Estados Unidos habría usado el gusano Flame contra Francia

El semanario francés L´Express revela un supuesto acto de ciber-espionaje contra el palacio presidencial galo.

Un artículo publicado en el semanario L´Express describe la forma en que Estados Unidos habría realizado una intrusión informática contra la red del palacio del Eliseo, sede del gobierno francés.

En el artículo se recalca que Janet Napolitano, secretaria (ministra) de seguridad interior estadounidense, se negó a comentar la información revelada por el semanario, limitándose a recordar que Francia es uno de los principales aliados de Estados Unidos. Por su parte, un portavoz de la embajada de Estados Unidos en París negó que su país haya espiado a Francia, que define como "uno de nuestros aliados más importantes".

Ninguna autoridad del gobierno francés, ni tampoco de la oposición, aceptó comentar la información.

El artículo de L´Express se basa en fuentes anónimas de los servicios franceses que habrían investigado la intrusión y que habrían identificado al malware Flame. La situación habría sido detectada en mayo pasado, entre las dos rondas de las elecciones francesas, cuando el entonces presidente Nicolas Sarkozy perdió frente al candidato socialista Francois Hollande.

El presidente Sarkozy no habría sido afectado por la situación, lisa y llanamente debido a que no tenía PC. Sin embargo, varios de sus colaboradores más cercanos, incluyendo el más importante, el jefe de gabinete Xavier Musca, fueron espiados directamente, según L´Express.

El procedimiento es descrito como "clásico" por L´Express, según el cual "alguien" habría utilizado Facebook y otros medios sociales para estudiar los perfiles de los empleados del palacio Eliseo. Un grupo selecto de estos usuarios fue contactados por "amigos" falsos, quienes les instaron a hacer clic en un artículo de la intranet del Palacio del Eliseo. Al hacer clic, los intrusos obtuvieron una copia de la página de inicio de sesiones de la intranet, haciéndose así de los nombres de usuario y contraseñas de los afectados.

Posteriormente, estos nombres de usuario y contraseñas fueron utilizados para introducir un gusano que los investigadores aseguran es Flame. Según se ha constatado, Flame es una herramienta de ciberespionaje y sabotaje creada por Estados Unidos, posiblemente en cooperación con Israel.

La investigación reveló que los intrusos habían logrado conseguir apuntes secretos y "planes estratégicos".

Según un informe elaborado por Kaspersky, Flame tiene incluso la capacidad del activar el micrófono del PC y hacer capturas de pantalla, aparte de copiar y transmitir archivos.

Cuando la intrusión fue detectada, los expertos de Anssi (agencia nacional de la seguridad de los sistemas de información) necesitaron varios días para restablecer la red del palacio Eliseo. 

 

Fuente | DiarioTi 

Imagen | Gráfico de L´Express

 
Lea también 
. Kaspersky analiza y sabotea la infraestructura de Flame
. Detectan amenaza de ciberespionaje y sabotaje peor que Stuxnet y Duqu

Ciberdelincuentes facilitan la creación y personalización de troyanos

Un servicio de malware como servicio, o "MaaS", recientemente detectado permite crear y alojar un nuevo troyano personalizado que facilita la administración remota de sistemas infectados por el pago de una cuota mensual por el uso del servicio.

Los hackers han evolucionado. Ya no buscan notoriedad como antaño, sino que su principal objetivo es el lucro económico. Es por esto que la prestación de servicios entre cibercriminales es bastante común, incluyendo la venta de troyanos nuevos desarrollados por programadores o la venta de información recogida por spammers, entre otros. Todos se encuentran y se comunican a través de canales de IRC, donde se inician las negociaciones y las aplicaciones.

“Frente a esta realidad, no sorprende la existencia de escuelas online diseñadas para formar a los cibercriminales novatos. Siguiendo esta tendencia, emergente en Latinoamérica, comienzan los primeros servicios para crear malware personalizado, denominado Maas (Malware as a Service)", afirma Fabio Assolini, analista experto de Kaspersky Lab. “Este tipo de servicio es muy común entre los ciberdelincuentes de Europa del Este y ahora está empezando a usarse en todo el mundo, sobre todo en Brasil, donde está cogiendo mucha fuerza".

Un servicio "MaaS" recientemente publicado por ciberdelincuentes brasileños y detectado por Kaspersky Lab permite crear y alojar un nuevo troyano personalizado que además facilita la administración remota de los ordenadores infectados a través del pago de una cuota mensual por el uso del servicio, todo ello a través de una interfaz gráfica que no precisa experiencia en programación.

Al igual que cualquier servicio online, los futuros ciberdelincuentes pueden elegir el mejor método de pago para comenzar a utilizar el servicio que incluye lecciones en vídeo para aprender a usarlo, la creación del propio troyano, la administración del negocio fraudulento y la gestión de campañas de malware para difundirlo entre las posibles víctimas de la misma.

Para Assolini, este tipo de troyanos permiten el control absoluto de la máquina de la víctima, además de recopilar información personal, como inicios de sesión para acceder a los servicios de redes sociales, mensajería instantánea, banca, etc.

Todo esto facilita a los delincuentes más experimentados ganar dinero no sólo a través de los ataques que ellos mismos realizan, sino también mediante la venta de sus servicios a los recién llegados al mundo del cibercrimen. 

 
Fuente | DiarioTi
Imagen | Malware as a Service

Cuestionan análisis de Microsoft sobre supuesta botnet para Android

El texto "Mensaje enviado desde Yahoo Mail para Android", quizás no sea prueba suficiente.

La semana pasada informábamos que Terry Zink, experto en seguridad informática en Microsoft aseguraba que una botnet había infectado teléfonos Android con malware que les convertía en centrales de distribución de spam. La evidencia aducida por Zink consistía de correo no solicitado enviado mediante cuentas intervenidas del servicio Yahoo! Mail. Para el experto, un elemento decisivo había sido que los mensajes en sí finalizaban con el texto "Enviado desde Yahoo Mail para Android". Asimismo, cada comunicación finalizaba con el siguiente código identificador: <1341147286.19774.androidMobile@web140302.mail.bf1.yahoo.com>.

Este análisis llevó a Chester Wisniewski, de Sophos, a publicar un post en el blog Naked Security, donde en principio confirma las observaciones y conclusiones de su colega Terry Zink. Sin embargo, su post incluye una actualización, donde indica que el código maligno en sí, responsable del spam, no está disponible. En otras palabras, no es posible confirmar fehacientemente que el spam provenga de unidades operadas con Android.

