viernes, 29 de enero de 2010

Nueva estafa o amenaza Hacker contra los usuarios de Facebook.

Recientemente los usuarios de Facebook está recibiendo una extraña y misteriosa invitación, bajo el nombre App, detrás de la cual podría estar ocultándose un ataque hacker. Graham Cluley, consultor de tecnología de Sophos, ha explicado que los usuarios del sitio de redes sociales Facebook están recibiendo una misteriosa solicitud –que pide ser aceptada- que podría estar espiando todas sus actividades cuando acceden a sus páginas personales de Facebook. Los usuarios de Facebook están recibiendo una misteriosa aplicación anonima por medio de un mensaje de alerta, que por panico la estan transmitiéndo de unos usuarios a otros, de forma descontrolada. La aplicación, que tiene como iniciales App, es una función o aplicación desconocida y sin nombre y solo funciona dentro del sistema de mensajes de Facebook, y presuntamente crea una oportunidad de ataque para que los hackers asalten las páginas personales de los usuarios de Facebook que la acepten. "Los usuarios son informados con esta advertencia de que pueden encontrar la" aplicación sin nombre accediendo a Configuración / Configuración de la aplicación y luego seleccionando" Añadir al perfil 'en el cuadro desplegable ", dijo Cluley en un blog. "Efectivamente, cuando mire y busque en una cuenta de Facebook, inmediatamente me encontré con una extraña solicitud App sin nombre que me pedía que la aceptara ", dice Graham Cluley. Si la solicitud es un ataque hacker o una estafa por el momento sigue siendo un misterio, dice el experto. "A mí me parece que el único fallo cometido por estos hackers es haberle dado a su ataque un nombre tan inútil y estúpido", dijo. "De acuerdo con las declaraciones de Facebook, al parecer se trata de un buggy de una presentación de la ficha que aparece en los cuadros de los perfiles de los usuarios en Facebook". Sin embargo, no es la primera vez que los hackers han explotado los mensajes de advertencia y han creado páginas web que se refieren a la aplicación "sin nombre". Cluley dijo que, mediante el uso de herramientas de los motores búsqueda de optimización, los hackers podrían haber tomado el control de la parte superior de las páginas de los resultados de búsquedas. "Si por desgracia un usuario siente curiosidad y busca información acerca de esta estraña aplicación, podria tropezarse con uno de estos sitios maliciosos “Facebook sin nombre” que posiblemente esta infectado por malware de un falso anti-virus cuyo marketing esta diseñado para engañar a los usuarios lanzando el falso mensaje de que si lo instalan ganan en efectividad", dijo Cluley. La empresa Sophos ya ha identificado el malware que infecta estas páginas web y este Malware tiene como nombre Mal / FakeVirPk-A.

Un hacker ataco repetidas veces la Iglesia de la Cienciologia de Estados Unidos

Un Hacker de Nebraska ha aceptado declararse culpable de cargos relacionados con la denegación de servicio distribuida (DDoS) contra los sitios web de la Iglesia de la Cienciología. El acuerdo de culpabilidad conlleva una pena recomendada de doce meses en la cárcel. Brian Thomas Mettenbrink, un Hacker de 20 años, residente de Grand Island, en Nebraska, ha admitido que en enero de 2008 participó en un ataque masivo de DDoS en cooperación un grupo conocido como Anónimo. De acuerdo con la documentación del los tribunales, el hacker ha sido acusado de descargar y utilizar un programa informático especial que tenía como propósito la sobrecarga de solicitudes del sitio web de la Iglesia de la Cienciología (CoS). Un ataque de denegación de servicio consiste en el envío de un número inusualmente grande de falsos paquetes de datos o peticiones a un servidor. Si el ataque es lo suficientemente masivo y potente, el servidor de destino consumen todos los recursos disponibles en un intento de procesar los paquetes falsos recibidos y, finalmente, deja de responder a los usuarios legítimos que quieren visitar la página web. Con el fin de hacer más difícil de bloquear, por ejemplo, un ataque puede ser lanzado de forma simultánea desde múltiples computadoras, en cuyo caso se conoce como un ataque distribuido de denegación de servicio o DDoS. Anónimo es un conocido grupo de hacktivistas, que ya condujo una campaña agresiva contra la Iglesia de la Cienciología en 2008, que culminó con graves amenazas de muerte e incluso actos de vandalismo. El origen del grupo se remonta a la infame /b/ board on 4chan.org, sitio web de origen de los memes de Internet y muchas bromas, sin embargo, según algunos informes, los dos sitios web ya no están relacionados. Dmitriy Guzner, de 19 años, de Verona, New Jersey, ya está cumpliendo una sentencia de un año de prisión por su papel en el ataque DDoS y en la destrucción de la funcionamiento normal de los sitios web de COS durante días. Según un comunicado de prensa de la Oficina del Fiscal Federal para el Distrito Central de California, el Sr. Mettenbrink ha aceptado una condena similar y se declarará culpable ante un juez federal la próxima semana.

jueves, 28 de enero de 2010

Zimuse, una antigua broma, o una moderna pesadilla para Internet?

Una historia de una broma, que comenzó en Eslovaquia hace 20 años atrás contra un club de Moteros ha propagado un virus por todo el mundo. Un virus que fue creado con técnicas de programación de hace 20 años atrás y lanzado como una broma dirigida a un club de Moteros eslovaco está causando serios problemas a los usuarios de Internet en todo el mundo. La compañía de seguridad ESET dijo que el virus Zimuse, que es el nombre un virus arcaico, básicamente una rareza del pasado de la programación, se transmite por los sistemas operativos Windows. El virus aunque primitivo, ataca una parte del MBR, es decir, el Máster Boot Record, el sector de arranque del disco duro maestro de cualquier unidad que se encuentre conectada, una técnica actualmente obsoleta y que por entonces era bastante común en los virus de hace casi 20 años. Al igual que con los virus de la antigüedad, la propagación del virus se ayuda de su capacidad para infectar rápidamente a su equivalente moderno de los antiguos disquetes de 3,5”, los Pendrive de memoria USB. El virus se encuentra actualmente circulando por todo internet e infecta a los usuarios camuflado con un software de falso Test de Inteligencia y a través de cualquier sitio web que este ya infectado. El síntoma del ataque del Zimuse, es que llena los primeros 50 Kilobytes del Sector de Arranque del disco duro (MBR) con ceros, haciendo que los datos estén inaccesibles por un colapso. Literalmente el disco duro se colapsa durante el arranque. Debido a que es un virus informático que se consideraba extinto y superado por las modernas técnicas, actualmente es muy difícil obtener detalles e información sobre como funciona su código, por lo que la compañía afirma que obtener esta información técnica puede ser difícil y requerir software especializado. Ahora se cree que ya están circulando dos versiones modificadas del virus - Zimuse.A y Zimuse.B - , es decir Zimuse Alpha, y Zimuse Beta, y su propagación o difusión esta en sus niveles más bajos principalmente en los siguientes países: Eslovaquia, incluido los EE.UU., Tailandia, España e Italia. La diferencia entre las dos variantes Alpha y Beta tienen bastante que ver con el período de tiempo antes de que cada uno empieza a propagarse a través de las memorias USB y el punto en el que se activa la rutina destructiva del virus. La variante B es la peor de los virus, ya que la propagación del virus comienza en las memorias USB - sólo siete días después de la infección – pero, su maléfica estrategia es permanecer durante 40 días escondido y a la espera antes de atacar a los sectores de arranque de disco de la víctima. Lamentablemente esto aumenta el periodo durante el cual permanece la infección en las memorias y en los PC infectados, aumentando así su capacidad destructiva en los sistemas de protección. "Esperamos que este virus no se extienda mucho más allá. Pero sin duda es un recordatorio útil de que mientras que las actuales amenazas se concentran en robar y destruir datos, nunca está de más asegurarse de que los mecanismos de copia de seguridad están funcionando adecuadamente ", dice David Harley de la Empresa ESET en un blog. Hoy en día, el sector de arranque del disco duro es un lugar bastante raro para tropezarse con un virus, y la única la excepción conocida en los últimos tiempos es el desagradable rootkit Mebroot en el 2008. De vez en cuando, cuando menos se lo esperan los expertos, regresan viejos virus rescatados desde el pasado, el ejemplo el "virus Stoned.Angelina MBR que presuntamente se escondio en 100.000 portátiles Medion en el 2007. Stoned.Angelina originalmente data de enero de 1994, un período de tiempo que podría explicar también el nacimiento del Zimuse, que ESET considera que es muy parecido al «virus de media 'que salió de Eslovaquia en 1995. Ciertamente virus hay de todos los colores y nombres. Hoy en día, probablemente no hay razón para infectarse con estos antiguos virus, pero si no mantienes tu antivirus con sus definiciones de virus actualizadas, eso puede ser tan malo como no tener ningún antivirus instalado o en su caso tener una mala o nula capacidad heurística de detección.

