Datos Personales para Todos

febrero 16, 2012 § Deja un comentario

“Las empresas podrán comercializar datos personales sin pedir permiso” aunque parezca mentira es cierto, en un fallo reciente la Asociación Española de Protección de Datos (AEPD) debió retroceder en su batalla frente a un grupo de empresas que realizaban un uso inadecuado, o en su defecto, no alineado a la legislación vigente en España. El fallo incluso indica la necesidad de analizar una serie de puntos de la Ley Orgánica de Protección de Datos (LOPD). Un tema muy interesante y que se está presentando a diario en distintas partes del mundo, pero no es el punto que pretende comentar este post, dado que hay muchos abogados que lo harían mejor. Lo que resulte interesante desde la óptica de un argentino, como es mi caso, es ver como hay un organismo de control que realiza su trabajo y es la justicia en todo caso quien finalmente dictamina. Resulta llamativo que un organismo de control, controle, ¿no? Repito, esto desde una visión argentina de los organismos de control, que generalmente están bastante ausentes. Y si hay que hablar de ausencias…¿alguien sabe algo de la Dirección Nacional de Protección de Datos Personales? Ahh, creo que la web era http://www.jus.gob.ar/datos-personales.aspx y entre otras cosas incluye la Ley 25326, algunas disposiciones como la N° 11/2006 en la que se describen los distintos tipos de datos personales, en base a su criticidad y las medidas de seguridad que deben implementarse. Si, cuando de Datos Personales se trata, hay que implementar medidas de seguridad y obviamente algunos otros requerimientos legales para que su tratamiento se encuentre dentro del marco legal.

Veamos algunos ejemplos para que se pueda clarificar cuando se debería cumplir la legislación vigente… si le viene a la mente el Formulario de Renuncia Voluntaria a los Subsidios, no es el mejor ejemplo para tratar de identificar las medidas que debería cumplir un portal o sitio web que opere con Datos de Carácter Personal… pero bueno… se les pasó. Vayamos a un caso más actual… ese que está relacionado con las filas de personas que se ven en las principales calles de la ciudad y municipios… adivinó: Tarjeta SUBE. Si se intenta buscar al “Responsable de la Base de Datos”, sólo se encuentra la siguiente información (y hace poco que está así, antes no había nada):

Consulta: Responsable de la Base de Datos
Finalidades Principales
(cri..cri..cri..cri)
Responsable de Acceso
Nación Servicios S.A.
Teléfono 45102000
Domicilio
Adolfo Alsina Nº 665 Piso 1
CABA
Ciudad de Buenos Aires

Sin ser abogado, creo que el registro actual no cumple el Art 6 de la Ley 25326, donde se establece la obligatoriedad de establecer en forma clara la “Finalidad” de los datos solicitados.

Por otro lado, es bueno aclarar que para nuestra legislación existen 2 clases de datos:

Datos personales: Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables.

Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

Si se tienen en cuenta los datos que figuran en la tarjeta, no serían datos de carácter personal, pero lo que complica la situación es que se soliciten datos personales para su asignación. Nadie ha demostrado que los datos solicitados realmente son necesarios, incluso no se ha definido su “finalidad” al momento de registrar la base (que ha sido posterior a la puesta en producción de la tarjeta) y por otro lado podríamos suponer que la Disposición N°11/2006 podría no estar cumpliéndose si tenemos presente la aparente filtración de itinerarios de viajes que se publicó recientemente. Pero bueno, la idea del post no es hacer leña del árbol caído, dado que debe haber poca gente que siga creyendo en la adhesión del Sistema Único de Boleto Electrónico (SUBE) al marco legal vigente.

Si tenemos presente como iniciamos el post, todos estarán esperando la incansable gestión de la Dirección Nacional de Protección de Datos Personales (DNPDP), así como la AEPD lo hace en España, dado que nuestra legislación se basa enteramente en su par española, pero bueno…sigamos esperando. Lo único que se pudo saber de la DNPD es el dictamen n° 13 del año 2009 en el cual se indican los requerimientos que debe cumplir SUBE en el marco de la legislación vigente y se concluye de que de acuerdo a lo evaluado, todo está en orden ;)

NOTA: En el dictamen no se menciona la utilización en subterráneos…

Lamentablemente es la última información que se conoce de la Dirección Nacional de Protección de Datos Personales, dado que no se realizó ninguna auditoría ni evaluación desde aquel momento, y si se hizo no se ha publicado. Tampoco se ha realizado algún tipo de comunicación en relación al impacto que ha tenido el tema en la opinión pública, algo que hubiera sido muy afortunado.

