El spam no deja de crecer a nivel mundial

La propagación de los virus informáticos y operaciones de "spam" no cesan de crecer en el mundo. Según el último informe realizado por la empresa Symantec, los mensajes comerciales no deseados se incrementaron 3,3% en agosto de 2010 respecto a julio.

El máximo generador fue EEUU, con 10,7% del "spam" mundial, India (6,8%), Brasil (5,4%) y el Reino Unido (4,5%, aunque duplicando su porcentaje respecto a las cifras de abril).

El temido "Rustock" sigue siendo el gran ejecutor de "spam", ya que se considera que este virus -que controla máquinas ajenas creando redes "zombies" para realizar operaciones automatizadas- envió un 41% de los mensajes.

¿Cómo opera "Rustock"? Es un virus de archivo que funciona en el núcleo del sistema operativo. Durante su funcionamiento, se conecta con un servidor que hospeda programas maliciosos y sitios de grupos de "ciberdelincuentes" y recibe los modelos de los mensajes a propagar. Es muy difícil de descubrir porque "disimula" su presencia y sus actividades.

Una vez infectada, la red zombi de millones de computadoras es capaz de instalar cualquier programa malicioso nuevo en muy poco tiempo.

Al Rustock lo siguen en peligrosidad el Grum (16,3%), el Cutwail (6,9%), el Mega D (5,6%) y el Lethic (2,3%).

Fuente: Ambito

Identificado nuevo spam que utiliza falso antivirus

La compañía de seguridad Sophos ha enviado un mensaje de alerta a sus usuarios, recomendándoles no realizar click a enlaces de e-mails de fuentes desconocidas, ya que actualmente se encuentra en progreso una agresiva campaña de spam contentivo de un código malicioso, disfrazado como un falso antivirus, que infecta a los ordenadores cuando se hace click en enlaces HTML que llegan vía spam y que redireccionan a sites que contienen el mencionado antivirus falso.

Los usuarios son engañados con diferentes tipos de mensajes de spam, los más populares tienen que ver con tarjetas de crédito, teléfonos móviles y distintos tipos de servicios. Este falso antivirus se instala en los ordenadores y emite alarmas con una periodicidad insistente, con un mensaje de infección falso solicitando una cantidad de dinero por limpiar el ordenador, el objetivo es realizar una estafa electrónica, ya que no existe tal malware.

Los mensajes son bastante insistentes y llevan a los usuarios incautos a caer en la estafa, más por el tedioso bombardeo de mensajes que por el temor a tener un peligroso virus en su ordenador. La compañía Sophos ha denominado a la infección por este falso antivirus Mal/FakeAV-EI y el archivo adjunto que contiene el malware lleva por nombre Troj/JSRedir-CH. A continuación, les vamos a dejar un video demostrativo de como funciona esta modalidad de estafa electrónica, que utiliza el spam para lograr su cometido.
--
rompecadenas

Montando nuestro propio proxy web

Seguro que todos hemos usado alguna vez un proxy a través de una web, caracterizados por ser cómodos y funcionar bien. Sin embargo muchas veces para poder usar el servicio plenamente hay que pasar por caja, además de que estamos haciendo uso de algo que nosotros no administramos, por lo que no sabemos si nos están monitorizando, ni qué datos se guardan. La solución a todo esto es montarnos nuestro propio proxy web, y lo podemos hacer programándolo nosotros mismos o usando alguno ya hecho.

PHProxy es un proxy web de código abierto escrito en PHP, y aunque el proyecto está inactivo desde 2007, han surgido otros proyectos que lo mantienen actualizado y lo han mejorado, al final de la entrada están los enlaces.

Tienen la ventaja de que se pueden montar en casi cualquier alojamiento que soporte PHP, incluidos los gratuitos. Una vez subido el funcionamiento es muy sencillo, y hay a nuestra disposición bastantes opciones de navegación y de ofuscación / codificación.

Además, si nuestro servidor admite HTTPS podemos cifrar el tráfico en ese tramo, lo que nos añade una capa de privacidad muy interesante.

Todos los proyectos son muy personalizables, y tienen más opciones que se pueden administrar de forma muy sencilla modificando el código fuente. Si quereis probarlo sin instalarlo, a poco que busqueis en google encontrareis varias páginas donde está disponible (muchas veces personalizado, y/o con publicidad).

Enlaces a los proyectos:

[+] PHProxy

[+] phpr0xy

[+] a2freedom
--
Por: Seguinfcol

Un pen drive provocó el mayor ataque a computadoras militares de EE.UU

El subsecretario de Defensa William Lynn confirmó que en 2008 sus sistemas informáticos sufrieron una infiltración originada por el uso de una llave de memoria con virus.

La infiltración más grave de las computadoras militares de Estados Unidos fue causada por una tarjeta de memoria insertada en un ordenador portátil en el Oriente Medio en 2008, según el subsecretario de Defensa, William Lynn.

En un artículo que publica en la revista Foreign Affaire, el alto cargo del Pentágono señala que un "código malicioso, colocado en una computadora portátil por una agencia de inteligencia extranjera descargó su programa en una red administrada por el Mando Central militar de Estados Unidos".
El Mando Central, que tiene su sede en Tampa, Florida, supervisa las operaciones militares desde el Mar Rojo al Golfo y el sur de Asia hasta Pakistán. La intrusión se se hizo efectiva cuando se utilizó un pen drive en una computadora portátil.

"Ese código se propagó, sin que fuera detectado, en sistemas que manejan material secreto y no secreto y estableció un acceso desde el cual se pudo transferir información a servidores bajo control extranjero", escribió Lynn.

El funcionario describió la infiltración como "la peor pesadilla de un administrador de red: un programa que opera en silencio y se dedica a entregar los planes de operaciones a un adversario desconocido".
Según el artículo las 15.000 redes y los 7 millones de ordenadores, discos de memoria y servidores del Pentágono reciben cada día miles de ataques , y a diferencia de lo que ocurría durante la Guerra Fría, en el presente es difícil la identificación del atacante.

En su artículo Lynn da nuevos detalles acerca de la estrategia cibernética del Pentágono incluido el desarrollo de nuevos métodos para descubrir a los intrusos en la red

El artículo de Lynn es el primero que divulga, oficialmente, detalles sobre el incidente en 2008. En ese año, un artículo del diario The Los Angeles Times, que citaba a funcionarios del Pentágono no identificados, indicó que el ataque podría haberse originado en Rusia.

Fuente: La Nación

Descubren primer rootkit dirigido a Windows 64-bit

El 'rootkit' Alureon está de vuelta, y ha adquirido la habilidad de secuestrar computadoras que corren versiones de 64 bits de Microsoft Windows, declaró Marco Giuliani, investigador de seguridad de la compañía de seguridad Prevx.

Alureon (conocido también como TDL y Tidserv) ha conseguido mucha atención en febrero cuando se descubrió que estaba detrás de las caídas de sistemas que sucedían después que usuarios infectados intentaban actualizar su SO Windows.

Parece que en aquel momento, el rootkit fue incapaz de superar las características de seguridad que hacen a las versiones 64 bits de Windows Vista y 7 más seguro que sus contrapartes de 32 bits - a saber el Firmado de Código de Modo Kernel (Kernel Mode Code Signing) y la Protección de Parches de Kernel (Kernel Patch Protection).