TinKode hackea la pagina web del Centro de Investigaciones Espaciales de la NASA

El sitio web del Space Flight Center, del Centro de Investigación de Aerosoles en Goddard ha sido hackeado y ha dejado fuera de servicio después de que un hacker de sombrero gris demostrara con un ataque que su base de datos era vulnerable. De acuerdo con TinKode, un hacker y bien conocido por los administradores de la NASA, declaro que el Exploit de SQL inyección (Escuel Inyeccion) hay que realizarlo manualmente y su implantación en el servidor del centro espacial fue extraordinariamente difícil de lograr. "Quiero decir que fue muy difícil realizar esta Escuel inyección... El servidor de la NASA tenía una magnifica protección, pero su seguridad no estaba completamente garantizada", comenta el hacker Rumano sombrero gris TinKode en su blog. "Este tipo de Escuel Inyeccion sólo funciona si se hace de forma manual, y no es posible ejecutarlo utilizando algún tipo de software especial para estos casos”. En realidad el Aerocenter.gsfc.nasa.gov no es propiamente un sitio de la NASA sino que se trata de un sitio web mantenido por terceros, que está asociado con uncontrato al Goddard Space Flight Center (GSFC) de la NASA, y que durante meses TinKode ha estado intentando Hackear; lo que demuestra que el desarrollo y mantenimiento Web en este sitio Web hay un serio problema de seguridad. A comienzos de diciembre se informó que los sitios web que pertenecen los Sistemas y la División de Tecnología e Instrumentos (GSFC) istd.gsfc.nasa.gov, así como la División de Ingeniería del Software, sed.gsfc.nasa.gov fueron atacados por métodos similares. Según las declaraciones oficiales que se exponen en la propia página web del centro, antes de que el "AeroCenter fuera atacado y dejado fuera de servicio, estaba conectado al centro una investigadores interdisciplinar de Goddard de la NASA y otras organizaciones en el área metropolitana de Washington DC (incluida la NOAA, la Universidad de Maryland, y otras instituciones) que consultaban la pagina del centro precisamente por el interés científico de los aerosoles atmosféricos ". Después de lograr el asalto a la página web del Centro Aeroespacial, TinKode publico unas capturas de pantalla, parcialmente pixeladas del contenido que aparece en la base de datos de seguridad, que contiene información privada de los miembros del sitio, tales como el nombre completo, correo electrónico, teléfono, afiliación o grupo de enfoque. TinKode también ha revelado los detalles de siete cuentas administrativas, incluyendo las de Lorraine A. Remer, funcionario de la NASA responsable del programa de AeroCenter, Richard Kleidman, curator y Paul D. Przyborski, el Webmaster. Como indica el propio hacker sombrero gris las contraseñas del "hash", sólo se almacenan en la base de datos, y es mucho más seguro que el almacenamiento en texto plano. Por desgracia, estos valores del hash suelen ser bastante difíciles de descriptar, pero no es imposible ya que se generan con el algoritmo MD5, que al final con un largo proceso de trabajo resulta inseguro.

miércoles, 27 de enero de 2010

Hydraq podría haber infectado millones de Computadores

Recientemente los gobiernos de Francia y Alemania han aconsejado no utilizar Microsoft Internet Explorer 6, precisamente porque este navegador de Microsoft actualmente tiene una grave vulnerabilidad de seguridad (identificada con el nº 979352), que permite a los Hackers instalar un troyano y controlar remotamente un PC, para robar toda la información. Precisamente Hydraq es el Troyano que recientemente fue lanzado contra Google en China, y según la opinión de los expertos, el ataque no fue de una excesiva sofisticación. El ataque de Hydraq, es una combinación de malware y ingeniería social aplicada a objetos, y consiste en convencer a las victimas mediante el envió de un mail falsificado con un documento PDF adjunto o a través de la mensajería instantánea para que hagan clic en un enlace determinado en el documento enviado, que les lleva al sitio Web de malware desde el cual se instala el troyano en sus ordenadores. Las técnicas que emplea Hydraq no son nuevas, han sido ya utilizados por varios programas maliciosos en el pasado, y no son demasiado difíciles de conseguir en internet.
Una vez que el Troyano se ha instalado en el equipo víctima, se comunica con los servidores remotamente para recibir y cargar cualquier información que pueda haber recopilado. Este tipo de ataque a menudo reciben el calificativo de “ataque persistente”, ya que el software malicioso permanecen oculto dentro de las maquinas de una empresa en estado durmiente, a la espera de que la victima ingrese nueva información o la actualice para robarla. Como descubrir la presencia del Troyano Los expertos de Symantec aseguran que Hydraq aprovecha los procesos genéricos del Svchost.exe en Windows. Cuando se inicia Windows Svchost.exe comprueba los servicios del Registro y elabora una lista de servicios que son necesarios cargar. Muchos usuarios se alarman cuando ven repetida la clave Svchost.exe, pero no hay que alarmarse porque Svchost puede ejecutar múltiples instancias al mismo tiempo. SVCHOST.exe no solo es el responsable de cargar varios servicios, sino que también abre numerosos puertos de conexión a nuestro sistema en el cortafuegos de Windows. Cada sesión de Svchost.exe puede contener un conjunto de servicios, para que se puedan ejecutar servicios autónomos, en función de cómo y cuándo se inició Svchost.exe. Esto permite un mejor control y una depuración más sencilla. Los grupos Svchost.exe están identificados en la siguiente clave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Svchost El contenido del valor de cada clave representa un grupo Svchost distinto y presenta un ejemplo independiente cuando se consultan los procesos activos. Cada valor es un valor REG_MULTI_SZ que contiene los servicios que se ejecutan en el grupo Svchost. Cada grupo Svchost puede contener uno o varios nombres de servicio que se extraen de la siguiente clave del Registro, cuya clave Parámetro contiene un valor ServiceDLL: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ Nombre del Servicio Por esta razón, suele aparecer varias veces en la lista de procesos en ejecución. Para ver la lista de servicios activos que se ejecutan en Svchost y los procesos: 1. Haz clic en el botón Inicio en la barra de tareas de Windows 7 y a continuación, en buscar. 2. En el cuadro de diálogo buscar, escribe CMD y, a continuación, presiona la tecla Enter. 3. Ahora en la ventana de la consola de comandos, escribe: Tasklist /SVC ... y presiona Enter. Tasklist muestra una lista de los procesos activos y los servicios del sistema aparecen asociados con dichos procesos "si los hay" (en caso contrario muestra N/D, no disponible). El modificador /SVC muestra la lista de servicios activos para cada proceso. Si tienes Windows 7 y quieres obtener más información sobre los servicios que está ejecutando el proceso SVCHOST en estos momentos: 1. Haz clic en el botón Inicio en la barra de tareas de Windows 7 y, a continuación, en Ejecutar. 2. En el cuadro de diálogo buscar, escribe CMD y, a continuación, presiona la tecla Enter. 3. Ahora en la ventana de la consola de comandos, escribe: Tasklist /svc /fi "imagename eq svchost.exe" ... y presiona Enter. En este caso sólo mostrará los procesos SVCHOST.exe y sus servicios asociados. Respecto a detectar la actividad del Troyano Hydraq en esos procesos, que es lo que nos interesa, en primer lugar Hydraq crea un servicio aleatorio con un nombre ciertamente largo y con un nuevo grupo servicios llamado SysIns. Seguidamente se añade ,% System% \ rasmon.dll como si fuera un ServiceDll en el grupo de servicios SysIns, y a continuación, se ejecuta lo siguiente: C: \Windows\System32\svchost.exe-k SysIns Esto hace que rasmon.dll se cargue y ejecute. En su rutina de inicialización rasmon.dll elimina el servicio con el nombre aleatorio y crea otro nuevo servicio. El nombre de este servicio aparecerá de esta forma: RAS [4 Caracteres Aleatorios] Por ejemplo: RaSfitz. De nuevo, esto señala a% System% \ rasmon.dll, y esta vez se añade como ServiceDll al grupo de servicios existentes netsvcs. Este nuevo servicio será automáticamente cargado y ejecutado por svchost durante el inicio. Si se elimina este elemento de carga, junto con el archivo y se reinicia el sistema automáticamente se elimina la amenaza del Troyano.
http://www.microsoft.com/technet/security/bulletin/ms10-002.mspx http://www.adobe.com/support/security/bulletins/apsb09-10.html http://support.microsoft.com/kb/314056

