Un nuevo informe de McAfee predice el crecimiento de ataques en los que los cibercriminales explotan la naturaleza humana.
Diario Ti: El cibercrimen está pasando a un plano cada vez más personal a medida que los cibercriminales obtienen datos de redes sociales, brechas de datos y otras fuentes, según un informe de McAfee.
En el informe bianual de amenazas “McAfee Security Journal", expertos internacionales en seguridad han encontrado un aumento en el uso de las técnicas de ingeniería social utilizadas para explotar la naturaleza humana y maximizar los beneficios.
“Los cibercriminales están creando ataques imposibles de identificar por parte de los usuarios", afirma Jeff Green. Vicepresidente Senior de los Laboratorios McAfee Avert. “Personalizan timos de phishing, ataques al correo electrónico y troyanos entre otros, en los que podría caer, incluso alguien que vaya con la máxima precaución".
Durante los últimos seis meses, los cibercriminales han explotado las emociones y curiosidades humanas en un intento de atraer víctimas y robar información personal. Los últimos timos han dado un giro hacia noticias y eventos como los Juegos Olímpicos, desastres naturales y las elecciones presidenciales en Estados Unidos.
“No importa dónde vivas o que idioma hables, los cibercriminales explotarán la naturaleza humana, reduciendo a cero emociones como el miedo, la curiosidad, la codicia y la simpatía", afirma Green. “Los criminales entienden la debilidad humana y aumentarán el uso del poder de Internet para explotar esta debilidad. Es una forma fácil de ganar dinero para los cibercriminales y de robar datos sensibles de ser espiados".
McAfee Security Journal resume cuatro tendencias globales principales:
- La intensidad de ataques personalizados aumentará.
- El spam de ingeniería social será explotado.
- El fraude de información de mercados aumentará.
- Los criminales se aprovecharán del deseo de los usuarios de proteger sus PCs.
Fuente: http://www.diarioti.com/gate/n.php?id=19847
martes, 21 de octubre de 2008
Aprender seguridad jugando
HP presenta un nuevo juego online para educar a las pymes frente a las amenazas de seguridad informática.
El mundo de los virus informáticos y las técnicas del ciberdelito, donde son comunes términos como troyanos spam, phishing, pharming, keylogger, es todavía un terreno difícil de comprender para la pequeña empresa inexperta. Para facilitar que éstas aprendan a identificar en qué consiste cada amenaza y a protegerse adecuadamente frente a ellas, HP ha lanzado hoy su primer juego online sobre seguridad TI. El reto es enseñar a las pequeñas y medianas empresas a proteger sus datos e informaciones frente a intrusiones no deseadas en sus sistemas informáticos de un modo ameno y divertido. 'Accelerate Security' es un medio práctico que ayuda a tener conciencia de las amenazas de seguridad y a luchar contra ellas.
El juego incluye situaciones relacionadas con problemas de seguridad como son virus informáticos, robo de identidades y recuperación de datos y como las pequeñas y medianas empresas deben hacer frente a estos contratiempos para proteger sus actividades profesionales.
Los jugadores interpretan el papel de Nicole Fernández, el propietario de una empresa de gestión de pequeños eventos que tiene una importante base de datos de clientes en crecimiento. Los jugadores deben ayudar Nicole en el lanzamiento de un evento de moda que le permita ganar un nuevo cliente, al tiempo que evita las amenazas de seguridad. Durante dos días de juego con escenas de 10 minutos cada una, los jugadores tendrán enfrentarse y superar diferentes situaciones.
“Accelerate Security” es gratuito y está disponible en http://game.mea-i.org o en http://www.knowledge-city.net. El juego está disponible en Ingles y pronto lo estará en otros idiomas entre los que se incluyen Frances, Ruso, Español, Portugués y Italiano.
Fuente: http://www.ticpymes.es/Noticias/Servicios/200810200002/Aprender-seguridad-jugando.aspx
El mundo de los virus informáticos y las técnicas del ciberdelito, donde son comunes términos como troyanos spam, phishing, pharming, keylogger, es todavía un terreno difícil de comprender para la pequeña empresa inexperta. Para facilitar que éstas aprendan a identificar en qué consiste cada amenaza y a protegerse adecuadamente frente a ellas, HP ha lanzado hoy su primer juego online sobre seguridad TI. El reto es enseñar a las pequeñas y medianas empresas a proteger sus datos e informaciones frente a intrusiones no deseadas en sus sistemas informáticos de un modo ameno y divertido. 'Accelerate Security' es un medio práctico que ayuda a tener conciencia de las amenazas de seguridad y a luchar contra ellas.
El juego incluye situaciones relacionadas con problemas de seguridad como son virus informáticos, robo de identidades y recuperación de datos y como las pequeñas y medianas empresas deben hacer frente a estos contratiempos para proteger sus actividades profesionales.
Los jugadores interpretan el papel de Nicole Fernández, el propietario de una empresa de gestión de pequeños eventos que tiene una importante base de datos de clientes en crecimiento. Los jugadores deben ayudar Nicole en el lanzamiento de un evento de moda que le permita ganar un nuevo cliente, al tiempo que evita las amenazas de seguridad. Durante dos días de juego con escenas de 10 minutos cada una, los jugadores tendrán enfrentarse y superar diferentes situaciones.
“Accelerate Security” es gratuito y está disponible en http://game.mea-i.org o en http://www.knowledge-city.net. El juego está disponible en Ingles y pronto lo estará en otros idiomas entre los que se incluyen Frances, Ruso, Español, Portugués y Italiano.
Fuente: http://www.ticpymes.es/Noticias/Servicios/200810200002/Aprender-seguridad-jugando.aspx
Primeras alarmas sobre un nuevo malware para Mac
El problema se seguridad procede de una página web donde se anuncia un antivirus para la plataforma de Apple que podría ser falso.
Alex Eckeberry, director ejecutivo de Sunbelt Software ha revelado que los investigadores de su compañía han descubierto una página web en la que se anunciar MacGuard. El producto afirma ofrecer protecciones tanto para el spyware como antivirus, además de la capacidad de eliminar adware y bloquear ataques de phishing en sistemas OS X.
A pesar de que no se ha encontrado la descarga del software en el site, Eckelberry pide a los usuarios que estén atentos. Y es que el director de Sunbelt Software ha dicho que la compañía cree que el site también distribuye ‘Antivirus XP 2008’ y ‘XP Antivirus’, un par de aplicaciones de seguridad de Windows que Eckelberry ha calificado como “realmente horribles”.
Ambas aplicaciones ya son conocidas por utilizar exploits para instalarse sin el consentimiento del usuario y enviarle después mensajes de alerta diseñados para asustar a las víctimas y hacerles pagar por protecciones de seguridad inexistentes.
Casi inexistentes hace dos años, ya han aparecido varios ejemplos de malware para Mac en los últimos meses.
Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=2018
Alex Eckeberry, director ejecutivo de Sunbelt Software ha revelado que los investigadores de su compañía han descubierto una página web en la que se anunciar MacGuard. El producto afirma ofrecer protecciones tanto para el spyware como antivirus, además de la capacidad de eliminar adware y bloquear ataques de phishing en sistemas OS X.
A pesar de que no se ha encontrado la descarga del software en el site, Eckelberry pide a los usuarios que estén atentos. Y es que el director de Sunbelt Software ha dicho que la compañía cree que el site también distribuye ‘Antivirus XP 2008’ y ‘XP Antivirus’, un par de aplicaciones de seguridad de Windows que Eckelberry ha calificado como “realmente horribles”.
Ambas aplicaciones ya son conocidas por utilizar exploits para instalarse sin el consentimiento del usuario y enviarle después mensajes de alerta diseñados para asustar a las víctimas y hacerles pagar por protecciones de seguridad inexistentes.
Casi inexistentes hace dos años, ya han aparecido varios ejemplos de malware para Mac en los últimos meses.
Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=2018
Activar los killbits y el índice de explotabilidad, novedades en los boletines de Microsoft
Microsoft está siguiendo una nueva política con la que intenta mejorar sus boletines de seguridad. Este mes ha introducido un nuevo valor llamado "índice de explotabilidad" (exploitability index) que indica las posibilidades de que se cree un exploit para cada vulnerabilidad. Además, se está proponiendo (por fin) activar el mayor número de killbits posibles para evitar ataques a través de ActiveX vulnerables.
En octubre Microsoft ha incluido por primera vez en sus boletines el "exploitability index", un valor que intenta predecir la posibilidad de que los atacantes creen código capaz de aprovechar la vulnerabilidad. Los valores posibles que asignará Microsoft son:
* Consistent exploit code likely: Es probable la creación de un exploit consistente.
* Inconsistent exploit code likely: Es probable la existencia de un exploit incosistente.
* Functioning exploit code unlikely: Es improbable la existencia de un exploit funcional.
Refiriéndose con "consistencia" a las probabilidades que funcione bajo la mayoría de las circunstancias y la mayor parte de las veces. Esta forma de puntuar el riesgo es exclusiva de Microsoft, y evaluada solo por su parte.
Por ejemplo, en esta última tanda de boletines, se resuelven 20 vulnerabilidades. Según Microsoft 8 tienen posibilidades de que se cree un exploit consistente para ellas, y cuatro son poco probables de ser aprovechadas. Para otras incluso, como el fallo en Windows Printing Service de Internet Information Services (IIS) Web server, se tiene constancia de que están siendo activamente aprovechadas. Para una de las que predijo la posibilidad de un exploit consistente, efectivamente se ha publicado posteriormente código capaz de aprovechar el fallo.
Microsoft sigue resistiéndose sin embargo a añadir a sus boletines el valor CVSS (Common Vulnerability Scoring System) de cada vulnerabilidad. Se trata de un estándar que gradúa la severidad de manera estricta a través de fórmulas establecidas y que ya siguen Oracle y Cisco entre otros. Cuando fue creado en 2005, la compañía apoyó la iniciativa, pero más tarde adujo que su sistema propio de graduación era correcto, y nunca ha terminado de apoyar este estándar.
Por último, destacar que Microsoft últimamente está incluyendo boletines oficiales destinados a activar los killbits de componentes ActiveX, tanto propios como de terceros. Esto es muy positivo. Los ActiveX suelen ser librerías de Microsoft o de terceros que, en muchas ocasiones, sirven de puerta para entrar en el sistema a través de Internet Explorer, gracias a los fallos de seguridad de los propios ActiveX. El peligro está en que el navegador es capaz de invocarlos, aunque no sea realmente necesario para cumplir su función. Al activar el killbit, se asegura que Internet Explorer no puede llamarlos y se anula así un importante vector de ataque. Al difundir esta activación de killbits a través de las actualizaciones oficiales de Microsoft, se aseguran mitigar potenciales problemas con una difusión mucho más extensa que si lo hiciera el propio fabricante del ActiveX.
Aunque es obligación de los programadores de ActiveX ser precavidos y activar ese killbit, en la mayoría de las ocasiones sólo una vulnerabilidad les hace reaccionar. Usar los parches de Microsoft para anular este vector de ataque, puede impedir muchos problemas de manera mucho más rápida y mayoritaria. En esta última tanda de boletines (como medida extra de precaución) se han activado los killbits incluso de ActiveX propios de Microsoft que ya habían sufrido vulnerabilidades y para los que existían parches.
Fuente: http://www.hispasec.com/unaaldia/3648
Microsoft Exploitability Index
http://technet.microsoft.com/en-us/security/cc998259.aspx
En octubre Microsoft ha incluido por primera vez en sus boletines el "exploitability index", un valor que intenta predecir la posibilidad de que los atacantes creen código capaz de aprovechar la vulnerabilidad. Los valores posibles que asignará Microsoft son:
* Consistent exploit code likely: Es probable la creación de un exploit consistente.
* Inconsistent exploit code likely: Es probable la existencia de un exploit incosistente.
* Functioning exploit code unlikely: Es improbable la existencia de un exploit funcional.
Refiriéndose con "consistencia" a las probabilidades que funcione bajo la mayoría de las circunstancias y la mayor parte de las veces. Esta forma de puntuar el riesgo es exclusiva de Microsoft, y evaluada solo por su parte.
Por ejemplo, en esta última tanda de boletines, se resuelven 20 vulnerabilidades. Según Microsoft 8 tienen posibilidades de que se cree un exploit consistente para ellas, y cuatro son poco probables de ser aprovechadas. Para otras incluso, como el fallo en Windows Printing Service de Internet Information Services (IIS) Web server, se tiene constancia de que están siendo activamente aprovechadas. Para una de las que predijo la posibilidad de un exploit consistente, efectivamente se ha publicado posteriormente código capaz de aprovechar el fallo.
Microsoft sigue resistiéndose sin embargo a añadir a sus boletines el valor CVSS (Common Vulnerability Scoring System) de cada vulnerabilidad. Se trata de un estándar que gradúa la severidad de manera estricta a través de fórmulas establecidas y que ya siguen Oracle y Cisco entre otros. Cuando fue creado en 2005, la compañía apoyó la iniciativa, pero más tarde adujo que su sistema propio de graduación era correcto, y nunca ha terminado de apoyar este estándar.
Por último, destacar que Microsoft últimamente está incluyendo boletines oficiales destinados a activar los killbits de componentes ActiveX, tanto propios como de terceros. Esto es muy positivo. Los ActiveX suelen ser librerías de Microsoft o de terceros que, en muchas ocasiones, sirven de puerta para entrar en el sistema a través de Internet Explorer, gracias a los fallos de seguridad de los propios ActiveX. El peligro está en que el navegador es capaz de invocarlos, aunque no sea realmente necesario para cumplir su función. Al activar el killbit, se asegura que Internet Explorer no puede llamarlos y se anula así un importante vector de ataque. Al difundir esta activación de killbits a través de las actualizaciones oficiales de Microsoft, se aseguran mitigar potenciales problemas con una difusión mucho más extensa que si lo hiciera el propio fabricante del ActiveX.
Aunque es obligación de los programadores de ActiveX ser precavidos y activar ese killbit, en la mayoría de las ocasiones sólo una vulnerabilidad les hace reaccionar. Usar los parches de Microsoft para anular este vector de ataque, puede impedir muchos problemas de manera mucho más rápida y mayoritaria. En esta última tanda de boletines (como medida extra de precaución) se han activado los killbits incluso de ActiveX propios de Microsoft que ya habían sufrido vulnerabilidades y para los que existían parches.
Fuente: http://www.hispasec.com/unaaldia/3648
Microsoft Exploitability Index
http://technet.microsoft.com/en-us/security/cc998259.aspx
"Una clave o contraseña es como una llave física"
Si usted es británico y la policía acude a su puerta para revisar su computadora en busca de material ilegal, está obligado a entregar la contraseña. En caso que se niegue a hacerlo, corre el riesgo de ser enviado a prisión por un período desde 2 a 5 años.
Un tribunal británico de apelaciones ha confirmado una sentencia de una corte de primera instancia en que se concluye que la contraseña para una computadora o red tiene el mismo status que una llave física. Si la policía pide la llave, el usuario está obligado a entregársela.
La causa concreta se refiere a dos sujetos detenidos por la policía, que al intentar acceder a los contenidos de su computadora descubrió que ésta había sido cifrada. Al requerírsele al sujeto entregar la clave de acceso éste se negó. Mediante su abogado, el sospechoso hizo referencia a una figura legal según la cual los inculpados no están obligados a entregar información que pueda ser usada en su contra. Sin embargo, el tribunal concluyó que al negarse a entregar una contraseña es lo mismo que obstruir la acción de la justicia, algo que está prohibido por ley.
Un tribunal británico de apelaciones ha confirmado una sentencia de una corte de primera instancia en que se concluye que la contraseña para una computadora o red tiene el mismo status que una llave física. Si la policía pide la llave, el usuario está obligado a entregársela.
La causa concreta se refiere a dos sujetos detenidos por la policía, que al intentar acceder a los contenidos de su computadora descubrió que ésta había sido cifrada. Al requerírsele al sujeto entregar la clave de acceso éste se negó. Mediante su abogado, el sospechoso hizo referencia a una figura legal según la cual los inculpados no están obligados a entregar información que pueda ser usada en su contra. Sin embargo, el tribunal concluyó que al negarse a entregar una contraseña es lo mismo que obstruir la acción de la justicia, algo que está prohibido por ley.
Ya controlan las bases de datos de las empresas
Advierte que se conocen al menos tres inspecciones a compañías para verificar si cumplen con la Ley de Habeas Data.
