Mostrando las entradas para la consulta Botnets ordenadas por fecha. Ordenar por relevancia Mostrar todas las entradas
Mostrando las entradas para la consulta Botnets ordenadas por fecha. Ordenar por relevancia Mostrar todas las entradas

lunes, 10 de diciembre de 2018

Argentina - Ciberataque a fuerzas de seguridad

Las fuerzas de seguridad sufrieron un ciberataque y ahora investigan su origen.
Por Mariano Obarrio, publicado por La Nación.


La agresión provino de diferentes servidores del extranjero; la ministra Bullrich ratificó que fue repelido; la denuncia del Gobierno recayó en la fiscalía de Stornelli

Luego de siete meses de investigaciones y una denuncia judicial, el gobierno de Mauricio Macri confirmó que el 18 de mayo existió un ataque informático muy intenso posiblemente de una potencia extranjera sobre los servidores del Ministerio de Seguridad, que dirige Patricia Bullrich ; de la Gendarmería Nacional; la Prefectura Naval, y la Policía de Seguridad Aeroportuaria (PSA). Pero el ciberataque fue repelido por los sistemas de defensa de esos organismos.

Ciberseguridad
Visto en Flickr. La imagen no pertenece a la nota de La Nación
Las investigaciones posteriores establecieron 15 intentos desde diferentes direcciones IP en todo el mundo: de la Federación Rusa, Francia, la India, Alemania, Paquistán y Medellín, entre otros. El caso se destapó con una investigación de la revista Semana, de Colombia, publicada hace diez días.

Ese informe vinculó el ciberataque con el caso en el que las fuerzas de seguridad argentinas capturaron 12 valijas cargadas con 400 kilogramos de cocaína colombiana de máxima pureza dentro de la embajada de Rusia en Buenos Aires, en febrero último, que tenían como destino Europa. Por ese caso existen cuatro detenidos. Esa carga había sido informada por el entonces embajador ruso, Viktor Koronelli, en diciembre de 2016 a la propia ministra de Seguridad, Patricia Bullrich.

La ministra confirmó a LA NACION los ciberataques y dijo que fueron coordinados y repelidos por los sistemas argentinos. Confirmó la denuncia judicial que investiga el ataque y dijo que no se pudo establecer aún si provinieron de Rusia o de otros lugares. Pero desestimó una supuesta vinculación con las narcovalijas.

La presentación judicial recayó en el juzgado federal de Sebastián Casanello y fue delegada a la Fiscalía Federal Nº 4, que dirige Carlos Stornelli . Todavía no existieron avances sustanciales más allá de un detallado informe secreto de una investigación de la cartera de Seguridad.

El director de Investigaciones de Ciberdelito del Ministerio de Seguridad, ingeniero Pablo Lázaro, fue convocado a declarar y ratificó la denuncia por el ataque informático del 18 de mayo último.

El caso despertó fuertes alarmas en los organismos de seguridad, al tiempo que la Casa Rosada quiere mantener la mejor relación diplomática con el gobierno de Vladimir Putin. El presidente Mauricio Macri se reunió con su par de Rusia durante la Cumbre del G-20 y firmó tratados bilaterales de comercio y de pesca. Consultada por LA NACION, Bullrich confirmó que "el ataque es real y está judicializado por el ministerio, pero no tiene nada que ver con las valijas". "Fue un intento de ataque a las fuerzas y recolectamos la evidencia, pero no lograron entrar y lo judicializamos. Luego, hace dos meses, ratificamos la denuncia ante Stornelli", dijo Bullrich.

"Muy pocos sabemos de ese ataque porque fue uno de los tantos que detectó el sistema, pero al ser coordinado y con evidencia lo denunciamos. La Dirección de Investigaciones de Ciberdelito hizo un informe del origen de las IP y los fiscales", agregó. "Lo más raro de todo es eso: el ataque no fue efectivo. Lo frenamos", aseguró la ministra de Seguridad. Según otras fuentes de Seguridad, esa cartera recibió ataques informáticos también antes y durante la Cumbre del G-20 que también fueron repelidos.

La causa radicada en la fiscalía de Stornelli es la número 14.062/2018 y está caratulada "NN/S violación sistema informático público".

Según el expediente, investiga "hechos ocurridos en fecha 18 de mayo de 2018 vinculados al presunto ataque informático que alcanzo a los servidores de la Prefectura, la Gendarmería, la PSA y el Ministerio de Seguridad".

Según confiaron a LA NACION fuentes judiciales, "no existieron avances sustanciosos ni grandes resultados más allá de que se conoce un informe sobre le intento de ataque informático que no afectó las bases". Tampoco existen aún sospechosos en la mira.

Según otros organismos de Seguridad, la relevancia del ataque radicó en que se registró un ejército de botnets, que según el informe del ministerio tendrían origen en Rusia, aunque no se sabe si por organismos estatales, de inteligencia o por bandas de hackers. Sobre los móviles existen diversas hipótesis: narcotráfico o un intento de afectar el G-20 por aquellos días.

Según fuentes de ciberseguridad, se trató de un ataque conocido como "denegación de servicios distribuida". Confirmaron que en algunos casos surgieron de "IP de Rusia", pero "hay de todos lados". "Pensamos que fue una exploración de alguien en el marco del G-20", concluyeron.

Los expertos de Seguridad estiman que tras la información aportada se identificará al proveedor de internet de las IP y se les enviará un oficio, con trámites internacionales que demoran un tiempo, y que a principios del año próximo habrá novedades.

Un informe técnico de Seguridad señaló que se trató de "un escaneo masivo de puertos a rangos de direcciones IP públicas de la PNA (Prefectura), GNA (Gendarmería), PSA (Policía de Seguridad Aeroportuaria) y el Minseg (Ministerio de Seguridad), desde una dirección IP cuyos datos de radicación pertenecen a la Federación Rusa".

