Noticias de Seguridad Informática

Se está explotando un fallo en (Adobe) Reader parcheado hace tres semanas

noreply@blogger.com (SSD) — Thu, 11 Mar 2010 15:23:00 PST

Un PDF manipulado está descargando un troyano de puerta trasera en los sistemas que no han implementado el parche lanzado hace sólo tres semanas.

Los usuarios de Adobe PDF Reader deberían comprobar que están ejecutando la última versión del software después de descubrir que se está explotando un fallo ya parcheado hace tres semanas.

Investigadores de Microsoft han descubierto un PDF en circulación que se aprovecha de un fallo y descarga un troyano de puerta trasera capaz de tomar el control de los sistemas afectados.

La advertencia afecta sobre todo a Adobe Acrobat y Adobe Reader desde la versión 9.3.0 para Windows, Apple y Unix; las viejas versiones de Acrobat y Reader 8.2.0 también están afectadas en Windows y Apple y deberían parchearse. Cualquiera que ejecute la última versión de Acrobat o Reader 9.3.1 es inmune al fallo.

El temor de la compañía es que la reciente fecha de la actualización de seguridad signifique que sean muchos los usuarios que siguen ejecutando versiones vulnerables del software, por lo que pide a todos los usuarios que apliquen los parches de seguridad.

Autor: Rosalia Arroyo
Fuente: ITespresso.es

Desactivan gigantesca red de PC zombies, pero hackers la reconectan

noreply@blogger.com (SSD) — Thu, 11 Mar 2010 15:08:00 PST

La salida de servicio de un proveedor de internet que ayudaba a que se propagara un programa malicioso cortó la posibilidad de que los delincuentes siguieran controlando millones de computadoras personales. Pero los ciberdelincuentes encontraron la manera de revivir esa red.

Menos de un día después de que el servicio conocido como "AS Troyak" fue desconectado de internet, investigadores de seguridad dijeron que aparentemente éste había encontrado una forma de volver a estar en línea, y los delincuentes se estaban reconectando con las computadoras de las que se habían apropiado.

El desmantelamiento generó inicialmente esperanzas de que se redujera el número de fraudes, porque los delincuentes informáticos no podían ya comunicarse con muchas computadoras infectadas con "ZeuS", un programa malicioso utilizado principalmente para robar nombres y contraseñas de usuario de banca online. Cientos de operaciones ilícitas en el mundo utilizan ese programa.

Se desconoce cuántas computadoras están infectadas con ZeuS, pero se estima que serían millones.

Cisco Systems informó que hasta el 25% de las computadoras infectadas por ZeuS en el mundo fueron desconectadas durante la noche de la colosal red robot.

Las redes robot o "botnets" son PC infectadas que se comportan precisamente como si fueran robots al servicio de los delincuentes, que las controlan a distancia. Roban identidades en masa y son utilizadas para atacar sitios web.

Pero en vez de tener un final feliz, el hecho dejaría claro el ritmo acelerado en el que los delincuentes pueden revivir sus negocios ilícitos, pese a sufrir lo que debió haber sido un duro revés.

RSA, división de seguridad de EMC, informó que decenas de servidores maliciosos, utilizados por los delincuentes para propagar ZeuS, estaban conectados a internet mediante AS Troyak.

Inexplicablemente, el servicio se desactivó el martes, cortando los vínculos entre los delincuentes y las computadoras a las que controlaban mediante ZeuS.

Se desconoce quién desactivó la red maligna. Pudieron haber sido autoridades, investigadores en materia de seguridad e incluso los propios delincuentes, en caso de que hayan decidido mudar sus operaciones a otros servidores.

Las labores para poner fin a las operaciones que distribuyen y utilizan software maligno suelen asemejarse al juego del gato y el ratón.
Fuente: AP

Fuente: Infobae

Proteger a los pequeños de la pornografía con un USB

noreply@blogger.com (SSD) — Thu, 11 Mar 2010 11:52:00 PST

Así de simple como insertar un USB llamado Porn Detection Stick, en nuestra computadora para poder bloquear todos los sitios de pornografía y proteger a los pequeños para que naveguen libremente sin tener que estar constantemente vigilando lo que hacen.

Para todos los padres que se preocupan por las páginas que puedan estar mirando sus hijos pequeños, el nuevo Porn Detection Stick se dedica exclusivamente a identificar pornografía mediante un software incorporado que es capaz de detectar diferentes partes del cuerpo humano, y así prevenir el ingreso o el acceso a la página en cuestión.

El pequeño pendrive USB funciona tanto con Windows XP, Vista y 7, y como si fuera poco también es capaz de delatar si se descargaron algunas imágenes que habían sido descargadas y borradas, así que ya no habrá manera de esconder el hecho. El pequeño dispositivo se consigue por un precio de US$ 99.

Fuente: Techtear

Bernardo Quintero: la seguridad no está reñida con la innovación y las libertades, aunque muchos se empeñen en hacernos creer lo contrario

noreply@blogger.com (SSD) — Thu, 11 Mar 2010 08:12:00 PST

"Se han detectado troyanos para BlackBerry que actúan como micrófonos y graban las conversaciones del usuario sin que éste se entere", advierte Bernardo Quintero, experto en seguridad informática y uno de los fundadores de la empresa Hispasec. Estos casos son mínimos, por el momento, y caen casi en el terreno de la ciencia ficción. Protegidos por el babel de sistemas operativos, los móviles todavía están a salvo de los ataques de los "cibercriminales". No ocurre lo mismo con las redes sociales o los servicios que almacenan datos del usuario. A pesar de que los niveles de seguridad son óptimos en su mayoría, su constante crecimiento e innovación les hace vulnerables. Quintero recomienda cautela y sentido común en los servicios sociales, pero también anima a mantener la confianza en las plataformas y huir de los discursos que esconden intereses oscuros.

¿Cómo nació Hispasec?

Hispasec es un laboratorio de seguridad informática y tecnologías de la información que comenzó a funcionar en 1998 como fuente técnica independiente y sin ánimo de lucro, con un boletín diario y un portal web. El proyecto surgió de forma espontánea entre varios técnicos que escribíamos en revistas especializadas del sector con el único afán de investigar y concienciar sobre la importancia de la seguridad en las nuevas tecnologías. Apenas dos años más tarde, nos vimos casi forzados a crear la empresa para dar respuesta a la demanda de servicios profesionales. En nuestros orígenes, nunca pensamos en convertirnos en una empresa, pero el mercado nos empujó a ello. Entre nuestros clientes hay compañías de todo tipo de sectores, como telecomunicaciones, banca, software, construcción o la propia industria de la seguridad, a la que también proveemos de tecnología. De forma paralela, mantenemos el espíritu original del proyecto y proponemos servicios gratuitos a la comunidad, como el boletín de noticias o el servicio antivirus on line VirusTotal.

Contenido completo en Consumer

Santamarta: El cazador de agujeros

noreply@blogger.com (SSD) — Thu, 11 Mar 2010 05:00:00 PST

Como en una película del Oeste, Google acaba de prometer recompensas de 370 euros por cazar no forajidos, sino fallos de seguridad en su navegador Chrome. La práctica de dar dinero a quien encuentre estos agujeros, llamados bugs en la jerga informática, es cada vez más habitual y ha creado un mercado en el que participan los mejores programadores del planeta.

Rubén Santamarta es el cazabugs, o ya puestos, el cazabugeros español más conocido. Es de León, autodidacta, tiene 27 años y entró en este mundo hace tres. "Cuando empecé no sabía que había empresas que pagaban por ello, lo que me llamaba la atención era el reto de buscar fallos en los sistemas", explica. Hoy asegura vivir de esto: "Con encontrar un par de bugs al año en programas conocidos ya no tienes que preocuparte".

Contenido completo en El País

Schneier: el futuro de la industria de la Seguridad Informática

noreply@blogger.com (SSD) — Thu, 11 Mar 2010 03:58:00 PST

Cada vez más empresas externalizan su infraestructura de TI – tratándolo como un servicio más, como la electricidad, limpieza de oficinas, o de preparación de impuestos y esto tiene profundas implicaciones para la seguridad de TI. Los usuarios de la organización se preocupan menos por los detalles técnicos de la seguridad.

Bruce Schneier es un experto en seguridad informática de renombre internacional, autor de numerosos libros y papers. Descrito por The Economist como un “gurú de la seguridad”, es mejor conocido como un crítico de la seguridad refrescantemente franco, lúcido y comentarista. En esta charla, realizada en la Universidad Politécnica de Madrid, Bruce nos muestra (ver video) como ve el futuro de la seguridad informática.

