Muchos usuarios me preguntan "¿Qué querría un atacante de mi ordenador? ¡No tengo nada relevante!". Con esta excusa, se permiten mantener la conciencia tranquila mientras relajan las medidas de seguridad. Si no hay nada que proteger, no merece la pena esforzarse por alejar a los atacantes. Que pasen y vean... se irán sin nada.
Esta es una idea totalmente equivocada de la seguridad hoy en día, y muy peligrosa no solo para el usuario que la defiende sino para la seguridad global de Internet. La confusión tiene su origen en pensar que los atacantes quieren datos e información de la víctima, y esto no siempre es cierto. La mayor parte de las veces, lo que necesitan son sus recursos. Y esta distinción hace que cualquier usuario conectado a Internet, por el simple hecho de estarlo, ya posea cierto valor para un atacante. Veamos una serie de puntos importantes.
La mayoría de los usuarios utiliza un ordenador para conectarse a Internet. Ese dispositivo posee un poder de procesamiento que puede ser aprovechado por ciertos atacantes para realizar tareas que requieran gran poder de computación. Si consigue acceder a él y controlarlo podrán, por ejemplo, realizar "bitcoin mining". Existen troyanos dedicados en exclusiva a utilizar los recursos del sistema para generar esta moneda virtual.
Otro recurso interesante para el atacante es la propia conexión de la víctima. El ancho de banda es relevante para un atacante porque le podría permitir usar el sistema víctima como un zombi dentro de una botnet. Una vez troyanizado, la víctima obedece órdenes y cuanto más ancho de banda, más útil como elemento de, por ejemplo, una denegación de servicio distribuida, donde los sistemas víctima inundan de peticiones la web atacada.
Es posible que la víctima disponga de contraseñas para el correo o redes sociales, por ejemplo. El atacante o troyano robará y utilizará esos datos no para cotillear sobre los correos de la víctima, sino para enviar spam personalizado a los contactos, haciéndose pasar por el atacado.
Además, si el usuario hace uso de banca online, PayPal u otros, pueden robar directamente dinero de las cuentas. Esto es algo que, hoy, todavía muchos usuarios desconocen que sea posible.
Y por último, sí que es cierto que el atacante ni quiere ni necesita para nada fotografías o documentos de usuarios anónimos en la Red... pero su legítimo dueño sí que las querrá y necesitará. Así que en última instancia pueden secuestrar el ordenador y pedir un "rescate" por volver a tener acceso a esos datos.
Espacio de Noticias de Seguridad Informática -
domingo, 30 de octubre de 2011
miércoles, 26 de octubre de 2011
Duqu: ataques dirigidos a Irán y Sudán
Los expertos de Kaspersky Lab continúan con su investigación sobre el nuevo programa malicioso Duqu, que comparte algunas características con el gusano Stuxnet que fuera dirigido instalaciones industriales de producción de uranio enriquecido en Irán.
Aunque aún se desconoce el objetivo final de los creadores de esta nueva amenaza cibernética, lo que está claro es que Duqu ya es una herramienta universal que se utiliza para llevar a cabo ataques dirigidos a un número limitado y puntual de objetivos, y que puede ser modificado en función de la una necesidad especifica.
Varias características de este gusano se dieron a conocer en la primera etapa de análisis de Duqu por especialistas de Kaspersky Lab.
En primer lugar, es necesario descubrir que controladores de que dispositivos son utilizados para infectar los sistemas y han sido cambiados. El conductor puede utilizar una firma digital falsas, o no.
En segundo lugar, resulta evidente que los demás elementos de Duqu probablemente existen, pero aún no se han encontrado. Se supone que el funcionamiento de este programa malicioso podría cambiar en función del objetivo particular debe ser atacado.
La detección de las infecciones son muy pocas (solo una detectada en el momento de la publicación de la primera parte de la investigación de Kaspersky Lab sobre Duqu) es la única cosa que distingue a Duqu de Stuxnet entre las similitudes.
Desde el descubrimiento de las primeras muestras de este programa malicioso, cuatro nuevos casos de infección se han detectado – gracias a la Red de Seguridad Kaspersky basado en la nube. Uno de ellos fue localizado a un usuario en Sudán y los otros tres se encontraban en Irán.
En cada uno de los cuatro casos de infección por Duqu se utilizó una modificación única del controlador para la infección. Es más importante aún, considerar que en una de las infecciones de Irán se encontraron también rastros de que habían existido dos intentos de ataque a la red aprovechando la vulnerabilidad MS08-067.