El propósito, estimó el informe, fue "extraer información de los organismos atacados o, de máxima, hacerse del control de las redes y servidores pertenecientes a los mismos". Pero aclaró que la integridad de la información "quedó fuera del alcance del ciberataque". / Por Mariano Obarrio, publicado por La Nación.--

___________________
NOTA: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.
IMPORTANTE: Todas las publicaciones son sin fines comerciales ni económicos. Todos los textos de mi autoría tienen ©todos los derechos reservados. Los contenidos en los link (vínculos) de las notas replicadas (reproducidas) y/o citadas son de exclusiva responsabilidad de sus autores. Éste blog ni su autor tienen responsabilidad alguna por contenidos ajenos.

miércoles, 21 de diciembre de 2016

La botnet Mirai usa dispositivos hogareños para ejecutar ciberataques

El ejército zombie de dispositivos conectados que puso en jaque a Internet.
Por Martiniano Nemirovsci publicado por Télam.

Millones de afectados en Estados Unidos y Europa, un país entero sin conexión a Internet y la caída de varios de los principales sitios y servicios online del mundo fueron la carta de presentación de la "botnet" Mirai, un malware que encuentra, infecta y domina a dispositivos hogareños para usarlos en ataques, que marcó un antes y un después en estos incidentes y obliga a fabricantes y gobiernos a elevar las medidas de seguridad.

IMAG0609
Visto en Flickr
La imagen no pertenece a la nota de Télam
"Alguien está aprendiendo cómo derribar Internet", alertó a comienzos de septiembre, en su blog, Bruce Schneier, uno de los principales referentes a nivel global sobre seguridad informática. El experto se refería a un incremento en los ataques distribuidos de denegación de servicios (DDoS) contra compañías encargadas de proveer "la infraestructura básica que hace que Internet funcione".

No daba cuenta de un nuevo tipo de ataque, ya que los DDoS se utilizan desde hace años para dar de baja servidores provocándoles la pérdida de conectividad, al saturarlos mediante una enorme cantidad de accesos que consumen su ancho de banda, los sobrecargan y los voltean. La alarma de Schneier, en cambio, alertaba sobre la magnitud de los mismos.

Su advertencia comenzó a tomar cuerpo ese mismo mes. El proveedor de hosting francés OVH quedó fuera de la red después de que a sus servidores ingresara un tráfico de casi 1,5 Tb por segundo; una semana después, el blog del periodista especializado en seguridad informática Brian Krebs fue blanco de otro enorme ataque de 665 Gb por segundo.

En ambos casos, la novedad residió en que los ataques no provinieron de PCs infectadas, sino de "Mirai", una botnet -una red de cámaras y otros aparatos hogareños conectados a la Internet de las Cosas- compuesta por más de 100.000 dispositivos, en la que los hackers aprovecharon vulnerabilidades de seguridad de esos equipos para dirigir su tráfico contra las víctimas.

Después de estos incidentes, un hacker conocido como "Anna-senpai" abrió el código de esta botnet y lo subió a Internet para que cualquier persona que quisiera pudiera usarlo.

Mirai aprovecha "una vulnerabilidad de dispositivos de Linux conectados a Internet", en referencia al sistema operativo que tienen muchos de los aparatos de la Internet de las cosas; primero "escanea todo, prueba y entra en todos los (dispositivos) que son accesibles", a los que infecta y domina, explicó a Télam Alfredo Adrián Ortega, desarrollador de software que trabaja para la empresa de antivirus Avast.

Así, esta botnet crea lo que especialistas denominaron un "ejército zombie de dispositivos conectados", que permanece latente hasta que se usa para lanzar un ataque.

Como sucedió el 21 de octubre, cuando Mirai se empleó contra los servidores de Dyn, un proveedor de direcciones DNS, y volteó durante casi un día entero no solo un gran número de conexiones en Estados Unidos -primero en la costa este, aunque luego se esparció hacia el otro extremo-, sino que afectó a sitios y servicios como Twitter, Netflix, Spotify, Reddit, The Guardian, The New York Times, CNN, Guardian.co.uk, HBO Now, PayPal, Pinterest, Playstation Network, Storify.com, The Verge, Fox News, Soundcloud, WSJ.com, time.com, xbox.com, dailynews.com, BBC, y CNBC.com, entre otros.

Ortega relativizó la advertencia de Schneier al señalar que Mirai "no puede tirar toda Internet", aunque afirmó que "sí puede tirar partes. Y por ahí son partes fundamentales. Partecitas que te joroban la vida". Como hacker, "vos detectás cuál es la parte crítica, tres o cuatro servidores. Rompés esos y afectás un montón de usuarios, por ejemplo de telecomunicaciones, servicio de energía, etcétera. Servidores críticos", remarcó.

lunes, 24 de octubre de 2016

Sorprende la sorpresa del ciberataque a DynDNS

En la mañana del viernes amanecían caídos t/o con importantes dificultades multiples servicios como WhatsApp, Twitter, Spotify, Netflix, Airbnb, GitHub, PayPal, Reddit, SoundCloud, Etsy, Okta, y websites como The New York Times, The Verge, Fox Nes, WSJ, Wired.com o Time. Se estaba produciendo un ataque DDoS que tenía como objetivo "tumbar" DynDNS (Dynamic Network Services, Inc.), una compañía de Internet de los Estados Unidos, dedicada a soluciones de DNS en direcciones IP dinámicas.

El ataque fue exitoso, sobrepasó la capacidad operativa de Dyn y lo llevó a suspender su servicio en varias oportunidades ese día. Algunos titulares de noticias señalaron que fue mayor ataque ciberterrorista en una década. Recordemos un dato importante, en 2007 Estonia sufrió lo que se ha señalado la primera ciberguerra. Y desde entonces, en cada conflicto ese tipo de enfrentamiento vino escalando.
NORSE Map
Captura de pantalla del mapa de NORSE. La firma de seguridad informática con sede en EE.UU. NORSE, lanzo el año pasado un mapa animado en tiempo real que ilustra los ataques cibernéticos en curso en todo el mundo

Tras el ciberataque a Dyn, expertos en seguridad informática opinaron que ésta acción no fue producto de improvisados, se está considerando la posibilidad que detrás del "sabotaje" podría haber reunido un ejército de ciberterroristas.

Según las primeras investigaciones de Dyn, se apunta a que el ataque provino de dispositivos conocidos como 'Internet of Things' (interconexión digital de objetos cotidianos con Internet), tales como DVR, impresoras y otros aparatos conectados a la Red.

Los datos de Dyn señalan que el ataque se libró desde dispositivos infectados con un código malicioso (malware) que se publicó en la web en las últimas semanas.

