Este blog se ha mudado

febrero 18, 2014 § Deja un comentario

Este blog actualizado se encuentra en blog.segu-info.com.ar

ZeuS timeline

noviembre 28, 2013 § Deja un comentario

En esta serie de posts vamos a presentar un resumen de las diferentes versiones y ramificaciones de la familia de troyanos ZeuS, amenaza que vimos nacer hace ya casi 7 años, y que todavía hoy, en su versión evolucionada, sigue siendo la herramienta preferida para atacar mayormente a entidades financieras.

En la línea de tiempo superior se puede ver claramente cómo ha sido la evolución del mismo y, sobre todo, la explosión de variantes posterior al filtrado del código fuente.

De esta manera, la rama 1.x dio lugar a diferentes versiones, si bien la versión 1.2.4.2 fue la que más éxito tuvo. Es por eso que la gente metida en el mundillo seguro que reconocerá rápidamente el fichero sdra64.exe como un ZeuS 1.2.x.

Durante la evolución del mismo, se han podido observar diferentes mejoras tanto en funcionalidades como en protección, y es que durante los años 2008 y 2009 se mantuvo un desarrollo continuado que dio lugar a las versiones 1.1 a la 1.4, momento en el que se da un lavado de cara y se pasa a la versión 2.0.

A finales de 2009, con el troyano consolidado como el rey (con permiso de SpyEye) de los troyanos bancarios, surge esta nueva versión, que marcará un antes y un después con el filtrado del código fuente de la versión 2.0.8.9 en abril-mayo de 2011.

Si nos fijamos en esa fecha, se puede observar que ya existen variantes antes de esa filtración, lo que puede indicar una compra del código fuente o la verdadera evolución de ZeuS por parte de su desarrollador como se rumorea. De ahí surgió Licat, la variante más evolucionada de todas y que actualmente se conoce como Murofet. Cabe recordar que esta variante utiliza un algoritmo de generación de dominios desde sus inicios y actualmente como backup al sistema P2P de comunicación, lo que dificulta su uso como variante comercial tipo Crimeware.

También se pueden observar otras variantes menos relevantes como la que denominamos ZeuS Cryptless, debido a que se parece mucho al ZeuS 2.x estándar, pero no incluye cifrado de strings, por ejemplo, así como la variante que denominamos ZeuS Process o ZeuS Tasks, que tienen la peculiaridad de no inyectarse en el proceso explorer.exe y terminar, sino que mantendrán el proceso en memoria y, como el nombre indica, utilizará las tareas de Windows para ejecutarse, además de ser utilizado para cometer Click Fraud.

Tras el filtrado del código fuente, han ido apareciendo paulatinamente diferentes versiones, con más o menos modificaciones, desde ICE-IX (cuyas nuevas versiones son conocidas como ZeuS 4.3.3.3), una versión ZeuS 2.3.2.0 que utiliza AES como algoritmo de cifrado, el plugin bancario de Ramnit que dota a este virus de una nueva funcionalidad, la versión que utilizaba Tor para comunicarse con el panel de control, conocida como Skynet, la versión que utiliza SSL, o la más famosa y elaborada Citadel, además de las más recientes KINS y PowerZeuS.

Así pues, el panorama de las variantes de ZeuS se torna cuanto menos complejo, y ya requiere un esfuerzo para mantenerse al día de las diferentes versiones de esta misma familia, que 7 años después, sigue siendo una de las mayores amenazas para el sector financiero. En el siguiente post se detallarán algunas de las diferencias encontradas entre las diferentes variantes comentadas aquí. Mientras tanto… si has visto alguna que no hayamos contemplado, puedes dejar tu comentario:)

Continuar leyendo ZeuS timeline Parte II y Parte III

Fuente: S21sec

Kroll Ontrack anuncia la lista de los 10 peores desastres de pérdida de datos de 2013

noviembre 28, 2013 § Deja un comentario

Kroll Ontrack, proveedor de recuperación de datos y gestión de información, ha anunciado hoy los diez casos más curiosos de pérdida de datos ocurridos en 2013. Durante los últimos 11 años, Kroll Ontrack ha recopilado y publicado la lista de los peores casos de pérdidas de datos tanto físicos como lógicos en todo el mundo.