Fuente: Dragon JAR

Investigadores construyen fuerte botnet de 8.000 smartphones

noreply@blogger.com (SSD) — Wed, 10 Mar 2010 18:44:00 PST

Buscando elevar el nivel de concientización acerca de las implicaciones de seguridad de las aplicaciones de terceros para celulares tipo smartphone, un par de investigadores de seguridad usaron como señuelo una aplicación del tiempo para comandar unos 8.000 dispositivos iPhones y Android en una botnet móvil

El proyecto de investigación, tratado primero por Kelly Jackson Higgins de D ark Reading, fue develado en la conferencia de este año de RSA para mostrar como las inofensivas parece las aplicaciones de smartphone pueden cosechar información sensible del usuario, incluyendo coordenadas GPS y números telefónicos.

El proyecto es la creación de Derek Brown y Daniel Tijerina del grupo Digital Vaccine Group de TippingPoint. Según el informe, la aplicación experimental enlaza al sitio web Weather Underground y provee información de pronostico del tiempo local y otras para sus usuarios.

Fue creado y enviado a los repositorios que ofrecen aplicaciones para Android y los iPhones desbloqueados. Se debe aclarar que solo los iPhones desbloqueados fueron atrapados en esta prueba de concepto de botnet. Los investigadores dijeron que evitaron el almacén de iPhone de Apple por el estricto proceso de seguridad de Apple, que incluye firma del código.

Del artículo de Dark Reading:

En el lapso de una hora después de cargada la aplicación en los sitios SlideME y ModMyI, los investigadores tuvieron 126 descargas, y 702 después de ocho horas. “Luego de 24 horas, teníamos .,862,” dijo Tijerina. Y hasta ayer, la cuenta era de 7.800 iPhones y Androids corriendo la aplicación. “Esto fue realmente sorprendente porque si fuera código malicioso, serían muchos bots que podríamos controlar," agregó.

Para probar los peligros de una red bot móvil, el informe dice que la pareja también escribió una versión maliciosa de la aplicación del tiempo que corre código de bot y puede obtener información de contactos, cookies, y direcciones físicas, y puede enviar rachas de spam.

Los investigadores dicen que no tienen planes de liberar la aplicación maliciosa.

Traducción: Raúl Batista - Segu-info
Autor: Ryan Naraine
Fuente: Blogs ZDNet

¿Qués es el ciclo PDCA?

noreply@blogger.com (SSD) — Wed, 10 Mar 2010 16:54:00 PST

Técnica desarrollada por Shewart y Deming como opción para abordar los proyectos de mejora sobre los procesos propios, externos o internos. Aplicable siempre que preparamos un proyecto concreto, muy especialmente en las actividades desarrolladas con técnicas participativas:

Equipos de diseño
Equipos para análisis y solución de problemas
Equipos de mantenimiento preventivo
Equipos de Logística

Presentación Power Point (inglés) de las etapas ciclo PDCA stándar IDEF0. Estudios de mercado y marketing. Diagnósticos de la visibilidad en Internet de Imagen de Marca, Empresas, PYMES y Autónomos.

Un caso especial lo constituye el desarrollo de Sistemas de Gestión. Estos sistemas exigen el trabajo y la participación de todos los miembros de las organizaciones para ser realmente eficaces, por lo que el ciclo Shewhart es particularmente apropiado para la planificación, la implementación, la implantación y la operación de estos sistemas. ISO lo ha tomado como base para ordenar el contenido de las últimas ediciones de sus conocidas normas internacionales ISO 14001 e ISO 9001:2000 (Sistemas de Gestión de la Calidad - Requisitos).
Ambas normas, están fundamentadas en el compromiso de Mejora Continua de la Alta Dirección de las empresas, siguiendo el espíritu del modelo que propone el TQM (Total Quality Management) a partir de la filosofía expuesta por Deming en sus famosos 14 puntos.

El método consiste en aplicar 4 pasos definidos para asegurar alcanzar el objetivo definido. Estos 4 pasos, aseguran para el proyecto:

la organización lógica del trabajo,
la correcta realización de las tareas necesarias y planificadas,
la comprobación de los logros obtenidos, y
la posibilidad de aprovechar y extender aprendizajes y experiencias adquiridas a otros casos

Paso 1. PLANIFICAR (PLAN)

Primero se debe analizar y estudiar el proceso decidiendo que cambios pueden mejorarlo y en que forma se llevarán a cabo. Para lograrlo es conveniente trabajar en un subciclo de 5 pasos sucesivos que son:

1. Definir el/los objetivo/os. Se deben fijar y clarificar los límites del proyecto: ¿Qué vamos a hacer? ¿Por qué lo vamos a hacer? ¿Qué queremos lograr? ¿Hasta dónde queremos llegar? Luego pasamos a...

2. Recopilar los datos. Se debe investigar: ¿Cuáles son los síntomas? ¿Quiénes están involucrados en el asunto? ¿Qué datos son necesarios? ¿Cómo los obtenemos? ¿Dónde los buscamos? ¿Qué vamos a medir y con qué? ¿A quién vamos a consultar? Presentación en Power Point (inglés) del FOCUS PDCA

3. Elaborar el diagnóstico. Se deben ordenar y analizar los datos: ¿Qué pasa y por qué pasa? ¿Cuáles son los efectos y cuáles son las causas que los provocan? ¿Dónde se originan y por qué? Ahora estamos en condiciones de elegir un Plan de Acción.Presentación Power Point (inglés) Herramientas para el FOCUS PDCA

4. Elaborar pronósticos. Se deben predecir resultados frente a posibles acciones o tratamientos: ¿Sabemos qué efectos provocarán determinados cambios? ¿Debemos hacer pruebas previas? ¿Debemos consultar a especialistas? ¿Es necesario definir las situaciones especiales? Frente a varias opciones adoptaremos la que consideremos mejor.

5. Planificar los cambios. Se deben decidir, explicitar y planificar las acciones y los cambios a instrumentar: ¿Qué se hará? ¿Dónde se hará? ¿Quiénes lo harán? ¿Cuándo lo harán? ¿Con qué lo harán? ¿Cuánto costará?

Paso 2. HACER (DO)

A continuación se debe efectuar el cambio y/o las pruebas proyectadas según la decisión que se haya tomado y la planificación que se ha realizado. Esto es preferible hacerlo primero en pequeña escala siempre que se pueda (para revisar resultados y poder establecer ajustes en modelos, para luego llevarlos a las situaciones reales de trabajo con una mayor confianza en el resultado final).

Paso 3. CHEQUEAR (CHECK)

Una vez realizada la acción e instaurado el cambio, se debe verificar. Ello significa observar y medir los efectos producidos por el cambio realizado al proceso, sin olvidar de comparar las metas proyectadas con los resultados obtenidos chequeando si se ha logrado el objetivo del previsto.

Paso 4. ACTUAR (ACTION)

Para terminar el ciclo se deben estudiar los resultados desde la óptica del rédito que nos deja el trabajo en nuestro "saber hacer" (know-how): ¿Qué aprendimos? ¿Dónde más podemos aplicarlo? ¿Cómo lo aplicaremos a gran escala? ¿De qué manera puede ser estandarizado? ¿Cómo mantendremos la mejora lograda? ¿Cómo lo extendemos a otros casos o áreas? Checklist de los errores más comunes en la aplicación del PDCA.

Paso 5

Consiste en repetir el Paso 1, pero en una nueva dimensión o estado debido a la mejora realizada y allí, INICIAR OTRA VUELTA DE MEJORA.

Es decir: una vez estabilizado el proceso en la nueva condición lograda por una mejora concretada, proponer una nuevo ciclo PDCA para subir otro peldaño en la búsqueda del óptimo ideal.Esta sencilla técnica que sin darnos cuenta aplicamos "intuitivamente" cada vez que encaramos un proyecto personal o somos parte de un grupo que lo va a desarrollar, es una importante HERRAMIENTA que merece tenerse muy presente al trabajar profesionalmente, sin olvidar que su real eficacia radica en el orden de su ejecución y en la completa realización de sus 4 pasos (P, D, C y A).

Más información:

Presentación en Power Point (inglés) del FOCUS PDCA
Presentación Power Point (inglés) Herramientas para el FOCUS PDCA
Presentación Power Point (inglés) de las etapas ciclo PDCA
Checklist de los errores más comunes en la aplicación del PDCA
Herramientas para etapas del PDCA

Fuente: PDCA.es

Acusan a Mark Zuckerberg por atacar a la competencia

noreply@blogger.com (SSD) — Wed, 10 Mar 2010 16:20:00 PST

Zuckerberg "hackeó" a sus rivales y a los periodistas del diario universitario, al tiempo que engañó a su inmediato competidor para que no tuviesen un producto acabado cuando saliese Facebook al mercado.