En un nuevo post de Zink, éste confirma que no existen pruebas de que el spam provenga de teléfonos Android. Sin embargo, defiende que hay grandes probabilidades de que así sea.

El tema interesó nuevamente a Wisniewsky, según quien Google no compartiría la idea de que se trata de una botnet basada en Android. Según Google, se trataría de correo falsificado, que simula provenir de teléfonos Android "ya que así es más fácil eludir filtros anti spam". Ante ello, Wisniewsky indica que hay razones que sustentan ambas interpretaciones. Por una parte, es sabido que el encabezado de mensajes de correo electrónico puede ser falsificado. Sin embargo, no hay métodos conocidos que permiten intervenir específicamente cuentas de Yahoo! Mail. El experto precisa que "no es algo imposible, pero sí sería algo nuevo". Agrega que, por otra parte, se carece de la evidencia principal; no se ha comprobado la existencia de un malware que genere mensajes de spam vía Android.

Un análisis de la propagación global de los mensajes en si muestra una diferencia radical respecto de las observaciones de otro correo no solicitado enviado vía Yahoo! Asimismo, parece tratarse de de una selección aleatoria de cuentas, lo que diferiría del procedimiento estándar de las botnets.

Wisniewsky rechaza categóricamente el argumento de Google, en el sentido que los mensajes habrían sido falsificados con el fin de ayudarles a evitar los filtros anti spam. A su entender, no hay razón alguna para que los spammers intenten fingir estar enviando su material vía Android.

 
Fuente | DiarioTi
Imagen | Experto admite que pudo haberse equivocado
 
Lea también 
. Experto de Microsoft: "Botnet opera mediante teléfonos Android"

Corea del Sur beca a piratas informáticos para luchar contra el cibercrimen

Los elegidos deberán proteger la seguridad en diferentes ámbitos, desde las instituciones a los smartphones.

El Gobierno de Corea del Sur reclutará y formará a seis estudiantes «hackers» como agentes informáticos para combatir las frecuentes amenazas a la seguridad cibernética del país.

A través del programa conocido como «Best of the best» (el mejor de los mejores), el Gobierno seleccionará a seis de los llamados «hackers de sombrero blanco», término que se refiere a expertos en proteger la seguridad informática a diferencia de los «hackers de sombrero negro», que se dedican a actividades ilegales.

El Ejecutivo destinará al proyecto 1,32 millones de euros y cada uno de los seleccionados cubrirá una de las seis áreas estipuladas, que versan desde la protección contra ataques cibernéticos a instituciones hasta la seguridad en «smartphones».

Funcionarios del Gobierno entrevistaron el mes pasado a 238 piratas informáticos altamente cualificados, todos ellos estudiantes de entre secundaria y posgrado, y seleccionaron a 60 de ellos, aunque solo seis llegarán a la fase final.

Los elegidos recibirán una beca de 13.889 euros y la oportunidad de estudiar en el extranjero, y entrarán en la base de datos de recursos humanos de la Agencia Nacional de Inteligencia y la policía.

Mirando al norte

El director del Instituto de Tecnología de la Información de Corea del Sur, Yoo Jun-sang, aseguró al diario local Dong-a Ilbo que el Gobierno ha puesto en marcha esta iniciativa porque «Corea del Sur carece de suficientes recursos humanos en seguridad» para prevenir ataques informáticos.

La seguridad cibernética en Corea del Sur ha sido puesta en duda en numerosas ocasiones en los últimos años debido a diversos ataques que han llegado a bloquear temporalmente las páginas web de ministerios, organismos oficiales y entidades bancarias.

El Gobierno atribuye habitualmente a «hackers» de Corea del Norte este tipo de delitos, que generalmente consisten en los conocidos como ataques distribuidos de denegación de servicio o «DDOS», que sobrecargan desde varios puntos de conexión los servidores hasta dejarlos fuera de servicio. 

 
Fuente | ABC.es
Imagen | Corea busca entre los hacker la solución a sus problemas de ciberdelincuencia

Experto de Microsoft: "Botnet opera mediante teléfonos Android"

Experto de Microsoft dice haber confirmado que una botnet ha infectado teléfonos Android con malware que les convierte en centrales de distribución de spam.

Experto de Microsoft dice haber probado que una botnet ha infectado teléfonos Android con malware que les convierte en centrales de distribución de spam.

Terry Zink es uno de los principales expertos en seguridad informática en Microsoft. En el blog oficial de la empresa, Zink dice haber detectado un malware colgado a apps con juegos falsos distribuidos vía Internet. En este punto, cabe destacar que se no se trata de distribución de malware mediante aplicaciones certificadas por Google Play, sino de apps ofrecidas por sitios o servicios carentes de toda reputación.

Cuentas de Yahoo

Zink detectó un gran número de correo electrónico basura distribuido desde cuentas en Yahoo. Todos los mensajes comparten el siguiente código identificador: <1341147286.19774.androidMobile@web140302.mail.bf1.yahoo.com>. Asimismo, los mensajes incluyen el siguiente texto: Sent from Yahoo! Mail on Android.

A juzgar por las direcciones IP en el encabezado del correo, el spam proviene de Chile, Indonesia, El Líbano, Omán, Filipinas, Rusia, Arabia Saudita, Tailandia, Ucrania y Venezuela.

Para Zink, esto constituye en sí prueba suficiente de que varios teléfonos Android han sido utilizados para propagar el spam, desde los teléfonos de las víctimas en distintos países.

Herramienta para ciberdelincuentes

Zink supone que todo comenzó cuando algunos usuarios de Android descargaron apps desde Internet, que simulaban ser juegos populares, como por ejemplo Angry Birds o Fruit Ninja. En realidad, se trataba de malware que convertía al teléfono en un zombi al servicio de ciberdelincuentes.

"Todos hemos escuchado los rumores; pero es la primera vez que veo un spammer controlar una botnet mediante unidades operadas con Android", escribe Zink en su blog. 

 
Fuente | DiarioTi
Imagen | Android Phone Driver

Tecnología El FBI puede dejar sin acceso a internet a 300.000 personas

Desactivarán unos servidores a través de los que navegaban los usuarios infectados por el virus DNS Changer.