De momento, el grupo New World Hackers, distribuidos en Rusia y China, y el grupo Anonymous se han atribuido la responsabilidad del ciberataque. Sin embargo, el Gobierno estadounidense asegura que sigue investigando lo sucedido.

Los expertos señalan hoy que lo único claro es que se trató de un ataque masivo dirigido a una de las infraestructuras críticas que sustentan a Internet, y fue llevado a cabo gracias a las vulnerabilidades de dispositivos del IoT, como afirmaba la propia Dyn.

martes, 13 de enero de 2015

El presidente Obama anunciará una nueva legislación en materia de ciberseguridad

Obama busca que empresas compartan información para detener ciberataques
Por Roberta Rampton para Reuters.

WASHINGTON (Reuters) - El presidente estadounidense, Barack Obama, anunciará el martes un renovado impulso legislativo en materia de ciberseguridad después de los recientes ataques informáticos contra compañías como Sony Pictures o Home Depot.

Obama expresará su apoyo a los esfuerzos para dar protección de responsabilidad a las empresas que compartan rápidamente información sobre los ataques, pero exigirá una protección estricta de la información personal, dijo la Casa Blanca en un comunicado.

La Casa Blanca propuso una nueva legislación en materia de ciberseguridad por primera vez en 2011. En el último Congreso, la Cámara de los Representantes, controlada por los republicanos, aprobó una norma, pero el Senado no llegó a sacarla adelante.

Los legisladores han luchado para equilibrar las preocupaciones corporativas sobre la responsabilidad con el miedo de los consumidores por su privacidad, especialmente después de que el ex analista de la NSA Edward Snowden filtrara información sobre los programas de espionaje del Gobierno.

El propio Gobierno no ha sido inmune a los ciberataques. El lunes, las cuentas de redes sociales del mando militar de Estados Unidos que supervisa las operaciones en Oriente Medio sufrieron un ataque cibernético por parte de supuestos aliados del Estado Islámico.

Obama se reunirá el jueves con importantes congresistas en la Casa Blanca el jueves y espera debatir sus propuestas en materia de ciberseguridad.

En un discurso en el centro neurálgico de ciberseguridad del Departamento de Seguridad Nacional, programado para las 2010 GMT, Obama también propondrá nuevos poderes para el cumplimiento de la ley con el objetivo de investigar y perseguir el cibercrimen, dijo la Casa Blanca.

Su propuesta incluye medidas para permitir la persecución legal de la venta de "botnets" -redes de robots informáticos que se ejecutan de forma automática y autónoma-, y podría dar a los juzgados el poder de desmantelar los "botnets" responsables de cometer ataques por denegación de servicios.

Los "botnets" se utilizan, normalmente, para robar información financiera, publicar mensajes 'spam' y dirigir ataques por "denegación de servicio" contra páginas web.

Otras medidas podrían estar destinadas a impedir la venta de "spyware", o programas espías, y podrían hacer que la venta de información de tarjetas de crédito robadas en el extranjero se convierta en un delito, dijo la Casa Blanca.

El presidente estadounidense también revelará detalles de una cumbre de ciberseguridad programada para el jueves 13 de febrero, una reunión que no tendrá lugar en la Casa blanca, sino en Silicon Valley, en la Universidad de Stanford.

Las propuestas legislativas de Obama forman parte de un avance de su próximo discurso del Estado de la Unión, que tendrá lugar el próximo 20 de enero. / Por Roberta Rampton para Reuters. (Editado por Rodrigo Charme).--
---.---


P102913PS-0117
El presidente Barack Obama se reúne con el secretario de Comercio Penny Pritzker y CEOs para discutir los esfuerzos conjuntos por la Administración y la industria para desarrollar el Marco de Seguridad Cibernética para mejorar la ciberseguridad de la infraestructura crítica, en la Sala de Situación de la Casa Blanca, 29 de octubre de 2013. (Official White House Photo por Pete Souza)

Post relacionados:

martes, 14 de octubre de 2014

Seguridad en smartphones

En ámbitos que hacen a la ciberseguridad, se suele señalar que "el smartphone debe recibir el mismo tratamiento que le das a tu propia casa, en cuanto a evitar el acceso de personas ajenas". 

Aunque los smartphones son menos sensibles a virus informáticos en comparación con las Pc y notebooks que trabajan con Windows, cada día están más expuestos. La tendencia a atacarlos es cada vez más importante, pues, entre otras finalidades, son cada vez más usados para acceder a servicios bancarios en línea.

Sistemas de seguridad en smartphones
Foto:"Sistemas de seguridad en smartphones", de Jorge S. King ©Todos los derechos reservados, en Flickr
La variedad de uso y la importancia de datos e información que poseen los smartphones los hace vulnerables a riesgos derivados por malware y ataques informáticos por parte de ciberdelincuentes que realizan un importante acopio de información para sus "negocios".

Los riesgos a los que se ven expuestos los smartphones son:
  • Pérdida o robo del dispositivo.
  • Infecciones por virus o Malware vía email, Botnets, Hoaxes, Spam, Rootkits.
  • Robo de información vía Bluetooth.
  • Suplantación de identidad o Spoofing.
  • Acceso a datos confidenciales de conversaciones, imágenes o vídeos.
  • Infección al acceder a falsos códigos QR publicitarios.
Por lo que el usuario, por su seguridad, debe necesariamente tomar conocimiento cuales son las medidas de seguridad y prevención de riesgos. Algunas recomendaciones útiles a tener en cuenta son:
  • Al reciclar un teléfono móvil, asegurarse de eliminar todo el contenido personal de las memorias. Así se evita exponer la confidencialidad del usuario y la de sus contactos.
  • Comprar e instalar aplicaciones y Software en páginas oficiales.
  • Instalar y mantener actualizado algún antivirus.
  • Usar deepfreeze Software, que permite el reinicio y restauración del sistema en plataformas Microsoft Windows, Mac OS X y Linux. Con el fin de evitar daños causados por programas maliciosos.
  • Apagar el móvil por la noche cuando no está siendo utilizado. Ya que los ataques a los sistemas pueden ocurrir cuando el usuario no está al tanto de ello.
  • Usar contraseñas alfanuméricas o PIN para el acceso y tras la inactividad de los dispositivos.
  • Evitar proporcionar información financiera y personal vía correo electrónico, conversaciones telefónicas o por SMS.
  • Activar la encriptación de datos y cifrado de memorias SD.
  • Hacer copias de seguridad para restablecer el sistema en caso de fallos o pérdidas de información.
  • Usar servicios de localización online, para permitir el borrado de datos en caso de robo o extravío.
"Debido a que los teléfonos móviles se encuentran conectados a una red global para poder comunicarse entre sí. Es necesario el uso de protocolos que cooperen simultáneamente para gestionar las comunicaciones. Cada uno de estos protocolos se encarga de una o más capas de acuerdo al modelo OSI (Open Systems Interconnection). El cual fue creado por la Organización Internacional para la Estandarización (ISO) en el año de 1984, para poder establecer comunicaciones entre Equipos Terminales de Datos (ETD). Al establecer comunicaciones entre los ETD, se usan varios protocolos (pila de protocolos), ya que éstos no se encuentran aislados".