No se revelan detalles sobre el nuevo lanzamiento de Apple

Los numerosos rumores en relación al nuevo lanzamiento de la empresa Apple se han hecho hoy realidad cuando en Twitter, Jason Calacanis, fundador del sitio de tecnología Engadget, afirma haber estado probando en algún momento una unidad de muestra durante las dos últimas semanas. El nuevo producto de Apple, supuestamente conocido como iTablet, tiene previsto ser presentado oficialmente esta noche, en una gala espacial en san Francisco, no teniéndose por el momento más detalles. En realidad todo cuanto se relaciona con el iTablet está rodeado de incertidumbre, misterio, especulación y una enorme cantidad de rumores que circulan desde diversas fuentes incontroladas por toda la red de Internet. Uno de los secretos, por el momento mejor guardados, es el nombre que la empresa Apple piensa darle a su nuevo dispositivo, que según los diversos rumores que circulan por la red estarían etiquetados como iPad, iSlate o iTablet, precisamente porque esto formaría parte del juego de intriga que se trae entre manos Apple para generar mas expectación en horas previas al lanzamiento. Lo que sí es cierto es que la empresa Apple, ha liberado escasos detalles Tecnológicos sobre su nuevo lanzamiento, y que los reserva para esta misma noche, y lo poco que se sabe hasta el momento ha sido dado a conocer en Twitter por Jason Calacanis, fundador del sitio de tecnología Engadget, que afirma que durante las últimas dos semanas haber estado probando una unidad de muestra. Lo que sí es ya una realidad confirmada es que Apple piensa hacer la presentación oficial de su producto esta misma noche en un acontecimiento que se celebrara en San Francisco. Como es lógico me he lanzado revolver todos esos rumores sobre este misterioso dispositivo en Internet y los detalles que he encontrado son bastante interesantes. Una de sus principales características es que se basa en una versión del sistema operativo del iPhone de Apple, con una interfaz de pantalla táctil y con la posibilidad de ejecutar varias aplicaciones al mismo tiempo. Otras de sus especificaciones es que incluye conexiones de datos Wi-Fi y 3G. También tiene dos "teclas de pulgar" a cada lado con posibilidad de "movimientos de ratón", además de dos cámaras, una frontal para videoconferencia y otra en la parte posterior, presumiblemente para capturar vídeo o imágenes fijas. El iTablet tiene un modo para lectura de libros electrónicos, lo que parece confirmar los rumores de que la empresa quiere entrar en el mercado de los videojuegos y las publicaciones electrónicas. El dispositivo puede también conectarse a otros iTables mediante su conexión Wi-Fi, precisamente para juegos en modo multijugador, aunque en principio si todo esto son ventajas muy atractivas para los más aficionados al mundo Apple, también deben saber que en lado opuesto de la moda esta su precio, que costará $ 599, $ 699 o $ 799 en los Estados Unidos, según el tamaño de la pantalla y la configuración.

martes, 26 de enero de 2010

China lanzo varios ataques hacker contra compañías petroleras Americanas en el 2008.

Según ha revelado un reciente informe del THE MONITOR, un grupo de presuntos Hackers Chinos lanzaron ataques de hacking contra al menos tres compañías petroleras de los EE.UU. Marathon Oil, Exxon Mobil y Conoco Phillips, que se vieron afectadas por los asaltos hackers y según el informe publicado hoy en el Christian Science Monitor tenían como origen la RPC Republica Popular China. La reciente revelación de estos ataques se producen a raíz de que Google y al menos otras 30 empresas de alta tecnología fueron hace poco el blanco de los ataques de hackers chinos, cuyas investigaciones señalan como origen china. Los ataques hacker ejecutados en el 2008 se suman ahora a la creciente preocupación general por el aumento de la inseguridad que está emergiendo en Internet y han provocado una protesta formal de los Estados Unidos ante el Gobierno Chino, que ha negado inmediatamente cualquier participación en los ataque y ha afirmado que también ha sido víctima de numerosos ataques.
Un grupo de hackers chinos atacaron varias importantes compañías Petroleras Americanas en el año 2008 según menciona un informe, que cita a fuentes no identificadas. Las empresas petrolíferas afectadas por los ataques hacker no tuvieron conocimiento de estos ataques y su gravedad hasta que fueron informados el año pasado por el FBI en 2009. Durante todo el tiempo el FBI ha mantenido celosamente guardado en secreto y oculta la información sobre estos ataques a las compañías petroleras y las autoridades federales, precisamente por que implicaban la sustracción de informes críticos y sensibles sobre "niveles de la extracción petrolíferos, datos de la oferta del crudo, o información detallada sobre qué cantidades, valor y ubicación de los recursos petroleros localizados, dijo el informe del The Monitor, citando a fuentes y documentos sobre los ataques que había obtenido. Según el informe los ataques hackers chinos pudieron haber puesto en grave peligro las contraseñas de correo electrónico, mensajes, otras informaciones de alto valor vinculada a varios ejecutivos con nivel de acceso “C” a información clasificada como propiedades, exploraciones y información de descubrimientos, según afirman fuentes que cita el Monitor. Por el momento no hay confirmación definitiva que detrás de estos ataques exista la implicación directa del Gobierno Chino, pero las investigaciones técnicas de al menos uno de los ataques en los equipos infectados han desvelado que los datos fueron transmitidos a una computadora al parecer situada en China y uno de los documentos que publica el THE MONITOR hace referencia directa un asalto causado por el virus "Chino", dice el informe. El informe publicado por THE MONITOR está basado en cinco largos meses de investigaciones, y arroja como resultado docenas de computadoras y robos de datos a través de las tres empresas vulnerables a los ataques. Los robos de informaciones sensibles han sido posibles usando software espía que fue diseñado a medida para evadir cualquier tipo de detección y control que las empresas pudieran tener instalados como protección Informática. Al parecer el primer ataque ocurrió en noviembre de 2008, precisamente a través del envió de emails con la técnica (E-P) del e-mail Poison (e-mail envenenado) dirigidos a numerosos ejecutivos de alto nivel en las empresas. Las cartas, que contenían solicitudes de beneficiarios para analizar la Ley de Estabilización Económica, estaban falsificadas de tal modo que lograron engañar a los receptores haciéndoles creer que provenían de personas conocidas. Desde el punto de vista de las técnicas Hacker, cabe decir que estos ataques solo tienen éxito con la participación directa de la víctima y solo si el receptor del documento siente una irresistible curiosidad por conocer el contenido. Si la víctima del ataque cae en la trampa para bobos y pincha un Link incluido en el correo electrónico, inmediatamente permite que un programa de malware se descargue en el sistema del usuario y desde allí se extienda hacia otros sistemas. Este tipo de ataques suelen ser muy selectivos, sigilosos, personalizados y persistentes. Por lo general el blanco predilecto de este tipo de amenazas persistentes han sido desde hace años las redes gubernamentales, especialmente las redes avanzadas del Departamento de Defensa, y más recientemente, los ataques han comenzado a extenderse hacia la esfera comercial. Los ataques no son producto de un Script Kiddie o un simple hacker aficionado, sino que requieren a menudo una vigilancia intensiva y la participación de técnicas SIAO la Ingeniería Social Avanzada aplicada a Objetos. En muchos casos, el ataque se dirige contra funcionarios de alto rango dentro de las organizaciones que son sistemáticamente engañados para que visiten sitios maliciosos o se descarguen software que infecta de forma automática los sistemas con puertas traseras remotas. El objetivo de los ataques a estos niveles, en la mayoría de los casos, es robar información altamente sensible, básicamente secretos comerciales en lugar de los datos personales o financieros. Según algunos analistas de seguridad los últimos ataques lanzados contra Google Cn y las empresas de alta tecnología, y más recientemente, los ataques ejecutados contra las compañías petroleras se destacan por lo que técnicamente se ha venido a llamar en el mundo de la alta seguridad como la amenaza persistente avanzada (APT), frente a un creciente número de entidades de EE.UU. comerciales. El término (APT) ha sido utilizado durante algún tiempo en el gobierno y los dominios militares para describir los ataques hacker dirigidos por estado altamente organizado y llevados a cabo por grupos hackers con profundos conocimientos técnicos y recursos informáticos.

El Antivirus Kaspersky acusa a Google de dispersar el Trojano.JS.

