Archives

.

Compartelo:
0

Troyano multiplataforma roba contraseñas en Linux y Mac OS X

Jesus Bourne 14 de septiembre de 2012

La compañía Rusa de antivirus Doctor Web reportó acerca del primer Backdoor (puerta trasera) multiplataforma que corre bajo Sistemas Operativos Linux y MAC OS X identificado como "BackDoor.Wirenet.1".

Este programa malicioso está diseñado para robar contraseñas introducidas por el usuario en los navegadores como Opera, Firefox, Chrome y Chromium, también roba las contraseñas almacenadas por aplicaciones como Thunderbird, SeaMonkey y Pidgin.

BackDoor.Wirenet.1 es el primer Troyano en la historia que simultáneamente puede trabajar en ambos Sistemas Operativos, todavía se encuentra bajo investigación.



Al lanzar BackDoor.Wurenet.1 se crea una copia en el directorio home del usuario. Para interactuar con el Command Server localizado en la dirección 212.7.208.65, el malware usa un algoritmo especial de cifrado, Advanced Encryption Standard (AES).

Fuente: The Hacker News 



0

Departamento de Seguridad Nacional alerta sobre falla Ruggedcom

Jesus Bourne

El Departamento de Seguridad Nacional de EUA advierte a las empresas reforzar protección de seguridad en sus dispositivos de control industrial tras el descubrimiento de una vulnerabilidad de seguridad de alto riesgo en la plataforma de redes industriales Ruggedcom ROS.  

En una alerta del Equipo de Respuesta a Incidentes de Cómputo del Sistema de Control Industrial (ICS-CERT), las autoridades advirtieron que la falla podría ser utilizada por un atacante para interceptar el tráfico SSL. Según el informe del ICS-CERT, un error en el manejo de las claves de red podría permitir a un atacante comprometer conexiones seguras mediante la identificación de las llaves de su dispositivo de cifrado RSA.

Una vez comprometido, la agencia advierte de que un atacante puede interceptar el tráfico que se envían entre el usuario final y los dispositivos ROS.

El crédito del descubrimiento fue para el investigador de Cylance Justin W Clarke. El investigador presentó la falla junto con una prueba de concepto que remarca cómo podría suceder el ataque. Con el fin de mitigar la falla, el ICS-CERT aconseja a los administradores limitar la exposición de todos los sistemas de control conectados a la red industrial.

Además de la eliminación de todos los sistemas de control de la conectividad directa a Internet, la agencia está recomendando las mejores prácticas, incluida la aplicación de la protección de firewall y el uso de las conexiones VPN al acceder a dispositivos de control.

La seguridad y la accesibilidad de las aplicaciones de control industrial y los dispositivos se ha convertido en un tema candente mientras crecen los temores por los ataques terroristas nacionales e internacionales y las operaciones industriales de sabotaje. Los dispositivos tales como controladores PLC se ha encontrado que contienen defectos críticos que podrían conducir a ataques a los servicios públicos.

Fallas de dispositivos industriales se aprovecharon también por agentes del gobierno para llevar a cabo el Stuxnet de alto perfil y ataques de malware Duqu.


Fuente: v3.co.uk 

0

Dispositivo de protección de ataques DDoS de EFF

Ataques de negación de servicio (DoS) y negación de servicio distribuido (DDoS) son un fenómeno que se encuentra en crecimiento. Son utilizados con diversos motivos, desde activistas hacia los gobiernos, hasta impedir que un sitio funcione correctamente de manera indeterminada.

A menudo, el ataque satura el objetivo con solicitudes al servidor, diseñadas para inundar su ancho de banda, dejando al servidor incapaz de responder al tráfico legítimo.

Aunque los propietarios de sitios importantes frecuentemente tienen los recursos para defenderse o incluso prevenir este tipo de ataques, los sitios más pequeños (tales como pequeños medios de comunicación independientes u organizaciones de derechos humanos) son deshabilitados permanentemente debido a la falta de recursos o conocimientos.

Esta guía en video de la Fundación Fronteras Electrónicas (Electronic Frontier Foundation, EFF) se propone ayudar a los propietarios de dichos sitios web, proporcionando consejos sobre cómo elegir un proveedor de alojamiento web adecuado, así como una guía para realizar tareas de servidores espejo y copias de seguridad de sus sitios web, para que el contenido pueda estar disponible en otra parte, incluso si el sitio web es dado de baja por un ataque DoS o DDoS.




Fuentes: Help Net Security
0

Ataques de smishing

Jesus Bourne 10 de septiembre de 2012

Es el último ataque de alta tecnología y está llegando a los teléfonos celulares en todas partes. He aquí la explicación de smishing y lo que puede hacer al respecto.

Todos hemos oído hablar de los ataques de phishing, los correos electrónicos spam que recibe en su bandeja de entrada esperando que divulgue su información personal. 

Ahora esas molestas estafas se acercan por medio del teléfono móvil, lo que se conoce como smishing, o phishing a través de mensajes de texto SMS.

La mensajería de texto es el uso más común de un teléfono móvil, y los estafadores se están aprovechando de eso. De hecho, de acuerdo con la empresa de seguridad Cloudmark, cerca de 30 millones de mensajes smishing se envían a los usuarios de teléfonos celulares en América del Norte, Europa y Reino Unido. 

El smishing es solo parte del problema más grande de spam SMS. Sólo en EUA, ha habido un aumento de casi 400 por ciento en campañas publicitarias únicamente de spam SMS en el primer semestre del año.

Existen muchas maneras en que puede protegerse si recibe un mensaje de texto no solicitado. En primer lugar, no haga clic en los enlaces que figuran en el texto. Nunca divulgue información confidencial, como su dirección, su número de Seguro Social, o su número de cuenta bancaria. 

También puede reenviar los textos a su proveedor de telefonía celular para que sea marcado como abuso. Si piensa que ha sido víctima de un ataque de smishing, no dude en presentar una queja con las autoridades correspondientes de su país.


 Fuente: CNet 

0

Nuevo algoritmo rastrea los orígenes de ataques de Internet


El investigador suizo Pedro Pinto y sus colegas en la Escuela Politécnica Federal de Lausanne (École Polytechnique de Lausanne) recomiendan el uso del algoritmo de Interferencia Dispersa (Sparse Interference) para hacer más eficiente el seguimiento de los orígenes de las amenazas de Internet.

Hasta ahora, instituciones como la Agencia de Seguridad Nacional de los Estados Unidos de América (NSA) han utilizado métodos de fuerza bruta para buscar las fuentes de amenazas epidémicas (malware, gusanos, troyanos, rumores de Internet) en redes complejas, pero examinar todos los potenciales nodos de redes afectadas o espacio de direcciones requiere una gran cantidad de tiempo y recursos. 

El algoritmo de Interferencia Dispersa toma en consideración factores tales como el tiempo al examinar la información que se propaga de manera similar a avalanchas. Los investigadores dicen que el algoritmo solo necesita unas cuantas pistas para identificar con seguridad el origen de, por ejemplo, un correo electrónico falso o una publicación terrorista. 

Acorde con su estudio, monitorear solo pocos participantes de salas de chat, miembros de redes sociales o un número limitado de teléfonos es suficiente para localizar de forma fiable al autor. De acuerdo a los investigadores, mediante el monitoreo al azar de un 25% de nodos seleccionados, lograron una precisión del 90% y que el mismo resultado se puede lograr con solo el 5% de nodos al orientarlos a una selección específica.

