domingo, 25 de diciembre de 2011
Realizan la primera transmisión óptica de 1 Terabit del mundo
13:05 | 
Publicado por
Tony Orozco |
El operador internacional TeliaSonera e Infinera anuncian el éxito de la primera transmisión óptica de 1 Terabit del mundo a través de supercanales de 500 Gigabits por segundo (Gb/s).
La demostración abarcó 1.105 kilómetros de fibra entre Los Ángeles and San José (California), marcando un hito en las redes ópticas y ofreciendo una visión de lo que será la red. La prueba se llevó a cabo con la nueva plataforma DTN-X de Infinera y demostró tener el doble de capacidad que en pruebas anteriores al añadir una capacidad de 1 Terabit a una ruta que transporta una capacidad de producción de 300 Gb/s.
“Nuestra visión es ofrecer a los clientes servicios de vanguardia que escalen su negocio de manera eficiente. Como los servicios de 10 Gb/s proliferan y los puertos de router de 100 Gb/s emergen, estamos probando soluciones avanzadas que escalen las redes ópticas por encima de los 100 Gb/s," dijo Erik Hallberg, presidente del operador internacional TeliaSonera. “Esta demostración de 1 Terabit con Infinera destaca nuestro compromiso para ofrecer una mejor experiencia para los clientes más exigentes."
“Estamos encantados de trabajar con el operador internacional TeliaSonera para validar la implementación de los supercanales de 500 Gb/s que son la base de esta demostración de 1 Terabit," dijo Tom Fallon, CEO de Infinera. “Compartimos una visión común de ofrecer la escalabilidad, simplicidad y agilidad necesaria para ganar un entorno altamente competitivo."
Infinera es una empresa pionera en el campo de los supercanales, y la primera en hacer una demostración de supercanales basados en circuitos fotónicos integrados (PICs) de 500 Gb/s. Un supercanal es una unidad grande de capacidad óptica creada al combinar múltiples transportes ópticos en una única entidad gestionada, de manera que las redes ópticas puedan escalar la capacidad sin escalar los costes operacionales y la complejidad. Los supercanales basados en PICs permiten a los operadores simplificar la provisión de capacidad de 500 Gb/s con una única maniobra operacional. La plataforma DTN de Infinera, la plataforma ATN y los Servicios Gestionados de Infinera son elementos del portfolio de Infinera, así como la recientemente anunciada plataforma de red de transporte óptico DTN-X que soporta supercanales de 500 Gb/s.
El operador internacional TeliaSonera es parte del 5º grupo de telecomunicaciones más grande del mundo, TeliaSonera, con 164 millones de usuarios que generan beneficios por encima de los 11.000 millones de dólares. La compañía sigue expandiendo la huella Norteamericana en su red global, causada por una fuerte demanda tanto de operadores como jugadores en el mercado de contenido para IP, DWDM, voz y servicios de móvil especialistas.
La demostración abarcó 1.105 kilómetros de fibra entre Los Ángeles and San José (California), marcando un hito en las redes ópticas y ofreciendo una visión de lo que será la red. La prueba se llevó a cabo con la nueva plataforma DTN-X de Infinera y demostró tener el doble de capacidad que en pruebas anteriores al añadir una capacidad de 1 Terabit a una ruta que transporta una capacidad de producción de 300 Gb/s.
“Nuestra visión es ofrecer a los clientes servicios de vanguardia que escalen su negocio de manera eficiente. Como los servicios de 10 Gb/s proliferan y los puertos de router de 100 Gb/s emergen, estamos probando soluciones avanzadas que escalen las redes ópticas por encima de los 100 Gb/s," dijo Erik Hallberg, presidente del operador internacional TeliaSonera. “Esta demostración de 1 Terabit con Infinera destaca nuestro compromiso para ofrecer una mejor experiencia para los clientes más exigentes."
“Estamos encantados de trabajar con el operador internacional TeliaSonera para validar la implementación de los supercanales de 500 Gb/s que son la base de esta demostración de 1 Terabit," dijo Tom Fallon, CEO de Infinera. “Compartimos una visión común de ofrecer la escalabilidad, simplicidad y agilidad necesaria para ganar un entorno altamente competitivo."
Infinera es una empresa pionera en el campo de los supercanales, y la primera en hacer una demostración de supercanales basados en circuitos fotónicos integrados (PICs) de 500 Gb/s. Un supercanal es una unidad grande de capacidad óptica creada al combinar múltiples transportes ópticos en una única entidad gestionada, de manera que las redes ópticas puedan escalar la capacidad sin escalar los costes operacionales y la complejidad. Los supercanales basados en PICs permiten a los operadores simplificar la provisión de capacidad de 500 Gb/s con una única maniobra operacional. La plataforma DTN de Infinera, la plataforma ATN y los Servicios Gestionados de Infinera son elementos del portfolio de Infinera, así como la recientemente anunciada plataforma de red de transporte óptico DTN-X que soporta supercanales de 500 Gb/s.