Kaspersky Antivirus, uno del más famoso software de seguridad, ha tenido recientemente problemas en Internet con Google para hacer bien su trabajo y está bloqueando incorrectamente el acceso legítimo a sitios web, para inmediatamente presentar una alerta de virus. Kaspersky antivirus, uno de los software de Seguridad más populares entre los usuarios de internet no está trabajando correctamente debido a que impide el acceso a las páginas web porque detecta falsos positivos en los anuncios de AdSense de Google. Al parecer se trata de un fallo en la base de nuevas definiciones de virus de conocimiento de códigos maliciosos del motor de reconocimiento del antivirus, que permite al antivirus detectar que las páginas que contienen anuncios de AdSense de Google están infectadas con un caballo de Troya etiquetados Trojan.JS.Redirector.ar. En este caso, aparece el siguiente mensaje en la pantalla: Acceso denegado. El problema: El objeto solicitado está infectado con el virus: Trojan.JS.Redirector.ar, indica el Antivirus Kaspersky Lab.
Esta no es la primera vez que Kaspersky Antivirus ha marcado los anuncios de AdSense de Google como un peligroso foco de dispersión de Troyanos, virus, o malware y de algún modo, quizá indirectamente su tecnología acusa a Google de Infectar a los usuarios a través de sus anuncios. El problema de los falsos positivos parece ser un hecho ya bastante y repetitivo y común en Kaspersky y que la empresa no ve de forma negativa, sino como un ejemplo de la alta eficiencia y liderazgo de sus productos de seguridad. Sin embargo, en noviembre de 2009, hace apenas tres meses, Kaspersky Antivirus (KAV 2009) comenzó a generar falsos positivos de ataques de phishing inexistentes aparentemente todos procedentes desde el buscador Google. “Estas detecciones de los virus mencionados en algunas páginas web de Google son falsas alarmas ", dijo la empresa Kaspersky en unas declaraciones. Kaspersky Lab puede mostrar un mensaje erróneo (Falso Positivo) de que el objeto solicitado está infectado con alguno de los siguientes virus: - Backdoor.Win32.Hupigon.jrpd, - Trojan.Win32.Generic, - Trojan.Win32.Swisyn.nik, - Win32.KillFiles.b, - Win32.StartPage.c, - Win32.StartPage.d, - Win32.StartPage.e, - Win32.StartPage.f, - Win32.StartPage.g. - Win32.StartPage.h, - Win32.Trojan-Downloader.Generic.ac, - Win32.Trojan-Downloader.Generic.ad, - Win32.Trojan-Downloader.Generic.ai. A pesar de que Kaspersky Internet Security 2010 lanza alertas erróneas sobre Google AdSense, el Buscador más grande del mundo –Google- no infecta a los usuarios con malware, ni con Trojanos.JS.Redirector.ar y se trata de un falso positivo. De hecho, los usuarios de Kaspersky, deben pasar por alto las alertas a pesar de que su desconfianza natural les diga lo contrario. Por otra parte el fallo en la base de de nuevas definiciones de virus no sólo afecta a los nuevos clientes que utilizan Kaspersky Internet Security 2010 sino que también están afectados los usuarios de Kaspersky Anti-Virus 2010, Kaspersky Internet Security 2009, Kaspersky Anti-Virus 2009 y Kaspersky Anti-Virus 6.0 para Windows Workstations MP4. Es evidente que Kaspersky ha dado un duro golpe a su propia credibilidad y legitimidad como fabricante de soluciones de seguridad y tiene que tomar inmediatamente medidas críticas y garantizar que fallos como este no se repetirán en un futuro. Sin embargo, es obvio que mientras el problema de los falsos positivos continúe activo en todas las copias de Kaspersky este sigue perjudicando a sus propios usuarios, y dañando un negocio legítimo de Internet que mueve miles de millones de euros entre las empresas, precisamente porque estas alertas asuntan a los clientes y crean la falsa sensación de que Google se está propagando malware a través de AdSense. Kaspersky Lab pidió públicamente disculpas a todos sus usuarios y a las empresas por cualquier inconveniente que este problema pudiera haber causado con anuncios AdSense, y añadió "El problema se resolvió rápidamente antes de las 19:00 hora de Moscú y ahora los productos de nuestra compañía han dejado de generar alertas de páginas de Internet con anuncios de google legítimos”. Kaspersky es una empresa que está continuamente mejorando sus procedimientos de detección de virus para los productos y en la liberación de actualizaciones no es posible evitar que alguna vez ocurran errores", añadió Kaspersky.

El hoaxe de la muerte de Johnny Depp y el Tsunami Cibernético

La empresa de seguridad y protección de datos Sophos ha lanzado una reciente advertencia de que un grupo de hackers ha conseguido crear una falsa página web donde se anuncia la trágica noticia de que el popular actor de cine de Hollywood Johnny Depp ha fallecido en un lamentable accidente de tráfico. Miles de usuarios acudieron ayer a visitar masivamente una página web que anuncio la trágica muerte del popular actor Johnny Depp en un accidente de coche por conducir borracho en una carretera a las afueras de Burdeos, Francia, sin embargo, se trata de una falsa pagina web que ha sido construida precisamente para infectar masivamente a los visitantes de la web e inyectarles un peligroso malware. Por otra parte, el hoaxe -falsa noticia- de la muerte de Johnny Depp se ha dispersado como un reguero de pólvora a través de Twitter y Facebook, y por toda la red debido a que los usuarios no se toman unos minutos en averiguar si se trata de una noticia real o falsa y confían inocentemente en los informes que reciben. Los hackers saben que el 90 por ciento de los usuarios toman como real cualquier informe o noticia sensacionalista que esté relacionado con algún popular personaje y por eso concentran sus esfuerzos en crear hoaxes y falsas noticias que parezcan totalmente creíbles con el fin de provocar Tsunamis Cibernéticos sobre una página web desde la que poder infectar con un troyano por millones todos los computares de los usuarios que visiten el sitio.
Ayer Twitter se inundo de la falsa noticia de la supuesta muerte de Johnny Depp, que además adjuntaba el link hacia la falsa página debido a que se trata de una noticia que finge un tema de moda y caliente, con tendencias impactantes. Durante todo el día de ayer fue uno de los segundos términos más más populares y buscados en Google. Como es lógico, el rumor cobro tanta fuerza que por el momento resulta imposible acabar con este fraude ", dijo Graham Cluley, consultor sénior de tecnología de Sophos. "La página web original que contiene los falsos informes de la CNN no es más que una broma pesada, pero las páginas creadas por los hackers y que contienen el caballo de Troya para infectar a los visitantes pretende sacar el máximo provecho de una oportunidad, para infectar el mayor número de los fans de Johnny Depp como sea posible. " Sophos ha detectado que el malware, se presenta como un códec de ActiveX necesario para ver el vídeo en la página web infectada, y es conocido como Troj / Dldr-DB. Los usuarios deberán asegurarse de que tienen un antivirus. Por otra parte Johnny Depp no es la primera celebridad que ha tenido que ver como los hacker se aprovechan de su falsa muerte. En el pasado, la actriz de Harry Potter Emma Watson y el rapero Kanye West experimentaron hoaxe de noticias falsas distribuidas por internet afirmando que murieron en accidentes automovilísticos y los actores Jeff Goldblum y Tom Cruise también han sido objeto de afirmaciones falsas que afirmaron que se habían precipitado por un acantilado durante el rodaje. "Los hackers tienen un gusto por lo macabro - explica Cluley, y se alimentan del interés del público por las muertes de celebridades, así como los escándalos sexuales". "Incluso si la historia no es cierta como es en este caso, los hacker pueden aprovecharse el Tsunami Cibernético del interés que desata la posible muerte de un famoso y lo utilizan para infectar el mayor número posible de equipos. Mi consejo es que siempre debéis consultar las noticias en los sitios web de noticias legítimas, y tener cuidado de la descarga de códigos o plugins desconocidos en vuestros PCs”. PVE7P2US8FGM

domingo, 24 de enero de 2010

Los servidores proyecto Tor han sido hackeados

Tor, el popular softwere que provee un canal de comunicación anónimo y está diseñado para ser resistente a ataques de análisis de tráfico (traffic analysis) ha sido hackeado. Tor, el softwere mas popular entre los hackers para esconder su actividad y navegacion en Internet ha sido asaltado por unos hackers desconocidos. Tor permite realizar una conexión a un equipo sin que este o ningún otro tenga posibilidad de conocer el número de IP de origen de la conexión. Sin embargo Tor no es 100% fiable en lo que se refiere al cifrado de la información ni completamente invulnerable. Su función principal es asegurar el anonimato del usuario, de forma que no se pueda rastrear la información que envía para llegar hasta él. La red Tor cifra la información de entrada y la descifra a la salida de dicha red, con lo cual es imposible saber quién envió la información. Sin embargo, el propietario de un servidor de salida puede ver toda la información cuando es descifrada antes de llegar a Internet, por lo que aunque no pueda conocer el emisor sí que puede acceder a la información.
Recientemente los desarrolladores del proyecto Tor han aconsejado a todos los usuarios de este software que actualicen la versión Tor a la versión 0.2.1.22 o 0.2.2.7-alpha tan pronto como sea posible. Esta advertencia de seguridad ha sido lanzada por los propios creadores porque, a principios de enero, dos de las siete autoridades de directorio del proyecto (Moria1 y gabelmoo), así como el servidor de estadísticas metrics.torproject.org se comprobó que había sido hackeado. Moría también contiene los desarrolladores de Git y los repositorios de sub-versión. Los desarrolladores dicen que rápidamente desconectaron los servidores de internet poco después de que fuera descubierta la intrusión. Los responsables y encargados del proyecto aseguran que la vulnerabilidad ya se ha solucionado y los servidores han sido ya reinstalados con nuevas claves para la lista firmas del servidor Tor, por lo que los clientes Tor ahora también deben ser actualizados. Hasta ahora, no se ha descubierto si en este ataque los hackers han logrado manipular el repositorio de informes. Al parecer los desconocidos intrusos no se dieron cuenta exactamente de la importancia de lo que habían hackeado y simplemente solo pretendían utilizar los servidores por su ancho de banda. Pero de acuerdo a la declaraciones de los encargados que mantienen el proyecto, los atacantes tambien crearon algunas claves SSH y pretendían utilizar los servidores para lanzar otros ataques.