"Los ataques informáticos y la extracción de información pueden llevarse a cabo en alguno de los niveles de comunicación entre dispositivos. El coste de implementar un plan de protección es caro y por lo regular quienes pueden pagar estos servicios son empresas. Es importante que los usuarios conozcan de forma general los niveles de comunicación que existen y así poder determinar algunas medidas de protección" (Wikipedia). 

Estos niveles o capas se agrupan en siete, le sugiero comenzar leyendo "Protección multicapa" para ir tomando idea de que se trata.

Un gran tema en las medidas de seguridad a tomar es la incorporación de un sistema de seguridad y antivirus. Muy recomendable es hacerse asesorar bien y leer sobre el tema. No se trata de seguir la recomendación de un amigo, colocarlo y ya está.

Tengan en cuenta que:
  • La mayoría de los programas requieren de la memorización de un código de seguridad para ser configurados.
  • Podrían ser de difícil desinstalación, ya que se requiere del acceso a las opciones avanzadas del programa.
  • Configurar de forma correcta las opciones de antirrobo, ya que algún sistema o individuo podría tomar el control remoto del dispositivo.
  • Hacer una copia de seguridad de los datos personales y ficheros previo a la instalación. Así se evita cualquier pérdida de datos en caso de errores.
  • La elección adecuada del mejor antivirus para el móvil, requiere del análisis previo de sus características.
Todas las fotografías con Todos los derechos reservados por Jorge S. King© 2014 Absténgase de utilizarlas.

jueves, 26 de julio de 2012

¿Viendo fantasmas?, ¿Se acuerdan del blogger georgiano Cyxymu?

Visto en Soitu.es
Hoy comentamos sobre la salida se servicio de dos herramientas de comunicación que muchos utilizamos, primero fue GTalk, y luego fue Twitter.

No bien se comenzaba a operar nuevamente con el chat de Google, se comenzó a notar la salida de servicio de Twitter. Ambos "apagones" a nivel mundial.

A no pocos nos llamó la atención semejante coincidencia, y lo señalé en algunos comentarios como éste en Google+: "Primero GTalk, luego Twitter, algo está pasando. Son muy difíciles éstas coincidencias. #GTalk #Twitter". Hablando del tema alguien me dijo: "estás viendo fantasmas". Enseguida recordé el asunto Cyxymu.

Puede que así sea, que realmente esté viendo fantasmas, pero haciendo un poco de memoria y relacionando noticias (algunas las hemos replicado y comentado en este blog), allá por los primeros días de Agosto de 2009 se produjo el ataque a las redes sociales mediante la utilización de botnets, dejando fuera de línea a servicios como Twitter, Facebook, LiveJournal, y la plataforma de blogs de Blogger, sorprendió a todos, por la coordinación y simultaneidad. No digo para nada que estamos hoy frente un caso similar, sólo lo estoy recordando.

Como lo señalamos en aquel momento, "convengamos que para llevar a cabo semejante "hazaña" hay que tener cierta estructura". El detalle que trascendió en aquel momento, fue que se coordinó una acción para callar la opinión de un blogger de Georgia, en todos los sitios donde tuviera una cuenta.

¿Se acuerdan del blogger georgiano Cyxymu?. Bueno, por si o por no, como para recordarlo, le sugiero releer, a quienes lo han hecho oportunamente, e informarse, a quienes no lo conocían, a éste interesante antecedente en lo que se entiende como cyberwar en Georgia: "Si quieres callar a un disidente, tumba internet". Seguramente te interesará, o al menos te llamará la atención.

Post relacionados:

jueves, 18 de noviembre de 2010

SpyEye un troyano bancario 2.0 que "se vende"

Les sugiero leer dos interesantes notas publicadas por Hispasec, sobre SpyEye, "el nuevo kit de creación de botnets que está recogiendo el exitoso testigo de Zeus. Se trata de un troyano bancario 2.0 que se vende en los entornos "underground" y que permite a un atacante crear de forma muy sencilla una botnet y recopilar datos sensibles de sus víctimas".

Son dos notas: Así funciona SpyEye (I), que tiene incluido un vídeo, y Así funciona SpyEye (y II), donde explican sus funciones más llamativas.

Para quienes no lo conocen, Hispasec Sistemas es un laboratorio especializado en Seguridad y Tecnologías de la Información. Muy interesante a la hora de estar atentos a información útil a nuestra seguridad informática.

Post relacionados al tema troyanos bancarios:

sábado, 14 de agosto de 2010

La revolución virtual - ¿Enemigo del Estado?

Acabo de ver un interesante capitulo de la serie "La revolución virtual" en el Canal Encuentro, en esta ocasión pasaron el capítulo "¿Enemigo del Estado?".

Realmente es una serie provocativa y dinámica que demuestra cómo Internet esta cambiando nuestro mundo. Luego de un breve repaso sobre los inicios de Internet, desde ARPANET, hasta como se llega hoy al World Wide Web (el Web), uno de los servicios que más éxito ha tenido en Internet.

Como en el Web se han montado otros servicios que han permitido la comunicación libre entre personas a tal punto que esta comunicación se ha transformado en un problema para aquellos gobiernos donde las libertades individuales es un problema.