Pero para no parecer empecinado con Tarjeta SUBE, hace poco ARBA lanzó un plan para beneficiar al contribuyente cumplidor, una excelente idea!! El beneficio consiste en la descarga legal de música, desde un sitio especial llamado “Arba Tracks”. Lo que no resulta feliz es que el sitio, correspondiente a Sony Music (registrado correctamente), en su Política de Privacidad indica entre otras cosas llamativas, lo siguiente:

La información que Sony Music Entertainment recoge puede ser transferida a, y guardada en, un destino fuera de la República Argentina, por ejemplo si alguno de nuestros servidores son relocalizados fuera de la Argentina o si uno de nuestros proveedores de servicio son alocados en un país distinto a la Argentina, o si compartimos su información (de acuerdo con la sección posterior “CON QUIEN COMPARTIMOS SU INFORMACION). Los países donde se transfiera la información y/o los datos personales contarán con los niveles de protección adecuados para la protección de la información y de los datos en cuestión.- Sin perjuicio de ello Sony Music Entertainment tomará todos los recaudos necesarios para asegurar que su información sea solamente transferida legalmente fuera de la República Argentina y utilizada de acuerdo con esta política de confidencialidad.

¿Podríamos estar ante un caso de transferencia internacional de Datos de Carácter Personal? Lo que resulta más llamativo es que sea el propio Estado quien realiza este tipo de acuerdos, que podrían no cumplir la legislación vigente o en principio gozan de una desprolijidad preocupante.

Los datos son recopilados a los fines de conocer a quienes visitan el sitio, brindarles información respecto de los servicios que allí se ofrecen y anunciar fechas de lanzamiento, promociones, estrenos de canciones, videos, concursos, etc.

Responsable de Acceso
Pablo M. Scherer
Teléfono 5218-2200
Email Pablo.Scherer@sonymusic.com
Domicilio
José A. Cabrera Nº 6027
(C1414BHM) C.A.B.A.
Ciudad de Buenos Aires

En definitiva parece que los argentinos lo mejor que podríamos hacer es solicitar un viaje de intercambio cultural entre la AEPD y la DNPDP… al menos unos meses.

Fuente: Mariano del Rio – SecureTech - @mmdelrio

Amenazas Persistentes Avanzadas (APT)

febrero 16, 2012 § Deja un comentario

Por Spencer James Scott. MCP ,MCSA, CompTIA Security+ y ArcSight ACSA/HACIA

Una Amenaza Persistente Avanzada (Advanced Persistent Threat, APT) es un tipo sofisticado de ciberataque que constituye uno de los peligros más importantes y de rápido crecimiento que las organizaciones deben afrontar hoy en día, en particular las empresas que están haciendo uso del cómputo en la nube.

Los ataques de APT están provocando cada vez más atención de parte de los ejecutivos encargados de la seguridad informática debido a que son dirigidos a todo tipo de organizaciones, desde empresas del sector privado hasta organizaciones militares y políticas. Las amenazas involucradas en los ATP no son nuevas, sin embargo representan un marcado incremento en el uso de tácticas que explotan conexiones sociales de confianza, que emplean malware sofisticado y son ejecutadas por atacantes decididos y pacientes. Los vectores de ataque usados en una APT no son muy diferentes de los empleados en otros tipos de ataque, pero su principal diferencia radica en la motivación, perseverancia y recursos de los hackers.

Lo que más distingue una APT es que cambia sus características todo el tiempo y de manera intencional, haciéndolo muy difícil de detectar con métodos tradicionales: la actividad anormal de usuarios autorizados, el acceso a datos fuera de contexto o una secuencia inusual de comportamiento, que tradicionalmente serían tomados como eventos de bajo riesgo, pueden ser las únicas señales de un ataque APT.


¿Cuáles son las características principales de una APT?

  • Personal: el atacante selecciona objetivos con base en intereses políticos, comerciales o de seguridad y tiene una definición clara de la información que busca obtener de la víctima.
  • Persistencia: si un objetivo se resiste a ser penetrado, el hacker no abandonará la misión, lo que hará es cambiar la estrategia y desarrollará un nuevo tipo de ataque. Incluso podría decidirse por pasar de un vector de ataque externo a uno
  • interno.
  • Control y enfoque: una APT está enfocada en tomar control de elementos cruciales de la infraestructura, como redes de distribución eléctrica o sistemas de comunicaciones; también busca comprometer la propiedad intelectual de otros o información de seguridad nacional, mientras que los datos personales no suelen ser de interés para un atacante de este
  • estilo.
  • Tiempo y dinero: los perpetradores de una APT no suelen preocuparse por el costo del ataque, incluso pueden no preocuparse de los ingresos a partir del mismo, ya que a menudo están financiados por estados nacionales o por el crimen organizado.
  • Automatización: los hackers hacen uso de software y sistemas automatizados para aumentar el poder de penetración contra un solo objetivo, a diferencia de otros tipos de ataques que utilizan sistemas automatizados para atacar múltiples objetivos.
  • Una sola capa: solo un grupo u organización posee y controla todos los roles y responsabilidades durante el ataque. Estos roles y responsabilidades no están distribuidos en grupos externos a la organización atacante.

