Deface al sitio de Diego Maradona

febrero 28, 2010 § Deja un comentario

Otra vez los defacers hacen de las suyas en la página oficial de Diego Armando Maradona. El sitio de Internet del DT de la selección argentina apareció hoy con una caricatura y frases que hacen alusión a su vieja adicción a la drogas.

 En la sección de Noticias aparece un dibujo de Maradona aspirando cocaína y el título de la nota dice: “Que rica Coca Mierda”. En la bajada se puede leer: “Me gusta la droga”.

Esta vez no se conoce la identidad del defacer, a diferencia de la primera vez que fue elite-peruivan que encontró la manera de vengarse del triunfo de Argentina sobre Perú por 2-1 de las últimas eliminatorias. Hace poco, Maradona también apareció con una camiseta brasileña en la página web de la AFA.

Fuente: El Comercio

Syn Flood, qué es y como mitigarlo

febrero 28, 2010 § Deja un comentario

Hoy día es sorprendente ver como ataques que fueron descritos a principios de los 90 perduran y siguen siendo efectivos en un buen numero de situaciones.

Uno de ellos, tal vez de los más clásicos, es el Syn Flood. Este tipo de ataque es posible debido a la forma en la que funcionan las conexiones TCP. Cuando un extremo desea iniciar una conexión contra otro equipo, inicia la conversación con un ‘SYN’, el otro extremo ve el SYN y responde con un SYN+ACK, finalmente el extremo que empezó la conexión contesta con un ACK y ya pueden empezar a transmitir datos.

Un ataque de tipo Syn Flood lo que hace es empezar un numero especialmente alto de inicios de conexión que nunca son finalizados, dejando al servidor a la espera del ack final, y por tanto consumiendo recursos de forma desproporcionada. Existen muchas herramientas escritas en todo tipo de lenguajes para hacer un ataque de tipo Syn Flood y no se requiere especial habilidad para llevar acabo un ataque de ese tipo.

Mitigando un ataque Syn Flood

A la hora de fortificar un sistema para contrarrestar un ataque de tipo Syn Flood existen parámetros que se pueden configurar en el sistema operativo para hacerlo mas resistente.

En sistemas Linux

Primer paso, activar las syn cookies (mas información sobre que es y como se construye una syn cookie aquí)

# sysctl -w net.ipv4.tcp_syncookies=”1″

Segundo paso, aumentar el ‘backlog queue’ (es decir, dar mas holgura al sistema para procesar peticiones entre-abiertas)

# sysctl -w net.ipv4.tcp_max_syn_backlog=”2048″

Tercer paso, hacer que el sistema minimice el tiempo de espera en la respuesta al SYN+ACK. En principio un sistema Linux ‘por defecto’ esperará 3 minutos, nosotros lo vamos a dejar en 21 segundos

#sysctl -w net.ipv4.tcp_synack_retries=2

(una vez probados los cambios, hay que hacerlos permanentes en /etc/sysctl.conf)

En sistemas Windows
 
Activación de la protección anti Syn Flood:

C:\> reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v SynAttackProtect /t REG_DWORD /d 1

Aumentamos el ‘backlog queue’

C:\> reg add HKLM\System\CurrentControlSet\Services\AFD\Parameters /v EnableDynamicBacklog /t REG_DWORD /d 1

C:\> reg add HKLM\System\CurrentControlSet\Services\AFD\Parameters /v MinimumDynamicBacklog /t REG_DWORD /d 20

C:\> reg add HKLM\System\CurrentControlSet\Services\AFD\Parameters /v MaximumDynamicBacklog /t REG_DWORD /d 20000

C:\> reg add HKLM\System\CurrentControlSet\Services\AFD\Parameters /v DynamicBacklogGrowthDelta /t REG_DWORD /d 10
 

Decrementamos el tiempo de espera en conexiones ‘Half Open’

C:\> reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v TcpMaxConnectResponseRetransmissions /t REG_DWORD /d 2

Ya solo queda rebootar Windows para que los cambios tengan efecto

[+] Las configuraciones han sido extraídas de este magnífico artículo

Fuente: Security by Default

Websense Security Labs reporta ataques dirigidos a la ‘confianza de los usuarios’

febrero 28, 2010 § Deja un comentario

Uno de cada diez resultados de “búsqueda top” son considerados código malicioso.