Que cierren Facebook es uno de los temores de los usuarios más fanáticos de la red social, un temor que no es totalmente infundado. El grupo en internet que pide que no se cierre la red social tiene de hecho ya más de 600.000 seguidores.

Nicholas Carlson, editor de Silicon Alley Insider, realizó una investigación durante dos años y según él ha descubierto evidencias concretas que confirmarían el delito cometido durante 2004. Estas evidencias demostrarían que Mark Zuckerberg utilizó información privada tomada desde los servidores de Facebook para ingresar a las cuentas de correo y leer sus mensajes privados. También se acusa a Zuckerberg de ingresar a los sistemas de sus competidores y realizar cambios en sus sitios.

Pero, ¿qué podría llevar a la red social a echar el cerrojo? En julio de 2007, tres compañeros de universidad llevaron, una vez más, al fundador de la compañía a los tribunales por robarles su idea. Los demadantes pedían daños y reclamaban el cierre de la red social.

La guerra entre los fundadores de ConnectU y Zuckerberg duró hasta 2008, cuando llegaron a un acuerdo ambas partes en el cual Facebook pagó 65 millones de dólares.

Cuando Cameron y Tyler Winklevoss y Divya Narendra decidieron lanzar Harvard Connecion, contactaron con Mark Zuckerberg para que desarrollara el código de la que querían fuese la red social en la que los estudiantes de Harvard pudiesen ligar. Zuckerberg les dio finamente largas y no llegó a concluir su proyecto. Semanas después lanzaba Facebook y sus antiguos contrantadores vieron en su aparición un plagio.

Parece poco factible que los jueces lleguen a dar algún día la razón a los demandantes, ya que en alguna ocasión el poder judicial ha señalado que la demanda se apoyaba en "cháchara de dormitorio", aunque lo que sí ha impulsado es un gran caudal de literatura que intenta poner en evidencia los oscuros y poco éticos orígenes de Facebook.

The Accidental Billionaires. Sex, money, betrayal and the founding of Facebook, de Ben Mezrich, puso en el timeline de la firma a Eduardo Saverin, el primer inversor de la red social y el desconocido primer socio capitalista de Mark Zuckerberg.

Ahora, un profundo análisis de Business Insider demuestra que en la creación de Facebook no se jugó nada limpio. Dos años de análisis y entrevistas han demostrado que Zuckerberg aceptó el proyecto de Harvard Connection aún sabiendo que chocaba con su propio proyecto y aprovechó que él era el desarrollador de código para no crear nada y que, cuando apareciese Facebook, sus inmediatos y con más recursos competidores no tuviesen nada que ofrecer de modo alternativo.

"Voy a joderlos", fue la prosaica declaración de intenciones cuando uno de sus amigos le preguntó como iba a solucionar el problema que suponía ser el desarrollador de Havard Connection.

Los competidores de Zuckerberg se encontraron, efectivamente, con nada entre las manos mientras Facebook se convertía en un éxito. Su red social, a la que rebautizaron ConnectU, fue un fracaso.

En sus primeros tiempos también fue víctima de un ataque hacker comandado por el propio Zuckerberg, quien no dudó en hackear a su rival y a los periodistas del periódico de la universidad.

En el nacimiento de Facebook, concluye en su profuso análisis Business Insider, no hubo plagio, aunque tampoco mucha moralidad.

Fuente: Silicon News, Fayewayer y Daniel Expósito

Adivina si esto es phishing

noreply@blogger.com (SSD) — Wed, 10 Mar 2010 10:51:00 PST

Uno recibe un correo que dice ser Microsoft y tiene una imagen con un vínculo para visitar.

Como corresponde, antes de hacer clic revisamos un poco.

a) Posando el cursor sobre el vínculo vemos el dominio donde apunta,en medio de un montón de letras y números, es el dominio, microsoftemail.com. No lo conozco, se parece a lo que hacen los phishers, registran dominios parecidos para engañar. Sigamos...

b) Pasamos a ver los encabezados del correo:
El remitente (FROM:) es del dominio microsoft.com . Bien, pero no me asegura nada. Lo falsifica un niño.

c) La dirección de respuesta (Return-Path:) es del dominio microsoftemail.com . Mmm que raro parece phishing

d) Sigamos, el servidor de envío (Received: from) es del dominio exacttarget.com . No lo conozco.

Uff, parece que está difícil, no voy a hacer clic ante un caso así, puede ser un phishing, parece ser un phishing!

Más trabajo, verificar la propiedad de los dominios del servidor de correo y de la página a donde lleva el vínculo.

d) exacttarget.com: pertenece a ExactTarget y no tengo idea quienes son, pero al menos WOT los califica bien y el dominio existe desde el año 2000.

e) microsoftemail.com: pertenece a Microsoft Corporation y los DNS son los de Microsoft.

Ahora si ¡puedo hacer clic tranquilo en el correo! (gracias Microsoft por hacerme practicar los controles de un correo)

Raúl de la redacción de Segu-Info

RSA 1024 no ha sido roto, aclaraciones de Fernando Acero

noreply@blogger.com (SSD) — Tue, 09 Mar 2010 14:42:00 PST

A propósito de la noticia que tradujimos en exclusiva para los lectores de Segu-Info, hemos visto en los medios que hay cierta confusión o falta de aclaración suficiente respecto del alcance y lo cierto de este ataque. Naturalmente vende mucho más la noticia de Rompieron RSA 1024 que una explicación que acote el ámbito del ataque.

Por eso queremos compartir estos comentario de Fernando Acero en Kriptópolis al respecto del ataque realizado por científicos de la Universidad de Michigan.

Dice Fernando Acero:

Me he estado leyendo el paper y hay algunas cosas interesantes.

Lo primero que hay que señalar, es que no es un problema que se haya derivado de un avance en la factorización de números y además, el ataque se realiza sobre un hardware y software muy especifico, por lo que no se puede decir que esté en peligro una clave RSA de 1024 bits metida en una tarjeta CERES EAL5, o en cualquier otro dispositivo de hardware.

Lo único claro, es que han logrado sacar una clave RSA de 1024 bits de un dispositivo FPGA (Field Programmable Gate Array) embebida en un sistema Linux SPARC, no en una tarjeta criptográfica, que están preparadas para que este tipo de ataques, basados en las variaciones de tensión, intensidad, temperatura, frecuencia, iluminación, radiación, etc, no tengan éxito en este momento.

Para realizar el ataque, no es necesario tener acceso físico a la máquina, aunque es necesaria cierta proximidad, para poder modificar su alimentación y provocar los transitorios en la línea. En este caso, se trata de un problema de una determinada implementación de hardware basada en una FPGA sin las protecciones adecuadas para filtrar los transitorios de tensión (lo que es relativamente sencillo con un simple diodo TSD (Transient Suppression Diode), en la fuente de alimentación), que contiene una clave RSA de 1024 bits en su interior.

Pero creo que por el tipo del ataque, que podría ser una clave de 1024 bits no RSA teniendo paciencia suficiente para ir recopilando los bits de la misma, aunque también es cierto, que han desarrollado para la ocasión un ataque sistemático al algoritmo de exponenciación modular RSA, basándose en el problema de ese hardware FPGA específico ante los transitorios de tensión y al fallo de las librerías OpenSSL, que ha logrado reducir el tiempo a solamente 100 horas.

Así, que decir que se ha roto la seguridad de las claves RSA de 1024 bits, es tan aventurado como incierto, sobre todo, cuando no se ha logrado obtener un método general para obtener las claves privadas RSA, por ejemplo, mediante la factorización de números grandes y con independencia del hardware en el que se encuentren metidas dichas claves, por ejemplo, en una tarjeta criptográfica.

Resaltan en el documento, que el principal problema de los ataques basados en hardware, es que son muy complicados de detectar por software y lo cierto es que el ataque se ha realizado con éxito y sin necesidad de modificar ni una línea de código en el sistema atacado. Creo que la consecuencia más clara es que meter una clave en un dispositivo de hardware que no tenga la misma seguridad que las mejores tarjetas criptográficas, es un serio error y punto y esto es aplicable en este momento a muchos escenarios.

Además de lo anterior, creo que el ataque no habría tenido éxito, si no hubieran descubierto un serio fallo en la implementación del algoritmo e firma del OpenSSL y sobre todo, si el hardware fuera insensible a los transitorios de tensión, lo que es muy sencillo de lograr.Simplemente han trasladado a las FPGA un ataque mediante variaciones de tensión, que antaño fue viable con las primeras generaciones de las tarjetas inteligentes, que no eran "tamper proof".

