La Guardia Civil hispana anunció la operación hoy en un comunicado, indicando que se había detenido a tres personas.

Los detenidos gestionaban el ‘botnet’ (red de computadoras infectadas y controladas a distancia) llamado Mariposa. Está previsto que el miércoles se celebre una rueda de prensa para proporcionar más información.

Mariposa había infectado computadoras de 190 países, a más de la mitad de las 1.000 empresas más grandes del mundo y al menos a 40 grandes instituciones financieras, según dos empresas de seguridad informática que colaboraron con el Grupo de Delitos Telemáticos de la Guardia Civil, la española Panda Security y la canadiense Defence Intelligence.

“Era muy duro, pensamos ‘Tenemos que apagarlo. Tenemos que cortarle la cabeza’”, indicó Chris Davis, consejero delegado de Defence Intelligence, que descubrió el virus el año pasado. El directivo añadió que la red de ordenadores se apagó el pasado 23 de diciembre.

El virus estaba programado para robar todas las claves de registro y guardar todas las pulsaciones de teclas de las computadoras infectadas, enviando después los datos a un “centro de mando y control” en el que los responsables almacenaban los datos.

“Básicamente, estaban detrás de cualquier cosa que pudiera darles dinero”, explicó Davis.

Al principio, Mariposa se extendió aprovechando una vulnerabilidad en el navegador Internet Explorer de Microsoft.

También contaminó máquinas infectando memorias USB.

Aunque los sitios Web infectados inocentemente, resultan en un gran porcentaje debido a fallos de seguridad, todavía abundan los correos electrónicos fraudulentos. Por desgracia, Atrás quedaron los días en que era fácil identificar maliciosos correo electrónico de phishing [2]por sus líneas extrañas y la gramática horrible.

Roger Grimes explica cómo detener las pérdidas de datos en un esclarecedor webcast de 30 minutos, Data Loss Prevention [3], que abarca las herramientas y técnicas utilizadas por los profesionales de seguridad experimentados. | Más información sobre cómo proteger sus sistemas con el boletín de seguridad libre de InfoWorld [4].]

Los Phishers de hoy, al menos, son gramaticalmente correctos. Los que sin educación o la experiencia suficiente para usar el lenguaje correctamente, naturalmente, hicieron menos dinero y se cayeron sus empresas criminales desde el principio, al menos que hayan contratado gente más inteligente.

La próxima generación de mensajes de phishing, que es todavía hoy predominante, se parece mucho a los mensajes legítimos de nuestros bancos, compañías de cable, servicios de pago electrónico en línea, y las compañías de tarjetas de crédito. Todo en el correo electrónico parece legítima, incluidos los gráficos que se originan en Sitio Web de la empresa real. (Los que incluyen un aviso de cuidado con falsos mensajes de phishing siempre me hizo reír.) La única cosa que es falso en el mensaje completo es el vínculo que las víctimas están obligadas a hacer clic para completar la acción solicitada.

Esta forma de “phishing” es bastante efectiva, pero los mensajes por lo menos contienen una pequeña pista (el URL o enlace falso) a los usuarios que deben evaluar la legitimidad de la petición. Los navegadores de hoy, con las características antiphishing, incluso podría alertar a un usuario final en contra de la carga del sitio Web falso.

Pero ahora los usuarios finales están siendo blanco de una nueva forma de phishing, llamado “spear phishing”, que se dirige específicamente a un usuario o empresa. Lanzan mensajes de correo electrónico de phishing ahora parecen más auténtico que la  mencionada, a menudo incluyendo el nombre completo del usuario o se refieran a un proyecto real de que el usuario está trabajando. Spear phishing suelen reunir esta información mediante la investigación táctica o incluso entrar en una base de datos, y es lo suficientemente eficaz para engañar incluso a los más hábiles de los usuarios finales.

A menudo, estas formas de intento de phishing para atraer a los usuarios finales es en funcionamiento con un programa caballo de Troya, la cual compromete el ordenador y la red de la empresa. La mayoría de las empresas con las que trabajo en estos días han sido explotados por uno de estos “spear phishing” e-mails. Si el usuario final se está ejecutando antimalware [5], el software de escaneo, el producto puede bloquear la instalación del Troyano.

He aquí un ejemplo de uno de estos mensajes, que me envió mi amigo y CISSP, Bob McCoy. Estaba dirigido a él directamente y parecía provenir de proveedor de servicios de correo electrónico de su empresa. (Para mayor brevedad y seguridad, me he quitado los nombres de proveedores, auténticos gráficos de aspecto, y los vínculos de los mensajes).