Websense dio a conocer los resultados de su reporte de investigación bianual Websense Security Labs, El estado de la seguridad de Internet, Q3-Q4 2009. La compañía identificó que 13,7% de las búsquedas de noticias/palabras populares (definidas por Yahoo! Buzz & Google Trends) llevan a malware. Los ataques de envenenamiento de la optimización de los motores de búsqueda dirigidos a las principales búsquedas le permiten a los hackers llevar tráfico a sus sitios.

En contraste con la primera mitad del año cuando los ataques de inyección masiva como Gumblar, Beladen y Nine Ball promovieron un fuerte crecimiento en el número de sitios Web malicioso, Websense Security Labs vio una reducción de 3,3% en el crecimiento del número de sitios Web comprometidos.

Los autores de código malicioso reemplazaron sus métodos de ataques sin dirección específica con esfuerzos enfocados en las propiedades de la Web 2.0 con más tráfico y múltiples páginas. En general, comparando la segunda mitad de 2009 con el mismo período de 2008, hubo un crecimiento promedio de 225% en sitios Web maliciosos.

Los autores de código malicioso siguen aprovechando la reputación de los sitios Web y explotando la confianza del usuario pues la segunda mitad de 2009 revela que 71% de los sitios Web con código malicioso son sitios legítimos que han sido comprometidos. Los sitios Web 2.0 que permiten el contenido generado por los usuarios son el principal blanco de los cibercriminales y creadores de spam. La tecnología Websense Defensio habilitada por Websense Security Labs identifica que 95% de los comentarios generados por los usuarios en blogs, salas de chat y centros de mensajes son spam o maliciosos.

Websense Security Labs descubrió que 35% de los ataques Web maliciosos incluyeron código que robaba datos, lo que demuestra que los atacantes van tras información y datos esenciales.

La Web sigue siendo el vector para los ataques de robo de datos más populares. En la segunda mitad de 2009, Websense Security Labs descubrió que 58% de los ataques para robar información se realizaron a través de la Web. Decenas de miles de cuentas de correo electrónico de Hotmail, Gmail y Yahoo! fueron hackeadas, y se robaron y publicaron contraseñas en línea lo que se derivó en un marcado aumento del número de correos electrónicos no deseados.

Websense Security Labs identificó que 85,8% de todos los correos electrónicos era spam, y durante la segunda mitad del año, 81% de los correos electrónicos contenían un enlace malicioso.

Los hackers maliciosos ya están enfocando sus esfuerzos en asegurar que estén dirigiendo sus víctimas directamente a ellos. Al envenenar los resultados de búsqueda y enfocarse en los sitios Web 2.0, sus esfuerzos a menudo son más eficientes y efectivos. La naturaleza combinada de las amenazas de hoy, junto con sitios legítimos comprometidos, toma total ventaja de la creciente percepción de confianza cuando se utilizan motores de búsqueda y se interactúa con amigos o conocidos en línea”, declaró Dan Hubbard, director de tecnología de Websense.

Video presentando los principales datos del informe (en ingles).

Fuente: ebizLatam.com

Las vulnerabilidades disminuyeron en 2009, pero otros riesgos aumentaron

febrero 28, 2010 § Deja un comentario

La cantidad de vulnerabilidades software disminuyó en su conjunto durante 2009, aunque el número de brechas de seguridad en lectores de documentos y aplicaciones multimedia aumentó un 50%, según el informe anual X-Ford Trend and Risk de IBM.

El equipo de investigación y desarrollo X-Force de IBM, que estudia las vulnerabilidades descubiertas y recopila otros datos sobre ataques basados en web, estima en 6.601 las nuevas vulnerabilidades registradas en 2009, un 11% menos que en 2008.

Pero, no obstante, IBM asegura que la cantidad de vulnerabilidades identificadas en lectores de documentos, editores y aplicaciones multimedia creció significativamente. Como tales, la compañía clasifica las vulnerabilidades de la parte cliente, que también incluyen las que afectan a navegadores y sistemas operativos.

De los cinco códigos de explotación contra sitios web más extendidos, tres están relacionados con los archivos PDF (Portable Document Format). De hecho, parece que los atacantes han disfrutado de un éxito especial en el descubrimiento de vulnerabilidades en el software PDF de Adobe, así como en los ataques realizados vía campañas de spam y sitios web maliciosos.