El escenario es un ataque a la librería de autentificación original del OpenSSL, funcionando sobre un sistema Linux SPARC basado en una FPGA sin protección contra los transitorios de tensión, con todo lo que ello supone en relación a las condiciones particulares de cada hardware y sobre ese escenario tan concreto, han logrado recuperar una clave privada RSA de 1024 bits que estaba embebida en la FPGA tras 100 horas.

Esto no quiere decir, como recomiendan los expertos, que no se pase a claves RSA más grandes y que se abandonen los sistemas basados en números primos, en favor de los basados en curvas elípticas y ya vamos con retraso, si atendemos a los que se expresa en muchos documentos oficiales en relación con las claves y cripto-periodos.

Un saludo, Fernando Acero

y más adelante Fernando agrega:

Hay un interesante DRAFT del NIST americano, que dice que las claves RSA con una longitud de 1024, no se deberían usar más allá del año 2010. Para el caso del transporte de claves, las condiciones se endurecen todavía más.

Desde mi punto de vista, no solamente se debería hacer una transición a claves de mayor tamaño, posiblemente mayores de 2048, si queremos que nuestros secretos sigan siendo secretos durante un tiempo razonablemente alto, también se debería usar curvas elípticas en lugar de números primos para generar las claves.

Por cierto, hay un pequeño problema con las claves generadas mediante números primos industriales. Antes, el algoritmo para comprobar la primalidad era heurístico y desgraciadamente se sigue usando en la mayoría de los sistemas criptográficos (Miller-Rabin o test fuerte de pseudoprimos), es decir, que no había certeza absoluta de que los primos industriales elegidos para crear las claves eran primos de verdad, aunque sí con un elevado grado de fiabilidad, que era función de las iteraciones que se realizasen del test. Es decir, se puede mejorar la seguridad aumentando el número de iteraciones de forma arbitraria, lo que también supondrá un mayor tiempo para la generación de las claves.

Sin embargo, ahora existe un sistema determinista en tiempo polinómico (AKS - Agrawal, Kayal y Saxena), es decir, que permite saber si un número primo es o no primo, con una fiabilidad del 100%. El uso de AKS permitiría mejorar algo la seguridad teniendo la certeza absoluta que los números elegidos para generar las claves, son primos de verdad.

Un saludo, Fernando Acero

"Copyleft 2009 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

Se pueden ver todos los comentarios de Supuesta rotura de la clave privada RSA de 1024-bits en Kriptópolis

Raúl de la redacción de Segu-Info.

Ezine Comunidad DragonJAR Online

noreply@blogger.com (SSD) — Tue, 09 Mar 2010 13:35:00 PST

La revista digital de nuestra comunidad, es uno de los proyectos que mas aceptación ha tenido, no solo se puede ver en el numero de descargas obtenidas por cada edición, sino por la difusión que tienen en la red una vez es publicado.

Aun así, cada que publicamos un nuevo numero de nuestra ezine, muchas personas preguntan donde descargar los demás números y nos comentan que desconocían totalmente el proyecto, para todas estas personas que desconocen la revista de nuestra comunidad, les dejo los 4 números que hemos publicado hasta el momento para que los visualicen desde su navegador o los descarguen según sus gustos.

Ezine #1 BETA de La Comunidad DragonJAR

E-zine #2 Comunidad DragonJAR

E-zine #3 Comunidad DragonJAR

E-zine #4 Comunidad DragonJAR

Este año con la ayuda de Seifreed esperamos aumentar la periodicidad con la que publicamos estos números y la calidad de los artículos contenidos en cada uno de ellos, si quieres participar de alguna forma con nuestra revista digital visita este enlace.

Fuente: La comunidad Dragonjar

Celular Vodafone HTC Magic despachado con malware Conficker y Mariposa

noreply@blogger.com (SSD) — Tue, 09 Mar 2010 12:04:00 PST

[Nota: otro caso más similar a uno investigado por Segu-info y otro reportado ayer]

Justo cuando uno pensaba que había cuidado de todos los posible vectores de infección de malware, fallidos procedimientos de aseguramiento de calidad demuestran una vez más la necesidad de un enfoque transparente y sistemático para asegurar que los dispositivos digitales sean despachados libres de malware.

En una nueva nota de blog, los investigadores de PandaSecurity están informando de ejemplos de malware de robo de contraseñas del juego Lineage, Conficker y Mariposa despachados recientemente en el smartphone Vodafone HTC Magic.

Más detalles:

Hoy una de nuestras colegas recibió un nuevo (celular) Vodafone HTC Magic con el Android OS de Google . Lo interesante que cuando conectó el teléfono a su PC mediante USB su antivirus Panda Cloud empezó a sonar, detectó tanto un autorun.inf y autorun.exe como maliciosos. Una rápida mirada en el telefono reveló que estaba infectado y propagando la infección a todas las PC en donde se conectara el celular. Bastante interesante, el bot de Mariposa no es el único malware que encontré en el teléfono Vodafone HTC Magic. También un Conficker y un malware que roba la contraseña del juego Lineage.

Este no es un incidente aislado, sino una tendencia. Durante los últimos años, una multitud de dispositivos diferentes han sido despachados con malware que se abrió camino mediante procedimientos de aseguramiento de calidad defectuosos.

Aquí una breve retrospectiva de los casos informado en los que dispositivos digitales fueron despachados con software malicioso:

2006 - Small Number of Video iPods Shipped With Windows Virus
2006 - McDonalds’ free Trojan: “Would you like malware with that?”
2007 - TomTom ships malware on sat-nav
2007 - Seagate ships virus-infected hard drives
2008 - HP ships USB sticks with malware
2008 - Best Buy issues security warning on Insignia digital picture frames
2008 - Asus ships Eee Box PCs with malware
2008 - Samsung Digital Photo Frame shipped with malware
2008 - Malware found in Lenovo software package
2008 - Telstra distributes malware-infected USB drives at AusCERT
2009 - Malware Found On Brand-New Windows Netbook (M&A Companion Touch)

El incidente del Vodafone HTC Magic es el segundo de marzo de 2010, que sigue al recientemente informado del cargador de baterías Energizer DUO USB infectado con malware. (*ver en Segu-info)

Traducción: Raúl Batista - Segu-info
Autor: Dancho Danchev
Fuente: Blogs ZDNet

Europa recomienda que Google pida permiso por Street View

noreply@blogger.com (SSD) — Tue, 09 Mar 2010 10:25:00 PST

El grupo de trabajo de la Comisión Europea encargado de velar por la protección de la privacidad de los ciudadanos envió una carta a Google en la que expresa su preocupación por el tiempo que almacena las imágenes fotográficas que usa en su servicio de mapas Street View y le recomienda que avise con antelación a los vecinos que retratan sus cámaras.

Street View es un producto de Google que, desde 2007, ofrece, superpuestas a sus mapas, imágenes de carreteras y calles de ciudades en 29 países del mundo. Normalmente difumina las caras de las personas y en su página web ofrece la posibilidad a los internautas de que pidan la retirada de imágenes que les afecten.

La Comisión pide en su carta a Google que guarde las fotos originales, en las que todavía no ha difuminado las caras de los transeúntes, sólo seis meses, y no 12, como hace ahora. También pide que trate de evitar la toma de imágenes "sensibles, y que contengan detalles íntimos".

Google asegura que, por norma, publica la información al respecto en su página web. Además, en un comunicado enviado a la agencia Bloomberg, el abogado y jefe de la oficina de privacidad de Google, Peter Fleischer, dijo que "guardar las imágenes originales es legítimo y está justificado para garantizar la calidad y la fiabilidad de los mapas y para rectificar los errores que se den en el proceso de difuminado".

Demandas

En Estados Unidos, Street View también ha originado quejas. La juez de Pensilvania Amy Reynolds desestimó la demanda que un matrimonio de Pittsburg había interpuesto contra Google por invasión de la intimidad y otros cuatro cargos. Un coche con cámaras de Google había entrado en 2008 en su camino privado, hasta la puerta de su garaje, y había grabado su casa y su patio.

En un documento judicial, la empresa citó literalmente el compendio de leyes de responsabilidad civil del Instituto de Leyes Norteamericanas, diciendo: "La privacidad completa no existe en este mundo excepto en el desierto, y cualquiera que no sea un ermitaño debe esperar y asumir los pequeños incidentes de la vida comunal de la que es parte". De esta forma, la juez le dio la razón a Google.

Fuente: La Nación

Cuenta administrador vs. cuenta limitada

noreply@blogger.com (SSD) — Tue, 09 Mar 2010 08:09:00 PST

Las cuentas de administrador no están pensadas para utilizarlas en el día a día, suponiendo un riesgo para la seguridad. Cuantos más privilegios tiene un usuario sobre el sistema más riesgo existe, ya que las partes más delicadas de la configuración del equipo estarán más expuestas ante un incidente de seguridad.