Pinto explicó que para probar el programa éste fue alimentado con información de terroristas del "9/11" que hicieron comunicaciones de datos de manera pública y llegaron a tres sospechosos, uno de los cuales resultó ser el autor intelectual del ataque. 

Los investigadores dicen que el algoritmo puede incluso ser usado para predecir el origen y la proliferacion potencial de un arma biologica o una enfermedad infecciosa, por medio del uso de datos existentes y posibles vias de distribucion. Su estudio fue publicado en la revista Physical Review Letters a  principios de agosto.



Fuente: The H Security 

0

Malware Shylock inyecta números de teléfono falsos en sitios web bancarios

Jesus Bourne 1 de septiembre de 2012

Una nueva configuración del malware financiero Shylock inyecta números de teléfono controlados por atacantes dentro de las páginas de contacto de los sitios bancarios en línea, según investigadores de seguridad del proveedor de antivirus Symantec.

De esta manera, los atacantes intentan engañar a sus víctimas para que los llamen a ellos en vez de al banco, en caso de sospecha durante una sesión bancaria, dijo el investigador de Symantec, Alan Neville.

Investigadores en seguridad han aconsejado por años a los usuarios llamar a sus bancos con el fin de verificar la autenticidad de cualquier mensaje de error no común o ante cualquier petición de datos hecha en sesiones bancarias en línea. Este tipo de ataque podría anular esas defensas básicas.

“Si bien el motivo exacto de los ataques no es claro, especulamos que es también un intento de extraer  las credenciales de inicio de sesión de las víctimas durante una conversación telefónica, o un intento de bloquear las notificaciones de las víctimas a los bancos para reportar un problema con sus cuentas, dando más tiempo a los atacantes para realizar sus actividades” dijo Neville.

Las nuevas variantes Shylock tienen como objetivo bancos del Reino Unido. “Los números usados por los atacantes son fáciles de crear en línea y son desechables”, mencionó.

El malware Shylock, el nombre de un personaje de Shakespeare en "El mercader de Venecia", fue descubierto en septiembre de 2011 y su principal propósito es robar en línea cuentas bancarias y otra información financiera.

Como la mayoría de los troyanos financieros, Shylock es capaz de inyectar contenido malicioso dentro de sitios web visitados desde dispositivos infectados. El contenido inyectado es personalizado para cada sitio web objetivo y es extraído de un archivo de configuración.

Los atacantes que utilizan Shylock son conocidos por ser creativos en sus estafas. En el mes de febrero, investigadores del  proveedor de seguridad Trusteer reportaron que una variante de Shylock modificaba sitios web de banca en línea para informar a los usuarios que sus computadoras no podían ser identificadas y necesitaban hablar con un representante de la institución bancaria con el fin de corroborar la información de su cuenta.

El malware inyectaba después una ventana de chat dentro de la sesión, contactando a los usuarios objetivos con los atacantes en vez de los empleados de la institución bancaria.

Fuentes: TechWorld 

0

Kaspersky encuentra Zeus para BlackBerry

Jesus Bourne 31 de agosto de 2012

Mientras la gran mayoría trata al alguna vez poderoso BlackBerry como uno más del montón en el mercado de smartphones, los creadores de malware siguen creyendo que es un negocio funcional y han creado un producto diseñado para esparcir una variante del malware Zeus en estos dispositivos.

En la siguiente publicación de Securelist de Kaspersky, Denis Maslennikov detalla los cinco nuevos archivos de Zeus conocidos como ZitMo (Zeus in the Mobile), que han aparecido en Europa. Uno de ellos es un lanzador para Android, mientras que para los otros cuatro su objetivo es la plataforma BlackBerry.

Diseccionando las nuevas muestras, Maslennikov remarca que los archivos maliciosos podrían anunciar una nueva etapa de ataques con Zeus. BlackBerry es el objetivo de tres archivos .cod y uno .jar (que incorpora un archivo .cod).

Los archivos de BlackBerry tienen como objetivo los usuarios de Alemania, Italia, España y Francia con comandos y números de control (C&C) procedentes Suecia, por el operador Tele2. La variante de Android es específica para Alemania.

Si el ataque se lleva a cabo con éxito en el móvil, entonces direcciona la verificación financiera de los códigos de mensajes al número C&C (aunque en el caso de la versión para Android, todos los SMS se reenvían). Maslennikov también menciona un par de nuevas funciones en el código, diseñado para notificar al C&C que el malware ha sido exitosamente instalado.

Maslennikov dijo que la fecha del certificado en la aplicación de Android, sugiere que el software fue escrito durante el mes de julio. 



Fuente: The Register 

0

Vulnerabilidad critica en java RE 1.7 desactiva java

Jesus Bourne 30 de agosto de 2012

Las últimas horas han sido bastante ajetreadas en el mundillo de la seguridad informática y todo por una nueva vulnerabilidad crítica descubierta en la versión más reciente de Java RE (1.7). 

Todo empezó con la publicación de un artículo en el blog de FireEye donde se alertaba de la existencia de un exploit que estaba siendo aprovechado activamente.

 Usando de esta vulnerabilidad un atacante puede descargar software malicioso en el sistema del usuario sin su intervención. Tan solo hace falta que pulsemos sobre un enlace malicioso especialmente preparado para infectar a nuestro sistema.

La gravedad de esta vulnerabilidad se agrava mas aun tras comprobar que Oracle no ha lanzado ni tiene previsto lanzar en breve una actualización de seguridad que la solucione. 

La próxima ronda de actualizaciones del software de Java está prevista para octubre e, incluso si Oracle decidiera lanzar un parche fuera de ciclo, aun tardaría unos días, tiempo más que suficiente para infectar millones de máquinas.

Hasta el momento se ha comprobada que la única rama afectada del software de Java es la mas reciente 1.7, no afectando a versiones 1.6 y anteriores (aunque estas versiones tienen sus propias vulnerabilidades). 

Aunque al principio se pensó que esta vulnerabilidad afectaba únicamente a sistemas Windows, varios investigadores han comprobado que también funciona en sistemas Linux (Mozilla Firefox corriendo en Ubuntu) y Mac (Safari corriendo en Mac OS X 10.7.4) por lo que estaríamos ante una nueva amenaza multiplataforma.

De momento y debido a la ausencia de un parche de seguridad, la única recomendación posible (por muy extrema que parezca) es desactivar Java por completo en todos los navegadores que usemos.

 Tanto nuestros compañeros del blog de seguridad Security by Default como la Oficina de Seguridad del Internauta ya han publicado los pasos necesarios para desactivar Java, pasos que pasamos a reproducir a continuación:


Desactivar Java en Internet Explorer

1.- Acceder al menú Herramientas > Opciones de Internet
2.- Pestaña Programas > Administrar complementos
3.- Seleccionar la opción de mostrar Todos los complementos > Seleccionar Java Plug-in 1.7
4.- Pulsar sobre el botón Deshabilitar y cerrar la ventana

Desactivar Java en Mozilla Firefox

1.- Acceder al menú Herramientas > Complementos
2.- Acceder al apartado de Plugins
3.- Seleccionar todos aquellos elementos que pertenezcan a Java (pueden tener varios nombres)
4.- Pulsar sobre el botón Desactivar


Desactivar Java en Google Chrome

1.- Escribir “chrome://plugins/” en la barra de direcciones del  navegador para acceder al menú de plugins.
2.- Buscamos el plugin de Java y pulsamos sobre Inhabilitar

Desactivar Java en Safari

1.- Accedemos al menú Preferencias > Apartado “Seguridad”
2.- Desmarcamos la opción “Permitir Java”

Con estas medidas evitaremos que se instale malware en nuestro sistema si pulsamos por accidente en un enlace malicioso preparado por un atacante que se  esté aprovechando de esta vulnerabilidad. 