Recordemos que esta vulnerabilidad era utilizada por Stuxnet también, y por Kido. El primero de los dos intentos de ataque a la red se llevó a cabo el 4 de octubre, y el otro el 16 de octubre, y ambos proceden de una y la misma dirección IP – que pertenece a un proveedor de Internet en EE.UU.
Si hubiera sido sólo un intento de este tipo, que podría haber tomado como actividad típica de Kido – pero hubo dos intentos de ataques consecutivos: este detalle sugiere un ataque dirigido a un objeto en Irán. También es posible que estos ataques fueran utilizados para enmascarar la explotación de otras vulnerabilidades de software.
Al comentar sobre los nuevos hallazgos, Alexander Gostev, jefe de seguridad de Kaspersky Lab, dijo: “A pesar de que la ubicación de los sistemas atacados por Duqu se encuentran en Irán, hasta la fecha no hay evidencia de que sean ataques a instalaciones industriales o al programa nuclear y/o sus sistemas relacionados. Como tal, es imposible confirmar que el objetivo del nuevo programa malicioso es el misma que el que tuvo Stuxnet. Sin embargo, resulta claro que todas las infecciones por Duqu son únicas. Esta información le permite afirmar que Duqu está siendo utilizado para ataques dirigidos a objetivos predeterminados.”
Aunque aún se desconoce el objetivo final de los creadores de esta nueva amenaza cibernética, lo que está claro es que Duqu ya es una herramienta universal que se utiliza para llevar a cabo ataques dirigidos a un número limitado y puntual de objetivos, y que puede ser modificado en función de la una necesidad especifica.
Varias características de este gusano se dieron a conocer en la primera etapa de análisis de Duqu por especialistas de Kaspersky Lab.
En primer lugar, es necesario descubrir que controladores de que dispositivos son utilizados para infectar los sistemas y han sido cambiados. El conductor puede utilizar una firma digital falsas, o no.
En segundo lugar, resulta evidente que los demás elementos de Duqu probablemente existen, pero aún no se han encontrado. Se supone que el funcionamiento de este programa malicioso podría cambiar en función del objetivo particular debe ser atacado.
La detección de las infecciones son muy pocas (solo una detectada en el momento de la publicación de la primera parte de la investigación de Kaspersky Lab sobre Duqu) es la única cosa que distingue a Duqu de Stuxnet entre las similitudes.
Desde el descubrimiento de las primeras muestras de este programa malicioso, cuatro nuevos casos de infección se han detectado – gracias a la Red de Seguridad Kaspersky basado en la nube. Uno de ellos fue localizado a un usuario en Sudán y los otros tres se encontraban en Irán.
En cada uno de los cuatro casos de infección por Duqu se utilizó una modificación única del controlador para la infección. Es más importante aún, considerar que en una de las infecciones de Irán se encontraron también rastros de que habían existido dos intentos de ataque a la red aprovechando la vulnerabilidad MS08-067.
Recordemos que esta vulnerabilidad era utilizada por Stuxnet también, y por Kido. El primero de los dos intentos de ataque a la red se llevó a cabo el 4 de octubre, y el otro el 16 de octubre, y ambos proceden de una y la misma dirección IP – que pertenece a un proveedor de Internet en EE.UU.
Si hubiera sido sólo un intento de este tipo, que podría haber tomado como actividad típica de Kido – pero hubo dos intentos de ataques consecutivos: este detalle sugiere un ataque dirigido a un objeto en Irán. También es posible que estos ataques fueran utilizados para enmascarar la explotación de otras vulnerabilidades de software.
Al comentar sobre los nuevos hallazgos, Alexander Gostev, jefe de seguridad de Kaspersky Lab, dijo: “A pesar de que la ubicación de los sistemas atacados por Duqu se encuentran en Irán, hasta la fecha no hay evidencia de que sean ataques a instalaciones industriales o al programa nuclear y/o sus sistemas relacionados. Como tal, es imposible confirmar que el objetivo del nuevo programa malicioso es el misma que el que tuvo Stuxnet. Sin embargo, resulta claro que todas las infecciones por Duqu son únicas. Esta información le permite afirmar que Duqu está siendo utilizado para ataques dirigidos a objetivos predeterminados.”
lunes, 24 de octubre de 2011
Virus Khadafi
Un grupo de ciberdelincuentes aprovechó la noticia sobre la caída y muerte del dictador libio para distribuir spam. Envían un mail haciéndose pasar por la agencia de noticias AFP y ofreciendo información sobre el tema, pero cuando el usuario lo abre infecta el equipo
La muerte del dictador libio Muammar Khadafi fue aprovechada por un grupo de ciberdelincuentes para infectar a miles de usuarios. Los piratas envían un mail haciéndose pasar por la agencia de noticias AFP y prometen un comunicado con información confidencial, cuando abre el archivo adjunto el usuario se encuentra con un virus.
