NOTICIAS Y RUMORES: Seguridad Informatica

Mejorar tu seguridad y proteger tu equipo de ataques desde Internet

Si se me permite exponerlo aquí, daré un par de consejos sobre como mejorar en gran medida la seguridad de los equipos expuestos a Internet.

En este aspecto hay 2 puntos clave (muy clave) que son el Flash y Java, son absolutos coladeros de seguridad, además de otras formas de "vulnerabilidad" como son por ejemplo, en el caso del Flash de un instalador automático, fácilmente suplantable por otro que haga lo que quiera en el sistema, a ver si se enteran los de Adobe que las actualizaciones no deberían exigir introducir la clave de administrador, y en el caso de Java es posible acceder a través del navegador al equipo, sí tal y como se lee, escribiendo ficheros en disco y etc.etc.

Mi consejo:

1) Flash: intenta prescindir de éste, puedes configurar YouTube para usar HTML5 (enlace), si no te queda más remedio, al instalar Flash configúralo para que NUNCA ACTUALICE, así para actualizarlo serás tú mismo quien se descargue el nuevo instalador y lo ejecute, sabiendo entonces de que es realmente el instalador de Flash y no un suplantador.

2) Java: de nuevo, si no usas programas como JDownloader o LibreOffice, prescinde de éste. En caso de no poder, pues por lo menos elimina la parte más peligrosa, la de los navegadores que es por donde entran los malwares.
Abre el panel de Java (está por el panel de control, según la versión de Windows), y en la pestaña "Avanzado" desmarcar la casilla que hay en "Java Plugin" lo que lo desactiva para el Internet Explorer para todos los usuarios.
Desactivarlo justo en la opción encima para Firefox NO funciona, por lo que habrá que desactivarlo para cada usuario que use Firefox de manera individual, botón Firefox -> Complementos -> Plugins -> desactivar todos los "Java". Una forma de quitarlo para todos los usuarios es la que se comenta aquí (parte Plugins), traducido a lo simple, los plugins globales se registran en "HKEY_LOCAL_MACHINE\Software\MozillaPlugins" así que usar regedit y borrar lo que no interese.
Para Safari, pues en las opciones hay una casilla para desactivar Java.
Si usas Chrome u Opera deberás buscar el método ya que lo desconozco.

A mí por lo menos cada vez que un malware me ha entrado desde Internet SIEMPRE, y nunca ha fallado, justo el momento antes el navegador se quedó "congelado" un momento, exactamente lo que hace cuando se carga por 1ª vez el módulo de Java para dicho navegador, mucha casualidad.
Si una web usa Java, pues que se joda, prefiero tener mi equipo seguro, que usen PHP/AJAX que es lo que debieran hacer.

Y para el que se confunda, Java NO es Javascript, y este último hay que dejarlo puesto para que funcionen el 90% de las webs, además de que no es peligroso, salvo por los agujeros de seguridad que pueda tener el propio navegador, pero no la tecnología en sí misma.

darksch escribió:2) Java: de nuevo, si no usas programas como JDownloader o LibreOffice, prescinde de éste.

Aclarar que LibreOffice no necesita Java para funcionar, ya que es totalmente opcional.

Blizzard comunica que ha sufrido un acceso no autorizado en sus servidores

La compañía Blizzard Entertainment ha confirmado que su equipo de seguridad ha descubierto un acceso no autorizado e ilegal a su red interna. La información robada es la siguiente:

Cuentas de todas las regiones globales fuera de China (incluidas Europa y Rusia):
- Direcciones de correo electrónico

Cuentas en Norteamérica (incluye a jugadores de Latinoamérica, Australia, Nueva Zelanda y el Sureste asiático):
- Direcciones de correo electrónico
- Respuestas a preguntas de seguridad secretas
- Versiones cifradas criptográficamente de contraseñas (no contraseñas reales)
- Información relacionada con el Authenticator para móviles
- Información relacionada con el Dial-In Authenticator
- Información relacionada con el Phone Lock, un sistema de seguridad asociado solo a cuentas de Taiwán

Blizzard ha emprendido las siguientes acciones tras el incidente:

«Cuando descubrimos el acceso no autorizado, trabajamos rápidamente para restablecer la seguridad de la red. Inmediatamente después, notificamos a las autoridades y a expertos en seguridad y dimos comienzo a una investigación aún en curso para determinar lo sucedido. También tomamos medidas para notificar a los jugadores, lo que tuvo lugar en cuestión de días tras del descubrimiento del acceso.»

