¿Cuánto tardan los grandes fabricantes de software en arreglar una vulnerabilidad?

El tiempo que un fabricante tarda en hacer pública una solución para una vulnerabilidad es una de las métricas más importantes para conocer cómo maneja la seguridad. Suele existir cierta controversia en este aspecto. Se achaca a los fabricantes que tardan demasiado en disponer de una solución efectiva que ofrecer a sus clientes o usuarios. Mucho más cuando la vulnerabilidad es conocida y por tanto sus clientes “perciben” el peligro de utilizar ese software. Hemos realizado un estudio sobre 449 vulnerabilidades con la intención de representar y comparar algunas cifras al respecto.

Existen dos escenarios muy diferentes a la hora de solucionar una vulnerabilidad: que sea conocida públicamente, o que no. Esto es determinante para los grandes fabricantes. En el segundo caso, el ritmo de solución es muy distinto al segundo. Su imagen no está en entredicho, los clientes no se sienten en peligro… pueden tomarse la solución con más calma, y centrarse en asuntos mucho más urgentes (que seguro que existen). En Hispasec nos hemos preguntado cuánto tardan los grandes fabricantes en solucionar una vulnerabilidad cuando no sufren la presión de los medios, cuando la vulnerabilidad es solo conocida por ellos y quien la ha descubierto. Cómo reaccionan ante esta situación “ideal” (desde su punto de vista), en la que la vulnerabilidad les ha sido comunicada en secreto, y ambas partes acuerdan no hacerlo público hasta que exista una solución.

Este es un escenario relativamente sencillo de evaluar, puesto que podemos tomar la fecha en la que el fabricante fue informado como inicio del contador, y la fecha en la que se publica una solución como final. El tiempo que haya transcurrido nos permitirá saber de forma precisa cuánto tardan los fabricantes en solucionar una vulnerabilidad que no es pública. Los fabricantes estudiados son HP, Computer Associates, Adobe, Apple, Microsoft, Novell, Symantec, Oracle, IBM y Sun.

Para responder la pregunta dada, algunas de las conclusiones del estudio son que la media de los grandes fabricantes es de seis meses para solucionar una vulnerabilidad, independientemente de su gravedad. Encontramos ejemplos en los que una vulnerabilidad crítica es solucionada un año después de ser descubierta, y otros en los que se tardan apenas unos días.

Todos los datos y el informe completo, están disponibles de forma totalmente gratuita y sin necesidad de registro desde:
http://www.hispasec.com/laboratorio/Hispasec_Estudio_Vulnerabilidades.pdf

Salu2
--
Fredy Paternina Matos

Los cibercriminales se centran ahora en los móviles aprovechando el Mundial de Fútbol

Ojo.... los cibercriminales están tratando de aprovecharse de la emoción creada por el Mundial de Fútbol en Sudáfrica para estafar a los usuarios de internet y robarles su información confidencial. El último timo del que se están valiendo los spammers consiste en un décimo de lotería con el que hacen creer a las víctimas que han ganado un millón de dólares como parte de una promoción semanal.

Es curioso que, inicialmente, este tipo de timo no hace referencia a las cuestiones que normalmente se utilizan en el phishing, como por ejemplo: el número de la tarjeta de crédito, el código de validación y verificación de la tarjeta (CVV), el número PIN, etc. Esto es así porque los cibercriminales hacen todo lo posible porque los timos parezcan legítimos. Ellos creen que si no aparece ninguna alusión directa a este tipo de información, el usuario responderá, aunque sólo sea para satisfacer su curiosidad. En cambio, en este tipo de timos sí preguntan por el número de teléfono móvil, y es muy posible que recibas spam a través del teléfono.

Familia, algunas de las frases asociadas con este tipo de timos son:

• ***promoción de lotería del Mundial de Fútbol 2010****

• *** promociones de lotería del Mundial de Fútbol 2010***

• ,,,sorteo de lotería del Mundial de Fútbol 2010;;;;;;;

• Reclama tu décimo de lotería premiado del Mundial de Fútbol

• ¡Felicidades! Has Ganado 1.220.000 de dólares en el sorteo promocional del Mundial de Fútbol 2010

• ¡¡¡Felicidades!!! Por la promoción del Mundial de Fútbol 2010

• Departamento de lotería del Mundial de Fútbol 2010

• Notificación final para la lotería del Mundial de Fútbol 2010

• Notificación premiada del Mundial de Fútbol 2010

• Lotería premiada del Mundial de Fútbol 2010

• Oferta de décimo premiado de lotería del Mundial de Fútbol 2010

• Sortero de lotería gratuito del Mundial de Fútbol 2010

• Ganador del sorteo online del Mundial de Fútbol 2010

• Oferta de premio de lotería del Mundial de Fútbol 2010

• Eres el ganador de un décimo de lotería del Mundial de Fútbol 2010

• Eres el ganador de un sorteo promocional de un ordenador gracias al Mundial de Fútbol 2010

• Tu correo electrónico es el ganador de una promoción del Mundial de Fútbol 2010

Señores si recibes un email con alguno de estos asuntos, desconfía siempre. No creas que sabes más que los spammers. No te confíes tras un falso sentimiento de seguridad. No creas que solo por ver el sitio Web - sin intención de dar ninguna información- no te expones al ataque. En algunos casos, estos sitios de phishing son solo una "tapadera" para las páginas que, realmente, tratan de explotar vulnerabilidades zero-day. El mejor consejo en estas situaciones es seguir prácticas seguras y eliminar estos correos electrónicos inmediatamente.