Pueden parecer medidas drásticas pero viendo la gravedad de esta vulnerabilidad 0-day, y sabiendo que ya ha sido incorporado un módulo en el conocido framework Metasploit, es mejor tomar todas las precauciones posibles ante la avalancha de malware que aprovecha esta vulnerabilidad que se nos viene encima.

Fuentes: Ontinet.com





0

Nuevo scam disfrazado de notificación de facebook

Jesus Bourne

Si estás en Facebook, seguro que más de una vez has recibido notificaciones de todo tipo, dependiendo de cómo las hayas configurado en el apartado de administración de la plataforma. 

Pero si lo que tienes en tu correo es un aviso de que alguien ha publicado una foto en la que apareces, ten cuidado con abrirlo, ya que podría ser un engaño.

El email aparenta ser de Facebook sin lugar a dudas e invita al usuario a descargar una foto que supuestamente viene adjunta. Al hacerlo, nos estaremos descargando un archivo zip que realmente instala un troyano en nuestro ordenador y que daría acceso y control externo a un cibercriminal.

El aspecto del email es el siguiente:


No es la primera vez que se ve  este tipo de engaños circulando por la Red, y mucho nos tenemos que tampoco será la última, se recomienda a todos los usuarios que extremen las precauciones y que, en caso de recibir algún tipo de notificación de la conocida red social, accedan a través del propio portal en vez de utilizando el link que contenga el correo electrónico.

Fuentes : Ontinet.com
0

Investigador muestra backdoor basado en hardware llamado Rakshasa

Jesus Bourne 27 de agosto de 2012

El investigador de seguridad Jonathan Brossard creó una prueba de concepto (proof-of-concept) de un backdoor basado en hardware llamado Rakshasa, que reemplaza el BIOS (Basic Input Output System, Sistema Básico de Entrada y Salida) de una computadora y puede comprometer el sistema operativo desde el arranque sin dejar huellas en el disco duro.

En resumen, el firmware es un software que está almacenado en memoria no volátil dentro del chip de una computadora y es usado para inicializar la funcionalidad de una pieza de hardware. En una PC, la BIOS es el ejemplo más común de firmware pero en el caso de los routers inalámbricos, un sistema operativo GNU/Linux completo está almacenado en el firmware.

Las puertas traseras en hardware son letales por tres razones:

1-.No pueden ser removidos por medios convencionales (antivirus, formateo).
Pueden evitar otros mecanismos de seguridad (contraseñas, sistemas de archivos cifrados).

2-.Se pueden inyectar desde su fabricación.

3-.Rakshasa, nombrado así haciendo referencia a un demonio de la mitología Indú, no es el primer malware que tiene como objetivo el BIOS de una tarjeta madre que inicializa otros componentes de hardware. 

Rakshasa remplaza la BIOS de la tarjeta madre, pero también puede infectar el firmware PCI de otros dispositivos periféricos como tarjetas de red y lectores ópticos, con la finalidad de alcanzar un alto nivel de redundancia.

Rakshasa puede ser instalado por cualquier persona que tenga acceso físico al hardware del equipo, ya sea durante el  proceso de fabricación o en la oficina con una memoria USB. Afortunadamente Brossard no ha liberado el código de Rakshasa, pero él parece bastante seguro respecto a que otros grupos y agencias de seguridad ya hayan desarrollado herramientas similares.

Brossard construyó Rakshasa combinando una gran cantidad de paquetes de software libre legítimos para alterar firmware. Debido a los esfuerzos de programadores que han contribuido a esos proyectos, Rakshasa funciona en 230 modelos diferentes de tarjetas madre, dijo Brossard.

La única forma de deshacerse del malware es apagar el equipo de cómputo y manualmente cargar de nuevo el firmware de cada dispositivo periférico, un método que es impráctico para la mayoría de los usuarios porque requiere equipo especializado y un conocimiento avanzado.



Fuentes: The Hacker News 

0

El spyware FinFisher se esparce alrededor del mundo

Jesus Bourne

Una herramienta de spyware disponible a nivel comercial creada para reforzar agencias de seguridad se ha encontrado en países donde supuestamente nunca debió ser vendida, lo que levanta sospechas acerca de la posible relación de ciberdelincuentes con el caso.

La firma de seguridad Rapid7 ha logrado identificar las direcciones de IP de un grupo de servidores de comando y control (C&C) mediante la herramienta de espionaje FinFisher, que es desarrollada por el Grupo Gamma. La compañía dijo que ha analizado las características que le permiten identificar las comunicaciones entre la herramienta y los servidores C & C.

Rapid7 usó esta huella digital para realizar un seguimiento de los programas espía y encontró 12 servidores C&C en EUA, Indonesia, Australia, Qatar, Etiopía, República Checa, Estonia, Mongolia, Letonia y Dubai.

El investigador de seguridad Claudio Guarnier dijo que la compañía no podría confirmar si las agencias o los gobiernos utilizaban activamente la herramienta para montar campañas de ciber-espionaje, era poco probable aún que la herramienta de espionaje estuviera siendo utilizada por los ciberdelincuentes.

"No somos capaces de determinar si en realidad está siendo utilizada por alguna agencia gubernamental, si son operados por la población local o si no hay alguna relación en absoluto", escribió Guarnier.

"El malware parece bastante complejo y bien protegido/ofuscado, pero la cadena de infección es bastante débil y poco sofisticada. La capacidad de la huella digital del C&C era francamente vergonzosa, sobre todo en busca de malware como éste. La combinación de estos factores en realidad no son compatibles con la idea de que ladrones modificaron el malware para uso en el mercado negro. "

El mes pasado, Bloomberg informó a Grupo Gamma que las copias de su software que fueron encontradas en Bahrein debieron haber sido robadas. Sin embargo, Guarnier advirtió que dada la naturaleza de los delitos cibernéticos, es probable que FinFisher pronto sea aceptado por los delincuentes. 

"Una vez que algún tipo de malware se encuentra en activo, por lo general sólo es cuestión de tiempo antes de que sea utilizado para propósitos nefastos", dijo Guarnier.

"La comunidad INFOSEC tiene que prestar atención y tomar la exposición del malware en serio. Tomar medidas para proteger la infraestructura y desalentar la propagación, producción y adquisición de software malicioso.

Como hemos visto en innumerables ocasiones, y sin duda volveremos a ver, es imposible mantener este tipo de cosas bajo control en largo plazo".

FinFisher es capaz de grabar las comunicaciones de Skype y de otro tipo de voz sobre IP (VoIP), registrar las pulsaciones y encender la cámara web de una computadora y el micrófono. FinFisher también puede robar archivos de un disco duro y está diseñado para pasar por alto numerosos sistemas antivirus.

En el momento de escribir estas líneas, el Grupo Gamma no había respondido a las peticiones de V3 para que formulen observaciones sobre las conclusiones de Rapid7.



Fuentes: v3.co.uk 

0

IBM proclama avance en Espintrónica

Jesus Bourne

Los investigadores de IBM están anunciando un gran avance en la Espintrónica, una tecnología que podría incrementar significativamente la capacidad y el poco uso de energía en dispositivos de memoria y almacenamiento.

La Espintrónica, traducción de la combinación de palabras “spin transport electronics”, usa el giro (spin) natural de los electrones dentro de un campo magnético en combinación con un cabezal de lectura/escritura para leer bits de datos en materiales semiconductores.

