programadores black hat patrocinados por el estado, posiblemente con empleados de una agencia de seguridad, pero nadie está especulando acerca de Flame. 

Muchas de estas advertencias son también para Stuxnet, pero la evidencia hasta ahora apunta hacia alguna clase de cooperación entre Israel y Estados Unidos."

A pesar de las grandes capacidades de Flame, sigue siendo un misterio quién y el porqué de su creación. Las compañías de seguridad pueden al menos ofrecer alertas sobre el malware ahora que está circulando entre los investigadores.

"Uno de los trucos que Spywipe/Flame podría tener es que le puede llevar cierto tiempo a los investigadores realizar un análisis completo, ya que su código es 20 veces más largo que Stuxnet, lo que implica que se deberá trabajar arduamente para poder analizarlo por completo", dice Graham Cluley, consultor de seguridad sénior en Sophos. "Afortunadamente, el análisis del código completo no es necesario para que pueda ser detectado."



Fuente: The Register 

0

Descubierta una grave vulnerabilidad en MYSQL / MARIADB

Jesus Bourne 15 de junio de 2012

La noticia saltaba el pasado sábado 9 de junio cuando el investigador Sergei Golubchik anunciaba el descubrimiento de una vulnerabilidad grave en MySQL y MariaDB.

Según este investigador, se podría identificar como root en un servidor vulnerable usando cualquier contraseña tras un número de intentos variable.

Esto se consigue con una simple línea en Shell script sobre una base de datos vulnerable en local y que cuente con el cliente MySQL. La línea en cuestión sería la siguiente, donde el password puede ser sustituido por cualquier valor.

for i in `seq 1 1000`; do mysql -u root –password=loquesea -h 127.0.0.1 2>/dev/null; done
Según la información obtenida hasta el momento, serían vulnerables las siguientes versiones:

• MariaDB y MySQL hasta la 5.1.61, 5.2.11, 5.3.5 y 5.5.22

Permaneciendo al margen de esta vulnerabilidad estas otras versiones:

• MySQL 5.1.63, 5.5.24 y 5.6.6
• MariaDB 5.1.62, 5.2.12, 5.3.6 y 5.5.23

Varias páginas web especializadas en seguridad, como Security by Default, han comentado esta vulnerabilidad y han mostrado ejemplos de cómo han conseguido autenticarse como root aprovechándose de este grave fallo y los desarrolladores del popular Metasploit Framework ya lo han integrado como exploit en su listado de ataques, por lo que es muy probable que veamos múltiples intentos de acceder a bases de datos vulnerables en las próximas semanas.

Aunque ya hay versiones que solucionan este grave fallo, es más que probable que muchos servidores permanezcan con una versión vulnerable durante mucho tiempo. 

Esto es debido a que la información contenida en estas bases de datos muchas veces es considerada crítica y no son pocos los administradores que prefieren no actualizar a una versión posterior por miedo a perder datos valiosos.

Ser recomienda que consideramos imprescindible contar con una versión actualizada tanto de MySQL como MariaDB, puesto que los datos almacenados pueden ser vitales para nuestra empresa y a nadie le gusta que anden husmeando alegremente en su información confidencial.

Fuentes : Ontinet.com

0

El grupo hacktivista Lulzsec Reborn roba y publica 10.000 contraseñas de twitter

Jesus Bourne

El “renacido” grupo hacktivista LulzSec, escisión del previo Lulz Security, ha robado y posteado online y públicamente 10.000 nombres de usuarios y passwords de usuarios de Linkedin. En esta ocasión, se han aprovechado de los usuarios que se conectan a Twitter y que utilizan la aplicación TweetGif, que permite el uso de gifs animados.

El fichero publicado con toda la información de los usuarios contiene datos de usuarios y passwords de Twitter, pero también los nombres reales de los usuarios, la localización, sus biografías y links a los avatares de los usuarios en Twitter, así como los tokens secretos utilizados para autorizar a TweetGif el acceso a Twitter. El fichero también incluye el último tweet de los usuarios.

Las contraseñas, sin embargo, están cifradas, y de momento no son accesibles, aunque no descartamos que en los próximos días pudiera haber grupos o individuos que descifren la información.

Después de los últimos robos de información de esta popular red social, el número de 10.000 datos no impresionan demasiado, pero sí deja en evidencia la cantidad de brechas de seguridad a las que nos enfrentamos. Recordemos que en el año 2009, muchas celebridades de Twitter vieron cómo sus cuentas eran hackeadas, incluyendo las del presidente Obama o la de la cantante Britney Spears.


El peligro de las aplicaciones externas

Como usuarios de redes sociales en general, y de Twitter en particular, muchas veces no somos conscientes del riesgo que asumimos al utilizar aplicaciones externas dándoles permisos de acceso a nuestras cuentas. 