--
Fredy Paternina Matos

10 tips para hacer un plan de seguridad informático

las Pérdidas de datos importantes, robo de contraseñas o desvío de información personal y privada, son sólo algunas de las consecuencias que pueden darse si una empresa no tiene al día sus sistemas de seguridad. Hoy más que nunca, las organizaciones no pueden permitirse el lujo de tener este tipo de pérdidas que merman su productividad y paralizan su actividad. Por este motivo surge la necesidad de disponer de un plan de seguridad que evite este tipo de fallos. A continuación se enumero algunos tips para tener en cuenta. 1. Hacer copias de seguridad: Disponer de un buen backup es uno de los puntos esenciales para evitar que la organizar pierda toda su información ante un siniestro o catástrofe. Las pérdidas de datos pueden darse o por robo, por fallos en el sistema o simplemente, por un error. Si esto ocurre la empresa debe estar preparada y, de ese modo, no tener por qué parar su actividad, o rehacer el trabajo de mucho tiempo. En el mercado abundan soluciones económicas, ya sea en formato de hardware o en la Nube que permiten la automatización de este proceso. 2. Firewall: al igual que no dejamos que entre todo el mundo por nuestra casa, y, por ese motivo, disponemos de una puerta para impedir el paso, es primordial en la empresa contar con un firewall que evite que personas ajenas entre a la red de la empresa, al mismo tiempo que bloquee aquellos accesos no deseados. 3. Antivirus: según expertos, todavía se subestima el gran peligro que corren las empresas con la entrada de virus. De hecho, todos sus sistemas informáticos pueden colapsar debido a los virus con lo que ello conlleva. Por eso, disponer de un antivirus en constante actualización evitará problemas no deseados. Al igual que las soluciones de back up, hay una amplia disponibilidad de soluciones diseñadas para pymes que permiten que la empresa esté protegida ante este tipo de amenaza. 4. Antispam y Filtro web: Lo mismo que ocurre con los virus, ocurre con el spam. Las empresas no están del todo informadas con respecto a los problemas de productividad que acarrean los correos no deseados que llegan a las casillas de los empleados. Existen numerosos estudios que confirman que los empleados de una empresa sin un antispam instalado, puede llegar a perder 28 horas al año eliminando spam, con la pérdida de dinero que esto supone, debido a una reducción de la productividad. Por este motivo, un buen filtro antispam y un flitro web que impida el acceso a páginas webs no deseadas es primordial. 5. Uso racional de Internet: Son también numerosos los estudios que confirman que los empleados navegan en horas de trabajo por páginas que no tienen nada que ver con el cometido de su trabajo. Por eso, es importante que la empresa cuente con unas pautas sobre el uso racional de Internet por parte de los empleados con el fin de evitar el que éstos, además de perder horas de trabajo, puedan acceder a páginas que puedan contener archivos maliciosos. 6. Actualización del sistema operativo y de las aplicaciones: Para un correcto funcionamiento del software que se utiliza en la empresa, es muy conveniente que el sistema operativo de actualice de forma periódica, así como las aplicaciones. 7. Buena política de contraseñas: Utilizar contraseñas demasiado evidentes o fácilmente averiguables puede tener como consecuencia que la información de la empresa esté en riesgo. Por eso, disponer de contraseñas con un alto grado de seguridad y realizar una actualización de las mismas es muy recomendable. De la misma manera, se aconseja informar a los empleados acerca de cómo establecer sus password y buenas prácticas relacionadas con las contraseñas como, por ejemplo, nunca comentárselas a nadie. 8. Soluciones de continuidad: Hay en el mercado diversas soluciones diseñadas para pymes para impedir que, pase lo que pase en la empresa, un incendio, inundación, etc, la firma no pierda su información. 9. Cuidado con los enlaces sospechosos y las descargas de programas maliciosos: Existen miles de correos no deseados que incluyen links nocivos. Para evitar esta situación, además de instalar soluciones que los detecten, es fundamental capacita a los empleados para que no naveguen por páginas que desconocen ni abran adjuntos sospechosos. 10. El Cloud computing privado es más seguro para las empresas: A pesar del desconocimiento actual de las empresas en lo que se refiere al cloud computing en entornos privados, este ofrece enormes ventajas para crear entornos redundantes y con alta disponibilidad a costes muy accesibles. -- Fredy Paternina Matos

Nuevo ataque de malware afecta a más de 1000 páginas web

Según un reportaje publicado en la revista SC Magazine, una nueva ola de ataques masivos ha afectado por lo menos a 1000 páginas web de distintos medios norteamericanos, específicamente varios medios pertenecientes a Wall Street Journal, desde el pasado viernes 11 de junio. Este ataque ha sido registrado por la compañía de seguridad informática Securi Security y consiste en la inyección de código SQL malicioso a los web sites afectados.

Para inyectar el código a los web sites, los atacantes han estado utilizando un poderoso código realizado en lenguaje JavaScript, con el cual cargan malware a las páginas web desde un servidor malicioso, una vez logrado este objetivo, se intenta inyectar este malware a los visitantes de la página web infectada.

La mala noticia es que esta peligrosa modalidad aún esta activa, ya que los atacantes están utilizando diferentes sitios web para hospedar el malware, lo que hace muy difícil el rastreo de éstos, por lo cual se espera que la ola de ataques continúe en los próximos días, aunque ya se están tomando medidas para rastrearlas.

Este ataque ha afectado a una gran cantidad de páginas web de alta rotación en los estados Unidos, entre las cuales podemos destacar: Ameristar.com, la página web de IndustryWeek, la web de La Radio Pública de Chicago, servicewomen.org y Spain-holyday.com.

--
Fredy Paternina Matos

El Mundial es un problema para las empresas

El mundo entero está pendiente del gran torneo de fútbol y esto implica, sin dudas, un impacto negativo. De hecho, spam, ausentismo laboral y colapso de la red son sólo algunos de los inconvenientes que afectan a la productividad de cualquier firma.

Con respecto al ausentismo laboral, una encuesta europea indicó que el ausentismo podría ser del 43%. Por otra parte, se sabe que los ciberdelincuentes aprovecharán el Mundial para extremar el envío masivo de spam, así como la realización de estafas y phising. Según los datos que maneja Symantec, el envío de spam relacionado con la cita mundialista ha aumentado en un 27% entre abril y mayo.

También se está multiplicando el envío de estafas a través de correo electrónico en forma de intentos desesperados por vender entradas y de sorteos falsos para lograr vuelos y alojamiento gratis en Sudáfrica.

Otro punto a tener en cuenta es el colapso de la red. De hecho, el seguimiento masivo de los partidos a través de Internet podrían disminuir la capacidad y el rendimiento de la red, ya que debido a la diferencia horaria muchos de los partidos coincidirán con el horario laboral argentino.

Según Easynet, esta coincidencia “reducirá el rendimiento de las redes, provocando que el correo electrónico y la navegación por Internet sean más lentos y en casos extremos, se produzcan caídas completas del sistema”.

