Una filtración del FBI revela el coste y el modo de actuar en un ataque informático a gran escala

¿Cuánto le puede costar a una compañía como Google o Visa un ataque informático? ¿Cómo actúan las compañías ante tales ataques? Ahora que todos los medios comentan y parecen saber sobre los ataques informáticos, llegando a exponer de manera exhaustiva de qué se trata un ataque DDoS gracias a la relevancia de WikiLeaks, el New York Times (PDF) ha conseguido unas notas de control interno del FBI detallando el coste de un ataque y su “curiosa” resolución. Las notas adquieren hoy un valor más relevante. Por un lado veremos cómo actúa una compañía como Google ante un ataque así, por otro, nos podemos imaginar que los acontecimientos de estas semanas, con los ataques a Mastercard, Visa o PayPal deberán estar dando más de un quebradero de cabeza a las compañías.Las notas conseguidas se remontan al año 2005. No sé si os acordaréis del nombre de Santy. Se trataba de un gusano, un software malicioso que infectó miles de ordenadores introduciéndose automáticamente en las consultas de las búsquedas. Durante varios meses Google se vio abrumada, presentando el 22 de diciembre del 2005 una reclamación al FBI en el que explicaban el bajo rendimiento del motor de búsqueda por los continuos ataques.Tal y como explica Google en el informe, durante 18 meses vieron como su sistema se plagaba de gusanos que utilizaban las consultas para encontrar sitios web vulnerables, aprovechando un agujero de seguridad que se encontraba. Lo curioso del caso es que Google intentó tapar estas acciones a la voz pública debido a las presiones de varios grupos de antivirus. Evidentemente, al final no ha sido así.En una de las notas que expone el diario, una agente del FBI escribió en medio de la investigación abierta:

La cultura de la seguridad en la empresa

El martes 30 de Noviembre se celebró el Día Internacional de la Seguridad Informática, hecho que Cisco aprovechó para publicar algunos datos interesantes sobre amenazas y riesgos para la seguridad de la información de las empresas. El spam, el malware, los ataques de ingeniería social o las nuevas amenzas a través de las redes sociales, son las amenazas a las que se enfrentan los responsables de seguridad de las empresas, que, según Cisco, suponen unas 130 amenazas potenciales al mes por cada trabajador. Y ante esta cifra, ¿cómo reaccionan las empresas?
Los responsables de IT de las empresas implementan medidas y controles de seguridad (gestión de permisos, perímetros de seguridad, controles de acceso, zonas seguras, firewalls, antivirus, etc), sin embargo, este tipo de medidas por sí solas, necesitan complementarse con factores algo más humanos. Lo normal es que cada empresa mantenga una política de seguridad, ya sea mediante procedimientos internos o, directamente, alineados con un sistema de gestión, como puede ser la norma ISO 27001, pero ni las medidas tecnológicas ni los procedimientos lo son todo, nos sigue faltando algo: la concienciación del personal y el establecimiento de una cultura alrededor de la seguridad.
Recientemente, el fabricante de software de seguridad Clearswift ha publicado un estudio, realizado entre unos 2.000 empleados de diversas empresas, con un dato que me ha parecido muy interesante; un 74% de los participantes afirmó que conocía y comprendía las políticas de seguridad de la información establecidas en sus empresas, sin embargo, de este grupo, más de dos tercios afirmaban, además, que no habían recibido nunca ningún tipo de formación o charla sobre la seguridad de la información o la política de la seguridad.
Precisamente es la falta de concienciación de los empleados de una organización uno de los mayores riesgos para las empresas; riesgo que, por cierto, se suele olvidar. La falta de una cultura de la seguridad dentro de las organizaciones es un problema, por desgracia, demasiado común.
¿Cómo concienciar a una organización? ¿cómo implantar esa cultura de la seguridad en la empresa? ¿mediante una formación regular? ¿un curso muy completo tan sólo una vez?. Tras implantar un sistema de gestión de la seguridad, la norma ISO 27001, por ejemplo, indica que se deben impartir sesiones formativas al personal para concienciarlos y familiarizarlos con el sistema y sus procedimientos, un aspecto que todas las empresas cumplen; sin embargo, tras esto, rara es la organización que realiza jornadas de reciclaje o las repite para el personal de nueva incorporación.
La mayoría de incidentes de seguridad que suceden en las empresas podrían haberse evitado, simplemente, prestando un poco de atención a lo que se estaba realizando, por tanto, un personal bien instruido y concienciado puede ser tan eficaz como un antivirus, o al menos, un buen complemento de éste.
En definitiva, no sólo las medidas físicas de seguridad van a garantizar la integridad de los activos de la compañía, por tanto, las empresas además de invertir en soluciones de seguridad deben invertir en el capital humano de la compañía, implantando planes de concienciación en torno a la seguridad de la información y asumiéndolos como parte de la cultura de la organización.