Durante los últimos dos años las APT se han hecho muy sofisticadas y diversificadas en sus métodos y tecnologías (Paper de Symantec y Websense). Los ataques tradicionales empiezan mapeando las redes y realizando tareas de inteligencia para recolectar información acerca de vulnerabilidades técnicas, sin embargo, un ataque APT empieza con un mapeo de la parte humana de la organización y colecta información de los empleados, más que por medio de las vulnerabilidades técnicas. Enfocarse en las personas, que son el eslabón más débil en la seguridad, es más fácil que tratar de evitar los componentes tecnológicos de seguridad como los firewalls y los sistemas de prevención de intrusos.

Las técnicas de APT han probado ser tan exitosas que cualquier organización debería asumir que este tipo de ataques son inevitables.

¿Por qué es tan difícil detectar una APT?

Más que tomar control de las aplicaciones y de la infraestructura de la red, buscan aprovecharse de los recursos y privilegios de las personas que forman parte de la organización.
Usan firmas de ataque únicas y de gran creatividad.
Más que tomar control de los componentes y de las aplicaciones de la red, una ATP se basa en los recursos de los usuarios y sus privilegios.

El comportamiento y las “firmas” de un ataque de este tipo son difíciles de correlacionar con los de ataques conocidos, incluso si la empresa utiliza un correlacionador o un SIEM (Security Incident and Event Management).

Normalmente una APT es distribuida a lo largo de periodos de tiempo prolongados, haciéndola difícil de correlacionar con base en los datos de fecha y hora.

Los ataques parecieran venir de una gran variedad de fuentes. Las botnets distribuidas son usadas con frecuencia para generar los ataques, haciendo muy difícil la identificación de la red hostil.
El tráfico de datos del ataque por lo general se encubre a través de cifrado, compresión o enmascarando las transmisiones dentro del comportamiento “normal” de programas comprometidos.

Muchas APT son diseñadas de manera específica para operaciones encubiertas y se mueven de un sistema comprometido a otro sin generar el tráfico predecible que se ve en otra clase de malware. Los ataques APT suelen diseñarse para evadir las soluciones antimalware y los IPS, además de que pueden ser compilados para una industria u organización específica.

¿Cuáles son las cualidades de una APT?

Aunque los métodos y tecnologías usadas pueden variar mucho, casi siempre exhiben estas cualidades:

1.- Ataques personalizados basados ​​en la organización objetivo.

Los hackers seleccionan sus objetivos y diseñan sus métodos de ataque e infiltración para tener el mayor efecto posible en los sistemas, defensas y personal de las organizaciones objetivo. Atacan a los empleados y a los usuarios válidos de alto nivel que tienen privilegios en los sistemas y procesos que necesitan atacar. Emplean técnicas de reconocimiento e inteligencia para entender los sistemas, aplicaciones y redes de la víctima, de tal manera que puedan ser más eficientes, atacando sistemas con
vulnerabilidades no corregidas o desconocidas (zero-day).

2.- “Bajo y lento”

Para evadir la detección, los hackers mantienen un perfil bajo dentro del ambiente de TI de las organizaciones que infiltran, incluso pueden llegar a esperar meses enteros para que se den las condiciones óptimas para un ataque. El monitoreo sistemático y la interacción con los sistemas comprometidos durante periodos largos de tiempo son la marca típica de una ATP.

3.- Organizado y bien financiado.

Los grupos y organizaciones detrás de una APT suelen poseer suficientes recursos financieros para mantener ataques durante largos periodos de tiempo. La sofisticación de las APT sugiere que estos grupos incluyen equipos multidisciplinarios de hackers con amplias habilidades y experiencia para lograr el acceso a infraestructuras complejas de TI, evolucionando con ello las cadenas de suministro criminal y sus capacidades de investigación y desarrollo. Además, estos grupos tienen la habilidad de comprar recursos de cómputo en la nube, utilizar exploits para vulnerabilidades no descubiertas y usar botnets completas para sus propósitos.

4.- Métodos de ataque simultáneos y diversos.

Una APT muchas veces utiliza múltiples vectores de ataque simultáneos, tanto automatizados como humanos. Usan una gran cantidad de métodos y tecnologías para infiltrarse e infectar nodos en los ambientes de TI de sus víctimas y, con frecuencia utilizan ataques de bajo riesgo para distraer a los administradores y a los analistas de seguridad, evitando que se percaten del ataque verdadero.