El operador internacional TeliaSonera es parte del 5º grupo de telecomunicaciones más grande del mundo, TeliaSonera, con 164 millones de usuarios que generan beneficios por encima de los 11.000 millones de dólares. La compañía sigue expandiendo la huella Norteamericana en su red global, causada por una fuerte demanda tanto de operadores como jugadores en el mercado de contenido para IP, DWDM, voz y servicios de móvil especialistas.
Microsoft aniquilará a Internet Explorer 6 mediante actualización automática
Las versiones antiguas del navegador de Microsoft, Internet Explorer, serán sustituidas automáticamente por la versión más reciente disponible para el sistema operativo instalado en el PC.
Microsoft publicó el 15 de diciembre un post en su blog de Internet Explorer, donde informa que, a partir de enero, Internet Explorer será actualizado automáticamente para los usuarios de Windows en Australia y Brasil que hayan activado la función de actualización automática de Windows Update.
En la práctica, el anuncio implica que Internet Explorer 8 sustituirá automáticamente a IE7 e IE6 en Windows XP que tengan instalado el Service Pack 3, mientras que los usuarios de Windows Vista SP2 y Windows 7 recibirán Internet Explorer 9. Windows XP no tiene soporte para IE9.
Después de Australia y Brasil, el sistema será aplicado de manera gradual a usuarios de Internet Explorer en todo el mundo.
Aparte de señalar que las versiones más recientes de IE proporcionan una mejor experiencia al usuario, Microsoft explica que el nuevo sistema es altamente relevante por razones de seguridad. En efecto, las versiones más recientes de IE incorporan funcionalidad de seguridad de la que carecen las versiones precedentes.
La razón de que Microsoft no limite el sistema a las versiones realmente antiguas de IE, sino que también en algún momento afectará a IE9, para el lanzamiento de IE10 es que, a su juicio, los usuarios sienten molestia frente a todas las notificaciones de actualizaciones. Por lo tanto, Microsoft prefiere que a partir de enero las actualizaciones sean automáticas.
Al respecto, Ryan Gavin, de Microsoft, cita un comentario del presidente de Mozilla Foundation, Mitchelle Baker, quién se refiere a la "fatiga de las actualizaciones".
La medida adoptada por Microsoft corresponde a un deseo manifestado durante varios años por desarrolladores web. En tal sentido, cabe destacar Internet Explorer 6, que 10 años después de su lanzamiento causa tal molestia y trabajo extraordinario para los desarrolladores, que muchos sencillamente han optado por desentenderse de incluir soporte para tal versión.
En mayo de 2010, Microsoft comparó a IE6 con una caja de leche descompuesta, mientras que el director de la plataforma IE declaró que su misión era destruir a Internet Explorer 6.
Posteriormente, en marzo de 2011, lanzó una campaña denominada Internet Explorer Countdown, cuyo objetivo era eliminar definitivamente el navegador.
Las empresas que utilicen soluciones centralizadas de administración de software, como WSUS (Windows Server Update Services), y que prefieran conservar IE6, no deberán impedir activamente la actualización. Microsoft ofrece además herramientas que bloquean la actualización automática. Más información en el blog de Microsoft.
Ilustración: Imagen difundida por Microsoft durante su campaña anti-IE6 en 2010: "Usted no bebería leche vencida hace 9 años"
Microsoft publicó el 15 de diciembre un post en su blog de Internet Explorer, donde informa que, a partir de enero, Internet Explorer será actualizado automáticamente para los usuarios de Windows en Australia y Brasil que hayan activado la función de actualización automática de Windows Update.
En la práctica, el anuncio implica que Internet Explorer 8 sustituirá automáticamente a IE7 e IE6 en Windows XP que tengan instalado el Service Pack 3, mientras que los usuarios de Windows Vista SP2 y Windows 7 recibirán Internet Explorer 9. Windows XP no tiene soporte para IE9.
Después de Australia y Brasil, el sistema será aplicado de manera gradual a usuarios de Internet Explorer en todo el mundo.
Aparte de señalar que las versiones más recientes de IE proporcionan una mejor experiencia al usuario, Microsoft explica que el nuevo sistema es altamente relevante por razones de seguridad. En efecto, las versiones más recientes de IE incorporan funcionalidad de seguridad de la que carecen las versiones precedentes.
La razón de que Microsoft no limite el sistema a las versiones realmente antiguas de IE, sino que también en algún momento afectará a IE9, para el lanzamiento de IE10 es que, a su juicio, los usuarios sienten molestia frente a todas las notificaciones de actualizaciones. Por lo tanto, Microsoft prefiere que a partir de enero las actualizaciones sean automáticas.
Al respecto, Ryan Gavin, de Microsoft, cita un comentario del presidente de Mozilla Foundation, Mitchelle Baker, quién se refiere a la "fatiga de las actualizaciones".
La medida adoptada por Microsoft corresponde a un deseo manifestado durante varios años por desarrolladores web. En tal sentido, cabe destacar Internet Explorer 6, que 10 años después de su lanzamiento causa tal molestia y trabajo extraordinario para los desarrolladores, que muchos sencillamente han optado por desentenderse de incluir soporte para tal versión.