Autoridades de la Dirección de Protección de Datos Personales (DNPDP) han iniciado las primeras inspecciones para conocer el estado del cumplimiento de la Ley de Habeas Data.
La Disposición 5/2008 de la DNPDP tiene por objeto la observancia de las normas de integridad y seguridad de los datos de la Ley de Habeas Data.
Para ello, en sus considerandos se establece que se efectuarán controles de oficio sobre el cumplimiento de los principios de legitimidad del tratamiento, y aplicará las sanciones pertinentes al responsable o usuario en los casos que correspondiere.
La Dirección puede actuar a pedido de un interesado o de oficio ante la sospecha de una ilegalidad. En las inspecciones que se están realizando se verifica el cumplimiento de las siguientes disposiciones legales:
* Legalidad de la recolección o toma de información personal;
* Legalidad en el intercambio de datos y en la transmisión a terceros o en la interrelación entre ellos;
* Legalidad en la cesión propiamente dicha;
* Legalidad de los mecanismos de control interno y externo del archivo, registro, base o banco de datos.
Según surge de la norma, es un agente de la planta permanente de la Dirección de Protección de Datos Personales será quien efectúa estos controles e inspecciones.
Mediante decisión del Director Nacional se instrumenta esta medida. El responsable de la base de datos será notificado debidamente con una antelación no menor a 10 días, salvo excepciones.
Hasta el momento, y según fuentes de la Dirección, ya se han realizado tres inspecciones por el mismo Director Nacional de Protección de Datos Personales, el Doctor Juan Antonio Travieso.
Si bien todavía no han trascendido mayores detalles respecto al resultado de esos controles, es de destacar el inicio de los mismos, los cuales darán un nuevo impulso al cumplimiento de las normas de protección de datos en la Argentina.
El por qué de la disposición
La Ley 25.326 de Protección de los Datos Personales considera que toda base de datos que exceda el uso exclusivamente personal -aunque no esté destinada a proporcionar informes a terceros- o que tenga como finalidad la cesión o transferencia de datos personales está sujeta a sus disposiciones, entre las que figura la obligación que tienen las empresas que manejan datos de inscribirse en forma anual en un registro.
La realidad indica que la mayoría de las empresas cuentan con este tipo de archivos y que, a pesar de ello, no han cumplido con las disposiciones normativas vigentes.
Qué tienen que hacer las empresas
Para cumplir con la ley, la primera obligación es la de registrar la base ante la DNPDP mediante la confección de un formulario on line, la remisión de una nota de solicitud de inscripción con firma certificada y el pago de una tasa, si correspondiera, según la cantidad y calidad de los datos recopilados.
Esta inscripción debe renovarse anualmente. Si la inscripción es aprobada, la empresa registrante tiene derecho a utilizar el isologotipo de responsable registrado, brindando así confianza a los terceros con los cuales contrata y a aquéllos que, por diversas razones, le confían datos sensibles.
Por Daniel Monastersky
Especial para iProfesional.com
Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=2019
Autoridades de la Dirección de Protección de Datos Personales (DNPDP) han iniciado las primeras inspecciones para conocer el estado del cumplimiento de la Ley de Habeas Data.
La Disposición 5/2008 de la DNPDP tiene por objeto la observancia de las normas de integridad y seguridad de los datos de la Ley de Habeas Data.
Para ello, en sus considerandos se establece que se efectuarán controles de oficio sobre el cumplimiento de los principios de legitimidad del tratamiento, y aplicará las sanciones pertinentes al responsable o usuario en los casos que correspondiere.
La Dirección puede actuar a pedido de un interesado o de oficio ante la sospecha de una ilegalidad. En las inspecciones que se están realizando se verifica el cumplimiento de las siguientes disposiciones legales:
* Legalidad de la recolección o toma de información personal;
* Legalidad en el intercambio de datos y en la transmisión a terceros o en la interrelación entre ellos;
* Legalidad en la cesión propiamente dicha;
* Legalidad de los mecanismos de control interno y externo del archivo, registro, base o banco de datos.
Según surge de la norma, es un agente de la planta permanente de la Dirección de Protección de Datos Personales será quien efectúa estos controles e inspecciones.
Mediante decisión del Director Nacional se instrumenta esta medida. El responsable de la base de datos será notificado debidamente con una antelación no menor a 10 días, salvo excepciones.
Hasta el momento, y según fuentes de la Dirección, ya se han realizado tres inspecciones por el mismo Director Nacional de Protección de Datos Personales, el Doctor Juan Antonio Travieso.
Si bien todavía no han trascendido mayores detalles respecto al resultado de esos controles, es de destacar el inicio de los mismos, los cuales darán un nuevo impulso al cumplimiento de las normas de protección de datos en la Argentina.
El por qué de la disposición
La Ley 25.326 de Protección de los Datos Personales considera que toda base de datos que exceda el uso exclusivamente personal -aunque no esté destinada a proporcionar informes a terceros- o que tenga como finalidad la cesión o transferencia de datos personales está sujeta a sus disposiciones, entre las que figura la obligación que tienen las empresas que manejan datos de inscribirse en forma anual en un registro.
La realidad indica que la mayoría de las empresas cuentan con este tipo de archivos y que, a pesar de ello, no han cumplido con las disposiciones normativas vigentes.
Qué tienen que hacer las empresas
Para cumplir con la ley, la primera obligación es la de registrar la base ante la DNPDP mediante la confección de un formulario on line, la remisión de una nota de solicitud de inscripción con firma certificada y el pago de una tasa, si correspondiera, según la cantidad y calidad de los datos recopilados.
Esta inscripción debe renovarse anualmente. Si la inscripción es aprobada, la empresa registrante tiene derecho a utilizar el isologotipo de responsable registrado, brindando así confianza a los terceros con los cuales contrata y a aquéllos que, por diversas razones, le confían datos sensibles.
Por Daniel Monastersky
Especial para iProfesional.com
Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=2019
Dos spammers de la misma banda se declaran culpables de fraude y conspiración
La semana pasada, dos integrantes de una banda de spam admitieron su culpa ante un juez y decidieron ayudar a la fiscalía a procesar a Alan Ralsky, su supuesto líder.
Las autoridades estadounidenses arrestaron a 11 integrantes de esta banda, incluyendo a Ralsky, en enero de este año.
La banda compraba acciones de empresas chinas y utilizaba redes zombis para enviar miles de millones de mensajes con el propósito de alterar los valores de las acciones según su conveniencia.
La banda realizó esta estafa por 20 meses y se cree que Ralsky, el cabecilla del grupo, amasó una fortuna de alrededor de 3 millones de dólares sólo en el verano de 2005.
El martes, Judy Devenow, una mujer de 56 años que formaba parte de esta banda, se declaró culpable de cargos de fraude y conspiración. Devenow enfrenta una condena de entre 33 y 41 meses de prisión.
Pero la mujer ha hecho un trato con la fiscalía que podría reducir su condena a menos de dos años de cárcel. Devenow se comprometió ayudar a condenar a los demás miembros de su banda y aceptó testificar contra Ralsky.
Asimismo, otro miembro de la banda, Francis Tribble, se declaró culpable el viernes de cargos de fraude, conspiración y lavado de dinero.
Tribble, de 41 años, ya enfrenta cargos de asesinato en segundo grado y está cumpliendo una condena de entre 15 años y cadena perpetua en una prisión de Los Angeles.
Tribble también se comprometió a ayudar en la investigación y testificar contra los miembros de su banda. Además, aceptó devolver los 500.000 dólares que las autoridades habían encontrado en su poder.
El hombre admitió que había ganado alrededor de 2 millones de dólares enviando spam, pero aseguró que ya había gastado la mayor parte del dinero.
El juez dictará la sentencia de Devenow y Tribble el 5 de febrero del próximo año.
Fuente: http://www.viruslist.com/sp/news?id=208274237
Las autoridades estadounidenses arrestaron a 11 integrantes de esta banda, incluyendo a Ralsky, en enero de este año.
La banda compraba acciones de empresas chinas y utilizaba redes zombis para enviar miles de millones de mensajes con el propósito de alterar los valores de las acciones según su conveniencia.
La banda realizó esta estafa por 20 meses y se cree que Ralsky, el cabecilla del grupo, amasó una fortuna de alrededor de 3 millones de dólares sólo en el verano de 2005.
El martes, Judy Devenow, una mujer de 56 años que formaba parte de esta banda, se declaró culpable de cargos de fraude y conspiración. Devenow enfrenta una condena de entre 33 y 41 meses de prisión.
Pero la mujer ha hecho un trato con la fiscalía que podría reducir su condena a menos de dos años de cárcel. Devenow se comprometió ayudar a condenar a los demás miembros de su banda y aceptó testificar contra Ralsky.
Asimismo, otro miembro de la banda, Francis Tribble, se declaró culpable el viernes de cargos de fraude, conspiración y lavado de dinero.
Tribble, de 41 años, ya enfrenta cargos de asesinato en segundo grado y está cumpliendo una condena de entre 15 años y cadena perpetua en una prisión de Los Angeles.
Tribble también se comprometió a ayudar en la investigación y testificar contra los miembros de su banda. Además, aceptó devolver los 500.000 dólares que las autoridades habían encontrado en su poder.
El hombre admitió que había ganado alrededor de 2 millones de dólares enviando spam, pero aseguró que ya había gastado la mayor parte del dinero.
El juez dictará la sentencia de Devenow y Tribble el 5 de febrero del próximo año.
Fuente: http://www.viruslist.com/sp/news?id=208274237
Cómo (no) funciona WEP II
En un post anterior hemos visto cuál es el funcionamiento básico de WEP y cómo los errores en su diseño han tenido como consecuencia la existencia de algunas vulnerabilidades. En este post vamos a seguir explicando más vulnerabilidades.
Además del problema de las colisiones de los vectores de inicialización que pueden usarse para analizar las tramas y deducir partes del flujo RC4, hay otras técnicas más efectivas y eficientes de hacerlo.
Por ejemplo, un punto de acceso puede servir de oráculo en ciertas condiciones. Si desde una dirección IP que está en una LAN cableada podemos enviar datos a uno en una red wifi, el punto de acceso se encargará de cifrar los datos (lógicamente conocidos) para nosotros. De esta manera tenemos los flujos RC4 de los vectores de inicialización que use el AP.
Seguir leyendo
Además del problema de las colisiones de los vectores de inicialización que pueden usarse para analizar las tramas y deducir partes del flujo RC4, hay otras técnicas más efectivas y eficientes de hacerlo.
Por ejemplo, un punto de acceso puede servir de oráculo en ciertas condiciones. Si desde una dirección IP que está en una LAN cableada podemos enviar datos a uno en una red wifi, el punto de acceso se encargará de cifrar los datos (lógicamente conocidos) para nosotros. De esta manera tenemos los flujos RC4 de los vectores de inicialización que use el AP.
Seguir leyendo
Agregar a un amigo de Hi5 puede ser peligroso
Aplicación maliciosa busca robar contraseñas para tener acceso a un importante banco.
Websense Security Labs ThreatSeeker Network descubrió una nueva campaña maliciosa de ingeniería social que simula ser un correo electrónico oficial enviado por el popular sitio de redes sociales Hi5.
El correo electrónico está escrito en español y está diseñado de tal forma que parece como si proviniera del dominio hi5.com, un dominio oficial utilizado por Hi5 para los correos que envía cuando notifica a sus usuarios de algún evento.
Es normal que Hi5 envíe un correo para notificar a sus usuarios cuando otro usuario los agrega como amigos en su red social. Sin embargo, los creadores del spam incluyeron vínculos maliciosos y una fotografía de un falso amigo para hacer que los receptores den clic en ellos, lo que inicia la descarga de un troyano.
Fuente: http://www.diarioti.com/gate/n.php?id=19854
Websense Security Labs ThreatSeeker Network descubrió una nueva campaña maliciosa de ingeniería social que simula ser un correo electrónico oficial enviado por el popular sitio de redes sociales Hi5.
El correo electrónico está escrito en español y está diseñado de tal forma que parece como si proviniera del dominio hi5.com, un dominio oficial utilizado por Hi5 para los correos que envía cuando notifica a sus usuarios de algún evento.
Es normal que Hi5 envíe un correo para notificar a sus usuarios cuando otro usuario los agrega como amigos en su red social. Sin embargo, los creadores del spam incluyeron vínculos maliciosos y una fotografía de un falso amigo para hacer que los receptores den clic en ellos, lo que inicia la descarga de un troyano.
Fuente: http://www.diarioti.com/gate/n.php?id=19854
sábado, 18 de octubre de 2008
Actualización de Adobe Flash Player 10 se ocupa de mitigar el 'clickjacking'
El miércoles Adobe anunció el lanzamiento de Flash Player versión 10, que se ocupa de la vulnerabilidad de seguridad clickjacking la cual podría dar acceso a un atacante para usar la cámara y micrófono del usuario.
En un boletín de seguridad, Adobe dice que todos los usuario de Flash Player versión 9.0.124.0 y anteriores deben actualizar a la versión 10. Los usuarios pueden actualizar ejecutando el auto-update del programa cuando este les pregunta, o visitar el sitio de Adobe's Player Download Center.
“El clickjacking es un problema en múltiples navegadores web que le pueden permitir a un atacante atraer al usuario a hacer clic en enlaces o diálogos sin que se de cuenta,” dijo Adobe en un boletín de seguridad. “Esta actualización previene el ataque de clickjacking en un Flash Player en las cámara y micrófono del usuario. "
La actualización también se ocupa de otros asuntos de seguridad. Previene de un ataque de escalación de privilegios contra servidores web que alojan contenido Flash y archivos de políticas interdomino, repara una falla potencial de escaneo de puertos e impide potenciales ataques a la API del portapapeles, dijo Adobe en su boletín de seguridad.
"Recomendamos a todos los usuarios actualizar a Adobe Flash Player 10 para mitigar los potenciales problemas de seguridad descriptos en el Boletín de Seguridad del 15 de Octubre" le dijo en un correo electrónico a SCMagazineUS.com Brad Arkin, director, Seguridad y Privacidad de Producto en Adobe.
Los clientes que no puedan actualizarse de inmediato debido a restricciones de TI u otras razones, pueden cambiar su configuración para mitigar el problema potencial de caer víctimas de una explotación de clickjacking. El atajo es el descripto en un boletín anterior de Adobe. Arkin dijo que habrá una actualización para Flash Player 9 el mes próximo.ño
Jermiah Grossman, fundador de WhiteHat Security y Robert Hansen, fundador y CEO de
SecTheory notificaron el mes pasado a Adobe de las posibles explotaciones de clickjacking para el Flash. Estos dos investigadores han estado investigando el clickjacking desde mediados de este año.
Autor: Angela Moscaritolo
Fuente:
http://www.scmagazineus.com/Adobes-Flash-Player-10-upgrade-addresses-clickjacking/article/119559/
http://www.adobe.com/support/security/bulletins/apsb08-18.html
En un boletín de seguridad, Adobe dice que todos los usuario de Flash Player versión 9.0.124.0 y anteriores deben actualizar a la versión 10. Los usuarios pueden actualizar ejecutando el auto-update del programa cuando este les pregunta, o visitar el sitio de Adobe's Player Download Center.
“El clickjacking es un problema en múltiples navegadores web que le pueden permitir a un atacante atraer al usuario a hacer clic en enlaces o diálogos sin que se de cuenta,” dijo Adobe en un boletín de seguridad. “Esta actualización previene el ataque de clickjacking en un Flash Player en las cámara y micrófono del usuario. "
La actualización también se ocupa de otros asuntos de seguridad. Previene de un ataque de escalación de privilegios contra servidores web que alojan contenido Flash y archivos de políticas interdomino, repara una falla potencial de escaneo de puertos e impide potenciales ataques a la API del portapapeles, dijo Adobe en su boletín de seguridad.
"Recomendamos a todos los usuarios actualizar a Adobe Flash Player 10 para mitigar los potenciales problemas de seguridad descriptos en el Boletín de Seguridad del 15 de Octubre" le dijo en un correo electrónico a SCMagazineUS.com Brad Arkin, director, Seguridad y Privacidad de Producto en Adobe.
