China confirma existencia de escuadrón de ciberguerra: "Ejército Azul"

mayo 31, 2011 § Deja un comentario

Lo que para muchos era un secreto a voces o una verdad no contada por fin se confirmó: China cuenta con un escuadrón de expertos en seguridad IT, cuya única misión es responder de forma letal contra cualquier ciberataque o intento de ciberguerra contra la nación asiática. Su nombre: Ejército Azul, confirmó el actual general del Ejército Popular de Liberación del país (PLA, por sus siglas en inglés).

La noticia fue divulgada por los diarios The Times y The Australian, medios que confirmaron la existencia del comando de soldados digitales, conocido hasta el momento como Blue Army (Ejército Azul).

De acuerdo con la información publicada, Geng Yansheng vocero del Ministerio de la Defensa Chino confirmó durante una conferencia de prensa la existencia del comando, conformado por 30 elementos, expertos en los temas de infiltración y ataque de redes, espionaje cibernético y mecanismos de defensa electrónica.
Según el funcionario el Ejército Azul es parte del comando militar de Guandong, parte del Ejército Popular de Liberación Chino y está dedicado a mejorar la seguridad de las fuerzas militares del país.

Ante la noticia, medios chinos han informado que el escuadrón fue creado formalmente desde hace dos años, pero destacaron que las labores desempeñadas por el Ejército Azul se han ejecutado de forma paulatina durante más de una década dentro del PLA.

En entrevista con The Times, Xu Guangyu, investigador de la Asociación de Control de Armas y Armamento de China, explicó que el gobierno ha gastado “decenas de millones de dólares” en el entrenamiento de la unidad militar.
“Internet no tiene fronteras y por lo mismo no tenemos la capacidad para saber qué organización o país se convertirá en nuestro enemigo. La misión del Ejército Azul es la defensa personal. Nosotros no iniciamos el ataque contra nadie”, comentó Guangyu al medio inglés.

El Diario del Ejército Popular de Liberación Chino publicó en varios reportes recientes que la unidad militarse ha dedicado a desarrollar escenarios de ciberguerra para responder a ciberataques, bombardeo a  las redes digitales del país de códigos maliciosos y correos basura, así como en misiones de infiltración y ciberespionaje.

La unidad de soldados para las guerras digitales está conformada por miembros del PLA, estudiantes, oficiales entrenados y miembros de la sociedad, expertos en temas de informática y ciberseguridad.

La noticia ha causado revuelo, pues no es China comúnmente ha sido señalado como culpable y lugar de origen de los ciberataques y temas de ciberespionaje más recientes contra empresas y gobiernos.

Los recientes ataques contra dependencias o instituciones de gobiernos de Francia, Canadá y Estados Unidos incluso han puesto en tela de juicio la participación y trabajo en conjunto entre el gobierno chino y las comunidad de hackers del país.

La confirmación de la existencia del Ejército Azul llega unos días después de que los países miembros del G-8 (entre los que no se encuentra China) abordarán y discutieran, por primera vez, temas de regulación y control alrededor  de internet.

El anuncio, posiblemente genere repuesta por parte de la Casa Blanca, pues desde el inicio de su administración Barack Obama ha mantenido un fuerte interés por incrementar y definir la estrategia de ciberseguridad del gobierno.
Recientemente, Obama presentó ante el congreso estadounidense una propuesta de ley que detalla planes y mecanismos de acción para minimizar el impacto en la infraestructura crítica del país, previsiones para proteger la privacidad de la información de los ciudadanos, métodos para reportar brechas de seguridad y la propia seguridad de la infraestructura tecnológica del gobierno. Iniciativa conocida comúnmente como el plan “Kill Switch” de internet.

Fuente: CSO España

Vulnerabilidad de Android permite robar información

mayo 31, 2011 § Deja un comentario

Algunos medios se hicieron eco hoy sobre una vulnerabilidad de Android que podía provocar la la irrupción por parte de un hacker al sincronizar contactos, calendarios o un álbum de fotos en Picasa, dentro de una red WiFi sin seguridad habilitada.

En cuanto Google fue advertido de esta vulnerabilidad el problema fue solucionado, tanto para calendarios como para contactos para las versiones de Android afectadas.

Es importante señalar además que las circunstancias en que este fallo podría afectar a un usuario son muy específicas y poco frecuentes, ya que los usuario de versiones anteriores a las 2.3.4 o la 3.0 sólo se verían afectados cuando estén conectados a una red WiFi sin seguridad y al mismo alguien muy cercano a ese punto esté específicamente monitoreando el tráfico de esa conexión. Por otro lado, en caso de que un hacker explote esta vulnerabilidad no lo habilita a tomar control sobre el teléfono celular con Android, sino sobre los contactos, información del calendario y fotos.