Del 10 al 1, los extraños desastres de pérdida de datos de este año 2013:

  1. Un disco duro roto tras un largo viaje (Hong Kong): Después de recorrer 40,000 kilómetros en bici para recaudar fondos, un fotógrafo descubrió que el disco duro con todas las fotos y vídeos que había hecho durante su aventura estaba roto. La recuperación de los datos supuso un enorme reto para el equipo de Hong Kong debido a que el disco duro estaba dañado en varias zonas y en múltiples superficies. Después de probar todas las técnicas de recuperación posibles, el equipo de ingenieros pudo recuperar casi todas las imágenes.
  2. Un caos de película (Polonia): El problema surge durante el proceso de producción de una película para un festival de cine. El primer día de producción estaban haciendo una copia de seguridad del portátil a un disco duro externo cuando uno de los miembros del equipo de manera accidental golpea y tira la mesa. El ordenador portátil y el disco duro se rompieron al caer al suelo, haciendo imposible acceder a los datos. 18 meses después de un trabajo de producción e inversiones infructuosas, y a solo dos meses de la celebración del festival, el equipo de Kroll Ontrack pudo recuperar el 80% de los datos, permitiendo que los productores llegasen a tiempo para presentar su película en el festival. Tal fue su agradecimiento, que en los créditos de la película, Kroll Ontrack está incluido como socio tecnológico.
  3. Datos perdidos después de una fiesta salvaje (Reino Unido): Una estudiante universitaria recurre al servicio de emergencia de Kroll Ontrack para recuperar el trabajo de final de curso de su portátil. Cuando los ingenieros le preguntan por las causas de la pérdida de datos, ella les explicó que en la fiesta de fin de curso su portátil terminó flotando en un charco de bebidas.
  4. La furia del jugador (Francia): Una madre intenta encender el ordenador familiar sin éxito, recibiendo siempre el mismo mensaje de error. Cuando les pregunta a sus tres hijos si saben si ha pasado algo raro con el ordenador, ya que ellos fueron los últimos en usarlo, ninguno responde. Sospechando que sí deben de saber qué le pasó al ordenador, les vuelve a preguntar. El mayor de los hijos confesó que su hermano, enfadado después de perder una partida en un videojuego, estampó sus puños contra el teclado en un acto de ira contra el aparato.
  5. Atraco frustrado (Italia): Un ladrón robó en una casa, entre otros elementos, un ordenador portátil. Pero algo le debió de asustar durante el robo, y en su huida, abandonó el portátil en el jardín. Su dueño lo encontró al día siguiente, después de haber pasado toda la noche bajo la lluvia. Kroll Ontrack recuperó todos los datos del disco de estado sólido interno.
  6. Cuidado si estás bajo los efectos del alcohol (Estados Unidos): Después de una noche de fiesta, un hombre se levantó en mitad de la noche para ir al cuarto de baño. A la mañana siguiente descubrió que había confundido el inodoro con su ordenador portátil. Kroll Ontrack logró recuperar el 100% de los datos.
  7. Sabotaje (Reino Unido): Kroll Ontrack recibe un paquete con los trozos de un disco duro. Cuando los ingenieros se ponen en contacto con la empresa para conocer la razón por la que estaba roto, la compañía les explica que el disco duro había sido golpeado repetidas veces con un martillo, e insiste en que necesita recuperar los datos. Kroll Ontrack recuperó un archivo, a partir del cual la empresa pudo confirmar que un empleado había tratado de borrar el archivo y destruir la prueba. Gracias a ese archivo recuperado se pudo procesar al empleado.
  8. Desastres naturales (Estados Unidos): Desafortunadamente, algunos de los mayores casos de pérdida de datos se deben a desastres naturales. Una compañía dedicada al diseño de espacios, prevenida por la llegada del huracán Sandy, hizo copias de seguridad de todos sus servidores. Sin embargo, no pudieron prever el desbordamiento del río situado casi a un kilómetro de distancia, que inundó sus oficinas dejando todos los servidores y cintas de backup sumergidos bajo más de 70 cm de agua. Kroll Ontrack pudo recuperar el 100% de los datos de esta empresa, en activo desde 1957. La compañía reconoció que, de no haber recuperado todos los datos, tendrían que haber reconstruido su negocio desde cero.
  9. ¡Arañas! (Italia): Kroll Ontrack recibió el encargo de recuperar los datos de un servidor de cinco años de antigüedad que se había roto. Cuando el ingeniero abrió el disco duro se encontró con arañas e incluso un nido dentro, cerca de los cabezales. En esta ocasión, también se recuperó el 100% de los datos.
  10. El teléfono móvil no está hecho a prueba de balas (Estados Unidos): no hace falta añadir más. Se recuperaron todos los datos, 10GB en total.