Vía: PC World y Cibersur Imagen: Tecnicias


Visto en: http://www.bitelia.com/

Escribir mal Twitter lleva a falsa encuesta y a estafa

Se trata de otro caso de Typosquatting esta vez que afecta a quienes intentan visitar Twitter... y cometen un error al tipear la dirección web.Este tipo de ataques consiste en que los delincuentes registran un dominio de nombre muy parecido al original para realizar algun tipo de engaño a quienes comentan un error al tipear el nombre del sitio. En este caso al tipear equivocadamente el nombre del sitio de Twitter poniendo 'twiter' en lugar de 'twitter', uno es enviado a otro sitio que propone una encuesta a cambio de un 'regalo' en efectivo por participar. Todo esto es falso, una estafa.Esta es una captura del sitio falso:

En caso de acceder a la encuesta y realizarla uno será redirigido al sitio donde se concreta la estafa donde uno pagará unos modestos 31,95 dólares para (supuestamente) recibir el regalo de u$s 2.741,88.

Desde Segu-Info han denunciado a Phishtank, Google SafeBrowsing y WOT los sitios involucrados en este engaño. Si bien algunos están denunciados desde hace más de un año atras, otros de los sitios no estaban reportados.Del mismo modo y abusando del mismo engaño se da el caso al escribir con error el sitio de Facebook. Gracias a estos nuevos reportes, ahora el acceso en general es bloqueado en lo navegadores FireFox, Chrome y bloqueadores que usan servicios relacionados a los descriptos.Recomendamos tener cuidado al tipear los nombres de sus sitios favoritos y dudar de cualquier situación inusual que pueda presentarse. En este caso recordar el sabio y muy vigente refrán "Cuando la limosna es grande ... hasta el santo desconfía"

