Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Según ha publicado Symantec, las motivaciones de los creadores de virus (y en general de los crackers podríamos añadir) han pasado de buscar la notoriedad y reputación a buscar cada vez más beneficios económicos usando software más sofisticado.

El informe de Amenazas de Seguridad en Internet de Symantec muestra que durante los primeros seis meses del 2005 el número de virus destinados a los usuarios de Microsoft Windows subió en un 48 por ciento hasta situarse en 11.000.

También pone de manifiesto las herramientas más utilizadas y determina que el software malicioso que deja al descubierto información confidencial representó tres de cada cuatro de los principales virus, gusanos y troyanos.

Un experto en seguridad de Symantec alerta que al ser mayores los beneficios económicos es más probable que los crackers utilicen herramientas más sofisticadas y códigos más sofisticados para atacar antivirus, cortafuegos y otras medidas de seguridad.

Un nuevo ataque de phishing ha sido objeto la entidad Bankinter, en esta ocasión y según la Asociación de Internautas, los ciberladrones  a través de la web falsa www.ebankiinter.com (noteseé la doble ii que practicamente pasa inapercibida)
enviarón correos electronicos masivos.

Los email simulaban un correo electrónico de bankinter, con una pestaña de LINK Y ENTRA A LA CUENTA. Si la víctima pincha sobre este enlace le envia a una web falsa que simula el Bankinter y con la dirección falsa www.ebankiinter.com.

Cuando la víctima teclea su contraseña y usuario le solicita “Su tarjeta de Coordenadas” y posteriormente al realizar esta operación le muestra el mensaje: “Gracias por la atención y la cooperación, Bankinter, S.A.”

En esta ocasión no se puede acceder a la web falsa desde una conexión española debido a que la ip del servidor era bloqueada por los ISP, pero si se puede acceder y ver su contenido realizando una conexión extranjera.

El dominio esta registrado con estos datos:

domain: ebankiinter.com
owner: Jessie Sheridan
email: jessi5435@yahoo.com
address:L1402 W. Division St. Apt #8
city: Faribault
State: MN
postal-code: 55021
country: US

Cada vez se hace mas necesario extremar las precauciones con los correos que solicitan información de la cuenta para “verificar un saldo de cuenta” o “entregar un premio” o “incorporar una nueva mejora tecnológica”. Estos correos maliciosos, suplantan a terceras personas y se hacen pasar por empleados de la entidad, utilizando los mismos estilos, tamaños de letra, colores y  logotipos para conseguir sus claves secretas.

Recordamos una vez más, extremar las precauciones en acceso bancario online y sólo acceder poniendo la dirección directamente en el navegador.

El lider de los buscadores, Google, ha comenzado una campaña para eliminar de su indice webs que utilicen textos ocultos y redireccionamientos JavaScript, para evitar técnicas de posicionamiento no bien vistas por Google.. Según Matt Cutts, ingeniero responsable, han comenzado a abrir un canal de comunicación con los webmasters.

Para ello estan enviando a la dirección de email que aparece en los sitios web a eliminar, un email firmado por “Google Search Quality Team” y una copia del mismo es enviada al responsable del hosting notificándoles que sus webs van a ser eliminadas del indice del buscador.

El extracto de los email es el siguiente:

Estimado propietario o Webmaster de……….

Mientras procedíamos a la indexación de sus páginas webs, hemos detectado que algunas páginas estaban usando  técnicas fuera de nuestras directrices de calidad, que pueden encontrarse aqui……..

Para preservar la calidad de nuestro buscador, hemos retirado temporalmente algunas páginas de los resultados de búsqueda. Actualmente estamos programando eliminar páginas de…………. por un tiempo mínimo de treinta dias.

Hemos detectado las siguientes prácticas en la web:
En …………….hemos encontrado que páginas tal que estás ……….. están utilizando redirecciones JavaScript.

Preferiamos tener sus páginas en el index de Google. Si quiseran ser incluidos, por favor corrijan o eliminen todas las páginas que no cumplen con nuestras directrices de calidad. Cuando esté listo, por favor envíe una petición de reinclusión………..

