>Phishers ofrecen resistencia a los bloqueos

abril 30, 2011 § 2 comentarios

>Recibimos un ejemplar de un Malspam el cual descubrimos es de idéntico formato al ya analizado por Sebastián Bortnik en ESET Labs Latinoamérica ayer por la tarde.

Al descubrir la existencia de ese detallado análisis era natural desistir de repetir el análisis. Pero encontramos una diferencia que nos guió a no apresurarnos y revisar un poco que pasaba. Tuvo su recompensa.

El caso del correo malicioso que recibí es idéntico en su aspecto:

El correo es igual pero como se puede apreciar este no tiene un vínculo a bit.ly sino a:

http://xwabc.%5BELIMINADO%5Down.in/opqst?FotoMensagemID=81319676.jpg
(dominio registrado hace 3 días, con datos falsos, de un escritor brasilero)

El cual redirige a:

http://www.down%5BELIMINADO%5D.in/? 
(dominio registrado hace 3 días, con datos falsos, de un escritor brasilero)

y a su vez este redirige a:

http://%5BELIMINADO%5D.thaieasydns.com/index.php (1)
(conocido de hace más de una año por usos maliciosos)

y de allí redirige al sitio que aloja el malware, un sitio chino abusado:

http://minhuangchinamobile.com/v%5BELIMINADO%5Dt/images/File28042011.cpl.

Ese archivo malicioso File28042011.clp fue identificado por VirusTotal por 18 antivirus, y en nuestro ambiente de prueba con Microsoft Security Essentials, como un malware para robo de contraseñas (PWS: PassWordsStealer):

O sea que a diferencia del correo analizado por ESET Latinoamérica este caso es el mismo pero abusando de otro sitio y con otro nombre de archivo para el mismo malware.

Un dato interesante o curioso es que el nombre del archivo contiene la fecha (ddmmaaaa), un signo que indica que es muy probable que los delincuentes estén haciendo esto con motivos de evaluar la efectividad de las variantes en los sitios y redirecciones utilizadas.

Notablemente, luego de un rato vemos que la redirección en el punto (1) cambió, (cambiaron index.php) y redirige ahora a otro sitio abusado:

http://www.ek%5BELIMINADO%5D.sk/images/document/File30042011.cpl

Y ahora vemos el archivo malicioso con el nombre actualizado indicando la fecha de hoy.

Las sorpresas no terminan allí. Mientras escribíamos esta nota recibimos otra muestra de otro correo:

Este nuevo engaño tienen el mismo vínculo que el correo que comenzamos analizando y deriva, siguiendo las mismas redirecciones, en la descarga del ultimo archivo File30042011.cpl para robo de contraseñas. Evidencia esta que se trata de los mismos delincuentes.

Un último detalle para señalar es que en los enlaces, todo lo que sigue después del dominio (opqst?cotacao25042011.pdf, y opqst?FotoMensagemID=81319676.jpg) es ignorado pero sirven para reforzar el engaño apoyando el tema de cada correo. Además esos dominios son operados por los delincuentes.

Como conclusión del análisis que realizamos, podemos ver como los phishers intentan sacar el mayor provecho de un mismo malware (probablemente comprado a otro delincuente) y un mismo modelo de correo engañoso, cambiando solo la redirección a los sitios abusador donde alojan el malware.

Desde Segu-Info procedimos a realizar las denuncias correspondientes de los dominios maliciosos registrados.

En este momento los enlaces de los correos aqui analizados son bloqueadas por OpenDNS e identificadas como sitio de phishing. Quien use OpenDNS está protegido sin llegar a que suceda ninguna descarga.