Un fallo de Windows 7 puede declarar su copia Original en pirata

Continúa la escalada de problemas fallos y errores en Microsoft Windows 7. Cuatro meses después del lanzamiento sensacionalista de Windows 7, acompañado de una publicidad que invitaba a los usuarios comprar el nuevo sistema porque era más rápido, más seguro, más fiable, y sobre todo barato, su puesta en marcha en el mercado ha arrojado ya la cifra de más de media docena de serios errores. Ahora Microsoft WAG es que tiene problemas para distinguir entre Windows Originales y Windows Piratas. Algunos usuarios después de haber adquirido una copia original de Windows 7, e instalarla en sus computadoras han recibido la advertencia de que su copia de Windows 7 es pirata, y se han llevado una sorpresa desagradable durante la instalación del sistema. Al parecer el Activador de la Autentificación de Windows 7 tiene problemas para diferenciar entre un Windows original y uno falso, y a veces detecta como "copias pirata e ilegal", un Windows 7 recién comprado y pagado en la tienda de informática que todavía no ha sido registrado y activado en Internet. El síntoma del fallo es que inmediatamente después de realizar la nueva instalación e iniciar la sesión, la maquina puede permanecer suspendida con una intimidante pantalla en negro y mostrar mensajes de advertencia como los que reproduzco aquí: Su copia de Windows 7 no es genuina Su equipo puede estar ejecutando una copia falsa de Windows 7. 0 × 80070005 El fondo del escritorio del ordenador permanece en negro, y muestra el siguiente mensaje de error en la esquina inferior derecha de la pantalla: Esta copia de Windows no es genuina Incluso en la información del sistema; accediendo en Propiedades del sistema (accesible a través del Panel de control -> Sistema y Seguridad -> Sistema), es posible ver el siguiente mensaje de error: Debe activar actualmente su copia de Windows 7. Activar Windows ahora Si se utiliza en el terminal CMD de Windows 7 (Cmd) el símbolo del sistema la siguiente línea de comandos: slmgr.vbs / DLV o slmgr.vbs / DLI con privilegios de administrador para ver el estado de la licencia veremos el siguiente mensaje: Error: 0 × 80070005 Acceso denegado: la acción solicitada requiere privilegios de administrador. Una desactivación repentina y fortuita de la licencia de Windows 7, normalmente es bastante infrecuente, pero puede solucionarse tan sólo con reiniciar el ordenador, de modo que Windows 7 en el siguiente reinicio accede nuevamente a la condición de activación y el equipo regresa al estado activado. Sin embargo, en algunos casos el activador de Windows 7 falla porque hay un grave error y se modifica la clave del Registro HKU \ S-1-5-20 causando la perdida de la cuenta de servicio de red y los permisos de lectura en la clave del Registro, y entonces Windows se Desactiva automáticamente. Parece que el problema es bastante común, aunque Microsoft no ha revelado detalles o información, tan solo ha explicado en su boletín de seguridad KB2008385 que la posible causa de que el Windows 7 de cualquier usuario se convierta por sorpresa en un Windows Pirata probablemente se deba a un error y como resultado de la aplicación de un de objeto Plug and Play de las directiva de grupo (GPO) que se localiza en: Configuración del equipo -> Política -> Configuración de Windows -> Configuración de seguridad -> Servicios del sistema -> Plug and Play (Modo de Inicio: Automático) Entrando en detalles técnicos, para obtener información de identificación de la licencia, el servicio de licencias de Windows 7 utiliza Plug and Play y esa información se añade a la computadora durante la instalación, por tanto un cambio en la configuración del hardware puede provocar que la activación del sistema no la acepte o la compatibilice. Para empeorar aun más el fallo, los permisos de la política de Plug and Play que se ejecuten bajo la cuenta Servicios de red, no conceden servicio de licencias por defecto, ni los permisos para tener acceso al servicio Plug and Play. En resumen, el asunto es que si tienes una copia legal de Windows y la instalas puedes encontrarte con la desagradable sorpresa de que Microsoft declare que tu Windows 7 es una copia Pirata e ilegal.

sábado, 23 de enero de 2010

Hackeado el software de la plataforma de foros VBulletin

La popular herramienta de software comercial vBulletin (VB) que permite crear con unos pocos clics un de foro de Internet que funciona bajo PHP y usa MySQL como base de datos de backend ha sido hackeada. Un Hacker Rumano ha revelado en un foro la técnica utilizada para obtener listados completos de los archivos y directorios de las instalaciones ilegales de del software vBulletin. Esta vulnerabilidad genera un archivo incluido en muchas versiones de la plataforma del. Desde su lanzamiento en el 2000, la plataforma vBulletin se ha ganado una buena reputación entre los webmaster ya que goza de mucha popularidad debido a su único conjunto de características y de soporte profesional. Si quieres saber de forma directa cuanto de popular es esta herramienta solo tienes que hacer una búsqueda con las palabras clave "Powered by vBulletin" en Google y veras la asombrosa cifra de 1,6 mil millones de resultados. Por supuesto que la mayoría de estos resultados corresponden a instalaciones hechas por personas que pagan una licencia por utilizar el software. Sin embargo, como en todas las aéreas del software también existen craks y keygens que permite realizar instalaciones, que son ilegales, porque al igual que todos los programas más populares, a vBulletin también le piratean sus productos. El grupo DGT, principal proveedor del copyright dice que cualquier versión vBulletin tiene un mecanismo de protección de copyright que puede ser subvertido o "anulado" fácilmente. Al parecer el conjunto de cookies tiene la peligrosa costumbre de incluir un archivo llamado validator.php en todos sus paquetes de vBulletin de una instalacion ilegal. Según explican, precisamente este archivo puede ser utilizado para verificar que archivos incluidos en el paquete no ha sido alterado por terceros. También se comenta en las instrucciones que este archivo debe ser eliminado después de la instalación, pero obviamente la mayoría de los usuarios no leen esa parte ni eliminan ese archivo. Estos archivos pueden ser inyectados en el servidor, y el archivo validator.php puede ser ejecutado remotamente a través del navegador. Tras la inyección de ese archivo resulta muy sencillo a través del navegador insertar la ruta de acceso completa de todos los archivos del directorio de instalación, que puede dejar expuesta la información sensible. Por ejemplo, en la interfaz de administración vBulletin hay la posibilidad de crear copias de seguridad de la base de datos, que se guardan en un directorio que se puede escribir. Normalmente las personas que usan vBulletin no se molestan en borrar el archivo validator.php y no eliminan las copias de seguridad tampoco. Para un Hacker conocer los nombres exactos de estos archivos le permite realizar un ataque muy preciso y lograr asaltar cualquier foro con esta vulnerabilidad. De hecho, este es exactamente el truco que utilizo el equipo del centro de seguridad de Rumania (RST) en un sitio web. Según afirma un usuario llamado paxnWo: “Durante dos horas yo y tinkode [otro hacker], nos preguntamos cómo podríamos acceder a las bases de datos de todos los foros warez", y finalmente logramos crear una técnica. Mientras tanto, TinKode, un Hacker famosamente conocido por haber hackeado páginas web del Ejército de EE.UU y la NASA., publicó un aviso de seguridad en su propio blog, para atribuirse los créditos del hallazgo. Sin embargo, dada la naturaleza de esta vulnerabilidad, es muy probable que ya fuera conocida desde hace algún tiempo y mucho antes en los círculos más restringidos de hacking. Esto debería servir como lección a la gente que elige ejecutar copias ilegales de software comercial - nunca se puedes estar seguro de que el código descargado ilegalmente es seguro. Sin embargo, si estás ejecutando una distribución vBulletin que tiene "el copyright anulado" comprueba si hay un archivo validator.php en el directorio de instalación y elimínalo de inmediato. También, elimina cualquier archivo potencialmente sensible, que actualmente está dentro de esa carpeta.

viernes, 22 de enero de 2010

Aurora Codex fue programado por Hacker Chinos

El círculo se estrecha Aurora y Codex fue programado por Hacker Chinos. El ataque perpetrado hace unos días contra de Google.Cn y otras empresas usando un malware cuyo código operativo es conocido como Aurora Codex finalmente ha desvelado evidencias de su procedencia, existiendo detrás de estos ataques una persistente campaña de "espionaje de malware" que proviene directamente la República Popular China (RPC). El Gobierno de los Estados Unidos reconoce abiertamente que durante un periodo de más de 5 años le han sustraído Secretos Corporativos de Estado y que estos asaltos han sido realizados reclutando Hackers especialistas en la práctica de técnicas coercitivas, tales como el engaño, la intimidación o la violencia, aunque por otra parte no quieren dar más detalles del asunto.
Joe Stewart, un prestigioso investigador con sede en Atlanta, que trabaja para SecureWorks, es el actual experto encargado de analizar el código del troyano Hydraq, también conocido como Operación Aurora que recientemente ha sido utilizado para atacar a Google y otras 30 empresas, y ha dicho que ha encontrado pruebas de que el ataque es producto de Hackers Chinos.
Stewart buscó pistas dentro del código y descubrió un misterioso algoritmo CRC (comprobación de redundancia cíclica) que al parecer es "prácticamente desconocido fuera de China". El código CRC nunca antes había sido visto, y cuando hizo una búsqueda en las partes clave del algoritmo Google, se encontró sólo con resultados positivos de China. Como él mismo explica: "los algoritmos CRC se utilizan para comprobar los errores que han sido introducidos en los datos que se almacenan o son transferidos". El código CRC proviene directamente de China, y precisamente fue publicado en un documento donde se mencionaba la optimización de estos códigos para micro controladores. El debate gira ahora entorno a la especulación de si detrás de los ataques esta el Gobierno Chino, que a la vez se señala a sí mismo como una víctima más de estos incidentes, aunque a la luz de las evidencias esa hipotesis cobra cierta fuerza si consideramos el alcance, la selección de los objetivos y la audacia de la mayor parte de los ataques perpetrados. Pese a que todas las sospechas apuntan principalmente hacia hackers Chinos, Joe Stewart se muestra todavía prudente y explica lo difícil que puede llegar a ser en la práctica probar que definitivamente detrás de los ataques están los hackers Chinos, y mucho menos el Gobierno chino, y como el mismo dice “el hecho de que los servidores de control de los ataques y las direcciones IP provengan de la Republica Popular China no arroja pruebas contundentes de la participación directa de la República Popular China en el incidente o cualquier agente de la misma”. La verdadera identidad de los atacantes es por ahora desconocida aunque esepamos que el codigo este programado exlusivamente en China. Cabe la posibilidad de que los atacantes compraran un alojamiento web en servidores, que desde el comienzo, ya estaban hackeados y comprometidos por los piratas informáticos que posteriormente los usaron para sus ataques. Esta es la principal razón por la que la empresa de seguridad Informática VeriSign no apoya las declaraciónes de su filial, iDefense, acusando de los ataques al Gobierno Chino o a sus agentes. Podría ser una falsa bandera de ataque diseñada para dejar caer las sospechas sobre China. Sin embargo Stewart declaro al New York Times “aunque no existan pruebas definitivas de nada, siempre existe la explicación alternativa: "la navaja de Occam sugiere que la explicación más sencilla probablemente es la mejor."

