>Falso positivo en antivirus lleva a falsas conclusiones

marzo 31, 2011 § 3 comentarios

>Aunque no es frecuente, la industria de los productos anti-malware cada tanto da alguna noticia cuando sucede un falso positivo. En el caso sucedido hoy, el reconocido boletín de Networkworld titulaba Samsung instala keyloggers en sus portátiles (Samsung installs keylogger on its laptops).

El caso fue que un columnista de Networkworld escaneó por completo su nuevo equipo Samsung con el antivirus VIPRE el cual detectó, de forma equivocada, la presencia de un programa espia, un keylogger.

El asunto suscitó una serie de comunicaciones con Samsung y con GFI Labs (dueños desde hace poco tiempo de Sunbelt Software autores del antivirus VIPRE).

Según aclara GFI se trató de un falso positivo y pidieron disculpas publicamente por lo sucedido. También corrigieron el problema de la detección errada. El problema fue ocacionado por la heurística del producto y un directorio C:\windows\sl que contiene el idioma esloveno para la aplicación Windows Live.

Por supuesto Samsung también aclaró el punto en su blog titulando “Las portables Samsung de hecho son seguras”.

El sitio Networkworld realizó las actualizaciones de las notas a medida que se fue develando el verdadero origen del asunto, para al final cambiar el título a: El keylogger de Samsung puede ser una falsa alarma.

Como decíamos al principio estos casos no son frecuentes pero no dejan de suceder, es propio de cualquier producto de software que tenga errores, tal como comentaba hace algunos años Hispasec. Tambien aqui hemos relatado otros casos como este de AVG que dejaba inutilizada la PC(de varios), o también falsos positivos de McAfee, como así TrendMicro y Symantec han tenido sus problemas al igual que muchas marcas más.

Esta noticia inicialmente mala sobre Samsung se difundió rápidamente aunque no tanto la corrección tras hallarse que se trató de un falso positivo de un antivirus en particular.

Raúl de la Redacción de Segu-Info

>La web de Apple otra vez hackeada para distribuir malware

marzo 31, 2011 § Deja un comentario

>Los ataques masivos para distribuir malware se empezaron a poner de moda hace ya varios años. La idea es que el atacante selecciona las víctimas a través de un programa automático que busca patrones en los buscadores como Google o Bing. Una vez obtenida una larga lista de sitios vulnerables, se realizan ataques SQL Injection a todos ellos, que están especialmente creados para introducir código script malicioso en la página web. Así, cuando un visitante navegue por la web vulnerada será atacado con un exploit que tratará de ejecutar un malware en su máquina.

En este caso, la empresa de seguridad Websense ha publicado cómo se ha producido un ataque en masa para añadir referencias maliciosas a LizaMoon.com en 280.000 sitios, utilizando esta técnica de SQL Injection en masa.

Lo curioso es que la web de Apple se ha vuelto a ver afectada y aparece entre los sitios vulnerados que distribuyen malware. Hay que decir que Apple está trabajando rápido y ha limpiado la web de cualquier referencia a este sitio, aunque aún es posible acceder a los resultados utilizando la caché de los buscadores, y ver como, en esta ocasión, el código era inyectado en el título de los podcast en iTunes.

En este caso se desconoce el número de usuarios que han podido caer en el engaño, o el número de enlaces que resultaban efectivos, ya que estos podcasts también son leídos por medio de lectores RSS. El caso es que no es la primera vez que Apple cae en esquemas de ataques de SQL Injection masivo para distribuir malware. Ya en Agosto de 2010 cayó en otro ataque masivo a través de la web de iTunes.

También fueron hackeados los foros el año pasado y, en Zone-h se puede ver una lista de sitios a los que se hizo defacement en Appe.com. Lo cierto es que la web de Apple deja mucho que desear en seguridad. Hace ya más de un mes y medio, nosotros reportamos unos fallos de seguridad en la web de Apple que encontramos, y tras un rápido correo de respuesta aún estamos esperando a ver si los arreglan, para que os los podamos contar.

Como recomendación final, para evitar que una navegación normal por una página web te infecte de malware te damos las recomendaciones habituales:

1) Ten todo el software de tu sistema actualizado.
2) Ten instalado un antimalware con protección en tiempo real.
3) Instala una solución AntiXSS en el navegador que utilices.
4) Navega por Internet con un usuario poco privilegiado.
5) No confíes en ninguna descarga de ficheros automática.