Se comentan casos resonantes como el de WikiLeaks (WikiFiltraciones o WikiFugas en inglés), que "es un sitio web que publica informes anónimos y documentos filtrados con contenido sensible en materia religiosa, corporativa o gubernamental, preservando el anonimato de sus fuentes" (Wikipedia).

Otro ejemplo importante que presentaron es el caso de la sublevación de la población iraní durante las protestas electorales en Irán de 2009, contra el presunto fraude electoral y en apoyo del candidato de la oposición Mir-Hossein Mousavi. Las protestas han sido consideradas como la Revolución de Facebook/Twitter porque la población utilizó esas redes sociales para expresarse en contra del régimen gobernante y denunciar un fraude electoral.

En la serie también mostraron como los protestantes iraníes utilizaban los smartphones para captar las imágenes de la durísima represión que se desató sobre ellos.

Otra parte de este capitulo de la serie toco el tema evolución del uso de Internet en China, como se dio el proceso asimilación de la tecnología de comunicación en la población y como el gobierno ejerce el control sobre la misma. Pero dejaron bien en claro que el gobierno lleva las de perder.

No falto en el análisis, los sucesos del ataque informático más importante de la historia reciente, el ciberataque a la economía de Estonia en 2007 (Cyberwar on Estonia) que se da desde botnets en Russia, luego que el gobierno estonio decide trasladar de lugar el monumento en honor a los soldados del Ejercito Rojo de Rusia. Tal es la magnitud del ataque, que Estonia se vio en la necesidad de solicitar ayuda a la OTAN.

La serie "La revolución virtual" marca detalles importantes a considerar como estamos cambiando las formas de comunicarnos. Continúa con otros capítulos ya he agendado para ver, espero sean tan interesantes como este.

viernes, 13 de agosto de 2010

Estudiante santiagueña se destaca en seguridad informática

Una buena noticia, que me interesó especialmente. El Diario Panorama reproduce una nota del diario La Voz del Interior (de Córdoba), sobre el importante premio internacional que Eset entregó a la mejor investigación en seguridad antivirus de Latinoamérica.

Flavia Gramajo, oriunda de Frías (Santiago del Estero), alumna de cuarto año de Ingeniería en Sistemas de Información de la Facultad Córdoba de la UTN, presentó su trabajo "Conflictos en red: botnets".

Eset, la empresa de software que desarrolla sistemas de seguridad informática, como los antivirus NOD 32 y Smart Security, consideró importante y merecedor del premio al trabajo de Flavia Gramajo, que apunta a informar sobre las "botnets". En su trabajo, Flavia hace hincapié en la necesidad de informar y educar al usuario para que este tenga una actitud proactiva "para no caer en la trampa" de los ciberdelincuentes.

En este blog, hemos tocado en reiteradas oportunidades el tema botnets, sobre todo asociado al spam, como aquellas que están diseñadas para encontrar y/o producir vulnerabilidades en los sistemas de los usuarios de sistemas bancarios, home banking especialmente. En Abril próximo pasado comentamos sobre el troyano bancario Zeus, y el informe de Symantec, donde señala el crecimiento financiero y geográfico del cibercrimen, y la importancia que han adquirido los "juegos de herramientas de ataque" que se venden vía Internet.

En estos días se conoció que ciberdelincuentes han asaltado las cuentas de miles de clientes de banca por internet en un importante banco de Reino Unido, utilizando precisamente al troyano bancario Zeus, que fue introducido en miles de computadoras hogareñas, "robando contraseñas confidenciales y datos de las cuentas de aproximadamente 3000 personas; robando un monto que asciende a cerca de € 675.000 los cuales han sido transferidos ilegalmente desde el banco de Reino Unido entre el 5 de julio al 4 de agosto de este año" (LaFlecha.net).

¿como se logran introducir el troyano en los equipos?, simplemente mediante el spam, el correo "basura", o "no deseado", ese correo que la gran mayoría abre sin saber cual es su verdadero origen y se reenvía y recontra envía a los amigos sin saber realmente lo que se está haciendo, siendo útil a los delincuentes. ¿Vio esas bonitas presentaciones que vienen en un archivo adjunto cuyo nombre finaliza con .pps? Esas son presentaciones realizadas con PowerPoint, en general todas muy interesantes, con lindas e impresionantes fotos, etc., etc., la gran mayoría de ellas se reenvían masivamente, y son en realidad uno de los caballos de troya favoritos de los ciberdelincuentes para enviar "troyanos" como Zeus o Zbot, Zeus, el bot más peligroso por estos días.

Si Ud. tiene un antivirus gratuito, o uno de esos "crackeados", probablemente su sistema de seguridad jamas le informe que está "infectado" y su equipo es parte de alguna botnet.

Por esto es muy importante el trabajo de Flavia Gramajo y su objetivo de impulsar una actitud proactiva "para no caer en la trampa" de los ciberdelincuentes.

Ya sabe, si recibe esos correos reenviados, esas cadenas que abundan, esas presentaciones .pps, ni las abra, mucho menos las reenvíe. Infórmese correctamente.

Puede leer algunos post en este blog, referido o relacionados a las botnets.

Nota relacionada:

jueves, 18 de febrero de 2010

Kneber botnet afectó a miles de equipos en más de 190 países

Una botnet generó un ataque informático de gran escala permitió acceder a 75.000 computadoras en 196 países, principalmente en Estados Unidos, México, Arabia Saudí, Egipto y Turquía, según reveló la firma de seguridad en Internet NetWitness.

Según las noticias, "NetWitness identificó más de 2.400 organizaciones afectadas por estos ataques a lo largo de un año, entre las que se encuentran administraciones públicas, grandes empresas de sectores como la banca, la tecnología o la energía, y centros educativos".

Mediante el código malicioso, conocido como ZeuS botnet, los ciberdelincuentes pueden acceder a información corporativa y gubernamental, tomar el control de las cuentas de correo corporativas y de sitios externos como Facebook, Yahoo o Hotmail. La información apunta que código (malware) aprovecha vulnerabilidades en los sistemas operativos Windows XP y Vista para lograr contraseñas y el acceso a cuentas de correo y redes sociales.

Fuente: NetWitness Discovers Massive ZeuS Compromise.

