Archive for 27 agosto 2008

Virus en la Estacion Espacial Internacional

agosto 27, 2008

La NASA ha confirmado que el gusano W32.Gammima.AG (que roba datos de acceso para juegos “on line” e intenta enviarlos a un servidor central) ha sido detectado a bordo de la Estación Espacial Internacional (ISS), a donde presumiblemente llegó alojado en el portátil de uno de los astronautas incorporados en Julio, y desde el que se propagó, al parecer vía USB, a varios portátiles ma? de la tripulación.

Los ordenadores de la ISS no están directamente conectados a Internet, sino a un enlace satelital que les permite enviar y recibir correos, información y ficheros.

Pese a que el gusano se considera de baja peligrosidad, el incidente podría no resultar banal, ya que el portavoz de la NASA declinó responder si los portátiles infectados están o no conectados a sistemas críticos de la estación espacial

Fuente: www.kriptopolis.org

Aumentan ataques contra sistemas basados en Linux

agosto 27, 2008

US-CERT ha publicado alerta sobre un aumento de ataques en sistemas basados en Linux, usando para ellos claves SSH comprometidas referidas al fallo de Debian en la generación de claves SSH.

Un usuario local puede ejecutar “exploits” contra las vulnerabilidades del kernel y logra así obtener privilegios de “root”, una vez tomado el control (root) podrá instalar el rootkit “phalanx2”.

Phalanx2 es un derivado de un antiguo rootkit llamado “phalanx”. Tanto Phalanx2 como los scripts de soporte para el rootkit están configurados para robar de sistemáticamente claves SSH del sistema comprometido, las claves conseguidas son utilizadas para atacar nuevos sistemas.

US-CERT publica algunas recomendaciones para detectar Phalanx2:

1. “ls” no muestra la carpeta “/etc/khubd.p2/”, pero se puede acceder usando “cd /etc/khubd.p2”.
2. “/dev/shm/” puede contener archivos de ataque.
3. Cualquier carpeta llamada “khubd.p2” se oculta del comando “ls”, pero es posible acceder usando el comando “cd”.

Cambios en la configuración del rootkit pueden modificar las indicaciones señaladas anteriormente; otros métodos de detección pueden incluir búsquedas de procesos ocultos y comparar los resultados contenidos en “/etc” con el numero de carpetas mostradas por “ls”.

US-CERT recomienda a los administradores las siguientes acciones para poder mitigar los riesgos:

1. Identificar y revisar proactivamente los sistemas que usen claves SSH como parte de procesos automáticos. Estas claves típicamente no suelen contar con contraseñas.
2. Utilizar las claves con contraseña para reducir el riesgo en caso de que una clave haya sido comprometida.
3. Revisar las rutas de entrada a los sistemas con acceso a Internet y verificar que se encuentran correctamente actualizados.

Si su equipo está comprometido:

1. Deshabilitar la autenticación SSH en el sistema afectado, siempre que sea posible.
2. Revisar y auditar las claves SSH de los sistemas afectado.
3. Notificar a los propietarios de las claves sobre la posibilidad que su clave haya sido comprometida.

Referencias:

SSH Key-based Attacks

‘Hackean’ pagina web iPhone de Claro – Peru

agosto 21, 2008

Esta madrugada atacaron el sitio web IPhone de Claro Peru, desfiguraron la página http://www.claro.com.pe/iphone/ a escasas horas del lanzamiento de el famoso Iphone de Apple. Se puede ver la imagen del desfiguramiento simulando un “error 404” en el siguiente enlace.

Como se sabe, claro-Peru usa en su portal el famoso gestor de contenidos, OpenCSM.

En estos momentos la página de iPhone Claro-Peru ya se encuentra reestablecida.