Fuente: Seguridad Apple

>Tres preguntas en el Día del Backup: ¿Qué? ¿Cómo? ¿Cuándo?

marzo 31, 2011 § Deja un comentario

>Una serie de organizaciones dedicadas al alojamiento en linea han lanzado una interesante iniciativa denominando al día de hoy, 31 de marzo, como el Día Mundial del Backup (en inglés, World Backup Day). ¿Quién no ha perdido alguna vez un dispositivo USB y se ha arrepentido de no tener un backup? ¿Quién no ha sufrido la muerte de un disco rígido y perdió información que nunca más se pudo recuperar? Seguramente la mayoría de los lectores, y es por ello que los invito a aprovechar este día para pensar y reflexionar acerca de la importancia del backup.

Por lo tanto, si quieren aprovechar el día de la fecha para comenzar a realizar copias de respaldo en sus sistemas, comparto con ustedes las tres preguntas que deben realizarse antes de comenzar a realizarlos:

  • ¿Qué información debo respaldar? Un backup no es simplemente el almacenamiento indiscriminado de todos los archivos del sistema, sino que es importante de alguna forma (al menos sencilla) valorizar la información y decidir qué información necesita tener una copia de respaldo. Por ejemplo, en una carpeta de imágenes no es lo mismo las fotos familiares y de los hijos, que una carpeta de fondos de pantalla interesantes. Seguramente la primera de estas deba ser sometida a un proceso de backup mientras que la segunda puede ser información que el usuario está dispuesto a perder en caso de un incidente, por la facilidad para recuperarla o re-armarla.
  • ¿Cómo la voy a respaldar? En segundo lugar, es importante definir cómo será almacenada y respaldada la información. Hay gran cantidad de métodos y tecnologías disponibles para esto, y entre las más frecuentes podemos mencionar, por el lado del hardware, utilizar dispositivos USB (tanto un pen drive como un disco rígido externo), dispositivos ópticos (CD o DVD) como así también discos rígidos en la nube. Cualquiera de estas posibilidades es víable, y dependiendo del tamaño del backup, los costos y otros factores; el usuario podrá optar por cualquiera de estos. Por otro lado, desde el lado del software, podríamos decir que en el ámbito hogareño la decisión más importante es si utilizar una aplicación para este fin, o no. En muchos casos, las tareas pueden ser realizadas manualmente de forma periódica.
  • ¿Cuándo la voy a respaldar? En tercer lugar, las copias de respaldo deben ser realizadas periódicamente, pero hay que definir cada cuánto serán realizadas. ¿Todos los días? ¿todas las semanas?  En lineas generales, eso dependerá de cada cuánto la información es modificada. Si uno almacena en un archivo los avances diarios de un proyecto, seguramente todos los días será necesario realizar una copia de respaldo. Una carpeta de imágenes quizás sólo es necesario respaldarla cuando se guardan nuevas fotografías, y así sucesivamente según el caso.

En el ámbito corporativo, vale agregar una pregunta más, y no por ello menos importante: ¿quién realizará el backup? Me ha tocado conocer y visitar empresas donde se han implementado costosos sistemas de backup (tanto a nivel hardware como software), y sin embargo estos no se aprovechan o no se utilizan ya que no está claro quién es el responsable de dicha tarea. Por otro lado, vale destacar que en estos entornos empresariales, es necesario implementar un sistema de backup que, como ya se dijo, preferiblemente debe estar apoyado en hardware o software diseñados para tal fin, como por ejemplo herramientas que permitan hacer copias de respaldo incrementales para no almacenar información que ya fue respaldada anteriormente, y que no ha cambiado desde el último backup.

Las copias de respaldo son parte de las medidas correctivas en torno a los controles de seguridad, por lo que vale destacar que su importancia viene dada por la necesidad de que sea acompañada de medidas preventivas ante incidentes que atenten contra la información. Por ejemplo, ante una infección por ransomware, un código malicioso que bloquea el acceso a los archivos del usuario y pide dinero a cambio para devolverlos, un backup podría ser de mucha utilidad para que el usuario recupere su información. No obstante, la presencia de un software antivirus u otra medida preventiva, podría evitar directamente la infección y así también los riesgos asociados a no tener toda la información necesaria en la copia del respaldo.

Hoy es el Día del Backup, lo que nos pareció un buen motivo para recordar la importancia de hacer copias de respaldo y, desde el lado del lector, lo invitamos a hacerse estas tres preguntas, y recordar que hacer un backup puede ser más sencillo de lo que uno se imagina y, fundamentalmente, es una gran medida de seguridad que seguramente le ahorrará algún dolor de cabeza.

