Archive for 30 junio 2008

Adiós Windows XP !!

junio 30, 2008

Hoy es el ultimo dia en que el sistema operativo mas popular y estable de Microsoft premanecerá a la venta. Si bien es cierto las tiendas aún seguiran vendiendo Windows XP hasta agotar sus stocks, gradualmente veremos que el sitema operativo dejará de ser usado masivamente.

Es un pena pues creo que XP es un sistema operativo estable (desde su versión SP2), con vulnerabilidades como todos pero bastante eficiente en el consumo del harware y el manejo de actualizaciones. Se dejará extrañar, mas aun cuando actual sucesor no lográ convencer ni mucho menos colma las espectativas prometidas.

Windows XP

Aunque no soy un usuario estricto de Windows (uso de todo) me resisto a usar Vista y creo que seguiré haciendo, solo espero que pase rápidamente este par de años para saltar a Windows 7.

Muchos ya van recomendando el uso de alguna distro de Linux, la idea no esta mal pero creanme que en las grandes empresas se ve el futuro con bastante incertidumbre pues existe una gran oposicion al cambio por parte de los usuarios, ademas de los costos (léase tiempo) de capacitación y entrenamiento.

Algunas sugerencias para empezar a probar.

Linux-XP
Distro creada por una empresa Rusa de Linux con un entorno similar a Windows XP, esta basada en Fedora

Famelix
Distribucion creada en la Universidad  de Guaramirim en Brasil con apoyo de la Universidad Austral de Chile. La Distro esta basada en Debian y tiene un entorno muy parecido a Windows XP.

 

Piratas usan contenido de elcomercio.com.pe para enviar spam con videos con malware

junio 28, 2008

Entorno multimedia del portal de noticias de “El Comercio” es aprovechado inescrupulosamente por piratas en Internet para hacer ‘spam’ engañoso.

La técnica usada es el envio de video conteniendo malware, envian noticias sacadas del portal de El Comercio a través de correo electronico supuestamente enviasdas desde el mismo portal (www.elcomercio.com.pe) con videos incrustados conteniendo codigo malicioso.

elcomercio fake

Segun el portal de El comercio, denuncian el fraude que perjudica la imagen de este portal y señalan que los correos tienen como Asunto, Un Supuesto conflicto belico con chile, lo que induce a las victimas a ingresar a leer la noticia, una vez ingresado a la noticia el video pone en ejecucion el cogigo malicioso y toma control sobre el equipo de la victima.

Se puede encontrar mayor informacion en los siguientes enlaces.

http://blogs.elcomercio.com.pe/vidayfuturo/2008/06/noticias-falsas-con-videos-y-v.html

http://www.elcomercio.com.pe/ediciononline/HTML/2008-06-26/cuidado-correo-spam-difunde-falsas-noticias.html

Página web de la ONU en Perú sufrió defacement

junio 26, 2008

Vía csirtuni: La página web del Sistema de las Naciones Unidas en Perú sufrió un defacement por un cracker denominado IR4DEX, que al parecer es de origen brasileño.

Se desconoce hasta el momento cual fue la vulnerabilidad que fue aprovechada para provocar este daño, pero actualmente la página web se visualiza de manera normal.

En los últimos días IR4DEX había atacado también algunos portales web de noticias, algunas páginas de Brasil, entre otros.

Imágenes del defacement producido a la página web de ONU Perú

Productos Adobe Acrobat que usan validación JavaScript presentan vulnerabilidad de Código de Ejecución Arbitraria.

junio 25, 2008

La vulnerabilidad podría ser aprovechada por algún atacante remoto y le permitiría tomar el cotrol total del sistema. El problema es causado por un error inesperado en el método de validación javaScript que podría permitir al atacante a ejecutar código arbitrario, para ello el atacante usa un documento PDF creado especialmente para engañar al usuario que al ser abierto ejecuta el código arbitrario.