Un golpe contra el cibercrimen organizado puede dejar sin conexión a internet hasta a 300.000 usuarios alrededor del mundo. El FBI apagará el lunes 9 de julio los servidores que dan servicio de nombre de dominios a los infectados por el virus «DNS Changer». Una vez desconectados, no podrán navegar hasta que no cambien su configuración.

El virus responsable de este entuerto permitió a sus creadores ganar más de 14 millones de dólares mostrando anuncios no deseados a los internautas infectados. El programa malicioso modificaba los servidores DNS —la «agenda telefónica de internet»— para configurar unos, maliciosos, que mostraban la publicidad en cuestión.

Como si de la agenda telefónica de un móvil se tratase, los servidores DNS guardan el «número de teléfono» —la dirección IP— de cada ordenador conectado a internet. Por ejemplo, a ABC.es le corresponde 212.81.129.38, que es la dirección numérica de la máquina que aloja su página web. Para leer esta página, un ordenador ha tenido que preguntar a su servidor DNS cuál era la dirección IP de ABC.es. El servidor DNS le ha respondido que es 212.81.129.38, y el navegador del usuario ha buscado ahí la página web solicitada.

Los cibercriminales, que el FBI detuvo en noviembre de 2011, crearon un virus que modificaba los servidores DNS de los ordenadores infectados. Cuando preguntaban por la dirección IP de una página web, dicho servidor les mandaba la de otra distinta, llena de publicidad.

Según la BBC llegó a haber más de un millón de infectados por el virus DNS Changer. Tras meses de alertar a los proveedores de internet y de actualizaciones, se cree que la cifra se ha reducido hasta las 275.000 o 300.000 personas. En España se calcula que todavía hay más de diez mil usuarios afectados. Por fortuna, solucionarlo es relativamente sencillo. En http://www.dns-changer.eu está toda la información. Tanto para Windows, como para Mac, como para Linux. 

 

Fuente | ABC.es
Imagen | En España se calcula que hay más de 10.000 infectados por el virus DNS Changer

El parlamento europeo le dio la espalda a la ley anti-piratería ACTA

El Parlamento Europeo rechazó el Acuerdo Comercial de Lucha contra la Piratería (ACTA, en sus siglas en inglés), nacido en Estados Unidos.

El parlamento europeo rechazó la aprobación de la ley anti-piratería ACTA, que grupos de activistas consideraban una amenaza para las libertades civiles en Internet. Es la primera vez que la Eurocámara hace uso de los nuevos poderes que le otorga el Tratado de Lisboa para rechazar un tratado de comercio internacional.

Según informó La Nación, 478 diputados votaron en contra de ACTA, 39 lo hicieron a favor y 165 se abstuvieron. El comisionado de comercio Karel De Gucht sostuvo que la lucha contra la piratería continúa. “El rechazo de hoy no cambia el hecho de que la Comisión Europea ha aceptado buscar soluciones a las cuestiones planteadas por el público europeo”, dijo.

David Martin, de la Comisión de Comercio Internacional manifestó que “los beneficios esperados de este acuerdo internacional son muy inferiores a las posibles amenazas para las libertades civiles. Dada la vaguedad de determinados aspectos del texto y la incertidumbre por lo que respecta a su interpretación, el Parlamento Europeo no puede garantizar una adecuada protección de los derechos de los ciudadanos en el futuro en virtud del ACTA”.

Por otro lado, portavoces de la industria del entretenimiento expresaron su frustración con la decisión. “ACTA es una herramienta importante para promover el empleo en Europa y la propiedad intelectual”, dijo Anne Bergman-Tahon, directora de la Federación Europea de Editores. “Desafortunadamente entró con mal pie en el parlamento y no prevalecieron los méritos significativos y reales del tratado”.

Mientras que Alan Drewsen, director ejecutivo de la Asociación Internacional de Marcas, señaló que Europa podría quedarse atrasada respecto a la protección de la propiedad intelectual.

Durante el debate, el Parlamento recibió la presión directa de miles de ciudadanos europeos que mediante manifestaciones, correos electrónicos y llamadas a las oficinas de sus diputados, reclamaron a la Eurocámara que se oponga al acuerdo. 

 

Fuente | RedUsers
Imagen | Durante el debate, el Parlamento recibió la presión directa de miles de ciudadanos europeos 
 
Lea también 
. Aprobaron la polémica ley CISPA
. Ya rige en Reino Unido la llamada "Ley anti cookies"

Cómo proteger los mensajes en Whatsapp

El servicio de mensajería más usado atrae cada vez más a los cibercriminales. Expertos en seguridad aconsejan qué hacer para no ser víctimas de los hackers.

En la actualidad, Whatsapp es una aplicación popular pero también, dicen los expertos, peligrosa. La empresa de seguridad informática G Data advirtió recientemente que el flujo de datos del servicio de mensajería no está encriptado; por lo tanto, todos los mensajes, fotos y localizaciones enviados a través de WiFi pueden ser interceptados.

"No tenemos la sensación de que los usuarios sean conscientes de la amenaza que entraña utilizar esta aplicación a través de redes WiFi fácilmente atacables", dijo el vocero de G Data, Nacho Heras, al portal TICbeat.

"No es que haya un agujero de seguridad en Whatsapp, simplemente podrían hacerlo mejor", indicó, por su parte, Vicente Díaz, analista de Kaspersky Lab. "Todo lo que sean comunicaciones son una puerta abierta al fraude", alerta Díaz.

Cómo protegerse de los riesgos

"La única manera de evitar que el tráfico en WhatsApp pueda ser interceptado es asegurarse de que todos los participantes de la charla empleen la red de los proveedores de servicio de telefonía. No bien uno de ellos emplee WhatsApp vía WiFi, toda la conversación puede esta comprometida", sentenció G-Data.

Los expertos invitan a los usuarios a que averiguen qué implican todas esas condiciones de uso que aceptamos al momento de descargar la aplicación. 

Fuente | Infobae
Imagen | El servicio de mensajería más usado atrae cada vez más a los cibercriminales.
 
Lea también
. Para BlackBerry, WhatsApp es un rival débil 
. Joyn sigue creciendo y se perfila como clara alternativa a Whatsapp

El FBI declara a los usuarios de Megaupload que se vayan olvidando de sus datos

El organismo federal de los Estados Unidos confirmó oficialmente que los datos secuestrados durante los allanamientos a los servidores de Megaupload no serán reintegrados a sus usuarios, porque "los costos involucrados serían excesivos".