Este tipo de acciones es habitual con hechos de tanta relevancia mundial, ya que muchas personas están interesadas en el tema y en conocer detalles y fotos, que es aprovechado por las asociaciones de malware para realizar sus acciones.
AFP fue la primera agencia internacional de noticias en divulgar una foto del cuerpo de Khadafi después de su muerte, pero negaron estar enviando un correo electrónico de esas características.
Los objetivos de los cibercriminales con este tipo de acciones son robar datos o controlar otros equipos informáticos ajenos, para luego venderlos y así poder financiar sus organizaciones.
La muerte del dictador libio Muammar Khadafi fue aprovechada por un grupo de ciberdelincuentes para infectar a miles de usuarios. Los piratas envían un mail haciéndose pasar por la agencia de noticias AFP y prometen un comunicado con información confidencial, cuando abre el archivo adjunto el usuario se encuentra con un virus.
Este tipo de acciones es habitual con hechos de tanta relevancia mundial, ya que muchas personas están interesadas en el tema y en conocer detalles y fotos, que es aprovechado por las asociaciones de malware para realizar sus acciones.
AFP fue la primera agencia internacional de noticias en divulgar una foto del cuerpo de Khadafi después de su muerte, pero negaron estar enviando un correo electrónico de esas características.
Los objetivos de los cibercriminales con este tipo de acciones son robar datos o controlar otros equipos informáticos ajenos, para luego venderlos y así poder financiar sus organizaciones.
Facebook enfrenta a una multa de 100.000 euros por guardar datos eliminados Leer más: Noticias de Seguridad Informática - Segu-Info http://blog.segu-
Facebook se enfrenta a una multa de 100.000 euros por guardar datos de usuarios que habían decidido eliminarlos. Esta red social se someterá a una auditoria por la Comisión de Protección de Datos de Irlanda tras registrar 22 quejas por parte de un estudiante de derecho austriaco.
Esta denuncia no es la primera a la que la red social de Mark Zuckerberg se enfrenta. Del mismo modo, a finales de 2009, su creador ya fue denunciado por su nueva política de privacidad, pues, a juicio de las asociaciones norteamericanas "atentaba contra los derechos de sus usuarios".
Por otro lado, el centro de protección de datos del estado alemán Schleswig-Holstein declaró en agosto ilegales los 'plug-ins' sociales como el botón 'Me gusta', ya que expone el perfil del usuario. Las páginas web de este estado deben eliminar dicho botón antes del 30 de septiembre o podrán ser multadas.
Ahora, en Irlanda, Max Schrems, de 24 años, ha decidido plantarle cara a Facebook tras descubrir que esta red social mantenía 1.200 páginas con datos personales sobre él, a pesar de que había decidido eliminarla, según publica 'The Guardian' .
Schrems pidió a Facebook una copia de sus datos en el mes de junio, y a partir de ahí cuando recibió el CD que contenía toda su información se dio cuenta de que ese contenido, previamente suprimido de su perfil en los tres años que llevaba unido a esta red, aún permanecía.
Una pena máxima de 100.000 euros
Tras descubrir este hecho, se puso en contacto con la Comisión de Protección de Datos Irlanda y si esta averiguara en su auditoria que Facebook o cualquier empleado era culpable de violar la ley de protección de datos tendría una pena máxima de multa de 100.000 euros.
Entre las páginas recopiladas del denunciante, se encontró un registro de todos sus movimientos (chats, fotos, solicitudes). Dicha información estaba dividida en 57 categorías e incluía direcciones de correo electrónico.
Por su parte, este austriaco, ha hecho un llamamiento a todos los usuarios para que sigan su ejemplo, pues, resulta "aterrador" toda la información que Facebook tiene en su poder, "la información es poder, y la información acerca de las personas es el poder sobre la gente", ha concluido.
Leer más: Noticias de Seguridad Informática - Segu-Info http://blog.segu-info.com.ar/#ixzz1bipNvClS
Under Creative Commons License: Attribution Non-Commercial Share Alike
Esta denuncia no es la primera a la que la red social de Mark Zuckerberg se enfrenta. Del mismo modo, a finales de 2009, su creador ya fue denunciado por su nueva política de privacidad, pues, a juicio de las asociaciones norteamericanas "atentaba contra los derechos de sus usuarios".