--
Fredy Paternina Matos

10 Fallos de Seguridad en Aplicaciones Web

El proyecto OWASP (Open Web Application Security Project) ha publicado la actualización al año 2010 de su famoso TOP 10 con los mayores riesgos asociados a las aplicaciones web.

En esta nueva edición del TOP 10 se nota como intencionalmente han querido eliminar de la listas algunas vulnerabilidades específicas, para enfocarse más en los riesgos de seguridad que representan estas vulnerabilidades. Este nuevo enfoque sobre riesgos de seguridad en las aplicaciones web tienen por objeto impulsar a las organizaciones, a madurar más la comprensión y gestión de aplicaciones de seguridad a través de su organización.

La OWASP indica que el Top 10 para el 2010 es:

1. Inyección
2. Cross-Site Scripting (XSS)
3. Interrupción de la autenticación y administración de sesiones
4. Referencias de Objetos Directos Inseguros
5. Falsificación de Solicitud Cross-Site (CSRF)
6. La configuración errónea de Seguridad
7. Cifrado de Almacenamiento Inseguro
8. Falla al restringir el acceso URL
9. Insuficiente protección de la capa de transporte
10. Redirecciones sin validar y hacia adelante.

Si necesitan más Información visite al sitio:
Anuncio en la Página Oficial de OWASP

Revisa tu privacidad en Facebook

Desde que se popularizaron las redes sociales, en especial Facebook, los delincuentes lo tienen mas fácil a la hora de crear perfiles para conseguir nuevas víctimas, realizar suplantaciones de identidad y cometer fraudes o delitos en general.

En esta red en particular, se maneja una cultura en la que se invita a tener lo mas publico que se puedan nuestros perfiles, sin importar las consecuencias y los peligros a los que se enfrentan en estas redes, por eso Facebook ha pasado a ser la red social preferida por los delincuentes informáticos.

Afortunadamente existe suficiente documentación y consejos para las personas interesadas en mejorar la privacidad de sus cuentas, ademas de varias herramientas que nos ayudan a determinar qué tan publica es nuestra información, hoy les traigo 2 de ellas.

PrivacyDefender, es una aplicación de Facebook que permite (previa autorización) determinar que tan publica es nuestra información personal en esta red social, para ello, realiza un escaneo de diferentes aspectos en nuestra cuenta (fotos, comentarios, amigos, etc..) y nos muestra de forma gráfica el acceso que tienen los diferentes grupos de usuarios a nuestra información.

Lo interesante de esta aplicación, es que permite arreglar nuestra privacidad al nivel que deseemos, utilizando simplemente una barra donde indicamos el nivel de privacidad deseada en nuestra cuenta y un botón, para que la herramienta nos modifique las opciones en nuestra cuenta automáticamente y nos ponga en ese nivel de privacidad deseado.

Privacy Check es la segunda herramienta de la que hablaremos, básicamente realiza un escaneo de nuestra cuenta (previa autorización) y según la información publica que encuentre y los grupos de usuarios que pueden acceder a ella, nos califica de 1 a 21, donde 1 es la privacidad 0 y 21 la máxima privacidad que podamos tener en Facebook.

A diferencia de PrivacyDefender, Privacy Check, nos permite acceder a toda la información que pudo extraer de nuestra cuenta y nos califica de una forma mucho mas precisa, identificando mas fácilmente en que aspectos de nuestra cuenta estamos fallando con respecto a la privacidad.

Lo que se hecha de menos es alguna opción para que automáticamente configure nuestra privacidad en Facebook, como si lo tiene PrivacyDefender, pero conociendo las falencias en privacidad de nuestra cuenta, es mucho mas sencillo aplicar los consejos especifico para esas fallas que tenemos para tener un poco mas de privacidad en la red.

Posiblemente muchos de los lectores de la comunidad tienen su cuenta en Facebook configurada adecuadamente, pero es muy importante que esta información llegue a manos de familiares o amigos que no saben a lo que se exponen en la red y lo sencillo que es prevenir, con un poco de educación, cualquier inconveniente en estas nuevas herramientas de uso diario, como lo son las redes sociales.
--
Fredy Paternina Matos

Ciberterrorismo, el lado oscuro de la red

Internet, Internet se ha convertido en un vehículo de transmisión de propaganda, datos cifrados y planes de grupos terroristas desde ETA a Al Quaeda. Los autores de atentados como los del 11 de septiembre en Nueva York o el que causó 200 muertos en Madrid, utilizaron la red. Con la llegada de la era digital, la seguridad se juega también en el ciberespacio. Y quienes luchan contra ese lado oscuro, lo saben muy bien. La Secretaria General del CNI, Elena Sánchez ha hablado por primera vez para televisión. Asegura que los ataques contra la seguridad nacional, a través de las redes, son una amenaza lejana, pero real. Hemos estado en el corazón de la lucha contra el ciberterrorismo y hemos comprobado que son muchos los medios y los especialistas que trabajan para que estemos seguros. Aqui les comparto un video de 15 minutos para que saquen sus propias concluciones.

--

Fredy Paternina Matos

SSLStrip – Espiando tráfico SSL

Desde que Moxie Moulinsart mostró su SSLStrip en Blackhat, el MODO PARANOICO de muchas personas quedó encendido y no es para menos, ya que con esta herramienta cualquier persona puede espiar tu trafico SSL sin problemas.

El funcionamiento de SSLStrip es simple, reemplaza todas las peticiones “https://” de una página web por “http://” y luego hacer un MITM entre el servidor y el cliente. La idea es que la víctima y el agresor se comuniquen a través de HTTP, mientras que el atacante y el servidor, se comunican a través de HTTPS con el certificado del servidor. Por lo tanto, el atacante es capaz de ver todo el tráfico en texto plano de la víctima.

A continuación les dejo vídeo, donde podemos apreciar en funcionamiento de esta excelente herramienta.

