sábado, 23 de abril de 2011

25 % de los niños tiene abiertos sus perfiles en las redes sociales

Un 25 % de los menores entre nueve y dieciséis años activos en las redes sociales por Internet tiene abierto el acceso a su perfil -que contiene información personal- a cualquier persona que desee consultarlo, según indica una encuesta elaborada por la Comisión Europea (CE).

Además, uno de cada cinco de estos menores con el perfil accesible ha introducido datos como su dirección o su número de teléfono, que, de este modo, son visibles para todo el mundo.

Los perfiles con menos restricciones de acceso son, por lo general, los de los niños más jóvenes, ya que existe una tendencia a aumentar las barreras de acceso a las cuentas a medida que los menores van creciendo.

Las empresas propietarias de estas redes "deberían hacer inmediatamente que los perfiles de menores fueran accesibles solo para su lista de contactos aprobados", señaló en un comunicado la comisaria europea de Agenda Digital, Neelie Kroes. Asimismo, Kroes opinó que las cuentas de menores de edad no deberían poder encontrarse mediante buscadores en línea y urgió a todas las compañías que aún no lo hayan hecho a firmar el código de buenas prácticas para las redes sociales impulsado por la CE.

"Un creciente número de niños están en las redes sociales pero muchos de ellos no toman las medidas necesarias para protegerse en línea. Estos niños se están exponiendo a que les hagan daño y son vulnerables a acosadores", añadió la comisaria. Según el estudio, un 38 % de los menores europeos entre nueve y doce años está presente en alguna red social, una cifra que aumenta hasta el 77 % para los menores entre trece y dieciséis años.

En España, un 28 % de los niños entre nueve y doce años tiene una cuenta en una red social, diez puntos menos que la media europea, aunque para el caso de los adolescentes entre trece y dieciséis el total sube por encima de la media hasta el 81 %. Francia, con un 25 %, y Holanda, con un 70 %, son, respectivamente, los países con un menor y mayor porcentaje de niños entre los nueve y los doce años presentes en las redes sociales.

El estudio encuestó a aproximadamente 25.000 menores residentes en 25 estados europeos.

Fuente: 20Minutos
Publicado por Fredy Paternina Matos en 4/23/2011 06:23:00 p. m. 0 comentarios

Nuevo Rootkit ataca el sector de arranque (Rookit.Win32.Fisp.a)

Desde hace unos días podemos leer en determinados blogs, artículos que advierten de que un rootkit de origen chino está siendo diseminado por la red. Los laboratorios Kaspersky lo identifican como Rookit.Win32.Fisp.a.

Esta vez la propagación se da a través de un vídeo colgado en una falsa web de porno china. Según lo publicado, una vez ejecutado el malware sustituye el sector de arranque por una versión modificada. Cuando se reinicia el dispositivo, el proceso troyano toma control del dispositivo y finalmente vuelve a escribir la versión original del MBR, del cual previamente ha hecho un backup.

Otra de las técnicas que incorpora es una búsqueda de procesos relativos a antivirus, para ello dispone de una lista de cadenas que emplea para dicha búsqueda. Si detecta la presencia de algún proceso relacionado intenta detenerlo.

La lista de cadena que incorpora es la siguiente:

Beike, Beijing Rising Information Technology, AVG Technologies, Trend Micro, BITDEFENDER LLC, Symantec Corporation, Kaspersky Lab, ESET, spol, Beijing Jiangmin, Kingsoft Software, 360.cn, Keniu Network Technology (Beijing) Co, Qizhi Software (beijing) Co.

Hasta donde hemos podido conocer, se utiliza la típica técnica de recopilación de información del ordenador, y posterior envío de dicha información mediante una petición HTTP con la siguiente estructura:

http://ab.*****.com:8081/tj.aspx?a=Windows XP Service Pack 2&b=192.168.0.16&c=00-00-00-00-00-00&f=none&g=none&k=a&h=62&i=2&j=0321-01

Donde podemos ver que se están enviando al servidor de la botnet datos como pueden ser la versión del Sistema Operativo, la dirección IP en la red interna, etc.

Determinadas fuentes relacionan el rootkit con el robo de credenciales de juegos online, si bien en los informes que hasta la fecha se han publicado no se presentan evidencias de que el troyano intercepte peticiones para robar credenciales, haga búsquedas en ficheros o cualquier otro tipo de actividad dañina para los usuarios infectados.

Una limitación a la hora de remover el troyano del sistema es el hecho de que éste controla el sistema operativo antes de cargar el motor antivirus en memoria, lo cual dificulta las tareas de detección y eliminación.

