El laboratorio de detección y análisis de malware de Panda Security, ha detectado varios archivos maliciosos que están aprovechando la última vulnerabilidad anunciada por Microsoft (llamada MS08-067) para infectar a los usuarios y robarles datos confidenciales como sus contraseñas de mensajería instantánea, nombres de usuario y passwords utilizados durante la navegación, etc.
Esta vulnerabilidad afecta a Microsoft Windows 2000, Windows XP y Windows Server 2003.
El riesgo de este tipo de vulnerabilidades es que están muy extendidas. Es muy importante que los usuarios actualicen su sistema cuanto antes ya que los ciberdelincuentes han comenzado a aprovechar esta vulnerabilidad desde que tuvieron constancia de su existencia. Todo el tiempo que sus ordenadores estén desprotegidos, es un tiempo en que se arriesgan a ser víctima de uno de estos nuevos códigos maliciosos.
“Además de a través de correo electrónico o de descargas infectadas, estos códigos maliciosos que aprovechan vulnerabilidades del sistema pueden distribuirse a través de Internet, incluso desde páginas legales, de tal modo que el usuario no percibiría que ha sido infectado”, explica Luis Corrons, director técnico de PandaLabs.
Entre todos los códigos maliciosos que aprovechan esta vulnerabilidad, destaca por su peligrosidad el troyano Gimmiv.A, que permite a sus creadores tomar el control completo de los sistemas infectados.
Una vez ha infectado un ordenador, el troyano comenzará a recopilar información sobre:
- Nombres de usuario y contraseñas utilizadas en las paginas del navegador.
- Contraseñas de MSN Messenger.
- Contraseñas de Outlook Express.
- Nombre de Usuario.
- Nombre de la Maquina.
- Parches instalados.
- Información del Navegador
Toda la Información robada es codificada usando el Estándar de Codificación Avanzado (AES) y enviada al servidor remoto.
Se aconseja a los usuarios actualizar su sistema operativo cuanto antes y realizar un análisis exhaustivo de su equipo por si ya hubiera sido infectado.
Fuente: PandaLabs
Filed under seguridad by on Nov 1st, 2008. Comment. 
Una completa guía editada por la Agencia Española de Protección de Datos (AEPD), para facilitar a las entidades que manejan y almacenan datos personales, tanto en soporte papel como informatizado, la adopción de medidas que garanticen la seguridad de éstos y el cumplimiento de la normativa en la materia.
En la guía se explican los niveles de seguridad aplicables y las medidas que deben implantarse en función de los datos que maneje cada entidad y en la misma se incluye un modelo para que las entidades elaboren el ‘Documento de Seguridad‘.
Se trata de un extraordinario aporte a la prevención y el resguardo de la información, el activo más importante de las organizaciones.
Descargar el documento en PDF (304kbs)
Referencia: Criptex
Filed under descargas, documentos, seguridad by on Nov 4th, 2008. 1 Comment.
Consideremos que a mediados del 2008, la Argentina poseía unos 45 millones de dispositivos, que si bien no todos tenían esta tecnología, entendíamos que una gran parte de ellos la utilizaban para actividades personales y/o laborales confidenciales. Otro interrogante que se nos planteaba era ¿qué tanto las personas conocían sobre la seguridad en estos dispositivos bajo el uso del Bluetooth?
Es por eso que con varios equipos de alumnos del IUPFA realizamos una encuesta para bajar a realidad cuantificable sobre lo que Ezequiel llamó “La amenaza azul“.
La encuesta realizada busca obtener información sobre los siguientes interrogantes:
- ¿Posee teléfonos celulares? ¿Cuántos?.
- Si posee teléfono celular, ¿Dispone el mismo de la tecnología Bluetooth?.
- En caso afirmativo, ¿Hace uso de la tecnología Bluetooth?.
- ¿Conoce medidas de seguridad frente a los posibles riesgos de la tecnología Bluetooth?
Los equipos conformados por 60 alumnos alineados sobre el alcance planteado, realizaron entre sus contactos laborales y personales, un total de 596 encuestas.
De este total se obtuvieron que los encuestados poseen 876 teléfonos celulares, es decir, a razón de 1.47 dispositivos por persona. Alcanzando en algunos casos personas con hasta 3 teléfonos celulares.
Sobre el total de 876 teléfonos celulares, el 62.8% (550 dispositivos) poseen disponible la tecnología Bluetooth, pero solo el 51.5% (451 dispositivos) los utiliza activamente.
