En el día de la fecha, nos han reportado otra nueva forma de engaño para obtener direcciones de correo y contraseñas al mejor estilo quienteadmite.
Este servicio tiene un par de semanas de existencia y la descripción completa está en checkapic o friendlypixx y lo más “gracioso” es lo que dice en sus términos y condiciones:
Efectivamente ellos entrarán a nuestra cuenta con nuestro nombre de usuario y contraseña.
Cristian
Categorías: fraude · mensajería
En el día de la fecha, nos han reportado otra nueva forma de engaño para obtener direcciones de correo y contraseñas al mejor estilo quienteadmite.
Este servicio tiene un par de semanas de existencia y la descripción completa está en checkapic o friendlypixx y lo más “gracioso” es lo que dice en sus términos y condiciones:
Efectivamente ellos entrarán a nuestra cuenta con nuestro nombre de usuario y contraseña.
Cristian
Categorías: fraude · mensajería
En el día de la fecha, nos han reportado otra nueva forma de engaño para obtener direcciones de correo y contraseñas al mejor estilo quienteadmite.
Este servicio tiene un par de semanas de existencia y la descripción completa está en checkapic o friendlypixx y lo más “gracioso” es lo que dice en sus términos y condiciones:
Efectivamente ellos entrarán a nuestra cuenta con nuestro nombre de usuario y contraseña.
Cristian
Categorías: fraude · mensajería
En el día de la fecha, nos han reportado otra nueva forma de engaño para obtener direcciones de correo y contraseñas al mejor estilo quienteadmite.
Este servicio tiene un par de semanas de existencia y la descripción completa está en checkapic o friendlypixx y lo más “gracioso” es lo que dice en sus términos y condiciones:
Efectivamente ellos entrarán a nuestra cuenta con nuestro nombre de usuario y contraseña.
Cristian
Categorías: fraude · mensajería
Es el argumento empleado por el gigante de Internet, en la presentación de su defensa en el caso de la demanda de la pareja de Pensilvania que acusó a su servicio Street View de invasión intencionada de su privacidad.
Como sabéis el servicio Street View integrado en Google Maps ofrece imágenes de calles de algunas de las principales ciudades de Estados Unidos (próximamente las europeas) a base de fotografías en 360 º. Una herramienta fantástica pero polémica desde sus inicios y que se suma a las acusaciones de invasión de la intimidad de otros servicios de Google.
Aunque la demanda de la pareja estadounidense, que dicen les ha ocasionado “sufrimiento mental y devaluación de sus bienes”, parece un intento oportunista de conseguir dinero fácil (piden 25.000 dólares por daños), pone en evidencia la política global de privacidad que emplea Google, acusado de intromisiones a la hora de recabar datos de ciudadanos e internautas y su posterior tratamiento.
Está por ver que el argumento empleado por Google indicando que con la tecnología actual de imágenes por satélite “la privacidad completa no existe ni siquiera en los desiertos”, sea suficiente para convencer a su señoría. Recordemos que aunque la demanda nos parezca absurda, la vivienda en cuestión está marcada claramente como propiedad privada y la vía en la que se encuentra en una zona restringida.
Es indudable que Google pone a disposición de los usuarios excelentes herramientas web pero a cambio, según sus críticos, la convierten en la compañía con más información de las actividades online de los internautas y la dotan de una capacidad sin precedentes para el espionaje de usuarios.
Fuente: http://www.theinquirer.es/2008/07/31/google-dice-que-%E2%80%9Cla-privacidad-completa-no-existe%E2%80%9D.html
Categorías: privacidad
Por Ralf Benzmüller, director del Laboratório de Seguridad de G DATA.
La virtualización está de moda, empezando porque no se trata de algo pasajero o transitorio, y siguiendo porque sus ventajas hablan por sí solas: consolidación de servidores, almacenamiento virtual, flexibilidad, ahorro de costes, integración de arquitecturas y un largo etcétera de posibilidades, entre las que destacan la gestión centralizada y simplificada de los sistemas y, finalmente, nuevas capacidades en materia de seguridad.
En paralelo, los creadores de malware también están al tanto de su creciente expansión y ya están volcando sus esfuerzos en aprovechar nuevas oportunidades para seguir en su incesante carrera destructiva, en la que la sorpresa y la pronta actuación son algunas de sus tristes señas de identidad. Al respecto, los cibercriminales ya han conseguido explotar la virtualización con nuevos y dañinos rootkits, una herramienta que se utiliza para esconder aplicaciones que atacan al sistema, como Blue Pill, un código malicioso que hace referencia a la píldora azul que se le ofrecía al protagonista del filme Matrix para seguir viviendo engañado bajo un mundo virtualizado, frente a la roja que le despertaba a la realidad.
