Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

La idea original que teníamos todos cuando comenzo la denominada era Internet, está cambiando a pasos agigantados. Internet como medio de comunicación se ha desarrollado considerablemente en los últimos años, pero al mismo tiempo se han desarrollado los programas espías de información personal, los virus y los delitos informáticos.

Varios estudios, entre ellos el de la revista “Consumer Reports” han puesto de manifiesto la repercusión que tienen actualmente los virus y programas espías y de intrusión en internet.

Con el aumento de usurios, ha crecido también la necesidad de proteger la privacidad y seguridad online, ya que uno de cada tres usuarios corre el riesgo de ser víctima de un ataque con virus o programa espía que puede robar información personal, financiera, o confidencial.

El estudio asimismo da un importante dato:

• Más de la mitad de los usurios consultados revela haber sido infectado por un virus o atacado por un programa espia en los últimos 6 meses.

• El 18 % de los usuarios sufrió un ataque que le obligó a borrar el disco duro de sus ordenadores según apunta la citada publicación.

Zotob, es un gusano que explota una vulnerabilidad conocida en el sistema Plug and Play de equipos Windows y que una vez explotada puede permitir la ejecución remota de código (bug publicado en Microsoft Security Bulletin MS05-39), conocido especialmente en países de habla inglesa ya que el exploit que se realizó para aprovechar dicha vulnerabilidad atacaba principalmente a equipos con Windows 2000 en este idioma, y que causó graves problemas y pérdidas a empresas como ABC, CNN y Daimler Chrysler.

Este problema puede llegar ahora a los equipos Windows en su versión en castellano, ya que ha aparecido un nuevo exploit que ataca a esta versión. El compromiso de seguridad afecta principalmente a equipos con Windows 2000, pero bajo determinadas circunstancias puede afectar a Windows XP y Windows XP SP1. Es muy recomendable que todos los usuarios de estas versiones del sistema operativo de Microsoft apliquen la actualización de seguridad que pueden encontrar en el aviso de seguridad de Microsoft (citado anteriormente), o bien lo apliquen mediante Windows Update.

Sobre este gusano, recientemente hemos conocido que su autor ha sido detenido. Presuntamente se trata de un ruso residente en Marruecos de 18 años.

¿Habeis tenido problemas o experiencias con este gusano?

Nota: para aquellos que desconozcan qué es un exploit: “código escrito con el fin de aprovechar un error de programación para obtener diversos privilegios”

La Brigada de Investigación Tecnológica de la Policía  Española ha detenido a un pirata informático de 35 años acusado de varios ataques al sistema de reserva de billetes aéreos de la empresa Rumbo ( empresa turistica de Telefónica )

El ataque consistió en hacer reservas fraudulentas através de varios programas desde distintos ordenadores de otros usuarios, que desconocían el ataque, y que permitió realizar 700.000 reservas de avión con un coste para la agencia de 30.000 euros.

El ataque se realizaba através de intermediarios de sistemas de otras empresas turísticas.

Las autoridades Norteamericanas de varios estados Texas, Hawai, Carolina del Norte y Misurí, han acusado al creador de un programa informático, llamado Loverspy y varios compradores, diseñado para permitir que amantes celosos espíen a traves de internet a sus parejas.

El acusado responde al nombre de Carlos Enrique Párez Melara quien el pasado viernes fué acusado de 35 cargos por fabricar, comercializar y enviar un prógrama de interceptación y acceso no autorizado a equipos informáticos.

El programa era disfrazado como una tarjeta electrónica de saludos con imágenes de animales, flores, paisajes, y era enviado por email. Cuando la victima recibía el programa y lo ejecutaba, el programa comenzaba a grabar las direcciones de internet que visitaban las victimas y los mensajes de correo electrónico de las victimas.

En total distribuyeron 1.000 copias por todo el mundo  a un precio de casi 89 dólares. Las cuatro personas acusadas de comprar el programa se enfrentan a una pena de 5 años y multa, mientras que el creador se enfrenta a una pena de 175 años de prisión.

SHA-1 (Secure Hash Algorithm), uno de los algoritmos más usados para firmar documentos electrónicos, guardar contraseñas encriptadas, y en general cualquier tipo de huella digital, está siendo cada vez más comprometido. Recientemente, tres investigadores chinos han conseguido realizar un ataque al algoritmo con una velocidad 64 veces más rápida que los ataques convencionales que se venían realizando a dicho algoritmo.

El ataque fue presentado en la pasada “Crypto conference” (Santa Barbara, California), y permite crear dos documentos que devuelven el mismo SHA-1 como huella digital. Este ataque además necesita mucho menos tiempo de procesador y recursos para conseguir su propósito que anteriores estrategias de ataque contra este algoritmo.

¿Quizá sea la hora de avanzar un poco más con este algoritmo, y pasar a sus hermanos mayores: SHA-256 y SHA-512, los cuales añaden más bits para el cifrado? ¿Y WHIRPOOL?

En un comunicado emitido por Iblnews ha sido detectado un grave caso de phising que afecta al banco BBVA. Muchos usuarios están recibiendo mensajes de correo electrónico que se hacen pasar por comunicados del BBVA que reclaman la atención de los clientes para actualizar sus claves de acceso o confirmar su número de tarjeta de crédito a través de un enlace que les conduce a una página web falsa.