Al cambiar el eje de un electrón en una orientación hacia arriba o hacia abajo -todo en relación al espacio en el que existe- los físicos pueden hacer que represente bits de datos. Por ejemplo, un electrón con un eje hacia arriba es un 1, y un electrón con un eje hacia abajo es un 0.

La Espintrónica ha enfrentado por mucho tiempo un problema intrínseco ya que los electrones han mantenido una orientación “hacia arriba o hacia abajo” solo por 100 picosegundos. Un picosegundo es la billonésima parte de un segundo. 

Cien picosegundos no es tiempo suficiente para un ciclo de cómputo, por ello los transistores no pueden completar una función computacional y el almacenamiento de datos no es persistente.

En el estudio publicado en Nature, IBM Research y el Solid State Physics Laboratory del ETH Zurich anunciaron que habían encontrado una forma de sincronizar los electrones, lo cual ampliaría el tiempo de vida de su giro en 30 veces a 1,1 nanosegundos (1 ns es la milmillonésima parte de un segundo), el tiempo que le toma a un procesador de 1GHz un ciclo.

Los científicos de IBM usaron pulsos de laser ultracortos para monitorear la evolución de miles de giros de electrones que fueron creados simultáneamente en un lugar muy pequeño, sostuvo Gian Salis, uno de los autores del paper y científico del grupo de investigación Physics of Nanoscale Systems de IBM Research.

Generalmente, tales giros encuentran a los electrones rotando de forma aleatoria y perdiendo rápidamente su orientación. En este estudio, los investigadores de IBM y el ETH encontraron, por primera vez, como acomodar los giros cuidadosamente en un patrón regular: el llamado persistent spin helix.

El concepto de controlar la rotación del giro fue originalmente propuesto como una teoría en el 2003, afirmó Salis. Desde entonces, algunos experimentos encontraron indicios de tal control, pero el proceso nunca había sido directamente observado hasta ahora, añadió.

“Estas rotaciones de dirección de giro eran completamente no correlacionadas”, afirmó Salis. “Ahora podemos sincronizar esta rotación, de tal forma que no pierdan su giro pero que roten como en un baile, todos en una dirección”.

“Hemos mostrado que entendemos completamente lo que está pasando, y hemos probado que la teoría funciona”, agregó.

Los investigadores de IBM han estado usando arsenido de galio, un material generalmente usado en electrónica, diodos y celdas solares, como sus materiales semiconductores básicos.

En la actualidad la tecnología de computación codifica y procesa los datos mediante la carga eléctrica de los electrones. Sin embargo, los investigadores afirman que la técnica queda limitada a medida que las dimensiones del semiconductor se reducen al punto en donde el flujo de electrones ya no se puede controlar.

Por ejemplo, los productos flash NAND ya usan circuitería que es menor a los 20 nanómetros de ancho, lo cual es cercano al tamaño atómico. La Espintrónica puede superar este problema con la memoria al aprovechar el giro de los electrones en lugar de su carga.

El nuevo entendimiento de la Espintrónica no solo puede dar a los científicos un control sin precedentes sobre los movimientos magnéticos dentro de los dispositivos, sino que también abre nuevas posibilidades para crear dispositivos electrónicos más eficientes en cuanto a energía.


Computerworld US / IDG News

0

Fundador de Apple advierte de terribles riesgos en computación en la nube

Jesus Bourne 23 de agosto de 2012

El cómputo en la nube causará grandes problemas, según Steve WozniaK, el cofundador de Apple. Wozniak dijo a la audiencia en Washington DC: “Realmente me preocupa todo lo relacionado a la nube. Creo que será terrible. Creo que tendremos una gran cantidad de problemas graves en los próximos cinco años.”

Steve Wozniak, fundador de Apple junto con Steve Jobs en 1976, hizo estas declaraciones después de la presentación "La agonía y el éxtasis de Steve Jobs", un monólogo sobre las condiciones de trabajo en las fábricas chinas de Apple.

La obra atrajo la controversia a principios de este año, cuando Mike Daisey, el artista, admitió que había fabricado algunas de las historias en la pieza. 

Daisey declaró originalmente que las historias en el monólogo fueron tomados de las entrevistas que realizó con los trabajadores chinos durante una visita al país en 2010.

Daisey, que desde entonces ha re-trabajado el guion, invitó a Wozniak a la penúltima actuación del espectáculo. Respondiendo a las preguntas de la audiencia, Wozniak, de 61 años de edad, dijo: "Con la nube, no te pertenece nada. Ya lo aceptaste."

Y agregó: "Quiero sentir que soy dueño de las cosas, mucha gente lo siente así, 'Oh, todo está realmente en mi computadora, pero creo que cuanto más trasladamos a la web, a la nube, menos control vamos a tener".

Preguntado sobre las condiciones laborales en China, donde Apple y prácticamente todas las demás empresas de tecnología, incluyendo Samsung, Microsoft y Sony, manufacturan sus productos, Wozniak, dijo: "Sabemos que [los clientes] tenemos voz. Podemos hablar pero no actuamos al respecto, solo decir Foxconn es malo o Apple es malo."

Dijo que creía que las condiciones para los trabajadores chinos mejorarían a su vez que el país se enriquezca. Wozniak, quien ahora trabaja para la  la empresa de memorias Fusion IO, inventó la Apple I y Apple II. Dejó el empleo de tiempo completo con la empresa en 1987 a pesar de que permanece en la nómina.



Fuente: The Telegraph 

0

Ya disponible Attack Surface Analyzer 1.0 de Microsoft

Jesus Bourne 21 de agosto de 2012

Attacks Surface Analyzer es la misma herramienta usada por las áreas de productos internos de Microsoft para catalogar los cambios que se realizan a los sistemas operativos cuando se instala nuevo software.

Esta herramienta realiza muestreos del sistema en una organización y los compara para identificar cambios, la herramienta no analiza el sistema con base en firmas o a partir de vulnerabilidades conocidas, en su lugar busca debilidades de seguridad en aplicaciones que son instaladas en los sistemas operativos Windows.



Esta herramienta cuenta con asistencia independiente para ayudar a los usuarios en los procesos de escaneo y análisis. La versión de línea de comandos (command-line version) soporta automatización y versiones anteriores de Windows, además de asistir a profesionales de TI al integrarla con otras herramientas de mantenimiento que existen en la empresa.

La versión actualizada de la herramienta incorpora mejoras en bugs, enriqueciendo la experiencia para el usuario, además permite:

A los desarrolladores, observar los cambios en la superficie de ataques resultado de introducir código en la plataforma Windows.

A los profesionales de TI, estimar el cambio en la demanda de la superficie de ataques a partir de la instalación de una línea de organización en aplicaciones de negocios.

A los auditores de TI, evaluar el riesgo de una pieza de software específica instalada en el sistema Windows durante las revisiones de amenazas y riesgos.

A los equipos de respuesta a incidentes, obtener una mejor comprensión del estado de seguridad en los sistemas durante las investigaciones (si una línea de escaneo de base es tomada del sistema durante la fase de desarrollo).

Ligas de descarga:

Attack_Surface_Analyzer_x86.msi

Fuente: Help Net Security 
0

Herramientas de spam en Skype, muy fáciles de acceder


No es sorpresa que muchos individuos que buscan hacer dinero fácil realicen scam en línea, sobre todo cuando las herramientas para hacerlo están ampliamente disponibles y a un bajo costo. Además, las posibilidades de ser atrapado son mínimas.