Los clientes se suelen poner en contacto con nosotros cuando el peor de los desastres ya ha ocurrido y necesitan los servicios de una empresa con una larga experiencia, conocimiento y las mejores técnicas de recuperación”, explica Nicholas Green, director general de Kroll Ontrack Iberia. “Gracias a nuestras herramientas propietarias, 18 laboratorios punteros de recuperación de datos a nivel mundial y nuestras cámaras limpias ISO-5/Class 100, podemos recuperar datos borrados, corruptos, perdidos o inaccesibles tanto de dispositivos personales como de servidores más complejos”, finaliza.

La empresa invita a los usuarios interesados a votar en su sitio “la causa de pérdida de datos favorita”.

Fuente: DiarioIT

Argentina. Ciberacoso: se impone profundizar el debate

noviembre 27, 2013 § Deja un comentario

Apenas dos artículos conforman la ley por la que se tipifica como delito en el Código Penal el denominado grooming o ciberacoso , es decir, aquellas acciones deliberadas de los adultos para ganarse la confianza de menores de edad por medio de Internet o de medios electrónicos, de modo de poder obtener de ellos concesiones que van desde intercambiar imágenes comprometedoras respecto de la intimidad de los chicos hasta la concreción misma de un abuso sexual.

Precisamente, la flamante norma sancionada por unanimidad por el Senado de la Nación establece que será penado con prisión de seis meses a cuatro años al que, por medio de comunicaciones electrónicas o de cualquier tipo de tecnología de transmisión de datos, “contactare a una persona menor de edad con el propósito de cometer cualquier delito contra la integridad sexual”. La Cámara alta insistió de ese modo en su proyecto original, que había sido aprobado hace dos años. En el medio, Diputados le había introducido modificaciones.

Esos cambios eran el resultado de varias jornadas de debate interdisciplinario en la Cámara baja, de las que participaron diputados, padres de menores de edad, especialistas en tecnología y en derecho, y organizaciones no gubernamentales. Básicamente, los diputados pretendían que fuera bajada la escala penal, adecuándola a los parámetros estipulados para el delito de abuso sexual (que parte de reprimir con reclusión o prisión de seis meses a cuatro años cuando se abusare de una persona menor de 13 años), especificar con mayor precisión la acción por penar y aclarar que el autor del delito debía ser mayor de edad.

Según explicó la senadora Sonia Escudero (PJ-Salta y una de las autoras del proyecto finalmente sancionado), la Cámara baja había “desfigurado” el tipo penal al reducir el castigo, diferenciar entre víctimas mayores o menores de 13 años y tipificarlo como de acción privada.

Esas diferencias entre los legisladores también se observan entre padres y especialistas que entienden que, tal como fue aprobada la ley, traerá muchos problemas de aplicabilidad, pues refiere a una intención y no a un acto, mientras que podría favorecer a la cibervigilancia de los usuarios vulnerando derechos básicos. En el otro extremo de los críticos se sitúan quienes entienden que las bajas penas estipuladas terminarán consagrando la “pedofilia online”, pues nadie irá preso por cometer semejante aberración.

Es cierto que el debate está lejos de cerrarse y que, de alguna forma, todos tienen algo de razón en sus planteos. Pero no es menos cierto que, con la sanción de la norma en cuestión, la problemática del grooming se ha incorporado como delito al Código Penal dando un marco a abogados y jueces que hasta el momento no contaban con ninguna norma legal para poder decidir sobre los numerosos casos que reciben diariamente y en una proporción creciente.