Actualización 1/5/11 12:01pm: La recompensa al análisis y la denuncia no se hizo esperar, recibimos respuesta del registro de los dominios denunciados:

Asunto: [~316614]: Directi Abuse Report Form – [eliminado]FILES.IN
Fecha: Sun, 01 May 2011 20:31:30 +0530
De: Directi Abuse Desk
Responder-a:: abuse@directi.com
A: …

Hello,
We have suspended the domain [eliminado]FILES.IN
Regards,
Abuse Desk

Ticket Details
===================
Ticket ID: 316614
Department: PublicDomainRegistry Abuse Team
Priority: Low
Status: Closed

Una consulta de ambos dominios informa lo mismo:

Name Server:NS1.SUSPENDED-DOMAIN.COM
Name Server:NS2.SUSPENDED-DOMAIN.COM

Raúl de la Redacción de Segu-Info

>Actualización de Mozilla Firefox, SeaMonkey y Thunderbird

abril 30, 2011 § Deja un comentario

>La Fundación Mozilla ha reportado múltiples vulnerabilidades críticas en Firefox, SeaMonkey y Thunderbird que permitirían el compromiso de un sistema afectado.

Las versiones afectadas son Firefox 4.x, 3.6.x y 3.5.x, SeaMonkey 2.x y Thunderbird 3.1.x por lo que se recomienda a actualizar a las últimas versiones disponibles (consultar lista de cambios).

Fuente:
ArCERT
http://secunia.com/advisories/44406/
http://secunia.com/advisories/44357/
http://secunia.com/advisories/44407/

>Microsoft se suma a Sony y alerta de un posible robo de datos personales en la Xbox

abril 30, 2011 § Deja un comentario

>Una semana después de que la japonesa suspendiera su sistema “on line” para Playstation, la empresa de Bill Gates detectó una brecha de seguridad en el videojuego “Modern Warfare 2”.

La empresa de computación Microsoft alertó hoy a sus usuarios de posibles intentos de robo de datos personales en su plataforma de juegos en red para su consola Xbox una semana después de que Sony suspendiera su sistema “on line” para Playstation por motivos similares.

El gigante informático anunció en su página web de Xbox que detectó una brecha de seguridad en Xbox Live a través de mensajes emitidos a los usuarios del videojuego “Modern Warfare 2” que tienen como objetivo apoderarse de información privada.

“Somos conscientes del problema y estamos trabajando para resolverlo”, se indicó en el comunicado.

Esta revelación tuvo lugar al día siguiente de que Sony en EE.UU. reconociera que el bloqueo de sus servicios en red para Playstation, que entró en vigor hace una semana y sigue activo, fue una medida de precaución para frenar un caso de “phising” o robo de información personal de sus clientes.

La empresa nipona aseguró que el nombre, la dirección, el correo electrónico, la fecha de nacimiento y las contraseñas para entrar en la red PlayStation podrían estar en posesión de terceros ajenos a su entidad que lograron burlar sus sistemas de seguridad.

La compañía indicó que, aunque no tiene “evidencias” de que el “hacker” se hiciera con los números de las tarjetas de crédito de los usuarios y la fecha de caducidad de las mismas, no descartó esa posibilidad y alertó a sus clientes para que tomaran precauciones.

Fuente: iEco Clarín

>¿Puede llegar a la Justicia un usuario que desea eliminar un contenido en Facebook?

abril 30, 2011 § Deja un comentario

>Por Fernando Tomeo – Abogado especialista en Nuevas Tecnologías y Redes Sociales

El especialista Fernando Tomeo destacó siete pautas que permiten dar de baja una foto o comentario en la red social si se afectan derechos personalísimos. ¿Cómo denunciar el inconveniente? Qué pasa si se desoyen las órdenes judiciales. El rol de los organismos estatales

Facebook es el invento del siglo XXI. La idea, sencillamente brillante, parte de la pregunta ¿qué estas pensando ahora?, que impulsa al usuario a compartir opiniones, imágenes (que pueden involucrar a terceros) e información personal.

Esta red social, fundada por Mark Zuckerberg en el año 2004 cuando era estudiante de la Universidad de Harvard, registra, en la actualidad, más de 500 millones de usuarios en el mundo y, hasta el presente, no ha ingresado al mercado de valores aunque algunos sostienen que se está preparando para la apertura del juego en el Nasdaq.

