lunes, 19 de septiembre de 2011

Ataques en Facebook a través del botón "Me gusta"

En esta ocasión Facebook vuelve a ser objeto de estudio como vector de ataque de ingeniería social.

Seguramente la mayoría esta familiarizado con la Publicación de Notas y la escritura de comentarios al Pie de Foto , dentro del monstruo de las redes sociales.

Comenzamos Teorizando la posibilidad de dar "Validez", "Credibilidad", "Opinión Pública Virtual Positiva", mediante el uso del botón "Me Gusta".

Cuántas veces nuestra curiosidad fue víctima de este fenómeno?! Navegando vemos un comentario,una nota ,una foto , que tiene una gran cantidad de “Me Gusta” y entramos a ver por pura curiosidad! que tan bueno puede ser que a tanta gente le gusta (?) ?! Que podría pasar si ya muchos lo hicieron o vieron ?

Comenzamos publicando una Nota en mi Muro con el siguiente contenido:
Hola, necesito ayuda del público de Facebook para poner “Me Gusta” sobre esta nota para comprobar una teoría!


Gracias por colaborar!!!


Atte. Gustavo Nicolas Ogawa
La idea principal era conseguir reputación sobre el contenido publicado mediante la aceptación por parte de los integrantes de la Red Social.

Una vez lograda una cierta cantidad importante de seguidores, procedemos a modificar el contenido de la publicación mediante el botón de "EDITAR" de la nota en cuestión… y ACÁ es donde reside el gran fallo de diseño , control y flujo de la información de FB…
¡FB permite la modificación del contenido a posteriori de la nota sin advertir a los seguidores sobre dicha actualización! Con lo cual, estaríamos decidiendo arbitrariamente que es lo que "LE GUSTA" a nuestros seguidores, y también, dando un valor agregado de validez a la información modificada.

Actualización: Google+ tiene el mismo comportamiento.

Contenido completo en fuente original Mkit

Publicado por Fredy Paternina Matos en 9/19/2011 03:47:00 p. m. 1 comentarios

CVSS integrado a ISO 27001

Este artículo desarrollado por Miguel Ángel Hernández Ruiz no pretende exponer una forma única de llevar a cabo la interconexión entre CVSS e ISO 27001 dado que la metodología de análisis de riesgos puede variar sustancialmente entre implantaciones. Es por ello que se apoya en su parte normativa en ISO 27005 para intentar huir de metodologías concretas, aunque cierta concreción ha sido inevitable para mostrar los ejemplos

El sistema de puntuación de vulnerabilidades comunes (Common Vulnerability Scoring System, en adelante CVSS) viene a solucionar la problemática de priorizar las actuaciones entorno a las vulnerabilidades técnicas localizadas dentro de la organización en el proceso de gestión de la vulnerabilidad técnica, unificando la forma en la que las vulnerabilidades son evaluadas.

CVSS constituye un marco de trabajo en el cual se definen una serie de parámetros que permiten asignar un valor de riesgo a una determinada vulnerabilidad basándose en tres diferentes grupos de métricas:
  • Métricas Base: recogen las características intrínsecas y fundamentales de la vulnerabilidad que son independientes del tiempo y del entorno en el que ésta se pueda presentar.
  • Métricas Temporales: reflejan aquellas cualidades que pueden variar en el tiempo.
  • Métricas de Entrono: involucran aquellas variables que dependen del entorno en el que se encuentra la vulnerabilidad.
El documento completo se puede descargar en PDF desde el sitio de Miguel.

Cristian de la Redacción de Segu-Info
Publicado por Fredy Paternina Matos en 9/19/2011 03:46:00 p. m. 0 comentarios

consejos prácticos para blindar tu cuenta de twitter contra hackeos


Existen varios trucos para “blindar” nuestras cuentas de twitter y correo electrónico, para que no seamos víctimas de un delito informático como el “hackeo”, en donde una persona toma control de una cuenta que no le pertenece, violando la privacidad de la persona o empresa afectada. A continuación, te traemos consejos prácticos para evitar que tu cuenta sea hackeada.