El Firmado de Código de Modo Kernel no permite que drivers no firmados digitalmente accedan a la región de memoria del núcleo (y los rootkits de modo kernel a menudo no lo están), y la Protección de Parches de Kernel impide que los drivers de modo kernel puedan modificar áreas sensibles del núcleo de Windows. Pero ambos mecanismos de protección obviamente pueden ser superados por esta nueva versión de Alureon, que emparcha el Master Boot Record para poder interceptar las rutinas de inicio de Windows y luego cargar su driver.

"El rootkit necesita privilegios administrativos para infectar el Master Boot Record. Aún así, no puede cargar sus propio driver compatible de 64 bits debido a la seguridad del kernel de Windows. Entonces, fuerza a Windows a reiniciar inmediatamente. De esta forma el MBR emparchado puede hacer el trabajo sucio," dice Giuliani.

Bien, reiniciando Windows "por si mismo" de esta forma, me parece un buen signo para comenzar a preocuparse.

Giuliani también señala que este no es el primer rootkit capaz de pasar esos bloqueos de seguridad - un bootkit denominado Whistler ha sido señalado siendo ofrecido en venta en varios mercados negros hace algún tiempo - pero esta es la primera vez que un rootkit así ha sido detectado libre en uso. Según él, la era de los rootkits x64 ha comenzado oficialmente.

Mas información en Technet, Malware Protection Center: Alureon Evoluciona a 64 bit

Creadores de virus que envían sus programas a Microsoft

Según Rocky Heckman, arquitecto de seguridad de Microsoft, cuando a un creador de virus sufre un fallo de sistema mientras está probando su programa, no es raro que, por accidente, envíe ese código a Microsoft.

Cuando Windows sufre un fallo de funcionamiento, muestra una ventana de diálogo donde nos invita a enviar a Microsoft un volcado de memoria para analizar el fallo y descubrir el problema. Si el causante del fallo es un programa que estamos desarrollando, el volcado enviado incluirá nuestro programa. ¿Y que ocurre si somos desarrolladores de virus y el programa que estamos desarrollando es justamente un virus? Pues que Microsoft recibirá una copia de nuestro nuevo y flamante malware.

En la conferencia Microsoft Tech Ed.2010 Heckman explico que, cuando aparece esta ventana, muchos piratas se equivocan y pulsan "enviar", con lo que Microsoft recibe gran cantidad de muestras de virus que todavía no han sido lanzados; "es asombrosa la cantidad de material que recibimos", ha declarado.

En esta conferencia Heckman también ha detallado cuales son los tipos de ataque mas usuales que utilizan los piratas, estadística que ha podido elaborar gracias a la gran cantidad de ataques que sufre Microsoft. Según Heckman, el primer sitio que ataca un script kiddie es la web de Microsoft; la consecuencia es que microsoft.com recibe entre 7.000 y 9.000 ataques por segundo.

Según Heckman, desde hace seis años los tipos de ataque mas usados son cross site scripting y SQL injection. Que la técnica no haya variado en tanto tiempo Heckman lo atribuye a dos motivos; el primero, que los piratas prefieren los métodos conocidos, y segundo, que los desarrolladores no escuchan. Heckman insiste en que cualquier dato que se reciba del usuario debe ser considerado dañino mientras no se demuestre lo contrario. FUENTE: ZDnet.

Fuente: Teleobjetivo.org

PHARMING ??

¿Qué es el ‘pharming’?

Es una variante del ‘phishing’ ( del inglés fishing - pescar) a la suplantación de identidad (en Internet, pero también por teléfono) que persigue apropiarse de datos confidenciales de los usuarios. En la Red se utiliza el envío masivo de correos electrónicos que aparentemente están vacíos pero que al visualizarlos por el consumidor se ejecuta un programa informático malicioso que tiene por objetivo final la captura y obtención de las claves bancarias del consumidor.

Expertos policiales en delitos informáticos han alertado en los últimos días de este tipo de esta nueva versión de timo para obtener datos financieros del consumidor.

Esta nueva variente de phishing, más sofisticada y peligrosa, consiste en que el usuario ejecuta un programa informático que viene insertado en un correo electrónico y que se ejecuta cuando abrimos dicho correo. Dicho programa informático manipulan los archivos de dominio que utiliza el consumidor para abrir las página web de su entidad financiera. De forma que cuando teclea en la barra de direcciones de explorador web la dirección de la página de la entidad, el consumidor, sin percatarse, no habre la página real de su banco sino una página web idéntica o muy similar a la de su entidad financiera.

Una vez el consumidor entra en esta página web falsa, se le solicitan sus datos personales y/o bancarios (número de cuentas corrientes, claves, números de tarjetas de crédito, etc.), que quedan en poder de los delicuentes para su delictivo uso (cargos a su cuenta o compras).

El Anti-Phishing Working Group, organización creada en EEUU para combatir este fraude, asegura que el número y sofisticación del ‘phishing’ enviado a los consumidores se está incrementando de forma dramática y que “aunque la banca online y el comercio electrónico son muy seguros, como norma general hay que ser muy cuidadoso a la hora de facilitar información personal a través de Internet”.

Un fraude enorme y en aumento

El ‘phishing’ es, junto a los programas espía , una de las técnicas más empleadas por los ciberdelincuentes para apropiarse de información confidencial a través de Internet.

Existe una gran variedad de mensajes fraudulentos, en algunos de los cuales no es difícil caer . Últimamente, como los consumidores ya están sobre aviso, muchos de los correos ‘phishing’ advierten de intrusiones no autorizadas en las cuentas de usuario, exhortando a las potenciales víctimas a confirmar su identidad para solventar el problema. Según APWG, secuestrando marcas conocidas de bancos, tiendas online y compañías de tarjetas de crédito, los phishers son capaces de convencer a un 5% de los receptores de sus mensajes.

¿Cómo evitarlo?

A pesar del elevado número de víctimas de este fraude, para no caer en él bastaría con saber que ningún banco lleva a cabo tareas de verificación de las cuentas usuario o de cualquier otro tipo de datos personales mediante el correo electrónico. Además, los mensajes falsos suelen pecar de excesiva vehemencia, ‘amenazando’ a los usuarios con graves consecuencias si no responden cuanto antes —las páginas web falsas duran muy pocos días para no ser localizadas—, algo insólito en el trato a los clientes. Aun así, dada la creciente sofisticación de este fraude, no está de más tener en cuenta algunos consejos ofrecidos por MailFrontier y Anti-Phishing Working Group para reconocer y rechazar los mensajes fraudulentos:

1. Mirar con atención cualquier mensaje que solicite información financiera:
   • Tener presente a las compañías con las que se tiene alguna relación.
   • A no ser que vaya firmado digitalmente, no se puede estar seguro de que no sea falso.
   • Considerar si el asunto y la redacción del mensaje son propios de la entidad que pretende representar.
   • Los falsos emails incluyen mensajes alarmantes para hacer reaccionar al usuario, y requieren información como el nombre de usuario, contraseña o número de la tarjeta de crédito.
   • Normalmente no son personalizados, al contrario que los mensajes legítimos de cualquier compañía.
2. Si se sospecha del mensaje, no utilizar el enlace que incluye para acceder a una página web (al colocar el ratón sobre el enlace se puede comprobar si la dirección a la que apunta es en realidad la que pretende ser o es sólo parecida). En lugar de esto, llamar por teléfono a la compañía o acceder al sitio web tecleando la dirección en el navegador.
3. Evitar rellenar los formularios que incluyen los email: sólo se debe comunicar información sensible a través del teléfono o mediante un sitio web seguro. En los sitios seguros la dirección comienza por ‘https://’ y en la parte de abajo del navegador aparece un candado cerrado o una llave. Al pinchar sobre el candado se muestran los datos del certificado de autenticidad, que deben coincidir con los de la página visitada.
4. Considerar la instalación de una barra para el navegador que proteja de los sitios falsos.
5. Entrar regularmente en el banco online para comprobar el estado de las cuentas.
6. Instalar la última versión del navegador utilizado, así como las actualizaciones de seguridad.