En resumen, los pasos serian:

1. Configurar IP Forwarding:

echo 1 > /proc/sys/net/ipv4/ip_forward

2. Realizando ataque ARP MITM entre las 2 maquinas:

arpspoof -i eth0 -t VICTIMA HOST

3. Redireccionar trafico con iptables:

iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-ports 8080

4. Iniciar SSLStrip en el puerto utilizado

python sslstrip.py -w archivo

--

Fredy Paternina Matos

Fuente: http://www.thoughtcrime.org/software/sslstrip/

Ejecución de comandos arbitrarios en Microsoft Windows XP y Windows Server 2003

Una vulnerabilidad sin parche que permite ejecutar comandos arbitrarios a través de una URL. El fallo descubierto se halla en Microsoft Windows Help Centre, la aplicación para acceder a la documentación de ayuda.

Dicha aplicación registra un manejador de protocolo con el esquema "hcp://" para acceder a la documentación a través de URLs. Cuando se accede a través de una URL a la documentación, el manejador del nombrado esquema "hcp", añade el parámetro de línea de comandos "/fromhcp" para indicarle a la aplicación del centro de ayuda que el recurso ha sido solicitado desde una URL; restringiendo el uso de parámetros y permitiendo sólo un conjunto de documentos que se encuentran en una lista blanca.

Ormandy ha encontrado un método para evadir esta lista blanca, basado en un error en la implementación de la función que comprueba las URL.

El fallo reside en la función "MPC::HTML::UrlUnescapeW", usada para la normalización y filtrado de la URL antes de ser validada. Dicha función usa a su vez la función "MPC::HexToNum" para convertir los caracteres escapados (p.ej %20 al valor de espacio en blanco) a su correspondiente valor numérico.

Sin entrar en detalles técnicos, básicamente, la función "MPC::HTML::UrlUnescapeW" omite el chequeo del valor de retorno de "MPC::HexToNum", permitiendo envenenar la cadena final y evadir la restricción de lista blanca.

Para proseguir con la explotación Ormandy necesitaba una página de la documentación que cumpliese con varias condiciones, poder ser invocado directamente desde una URL y con un fallo de cross-site scripting que le permitiese incluir una cadena manipulada.

¿Acabó aquí?

Hasta ahora está claro que con una URL con el manejador "hcp://" y apropiadamente manipulada se pueden inyectar comandos, pero cuando se invoca a través del navegador el usuario es advertido y aunque es conocida la incapacidad retentiva de la mayoría para hacer click en aceptar, a Ormandy no le pareció una forma elegante de finalizar con su investigación.

Consiguió un método para evitar la atención del usuario mediante el uso de archivos ASX (Advanced Stream Redirector). Windows Media Player 9 usa estos archivos, con estructura XML, para almacenar listas de reproducción. El navegador invoca el reproductor cuando abre un archivo con extensión ".asx". Entre los valores a incluir en dicho archivo uso el elemento "HTMLView" y le dio como valor una URL hacia una página HTML que contiene, ahora si, la URL maliciosa.

No deja de resultar curioso, en este caso en particular, el encadenamiento de explotaciones y descubrimientos que llevan al investigador desde un punto de intuición hasta la consecución de sus objetivos.
Son vulnerables los sistemas Windows XP y Windows Server 2003.
--
Fredy Paternina Matos
Fuente: http://www.hispasec.com/unaaldia/4247

Consejos para protegerse de las próximas campañas cibercriminales que aprovechan el Mundial de Fútbol

Hoy quiero compartir algunos concejos para protejerse del algunos ataques que generalmente somo victimas al dirigirse algunos sitios.

Para que lo tengan en cuenta, en pleno Campeonato Mundial de Futbol, el ciber-crimen ya ha comenzado a mostrar su interés en aprovecharse del evento, lanzando PDFs maliciosos dirigidos y campañas que sirven malware, blackhat SEO y proposiciones fraudulentas, seguido de estafas con forma de notificaciones de haber ganado la lotería o cartas sobre el tema.

Considerando eso, estas amenazas y tácticas de explotación son proclives a intensificarse a lo largo de todo el evento, repasemos algunos de los vectores de ataque más usados, y discutamos las estrategias de mitigación del riesgo para cada uno.
Las amenazas y los esquemas fraudulentos

La siguiente lista no apunta a ser concluyente, en lugar de eso discutirá las amenazas más persistentes basado en el desempeño histórico de los atacantes maliciosos, y los estafadores en general.

• Ataques de malware dirigido sirviendo explotación del lado-cliente - La combinación del recientemente anunciado fallo de día cero que afecta a los productos de Adobe más populares, y el tamaño global del campeonato Mundial de Fútbol, claramente ofrece al atacante maliciosos la oportunidad de capitalizar el evento. Según Symantec, basado en las campañas analizada desde Abril, los PDFs maliciosos, continúan representando el porcentaje más alto de adjuntos maliciosos - pdf 41%, exe 18%, doc 14%, xls 7#, scr 4%, ppt 1%. Sus conclusiones confirman las conclusiones de un informe relacionado, que indica que las falla de Adobe desactualizados para las cuales hay parches disponibles, representan el 80% de todas las explotaciones de 2009. ¿Qué está impulsando el éxito de estas campañas maliciosas? Con o sin la reciente falla de día cero de Adobe, los atacantes maliciosos se han dado cuenta que solo porque esté disponible un parche, no significa que necesariamente los cientos de miles de usuarios de Internet se está emparchando. Y deberían.
• Estafas de Loterías/419 - Según el Informe de Crimen en Internet 2009 de IC3, los fraudes de pagos por adelantado representan el 9,8% del total de las quejas. El porcentaje naturalmente es mucho más alto debido al número de gente que no informa el fraude. Subestimado en gran parte como una amenaza seria, las estafas de loterías usualmente le cuestan a las víctimas una pequeña fortuna. Y debido que por naturaleza son dirigidos -la mayoría son enviados manualmente y usualmente originados en direcciones IP de África- los estafadores usualmente tienen éxito en engañar a los crédulos usuarios. Una vez que el usuario, ahora una víctima, es enganchado, la "Notificación de Ganador" se transforma lentamente en un fraude de pagos por adelantado, donde con el objetivo de obtener millones que uno nunca ganó realmente, uno necesitará devolver una cantidad aceptable de dinero. No lo haga.
• Campañas Blackhat SEO (Search Engine Optimization) que sirven scareware (software que alerta de peligros inexistentes) - El Blackhat SEO, involucra el proceso de secuestrar la tendencias de las historias del momento en la web, para capitalizar el tráfico secuestrado sirviendo explotaciones de lado cliente, o más comúnmente scareware. Hay una confusión respecto de las campañas blackhat SEO en estos días, hay un gran número de usuarios que piensan que los ciber-criminales monitorean manualmente las tendencias de los temas con el propósito de secuestrarlo. Lo cual no es cierto, ya que el proceso es semi-automático. de hecho en las mayoría de las ocasiones ni siquiera tienen conciencia que están apuntando a cierto tema en particular.
• Ofertas fraudulentas publicitadas con Spam, intentos de phishing - Según el Informe de Crimen en Internet 2009 de IC3, la falta de envío de la mercadería y/o el pago representó el 11,9% de todas las quejas. Además, los estafadores son bien conocidos por llevar registro de las diferentes promociones, las cuales pueden copiar e intentar obtener datos sensibles de los usuarios afectados. Uno de esos ejemplos es la campaña “Go Fans” de Visa - "Los spammers de ejemplos de phishing están dirigidos a la marca Visa, que es uno de los seis socios mundiales de la FIFA. Visa anunció una promoción de oferta "Go Fans" en la cual los poseedores de la tarjeta obtienen una chance de ganar un viaje a Sudáfrica para ver los partidos del Mundial de Fútbol 2010. Concientes del frenesí de los fanáticos involucrados con ver los partidos en vivo del Mundial, los phishers están en el negocio correcto (aunque criminal) de intentar obtener dinero de esto."