Nota relacionada: 'Hackers' atacan a miles de empresas y agencias gubernamentales en 196 países. The Wal Street Journal - Americas

Otros post sobre botnets en este blog, ingrese aquí: Botnets.

martes, 17 de noviembre de 2009

Se siente un background a conflictos

En tono a la noticia que comentamos ayer, en referencia al apagón en Brasil y Paraguay, hoy temprano el diario español elmundo.es, publicó una inquientante noticia, pero no desconocida en algunos ambitos: Las potencias mundiales viven un rearme para la 'Ciberguerra Fría'.

Parece que se siente un background a conflictos, como si se estuviera en la reparación del terreno, esta ves el teatro de operaciones es, sin duda el campo de la red internacional, Internet, pero con consecuencias incluso hasta en la economía real.

"Según un nuevo informe de la multinacional de seguridad informática McAfee, países como Israel, Rusia, EEUU, China y Francia encabezan esta particular carrera 'armamentística', enfocada sobre todo a defenderse en casos de ataques electrónicos" (elmundo.es).

Haciendo un poco de memoria y relacionando noticias (algunas las hemos replicado y comentado en este blog), recientemente se produjo el ataque a las redes sociales mediante la utilización de botnets, dejando fuera de línea a servicios como Twitter, Facebook, LiveJournal, y la plataforma de blogs de Blogger, sorprendió a todos, por la coordinación y simultaneidad. Convengamos que para llevar a cabo semejante "hazaña" hay que tener cierta estructura. El detalle que trascendió en aquel momento, fue que se coordinó una acción para callar la opinión de un blogger de Georgia, en todos los sitios donde tuviera una cuenta.

Un mes antes de estos sucesos en que se comprometió la seguridad de las redes sociales, se conoce la noticia que atacan sitios oficiales en U.S.A y Corea del Sur. La noticia la publicó The Washington Post.

En junio vuelven las noticias alrededor del cibercomando militar en EE.UU., que se habían iniciado en abril. En mayo se conoce que habían penetrado los sistemas de control del tráfico aéreo de FAA (EEUU).

En enero de 2009, iniciando el año, la Ciberguerra se desarrolla en Gaza, un nuevo espacio de batalla en el medio oriente, pero en el ciberespacio, el primero de este año 2009.

En agosto del 2008 días después que se conoce del ataque a empresas en Estados Unidos, sucede la cyberwar en Georgia en el marco del del conflicto armado entre Georgia y Rusia por el control de territorios de Osetia del Sur.

Un mes antes, en julio se produce un ciberataque a Lituania, una dependencia del Estado lituano sufrió un ataque cibernético que provendría desde servidores localizados en Rumania.

En mayo Europa le declara la guerra a los botnets desde la denominada European Network and Information Security Agency(ENISA), un ejemplo de sistemas mancomunados de defensa, encarando las nuevas formas de agresión.

Ese mismo mes de 2008, los jefes del Estado Mayor de España, Alemania, Italia, Eslovaquia, Estonia, Letonia y Lituania, EEUU (como observador), y el Mando de la OTAN para Transformación suscribieron los documentos para la puesta en marcha del llamado Centro de Excelencia en Ciberdefensa y su cooperación conjunta con la Alianza Atlántica. También se produce un encontronazo de guerra electrónica entre China y la India.

En marzo se informa que EEUU llevó a cabo un simulacro de ataque cibernético durante 5 días, en un conjunto de ejercicios de seguridad, bautizado 'Cyber Storm II', el más importante jamás realizado, tuvo por objetivo desviar los ataques cuya amenaza es "real y creciente".

En septiembre de 2007, revelan un ciberataque de China a Gran Bretaña. Durante el cruce de acusaciones consecuentes, se señala que se nota una "mentalidad propia de la Guerra Fría".

En junio de ese año se produce un ataque a gran escala contra webs europeas que afecta a miles de usuarios. Websense alertó que se ha usado MPACK web exploit toolkit como infraestructura para esta ofensiva. Una herramienta PHP alojada en un servidor que genera exploits e infecta a quien lo visite eligiendo el fallo adecuado según el software que use la víctima. Las páginas afectadas se convierten en "cómplices" sin saberlo ni quererlo.

En mayo de 2007 se conoce el más claro y fuerte suceso de guerra cibernética, el ciberataque a Estonia, al parecer se inicia en abril con el ataque a la embajada de Estonia en Moscú, luego sistemáticamente los websites de bancos y otras entidades son atacadas. La dureza del ataque es de tal magnitud que Estonia solicita la ayuda de la OTAN para salvar sus sistemas. Recordemos que Estonia ya se administraba totalmente vía el e-government (gobierno electrónico), claro objetivo de los atacantes, que fueron señalados como rusos. Con este hecho de da comienzo a una escalada de sucesos entre los principales países que definen el "balance" mundial, escalada que al parecer continúa hoy.

domingo, 11 de octubre de 2009

Las contraseñas de Hotmail y Gmail se obtuvieron con una botnet

La reciente sustracción de contraseñas a más de 30.000 correos de Hotmail, Gmail, Yahoo, AOL y otras, sorprendió a muchos, en especial a la gente de Microsoft, que empezaron a buscar una explicación a este ataque a gran escala: phishing.

Pero según se publica en ComputerWorld - Security, Mary Landesman, un investigador senior de seguridad de la empresa ScanSafe, con base en San Francisco, piensa que se trata de algo mucho peor. Asegura que las contraseñas subidas a Pastebin, está relacionado con una red de bots que tendría el control sobre varios terminales infectados con troyanos. Se estima que haya más contraseñas comprometidas.

En relación a las botnets, Enrique Dans ha publicado un interesante post en su blog, con noticias acerca del tema:

Las botnets buscan negocios más rentables.- "Dos noticias con un mismo tema, “The evolution of clickfraud: massive chinese Operation DormRing1 uncovered“ y “Botnet caught red handed stealing from Google“ permiten hacerse una idea de la evolución de las actividades fraudulentas en la web. Inicialmente dedicadas al envío de mensajes de spam, las botnets parecen estar especializándose en negocios más rentables, fundamentalmente alquiler para ataques DDoS y para click fraud". El Blog de Enrique Dans.