La funcionalidades sobre Bluetooth más utilizadas son aplicadas al uso de accesorios como manos libres, transferencias de archivos ringtones y/o imágenes, envío de archivos de datos, detalle de contactos y/o agendas, sincronización de información entre teléfono y estación de trabajo (PC).
Dentro de este escenario, nos preguntamos sobre la seguridad utilizada en los dispositivos. Solo el 12.2% (67 teléfonos móviles) aplica alguna medida de seguridad. Sobre el total de 876 teléfonos móviles encuestados, los 67 dispositivos con seguridad solo representan el 7.6%.
No ahondamos si el nivel de seguridad utilizado es suficiente o no, simplemente preguntamos sobre la conciencia de aplicar una medida de seguridad por este medio de comunicación bajo la tecnología Bluetooth. El grupo que no aplicaba un esquema de seguridad, indicaba que le restaba importancia al tema dado que lo utilizaba para actividades puntuales personales. Otros tantos desconocían de los riesgos de ser atacados por personas vía conexión Bluetooth, para acceder a la información confidencial de sus dispositivos.
Recordemos las estadísticas proporcionadas por Pointsec Mobile Technologies:
- 85% utilizan los celulares para almacenar información relacionada con sus actividades laborales y personales.
- 85% almacenan contactos y direcciones.
- 33% almacenan PIN, usuarios y contraseñas.
- 32% reciben y envían correos.
- 25% almacenan información corporativa.
Volvamos entonces al punto de seguridad. El hecho de ser accedidos ilegalmente por un extraño utilizando la tecnología Bluetooth, implica de alguna manera el acceso idebido a información confidencial. En caso de ser un dispositivo laboral, será información relacionada con el negocio, incrementando el valor de dicha información de acuerdo a la actividad realizada y el nivel dentro de la organización que tenga la persona dueña del dispositivo. En caso de un dispositivo personal, redunda en la información privada a sus contactos y pormenores sociales que realiza o realizará en lo que a su privacidad se refiere.
Consideremos que esta encuesta pudiera representar a toda la Argentina. Esto significa que si existen 45 millones de teléfonos móviles, entonces el 62.8% (28 millones) posee tecnología Bluetooth, siendo 51.5% (23 millones) los que lo utilizan activamente. Considerando las medidas de seguridad aplicadas solo 5.5 millones (el 12.2%) aplican alguna medida de seguridad, mientras que casi 40 millones no lo hace.
Generalizando, de cada 10 personas que poseen celulares, solo una de ellas aplica seguridad y el resto queda expuesto a la situación que provoque la creatividad e innovación del intruso atacante.
¿Qué podemos hacer?
Es por eso que adjunto algunas recomendaciones extraídas por Gabriel Omar Soria en referencia a la protección sobre esta tecnología:
- Activar el Bluetooth sólo cuando se vaya a utilizar.
- Asignar un nombre al dispositivo que no refleje marca ni modelo.
- Configurar el dispositivo para que no resulte visible para otros dispositivos.
- Revisar periódicamente la lista de dispositivos de confianza registrados.
- Utilizar claves de emparejamiento con al menos 5 caracteres.
- Requerir autenticación en cualquier intento de acceso.
- No aceptar ninguna conexión desconocida.
- Utilizar cuando sea posible cifrado en las transmisiones.
- Utilizar siempre que sea posible el bloqueo del dispositivo por clave.
- Evitar guardar en los dispositivos información confidencial.
Autor: Oscar Andres Schmitz
Director de Cxo Community
Fuente: Portal de Seguridad
Filed under seguridad by on Nov 4th, 2008. Comment.
En Argentina, el Estado lanza una campaña para concientizar sobre la seguridad informática, donde se difundirán “mejores prácticas o consejos” en redes internas de empresas. Se crearán mensajes sobre la seguridad en los recibos de salarios. Se dictarán cursos de concientización y capacitación y se publicarán documentos de interés
El objetivo es aumentar la conciencia sobre la seguridad entre los usuarios de las tecnologías de la información (TI). La iniciativa cuenta con el respaldo de Google, el buscador más popular de la web, otras empresas y universidades y organismos gubernamentales.
La campaña, que se concentrará entre el 24 de noviembre y el 1 de diciembre bajo el lema “Dale valor a tu información”, incluye actividades dentro de organizaciones del Estado, privadas y académicas, y eventos públicos.