Además, en la mayoría de las ocasiones, lo hacemos más movidos por la curiosidad que por el beneficio real: autorizamos a la aplicación, la probamos y luego nos olvidamos.

Evidentemente, los usuarios no tenemos muchas opciones: si queremos utilizar aplicaciones externas, tenemos que darles acceso a nuestras cuentas.

Lo que no sé es si somos conscientes realmente de que al darles permiso de acceso a nuestros perfiles, estamos autorizando a que dicha aplicación externa se quede con toda nuestra información.

Este punto no suele estar muy claro en el proceso, por lo que muchos usuarios podrían pensar que realmente no están cediendo su información a terceros.

El hecho de que la mayoría de estas aplicaciones sean americanas, o de cualquier otro país que no es el nuestro, supone que no están sujetas ni a la LOPD ni a la LSSI (yo no pondría solo las siglas, sino también el nombre entero de las leyes), por lo que no se informa claramente al usuario ni se le proporciona los mecanismos para dar de baja su información en dichos servicios.

Se recomienda que de vez en cuando nos demos una vuelta por nuestras configuraciones de cuentas en redes sociales para revisar qué aplicaciones siguen activas y con acceso a nuestra información. Y si no las utilizamos, la mejor medida de seguridad que podemos adoptar es revocar el permiso que dimos cuando las utilizamos. 


Fuentes: Yolanda Ruiz Hervaz  --  Ontinet.com
0

Nuevo troyano de Android, probablemente desarrollado por cibercriminales en prisión

Jesus Bourne 10 de junio de 2012

Los presuntos autores de Foncy, un troyano de servicios premium de SMS que atacaba a usuarios en varios países europeos y en Canadá, han sido arrestados y acusados el pasado mes de febrero en Francia. Desde ese entonces, el malware no ha sido actualizado y es considerado oficialmente extinto.

Sin embargo, otro troyano SMS que apareció hace un mes antes de la acusación de los presuntos criminales y que está relacionado a Foncy (de acuerdo a expertos de Kaspersky Labs), aún está activo.

Variantes de este troyano SMS, conocido como “Mania”, ha hecho apariciones desde enero y está dirigido actualmente solo a usuarios Android en Francia.

El troyano parece extenderse a través de sitios que comparten archivos y se disfraza como numerosas aplicaciones populares de Android como Kaspersky Mobile Security, PhoneLocator Pro, CoPilot Live Europe y muchas otras.

Una vez ejecutado, el troyano inmediatamente envía un SMS a un número Premium francés. Mientras hace esto, sigue pretendiendo ser una aplicación legítima y aparenta hacer una “comprobación de licencia”.

“Todas las acciones maliciosas mencionadas están contenidas en el archivo {nombre aplicación}Activity.class. Pero también hay un archivo Machine.class que contiene una funcionalidad que es absolutamente igual a la del archivo SMSReceiver.classi3 en el troyano Foncy: enviando un mensaje SMS a un número de celular francés, con el texto tomado de una respuesta del número premium 84242”.

 Denis Maslennikov señala y puntualiza que Mania fue creado por los autores de Foncy, pero vendida o delegada a otros ciberestafadores antes de su arresto.


Fuente: Help Net Security 

0

Spam de las olimpiadas contiene PDF malicioso

Jesus Bourne 9 de junio de 2012

Mientras más se acercan los juegos olímpicos de 2012, los usuarios deberían estar más conscientes de que los correos no solicitados acerca del tema, difícilmente serán buenas noticias.

La última amenaza de este tipo fue localizada por investigadores de F-Secure, quienes previenen acerca de un PDF malicioso que aprovecha una vulnerabilidad de Adobe afectando a versiones pasadas de Adobe Reader y Acrobat con el fin de colocar un ejecutable malicioso.

El archivo PDF de hecho se abre y muestra la programación diaria de las competencias.

En segundo plano, el exploit intenta conectarse a un dominio de China, el cual pudo haber alojado malware previamente o aún no había comenzado a hacerlo.

Los investigadores señalan que los correos electrónicos no solicitados que se utilizan para atraer a los usuarios con acontecimientos actuales son más comunes que los correos limpios, además incitan a los usuarios de mantener su Adobe Reader actualizado.  


Fuente: Help Net Security 
0

Programa de prueba de seguridad en VPN para dispositivos móviles

Jesus Bourne 8 de junio de 2012

En apoyo a miles de empresas usuarias de smartphones y tablets para enviar y recibir datos de forma segura, ICSA Labs ofrece un programa de prueba para determinar si estos servicios cumplen con los últimos estándares de seguridad en conexión por VPN.