miércoles, 20 de enero de 2010

Hackers Chinos atacan a Contratistas militares de Departamento de Defensa Norteamericano

Los hackers Chinos, con el respaldo del gobierno de la Republica Popular China, parecen haber comenzado un guerra por su cuenta contra cualquier blanco occidental que resida dentro del territorio chino. Como prueba de la existencia de esta creciente escalada de ataques a través de Internet y contra intereses occidentales en china, podemos mencionar diversos ejemplos recientes; los asaltos a las cuentas Gmail de dos periodistas extranjeros destinados como corresponsales en Beijing, los ataques ejecutados por hackers chinos contra google y otras 30 empresas en china, y las sospechas de que los hackers chinos están detrás de los recientes asaltos a las computadoras de las oficinas del gobierno indio, y cabe decir que esta lista parece no terminarse. A todos estos incidentes hay que sumar otro aun más grave del que se ha tenido conocimiento recientemente. Según el proveedor de seguridad F-Secure Corp, se han recibido informes de que diversos Contratistas de defensa Norteamericanos ha sido objeto de ataques por parte de hackers chinos.
Mikko Hypponen, Jefe de Investigación de F-Secure, en una entrada del blog de esta semana, dijo tener información sobre casos de ataques hackers contra contratistas de defensa de los EE.UU. El ataque hacker se produjo la semana pasada cuando los Contratistas recibieron ciertos mensajes de correo electrónico que contenían un archivo adjunto con PDF malicioso completamente envenenado. Al parecer el archivo PDF era un diseño falsificado de un documento oficial del Departamento de Defensa de los Estados Unidos que estaba envenenado con malware. Para lograr que el documento fuera tomado por valido, contenía información que mencionaba una Conferencia, los planes de usuario y su Misión, hecho que realmente está programado para celebrarse en Las Vegas este próximo marzo, añadió. Los hacker falsificaron el documento para confundir a los contratistas y lograr que confiaran en su veracidad. La foto es una captura de pantalla del documento pegado en el blog de F-Secure, y muestra un auténtico futuro memorando de la Fuerza Aérea titulado "Memorándum para la Misión Internacional de Planificación de la Comunidad." Sin embargo se trata de un documento falso, que esta envenenado con malware. Hypponen dice que cuando el documento PDF es abierto con Adobe Acrobat Reader, inmediatamente los hackers ya tienen acceso a una vulnerabilidad, que antes figuraba en la función del lector doc.media.new Player e instalan un Backdoor (una puerta trasera) en el sistema del usuario. Precisamente es con este Backdoor con el que logran conectarse remotamente a una dirección IP ubicada en Taiwán. Hypponen advierte que "Cualquier persona que controle la propiedad intelectual del documento puede acceder remotamente a la computadora infectada desde la red de la compañía". Hypponen es sucinto y no da demasiados detalles en su blog de cómo los contratistas fueron atacados con mensajes de correo electrónico que contenían archivos PDF envenenado, pero señaló que estos ataques se han producido inmediatamente depues de los recientemente asaltos a Google y otras empresas en china. "Mientras que el ataque del Aurora Codex contra Google sucedió en diciembre del 2009, esto ocurrió la semana pasada, "escribió. Según los expertos de F-Secure estos ataques parecen ser similares a los ataques a los Computadores de los organismos gubernamentales de la India, incluida la oficina del asesor de seguridad nacional del país. Esos ataques, que tuvieron lugar el 15 de diciembre, también provenían de China e involucraban correos electrónicos con archivos PDF maliciosos. Al igual que los anteriores, estos ataques dirigidos contra los Contratistas del DOD parecen estar originados en China, y su motivación parece tener como raíz el anuncio la semana pasada de Google, que provoco que el Departamento de Estado de EE.UU. pidiera explicaciones y presentara una queja formal contra el gobierno chino. Por supuesto el Gobierno chino ha negado rotundamente cualquier participación en los ataques cibernéticos alegados por google y el gobierno de los Estados Unidos y se definió a sí mismo como una víctima más de estos incidentes.

Un virus desconocido derrumba la red informática de la Universidad de Exeter

La red informática de la universidad de Exeter ha amanecido en la mañana miércoles completamente colapsada por el ataque de un misterioso virus para el cual no existe por el momento antídoto. El resultado es que todas sus Computadores de la red Interna han estado infectadas y su red cerrada a cualquier acceso. El ataque de un extraño virus comenzó el lunes pasado y a día de hoy miércoles ya ha tenido sus desastrosas consecuencias para el funcionamiento de la red informática de la Universidad y sus comunicaciones con el mundo exterior. De acuerdo con las declaraciones de los técnicos informáticos que esta mañana revisaban la red de sistemas Informaticos de la universidad, este virus es diferente de todos los conocidos actualmente: "... Este es un virus completamente nuevo y por el momento somos la única organización del mundo que está experimentando su primer ataque. Ninguno de los principales proveedores de software antivirus han visto un virus como este, no saben nada de su codigo, y por el momento solo podemos decir que no hay una solución o un antídoto". Supuestamente al ser un (VNI) Virus No Identificado entre los técnicos existe la incertidumbre sobre si este virus será completamente nuevo y único, y de ser asi esta situación pone fácilmente en evidencia a la seguridad y la capacidad de los antivirus para detectar nuevas formas de ataque. Por otra parte el ataque del virus se produce justamente cuando la facultad de informática de Exeter estaba tratando de solucionar un conjunto de problemas relacionados con una serie de vulnerabilidades en Windows Vista (incluyendo SP1 y SP2), junto con Windows Server 2008 (SP1 y SP2), que al parecer podía permitir la ejecución de código remotamente. Poco después, la página de la red de la universidad de Exeter ha vuelto a estar On-Line y ha sido actualizada informando que el desconocido virus "sólo afecta a máquinas que ejecutan el servi pack SP2 de Windows Vista", aunque como resultado del ataque, se llevó a cabo la desconexión preventiva de la red para limitar la propagación del virus por todo internet. También en la propia página de la Universidad se aconseja que cualquier persona con una máquina con Windows Vista, ya sea un equipo público o un portátil, no se conecten hasta nuevo aviso. Desde entonces, ciertas zonas de la página de la Universidad han permenecido accesibles y funcionando normalmente y otras están siendo reactivadas en línea lentamente, pero evitando las máquinas que son vulnerables a la vulnerabilidad. Hasta el momento todas las sospechas sobre la procedencia del extraño virus apuntan a que alguien ha podido inyectarlo en los sistemas informáticos, ya sea a través de un PC o un equipo de estudiantes que todavía se desconoce. También se desconoce por el momento si este ataque es consecuencia de un Hacker y si alguien ha podido robar información interna. Lo que está claro es que un simple virus en Windows Vista pude dejar fuera de combate todo un sistema informático en pocos minutos, y dejar atascada la red universitaria y las todas las instituciones.