Si bien nuestro país no cuenta con cifras oficiales sobre la cuestión, estudios de la ONG Alerta Vida, una de las más críticas a la norma, sostienen que siete de cada diez chicos en el país sufrieron algún tipo de acoso virtual mientras navegaban por las redes sociales. En tanto, datos parciales de la ONU indican que la producción y distribución de imágenes pornográficas de abusos de niños representan un negocio anual de hasta 20.000 millones de dólares, mientras se calcula que cerca de 800.000 pedófilos están conectados a la Red en todo el mundo.

El mecanismo que utilizan los delincuentes para acercarse a los menores de edad por medio de las redes sociales reconoce casi siempre la misma estrategia: un adulto invita a un chico a establecer lazos de amistad en Internet -interactuando con él mediante redes sociales, chats, foros, etcétera-, de modo de convencerlo para que se preste a imágenes de índole sexual y comparta información íntima que el adulto luego podría usar para extorsionarlo y amedrentarlo. La generación de ese ambiente de confianza incluye, en el peor de los casos, la invitación al chico para que se traslade a un determinado lugar físico donde el adulto podría abusar de él.

Es una práctica aberrante que merece la atención no sólo de quienes deben dictar y aplicar las leyes, sino, fundamentalmente, de padres y docentes. El acceso a Internet es hoy una preocupación creciente entre los pediatras que ven que muchos padres no han tomado real conciencia del problema. Los médicos aconsejan fomentar el diálogo con los chicos y supervisar los sitios en los que navegan ejerciendo en la vida online el mismo nivel de supervisión que se practica en la vida real.

La revolución de las Tecnologías de la Información y la Comunicación (TIC) establecen nuevas formas de relacionarse socialmente, de pensar, de aprender y de entretenerse. Los cambios han llegado para quedarse y serán cada vez mayores. Los menores de edad son los seres más permeables a las TIC, pero, por lo tanto, los más vulnerables. No pueden ir contra la corriente. De los adultos responsables de su crianza y educación, y de las autoridades depende que no caigan en las trampas de estos depravados.

En ese sentido, los efectos de la ley por la que se tipificó el delito de ciberacoso representan un punto de partida para el asunto. La prevención, en tanto, es esencial para que el delito no se consume.

Fuente: La Nación

Nuevas amenazas eluden la validación de la firma digital

noviembre 27, 2013 § Deja un comentario

McAfee Labs ha publicado McAfee Labs Threats Report: Third Quarter 2013, su informe de amenazas correspondiente al tercer trimestre de 2013, que encontró nuevos esfuerzos por eludir la validación de la firma digital en aplicaciones para dispositivos basados ​​en Android. Los laboratorios de McAfee han identificado una nueva familia de malware para móviles que permite evitar la validación con firma digital de aplicaciones en dispositivos Android, lo que ha contribuido a que el malware se haya incrementado un 30% en Android. Al mismo tiempo, el malware tradicional con firma digital creció un 50% hasta alcanzar más de 1,5 millones de muestras. Menos sorprendente, pero por ello no menos peligroso fue el incremento del spam en un 125%.

Según Vincent Weafer, senior vicepresidente de McAfee Labs, “los esfuerzos para eludir la validación de códigos en dispositivos móviles y requisar por completo los PCs, representan intentos para eludir mecanismos de confianza sobre los que se basan nuestros ecosistemas digitales. La industria debería poner más interés en asegurar la integridad y la confianza de su infraestructura digital, dado que estas tecnologías se están cada vez más presentes en todos los aspectos de nuestras vidas.”

Durante el tercer trimestre McAfee también detectó varios incidentes relacionados con Bitcoin, para actividades ilícitas como la compra de drogas, armas y otras mercancías ilegales en sitios web como Silk Road. La creciente presencia de malware Bitcoin reforzó la popularidad de la moneda virtual.