Los clientes que no puedan actualizarse de inmediato debido a restricciones de TI u otras razones, pueden cambiar su configuración para mitigar el problema potencial de caer víctimas de una explotación de clickjacking. El atajo es el descripto en un boletín anterior de Adobe. Arkin dijo que habrá una actualización para Flash Player 9 el mes próximo.ño
Jermiah Grossman, fundador de WhiteHat Security y Robert Hansen, fundador y CEO de
SecTheory notificaron el mes pasado a Adobe de las posibles explotaciones de clickjacking para el Flash. Estos dos investigadores han estado investigando el clickjacking desde mediados de este año.
Autor: Angela Moscaritolo
Fuente:
http://www.scmagazineus.com/Adobes-Flash-Player-10-upgrade-addresses-clickjacking/article/119559/
http://www.adobe.com/support/security/bulletins/apsb08-18.html
Disponibles las primeras presentaciones de la Ekoparty Security Conference 2008
Ya están publicadas en el sitio oficial las primeras presentaciones de la Ekoparty Security Conference 4th edition (2008).
Para accederlas, visitar la sección "Archivo" en el sitio web.
Por el momento, están disponibles las siguientes presentaciones:
* Economies of Scale in Hacking - Dave Aitel
* Console Hacking - Victor Muñoz
* Blackbox Reversing of XSS Filters - Alexander Sotirov
* Exploring Novelty Ways in Building Botnets - Simon Rich - Daniel Mende
* Nueva Herramienta Para Monitorear WiFi: Beholder - Nelson Murilo - Luiz Eduardo
Redacción de Segu-Info
Para accederlas, visitar la sección "Archivo" en el sitio web.
Por el momento, están disponibles las siguientes presentaciones:
* Economies of Scale in Hacking - Dave Aitel
* Console Hacking - Victor Muñoz
* Blackbox Reversing of XSS Filters - Alexander Sotirov
* Exploring Novelty Ways in Building Botnets - Simon Rich - Daniel Mende
* Nueva Herramienta Para Monitorear WiFi: Beholder - Nelson Murilo - Luiz Eduardo
Redacción de Segu-Info
Sitios que informan quien no te admite en MSN
¿Llegaremos a los 100 sitios del tipo quienteadmite?
Si conoces alguno que no está en la lista, deja un comentario para agregarlo.
Redacción de Segu-Info
Si conoces alguno que no está en la lista, deja un comentario para agregarlo.
Redacción de Segu-Info
"Spear phishing" estafa a usuarios de LinkedIn
Al menos 10.000 usuarios de LinkedIn.com fueron objeto de un tipo de estafa.
Al menos 10.000 usuarios de LinkedIn.com, la red social para profesionales, fueron objeto de un tipo de estafa que insta a los destinatarios a abrir un archivo malicioso enmascarado en una lista de contactos de negocios.
La mayoría de los emails del tipo phishing destinados a engañar a la gente para obtener datos financieros, son eliminados inmediatamente. Sin embargo, los ataques denominados "phishing de arpón" - como la falsa campaña de LinkedIn – al aparecer la dirección de los destinatarios y llamarlos por su nombre, tienen apariencia de más legítimos.
Los mensajes en esta campaña fueron hechos de una forma tal que pareciera que fueron enviados desde la direccion support@linkedin.com, con la línea "Re: contactos de negocios" en el asunto.
El mensaje era el siguiente:
[nombre del destinatario]
Hemos logrado exportar la lista de contactos de negocio que has pedido.
El nombre, dirección, teléfono, e-mail y sitio web, estan incluidos. La archivo se encuentra adjunto a este mensaje. Después de verificar el mismo, ¿podría por favor hácermelo saber para que podamos cerrar este apoyo billete abierto sobre este asunto.
Gracias por utilizar LinkedIn
David Burrows
Departamento de Soporte Técnico
De: [nombre del destinatario]
Asunto: contactos de negocios
A: support@linkedin.com
Fecha: viernes, 19 de septiembre de 2008, 11:38 AM
Me gustaría saber si es posible exportar mi lista de contactos de negocio de LinkedIn y guardarla en mi disco duro.
He tratado de hacerlo pero parece que el sitio web deja de de funcionar después de que presionar el botón de exportacion. ¿Podrian hacer ustedes la exportación y luego me la envían a mí correo? Es urgente.
Gracias
[nombre del destinatario]
La "lista" que se adjunta al mensaje es un malware que intenta robar nombres de usuario, contraseñas y otros datos sensibles de la víctima de la PC. Según fuentes de la industria de la seguridad que pidió permanecer en reserva remitió la revisión de seguridad utilizada en este ataque. La fuente dijo que, de las 10.000 personas que recibieron el mensaje, la totalidad son usuarios de LinkedIn.
Los ataques de "Spear phishing" no son nuevos. Vale la pena señalar que suelen tener un tasa mucho mayor de exito que los phishing comunes.
En varias ocasiones me había hecho la siguiente pregunta ¿cuánto tiempo les iba a tomar a los delincuentes empezar a robar datos de LinkedIn? Una vez que los usuarios son engañados por los estafadores, ellos pueden aprovechar la confianza ganada y utilizar esos contactos para futuros ataques.
Si bien este ataque fue un éxito sólo contra las personas que abrieron el archivo adjunto, los delincuentes podrían haber sustituido un vínculo malicioso por el habitual enlace a "unirse a mi red de LinkedIn" incluido en todas las nuevas solicitudes de invitación.
Si no estás seguro de la legitimidad de un mensaje, siempre podes acceder a tu cuenta de LinkedIn y comprobarlo en la bandeja de entrada. Asi podras confirmar que el mensaje efectivamente esté esperando allí.
Krista Canfield, portavoz de LinkedIn dice que los mensajes no fueron enviados a través de la propia red de LinkedIn y que la empresa recibió preguntas de los usuarios acerca de estos emails y respondió a cada una de las investigaciones con las indicaciones del caso.
Fuente: Washington Post
Por Brian Krebs
Traduccion: Identidad Robada
Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=2015
Al menos 10.000 usuarios de LinkedIn.com, la red social para profesionales, fueron objeto de un tipo de estafa que insta a los destinatarios a abrir un archivo malicioso enmascarado en una lista de contactos de negocios.
La mayoría de los emails del tipo phishing destinados a engañar a la gente para obtener datos financieros, son eliminados inmediatamente. Sin embargo, los ataques denominados "phishing de arpón" - como la falsa campaña de LinkedIn – al aparecer la dirección de los destinatarios y llamarlos por su nombre, tienen apariencia de más legítimos.
Los mensajes en esta campaña fueron hechos de una forma tal que pareciera que fueron enviados desde la direccion support@linkedin.com, con la línea "Re: contactos de negocios" en el asunto.
El mensaje era el siguiente:
[nombre del destinatario]
Hemos logrado exportar la lista de contactos de negocio que has pedido.
El nombre, dirección, teléfono, e-mail y sitio web, estan incluidos. La archivo se encuentra adjunto a este mensaje. Después de verificar el mismo, ¿podría por favor hácermelo saber para que podamos cerrar este apoyo billete abierto sobre este asunto.
Gracias por utilizar LinkedIn
David Burrows
Departamento de Soporte Técnico
De: [nombre del destinatario]
Asunto: contactos de negocios
A: support@linkedin.com
Fecha: viernes, 19 de septiembre de 2008, 11:38 AM
Me gustaría saber si es posible exportar mi lista de contactos de negocio de LinkedIn y guardarla en mi disco duro.
He tratado de hacerlo pero parece que el sitio web deja de de funcionar después de que presionar el botón de exportacion. ¿Podrian hacer ustedes la exportación y luego me la envían a mí correo? Es urgente.
Gracias
[nombre del destinatario]
La "lista" que se adjunta al mensaje es un malware que intenta robar nombres de usuario, contraseñas y otros datos sensibles de la víctima de la PC. Según fuentes de la industria de la seguridad que pidió permanecer en reserva remitió la revisión de seguridad utilizada en este ataque. La fuente dijo que, de las 10.000 personas que recibieron el mensaje, la totalidad son usuarios de LinkedIn.
Los ataques de "Spear phishing" no son nuevos. Vale la pena señalar que suelen tener un tasa mucho mayor de exito que los phishing comunes.
En varias ocasiones me había hecho la siguiente pregunta ¿cuánto tiempo les iba a tomar a los delincuentes empezar a robar datos de LinkedIn? Una vez que los usuarios son engañados por los estafadores, ellos pueden aprovechar la confianza ganada y utilizar esos contactos para futuros ataques.
Si bien este ataque fue un éxito sólo contra las personas que abrieron el archivo adjunto, los delincuentes podrían haber sustituido un vínculo malicioso por el habitual enlace a "unirse a mi red de LinkedIn" incluido en todas las nuevas solicitudes de invitación.
Si no estás seguro de la legitimidad de un mensaje, siempre podes acceder a tu cuenta de LinkedIn y comprobarlo en la bandeja de entrada. Asi podras confirmar que el mensaje efectivamente esté esperando allí.
Krista Canfield, portavoz de LinkedIn dice que los mensajes no fueron enviados a través de la propia red de LinkedIn y que la empresa recibió preguntas de los usuarios acerca de estos emails y respondió a cada una de las investigaciones con las indicaciones del caso.
Fuente: Washington Post
Por Brian Krebs
Traduccion: Identidad Robada
Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=2015
Guía para socializar en línea de modo seguro
Trend Argentina, especialista en seguridad de contenido, ofrece una guía de consejos y sugerencias tanto para los jóvenes como para sus padres, con el objetivo de garantizar una navegación segura para los menores.
Los padres, maestros y tutores que se hacen cargo de los jóvenes que son socialmente activos en línea deben primero establecer expectativas razonables. Prohibir a los jóvenes usar redes sociales puede obligarlos a hacerlo a escondidas y encontrarse en otro lugares (como computadoras en bibliotecas, teléfonos móviles o las computadoras de sus amigos) para seguir su vida social en línea. Una alternativa positiva es enseñarles cómo pensar de forma crítica sobre lo que están viendo, leyendo, escuchando y compartiendo en línea, y pedir ayuda cuando algo no parece bien.
Guía para Jóvenes:
A continuación presentamos algunas sugerencias para que los jóvenes tengan presente a la hora de ingresar a redes sociales, chats o blogs.
• Utiliza un seudónimo o nombre de código en lugar de tu nombre real. No utilices un nombre que sea sexualmente sugerente u ofensivo para otros. Esto puede ayudar a reducir la probabilidad de acoso en línea.
• Configura tus perfiles para que estén privados de modo que sólo la gente que vos invites pueda ver lo que publicas.
• No compartas tu dirección, teléfono u otra información personal en ínea. No reveles tu ubicación real o planes para salidas o eventos.
• Ten cuidado de compartir fotos provocativas o detalles íntimos en línea, incluso con la gente que conoces o, incluso, en un correo electrónico o sms. La información podría ser copiada y hacerse pública. Recuerda: lo que digas en una sala de chat o sesión de mensajería instantánea se queda allí y no puede eliminarse después.
• Mantén actualizado tu software de seguridad y asegúrate de que el resto de las aplicaciones de software estén actualizadas y con sus respectivos parches.
• Lee “entre líneas”. Sé consciente que, si bien algunas personas son muy agradables en línea, otras actúan de forma amable porque están tratando de obtener algo.
• Evita las reuniones a solas. La única forma de que alguien pueda lastimarte físicamente es si están ambos en el mismo lugar. Si realmente tienes que conocer a alguien en persona, no vayas solo y dile a tus padres dónde estarás.
• Piensa cómo respondes. Si alguien dice o hace algo que te haga sentir incómodo, bloquéalo y no respondas. Si continúan, deja que tus padres u otro adulto lo sepa y guarda el mensaje.
• Todos estos mismos consejos se aplican para el uso de los celulares.
Guías para Padres:
A continuación, una guía para que los padres logren involucrarse con la vida digital de sus hijos:
• Definan expectativas razonables. Desconectar el cable del sitio social favorito de su hijo es como desconectar su vida social. Esto puede cerrar la comunicación y hacer que los niños actúen a escondidas, aumentando el riesgo para ellos.
• Hable con sus hijos sobre qué sitios están visitando y qué están haciendo en línea. Ayúdelos a entender algunos lineamientos de seguridad básicos, como proteger su privacidad (incluyendo contraseñas), nunca hablar de sexo con la gente que no conocen, evitar las reuniones a solas con gente que conocen en línea y ser cuidadosos con lo que publican en línea.
• Apoye el pensamiento crítico. Estimule a su hijo para que desarrolle un buen sentido de la seguridad y las relaciones, tanto en línea como fuera de ella.
• Considere el uso de Internet en un lugar de alto tráfico en su hogar para ayudar a monitorear las actividades y ampliar el uso.
• Trate que sus hijos compartan sus perfiles y blogs con usted. También, utilice motores de búsqueda y las herramientas de búsqueda de los sitios de redes sociales para buscar el nombre completo de sus hijos, números de teléfono y otra información que los identifique. No está invadiendo su privacidad si están proporcionando información personal en lugares públicos en línea.
Para consultar más información sobre la seguridad en Internet para niños y familias, visite www.trendmicro.com/go/safety
Fuente: http://seguridad-informacion.blogspot.com/2008/10/gua-para-socializar-en-lnea-de-modo.html
Los padres, maestros y tutores que se hacen cargo de los jóvenes que son socialmente activos en línea deben primero establecer expectativas razonables. Prohibir a los jóvenes usar redes sociales puede obligarlos a hacerlo a escondidas y encontrarse en otro lugares (como computadoras en bibliotecas, teléfonos móviles o las computadoras de sus amigos) para seguir su vida social en línea. Una alternativa positiva es enseñarles cómo pensar de forma crítica sobre lo que están viendo, leyendo, escuchando y compartiendo en línea, y pedir ayuda cuando algo no parece bien.
Guía para Jóvenes:
A continuación presentamos algunas sugerencias para que los jóvenes tengan presente a la hora de ingresar a redes sociales, chats o blogs.
• Utiliza un seudónimo o nombre de código en lugar de tu nombre real. No utilices un nombre que sea sexualmente sugerente u ofensivo para otros. Esto puede ayudar a reducir la probabilidad de acoso en línea.
• Configura tus perfiles para que estén privados de modo que sólo la gente que vos invites pueda ver lo que publicas.
• No compartas tu dirección, teléfono u otra información personal en ínea. No reveles tu ubicación real o planes para salidas o eventos.
• Ten cuidado de compartir fotos provocativas o detalles íntimos en línea, incluso con la gente que conoces o, incluso, en un correo electrónico o sms. La información podría ser copiada y hacerse pública. Recuerda: lo que digas en una sala de chat o sesión de mensajería instantánea se queda allí y no puede eliminarse después.
• Mantén actualizado tu software de seguridad y asegúrate de que el resto de las aplicaciones de software estén actualizadas y con sus respectivos parches.
• Lee “entre líneas”. Sé consciente que, si bien algunas personas son muy agradables en línea, otras actúan de forma amable porque están tratando de obtener algo.
• Evita las reuniones a solas. La única forma de que alguien pueda lastimarte físicamente es si están ambos en el mismo lugar. Si realmente tienes que conocer a alguien en persona, no vayas solo y dile a tus padres dónde estarás.
• Piensa cómo respondes. Si alguien dice o hace algo que te haga sentir incómodo, bloquéalo y no respondas. Si continúan, deja que tus padres u otro adulto lo sepa y guarda el mensaje.
• Todos estos mismos consejos se aplican para el uso de los celulares.
Guías para Padres:
A continuación, una guía para que los padres logren involucrarse con la vida digital de sus hijos:
• Definan expectativas razonables. Desconectar el cable del sitio social favorito de su hijo es como desconectar su vida social. Esto puede cerrar la comunicación y hacer que los niños actúen a escondidas, aumentando el riesgo para ellos.
• Hable con sus hijos sobre qué sitios están visitando y qué están haciendo en línea. Ayúdelos a entender algunos lineamientos de seguridad básicos, como proteger su privacidad (incluyendo contraseñas), nunca hablar de sexo con la gente que no conocen, evitar las reuniones a solas con gente que conocen en línea y ser cuidadosos con lo que publican en línea.
• Apoye el pensamiento crítico. Estimule a su hijo para que desarrolle un buen sentido de la seguridad y las relaciones, tanto en línea como fuera de ella.
• Considere el uso de Internet en un lugar de alto tráfico en su hogar para ayudar a monitorear las actividades y ampliar el uso.