Otros dos de los exploits más difundidos durante 2009 afectan a Flash y a un control ActiveX que permite a los usuarios visualizar un documento Microsoft Office en Internet Explorer, según IBM.

Fuente: CSO

Microsoft vs. Cryptome

febrero 28, 2010 § Deja un comentario

Según informa Wired, Cryptome, el veterano sitio web que comparte año de nacimiento con Kriptópolis, desapareció hoy durante horas de la Red a instancias de Microsoft, que invocó la DMCA en base a una presunta infracción de copyright por la publicación del documento “Microsoft Online Service – Global Criminal Compliance Handbook” (mirror).

Actualización: Microsoft ha retirado su demanda y Cryptome vuelve a estar disponible.

Fuente: Kriptopolis

Consenso sobre las unidades de ciberguerra chinas

febrero 27, 2010 § Deja un comentario

Experto en seguridad informática de Trend Micro, Rik Ferguson, asesora a grandes empresas y administraciones sobre ataques informáticos a sus redes.

Con pinta de estrella del rock, Rik Ferguson (Londres, 1968) es uno de los expertos en seguridad más reputados del mundo. Este analista de la empresa Trend Micro , que mantiene un blog muy seguido por los especialistas en seguridad informática, visitó recientemente Madrid y, ante una sala plagada de responsables de seguridad de empresas y administraciones, repasó algunas de las amenazas que afectan a Internet, a las redes de las compañías y a los ordenadores de los usuarios.

Google reveló hace unas semanas que había sufrido un ataque a sus sistemas desde China, la operación Aurora, con el objetivo de robar parte de su propiedad intelectual. ¿Ha sido tan serio como han asegurado?

Fue un ataque con un objetivo concreto, no aleatorio. Se trató, a grandes rasgos, de una página web trampa que usaba una vulnerabilidad de Internet Explorer para instalar un programa malicioso conocido como caballo de Troya. Una vez instalado, el troyano conectaba con su origen, quedando la máquina bajo control del atacante. Pero no iba sólo contra Google. Otras 20 compañías también se han visto afectadas. Se ha tratado de un ataque muy serio.

Sin decirlo abiertamente, Google ha señalado a elementos del Gobierno chino y no a piratas individuales. ¿Tiene China un ejército de hackers?

Hay un consenso generalizado sobre el hecho de que el Ejército de Liberación Popular de China lleva años creando unidades de guerra electrónica compuestas de civiles y militares. Pero la extensión y cuánto hay de verdad en esto sólo lo pueden aclarar los chinos. En todo caso, sólo porque un ataque proceda de servidores en China o, como en este caso, Taiwán, no significa necesariamente que provenga realmente de China, ni supone que esté apoyado por el Gobierno chino. La naturaleza del espionaje de alta tecnología hace muy difícil llegar hasta su origen.

El ataque se aprovechó de un fallo de seguridad en Internet Explorer. Esto provocó que los gobiernos de Francia y Alemania desaconsejaran usar el navegador de Microsoft. ¿Fueron alarmistas?

La alarma se lanzó demasiado pronto y fue excesiva. El fallo afectaba sólo a la versión 6 de Explorer y, una semana después, también a la 7. Pero, por lo que sé, no ha a afectado a la última, la número 8. Si la gente se pasa a otro navegador sin estar familiarizada con su configuración puede que acaben en una situación menos segura que antes.

A finales de 2009, aparecieron dos virus informáticos para el iPhone. ¿Son los móviles la siguiente víctima?

Por ahora no son un gran problema. El primero era más una prueba de concepto y no salió de Australia. Pero el código fuente de este gusano ya está en Internet, cualquiera podrá cogerlo y hacerlo más dañino. La infección y difusión de un virus en la telefonía móvil será más rápida, ya que se puede difundir por Internet y también por la red de telefonía.

Además de los móviles ¿qué otras amenazas vendrán?

Las redes sociales, sin duda. Los ataques de siempre, spam [correo no deseado], virus, phishing [robo de información] se aprovecharán de la confianza propia de las redes sociales. Koobface, por ejemplo, es un nuevo gusano que circula por Facebook. Crea nuevas cuentas y solicita amigos. Si le agregas, te roba toda la información de tu perfil.