Estimado cliente:

Nos complace anunciar el go-fecha de publicación de un nuevo Centro de Datos, prevista para entrar en funcionamiento el 19 de abril de 2010.
Por favor, actualice sus reglas de cortafuegos para permitir el tráfico SMTP en el puerto 25 de los siguientes rangos de direcciones IP: 213.199.180.128/26 (213.199.180.129 – 213.199.180.190) 94.245.120.64/26 (94.245.120.65 – 94.245.120.126)

Si usted tiene la configuración de su servidor de correo electrónico que el control de las IPs que tienen permiso de conexión para el e-mail relay por favor confirme que los ajustes se actualizaron.

Vamos a ser capaces de probar y verificar las conexiones de una semana de antelación al 19 de abril de 2010. Además, vamos a ejecutar las pruebas de conexión de forma proactiva antes del lanzamiento, en nombre de todos los clientes y ponerse en contacto con usted directamente si se puede conectar a cualquiera de sus ámbitos de TODAS las direcciones IP de dicho dominio.

Antes de la puesta en marcha de las nuevas direcciones IP, le recomendamos que instalar y configurar la función de notificación de aplazamiento de alerta para sus dominios utilizando la opción de aplazamiento de notificación en la página de propiedades de dominio en el Centro de Administración. La función de notificación de alerta de Aplazamiento envía un mensaje a usted cuando haya un umbral de medida se ha cumplido o excedido de aplazamiento de correo electrónico en tu dominio. Después del lanzamiento de las nuevas direcciones IP, esta función le ayudará a asegurarse de que el correo electrónico enviado a sus dominios no se aplazó debido a los intentos fallidos de conexión a la red, y que avisará en caso de que el correo electrónico se aplaza más allá de su límites aceptables. Para obtener más información sobre cómo configurar la característica de Aplazamiento de notificación de alerta, consulte la Guía del Centro de Administración en el Centro de Recursos.

Por favor refiérase a la subpestaña Configuración del Centro de Administración para una lista completa de direcciones IP que deberían ser autorizadas a conectarse a su entorno en cualquier momento.

Basta analizar el contenido del mensaje de suplantación de identidad no reveló nada fuera de lo común. A diferencia de los correos electrónicos de phishing, todos los enlaces y direcciones de correo electrónico eran legítimos. No hubo sitios Web falsos y no ejecutables para instalar el caballo de Troya. Por el contrario, los atacantes son esencialmente instruir a las víctimas a abrir su servidor de correo electrónico para transmitir correo no deseado.

Al abrir este mensaje, Bob sospecha de la estafa de inmediato. Sus sospechas se han confirmado 10 minutos más tarde, cuando recibió un mensaje idéntico de otro proveedor. Otros usuarios no han sido tan afortunados.

Ya estoy al tanto de varios clientes que han caído en esta estafa. En cada caso, la víctima recordó conseguir un tipo similar de mensaje de correo electrónico cuando se firmó por primera vez en un servicio y, por tanto, pensó el falso mensaje era legítimo – sobre todo porque su nube / hosting proveedores se jactaba de todos los datos nuevos centros que Eres por introducir en línea.

Otros mensajes de phishing han dado instrucciones a los usuarios desactivar sus firewalls basados en host [6] y abrir recursos compartidos de red sin protección y permitir a pares demasiado permisiva para el intercambio de archivos entre iguales. Tiene los viejos tiempos de mensajes fraudulentos que los usuarios han hecho para borrar archivos del sistema operativo legítimo parecen relativamente inofensivos.

Como con cualquier correo electrónico sospechoso Phish, los beneficiarios deberán ponerse en contacto a los remitentes con otro supuesto fuera del método de la banda para confirmar la legitimidad. Por otra parte, usted debe actualizar su final de materiales de educación de usuarios para incluir este tipo de correos electrónicos de phishing.

Esta historia, “Los defraudadores perfeccionar sus ataques con” spear phishing “[7],” fue publicado originalmente en InfoWorld.com [8]. Siga las últimas novedades en seguridad [9] y leer más de Seguridad Roger Grimes Asesor blog [10] en InfoWorld.com.

Picasa es un software de tratamiento y gestión de fotografías de Google, con el que se puede organizar, editar e imprimir las fotos del ordenador.