Ejemplo de una Estafa de Lotería con tema del Mundial de Fútbol 2010 de la FIFA :

Ejemplo de campaña dirigida, usando archivos Excel maliciosos:

Aqui les dejo las estrategias de mitigación de riesgo

• Ataques de malware dirigido sirviendo explotación del lado del cliente - Con los PDFs maliciosos representando un porcentaje tan alto de las explotaciones usadas, quizás un alternative PDF reader such as the Foxit Reader, merezca ser considerada. Tanto como: cuidar que las aplicaciones de terceros desactualizadas en combinación con NoScript y las cuentas con menos privilegios, o un sandboxing/navegación web aislada, para asegurar que lo que suceda en el sandbox, quede en el sandbox.
• Estafas de Loterías/419 - Aunque el diseño profesional de esos mensajes está mejorando, quizás la estrategia de mitigación más importante, una que ningún proveedor de software le podrá dar, es la falta de credibilidad cuando alguien le dice que uno que acaba de ganar un millón de dólares. No sea ingenuo,y cuando detecte una estafa, considere reportarla..
• Campañas Blackhat SEO (Search Engine Optimization) que sirven scareware (software que alerta de peligros inexistentes) - Los consejos de protección para mitigar las explotaciones del lado cliente que sirven campañas, se aplican completamente a la amenaza del scareware. Por información adicional sobre exactamente cual scareware/rogue es, y sobre como protegerse del mismo, considere examinar esto “La guía final para protegerse del scareware“.
• Ofertas fraudulentas publicitadas con Spam, intentos de phishing - Más allá del hecho que millones de personas admiten que hacen clic e interactuan con correos spam/phishing, estos correos ya no son más 100% orientados al fraude, a menudo son el primer punto de contacto para campañas dirigidas de servir explotaciones del lado-cliente. Por lo tanto, evitar cualquier interacción con ellos, e informarlos como spam, es altamente recomendado.
  

--

Fredy Paternina Matos

Hackeos memorables: Google

En el dia de hoy quiero comentar del último caso de hacking-a-gran-escala mas sonado de todo el 2010, junto con el aparecieron incluso nuevos términos como 'APT', llegó a causar un incidente diplomático entre EEUU y China y finalmente ha creado el rumor mas simpático que se ha escuchado últimamente.
Si, el hackeo a Google fue uno de esos sucesos que ponen el tema de la seguridad informática en primera linea de fuego. Una gran compañía a la que se le presuponen infinitos medios, hackeada.

Pero lo que estàn leyendo este articulo se preguntaràn, ¿Pero como sucedió esto? ¿como se pudo poner de rodillas a todo un Google? Parece que poco a poco los detalles de la investigación se van haciendo públicos. Según un artículo del New York Times, el asunto fue algo mas que 'unos cuantos servidores' e incluso se habla de la posibilidad de que los atacantes consiguieran acceso a Gaia, que es el 'corazón' de la gestión de usuarios en los servicios de Google (una especie de single-sign-on), la herramienta que almacena y gestiona tus contraseñas en los servicios de Google.

Aqui les dejo el How To del hackeo en formato cronológico:

1. Los atacantes, empleando MSN Messenger contactan con un empleado de Google y vía ingeniería social, le hacen llegar un enlace malicioso que contenía un exploit ad-hoc contra IE, este empleado al visualizar el enlace, es infectado por un troyano.
2. Desde ese equipo, consiguen acceder a los servidores de un grupo de desarrollo de 'alto nivel' (con misiones críticas, no que fueran fans de Java, Perl o Python)
3. Una vez se hicieron 'fuertes' en esos servidores fueron directamente a por los repositorios centrales de código en la sede de Google.

Me asaltan un par de dudas: Si llegaron tan 'hasta la cocina' y llegaron a tocar servidores con código en producción, ¿Que ha hecho Google para verificar que no se hayan introducido funcionalidades 'no documentadas' en los servicios? Mas aun, ¿Seguro que no se llegó a comprometer Gaia y algunas / todas las contraseñas?
Saludos.
--
Fredy Paternina Matos

Mundial de Fútbol Sudáfrica 2010 utilizado para propagar malware

Eventos deportivos de gran magnitud como el Mundial de Fútbol Sudáfrica 2010, la final del Roland Garros y los Play-Off de la NBA, generan mucho tráfico de información. Tengan mucho cuidado compañeros de formula, ya que se esta utilizado por los piratas informáticos para realizar ataques e infecciones con código malicioso a millones de ordenadores en todo el mundo, empleando para ello, falsas páginas web que contienen código malicioso y que son bien posicionadas en los buscadores con técnicas conocidas como BlackHat Seo, las cuales, cada día logran perfeccionar más para evitar ser detectados y ubicarse en las mejores posiciones de las búsquedas web.