Una nueva decepción se suma para los usuarios de Megaupload que poseían contenidos legítimos en la red de descarga directa y que todavía mantenían alguna ilusión de recuperarlos. Es que las autoridades del FBI declararon oficialmente que tenían el poder para clausurar al servicio basado en la nube pero sin tener la obligación de asistir a los usuarios inocentes en el proceso de recuperación y devolución de sus datos.

Ello surge de una declaración de la administración Obama hacia el ex usuario de Megaupload Kyle Goodwin, quien le planteó una demanda al Estado Federal para poder recuperar los archivos de video de los partidos de fútbol americano de su escuela secundaria. La respuesta recibida por Goodwin se parece a una verdadera burla:

“El gobierno no se opone al acceso de los usuarios a los servidores previamente confiscados. El acceso no es la cuestión. La cuestión es que el proceso de identificación, la copia y la devolución de los datos es excesivamente cara y no vamos a asumir el costo que se pretende.”

Luego de estas irónicas palabras le sugieren al damnificado que le inicie un juicio a Megaupload, pese a que es público y notorio que la compañía está ahora en manos de las autoridades de los Estados Unidos.

El FBI secuestró más de 25 petabytes de datos distrbuidos en más de mil servidores provistos por la empresa de hosting Carpathia, que siguen allí mientras dicha empresa reclama una suma de 9 mil dólares diarios para seguir manteniendo dichos archivos, que de poco sirven luego de que el FBI confiscara los dominios de la empresa de Kim Dotcom y que no tienen previsto devolver, pero sí utilizarlos como evidencia en el juicio.

  
Fuente | RedUsers
Imagen | El Gobierno estadounidense se niega a devolver los archivos legítimos alojados en Megaupload porque sería "muy caro"
 
Lea también
. Los datos almacenados en Megaupload podrían desaparecer ésta semana
. Cientos de funcionarios estadounidenses serían usuarios de Megaupload

McAfee: 10 temas clave de seguridad TI para empresas en 2012

McAfee ha creado una guía sobre seguridad TI para empresas, basada en comentarios de los clientes de McAfee en organizaciones públicas y privadas de todo el mundo.

El informe (documento PDF de 16 páginas, en español) no es un análisis exhaustivo de cada uno de los 10 temas, sino más bien una breve sinopsis de los mismos, varios casos de uso, conceptos clave y las referencias a nuestra arquitectura Security Connected, que proporcionan detalles sobre las soluciones, los módulos de tecnología, las mejores prácticas y guías de implementación.

Las organizaciones están evolucionando de una manera rápida y constante. Según un reciente informe de Gartner, los CIOs (Chief Information Officer) están haciendo la transición desde la gestión de los recursos, hacia la demostración del valor en términos de negocio.

La Encuesta Agenda del CIO 2011 de Gartner señaló que para el año 2014, los CIOs dicen que su enfoque se moverá de la mejora de los procesos y de la reducción de los costos de la empresa, hacia el crecimiento empresarial, la mejora de las operaciones y mantener nuevos clientes. Apoyar y habilitar a los negocios y la seguridad debe ser un componente integral de la estrategia general de TI de un CIO.

Paralelamente, el escenario de amenazas está cambiando más rápido que aquello que la mayoría de las organizaciones de TI es capaz de enfrentar. El delicado equilibrio de tornar viables los negocios y mantenerlos protegidos exige que los ejecutivos se mantengan informados sobre esos cambios para que puedan tenerlos en cuenta al tomar sus decisiones.

La guía de McAfee podría constituir un aporte en tal sentido. 

  
Fuente | DiarioTi
Imagen | Security Connected
 
Lea también 
. Navegadores: lo que viene para el 2012
. Principales riesgos informáticos para 2012

¿Qué palabras son más monitoreadas en la web?

Los términos más vigilados por las agencias de seguridad de todo el mundo suelen estar vinculados al terrorismo, como "Al-Qaeda". Pero también hay otros más inocentes, como "México", "cerdo" o "nube".

Como parte de una petición de transparencia desde el grupo "Electronic Privacy Information Center" (DOHS), el Departamento de Seguridad de EE.UU. se vio obligado a publicar los cientos de palabras y términos que son de su interés en internet, especialmente en redes sociales como Twitter y Facebook.

De acuerdo con lo publicado por Emol, algunas de las palabras son obvias como "Al Qaeda", "terrorismo" y "detección nuclear doméstica", mientras que otros son bastante más inocentes y comunes como "México", "cerdo", "nube" y "explosión". Según la institución, la mala combinación de estos términos podría tener como resultado que la actividad online del usuario sea monitoreada.

Con esta vigilancia, el departamento de seguridad busca otro tipo de evidencias de eventos como posibles desastres naturales, amenazas de seguridad pública y crímenes serios desde tiroteos en centros comerciales o escuelas, tráfico de drogas a inmigrantes ilegales.

Un vocero de la agencia gubernamental señaló al Huffington Post que la lista es solamente el punto inicial de la búsqueda y que su objetivo final es poder prevenir amenazas elaboradas antes de que sucedan.
 
Fuente | Infobae
Imagen | ¿Qué palabras son más monitoreadas en la web?
 
Lea también 
. El 51% del tráfico en internet no es humano
. ¿Me amas? Entonces dime tu contraseña

Kaspersky analiza y sabotea la infraestructura de Flame

GoDaddy, OpenDNS y Kaspersky Lab ha conseguido con éxito tomar el control y destruir la comunicación interna de las bots de la mayoría de los dominios para que no lleguen a su destino.

El 28 de mayo de 2012 Kaspersky Lab anunció el descubrimiento de un software malicioso muy sofisticado, conocido como Flame, que fue usado activamente como ciberarma dirigida a instituciones en varios países. Flame fue descubierto por expertos de Kaspersky Lab durante una investigación impulsada por la Unión Internacional de Telecomunicaciones (ITU, por sus siglas en inglés), y el análisis del programa malicioso reveló que se trata de la amenaza más grande y compleja conocida hasta la fecha.

La información de Kaspersky fue posteriormente calificada de "truco publicitario" por Trend Micro.

Los análisis de este malware de Kaspersky Lab revelaron que actualmente está siendo usado para el ciberespionaje y que infecta los sistemas para robar datos e información sensible. Los datos robados se enviaron a uno de los servidores C&C (Command & Control) de Flame.