Skype Flooder es un ejemplo. Esta herramienta de Skype para el envío de spam se encuentra en su segunda versión. Se puede comprar en foros underground por tan solo 10 dólares, y como un bono extra, el comprador también recibe 5000 nombres de usuarios de Skype anteriormente obtenidos.

Según el anuncio, la herramienta permite al usuario agregar, buscar y envíar spam a los contactos, para recoger nombres de usuarios de Skype basándose en búsquedas por país o género, así como información disponible como la ciudad, nombre de usuario y el estado de conexión. Esta nueva versión también es capaz de analizar archivos de registro.

Pero también hay buenas noticias. “Dado que la herramienta sólo es capaz de difundir un mensaje particular a quienes deben dar autorización a la cuenta del spammer, así como el hecho de que no soporta múltiples cuentas de spam y proxies, no representa una amenaza escalable. En su lugar, se basa principalmente en técnicas de ingeniería social”, señala Webroot.

“Aunque la herramienta es capaz de segmentar los objetivos para una mejor tasa de conversión, el usuario todavía tiene que autorizar al spammer para recibir mensajes de él”.

Afortunadamente para los usuarios de Skype, pueden protegerse fácilmente de los distintos spammers ajustando sus configuraciones, para imposibilitar recibir llamadas, videos, pantallas y mensajes instantáneos de cualquiera que no se encuentre en la lista de contactos.

Entonces, sólo es necesario tener cuidado de no agregar usuarios spammers (cuentas) a la lista.



Fuente: Help Net Security 

0

Científico crea contraseñas subliminales basándose en Guitar Hero, contrarresta coerción contra la seguridad

Jesus Bourne 12 de agosto de 2012

Investigadores de la Universidad de Stanford revelarán la siguiente semana un sistema de seguridad que puede derrotar los ataques más agresivos para garantizar que los usuarios no puedan ser obligados a revelar sus contraseñas, incluso por la fuerza bruta, pues sencillamente ellos no las conocen, son contraseñas subliminales.

El equipo detrás de las contraseñas subliminales quería saber si podían utilizar el aprendizaje implícito, cuando alguien aprende patrones, sin darse cuenta conscientemente de esto,  para anular la amenaza de los usuarios de verse obligados a revelar una contraseña.

Para crear la contraseña subliminal, el equipo creó un juego de entrenamiento para computadora, que imitaba las características del popular video juego Guitar Hero, haciendo que los usuarios dediquen tiempo a las instrucciones en pantalla.

El equipo creó un sitio web de este juego de entrenamiento y enseñó a los sujetos cómo utilizarlo, los prospectos fueron reclutados de Mechanical Turk de Amazon.

En el juego de entrenamiento, se representarton círculos cayendo en una de las seis columnas; los jugadores anotaban puntos si pulsaban las teclas correspondientes a las posiciones de las columnas en la pantalla justo antes de que el círculo golpeara el piso de la columna.

Cada columna tenía tres posibles posiciones donde los círculos podían caer, junto con una columna vacía, que servía de ayuda a los usuarios para asignar los círculos de las columnas de manera más eficaz cuando el juego se reproducía rápidamente.

La contraseña subliminal está creada a partir de una secuencia de 30 caracteres que utilizan ese juego de teclas, pero a los usuarios nunca se les dice qué secuencia es.

En su lugar, se presentan con una serie de sesiones de entrenamiento que incluyen esa secuencia de 30 caracteres, junto con algunas secuencias al azar.

Los jugadores gastan alrededor de 35 a 40 minutos repitiendo esta sesión de entrenamiento.

Para autenticar el usuario, el equipo probó a los sujetos nuevamente con el juego. Pero esta vez, el tema se presenta con algunos círculos que se encuentran en los patrones que veían en el programa de capacitación y otros que no lo hicieron.

El equipo mostró que los usuarios siempre obtuvieron mejores resultados en las secuencias que habían sido entrenadas para aprender implícitamente las secuencias aleatorias. Los usuarios que nunca se habían sometido a las sesiones de entrenamiento no mostraron tales distinciones.

El equipo, que se compone de Hristo Bojinov y Dan Boneh de Stanford, junto con sus colegas Daniel Sanchez y Paul Reber de la Uniersidad de Northwestern y Patrick Lincoln de SRI, presentarán sus trabajos en el Usenix Security Symposium en Bellevue, Washington, la semana próxima.

Asimismo, reconocen que el sistema es sólo un modelo de prueba de concepto en la actualidad. "Esperamos seguir analizando la velocidad a la que las contraseñas aprendidas implícitamente se olvidan, y la frecuencia requerida de las sesiones de reforzamiento", mencionaron en su trabajo de investigación.

Sin embargo, los investigadores de Mechanical Turk proporcionaron una "base de confianza de que es posible" construir un sistema de contraseñas a través del aprendizaje subliminal implícito, agregaron. Una forma muy pura para derrotar ataques de fuerza bruta.



Fuente: v3.co.uk 

0

Rastrear teléfonos Android es sencillo, afirma investigador



Para ahorrar tiempo, batería y ciclos de procesador, los teléfonos inteligentes (smartphones) no dependen únicamente de GPS "puro" para determinar su ubicación, obtienen ayuda de datos de localización en la red de telefonía móvil. 

Una investigación, presentada la semana pasada en la conferencia Black Hat en Las Vegas, advierte a los usuarios que este hecho representa una seria vulnerabilidad a la seguridad.

Bajo esquemas llamados A-GPS (Assisted-GPS), la red puede enviar la ubicación y tiempo satelital actuales al receptor, permitiéndole adquirir señales más rápidamente, también el dispositivo puede enviar sus datos de la señal GPS a un servidor en la red para procesamiento más rápido.

 En ambos casos, la tecnología depende de que el dispositivo pida asistencia a la red, y cuando eso sucede, los datos de localización se intercambian a través de ésta.

Los problemas, de acuerdo al investigador de la Universidad de Luxemburgo, Ralf-Philipp Weinmann, son que las solicitudes de ayuda son enviadas en claro y son aparentemente fáciles de secuestrar.

Por ejemplo, si un atacante tiene acceso a la red WiFi a la que se conecta el teléfono, su solicitud de asistencia podría ser capturada y redirigida al servidor del atacante. El atacante ahora sabría dónde está el teléfono y, peor aún, la redirección permanecería a donde sea que el teléfono vaya en el futuro.

De acuerdo a Technology Review, Weinmann describió el ataque como "bastante despreciable" debido a que "si lo enciendes sólo una vez y te conectas a esa red, puedes ser rastreado en cualquier momento que intentes hacer una sincronización de GPS"

Debido a que el procesamiento no es frecuentemente designado al procesador principal del dispositivo, dice Weinmann, puede ser utilizado [el ataque] como puerta para otros ataques, desde colapsar el dispositivo atacado hasta instalar malware.



Fuentes: The Register 


0

Troyano "hecho en Alemania" espiando en Bahrein

Jesus Bourne 6 de agosto de 2012

Citizenlab publicó un análisis detallado de las actividades de un troyano, el cual expertos concluyen, está muy probablemente relacionado a FinFisher, una herramienta spyware comercial desarrollada por la compañía Gamma International. 

El troyano atenta contra activistas políticos en Bahrein e incluye nombres de remitentes tales como corresponsales de Al Jazeera y asuntos de correo como “Reportes de torturas en Rabil Najaab”.