Puedes seleccionar “soy un webmaster preguntando sobre mi web” y luego “porque mi sitio ha desaparecido de los resultados de búsqueda o descendido en los rankings” y clickar continuar. Deberás incluir en el asunto “Petición de reinclusión”.

Sinceramente
El equipo de calidad de búsqueda de Google.

Lo que Google no ha anunciado aún es si usará esta misma técnica para sitios fraudulentos, que usen su contenido para engañar al usuario, como ocurre con el “phising“.

Han aparecido múltiples y variadas vulnerabilidades para el router Linksys WRT54G,  uno de  más populares de Linksys, una filial de Cisco Systems.

Buffer Overflow:
Esta vulnerabilidad reside en el “apply.cgi” que está corriendo en el servidor web interno del router, dicho servidor se usa para acceder a la configuración del router y está a la escucha en el puerto 80 y es accesible desde los puertos LAN (físico) y los WLAN (inalámbrico).

Un atacante que esté asociado al punto de acceso puede mandar una solicitud POST para la página del apply.cgi con un contenido mayor de 10000 bytes y causar un buffer overflow que probablemente pueda ocasionar la ejecución de código arbitrario.

Authentication Bypass 1:
La explotación remota de un fallo en el upgrade.cgi del Linksys WRT54G wireless router puede ocasionar una modificación del firmware por un usuario no autenticado.

Authentication Bypass 2:
La siguiente reside en el hecho de que el demonio HTTPd interno no comprueba si un usuario está autenticado antes de cambiar la configuración en la memória no-volatil del router.Si el usuario es legítimo el router se reiniciará y cargará los cambios, pero si no está autenticado, mostrará un mensaje de error  y los cambios tendrán efecto la próxima vez que se reinicia el router.

Authentication Bypass 3:
Un error en varias versiones del firmware para Cisco Systems Inc.’s Linksys WRT54G puede ocasionar que un usuario no autenticado modifique la configuración del router.

DoS:
El hecho de no comprobar si la utentificación ha fallado antes de que la información dada sea procesada hace que en varios lugares se dé como válida la longitud de dichos datos pudiendo ocasionar un DoS(en este caso por la perdida de paquetes) por sobrecarga.

Sistemas vulnerables:
 
Linksys WRT54G firmware version 3.03.6
 
Linksys WRT54G firmware version 3.01.03

Prevención de ataques:
Actualización del firmware a la versión 4.20.7

Información adicional:
Más detalles

Según ha publicado The Wall Street Journal cada vez son mas usuarios de internet que eliminan las cookies de sus equipos o impiden su instalación. Las cookies son archivos de texto que permiten conocer los hábitos de navegación de los usuarios en internet como por ejemplo permite conocer a un anunciante si los usuarios que hacen click en un aviso comercial, pero que también tienen otras funciones. Ante la desconfianza que generan éstos archivos los usuarios  los bloquean en sus navegadores por que se sienten espiados o por los temores a que estos archivos sean similares a los virus o programas de espionaje.

Hay dos tipos de cookies, por un lado los que instalan los sitios que está visitando el usuario y por otro lado los que instalan terceros. Los primeros, al instalarse, el usuario es conocedor de la empresa que los está instalando pero en los segundos los usuarios desconocen la empresa que los está instalando y son los que generan mayor recelo. En ambos casos permite conocer los hábitos de navegación del usuario, pero en los cookies de terceros el usuario desconoce la empresa que quiere instalar los cookies y en lógica tiende a desinstalarlos o bloquear su instalación.

La información que proporciona a los webmaster es muy valiosa ya que permite conocer cuales son las promociones y campañas de publicidad más efectivas y las que generan mayores ingresos. Y no sólo eso, sino que en muchos sitios web es imprescindible el uso de cookies para el correcto funcionamiento, por ejemplo al registrarse en un servicio o acceder a la cuenta personal en ese sitio. Los cookies tambien permiten a los usuarios conectarse automáticamente con los sitios que los utilizan.

Los proveedores de software de rastreo están modernizando éste software para permitir que sea más seguro y que el usuario que los instale conozca los riesgos y  sea conocedor de la empresa que los está instalando.