Fuente: ESET Latianoamérica

>Los datos corporativos son el nuevo objetivo de la ciberdelincuencia

marzo 31, 2011 § Deja un comentario

>Los cibercriminales han pasado de apuntar a la información personal de los individuos al capital intelectual de las corporaciones mundiales, según un informe publicado por McAfee y el contratista de defensa Science Applications International Corp. (SAIC).

El estudio de más de 1.000 altos ejecutivos de TI de una amplia gama de empresas en los Estados Unidos, Reino Unido, Japón, China, India, Brasil y el Medio Oriente, reveló que el capital intelectual a menudo tiene poca o ninguna protección. Además, los ciberdelincuentes han encontrado que los secretos comerciales, planes y resultados de investigación y desarrollo de marketing vale muchas veces más dinero que los datos personales, como números de tarjetas de crédito y credenciales de banco.

Desde la recesión económica, más empresas han hecho el traslado de almacenar datos fuera de su país de origen con la esperanza de reducir los costos, y aproximadamente la mitad de las organizaciones encuestadas dijeron que estaban reevaluando los riesgos de almacenar datos en el extranjero, señala el informe. China, Rusia y Pakistán son considerados los lugares menos seguros para el almacenamiento de datos, mientras que el Reino Unido, Alemania y Estados Unidos se consideran los más seguros.

Fuente: Blog Antivirus

>El FBI pide ayuda para descifrar un código

marzo 31, 2011 § Deja un comentario

>Son notas manuscritas encontradas en el cuerpo de un hombre asesinado en 1999. Los especialistas del organismo no lograron, hasta ahora, dar con la clave y por eso apelan a la inteligencia de los internautas.

Al Buró Federal de Investigaciones de los Estados Unidos (FBI, por sus siglas en inglés) no le ha quedado otra alternativa que recurrir a la astucia del público para tratar de resolver un crimen impune desde hace casi doce años y cuyas principales pistas son dos notas que contienen mensajes tan bien encriptados que nadie ha podido leerlos aún.

El 30 de junio de 1999, la policía de St. Louis, Missouri, descubrió el cuerpo de un hombre de 41 años, Ricky McCormick, en un campo. El FBI dice que, pese a un extenso trabajo de su Unidad de Análisis Criptográfico y Antifraude (CRRU, por sus siglas en inglés) y de la asistencia de la American Cryptogram Association, los significados de estos dos textos -hallados en los bolsillos del muerto- siguen en el misterio.

En la página del Federal Bureau puede leerse: “Las más de 30 líneas codificadas usan una exasperante variedad de letras, números, guiones y paréntesis. McCormick era un desertor de la escuela secundaria, pero sabía leer y escribir y se decía que era ‘street smart’ [tenía calle, era vivo]. Según su familia, McCormick había usado ese tipo de notas encriptadas desde que era un niño, pero aparentemente ninguno de sus parientes sabe descifrarlos y se desconoce si alguien más, aparte de la víctima, podía traducir su lenguaje secreto. Los investigadores creen que las notas halladas en los bolsillos de McCormick fueron escritas tres días antes de su muerte”.

El jefe del CRRU, Dan Olson, reconoció que “los procedimientos habituales del decriptaje haber chocado contra una pared”. Para avanzar, los analistas necesitan otra muestra del código de McCormick o alguno similar que pueda ofrecer un contexto a las misteriosas notas o permitir una valiosa comparación. Pero, a falta de nueva evidencia, dice Olson, “tal vez alguna mirada fresca pueda aportarnos una idea brillante”.

El FBI asegura que no es la primera vez que confía en la ayuda de la gente para la resolución de un crimen, pero sería la primera vez que pide asistencia para penetrar en los secretos de un código.

No se ofrece recompensa, dice el FBI, “sólo un desafío -y la satisfacción de saber que con su poder mental usted habrá, quizás, ayudado a llevar a un asesino ante la justicia”.

El que tenga una idea, conozca códigos similares o, ¿por qué no?, posea información adicional sobre Ricky McCormick, debe escribir al CRRU a la siguiente dirección:

FBI Laboratory
Cryptanalysis and Racketeering Records Unit
2501 Investigation Parkway
Quantico, VA 22135
Attn: Ricky McCormick Case

Fuente: Infobae

>Una red crítica de la NASA, abierta a ataques Internet

marzo 31, 2011 § Deja un comentario

>Seis servidores de la NASA expuestos a Internet han mantenido vulnerabilidades críticas que podrían haber puesto en peligro las misiones del Transbordador Espacial, la Estación Espacial Internacional y el telescopio Hubble al abrir la puerta a ataques Internet.