El problema consiste en que un usuario remoto podría crear una imagen en formato jpeg de tal forma, que cuando fuera cargada por el usuario atacado y este realice cualquier acción se provoque un desbordamiento de entero en “PicasaPhotoViewer.exe” y la ejecución de código en el sistema del usuario. El código se ejecutará con los privilegios del usuario.
Aunque no ha realizado ninguna comunicación al respecto, Google ha publicado una versión que corrige el problema.

Via Hispasec

El último virus troyano ha logrado reunir formar un botnet conocido como Kneber. Un botnet es un ejército de ordenadores infectados que los hackers pueden controlar desde una máquina central. Los piratas informáticos habrían logrado así disponer datos de acceso a sistemas financieros online, sitios de redes sociales y sistemas de correo electrónico desde los ordenadores infectados, dijo la firma de seguridad en internet NetWitness en un comunicado.

La compañía dijo que el ataque se descubrió por primera vez en enero durante una puesta en funcionamiento de rutina del software de NetWitness para monitorizar redes. Investigaciones adicionales de la firma de software de seguridad con sede en Herndon, Virginia, revelaron que muchos sistemas comerciales y gubernamentales estuvieron afectados, incluyendo 68.000 credenciales de conexión corporativas y acceso a sistemas de correo electrónicos, sitiosde banca electrónica, Yahoo, Hotmail y redes sociales como Facebook.

“La protección convencional contra malware y sistemas de detección de intrusos basados en la firma son, por definición, inadecuados para enfrentarse a Kneber o la mayoría de amenazas avanzadas”, dijo el consejero delegado, Amit Yoran, en un comunicado.

REUTERS

Según ha publicado el diario The New York Times, los ataques procedían de dos instituciones, en concreto de la universidad de elite Shanghay Jiaotong y la escuela de formación profesional de Lanxiang. Lo que no han podido constatar estos análisis es si el gobierno chino estuvo detrás de los sabotajes como en su día insinuó la compañía californiana, que acusó al regimen chino de haber instigado al incidente. Es posible, según la citada información, que los ordenadores de ambas instituciones educativas fueran manipulados, incluso desde fuera del país.

Google denunció el pasado 12 de enero que sus operaciones habían sido blanco de ciberataques, probablemente procedentes de China, con el fin de acceder a la correspondencia de disidentes chinos además de robarle a la empresa códigos y secretos comerciales. Una veintena más de empresas, aparte de Google, fueron afectados por los ciberataques, que los investigadores creen pudieron comenzar en abril del año pasado.

Tras el ataque a Google, las relaciones diplomáticas entre Estados Unidos y China se han tensado y desde la Administración estadounidense se ha exigido una explicación. Asimismo, se ha venido censurando la actuación de algunos gobiernos que como el chino están torpedeando continuamente las libertades en internet, algo que se ha convertido en una prioridad del Gobierno de Obama, según aseguró durante una conferencia la secretaria de Estado, Hillary Clinton.

ABC (España)

En dias pasados estaba el anuncio  del plan de censura de Internet del gobierno australiano, que incluirá el filtrado de Internet y la prohibición de algunas formas de pornografía, el grupo “Anomymous”, que se hizo famoso por sus ataques y demostraciones contra la Cienciología, ha “llamado a las armas” a todos aquellos que se opongan a las medidas legislativas propuestas.

La operación, denominada “Titstorm”, consistio en comprometer los servidores gubernamentales con ataques de denegación de servicio (DdoS), así como generar una gran avalancha de llamadas, faxes con spam y correos electrónicos con contenido pornográfico dirigidos a las oficinas gubernamentales (poniendo pornografía en la página del Primer Ministro, Kevin Rudd.)

El ataque comenzó a las 8 AM el 10 de Febrero, y el “Sydney Morning Herald” afirma que ciertas web gubernamentales están sufriendo problemas de acceso o han estado caídas durante algún tiempo. Según un representante del gobierno australiano, algunas web han sido bombardeadas con 7.5 millones de peticiones por segundo. No está claro qué páginas web han sido atacadas, pero parece que hay bastantes servidores afectados por el ataque.

“Ningún gobierno debería tener el derecho de prohibir a sus ciudadanos el acceso a la información sólo porque la perciben como “no deseada”, afirma el correo electrónico enviado por “Anonymous” a los medios. Los grupos anti-censura australianos han condenado el ataque porque lo consideran inefectivo y perjudicial para la causa.