Investigadores de seguridad localizan en link del Google Hack en China

Los recientes ciberataques de las compañías Google China fueron posibles gracias a un software malicioso, conocido como Aurora Codex. Los investigadores del incidente del google Hack China han descubierto que el robo de la información sensible fue posible usando un código programado por hackers Chinos, dijo ayer martes un investigador de seguridad. El investigador Joe Stewart, de SecureWorks usando un complejo algoritmo destinado a comprobar la corrupción de datos cuando se transmite la información, descubrió que el google Hack China utilizado en el ataque hacker a google está basado en un Backdoor (Puerta trasera) que se abre gracias a un Troyano conocido como Hydraq. Después de examinar el Backdoor, el investigador Stewart concluyo que el código fuente de este algoritmo, sólo parece que se encuentran en sitios Web chinos, lo que sugiere que la persona que escribió el código lee y escribe en chino y es un hacker chino. Esto es un importante indicio ya que de algún modo Google ha dado a entender que el hackeo de sus computadoras solo ha sido posible si existen personas infiltradas que tienen el apoyo de de hackers de la República Popular de China, aunque por el momento los ejecutivos de la compañía solo tienen sospechas y han admitido que no tienen ninguna prueba al respecto. Google está considerando seriamente retirarse del ciberespacio Chino, en parte debido a la situación y los ataques cibernéticos. SecureWorks afirma que con anterioridad ya existían antecedentes que relacionan a China directamente con ataques Hackers, precisamente porque algunos de los servidores utilizados para este último ataque estaban alojados en China. El problema es que los Hacker pudieron haber ocultado su rastro precisamente abandonado el servicio donde alojaban sus operaciones desde donde mantenían el control de esos servidores en China y eso no permite dar nada por sentado. En relación al code hackers que está detrás del código malicioso de ataque, es conocido desde el año 2006 como Código Aurora y es inyectado por medio de un troyano llamado Hydraq. A la cuestión del porque nadie pudo detectar a tiempo la presencia del ataque del Aurora Codex, la respuesta es que este código ha sido usado por los hackers muy pocas veces y raramente ha podido ser detectado por los antivirus durante años. El troyano Hydraq es sólo uno de los elemento del ataque que ha sido descubierto y encontrado por todas las empresas de software de seguridad ya que el código que permite el ataque es el Aurora Codex. Este código no es nuevo y se remonta a abril de 2009, dijo Stewart. Google se enteró del ataque en diciembre, y rápidamente lo comunicó a los demás empresas afectadas. El investigador Joe Stewart, que se gana la vida analizando cientos de códigos maliciosos dice que nunca antes en su vida había visto este código malicioso atacando en ninguna parte, salvo en este caso con el troyano Hydraq. Al igual que otros troyanos, Hydraq permite al Hacker ejecutar comandos y se pueden hacer cosas tan peligrosas como solicitar una lista de directorios, y leer y buscar archivos. Lo que está claro es que quien está detrás del Aurora Codex posiblemente sean hackers chinos, han logrado infectar 34 empresas, pero los investigadores sospechan que puede haber muchas más víctimas.

martes, 19 de enero de 2010

Rusia y Brasil los principales responsables de las redes Botnets y ataques del Conficker

Conficker, el temible gusano que infecta cualquier maquina PC o servidor y lo convierte en una maquina Zombie no ha desaparecido todavía de Internet, y está vivo y coleando. Según un reciente informe de Akamai, el gusano Conficker está siendo el responsable de gran parte de los ataques del mundo. Se conoce que una de las mayores redes mundiales de distribución del Troyano es, Rusia y Brasil, tan solo superada por los Estados Unidos y China en términos de tráfico de ataques durante el tercer trimestre del 2009. Todas las estimaciones apuntan a que alrededor del 80% de los ataques fueron generados por las variantes del infame gusano Conficker y específicamente a través del puerto 445.
Akamai mantiene una red de servidores por todo el mundo que distribuye contenidos a algunas de las mayores organizaciones TI en el mundo, como por ejemplo Microsoft, Apple, Adobe Systems, Amazon o Yahoo!. Utilizando cientos de sensores de detección desplegados en todo el mundo, desde una sede localizada en Cambridge, los expertos en seguridad informática recogen datos sobre los ataques y penetraciones en Internet, la cantidad de de banda ancha disponible y los ataques cibernéticos. En su informe trimestral más reciente, titulado "El Estado de Internet" Akamai anuncia que Rusia ha sido la mayor fuente de ataques de Internet durante el tercer trimestre de 2009, representando casi el 13% del tráfico de los ataques globales. Esto representa un aumento de un 1,2%, casi diez veces más, en puntuación Q2 del país en 2009. Brasil también experimentó un inusual aumento similar en el tráfico ataques que representa un 8,6% del total, frente al 2,3% en el segundo trimestre. Mientras tanto, Estados Unidos y China registraron una dramática disminución en el tráfico de ataques y alcanzo una tercera y cuarta posición, con puntuaciones del 6,9% y 6,5%, respectivamente. De acuerdo, miremos las cosas desde otra perspectiva; China representó un 33% de los ataques en la escala Q2 del 2009, mientras que Estados Unidos fue segundo con un 15%. Los 10 primeros en la escala Q3 son Italia (5,4%), Taiwán (5,1%), Alemania (4,8%), Argentina (3,6%), India (3,4%) y Rumanía (3,2%). Akamai señala como culpable de este cambio de clasificación al gusano Conficker. "El puerto 445 fue el blanco principal de los ataques procedentes de Rusia y Brasil, lo que indica la presencia del gusano en gran parte de los sistemas informáticos de ambos países, que participan activamente en el control del gusano Conficker, precisamente relacionado con la creación de redes botnets", señala la compañía en su informe. El puerto 445 (Microsoft Directory Services) es de hecho el blanco principal de casi el 80% de todos estos ataques observados. Otros ataques también se centran precisamente en los servicios del puerto 23 (telnet), el 4,4%, contra el puerto 139 (NetBIOS), el 3,2%, contra el puerto 135 (Microsoft-RPC) con un 2,8% y el puerto 22 (SSH), con un 2,0%. Esto es básicamente las cifras de ataques registrados durante el segundo trimestre, con muy pocos cambios de posición. Akamai concluye en su informe afirmando que "aunque la industria general y los medios de comunicación dan cobertura de la presencia del gusano Conficker y sus variantes, su actividad ha disminuido considerablemente desde que alcanzó en el segundo trimestre, y se desprende de estos datos que el gusano (y sus variantes), al parecer todavía muy activos, están buscando desesperadamente nuevos sistemas que infectar ".

lunes, 18 de enero de 2010

El Gobierno de la India sospecha de un intento de ataque de Hackers Chinos

Las últimas actividades sobre los asaltos llevados a cabo por Hackers chinos atacando empresas de EE.UU., incluyendo Google Inc. en china, no cesan y continúan muy activos, y ahora el nuevo blanco de ataque es el Gobierno de la India, que sospecha que los Hacker chinos están detrás de una serie de recientes ataques intentando obtener acceso a la información de sitios del gobierno desde hoy lunes. Un comentario realizado en el Periódico The Times of London, menciona que el asesor de seguridad nacional de la India, MK Narayanan, dijo que los recientes ataques Hackers parecen estar enfocados principalmente hacia las oficinas gubernamentales del gobierno indio: "Aunque es difícil encontrar la fuente exacta de estos ataques, con bastante seguridad todo apunta a que estos ataques provienen de Hackers Chinos. Hay fundamentos para creer que los hackers chinos son los principales sospechosos." Narayanan, no quiere dar más detalles y hacer más comentarios sobre los ataques. También un portavoz de la oficina del primer ministro indio declaro que por el momento no harán más comentarios. Sin embargo, un portavoz de la embajada china en Nueva Delhi, que dijo no estar informado de las declaraciones de Narayanan, añadió: "Déjeme que les diga, que China es un país donde las leyes no permiten la piratería y estos actos son ilegales". Narayanan fue mencionado en la entrevista y no dudo en decir… "este no ha sido el primer ejemplo de un intento de sabotear y hackear nuestros ordenadores gubernamentales. Añadió además que… "hubo un intento de destrucción masiva de nuestro computadores, utilizando un virus que fue enviado por correo electrónico a mediados de Diciembre del año pasado, y afortunadamente fue detectado y eliminado a tiempo”. Precisamente con respecto a la oleada de ataques –Un Tsunami Cibernético- Google comento la semana pasada que de continuar los ataques contra su buscador y de no cambiar la postura actual del gobierno chino, finalmente podría decidir abandonar el ciberespacio Chino. Los ataques contra el Gobierno Indio han ocurrido inmediatamente después de que Google realizara una investigación donde encontró que su empresa había sido atacada por Hackers Chinos de forma importante a mediados de diciembre pasado. El ataque de los Hackers Chinos iba precisamente dirigido hasta 34 diferentes empresas u otras entidades, según declaraciones dos personas relacionadas con la investigación. Una persona próxima a la investigación, comento que están investigando si el ataque está vinculado con el gobierno chino o si quizá detrás de todo este asunto pudieran estar los servicios de inteligencia. En cualquier caso es muy probable que las declaraciones de Narayanan, solo hagan más que avivar aún más las tensiones existentes entre la India y China, vecinos próximos, y rivales porque desde hace tiempo están experimentando continuas tensiones en su compleja relación. Los dos países son importantes socios comerciales - China es el mercado de exportación más grande de la India -, pero desde hace algunos años China y la India están envueltos en una constante disputa precisamente por las zonas fronterizas, y a causa de la dar asilo político al gobierno tibetano en el exilio.