El archivo adjunto .EXE, oculto como una imagen, deshabilita el software antivirus e instala un conjunto completo de programas spyware en el equipo del destinatario. El spyware procede entonces a monitorear, entre otras cosas, las comunicaciones de la víctima a través de Skype, incluyendo conversaciones y transferencias de archivos.

Un análisis del desempeño de la memoria de los sistemas infectados, mostró que en repetidas ocasiones se produjo la cadena de caracteres “finspy”. Este nombre es utilizado por Gamma, para anunciar módulos de FinFisher.

El troyano incluso despliega imágenes mientras implementa sus actividades en segudno plano

Los investigadores mencionaron que el malware utiliza un empaquetador .EXE muy especial, cuya firma también fue reconocida en otra muestra de malware la cual se cree es una versión de prueba del troyano.

El malware se comunica con servidores como tiger.gamma-international.de, cuyo dominio está registrado con Gamma International GmbH en Alemania. Aunque los productores de FinFisher, Gamma International Ltd, oficialmente operan desde Reino Unido, existe evidencia significativa de que el software está siendo desarrollado en Alemania.

La herramienta de inspección FinFisher ha llamado la atención repetidamente, debido al monitoreo de activistas políticos realizado por agencias gubernamentales. Recientemente, Gamma International recibió el premio Big Brother por sus actividades.

Fuentes: The H Security 


0

Herramienta de seguridad de Microsoft incluye defensas inspiradas en finalista de BlueHat


Microsoft publicó una versión preliminar de un nuevo kit de herramientas de seguridad que usa técnicas inspiradas por uno de los participantes de su competencia de seguridad BlueHat Prize, dijo la compañía este miércoles.

La herramienta incluye protección contra ataques del tipo Return-oriented programming (ROP), una técnica avanzada que utilizan los atacantes para combinar pequeñas piezas de código válido presentes ya en un sistema, para fines maliciosos, dijo Microsoft. 

Una defensa contra ese tipo de ataques fue desarrollada por Ivan Fratric, un investigador de la Universidad de Zagreb, en Croacia, quien cuenta con un doctorado en Ciencias de la Computación.

Fratric envió una herramienta de seguridad llamada ROPguard para la competencia BlueHat, la cual ayuda a detener ataques del tipo ROP al definir un conjunto de verificaciones que pueden ser usadas para detectar cuándo ciertas funciones están siendo invocadas en el contexto de código ROP, dijo Microsoft. 

El sistema de defensa de Fratric puede ayudar a protegerse de ataques que exploten vulnerabilidades de manejo de memoria, agregó la compañia.

El Trustworthy Computing Group (Equipo de Cómputo Confiable) de Microsoft, publicó el miércoles una versión preeliminar del kit de herramientas Enhanced Mitigation Experience (EMET) 3.5, que incluye técnicas de defensa para ROP "inspiradas por" el ROPguard de Fratric.

La tecnología fue integrada en EMET en un lapso de 3 meses, lo que ayudó al software a ser significativamente más resistente a explotación, dijo Microsoft en un comunicado, agregando que Fratric ayudó a incorporar la tecnología en EMET.

La competencia BlueHat Prize tiene como objetivo motivar a investigadores a desarrollar tecnologías defensivas otorgando más de $250 mil dólares en efectivo y otros premios. 

Fue iniciada en la conferencia de seguridad BlackHat del año pasado en Las Vegas y terminó el primero de abril de este año. Microsoft aún debe determinar si Fratric, quien es uno de los tres finalistas, recibirá el gran premio de $200 mil dólares.


Fuentes: PCWorld

0

Aumento significativo en ataques de inyección SQL

Jesus Bourne 1 de agosto de 2012
El servicio de almacenamiento en la nube FireHost reporta que el número de ataques de inyección de código SQL fue de cerca del 69% en el trimestre pasado.

Según un reporte, los servidores localizados en centros de datos alrededor de Europa y EUA registraron al menos medio millón de estos ataques en abril y junio de 2012; menos de 300 mil fueron registrados durante el primer trimestre.

El termino inyección de SQL se refiere a un ataque en el que el atacante utiliza información diseñada por él mismo, por ejemplo, en un sitio web el atacante inyecta comandos de base de datos en la opción de búsqueda, de tal manera que la aplicación web envía al atacante directamente a su base de datos.

Atacantes con más habilidades pueden optimizar estos comandos para que devuelvan contenido específico de los campos de la base de datos, como las direcciones de correo electrónico y contraseñas de los usuarios registrados.

Por lo tanto, los huecos de seguridad que ofrecen la posibilidad de inyección SQL en las aplicaciones web están entre las más peligrosas, ya que ponen directamente los datos del servidor afectado en riesgo.

Las vulnerabilidades de inyección de SQL en los servidores son probablemente la principal causa de las filtraciones de contraseñas reveladas de Linkedln a Gamigo.

Sin embargo, sería difícil establecer una conexión concreta entre las observaciones de FireHost y el notable incremento en el número de incidentes en la fuga de contraseñas; después de todo, muchas de las intrusiones se llevaron a cabo hace bastante tiempo.

Sin embargo, podría haber una relación de origen en dirección opuesta, es decir, que los atacantes podrían haber sido inspirados por la fuga de datos recientes. En cualquier caso, es tiempo de que los operadores de servidores consideren la implementación de medidas preventivas antes de que se conviertan en un objetivo.


Fuente: The H Security
0

Alertas de malware en Mac en el día de lanzamiento de Mountain Lion

Mientras el sistema operativo Mac OS X Mountain Lion apenas llega a los mercados, la compañía de seguridad Sophos identificó una nueva pieza de malware para Mac.

El malware es conocido como Crisis y Morcut, llegó como un archivo llamado “AdobeFlashPlayer.jar”. La extensión “.jar” hace referencia a un “archivo de Java”, similar a un archivo ZIP pero con otro nombre, según Sophos.

En este caso, al abrir el archivo se creará un archivo .class llamado WebEnhancer y dos archivos de apariencia discreta llamados win y mac. El archivo “mac” es el instalador de Crisis o Morcut.

Sin embargo, la buena noticia es que el applet WebEnhancer activará la alerta mediante una firma digital

El investigador advierte que el malware no necesariamente es entregado a través de un archivo “.jar”, eso solo fue una forma en la que se produjo. Si se descarga Morcut/Crisis, se debe tener cuidado.

De acuerdo con Sophos, “Morcut tiene componentes de controladores del kernel que ayudan a ocultarlo, un componente de backdoor que abre la Mac a los demás que comparten la red, un componente de command-and-control para que pueda aceptar instrucciones remotas y adaptar su comportamiento, código para robo de datos y más”.

Sophos advierte a los usuarios de Mac sobre no asumir que están a salvo de ataques de malware. De hecho, estas amenazas han ido en aumento a medida de que la plataforma ha crecido en popularidad. Otro consejo es desinstalar Java si no es necesario.

“Esto deja un incoveniente más para los creadores de malware”.

Fuente: Yahoo

0

Hackers embisten contra Gamigo, roban 8 millones de contraseñas

Más de 8 millones de contraseñas han sido robadas del sitio de juegos alemán Gamigo y han sido publicadas en línea a más de 4 meses de que los hackers irrumpieran en la red.

Los hashes de las contraseñas fueron colocados en el foro de crypto-cracking InsidePro, el mismo sitio donde el mes pasado usuarios publicaran una lista de cerca de 6.5 millones de datos de inicio de sesión de usuarios de LinkedIn.

Un usuario del foro, apretantemente logró romper el hash de una vía y afirmó haber descifrado el 94% de las contraseñas.