The Wall Street Journal publica algunos datos, que indican que los cookies son cada vez más borrados de los equipos e indica un informe publicado por Eric Peterson, analista de Jupiter Research, quien afirma que hasta el 39 por ciento de los usuarios de Internet está borrando estos archivos cada  mes.

El rechazo de los cookies de terceros por los usuarios ha llevado a que los proveedores de este software ofrezcan los cookies  llamados de primera fuente. Una de estas empresas es Coremetrics Inc. quien afirma que disponen de 450 clientes, de los cuales 70 son clientes de cookies de primera fuente, 90 se han cambiado de cookies de terceros a cookies de primera fuente y otros 75 están estudiando la posibilidad de cambiarse de cookies.

Quizá sea cuestión de una reordenación de las políticas de uso de estos ficheros, que mal utilizados pueden generar cierto riesgo al navegante, pero que si son bien utilizados realizan una función muy importante tanto para las webs que visitamos como para poder hacer un uso correcto de la web.

Fuente: La Flecha

Los hechos comenzarón en enero de 2.005 cuando aparecieron en una dirección de internet, una copia de la libreta de direcciones de contacto del teléfono móvil de Paris Hilton entre las cuales algunos famosos como Eminem o Anna Kournikova.

El detenido es un menor del Estado de Massachussets que ha sido condenado a once meses de detención y dos años de vigilancia  con la prohibición de utilizar ordenadores, teléfonos móviles y cualquier otro terminal que le permita conectarse a internet.

El método utilizado por este cracker para realizar el acto delictivo fue engañar a los empleados de la internacional T-Mobile ***Actualizado 20/09/2005: Este cracker usó la respuesta a la pregunta secreta que utiliza Paris Hilton: “¿Nombre de mi perro?”***

El menor ya era conocido en los ambientes policiales por su implicación en otros sucesos delictivos en los que ya habia sido condenado por realizar diversos avisos de bomba en varios colegios del mismo estado.

La fiabilidad para poder reconocer de forma infalible a una persona mediante sus huellas dactilares (conocido como biométrica) está en tela de juicio. Recientemente fue suscitada la polémica debido a un error que cometió el FBI, al identificar por las huellas dactilares a un legislador de Portland como presunto colaborador de los atentados de Madrid en el fatídico 11M, habiendo sido posteriormente demostrada la inocencia de dicha persona (parece ser que en realidad se trataban de las huellas de un algeriano).

Esto propició un estudio, que revela que la tasa de error puede rondar entorno a un máximo de entre 0.8% y un 4%. Esta tasa es demasiado elevada, si tenemos en cuenta que debería poder ofrecer una alta seguridad en identificación dactilar. Pero esto nos lleva más allá: ¿en qué medida puede esto afectar a la identificación biométrica digital?

El reconocimiento biométrico en equipos informáticos, en accesos a sistemas, acceso a instalaciones, etc… podría no llegar a ser tan fiable como se espera. Porque una tasa de error de 1 sobre 1.000.000, puede ser asumible, pero un 0.8% o un 4%, es algo no válido. Ciertamente, en un escáner biométrico de huellas dactilares se dispone de la oportunidad de poner el dedo varias vaces si el dispositivo no nos reconoce, pero, ¿y si ocurre el caso contrario y el dispositivo reconoce como válida una huella distinta a las de la base de datos?

No se en qué medida puede afectar esto al reconocimiento biométrico “digital” (refiriéndonos al utilizado por dispositivos electrónicos), pero podría llegar a descartarla como una medida de seguridad fiable. ¿Quizá el futuro esté en el ADN?

En Microsiervos y Pjorge ya han hablado sobre este estudio.

Un estudio ha revelado que el 79% de los responsables informáticos cree que los empleados ponen en peligro a sus empresas al no hacer un uso responsable de Internet. Son muchos los empleados que siguen abriendo correos no solicitados, documentos adjuntos desconocidos, o que descargan programas maliciosos de páginas Web.