Kaspersky Lab ha estado monitorizando de cerca la infraestructura C&C de Flame y ha publicado hoy una entrada detallada sobre los hallazgos de la investigación en su blog Securelist.

En colaboración con GoDaddy y OpenDNS, Kaspersky Lab ha conseguido con éxito tomar el control y destruir la comunicación interna de las bots para que no lleguen a su destino (operación de sinkholing) de la mayoría de los dominios maliciosos usados por la infraestructura C&C (Command & Control) del virus Flame. Los siguientes detalles resumen los resultados del análisis:

- La infraestructura Command&Control de Flame que había estado operando durante años, se desconectó inmediatamente después de que Kaspersky Lab revelara el descubrimiento del malware la semana pasada.

- Actualmente hay más de 80 dominios utilizados por Flame para servidores C&C y dominios relacionados, que han sido registrados entre 2008 y 2012

- Durante los últimos 4 años, los servidores que alojaban la infraestructura C&C de Flame, se movieron entre múltiples localizaciones, incluyendo Hong Kong, Turquía, Alemania Polonia, Malasia, Letonia, Reino Unido y Suiza.

- Los dominios C&C fueron registrados con una impresionante lista de falsas identidades y con una variedad de registradores desde 2008.

- Según el sinkhole de Kaspersky Lab, los usuarios infectados se registraron en varias regiones: Oriente Medio, Europa, Norteamérica y Asia-Pacífico.

- Flame parece tener un alto interés en archivos PDF, Office y dibujos de AutoCAD.

- Los datos cargados en el C&C de Flame se cifran utilizando algoritmos relativamente sencillos. Los documentos robados se comprimen utilizando código abierto y la compresión Zlib PPDM modificado.

- Windows 7 64 bit, que fue previamente recomendado como solución contra las infecciones con otros tipos de malware, parece ser efectivo con Flame.

En un comunciado, Kaspersky agradece a William MacArthur y a "GoDaddy Network Abuse Department" por su rápida reacción y apoyo excepcional a su investigación, así como al "Equipo de Investigación de Seguridad de OpenDNS", por su "inestimable apoyo".

La semana pasada, Kaspersky Lab contactó con el CERT en varios países para informarles acerca del C&C de Flame, sobre el dominio y direcciones IP de los servidores maliciosos, por lo que a la compañía le gustaría agradecer a todos los que participaron por su apoyo a esta investigación.

Para acceder al análisis completo de Flame, y a todos los detalles técnicos, visite Securelist en www.securelist.com

 
Fuente | DiarioTi
Imagen | Destruyen su comunicación interna
 
Lea también 
. Detectan amenaza de ciberespionaje y sabotaje peor que Stuxnet y Duqu

Bitdefender lanza una herramienta gratuita para la eliminación de Flamer

Flamer puede robar datos, copiar contraseñas, grabar conversaciones de voz, hacer capturas de pantalla, e incluso afectar a dispositivos conectados por Bluetooth a la máquina infectada.

Bitdefender ha lanzado una solución para localizar y eliminar la más compleja y peligrosa herramienta de ciberespionaje descubierta hasta ahora: Flamer.

Flamer, también conocido como Skywiper, puede robar datos, copiar contraseñas, grabar conversaciones de voz, hacer capturas de pantalla, e incluso afectar a dispositivos conectados por Bluetooth a la máquina infectada. El kit de herramientas, que se cree que es el mismo que dio lugar a herramientas de espionaje anteriores, como Stuxnet y Duqu, puede propagarse a través de las redes locales o de las unidades extraíbles como memorias USB.

“Flamer es la más terrorífica herramienta de espionaje cibernético que hemos visto hasta ahora. Llega a lugares donde otros programas espía no llegan, roba información que otros no pueden, y pasa casi desapercibidad," explica Catalin Cosoi, Chief Security Researcher de Bitdefender. “Por suerte, la herramienta de Bitdefender hace que sea fácil de eliminar."

Flamer no es una sola herramienta para espiar, sino más bien una caja de herramientas que incluye todo lo que necesita un atacante remoto para acceder a los datos de un usuario.

Puede accederse a la herramienta gratuita de eliminación de Bitdefender desde aquí: labs.bitdefender.com 

 
Fuente | DiarioTi
Imagen | Catalin Cosoi, Chief Security Researcher de Bitdefender
 
Lea también 
. Detectan amenaza de ciberespionaje y sabotaje peor que Stuxnet y Duqu
. Ciberdelincuentes graban a sus víctimas con la cámara del PC mientras le roban

Ya rige en Reino Unido la llamada "Ley anti cookies"

La nueva normativa, que obliga a los portales ingleses a informar y pedir permiso antes de ejecutar los famosos archivos de almacenamiento, mantiene por ahora un bajo nivel de adhesión.

El pasado 27 de mayo entró en vigencia la “Ley anti cookies” en Gran Bretaña, pero el nivel de adhesión a la norma se mantiene en niveles muy bajos y cientos de portales británicos aún no la han incorporado a sus desarrollos, según ha indicado la cadena inglesa BBC.

La flamante ley, que obliga a los sitios a informar y pedir permiso a los usuarios antes de ejecutar los famosos (y algunas veces controvertidos) archivos de almacenamiento, es una adecuación de la legislación británica a la Directiva 2009/136/CE dispuesta por el Parlamento Europeo en noviembre de 2009. Gran Bretaña no adoptó de inmediato la medida y la reglamentó recién en mayo de 2011.

Durante ese lapso de tiempo, el gobierno de David Cameron realizó consultas con organizaciones civiles y empresas que aportaron alternativas y otras propuestas a la norma que, igualmente, casi no sufrió modificación alguna. Así, la “Ley anti cookies” finalmente establece que los titulares de portales de internet no podrán instalar cookies en los equipos de los usuarios sin su consentimiento previo y deberán avisar sobre la existencia de los mismos. Aquellas páginas que no cumplan con la normativa se exponen a una multa de hasta 500 mil libras.

La Oficina del Comisionado de Información será la encargada de controlar el cumplimiento de la nueva reglamentación, la cual paradójicamente aún no ha sido adoptada por todas las páginas oficiales del gobierno británico. La medida ha generado además un alto nivel de desaprobación entre los internautas ingleses. Una encuesta realizada a 700 comerciantes elaborada por la firma Econsultancy ha arrojado que el 82% de ellos no cree que la nueva ley sea positiva. 