Vincent Weafer continua afirmando que, “a medida que estas monedas se integran más en nuestro sistema financiero global, la seguridad y la estabilidad requieren iniciativas que aprovechan tanto los controles monetarios del sistema financiero como la supervisión, los controles técnicos y los sistemas de defensa que nuestro propio sector ofrece.”

El equipo de McAfee Labs ha detectado las siguientes tendencias gracias a la utilización de su tecnología GTI, McAfee Global Threat Intelligence:

  • Malware firmado digitalmente. Estas muestras de malware se han incrementado un 50%, hasta alcanzar más de 1,5 millones de nuevas muestras. Los laboratorios de McAfee también has descubierto los 50 certificados top utilizados para verificar pagos maliciosos. Esta amenaza creciente plantea la necesidad de validación de certificados digitales con un mecanismo fiable.
  • Nuevas familias de malware para móviles. Los investigadores de McAfee Labs una nueva familia de malware para Android, Exploit/MasterKey.A, la cual permite evitar la validación de firma digital para aplicaciones, un componente clave en los procesos de seguridad para Android. Los investigadores también encontraron un nuevo tipo de malware para Android que una vez instalado descarga una segunda carga sin el conocimiento del usuario.
  • Monedas virtuales. Los cibercriminales utilizan las nuevas monedas virtuales tanto para ejecutar transacciones ilegales como para realizar blanqueo de dinero, lo que permite unos niveles de actividad criminal nunca vistos. Estas transacciones pueden ejecutarse de forma anónima, lo que permite a los cibercriminales ofrecer productos y servicios ilegales en transacciones que normalmente serían transparentes para la policía. McAfee Labs también ha detectado el desarrollo de malware Bitcoin para infectar sistemas, minar su capacidad de proceso y producir Bitcoins para transacciones comerciales. Para más información de este tema puede leer el informe de McAfee Labs titulado “Virtual Laundry: The Use of Digital Currencies in Cybercrime.”
  • Android malware. Cerca de 700.000 nuevas muestras de malware para Android aparecieron durante este trimestre, de manera que los ataques a este sistema operativo se incrementó más de un 30%. A pesar de las nuevas medidas de seguridad de Google, McAfee Labs cree que esta plataforma seguirá siendo la preferida por los cibercriminales dado el gran número de potenciales víctimas.
  • Aumento en el Spam. El volumen de spam global aumentó un 125% en el tercer trimestre de 2013. Los investigadores de los laboratorios McAfee Labs creen que este aumento ha sido impulsado por firmas de marketing legítimas comprando y utilizando listas de emailing que proceden de fuentes de menor reputación.

Cada trimestre, el equipo de los laboratorios McAfee Labs de 500 investigadores multidisciplinares en 30 países siguen la gama completa de amenazas en tiempo real, identificando aplicación de vulnerabilidades, analizando y correlacionando los riesgos, y posibilitando remedio instantáneo para proteger empresas y usuarios.

Fuente: DiarioTI

Qué deben tener en cuenta los CISOs en las métricas de seguridad de la información

noviembre 27, 2013 § Deja un comentario

La semana pasada fue publicado por OWASP el documento Application Security, Guide for CISOs [PDF] que contiene una serie de lineamientos para los encargados de la seguridad en las empresas. Uno de los puntos tratados dentro de esta guía para CISOs tiene que ver con algunas recomendaciones sobre que se debe medir dentro de una empresa en materia de seguridad de la información.

Cuando se realizan inversiones en materia de seguridad, puntualmente en seguridad informática, se vuelve complejo justificar este tipo de gastos ante una junta directiva y más si se deben medir los efectos de estos nuevos controles implementados para que no sean vistos como un gasto realizado para el cumplimiento de una normativa.

Además para que los planes de seguridad de la información tengan un nivel alto de aceptación es importante demostrar que son eficaces y que tienen un verdadero impacto en la reducción del riesgo en el negocio.

