Documentos de identidad, carnets de conducir, tarjetas de crédito, ataques informáticos, envíos spam o bases de datos repletas de datos personales o correos electrónicos se venden en los suburbios digitales de la Red. Algunas tiendas ilegales han “profesionalizado” tanto sus servicios que ofrecen descuentos por volumen, se anuncian con banners publicitarios o devuelven el dinero si, por ejemplo, los datos de la tarjeta de crédito que han proporcionado no funcionan.
Los datos robados de una tarjeta de crédito tienen un precio de mercado de unos 300 € (437 dólares). Un ataque DDoS (del inglés Distributed Denial of Service, un ataque que satura e inutiliza los servidores de la víctima) de una hora de duración puede costar unos 150€ (218 dólares). Y se pagan hasta 800 euros (1165 dólares) por un millón de correos spam. Estas y otras cifras salen a la luz gracias a las últimas investigaciones de los laboratorios de seguridad de G Data Software centradas en la industria del cibercrimen.
El equipo de G Data Software se camufló en los sórdidos círculos de acción de hackers, ladrones de datos y demás delincuentes digitales durante los meses de junio y julio de este año y descubrieron que el “escenario” se ha profesionalizado al máximo dando lugar a una economía perfectamente organizada. Al frente de la organización existen proveedores que ofrecen “hosting a prueba de balas” que permiten la existencia de foros y tiendas online ilegales en las que los ciberdelincuentes ofrecen sus servicios y se ponen en contacto con los posibles compradores.
El libro Blanco 2009 – La economía sumergida
Descargar el informe en PDF (3.03MB)
Filed under delitos, descargas, documentos, fraudes by on Oct 2nd, 2009. Comment. 
El gusano Conficker es un malware detectado por primera vez en noviembre del 2008 y que utiliza la vulnerabilidad de Windows reportada y corregida por Microsoft en su boletín MS08-067. Las nuevas variantes de este gusano también se propagan a través de recursos compartidos de la red y a través del archivo autorun.inf de distintos dispositivos de almacenamiento.
Debido a sus altos niveles de infección, ESET creo una herramienta de limpieza para Conficker.
Google, el gigante del internet, a través de su blog nos presenta algunos métodos para el manejo de nuestras contraseñas que nos servirán para proteger nuestra computadora, sitio Web e información personal, así como para prevenir la práctica ilegal del phishing.
Crear una clave nueva es a menudo una de las recomendaciones que escuchas cuando hay problemas. Ni siquiera una clave extraordinaria puede evitar que seas objeto de una trampa, pero establecer una que te sea fácil recordar y difícil para que otros adivinen es una práctica de seguridad inteligente, ya que las claves débiles son las que más fácilmente se adivinan. A continuación hay un listado de algunos problemas comunes que hemos visto en el pasado y algunas sugerencias sobre cómo hacer para que tu clave sea más segura.
Problema 1: Utilizar la misma clave en varios sitios Web.
Dado que existe una lista cada vez mayor de servicios que requieren el uso de claves (correo electrónico, banca en línea, redes sociales y sitios Web para compras — por mencionar algunos), no es extraño que muchas personas simplemente utilicen la misma clave en varias cuentas. Esto es arriesgado: si alguna persona descubre tu clave para un servicio, esa persona podría potencialmente tener acceso a tu cuenta de correo electrónico privada, dirección e incluso a tu dinero.
Solución 1: Utiliza claves únicas
Es buena idea mantener claves únicas para cada una de tus cuentas, en particular para las cuentas importantes tales como cuentas de correo electrónico y cuentas de banco. Cuando crees una clave para un sitio Web, puedes pensar en una frase que asocies con ese sitio Web y utilizar una abreviación o variación de esa frase como clave — simplemente no utilices las palabras que se utilizan en el sitio. Si es una frase larga, puedes tomar la primera letra de cada palabra. Para que esta frase o palabra sea más segura, utiliza mayúsculas y cambia algunas letras por números o símbolos. A manera de ejemplo, la frase de tu sitio Web de banca podría ser “¿Cuánto dinero tengo?” y la clave sería entonces “C$Teng0?” (Nota: dado que las estamos utilizando aquí, por favor no adoptes ninguna de las claves de este ejemplo para utilizarlas como propias.)
Problema 2: Utilizar claves comunes o palabras que se encuentran en el diccionario.
Algunas claves comunes incluyen palabras o frases sencillas tales como “clave” o “dejameentrar,” patrones del teclado tales como “qwerty” o “qazwsx,” o patrones de secuencia tales como “abcd1234.” Utilizar una clave sencilla o cualquier palabra que puedas encontrar en el diccionario le facilita a una persona que potencialmente fuera un pirata tener acceso a tu información personal.
Solución 2: Usar una clave con mezcla de letras, números y símbolos.
Existen tan solo 26^8 permutaciones posibles para una clave de 8 caracteres que utilice solamente minúsculas, mientras que hay 94^8 permutaciones posibles para una clave de 8 caracteres que utilice una combinación de minúsculas y mayúsculas, números y símbolos. Eso es más de 6 mil billones de permutaciones posibles para una clave mixta, haciéndola mucho más difícil de adivinar o romper.
Problema 3: Usar claves basadas en información personal.
Todos compartimos información personal con amigos y con colegas. El nombre del cónyuge, hijos o mascotas por lo general no son secretos, por lo que no tiene sentido utilizarlos como clave. También debes evitar usar fechas de nacimiento, teléfonos o direcciones.
Solución 3: Crear una clave que sea difícil de adivinar para otros.
