II Campaña contra el fraude online y por la seguridad en la red

El Instituto Nacional de Tecnologías de la Comunicación (INTECO), la Asociación de Internautas, Panda Software , Telefónica y ONO lanzan la “II CAMPAÑA CONTRA EL FRAUDE ONLINE Y POR LA SEGURIDAD EN LA RED” (http://www.seguridadenlared.org). La misma se desarrollará desde el 15 de marzo hasta el lunes 9 de mayo de 2007.

Esta Campaña nace como respuesta a las amenazas que existen en Internet, cada día más frecuentes y silenciosas. De hecho, según la 9ª Encuesta a Usuarios de Internet “Navegantes en la Red”, realizada por la Asociación para la Investigación de Medios de Comunicación (AIMC), la infección por virus o programas espía siguen siendo uno de los principales problemas con los que se encuentran los internautas a la hora de utilizar Internet.

En el sitio web de la Campaña (http://www.seguridadenlared.org/), los internautas tendrán a su disposición consejos y recomendaciones sobre seguridad. Asimismo podrán descargar herramientas de seguridad indispensables para una navegación segura.

Leer el resto de esta entrada »

Ataque en los Servidores DynDNS

Leo en NoticiasTech el siguiente articulo, que considero muy interesante a los que como yo, solemos utilizar este servicio de redirección IP.

Un ataque de negación de servicios está afectando el popular servicio de redirección de DNS, DyDNS. Según un anuncio de la empresa, el ataque comenzó el 9 de Marzo a las 17:00 UTC y todavía continúa. A partir del 10 de Marzo, el servidor principal de DNS está fuera de la línea de ataque, pero es posible que los clientes no puedan obtener la redirección necesaria para continuar el servicio. La empresa recomienda que lo sigan intententando hasta que sea disponible.

12 cosas que siempre quisiste saber sobre MSN, pero temías preguntar

Fuente: Gabolonte Blasfemus.

Para algunos es el principal motivo para usar una computadora, para otros una herramienta de comunicación más, y para otros una mediocre e insegura aplicación propietaria que sólo puede agradar a la masa imberbe. MSN Messenger o Windows Live Messenger como Microsoft lo denomina actualmente, junto con Internet Explorer, se convirtió para mucha gente en un sinónimo de Internet. Hoy, en un extraordinario servicio a la comunidad (por Dios…! qué bueno soy! debería levantarme un monumento…) voy a revelar algunos misterios sobre el mensajero más popular que muchos desconocen, otros sospechan, y algunos saben. Así saben a qué atenerse.

Leer el resto de esta entrada »

Estafas vía Spam Datos Útiles sobre Estafas vía Spam

Algunos usuarios de correo electrónico han perdido dinero mediante los ofrecimientos falsos que llegan a su bandeja de entrada en forma de spam (correo electrónico basura). Los estafadores oportunistas son muy astutos; saben muy bien cómo hacer que los textos de sus ofrecimientos parezcan legítimos. Algunos mensajes de tipo spam buscan hacer negocio con usted, mientras que otros usan una táctica de ventas detallada y lo invitan a visitar un sitio Web. Sea como sea, estas recomendaciones pueden ayudarlo a evitar las estafas perpetradas mediante el envío de mensajes electrónicos spam:

·         Proteja su información personal. Solamente comparta los datos de su tarjeta de crédito u otra información personal cuando le compre a una compañía conocida y confiable.

·         Sepa con quién está tratando. No haga negocios con ninguna compañía que se niegue a darle su nombre, domicilio y número de teléfono.

·         Tómese su tiempo. Resista la ansiedad de “actuar inmediatamente” sin considerar la oferta y los términos. Una vez que entregue el dinero, puede que no lo recupere jamás.

·         Lea la letra chica. Obtenga todas las promesas por escrito y revíselas cuidadosamente antes de pagar o firmar un contrato. Nunca pague por un regalo “gratis”. Pase por alto cualquier ofrecimiento mediante el cual se le solicite un pago a cambio de un regalo o premio. Si algo es gratis o un regalo, usted no tendría que pagar para recibirlo. Gratis significa gratis.