Por ejemplo, se difundirán “mejores prácticas o consejos” en redes internas de empresas; se enviarán correos electrónicos a todos los usuarios con alguna consigna en la que se quiera focalizar (por ejemplo instando a que tomen acciones sobre las contraseñas); se generarán y entregarán folletos; y se colocarán posters o noticias en las carteleras de oficinas del Estado, empresas y universidades.
También se crearán mensajes sobre la seguridad en TI en los recibos de salarios; se dictarán cursos de concientización y capacitación y se publicarán documentos de interés en las redes internas.
Otras de las actividades previstas es la organización de un evento público y gratuito de seguridad; la publicación de información o documentos en medios de difusión; la realización de una clase pública; y la publicación de información en la página web del organismo, acompañando el logo de la jornada.
Desde el Estado apuntan a llevar la cuestión a las escuelas, con el dictado de una charla en un colegio o institución similar; y a las familias, con sugerencias a conversar sobre estos temas con parientes y/o amigos.
Fuente: Infobae Profesional
Filed under eventos, seguridad by on Nov 5th, 2008. Comment.
La IW actúa en la reconfiguración y preservación de la identidad de los distintos actores frente a este nuevo escenario ya que brinda movilidad e influencia en el campo de la batalla de la información.
Los nuevos desarrollos y avances tecnológicos en los cuales estamos inmersos hoy nos están llevando a una nueva dimensión en el concepto de “hacer la guerra”.
De acuerdo a su nombre en inglés “Network Centric Warfare” es el eje de una nueva evolución tecnológica, es la guerra basada en redes. Guerra en la cual el vencedor será quien logre beneficios geopolíticos y económicos basados en las ventajas que brinde la superioridad de la información obtenida a través de diferentes métodos tecnológicos.
A qué nos referimos con métodos tecnológicos? A información suministrada a través de aviones espías no tripulados, a satélites estatales y privados (de empresas colaboradoras de las administraciones de gobierno), a toda la infraestructura tecnológica de diferentes agencias de inteligencia quienes relacionan información entre sí. De la relación de estos conceptos nos encontramos con la sigla ISR “Inteligencia y Sistemas de Reconocimiento”.
Previamente al concepto de ISR también hay que considerar: la estructura de mando de las fuerzas de defensa que se designará como “Comando”. La administración y gestión de la estructura de fuerza y de la información administrada será denominada “Control”. La información que se canalizará a los diferentes niveles de mando y áreas de posterior análisis (e inclusive a otros organismos) “Comunicaciones” y por último la informatización de la información con el objeto de obtener decisiones de campo “Computación”, como resultado contamos con una sigla que sintetiza a este proceso con la sigla C4.
El C4ISR es todo el procedimiento de recolección de información, canalización de la misma en áreas de decisiones estratégicas en la estructura de mando y proceso de decisión final que permitirá a quien tenga el dominio de la información obtener posiciones privilegiadas y la victoria de la misión. Parafraseando a Sun Tzú, (en un futuro próximo) quien obtenga la victoria ganará batallas sin combatir, o al menos, sin sufrir bajas humanas.
Cuales serán las armas que se utilizarán (y se están comenzando a utilizar en la “ciberguerra”)? Quizá los más poderosos sean los cañones HERF (High Energy Radio Frecuency) con los cuales se deja sin comunicación al adversario lo que provoca la incomunicación del comando con sus tropas. El principio de prioridad de sensores establece que deben ser suprimidos o destruidos los sensores (satélites o mecanismos ópticos o de radar que permitan visualizar el área de combate).
Radiación Van Eck. Es una radiación de muy bajo nivel que emiten todos los equipos electrónicos. Esta puede ser monitorizada, lo que se conoce como Tempest y disponer de la información que por ejemplo, emite un computador.
Criptografía/criptoanálisis. A pesar del significativo desarrollo de la criptografía, el criptoanálisis seguirá siendo importante, apoyado por el también significativo avance de los sistemas de computación.
Spoofing /Autentificación. Spoofing es el envío de señales falsas. Se puede efectuar mediante el envío de señal electromagnética pero también, suplantando una fuente de entrada para desbaratar un sistema de información.