• Trate que sus hijos compartan sus perfiles y blogs con usted. También, utilice motores de búsqueda y las herramientas de búsqueda de los sitios de redes sociales para buscar el nombre completo de sus hijos, números de teléfono y otra información que los identifique. No está invadiendo su privacidad si están proporcionando información personal en lugares públicos en línea.
Para consultar más información sobre la seguridad en Internet para niños y familias, visite www.trendmicro.com/go/safety
Fuente: http://seguridad-informacion.blogspot.com/2008/10/gua-para-socializar-en-lnea-de-modo.html
Introducción al Portable Document Format (PDF)
Hace ya unos meses, en la Black Hat europea de este año, se hizo una charla que hablaba de las capacidades y funcionalidades del formato PDF. En ella se advertía que gracias a algunas de sus funciones, un simple PDF podría convertirse en un malware en toda regla que podría realizar las acciones que especificara el atacante. Además, recientemente se ha puesto de moda la explotación de vulnerabilidades a través de documentos en este formato. Es por eso que hoy os voy a contar lo básico sobre la estructura de un PDF y cómo trabaja internamente. Puede que resulte un poco pesado, pero os prometo que en los próximos posts sobre el mismo tema habrá más parte práctica;) Para hacerlo más ameno podéis abrir un PDF en un editor de texto o en un editor hexadecimal e ir viendo todo lo que voy comentando.
Un PDF está formado internamente por multitud de objetos que se relacionan entre sí. Estos objetos pueden ser de ocho tipos diferentes: booleanos, números enteros y reales, cadenas de texto, nombres, arrays, diccionarios, streams y nulos. Dejando aparte los tipos “conocidos”, los nombres son una especie de etiquetas de los distintos elementos que definen un objeto, los diccionarios, delimitados por los caracteres "<<" y ">>", son un conjunto de parejas clave-valor, y los streams, delimitados por las palabras "stream" y "endstream", son secuencias de bytes, un flujo de información que los lectores PDF pueden leer incrementalmente, al contrario que las cadenas de texto normales. Todos los objetos se pueden declarar como objetos indirectos, de forma que se les asigna un identificador para poder ser referenciados en cualquier otra parte del archivo. Esta clase de objetos están delimitados por las palabras "obj" y "endobj".
Un PDF está formado internamente por multitud de objetos que se relacionan entre sí. Estos objetos pueden ser de ocho tipos diferentes: booleanos, números enteros y reales, cadenas de texto, nombres, arrays, diccionarios, streams y nulos. Dejando aparte los tipos “conocidos”, los nombres son una especie de etiquetas de los distintos elementos que definen un objeto, los diccionarios, delimitados por los caracteres "<<" y ">>", son un conjunto de parejas clave-valor, y los streams, delimitados por las palabras "stream" y "endstream", son secuencias de bytes, un flujo de información que los lectores PDF pueden leer incrementalmente, al contrario que las cadenas de texto normales. Todos los objetos se pueden declarar como objetos indirectos, de forma que se les asigna un identificador para poder ser referenciados en cualquier otra parte del archivo. Esta clase de objetos están delimitados por las palabras "obj" y "endobj".
jueves, 16 de octubre de 2008
Falso Lotto supuestamente apoyado por Google
Nos ha llegado un informe de un supuesto premio de un Lotto apoyado por Google. Por supuesto se trata de un correo que tiene la intención de hacer caer incautos para realizar fraudes y estafas.El correo luce así:
No responda este tipo de correos.Gracias Carlos por el reporte.Redacción Segu-Info
No responda este tipo de correos.Gracias Carlos por el reporte.Redacción Segu-Info
Los hackers son responsables sólo de 1% de las filtraciones de información
Los hackers son casi inofensivos comparados con los propios empleados en lo que se refiere a las infracciones a la seguridad TI y al sabotaje directo.Compuware es una compañia internacional/global que ofrece soluciones y servicios dentro del desarrollo, prueba y mantenimiento de aplicaciones de importancia crítica para las empresas. La compañia ha publicado recientemente una investigación denominada 2008 Study on the Uncertainty of Data Breach Detection, realizada entre 1.112 compañías estadounidenses con departamentos propios de TI, en la que se preguntaba acerca de la vulneración de sus reglas de seguridad y cual es la razón de que esto suceda. La investigación estuvo a cargo de Ponemon Institute, por encargo de Compuware.El informe contiene también datos recabados en investigaciones equivalentes en Francia, Inglaterra y Alemania.Compuware indica que una nueva legislación obliga a las compañías a orientar a los clientes en el área de la seguridad informática. Se requiere además elaborar bitácoras con las razones de las infracciones a las normas del caso.Un 79% de los encuestados indica que sus compañías han visto que al menos en una oportunidad la información interna/confidencial sobre los consumidores, clientes, empleados u otros ha sido robada o se ha perdido.La respuesta a la pregunta de cómo se ha filtrado esta información, da la impresión de que los departamentos de TI en gran grado están protegidos contra los hacker clásicos.Los hackers son sólo responsables en el 1% de los casos. Las dos razones mas importantes son los descuidos y negligencias internas y la externalización de datos. Tales factores son la causa del 75% y 42% de las incidencias, respectivamente. Los casos de sabotaje interno corresponden al 26% de las incidencias.Los hackers son casi inofensivos comparados con los propios empleados en lo que se refiere a violación a la seguridad.El informe distribuye los casos de acuerdo al medio. El 39% se trata de impresiones en papel. El medio mas común es una u otra forma de aparatos TI móviles. En un 58 % de los casos la información que se ha filtrado ha estado guardada en PC portátiles, PDA o unidades de memoria USB. En un 50% de los casos han estado al alcance en la red y un 41% de los casos se trata de grandes sistemas. Las copias de seguridad están comprometidas en un 18% de los casos.El hecho que se proporcionen varios soportes de almacenamiento para cada caso refleja la gran inseguridad en torno a lo que ha sucedido en cada incidencia. Los menos tienen integradas rutinas y herramientas para analizar que es lo que realmente ha sucedido. Sólo un 7% se atreve a contestar que tienen "confianza absoluta" en que han registrado todos los hechos en cada caso de filtración de información. Los respuestas restantes se dividen de la siguiente forma: 34% tienen “confianza", 38% tienen “algo de confianza" y el 16% tienen “nada de confianza" y un 5% están “inseguros".La confianza de que uno está en condiciones de averiguar si la información se ha filtrado es aun menor: A la pregunta si tienen confianza en que la compañía descubra si la información se ha filtrado responden un 10% "gran confianza", 25% "algo de confianza" mientras que el 31% contesta "ninguna confianza y el resto, un 18% dice "inseguro".En la investigación y encuesta se preguntó qué tipo de herramientas se necesita para averiguar las razones de una vulneración de datos y cuales efectivamente están disponibles. Para tres tipos de herramientas había grandes discrepancias entre lo que se necesita y lo que se usa:• 88 % dice que todas las transacciones deberían ser registradas; solo el 16 % lo hace• 75 % dice que tales bitácoras deberían ser analizadas; el 44 % lo hace• 71 % dice que se debe vigilar el tráfico de redes; el 48 % lo haceLa puesta en practica de las medidas ausentes tendrá también un considerable efecto preventivo, muestra la investigación.90 % dice que el registro de transacciones con uso continuado de las herramientas de análisis es una medida importante para prevenir los casos de filtración de información. 73 % dice que la supervisión de redes y análisis continuos serán preventivos, mientras que el 63% dice que las herramientas para analizar las bitácoras también constituyen medidas preventivas.La investigación muestra también que la mayoría de las compañías no han registrado quien tiene la responsabilidad de descubrir y reaccionar en los casos de filtración de información. El 43% de los encuestados declaró que nadie tenía esta responsabilidad, mientras que un 28% dijo que no saber de quién era tal responsabilidad.Fuente: http://www.diarioti.com/gate/n.php?id=19805
Comprar y vender de forma segura por Internet
Comprar o vender por Internet es completamente seguro si cumples unas mínimas normas de seguridad. Es cierto que algunos vendedores o compradores mal intencionados buscan la manera de estafar utilizando sitios de compra venta de segunda mano.
Para evitar ser engañados lo mejor es tener en cuenta unas recomendaciones básicas de seguridad.
Seguir leyendo
Para evitar ser engañados lo mejor es tener en cuenta unas recomendaciones básicas de seguridad.
Seguir leyendo
La crisis obliga a los ciberdelincuentes a agudizar el ingenio
Treinta millones de computadoras infectadas por los falsos antivirus estarían generando más de diez millones de € de beneficio a sus autores cada mes.La distribución de más de siete mil variantes de este tipo de adware, que comenzó hace casi un año, sigue consiguiendo hacer picar a millones de internautas que pasan de media tres días para conseguir desinfectar sus equipos. En realidad, se trata de una acción para conseguir datos bancarios y estafar dinero, ya que tras el aviso de infección lleva al usuario a páginas de venta de falsos antivirus. A un precio medio de 49,95 €, y según los datos que tenemos, “calculamos que los autores de este malware pueden estar ganando más de 10.000.000 de € mensuales, ya que el 3% de los infectados realmente procede a la compra”.No es nuevo, no es original, pero lo cierto es que el número de las infecciones causadas por los falsos antivirus sigue creciendo a grandes velocidades. Sus autores no buscan otra cosa que el beneficio económico, y lo están consiguiendo. “Según los datos de infecciones que recibimos en PandaLabs” –comenta Luis Corrons, director técnico de PandaLabs-, “hay más de treinta millones de internautas infectados por esta nueva oleada de falsos antivirus. Por la información que tenemos, alrededor de un 3% de éstos acceden a dar sus datos personales y a comprar un producto para desinfectar su ordenador que nunca reciben. A una media de 49,95 €, podemos cifrar los beneficios de sus autores en más de diez millones de € mensuales”.Y todo ello, simplemente creando miles de variantes de un nuevo adware y distribuyéndolas a través de Internet. Los usuarios se infectan de diferentes formas: navegando por páginas con contenido adulto; bajándose ficheros de redes de intercambio peer-to-peer; accediendo a postales con dedicatoria que reciben por correos electrónicos; descarga de ficheros que aprovechan agujeros de seguridad, de forma que el usuario ni se entera, etc. Incluso, se han dado casos de ejemplares que manipulaban la página de inicio de Google (http://www.flickr.com/photos/panda_security/2909336058/).El mecanismo de todas las variantes es el mismo: avisan al usuario que su PC está infectado, y comienzan a aparecer ventanas emergentes, fondos de escritorio y salvapantallas que realmente abruman al internauta y no le dejan hacer prácticamente nada. Estas prácticas buscan, sobre todo, asustarle, utilizando por ejemplo cucarachas que se comen el escritorio hasta que el usuario no tiene más remedio que hacer clic en el botón de compra, o bien simulan fallos de Windows con el típico pantallazo azul.Los internautas más avezados se dan cuenta de que realmente se trata de una infección y buscan la solución. “La peor parte de estos falsos antivirus es que son muy difíciles de desinfectar. Los usuarios más avanzados pueden intentar hacerlo manualmente, técnica realmente difícil si no se sabe mucho de informática. En general, los usuarios tardan unos tres días en eliminar por completo esta amenaza”, añade Luis Corrons. “Por eso recomendamos que si su antivirus no lo ha detectado, se instalen uno de nueva generación, especialmente preparados para detectar, desinfectar y eliminar todo rastro de esta amenaza”.Seguir leyendo
Cambio de horario en Argentina (Microsoft)
A raíz de que se ha publicado información sobre un posible cambio de huso horario para el período estival en la Argentina, y para el caso en que dicho cambio efectivamente se concrete, por favor tener en cuenta y observar lo siguiente:Actualmente, las computadoras en Argentina están configuradas según el huso horario "(GMT-03:00) Buenos Aires, Georgetown". Sin embargo, los valores predeterminados para dicho huso horario "(GMT-03:00) Buenos Aires, Georgetown" no reflejan las fechas de inicio y culminación del horario para el período estival definidas por las Autoridades Nacionales.Este boletín resume las recomendaciones para que los Clientes y Usuarios en Argentina instrumenten el horario de verano y mitiguen sus repercusiones.
Botnets: la caza se extiende al teléfono móvil
Las terminales móviles son vulnerables y las grandes redes de bots que venden sus servicios a los spammers y la delincuencia informática organizada, preparan un asalto sin precedentes, según revelan los investigadores de Georgia Tech en un informe.El estudio alerta de la extensión de los botnets desde los PCs hasta los terminales móviles, gracias al aumento de su potencia de cálculo y amplia conectividad a Internet, aprovechando las vulnerabilidades de los celulares y los sistemas operativos de aplicaciones web.Los investigadores de Georgia Tech dicen que los teléfonos móviles suponen un gran atractivo para los delincuentes informáticos, ya que por lo general están enviando y recibiendo datos continuamente y suelen tener sistemas de seguridad de bajo nivel.Si los botnets son capaces de entrar en las redes móviles, nuevos tipos de estafas se pondrán en marcha, como utilizar los móviles para realizar llamadas a servicios de pago o cualquier actividad fraudulenta, convirtiendolos en zombies que extiendan la infección, dicen.Los operadores de telefonía celular tienen un control más estricto de sus redes que los proveedores de banda ancha fija, lo que significa que podrían cerrar las líneas de comunicación entre los teléfonos infectados de forma más sencilla. Aún así “ya los hemos visto superar antes otros grandes desafíos” advierten desde Georgia Tech.Fuente: http://www.theinquirer.es/2008/10/15/botnets-la-caza-se-extiende-al-telefono-movil.html
Malware en dispositivos móviles: situación actual
En un post anterior hablamos sobre los orígenes del malware en el mundo de los dispositivos móviles. Hoy trataremos el mismo tema, malware en dispositivos móviles, pero desde una perspectiva un poco más actual, con el objetivo de determinar si la amenaza es real o no.Con la aparición en el mercado de los últimos modelos de dispositivos móviles, actividades como la navegación web o recibir correo en el dispositivo móvil son algo cada vez más habitual. Las amenazas descritas en el post anterior se propagaban usando bluetooth, sms, y en la mayoría de los casos, a través de ingeniería social (se engañaba al usuario para que él mismo se instalara el malware). Ahora bien, las capacidades que ofrecen los nuevos dispositivos móviles abren todo un abanico de nuevas posibilidades para el creador de malware. Los dispositivos actuales son prácticamente ordenadores en miniatura, luego, ¿por qué no es habitual ver u oír noticias relacionadas con ataques a este tipo de dispositivos?. La mayoría de la gente ya se ha concienciado de que debe usar un antivirus en su equipo de sobremesa, ¿por qué no ocurre lo mismo con los móviles?. Es más, el mercado de software antivirus para ordenadores convencionales está repleto de productos (McFee,Panda,Norton y un largo etc.), ¿por qué no ocurre lo mismo con el software antivirus para móviles?He aquí algunas de las razones:
La cantidad de desarrolladores de aplicaciones móviles es, sin duda, mucho menor que en el entorno de los PCs. Así pues, por pura estadística, la cantidad de autores de malware es menor para dispositivos móviles que para PCs.
El uso de dispositivos móviles para realizar transacciones bancarias electrónicas todavía no es muy popular, es por esto que los creadores de malware no se sienten muy atraídos por este tipo de dispositivos (no es ningún noticia nueva que el propósito del malware, en la mayoría de los casos, es robar dinero de las cuentas bancarias de usuarios poco precavidos).
El número de plataformas existentes todavía es demasiado diverso (Android de Google, Windows Mobile, Symbian de Nokia, BlackBerry, iPhone etc.), haciendo que una vulnerabilidad descubierta solo afecte una una población concreta de dispositivos móviles.Bueno, visto lo visto, parece que el malware en los dispositivos móviles no debería preocuparnos mucho, ¿no?. Desde mi punto de vista, no es un tema muy preocupante, todavía. Porque...
Si bien, como antes he comentado, todavía no es muy habitual hacer transacciones bancarias o compras a través de estos dispositivos, con la irrupción de dispositivos tipo iPhone, los Nokia n-series etc., todos ellos con capacidades web y multimedia muy avanzadas, tarde o temprano esto será algo habitual (de la misma manera que hoy día ya empieza a ser habitual comprar cosas por internet desde el PC de nuestra casa). De hecho instituciones financieras tales como el Bank of America ya están añadiendo las características necesarias a sus páginas web para poder facilitar la navegación usando el móvil.
