El sitio de la ONU es víctima de un ataque masivo de malware

Un nuevo ataque ha convertido a cientos de miles de sitios legítimos en una amenaza para sus visitantes. Entre los afectados se encuentran el sitio de las Naciones Unidas y los de varias organizaciones gubernamentales del Reino Unido.

Los delincuentes han inyectado un JavaScript malicioso a los sitios afectados con el propósito de robar los datos de sus visitantes.

El JavaScript descarga un archivo desde un servidor chino que dirige a los usuarios a otro sitio.

A continuación, aprovecha ocho vulnerabilidades diferentes. Una de ellas es una vulnerabilidad que Internet Explorer había parchado en enero del año pasado.

Así, los delincuentes tratan de instalar programas nocivos para robar los datos de sus víctimas y ganar acceso a sus ordenadores.

El experto en seguridad Giorgio Maone, que también trabaja para Firefox, asegura que los sitios del Reino Unido ya están limpios, pero que el de la ONU sigue infectado.

Este ataque parece ser parte de un ataque masivo que los delincuentes vienen llevando a cabo desde marzo.

El infectar grandes cantidades de sitios web de forma simultánea garantiza a los delincuentes que podrán infectar una gran cantidad de víctimas en poco tiempo.

Aunque la magnitud del ataque es sorprendente, los ordenadores que tienen instalados los últimos parches de Microsoft corren poco riesgo.

Fuente: http://www.viruslist.com/sp/news?id=208274142

Tres ‘hackers’ brasileños, condenados a resumir libros

La justicia brasileña condenó a tres ‘hackers’ (piratas informáticos) a resumir varios libros clásicos de la literatura local, además vetó su entrada en cibercafés y les prohibió registrarse en sitios de encuentros en internet.

El juez Mario Jambo, del Segundo Juzgado Criminal de la Justicia Federal del estado de Río Grande do Norte, admitió un recurso de habeas corpus de la defensa a cambio de que los condenados lleven a cabo un servicio social, en un fallo emitido el viernes pasado y publicado oficialmente hoy.

Los tres piratas informáticos habían sido detenidos el año pasado en la operación “Colosos” contra crímenes en la red.

Los implicados deberán resumir, al menos en diez páginas, los libros “A hora e a vez”, de Augusto Matraga”; “Sagarana“, de Guimaraes Rosa, y “Vidas Secas”, de Graciliano Ramos.

Los tres hombres tampoco podrán entrar en cibercafés, salir de la ciudad, ni registrarse en sitios de encuentros de internet, como Orkut, además deberán prestar servicio social en una escuela pública, con informes quincenales, y estar en sus residencias a las ocho de la tarde.

El Congreso brasileño tramita un proyecto para modificar la ley y poder tipificar los delitos virtuales como crímenes, pues hasta ahora se carece de una legislación específica.

Fuente: http://www.noticiasdot.com/wp2/2008/04/24/tres-hackers-brasilenos-condenados-a-resumir-libros/

¿PayPal bloqueará a los navegadores 'inseguros'?

Se ha escrito mucho sobre esta medida decidida por PayPal, sin duda, un peso pesado en Internet y cuyos movimientos se siguen con lupa. Como suele ocurrir en estos casos, la noticia ha sido en parte confundida y al parecer la mayoría de los medios no han sabido transmitir realmente la idea de PayPal. Como de costumbre, los medios generalistas han terminado aprovechando para señalar con el dedo a los de siempre, con el mensaje de siempre, y olvidando realmente cuál es el objetivo de la compañía.

PayPal es el sistema de pago líder en Internet. Permite ingresar o recibir dinero en cuentas particulares o ajenas con sólo conocer la dirección de correo de un usuario de PayPal. PayPal es la compañía, junto con eBay, que más ataques phishing sufre cada día. Las contraseñas robadas de usuarios se cuentan por decenas cada hora. Como medida para paliar este problema, la compañía ha anunciado que bloqueará a los 'navegadores inseguros' y aquí parece que comienza la confusión. Es importante destacar que la medida de PayPal está destinada a paliar el phishing, y sus 'navegadores inseguros' se mueven exclusivamente en este contexto del fraude online, y no en ningún otro donde tengan que ver los problemas de seguridad o las vulnerabilidades.