INTECO pone en marcha el congreso “Trust in the Information Society”

Los próximos días 10 y 11 de febrero tendrá lugar en León el evento Trust in the Information Society. El congreso está organizado por INTECO y la Comisión Europea, con la colaboración especial de la plataforma tecnológica eSEC de AETIC, con motivo de la Presidencia española en la UE que se celebrará a lo largo del primer semestre de 2010. El sitio web http://trustworthyict.inteco.es de la organizacion recoge toda la información sobre el evento internacional sobre eConfianza que se celebrará los días 10 y 11 de febrero en León. El Instituto Nacional de Tecnologías de la Comunicación (INTECO) y la Dirección General de la Sociedad de la Información y Medios de Comunicación de la Unión Europea, son los organizadores de la Conferencia sobre Confianza en la Sociedad de la Información (Trust in the Information Society), que se desarrollará en León el 10 y 11 de febrero, con la colaboración de la Plataforma Tecnológica Española para la Seguridad, Confianza y Fiabilidad (eSEC). Un evento enfocado en la investigación en eConfianza, y en como las TIC pueden ser generadoras de confianza o pueden ser adaptadas y utilizadas para generar eConfianza, que nace de las conclusiones del último informe de RISEPTIS, la Junta Consultiva de Investigación e Innovación en Seguridad, Privacidad y Confianza en la Sociedad de la Información. Estructurada en cinco grandes bloques: Servicios en red y entornos informáticos de confianza; Un marco europeo común para gestión de identidades; Desarrollo de tecnologías y marco legal de la Unión Europea para protección de datos y privacidad; y Cooperación internacional sobre confianza y la investigación sobre seguridad, la cita contará con la presencia de destacados representantes del ámbito internacional en materia de seguridad informática, ponentes de reconocido prestigio de las distintas Administraciones Públicas, Industria, Investigación y de las distintas organizaciones que representan a los usuarios de ámbito europeo. Durante los dos días de duración del evento, tendrán lugar sesiones de alto nivel estratégico, incluyendo cuestiones y temas de ámbito político y social. La Web puesta en marcha por INTECO ofrece toda la información referente al evento, en español e inglés, así como el formulario de inscripción necesario para asistir. Para más información: Organización de Trust in the Information Society Email: trustworthyict@cert.inteco.es Sitio web: http://trustworthyict.inteco.es Teléfono: + 34 987 877 189 Extensiones: 5106 y 4007

jueves, 14 de enero de 2010

LA PÁGINA WEB DEL CENTRO DE EQUIPAMIENTO MILITAR AMERICANO HA SIDO HACKEADA

A pocos días de los recientes ataques sufridos por el Gobierno español, Twitter, Baidu, ahora se suma un nuevo ataque. Un Hacker de nacionalidad Libanes ha conseguido una espectacular popularidad en Internet debido a que ha conseguido asaltar la página del Centro de Equipamiento Militar del gobierno de los Estados Unidos gracias a la explotación de un fallo de seguridad en el sitio web Soldier OPE Army. El asalto a la pagina Militar del Gobierno ha sido posible gracias a la explotación de una vulnerabilidad de SQL inyección, (Escuel inyección) que supuestamente dio total acceso a la base de datos subyacente de la pagina y a la información contenida en su interior. Recientemente se recibió otro informe de una prueba de ataque, que fue ejecutada por un hacker rumano sombrero gris contra U.S. Army's Housing OneStop (AHOS) website, sitio del que se informo por medio un e-mail en un servidor del ejército diferente. El informe de este nuevo ataque a la web del equipamiento del gobierno fue enviado por alguien que se identifico como "Idahc, Hackidahc, un hacker libanés sombrero gris". El mensaje contenía las pruebas del ataque y la penetración en el sitio, adjuntando imágenes parcialmente borradas y listados internos de la base de datos del sitio web (PEO) de la Oficina Ejecutiva del Programa para los Soldados.
El primer e-mail fue seguido por un segundo, que daba detalles sobre las técnicas de explotación y explicaciones de la vulnerabilidad que permitió el ataque. Desde el punto de vista de la técnica de ataque, el hacker tuvo acceso atreves de una vulnerabilidad de inyección SQL. Este tipo de fallos se deriva de una validación inadecuada del acceso a usuario, que se salta un parámetro en el proceso de la secuencia de comandos y finalmente permite la entrada desautorizada. La vulnerabilidad de Escuel Inyección permite a un hacker manipular la dirección con el fin de ejecutar consultas SQL contra la propia base de datos con las credenciales de la misma página web. El problema de este ataque y de la alarma generada así cómo se ha conseguido acceder a este sitio reside en que la página web Ahos, es que el dominio de peosoldier.army.mil está alojado bajo un sistema Microsoft Windows 2003 Server y trabajando con una base de datos con motor de Microsoft SQL Server 2000. Según el comunicado oficial de la Oficina Ejecutiva del Programa (PEO) Soldier "la pagina fue creada por el Ejército de los Estados Unidos con un objetivo principal: desarrollar lo más rápidamente posible el mejor equipo y entregarlo sobre el terreno para que nuestros soldados sigan siendo insuperables en las misiones que abarcan el espectro completo de operaciones militares. [...] con sede en Fort Belvoir, Virginia, el diseño del PEO para desarrollar, adquirir, abastecer campañas, y mantener casi todo el equipo militar que utilizan todos nuestros soldados en la guerra. " "No estaba buscando el pasword de usuario porque yo solo quiero ayudar, y no he destruido nada", escribió HackIdahc en su primer e-mail dirigido al sitio web de Softpedia. Sin embargo, debido a que el sitio web Militar seguía accesible on line ese momento, el hacker procedió a ponerse en contacto directo con el Equipo Web army.mil y el webmaster peosoldier.army.mil. Desde entonces, se ha confirmado que la información presentada fue transmitida a los canales adecuados y el sitio web esta fuera de servicio, probablemente a la espera de una revisión completa. También vale la pena señalar que anteriormente HackIdahc se atribuyo el ataque por el descubrimiento de una vulnerabilidad similar en un sitio web de la NASA.

miércoles, 13 de enero de 2010

GOOGLE PONE FIN A LA CENSURA DE LAS BÚSQUEDAS DE Google.cn EN CHINA

Google ha publicado un impactante comunicado en el que advierte que pone fin a la censura de búsquedas de resultados en su motor de búsqueda Google.cn. Este comunicado se produce poco después de que google.cn fuera blanco de ataque de una serie de ataques hackers que al parecer estaban dirigidos contra activistas pro derechos humanos. La compañía anuncio en su blog corporativo que, y al menos 20 otras empresas, han sido el blanco de ataques de hackers en diciembre. Google declara que ha visto pruebas suficientes de que esos ataques tenían como objetivo el intento de acceso a cuentas de Gmail de los activistas de derechos humanos en China.
"La vigilancia de estos ataques nos han permitido descubrir- en combinación con los intentos registrados durante el año pasado, que china pretende limitar aún más la libertad de expresión en la web – y eso nos han llevado a la conclusión de que debemos revisar la viabilidad de nuestras operaciones comerciales en China", escribió David Drummond, director legal de Google. "Nuestra empresa ha decidido que ya no está dispuesta a continuar censurando los resultados en Google.cn, y por consiguiente, durante las próximas semanas, vamos a discutir con el gobierno chino la base sobre la cual nuestro motor de búsquedas de google podría operar sin un filtro de búsquedas dentro de las leyes chinas. Reconocemos que esto puede significar tener que cerrar Google.cn, y también nuestras oficinas en China ". Drummond dijo que los ataques de diciembre fueron infructuosos y los hackers sólo tuvieron un acceso parcial a dos cuentas de Gmail. Sin embargo, también hemos descubierto que decenas de cuentas de Gmail de activistas de derechos humanos situados en Europa, los EE.UU. y China, que son atacadas con sofisticados malware para controlar y robar datos rutinariamente por terceras personas. Google comenzó a operar en China en 2006 y fue ampliamente criticado por su decisión de ceder a las demandas chinas de coparticipar en los procesos de censura de la información en su sitio web. Por ejemplo, en las búsquedas sobre el tema de la Plaza de Tiananmen, no se encontraba ninguna información o fotos de la masacre de 1989. El Cofundador de Google Sergey Brin, dijo poco después que lamenta la decisión y Drummond dejó claro que la decisión inicial de la censura no era vinculante.
"Lanzamos Google.cn en enero de 2006 con la creencia de que podríamos mejorar el conocimiento y permitir un mayor acceso a la información a las personas en China, promoviendo una Internet más abierta, pero esta situación es demasiado incomoda como para que podamos aceptar la política de la censura china de las búsquedas de algunos resultados", dijo. "Por el momento queremos dejar clara nuestra postura de que vamos a estar atentos a las condiciones y haremos un seguimiento de cerca de las condiciones en China, incluyendo las nuevas leyes y otras restricciones sobre nuestros servicios. Si determinamos que no podemos alcanzar los objetivos fijados no dudaremos en volver a examinar nuestro enfoque en China. " Google es la primera compañía occidental que ha tomado medidas contra el gobierno china en este sentido. Por el contrario, empresas como Yahoo colaboran en la censura del gobierno chino rutinariamente, y pasan datos de los usuarios a las autoridades, la policía, el gobierno y los militares, a pesar de las críticas y acciones legales, pero el anuncio de google no cooperar mas en la censura arroja un guante a la cara de las autoridades chinas. Google.cn tiene una buena cuota de mercado en China y salir de ese mercado sería un duro golpe a la empresa, aunque google puede permitirse perder china si lo cree conveniente en pro de los derechos humanos. Es evidente que los serios ataques de hackers del gobierno chino contra la empresa google en China han terminado por convencer de que el gobierno chino hará lo que sea por tener el control absoluto de la información.

LinkWithin

Related Posts Plugin for WordPress, Blogger...