Con este artículo el Observatorio pretende explicar como proceder para la configuración de distintos privilegios en la cuenta de usuario de un equipo. Si el perfil tiene permisos restringidos sobre el sistema operativo, no se pueden realizar tareas de administración, con lo que los efectos nocivos de una infección de malware serán mucho menores. También indica las diferencias e implicaciones que conlleva usar una u otra cuenta.

Este artículo se enmarca dentro de la serie “Cuaderno de notas del Observatorio”.

Cuenta administrador vs. cuenta limitada (415 KB)

Fuente: INTECO

El fundador de Facebook, acusado de piratear datos privados en 2004

noreply@blogger.com (SSD) — Tue, 09 Mar 2010 07:07:00 PST

Un sitio de Internet afirma que copió la fórmula de la red social.- La empresa niega la veracidad de la noticia.

Mark Zuckerberg, fundador de Facebook, es el protagonista de una información sobre sus primeros pasos para crear esta red social que no lo dejan muy bien parado. Según una prolongada investigación de Business Insider, cuándo éste era estudiante en Harvard, en 2004 con apenas 19 años, utilizó su acceso privilegiado a los datos de la naciente red social, TheFacebook, para piratear cuentas de correos de periodistas.

Zuckerberg había colaborado en la universidad en otro proyecto de red social, ConnectU, que nunca salió de los círculos académicos. Cuando lanzó TheFacebook, los promotores de la primera lo acusaron de haberse aprovechado de los códigos de ConnectU para crear su red social. El proceso nunca llegó al final. En 2008, alcanzaron un acuerdo amigable cuyos detalles no trascendieron.

Mensajes ahora publicados por Business Insider demostrarían que Zuckerberg habría trabajado en ConnectU pero aprovechando los conocimientos obtenidos en la tarea para la arquitectura de su propia red social.

Los creadores de ConnectU acudieron entonces a la publicación universitaria Harvard Crimson para denunciar la conducta de Zuckerberg. Siempre según estas informaciones, el fundador de Facebook habría aprovechado el acceso a los datos de los periodistas albergados en la red social para entrar en su correo y se habría introducido en la administración de ConnectU para modificar el perfil de sus rivales. Facebook ha negado la autenticidad de esta noticia y criticado el empleo de fuentes anónimas.

Fuente: El País

En mi casa mando yo

noreply@blogger.com (SSD) — Tue, 09 Mar 2010 06:44:00 PST

En esta entrada me gustaría repasar algunas aproximaciones al respecto del concepto de Trusted Computing, y como lo lógico es empezar con la definición, por Computación Confiable nos solemos referir a sistemas completos e integrados hardware+software, en los que todo lo que se ejecuta se encuentra bajo el control del sistema y hay muy poca flexibilidad para la ejecución de otras cosas; enseguida veremos algunos ejemplos. Así pues, podría decirse que disponemos de una caja “blindada” que no puede en teoría ser manipulada ni por software ni por hardware, de modo que sólo realizará las funciones para las que esta diseñada siguiendo las directrices marcadas por el fabricante, sin que pueda ser manipulada o alterada.

Para evitar dichas manipulaciones el propio fabricante intenta proteger el sistema para que incluso el “propietario” del hardware (en el sentido de dueño del hierro) pueda utilizarlo para lo que guste. Este tipo de protecciones se usan de manera habitual para proporcionar contenidos con restricciones de uso (DRM), aplicar comisiones a los productos software, sistemas incopiables, etc. En algunos casos, los motivos aducidos serán razonables y en mi opinión otras veces abusos, la pregunta es: ¿Obedece el ordenador a su dueño? ¿U obedece a otra organizacion como Microsoft, Apple , Sony, Nokia, etc.? ¿Somos propietarios de nuestro propio hardware? ¿Quién manda en nuestra propia casa?

Algunos de nuestros lectores estarán ya pensando que que no son usuarios de este tipo de sistemas, pero la realidad es que existen muchos dispositivos de uso cotidiano que se han diseñado con esa filosofía. Vamos a ver algunos aparatos que, en muchos casos sin ninguna razón coherente, hacen “lo que ellos quieren” y no lo que quiere el dueño del “aparato”; son nuestros, pero no del todo, ya que obedecen a sus fabricantes (y a menudo en un sentido literal si existe algún tipo de conexión remota a los dispositivos).

Empecemos por las consolas de videojuegos. En todos los casos estos dispositivos están diseñados para poder ejecutar sólo un software determinado firmado digitalmente, lo que les protege de ejecutar copias de juegos, pero también impide la ejecución de software propio como Linux, o juegos sin pagar comisión. Como veremos, Internet es muy amplia y este tipo de protecciones no suelen durar demasiado tiempo, a pesar del tiempo y recursos utilizados por los fabricantes para diseñarlas (también es cierto que las modificaciones no llegan al gran público, por lo que el objetivo que se persigue con la protección se alcanza). Veamos:

Xbox: Estos sistemas han sido vulnerados tanto por software mediante el uso de exploits, como por hacks hardware (los famosos modchips).
Playstation 2: También reventado por hardware mediante modchips.
Playstation 3: Les ha costado pero tras 3 años, parece que ya ha sido vulnerada.
Wii: Vulnerado tanto por software como por hardware.
PSP: Vulnerado tanto por software como por hardware (pandora battery).

En estos casos podríamos comentar que al desproteger el aparato se puede usar para ejecutar copias de juego, algo de moralidad cuestionable, pero también te permite ejecutar tus propios programas “hechos en casa” (homebrew) lo cual parece razonable en un aparato que has pagado y que no entra en conflicto con los intereses del fabricante que te lo vendió. Al respecto, hay ya varias sentencias que determinan la legalidad de estas modificaciones por hardware [ElPaís.com, sentencia completa en Bufet Almeida]aludiendo precisamente a la posibilidad de ejecutar programas como Linux.

En segundo lugar, están los teléfonos móviles, que cada vez son más inteligentes. En este caso, solo aplicaciones firmadas y que hayan pagado la correspondiente licencia pueden ejecutarse en estos dispositivos. En teoría, ademas se revisa que estas aplicaciones no sean dañinas para la estabilidad del teléfono, o incluso para la estabilidad de las redes de telefonía móvil (seguridad por lo tanto bastante cuestionable, si no es por la propia seguridad del protocolo, sino por el acceso a uno de los extremos). Las principales plataformas han sido manipuladas, como se muestra a continuación.

Symbian: Solo el código firmado se puede ejecutar, si bien han aparecido diversos métodos para saltarse esas limitaciones.
Iphone: Solo el codigo firmado y descargado de la Apple Store se puede ejecutar, también son ampliamente conocidas los hacks para poder ejecutar cualquier aplicación.
Android: Incluso los moviles con Android por defecto no te dejan ser root (hay que hacer algunas triquiñuelas para serlo).

Por último, en la categoría de “Otros” existen multitud de dispositivos que entran dentro de este tipo de hardware. Veamos los ejemplos más relevantes:

Ipad: Tal como lo describe la Free Software Fundation es un gran paso atrás en la historia de la computación ya que sólo permite ejecutar el código autorizado por Apple, siendo además difícil incluso acceder a los contenidos archivados en el propio aparato.
Subsistema de video de ordenadores HDMI: Los cables HDMI de los equipos informáticos o televisiones disponen de sus protocolos de DRM, con lo que pueden establecer la resolución de la imagen dependiendo de las características del otro lado, o incluso no sacar señal si así lo deciden. Conecten un cable HDMI a su portátil, prueben a reproducir diversos contenidos con DRM y verán la pesadilla.
Routers, dispositivos domesticos (NAS): numerosos aparatos domésticos están diseñados para que nadie pueda modificar, mejorar o tener pleno control de los aparatos.
SmartCards, tarjetas de crédito EMV (tarjetas chip), DNI digital: Estos dispositivos aprovechan las funcionalidades de un pequeño sistema informático incrustado en la tarjeta, que tiene su procesador y su memoria, y que es muy robusto tanto desde el punto de vista del software como desde el punto de vista del hardware; al respecto, son sistemas muy difícilmente atacables en comparación con el resto de dispositivos comentados, lo que permite que la tarjeta proteja la clave privada con un PIN, y de ninguna manera la extraiga sino que solo opere con ella en su interior. Podríamos decir que se trata de un sistema confiable y que debe de ser así por la propia funcionalidad que el aparato ofrece, que protege al usuario ante un tercero que robe el propio aparato, y en principio no está a las ordenes de ninguna otra organización. En general estos sistemas no son vulnerados, quizá porque aun no están suficientemente extendidos. Debe destacarse que otros sistemas basados en tarjetas inteligentes como las de suscripciones de TV de pago si que han sido vulnerados, por lo que no seria de extrañar que también aparecieran exploits para estos sistemas.
Decodificadores de televisión de pago: Normalmente los decodificadores incluyen una tarjeta criptográfica (que en sí mismo es un dispositivo de Computación confiable), que es el que se encarga de recibir las claves de los contenidos desde el proveedor y decodificar o no los contenidos. Al ser tarjetas criptográficas, no son fácilmente atacables debido a que además protegen un activo muy valorado economicamente. A pesar de ello, estos sistemas han sido vulnerados en repetidas ocasiones, pero en la actualidad los sistemas actuales de TV de pago están protegidos por un sistema denominado Nagra3 que parece que es resistente a los ataques.
Trusted Platform Modules: Los equipos TPM son equipos PC que han sido adaptados para que funcionen de manera “Trusted” (Confiable/Controlada), integran procesadores criptográficos y dan una solución global (cifrado de disco, hardware, etc.). Con estos equipos se pueden diseñar sistemas que sólo ejecuten tu versión de Linux y los paquetes determinados, así como otros sistemas operativos. La solución en principio se ha diseñado para que sea robusta, sin embargo ha sido recientemente vulnerada. En torno a estos sistemas TPM y sobre todo para módulos criptográficos, en los que se quiere certificar su robustez desde el punto de vista lógico pero también desde el punto de vista fisico, existen certificaciones como FIPS que se centran en ello, como por ejemplo este pendrive.