Además de lo anteriormente mencionado, Blizzard en su comunicado oficial explica lo siguiente:

«Durante los próximos días advertiremos a los jugadores de Norteamérica para que cambien sus preguntas y respuestas secretas mediante un proceso automatizado. Además, advertiremos a los usuarios del Authenticator para móviles para que actualicen el software de su Authenticator. Os recordamos también que los correos electrónicos fraudulentos (phishing) os pedirán vuestra contraseña o vuestra información de inicio de sesión. Los correos electrónicos de Blizzard Entertainment jamás os pedirán vuestra contraseña.»

Desde Blizzard Entertainment piden disculpas por la situación y hacen hincapié en que la seguridad de los datos de sus usuarios son muy importantes.

«Lamentamos profundamente los inconvenientes que esto os ha podido causar y entendemos que tendréis preguntas. Encontraréis información adicional aqui.

Nos tomamos la seguridad de vuestra información personal muy en serio y lamentamos sinceramente que haya sucedido esto.»



Solución:
Se recomienda a todos los usuarios cambiar la contraseña de su cuenta lo antes posible. Los pasos a seguir son los siguientes:
- Iniciar sesión
- Cambiar contraseña

Muy importante, la contraseña debe cumplir unos requisitos mínimos para que sea segura.

En el caso de que se estuviese utilizando la misma contraseña para acceder a otros servicios –Facebook, Twitter, Hotmail, Gmail, etc.- se recomienda modificar también la contraseña en estos servicios.

Hay que estar pendientes durante estos días, es posible que los delincuentes aprovechen esta situación para estafar a los usuarios utilizando técnicas de ingeniería social, phishing, etc.

Ante cualquier duda, puede solicitar ayuda a través del tfno. 901 111 121 del «Centro de Atención Telefónica de la OSI».

Fuente: INTECO

Gauss, nuevo troyano especializado en ataques a cuentas bancarias

Kaspersky Lab ha publicado información de un nuevo especimen bautizado como Gauss capaz de espiar las transacciones bancarias, robar información de acceso a redes sociales o correo electrónico y atacar infraestructuras críticas.

De la misma saga que armas cibernéticas como Stuxnet y Flame, con los que comparten algunas funciones como subrutinas de infección por USB, se cree que Gauss fue creado a mediados de 2011 y desplegado en septiembre del mismo año en oriente Medio, con objetivos como las entidades BlomBank en Líbano, ByblosBank y Credit Libanais, además de Citibank y PayPal.

Gauss fue descubierto en el transcurso de los esfuerzos iniciados por la Unión Internacional de Telecomunicaciones (UIT), tras la aparición de Flame. El esfuerzo está dirigido a la mitigación de los riesgos planteados por las ciberarmas, un componente clave en la consecución del objetivo general global en materia de paz.

Gauss es un complejo conjunto de herramientas de espionaje cibernético creado por los mismos actores detrás de la plataforma de software malicioso Flame. Es altamente modular y soporta nuevas funciones que se pueden desplegar de forma remota por los operadores en forma de plug-ins.

Además de robar varios tipos de datos de máquinas Windows infectadas, incluye una carga desconocida, cifrada, que se activa en determinadas configuraciones del sistema.

“Todas estas herramientas de ataque representan el extremo del ciberespionaje y las operaciones de guerra cibernética patrocinadas por los estados”, señalan desde Kaspersky Lab en el informe sobre Gauss descargable en .pdf.