En cuanto a la diversidad de plataformas, puede que en un futuro no muy lejano, alguna de ellas gane la suficiente popularidad como para que merezca la pena crear malware especifico. Así como ocurrió con Windows a nivel de PC , algo parecido podría ocurrir en el mundo móvil (no os penséis que Linux y Mac está libres de malware porque son geniales, es simplemente que la mayoría del malware se crea para el sistema operativo más popular, Windows; lo mismo puede ocurrir en el mundo de los móviles).
Finalmente, el campo del malware en el mundo de los PCs está bastante "vigilado"; muchas compañías dedicadas a la seguridad invierten mucho dinero al año en buscar medidas de protección ante este tipo de amenazas. No es descabellado pensar que los autores de malware decidan migrar al "coto" de los dispositivos móviles, mucho menos "vigilado".Yo soy de la opinión de que, tarde o temprano, el malware será un problema en este tipo de dispositivos, muy parecido al que padecen hoy día los ordenadores de sobremesa. Me atrevería a puntualizar que, en el momento en que estos dispositivos se empiecen a usar para realizar compras por Internet, transacciones bancarias y actividades similares de forma masiva, se convertirá en un problema tan popular como el de sus hermanos mayores los PCs de sobremesa.¿Qué opináis vosotros?Asier MarruedoS21sec e-crimeFuente: http://blog.s21sec.com/2008/10/malware-en-dispositivos-mviles-situacin.html
La cantidad de desarrolladores de aplicaciones móviles es, sin duda, mucho menor que en el entorno de los PCs. Así pues, por pura estadística, la cantidad de autores de malware es menor para dispositivos móviles que para PCs.
El uso de dispositivos móviles para realizar transacciones bancarias electrónicas todavía no es muy popular, es por esto que los creadores de malware no se sienten muy atraídos por este tipo de dispositivos (no es ningún noticia nueva que el propósito del malware, en la mayoría de los casos, es robar dinero de las cuentas bancarias de usuarios poco precavidos).
El número de plataformas existentes todavía es demasiado diverso (Android de Google, Windows Mobile, Symbian de Nokia, BlackBerry, iPhone etc.), haciendo que una vulnerabilidad descubierta solo afecte una una población concreta de dispositivos móviles.Bueno, visto lo visto, parece que el malware en los dispositivos móviles no debería preocuparnos mucho, ¿no?. Desde mi punto de vista, no es un tema muy preocupante, todavía. Porque...
Si bien, como antes he comentado, todavía no es muy habitual hacer transacciones bancarias o compras a través de estos dispositivos, con la irrupción de dispositivos tipo iPhone, los Nokia n-series etc., todos ellos con capacidades web y multimedia muy avanzadas, tarde o temprano esto será algo habitual (de la misma manera que hoy día ya empieza a ser habitual comprar cosas por internet desde el PC de nuestra casa). De hecho instituciones financieras tales como el Bank of America ya están añadiendo las características necesarias a sus páginas web para poder facilitar la navegación usando el móvil.
En cuanto a la diversidad de plataformas, puede que en un futuro no muy lejano, alguna de ellas gane la suficiente popularidad como para que merezca la pena crear malware especifico. Así como ocurrió con Windows a nivel de PC , algo parecido podría ocurrir en el mundo móvil (no os penséis que Linux y Mac está libres de malware porque son geniales, es simplemente que la mayoría del malware se crea para el sistema operativo más popular, Windows; lo mismo puede ocurrir en el mundo de los móviles).
Finalmente, el campo del malware en el mundo de los PCs está bastante "vigilado"; muchas compañías dedicadas a la seguridad invierten mucho dinero al año en buscar medidas de protección ante este tipo de amenazas. No es descabellado pensar que los autores de malware decidan migrar al "coto" de los dispositivos móviles, mucho menos "vigilado".Yo soy de la opinión de que, tarde o temprano, el malware será un problema en este tipo de dispositivos, muy parecido al que padecen hoy día los ordenadores de sobremesa. Me atrevería a puntualizar que, en el momento en que estos dispositivos se empiecen a usar para realizar compras por Internet, transacciones bancarias y actividades similares de forma masiva, se convertirá en un problema tan popular como el de sus hermanos mayores los PCs de sobremesa.¿Qué opináis vosotros?Asier MarruedoS21sec e-crimeFuente: http://blog.s21sec.com/2008/10/malware-en-dispositivos-mviles-situacin.html
jueves, 9 de octubre de 2008
Clickjacking: amenaza misteriosa
Se trata de una nueva vulnerabilidad a la que parecen expuestos los navegadores modernos y de la que se conocen pocos detalles. El Clickjacking se resume en lo siguiente: un usuario hace clic sobre un enlace o botón que está viendo y en realidad lo hace sobre otro enlace controlado por terceros. Se trata de una vulnerabilidad presentada en la conferencia de seguridad OWASP de la que los detalles se mantienen en secreto.
Sobre el Clickjacking se cierne un halo de cierto misterio. El pasado 24 de septiembre, en el marco de las conferencias de seguridad OWASP, dos reputados expertos en seguridad de navegadores web, Jeremiah Grossman y Robert Hansen, iban a ofrecer una conferencia sobre Clickjacking en la que iban a desvelar serias vulnerabilidades que afectaban a los navegadores web más importantes. Sin embargo la conferencia fue cancelada a petición de Adobe, de cuyo software y concretamente Flash se especula que provienen gran parte de los problemas. La anulación de la conferencia les valió incluso un agradecimiento oficial por parte de la compañía.
La verdad es que esta política ha conseguido casi el efecto contrario y ha provocado toda una serie de especulaciones sobre el contenido de las revelaciones que iban a realizar los dos expertos. Algunos recomiendan medidas drásticas, incluso sugiriendo la vuelta al uso de navegadores sólo texto como el Lynx mientras no se sepan más detalles. Así que ¿qué es eso del Clickjacking? ¿Es de verdad tan peligroso? En un artículo de PC Advisor se pueden leer algunas declaraciones de Grossman en las que sin dar demasiados detalles plantea el fenómeno como algo muy serio “Piensa en cualquier botón en cualquier web que puedes hacer aparecer dentro de las paredes de un navegador: transferencias de bancos, botones DIgg, banners de publicidad, la lista es virtualmente infinita.. Luego considera que un ataque puede superponerse de forma invisible sobre estos botones bajo el puntero del ratón, así que cuando éste hace clic sobre algo que está viendo, realmente está haciendo clic sobre algo que el atacante quiere que el usuario active”. Una descripción escalofriante y que ha puesto a muchos expertos a pensar. Una de las conclusiones es que no se trata de un problema que pueda solucionarse simplemente con un parche.
El problema es que el usuario estaría activando “voluntariamente” un enlace malicioso, pero desde el punto de vista del navegador la página no tiene ningún enlace sospechoso. Cualquier navegador compatible con páginas dinámicas, ya sea por DHTML o Javascript, es decir, todos los navegadores modernos, estaría expuesto a esta vulnerabilidad. La solución para impedir el Clickjacking sin tener que volver a utilizar navegadores en desuso para el gran público hace décadas, la podemos encontrar en paginas especialistas en seguridad como Kriptópolis. En particular, para los usuarios de Firefox, existe un programa llamado Noscript que protege de ese tipo de ataques, pero elimina la funcionalidad de cualquier script en Java, Javascript o Flash a menos que lo activemos individualmente para cada sitio web. Tal y como explican en Webmokey, la propia página de descarga de Noscript es un caso de Clickjacking. El usuario hace clic en un enlace de descarga local, pero el código de la página muestra al navegador el enlace de la página de sripts oficiales de Firefox, de forma que la instalación se puede realizar de un solo paso.
El verdadero problema de seguridad, según los expertos, es que las páginas web y en consecuencia los navegadores son cada día más complejos, contienen más código y más contenido dinámico para encandilar y facilitar la navegación al usuario. Eso hace que se multipliquen las posibilidades de enmascarar malware. Lo cierto es que el Clickjacking se ha hecho famoso por el halo de misterio creado por la repentina discreción de Grossman y Hansen. En realidad ellos mismos reconocieron que es un fenómeno que se viene produciendo en la web desde hace tiempo. Otros ataques similares, como el “Cross Site Request Forgery” o el “Cross Site Scripting” ya son muy conocidos y también aprovechan la potencia del lenguaje de script para engañar tanto a servidores como a usuarios.
¿Y la solución? Según el mencionado artículo de PC Advisor, Hansen opina que la única forma razonable de solucionar el problema es del lado de los navegadores. Al parecer él y Grossman ya se han puesto en contacto con Microsoft, Mozilla y Apple para ofrecer la información que obra en su poder y según ellos “están trabajando en una solución”. Según el experto Michal Zalewski, además de soluciones circunstanciales, una solución “sabia” desde el punto de vista de la seguridad sería la de redefinir el lenguaje HTML para construir modelos de seguridad para navegadores que permitieran el control específico de todas las formas de enlaces y referencias dentro de una página. Una propuesta interesante, sensata aunque casi irrealizable (como él mismo confiesa) que retrata cómo un modesto lenguaje de descripción de páginas se ha ido complicando tanto que ha abierto demasiadas lagunas de seguridad.
fuente: muycomputer.com
Sobre el Clickjacking se cierne un halo de cierto misterio. El pasado 24 de septiembre, en el marco de las conferencias de seguridad OWASP, dos reputados expertos en seguridad de navegadores web, Jeremiah Grossman y Robert Hansen, iban a ofrecer una conferencia sobre Clickjacking en la que iban a desvelar serias vulnerabilidades que afectaban a los navegadores web más importantes. Sin embargo la conferencia fue cancelada a petición de Adobe, de cuyo software y concretamente Flash se especula que provienen gran parte de los problemas. La anulación de la conferencia les valió incluso un agradecimiento oficial por parte de la compañía.
La verdad es que esta política ha conseguido casi el efecto contrario y ha provocado toda una serie de especulaciones sobre el contenido de las revelaciones que iban a realizar los dos expertos. Algunos recomiendan medidas drásticas, incluso sugiriendo la vuelta al uso de navegadores sólo texto como el Lynx mientras no se sepan más detalles. Así que ¿qué es eso del Clickjacking? ¿Es de verdad tan peligroso? En un artículo de PC Advisor se pueden leer algunas declaraciones de Grossman en las que sin dar demasiados detalles plantea el fenómeno como algo muy serio “Piensa en cualquier botón en cualquier web que puedes hacer aparecer dentro de las paredes de un navegador: transferencias de bancos, botones DIgg, banners de publicidad, la lista es virtualmente infinita.. Luego considera que un ataque puede superponerse de forma invisible sobre estos botones bajo el puntero del ratón, así que cuando éste hace clic sobre algo que está viendo, realmente está haciendo clic sobre algo que el atacante quiere que el usuario active”. Una descripción escalofriante y que ha puesto a muchos expertos a pensar. Una de las conclusiones es que no se trata de un problema que pueda solucionarse simplemente con un parche.
El problema es que el usuario estaría activando “voluntariamente” un enlace malicioso, pero desde el punto de vista del navegador la página no tiene ningún enlace sospechoso. Cualquier navegador compatible con páginas dinámicas, ya sea por DHTML o Javascript, es decir, todos los navegadores modernos, estaría expuesto a esta vulnerabilidad. La solución para impedir el Clickjacking sin tener que volver a utilizar navegadores en desuso para el gran público hace décadas, la podemos encontrar en paginas especialistas en seguridad como Kriptópolis. En particular, para los usuarios de Firefox, existe un programa llamado Noscript que protege de ese tipo de ataques, pero elimina la funcionalidad de cualquier script en Java, Javascript o Flash a menos que lo activemos individualmente para cada sitio web. Tal y como explican en Webmokey, la propia página de descarga de Noscript es un caso de Clickjacking. El usuario hace clic en un enlace de descarga local, pero el código de la página muestra al navegador el enlace de la página de sripts oficiales de Firefox, de forma que la instalación se puede realizar de un solo paso.
El verdadero problema de seguridad, según los expertos, es que las páginas web y en consecuencia los navegadores son cada día más complejos, contienen más código y más contenido dinámico para encandilar y facilitar la navegación al usuario. Eso hace que se multipliquen las posibilidades de enmascarar malware. Lo cierto es que el Clickjacking se ha hecho famoso por el halo de misterio creado por la repentina discreción de Grossman y Hansen. En realidad ellos mismos reconocieron que es un fenómeno que se viene produciendo en la web desde hace tiempo. Otros ataques similares, como el “Cross Site Request Forgery” o el “Cross Site Scripting” ya son muy conocidos y también aprovechan la potencia del lenguaje de script para engañar tanto a servidores como a usuarios.
¿Y la solución? Según el mencionado artículo de PC Advisor, Hansen opina que la única forma razonable de solucionar el problema es del lado de los navegadores. Al parecer él y Grossman ya se han puesto en contacto con Microsoft, Mozilla y Apple para ofrecer la información que obra en su poder y según ellos “están trabajando en una solución”. Según el experto Michal Zalewski, además de soluciones circunstanciales, una solución “sabia” desde el punto de vista de la seguridad sería la de redefinir el lenguaje HTML para construir modelos de seguridad para navegadores que permitieran el control específico de todas las formas de enlaces y referencias dentro de una página. Una propuesta interesante, sensata aunque casi irrealizable (como él mismo confiesa) que retrata cómo un modesto lenguaje de descripción de páginas se ha ido complicando tanto que ha abierto demasiadas lagunas de seguridad.