Vale el tiempo de lectura, y es muy recomendable hacerlo para avanzar en el conocimiento del este ya problemático tema.

miércoles, 30 de septiembre de 2009

Ejecutan con éxito un millón de kernels Linux

Científicos en computación de los laboratorios Sandia en Livermore, California, ejecutan con éxito un millón de kernels Linux como máquinas virtuales.

El logro permitirá a los investigadores de seguridad cibernética observar con más eficacia el comportamiento de los botnets maliciosos, o redes de máquinas infectadas que pueden operar en la escala de un millón de nodos. Botnets, dijo Ron Sandia Minnich, a menudo son difíciles de analizar, ya que se encuentran geográficamente distribuidos por todo el mundo.

La ejecución de un alto volumen de máquinas virtuales en un superordenador - a una escala similar a una botnet - permite a los investigadores observar cómo trabajan las ciber botnets y estudiar la forma de detenerlas en sus pistas. "Podemos conseguir el control en un nivel que no había antes", dijo Minnich.

En la foto del Sandia National Laboratories computer, Ron Minnich (primer plano) y Don Rudish (fondo) han logrado ejecutar más de un millón de kernels Linux como máquinas virtuales, un logro que permitirá a los investigadores de seguridad cibernética observar con más eficacia el comportamiento de los botnets maliciosos. (Foto de Randy Wong).

Via: Tecnología.org. Visto en Sandia National Laboratories - News Room.

viernes, 11 de septiembre de 2009

Envíos anónimos

Desde hace ya un tiempo que venimos señalando el tema del spam, los spammers, los bot, las botnets, etc., etc.. Hoy leí una muy buena nota que también aborda el tema, y señala la técnica del spoofing, por la cual se puede fraguar el IP, tal como lo leen.

Les recomiendo leer la nota "¿Quién me mandó ese mail anónimo?", de Ariel Torres para La Nación. Seguramente después de leerla, y de releerla, le quedará una sensación rara y se preguntará ¿estoy realmente al tanto que hace mi máquina en segundo plano?.

Pasando a otra cosa, pero sin cambiar de anden, ayer se conoció, vía varias publicaciones, la novedad de un proyecto de ley iniciativa del senador Guillermo Jenefes que "establece un sistema para identificar a los usuarios de la red, y responsabiliza con multas en dinero a los proveedores de servicios web y los buscadores, como por ejemplo Google y Yahoo" iProfesional.com.

Según informa la nota de iProfesional.com:
El proyecto de ley procura asegurar “la identidad y responsabilidad de los sujetos que emiten opiniones por Internet a fin de que el damnificado pueda defender de los daños causados por la difusión de opiniones que afectan sus derechos personales”.

La propuesta habilita a que todo habitante de la República Argentina puede “exigir a las empresas de proveedores de servicio de Internet (ISP), que se impida o bloquee, en modo absoluto, cualquier tipo de acceso a los contenidos en los que se incluya su nombre o denominación, si ello agraviare a dicha persona”.
Desde ya que ha generado opiniones de todo tipo, las que más he leído están en contra. Se puede leer el texto original del proyecto, bajando el archivo PDF desde el website del Senado. Es el Expediente Nº 209/09, del proyecto de ley presentado en la Comisión de Sistemas, Medios de Comunicación y Libertad de Expresión, del Senado de la Nación, por los legisladores Jenefes, Guillermo Raúl, Reutemann, Carlos Alberto y Latorre, Roxana Itatí.

jueves, 3 de septiembre de 2009

Enlaces maliciosos

Por estos días se difundió la noticia que los enlaces maliciosos aumentan un 500% en lo que va del año. Según se ha informado desde principios de este año se aprecia una sofisticación en las vulnerabilidades para ganar la confianza del usuario a través de links. También se indica que el phishing comienza a descender.

Lo que no se está mencionando mucho es el problema de los bots (diminutivo de robot), esos programas informáticos que realizan diversas funciones, entre ellas las de conformar botnets que se ejecutan de manera autónoma corriendo en un servidor infectado con la capacidad de infectar a otros servidores.

Las botnets pueden transformar un equipo poco seguro en un equipo zombi, que fácilmente pueden ser usadas por una tercera persona para ejecutar actividades hostiles, sin el control ni el conocimiento del propietario de es equipo. Recordemos un suceso reciente, una botnet volteó el sistema Twitter. De hecho, se conocen informes que apuntan a señalar que crackers utilizan Twitter para controlar redes de bots (en las notas los llaman hackers).

Los entendidos en seguridad, a la vista de estos sucesos e informes están advirtiendo que "el uso de las redes sociales puede ser el próximo objetivo" (ALT1040). Estas advertencias se pueden asociar a las medidas anunciadas a principio del mes de Agosto próximo pasado, por parte del United States Marine Corps, cuando prohibió a su personal el uso de Twitter, facebook, MySpace y otros por “problemas de seguridad”.

Esto no se limita al ámbito militar, según una encuesta realizada por la compañía de seguridad informática Sophos, "el 63% de las empresas se muestran preocupadas por la posibilidad de que sus trabajadores revelen demasiada información en las redes sociales de internet y que esto las ponga en peligro".

Pero volviendo al tema específicamente informático, el malware está presente en Internet, esto es un hecho. Y es por ello que las herramientas de seguridad no sólo están apuntadas a los virus y el spyware, están atentas a estos bots y rootkits, y especialmente a brindar protección en tiempo real contra amenazas en línea como páginas web objeto de piratería o infectadas.

Bueno es asegurarse que sus sistema de seguridad posea un scanner de links que lo proteja antes de visitar una página web infectada, que analice páginas, no sitios, de tal manera que no le bloquee el sitio entero por una página infectada o considerada peligrosa. Que también brinde la posibilidad de señalar el nivel de seguridad que tenga un link, en el listado resultante al realizar una búsqueda desde un buscador.


Podría seguir sugiriendo unas cuantas características más, pero no pretendo hacerle propaganda a ningún sistema, la idea es que de alguna manera contribuya a una toma de conciencia en materia de seguridad, para evitarse problemas.

viernes, 7 de agosto de 2009

Más sobre el ataque a Twitter

A medida que se "avanza" en el conocimiento sobre el ataque, se ha develado que se trató de un ataque a gran escala que afectó a múltiples servicios de internet de manera simultánea.