 
Fuente | RedUsers
Imagen | La "Ley Anti Cookies" ya comenzó a regir en el Reino Unido (Fotografía: Wired.uk)

Detectan amenaza de ciberespionaje y sabotaje peor que Stuxnet y Duqu

"Flame" es una nueva ciberamenaza avanzada cuyo reto es el ciberespionaje. Su complejidad y funcionalidad superan a los de todas las amenazas cibernéticas conocidas hasta la fecha.

Kaspersky Lab anuncia el descubrimiento de un programa malicioso muy sofisticado que está siendo utilizado de forma activa como arma cibernética para atacar distintos organismos en varios países. La complejidad y la funcionalidad del programa malicioso recién descubierto superan a los de todas las amenazas cibernéticas conocidas hasta la fecha.

El malware ha sido descubierto por los expertos de Kaspersky Lab durante una investigación impulsada por la ITU, la agencia de las Naciones Unidas para la Información y la Comunicación Tecnológica. El programa malicioso, detectado como Worm.Win32.Flame por los productos de seguridad Kaspersky Lab, está diseñado para llevar a cabo ciberespionaje. Puede robar información valiosa, incluyendo contenidos de la pantalla de ordenador, información sobre los sistemas específicos, archivos almacenados, datos de contacto y conversaciones, incluso de audio.

La investigación independiente comenzó tras una serie de incidentes con otro, aún desconocido, programa de malware – llamado Wiper - que ha borrado los datos en ordenadores en la región de Asia Occidental. Este programa malicioso está aún por descubrir, pero durante el análisis de estos incidentes los expertos de Kaspersky Lab, en coordinación con la ITU se encontraron un nuevo tipo de malware, ahora conocido como Flame.

A pesar de que las características de Flame no son como las de anteriores armas cibernéticas, como Duqu y Stuxnet, la geografía de los ataques, el uso de vulnerabilidades de software específicos y el hecho de que los ordenadores seleccionados estén en el punto de mira indica que Flame pertenece a la misma categoría de super-ciberarmas.

Eugene Kaspersky, CEO y co-fundador de Kaspersky Lab, afirma: "La amenaza de la guerra cibernética ha sido uno de los temas más graves en el área de la seguridad de la información desde hace varios años. Stuxnet y Duqu pertenecían a una sola cadena de ataques, lo que incrementó las preocupaciones relacionadas con la ciberguerra en todo el mundo. El malware Flame parece ser una nueva fase en esta guerra, y es importante entender que este tipo de armas cibernéticas se puede utilizar fácilmente en contra de cualquier país. A diferencia de la guerra convencional, los países más desarrollados son en realidad los más vulnerables en este caso".

El propósito principal de Flame parece ser el ciberespionaje y el robo de información de los equipos infectados. Dicha información es enviada a una red de servidores C&C ubicados en diferentes partes del mundo. La variada naturaleza de la información robada, que puede incluir documentos, imágenes, grabaciones de audio y una intercepción del tráfico de red, lo convierte en uno de las más avanzadas y completas herramientas de ataque que se haya descubierto.

Alexander Gostev, director de los Expertos en Seguridad en Kaspersky Lab, comentó: “Los descubrimientos preliminares de esta investigación, llevados a cabo a partir de una petición urgente de la ITU confirman que este programa malicioso está completamente dirigido. Uno de los hechos más alarmantes es que la campaña de ciberataque de Flame está actualmente en fase activa, y su operador está vigilando los sistemas infectados, reuniendo información y dirigiéndose a nuevos sistemas para conseguir sus desconocidas metas".

Los expertos de Kaspersky Lab están trabajando en el análisis de Flame. Durante los próximos días se revelarán más detalles sobre esta nueva amenaza, según se vayan conociendo. Por el momento, lo que se sabe es que consta de múltiples módulos y que su código ejecutable es 20 veces mayor que el de Stuxnet, lo que significa que el análisis de esta ciberarma requiere un gran equipo de los mejores expertos en seguridad, e ingenieros con amplia experiencia en el campo de la ciberdefensa.

La ITU usará la red ITU-IMPACT, formada por 142 países y varias empresas, entre ellas Kaspersky Lab, para alertar a los gobiernos y a la comunidad tsobre esta ciberamenaza.

Más información: www.securelist.com 

 

Fuente | DiarioTi 

Imagen | Kaspersky Lab e ITU 

 

Lea también 

. Ciberdelincuentes graban a sus víctimas con la cámara del PC mientras le roban
. Estados Unidos fue responsable de Stuxnet
. Duqu: ¿Una nueva versión de Stuxnet?
. Eugene Kaspersky: Temo que suceda un "Hiroshima Cibernético"

ISP se niegan a bloquear nueva IP de The Pirate Bay

Dos proveedores de acceso a Internet en Países Bajos se niegan a recibir órdenes de la organización antipiratería BREIN, que les exigía bloquear una nueva dirección del sitio de The Pirate Bay.

El miércoles 23 mayo se informaba que The Pirate Bay (TPB) había eludido un bloqueo judicial sencillamente cambiando su dirección IP. Esta situación llevó a la organización holandesa antipiratería BREIN a enviar instrucciones a los ISP Ziggo y XS4ALL, de bloquear acceso a la nueva IP. Según el sitio TorrentFreak, BREIN conminó a ambos ISP a cumplir sus instrucciones dentro de un plazo de 10 días, advirtiendo que, en caso de no hacerlo, se les aplicarían multas de 250.000 euros.

"Solo acatamos órdenes de un juez" Tele 2, uno de los principales ISP de Países Bajos, tiene una posición claramente definida frente al tema, en el sentido que no acatará órdenes de una organización privada, y que sólo cumplirá eventuales resoluciones emanadas de los tribunales de justicia.

"Nuestra posición es la siguiente: no pondremos sitios web fuera del alcance de nuestros suscriptores, sin que exista una orden judicial que así lo determine", declara Tele 2 en un comunicado referido por TorrentFreak. El proveedor de acceso a Internet cuestiona que BREIN quiera arrogarse la facultad unilateral de crear una lista de direcciones IP a ser bloqueadas, y que sencillamente "dé instrucciones a los ISP".

"Por ahora, BREIN desea bloquear The Pirate Bay, pero a futuro podría haber otros grupos interesados preparando sus propias listas de bloqueo", agrega Tele 2, concluyendo que todo tipo de bloqueo general constituye una amenaza al libre acceso a Internet en ese país. 