Recientemente, ha sido valuada, en un informe de Goldman Sachs, en la módica suma de 50.000 millones de dólares.

En Facebook, los usuarios exponen su intimidad “colgando” contenidos que muchas veces quieren ser dados de baja por otras personas que “salieron en la foto” y les resulta difícil explicar a sus parteners “el contexto de la situación”.

El clásico ejemplo lo constituye las fotos tomadas por una compañera de trabajo en la cena de fin de año de la oficina, felizmente “colgadas” en la red social por la joven que registra en su perfil 1.200 amigos que se enteran, con efecto viral, de todo lo acontecido en la “fiesta”.

En otros casos, Facebook es utilizado como un “espacio de opinión o poder” para difamar a otros con contenidos degradantes o humillantes o para afectar la reputación de una compañía mediante una crítica sistemática e infundada en una página de fans.

Ante estos casos, que se repiten a diario, se impone la necesidad de dar de baja el contenido “impropio” (por llamarlo de alguna forma) y aquí es donde comienzan los problemas.

A continuación se exponen 7 pautas generales que deben tomarse en cuenta para dar de baja o bloquear un material generado o incorporado a Facebook por un tercero:

1) Facebook ofrece a los usuarios una aplicación para “denunciar” contenidos que se estiman abusivos, conforme los criterios que menciona la misma red social, o que violan su declaración de derechos y responsabilidades.

2) En principio, sólo pueden “denunciarse” contenidos vinculados a desnudos o pornografía, atentados contra grupos o individuos, excesivamente sangrientos o violentos, publicidad o correos no deseados y/o consumo de drogas.

3) También existe la posibilidad de denunciar que el contenido afecta los derechos del usuario, de acuerdo a la legislación de su país. Para ello, deberá llenar un formulario y explicar las causas de la infracción a las leyes nacionales. Facebook se compromete a investigar en profundidad el caso y retirar, eventualmente, dicho contenido.

En tal sentido, y en relación a las fotos en particular, el contrato de adhesión suscripto por el usuario con Facebook refiere: “…Eliminaremos las fotos que denuncies como no autorizadas si así lo requiere la legislación vigente en materia de privacidad (fuera de Estados Unidos) siempre que aparezcas en ellas y hayas rellenado este formulario de contacto en su totalidad. Si la foto se elimina, no recibirás confirmación por correo electrónico, pero ya no aparecerá en Facebook.

Si no adoptamos ninguna medida, no recibirás ningún mensaje de seguimiento y la foto permanecerá en Facebook a menos que el usuario que la haya publicado decida eliminar el contenido o su cuenta….”.

4) Luego de efectuada la denuncia, la red social revisa el contenido y lo evalúa para definir si finalmente lo remueve o no.

5) Para el caso en que se decida no removerlo (por ejemplo, comentarios, imágenes, videos, etc.) debe recurrirse a la vía extrajudicial (intimación por carta documento o acta notarial) para solicitar la baja o bloqueo del material que se estima abusivo, identificando concretamente el mismo y fundando el pedido en legal forma.

6) Si la negativa continúa, se deberá recurrir a los tribunales mediante una acción judicial efectiva que, en la práctica, funciona como medida cautelar, que tiene por objeto la remoción, bloqueo o baja del contenido abusivo, en forma inmediata y sin perjuicio de la eventual acción por daños y perjuicios que pudiere corresponder.

7) La práctica profesional ha demostrado que el sistema de denuncias pocas veces tiene feliz acogida. Ello ha motivado que los usuarios recurran, cada vez más, a las acciones extrajudiciales y/o judiciales descriptas y a la protección de organismos estatales no judiciales que proveen mecanismos de defensa tales como el Instituto Nacional contra la Discriminación, la Xenofobia y el Racismo (INADI) que recientemente creó un Observatorio de Redes Sociales para detectar, denunciar y combatir el ciberacoso.