¿Qué es entonces un navegador inseguro para PayPal? La respuesta no tiene nada que ver con vulnerabilidades, problemas de seguridad o nada parecido, aunque muchos han querido llevar la noticia a este campo. Por un lado, PayPal considera inseguros a los navegadores antiguos que han dejado de tener soporte y que no incorporan tecnología antiphishing (desarrollada en los últimos años). Como simple ejemplo, menciona que todavía es visitada por usuarios que utilizan Internet Explorer 4, y que a estos no les permitirá el acceso. Navegar con Internet Explorer 4 o cualquier otro navegador que no recibe soporte ni actualizaciones de seguridad desde hace años es un completo suicido tecnológico para el sistema que lo utilice. Probablemente, que un usuario de IE 4 pique en un phishing de PayPal o no, es el menor de sus problemas.

PayPal utiliza una analogía para explicar lo que pretende: "Dejar que los usuarios de estos navegadores visiten la página de PayPal es como permitir a una factoría de coches que los fabrique sin cinturón de seguridad". Al parecer PayPal avisará durante un tiempo a sus visitantes si detectan estos navegadores, y luego los bloqueará.

¿Qué otro parámetro utiliza PayPal para calificar de inseguro a navegador? Pues que no utilice la tecnología Extended Validation SSL. PayPal ha invertido en estos nuevos certificados SSL (que no son baratos) y obviamente quiere sacarles provecho. Extended Validation SSL es una buena idea. Explicado de forma sencilla, los certificados que cumplan el Extended Validation SSL autentican al servidor (como los certificados tradicionales), pero a efectos prácticos permiten que el navegador que visita la página que tiene estos certificados, muestre de forma mucho más clara que la página es efectivamente la que se quiere visitar. Sería como si el navegador hiciera por nosotros la operación de pulsar sobre el candado cuando nos conectamos por SSL a una página, y verificara la ruta de certificación, el domino válido... todo de forma automática y visual. Si el servidor es seguro, se muestra en la barra de direcciones un color verde. Un usuario puede así de un solo vistazo dar por seguro que el servidor al que se está conectando es el correcto, y que no se está usando un certificado válido, pero falso.

Por ahora, sólo Internet Explorer 7 soporta de serie la correcta interpretación de certificados EV SSL. Firefox 2 necesita un plugin y Opera ha dicho que lo implementará. Safari no se ha pronunciado. Quizás, con el tiempo, PayPal obligue a los usuarios a utilizar un navegador que soporte EV SSL, pero para entonces (dentro de años) probablemente sea algo que todos los programas implementen de serie.

La noticia por tanto, no es tan catastrófica, aunque sí marcará tendencias. Lo que todavía no se sabe realmente, es si esta medida ayudará a paliar el phishing que sufre PayPal. A tenor del éxito del que todavía goza el phishing tradicional, los usuarios han demostrado que no se fijan realmente en los dominios, ni en la autenticación SSL a la hora de introducir sus credenciales en cualquier página que se lo solicite.

Fuente: http://www.hispasec.com/unaaldia/3469

Las brechas de seguridad online del Reino Unido quedan al descubierto

Se registró la pérdida de los datos de unos 25 millones de personas, lo que les expone al riesgo de su identificación y posibles fraudes.

Las compañías y el propio Gobierno del Reino Unido han sufrido un "inexcusable número" de fallos de seguridad, como la pérdida de millones de datos personales durante el año pasado.

Richard Thomas, comisario de la Oficina de Información británica, que vela por la seguridad de los datos personales de los ciudadanos, afirmó de que fue informado (PDF)de al menos 94 fallos de seguridad desde noviembre, de los cuales dos tercios afectan al sector público, y de las detectadas en el sector privado la mitad afectan a entidades financieras.

El primer ministro británico, Gordon Brown, ordenó una revisión urgente de la seguridad de los datos electrónicos después de que la autoridad aduanera HMRC reconociese la pérdida de los datos de unos 25 millones de personas, lo que les expone al riesgo de su identificación y posibles fraudes.

Richard Thomas afirmó que el Gobierno, los bancos y otras organizaciones deberían hacer de la protección de los datos una prioridad. "Es particularmente decepcionante que los fallos de seguridad no hayan servido para prevenir otras brechas de seguridad inaceptables desde entonces", afirmó.