Versiones afectadas:

Adobe Reader 8.0
Adobe Reader 7.0.9
Adobe Acrobat Professional 8.0
Adobe Acrobat 3D 8.0
Adobe Acrobat 3D 7.0.9
Adobe Acrobat Standard 8.0
Adobe Acrobat Standard 7.0.9

Solución:

Actualizar su correspondiente versión de Adobe Acrobat

Fuente:
http://www.frsirt.com/english/advisories/2008/1906

Retorna la Policia Informatica

junio 24, 2008

Al iniciar la semana y revisar algunas páginas vi con sorpresa el regreso de la web de la Policia Informática – División de Investigación de Delitos de Alta Tecnología – http://www.policiainformatica.gob.pe

Policia Informatica - DIVINTAD

Después de varios meses fuera de línea es importante tener contacto a través de Internet con esta dependencia policial ya que nos permitirá dar reporte de algunos incidentes que vienen ocurriendo en la red y que están directamente relacionados con lo que ocurre en nuestros país y los delitos informáticos en el entorno local.

Lo que veo con atención es que ya no señalan a Jorge Machado como su asesor, al parecer ya se independizaron pues la nueva página web tiene un diseño nuevo.Cualquier Denuncia pueden enviarlas a los sgtes correos:

DELITOS INFORMATICOS: delitosinformaticospnp@hotmail.com
HURTO DE FONDOS: dirincri.hurtofondos@pnp.gob.pe
PORNOGRAFIA INFANTIL : dirincri_divindat_pi@yahoo.es
PIRATERIA DE SOFTWARE: dincri_pnp_divindat_ps@hotmail.com
INVESTIGACIONES ESPECIALES: dirincri.divindat@pnp.gob.pe

Telefonos de Contacto: 431-8909 / 431-8896

Lanzan Backtrack 3 Beta

junio 20, 2008

Se ha liberado Backtrak3, lo novedoso es que en la pagina de remote-exploit publicado tres versiones, una imagen iso para grabar en CD, otra para correr en memorias USB y una imagen optimizada para correr sobre VMWare.    

Backtrack la distribución de GNU/Linux en version Live CD especializada en Auditoría de Seguridad Informática y con muchos seguidores en en mundo de la seguridad en esta nueva version beta se caracteriza por la contar con kernel 2.6.15.5 dándole mejor soporte para Core Duo, asimismo, aumenta su compatibilidad con más tarjetas de red inalámbricas y actualiza su repositorios de exploits.

Backtrack 3

Pueden ver algunos screenshots desde la pagina de remote-exploit

http://www.remote-exploit.org/backtrack_screenshots.html

Enlaces de Descarga:

Description: CD Image
Size: 695 MB
http://www.remote-exploit.org/cgi-bin/fileget?version=bt3-cd

Description: USB Version (Extended)
Size: 784 MB
http://www.remote-exploit.org/cgi-bin/fileget?version=bt3-usb

Description: VMware Image
Size: 689 MB
http://www.remote-exploit.org/cgi-bin/fileget?version=bt3-vm

Zero Day en Firefox 3.0

junio 19, 2008

A pocas horas del lanzamiento oficial de firefox 3.0, un investigador anónimo evidenció una vulnerabilidad en el navegador Firefox 3.0 recientemente lanzado con bombos y platillos, Download Day incluido.

 Tipping Point ha verificado la vulnerabilidad y lo ha resportado a Mozilla. La vulnerabilidad ha sido reportada como una vulnerabilidad crítica de tipo Zero Day que también afecta a las versiones anteriores.