El servicio de monitoreo de información comprometida PwnedList dio aviso a Forbes del botín y descubrió que contenía la escandalosa cantidad de 8.2 millones de direcciones de correo electrónico.

Tres millones de las direcciones son procedentes de Estados Unidos, 2.4 millones de Alemania y 1.3 millones de Francia.

Esta fuga de datos es por mucho la más cuantiosa de los incidentes de filtraciones reportados en 2012.
La lista de contraseñas cifradas ‘all.txt’ fue retirada del sitio web de archivos compartidos en el cual fue publicado.

Ningún portavoz de Gamigo respondió hasta el momento de la publicación de esa nota a las llamadas telefónicas hecha con el fin de buscar comentarios.


Fuente: SC Magazine



0

Hacker de la App Store de Mac dice que se "termina el juego"

Jesus Bourne
El creador de un exploit que permite a usuarios comprar aplicaciones para iOS sin costo alguno confirma que el parche de Apple soluciona el problema.

"Actualmente no tenemos forma de violar las APIs actualizadas," dijo el creador Alexei Borodin en una publicación de su blog de desarrollo. "Son buenas noticias para todos, hemos actualizado la seguridad en iOS, los desarrolladores tendrán su dinero digital."

Borodin dijo que el exploit, que requiere el uso de servidores de terceras partes y especialmente certificados digitales instalados, continuarán en línea y funcionando hasta que Apple libere iOS 6. La semana pasada Apple dijo que el software estará listo dentro de unos meses y que parchará el exploit. Por ahora la compañía solo ha distribuido actualizaciones de APIs que validan cada compra digital.

"Examinando la última declaración de Apple acerca de las compras de aplicaciones en iOS 6, puedo decir que el juego ha terminado," añadió Borodin.

Según una entrevista con el programador la semana pasada, el exploit permitió compras de aplicaciones por más de 8.4 millones de dólares.

Con un precio mínimo de 99 centavos de dólar por cada aplicación comprada, representa un total de 5.82 millones de dólares que pudieron haber recibido los desarrolladores, más otros 2.49 millones de dólares que Apple habría ganado sobre la base de división de ganancia de 70/30.

Sin embargo, las cifras podrían ser considerablemente mayores, ya que las compras dentro de iOS pueden ir más allá de 99 centavos de dólar.

A pesar de la victoria temporal de Apple en materia de seguridad de iOS, Borodin dice que una versión modificada del exploit que tiene como objetivo el Mac App Store de Apple sigue activa. "Estamos esperando la reacción de Apple,” dijo en la misma publicación. “Tenemos algunas cartas bajo la manga."

El exploit sigue siendo uno de los pocos esfuerzos de alto perfil que tienen como objetivo las tiendas digitales de Apple desde el interior de las aplicaciones. Esfuerzos separados se han centrado en cuentas de usuario de forma individual y la protección de copia de las aplicaciones.


Fuente: CNet News
0

OSX/Crisis, un nuevo malware para Mac OS X

Jesus Bourne 28 de julio de 2012
Como siempre decimos, de la acción del malware y de los cibercriminales no se libra nadie… Tampoco los usuarios de Mac OS X. Hoy hablamos del último descubrimiento recogido en el blog Seguridad Apple: OSX/Crisis, que es a la vez un dropper y un backdoor y parece haber sido desarrollado con exploits de kit de explotación habituales.

El malware ha sido descubierto en el repositorio de Virus Total, por lo que, al no haberse visto de forma activa, no se sabe muy bien ni su procedencia ni el fin último. OSX/Crisis crea, una vez instalado, una serie de carpetas con nombres fijos o aleatorios, siempre dependiendo de si consigue ejecutarse con permisos de administrador en el sistema o no. Alguno de los nombres que utiliza son:

/Library/ScriptingAdditions/appleHID/
/System/Library/Frameworks/Foundation.framework/XPCServices/



Este último nombre de carpeta se asigna solo si OSX/Crisis ha logrado ejecutarse con permisos de administración, asegurándose de esta manera su supervivencia tras el reinicio del sistema.





Parece que el malware utiliza sistemas de ofuscación para dificultar las tareas de los analistas, y se conecta a la dirección IP fija 176.58.100.37 cada cinco minutos, lo que pudiera indicar que se ha estado controlando desde esta dirección.

No se tiene constancia, sin embargo, de que este malware se haya estado distribuyendo o o que haya infectado a los usuarios, aunque seguiremos muy de cerca las novedades para manteneros al tanto de cualquier nueva información que podamos compartir.

Fuentes:Ontinet.com—Josep Albors/Jolanda Ruiz Hervas



1

Hackers adoptan trucos de generación de dominios para botnets

Jesus Bourne 26 de julio de 2012
Hackers han comenzado a adoptar técnicas de generación de dominio, normalmente utilizadas para malware de tipo botnets con el objetivo de prolongar los ataques basados en web, según investigadores de seguridad de la firma de antivirus Symantec.

Estas técnicas de generación de dominio fueron recientemente observadas en una serie de ataques que usan descargas sin consentimiento del usuario (descargas drive-by) que usaron el toolkit de exploits Black Hole para infectar a usuarios de Internet con malware al visitar sitios web comprometidos, dijo Nick Johnston, investigador de seguridad de Symantec, en su blog el martes.

Los ataques de descargas drive-by dependen de un código infectado en sitios web comprometidos para redirigir de forma silenciosa a los visitantes a dominios externos que alojan toolkits de exploits como Black Hole. Esto normalmente se hace a través de iframes ocultos en etiquetas HTML.

Estos toolkits verifican si el navegador de los usuarios contiene plug-ins vulnerables y si los encuentran, cargar los exploits correspondientes para instalar malware.

Los ataques web usualmente tienen una vida activa corta porque tanto investigadores de seguridad, proveedores de alojamiento de sitios y encargados del registro de dominios trabajan juntos para dar de baja los sitios web del ataque y suspender los nombres de dominio abusivos.

Debido a esfuerzos similares para dar de baja servidores de comando y control de botnets (C&C), algunos autores de malware han implementado mecanismos de respaldo para permitirles recuperar el control de las computadoras infectadas.

Uno de estos métodos involucra comunicarle al maware nuevos nombres de dominio generados diariamente de acuerdo a un algoritmo especial en caso de que los servidores C&C se vuelvan inaccesibles.

Esto permite a los atacantes saber con qué nombres de dominio intentarán comunicarse sus botnets en una fecha determinada, para que puedan registrarlas por adelantado y usarlas para liberar actualizaciones.

Una técnica similiar fue usada en recientes ataques de Black Hole. Los nombres de dominio en las URL cargadas por iframes ocultos cambiaban diariamente y fueron  generados por un algoritmo dependiente de la fecha.

Los atacantes registraron todos los dominios que este algoritmo generará hasta el 7 de agosto, para asegurarse de que sus ataques funcionarán hasta esa fecha sin requerir cambios al código insertado en los sitios web comprometidos.

“Hasta ahora hemos visto un pequeño pero considerable flujo de dominios comprometidos usando esta técnica”, señalaron los investigadores de Symantec. “Esto sugiere que este es problamente un tipo de prueba o estrategia que podría propagarse en el futuro”. 



Fuente: TechWorld
0

Actualización silenciosa en Firefox 14 mejora su distribución

Jesus Bourne 24 de julio de 2012

Firefox 14 alcanzó cerca de la mitad de todas las copias del navegador de uso libre que se encontraban en circulación a solo una semana de su lanzamiento, un signo de que el mecanismo de actualizaciones automáticas de Mozilla podría estar dando los frutos que se esperaban.