--
Seguninfcol

Pharming a través de Facebook

por: malware/unam-cert

En días pasados recibimos un correo electrónico que invitaba al usuario a descargar y ver un comentario típico de Facebook.

Al visitar la liga vemos que es de una empresa que ofrece libros por internet, seguramente han vulnerado su servidor y han alojado malware en él, creando una carpeta llamada System32 donde fueron colocados un archivo ejecutable (facebookcomment.exe) y un archivo html (index.html).

www.xxxx.com/carro/img/system32

|-- facebookcomment.exe

-- index.html

El ejecutable fue analizado con motores antivirus y apenas fue detectado por dos firmas.

Al hacer un análisis de cadenas, nos percatamos que no se encuentra ofuscado y que fue programado en Visual Basic, un proyecto que el mismo autor llamó pharming.

Al ejecutar el malware en el laboratorio, crea un proceso llamado facebook.exe,

Posteriormente, comienza a conectarse a un sitio de España y descarga una cookie, aproximadamente cada 3 minutos. La cookie se aloja en los archivos temporales de internet.

Crea y aloja en la carpeta System32 un archivo llamado updmnngr.exe.

El tráfico capturado por el sniffer muestra que de dicho sitio en España, trae consigo las cadenas que serán sustituidas en el archivo de hosts.

El archivo de hosts igualmente se encuentra modificándose continuamente, quedando con la siguiente información.

El malware deja abierto el puerto 1320 UDP, posiblemente pueda ser una puerta trasera.

El malware se agrega a la llave de registro updmnngr que hace referencia al archivo que colocó en System32, para poder garantizar su ejecución en cada inicio de sistema.

Comprobamos los sitios phishing a donde hacía referencia y todos se encontraban activos.

Fuente: Proyecto Malware - UNAM CERT

Un grupo de hackers consiguió desbloquear la consola PlayStation 3

Era la única que aún no podía leer juegos copiados. Sony intenta bloquear su uso.

Un grupo de hackers autodenominado PS Jailbreak ya está vendiendo una memoria USB que desbloquea a la consola de Sony PlayStation 3 (PS3). Gracias a esta herramienta informática, la PS3 podría leer juegos copiados o piratas.

Hasta ahora, la PS3 era la única consola que interpretaba juegos originales solamente. Tanto su antecesora, la PlayStation 2, como la Xbox 360 (de Microsoft) y la Wii (de Nintendo) ya podían leer juegos copiados.

El “blindaje” de la PS3 no sólo se basaba en una cuestión de seguridad técnica. La barrera más difícil de atravesar por los hackers tenía que ver con costos. Ocurre que la PS3 lee discos originales Blu-ray, de última generación y que albergan 25 o 50 GB de información. Y tanto los discos Blu-ray vírgenes (para grabar las copias) como las grabadoras de esos discos, tienen precios altos. Este escenario hizo que los hackers no trabajen en desbloquear el lector de discos de la PS3. ¿Para qué hacerlo si el costo de un juego pirata sería altísimo? Así las cosas, el grupo PS Jailbreak fue por la retaguardia y forzó la Play 3 con una simple memoria USB. Esta contiene una herramienta (dongle, en la jerga) capaz de modificar la consola de manera que los usuarios puedan instalarle juegos a su disco rígido y correrlos desde allí, sin necesidad de usar discos Blu-ray. Esta llave informática ya se consigue en Internet a 170 dólares.

Según los creadores del Jailbreak, su método resulta seguro para usar la Play 3 en Playstation Network, la red de juegos online de Sony. Pero según trascendió esto no sería tan efectivo debido a que en la compañía japonesa ya habrían identificado el ID del Backup Manager utilizado por el PS Jailbreak. En criollo, esto significa que Sony podrá identificar a quienes tengan este soft instalado y como reprimenda les bloquearían el acceso a su red, es decir no los dejarían jugar online. Pero el mundo off line (jugar contra la máquina o contra amigos, pero en casa) sigue siendo más grande que el online. La Xbox más vendida en los sitios de subastas de Internet argentinos es la Arcade, una versión que al no tener rígido, no está pensada para albergar los juegos que se ofrecen en el sitio oficial de la consola. Como la Play 2, es una “consola off line”, como lo va a ser la PS3 con el nuevo Jailbreak.

Fuente: Clarin

Miles de routers domésticos vulnerables

El experto de seguridad Craig Heffner, uno de los ponentes de la Black Hat de este año, demostró una forma de vulnerar miles de routers domésticos. ¿El secreto? DNS Rebinding y una vulnerabilidad extendida en la gran mayoría de routers SOHO.

La técnica conocida como DNS Rebinding ha sido ampliamente conocida durante años para acceder a equipos internos de una LAN utilizando únicamente el navegador, JavaScript y respuestas DNS especialmente construidas. Esto no es nada nuevo hoy en día, pero si le añadimos el desliz de algunos de los fabricantes de routers domésticos en la gestión que hacen de sus conexiones y reglas Firewall, el resultado puede ser sorprendente. Este fue el tema principal de Craig Heffner en la BlackHat de este año y cuyo Whitepaper podéis encontrar en la página oficial de la Defcon.

• Parte 1 en INTECO-CERT
• Parte 2 en INTECO-CERT

Videos: Los detectives de delitos informaticos

Los temas más importantes vinculados con la seguridad informática, son abordadas por expertos profesionales y grandes investigadores del tema (aunque estos sean virtuales):

• Introducción
• Los cambios y la revolución de la informática
• Conceptualización y generalidades de delitos informáticos
• Sabojate Informático
• Delitos Informáticos

Puede ver todos los capítulos de esta serie en los siguientes links: Parte 1, Parte 2, Parte 3, Parte 4 y Parte 5.

Google soluciona 10 vulnerabilidades en Chrome

Ayer jueves Google ha parcheado 10 vulnerabilidades en Chrome y terminó pagando más de 10.000 dolares en recompensas según su plan de abonar distinta cantidad según el grado de importancia de la vulnerabilidad.

Google no divulgó los detalles de las vulnerabilidades y, como es su costumbre, bloquearon el acceso público a su base de datos de seguimiento de bugs por 2 meses, una práctica destinada a evitar que los atacantes utilicen esa información de manera dañina. Mozilla desde hace un tiempo también hace lo mismo pero Microsoft no lo hace.

De las 10 vulnerabilidades, dos quiás podrían explotar errores archivos de imágenes SVG. Otros podrían ser utilizadas para falsificar el contenido de la barra de direcciones o revelar contraseñas.

Según el Blog de Google, también agregaron un work-around (solución temporal) para un error crítico en código que no es de Google pudiendo corresponderse con las actualizaciones lanzadas estos meses por Microsoft.
--

http://seguinfcol.blogspot.com

Un nuevo gusano de mensajería instantánea se arrastra por Latinoamérica

Rusia, China y Brasil siempre están presentes cuando hablamos de los países con más programas maliciosos activos. Pero un nuevo país latinoamericano está comenzando a abrirse paso entre los cinco primeros: México.

En nuestro análisis mensual de virus en Latinoamérica, publicado en Viruslist y Threatpost, ya mencionamos que México es conocido por producir redes zombie locales.