Por otro lado, el centro de protección de datos del estado alemán Schleswig-Holstein declaró en agosto ilegales los 'plug-ins' sociales como el botón 'Me gusta', ya que expone el perfil del usuario. Las páginas web de este estado deben eliminar dicho botón antes del 30 de septiembre o podrán ser multadas.
Ahora, en Irlanda, Max Schrems, de 24 años, ha decidido plantarle cara a Facebook tras descubrir que esta red social mantenía 1.200 páginas con datos personales sobre él, a pesar de que había decidido eliminarla, según publica 'The Guardian' .
Schrems pidió a Facebook una copia de sus datos en el mes de junio, y a partir de ahí cuando recibió el CD que contenía toda su información se dio cuenta de que ese contenido, previamente suprimido de su perfil en los tres años que llevaba unido a esta red, aún permanecía.
Una pena máxima de 100.000 euros
Tras descubrir este hecho, se puso en contacto con la Comisión de Protección de Datos Irlanda y si esta averiguara en su auditoria que Facebook o cualquier empleado era culpable de violar la ley de protección de datos tendría una pena máxima de multa de 100.000 euros.
Entre las páginas recopiladas del denunciante, se encontró un registro de todos sus movimientos (chats, fotos, solicitudes). Dicha información estaba dividida en 57 categorías e incluía direcciones de correo electrónico.
Por su parte, este austriaco, ha hecho un llamamiento a todos los usuarios para que sigan su ejemplo, pues, resulta "aterrador" toda la información que Facebook tiene en su poder, "la información es poder, y la información acerca de las personas es el poder sobre la gente", ha concluido.
Leer más: Noticias de Seguridad Informática - Segu-Info http://blog.segu-info.com.ar/#ixzz1bipNvClS
Under Creative Commons License: Attribution Non-Commercial Share Alike
viernes, 21 de octubre de 2011
DNS Spoofing
21OCT/110
Para aquellos que no conocen el termino, DNS (Domain Name Server) 0 (Servidor de Nombres De Dominio). Dicho servidor es el encargado de resolver, por nosotros, un nombre de dominio en una dirección de IP. La tarea del DNS es alivianar la memoria del usuario por decirlo de una forma burda. No sería nada sencillo recordar cada número de IP de cada sitio que visitamos frecuentemente. Así, cada vez que queramos visitar “www.mkit.com.ar”, estaremos consultando a un DNS cual es la dirección de IP asociada al nombre de dominio en cuestión.
- Funcionamiento DNS
Generalmente los ISP (Internet Service Provider) son los encargados de otorgar las direcciones de IP de los DNS para nuestro servicio. En la mayoría de los Access Point, la configuración por defecto del DNS queda seteada en "Automática" por lo cual tomara dinámicamente la IP que nuestro proveedor de internet nos provea y la retransmitirá hacia todos los clientes conectados.
El ataque de DNS Spoofing se divide en 2 partes para mayor efectividad:
- Hacerse pasar por el Access Point : Esto se logra haciendo un ARP Spoofing. Ataque ya mencionado en un articulo anterior. Véase ARP Spoof.
- Hacerse pasar por el DNS mediante la utilización de la herramienta dnsspoof del paquete Dsniff.
Toda petición hecha por el usuario para los dominios que el atacante desee reemplazar, van a ser redirigidas hacia donde el usuario malintencionado desee. Así por ejemplo si el atacante tuviese un servidor web corriendo en su maquina con un login de Gmail, cada vez que cualquier usuario pidiera la resolucion del nombre de dominio "www.gmail.com", este sera redirigido hacia la IP del servidor del atacante. Probablemente la pagina sera igual que la original y hasta quizás, pueda entrar en su mail.. Pero algo es seguro.. La credenciales fueron robadas.
La fortaleza de este ataque, reside en que es completamente transparente, el usuario no puede determinar la diferencia entre la pagina de gmail original y la falsa, ya que son idénticas y hasta el nombre de dominio, léase dirección de url si se quiere, es EXACTAMENTE la misma.
- DNS Spoof - ARP Spoof
Alternativas para aquellos usuarios que navegan frecuentemente en redes publicas?