[+] Referencias
Publicado por Fredy Paternina Matos en 4/23/2011 06:23:00 p. m. 0 comentarios

¿Sabe dónde están sus archivos confidenciales? Más de la mitad de los profesionales TI, no

La mayoría de las empresas afirma desconocer el número exacto, la localización de sus archivos confidenciales o quién tiene acceso a ellos.
Este es uno de los resultados más llamativos de un estudio realizado de Imperva sobre Protección de la Información de los archivos con Datos Sensibles


Más..


Visto en itcio.es
Publicado por Fredy Paternina Matos en 4/23/2011 06:21:00 p. m. 0 comentarios

sábado, 16 de abril de 2011

Cae una de las botnets mas antiguas

La actuación el pasado miércoles 13 de Abril del Departamento de Justicia de los Estados Unidos permitió desactivar una de las botnets más antiguas. Nuestro compañero y veterano investigador David Harley ha querido ofrecernos su punto de vista sobre la caída de esta veterana botnet:

"A continuación me gustaría añadir un poco de información desde el punto de vista de ESET sobre la botnet Coreflood, cuyos centros de control fueron desactivados el miércoles por el Departamento de Justicia. El bot Coreflood es detectado por los productos ESET como Win32/Afcore y ha estado activo desde el principio de la pasada década (concretamente desde 2001), a pesar de que nuestras estadísticas indican una actividad especialmente fuerte entre 2007 y 2009, con picos de actividad máxima a finales de 2008. Esta botnet ha estado relativamente tranquila (en términos de volumen de infección) pero ha mostrado una moderada tendencia al crecimiento en meses recientes, así que su desarticulación parece que ha sido justo a tiempo.


No obstante, la importancia de Coreflood no radica en su tamaño. Su especialidad han sido los fraudes financieros y robo de contraseñas en general (tarjetas de crédito, email y credenciales de redes sociales) antes que el envío masivo de spam o los ataques DDoS. Pero ante todo, ha intentado permanecer desapercibida el máximo tiempo posible. Lo más probable es que las consecuencias de la desactivación de esta botnet pasen desapercibidas para la mayoría de los usuarios. No esperamos ver un descenso elevado del volumen de spam y las víctimas cuyos sistemas estuviesen siendo controlados, muy probablemente no lo supieran. En cualquier caso, las botnets son como los autobuses, siempre habrá otro en pocos minutos".

Del comentario de nuestro compañero David Harley nos gustaría destacar el hecho de que la botnet Coreflood fuese de un tamaño relativamente pequeño para la antigüedad que tenia. Actualmente, las botnets con gran cantidad de usuarios atraen mucho la atención y las autoridades no escatiman esfuerzos para que cesen su actividad. Gestionar botnets de tamaño reducido hace que pasen desapercibidas durante más tiempo y es una tendencia que venimos observando desde hace meses, tras la desarticulación de grandes botnets como Waledac o Rustock.

Fuente: Ontinet
Publicado por Fredy Paternina Matos en 4/16/2011 11:18:00 a. m. 0 comentarios

Correo sobre cierre de cuenta Hotmail propaga troyano.

Se reiteran los engaños mediante correos falsos que alarmando al destinatario lo hacen caer en la trampa al seguir un enlace, que terminará infectando la PC.
La denuncia que recibimos de un lector es el siguiente correo falso, (errores ortográficos incluidos):
Date: Thu, 14 Apr 2011
To: xxxxxx@hotmail.com
Subject: Tu cuenta en hotmail podria ser cancelada por nuestro equipo.
From: verficusers@mnslatina.com

Como miembro de Windows Live, has recibido este mensaje de correo electrónico que te informa sobre actualizaciones y cambios en el servicio, nuestro mantenimiento regular y procesos de verificación, hemos detectado un error en la información que tenemos registrada de su cuenta. Nuestra política consiste unicamente en brindarle un mejor servicio Esto se debe a algunos de estos factores:
1. Un cambio reciente en su información personal (cambio de dirección, cambio de servicio (ISP), etc.)
2. Que usted haya proveído información invalida durante su proceso inicial de registro para hotmail live o que usted aun no haya realizado dicho registro de su cuenta en la versión completa de Windows Live Hotmail.
3. Accesos a su cuenta a través de Hotmail Live en Linea que han sido realizados desde diferentes direcciones IP.
Esto seguramente se debe a que la direccion IP de su PC es dinámica y varía constantemente, o debido a que usted ha utilizado mas de un computador para acceder a su cuenta. Para verificar la actividad de la misma y omitir el proceso de baja, debes descargar el boletin de verificacion de windows live messenger en el siguiente enlace descargar boletin de verificacion de cuenta ID Live cuyo procedimiento se realizara en linea con un sifrado de (1024-Bits) para hacer segura e indetectable el proceso de validacion. SI la información en su cuenta no se actualiza en las siguientes 24 horas, algunos servicios en uso (Live Messenger, Live ID) y acceso a su cuenta serán restringidos hasta que esta información sea verificada y actualizada. Si no deseacolaborar en esta verificacion del servicio puede darlo de baja en el siguiente enlace cerrar tu cuenta.