fuente: muycomputer.com
viernes, 3 de octubre de 2008
Desaparecen discos duros con los datos de miembros de la Fuerza Aérea británica
La Real Fuerza Aérea de Gran Bretaña (RAF) ha sufrido el robo de tres discos duros portátiles que contienen los datos personales de varios miembros y exmiembros de la RAF.Los discos se encontraban en la Agencia de Servicio al Personal y Veteranos en la localidad de Innsworth, al oeste de Inglaterra.Los datos no estaban codificados, pero el Ministerio de Defensa alegó que esto se debía a que los discos se encontraban guardados bajo llave en un armario ubicado en una sección de alta seguridad de la agencia.Para ingresar a la habitación que contenía los discos se debe pasar por dos puertas de seguridad, y los visitantes necesitan conseguir un pase que autorice su ingreso y estar acompañados de un escolta en todo momento.Dos de los tres discos robados contienen datos personales , como formularios con los nombres, fechas de nacimiento y números de servicio de los afectados, pero el Ministerio de Defensa británico ha asegurado que muy pocos formularios contenían datos financieros y direcciones de correo y todavía no se sabe con certeza a cuántas personas ha afectado este incidente..“No existe ningún indicio de que el propósito del robo haya sido conseguir los datos, ni de que alguien haya aprovechado los datos robados de alguna manera”, aseguró un portavoz del Ministerio de Defensa.Autoridades del Ministerio de Defensa y la policía local están investigando el robo. Por ahora, se cree que lo más probable es que algún empleado de la agencia haya estado involucrado en el robo.“Parece que alguien de dentro sabe algo al respecto. Sería un poco extraño que algún desconocido de la calle supiera con exactitud dónde encontrar los archivos y sólo haya ingresado para tomarlos. Se debe realizar una investigación completa.”, opinó Laurence Robertson, diputado de Tewkesbury.Fuente: http://www.viruslist.com/sp/news?id=208274226
La importancia del análisis del riesgo dentro del SGSI
Desde junio de este año, ya contamos con una nueva norma dentro de la serie ISO 27000. Se trata de quizás, una de las normas más estructurales de la serie ya que establece un criterio sobre la gestión del riesgo y proporciona un marco normalizado que nos puede ayudar a definir nuestra propia metodología y que tiene por títuloISO/IEC 27005:2008, Information technology -- Security techniques -- Information security risk management.El análisis del riesgo es crucial para el desarrollo y operación de un SGSI. Aunque se habla mucho del tema, en esta fase la organización debe construir lo que será su "modelo de seguridad", una representación de todos sus activos y las dependencias que estos presentan frente a otros elementos que son necesarios para su funcionamiento (edificios, suministros, sistemas informáticos, etc.) y su mapa de amenazas (una hipótesis de todo aquello que pudiera ocurrir y que tuviera un impacto para la organización).Es habitual, dada todavía la poca experiencia que existe en empresas sobre la seguridad que el análisis de riesgos lo realice la consultora externa que apoya en el proceso de implantación. Sin embargo, es muy importante que la empresa se involucre en esta actividad y entienda cómo se ha realizado este análisis. Sobre todo porque en el segundo ciclo del SGSI, se debe revisar éste análisis por si han habido cambios. Por hacer un simil que se entienda, el análisis de riesgos es como la visita al doctor para que nos identifique una enfermedad. Se realizan una serie de actividades como son: identificación de activos, identificación de amenazas, estimación de impactos y vulnerabilidades y con todo ello ya se puede calcular el riesgo. Pero éste diagnóstico es válido sólo para ese momento puntual en el tiempo. No es algo estático sino que va a cambiar a lo largo del tiempo: nuevos activos, nuevas amenazas, modificación en la ocurrencia de las amenazas (pensar por ejemplo en el caso del phishing como esta amenaza ha pasado a ser extremadamente frecuente en este último año). Por tanto, cada año la organización debe replantearse su diagnóstico y cuestionarse si tiene nuevos sintomas o si los sintomas detectados han sido ya mitigados y se pueden tratar otras carencias de menor importancia. La mejora continua afecta también al riesgo ya que si los niveles más altos se han solucionado, lo lógico es plantearse para el siguiente año atacar los siguientes.Es curioso además comprobar como la "gestión del riesgo de la seguridad " empieza a ser vista con buenos ojos por otras áreas que se dedican a gestionar el riesgo. Hablo por ejemplo del caso de las entidades financieras que en virtud a Basilea II deben tratar el riesgo operacional. La tecnología es un riesgo operativo, y en algunas organizaciones el área de seguridad ha entrado a formar parte de la gerencia de riesgos, así como ahora el área de seguridad está entrando a formar parte en las empresas del compliance.En este área nueva, existe un gran interés estudiar y comprender mejor el concepto del riesgo. Yo tengo un especial cariño a esta actividad porque fue por la que me introduce en esto de la seguridad hace ya casi diez años probando la primera versión de MAGERIT. Desde entonces el enfoque y la madurez de esta actividad ha cambiado y mejorado mucho, tratando de huir de la subjetividad de las valoraciones para llegar a un proceso formal, metódico y racional de valoración del riesgo.Gracias a www.iso27000.es he podido dar con FAIR. Esta aproximación trata de ofrecer las bases fundamentales del proceso, una descripción de los conceptos a utilizar, así como un marco para la realización de análisis de riesgos. Es importante señalar que gran parte del marco FAIR puede utilizarse para reforzar, en lugar de sustituir, los procesos de análisis de riesgos basados en metodologías tan conocidas como OCTAVE, MAGERIT, MEHARI. Esta documentación se puede descargar en FAIR.La Agencia Europea para la Seguridad de la Información (ENISA) dispone en el siguiente enlace de un inventario de las metodologías más conocidas que existen en torno a este tema que se puede consultar en este enlace.Otra de las cosas más atractivas de esta actividad, el análisis y la gestión del riesgo es su faceta psicológica. El riesgo se define en el diccionario como la proximidad a un daño. Formalmente sería el factor que pondera la vulnerabilidad frente a una amenaza y el impacto que puede ocasionar. Navegando he podido encontrar un texto curioso sobre esa gestión inconsciente que hacemos los humanos del riesgo.Fuente: http://seguridad-de-la-informacion.blogspot.com/2008/10/la-importancia-del-anlisis-del-riesgo.html
Protección anti-clickjacking
Si hace unos días hablábamos del misterioso Clickjacking como la madre de todas las vulnerabilidades en navegadores, hoy Giorgio Maone nos explica cómo protegernos frente a la amenaza... si es que podemos.
En resumen:
Los usuarios de Firefox + NoScript están a salvo del Clickjacking.
Los usuarios de navegadores en modo texto (Links, Lynx, w3m...) están a salvo.
Los usuarios de Opera están a salvo del Clickjacking, siempre que sigan los siguientes pasos:
Deshabilitar todas las opciones en Herrramientas -> Avanzado -> Contenidos.
Escribir "opera:config" en la barra de direcciones. Buscar "Extensions" y deshabilitar "iFrames" (...aunque yo no encuentro "iFrames" en mi Opera 9.50 para Linux!?).
Los usuarios de Explorer, Safari y Chrome no disponen de ninguna protección totalmente eficaz frente al Clickjacking.
Palabra de Maone. Amén.
Fuente: http://www.kriptopolis.org/proteccion-contra-clickjacking
En resumen:
Los usuarios de Firefox + NoScript están a salvo del Clickjacking.
Los usuarios de navegadores en modo texto (Links, Lynx, w3m...) están a salvo.
Los usuarios de Opera están a salvo del Clickjacking, siempre que sigan los siguientes pasos:
Deshabilitar todas las opciones en Herrramientas -> Avanzado -> Contenidos.
Escribir "opera:config" en la barra de direcciones. Buscar "Extensions" y deshabilitar "iFrames" (...aunque yo no encuentro "iFrames" en mi Opera 9.50 para Linux!?).
Los usuarios de Explorer, Safari y Chrome no disponen de ninguna protección totalmente eficaz frente al Clickjacking.
Palabra de Maone. Amén.
Fuente: http://www.kriptopolis.org/proteccion-contra-clickjacking
Los navegadores entregan cada vez más información
Los navegadores de Internet van dejando huellas electrónicas mientras el usuario se traslada de un lugar a otro en Internet. ¿Qué información entrega el navegador? Un nuevo sitio lo revela.Browserspy revela las huellas digitales exactas que el usuario inconscientemente va dejando por Internet. La tecnología usada por Browserspy fue desarrollada por el programador Henrik Gemal hace varios años. Inicialmente los sitios de Internet solo registraban la versión del navegador usada al visitarle. Sin embargo, la lista actual de información que es entregada por cada navegador es cada vez más larga.Por ejemplo, los propietarios de los sitios que el usuario visita están en condiciones de saber, por ejemplo, información como fuentes, sistema operativo, dirección IP, (y por ende la ciudad exacta desde la que se conecta el usuario) etc. Asimismo, existe un CCS exploit, que permite ver los sitios visitados recientemente por el usuario.El navegador también informa los programas instalados en el PC, independientemente de si se trata de Adobe Reader, OpenOffice.org, Google Chrome o Microsoft Silverlight, etc.Fuente: http://foro.hackhispano.com/showthread.php?t=31857
miércoles, 1 de octubre de 2008
Los usuarios de Internet no logran identificar ventanas falsas
Según investigación, la mayoría de los usuarios de Internet no logra distinguir entre ventanas emergentes falsas y legítimas notificaciones del sistema.Al parecer es fácil engañar a los usuarios de Internet a hacer clic en ventanas emergentes. Tal situación quedó demostrada en una investigación realizada por la Universidad de North Carolina, EEUU, que ha estudiado las reacciones de un grupo de estudiantes ante notificaciones presentadas en pantalla mientras trabajaban frente a un PC.La mayoría de los usuarios hizo clic en el botón de confirmación (OK, Aceptar, etc) sin estudiar en detalle el contenido de la ventana. Esta actitud llama la atención, especialmente debido a que anteriormente se les había advertido que surgirían ventanas faltas.En promedio, el 63% de los participantes en el experimento hizo clic en las notificaciones falsas.“Esta investigación demuestra lo fácil que es engañar a los usuarios de Internet. Lo mejor es ser precavido con las notificaciones que aparecen en pantalla. No haga clic automáticamente en ella" recomienda Michael Wogalter, uno de los investigadores responsables del estudio.Una recomendación adicional es instalar software que automáticamente bloquee las notificaciones peligrosas. Fuente: http://www.diarioti.com/gate/n.php?id=19569
Políticas de Seguridad en el Proceso de Desarrollo de Aplicaciones
Por John SteerCISSP, Asesor Senior de Seguridad, Microsoft ACE ServicesDesde el año 2001, he participado en numerosas revisiones de códigos de aplicaciones, que cubrían tanto códigos administrados como no administrados. Como parte del equipo de Servicios de Asesoría e Ingeniería de Aplicaciones (ACE) de Microsoft, mis revisiones incluyen aplicaciones internas de TI de Microsoft, al igual que asesoría para clientes externos de Microsoft (como fabricantes independientes de software (ISV), clientes de empresa y el sector público). Durante estas revisiones, un aspecto que observo para determinar la seguridad de una aplicación es el esfuerzo inicial de seguridad que se aplicó en el proceso de desarrollo.Se han escrito numerosos libros acerca de cómo crear códigos seguros, por lo que no trataré de ello en este artículo. Lo que analizaré es el rol de la política de seguridad como conductora en el ciclo de vida del desarrollo de una aplicación. Imagine si usted fuera a construir la casa de sus sueños sin pensar en la seguridad. Es posible que no coloque un cableado para la alarma de seguridad o incluso no asegure entradas y salidas, dejando su hogar vulnerable para los intrusos. Del mismo modo, el desarrollo de software empresarial sin un buen plan de seguridad puede resultar en una aplicación no asegurada.El rol de una política de seguridad es definir qué necesita protegerse y cómo se protegerá. En el ciclo de vida del desarrollo de la aplicación, la política de seguridad indica a los diseñadores y desarrolladores qué funcionalidades de seguridad deben implementarse y cómo hacerlo.¿Preferiría aceptar una especulación bien intencionada por parte del equipo de desarrollo con respecto a cómo asegurar su aplicación, o sería mejor que su equipo implemente un plan sólido de seguridad, bien diseñado desde el comienzo?¿Qué protege una política de seguridad?La certificación ISO 17799 define una política de seguridad como un documento que ofrece instrucciones de administración y soporte para la seguridad de la información de acuerdo con los requisitos empresariales y las leyes y reglamentaciones relevantes. Durante el proceso de desarrollo de software es importante utilizar estas políticas como guía para todas las funcionalidades de seguridad que serán desarrolladas.Este punto es sutil, pero es fundamental comprenderlo. La política de seguridad de la aplicación no debe ser definida por el proceso de desarrollo sino que solamente debe implementar los requisitos de seguridad establecidos en una organización. Recuerde que la aplicación que desarrolle debe adaptarse al modelo de seguridad del usuario, ya sea que se trate de su empresa o de sus clientes.Demasiado software se desarrolla sin la seguridad como una funcionalidadEs interesante observar cómo numerosas compañías se basan en venta de la propiedad intelectual de software como fuente de ingresos y sin embargo hacen muy poco para proteger esa propiedad intelectual. Al trabajar en seguridad de aplicaciones, frecuentemente observo cómo numerosas compañías elaboran políticas de seguridad para proteger la infraestructura física y de información, pero nunca extienden ese esfuerzo al proceso de desarrollo de aplicaciones.Numerosas compañías descuidan la utilización de políticas de seguridad al proteger su capa de aplicaciones de software y la propiedad intelectual relacionada. Cuando se desarrolla una aplicación sin considerar la seguridad, esa aplicación puede convertirse en una amenaza para el entorno en que es implementada. Obviamente, este proceso coloca a la organización de desarrollo y a la organización usuaria en un déficit de seguridad.Para que la seguridad se convierta en parte de la arquitectura de una aplicación, los diseñadores deben comprender los requisitos de la política de seguridad para poder incorporarlos como requisitos de la funcionalidad de forma apropiada.¿Por qué la seguridad es descuidada?En varios esfuerzos de desarrollo de software, la seguridad frecuentemente se implementa en un momento posterior. De hecho, con frecuencia la seguridad no es considerada en el proceso de desarrollo en absoluto. Un motivo para que esto suceda es la poca importancia que las organizaciones asignan al desarrollo de software seguro. La parte alarmante es que las compañías a menudo ni siquiera se dan cuenta de que están haciendo esto. Sin embargo esto ocurre, y hay una continua falta de políticas de seguridad disponibles durante la etapa de diseño de las aplicaciones. Esto frecuentemente resulta en la omisión de funcionalidades de seguridad en la capa de aplicación. En otro escenario común, los arquitectos de aplicaciones intentan implementar la seguridad sin utilizar una política corporativa. Cuando la seguridad es añadida de esta manera, su efectividad se ve reducida y no existe garantía que las amenazas reales estén siendo tratadas.He preguntado a varias organizaciones de desarrollo por qué no diseñan e implementan la seguridad como una funcionalidad. Una razón que mencionan es la falta de políticas disponibles para el personal de desarrollo. En algunas organizaciones, la seguridad informática frecuentemente se considera como responsabilidad del proveedor del sistema operativo. En general la seguridad se considera como costosa de implementar y a menudo se deja de lado debido a restricciones de tiempo y dinero.No estoy de acuerdo con estas acciones y creo que la seguridad es realmente responsabilidad de todos. Los desarrolladores de software corporativo y de terceros deben garantizar que sus aplicaciones no introduzcan riesgos adicionales en el entorno operativo. Como los sistemas operativos son cada vez más seguros, los atacantes de software buscan blancos más sencillos. Desafortunadamente, el siguiente blanco sencillo es la capa de aplicación.¿Por qué son tan importantes las políticas de seguridad?Es fundamental para las compañías reconocer la necesidad de políticas de seguridad de aplicaciones porque sin tales políticas no existe una forma confiable de definir, implementar y hacer cumplir un plan de seguridad entro de una organización. ¿El plan se seguridad física de su compañía incluye por ejemplo políticas y procedimientos relacionados con accesos y salidas, o la existencia de alarmas de incendios o el acceso a zonas restringidas? Si usted considera que su aplicación forma parte de este mismo entorno físico, será más sencillo ver cómo este software, que por ejemplo puede administrar su nómina de pagos e información contable, requiere el mismo proceso de pensamiento para la seguridad que el acceso físico a los activos materiales de su empresa.Cuando existe una política de seguridad disponible para el equipo de desarrollo, pueden integrar fácilmente la política en la aplicación como una funcionalidad. Si su compañía se encuentra en el extremo de compra de una aplicación, la política de seguridad que se aplicó en el desarrollo de la aplicación ofrece funcionalidades de seguridad que deben tornar el paquete de software aceptable para su corporación.Existen beneficios significativos en la utilización de una política de seguridad en el proceso de desarrollo de aplicaciones. La disponibilidad de los requisitos de seguridad en la política hace posible que el equipo de desarrollo pueda crear un software con una mentalidad de privilegios mínimos de tal forma que pueda implementarse con una mínima superficie de ataque en un entorno operativo restringido. Asimismo, los clientes pueden habilitar funcionalidades de tal forma que se adapte a la configuración requerida por sus propias políticas de seguridad.ConclusiónLas políticas de seguridad corporativa son una parte esencial en la protección de los activos corporativos. La seguridad de la información es una parte integral de su programa de seguridad corporativo. Es importante incorporar procesos y políticas de seguridad en su proceso de desarrollo de software.Fuente: http://seguridad-informacion.blogspot.com/2008/09/por-john-steercissp-asesor-senior-de.html
El motor de navegador WebKit ganador en el test Acid3, reclama el puesto No. 1
Los desarrolladores que trabajan en el WebKit anunciaron al final de la semana pasada que la última versión del motor de navegador, el cual es el motor tanto del Safari de Apple como del Chrome de Google, ha ganado en todos los requerimientos de un importante test de estándares Web.
"WebKit es el primer motor de navegador que pasa todas las pruebas del Acid3," dijo el desarrollador Maciej Stachowiak en el blog del WebKit.
La afirmación está relacionada al último alarde de Marzo de los desarrolladores de WebKit que dijeron que el motor de navegador había calificado con 100 sobre100 en la prueba Acid3. La prueba, que fue aprobada en marzo último por el Proyecto de Estándares Web, está diseñada para verificar cuan cerca cumple un navegador los estándares, particularmente las especificaciones para las aplicaciones Web 2.0, así como también los estándares relacionados con DOM (Modelo de Objeto de Documento), CSS2 (Cascading Style Sheets) y SVG (Gráficos de Vector Escalables).
El último jueves, sin embargo, Stachowiak dijo que la última versión también alcanzó el requerimiento de “animación suave” del Acid3, algo en lo que fallaron en marzo, completando cada test en menos de .033 milisegundos. Cuando un navegador finaliza cada prueba en ese tiempo o menos, Acid3 muestra el mensaje "Ningún error JS [JavaScript] ni problemas de tiempo" en una ventana emergente.
WebKit provee el corazón del motor no sólo para el Safari, sino que desde comienzos de este mes, también del Chrome de Google . El navegador de Google, sin embargo, depende de una versión más Antigua del WebKit que aquella promocionada por Stachowiak.