Si se quisiera saber si están siendo victimas de un ataque de Dnsspoof, deberían abrir un CMD en caso de Windows, un Konsole/Terminal en linux, y hacer un ping hacia el dominio al que se quiere acceder :
ping www.dominio.com
Si la IP del dominio a la que son dirigidos los paquetes ICMP es del tipo 192.168.x.x , o en su defecto 10.x.x.x , significa que estamos siendo redirigidos hacia un servidor local dentro de nuestra misma red, ergo, hay un atacante haciendo la resolución de nombres de dominio.
En artículos posteriores vamos a ver otros tipos de ataques que se pueden llevar a cabo mediante estas técnica combinadas "Arpspoof+DnsSpoof". En principio la idea de esta publicación, es demostrar lo facil que es para un atacante conseguir credenciales en redes de acceso público, y cuan transparente es para el usuario. No es el usuario en este caso el que esta siendo engañado, sino que el engaño se da a niveles tecnológicos.
Segundas jornadas gratuitas de control gubernamental
El próximo días 25 y 26 de octubre tendré el honor de participar de las Segundas Jornadas de Control Gubernamental en la Sala Casacuberta del Teatro San Martín de la Ciudad. Las mismas se realizarán los días 25 y 26 de Octubre en la Sala Casacuberta del Teatro San Martín de la Ciudad Autónoma de Buenos Aires, ubicado en Avenida Corrientes 1530.
Entre los principales temas a tratar en esta oportunidad, se encuentran los siguientes: “La innovación en los organismos de control”, “El Control en los Órganos Interjurisdiccionales”, “El Sistema de Gestión de Calidad en los Organismos Públicos”, “Sindicaturas Nacionales”, “Pistas de Auditoría” y “Fuga de Información en las Organizaciones”, entre otros.
Las Segundas Jornadas de Control Gubernamental cuentan con la adhesión del Instituto Argentino de Normalización y Certificación (IRAM), del Colegio Público de Abogados de la Capital Federal; del Colegio de Abogados de la Ciudad de Buenos Aires; del Colegio de Escribanos de la Ciudad de Buenos Aires; de la Universidad del Salvador y la Facultad de Derecho de la Universidad Católica Argentina.
El encuentro está enfocado a profesionales de áreas técnicas en materia de auditoría y control, e integrantes de la administración pública, magistrados y funcionarios judiciales, legisladores, ingenieros, abogados, contadores, estudiantes de las mencionadas disciplinas, integrantes y líderes de Organizaciones No Gubernamentales y representantes del tercer sector. La inscripción es libre y gratuita, a través del correo electrónicojornadasdecontrol2011@gmail.com, aclarando su nombre y apellido, lugar donde trabaja, DNI y un correo para contactarlos.
Fuente: Noticias Urbanas
Leer más: Noticias de Seguridad Informática - Segu-Info http://blog.segu-info.com.ar/#ixzz1bTwlktSQ
Under Creative Commons License: Attribution Non-Commercial Share Alike
Entre los principales temas a tratar en esta oportunidad, se encuentran los siguientes: “La innovación en los organismos de control”, “El Control en los Órganos Interjurisdiccionales”, “El Sistema de Gestión de Calidad en los Organismos Públicos”, “Sindicaturas Nacionales”, “Pistas de Auditoría” y “Fuga de Información en las Organizaciones”, entre otros.
Las Segundas Jornadas de Control Gubernamental cuentan con la adhesión del Instituto Argentino de Normalización y Certificación (IRAM), del Colegio Público de Abogados de la Capital Federal; del Colegio de Abogados de la Ciudad de Buenos Aires; del Colegio de Escribanos de la Ciudad de Buenos Aires; de la Universidad del Salvador y la Facultad de Derecho de la Universidad Católica Argentina.
El encuentro está enfocado a profesionales de áreas técnicas en materia de auditoría y control, e integrantes de la administración pública, magistrados y funcionarios judiciales, legisladores, ingenieros, abogados, contadores, estudiantes de las mencionadas disciplinas, integrantes y líderes de Organizaciones No Gubernamentales y representantes del tercer sector. La inscripción es libre y gratuita, a través del correo electrónicojornadasdecontrol2011@gmail.com, aclarando su nombre y apellido, lugar donde trabaja, DNI y un correo para contactarlos.
Fuente: Noticias Urbanas
Leer más: Noticias de Seguridad Informática - Segu-Info http://blog.segu-info.com.ar/#ixzz1bTwlktSQ
Under Creative Commons License: Attribution Non-Commercial Share Alike
Suscribirse a:
Entradas (Atom)