El 21 de agosto detectamos un nuevo gusano que se propaga mediante todos los programas de mensajería instantánea más populares, incluyendo Skype, G Talk, Yahoo Messenger y Live MSN Messenger. Bautizamos esta amenaza como “IM-Worm.Win32.Zeroll.a”.

El gusano “habla” 13 idiomas, incluyendo castellano y portugués, y detecta el idioma que se está usando en Windows para escoger cuál utilizar. Algunas características demuestran que fue creado en México: Está escrito en Visual Basic y su servidor de administración y control está en un canal IRC (un método antiguo de las redes zombi que los programadores mexicanos reciclaron).

Nuestras estadísticas, basadas en los datos de KSN, muestran que las mayores infecciones se detectaron en México y Brasil.

Parece que los cibercriminales que crearon el gusano todavía cursan la primera etapa del crimen: infectar tantos ordenadores como puedan para poder tener “buenas ofertas” para otros cibercriminales: propagar spam, cobrar por instalar malware, etc.

Vale la pena mencionar que solo tres programas antivirus (entre ellos Kaspersky) detectan la amenaza.

Autor: Dmitry Bestúzhev
Fuente: Viruslist

Detuvieron a hombre por violar a menor que conoció en Facebook

Un hombre de 26 años fue detenido anoche por la Policía Federal en el barrio porteño de Floresta, acusado de haber sometido sexualmente a una chica de 14 años a la que había conocido a través de la red social Facebook.

La detención del internauta violador, apodado "Freddy", fue realizada por detectives de la División Delitos Contra la Salud de la Superintendencia de Investigaciones Federales, tras establecer que el abuso ocurrió en hace cuatro meses en la casa del detenido, en Olivera al 100, informaron fuentes policiales.

El caso se descubrió tras la denuncia efectuada por la madre de la víctima en la comisaría 40a. después de que su hija, llorando, le contara lo sucedido, dos días después de que ocurriera.

En ese momento intervino el Juzgado Nacional en lo Criminal de Instrucción 21 a cargo de Mauricio Zamudio, ante la secretaría 165, que caratuló la causa como "violación de menor de edad" y encomendó la investigación a la División de Delitos Contra La Salud de la Policía Federal.

Los investigadores iniciaron las averiguaciones y se embarcaron en pacientes tareas técnicas con las correspondientes diligencias para obtener los contactos en la red social, como así también los registros telefónicos del acusado.

Fue así que los pesquisas constataron que el acusado captó a la víctima a través de Facebook, y se hizo pasar por un joven estudiante y aficionado a la cocina internacional.

Indagando costumbres, edad y gustos de su futura víctima, Freddy logró de a poco capturar el interés de la adolescente para luego convenir un encuentro que en realidad era una trampa.

Según fuentes del caso el internauta comenzó charlando sobre la actualidad musical y luego incursionó en recetas de cocina, tema que más dominaba, y fue sugiriendo a la chica que aprendiera recetas para elaborar una gran variedad de platos internacionales económicos, de fácil realización.

Luego de varias comunicaciones por Facebook, Freddy propuso a la chica un encuentro en el centro comercial de Villa Devoto para entregarle unas carpetas con recetarios. Seguidamente, le propuso ir a su departamento a pocas cuadras del lugar, para practicar en la cocina. Una vez en el lugar, se abalanzó sobre la joven y la sometió sexualmente.

El acusado fue trasladado a la alcaldía de la Superintendencia de Investigaciones de Villa Lugano desde donde fue puesto a Disposición del juzgado interventor.

Fuente: Ambito

Spammers propagan un video falso del rescate de mineros en Chile

Los spammers han recurrido una vez más a uno de los trucos más viejos del mundo del spam: explotar las noticias más populares del momento para tentar a los usuarios con sus correos maliciosos.

Esta vez, los cibercriminales están sacando provecho de la tragedia de los mineros de la mina San José en Copiapó, Chile, que quedaron atrapados a 700 metros de profundidad a causa de un derrumbe ocurrido el 5 de agosto.

Los spammers están enviando correos maliciosos con asuntos como “Exclusivo video de Rescate Mineros Copiapó”, y ofrecen a los usuarios que pulsen en un enlace para ver las imágenes del rescate.

Para agregar credibilidad, el remitente de los correos se hace pasar por populares agencias de noticias chilenas como Chilevisión, Canal 13 o TVN.

Por desgracia, estas imágenes no existen, porque los 33 mineros todavía siguen atrapados, pero los spammers inventaron esta noticia para atraer la atención de la gran cantidad de gente que sigue este suceso.

El correo en realidad está diseñado para infectar, con un programa nocivo, a los usuarios que pulsen en el enlace del mensaje.

Aunque hace pocos días se estableció contacto con los mineros y se descubrió que todos habían sobrevivido, se calcula que tomará entre uno y tres meses rescatar a las 33 personas atrapadas en las minas de San José.
Fuentes:
Virus engaña con supuestas fotos del rescate minero CNN Chile
Virus se esconde como falso video de rescate de mineros Terra Chile

Autor: Gabriela Villarreal
Fuente: Viruslist

El virus más peligroso de la red es el phishing

El virus más peligroso de la red es el phishing
Autor: Germán Isaac

Consiste en el envío de mails fraudulentos para burlar a los consumidores de modo que que revelen sus números de tarjetas de crédito, y otros datos particulares, muchas veces llevan al usuario a páginas web que simulan ser las de un banco conocido. Más allá de que experimentó un leve descanso, el phishing continúa al frente del listado de los más trascendentales peligros de la red en el transcurso del último mes de septiembre.

Siguiendo con el ranking de programas peligrosos, en segundo espacio se sitúa el código maligno Brontok, en la edición A,. Este tipo de alerta fue la primera variante del grupo, y es el virus y troyano backdoor con la habilidad de reproducirse mediante mail y de medios compartidos de redes no aseguradas con firewalls y otras medidas oportunas.

El troyano Swizzor, que estuvo a principios de año y durante muchos meses en la primera posición, consiguió el 3er espacio con el 2.69 por ciento, pero a lo largo de pasados dos meses había mermó notablemente su divulgación.

Esta alerta es un virus de tipo troyano que es capaz de ser obtenido por ciertos sitios Web y/o enviado de modo masivo por mail.

Luego le siguen Win32/Netsky.Q, con el 2.14, y el Brontok.B ocupa la 5ta ubicación.

Cambiar Password de Switch CISCO

Es muy común a nivel educativo que se compartan varias personas los diferentes dispositivos utilizados en clase, casi nunca utilizamos el mismo dispositivo para todas las clases, es por eso que un problema que se presenta con frecuencia en estas clases es la de no conocer las claves de acceso que le asigno la persona anterior a estos dispositivos.

En este articulo se explicara paso a paso y de manera sencilla, como eliminar la contraseña de los switch CISCO para asignar una nueva y poder trabajar con el.

Pasos previos a la recuperacion del password en un switch CISCO:

• Conecte un terminal o un PC con un emulador de terminal (por ejemplo, Hyper Terminal) para el puerto de consola del conmutador
• Ajuste la velocidad de línea en el software de emulación a 9600 baudios.
• Desconecte el interruptor cable de alimentación.
• Pulse el botón de modo y al mismo tiempo conecte el cable de alimentación al interruptor.
• Puede soltar el botón de modo de un segundo o dos después de que el LED por encima del puerto 1X se apaga. Varias líneas de información sobre el software aparecen con instrucciones, informar si el procedimiento de recuperación de contraseña se ha inhabilitado o no.