Trasladada la metáfora al caso que nos atañe, el de la seguridad informática, Blue Pill se disfraza de falso sistema operativo y, utilizando técnicas de virtualización, consigue engañar al usuario de forma que éste sea incapaz de distinguir la realidad, de forma que no podría saber si se encuentra utilizando un sistema infectado que, además, ha sido específicamente diseñado para causar daño. El atacante, aprovechando la citada capacidad de virtualización de los nuevos procesadores de Intel y AMD, instala de forma remota una herramienta de este tipo, con lo que el usuario ni tan siquiera llega a ser consciente del peligro que corre.
En contraposición al dañino Blue Pill, surge la iniciativa Red Pill, que abanderando la corriente de los salvadores en la citada película de los hermanos Wachowski, tiene el objetivo de detectar si el sistema operativo que utilizamos está siendo ejecutado en un entorno virtual o real, para que el usuario pueda volver a tener la confianza de que todo marcha como debería. En esta tarea estamos actualmente involucrados los principales fabricantes de seguridad del mercado, y no es para menos.
Dejando atrás este inquietante asunto, conviene mirar la otra cara de la moneda: la de la virtualización como aliado en aras de una mayor seguridad. Con aplicaciones en Java y .Net ejecutadas ahora en entornos virtuales, el sistema queda menos expuesto a múltiples variantes de código malicioso, y a su vez el sistema operativo pone en marcha procesos en entornos virtualizados, mientras que otras aplicaciones de uso habitual como buscadores o correo electrónico también pueden correr en entornos virtuales.
De esta forma, los cambios en las aplicaciones o en las máquinas virtuales no afectarían al verdadero sistema principal, con lo que la capacidad de propagación del código dañino también sería virtual, y no real. Es lo que se conoce como “cajón de arena”, en referencia a aquellos entornos seguros en los que nuestros hijos pueden jugar sin miedo a hacerse daño al caer.
En definitiva, vemos cómo la virtualización en materia de seguridad puede presentar riesgos –como suele suceder con toda tecnología novedosa, y máxime con la industria del malware tratando de explorar permanentemente nuevos métodos con los que hacer daño-, pero sus ventajas se presentan como francamente interesantes para los gestores TI.
La revolución no ha hecho más que comenzar.
Fuente: http://www.financialtech-mag.com/000_estructura/index.php?ntt=10459&vn=1&sec=4&idb=163
Categorías: malware · riesgos · virtualización
El grupo italiano Mediaset, de Silvio Berlusconi, exige del videoportal Youtube 500 millones de euros de indemnización por derechos de autor no pagados.
Mediaset dice haber descubierto en Youtube miles de vídeos propios. Y se puso a contar. Sólo el 10 de junio, tal la acusación, fueron identificadas 4.643 copias ilegales de Mediaset, con un largo total de 325 horas.
Bildunterschrift: Großansicht des Bildes mit der Bildunterschrift: Logo YoutubeMultiplicado por el número de accesos a esos vídeos, los italianos calcularon que Youtube ha emitido hasta ahora 315.672 días de programa televisivo de Mediaset. Youtube se declara inocente y ha manifestado que no existe causa para ir ante la Justicia.
“Youtube prohibe ya desde hace tiempo a los usuarios subir material con derechos de autor de terceros al portal. Youtube coopera con todos los tenedores de derechos para identificar y sacar rápidamente del portal contenidos protegidos, no bien tomamos conocimiento de los casos”, declaró un el popular videoportal en un comunicado de prensa.
No es el único caso
Si Mediaset se tomó el trabajo de intentar quitar por ese camino los supuestos contenidos de propiedad suya no ha podido ser aclarado hasta ahora. Parece que los italianos optaron directamente por el camino de exigir la indemnización.
Y no es el único caso. En juicios comparables, otros grupos mediáticos proceden contra Youtube. En abril, la emisora de TV francesa TF1 también inició juicio a Youtube. TF1 reclama 100 de euros de indemnización, acusando a Youtube de “parasitismo” y difusión ilegal de contenidos.