El nuevo programa, llamado Mobile Device VPN Security está disponible para las empresas de servicios en redes inalámbricas así como para los desarrolladores de dispositivos móviles, siendo Verizon Wireless el primer cliente.

"Mientras los smarthphones y las tablets continúan impulsando a las empresas y a sus empleados a adoptar el método de trabajo fuera de la empresa, las pruebas en dispositivos móviles para VPN son fundamentales para verificar la confidencialidad y seguridad de la información de la compañía y saber que ésta se encuentra adecuadamente protegida", mencionó Jack Walsh, administrador de proyectos especiales y seguridad en dispositivos móviles de ICSA Labs.

"Nuestro programa de prueba en seguridad brinda tranquilidad a las empresas quienes conectan miles de dispositivos móviles a sus redes y a las empresas usuarias de estas mismas".

De acuerdo con el informe de "Investigaciones sobre huecos de seguridad de Verizon 2012", las amenazas para dispositivos móviles están a la alza, ya que en la actualidad las empresas cuentan con muchas más tablets y teléfonos inteligentes que servidores.

Estos dispositivos móviles son a menudo distribuidos masivamente, con gran movilidad, con menores restricciones y control de los usuarios finales. Como resultado de ello, los dispositivos móviles son un factor en la violación de información en las empresas y contribuyen de manera importante, a la pérdida general de datos.

El programa de prueba de dispositivos VPN de ICSA Lab verifica que las tablets y teléfonos móviles alcancen los estándares de seguridad actuales. Ello incluye probar la implementación de Internet Key Excahnge versión 2 (IKEv2) la cual mejora por mucho la seguridad de su antecesor IKEv1 y ofrece un mejor rendimiento en la protección contra ataques de denegación de servicio (DDoS attack).



Fuente: Help Net Security

0

Investigador de seguridad en TI invita a mantenerse al día con los parches de SAP

Jesus Bourne

Más del 95 por ciento de los casi 600 sistemas SAP analizados por la compañía de seguridad Onapsis resultaron vulnerables a espionaje, sabotaje y fraude, principalmente porque no se han aplicado los parches de seguridad, según un investigador.

Los atacantes que hacen blanco de las plataformas SAP no necesitan credenciales para realizarlos, dijo Juan Perez-Etchegoyen, CTO de Onapsis, una firma de consultores orientada hacia los sistemas ERP e infraestructura crítica de negocios en Buenos Aires.

El jueves Perez-Etchegoyen hizo énfasis sobre el tema en la conferencia Hack in the Box realizada en Amsterdam.

Las compañías globales, gobiernos y agencias de defensa usan SAP para administrar tareas diarias como planeamiento financiero, administración de la nómina y logística, dijo. Si las plataformas SAP son infringidas, los intrusos son capaces de acceder a información de los clientes, paralizar la compañía al apagar los sistemas o modificar información con intensiones fraudulentas, añadió.

“El problema es que las compañías no conocen el riesgo”, dijo Perez-Etchegoyen, aunado a que los sistemas SAP manejan la información sensible e importante de las compañías.

La razón principal por la cual las compañías que usan SAP son vulnerables es porque no aplican los parches y de esta forma dejan sus sistemas expuestos, indicó.

“SAP está trabajando duro en el área de seguridad y son buenos en ello, pero los clientes necesitan actualizarse”, enfatizó Perez-Etchegoyen. 

No siempre es fácil mantenerse al día con los parches, ya que muchas implementaciones de SAP están altamente personalizadas”, explicó. Esto significa que con cada parche, el departamento de TI debe realizar pruebas extensivas para asegurar que el sistema seguirá trabajando adecuadamente, dijo.

Una de las partes destacadas como vulnerables en la implementación de SAP durante su plática es el Solution Manager, fue un componente necesario para cada puesta en marcha y punto central de la administración de sistemas, recalcó durante su presentación.

El Solution Manager por sí mismo no almacena información del negocio, pero puede ser usado para influenciar sistemas conectados, dijo, además comúnmente se conecta a varios sistemas SAP que la compañía posee.

Mientras muchos sistemas investigados por las pruebas de Onapsis son vulnerables a ataques, no es sorpresa que existan pocas fallas graves de SAP conocidas públicamente, de acuerdo con Perez-Etchegoyen. “Existen fallas”, indicó, pero si las compañías saben que sus sistemas han sido infringidos, no lo manifiestan. Un mal PR es una de las razones por las que no lo harían, dijo, agregando que en ocasiones las compañías ni siquiera saben que han sido vulneradas.

Lo mejor que los usuarios pueden hacer para asegurar sus implementaciones SAP es verificar continuamente los parches y que las configuraciones de sus servicios son correctas, dijo Perez-Etchegoyen.



Fuente: TechWorld 

.

Compartelo:
 
Copyright 2010 SI3H-C5IRT