Si aparece un mensaje que empieza con esto:

El sistema ha sido interrumpido antes de inicializar el sistema de archivos flash.

Escriba Los siguientes comandos al inicializar el sistema de archivos flash

El sistema ha sido interrumpido antes de inicializar el sistema de archivos flash.

Los siguientes comandos inicializar el sistema de archivos flash, y terminar de cargar el sistema operativo

software:

flash_init

load_helper

boot

1). Iniciar el sistema de archivos flash:

switch#flash_init

2). Paso siguiente escribimos switch#load_helper Cargar archivos de cualquier ayuda

3). Mostrar el contenido de la memoria Flash:

Switch# dir flash:

3 drwx         10176       Mar 01 2001 00:04:34 HTML
6  -rwx        2343           Mar 01 2001 03:18:16  config.text
171  -rwx     1667997    Mar 01 2001 00:02:39  c2950-i6q412-mz.121-14.EA1.bin
7  -rwx        3060           Mar 01 2001 00:14:20  vlan.dat
172  -rwx         100        Mar 01 2001 00:02:54  env_vars
7741440 bytes total (3884509 bytes free)

No olvidemos colocarle los dos puntos al final del comando

4). Cambie el nombre del archivo de configuración para config.text.old.

Este archivo contiene la contraseña definida.

Switch# rename flash: config.text flash: config.text.old
5). Boot al sistema

Switch# boot 

6). Se le pedirá que inicie el programa de instalación. Introduzca el N en el símbolo del sistema:

Continue with the configuration dialog? [yes/no]: N

7). ingrese el modo EXEC privilegiado:

Switch> enable

8). Cambie el nombre del archivo de configuración a su nombre original:

Switch# rename flash:config.text.old flash:config.text

9). Copie el archivo de configuración en la memoria:

Switch# copy flash:config.text system:running-config

Source filename [config.text]?

Destination filename [running-config]?

10). Entre en el modo de configuración global

Switch# configure terminal

11). Cambie la contraseña

Switch (config)# enable secret password

Recordemos que donde se encuentra la palabra password digitamos la contraseña que deseamos, la contraseña puede ser de 1 a 25 caracteres alfanuméricos, puede empezar con un número, es sensible a mayúsculas y minúsculas, y permite los espacios pero hace caso omiso de ellos.

12). Retornamos al modo exec privilegiado

Switch (config)# exit 

Switch#

13). Escriba la dirección a la configuración de inicio archivo de configuración:

Switch# copy running-config startup-config

La nueva contraseña se encuentra ahora en la configuración de inicio.
--
Por: http://seguinfcol.blogspot.com
salu2

Resetear Password de Root

En nuestra comunidad ya hemos visto como resetear contraseña de root utilizando GRUB, también hemos visto como evitar que otras personas cambien tu contraseña por este medio, pero siempre es bueno tener en video todos estos contenidos estáticos, para una mejor compresión. Por eso les dejo estos 2 videos que encontré en el blog del Instituto Tecnológico de Sonora, donde realizan el reseteo de la contraseña root en 2 distribuciones bastante populares, CentOS y Ubuntu.

Resetear Password de Root en CentOS

Este método es valido también para cualquier distribución basada en RedHat, si deseas descargar el video, click aquí

Resetear Password de Root en Ubuntu

.

Este método es valido también para cualquier distribución basada en Debian, si deseas descargar el video, click aquí

En nuestro articulo “Resetear contraseña de root con GRUB“, explicamos en detalle como cambiar la clave de tu usuario root o si lo deseas como eliminar esta clave, recuerda que si quieres configurar adecuadamente tu GRUB para que no se pueda realizar este procedimiento, en nuestra comunidad existe un articulo que hablar sobre ello.
--
dragonjar

Googlear famosos en la web, algo muy peligroso

Seguramente en más de una oportunidad, muchos de nosotros hemos buscado imágenes o información sobre algunos famosos a través de Internet. Pero esto puede llegar a ser algo bastante peligroso para nuestra computadora, si no se tiene cuidado en el sitio al que se ingresa.

En una reciente lista publicada por el fabricante de software McAfee, se establece cuáles son las celebridades más utilizadas por los ciber-delincuentes para atraer la atención de las posibles víctimas y que ingresen a una Web maliciosa.

Cameron Díaz y Julia Roberts se encuentran en los primeros dos lugares en este listado, de manera que se convirtieron en las “más peligrosas” en el momento de googlear en Internet ya que bajo sus nombres se encuentran la mayoría de los sitios falsos. Al buscar el nombre de Camaeron Díaz, que está al frente del ranking, hay un 19% de probabilidades de que el usuario ingrese a una página peligrosa o que se descarguen alguna imagen con algún malware.

Si bien están al frente, no son las únicas. Los que siguen en el listado son: Jessica Biel (la modelo que el año pasado estuvo en primer lugar), la modelo brasileña Gisele Bundchen y el actor Brad Pitt con quien completan los primeros cinco puestos. Le siguen, con menores porcentajes, Adriana Lima, las actrices Nicole Kidman y Jennifer Love Hewitt, el actor Tom Cruise, la modelo alemana Heidi Klum que empata con la actriz española Penélope Cruz y, llegando al número diez del listado, se encuentra la actriz Anna Paquin.

Para tener en cuenta es que una vez que se ingresa a esta Web maliciosa, el delincuente puede controlar la PC de la víctima y robar información personal como por ejemplo contraseñas de cuentas bancarias o de cuentas de correo.
--
rompecadenas

Comprueba el nivel de seguridad de Windows con Security Analyzer

La seguridad de nuestro sistema operativo debe ser una de nuestras principales preocupaciones. Tener todas las variables controladas para que no nos tomen por sorpresa tiene que ser una constante en nuestras tareas del día a día.

Security Analyzer es una aplicación de ITknowledge24.com que facilita la tarea de controlar todas las protecciones de nuestro sistema operativo, mirar cuáles están activas y el nivel de seguridad. Esta pequeña aplicación reúne, bajo una interfaz, un conjunto de controles de seguridad que la mayoría de los usuarios deben tener presente y conocer su estado en Windows.

Security Analyzer da un valor sobre la protección de cada herramienta de seguridad, lo cual ayuda a determinar si nuestro PC está seguro o no, y luego nos da algunas opciones de acciones a tomar con el fin de proteger el PC.

Esta no es una aplicación para utilizar constantemente en nuestro Windows, pero se aconseja ejecutar periódicamente para comprobar el estado de las aplicaciones de seguridad y para evaluar su grado de protección.

Fuente: Blog Antivirus

¿Cómo protegernos de los peligros en Internet?

Gracias a una campaña iniciada desde mi Universidad (Universidad de Manizales), he estado realizando una serie de charlas de concientización en seguridad informática a jóvenes que están próximos a terminar sus estudios de bachillerato; Cuando planeaba estas charlas me preguntaba ¿Cómo hago para que el mensaje que les llevo, quede realmente grabado en sus memorias?, fue entonces cuando se me ocurrió contar una historia, la historia de Mónica Galindo.