Estas brechas de seguridad incluyen el robo de portátiles, discos duros, lápices de memoria e incluso datos impresos. Algunos problemas de seguridad se deben a robos y hurtos, aunque otros simplemente a despistes o pérdidas accidentales. Además, la naturaleza de los datos desaparecidos abarca un amplio rango de detalles personales, como los financieros o los sanitarios.

Thomas comentó que, pese a todo, tanto los responsables de las compañías como los funcionarios estaban mostrando un creciente interés por proteger los datos de una forma más seria, pero se debe hacer más para "erradicar las inexcusables brechas de seguridad".

En otro informe, realizado por PricewaterhouseCoopers para el Departamento deEconomía, encontró pruebas de que las medidas de seguridad se han reforzado en los últimos años.

Las cantidades invertidas en medidas de seguridad se han triplicado en los últimos seis años, según este informe divulgado por la agencia Reuters. Sin embargo, muchas organizaciones siguen sin tomar medidas básicas para proteger sus sistemas informáticos y los datos privados. Estas son las principales conclusiones de este estudio:

* Cuatro quintas partes de las empresas que han sufrido el robo de computadoras no tenían ni tienen cifrados los discos duros.
* Dos terceras partes no hacen nada para impedir que los datos confidenciales salgan de la compañía en memorias USB.
* Un tercio de las firmas investigadas no controla el uso personal de la mensajería electrónica.
* Uno de cada 10 sitios que aceptan el pago 'online' no encripta las transacciones, lo que expone a sus clientes al riesgo de fraude.

Chris Potter, socio de PwC, que se estima que la violación de la seguridad de gastos cuesta a la economía británica 6.000 millones de libras al año.

Por su parte, la ministra de Finanzas, Shriti Vadera, afirmó que las empresas deben asegurarse de que gastan lo suficiente en medidas de seguridad para evitar la pérdida de datos."La encuesta pone de manifiesto un aumento de la comprensión por parte de las empresas de las oportunidades y amenazas, pero los retos siguen", concluyó.

Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=1618

Nuevas estadísticas sobre Spam

Según investigaciones de Sophos, durante el primer trimestre de 2008 el Spam ocupó el 92.3% del total de correos electrónicos que circulan por la red.

En cuanto a sitios web, se crea uno relativo al Spam cada 3 segundos, con un total de 23,300 por día. Los servicios más usados son los gratuitos, tales como Blogger o Geocities.
Por otro lado, los servicios de correo vía web también son utilizados por los spammers, violando su sistema de CAPTCHA que pretende distinguir humanos de robots. Entre ellos encontramos a Gmail, Hotmail, etc.

Raramente, el envío de Spam desde Estados Unidos decreció, llegando a un 15%. China, por su parte, aumentó de nivel, dado lo económico de sus dominios .cn.

Fuente: http://www.blogantivirus.com/nuevas-estadisticas-sobre-spam

Código malicioso en imágenes compromete a productos de Adobe

Scott Laurie encontró una vulnerabilidad en las aplicaciones Photoshop CS3, After Effects CS3 y Photoshop Album Starter Edition de Adobe.

Esta vulnerabilidad permite a los atacantes inyectar troyanos usando imágenes manipuladas. Todavía no hay solución al problema de parte de la empresa.

Laurie dijo que estas aplicaciones de Adobe no analizan los encabezados de las imágenes cuando son procesados, y simplemente asumen que los valores son válidos. Como resultado pueden ocurrir buffer overflows que permiten la ejecución de cualquier código inyectado.

La falla puede ser explotada cuando las aplicaciones abren imágenes manipuladas. Aparentemente estos ataques pueden ocurrir cuando la computadora está corriendo y aún cuando está bloqueada.

No hay parches de seguridad para el problema todavía. Laurie mostró un código de ejemplo con el ataque, facilitando a otras personas la tarea de inyectar imágenes con código malicioso.

Fuente: http://www.techtear.com/2008/04/23/codigo-malicioso-en-imagenes-compromete-a-productos-de-adobe/

Un hacker con avidez Suprema

Ricardo Lorenzetti se dio cuenta de que estaban tratando de entrar a su computadora le pidió información a la empresa Telmex, que le brinda servicio a la Corte. Le confirmaron la sospecha. Ahora espera un informe escrito para hacer la denuncia.