  
Fuente | DiarioTi
Imagen | No aceptan instrucciones de organización
 
Lea también 
. The Pirate Bay tiene planes de utilizar drones
. The Pirate Bay utilizará enlaces magnéticos en lugar de torrents

Ciberdelincuentes graban a sus víctimas con la cámara del PC mientras le roban

Nuevas versiones del troyano SpyEye graban imágenes de sus víctimas mientras operan con su entidad financiera.

Una vez más, los clientes de entidades bancarias se convierten en víctimas del cibercrimen. Kaspersky Lab ha descubierto un nuevo plugin para SpyEye (una de las familias de troyanos bancarios más utilizados) que permite grabar a través de la cámara del ordenador imágenes del usuario mientras le están robando el dinero.

Según Dmitry Tarakanov, experto analista de Kaspersky Lab: “Hace poco identifiqué un nuevo plugin: flascamcontrol.dll. Su nombre me intrigó y me fijé en él para descubrir cómo opera. El nuevo SpyEye utiliza la cámara incorporada en un ordenador infectado para controlar al usuario de banca online. Este plugin tiene un archivo de configuración y una lista de nombres de sitios de bancos alemanes".

¿Para qué filmar a la víctima?

Los ciberdelincuentes observan la reacción del usuario cuando se está produciendo el robo: El usuario introduce sus datos en el sitio del banco, pero el programa malicioso ha modificado el código de la página directamente en el navegador y después de la autorización, el usuario no ve la cuenta del banco sino que el programa malicioso crea una ventana que dice, por ejemplo, “Cargando…" Por favor espere…". Al mismo tiempo, el código malicioso inyectado se prepara para enviar el dinero robado a la cuenta bancaria de un cómplice.

Una vez hecho esto, y para confirmar la transacción, los ciberdelincuentes tienen que persuadir al usuario para que introduzca un código secreto, que le envían mediante un SMS. Aquí entra la ingeniería social: el programa del hacker pone una petición en la pantalla de la víctima, por ejemplo: “Estamos fortaleciendo nuestras medidas de seguridad. Por favor confirme su identidad introduciendo el código secreto que hemos enviado a su teléfono". Este es el momento que importa a los hackers: ¿cómo reaccionará el usuario ante el pedido inesperado de un código SMS?.

Así es cómo funciona todo este entramado. Desde la conexión inicial al sitio hasta el ciberdelincuente que mira secuencias de video desde la cámara del ordenador del usuario:

”Aquí vemos cómo los ciberpiratas no sólo se llevan nuestro dinero, sino también nuestras emociones”, comenta el analista de Kaspersky, Dmitry Tarakanov (Ilustración: Kaspersky Lab) 

Más información: www.viruslist.com
 
Fuente | DiarioTi
Imagen1 | Nueva "función" del troyano SpyEye
Imagen2 | Ilustración: Kaspersky Lab

Microsoft auspicia un software para bloquear las descargas ilegales

Una firma rusa creó Pirate Pay, un programa que puede interrumpir y evitar que se bajen contenidos piratas. El producto ya fue aplicado por Walt Disney Studios y Sony.

El programa se presenta como un software usual para descargar bit torrents, un formato de descargar de archivos gratis que presumiblemente incentiva la piratería. Después el software "confunde" la conexión entre redes y provoca una desconexión.

Los detractores de este software señalan que el método será ineficiente en el largo plazo.

La descarga de material pirata tiene efectos negativos sobre los derechos de los autores de las obras, esto perjudica sus ingresos y genera una pérdida de importantes cantidades de dinero.

En medio del debate de la libertad versus la restricción varios gobiernos han impulsado leyes e iniciativas para terminar con la piratería. En abril, la Industria Fonográfica británica ganó una batalla judicial para obligar a los proveedores de servicios de internet del Reino Unido a bloquear el acceso a sus clientes del sitio The Pirate Bay, especializado en la descarga de torrents y frecuentemente citado como un pregonero de la libertad de descargas o, según como se vea, la ilegalidad que fomenta internet.

Las productoras de cine y las compañías disqueras suelen señalar que pierden enormes sumas de dinero por culpa de la piratería, la verdadera magnitud de su impacto financiero es fuertemente cuestionada por los activistas de los derechos de internet.

En medio de ese debate llega Pirate Pay, una herramienta que parece favorecer a los críticos de la libertad de descargas gratis en internet.

Trabajo encubierto

Según el blog Torrent Freak, Pirate Pay nació como un software de gestión de tráfico para los proveedores de servicios de internet.

Luego se descubrió que podría ser utilizado para inundar, de forma encubierta, conexiones peer-to-peer (red de pares que se utilizan para compartir los archivos) con información falsa.

"Después de crear el prototipo, nos dimos cuenta de que podíamos interrumpir descargas por medio de su software, lo cual significó una gran promesa en la lucha contra la propagación de contenidos pirateados", señaló Andrei Klimenko, director ejecutivo de la compañía, en una entrevista con el portal Russia Beyond the Headlines.

El software identifica los archivos ilegales que se están descargando, lo inunda y finalmente logra que ya no se pueda volver a descargar.

La tecnología fue elogiada por el presidente de la dependencia rusa de Microsoft y recibió una inversión de cien mil dólares provenientes de un fondo de esa misma compañía de origen estadounidense.

Según se reportó, una reciente campaña de Pirate Pay protegió a la película rusa Vysotsky: Thank God I'm Alive, realizada por Walt Disney Studios, de ser descargada 44,845 veces de manera ilegal.

Pero como señaló Torrent Freak, lo más probable es que los usuarios que han sido bloqueados encuentren una alternativa en cuestión de días.

Problema social

Aunque los detalles exactos de cómo funciona el sistema no se conocen públicamente, el investigador de seguridad Richard Clayton, de la Universidad de Cambridge, señaló a la BBC que el sistema podría funcionar, aunque solo en el corto plazo.

"Si inundas la red con un montón de engaños, entonces te quedas sin cosas reales".

Según Clayton, quien suele escribir sobre este tipo de asuntos, las redes de pares se pueden adaptar a estos engaños, logrando identificar los archivos que han sido repartidos o infectados por Pirate Pay.

"Uno no arregla problemas sociales con modificaciones técnicas", declaró.

"El problema social es que un montón de gente piensa que la oferta legal es demasiado costosa y no les provee lo que necesitan.