Como sucede esto; una vez que el usuario ingresa a una de estas falsas páginas web, se descarga un programa malicioso dentro de su ordenador, previa autorización del usuario, que es engañado con algún motivo, por lo general informándole que puede descargar la información directamente a su ordenador, o la instalación de un codec para visualizar un video o la descarga de un falso antivirus. Luego de descargado el programa malicioso, el ordenador del usuario queda completamente a merced del atacante, que de manera remota puede acceder sin inconvenientes al ordenador.

Señores por esta razón, es de vital importancia tener mucho sentido común e ingresar en páginas web especializadas y conocidas, para evitar caer en esta trampa. También es conveniente, evitar descargar aplicaciones que se nos estén ofreciendo, a menos que nos encontremos en las páginas web oficiales de los programas. Además, es recomendable utilizar un antivirus de reputación conocida y mantenerlo actualizado, para prevenir infecciones, ya que muchos de los programas maliciosos pueden evadir sistemas de seguridad haciéndose pasar por programas de uso cotidiano.

--

Fredy Paternina Matos

ZeroDayScan – Detecta problemas de seguridad en tu sitio web en forma gratuita

Después de solicitar la inclusión de un archivo de texto en la raiz de nuestro sitio web, ZeroDayScan realiza una serie de análisis que pretenden detectar problemas de seguridad de varios tipos, desde archivos y directorios ocultos hasta problemas de SQL injection o ataques Cross Site Scripting (XSS).

Con informes generados en PDF, el resultado puede tardar hasta 72 horas en ser enviado por email. Disponen de un blog donde explican las novedades y detalles del proyecto, tendremos que estar atentos…

ZeroDayScan is a revolutionary online web security scanner. It is used by webmasters and security experts to validate security of their websites. Application unique features are:

• No installation is required. It is an online service
• Detects Cross Site Scripting attacks (XSS)
• Detects Hidden Directories and Backup Files
• Looks for Known Security Vulnerabilities
• Searches for SQL Injection Vulnerabilities
• Automatically detects zero day bugs
• Performs Website Fingerprinting
• Generates free PDF reports

--

Fredy Paternina Matos

Conozca 10 sitios para disfrutar el Mundial de Sudáfrica desde Internet

Les comento que una buena maquina y una conexión a Internet son suficientes para tener a la mano la más completa información del Mundial de Suráfrica, el próximo 11 de junio.

Navegando un poco en visto algunos blogs y portales han preparado espacios para dar amplio cubrimiento a las selecciones que participan y a sus jugadores, al igual que ofrecen reseñan aspectos desconocidos del país sede de la cita mundialista, como su gastronomía y cultura.

Los que para la fecha no tengan a mano un televisor con señal de TV podrán ingresar a la Red y buscar qué espacios transmiten los encuentros y cuáles de ellos ofrecen la mejor calidad. Y para los coleccionistas, la Fifa creó un álbum de cromos virtual, similar al físico.

Eltiempo.com y Futbolred.com

Eltiempo.com y Futbolred.com presentan un completo especial con historia de los mundiales, datos sobre Suráfrica y cada ciudad que recibe a las selecciones, al igual que explicaciones de cada equipo y sus características. Cuenta con una herramienta multimedia que permite hacer un pronóstico de qué equipo, según los cálculos del usuario, puede ser el campeón. Además, los portales tienen enviados especiales al torneo, que mostrarán tanto la parte deportiva como cultural del evento.

Señal de TV

En el sitio Justin.tv encontrará partidos en vivo del Mundial si no cuenta con la señal de TV. Desde el navegador de su PC vaya al sitio, dé clic en el botón Live Channels, luego elija Sports y después Soccer. La calidad, por lo general, es buena, aunque en los encuentros más populares puede encontrar problemas al recibir el contenido. Los usuarios de iPhone cuentan con una aplicación que cumple el mismo objetivo.

Cancha llena

Este es uno de los blogs más tradicionales en Argentina (www.canchallena.com), que sigue con detalle a la selección albiceleste. A la sección especial del Mundial se puede acceder desde la dirección www.canchallena.com/mundial-sudafrica-2010. Además, en conjunto con el diario La Nación llevaron a 14 colaboradores quienes, desde diferentes puntos de vista, aportarán a este espacio dedicado especialmente al Mundial.

Juego del mundial

En este juego de administración (www.eljuegodelmundial.com) usted contará con un presupuesto ficticio limitado que le permitirá adquirir jugadores para conformar su equipo. Una vez confeccionada la plantilla, se puede escoger la alineación, jugar y poner a los mejores deportistas sobre el campo.

Juegue en línea

En Fifa-Online podrá descargar el instalador para que tenga en su computador una versión de prueba del mejor videojuego de fútbol disponible en la actualidad. Para disfrutar sin interrupciones el juego y sus excelentes gráficos lo mejor es contar con una conexión a Internet de alta velocidad, así como un sistema con buen poder de cómputo.

Llene un álbum virtual

La Fifa tiene a disposición de los internautas una versión virtual del clásico álbum del Mundial. Para llenar el Álbum de Cromos Virtual de Panini es preciso crear una cuenta en el Club Fifa.com y, de esta manera, es posible comenzar la colección. Lo mejor de todo, no tiene costo.

Una historia mundialista

El diario argentino Clarín creó el sitio Misión Mundial para dar cubrimiento a este evento. Dentro de este espacio hay una serie de capítulos que recrean la historia de Alberto Rizutti, trabajador de una fábrica que debe elegir entre ir al Mundial o quedarse en su país al nacimiento de su hijo. Humor y buenas actuaciones caracterizan esta producción.

El sitio oficial

El espacio oficial en Internet de la Fifa es un completo repositorio de contenido sobre el Mundial de fútbol. Hay noticias, fichas técnicas de los equipos y la competición, información sobre Suráfrica y sus ciudades, al igual que datos interesantes para los que viajan como lugares de alojamiento y medios de transporte. Tiene enlaces a información sobre cada uno de los mundiales realizados desde 1930.