El navegador se convirtió en la edición más utilizada siendo mucho más rápida que sus predecesores, el Firefox 12 liberado el 24 de abril y Firefox 13 liberado el 5 de junio.

En los siete días desde su debut, la participacion de Firefox 14  en todos los navegadores de Mozilla  fue de un 3% el 17 de julio hasta el 46% el 23 de julio, de acuerdo con los datos de uso recogidos por la empresa irlandesa de análisis StatCounter.

Al final de su primera semana, la versión 12 acumuló una participación del 30% en todos los navegadores Firefox y la versión 13 represento el 31%.

Firefox 14 es la segunda versión que Mozilla ha enviado a los usuarios por medio del servicio de actualización silenciosa incluido en Firefox 12.

El servicio de actualización silenciosa de Mozilla deja de lado el Control de cuentas de usuario de Windows, o UAC, para impulsar cambios en el fondo, de modo que los usuarios reciban una actualización del navegador sin interrupción.

Los datos analizados por Computerworld hace cuatro semanas, mostraron que Firefox 13, la primera después de la introduccion de la actualización silenciosa habia de hecho sido adoptada en un ritmo más lento que firefox 12.

MSegún Mozilla y datos de StatCounter que dieron a entender más o menos lo mismo, una actualización de emergencia que se emitió a mitad del ciclo de actualización de Firefox 13 había obstaculizado su adopción.

En ese momento, Mozilla dijo que había visto problemas similares de adopción cuando se había lanzado un parche llamado "derrame químico" anteriormente.

Chitika, una red de publicidad en línea que regularmente mina la impresión de datos de anuncios de las tendencias en el sistema operativo y los patrones de uso del navegador, reportó resultados idénticos para Firefox 14.

De acuerdo con Chitika, Firefox 14 representó el 46% de todas las copias de Firefox para la noche del lunes y fue la versión más popular de la aplicación de Mozilla en la Web, con casi el doble de la participación de Firefox 13.

La tasa de adopción más rápida de Firefox 14, sin embargo, no fue suficiente para frenar la caída del navegador de Mozilla. Con tan sólo ocho días restantes del mes, Firefox tenía una participación de 23,9% de todos los navegadores, dijo StatCounter, una caída de siete décimas porcentuales del promedio de 24.6% de junio.

Los rivales Chrome e Internet Explorer (IE), por su parte, contaban con una participación del 34% y el 31.6%, respectivamente, hasta el lunes. La tentativa de Chrome fue de 1.2 puntos más que en junio, mientras que IE se redujo siete décimas de un punto.



Fuentes: PC World

0

Vulnerabilidad en Kindle Touch permite ejecutar codigo solamente visitando una web

Jesus Bourne 22 de julio de 2012
Leemos en el servicio de noticias Una al día de Hispasec la noticia de que se ha descubierto una grave vulnerabilidad en uno de los modelos del popular lector de libros electrónicos de Amazon, el Kindle Touch. 

Esta vulnerabilidad permitiría la ejecución de código arbitrario con los máximos privilegios posibles en el dispositivo y, aunque está siendo utilizada de forma masiva para liberar el dispositivo, también podría utilizarse para tomar el control del sistema y robar las credenciales del usuario.


Diseñado originalmente como lector de libros electrónicos, este dispositivo también permite realizar otras tareas como navegar por Internet, gracias a que cuenta con conexión WiFi.

Es precisamente esta funcionalidad la que podría aprovecharse para, según un usuario de los foros mobileread.com, ejecutar comandos con permisos de root remotamente desde una web maliciosa, lo que ocasionaría que se pudiera tomar el control del dispositivo desde ese momento.

Igual que pasó anteriormente con otros dispositivos como el iPhone/iPad y la vulnerabilidad que permitía liberarlos con tan solo visitar una web, el descubrimiento de vulnerabilidades en los sistemas que gobiernan estos dispositivos abre todo un nuevo mundo de posibilidades a sus usuarios. 

Pero muchas veces nos quedamos solamente con la parte positiva (posibilidad de realizar acciones con el dispositivo que antes no podíamos hacer) y nos olvidamos de la parte negativa, que en este caso podría suponer el robo de credenciales de nuestra cuenta asociada con Amazon, la compra de contenido utilizando otras cuentas y, por qué no, añadir nuestro dispositivo a una botnet controlada por un atacante.

Tanto el descubridor de esta vulnerabilidad como el equipo de Hispasec nos recomiendan desactivar la librería afectada, libkindleplugin.so, ejecutando el siguiente comando por SSH:

mntroot rw && mv /usr/lib/browser/plugins/libkindleplugin.so /usr/lib/browser/plugins/libkindleplugin.so.disabled && mntroot ro && killall wafapp

De momento, no se ha podido comprobar que otros dispositivos de la familia Kindle se encuentren afectados por este fallo de seguridad. Asimismo, se ha puesto a disposición de los usuarios una nueva versión del firmware 5.1.1 del dispositivo que corrige la vulnerabilidad, se  recomienda actualizar el dispositivo lo antes posible.

Fuentes:Omtinet.com-Josep Albors

0

Cae Grum, la tercera mayor botnet del mundo

Jesus Bourne

La botnet Grum formada por miles de ordenadores infectados y dedicada especialmente al spam de productos farmacéuticos fue desmantelada el pasado 18 de Julio. 

La colaboración entre diferentes empresas especializadas en seguridad ubicadas en varios países ha permitido desactivar esta red que llegó a enviar hasta 18.000 millones de mensajes spam por día y era responsable de un tercio del correo no deseado a nivel mundial.

Esta red de ordenadores zombies contaba con centros de mando y control (C&C) en varios países y pudo ser desactivada gracias al trabajo conjunto de empresas como la californiana FireEye, la británica Spamhaus Project y el equipo de respuesta ante incidentes informáticos (CERT) Ruso.

Asimismo, también se conto con la ayuda de algún proveedor de servicios ISP para desconectar los servidores localizados en Holanda, Panamá y Rusia.

Tras la desactivación de los centros de mando y control se calcula que cerca de 120.000 equipos infectos se han quedado huérfanos y ya no reciben las ordenes de seguir enviando spam. Esto hace que el número de correos no deseados que circulan por la red disminuya, al menos temporalmente.


Imagen de Symantec Message Labs

Esta operación ha demostrado que la colaboración entre distintas empresas de seguridad informática puede ser igual de efectiva que las realizadas por las fuerzas de seguridad, aunque la colaboración siempre ayuda a detener las actividades delictivas de esta clase.

A pesar de que el tamaño de la botnet es pequeño si lo comparamos con las redes de ordenadores zombies de hace unos años, esto no significa que los ciberdelincuentes las estén dejando de lado. Mas bien han reestructurado su estrategia y prefieren tener botnets mas pequeñas pero efectivas y difíciles de desactivar que grandes botnets que llamen mucho la atención.

Debido a que estas redes reclutan a los sistemas infectados que forman parte de ellas usando técnicas no muy elaboradas, como el adjuntar archivos infectados en adjuntos o descargando malware desde enlaces, es nuestra misión como usuarios adoptar buenas prácticas de seguridad para evitar que nuestro sistema se vea afectado y empiece a enviar spam o a propagar malware siguiendo las ordenes del controlador de una botnet.

Fuentes: Ontinet.com - Josep Albors


.

Compartelo:
 
Copyright 2010 SI3H-C5IRT