Por último, y como precursor de todos estos artilugios, me gustaría comentar el artilugio de la edad media (popular tras la pelicula del código Davinci) Criptex, un aparato capaz de almacenar un pergamino, pero con vinagre de manera que si no introduces el código correcto destruye el pergamino. Para que vean que la idea de tener una máquina que tome sus propias decisiones en contra de quien la posee viene de muy lejos.
Todos los sistemas comentado se encuentran con los siguientes problemas:

El software es atacable: Mediante todos los métodos que se os ocurran (exploits, overflows, etc.).
El hardware es atacable: Se puede modificar el hardware añadiendo circuiteria (los famosos modchips que les comentaba). En el caso de las tarjetas las cosas se complican, aunque existen diversos ataques basados en modificar el voltaje, medir consumos para realizar ingeniería inversa, técnicas con microscopios electrónicos, limpiar con ácido los circuitos y otros muchos métodos de los cuales no soy ningún experto.

Como hemos podido ver, todos los intentos por parte de la industria de disponer de sistemas que no obedezcan al usuario en algún momento han fracasado, por lo que hemos de plantearnos varias cosas (aspectos que también y con mayor interés deberían plantearse los fabricantes de estos dispositivos),

Primero, desde el punto de vista de la ingeniería, ingeniería del software y evolución técnica de la sociedad no debemos permitir que se impongan limitaciones artificiales sobre el software que se puede ejecutar en cada aparato. Sin duda alguna si el software y el hardware no hubieran funcionado como sistemas interoperables, la sociedad no habría avanzado todo lo que ha avanzado; es necesario por tanto impedir que los sistemas en su conjunto estén controlados por corporaciones.
Desde el punto de vista de los usuarios, a nivel empresarial debemos de estar atentos a las limitaciones impuestas a nuestros aparatos/sistemas, cuáles son razonables y cuáles son excesivas.
Desde el punto de vista de los desarrolladores de soluciones tecnológicas de este tipo, visto lo visto, hay que tener en cuenta que tarde o temprano si hay suficiente interés este tipo de sistemas serán vulnerados, y se debe de estar preparado para ese momento.

Este post me gustaría dedicarlo a Alan Turing (23 Junio 1912 – 7 Junio 1954) por inventar una máquina de propósito general, y al mismo tiempo no dedicarlo al resto de la industria por desear hacer todo lo contrario.

Autor: Damià Soler
Fuente: Security Art Work

Aprendiendo del enemigo. Spammers

noreply@blogger.com (SSD) — Tue, 09 Mar 2010 05:15:00 PST

Desde hace algunos años poseo una cuenta en gmail, principalmente debido a que me permitían tener un nombre mucho mas profesional al de hotmail, tenia mas capacidad de almacenamiento y no recibía prácticamente ningún correo spam.

Desde hace algunas semanas estoy empezando a recibir algunos correos un tanto sospechosos:

Al principio no lo tome demasiado en cuenta pero debido a varios casos que he vuelto a detectar, empecé a cuestionar me una serie de preguntas :

¿de donde han obtenido mi dirección?
¿cómo he llegado yo a esta lista?
¿por que me envían SPAM?

Inicialmente, se enviaban correos utilizando direcciones IP de origen conocidas o enviaban los correos a servidores de correo de internet.
La primera solución que se decidió tomar fue asignar las direcciones IP de las cuales provenían estos correos a las famosas DNS BLACKLIST (Listas Negras), las cuales siguen siendo utilizadas por firewalls, antispam y antivirus.

Estas listas se alimentan mediante robots encargados de buscar sistemas Open Relay's Http://en.wikipedia.org/wiki/Open_mail_relay(Esta técnica aun no está optimizada del todo ya que, una vez detectado , se deberá intentar contactar con el administrador del servidor de correo afectado y en el caso de que no muestren cambios en la configuración, el servidor sera incluido en la lista).

Los sistemas de correos abiertos, han sido durante muchos años unos de los métodos preferidos por los spammers para el envío de correo masivo, una vez que se detecta un servidor con estas características, los responsables del servidor relay son afectados por un consumo de recursos y ancho de banda elevado y, por la parte contraria, la de sus clientes, reciben una cantidad ingente de correo basura o “spam”

En los últimos años, el uso de esta técnica se ha visto reducida, debido posiblemente a los problemas que podrían acarrear, por ejemplo, el no atender bien a estas listas antes descritas.

Telefónica, 2004.
Http://www.hostinglmi.es/bitacoras/index.php/archives/2004/05/12/telefonica-en-blacklist/

Algunas de estas técnicas son conocidas como:

E-Mail Address Harvesting
Proceso de obtención de listas de correo de formas tan dispares como las siguientes:
*Compra de listas a otros spammers*Búsquedas de direcciones a través de búsquedas realizadas en páginas web (USENET)*Uso de Aplicaciones software (Spam bots, harvesters)

Directory Harvest Attack
Consiste en ataques de diccionario sobre los servidores de correo, donde aquellas direcciones de correo que sean válidas en dominios, son obtenidas por fuerza bruta, mediante el uso de nombres comunes en direcciones de correo y a través de la respuesta dada por el servidor.

Ejemplo: intentar mediante scripts, encontrar correos como: pepe@eldominio.com, paco@eldominio.com, etc...

Los spammers para conocer si estos correos son válidos o no, saben que los servidores de correo usan una utilidad para diferenciar a los usuarios legítimos: el comando VRFY, por el que un servidor de correo chequea el usuario antes de enviarle un correo, y el comando EXPN, por el cual podríamos obtener una lista con todos los usuarios en el servidor.

Ejemplo:

$ telnet localhost 25 Trying 127.0.0.1 ... Connected to localhost. Escape character is '^]'. 220 localhost sendmail ---- ready at Fri, 12 Feb 2010 09:13:12 -0800 debug 500 Command unrecognized vrfy jose 250 Pepito el de los palotes expn all 250-Juan Cisneros 250-Pepito el de los palotes 250-Alfredo Perez Rubalcaba [/code]

Eso si en la actualidad, han sido deshabilitadas.

Otras de las técnicas de los spammers de burlar la seguridad es usando formatos de archivos desconocidos, son las siguientes (detectadas por Symantec):

-eFax: Tipo de archivo asociado al popular servicio del mismo nombre, y funciona asociando al correo electrónico un número de Fax real como si de un aparato se tratase, esto con el fin de facilitar el envió y recepción de faxes entre personas, recibiendo estos en la bandeja de entrada en forma de adjuntos.

-MHT: Un formato de archivo web creado originalmente por Microsoft para intercambiar contenido por la internet, cuya función es guardar páginas web que emulan un email HTML. Actualmente dicho tipo de fichero es soportado por varios navegadores entre los que es popular el de Opera.

Solo cabe por destacar los correos mas típicos recibidos como SPAM

1.Ofertas de trabajo en casa o aquellas que te ofrecen un empleo fácil y beneficios muy jugosos a cambio de nada o casi nada.
2.Relojes Rolex, Mido o de marcas reconocidas, eso si, casi siempre con su correspondiente descuento.
3.Cadenas de apoyo solidario, FW y demás del tipo de reenvío.
4.Mails con asuntos bancarios (nuevas tarjetas, comprobación de solicitudes inexistentes, promociones).
5.Ofertas de negocios, publicidad empresarial y todo lo que tenga que ver con “apoyo” a negocios y microemprendimientos.
6.Usando los eventos deportivos del momento, dígase juegos olímpicos o copas mundiales de fútbol.
7.Informando la muerte de algún personaje famoso o un incidente insólito acerca de alguno, mentiras por supuesto.
8.Escudándose en instituciones gubernamentales o privadas con cierta reputación.
9.Publicidad de productos en general.
10.Viagra, el asunto favorito de estos trash mails, por temporadas sube.