Microsoft respeta tu privacidad. Para obtener más información, lee nuestra Declaración de privacidad.
Microsoft Corporation, One Microsoft Way, Redmond, WA 98052
Los enlaces del correo original (aqui cambiados) llevan a: http://www.[ELIMINADO]demo.net/radicalquads/content/www-windows-live-msn-verific-cgibin-users/windowslive-verific-user-latinamerica-cgibin-data-hotmail-dating.zip.

Dicho archivo ZIP contiene un ejecutable que es identificado como un Troyan-Downloader por 14 de los 41 motores antivirus que comprueba VirusTotal.

No importa cuan alarmante suene un correo que reciba, piense y tenga cuidado, no siga los enlaces ni abra los adjuntos.

Raúl de la Redacción de Segu-Info
Publicado por Fredy Paternina Matos en 4/16/2011 11:17:00 a. m. 0 comentarios

Detienen a un sospechoso de pertenecer a Anonymous

La brigada especialista en delitos informáticos ha detenido a un sospechoso de pertenecer al colectivo activista Anonymous. El hombre de 22 años de edad, ha sido interrogado por presuntos actos fraudulentos en Cleveland (Estados Unidos). Con este nuevo arresto ya son seis los miembros que han sido detenidos desde el mes de diciembre de 2010.

Los otros cinco detenidos, son sospechosos de haber participado en los ataques cibernéticos en los sitios web de Amazon, Bank of America, Mastercard, PayPal y Visa en diciembre. Causar deliberadamente dicha interrupción es un delito en virtud de la ley de 'Uso indebido de ordenadores' y conlleva "una pena de prisión de hasta 10 años", según The Telegraph.

Estas firmas fueron atacadas, según el rotativo inglés, después de cortar los servicios a WikiLeaks en medio de la controversia sobre la liberación de los cables clasificados por la diplomacia de Estados Unidos.

Aún así, los seis miembros de Anonymous han sido puestos en libertad tras no tener acusaciones sólidas contra ellos y su caso sigue pendiente de investigación.

Estas detenciones se han producido tras el anuncio de Anonymous de continuar su batalla contra Sony con un ataque dispuesto para el día 16 de abril. Puede que estos arrestos enfurezcan aún más a los miembros del colectivo activista que esta plantando cara a todas las multinacionales del mundo en contra de Wikileaks y del uso libre de información.

Fuente: Telegraph (en inglés) y Portal TIC
Publicado por Fredy Paternina Matos en 4/16/2011 11:16:00 a. m. 0 comentarios

¡Los bancos no deberían enviar esto pero lo hacen!

En el día de hoy varios usuarios nos han reportado un caso bastante curioso de mal uso de las tecnologías por parte de un banco argentino.

Siempre decimos que las entidades responsables no deberían enviar correos a sus clientes porque de esta forma los confunden y luego pocos son capaces de saber si se trata de un correo real (como este) o de un Phishing.

En este caso el correo enviado por el banco es el siguiente, donde se puede ver que se trata de una promoción para seguir sumando puntos y el enlace ni siquiera contiene un HTTPS, si bien tampoco habría sido la solución:
Al momento de escribir el presente el enlace mostrado continúa activo y conduce al siguiente sitio del banco, donde se solicitan los datos del usuario:

Pregunto por ignorancia ¿por qué un banco me solicita información que ya debería tener si soy su cliente? Es ridículo. Y, por si queda alguna duda de que si ese sitio invitaciones-especiales pertenece al banco aquí está el registro de Nic.ar:

Por otro lado, un cliente del banco se ha comunicado con ellos pidiendo explicación y la respuesta fue que "era una campaña de un agente de publicidad de ellos".

Y después nos quejamos de que los usuarios no saben identificar casos de phishing y caen en trampas sencillas... Con políticas y campañas como estas ¿quién necesita usuarios o enemigos?.

¡Gracias a todos quienes nos reportaron el caso!

Cristian de la Redacción de Segu-Info
Publicado por Fredy Paternina Matos en 4/16/2011 11:15:00 a. m. 0 comentarios
Suscribirse a: Entradas (Atom)