Mutación de imágenes. Esta puede ser un arma usada para hacer aparecer un líder adversario diciendo algo que efectivamente no ha dicho y hacerlo perder credibilidad,
Como ejercicio de conflicto se puede plantear la siguiente posibilidad
Dentro de la arquitectura C4ISR y del espectro estrictamente informático y radioeléctrico a través del uso de software malicioso o en conjunto con HERF, pueden inutilizarse redes enemigas. Es posible hoy inutilizar todos los sistemas electrónicos de la bolsa de valores y bancarios del adversario. Esto provocaría caos social, desconfianza en los líderes políticos y en el mismo sistema financiero local que estaría inutilizado.
Si sumamos la posibilidad de emitir por señales de TV videos alterados digitalmente en los cuales un líder da ordenes a sus fieles de combatir a enemigos locales y si esto sucede se desviará completamente la atención de combatir al enemigo real. Y para éste, que será quien tuvo la superioridad de información en el momento previo al conflicto bélico la guerra estará ganada, sin haber participado físicamente en un escenario bélico y sin haber sufrido bajas humanas.
Igualmente ante esta opción debemos considerar el hecho de lograr que un Estado no sufra pérdidas humanas, el adversario sí es posible que las sufra. Un arma de pulso electromagnético (EMP) puede bloquear comunicaciones enemigas pero también pueden destruir equipos biomédicos y provocar cientos de pérdidas de vidas humanas. Y ningún gobierno puede permitirse este margen de error, ni aducir “daño colateral”.
La guerra del futuro o ciberguerra se centrará en el dominio de la información, y en los intentos de destrucción de los sistemas financieros enemigos.
Los mecanismos y armas citadas acompañarán a las estrategias bélicas. La única forma que existirá de intentar evitar estos conflictos serán la apertura al dialogo y la comprensión entre las diferentes culturas con quienes convivimos.
Por: Luciano Salellas
Auditor en Seguridad Informática
Fuente: Portal de la Seguridad
Filed under amenazas, seguridad by on Nov 5th, 2008. Comment.
Administrador de botnets – botherder, botmeister
Es la persona encargada de controlar una red de ordenadores comprometidos (botnet) con diversos propósitos criminales o maliciosos, tales como distribuir correo no solicitado y código malicioso, y organizar ataques distribuidos de denegación de servicio.
Ataque de denegación de servicio – DoS, Denial of Service attack
Intento por evitar que un sistema informático funcione correctamente. Se asocia frecuentemente con la extorsión: el criminal amenaza con atacar los sistemas, para que la organización víctima no pueda desempeñar sus negocios habituales.
Ataque distribuido de denegación de servicio – DDoS, Distributed Denial of Service attack
Ataque de denegación de servicio amplificado al ser enviado por una red de sistemas comprometidos, actualmente una botnet.
Botnet – Red de ordenadores comprometidos
Red de sistemas comprometidos o infectados por aplicaciones autómatas, que están bajo el control de un botherder.
Bcc, Blind Carbon Copy
Campo del encabezado de un mensaje de correo electrónico, que se utiliza para enviar copias del mensaje a una o varias personas.
Los destinatarios listados en el campo Copia oculta (Cco) no aparecen en las copias del mensaje enviadas al receptor (o los receptores) especificados en los campos Para, o Copia (Cc).
Comercialización de múltiples niveles -MLM, Multi Level Marketing
Modelo de negocios legítimo, que podría tener una estructura jerárquica, pero no es un esquema piramidal.
Cybersquatting – Usurpación cibernética
Registro de un dominio con la intención de beneficiarse de alguna manera, aprovechando una asociación engañosa o maliciosa ente el nombre registrado y un sitio o negocio legítimo.
Engaños tsunami – Tsunami scams
Es un grupo de bulos y estafas basados en la caridad, que alegan recolectar fondos para las víctimas del tsunami del año 2004. Los ejemplos incluyen muchos engaños del tipo 419 y mensajes de phishing.
Esquema piramidal -Pyramid Scheme
Engaño en el cual los participantes nuevos pagan por la oportunidad de moverse hacia la cima de una pirámide, y obtener una parte de los pagos que realizan las personas que están en los escalones inferiores.
El encanto del sistema se basa en la improbable premisa de que el esquema continuará atrayendo nuevos inversores indefinidamente. En el mejor de los casos, los mayores beneficios serán para quien inicia la cadena, y quizá, los primeros participantes.
Este tipo de esquemas, y formar parte de ellos, es ilegal en algunas jurisdicciones.
Estafa de la lotería -Lottery scam
Fraude por pago adelantado que funciona diciendo a la víctima que ha ganado una enorme cantidad de dinero, pero que tiene que abonar algunos gastos antes de recibir el premio.