Aun no se conocen mayores detalles del fallo porque se espera que Mozilla haga publico el parche respectivo que permita corregir el error, solo se sabe que es una vulnerabilidad de tipo “Code Execution”

Pueden ver el reporte original hecho desde Tipping Point Zero Day Initiative

http://dvlabs.tippingpoint.com/blog/2008/06/18/vulnerability-in-mozilla-firefox-30

Aquí la publicacion del Zero Day, (ZDI-CAN-249)

http://www.zerodayinitiative.com/advisories/upcoming/

Al parecer Firefox obtendra dos Record Guiness en simultaneo, la mayor catidad de descargas en un dia y por la vulnerabilidad más rápida en ser descuebierta.

Zlob Trojan ataca routers adsl caseros

junio 18, 2008

ESET ha reportado sobre una variante del troyano Zlob (Win32/TrojanDownloader.Zlob) que modifica la configuración de los IPS de los servidores DNS en los routers de uso doméstico más conocidos, asi los usuarios al tratar de acceder a sus sitios en Internet serán redirigidos a sitios maliciosos. El troyano aprovecha las las combinaciones usuario/contraseña por defecto de los routers caseros conocidos usando una lista predefinida, una vez que accede a la administración modifica la configuracion.

http://blog.washingtonpost.com/securityfix/zlobpass.txt

Se recomienda cambiar el usuario/contraseña de sus routers adsl para evitar ser victima de este ataque.

No descargar codecs de video que no sean confiables

Existen mas recomendaciones en el Blog ExtremeSecurity

Pueden leerse en su version en español desde VSAntivirus

GpCode.ak el Malware Extorsionador

junio 16, 2008

Hace algunos días Kaspersky Lab alertó la presencia de un malware modificado y actualizado, dicho malware es conocido en internet como el “virus extorsionador” debido a su actuación, no tiene un comportamiento común pues no roba contraseñas ni cuentas bancarias, sino que identifica los archivos más usados( .doc, .xls, .txt, .jpg, .pdf) y los encripta usando RSA con clave de 1024 bits dejando los archivos con la siguiente extension ._crypt.

Después de encriptar los archivos de la computadora víctima, en la raíz de dichos archivos deja archivo de texto en donde deja un mensaje advirtiendo que si desean obtener la contraseña para acceder los archivos afectados deben contactarse con un correo anónimo, al hacerlo exigen el depósito de una cantidad de dinero en una cuenta bancaria señalada.

GPCode Malware

Definitivamente éste es un Malware que traerá mas de un dolor de cabeza a muchas empresas que no se preocupan en capacitar a sus usuarios en el manejo de archivos sospechosos o provenientes de emisor sospechoso; mas allá de tener buenos antivirus y sistemas de protección es importante educar a los usuarios y evitar dolores de cabeza y gastos innecesarios en recuperación de información.

Debemos señalar la importancia de hacer copias de seguridad de los archivos importantes de nuestras organizaciones ya que nos permitirá continuar con las actividades en caso seamos víctimas de este Malware; tratar de romper las clave de los archivos infectados es una tarea desproporcionada y muy costosa.

ESET NOD32 detecta este malware como Win32/Gpcode.AK desde la base de firmas 3168.

Mas informacion:

http://www.vsantivirus.com/mm-criptovirus.htm
http://www.viruslist.com/en/viruses/encyclopedia?virusid=313444

Hackeado otro sitio web de la policía británica

junio 11, 2008

Via Kriptopolis, llega esta noticia donde da cuenta del ataque sufrido por el sitio web de la policía de Bedfordshire luego de dos meses de ser atacada la web de reclutamiento de la policía de Londres.

Hace unas horas, el sitio ha sido desconectado tras haber mostrado en su portada una animación de un muñeco portando una bandera de Túnez, junto a un símbolo y una oración musulmana..

Según la BBC, el “defacement” habría sido atribuido a “Arfaoui FirAs”, un informático de 17 años de edad que afirma residir en Hawai (EE.UU.).

Según Netcraft, el sitio jaqueado -que hasta ayer mismo corría IIS bajo Windows Server 2003- ejecuta ahora Apache bajo Debian GNU/Linux.

El articulo esta en kriptopolis.