”..
Leer el resto de esta entrada »

Una historia de seguridad informática

Entre los que nos interesa el tema de la seguridad informática hay un dicho bastante común, y es que el punto más débil de la cadena siempre es el usuario final. Por muchas capas y capas de protección que pongas, si el usuario decide abrir ese correo tan chachi titulado “Te quiero”, estás condenado.

Ayer me comentaron un caso flagrante, pero en el que yo mismo podría haber caído fácilmente. Os pongo en situación.

Una multinacional importante en España contrató los servicios de una empresa especializada en seguridad informática para detectar posibles fallos en el sistema. La tarea de estas empresas básicamente consiste en intentar romper de una y mil formas todos los sitemas de seguridad de las máquinas de una empresa para así obtener datos sensibles.

Pero como hemos dicho, el eslabón más débil suele ser el usuario, los propios trabajadores de la empresa. Así que esta empresa tuvo una idea brillante. Compró varias llaves de memoria USB, las infectó con algún programa espía, y las fue dejando poco a poco distribuidas en lugares accesibles por los empleados de la empresa. ¿Os imagináis lo siguiente que pasó verdad?

Obviamente, algunos de los veían una de estas llaves se las apropiaban disimuladamente, y lo siguiente era correr al ordenador de la oficina a ver que había dentro. En pocas horas los datos de los empleados comenzaron a fluir hacía la empresa de seguridad informática.

Así que ya sabéis. Mucho cuidado con todo lo que metéis/bajáis/descargáis en vuestro ordenador, sobretodo si os viene de sitios sospechosos. Más cuidado aún con ordenadores compartidos que no controléis.

Al hilo de todo esto, recordad que nunca, ninguna entidad seria, nos pedirá nuestro usuario/contraseña a través de correo electrónico.

Crean programa que hackea cuentas de MSN Live, Morx lo hace de nuevo

MorX ó Xploiters Marroquís, es el primer grupo de investigación marroquí no lucrativo encargado de estudiar a fondo la seguridad informática, más bien es la forma elegante de explicar que son un grupo de hackers escritores de código que vulneran aplicaciones, conformado por un grupo de investigadores marroquis experimentados en el campo de la programación y seguridad, todos los miembros con por lo menos cuentan con seis años de experiencia en el campo. La principal meta es trabajar y publicar libremente notas de seguridad, exploits y herramientas para que novatos puedan hacer uso de ellas.

Entre sus más notables desarrolladores e integrantes de entusiastas de la seguridad estan: Anas Anasoft, Securma Massine, Simo Ben youssef aka _6mO_HaCk, Simo64.

Este ultimo programador denominado Simo, se encargo de escribir un exploit que vulnerá a los usuarios del MSN Live obteniendo sus cuentas de acceso mediante un ataque de denegación de servicios remoto. Cabe mencionar que aunque el exploit fue escrito el 13 de Enero ya se estan notando algunos ataques con ese exploit. El sitio de zone-h.org fue alterado gracias a que algunas claves de administradores fueran robadas utilizando este exploit.

Anteriormente MorX había generado un ejemplo para conseguir cuentas de hotmail usando PHP, tactica que era denominada Hotmail/MSN Cross Site Scripting Exploit.

Passport, servicio que almacena la seguridad de contraseñas

El servicio de Passport MSN cuenta con un grave fallo, dicho bug atonta algunos servidores que utilizan y permite remplazar las contraseñas de algunos usuarios que esten registrados en Passport MSN. ¿Una contraseña nueva cada 5 minutos?La contraseña es remplazada por un usuario remoto cualquiera atacando sobre la victima y asignandole un nuevo password, cabe señalar que el password anterior no es obtenido unicamente se remplaza en menos de 5 minutos.

Estuve documentandome para ver si habia un fallo en años anteriores de esta indole y al parecer dos personas en la lista de insecure de Fydor, publicaron algo parecido aunque sin ejemplos tecnicos.

Cabe señalar que no se necesita realizar un xploit o algun codigo alterno, tambien no es necesario mandar mails a passport. ¿Alguien esta interesado o sabe algo al respecto antes de publicar algo tecnico relacionado con esto?

Un saludo.