5.- Redes sociales.

Es muy común el uso de herramientas de redes sociales, como invitaciones falsas de Linkedln®, para ganar la confianza de las víctimas y comprometer así los sistemas y las credenciales de acceso a los mismos. Es importante entender el elemento humano de una APT pues es uno de los elementos que hacen tan efectivos este tipo de ataques, ya que utilizan la tendencia de la gente a confiar en otros para así manipular a los empleados y terminar instalando malware en los sistemas.

Amenazas avanzadas (Advanced Threats, AT) versus Amenazas persistentes avanzadas (Advanced Persistent Threats, APT)

Ambas usan el mismo tipo de métodos de ataque, sin embargo hay algunas diferencias que hacen que una APT sea mucho más difícil de detectar:

Amenaza avanzada (AT)

Amenaza persistente avanzada (APT)

Selección del objetivo Es aleatoria y oportunista. El malware es distribuido tan ampliamente como sea posible para mejorar las oportunidades de penetrar un sistema “rentable”, como por ejemplo las computadoras empleadas para firmarse en cuentas de crédito bancarias. Una APT se diseña para un objetivo específico, atacando sus activos conocidos, arquitectura de redes y vulnerabilidades.
Motivación El motivo principal es la ganancia financiera a través del robo de información bancaria y de crédito.
Cuando las contramedidas detienen un ataque, los hackers dejan de actuar o se mueven hacia otro objetivo que sea más fácil de penetrar, en lugar de modificar el ataque.
Los objetivos para un ataque por APT pueden ser financieros pero también pueden tener otra naturaleza menos evidente: espionaje industrial, robo de propiedad intelectual u obtener control de la infraestructura crítica de una empresa para afectar sus operaciones.
Vectores de ataque Es típico que se empleen troyanos (Zeus, SpyEye, Sinowal, Qakbot, etcétera), vulnerabilidades “zero-day” y exploits conocidos. Los hackers combinan múltiples vectores de ataque y herramientas para comprometer los sistemas que son el blanco. Además de las herramientas tradicionales de las AT, una APT también puede emplear código desarrollado específicamente para el ataque, técnicas de inteligencia, intervención telefónica y hasta robo físico.
Remediación Muchas AT se pueden neutralizar mediante el uso de técnicas de virtualización combinadas con procesos de administración de parches/vulnerabilidades, sistemas de autenticación robustos e inteligencia contra el cibercrimen. Aun si se detectan y corrigen nodos infectados en una red, es muy posible que los hackers tengan planes de contingencia y nodos redundantes que les permitan continuar sus operaciones.

Cuando las contramedidas detienen un ataque, los hackers dejan de actuar o se mueven hacia otro objetivo que sea más fácil de penetrar, en lugar de modificar el ataque.Los objetivos para un ataque por APT pueden ser financieros pero también pueden tener otra naturaleza menos evidente: espionaje industrial, robo de propiedad intelectual u obtener control de la infraestructura crítica de una empresa para afectar sus operaciones.Vectores de ataqueEs típico que se empleen troyanos (Zeus, SpyEye, Sinowal, Qakbot, etcétera), vulnerabilidades “zero-day” y exploits conocidos.

Los hackers combinan múltiples vectores de ataque y herramientas para comprometer los sistemas que son el blanco. Además de las herramientas tradicionales de las AT, una APT también puede emplear código desarrollado específicamente para el ataque, técnicas de inteligencia, intervención telefónica y hasta robo físico.RemediaciónMuchas AT se pueden neutralizar mediante el uso de técnicas de virtualización combinadas con procesos de administración de parches/vulnerabilidades, sistemas de autenticación robustos e inteligencia contra el cibercrimen.Aun si se detectan y corrigen nodos infectados en una red, es muy posible que los hackers tengan planes de contingencia y nodos redundantes que les permitan continuar sus operaciones.

Las APT son inevitables en la mayoría de las grandes organizaciones. Más que una cuestión de pensar si un ataque ocurrirá o no, es una cuestión de pensar cuándo ocurrirá.

¿Por qué una APT suele ser más exitosa que otro tipo de ataques?

Los entornos de TI son cada vez más complejos: la mayoría de las grandes organizaciones tienen ambientes muy complejos que incluyen servidores legados, mainframes, centros de datos virtualizados, servicios en la nube, etcétera. Estos sistemas tan diversos crean muchos desafíos para los equipos de seguridad de TI, que deben cubrir infraestructuras cada vez más grandes cuyo monitoreo y correlación es cada vez más complejo.