Se afirma la idea que el objetivo perseguido era acallar la voz de un blogger de Georgia en todos los sitios donde tuviera una cuenta.

Lo sorprendente y peligroso es el método utilizado, para realizar el ataque se usó una botnet.

Se trata de una red de computadores de cualquier parte del mundo con aplicaciones que los atacantes manejan remotamente y en forma coordinada. Estas aplicaciones se instalan sin que el usuario se de cuenta, aprovechando alguna falla de seguridad. Esto quiere decir que si tu computador está infectado con uno de estos agentes, puede ser utilizado por otras personas para realizar estos ataques coordinados. Incluso se sabe que los controladores de estas botnets las arriendan por unos 5 a 10 centavos de dolar por bot.

Post relacionados:

lunes, 27 de abril de 2009

Reactivación del gusano Conficker

Preocupación por la reactivación del gusano Conficker
Publicado por iProfesional.com

Sus creadores, que no fueron identificados, empezaron a utilizar las máquinas con fines delictivos en las últimas semanas, según reportes de Symantec.

El mediático virus Conficker, cuya activación levantó una enorme expectativa el 1 de abril, puede crear problemas, alertan compañías de seguridad informática.

Conocido también por los nombres Downadup o Kido, este virus se dedica a convertir miles de computadoras personales en emisores de correo basura, además de instalar software espía.

El gusano comenzó a difundirse a finales del año pasado e infectó millones de computadoras, potenciales "esclavos" que pueden responder a órdenes remotas (botnet).

Sus creadores, que no han sido identificados, empezaron a utilizar las máquinas con fines delictivos en las últimas semanas, al cargar más software malicioso en un pequeño porcentaje de las computadoras bajo su control, informó Vicente Weafer, vicepresidente de Symantec Security Response, el brazo de investigación del fabricante de 'software' de seguridad.

"Se espera que esto sea a largo plazo, que vaya cambiando poco a poco", estimó el experto, citado por la agencia Reuters, sobre el gusano. "No va a ser rápido y agresivo".

Conficker instala un segundo virus, conocido como Waledac, que envía spam sin el conocimiento del propietario de la PC, junto con un falso programa anti-spyware, informó Weafer.

Waledac recluta a la PC en una segunda botnet, existente durante varios años y especializada a su vez en la distribución de spam.

"Esta es probablemente una de las 'botnets' más sofisticadas del planeta. Los chicos que lo diseñaron son muy profesionales. Definitivamente, saben lo que están haciendo", señaló Paul Ferguson, un investigador de la compañía de seguridad Trend Micro.

Ferguson comentó que los autores de Conficker probablemente hayan estado instalando un motor de spam y otros programas maliciosos en decenas de miles de computadoras desde el 7 de abril. Además, el virus dejará de distribuir software en PC infectados el próximo 3 de mayo, aunque los ataques probablemente seguirán.

"Estamos esperando ver un componente diferente o un nuevo giro en la forma en que esta 'botnet' hace su trabajo", informó Ferguson, miembro de 'The Conficker Working Group', una alianza internacional de compañías que luchan contra el gusano.

Los investigadores temían la red controlada por el gusano Conficker fuera desplegada el 1 de abril, dado que estaba programado para aumentar los intentos de comunicación a partir de esa fecha.

La botnet creada por Conficker es una de las muchas redes controladas por organizaciones que están localizadas en el este de Europa, Sudeste de Asia, China y Latinoamérica. iProfesional.com.

viernes, 31 de octubre de 2008

Ordenadores zombies

Una nueva oleada de ordenadores zombies intensifican los ataques en Internet.- "El número de botnets crece a un ritmo espectacular convirtiendo a millones de ordenadores en zombies, y todos los expertos coinciden en señalar que se trata de una amenaza global y que la lucha contra ella debe asimismo coordinarse a nivel planetario. Aunque las medidas por parte de gobiernos, instituciones y compañías privadas se han multiplicado, las diferentes legislaciones y distintas concepciones del delito informático de los diversos países dificultan la solución al mayor problema al que se enfrenta Internet, y proporciona actualmente una considerable ventaja a las redes de ciberdelincuencia. Por César Gutiérrez para Tendencias 21.

jueves, 29 de mayo de 2008

Wombat

El wombat es un animal de aspecto bastante peculiar, oriundo de tierras australianas. Conocido por su tranquilidad, utiliza también técnicas defensivas bastante especiales contra los enemigos que le atacan en su madriguera. Jugando con las palabras, un grupo de empresas y universidades europeas - entre las que está Hispasec - han utilizado el nombre de este bicho para dar una idea amplia del proyecto: Worldwide Observatory of Malicious Behaviors and Attack Threats, que básicamente puede traducirse como Observatorio Mundial de Comportamientos Maliciosos y Amenazas de Ataque. Hispasec - una-al-día

Muy interesante...Seguir leyendo...

Siguiendo la línea de la seguridad informática, otra noticia interesante es:

Europa le declara la guerra a los botnets.- Entre otras medidas, la denominada European Network and Information Security Agency(ENISA) pretende que la transparencia y las reglas de confidencialidad se relajen a la hora de comunicar agujeros de seguridad, algo que en el momento actual hace que los informes de errores no aparezcan tan rápido como deberían y que supone en sí mismo un obstáculo para la lucha contra esos ataques. The Inquirer es.

Me parece que vamos a seguir leyendo en los titulares de los medios como se van gestando y/o reorganizando sistemas mancomunados de defensa, encarando las nuevas formas de agresión que hemos comentado en este espacio, acerca de la cyberwar.

martes, 29 de abril de 2008

Blogs de Blogger asaltados

Al parecer en estos días las noticias sobre inseguridad informática están ocupando más headlines en algunos medios. Esta ves le toca a los blogs de Blogger, según una nota de VS ANTIVIRUS, publicada por LaFlecha.net, los spammers están utilizando sus redes de máquinas zombis (botnets), para crear falsos blogs en Blogger.

La nota indica que los spammers han logrado obtener un gran número de direcciones URL con el dominio blogspot.com que redireccionan a sus sitios. Estas URL son enviadas en muchos correos electrónicos y no hay manera práctica de que un filtro de spam pueda decidir si esa URL enlaza a un verdadero blog.

Así es que blogueros, hay que estar atentos. Más información: LaFlecha.net