Hashbuster
Algunos filtros de correo masivo usan una base de datos de funciones generadoras de claves (hashes) para identificar los elementos no solicitados.
Estas son una especie de huella digital de los mensajes. Por ejemplo, un algoritmo MD5 (Message-Digest Algorithm 5, Algoritmo de compresión de mensajes Nº 5) representa una cadena de caracteres o texto como una secuencia de 32 dígitos en sistema hexadecimal.
Una familia más segura de este tipo de algoritmos es el grupo de funciones SHA (Secure Hash Algorithm, Algoritmo seguro de funciones de cifrado).
Estas funciones tienen múltiples usos en seguridad. Durante mucho tiempo ha sido muy común que los emisores de correo no solicitado (entre otros) incluyan texto aleatorio en el asunto o el cuerpo de un mensaje, con el fin de generar cambios al azar de una tanda de mensajes masivos a otra, y así eludir filtros basados en sumas de verificación (checksums) o algoritmos de identificación.
Actualmente, las mismas técnicas han sido aplicadas a los mensajes masivos basados en imágenes (image spam).
Ingeniería social – Social Engineering
Término aplicado a un amplio rango de técnicas destinadas a obtener alguna ventaja o inducir un cambio de comportamiento en un individuo o un grupo, utilizando manipulación psicológica.
El vocablo deriva de las ciencias sociales, donde no necesariamente tiene una connotación negativa, pero en seguridad su uso casi siempre implica algún tipo de estafa, malicia o fraude.
Manipulación de precios bursátiles – Pump and Dump, Hype and Dump
Es una forma de fraude de reservas de valores, en la que el precio de las acciones acumuladas es inflado artificialmente para que los especuladores deshonestos puedan obtener beneficios al venderlas cuando el precio sea elevado.
Esto funciona bien para el estafador, pero no para la empresa (generalmente pequeña), ni para las víctimas del engaño, cuya contribución al incremento del valor de las acciones generalmente es retribuido con duras pérdidas cuando el estafador venda sus reservas.
Mula – Mule
En el mundo del crimen organizado, el vocablo tiene varios significados, incluyendo el de una persona que se utiliza para traficar drogas, dinero, etc.
En el contexto de phishing, generalmente se refiere a alguien que está involucrado en el blanqueo de capitales, recibiendo y distribuyendo fondos, bienes o servicios adquiridos fraudulentamente.
Pennystox, Penny Stocks, Small caps
Negocios con valores bursátiles iniciales bajos, generalmente victimizados por los grupos criminales dedicados a la manipulación de precios del mercado de valores.
Phising
Término alternativo para phishing, utilizado en algunas oportunidades. Su etimología es incierta, pero podría deberse a una mala interpretación de la etimología del vocablo phishing, (combinada con dudosas capacidades de tecleo).
Programas espía – Spyware
Término algo genérico para designar a una variedad de códigos maliciosos, como registradores de pulsaciones de teclas, troyanos de acceso remoto o de puerta trasera, y demás.
El código malicioso utilizado para realizar actividades criminales como el phishing, también se conoce como crimeware.
Red de ordenadores comprometidos – Botnet
Red de sistemas comprometidos o infectados por aplicaciones autómatas, que están bajo el control de un botherder.
Registrador de pulsaciones de teclas – Keylogger
En el contexto del phishing, es un tipo de programa espía o troyano que registra las pulsaciones de teclas realizadas por el usuario de un ordenador, sin su conocimiento, y transmite la información a un delincuente, botherder, etc.
Usurpación cibernética – Cybersquatting
Registro de un dominio con la intención de beneficiarse de alguna manera, aprovechando una asociación engañosa o maliciosa ente el nombre registrado y un sitio o negocio legítimo.
Vishing
Es la utilización de telefonía a través de IP como vector de los ataques de phishing. Los métodos usados incluyen el envío de un número telefónico falsificado a la víctima, para verificar sus datos sensibles y establecer un contacto directo con ella. Moraleja: los números de teléfono contenidos en los mensajes de correo electrónico no son más seguros que los enlaces a otras páginas.
Voz a través del protocolo de Internet – VoIP, Voice over IP
Telefonía y otros servicios relacionados que funcionan sobre el protocolo de Internet actual.
Fuente: ESET España
Filed under consejos, ingeniería social, seguridad by on Nov 5th, 2008. 1 Comment.
Comentarios Recientes