DETECCIÓN
Para comprobar que no estés infectado simplemente pincha en esta dirección y deberías obtener la siguiente imagen:



DESINFECCIÓN:
De lo contrario puedes utilizar las herramientas de desinfección gratuitas que pueden eliminarlo, como:

- Kaspersky Virus Removal Tool 2011

- BitDefender para Windows de 32 bits

- BitDefender para Windows de 64 bits

Fuente: MuySeguridad

El último boletín de Acrobat y Reader deja al menos 16 problemas de seguridad conocidos sin resolver

Tras la publicación del último boletín de Adobe para Reader y Acrobat (APSB12-16), los investigadores Mateusz Jurczyk y Gynvael Coldwind del Google Security Team (y antiguos compañeros de Hispasec) han publicado su análisis en el que concluyen que Adobe, aparte de dejar desprotegidos a los usuarios de Linux (al no haberse publicado aún ninguna versión corregida) no ha resuelto todas las vulnerabilidades reportadas por ellos mismos.


El grupo se encargó del proyecto de "fuzzing" del lector de PDF integrado en Google Chrome. Detectaron más de 50 problemas. Los más críticos han sido ya corregidos en el lector del navegador. Dado el "éxito" de la operación, decidieron realizar las mismas pruebas contra el lector de Adobe.

Concluyeron sus pruebas con 60 fallos. 31 problemas podían ser "trivialmente explotables" y 9 potencialmente explotables. En junio, se pusieron en contacto con el equipo de seguridad de Adobe, que se mostraron muy colaborativos desde el principio. Pero el último boletín solo se corrigen alrededor de 25 de estos fallos en sus 12 CVEs.

Así, los investigadores concluyen que existen unos 16 problemas no corregidos aún, que podrían representar quizás unas 8 vulnerabilidades graves (puesto que 25 problemas dieron origen a 12 CVEs). Hay que tener en cuenta que los problemas detectados por "fuzzing" pueden tener origen en una misma vulnerabilidad, y ser corregidos con una misma modificación del código.

Adobe afirma que lo solucionará en un futuro. El 27 de agosto se cumple el límite de 60 días que los investigadores impusieron como condición para dar detalles, pero puesto que Adobe no tiene intención de publicar un boletín fuera de ciclo, parece que se cumplirá el plazo sin que haya parches. Así que han decidido, ya, poner a disposición de todos sus descubrimientos, dado el riesgo al que se enfrentan los usuarios.

Fuente: Hispasec

Timo nigeriano contra tiendas en línea españolas

Desde ESET España están alertando de un aumento de casos de estafas producidos por un nuevo timo nigeriano cometido a través de tiendas en línea españolas de artículos de segunda mano, cuyo resultado para el vendedor es preocupante: entrega el producto y nunca recibe el dinero solicitado.

El “modus operandi” es muy sencillo: alguien interesado en nuestro producto se pone en contacto con nosotros y nos hace varias preguntas al respecto. Una vez contestadas sus preguntas, el falso comprador suele aceptar sin rechistar las condiciones de venta que estipulamos, e incluso más de una vez suele ofrecer más dinero del que pedimos. Es entonces cuando recibimos un correo con los datos del destinatario del artículo, que, en muchas ocasiones, desvela encontrarse en un país determinado pero solicita el envío del producto a un familiar residente en otro país: Nigeria.

Tras este intercambio de información, el vendedor recibe un e-mail que parece proceder de PayPal y que le informa de que el posible comprador ha realizado la transferencia de dinero correspondiente al pago del producto, pero que el efectivo está siendo retenido hasta la recepción del número de seguimiento del paquete que, supuestamente, tenemos que enviar al propio PayPal. En ese momento, afirma la comunicación, el vendedor recibirá el dinero.

Todo aparentemente normal si no fuese por dos detalles: PayPal no realiza estas retenciones, ya que transfiere directamente el dinero de una cuenta a otra sin requerir ningún número de seguimiento; y a pesar de que aparentemente la dirección de correo pertenece a PayPal, la verdadera dirección de respuesta va asociada a un dominio que nada tiene que ver con esta empresa.