Robo de credenciales de acceso empresarial: investigaciones de la empresa RSA encontraron que 88% de las compañías en la lista Fortune 500 tienen empleados infectados con Zeus, además, reportes de la misma empresa han informado que es común el empleo de credenciales de acceso empresarial por parte de los atacantes en los puntos de recolección de información por parte de los criminales. Lo anterior demuestra que los hackers ya tienen las herramientas de malware y los puntos de acceso para comprometer ambientes empresariales de TI.
Costo decreciente: los ataques de APT se han vuelto menos caros de manufacturar e implantar, por lo que muchos grupos criminales han tomado ventaja de los costos, desempeño y escalabilidad del cómputo en la nube. Este costo menor incrementa el ROI (retorno de inversión) potencial de un ataque.

Otro punto importante de recordar es que los grupos detrás de este tipo de ataques están motivados por la ganancia que pueden obtener al extraer información de sus víctimas, por lo que se estructuran de manera similar a cualquier otro modelo de negocio que analiza el valor de la información a obtener contra el costo de la obtención.

Así pues, es innecesario recalcar que aunque las tácticas para desplegar una APT no son nuevas, representan un fuerte incremento en el riesgo potencial y en el daño, y también indican una creciente sofisticación de los vectores de ataque y de las capacidades de los hackers.

¿Qué medidas tomar para reducir el riesgo de una APT?

1.- Gobernabilidad, manejo del riesgo y cumplimiento regulatorio.

Las organizaciones necesitan evaluar si están aplicando las medidas de protección adecuadas a los activos más valiosos. Es aquí donde la gobernabilidad, la administración del riesgo y el cumplimiento regulatorio (Governance, Risk and Compliance, GRC) entran en escena. Los equipos de administración de la seguridad deben establecer prioridades basadas en las políticas creadas a partir de los esfuerzos de GRC.

2.- Correlación exhaustiva de riesgos.

Las organizaciones necesitan una vista unificada de sus ambientes de TI, sin importar qué cosas son internas, externas, cuáles son virtualizadas o cuáles están en la nube. Sólo teniendo una vista integral se puede monitorear, analizar y correlacionar eventos para detectar actividad sospechosa y para determinar el daño posible o real de un ataque de este tipo.

Para ayudar en la correlación de eventos, el software de monitoreo y administración debe integrar en una sola consola las bitácoras, estado de la aplicación de parches para corregir vulnerabilidades y otra información de seguridad de los diversos ambientes de TI, esto para dar a la organización un panorama completo de la situación, evitando así la dificultad de “encontrar una aguja de seguridad en el pajar de TI”.

3.- Automatización intensiva de sistemas de TI.

Las empresas deben aprovechar la automatización y la virtualización para hacer más eficiente la administración y el monitoreo, tanto de la configuración de los sistemas como de la administración de parches y actualizaciones. La automatización ayudará a lograr la línea base de seguridad de una manera más eficiente y simplificará las operaciones al reducir la brecha entre sistemas
actualizados y no actualizados.

4.- Comportamiento adaptable de las operaciones de seguridad.

Las prácticas de seguridad basadas en reglas rígidas y análisis de firmas sólo pueden ser efectivas contra ataques tradicionales pero no contra ataques de APT. Las operaciones de seguridad necesitan responder y adaptarse rápidamente cuando hay eventos o condiciones que causan desviaciones de la línea base establecida. Necesitan inteligencia automatizada e interconstruida que permita adaptar las técnicas de verificación de usuarios, intercambiar equipos e incluso “recablear” redes virtuales completas para cortar de tajo actividades de alto riesgo. Los equipos de seguridad deben aprender sobre la marcha para adaptar y mejorar sus contramedidas, lo que mejorará la eficiencia y efectividad de la respuesta a amenazas.

Las amenazas persistentes avanzadas están cambiando el panorama de las amenazas en el mundo empresarial debido a su sigilo, ambición y complejidad. Estar alerta y enterado de lo que es una APT es el primer paso para establecer la estrategia de defensa ante ello, sin embargo, hay que tener en cuenta que es casi imposible prevenir las APT y por lo general solo puede minimizarse el daño.

Las organizaciones deben aprender a considerar amenazas emergentes como las APT en sus evaluaciones de riesgo y en la planeación de la seguridad. Esto requiere cambios fundamentales y estratégicos en la manera en que las empresas priorizan sus actividades de seguridad e identifican amenazas, lo cual forzará también a los equipos de TI y de seguridad a adoptar prácticas de seguridad a partir de un punto de vista amplio y basado en el riesgo.

Fuente: Magazcitum

La mitad de los empleados admite no seguir las políticas de seguridad

febrero 15, 2012 § Deja un comentario

Una encuesta hecha por Xerox y McAfee entre 1.391 trabajadores en Estados Unidos (EE.UU.) reveló que la mitad de ellos han imprimido, copiado o escaneado información confidencial en el equipo de la oficina.