"Si llegases a arreglar esa cultura, nadie se vería en la necesidad de romper la ley para obtener lo que necesita", sentenció Clayton. 

  

Fuente | Infobae 

Imagen | Una firma rusa creó Pirate Pay, un programa que puede interrumpir y evitar que se bajen contenidos piratas. 

  

Lea también 

. The Pirate Bay tiene planes de utilizar drones 

. The Pirate Bay utilizará enlaces magnéticos en lugar de torrents

Entrevista con un miembro de Anonymous

Peter Fein se denomina a si mismo como "hacktivista", y si bien no participa de acciones ilegales, apoya por completo la participación política mediante activismo cibernético.

La BBC pudo acceder a una entrevista con uno de los miembros de Anonymous. Peter Fein es “un agente de grupo Telecomix“, una agrupación que integra Anonymous en la organización de protestas y proveyendo conexión a internet a manifestantes alrededor del mundo.

“Anonymous es un cartel, es una bandera que podemos usar. Nos da voz para expresar nuestra oposición con gobiernos y corporaciones que están censurando internet, algo que muchos ciudadanos democráticos encuentran objetable“, dice Fein, un programador de Chicago, Estados Unidos, que es de los pocos miembros de la organización que accede voluntariamente a revelar su identidad, incluso ante el riesgo de sufrir detenciones, como las muchas que se han visto en norteamérica o Europa. Sobre ese riesgo, aclara ”frecuento gente que hace cosas ilegales, pero ellos saben que no estoy interesado en participar”.

Esas cosas ilegales a las cuales se refiere Peter, son puntualmente los ataques DDOS que ejecuta con asiduidad Anonymous, ataques a los cuales se refiere como “una forma de desobediencia civil, como marchar por las calles o bloquear la entrada de un edificio, lo que a veces es, técnicamente, ilegal“.

Entre los hacktivistas, seguramente Peter Fein es el más mediático, ya que dedica buena parte de su tiempo a conducir paneles de discusión o charlas, y justamente en virtud de ello, en una charla de hace un par de meses en un canal de Seattle, se encargaba de aclarar que “Telecomix no es Anomymous“. “Hay gente en común y utilizamos métodos semejantes, pero donde Anonymous se encarga de romper cosas, desde Telecomix creemos que la mejor forma de apoyar la libertad de comunicación es construyendo“.

En ese sentido, Fein estuvo prestando ayuda durante la Primavera Árabe: en Egipto, por ejemplo “activamos más de 500 dominios para que la gente pudiera acceder a la red”, cuando “el gobierno literalmente cerró internet en todo el país“. También cuenta cómo desde Telecomix “trabajamos con un grupo de gente en Siria para facilitar sus comunicaciones al estar controladas por el gobierno”, ya que de publicar algún contenido comprometido podían ser “pueden ser identificados, arrestados y torturados por el gobierno“.

Fein dice que lo emociona sentirse partícipe de los cambios y de “trabajar en aquello en lo que creo, luego de tanto tiempo sintiéndome fuera del proceso político“. 

 
Fuente | RedUsers
Imagen | Peter Fein, miembro de Anonymous y Telecomix, contó su vida como hacktivista.
 
Lea también
. Anonymous desmiente el apagón mundial de Internet
. Anonymous pretende apagar Internet
. «Anonymous» prepara el «marzo negro»

Revelan identidad del "hacker Wi-Fi" de Google

El periódico The New York Times ha revelado la identidad del empleado de Google que por cuenta propia envió los coches de Street View en misión de espionaje.

Una sola persona es responsable de que los vehículos Street View de Google hayan recolectado datos de redes inalámbricas desprotegidas en diversos países. La información se desprende de un informe elaborado por la entidad estadounidense Federal Communications Commission, publicada esta semana.

El nombre del desarrollador responsable fue eliminado del informe, y Google hizo lo posible por mantener su identidad en secreto. Sin embargo, el periódico The New York Times ha revelado todos los datos personales del implicado.

Un ex fiscal que participó en un caso anterior relacionado con Street View, reveló que se trata del programador Marius Milner, experto en tecnología Wi-Fi. En su perfil de LinkedIn, Milner se autodenomina "hacker", agregando que sabe "más de lo que quisiera sobre Wi-Fi".

El periódico visitó a Milner en su domicilio, pero éste se negó a comentar las informaciones, solicitando a los periodistas consultar a su abogado, quien también se abstuvo de hacer declaraciones.

Street View comenzó como un ambicioso plan de Google, destinado a fotografiar un gran número de ciudades del mundo, mediante imágenes de 360°, captadas desde un coche en movimiento. Sin embargo, el desarrollador en cuestión decidió, por cuenta propia, agregar código que permitió a los coches recolectar datos de redes Wi-Fi no cifradas entre 2007 y 2010.

El programador asegura haber informado a varios de sus colegas sobre el código en cuestión, y haber enviado una circular interna en Google, donde describía el procedimiento de recolección de datos. Google, por su parte, asegura que el tema es responsabilidad exclusiva del programador.

Según su perfil de LinkedIn, Milner ha trabajado anteriormente en Lucent Technologies y Avaya. Esta última empresa ha creado el programa de "wardriving" NetStumbler para Windows.

El concepto de "wardriving" se refiere precisamente a la búsqueda de redes inalámbricas Wi-Fi desde un vehículo en movimiento. Por lo tanto, no sorprende mayormente que Milner tuviera la capacidad de escribir el código de localización de redes inalámbricas mediante los coches de Street View. Según se indica, Milner habría escrito el código durante el 20% de la jornada laboral en que Google permite a los desarrolladores trabajar en sus propios proyectos.

Cabe señalar que Google no es la única empresa que utiliza redes Wi-Fi para labores de geolocalización. Apple y otras empresas han aplicado tecnologías similares en sus productos.

Según The New York Times, el caso es sintomático de Google, donde los desarrolladores tienen un estatus muy elevado, y son prácticamente "amos y señores" de sus propios proyectos. "El razonamiento de los desarrolladores es que lo mejor es juntar el mayor volumen posible de datos; ya que siempre podrá filtrarse y eliminarse lo innecesario", concluye señalando el periódico. 

 
Fuente | DiarioTi
Imagen | Fue un proyecto personal
 
Lea también 
. Responsabilizan a desarrollador de Google de espionaje de redes Wi-Fi
. Choca un auto propiedad de Google