Selecciona una combinación de letras, números o símbolos para crear una clave única que no esté relacionada con tu información personal. O selecciona una palabra o frase al azar e inserta letras y números al principio, en la mitad y hacia el final para hacerlo supremamente difícil de adivinar (tal como “sPo0kyh@ll0w3En”).
Problema 4: Escribir tu clave y guardarla en un sitio que no sea seguro.
Algunos de nosotros tenemos suficientes cuentas en línea como para que sea necesario escribir nuestras claves en alguna parte, o por lo menos hacerlo mientras nos las aprendemos bien.
Solución 4: Mantén tus recordatorios de clave en un lugar secreto que no sea fácilmente visible.
No dejes notas de tus claves para varios sitios Web en tu computadora o escritorio. Las personas que caminen por ahí podrán robar esta información fácilmente y usarla para poner tu cuenta en riesgo. Asimismo, si decides guardar tus claves en un archivo en tu computadora, crea un nombre único para esa carpeta de manera que nadie sepa realmente que hay adentro. Evita llamarla “mis claves” o algo que sea obvio.
Problema 5: Recuperar tu clave
A menudo puede resultar más difícil recordar la clave para entrar a un sitio que hace tiempo no visitas cuando escoges claves inteligentes como estas. Para resolver este problema, muchos sitios Web te ofrecen la opción ya sea de enviarte un vínculo para que selecciones una nueva clave a tu dirección de correo electrónico, o que contestes una pregunta de seguridad.
Solución 5: Asegúrate de que tus opciones para recuperar tu clave estén al día y sean seguras.
Debes asegurarte de mantener siempre una dirección de correo electrónico al día en cada una de las cuentas que tienes, de manera que si llegas a necesitar que te manden un correo electrónico para seleccionar una clave nueva, el correo vaya al sitio correcto.
Muchos sitios Web te pedirán seleccionar una pregunta para verificar tu identidad si olvidas tu clave. Si puedes crear tu propia pregunta, trata de crear una que solo tú puedas contestar. La respuesta no debe ser algo que alguien más pueda adivinar revisando la información que has puesto en línea en perfiles de redes sociales, blogs u otros sitios.
Si te piden que escojas una pregunta de una lista de opciones, tales como la ciudad en que naciste, debes ser consciente de que estas preguntas tienden a ser menos seguras. Trata de hacer que tu respuesta sea única — puedes hacer esto usando las sugerencias de arriba, o creando una convención en la que siempre agregas un símbolo luego del segundo carácter de la respuesta (por ej. in@dianápolis) — de forma que aún si alguien adivinara la respuesta, no podrían escribirla en forma apropiada.
Se puede revisar las nuestras series de seguridad en el blog de Google o visitando el sitio Staysafeonline.org
Fuente: Google Latam
Filed under consejos by on Oct 7th, 2009. Comment.
Muchos equipos investigadores esperan a este evento para desvelar sus descubrimientos, por lo que creo que son de lectura obligatoria para aquellos que quieren ver por dónde van las ultimas tendencias y el “state of the art” en el mundo de la seguridad.
La gente de SecurityArtWork ha tenido la gentileza de clasificar todas las presentaciones por categorías para una mejor comprensión y una fácil descarga.
Ir al sitio y descargar las presentaciones del evento Black Hat USA ‘09.
Algunas destacadas.
Worst of the Best of the Best
Autor/es: Kevin Stadmeyer, Garrett Held.
Contenido: Presentación en la que desmitifica las estadísticas y técnicas de marketing en las que se indica que un producto es mejor en seguridad porque tiene “menos” vulnerabilidades que otro, así como otro tipos de premios “al producto mas seguro” y similares.
Slides: enlace.
Your Mind: Legal Status, Rights and Securing Yourself
Autor/es: Tiffany Strauchs Rad, James Arlen.
Contenido: Francamente, no se cómo describir esta presentación; habla de privacidad de los datos a nivel personal, habla de las tecnologías presentes, futuras, y acaba hablando incluso de telepatía (si no es una broma que alguien me lo explique). Les aseguro que no soy capaz de hacer un resumen; véanla ustedes mismos y si son capaces, no duden de dejar un resumen en los comentarios.
Slides: enlace.
Paper: enlace.
Fighting Russian Cybercrime Mobsters: Report from the Trenches
Autor/es: Dmitri Alperovitch, Keith Mularski.
Contenido: Un repaso a los ultimos cibercriminales rusos detenidos.
Paper: enlace.
Computer Crime Year In Review: MySpace, MBTA, Boston College and More
Autor/es: Jennifer Granick.
Contenido: Revisión de algunas intrusiones y de sus consecuencias legales jurídicas; describe algunas denuncias a publics disclosures y problemas entre la difusión información técnica que puede comprometer la seguridad por oscuridad. (Es relevante señalar la entrada del otro día sobre la elección entre prestigio y problemas).
Slides: enlace.
Filed under conferencias, descargas, hackers, presentaciones, seminarios by on Oct 8th, 2009. Comment.
El kit de herramientas crimeware Zeus es uno de los favoritos entre los piratas informáticos maliciosos debido a su flexibilidad, características avanzadas y facilidad de uso.
En este video creado por Symantec vemos una demostración de cómo Zeus mediante la creación de un archivo malicioso es utilizado para infectar a las víctimas. Una vez que se infecta una víctima, estará bajo el control total del hacker. El hacker puede ahora ejecutar comandos arbitrarios, cargar y ejecutar archivos ejecutables, controlar las pulsaciones de teclado e incluso ver el usuario remotamente a través de escritorio remoto, entre otras características.
Recomendado ver todo el video.
Fuente: Peter Coogan (Symantec) I Referencia: SecurityTube
Comentarios Recientes