Pero, ¿por qué son más peligrosas las redes sociales que un correo que esconda un troyano o una web infectada?

Por dos razones. Antes era una empresa la que creaba el contenido y tú te limitabas a leer. Ahora, con la interactividad de la web 2.0, tú creas el contenido y puedes introducir material malintencionado. Lo segundo es la confianza. El contenido viene de tus amigos y te fías de ellos. Por eso es un ataque más potente.

La informática en la nube está de moda. ¿No es un peligro mayor tener los datos en servidores externos que en casa?

En las empresas, lo que hay que hacer es revisar la seguridad de los distintos proveedores. Sus niveles de seguridad siempre deberán estar por encima o al nivel de los propios. Para las personas, en el caso del correo personal o las redes sociales, hay que seleccionar, los datos más críticos no deben estar ahí.

Los expertos dicen que el eslabón más débil de la seguridad es el usuario. ¿No podrían hacer algo más las empresas, en particular las operadoras?

Deberían comprometerse más, es cierto. En EEUU ya hay algunas que avisan a los usuarios.

¿Y por qué no se extiende esto?

Por coste, les costaría mucho dinero. Tener un flujo de datos limpio exige tecnología y eso vale su dinero.

Fuente: Publico.es

Atención: Falso antivirus simula ser Microsoft Security Essentials

febrero 27, 2010 § Deja un comentario

De seguro que a más de alguno de nuestros lectores se les ha infectado el computador con los fastidiosos antivirus falsos (fake antivirus) que simulan ser un programa de seguridad que lo único que buscan es infectar tu computador simulando falsas amenazas y que pagues por desinfectarlo, cuando la verdadera amenaza es la misma aplicación de seguridad que se instala sin permiso alguno en tu computador. En Internet hay una lista de cientos de estas falsas aplicaciones de seguridad y por si fuera poco debemos agregar una más. Lee los detalles luego del corte.

La gentileza se la debemos a Microsoft quien este miércoles informó que ha aparecido una falsa aplicación de seguridad que simula ser la propia aplicación de seguridad de Microsoft (Microsoft Security Essentials) lanzada por la firma de Redmond en junio de 2009, la aplicación falsa tiene por nombre “Security Essentials 2010” y usa el mismo método persuasivo de todos las falsas aplicaciones ya que mediante un nombre relativamente familiar busca engañar a los usuarios menos expertos para que paguen por desinfectar el equipo. La nueva amenaza contiene el trojano  Trojan Win32/Fakeinit y su ventana principal luce así.

Una vez instalado este falso antivirus o malware, descarga e instala un falso escáner que monitoriza los procesos, lamentablemente como es típico, modifica el registro, se deshabilitan opciones del sistema como la misma terminar procesos, regedit, msconfig y ademas cambie el fondo de escritorio por un fondo negro con la típica advertencia de que el equipo esta infectado el cual no se puede cambiar.

Además el falso antivirus instala el componente malicioso Win32/Alureon y otro componente denominado “Layered Service Provider” que monitorea el trafico TCP enviado por el navegador y bloquea ciertos sitios web, desplegando este mensaje. Naturalmente el falso antivirus pide a los usuarios que paguen por una “versión completa” del software, y ese es su fin principal.

Aunque la recomendación viene de cerca, Microsoft indica que su antivirus puede detectar y eliminar la amenaza con su suite de seguridad Microsoft Security Essentials

Nota del editor: Por nuestra parte cumplimos con informar y solicitarles que tengan mucho cuidado con las herramientas que seguridad que descargan de Internet, sobre todo las que aparecen en ventanas emergentes o las que aparecen sin solicitarlas. Siempre tengan su sistema actualizado y un buen antivirus también actualizado en su sistema, a modo personal  (aunque cada uno es libre de elegir) les recomiendo las siguientes herramientas: AVG Antivirus, (excelente Antivirus gratuito y de pago),  Malwarebytes’ Anti-Malware (Eficaz Anti-malware) y la herramienta para remover falsos antivirus: Remove Fake Antivirus.

Más información al respecto en: [Microsoft]

Autor: Cedric
Fuente: Madboxpc

¿Dónde estoy?

Actualmente estás viendo los archivos para febrero, 2010 en Seguridad Informática.