1. Contraseñas: Haz una contraseña buena y larga, utilizando mayúsculas, minúsculas, números y signos. Una genial manera de hacer una contraseña, es poner en siglas una frase que nos guste, como por ejemplo: “Mi Cumpleaños Es El 19 De Noviembre” = MCEL19DN.

2. Ñ: Una excelente alternativa para evitar hackers es colocar la letra ñ en tu contraseña, principalmente porque en teclados en inglés no se encuentra este grafema.

3. Correo diferente: Linkea tu cuenta de twitter con una cuenta de correo electrónico que casi no tenga que ver con tu usuario. Por ejemplo, si en twitter eres @Culturizando, asociarla a culturizando@gmail.com sería muy obvio. No olvides colocarle una clave diferente de la que tienes en twitter.

4. Pregunta secreta de correo: Al pulsar la opción de “olvidé mi contraseña”, cualquier persona puede modificarla, luego de contestar tu pregunta secreta. Muchos servidores de email permiten redactar tu propia pregunta, coloca unas que sólo tú sepas, y sean difíciles de adivinar. “Número de viajero frecuente?” o “Marca de las bocinas de mi computadora?”, pueden ser buenas alternativas. Otra forma es contestar las preguntas con cosas que no tengan que ver, como responder a “Año de su nacimiento?”, con “Ser o no ser”.

5. Recuperación en email: Coloca correos electrónicos de servidores poco conocidos y con un nombre diferente al que ya posees, para recuperar tu contraseña, en caso de olvidarla. AOL es un buen servidor para ello. Al tener una cuenta de recuperación de contraseña que sea difícil de adivinar, es mucho más complicado que personas ajenas accesen a ella, hackeen tu correo linkeado a twitter, y luego puedan controlar tu usuario.

6. Mantenla tuya: Nunca compartas tu clave de twitter o correo electrónico con nadie, ni la guardes si visitas un ciber café. Es mejor escribir una clave mil veces, y evitar un hackeo, a pulsar la opción de “recordar contraseña” en una o varias computadoras.

Si ya has sido víctima de un hackeo, intenta recuperar tu correo electrónico en primera instancia, contestando a la pregunta secreta, o enviando la restitución de contraseña a tu correo de recuperación. Al lograr esto, modifica la clave, y luego pide a twitter restituir tu contraseña, para cambiarla a una mucho más fuerte.

La seguridad en Internet depende de todos, y de que los usuarios aprendamos a hacer contraseñas fuertes y seguras. No olvides seguir estos consejos, para que no seas víctima de una posible usurpación a tu identidad o la de tu empresa.


Fuente: Culturizando
Publicado por Fredy Paternina Matos en 9/19/2011 03:41:00 p. m. 0 comentarios

España: publican datos personales de escoltas de Presidencia del Gobierno


Más de 30 policías, todos ellos parte de la escolta personal de la Presidencia del Gobierno, han quedado al descubierto en Internet después de que un presunto miembro de Anonymous haya publicado en la Red un archivo en el que se incluye la relación de nombres, apellidos, DNI y categoría de todos ellos.
Además, en el documento también se anuncia 'en breve' la publicación de los mismos datos del Grupo Especial de Operaciones (G.E.O.).

El ataque ha provocado la caída de la página web de la Policía Nacional, que a media tarde permanecía inaccesible. Fuentes de la Dirección General de la Policía han confirmado que la Brigada de Investigación Tecnológica (BIT) está investigando el caso para confirmar si los 'hackers' han conseguido burlar las medidas de seguridad de la red corporativa de la Policía Nacional, lo que ha implicado inhabilitar el acceso a la misma.

Fuente: El Mundo
Publicado por Fredy Paternina Matos en 9/19/2011 03:40:00 p. m. 0 comentarios

Hackean sitios de BitTorrent y uTorrent

Fuentes de la empresa Bit Torrent Inc. informaron la mañana de ayer que en horas de la madrugada el sitio del famoso cliente uTorrent, y posiblemente el sitio con el cliente BitTorrent original, fueron hackeados por un grupo no identificado, sin que hasta ahora nadie se haya atribuido el ataque.