No extraña entonces que apenas el 6% considere que los equipos multifuncionales son el mayor riesgo para la red de la compañía y que solo el 13% de los trabajadores requiera un código de acceso para utilizarlo.

Pese a ello, a cuatro de cada diez encuestados sí les preocupa la seguridad de la información confidencial, en especial la personal, los datos de los clientes y de los empleados, y la de propiedad intelectual.El estudio revela que tener políticas de seguridad al respecto no es suficiente, pues una tercera de los trabajadores no las cumplen y una quinta parte, las desconoce. Por eso, McAfee diseñará un software de de seguridad que será integrado a la tecnología Xerox.

Fuente: El Financiero de Costa Rica

Irán consigue finalmente neutralizar a Stuxnet

febrero 15, 2012 § Deja un comentario

Ingenieros iraníes han finalmente dado el alta a los sistemas informáticos de su programa atómico.

Stuxnet infiltró en 2009 los sistemas del programa atómico de Irán. Según empresas como Symantec, Stuxnet sería resultado de una cooperación israelí-estadounidense destinada a desbaratar tal programa.

Empresas de seguridad informática han publicado detallados análisis de Stuxnet, que habrían ayudado a Irán a aprender sobre el gusano y la forma de neutralizarlo.

Esta situación fue comentada a la agencia Reuters por el consultor alemán en seguridad informática Ralph Langner, quien dijo “Si a estas alturas no hubieran logrado deshacerse de Stuxnet, serían completamente idiotas”. Langner es considerado el primer experto occidental en identificar el ultra complejo código de Stuxnet, y concluir que constituía un ataque estratégico contra las centrífugas iraníes utilizadas para el enriquecimiento de uranio.

Irán asegura que su programa atómico tiene fines pacíficos, pero países occidentales temen que, en realidad, la intención de Irán es desarrollar armas atómicas.

Stuxnet pasó a la historia de la seguridad informática como el primer ciberataque altamente específico, al contrario de las ciberarmas conocidas, que tienen un cometido más difuso.

Fuente: DiarioTI

Falsas multas de tránsito propagan malware y utilizan el popular sitio Wolfram Alpha

febrero 15, 2012 § 5 comentarios

Gracias a la denuncia de varios usuarios en el día de la fecha podemos confirmar que el engaño de las multas de tránsito falsas nuevamente se ha transformado en una epidemia en Argentina.

Al igual que los casos anteriores, se envía un correo electrónico supuestamente desde la dirección “info@multasdetransito.gov.ar”, la cual es falsa y nada tiene que ver con un sitio gubernamental argentino. El correo es el siguiente (errores incluidos):

Date: Tue, 14 Feb 2012 22:42:18 -0500
Subject: Informe de deudas pendientes
From: info@multasdetransito.gov.ar

Miercoles 15 de Febrero del 2012, Republica Argentina
Estimado contribuyente:

Detectamos en nuestro Sistema Integrado de Multas de transito (ATM) infracciones cometidas por su vehiculo
Si usted no regulariza las infracciones correspondientes en los proximos 30 dias a partir de la fecha de emision de este comunicado, su vehiculo sera informado como deudor y usted pasara a formar parte del Veraz, conforme Ley n 19.216 de 1/12/2011

La inclusion de su vehiculo en el Veraz le impedira la venta regular de su vehiculo en la Republica Argentina
Infracciones al dia 14/02/2012

Girar a izquierda/derecha en lugar prohibido (ENLACE 1)No respetar Senda Peatonal/Paso Peaton (ENLACE 2)Exceso Velocidad hasta 20Km/h (ENLACE 3)

El propietario del vehiculo queda notificado por este medio. Todas aquellas actas labradas con anterioridad a las fechas especificadas seguiran bajo la orbita de la Unidad Administrativa.

Cada uno de las supuestas fotos son enlaces que llevan al usuario a sitios que descargan archivos ejecutables (Informe_Deuda_PDF.exe) dañinos.

Estos enlaces en realidad aprovechan vulnerabilidades de redirección y que permiten enviar al usuario a otro sitio desde donde realmente se descarga el malware:

Como puede verse, el primer y tercer enlace se aprovechan de la vulnerabilidad de redirección en el popular buscador matemático Wolfram Alpha. Además, el segundo enlace aprovecha la misma vulnerabilidad en el sitio de Philip Morris.

Con respecto al malware descargado, los mismos infectan al usuario y posteriormente descargan otro troyano bancarios desde http://www.spaxELIMINADO.de/impressum/logitech.exe. Ambos malware son detectados por una muy baja tasa de antivirus.