Mónica Galindo, es una joven quien también esta terminando sus estudios de bachiller, tiene una vida normal, con amigos, novio, una bonita familia, hace uso de Internet y las redes sociales para interactuar con ellos, como cualquier adolescente de su edad; La vida de esta joven cambio bruscamente cuando decidió tomarse unas fotos con su novio un poco ligera de ropa y de alguna forma estas fotos aparecieron en Internet. Mónica es muy cuidadosa con sus fotos, cuando se las tomó con su novio se aseguro de que se realizaran desde la cámara de ella y que este no sacara copias de ellas, las guardo en una carpeta “oculta” junto a las demás fotos suyas en su portátil que no le presta a nadie y ademas tiene una buena clave en su sistema operativo, por lo que esta segura que nadie las pudo sacar de su computador… ¿será esto cierto? Ayuda a Mónica mirando el vídeo de la charla y descubre cómo pudieron quedar expuestas sus fotos en Internet, a pesar de las precauciones que tomó ella para que esto no sucediera…. pon mucha atención y recuerda que lo mismo te pudo pasar a TÍ.

(pausa el vídeo en cada diapositiva)

Como pudiste ver es relativamente simple para una persona conseguir control total de tu computador y toda la información que hay en el, por eso te recomiendo seguir estos consejos para evitar todos estos peligros que te puedes encontrar en Internet.

Consejos para Protegernos de los Peligros en Internet

• No abras archivos adjuntos que no estas esperando, si lo estabas esperando igual revisalo con tu antivirus antes de abrirlo.
• No ingreses a paginas de dudosa procedencia (xxx, cracks, viagra, etc…) o enlaces que desconocidos te envien.
• Instala un buen software Antivirus, un buen Firewall y un Antispyware en tu sistema para protegerlo.
• No envíes o publiques información personal por correo electrónico, mensajería instantánea, redes sociales o cualquier otro medio.
• Configura adecuadamente la privacidad en sus redes sociales.
• Utiliza navegadores seguros como Google Chrome, Mozilla Firefox u Opera
• Mantel al día todo el software que tengas instalado y tu sistema operativo, herramientas como Secunia PSI y Windows Update te ayudaran en el proceso.

Te dejo algunos los enlaces de las soluciones Antivirus, Firewall y Antispyware recomendadas en los slides.

Listado de Buenos Antivirus Gratuitos para proteger tu sistema

• AVG Antivirus Gratis
• Comodo Antivirus Gratis
• Avast! Antivirus Gratis
• Avira Antivirus Gratis

Listado de Buenos Firewalls Gratuitos para proteger tu sistema

• Outpost Firewall Gratis
• Comodo Firewall Gratis
• Zone Alarm Firewall Gratis
• PC Tools Firewall Gratis

Listado de Buenos Antispyware Gratuitos para proteger tu sistema

• AD-Aware AntiSpyware Free
• Spybot S&D AntiSpyware Free
• Malwarebytes AntiSpyware Free

Adicional a estos consejos, si hay niños utilizando Internet, se deben tener en cuenta también las siguientes recomendaciones.
--
dragonjar

La cuarta beta de Firefox 4 integra aceleración por GPU

Mozilla tiene previsto lanzar la cuarta beta de Firefox 4 el próximo lunes añadiendo gráficos acelerados por hardware, una opción que está llegando a la mayoría de los navegadores con el objetivo de ahorrarle algunas tareas al procesador principal (CPU), para que las realice el procesador gráfico (GPU).

Esta opción sólo estará disponible en la versión final pero pero a partir del lunes podremos disfrutar del interfaz Windows Direct2D, que puede acelerar la presentación de texto y gráficos en las nuevas versiones de Windows.

Desde Mozilla afirmaron que en general Firefox 4 está diseñado para ser más rápido y mejor que Google Chrome y Microsoft Explorer, y que una visualización más rápida es crucial en la carrera por el rendimiento, aunque la rapidez de los navegadores no sólo supone mostrar las páginas más deprisa, sino también una más rápida gestión de las aplicaciones web.

La implementación de aceleración por GPU de la nueva versión de Firefox permitirá renderizar imágenes y textos, brindará un mayor rendimiento en la navegación, y vendrá desactivada por defecto.

Para activarla se debe escribir en el navegador about:config y pulsar enter, y luego cambiar los valores de mozilla.widget.render-mode a 6 y poner a gfx.font_rendering.directwrite.enabled en true.

Para desactivarla se debe escribir about:config en la barra de direcciones y pulsar enter y luego cambiar la entrada mozilla.widget.render-mode a 0.

Según escribió en su Twitter Mike Shaver, vicepresidente de Mozilla, el 23 de Agosto es la fecha para que cualquier usuario pueda probar Firefox 4 beta 4.
--
redusers

The Pirate Bay falso para infectar

The Pirate Bay es uno de los buscadores de torrents más conocidos de la red, no sería extraño que los estafadores aprovecharan su popularidad para hacer de las suyas.

Sunbelt ha detectado múltiples sitios fraudulentos que simulan ser The Pirate Bay para infectar el equipo.

Los sitios ofrecen un programa que supuestamente permitiría descargar archivos de forma anónima para evitar ser detectados por las autoridades, en realidad se trata de un instalador del eMule modificado con adware.

Por cada instalación los estafadores ganan hasta 1,45 dólares gracias a un sistema de afiliación PPI, algo similar se hace con muchos otros programas como el Ares y Firefox.

Casi todos los sitios detectados son variantes de la dirección original -dominios typo- que es thepiratebay.org. El sitio de la captura superior se encuentra muy bien posicionado y aparece en los primeros resultados de Google para la búsqueda The Pirate Bay.

Ronda la posición 30 mil en Alexa, lo cual significa que tiene un buen número de visitas y muchas personas podrían estar siendo engañadas.


Fuente: SpamLoco

Lo que los malos pueden saber de ti

What the internet knows about you (lo que internet sabe de ti) es un sitio web que analiza el historial de navegación de los visitantes como lo haría un atacante para conocer el perfil de sus víctimas.

Este problema de privacidad ya lo había comentado en el blog hace algún tiempo, se aprovecha de una propiedad CSS de los links que permite determinar qué sitios se visitaron previamente. Hay muchas demos por el estilo, pero en esta se utiliza una base de datos de 5 mil sitios populares y además la información se muestra de forma ordenada.

Una alternativa para evitar que "espien" el historial (Spyjax) es navegar en el modo privado, funcionalidad presente en casi todos los navegadores, también se puede bloquear el JavaScript y habitarlo para los sitios de confianza, esto se puede hacer fácilmente con la extensión NoScript.

Otra solución es desactivar la lectura de la propiedad CSS directamente en el navegador, en consecuencia todos los enlaces visitados y no visitados siempre se mostrarán de la misma forma.

Modificar la opción es muy sencillo, simplemente hay que acceder al about:config, buscar layout.css.visited_links_enabled y cambiarlo a false.

Fuente: SpamLoco

Campus Party México; recibió más de 2 millones 500 mil ataques

Los ataques no sólo fueron externos, también se detectaron dos intentos de hacking realizados por campuseros; uno para intentar acceder al Ovni y el otro estaba dirigido a una página del Gobierno de Coalcomán, Michoacán.

Durante la segunda edición del encuentro digital se registraron más de 2 millones 500 mil intentos de ataques cibernéticos hacia Campus Party México, así como dos desde la sede del evento, informó Leonardo Santiago, líder y responsable de Tecnología de Movistar para Campus.

“Dichos ataques fueron registrados por el Ovni, que es el que soporta y distribuye todas las comunicaciones que se generan dentro de Campus, tecnología que se implementa diariamente en el despliegue de la empresa”, comentó Leonardo Santiago.

Para el evento, se implementaron cinco zonas de seguridad que analizan todo el tráfico entrante y saliente de Campus Party; desde ellas se puede determinan el tipo de ataque y su lugar de procedencia para así tomar las acciones preventivas y correctivas.