Como consecuencia del hackeo, el instalador de los respectivos clientes de bittorrent fue sustituido por un ejecutable malicioso que instala uno de esos típicos antivirus falsos “scareware” que te empiezan a avisar que encontraron dos docenas de virus distintos y tienes que comprar la versión full de algo para quitarlos.

Se calcula que alrededor de 28.000 usuarios llegaron a descargar el falso enlace hasta que los administradores dieron cuenta del hack.
Simon Morris, VP de BitTorrent, lo explicó todo horas más tarde:
Esta mañana, aproximadamente a las 4:20 am hora del Pacífico, los servidores web de uTorrent.com y BitTorrent.com fueron comprometidos. Nuestro software estándar de descarga fue sustituido por un tipo de programa de falso antivirus. Sólo después de las 6:00 am hora del Pacífico fue cuando apagamos los servidores afectados para neutralizar la amenaza.
En estos momentos nuestros servidores vuelven a estar en funcionamiento normalmente. Hemos completado las pruebas preliminares de los programas maliciosos. De las mismas, concluimos que tras la instalación un programa llamado Security Shield fue lanzado y aparecía bajo una ventana emergente que alertaba de un virus detectado para a continuación pedir al usuario el pago para eliminar el virus.
Les recomendamos a cualquier usuario que descargó software entre las 4:20 y 6:10 am que realicen una exploración de seguridad de su ordenador. Nos tomamos la seguridad de nuestros sistemas y la seguridad de nuestros usuarios muy en serio. Nos disculpamos sinceramente a todos los que se han visto afectados.
Las últimas informaciones aseguran que en lo referente a las descargas tradicionales de torrents no se vieron afectadas aunque siguen recomendando llevar a cabo un análisis exhaustivo de los equipos.

Al parecer, el motivo de que se detuviera la propagación del hack tan rápido (apenas dos horas) fue por la rápida participación de la propia comunidad que alertó a través de IRC y Twitter. Actualmente y mientras dure la investigación se han cerrado los foros.

Desde BitTorrent informan que aunque se puede haber comprometido información y nombres de los usuarios, las contraseñas estaban cifradas. También se informa de que los servidores remotos de uTorrent no se han visto afectados en absoluto ya que se encuentran completamente separados.

Fuente: DDS Media
Publicado por Fredy Paternina Matos en 9/19/2011 03:39:00 p. m. 0 comentarios

El 54% de usuarios de Internet no comprueba los enlaces antes de abrirlos

La compañía danesa de filtros antispam, SPAMfighter, muestra según un estudio que el 54% de los usuarios abre enlaces de páginas Web, e-mails, redes sociales y demás, sin comprobar antes su destino.

Un estudio reciente de SPAMfighter muestra como los usuarios de Internet, concretamente un 55% de hombres y un 50% de mujeres, continúan siendo confiados a la hora de abrir cualquier tipo de enlace, sin comprobar antes su destino exponiendo sus equipos informáticos a graves problemas de seguridad.

Aunque la mayoría de los encuestados se arrepiente después de abrir este tipo de enlaces, el estudio revela como el 65% de las mujeres son más confiadas a la hora de abrir links en el correo electrónico, y no comprueban donde va el link antes de pinchar en ellos, mientras que un 55% de los hombres abre enlaces de páginas Web.

Comentando esta situación, Martin Thorborg, co-fundador de SPAMfighter señala: "El elevado número de personas que han hecho clic en un enlace y se arrepiente, muestra que para los estafadores es fácil engañar a las personas. Es muy triste y el elevado número de casos nos sorprende mucho. También es interesante que las mujeres parecen ser un poco más cautelosas. Sólo podemos sugerir a los internautas que tengan cuidado y que se protejan contra el spam y spyware".

SPAMfighter, que protege a todos sus usuarios y bloquea más del 90% de ataques phishing junto con el spam tradicional, filtra automáticamente los e-mails no deseados de la bandeja de entrada de todos sus usuarios, velando por su seguridad, ya que los firewalls tradicionales y los programas antivirus, no detectan este tipo de amenazas.

Fuente: SpamFighter
Publicado por Fredy Paternina Matos en 9/19/2011 03:34:00 p. m. 0 comentarios
Suscribirse a: Entradas (Atom)