También Viacom, dueña de MTV, y los estudios cinematográficos Paramount han llevado a Youtube ante tribunales norteamericanos. Viacom le exige al videoportal nada más ni nada menos que 1.000 millones de dólares.
Como a reacción a los juicios, Youtube instaló en octubre pasado un software de filtro, con el que intenta detectar emisiones televisivas y filmes pirateados y bloquearlos automáticamente.
Mediaset y Fininvest
Mediaset es el grupo mediático del ya varias veces jefe de Gobierno italiano, Silvio Berlusconi. El vicedirector de la sociedad anónima es su hijo, Pier Silvio Berlusconi.
Mediaset, que se cotiza en bolsa, forma parte del “holding” Fininvest, del que la familia Berlusconi posee casi el 51 por ciento de las acciones. El grupo tiene tres emisoras de televisión suprarregionales: Italia 1, Rete 4 y Canale 5.
Fuente: http://www.dw-world.de/dw/article/0,2144,3527979,00.html
Categorías: delitos · derechos · empresas · licencias · piratería · videos
En los últimos años ha crecido el malware diseñado para Linux, infectando gran cantidad de ordenadores y servidores con este sistema operativo.
Aunque Linux es utilizado por una minoría en comparación con el número de usuarios de Windows, al igual que está pasando Mac OS X, ambos sistemas operativos cada vez tienen más popularidad entre los usuarios. Por este motivo, los cibercriminales están creando malware desarrollado para que afecte específicamente a los equipos Apple u ordenadores con Linux.
Como destaca Sophos en su Informe de Seguridad de julio de 2008 sobre cibercrimen, el problema del malware contra Apple es actualmente muy pequeño si se compara con el lanzado contra Windows, pero esto no significa que no haya riesgo. Desde la aparición del primer malware contra Mac OS X a finales de 2007 -generado por motivos económicos- ha habido varias tentativas por parte de los hackers para infectar y robar desde ordenadores Mac.
El mismo informe señala que desde hace 6 años el malware RST-B, diseñado para Linux, ha infectado un gran número de ordenadores y servidores que usan este sistema operativo. Según los datos de SophosLabs, el nivel más alto de infección de Linux/RST-B con ordenadores comprometidos está en EE.UU, seguido de China y Alemania.
Pese a que Linux se presenta en varias distribuciones, el kernel o núcleo sobre el que se desarrollan las diferentes versiones es siempre el mismo, y por esta razón los virus creados para Linux se ejecutan en cualquier distribución pero pueden no tener el mismo efecto.
Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=1851
Categorías: Software libre · malware
Como resumen al documento que ya indiqué en el post Guía para la elaboración del marco normativo de Seguridad ISO 27002 en este texto que he redactado para el Blog del INTECO, comento los principales documentos que aparecen en un SGSI.
Cuando se trata de documentar las decisiones y acciones relacionadas con la seguridad de la información o la construcción de un SGSI (Sistema de Gestión de la Seguridad de la Información), aparecen diferentes tipos de documentos que contribuyen a lograr ese objetivo. En este texto trataré de poner algo de luz en relación a los diferentes documentos que pueden ser utilizados para tratar de establecer, definir y documentar las necesidades en Seguridad de la Información.
Todo intento por formalizar cualquier tarea o aspecto relacionado con la seguridad debe tratar como mínimo de responder a tres preguntas:
* Qué: objetivo, requisito o regulación que se quiere satisfacer o cumplir (lo que hay que lograr).
* Quién: responsable de la tarea o encargado de que se cumpla (el encargado de hacerlo posible).
* Cómo: descripción de las actividades que darán con la consecución del objetivo o requisito (lo que haya que hacer para conseguirlo).
Las preguntas cuándo y dónde muchas veces no tienen por qué ser respondidas aunque suelen ser tratadas en los procedimientos. Basándose en lo anterior, los documentos que se elaboran para formalizar la seguridad tratan, a diferentes niveles, de responder a esas preguntas, relacionándose de manera jerárquica unos con otros:
* Una política de seguridad debe establecer las necesidades y requisitos de protección en el ámbito de la organización y es la guía o marco para la creación de otro tipo de documento más detallado que denominamos norma de seguridad. Formalmente describe qué tipo de gestión de la seguridad se pretende lograr y cuáles son los objetivos perseguidos. Definen qué quiere la organización a muy alto nivel, de forma muy genérica, quedando como una declaración de intenciones sobre la seguridad de la Organización. A su vez, una política de seguridad puede apoyarse en documentos de menor rango que sirven para materializar en hechos tangibles y concretos los principios y objetivos de seguridad establecidos. Hablamos entonces del marco normativo que puede estar constituido por documentos de rango inferior, como pueden ser las normas, políticas de uso, procedimientos de seguridad e instrucciones técnicas de trabajo. Vamos a ver en qué consisten cada una de ellas.