Propongo ahora algunas de las técnicas para ocultar direcciones de correos.

Mediante el empleo de técnicas conocidas como "Address Munging", se intenta ocultar la dirección de correo en las páginas WEB o post en listas de correo. Por ejemplo, la cuenta de correo pepe@example.domain, puede ser escrita utilizando esta técnica como "pepe at example dot domain", "pepe-at-example-dot-domain", "pepe AT example DOT domain" ...

Lamentablemente casi todo el mundo utiliza las mismas técnicas de ocultación, con lo que los programas cosechadores de direcciones de correo ya conocen el léxico empleado en la mayoría de ocasiones. Solo hace falta hacer una búsqueda del tipo +"-AT-" +"-DOT-com" y en google aparecen más de 36.000.000 de resultados con direcciones de correo ocultas con este tipo de mecanismos. La mejor forma de ocultar nuestra dirección de correo de los famosos Harvesting Bots, es incluir una imagen con nuestra dirección de correo. Aunque esto no nos libra de los ojos de los spammers.
(imagen sacada de intenet).

Si se me permite la sugerencia, a modo personal, propongo evitar todo tipo de correo que pida directamente el reenvio a "todos tus contactos"....(el 99,9% es SPAM...)

como ya sabreis este no es el único método de extraer informacion personal:

- Envio de sms con el fin de extraer informacion
http://blog.s21sec.com/2010/02/smishing.html
-Usos fraudulentos de las redes sociales
http://blog.s21sec.com/2010/01/10-usos-fraudulentos-de-twitter.html

Autor: Raúl Pérez Rojo.
Fuente: S21sec

Medición de la Sociedad de la Información 2010

noreply@blogger.com (SSD) — Tue, 09 Mar 2010 04:05:00 PST

La Unión Internacional de Telecomunicaciones (ITU, por sus siglas en inglés) ha publicado el informe titulado “Medición de la Sociedad de la Información 2010”.

En el mismo se puede acceder a interesantes estadísticas sobre la penetración de Internet a nivel mundial discriminado por países, los porcentajes de brecha digital, el crecimiento de la banda ancha fija, la evolución de la banda ancha móvil y algunas estimaciones para tener en cuenta.

El material está disponible en PDF y se puede descargar aquí.

Fuente: ITU

Si, los buscadores pueden infectar su computadora

noreply@blogger.com (SSD) — Mon, 08 Mar 2010 18:11:00 PST

Los motores de búsquedas, tales como Google, Yahoo y Bing ofrecen a los usuarios la capacidad de registrar la enorme cantidad de información en Internet. Estos motores de búsqueda indexan el contenido de los sitios web y a menudo conservan copias en caché de esos sitios de modo que, en el evento que el sitio no esté disponible, los visitantes aun puedan ver el contenido del sitio web.

Desafortunadamente, la idea de cachear la página no ha sido bien implementada. De hecho, el cacheo de página ha abierto nuevas oportunidades para el malware. El problema primario es que, desde la perspectiva de la seguridad, cuando los motores de búsqueda guardan copias caché de los sitios web, están guardando cualquier malware que esté presente en el sitio dentro de su propia infraestructura también.

Los hackers explotan las páginas caché de los motores de búsqueda

La mayoría de los motores de búsqueda más grandes usan algún tipo de análisis de malware para determinar si un sitio web está comprometido o no. Google por ejemplo, tiene un sistema bien calibrado de gran exactitud. En nuestra reunión con el equipo de malware de Google, hace algunos meses, nos alegró saber que ellos ya estaban al tanto de este problema. En las semanas que siguieron a nuestra interacción, las copias cacheadas de los sitios web infectados ya no estaban tan fácilmente disponibles mediante las búsquedas.

No mucho tiempo atrás, escribimos un artículo sobre nuestros esfuerzos por alertar a Yahoo de la presencia de malware en las versiones cacheadas de varias páginas web servidas por su motor de búsquedas. Nuestros esfuerzos no tuvieron éxito, aunque la frecuencia de malware en las páginas de cache de Yahoo parece haber ido descendiendo significativamente. Quizás nuestros mensajes no fueron totalmente ignorados.

Recientemente, un artículo salió en ISC SANS discutiendo el mismo problema.

Recientemente, hemos encontrado casos de Bing sirviendo malware en sus páginas cacheadas. Parece que los métodos de detección de malware de Bing no son capaces de detectar malware de forma fidedigna en las páginas web cacheadas. Esto impide que Bing se asegure que sus páginas cacheadas no contienen malware para sus usuarios. Hemos dado capturas de pantalla abajo como un ejemplo de este problema. En este caso particular, la variante del malware encontrado en las páginas de cache de Bing está allí desde 2009.

Los motores de búsqueda ignoran el problema

Considere el caso cuando un individuo malicioso infecta deliberadamente un sitio con malware y Bing (u otro motor de búsqueda) lo indexa. El individuo malicioso puede enviar luego hiper-vínculos apuntando a las páginas web cacheadas en Bing. Cualquier clase de "verificación de reputación" para el enlace cacheado confirmará que la página está alojada en una compañía de reputación, en este caso, Bing (Microsoft). Sin embargo el malware seguirá siendo capaz de entregar su carga. En el caso que esté pensando, "mi antivirus me protegerá del malware de la página cacheadas," le gustará leer o leer este artículo.

Es sorprendente ver que motores de búsqueda como Bing, que declaran implementar detección de malware, no pueden determinar correctamente si una copia cacheada de una página web contiene malware! En estos casos, Bing termina siendo un excelente vector de ataque para los individuos maliciosos.

Queda por ver si las compañías de los motores de búsqueda continuaran sirviendo página cacheadas contaminadas con malware al mismo tiempo que están promocionando mecanismos de escaneo y detección activos. Esperemos que este artículo llame la atención en los escalones altos de la administración de estas grandes compañías de buscadores gigantes y comiencen a prestar atención a este problema.

A continuación las capturas de pantallas:

Traducción: Raúl Batista - Segu-info
Fuente: StopTheHacker.com

Cargador USB de baterías instala Troyano (el software incluido)

noreply@blogger.com (SSD) — Mon, 08 Mar 2010 09:27:00 PST

[Nota: ese caso es similar a uno investigado por Segu-info hace una semana]

El software que muestra hasta que punto están cargadas las baterías por el recargador Energizer DUO USB viene con un Troyano incluido, dice el US CERT.

El archivo del instalador para el programa deja un archivo de más - el archivo Arucer.dll que es puesto en la carpeta Windows system32, y permite el acceso remoto no autorizado al sistema mediante el puerto TCP 7777. Mediante el mismo, puede descargar más archivos (maliciosos), enviar archivos robados de la computadora infectada y ejecutar programas.

El troyano cobra vida cada vez que se inicia Windows y está activo incluso cuando se desconecta el cargador. al des-instalar el software del cargador, el archivo maliciosos queda desactivado. aún permanece en la computadora, pero el mecanismo que lo ejecuta ya no está presente.

El archivo Arucer.dll debe ser eliminado manualmente de la carpeta Windows system32, posiblemente después de reiniciar la computadora después de desinstalar del software. Bloquear el puerto anteriormente mencionado es una solución parcial y temporaria, y se recomienda quitar el software y el archivo malicioso.

Energizer (la compañía) ha retirado el dispositivo del mercado y está actualmente investigando como llegó a ser comprometido el software.

Traducción: Raúl Batista - Segu-info
Autor: Zeljka Zorz
Fuente: Help Net Security

Cibercriminal intenta borrar la información de un dispositivo USB con sus jugos gástricos

noreply@blogger.com (SSD) — Mon, 08 Mar 2010 07:30:00 PST

Un cirujano neoyorquino ha tenido que operar a un supuesto cibercriminal para recuperar de sus entrañas un dispositivo USB que se había tragado para encubrir sus crímenes.

Florin Necula, un hombre de Queens, Nueva York, fue arrestado en enero de este año bajo sospechas de que había instalado un dispositivo especial en cajeros automáticos para robar la información de las cintas magnéticas de las tarjetas de crédito de sus usuarios.

Pero la policía desconocía que el sospechoso llevaba consigo una pieza de evidencia importante al momento de su arresto: un dispositivo USB de 4Gb marca Kingston que contenía datos robados que se podían utilizar para clonar las tarjetas de crédito de los usuarios comprometidos.