El hombre intervino el complejo sistema de servidores de Novorossiysk, Grozny y Moscú. El detenido usaba el sobrenombre de “Igor” y declaró “que sólo quería divertir a los moscovitas”.

Igor es fanático de la pornografía y experto en piratería informática. Atacó el servidor de la empresa de publicidad dueña de la pantalla desde la ciudad de Novorossiysk para proyectar una caliente película latinoamericana en el centro de Moscú y después la subió a internet.

Su vida es bastante insulsa. Tiene 40 años, no está casado y lee revistas para adolescentes.

— ¿Lees Hacker  y dices que no eres pirata?, le preguntaron.
— No, es una revista vieja, respondió.

En su apartamento, un cuarto pequeño y estrecho, hay dos CPU y dos monitores. En sus archivos se encuentran cientos de películas pornográficas, de entre las cuales eligió una y la puso en lugar de la publicidad de una marca de reloj.  Ahí comenzó el escándalo. En el centro de la capital rusa la pantalla gemía de placer. Los testigos —taxistas y demás conductores— empezaron a grabar el video con sus teléfonos móviles.

En el interrogatorio contestó:

— Bueno, has visto esta película antes?
— Sí, la he visto.
— ¿Te gusta?
— Sí, más o menos.
— Pues, ¿qué es lo que no te gusta?
— La mujer no es tan caliente.
— ¿No es hermosa?
— Está bien, lo es.

Para encontrar al bromista los propietarios de la pantalla llamaron a la brigada informática de la policía. Ellos buscaron al hacker durante casi un mes, pero éste borraba sus huellas. Por ese motivo, la primera pista de la policía los condujo a Chechenia y luego a Grozny. Allí todo se aclaró.

El pirata informático intervino el servidor de una organización en Grozny porque estaba seguro de que los policías nunca irían al Cáucaso.

“Nuestros agentes de inmediato partieron a Grozni, donde una organización fue hackeada y sus empleados estaban muy sorprendidos”, dijo el representante oficial de la policía informática, Irina Zubarev.

Después de esto, rápidamente encontraron al hombre, el cual confesó:

— ¿Por qué pornografía y no dibujos animados? ¿Por qué una película con contenido pornográfico?
— Quería divertir a la gente.
— ¿Fumaste algo antes?
— Tomé una cerveza.

Los daños causados por las actividades piratas de este hombre se estimaron en cientos de miles de dólares e incluso hay víctimas humanas: un conductor de edad avanzada se sintió mal al ver la película erótica.

El delincuente podría ser condenado a 3 años de prisión.

RT | Rusia | 16 de febrero 2010 | 12:38

La alianza permitirá que la Agencia Nacional de Seguridad norteamericana ayude a investigar los ataques de espionaje corporativos.

El objetivo de la investigación es defender mejor a Google, la mayor firma de búsqueda de internet en el mundo, y a sus usuarios de futuros ataques, informó el jueves el Washington Post.

Las fuentes dijeron que la alianza de Google con la NSA, la organización de vigilancia electrónica más poderosa del mundo, tendría por objetivo el permitir que ambas partes compartan información clave sin violar las políticas de Google o leyes que protegen la privacidad de las comunicaciones en internet. Bajo el acuerdo, la Agencia Nacional de Seguridad (NSA) no verá las búsquedas de los usuarios o cuentas de correo electrónico, dijeron las fuentes.

Google tampoco compartirá datos con propiedad con la NSA, dijeron. Google tomó el 12 de enero la inusual medida de anunciar que había sido víctima de sofisticados ciberataques a medidados de diciembre y que está revisando su operación de negocios en China.

La compañía con base en Silicon Valley dijo que los ciberataques dirigidos contra cuentas de Gmail de activistas defensores de los derechos humanos chinos y un fondo de investigación de al menos otras 20 grandes compañías habían sido blanco de ataques. China respondió varios días después con una defensa del control del Estado sobre internet.

Un funcionario de alto rango dijo que la pornografía en internet, fraudes y rumores eran una amenaza y que los medios de internet deben ayudar “a guiar la opinión pública” en China.

El director norteamericano de la inteligencia nacional, Dennis Blair, dijo el martes que los ciberataques contra Google fueron una llamada de atención.