Fuente: Legales iProfesional

>Protección fuerte para passwords débiles

abril 30, 2011 § Deja un comentario

>Los passwords del futuro podrían ser más seguros y, al mismo tiempo, más fáciles de usar. Investigadores del Max Plank Institute for the Physics Complex Systems, en Dresde, Alemania, se han inspirado en la física de los fenómenos críticos con la intención de mejorar la protección de los passwords.


Los investigadores dividen un password en dos secciones. Con la primera, fácil de memorizar, encriptan un Captcha (una imagen que el programa de computación por sí mismo tiene dificultad en descifrar). También lo hacen más difícil para las computadoras cuya tarea es crackear automáticamente los passwords. Usan imágenes de un sistema físico simulado, que adicionalmente hacen irreconocible con un proceso caótico. Estos p-Captchas permiten a los físicos de Dresde lograr un alto nivel de protección de passwords, pese a que el usuario sólo necesita recordar un password débil.

Las computadoras algunas veces usan la fuerza bruta. Los programas de hackeo usan los así llamados ataques de fuerza bruta para probar todas las posibles combinaciones de caracteres a fin de adivinar los passwords. CAPTCHAS (Completely Automated Public Turing test to tell Computers and Humans Apart) se usan por lo tanto como una salvaguarda adicional cuyo input se origina de un ser humano y no en una máquina. Plantean una tarea para el usuario que es simple para un ser humano, pero muy difícil para un programa. Los usuarios deben entrar un texto distorsionado que aparece en la pantalla, por ejemplo. Los Captchas sin embargo están siendo cada vez más bypaseados.

Los investigadores del Instituto Max Planck han ahora desarrollado un Nuevo tipo de protección de passwords que está basado en una combinación de caracteres y un Captcha. También usan métodos matemáticos provenientes de la física de los fenómenos críticos para proteger los Captchas.

Fuente: Usuaria

>¿Está protegido tu navegador web?

abril 30, 2011 § Deja un comentario

>El navegador web se ha convertido en una herramienta cada vez más versátil y polivalente. A través del navegador, los usuarios de Internet llevan a cabo muchas funcionalidades que antes realizaban a través de otros programas.

Para poder soportar técnicamente esa nueva carga de trabajo, los navegadores han multiplicado en los últimos años su complejidad, lo que implica que también se haya multiplicado el número de riesgos por los que pueden verse comprometidos. Los atacantes buscan a través de posibles vulnerabilidades en el navegador web una vía para infectar los equipos de los usuarios.

Este artículo subraya la importancia de proteger el navegador web como un componente más del sistema operativo y ofrece una serie de pautas básicas para configurar, en pocos pasos y de manera segura, los navegadores web más utilizados: Microsoft Internet Explorer, Mozilla Firefox, Apple Safari y Google Chrome.

El artículo se encuentra disponible en español.

Fuente: Observatorio de la Seguridad de la Información de INTECO

>Periódico inglés pinchó el teléfono de Rooney

abril 29, 2011 § Deja un comentario

>Otra osadía de la prensa inglesa que a veces cae en la ilegalidad: el teléfono celular del delantero de Manchester United y el seleccionado de ese país, Wayne Rooney, estaba intervenido y un periódico escuchaba sus conversaciones.

“Los detectives de Scotland Yard vinieron a verme y me enseñaron unos documentos. Parece que un periódico ha pinchado mi teléfono. Gran sorpresa”, relata el jugador inglés en su Twitter, quien encomendó a sus abogados en el caso.

La prensa inglesa ha publicado que el jugador es el último de varias figuras de la vida pública cuyo buzón del celular móvil ha sido interceptado por periodistas de periódico News of the World.

El rotativo publicó varias historias exclusivas sobre Rooney en 2005 y 2006.

Fuente: Ambito

¿Dónde estoy?

Actualmente estás viendo los archivos para abril, 2011 en Seguridad Informática.