Necula se dio cuenta de lo peligroso que sería poner este dispositivo en manos de la policía y, en un momento de desesperación mientras se encontraba bajo custodia, se lo tragó con la esperanza de borrar la evidencia.

“Tras cuatro días sin que Necula expulsara el aparato, los médicos, que temían que el dispositivo no pudiera pasar por su conducto gastrointestinal, decidieron que sería peligroso dejar el aparato adentro”, explicó el agente de los Servicios Secretos de los Estados Unidos Joseph Borger.

Después de que los cirujanos extrajeran el aparato del intestino del acusado, la policía agregó el dispositivo a una larga lista de aparatos decomisados, entre los que se encuentran cámaras, ordenadores portátiles, teléfonos móviles y más dispositivos USB.

A pesar de los esfuerzos de Necula, las autoridades pudieron recuperar la información del dispositivo y agregaron un cargo de obstrucción de justicia a las otras tres felonías que habían formulado en su contra.

Fuentes:
Man Swallows Flash Drive to Evade Feds, Data Survives Digital Trends
ATM skimmer swallows Kingston flash drive TG Daily
Feds find incriminating flash drive - in alleged credit card scammer's intestines NY Daily News

Autor: Gabriela Villareal
Fuente: Viruslist

Polémica por la seguridad en EEUU: periodista holandés asegura que ingresó explosivos falsos

noreply@blogger.com (SSD) — Mon, 08 Mar 2010 06:05:00 PST

Un periodista holandés logró introducir explosivos falsos en el avión en el que voló desde la capital holandesa a Londres y de ahí a Washington, según reveló el propio reportero.

El hecho se conoce dos meses después del frustrado intento de atentado en un avión estadounidense que viajaba de Amsterdam a Detroit y ya generó preocupación e indignación en Estados Unidos.

Alberto Stegeman, un conocido periodista que tiene habituada a la gente a este tipo de acciones en televisión, dijo haber pasado todos los controles de seguridad del aeropuerto Schiphol de Amsterdam con un litro de fluidos en su equipaje de mano.

"Sigue siendo muy fácil introducir una bomba en un avión", aseguró Stegeman durante su programa de investigación "Undercover Nederland", del canal holandés SBS6.

Para llevar a cabo dicha acción aprovechó ciertas lagunas en la seguridad de las tiendas Duty Free de Schiphol. Uno de los miembros de su equipo compró una botella de alcohol en esa zona sin llegar a tomar el avión para el que había comprado el pasaje.

Después, la botella fue rellenada por otro tipo de líquido que "podía haber sido en todo momento explosivo". Entonces, Stegeman se la dio al vendedor de la tienda, el cual no percibió nada y la precintó como es requerido.

De este modo, Stegeman, a pesar de ser reconocido por algunos trabajadores porque su programa es muy visto en Holanda, pudo pasar los controles de seguridad. En algunas zonas del aeropuerto de Schiphol las tiendas Duty Free están después del control de pasaportes pero antes del de seguridad de la puerta de embarque.

El aeropuerto de Schipol había sido noticia la pasada Navidad, cuando un hombre introdujo un explosivo plástico pegado al cuerpo en un vuelo de la compañía estadounidense Delta/Northwest Airlines con la intención de hacerlo estallar durante el aterrizaje en Detroit.

Sin embargo, varios pasajeros y miembros de la tripulación lograron detener a Omar Faruk Abdulmutallab, el joven nigeriano de 23 años que intentó hacerse volar en pleno vuelo.

Después de ese intento de atentado, Schiphol fue el primer aeropuerto del mundo en introducir los llamados escáneres corporales para el control rutinario de pasajeros que viajan a Estados Unidos.

La portavoz del aeropuerto holandés no quiso opinar sobre la información del programa de televisión y remitió a la Oficina nacional de coordinación de la lucha antiterrorista (NCTB). Un representante de dicha agencia dijo que analizarían el caso y, después, se pronunciarían.

En diciembre de 2008 Stegeman había denunciado en la televisión lagunas en el sistema de seguridad del mayor aeropuerto holandés, después de que consiguiera entrar con supuestas acreditaciones falsas de la compañía KLM en el avión oficial de la reina Beatriz.

Fuente: Ambito

El Jefe del Laboratorio de ESET en UTN Buenos Aires

noreply@blogger.com (SSD) — Mon, 08 Mar 2010 04:40:00 PST

El martes 9 de marzo Juraj Malcho, Jefe del Laboratorio de análisis e investigación de ESET con sede en Eslovaquia dictará una charla magistral en la Universidad Tecnológica Nacional (UTN) regional Buenos Aires en donde tratará temas relativos a la investigación de códigos maliciosos, abordando estudios sobre el comportamiento de malware y cómo son utilizadas las técnicas heurística en su detección.

En esta charla tendré el placer de acompañar a Juraj con otra disertación sobre la importancia de la investigación de malware local en América Latina y cómo nuestro Laboratorio ayuda en los procesos de detección de códigos dañinos desarrollados en la región.

Este evento es abierto y gratuito para toda la comunidad académica, de tecnología, estudiantes y público en general. La inscripción a este evento puede realizarse desde aquí.

Fuente: ESET

Descubren punto débil en la autenticación RSA

noreply@blogger.com (SSD) — Sun, 07 Mar 2010 18:37:00 PST

La técnica de seguridad digital más comúnmente usada para proteger los derechos de autor en medios y las comunicaciones en Internet tienen un punto débil importante, según descubrieron científicos de computación de la Universidad de Michigan.

La autenticación RSA es un método popular de cifrado usado en reproductores digitales (audio y video), computadoras portátiles, teléfonos inteligentes, servidores y otros dispositivos. Puntos de venta y bancos también dependen de esto pata asegurar la seguridad de la información de sus clientes en linea.

Los científicos hallaron que podrían frustrar el sistema de seguridad variando el voltaje suministrado al poseedor de la "clave privada", el cual sería el dispositivo del consumidor en el caso de la protección contra copias y el punto de venta o el banco en el caso de comunicaciones por Internet. Es altamente improbable que el atacante pueda usar este enfoque en una gran institución, dicen los investigadores. Estos hallazgos sería más probable que preocupen a las compañías de medios y fabricantes de dispositivos móviles, así como también quienes los usan.

Andrea Pellegrini, una estudiante de doctorado en el Departamento de Ingeniería Eléctrica y Ciencias de Computación, presentará un trabajo sobre la investigación en la próxima conferencia Design, Automation and Test in Europe (DATE) en Dresden el 10 de Marzo.

"El algoritmo RSA brinda seguridad bajo el supuesto de que en tanto la clave privada sea privada, no podrás romperlo a menos que la adivines. Hemos demostrado que no es cierto," dijo Valeria Bertacco, una profesora asociada del Departamento de Ingeniería Eléctrica y Ciencias de Computación.

Estas claves privadas contienen más de 1.000 dígitos de código binario. Para adivinar un número tan largo llevaría más que la edad del universo, dijo Pellegrini. Usando su esquema de cambio de voltaje, los investigadores de la UM fueron capaces de extraer la clave privada en aproximadamente 100 horas.

Manipularon cuidadosamente el voltaje con un dispositivo muy barato construido con este propósito. Variar la corriente eléctrica esencialmente esfuerza a la computadora y provoca que cometa pequeños errores en su comunicación con otros clientes. Estas fallas revelan pequeñas partes de la clave privada. Una vez que los investigadores provocaron suficiente fallas, fueron capaces de reconstruir la clave desconectados.

Este tipo de ataque no daña el dispositivo, de modo que no queda evidencia de la interferencia.

"La autenticación RSA es tan popular debido a que se pensaba que era tan segura," dijo Todd Austin, un profesor en el Departamento de Ingeniería Eléctrica y Ciencias de Computación. "Nuestro trabajo redefine los niveles de seguridad que ofrece. Disminuye la protección de la seguridad en un monto significativo."

Aunque el trabajo solo discute el problema, los profesores dicen que han identificado una solución. Es una técnica criptográfica común denominada "salting" que cambia el orden de los dígitos de una forma aleatoria cada vez que se solicita la clave.

"Hemos demostrado que es posible un ataque basado en fallas contra el algoritmo RSA," dijo Austin. "Con suerte, esto provocará que los fabricantes hagan pequeños cambios a sus implementaciones del algoritmo. RSA es un buen algoritmo y pienso, que a la larga, sobrevivirá este tipo de ataques."

El trabajo se llama "Ataque basado en fallas de la autenticación RSA" ("Fault-based Attack of RSA Authentication"), y se puede obtener aquí.

Traducción: Raúl Batista - Segu-info
Fuente: Help Net Security