Sus datos son capturados y los atacantes pueden suplantar la identidad de la víctima para realizar todo tipo de operaciones. El texto que los atacantes usan es el siguiente:

“Respetados Clientes,

El Servicio de soporte tecnico de BBVA S.A. saluda de usted. Esta carta esta destinada solo para los clientes que tienen Acceso Internet a sus cuentas.

Hemos renovado nuestro software bancario y pedimos de usted comprobar informacion de Acceso Internet.

Para hacerlo se necesita solamente pulsar en este link y entrar a la cuenta.

http://bbvaneet.com/

Si usted todavia no tiene Acceso Internet lo puede obtener gratuitamente en nuestro sitio.

Gracias por el uso BBVA S.A.

BBVA S.A. 2005″

El sitio web al que realmente accede el usuario es http://bbvaneet.com/ (nótese la doble ‘e’), el cual no tiene vinculación alguna con el banco.

Se recomienda a todos los usuarios que desconfíen de este tipo de correos, y que si reciben alguno, se pongan en contacto con su entidad bancaria para asegurarse.

La policía de Brasil realizó el pasado jueves una importante operación contra los autores de numerosos delitos informáticos. La acción se desarrollo en siete estados del País y los atacantes habían estafado hasta el momento unos 20 millones de dólares.

Los atacantes se dirigieron a clientes de bancos privados y estatales usando páginas en Internet, mensajes electrónicos y programas para obtener los datos personales de sus victimas.

Una vez obtenidos los datos y contraseñas realizaron sustracciones de dinero de las cuentas invadidas e realizaron adquisiciones de productos y servicios a través de Internet.

En total hay hasta la fecha 85 detenidos algunos de los cuales ya habían sido detenidos con anterioridad por otros delitos informáticos. Los atacantes actuaban desde el 2.001 y se calcula que el importe estafado y el número de delitos aumentarán conforme se desarrolle las investigaciones.

En Netcraft comentan que algunos bancos, tras muchos años en los cuales han mantenido sus portales por completo bajo cifrado SSL (el conocido HTTPS://), están comenzando a migrar las páginas públicas de sus portales (la portada, aviso legal, política de privacidad … y en general todas las páginas que están fuera del panel de control privado de cada usuario) hacia el protocolo de texto plano sin el uso de SSL.

Esta parece que es una política mucho más lógica que la típica situación en la que al escribir la url de nuestro banco automáticamente nos redirige hacia otra página cifrada, la cual los usuarios siempre reconocen por comenzar por https:// y mostrarnos el típico candado de seguridad en el navegador web.

Esta redirección hacia una página cifrada suele tener varios inconvenientes. El primero es que suele ser una url muy larga, y que tiende a confundir a los usuarios,  siendo además más dificil de recordar cualquier url. Por otro lado, de cara a los buscadores, puede afectar negativamente al posicionamiento y a la indexación de contenidos, no por estar la página cifrada, sino por la propia redirección que para los buscadores suele ser un tratamiento del flujo de la web un tanto brusco y que suelen penalizar.

Nosotros en la empresa tuvimos una experiencia relacionada con este tema en un portal que estabamos estructurando, ya que al enviarse datos privados, decidimos que cuando el usuario se conectara al portal, éste automáticamente le redirigiera hacia la zona segura. Gran error, en especial porque los buscadores banearon la página. Posteriormente usamos una política mucho más racional, y fue que el usuario sólo estuviera en páginas cifradas cuando enviara datos críticos o circulara por su panel de control. Incluso la página donde se rellenan los datos puede estar sin cifrar, siempre que cuando se envíen los datos se haga a una página que sí está cifrada.

Con esto además conseguimos una mayor agilidad de carga para el usuario, ya que los datos cifrados hacen que la carga sea más lenta por tener una mayor cantidad de datos que transmitir.

Recomendamos pues un uso mucho más racional de las páginas cifradas mediante un estudio para saber dónde es necesario, y dónde no lo es. Y vosotros, ¿aún continuais cifrando todas las páginas del portal?

Esta semana Microsoft comenzó a realizar la comprobación del número de serie del producto Windows antes de poder usar la herramienta de actualización Windows Update.

En sólo 24 horas este procedimiento ha sido crackeado, mediante el uso de un simple javascript usado en el navegador IE en un momento determinado, el cual impide la ejecución de esta comprobación.

Más información en Boing Boing

Xavier Vila, colaborador de Shell Security, ha tenido la amabilidad de enviarnos un curso de seguridad en TCP/IP usando un formato esquemático (una presentación en Powerpoint) que consta de cuatro volúmenes, desde la iniciación al protocolo TCP, su funcionamiento, estructura … hasta concluir abarcando los problemas y deficiencias de seguridad más comunes en este protocolo

Los cuatro volúmenes los podeis encontrar en nuestra sección de documentos:

1. Curso TCP/IP Vol 1: Tecnologías de redes LAN
2. Curso TCP/IP Vol 2: El entorno TCP/IP
3. Curso TCP/IP Vol 3: Redes IP
4. Curso TCP/IP Vol 4: Deficiencias de seguridad en las tecnologías de comunicaciones

Este curso puede ser usado para una exposición en grupo, ya que el formato permite usarlo junto con un proyector.

Agradecemos a Xavier su colaboración