Fuente: http://blog.segu-info.com.ar

Manifiesto por una Red Neutral

(Si te sientes cómodo y representado por este texto, dale toda la difusión que puedas y quieras: reprodúcelo, enlázalo, tradúcelo, compártelo, vótalo… todas esas cosas que puedes hacer con total tranquilidad y libertad gracias, precisamente, al hecho de que tenemos todavía una red neutral. Hagamos posible el seguir teniéndola)
Los ciudadanos y las empresas usuarias de Internet adheridas a este texto manifestamos:
1. Que Internet es una Red Neutral por diseño, desde su creación hasta su actual implementación, en la que la información fluye de manera libre, sin discriminación alguna en función de origen, destino, protocolo o contenido.
2. Que las empresas, emprendedores y usuarios de Internet han podido crear servicios y productos en esa Red Neutral sin necesidad de autorizaciones ni acuerdos previos, dando lugar a una barrera de entrada prácticamente inexistente que ha permitido la explosión creativa, de innovación y de servicios que define el estado de la red actual.
3. Que todos los usuarios, emprendedores y empresas de Internet han podido definir y ofrecer sus servicios en condiciones de igualdad llevando el concepto de la libre competencia hasta extremos nunca antes conocidos.
4. Que Internet es el vehículo de libre expresión, libre información y desarrollo social más importante con el que cuentan ciudadanos y empresas. Su naturaleza no debe ser puesta en riesgo bajo ningún concepto.
5. Que para posibilitar esa Red Neutral las operadoras deben transportar paquetes de datos de manera neutral sin erigirse en “aduaneros” del tráfico y sin favorecer o perjudicar a unos contenidos por encima de otros.
6. Que la gestión del tráfico en situaciones puntuales y excepcionales de saturación de las redes debe acometerse de forma transparente, de acuerdo a criterios homogéneos de interés público y no discriminatorios ni comerciales.
7. Que dicha restricción excepcional del tráfico por parte de las operadoras no puede convertirse en una alternativa sostenida a la inversión en redes.
8. Que dicha Red Neutral se ve amenazada por operadoras interesadas en llegar a acuerdos comerciales por los que se privilegie o degrade el contenido según su relación comercial con la operadora.
9. Que algunos operadores del mercado quieren “redefinir” la Red Neutral para manejarla de acuerdo con sus intereses, y esa pretensión debe ser evitada; la definición de las reglas fundamentales del funcionamiento de Internet debe basarse en el interés de quienes la usan, no de quienes la proveen.
10. Que la respuesta ante esta amenaza para la red no puede ser la inacción: no hacer nada equivale a permitir que intereses privados puedan de facto llevar a cabo prácticas que afectan a las libertades fundamentales de los ciudadanos y la capacidad de las empresas para competir en igualdad de condiciones.
11. Que es preciso y urgente instar al Gobierno a proteger de manera clara e inequívoca la Red Neutral, con el fin de proteger el valor de Internet de cara al desarrollo de una economía más productiva, moderna, eficiente y libre de injerencias e intromisiones indebidas. Para ello es preciso que cualquier moción que se apruebe vincule de manera indisoluble la definición de Red Neutral en el contenido de la futura ley que se promueve, y no condicione su aplicación a cuestiones que poco tienen que ver con ésta.
La Red Neutral es un concepto claro y definido en el ámbito académico, donde no suscita debate: los ciudadanos y las empresas tienen derecho a que el tráfico de datos recibido o generado no sea manipulado, tergiversado, impedido, desviado, priorizado o retrasado en función del tipo de contenido, del protocolo o aplicación utilizado, del origen o destino de la comunicación ni de cualquier otra consideración ajena a la de su propia voluntad. Ese tráfico se tratará como una comunicación privada y exclusivamente bajo mandato judicial podrá ser espiado, trazado, archivado o analizado en su contenido, como correspondencia privada que es en realidad.
Europa, y España en particular, se encuentran en medio de una crisis económica tan importante que obligará al cambio radical de su modelo productivo, y a un mejor aprovechamiento de la creatividad de sus ciudadanos. La Red Neutral es crucial a la hora de preservar un ecosistema que favorezca la competencia e innovación para la creación de los innumerables productos y servicios que quedan por inventar y descubrir. La capacidad de trabajar en red, de manera colaborativa, y en mercados conectados, afectará a todos los sectores y todas las empresas de nuestro país, lo que convierte a Internet en un factor clave actual y futuro en nuestro desarrollo económico y social, determinando en gran medida el nivel de competitividad del país. De ahí nuestra profunda preocupación por la preservación de la Red Neutral. Por eso instamos con urgencia al Gobierno español a ser proactivo en el contexto europeo y a legislar de manera clara e inequívoca en ese sentido.
Te recomiendo visitar: http://redneutral.org/

Fuente: http://elblogdecalles.blogspot.com/

El FBI acusa a un ruso de haber utilizado Mega-D para inundar al mundo con spam

El FBI ha identificado a un ciudadano ruso de 23 años como el cibercriminal que manejaba la famosa red zombi Mega-D, que llegó a ser la causante de un tercio del total de mensajes spam que rondaban en Internet.
El FBI acusó a Oleg Nikolaenko de violar las leyes estadounidenses contra el fraude y el spam. Sin embargo, es posible que el país norteamericano no llegue a juzgarlo porque Rusia tiene reglas muy estrictas que prohíben la extradición de sus ciudadanos. Pero, por supuesto, esto no impide que Rusia lo procese con sus propias leyes.
A finales del año pasado la policía australiana detuvo a Lance Atkinson, un neozelandés que reclutaba a spammers para difundir sus productos de forma masiva.
Atkinson empleaba los servicios de Mega-D, así que cuando las autoridades lo arrestaron decidió suavizar su sentencia ayudando a atrapar al miembro de Mega-D con el que hacía negocios. La policía utilizó los registros de las transacciones financieras entre Atkinson y el spammer y las copias de sus mensajes instantáneos para rastrear a Nikolaenko.
El FBI consiguió una orden judicial que le permitía revisar los registros de Google e ePassport. Esto permitió a las autoridades relacionar a Nikolaenko con las cuentas que se utilizaron para negociar con Atkinson.
La red Mega-D llegó a controlar más de 500.000 ordenadores infectados y a enviar más de 10.000 mensajes spam al día. La mayoría de los correos basura que enviaba Mega-D ofrecía medicinas naturales, mercancía falsificada, medicamentos de dudosa procedencia y curas para los problemas sexuales.
La empresa de seguridad FireEye logró derrotar a Mega-D el año pasado y desactivar los servidores de comando y control y los dominios que utilizaba para controlar a sus víctimas, aunque la red pudo recuperarse del ataque.