Computerworld probó el WebKit más nuevo, el build r36882, en una máquina virtual corriendo Windows XP SP3 en una iMac con un procesador Intel 2.4GHz Core 2 Duo. Aunque WebKit obtuvo un 100 perfecto, no pudo completar en la máquina virtual todas las pruebas en el tiempo requerido; una prueba falló repetidamente en alcanzar el límite de 0.33 milisegundos.
Sin embargo, cuando la se probó la versión más nueva de WebKit para Mac OS X, el build r37012, en la misma máquina, consiguió el 100 y terminó cada prueba debajo de la marca de los 0.33ms, confirmando la afirmación de Stachowiak.
Las pruebas de Computerworld también confirmaron que su declaración respecto que ningún otro navegador importante puede alcanzar la marca del WebKit en Acid3. En la máquina virtual Windows XP SP3, todas las versiones de producción y las preliminares estas últimas indicadas por su número de versión o estado entre paréntesis, consiguieron menos de 90 puntos en la prueba.
Los resultados fueron:WebKit, (r36882) -- 100Firefox 3.1, (nightly) -- 89Opera 9.6, (RC1) -- 85Opera 9.52 -- 84Chrome, (0.2.153.1) -- 79Safari 3.1.2 -- 75Firefox 3.0.3 -- 71IE8 (Beta 2) -- 21IE7 -- 12
El único otro navegador en reclamar un puesto en la prueba Acid3 ha sido el Opera, que dijo hace seis meses que una versión de su aplicación de bandera consiguió los 100 puntos.
En noticias relacionadas, Stachowiak también reveló recientemente que una modernización importante en el motor de JavaScript del motor WebKit, apodado "SquirrelFish Extreme," fue más del doble de rápido que su predecesor, y tres veces más rápido que el motor incluido en la edición actual del Safari.
Los comentarios de Stachowiak siguieron a las afirmaciones similares hechas por Mozilla el último mes, cuando la compañía describió las importantes aumentos de velocidad de su proyecto TraceMonkey. Mozilla planea agregar el TraceMonkey a la próxima edición, Firefox 3.1, previsto para lanzarse en algún momento de este final de año o comienzos de 2009.
Según los informes, Apple integrará las nuevas versiones de WebKit en su navegador Safari 4, que ha sido proporcionado a algunos desarrolladores para pruebas y se espera que sea lanzado públicamente con el Mac OS X 10.6, conocido como "Snow Leopard," la próxima versión del sistema operativo de la compañía. Snow Leopard, el cual dijo Apple que liberará en algún momento del próximo año , se enfocará en mejoras de estabilidad y performance, más que en añadir más características al sistema operativo.
Autor: Gregg Keizer
Fuente: http://www.networkworld.com/news/2008/092908-webkit-browser-engine-aces-acid3.html?inform?ap1=rcb
"WebKit es el primer motor de navegador que pasa todas las pruebas del Acid3," dijo el desarrollador Maciej Stachowiak en el blog del WebKit.
La afirmación está relacionada al último alarde de Marzo de los desarrolladores de WebKit que dijeron que el motor de navegador había calificado con 100 sobre100 en la prueba Acid3. La prueba, que fue aprobada en marzo último por el Proyecto de Estándares Web, está diseñada para verificar cuan cerca cumple un navegador los estándares, particularmente las especificaciones para las aplicaciones Web 2.0, así como también los estándares relacionados con DOM (Modelo de Objeto de Documento), CSS2 (Cascading Style Sheets) y SVG (Gráficos de Vector Escalables).
El último jueves, sin embargo, Stachowiak dijo que la última versión también alcanzó el requerimiento de “animación suave” del Acid3, algo en lo que fallaron en marzo, completando cada test en menos de .033 milisegundos. Cuando un navegador finaliza cada prueba en ese tiempo o menos, Acid3 muestra el mensaje "Ningún error JS [JavaScript] ni problemas de tiempo" en una ventana emergente.
WebKit provee el corazón del motor no sólo para el Safari, sino que desde comienzos de este mes, también del Chrome de Google . El navegador de Google, sin embargo, depende de una versión más Antigua del WebKit que aquella promocionada por Stachowiak.
Computerworld probó el WebKit más nuevo, el build r36882, en una máquina virtual corriendo Windows XP SP3 en una iMac con un procesador Intel 2.4GHz Core 2 Duo. Aunque WebKit obtuvo un 100 perfecto, no pudo completar en la máquina virtual todas las pruebas en el tiempo requerido; una prueba falló repetidamente en alcanzar el límite de 0.33 milisegundos.
Sin embargo, cuando la se probó la versión más nueva de WebKit para Mac OS X, el build r37012, en la misma máquina, consiguió el 100 y terminó cada prueba debajo de la marca de los 0.33ms, confirmando la afirmación de Stachowiak.
Las pruebas de Computerworld también confirmaron que su declaración respecto que ningún otro navegador importante puede alcanzar la marca del WebKit en Acid3. En la máquina virtual Windows XP SP3, todas las versiones de producción y las preliminares estas últimas indicadas por su número de versión o estado entre paréntesis, consiguieron menos de 90 puntos en la prueba.
Los resultados fueron:WebKit, (r36882) -- 100Firefox 3.1, (nightly) -- 89Opera 9.6, (RC1) -- 85Opera 9.52 -- 84Chrome, (0.2.153.1) -- 79Safari 3.1.2 -- 75Firefox 3.0.3 -- 71IE8 (Beta 2) -- 21IE7 -- 12
El único otro navegador en reclamar un puesto en la prueba Acid3 ha sido el Opera, que dijo hace seis meses que una versión de su aplicación de bandera consiguió los 100 puntos.
En noticias relacionadas, Stachowiak también reveló recientemente que una modernización importante en el motor de JavaScript del motor WebKit, apodado "SquirrelFish Extreme," fue más del doble de rápido que su predecesor, y tres veces más rápido que el motor incluido en la edición actual del Safari.
Los comentarios de Stachowiak siguieron a las afirmaciones similares hechas por Mozilla el último mes, cuando la compañía describió las importantes aumentos de velocidad de su proyecto TraceMonkey. Mozilla planea agregar el TraceMonkey a la próxima edición, Firefox 3.1, previsto para lanzarse en algún momento de este final de año o comienzos de 2009.
Según los informes, Apple integrará las nuevas versiones de WebKit en su navegador Safari 4, que ha sido proporcionado a algunos desarrolladores para pruebas y se espera que sea lanzado públicamente con el Mac OS X 10.6, conocido como "Snow Leopard," la próxima versión del sistema operativo de la compañía. Snow Leopard, el cual dijo Apple que liberará en algún momento del próximo año , se enfocará en mejoras de estabilidad y performance, más que en añadir más características al sistema operativo.
Autor: Gregg Keizer
Fuente: http://www.networkworld.com/news/2008/092908-webkit-browser-engine-aces-acid3.html?inform?ap1=rcb
Spam malicioso “agrega a un amigo” de Facebook
La empresa de seguridad Websense advierte sobre este nuevo engaño.Websense Security Labs informó de una nueva campaña de spam de ingeniería social que se hace pasar como un correo electrónico oficial enviado por el popular sitio de redes sociales Web 2.0, Facebook.El correo parece provenir del dominio facebookmail.com, un dominio oficial utilizado por Facebook para enviar correos para notificar a sus usuarios sobre un evento.Es común que Facebook envíe un correo electrónico para notificar a sus usuarios cuando otro usuario los agrega como amigos a la red social. Sin embargo, los creadores de spam incluyeron un archivo zip adjunto que afirma contener una fotografía para hacer que el receptor dé doble clic en él. El archivo adjunto es realmente un caballo de Troya.Se incluye una página de inicio a Facebook en el cuerpo del mensaje. Hemos alertado antes sobre nuestro descubrimiento a través del sistema HoneyJax de una campaña de phishing viral de Facebook, y por lo tanto no nos sorprende si la página de inicio presentada es un una página falsa usada para el sitio de phishing.Un análisis del código fuente de la forma HTML muestra que contenía el nombre de usuario y contraseña para Facebook. Esto podría utilizarse para aumentar la legitimidad del correo electrónico para evadir los filtros de spam basados en reputación.Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=1976
Redes sociales e información pública
Este post, aunque ya se ha hablado mucho sobre este tema, va a tratar sobre ese gran contenedor de información que es Internet y las redes sociales.
Ahora bien, ¿qué pasa con la información de Internet?, generalmente el usuario da por buena cualquier información que encuentre sobre un tema determinado. Podría ser cierto, pero... ¿nos podemos fiar?, si somos un poco paranoicos…
¿Qué pasa con las redes sociales?
Si intentamos darnos de alta en una red social, sólo nos piden nombre y apellidos (cosa muy fácil de mentir) y una dirección de correo electrónico (siempre se pueden crear cuantas anónimas o con nombres falsos), y una fecha de nacimiento. Con estos datos, yo mismo podría hacerme pasar por cualquier persona y difundir datos falsos, despectivos o incluso incriminatorios de una persona pública o de una empresa. Porque… ¿por qué no hacerme pasar por George Bush o Vladímir Putin?, o por ejemplo podría hacerme pasar por un ingeniero del CERN (que ahora está muy de moda) y lanzar rumores sobre el funcionamiento del mismo o incluso por qué no, del fin del mundo?
¿Cuánto daño puede hacer una información falsa en Internet?, Depende, ya que influyen muchos factores: repetición, medio de publicación, etc. Por eso se hace cada vez más necesario el poder conocer y cuantificar la mayor cantidad de información que esté “circulando” por la red, para poder detectar y mitigar en la medida de lo posible estos riesgos.José María Arce GuillénS21sec labsFuente: http://blog.s21sec.com/2008/09/redes-sociales-e-informacin-pblica_24.html
Ahora bien, ¿qué pasa con la información de Internet?, generalmente el usuario da por buena cualquier información que encuentre sobre un tema determinado. Podría ser cierto, pero... ¿nos podemos fiar?, si somos un poco paranoicos…
¿Qué pasa con las redes sociales?
Si intentamos darnos de alta en una red social, sólo nos piden nombre y apellidos (cosa muy fácil de mentir) y una dirección de correo electrónico (siempre se pueden crear cuantas anónimas o con nombres falsos), y una fecha de nacimiento. Con estos datos, yo mismo podría hacerme pasar por cualquier persona y difundir datos falsos, despectivos o incluso incriminatorios de una persona pública o de una empresa. Porque… ¿por qué no hacerme pasar por George Bush o Vladímir Putin?, o por ejemplo podría hacerme pasar por un ingeniero del CERN (que ahora está muy de moda) y lanzar rumores sobre el funcionamiento del mismo o incluso por qué no, del fin del mundo?
¿Cuánto daño puede hacer una información falsa en Internet?, Depende, ya que influyen muchos factores: repetición, medio de publicación, etc. Por eso se hace cada vez más necesario el poder conocer y cuantificar la mayor cantidad de información que esté “circulando” por la red, para poder detectar y mitigar en la medida de lo posible estos riesgos.José María Arce GuillénS21sec labsFuente: http://blog.s21sec.com/2008/09/redes-sociales-e-informacin-pblica_24.html
¿Todavía es necesario ejecutar escaneos programados en máquinas protegidas por sistemas antivirus?
Un compañero profesional de TI dijo que nunca más sería necesario ejecutar un escaneo de virus en una PC porque la mayoría de los antivirus escanean el sistema en tiempo real, ¿es cierto esto?Si bien es cierto que los sistemas antivirus escanean la mayoría de los archivos verificando que se cumplan las condiciones establecidas por las firmas más nuevas instaladas, no escanean el sistema de archivos en tiempo real. El sistema de archivos es monitoreado efectivamente por accesos y manipulaciones de archivos de una forma que el programa antivirus considera que es una amenaza.Bueno, analicemos estos hechos. He asistido a varias conferencias de seguridad de TI y leído más que suficiente del material de referencia sobre Hawking y técnicas forenses para proteger de intrusiones a las computadoras. Aunque no hay una biblia en este tema, la mayoría de los profesionales de TI que conozco, que tienen bastante exposición en estos temas, están de acuerdo en que ningún producto antispam o antivirus puede atraparlo todo.Por ejemplo, no estoy escogiendo a Symantec específicamente, ni voy a citar un ejemplo preciso, pero este asunto sucedió de verdad. El antivirus tiene las últimas firmas actualizadas. El servidor fue emparchado con las últimas actualizaciones críticas y recomendadas. Sin embargo, había un alto uso de memoria en el servidor en cuestión. Fue solo después de escrutarlo con Process Explorer de Systinternals, PsList (también de Sysinternals) Netstat, Task Manager, una conexión remota de archivo UNC, y un escáner remoto de puertos que pude confirmar que había una intento de intrusión en progreso.El servidor había sido emparchado apenas después de unas 16 horas que se había publicado un parche para una vulnerabilidad conocida. A través de este diminuto agujero, sucedió un ataque de elevación de privilegios. Luego se instaló una herramienta de intrusión y se plantó un “rootkit”.El “rootkit” ocultó claves del registro, procesos y archivos. Una vez descubierto, fue eliminado con suficiente facilidad mediante herramientas conocidas.Sin embargo quedaron otros problemas (esto fue confirmado por las fechas de archivos y verificando las copias de resguardo) y resultó que otro troyano, que el AV supuestamente podía detectar y limpiar, permaneció en la máquina. Aquí es donde viene la parte interesante. El troyano en realidad no fue eliminado. Hubo errores humanos en los cuales los registros no fueron escrutados para confirmar que el intento de limpieza en realidad había fallado. Este troyano no era la misma iteración que detectaba el antivirus. Mientras el servidor comenzó a ser monitoreado con filemon, psexplorer vigilando los hilo de ejecución, y netstat, la infección original permanecía allí.Se envió anónimamente una copia al fabricante del AV y en pocas horas, publicaron un “rapid release” que atrapaba el archivo infectado con la protección de tiempo real. El fabricante del AV dijo que era la misa iteración de un virus conocido, pero un programador de un fabricante de AV de la competencia citó diferencias en la mutación.Mientras sucedía esto, otro sistema fue infectado así que se procedió de la misma forma para monitorearlo. Se realizó un escaneo en tiempo real antes que apareciera el “rapid release”, y el archivo fue puesto en cuarentena exitosamente.Claramente, las compañías de AV están haciendo lo mejor que pueden para actualizar su documentación precisamente a medida que se sale la información, pero la solución es crítica y usualmente se publica más rápido. En parte, es por esto que quizás los fabricantes acepten envíos anónimos de archivos, para ayudar a mantenerlos actualizados con los virus que hay “sueltos”.Lo que quiero señalar es que el escaneo de antivirus en tiempo real no detecta todo. Para ser honesto, a un escaneo programado también puede escapársele un virus, pero si un archivo tiene síntomas similares a un virus conocido, podría tener código oculto adicional o funcionalidad que se pueda ocultar de los escáneres actuales de tiempo real.Así que mi respuesta a la pregunta es SI, los escaneos programados en las PC son altamente recomendables como parte de su estrategia de defensa en profundidad contra el Spyware, malware, troyanos y virus.Autor: Brad BirdFuente: http://blogs.techrepublic.com.com/security/?p=607
Encuentran fallas CSRF en importantes sitios Web