En Google tomamos muy en serio los problemas de seguridad y es clave para nosotros llevar tranquilidad a nuestros usuarios para que continúen usando Android y el resto de nuestros productos en forma segura.Contenido completo en fuente original

Fuente: Google

¿Por qué Facebook es gratis?

mayo 31, 2011 § Deja un comentario

Existe una tendencia en Internet a ofrecer productos o servicios de manera gratuita para el usuario. Uno se pregunta cómo es posible, y muchas veces no se da cuenta de que cuando un servicio es gratuito es probable que el producto sea el propio usuario.

Bruce Schneier, gurú de Internet, explicaba la semana pasada en una conferencia en Madrid por qué Facebook no cobra por el uso de su plataforma. Los usuarios de Facebook no somos sus clientes; somos su producto, que vende a sus clientes. Facebook gana dinero a partir de lo que la gente cuenta en su red. Y cuantos más usuarios tenga y cuantas más cosas expongan de su vida mejor, porque eso significa más ingresos para ellos.

Pero obviamente, las redes sociales no son ONG´s y necesitan monetizar el tráfico que generan. ¿Cómo lo hacen? En el caso de Facebook, “la mayor parte de la contribución a las finanzas de la empresa proviene de la publicidad.”.

En este nuevo ecosistema social las marcas, que pugnan por saber qué demandan sus usuarios, tienen a su alcance la posibilidad de segmentar el perfil del usuario al que quieren hacer llegar su mensaje, multiplicando su efecto. Lo cierto es que los usurarios consideran las redes sociales como parte de sus vidas, por lo que el anunciante puede tener la seguridad de dirigirse a personas reales con un verdadero interés en sus productos.

La legalidad de estas prácticas viene amparada normalmente en la aceptación por los usuarios de las condiciones de uso de las redes sociales y en la aceptación de aquéllos de los parámetros por defecto establecidos por la red social. El consentimiento y la información se configuran como elemento básico del tratamiento de los datos. La cuestión radica aquí en determiner si el usuario está conveniente informado del modo en que sus datos son tratados por la red social. En definitiva, legal o no, parafraseando a Schneier, “los usuarios de Facebook no somos sus clientes; somos su producto”.

Contenido completo en La Informacion

>Phishing a VISA desarrollado en Flash

mayo 31, 2011 § 5 comentarios

>En el día de la fecha nos han reportado varios casos de Phishing a VISA en un dominio registrado el 24 de mayo pasado y cuyo sitio ha sido desarrollado utilizando Flash y PHP.

El correo que llega al usuario con la supuesta suspensión de la tarjeta de crédito es el siguiente:

Si el usuarios hace clic sobre el enlace, ingresa a un sitio .COM registrado recientemente seguramente para este fin:

Como puede verse el dominio VISA[ELIMINADO].COM fue registrado el 24 de mayo. Al ingresar al sitio, se puede ver la siguiente pantalla:

En el código fuente mostrado en la parte inferior se puede ver claramente que se invoca a un objeto en Flash, el cual toma la información del usuario y la envía a un script en PHP, responsable de almacenar o enviar la información al delincuente.
Luego, se solicitan los datos de la tarjeta de crédito, como se ve en la siguiente imagen y realizado de la misma manera anterior.

Una vez finalizado el proceso, el usuario es llevado a la página real de VISA Europa.

Me pregunto, ¿la empresa VISA no tiene los recursos necesarios para controlar ese tipo de registros de dominios?
Cualquier empresa que precie la seguridad de sus usuarios debería controlar el registro de cualquier dominio que involucre su marca pero, al no hacerlo, ocurren estas cosas.

Luego, los clientes deben sufrir las consecuencias y las mismas empresas se lamentan de lo sucedido, del robo de información y de la pérdida de imagen. Quizás, a veces realmente se merecen lo que les sucede.
¿VISA habrá leído su propia guía?

Cristian de la Redacción de Segu-Info

>Twitter, obligado por un juez a revelar la identidad de un usuario acusado de difamación

mayo 31, 2011 § Deja un comentario

>Una batalla legal en el Reino Unido ha conducido a un tribunal de California a exigir a Twitter que identifique a un usuario, a raíz de una serie de comentarios presuntamente difamatorios, un caso que podría sentar precedente.

Según la BBC, el principal sospechoso es el concejal independiente Ahmed Khan, el cual niega dicha acusación. Khan afirma que ha sido contactado por parte del popular servicio de ‘microblogging’ a raíz de una citación de un tribunal californiano.

En cualquier caso, algunos expertos opinan que en el momento en el que Twitter se vea obligado a revelar las identidades de sus usuarios se podría crear un importante precedente.

La política de privacidad de Twitter indica lo siguiente: “Podemos revelar su información si creemos que es razonablemente necesario para cumplir con una ley, reglamento o requerimiento legal, para proteger la seguridad de cualquier persona, para abordar el fraude, la seguridad o asuntos técnicos, o para proteger los derechos de Twitter o su propiedad”.

Contenido completo en El Mundo.