La sociedad entre el gigante de las búsquedas en internet y la NSA toca temas delicados sobre cómo equilibrar la privacidad individual y la seguridad nacional en línea. Google se acercó a la NSA como consecuencia de los ataques, pero el lograr el acuerdo ha tomado semanas debido a la delicada naturaleza del intercambio de información entre ambas partes.

El centro de atención de la sociedad de cooperación no estará en determinar quién estuvo detrás de los ataques. Eso sería casi imposible. En cambio, el objetivo es construir una mejor defensa de las redes de Google, o lo que los técnicos llaman “garantías de información”.

Fuente: Reuters

Por el momento, no está claro qué efecto tendrá la orden sobre las operaciones de Gmail en Irán, que en ocasiones anteriores ha anunciado avances tecnológicos que nunca ha llegado a aplicar, indicó el WSJ. Google, por su parte, no ha hecho ningún comentario sobre la cuestión.

Un responsable iraní dijo que la medida pretende impulsar el desarrollo local de las tecnologías de Internet y generar confianza entre el Gobierno y los ciudadanos, citó el WSJ.

La medida fue anunciada en la víspera del trigésimo primer aniversario de la República Islámica, con motivo del cual han sido convocadas manifestaciones pro gubernamentales y opositoras, disponiendo el escenario para que se produzcan nuevos enfrentamientos en las calles.

El Departamento de Estado de Estados Unidos dijo que no podía confirmar la información publicada por el citado diario, pero advirtió a Teherán del fracaso de cualquier intento de impedir que los iraníes tengan acceso a la información.

“Mientras las tecnologías de la información permiten que la gente se comunique alrededor del mundo (…) como nunca antes, el Gobierno iraní parece decidido a negar a sus ciudadanos el acceso a la información, la capacidad de expresarse libremente, en cadena y compartir ideas”, declaró el portavoz del Departamento de Estado P.J. Crowley. “Los muros virtuales no funcionarán en el siglo XXI mejor de lo que funcionaron los muros físicos en el siglo XX”, añadió Crowley.

Hoy día la gestión de la seguridad en las redes telemáticas dentro de organizaciones es compleja y difícil de manejar debido a la gran cantidad de registros de eventos (logs) que los administradores de seguridad deben procesar.

Estos eventos generados por servidores, estaciones de trabajo, Firewalls, IDS/IPS, Routers, etc., necesitan ser procesados e interpretados por los responsables de la seguridad para prevenir ataques a la plataforma tecnológica, cosa que en la mayoría de los casos es cuesta arriba por no contar con la cantidad necesaria de recursos humanos y las herramientas que permitan normalizar y correlacionar esas cantidades de eventos.

Es aquí donde entra en juego el proyecto OSSIM (Open Source Security Imformation Management). Este proyecto lleva más de 6 años en desarrollo por parte de la empresa Alienvault (Publicado en sourceforge.net el 18/08/2003) y como lo definen en su sitio Web (www.alienvault.com), “OSSIM es una distribución de productos open source integrados para construir una infraestructura de monitorización de seguridad.”

El objetivo principal de este proyecto es ofrecer a la comunidad un marco de trabajo centralizado para mejorar las capacidades de detección y monitoreo de eventos de seguridad relacionados con la plataforma tecnológica de la organización.

Entre los productos que conforman los pilares base de esta solución están el SNORT, uno se los mejores IDS/IPS de software libre en la actualidad, el NTOP, que permite monitorear las conexiones de nuestra red en tiempo real, NAGIOS, que permite ver la disponibilidad de nuestros equipos tanto servidores como dispositivos de red, OPENVAS, escáner de vulnerabilidades, entre otros, aparte de  una gran cantidad de agentes y plugins para la recolección de eventos, compatibles con plataformas como Windows, Linux/Unix, AIX, HP-UX, Sun y cualquier dispositivo que genere y envíe logs.

Uno de los secretos del éxito en la implementación de está herramienta, la versatilidad que tiene sus componentes (framework<-server<-agentes<-plugins) para realizar los procesos de recolección, normalización, análisis, correlación, priorización y valoración de riegos que nos permiten reducir tanto los falsos-positivos como el tiempo de respuesta a incidentes de seguridad tanto externos como internos.

Para mayor información pueden visitar la página de Alienvault (http://www.alienvault.com/community.php?section=WhatisES#introduccion) y disfrutar de esta herramienta de código abierto que hace la vida mas fácil a los administradores de seguridad.

Próximamente entrevista con uno de los creadores del OSSIM: Dominique Karg

Por: Ronald Romero

Enfoque Seguro