Fuente: Milenio

Detectada vulnerabilidad en Coldfusion

El servidor de aplicaciones web, Coldfusion presenta una vulnerabilidad clasificada como importante, según su casa matriz Adobe. Dicha vulnerabilidad permite a ciberdelincuentes realizar ataques al directorio transversal del servidor que contenga ColdFusion, con la finalidad de navegar por el sistema de ficheros del equipo afectado.

Por supuesto, que esta vulnerabilidad ya es inconveniente, pero lo que la hace más peligrosa aún, es que incluso le permite al atacante tener acceso a la lista de control de ficheros, por lo cual, éste podría borrar o subir cualquier tipo de fichero o archivo al servidor que contenga ColdFusion, incluyendo código malicioso que puede afectar a usuarios de aplicaciones o páginas web alojadas en dicho servidor.

El equipo de Adobe ya ha liberado un parche de seguridad (Hotfix) que repara esta vulnerabilidad en las versiones 9.01 e inferiores para Windows, Mac y Unix. La recomendación para los usuarios de ColdFusion, es actualizarlo cuanto antes, ya que incluso se ha liberado un exploid denominado exploid-db que aprovecha esta vulnerabilidad.

uTouch: el soporte multitáctil de Linux Ubuntu

Dispuesta a ponerse a tono con la creciente capacidad multitouch de dispositivos tales como portátiles, smartphones y Tablets PC, Canonical anunció que la próxima versión de la distribución de Linux Ubuntu 10.10 incorporará soporte multitáctil.

Así, Ubuntu 10.10 también conocida como “Maverick Meerkat”, tendrá un framework llamado “uTouch” que permitirá aprovechar gestos multi-táctiles en pantallas con soporte para esta tecnología.

Según explicó en su blog Mark Shuttleworth, presidente de la compañía, este soporte no se basará únicamente en gestos simples, sino también en gestos encadenados.

Más que gestos simples, lo que están haciendo los responsables de Ubuntu es hacer posible que los gestos básicos sean encadenados en “frases” más complejas, señaló Shuttleworth .

El ejecutivo dijo además que los gestos básicos serían como los verbos individuales que, al unirse, crean interacciones más ricas.

Por el momento, la implementación de uTouch en Maverick Meerkat estará en algunas aplicaciones GTK para hacer scrolling con varios dedos, y en la interfaz Unity para netbooks, que permitirá la gestión de ventanas mediante gestos multitáctiles.

Como plataforma de desarrollo, Canonical está utilizando una Tablet PC Dell XT2 y el objetivo final de la empresa es incluir controles táctiles en todas las grandes aplicaciones a partir de la versión Ubuntu 11.04.

Sin duda, con este movimiento Canonical pretende que Ubuntu sea un sistema operativo a tener más en cuenta por los fabricantes de tablets y netbooks.

Para estos equipos con pantalla pequeña, la capacidad multitáctil es el método de entrada más cómodo, y con la integración de uTouch Ubuntu está listo para aprovechar esa interfaz al máximo.
--
redusers

Vulnerabilidad encontrada en protocolo Wi-Fi WPA2

Como “Hole 196″, fue bautizada la vulnerabilidad encontrada en el protocolo de seguridad Wi-Fi WPA2 por un grupo de investigadores de seguridad inalámbrica de la compañía AirTight Networks.

WPA2 es actualmente la forma de encriptación y autentificación más sofisticada y fuerte de todas las implementadas, estandarizadas y utilizadas hoy en día.

Esta vulnerabilidad permite, básicamente, a cualquiera con acceso autorizado a la red Wi-Fi, a través del aire desencriptar y robar información confidencial de cualquier otro que se encuentre conectado a la misma red inalámbrica, inyectar tráfico malicioso a la red y comprometer otros dispositivos autorizados, todo esto usando software de código abierto, específicamente MadWiFi, gratis para cualquiera a través de Internet.

Kaustubh Phanse, investigador de AirTight afirma que no hay nada que se pueda hacer, al menos nada estándar que no sea crear una revisión del protocolo, para solucionar o “parchar” la vulnerabilidad “Hole 196″ y la describe como “una vulnerabilidad ‘Zero Day’ que crea una ventana de oportunidad para la explotación”.

Esta podría ser un serio ‘exploit’ para corporaciones, gobiernos e instituciones académicas que utilicen 802.1X que crean estar protegidos por las medidas internas y asumiendo que ningún usuario puede obtener información de otro en la misma red. En el proceso no es necesario crackear ninguna clave, pues el malhechor está puertas adentro.

Link: WPA2 vulnerability found (NetworkWorld vía Slashdot)

Deformaciones masivas: herramientas y trucos

Sitios web que se deforman, servidores que se vuelven nodos de redes zombis, cuentas shell y backdoors a la venta en el mercado negro… sucede a diario en Internet. Este artículo analiza la forma en que operan los causantes de todo esto, y sugiere lo que podemos hacer para evitar ser sus víctimas.

INTRODUCCIÓN
Mi colega investigador Tim Armstrong (Kaspersky Lab de EE.UU.) y yo hace poco le echamos un vistazo a una herramienta que los deformadores usan para registrar deformaciones masivas en un gran archivo comprimido de deformación. El sitio web con la herramienta deformadora también ofrecía un backdoor PHP. Movido por la curiosidad hice algunas investigaciones en Google para ver qué tan común era el backdoor PHP y si encontraría más de ellos y/o cientos de servidores comprometidos ejecutándolos.

Después empecé a analizar cómo se instalaban estos backdoors en los servidores y qué técnicas y métodos usaban los ciberdelincuentes.

En general, toda la configuración es bastante simple, pero antes de entrar en detalles me gustaría aclarar la terminología usada en este artículo en referencia a los ciberpiratas. Los términos “defacers”, “crackers” y “hackers” se usan ampliamente en la comunidad, pero los medios tienden a referirse a todos ellos simplemente como “hackers”. Sin embargo, prefiero usar el término "defacers" o deformadores para referirme a las personas que manipulan estas herramientas y juegos de deformación.

Un “defacer” es alguien a quien no le importa en absoluto qué sitio ataca; su principal objetivo es simplemente encontrar y explotar una vulnerabilidad en un servidor y después reemplazar el contenido del sitio web o subir un archivo como señal de su visita. Nadie sabe realmente por qué los deformadores hacen esto ya que no hay lucro de por medio. Sin embargo, si prestamos atención a algunos de los archivos comprimidos de vulneración, veremos que hay distintos grupos de deformadores compitiendo entre sí. Como mencioné anteriormente, aunque los medios tienden a referirse a estas personas como hackers, diría yo que los “verdaderos” hackers no atacan sitios web al azar, sino que usan sus conocimientos para realizar ataques específicos. Los hackers toman todas las precauciones para que los dueños de los sitios atacados no se enteren de su presencia.

Los ataques de los deformadores o “defacers” se conocen como "deformaciones"; existen grandes sitios web que actúan como archivos comprimidos deformadores, y existen grupos que compiten entre sí para ver quién puede deformar más sitios. Estos archivos comprimidos son de público acceso, lo que significa que todos los grupos pueden ver los triunfos de unos u otros.

Como dije líneas arriba, los deformadores no son selectivos en cuanto a sus ataques, y en la mayoría de los casos se contentan con usar herramientas automatizadas para localizar servidores vulnerables para explotarlos de manera también automática. La vulneración instala automáticamente un backdoor en el servidor comprometido con el fin de proporcionarles, por ejemplo, acceso shell a dicho servidor. El deformador puede lanzar más ataques a través de la puerta trasera, por ejemplo, para intentar ampliar sus autorizaciones vulnerando el kernel local, o registrar el servidor atacado en un archivo comprimido de deformación. Estos backdoors también están a la venta en el mercado negro; de esta manera, los compradores pueden, por ejemplo, convertir un servidor en un nodo de una red DDoS, o usarlo como nodo para reenvío de spam.