Con el cibercrimen aumentando a un ritmo vertiginoso, éstos empleados pueden comprometer la credibilidad de sus empresas, y aconseja a las organizaciones que resuelvan este problema lo antes posible.

“Generalmente, cuando los empleados hacen un uso irresponsable de Internet, lo hacen porque no saben que ello puede tener consecuencias desastrosas para la empresa” comenta Annie Gay, Directora General de Sophos Francia y Europa del Sur. “Es la empresa la responsable de informar a sus empleados sobre cuáles son las prácticas de riesgo para la seguridad de la empresa, tales como abrir documentos adjuntos no deseados, o visitar paginas Web de contenido ilícito, y mostrarle cómo protegerse contra las amenazas que circulan por Internet”

Sophos ha identificado los “siete pecados capitales” en el uso de Internet desde el trabajo:

- Descargar música o películas
- Abrir documentos adjuntos o hacer clic en enlaces de mensajes no solicitados
- Visitar paginas Web porno o de contenido ilícito
- Abrir programas de broma enviados por amigos o compañeros de trabajo
- Instalar programas no autorizados o complementos del navegador Web
- Proporcionar informaciones personales a desconocidos por teléfono o email.
- Utilizar la misma contraseña en diferentes páginas Web o compartirla con más gente

Una encuesta realizada recientemente por Sophos en el Reino Unido, mostraba que el 63% de los responsables informáticos de las empresas británicas consideraba que los empleados que no hicieran un uso responsable de sus ordenadores, a pesar de estar informados sobre los riesgos potenciales de sus acciones, deberían recibir un aviso oficial, y si su actitud continuaba, deberían ser despedidos. Otro 10% de los encuestados consideraba que estos empleados deberían ser inmediatamente despedidos.

“Los resultados de esta encuesta muestran que hay departamentos de informática que consideran la seguridad de sus empresas como un asunto extremadamente serio” continua Annie Gay. “Una política interna estricta sobre el uso de Internet y del correo electrónico contribuiría sin lugar a dudas a mejorar la seguridad de la empresa, así como la utilización de un antivirus u otros programas de seguridad”

Se recomienda a las compañías la utilización combinada de políticas de seguridad para garantizar el uso responsable de Internet, con una protección en la pasarela de correo para defenderse contra virus, programas espía y spam. Las compañías deben proteger asimismo sus redes y puestos de trabajo con una solución que se actualice automáticamente.

“Según informa Panda Software, se acaba de detectar el virus P2load.A, el cual afecta a usuarios de MS Windows, cambia la página de inicio y las opciones de búsqueda de MS IExplorer, y redirige los intentos de acceso a la página www.google.com hacia otra página que la imita (ver imagen).

Se propaga a través de los programas P2P Shareaza e Imesh, creándose copias de sí mismo en los directorios compartidos de estas aplicaciones.”

Fuente: google.dirson.com

A parte de usar un tradicional keylogger (definición: “programa que intercepta todas las pulsaciones realizadas en el teclado e incluso a veces también el mouse, y las guarda en un archivo para obtener datos sensibles como contraseñas, etc. Este archivo puede ser enviado por un troyano a un atacante”), existe otra vertiente para conocer qué teclas son pulsadas en un teclado, pero que requieren estar presente o al menos poder tener una grabación del sonido realizado por el teclado. Evidentemente, este caso se puede dar en una ventanilla de atención pública, o en cualquier otro lugar público donde otra persona accede mediante pulsaciones a algún tipo de cuenta electrónica, véase cajero automático.

Este método es el conocido como “criptoanálisis acústico“, el cual ya fue motivo de estudio por IBM en 2004, demostrando que cada tecla de un teclado tiene un sonido distintivo, permitiendo tonalizar datos, incluyéndose las contraseñas, para que puedan ser recuperadas al analizar grabaciones de un dispositivo de sonido.

Este hecho se conocía desde hace tiempo, aunque ahora unos investigadores de Berkeley han determinado que es posible capturar hasta un 96% de pulsaciones de forma correcta, incluso en contraseñas, en un artículo publicado en Cnet:

Keyboard clicks can lead to security hacks