Investigadores de la Universidad de Princeton revelaron cuatro sitios con fallas de falsificación de requerimiento inter-sitios y revelan herramientas para protegerse de estos ataques.SEPTEMBER 29, 2008 Investigadores de la Universidad de Princeton revelaron hoy su descubrimiento que cuatro sitios web importantes son susceptibles al silencioso pero mortal ataque de falsificación de requerimiento inter-sitios (CSRF), incluyendo uno en el sitio INGDirect.com que permitiría a un atacante transferir dinero fuera de la cuenta bancaria de la víctima. ING, YouTube, y MetaFilter, todos ellos han reparado esta vulnerabilidad después de haber sido alertados por los investigadores, pero al momento de escribir este reporte, el cuarto sitio, el de The New York Times, sigue alojando la falla CSRF en su sitio Web que le permitiría a un atacante seleccionar y abusar de las direcciones de correo electrónico de los suscriptores del sitio. Bill Zeller, un candidato al doctorado en Princeton, dice que la falla CSRF que él y su compañero investigador Edward Felton encontraron en INGDirect.com representa una de la primeras fallas CSRF en un sitio bancario que se hace pública. “Es el primer ejemplo de un ataque CSFR que permite extraer dinero de una cuenta bancaria, del que tenga conocimiento”, dijo Zeller.La falla CSRF que encontraron en el sitio de ING permitiría a un atacante mover fondos de la cuenta de la víctima a otra cuenta que abra el atacante en nombre del usuario, sin que el usuario se de cuenta. Incluso usando una sesión SSL no protegería al usuario de tal ataque, dijeron los investigadores. “Ya que ING no protege explícitamente contra los ataques CSRF, transferir fondos de la cuenta de un usuario fue tan sencillo como reproducir los pasos que daría el usuario cuando transfiere dinero,” según un informe escrito por Zeller y Felton. En un ataque CSRF, el atacante puede forzar el navegador del usuario a pedir una pagina o determinada acción sin que se de cuenta el usuario, o que el sitio Web reconozca que el pedido no viene del legítimo usuario conectado. CSRF es poco entendido en la comunidad de desarrollo Web, y consecuentemente es una vulnerabilidad muy común en los sitios. “CSRF es extremadamente común. Está prácticamente en cualquier lugar que mire,” dice Jeremiah Grossman, CTO de WhiteHat Security . Más allá de la falla de ING, los investigadores de Princeton también encontraron vulnerabilidades CSRF en YouTube que permitirían al atacante, por ejemplo, amigarse a un usuario, agregar videos a la lista de favoritos del usuario, y enviar mensajes en nombre del usuario atacado. La falla en el sitio de blog MetaFilter le permite al atacante fijar la dirección de correo del usuario con la dirección del atacante, y entonces básicamente tomar el control de la cuenta de la víctima. Mientras que tanto YouTube como MetaFilter arreglaron sus fallas CSRF, el The New York Times no lo hizo.La vulnerabilidad permite que un atacante se apodere de las direcciones de correo electrónico de los usuarios registrados en el sitio y las use para enviar spam, o encontrar las direcciones de todos los usuarios que visiten un sitio que el atacante les induzca a visitar mediante un correo falso. “Este ataque es particularmente peligroso porque un gran numero de usuarios que tienen cuentas en el NYTimes y porque el NYTimes mantiene a la sesión de usuario hasta por un año,” dicen en el informe los investigadores. También encontraron que la nueva red social del Times, TimesPeople es vulnerable a los ataques CSRF. “La gravedad de los ataques que encontramos ilustra que los desarrolladores no están tan familiarizados como debieran con este tipo de ataques,” dice Zeller. Mientras tanto, Zeller y Felton también han desarrollado algunas herramientas para protegerse de los ataques CSRF. Produjeron un “plugin” para el Firefox para proteger al cliente, y una herramienta para agregar al entorno PHP Code Igniter, para impedir ataques en esos sitios. Zeller dice que el “plugin” para el navegador es limitado porque sólo protege las solicitudes POST inter-sitio, no las solicitudes GET. “Si hubiéramos bloqueado las solicitudes GET, muchas imágenes del sitio no funcionarían,” explicó. “[El plugin] puede proteger a los usuarios de las vulnerabilidades en sitios que no se protegen por si mismos.” El descubrimiento de fallas CSRF en sitios Web destacados es solo la punta del iceberg de CSFR. “estamos comenzando a ver más y más de estos ataques, y creo que continuará hasta que los desarrolladores se eduquen más sobre CSRF,” dice Zeller. “Una diferencia importante entre CSRF y XSS es que XSS necesita que un desarrollador cree un agujero, un camino por el cual inyectar código en un sitio, mientras que los ataques CSRF solo requieren que el desarrollador no arregle el agujero (el cual por defecto ya existe).”Fuente: http://www.darkreading.com/document.asp?doc_id=164854&f_src=darkreading_section_296
Los niños y la inseguridad informática
La inseguridad de la información siempre está atenta a descubrir el eslabón más débil de la cadena para materializarse y hacernos saber que evoluciona y aprende de nuestras propias debilidades. En este sentido, una población vulnerable a estas insinuaciones son los niños, quienes utilizan su conexión a internet para descubrir un universo de conocimiento y conversar con sus amigos; la cual, sin una adecuada orientación por parte de sus padres, puede convertirse en una pesadilla informática que impacte la salud mental o integridad física de los chicos en el mediano y largo plazo.En este contexto, se detallan a continuación algunas recomendaciones tecnológicas y sociales que pueden ser útiles para conversar con los chicos y así, ir fojando su carácter crítico frente a los contenidos disponibles en internet, el manejo de su información privada y las buenas prácticas de uso de los recursos tecnológicos.Algunas medidas tecnológicasExisten programas que se denominan en el contexto de la industria, niñeras. Estas niñeras son programas que establecen un control sobre los contenidos de las páginas web que se visitan. Este tipo de estrategia, viene disponible en paquetes de seguridad para computadores personales, como son ZoneAlarm Security Suite, Norton Internet Security, Mcafee Personal Firewall Plus, Panda Internet Security, Kaspersky Internet Security, OutPost Pro Firewall, entre otros., los cuales adicional al control de contenidos, cuentan con antivirus, anti software espía y firewall. Es importante anotar que estos productos mencionados deben ser adquiridos con licenciamiento anual o según sea la oferta del proveedor. En algunas ocasiones ofrecen versiones de prueba totalmente funcionales que pueden ser descargadas y utilizadas en el computador, que luego se inhabilitan una vez el tiempo de prueba (por lo general 30 días calendario) ha concluido.Un sistema de control de contenidos debe tener las siguientes características mínimas para que sea útil y confiable:1. Facilidad de configuración de los filtros2. Integración con otros sistemas de seguridad disponibles en la máquina (si éste no viene ya integrado en un paquete, como los mencionados previamente)3. Capacidad de aprendizaje y evaluación de sitios confiables en Internet4. Cuando no se pueda evaluar el contenido del sitio, tener la opción de bloqueo automático.5. Registros o logs detallados de la navegación en la web6. Ejecución silenciosa en la máquina7. Control de acceso con contraseña al módulo de configuraciónDe otra parte, existen programas especializados en control de contenidos como son: CyberPatrol 7.6, Safe Eyes 5.0 y Net Nanny 5.6 los cuales, al igual que los paquetes anteriores, deben ser licenciados para su utilización en el equipo. Estos programas reúnen varias de las características deseables de un sistema de control de contenido mencionados previamente. De acuerdo con el proveedor puede haber versiones de prueba de los mismos.La efectividad de estos programas depende de su configuración y afinamiento permanente del mismo, dado que en la red aparecen a diario nuevos sitios que se pueden camuflar para pasar desapercibidos por éstos programas. Precisamente en este sentido la característica No.4 de este tipo de sistemas.Es importante anotar, que existen programas gratuitos de control de contenidos, que son iniciativa de personas u organizaciones que piensan en los peligros a los cuales están expuestos los chicos, los cuales presentan algunas de las características mencionadas y que por lo general, no cuentan con soporte o mantenimiento, como si lo pudiesen tener aquellos que son licenciados. Entre los más destacados tenemos:Control Kids - http://www.controlkids.com/es/Windows Vista Parental Control - http://www.microsoft.com/windows/windows-vista/features/parental-controls.aspxParental control bar - http://www.wraac.org/Crawler Parental Control - http://www.crawlerparental.com/Pikluk – http://www.pikluk.comRecomendaciones para los chicos y sus padresSi bien las medidas indicadas anteriormente nos permiten filtrar los contenidos que puedan ser impropios para los chicos, se hace necesario otro componente, que es el psicológico y social, que debe ser desarrollado por los padres de familia, adicional a las medidas de seguridad tecnológicas previamente detalladas.Microsoft en este sentido establece un decálogo que denomina “Las 10 cosas que ud le debe enseñar a los niños para navegar con seguridad en Internet” (http://www.microsoft.com/protect/family/guidelines/rules.mspx).A continuación detallamos el decálogo sugerido por este proveedor:1. Anime a sus niños a compartir con usted sus experiencias al navegar por internet. Anímese a navegar con ellos.2. Enseñe a sus niños a confiar en sus instintos. Si ellos se sienten nerviosos con cualquier cosa en su interacción en línea, ellos deben comentárselo inmediatamente.3. Si sus chicos visitan salas de conversación (Chat rooms), usan programas de mensajería instantánea (MSN, Yahoo Messenger, Google Talk, etc) o cualquier otro programa que exija la identificación de ellos, oriéntelos para escoger su nombre y asegurar que no se revela información personal sobre ellos.4. Insista que los chicos nunca deben dar la dirección física de su vivienda, número telefónico o cualquier otra información personal, incluidos por donde se va a su escuela o donde le gusta jugar.5. Enseñe a sus niños que la diferencia entre lo correcto e incorrecto es la misma en internet, como lo es en la vida normal.6. Muéstrele a los chicos como respetar a otros al interactuar en línea. Asegúrese que ellos conocen las reglas de buen comportamiento, las cuales no cambian sólo porque ahora están al frente de un computador.7. Insista en el respeto de la propiedad de otros en internet. Explíqueles a los chicos que hacer copias ilegales de trabajos de otros, como pueden ser música, videos y otros programas, equivale a habérselos llevado sin pagar de la tienda.8. Dígale a los niños que ellos nunca deberían reunirse en persona con sus amigos del Chat. Explíqueles que esos amigos pueden no ser quienes dicen ser.9. Enséñele a sus niños que no todo lo que lea o vea en internet es verdad. Anímelos a preguntas y revisar el tema si no están seguros de lo que encontraron.10. Utilice programas de control de contenidos, que permitan filtrar y monitorear los sitios que visitan sus chicos, para así revisar que estaban mirando o revisando en esos sitios.Comentarios finalesNavegar por Internet, es como un recorrido por una ciudad que tiene lugar históricos, museos y parques, pero igualmente sitios de acceso restringido, delincuencia común y pervertidos o personas con inclinaciones impropias. Por tanto, el paseo que se den sus hijos dependerán de que tan buen guía puede ser usted en esta ciudad y de los sistemas de monitoreo y control que tenga previstos para la visita.Más que los controles tecnológicos que se puedan implementar, es la conversación y acompañamiento de los padres a los chicos en el uso de las tecnologías de información. Que encuentren en sus padres, un motivo para conocer y descubrir la Internet, la forma de hacer amigos y desarrollar un sentido crítico de los contenidos que se puedan encontrar allí.Si bien el control de contenidos es una estrategia que se puede utilizar para restringir el acceso a los lugares que no son adecuados para los niños, no es suficiente para ampararlos de las amenazas reinantes en la red. Se hace necesario avanzar en iniciativas gubernamentales, académicas y familiares, para que todos unidos, podamos advertirle a los maleantes que estamos preparados para enfrentarlos y denunciarlos; y que nuestros niños estarán respaldados y entrenados para evadir sus estrategias.Fuente: http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450012860&random=2131
jueves, 25 de septiembre de 2008
HP ofrece PCs de escritorio con navegadores web virtuales
Hoy, el fabricante liberó la HP Compaq dc7900, una computadora empresarial con una verión de Firefox que en realidad no está allí. Desarrollado conjuntamente con Symantec, el navegador Firefox para HP Virtual Solutions opera en tiempo de ejecución en un “mundo de tinieblas” que está separado del resto de la máquina.Esto significa que cuando el malware ataque, la maquina misma estará sin daño alguno. "[Este navegador virtual Firefox] asegura que los empleados podrán utilizar la Web productivamente, mientras mantienen las PCs de las empresas estables y fáciles mantener," escribe el encargado técnico de producto de Symantec Scott Jones. "Los cambios hechos a una PC mientras navega por la Web son contenidos en una “capa virtual” y no afectan de forma permanente a la máquina."Básicamente, el navegador se asienta en una “caja de arena” ("sandbox") preparada por la Software Virtualization Solution (SVS) de Symantec, una herramienta que adquirió la compañía con su compra de Altiris. Scott Jones no devolvió nuestras llamadas en busca de mayor información, pero en la publicación del blog que hizo hoy, señala que si algo va mal, SVS le permita a uno restaurar instantáneamente el navegador a su estado original – sin barrer con sus preferencias de usuario.Symtanec ve esto como un punto de inflexión en la historia de aplicaciónes no-existentes – en oposición a Sistemas Operativos no-existentes. "Este es un hito clave en la evolución de la virtualización de aplicaciones como concepto," dice una declaración acuñada por Ken Berryman, Vicepresidente de Symantec de Virtualización de Punto Final. "La virtualización de aplicaciones ya no es una tecnología emergente. Ya llegó. La virtualización de aplicaciones ya está establecida."A diferencia de VMware o Virtual PC de Microsoft, SVS no virtualiza un sistema operativo completo. Virtualiza aplicaciones individuales, instalándola en paquetes que permanecen separados del registro de la máquina. Esto significa que las aplicaciones pueden ser reiniciadas o eliminadas sin causar ningún tipo de estragos al resto del sistema.Autor: Cade MetzFuente: http://www.theregister.co.uk/2008/09/22/hp_virtual_web_browser/
Dos arrestados en la primer redada por estafa a cajeros automáticos reprogramados
Requirió una rápida persecución y algún tiroteo, pero dos hombres en Lincoln, Nebraska, son los primeros en enfrentar cargos por delitos graves al usar contraseñas por defecto para reprogramar cajeros automáticos de tiendas para que den dinero gratis.Jordan Eske y Nicolas Foster, ambos de 21 años, están en la cárcel en el condado de Lancaster esperando a comparecer el 1ro de Octubre. Se los acusa de cuatro robos por engaño, al extraer efectivo de cajeros automáticos privados en cuatro negocios del área. El duo supuestamente reprogramó las máquinas para que creyeran que estaban cargadas con billetes de un dólar en lugar de 10 y 20. Una extracción de 20 dólares dejaría neto 380 dólares.Las estafas mediante reprogramación de cajeros automáticos comenzaron a hacerse públicas en 2006 cuando un ciber ladrón pasó por una estación de servicio de Virginia Beach y sin ningún equipo especial persuadió a un cajero automático Tranax que tenía billetes de u$s 5 en lugar de los que tenía de u$s 20. Threat Level confirmó después que las contraseñas administrativas de los cajeros automáticos fabricados por líderes de la industria como Tranax y Triton, están impresas en los manuales del propietario que se pueden encontrar en Internet fácilmente. Ambas compañías dijeron que fueron sorprendidas por la estafa, pero que la asociación de la industria de la que son miembros, descubrió en privado la travesura y le advirtieron a los miembros más de una año atrás.Desde entonces, la estafa también salió a la luz en Derry, Pennsylvania. Pero el caso de Nebraska marca el primer arresto reportado para los traviesos del teclado.Eske y Foster fueron atrapados en su cuarta visita al restaurante mexicano de Lobo en Agosto. El administrador Raul Omar Lobo, hijo del dueño, los estaba esperando – ya había sido avisado por la compañía que da servicios a los cajeros Tranax del restaurante que alguien se había robado u$s 1.400 de la máquina en tres visitas anteriores al mediodía.Cuando entraron los does hombres, Lobo los reconoció de sus grabaciones de seguridad. “Entonces cerré las puertas y les dije que no se movieran mientras uno de los empleados llamaba a la policía,” dijo Lobo.De acuerdo con la policía, Lobo apuntó un arma a los hombres, se las arregló para cerrar la puerta que estaba abierta. Lobo agarró a uno de ellos de la cabeza, y hubo un disparo en la pelea, antes que los hombres se liberaran y escaparan en un Pontiac Gand Prix alquilado.Lobo dice que se metió a su auto y comenzó a perseguirlos, llamando la atención de la policía que se unió a la persecución. Luego los atraparon.La policía encontró u$S 10,000 en efectivo en el auto. Los acusados son sospechosos de robar u$s 13,600 en el área de Lincoln, y extraer un monto desconocido de cajeros de Nueva Orleans, lugar a donde pertenecen. Consultado por la policía como lo hicieron, “Ellos dicen que en Internet es algo muy bien conocido”, dijo Flood.En el año 2006, tanto Tranax como Triton liberaron parches de software para los nuevos cajeros automáticos que fuerzan al operador a cambiar las contraseñas por defecto en el primer uso.Autor: Kevin PoulsenFuente: http://blog.wired.com/27bstroke6/2008/09/two-arrested-in.html
Suscribirse a:
Entradas (Atom)