Cristian de la Redacción de Segu-Info

Ataque post-transacción desvía las llamadas del banco

febrero 15, 2012 § Deja un comentario

Imagina lo siguiente, infectan tu computadora con un troyano y obtienen el acceso a tu cuenta bancaria, luego transfieren todo el dinero y como es una operación sospechosa desde el banco te llaman para verificarla, sin embargo nunca recibes la llamada porque es desviada hacia un número controlado por los ciberdelincuentes

Parece algo que sólo se ve en las películas pero también sucede en la vida real, la empresa de seguridad Trusteer ha detectado una variante del troyano bancario Zeus que está realizando esta clase de ataques a usuarios de Estados Unidos y Reino Unido.

Todo comienza con el robo de la cuenta bancaria, luego se le solicita a las víctimas información personal incluyendo los números de teléfono (casa, móvil y trabajo) y el número de cuenta de su compañía telefónica.

Recordemos que en un equipo infectado los atacantes pueden tener el control total y muchas de las cosas que se ven en la pantalla podrían ser falsas. Lo que hacen troyanos como Zeus es inyectar códigos en el navegador para modificar localmente las páginas de los bancos y de esta forma -con ingeniería social- solicitar la información que sea necesaria para realizar el ataque. Para las víctimas es difícil detectarlo porque en realidad están en una página legítima, sin saber que su navegador fue modificado por el malware.

Una vez que los atacantes tienen toda la información personal de la víctima, configuran los desvíos de llamadas con la operadora telefónica y de esta forma logran burlar al banco que creerá que “todo está bien” al confirmar las transacciones con el delincuente. Esto les da más tiempo para mantener el control de la cuenta y robar el dinero.

Otros tipos de ataques post-transacción también pueden interceptar los correos electrónicos y ocultar las transacciones fraudulentas, incluyendo el saldo real del Home Banking para que la víctima no sospeche nada (siempre localmente porque su PC está infectada). También hay métodos más agresivos como saturar el teléfono de llamadas entrantes para que desde el banco no puedan comunicarse o realizar un DDoS a la entidad para “camuflar” las operaciones realizadas.

Sin dudas son ataques complejos que no los hace cualquiera, pero existen y también con variantes en español, así que no creas que estás a salvo de algo así. No es por nada que algunos utilicen un Live-CD bajo una conexión segura para acceder a su banca online.

Fuente: Spamloco

Las organizaciones deben equilibrar las políticas, la educación y las herramientas [Informe CISCO]

febrero 14, 2012 § Deja un comentario

Las organizaciones deben encontrar y mantener el equilibrio correcto entre políticas de TI, educación de los usuarios y herramientas de trabajo, según el Informe Anual de Seguridad de Cisco

La creciente influencia de los dispositivos de consumo en el lugar de trabajo, el crecimiento exponencial de profesionales móviles y la omnipresencia de las redes sociales están obligando a las organizaciones a replantearse sus políticas de seguridad.

Por otro lado, el incremento del activismo en la ciber-delincuencia (o nuevo hacktivismo) sitúa esta amenaza entre las más importantes, ya que cualquier institución pública o privada puede ser atacada por grupos de hackers anónimos y globales con el fin de desacreditarla o comprometer su imagen.

Así se desprende del Informe Anual de Seguridad 2011 de Cisco, que desvela cómo empresas y Administraciones Públicas pueden gestionar estos nuevos retos a la par que facilitan las herramientas necesarias para innovar y colaborar en cualquier momento y lugar, mediante cualquier dispositivo.

Como señala Pilar Santamaría, directora de Ciberseguridad para la Región Sur de Europa de Cisco, “a medida que un mayor número de empleados se convierten en profesionales móviles y utilizan múltiples dispositivos y aplicaciones de colaboración para desempeñar su trabajo, aumenta el potencial de pérdida de datos y de sufrir un ataque dirigido”.

Contenido completo en fuente original IT CIO

Adobe lanza una beta de Flash Player para Firefox con sandbox

febrero 14, 2012 § 1 comentario

Con el fin de ofrecer más funciones de protección a sus usuarios y frenar el número de ataques a esta producto, Adobe ha lanzado una beta pública de Flash Player para Firefox que incluye sandbox, un mecanismo de seguridad que permite aislar la ejecución de la aplicación con el sistema operativo, logrando así prevenir, o por lo menos hacer más complicado, la explotación de código malicioso en el ordenador del usuario.

Adobe ha explicado que esta característica es muy similar al “Modo de Protección” que fue implementado en Adobe Reader X, añadiendo restricciones de privilegios a los procesos de comunicación de Flash Player. De acuerdo con Peleus Uhley, investigador de la compañía californiana, desde que se implementó la tecnología de sandbox en el lector de PDF a finales de 2010 “no se ha visto un solo exploit exitoso en circulación”.