>Contrariamente a los informes, el Cookiejacking presenta un riego importante

mayo 31, 2011 § Deja un comentario

>En un reciente artículo de Reuters, el investigador de seguridad italiano Rosario Valotta describe un nuevo ataque de día cero en Microsoft Internet Explorer (IE) que ha denominado “cookiejacking.” La idea principal detrás de cookiejacking en realidad ha existido desde hace varios años. Nombres más conocidos de esta técnica son secuestro secundario (side-jacking) o secuestro de sesión (session hijacking). Sin embargo, lo que Rosario  descubrió es una nueva forma de este ataque que se basa en ingeniería social al usuario para que le ayude al atacante a explotar un error en el Internet Explorer.

Según el informe, la vulnerabilidad afecta a todas las versiones de IE, incluida la IE 9, en todas las versiones del sistema operativo Windows. Para explotar la vulnerabilidad, el atacante debe persuadir a la víctima para arrastrar y soltar un objeto por la pantalla del PC antes que el cookie puede ser secuestrado.

El investigador citó un ejemplo donde utiliza ingeniería social en forma de un rompecabezas para atraer a los usuarios a “desnudar” una foto de una mujer atractiva. Para aquellos de ustedes que estén interesados ​​en leer todos los detalles del ataque, lo pueden encontrar aquí.

Según el informe de prensa, el portavoz de Microsoft, Jerry Bryant dijo:

    “Dado el nivel de interacción requerida del usuario, este problema no es uno que consideramos de alto riesgo.”

    “A fin de que eventualmente fuera impactado, el usuario debe visitar un sitio web malicioso, ser convencido de hacer clic y arrastrar elementos por la página, y el atacante tendría que ponerse como meta una cookie de un sitio web en el que el usuario ya se haya registrado”, dijo Bryant .

Desafortunadamente, esta afirmación no es del todo exacta.

  1. La gente visita sitios maliciosos todo el tiempo. La infraestructura de Trend Micro ™ Smart Protection Network ™ bloquea, en promedio, 13 millones de intentos de los usuarios acceder a sitios maliciosos cada día.
  2. La ingeniería social para lograr un arrastre es fácil y estafas como las utilizadas por los creadores de Facebook FAKEAV y varios ataques de copia de Facebook JavaScript demuestran que esto funciona con facilidad. La ingeniería social es sin duda la táctica número uno que utilizan cibercriminales en sus ataques maliciosos.
  3. Siempre van a haber “cookies” en las máquinas. No creo que los usuarios promedio eliminen sus cookies, incluso semanalmente, y mucho menos en forma diaria.

La declaración de Microsoft sobre que esta cuestión no debe ser tomada en serio y que no representa un alto riesgo, es equivocada. Esos comentarios pueden llevar a los usuarios no técnicos a pensar que es poco probable visitar sitios web maliciosos y puede conducir a otros usuarios a pensar que no van a ser engañados o comprometidos con solo visitar un sitio web malicioso.

La gran mayoría de los ataques ahora están ocultos a la vista, uno no puede saber que algo malicioso se está llevando a cabo e incluso el resultado de la interacción del usuario puede no mostrar ningún problema obvio. Las tácticas de ingeniería social son a menudo sutiles, retorcidas, y emotivas, por eso tienen éxito y utilizadas con frecuencia por los atacantes.

Mi consejo: estar siempre atentos a los peligros en Internet, si uno se mantienen cautelosos, eso sólo podría salvarlo de convertirse en la próxima víctima.    

NT: Documento detallando el CookieJacking presentado por Rosario Valotta en la Conferencia Hack in the Box 2011

Traducción: Raul Batista – Segu-Info
Autor: Robert McArdle
Fuente: Trend Labs – Malware Blog


>Guía de VISA para responder a la fuga de información

mayo 31, 2011 § Deja un comentario

>¿Cómo las compañias pueden perder la confianza de sus clientes y reputación luego de una brecha de seguridad?

  • En 2008 una encuesta de los consumidores de EE.UU. encontró que un 79 por ciento de las empresas sufren pérdida de confianza como consecuencia de la violación de su seguridad o privacidad.
  • En octubre de 2008 una encuesta de confianza del consumidor encontró que el 74% de los consumidores de EE.UU. no compraría en un negocio donde sienta que sus datos financieros o personales puedan estar en riesgo.

Todo se reduce a una sola palabra: confianza.

Debido a que el análisis de fuga de información son a menudo complejos, es difícil tomar decisiones de comunicación rápida para mitigar el daño potencial de una violación. Estas situaciones se han complicado aún más por la realidad de que cada violación de datos es diferente y que puede haber pocos precedentes en cada organización para responder en forma acertada.

Los riesgos para el manejo de una violación son significativos al igual que el impacto en el negocio: la mala prensa, pérdida de ventas, litigios y una dura batalla para reconstruir su reputación.

Si bien es cierto que cada transacción de datos tiene sus propios desafíos y circunstancias atenuantes, hay algunas comunicaciones y principios básicos que pueden aplicarse a la mayoría de las situaciones de violación de los datos. Este documento publicado por VISA [PDF] tiene el objetivo proporcionar una orientación práctica para los comerciantes sobre cómo pensar, prepararse y responder a las violaciones de datos.

Cristian de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás viendo los archivos para mayo, 2011 en Seguridad Informática.