Según el inspector general de la NASA, las vulnerabilidades que dejaron expuestos los servidores a ataques Internet podrían haber sido descubiertas por un programa de supervisión de seguridad aprobado por la agencia el año pasado, pero aún sin implementar.

Todas ellas estaban relacionadas con proyectos de TI para el control de naves espaciales o que contenían información crítica de la NASA, según Linda Cureton, CIO de la agencia. Pese a ello, su inspector general, Paul Martin, comprobó que todavía no se había desplegado el sistema aprobado para detectar y corregir problemas similares en el momento mismo en que se producen y se ha dado a sí mismo hasta finales de septiembre para empezar a hacerlo.

La auditoría llevada a cabo para investigar el incidente ha revelado también que algunos servidores expuestos contenían claves de encriptación, contraseñas encriptadas e información sobre cuenta de usuarios, datos que podrían haber sido utilizados por los atacantes para acceder a la red de la agencia sin autorización.

Además del programa de supervisión de seguridad de la información que afecta a los servidores conectados a Internet, la CIO de la NASA se ha comprometido a iniciar el 21 de agosto otro programa piloto para descubrir los riesgos del resto de redes de la agencia, aunque no estén conectadas a Internet.

Fuente: CSOSpain

>Phishing a Bancolombia tambien abusa de Bit.ly, Ow.ly, Goo.gl

marzo 30, 2011 § Deja un comentario

>Recibimos hoy una denuncia sobre un phishing dirigido a clientes del Bancolombia. Como en varias otras oportunidades informamos. Por lo visto siguen usando el mismo “kit” de phishing desde el año pasado.

El texto del correo dice (errores incluidos):

Estimado Cliente :

Debido a la importancia por la seguridad e integridad de nuestros servicios hemos decidido enviarle el siguiente mensaje de alerta en el cual le comunicamos que por su SEGURIDAD.

Hemos implementado el nuevo sistema de IDENTIDAD PROTEGIDA DE BANCOLOMBIA.

En Bancolombia nos preocupamos por su seguridad, por este motivo recibirá esta notificación de forma automática cada vez que sea necesario.

Para evitar bloqueos y suspensión de los servicios ofrecidos en nuestra sucursal virtual, acceda a su cuenta con su usuario haciendo click sobre el siguiente el enlace que lo llevara directo a nuestra Web. Si el acceso es exitoso nuestro sistema eliminara el bloqueo de manera inmediata y usted podrá seguir disfrutando de todos nuestros servicios.

https://www.bancolombia.com <– vinculo falso que apunta a enlace bit.ly

Bancolombia pone a tu disposición, sin costo adicional nuevos servidores que cuentan con la última tecnología en protección y encriptacion de datos.
GRUPOBANCOLOMBIA S.A. Establecimiento Bancario.

En la captura se aprecia como se ve el correo:

Como se señala en el correo al posar el cursor sobre el vínculo se ve que apunta a un enlace de Bit.ly, abajo a la izquierda, mientras que simultáneamente en una caja de mensaje apenas abajo a la derecha repite la dirección supuesta.

El enlace del correo engañoso era una URL acortada de Bit.ly, que reportamos de inmediato, lleva a otra URL acortada de Ow.ly, difícil de encontrar donde reportar, y que lleva al sitio falso en cuestión.

Como en oportunidades anteriores es igual al original, incluso se observa que toma los gráficos y funciones del sitio original con un parecido y vínculos difícil de distinguir incluso para alguien experimentado. Por supuesto el detalle de la dirección es algo que por ahora no falla para darse cuenta del engaño, como se aprecia en la captura comparada de sitio auténtico y falso:

Mientras escribíamos este informe y luego de haber denunciado en Phishtank, Google SafeBrowsing y IE SmartScreen, recibimos otro reporte del mismo correo:

Este nuevo con un vínculo engañoso apuntado a un dominio CO.CC que a su vez redirige a un URL corto de Ow.ly y este a otro de Goo.gl el cual redirige a otro dominio CO.CC donde está el sitio falso. Desde Segu-Info procedimos a las denuncias correspondientes de la misma forma que antes.

Evidentemente la motivación por robar dinero, frustrada en parte por las denuncia que realizamos algunos miembros de la comunidad, es suficiente como para volver a montar el sitio el mismo día en otra parte.

Los delincuentes no descansan . . .  y nosotros tampoco. 😉

Raúl de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás viendo los archivos para marzo, 2011 en Seguridad Informática.