Contenido completo en Viruslist

Vulnerabilidad DoS TCP en Cisco IOS Software

Cisco IOS Software Release, 15.1(2)T es afectado por una vulnerabilidad DoS durante la fase TCP de establecimiento de conexión.

La vulnerabilidad podría causar que las conexiones embrionarias TCP (aquellas que estan en el proceso de ser establecidas) permanezcan en el estado SYNRCVD o SYNSENT. Suficientes conexiones embrionarias TCP en estos estados pueden consumir recursos del sistema e impedir que un dispositivo afectado acepte o inicie nuevas conexiones TCP, incluyendo cualquier acceso administrativo remoto basado en TCP al dispositivo.

No se necesita autenticación para explotar esta vulnerabilidad. Un atacante no necesita completar la negociación de tres vías para disparar esta vulnerabilidad. Por lo tanto, esta vulnerabilidad puede ser explotada usando paquetes falseados y puede ser disparada por tráfico normal de red.

Cisco ha publicado el Cisco IOS Software Release 15.1(2)T0a para solucionar esta vulnerabilidad.

Más información:
Boletín CISCO http://www.cisco.com/warp/public/707/cisco-sa-20100812-tcp.shtml
Fuente: Net Help Security

Antivirus detectan un promedio de menos de 19% de los ataques de malware, según estudio

Un estudio realizado por la firma de inteligencia web Cyveillance encontró que, en promedio, los proveedores detectan menos del 19% de los ataques de malware en el día en que aparece por primera vez en el medio. Incluso después de 30 días, las tasas de detección mejoraron a apenas el 61,7%, en promedio.

Cyveillance probó trece soluciones de antivirus populares para determinar su tasa de detección durante un período de 30 días y encontró que estos sólo detectan un promedio de 18,9% de nuevos ataques de malware. Al octavo día, las soluciones de antivirus promedian una tasa de detección del 45,7%. Esta cifra sube a 56,6% en el día 15, el 60,3% para el día 22, y 61,7% después de 30 días. Las mejores soluciones antivirus tardan una media de 11,6 días para ponerse al día para el nuevo malware.

Aunque al parecer la prueba se llevó a cabo en un solo componente de la protección anti-malware (las firmas antivirus), el estudio sirve para ratificar que la protección de un equipo no se puede basar en su totalidad en el antivirus. La aplicación de parches y el sentido común al navegar en Internet deben ser conductas que los usuarios deben practicar a diario.
Visto en The Register

Fuente: BlogAntivirus

Un truco en el registro permite seguir parcheando Windows XP SP2

A pesar de la falta de soporte por parte de Microsoft, existe una manera de que los usuarios de Windows XP SP2 puedan seguir instalando actualizaciones de seguridad en el sistema operativo.

Los usuarios de Windows XP Service Pack 2 (SP2) podrán seguir instalando actualizaciones de seguridad a pesar de la falta de soporte por parte de Microsoft. Esto es posible gracias a los investigadores de F-Secure.

Actualmente los usuarios que intentan instalar actualizaciones de seguridad sólo consiguen un mensaje de error, pero el equipo de la empresa de seguridad F-Secure ha recordado un truco que los jugadores de Grand Theft Auto utilizan en los viejos sistemas Windows: alterando el código de registro tan sólo un dígito engaña a los servidores de Microsoft, que aceptan que el sistema está ejecutando SP3 y permiten la instalación de parches de seguridad.

Desde F-Secure aserguran que si se quiere que un sistema Windows XP SP2 crea que es Windows XP SP3 sólo hay que editar esta clave: “HKLM\System\CurrentControlSet\Control\Windows, and edit the DWORD value CSDVersion from 200 to 300” y reiniciar.

El hecho de que esto funcione para Grand Theft Auto IV ha llevado a los investigadores de la empresa de seguridad a probarlo con KB2286198.

A pesar del truco, los investigadores son “políticamente correctos” y afirman que “no obstante sigue siendo importante actualizar tus sistemas a XP SP3 o a Windows 7”.

Fuente:IT Espresso

Por qué no comprar una Mac, según Microsoft

En un movimiento poco usual, Microsoft responde a los avisos "Get a Mac" con que Apple desprestigiaba a las PCs y lanza una comparación en la que las computadoras de Steve Jobs no salen bien paradas.

Logos de Microsoft y Apple

En un movimiento poco usual, Microsoft respondió con la misma moneda. Después de que en mayo terminara "Get a Mac", la famosa campaña de desprestigio de las PC lanzada por Apple, la empresa fundada por Bill Gates publicó en su web del Windows 7 una comparación entre las computadoras que corren con Microsoft y las que usan el sistema operativo Mac. Como era de esperar, los de Apple no salen bien parados.

En el capítulo "divertirse", los de Microsoft dicen que ganan a Mac en integración inalámbrica 3G, reproductores Blu-ray y una mayor variedad de juegos, entre otras características. Según el portal The Next Web, son razones suficientes como para batir a Apple en un terreno donde la marca de la manzana sólo aventaja a Microsoft "en el tamaño de la pantalla y de los discos".

Con un razonamiento más relacionado con la cuota de mercado que con las cualidades del producto, Microsoft presume de que su software es de más fácil uso: "La computadora más fácil de usar suele ser la que ya sabés como usar". Otro argumento que parece forzado es el de la compatibilidad: "Si sos usuario PC, tal vez muchas de tus aplicaciones preferidas no funcionen en un Mac". Es lo mismo que desaconsejar un cambio de Renault a Volkswagen porque la rueda de repuesto de los Renault no sirve en el auto alemán.

El capítulo donde tal vez tengan más razón los de Gates es el de la variedad. El rango de PCs posibles es infinitamente mayor que el de computadoras con Mac, desde las especificaciones técnicas hasta el diseño.

La pregunta pendiente es por qué esta vez Microsoft se molestó en responder. ¿Es verdad que Apple empieza a pisarle los talones? En mayo de 2010, la empresa de Steve Jobs a la que Gates apoyó con 150 millones de dólares durante los años noventa para mantenerla en el sector, se valoró en US$ 228 mil millones mientras Microsoft cotizaba en torno a los US$ 227 mil millones.
--
ieco.clarin

Zeus robó un millón de dólares en Inglaterra

Entre el 5 de julio y el 4 de agosto pasados, unas tres mil cuentas bancarias del Reino Unido fueron víctimas de un troyano (virus informático que espía los movimientos en la computadora) que les robó casi un millón de dólares (675.000 libras esterlinas).

Según publicó hoy el diario británico Daily Mail, el virus sigue infectando computadoras en este momento.

El mismo diario publicó que se trata de una variante del troyano bancario Zeus, que apareció por primera vez hace tres años. El control y la dirección del virus se lleva a cabo desde servidores de Europa del Este, que se hacen con las contraseñas y hasta transfieren dinero automáticamente cuando detectan que la cuenta tiene como mínimo 800 libras esterlinas (1.250 dólares).

De acuerdo con la empresa productora de software antivirus McAfee, el malware experimentó un gran crecimiento en el primer semestre del año. Según los datos del organismo británico que vigila el fraude financiero publicados por el Daily Mail, el año pasado se perdieron £ 59.7 millones por este tipo de engaños en banca electrónica.
--
seguinfcol