Fuente: http://www.virulist.com/

Día internacional de la Seguridad Informática

El día internacional de la seguridad informática, el 30 de noviembre, tiene un especial valor en los tiempos actuales en cuanto a la información del usuario se refiere. Con Internet nos encontramos en un momento en el que la información privada de los usuarios cada vez tiende a ser más pública, un momento en el que los niveles de información alcanzan límites históricos y en el que la sociedad en general se ha dado cuenta del poder de Internet y la información que circula.

La seguridad de la información, tan en peligro en la era informática, en todo caso no es una cuestión ni mucho menos reciente. Las alusiones en la Historia a la protección de la información son muy numerosos. Como casos más conocidos están la 'máquina enigma' de la II Guerra mundial o la defensa de archivos estatales en cualquier país. Pero, ¿cuándo aparece la preocupación por la seguridad de la información en la informática o en Internet?

La respuesta puede ser que desde el principio ha sido un tema que los creadores han tenido en cuenta, pero no es hasta 1980 cuando se fundamentan sus bases. En este año, James P. Anderson escribe un documento titulado 'Computer Security Threat Monitoring and Surveillance'. Lo más interesante de este documento es que James Anderson da una definición de los principales agentes de las amenazas informáticas.

Entre sus definiciones se encuentran términos base de la seguridad informática como Ataque o Vulnerabilidad. En la definición de Vulnerabilidad hace referencia a "una falla conocida o su sospecha, tanto en hardware como en el diseño de software, o la operación de un sistema que se expone a la penetración de su información con exposición accidental". En cuanto al Ataque, lo define como "una formulación especifica o ejecución de un plan para levar a cabo una amenaza".

El documento relaciona estos términos en un contexto informático y de transmisión de datos. Estas definiciones serán algunos de los pilares para lo que hoy conocemos como seguridad informática. A partir de aquí el desarrollo de medidas de defensa de la información en la informática se ha desarrollado casi al mismo tiempo que la creación de amenazas. Los términos virus y antivirus ya forman parte de nuestro lenguaje común, se han convertido en algo cotidiano de nuestra sociedad.

Como hecho curioso en la historia de la seguridad de la información informática, uno de los primeros ataques en este sentido se le atribuye al ex-presidente Ronald Reagan. Supuestamente el antiguo presidente de EEUU habría vendido a la URSS una serie de equipos que contenían un software para controlar distintos aspectos. Se trataría de uno de los primeros ataques, que hoy queda en la historia como una anécdota de la seguridad informática.

Fuente:http://www.portaltic.es

Ares, el sucesor del troyano ZeuS, va a causar estragos en los próximos días

Los expertos en seguridad alertan de la llegada de un nuevo troyano que promete dar mucha guerra en los próximos días. Se trata de Ares, que se presenta como un malware muy peligroso debido a su gran versatilidad.

Y es que el propio creador de este troyano ha confirmado que Ares no estará centrado sólo en atacar a la banca, sino que cada una de sus copias “puede ser única y puede configurarse en función del comprador”, lo cual multiplica las dificultades para su detección.
También ha advertido que “tiene las mismas capacidades como troyano bancario que Zeus”, una de las amenazas más peligrosas, que a principios de noviembre consiguió pasar de los ordenadores a los móviles.

Pero los ciberdelincuentes no sólo van a poder utilizar este troyano para infectar equipos, sino que hay todo un kit de desarrollo circulando por el mercado negro del cibercrimen.

Este kit se vende de manera gratuita a “desarrolladores de confianza”, pero puede llegar a costar hasta 6.000 dólares a los ciberdelincuentes extraños. Si los cibercriminales no disponen de tanto presupuesto también pueden adquirir un “paquete de inicio”, con funciones reducidas, por 850 dólares.

Desde G-Data alertan de que Ares está a punto de iniciar su “distribución masiva”.


Fuente:http://www.theinquirer.es