Haga pronósticos

Si tiene cuenta en Facebook, utilice la aplicación Copa del Mundo Suráfrica 2010 para competir con amigos para ver quién sabe más de fútbol, acertando los resultados del Mundial. Funciona por medio de 'coins', que permiten crear grupos de amigos e incluir información de partidos fuera del horario establecido por el juego. Al acertar resultados se obtienen puntos y también al adivinar la cantidad de goles de cada encuentro.

Para teléfonos Nokia

La aplicación Nokia Gol 2010 tiene estadísticas e información detallada de todos los partidos del Mundial, historia de los mundiales, datos de los equipos participantes, actualización instantánea con detalles de los encuentros y alertas de gol durante los partidos, entre otros. Se puede descargar gratis desde la Tienda Ovi y en la dirección http://wap.nokiagol2010.com/.

Buen provecho para los que puedan verse el partido, ya que no podre por mi trabajo.....

--

Fredy Paternina Matos

Los diez mejores antivirus gratis

Saludos!!
Algo que les voy a decir es que es difícil escoger un antivirus, tiene tanta relevancia como escoger incluso un sistema operativo. Es el escudo principal, aquello que no debe fallar porque de lo contrario se siembra el caos en nuestros sistemas. El antivirus ideal para un usuario puede resultar una pesadilla para otro. Aunque no sea posible tomar una decisión definitiva, se pueden hacer recomendaciones y sugerencias, guías para tener en cuenta un producto específico o para darle una segunda mirada si la primera vez lo dejamos pasar. El atractivo de los antivirus gratuitos es innegable. Suelen compartir muchas cosas con sus hermanos comerciales, y aún así ofrecen una protección sólida a un costo cero.

No todos los antivirus gratuitos tienen las mismas funciones, ni las mismas capacidades. Algunos de ellos ni siquiera se mantienen en guardia mientras se utiliza el ordenador, pero otros nada tienen que envidiarle a una solución comercial. Por lo tanto, nos parece acertado colocarlos en escala.

Para mi concepto les dejo los 10 mejores antivirus gratis.... Si falta alguno me lo comentàn.

10) Emsisoft a-squared Free

Algo desconocido y un poco desplazado entre los antivirus gratuitos, a-squared Free apareció en nuestro radar después de cierta asociación con la gente que desarrollo el firewall Online Armor. a-squared posee tanto un antivirus como un anti-malware, por lo que es posible detectar otras clases de bichos. Sin embargo, a-squared es un producto que trabaja por demanda, o sea, no se mantiene residente en el ordenador ni posee capacidades de automatización frente a una amenaza. Como si eso fuera poco, los análisis publicados en su página oficial son obsoletos, y demanda más de 96 MB de descarga, razones más que suficientes para ubicarlo en el décimo lugar sobre diez.

9) ClamWin

La única opción de código abierto en toda la lista, ClamWin está basado en el conocido Clam Antivirus. Durante el tiempo que lo hemos utilizado notamos que la base de datos era actualizada muy frecuentemente, mientras que su demanda de recursos se mantenía extremadamente baja. Por otro lado, ClamWin también trabaja por demanda, ya que carece de un sistema activo de protección. Actualmente existe un proyecto paralelo que agrega dicha función, pero aún no hay novedades en los canales oficiales. Otro detalle de ClamWin es su baja tasa de detección. Hemos consultado varios estudios, y aún se ubica muy lejos de las opciones más robustas, por lo que no tenemos otra opción más que colocarlo en esta posición de la lista.

8) Comodo Antivirus

Comodo es más conocido por su firewall gratuito y por sus soluciones integrales de seguridad, pero también posee un antivirus completamente gratis. Las opiniones sobre este antivirus se mantienen bastante divididas. Por un lado se lo considera como una opción muy sólida, mientras que también se han criticado algunos detalles sobre su demanda de recursos, algo que parece ser una moneda bastante corriente entre el software de Comodo. De acuerdo a nuestra experiencia, los productos Comodo hacen su trabajo, pero no son paladines en eficiencia. Por lo tanto, este lugar en la lista parece ser el adecuado.

7) BitDefender Free

Algunos podrán cuestionar que esta solución gratuita se encuentre en esta posición, siendo en realidad un antivirus manual que sólo puede ser utilizado por demanda. La gente que desarrolla al BitDefender ha dejado la protección automática de forma exclusiva en opciones comerciales, lo cual limita de forma considerable a la edición gratuita. Sin embargo, BitDefender Free comparte el mismo motor de detección que las versiones comerciales, el cual es conocido por ser uno de los mejores del mercado. Esta es una circunstancia de peso que coloca a BitDefender en el séptimo puesto de la lista, de lo contrario habría aparecido un poco más atrás.

6) PC Tools AntiVirus Free

Conocemos mejor a PC Tools a través de su solución comercial, que mantiene un puntaje muy decente entre las mediciones hechas por el estudio independiente AV Comparatives. Al igual que con BitDefender Free, su tasa de detección ha mostrado resultados sólidos, sin embargo, no ha logrado adquirir la popularidad de otras opciones gratuitas. Algunos problemas en versiones anteriores han dejado a PC Tools Free algo manchado, y aunque esto no sucede con su última versión, lo cierto es que hay opciones mejores más adelante en la lista.

5) Panda Cloud AntiVirus

Hemos visto a la edición en la nube del Panda Antivirus muchas veces, y los resultados que hemos obtenido de él son muy interesantes. ¿Por qué entonces está ubicado aquí? No porque sea malo, sino porque los antivirus que están por encima son más completos. El concepto de antivirus en la nube todavía se encuentra en cierta etapa experimental, más allá de que el antivirus ya pueda ser descargado en su versión final. Este es tal vez el mayor punto de resistencia para el Panda Cloud, ya que los usuarios en general están acostumbrados a soluciones locales. Panda Cloud AntiVirus es parte del top 5, y lo es con mérito propio.

4) Microsoft Security Essentials

Nadie creía que Microsoft sería capaz de mantenerse dentro del mercado de los antivirus, después del "percance" sufrido con el ya extinto OneCare. Pero más allá de que Security Essentials aparezca instalado en casi todo ordenador que posea a Windows 7 preinstalado, lo cierto es que ha resultado ser una opción de seguridad gratuita muy interesante. Bastante honesto con su consumo de recursos, Microsoft Security Essentials también ha obtenido una posición significativa en la última prueba de AV Comparatives. Sus únicos dos puntos en contra son la validación WGA y la imposibilidad de desactivar el acceso al servicio SpyNet, algo que mantiene alejados a una cantidad significativa de usuarios.