En resumen, dentro de las métricas el CISO de la empresa debe asegurarse de tener información para gestionar los procesos y las tecnologías que componen el programa de seguridad. Basados en la información de la guía de OWASP se pueden definir al menos tres categorías para cubrir los factores mencionados:

  • Métricas de procesos de seguridad: El objetivo de las métricas de procesos es determinar qué tan bien los procesos de seguridad en la organización cumplen con los requisitos definidos por las políticas de seguridad y las normas técnicas seguidas por la empresa.
  • Métricas de riesgos de seguridad: Como parte de las métricas es muy importante conocer la eficacia de las medidas tanto preventivas como correctivas que se implementan en la empresa como parte de la gestión de la seguridad. Por ejemplo, tener medidos los tiempos de respuesta a incidentes productos las pruebas de los Planes de Continuidad del Negocio. También tener un inventario de los problemas de seguridad que han sido explotados y relacionarlos con los análisis de vulnerabilidad realizados y las acciones correctivas implementadas, de esta forma se puede conocer la eficacia de las medidas de control.
  • Seguridad en el ciclo de vida de desarrollo de las aplicaciones: Un aspecto a menudo descuidado es el gasto en seguridad que se hace sobre las aplicaciones antes de que salgan a producción. En este sentido si se hiciera inversión en pruebas para determinar la seguridad de las aplicaciones, los costos de las correcciones serían menores a hacerlo cuando ya están en producción. Algo que puede sonar tan obvio muchas veces no es aplicado buscando la agilidad en los procesos de desarrollo. En este sentido tener un control sobre el cumplimiento de los tiempos de desarrollo, puede ayudar a que no se limiten los tiempos de prueba con el propósito de cumplir con la implementación.

Es muy importante que las actividades dentro de la gestión de la seguridad sean medidas utilizando parámetros enfocados en la toma de decisiones. De esta forma se pueden tener las señales adecuadas que permitan monitorear la gestión y así asegurar que las actividades se cumplan correctamente, logrando evaluar los resultados de la gestión frente a los objetivos planteados. Es así como las métricas, sean cuantitativas o cualitativas deben ser la herramienta que permita obtener datos sobre procesos a través de los cuales se pueda conocer la evolución de los programas de seguridad para lograr tomar las medidas de mejora a tiempo.

Fuente: Laboratorio de ESET

Argentina: llevó su computadora a reparar y lo detuvieron por pedófilo

noviembre 27, 2013 § Deja un comentario

Un hombre de 56 años fue detenido luego de que técnicos de computación descubrieran fotos de menores sometidos a abuso sexual en un pendrive.

El abusador, identificado como Miguel Suárez, llevó su computadora a reparar a un taller especializado en el rubro, pero olvidó conectado un dispositivo de almacenaje masivo de información.

Al revisar el pendrive, los técnicos del establecimiento descubrieron la impactante verdad: encontraron fotos de menores de edad que habrían sido subidas a internet por el depravado, aunque se desconoce aún si las mismas fueron comercializadas o simplemente eran para compartir gratuitamente con personas afines.

Según explicaron fuentes policiales, la investigación se inició cuando otro hombre, de unos 33 años, denunció que en la red social Facebook circulaba una publicación que alertaba sobre un pedófilo y
entre las fotos había una de su hijo de 6 años.

Los pesquisas “se pusieron en contacto con el hombre que publicó el alerta, quien manifestó que alguien había olvidado un pendrive en su lugar de trabajo y que al analizarlo se encontró con
imágenes de niños desnudos en posiciones sexuales”, agregaron.

Con el material aportado, los investigadores lograron identificar a los niños y constataron que se trataba de unos diez chicos, de entre 1 y 15 años, que vivían en el distrito de San Fernando.

Tras la denuncia, un grupo de efectivos de seguridad allanó el domicilio del acusado en la localidad de San Fernando, donde había videos caseros en formato VHS y DVD e imágenes impresas de niños desnudos que se encontraban en posiciones sexuales.

Además los agentes hallaron ropa interior infantil; al respecto, vale aclarar que -según las primeras informaciones- el acusado no tiene hijos y vive solo.

El pedófilo fue detenido cuando se dirigía a la terminal de micros, con la finalidad de abandonar la provincia de Buenos Aires; lo detuvo personal policial de la Comisaría Cuarta de San Fernando. Ahora quedó a disposición de Luis Musso, el fiscal que entiende en la causa.

Fuente: Infobae

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 156 seguidores