* Una norma de seguridad define qué hay que proteger y en qué condiciones, pero para situaciones más concretas. Sirven para establecer unos requisitos que se sustentan en la política y que regulan determinados aspectos de seguridad. Una norma debe ser clara, concisa y no ambigua en su interpretación. Se pueden agrupar en base a las diferentes áreas de la seguridad dentro de la organización: normas de seguridad física, normas de control de acceso a sistemas, normas de gestión de soportes, normas de clasificación de información, etc.
* Un procedimiento de seguridad determina las acciones o tareas a realizar en el desempeño de un proceso relacionado con la seguridad y las personas o grupos responsables de su ejecución. Son, por tanto, la especificación de una serie de pasos en relación la ejecución de un proceso o actividad que trata de cumplir con una norma o garantizar que en la ejecución de actividades se considerarán determinados aspectos de seguridad. Un procedimiento debe ser claro, sencillo de interpretar y no ambiguo en su ejecución. No tiene por qué ser extenso, dado que la intención del documento es indicar las acciones a desarrollar. Un procedimiento puede apoyarse en otros documentos para especificar, con el nivel de detalle que se desee, las diferentes tareas. Para ello, puede relacionarse con otros procedimientos o con instrucciones técnicas de seguridad.
* Una instrucción técnica de seguridad determina las acciones o tareas necesarias para completar una actividad o proceso de un procedimiento concreto sobre una parte concreta del sistema de información (hardware, sistema operativo, aplicación, datos, usuario, etc.). Al igual que un procedimiento, son la especificación pormenorizada de los pasos a ejecutar. Una instrucción técnica debe ser clara y sencilla de interpretar. Deben documentarse los aspectos técnicos necesarios para que la persona que ejecute la instrucción técnica no tenga que tomar decisiones respecto a la ejecución de la misma. A mayor nivel de detalle, mayor precisión y garantía de su correcta ejecución.
* Una política de uso es un documento destinado a usuarios finales con la intención de establecer una regulación específica sobre la utilización de un sistema, tecnología o recurso. En este caso, deben documentarse las normas de comportamiento que deben cumplir los usuarios en el uso de los sistemas de información o los aspectos generales que se desean regular, así como los usos que son considerados autorizados y los usos no aceptables.
Lo importante de este conjunto de documentos que forman el marco normativo es, por un lado, documentar de forma clara y concreta las decisiones establecidas por la organización en materia de seguridad y, por otro, que sean utilizados por todas las personas de la organización para saber qué hacer en cada circunstancia en relación con la protección de la información.
Fuente: http://sgsi-iso27001.blogspot.com/2008/07/como-resumen-al-documento-que-ya-indiqu.html
El creador de Metasploit, el popular framework de explotacion que fue el primero en incluir un modulo funcional de la ultima vulnerabilidad de DNS, ha sido victima de su propio invento.
Martes por la mañana, en la compañia de Moore (BreakingPoint), tuvo redirecciones de parte de su trafico a una pagina falsa de Google que habia puesto un scammer. Segun Moore, el hacker fue capaz de hacer esto ejecutando la vulnerabilidad de envenenamiento de cache en un servidor DNS en las redes de AT&T que estaba en ejecucion en Austin, Texas.
Cuando Moore intento visitar google.com, fue redirigido a una pagina falsa que servia como el index de la pagina de Google en un frame HTML junto con otras tres paginas diseñadas para hacer click automaticamente en publicidad. Aunque ninguna maquina de BreakingPoint fue comprometida, la situacion es bastante incomoda y peligrosa.
Lo interesante del asunto fue como se dieron cuenta los empleados de BreakingPoint, que luego de que algunos empleados mediante amigos y familiares que tambien estaban usando los servidores de DNS de AT&T notaran que la pagina de Google no estaba bien, ya que los atacantes omitieron la imagen de la NASA que tenia Google en su pagina por la conmemoracion de sus 50 años 
Fuente: http://www.dragonjar.org/h-d-moore-victima-de-su-propio-invento.xhtml
Categorías: exploit