3) AVG Free

En una época, no habíamos dudado en declararlo la mejor opción en materia de antivirus gratuitos. Ahora, AVG puede mantenerse como uno de los más descargados entre sus competidores, pero sus últimas versiones han causado algunas molestias entre los usuarios. Incluso nosotros hemos tenido ciertos percances de compatibilidad que nos obligaron a quitarlo de algunos ordenadores. AVG Free se ubica en el tercer lugar por su popularidad y porque mantiene una tasa de detección muy similar a la que posee Security Essentials, pero con la ventaja de no necesitar procesos adicionales como la validación de Windows. Está en el top 3, pero tiene espacio para mejorar.

2) Avira AntiVir Free Edition

Determinar esta posición ha sido lo más difícil de todo el artículo. Todos sabemos que Avira es un antivirus extraordinario, y que no dudaríamos en recomendarlo en ningún caso. Utiliza el motor de su versión comercial, con una capacidad de detección superior al 99 por ciento. Es bastante humilde a la hora de demandar recursos, y sus períodos de actualización son razonables. Sólo está el detalle de ese anuncio de publicidad que aparece cada vez que se actualiza, pero puede ser bloqueado fácilmente. Avira no está en el segundo lugar porque tenga algo malo, sino porque hay algo mejor, y es...

1) Avast! Free Antivirus 5

No quedan dudas: La nueva versión 5 de Avast ha arrasado en todos los aspectos. Nueva interfaz, bajo consumo de recursos, excelente tasa de detección, fácil de instalar, un muy sencillo proceso de registro, actualizaciones frecuentes, y algo especialmente importante: Es prácticamente invisible, salvo por la voz que anuncia una actualización finalizada. Avira y Avast son, actualmente, los dos antivirus gratuitos que deberían ser tenidos en cuenta por sobre todos los demás. Sin embargo, es posible buscar razones que coloquen a Avast por encima de Avira. Una de ellas es que el proceso de actualización de Avast es más limpio que el de Avira. Es algo común que los antivirus gratuitos no tengan prioridad a la hora de descargar actualizaciones, pero en Avast esto se nota menos que con Avira. Definitivamente, recomendado.

Como siempre mencionamos en estos casos, este orden no debe ser tomado a rajatabla. Hemos combinado experiencias propias, comentarios de los usuarios y mediciones hechas por terceros para colocar cada antivirus donde está, y aunque estamos seguros de que veremos a algún lector en desacuerdo (es imposible que todos queden conformes), creemos que la distribución final ha sido más que justa. Aún así, esperamos sus comentarios y sus experiencias con alguno de estos antivirus gratis.
¡Buena suerte!

--
Fredy Paternina Matos

Muestra Libro ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

Este libro explica claramente cómo mejorar los servicios de tecnologías de la información (TI) que se prestan al negocio. Se centra en explicar y facilitar la comprensión de las Normas ISO/IEC 20000 con un enfoque práctico, para que su implantación resulte efectiva en cualquier tipo de organización que provea servicios de tecnología, tanto internamente a su organización como externamente al mercado, tanto en grandes organizaciones como en pequeñas o medianas empresas (pymes).

Este libro va dirigido a todos los profesionales del ámbito de las tecnologías de la información y las comunicaciones que estén involucrados en la provisión de servicios. Resultará imprescindible tanto a los responsables de su gestión, como a cualquier otro profesional de TI: dirección, gestores, responsables de procesos, consultores, técnicos, personal de soporte, formadores, profesorado universitario, investigadores, certificadores, auditores, etc.

CONTENIDO: se estructura siguiendo el índice original de la Norma.
- El camino a la excelencia ya existe
- Entender las Normas ISO/IEC 20000
- El Sistema de Gestión del Servicio de TI (SGSTI)
- Planificación e implementación de la gestión del servicio
- Planificación e implementación de nuevos servicios o de servicios modificados
- Procesos de provisión de servicio
- Procesos de relaciones
- Procesos de resolución
- Procesos de control
- Procesos de entrega
- La certificación conforma a ISO/IEC 20000 de la gestión del servicio de TI

Aquí les dejo el Link para que lo descarguen.

Link de descarga.
--
Fredy Paternina Matos

¿Cómo distinguir un sitio web real de uno fraudulento?

En el día de hoy quiero compartir algunos consejos prácticos para tener en cuenta cuando se realizan transacciones por Internet

Hay cuatro sencillas maneras de distinguir entre un sitio web real de otro fraudulento.

La barra de dirección verde: Busque la barra de dirección verde y el nombre de la empresa destacado en verde en la parte superior del navegador. Esos indicadores significan que este sitio pasó por una amplia autenticación de identidad, de manera que usted puede confiar que éste es el sitio que usted piensa ser.

Los https:// Si la dirección del sitio Web empieza con https://, esto significa que las informaciones que usted comparte están encriptadas contra espías en Internet. Nunca inserte los números de su tarjeta de crédito o informaciones personalmente identificables, como su número del Registro de Persona Física en cualquier página que no empiece con https.

Las marcas de confiabilidad: Las populares marcas de confiabilidad pueden indicar cosas importantes sobre un negocio online. Las más importantes marcas de confiabilidad incluyen el Sello de Seguridad VeriSign (seguridad online e identidad de sitio verificada), TRUSTe (privacidad de datos de cliente), y la “Better Business Bureau” (prácticas de negocios), RatePoint (clasificaciones/reseñas del proveedor).

La verificación de la dirección web: Muchos sitios fraudulentos emplean deliberadamente direcciones que son equivocadas o ambiguas para engañar víctimas inocentes, haciéndolas pensar que están en determinado sitio, y en verdad no están. Sospeche de cualquier sitio con dominio desconocido que contenga el nombre de un sitio famoso en la última parte de una dirección de Web. Por ejemplo, si su banco favorito está localizado en www.mibancofavorito.com, entonces usted debe sospechar bastante de un sitio como www.algunotrodominio.com/mibancofavorito.

--

Fredy Paternina Matos