Al poco de recibir el falso mensaje de PayPal, si no se procede al envío del paquete, el vendedor comienza a recibir e-mails del comprador instándole al envío del producto, haciéndose estos correos cada vez más insistentes y groseros.

Las recomendaciones pasan por contactar personal o telefónicamente con el comprador, para intentar revelar su identidad; buscar en Internet el nombre del comprador como del correo electrónico que utiliza; desconfiar de usuarios que solicitan los envíos al extranjero y recordar que PayPal jamás solicita números de envío. Por último, conviene denunciar ante las autoridades cualquier intento de estos fraudes.

Fuente. MuySeguridad

Anonymous ataca webs gubernamentales británicas en apoyo de Assange

El grupo ciberactivista internacional Anonymous se ha responsabilizado de los ataques a portales web del gobierno británico en apoyo de Julian Assange, el fundador de Wikileaks.

Anonymous ha amenazado con extender la ‘Operación Libertad para Assange’ que tumbó ayer mediante ataques DDoS los sitios web del Ministerio de Justicia, el de Interior y la Downing Street, la destinada a la oficina del primer ministro David Cameron, aunque las autoridades descartan el robo de información sensible.

Anonymous se ha unido -a su manera- a múltiples organizaciones y a la opinión generalizada en Internet que opina que el caso se trata de una ‘caza de brujas’ y de denuncias falsas contra Assange, al que no se perdona la publicación de unos informes que han revelado los más aspectos más sucios de la política mundial. El objetivo sería el cierre total de Wikileaks y un aviso a futuros portales que se atrevan a publicar este tipo de material.

Fuente: MuySeguridad

Siguiendo con temas de seguridad relacionados con Assange

Correo sobre falso video de Julian Assange propaga Dorkbot

Desde el laboratorio de ESET en Latinoamérioca, nuestro compañero Fernando Catoira nos informa  de un correo electrónico en el cual se alega la existencia de un supuesto vídeo donde la policía de Gran Bretaña accede a la embajada de Ecuador con la finalidad de capturar a Julian Assange. Asimismo, el correo incluye un remitente falso indicando que el mismo, supuestamente, proviene de un importante diario de Ecuador.

El correo electrónico informa de la existencia de un supuesto vídeo donde se observarían imágenes de un operativo jamás visto por parte de la policía de Gran Bretaña accediendo a la embajada de Ecuador en el país anglosajón. Continuando con el engaño, al final del correo se provee un enlace hacia el supuesto vídeo pero, en realidad, se inicia la descarga de un archivo ejecutable que es detectado por ESET NOD32 Antivirus como Dorkbot. Este código malicioso corresponde a una botnet que tiene una fuerte presencia en Latinoamérica. El impacto de este malware en la región es muy alto y puede reflejarse en el post titulado Infografía dorkbot: más de 80.000 bots en países hispanohablantes. A continuación se observa una captura del correo recibido:



Realizando un análisis más profundo de la muestra se pudo comprobar que descarga un archivo con un listado de diferentes URLs correspondientes a distintos bancos. Su finalidad es redireccionar a la víctima que se ha infectado a sitios de phishing para así poder robar sus datos bancarios. El listado antes mencionado contiene diferentes bancos de gran relevancia pertenecientes a Ecuador, Colombia y Chile. A continuación se adjunta una captura que permite comprobar como la víctima es redirigida a un sitio que no es el verdadero:


Es importante que los usuarios tengan conciencia sobre la utilización de Ingeniería Social con temas sumamente actuales. Estas actividades convergen en el aumento de las probabilidades de infección debido al fuerte interés que genera en la potencial víctima. Es por esto que recomendamos a nuestros usuarios la lectura de la guía para identificar correos falsos así como también el post sobre ataques y realidades del phishing.

Gracias por la información