El presidente de la Corte Suprema, Ricardo Lorenzetti, descubrió un intento de hackeo a su computadora después de haber recibido varios e-mails sospechosos. Eran correos electrónicos que le advertían que su clave personal para acceder al sistema del tribunal estaba a punto de caducar y le pedían renovar con urgencia todos sus datos personales. La empresa Telmex, que les provee los servicios informáticos a los supremos, les confirmó a los colaboradores de Su Señoría en forma extraoficial, verbal, que había sido blanco de un típico caso de phishing. Pero no era todo: le advirtió que la maniobra podría estar relacionada con un ex agente de la SIDE, hasta hace unos días integrante de la Policía de Seguridad Aeroportuaria. El viernes Lorenzetti le pidió por carta a la compañía que todo eso se lo dijera por escrito, con miras a concretar una denuncia.

Como es característico del phishing –un método de hackers que se usa para robar datos y/o ingresar a un determinado sistema– los e-mails que recibió Lorenzetti provenían de Telmex. O eso aparentaban. En conversaciones varias con la Administración General y el área de Informática de la Corte, la empresa mexicana de telecomunicaciones dijo que los mensajes no habían sido enviados por ella sino que se trataba, en efecto, de un intento de hackeo. Eso es lo que relataron a Página/12 funcionarios confiables del tribunal. El dato causó preocupación, por tratarse del presidente de la Corte, y porque no es la primera vez que ocurre algo así en la red suprema: ya le pasó a Raúl Zaffaroni.

A eso se sumó la presunta vinculación del episodio, al parecer mencionado por Telmex, con el ex espía Iván Germán Velázquez. Tanto en el Poder Judicial como en el Ejecutivo, el nombre de Velázquez habría quedado asociado el año pasado a distintos episodios de hackeo a funcionarios y periodistas. Dos semanas atrás este diario informó que, además, aparecía como uno de los supuestos gestores de una convocatoria por medio de una cadena de e-mails (mediante la utilización de direcciones de correo hackeadas) a una Marcha Federal a Plaza de Mayo de sectores del campo para el viernes 28 de marzo, cuando estalló el conflicto rural por las retenciones. El texto que circuló, escrito con un precario lenguaje castrense, daba precisiones sobre puntos de encuentro y hasta cantidad estimada de gente que asistiría.

En aquel momento, Velázquez trabajaba en el área de Contrainteligencia de la Policía de Seguridad Aeroportuaria (PSA), que depende del Ministerio de Justicia, Seguridad y Derechos Humanos. Por esos días, un funcionario de la PSA consultado por Página/12 dijo que no confiaba en Velázquez pero sólo le abriría un sumario si surgían las evidencias necesarias que lo relacionaran con los e-mails. “Son chicos raros que hacen un trabajo raro también”, minimizó.

A los pocos días el policía fue llamativamente separado de su puesto junto con un estrecho colaborador, Pablo Carpintero. Según el mismo funcionario de la PSA nuevamente consultado, el desenlace no fue por la convocatoria a la protesta del campo sino por haber ido a increpar –a raíz de una interna– a un alto funcionario de la SIDE. Voceros del Ministerio de Justicia consultados por este diario se limitaron a decir: “Pregúntenle a la Policía Aeroportuaria”. Ambos, Velázquez y Carpintero, habrían optado por dejar la Argentina y radicarse en Uruguay.

Mucho antes de todas estas andanzas, en abril de 1999, Velázquez fue detenido, acusado de vender instrucciones para armar bombas en disquetes. Pertenecía entonces a la Comunidad Nativa de Organizaciones Regionales que formó el vicecomodoro Horacio Riccardelli. Un grupo de militares de ultraderecha fue a reclamar por su libertad al juzgado junto al abogado defensor Pedro Bianchi, defensor de represores.

En la Corte Suprema prefieren mantener la calma y esperan que Telmex –la empresa del multimillonario Carlos Slim– les diga oficialmente cuando menos lo esencial de lo que les dijo informalmente: que existió un intento de hackeo, phishing o alguna de sus variantes. Lorenzetti, al parecer, tiene la intención de hacer la denuncia, pero preferiría esa confirmación de la compañía al momento de presentarse en un juzgado.

Fuente: http://www.pagina12.com.ar/diario/elpais/1-102899-2008-04-23.html