Adobe espera conseguir los mismos resultados en esta nueva versión para Flash Player de Firefox una vez que se lance la versión final, y aunque no se ha confirmado una fecha de lanzamiento, se espera que esté disponible para finales de este año. Además, cabe aclarar que el sandbox ya se había implementado en Flash Player en su versión para Google Chrome, siendo ahora son los usuarios de Firefox los que podrán aprovechar esta tecnología.

Por lo pronto, Flash Player con Sandbox está disponible como beta pública y es compatible con Windows Vista y Windows 7 a partir de la versión 4.0 de Firefox, aunque sólo para plataformas de 32-bit. Al tratarse de una versión en desarrollo es muy poco recomendable su instalación ya que puede tener no sólo fallos de estabilidad, sino también de seguridad, por lo que siempre es preferible esperar al lanzamiento final. De cualquier forma, Adobe también ofrece a los usuarios que quieran experimentar una utilidad para desinstalar fácilmente esta beta.

Fuente: Open Security

Video de la muerte de Whitney Houston conduce a una estafa

febrero 14, 2012 § Deja un comentario

Los cibercriminales a menudo tratan de despertar el interés de los usuarios con falsas noticias de la muerte de una celebridad; sin embargo, desafortunadamente, algunas veces no son mentiras del todo.

La diva del pop Whitney Houston murió el sábado, y los estafadores no perdieron tiempo en aprovecharse de la triste noticia para que los curiosos completaran una serie de encuestas fraudulentas.

Los usuarios de Facebook son atraídos por mensajes publicados en los muros de sus amigos en los que se lee: “Lloré al ver este video. RIP Whitney Houston”, y ofrecen un enlace a un “video exclusivo de la muerte de Whitney Houston”.

Al hacer clic en el enlace, los usuarios son dirigidos a una página de Facebook que contiene otro enlace al video, el cual los lleva al sitio falso de una encuesta a través de una serie de redirecciones.

Los usuarios de Twitter sufren un ataque similar. Al hacer clic en un enlace incluido en un tweet diciendo “RIP Whitney Houston”, son inicialmente llevados a un blog dedicado a Houston, pero son redirigidos a otro sitio que ofrece una serie de fondos de pantalla de Whitney Houston para descargar.

Fuente: UNAM

Inhibidores de señal Wi-Fi

febrero 14, 2012 § Deja un comentario

¿Que es un inhibidor o perturbador de señal?

Según Wikipedia:

En Telecomunicación, un perturbador, también denominado inhibidor es un Dispositivo electrónico que impide o dificulta las transmisiones radioeléctricas en un determinado rango de frecuencias mediante la emisión de una señal de mayor potencia que la del emisor que quiere transmitir.

Se compone básicamente de un generador de señal y un transmisor. El primero genera una señal que es enviada a través del segundo con una potencia determinada según la necesidad. Esta señal carece de información útil, únicamente es una señal generada por un oscilador o generador de onda. Ésta, al emitirse con mayor potencia que los sistemas de transmisión a interferir, las suprime, evitando que emisor y receptor establezcan la comunicación.

Se utiliza principalmente por motivos de seguridad o con intenciones de sabotaje.

Básicamente es dispositivo que no permite un transcurso de señal, impidiendo, dificultando y/o creando difusion en el receptor por que esta ocupa esa frecuencia con otra señal mucho más potente.

Ahora debemos plantear un escenario desde la perspectiva de un atacante, la cual consta de reemplazos o sustituciones de puntos de acceso para así el atacante obtener un “beneficio” y una administración de conexiones o host vibrantes en el punto “clon”, que lógicamente sera el que nosotros pondremos de señuelo.

Primero que nada cabe hay que aclarar ciertos puntos:

  1. Un inhibidor tiene un rango de X MTS/KMTS definidos a la redonda (todo depende del tipo de inhibidor)
  2. Aquí se planteara un escenario usando inhibidores portables y de poco alcance

Viendo el gráfico se puede notar que lo que hacemos es dejar a un cierto grupo de personas sin recepcion de señal y creando un nuevo punto de acceso con un nombre similar para confundir a los usuarios, con el objetivo de que intenten una reconexión buscando en su lista de detectados (lógico no saldra nada por que la zona esta inhibida).
Dejamos el inhibidor unos 10 minutos para que los usuarios pierdan la total conexión Wi-Fi por que si lo hacemos en fracción de segundos no habría desconexion debido a que hace reconexión simultanea. Al estar seguros de una desconexion total desactivamos el inhibidor y hacemos que nuestro punto de acceso esté lo más cerca posible con el objetivo de que elijan el punto “clon” con más señal, o sea el de nosotros por la cercanía.

Continuar leyendo en fuente original Maztor I y II

¿Dónde estoy?

Actualmente estás viendo los archivos para febrero, 2012 en Seguridad Informática.

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 114 seguidores