Nueva variante de GPCode se propaga a través de Botnet

agosto 14, 2008

El virus que meses atrás nos sorprendió ‘infectando’ los archivos de sus víctimas usando algoritmo RSA de 1024 bits y que se hizo famoso como el ‘virus extorcionador’ ahora regresa con mas fuerza y mejorado. En esta nueva versión, GpCode ataca mas formatos de archivos, incluidos los tradicionales (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h) que la versión anterior atacaba; Kaspersky Labs había logrado controlar los ataques de la version anterior de este malware.

Existen reportes confirmados de esta nueva versión de GpCode Ransomware que se propaga a través de un botnet.

“Con esta nueva versión de Gpcode, encontramos una muestra de ransomware que parece imposible de descifrar en esta etapa del proceso de detección. Luego de ejecutar soluciones anti-malware, la mejor protección contra este tipo de malware es crear respaldos de los datos en la computadora con regularidad”, alertó Roel Schouwenberg, Analista de Virus Senior de Kaspersky Lab. “Recomendamos firmemente que quiénes se vean infectados por Gpcode no paguen el ‘rescate’ debido a que esto sólo alentará a su autor a crear nuevas versiones”.

Fuente: zdnet.com

Se resolvio el problema de acceso a Gmail

agosto 13, 2008

Los problemas generados para acceder a Gmail de google en las ultimas horas fueron resueltos, desde el lunes en la tarde que se presentaron algunos inconvenientes para acceder a cuentas personales de correo web Gmail.

Google indicó que una pausa en el sistema de contactos utilizado por Gmail impidió que el correo se cargara de forma adecuada. La empresa añadió que podría haber algunos retrasos menores en los envíos, aunque todos los correos están seguros.

Los usuarios de Estados Unidos, Canadá e India reportaron problemas con Gmail, y un empleado de Google indicó que la propia cuenta corporativa de la empresa tampoco funcionaba.

Fuente: reuters.com

Ataque DDoS en conflicto Rusia vs Georgia

agosto 12, 2008

A raíz de conflicto entre Rusia y Georgia, las especulaciones en los foros rusos en torno a este incidente se han materializado en caber ataque coordinado contra la infraestructura de Internet de Georgia. Los ataques ya han conseguido comprometer varios sitios web de la Administración Geoargiana, con continuos ataques DDoS (Ataques de Denegación de Servicios Distribuidos) contra muchos otros sitios del gobierno. El gobierno Georgiano, ha tenido que cambiar el alojamiento de sus páginas web en servidores de los EE.UU.

El ministerio de relaciones exteriores georgiano ha tenido que recurrir al servicio de Blogspot como medida extrema poder asegurar la continuidad en la difusión de información en tiempo real durante el conflicto.

Mas información:

http://blogs.zdnet.com/security/?p=1670

Black Hat 2008: Descubren nuevo ataque contra Windows Vista

agosto 11, 2008

Dos investigadores Mark Dowd de IBM y Alexander Sotirov de VMWare, presentaron una forma de de eludir todas las medidas de protección de memoria existentes en el sistema operativo Windows Vista, ASLR (Adress Space Layout Randomization, o Aleatorización de distribución de espacio de direcciones), DEP (Data Execution Prevention, Prevención de ejecución de datos) y otras más, usando Java, controles ActiveX y objetos .NET para cargar código arbitrario en un navegador Web.

El problema se origina en el manejo de scripts y objetos .NET que utiliza Internet Explorer.

Hasta el momento Microsoft no ha reportado oficialmente dicho problema.

Fuente: www.orlandoalonzo.com.mx

Black Hat 2008: Periodistas expulsados por hacking

agosto 11, 2008

Tres periodistas franceses fueron expulsados del Black Hat 2008 tras poner a prueba sus conocimientos de seguridad WiFi, esnifearon la red que utilizaban los medios de comunicación que cubrían el evento, consiguieron los datos de acceso de dos colegas de otros medios (CNet y eWEEK) y en su afán de dar a conocer su descubrimiento lo comunican a los organizadores de Black Hat quienes acuerdan expulsarlos del evento de por vida y también de Defcon.

Fuente: www.kriptopolis.org