En mayo de 2010, Microsoft comparó a IE6 con una caja de leche descompuesta, mientras que el director de la plataforma IE declaró que su misión era destruir a Internet Explorer 6.
Posteriormente, en marzo de 2011, lanzó una campaña denominada Internet Explorer Countdown, cuyo objetivo era eliminar definitivamente el navegador.
Las empresas que utilicen soluciones centralizadas de administración de software, como WSUS (Windows Server Update Services), y que prefieran conservar IE6, no deberán impedir activamente la actualización. Microsoft ofrece además herramientas que bloquean la actualización automática. Más información en el blog de Microsoft.
Ilustración: Imagen difundida por Microsoft durante su campaña anti-IE6 en 2010: "Usted no bebería leche vencida hace 9 años"
Feliz Navidad a Todos
Buenas tardes a todos.
Esta entrada es para desearles a todos mis seguidores una Feliz Navidad, que la paz, amor y magia de esta epoca los ilumine no solo en estas fechas sino por siempre.
Asi mismo tambien les informo que despues de un receso de poco mas de 6 meses debido a mis obligaciones laborales y estudiantiles vuelvo a la actividad, muchas gracias por su comprension y espera.
jueves, 23 de junio de 2011
Hackean la web de la CIA
El grupo LulzSec se atribuyó el ataque que dejó fuera de línea al sitio de la famosa Central de Inteligencia.
El grupo de Hackers LulzSec o Lulz Security, ya había cobrado renombre por haber atacado las páginas web de Sony, Nintendo, la del canal FOX e incluso en dos ocasiones a la del Senado de los Estados Unidos. Pero ahora, estos piratas informáticos, han dado un gran golpe de efecto al atacar con eficacia nada menos que a la Agencia Central de Inteligencia (CIA), el organismo de inteligencia más importante del mundo.
Anoche, la página de la entidad quedó fuera de línea por algunas horas mediante un ataque de Denegación de Servicio (DDoS). La web sólo era accesible por momentos hasta que fue restablecida en el término de unas horas. Al parecer las dimensiones de la intrusión se limitaron a eso y ningún dato sensible fue extraído de la web. Todo hace pensar que se trata de un acto más que nada de alarde o promoción.
El grupo LulzSec, cuyo gracioso logo es el arquetipo de un hombre rico con monóculo y un vaso de vino, no tardó mucho en colocar en su cuenta de Twitter un aviso sobre su acción. “Tango Down – cia.gov – for the lulz “ decía la cuenta de Twitter íntitulada “el bote lulz”. En un breve repaso de esa cuenta se puede observar como el colectivo hacker hace mofa de sus actividades y por lo general hace uso del sarcasmo y del humor. Por lo menos su lema actual lo deja entrever “Riéndose de su seguridad desde 2011″.
Por su parte, desde la CIA no se habrán reído mucho con el ataque sufrido, y es probable que no se lo tomen muy a la broma. Sus autoridades todavía no han hecho declaraciones públicas al respecto.
Algunos analistas locales calificaron al ataque de “serio”, sólo porque la CIA se ocupa de asuntos sensibles para la seguridad nacional, otros llegaron a afirmar que “los chicos de Lulz han cometido el error más grande de sus vidas”, dando a entender que nadie se mofa de la CIA y queda impune.
Lo que todavía no está del todo claro es que motivo al ataque, algunos creen que se trato de un acto en solidaridad con el fundador de Wikileaks, Julian Assange, otros que simplemente se están divirtiendo.
jueves, 21 de abril de 2011
Buscar al astronauta Yuri Gagarin en Google arroja resultados maliciosos
Investigadores de seguridad advierten que buscar fotografías del pionero espacial ruso Yuri Gagarin en las imágenes de Google puede conducir a páginas de estafa o con cargas maliciosas.
Al parecer, los criminales cibernéticos han participado en la denominada campaña Black Hat SEO desde el 12 de abril, cuando el mundo celebró la noche de Yuri para conmemorar la exploración del espacio.
La mencionada celebración se realizó para conmemorar que el 12 de abril de 1961, Gagarin se convirtió en el primer humano en realizar un viaje al espacio exterior a bordo de la nave espacial Vostok 1.
El interés en el evento de conmemoración fue retomado por Google, reemplazando su logo con un doodle diseñado especialmente para la ocasión.
Mucha gente buscó información y fotografías de Yuri Gagarin y como es usual, los cibercriminales nunca pierden la oportunidad de sacar provecho de un tema que atrae mucho interés público. Cristopher Boyd, investigador de amenazas senior de la división de software de seguridad de GFI, señala que siguen en curso los intentos por envenenar los resultados de imágenes de Google al buscar a Yuri Gagarin. “El número uno de los resultados de búsqueda de imágenes en Google para Yuri está utilizando el señuelo de una imagen bastante agradable alojada en Imagebucket para redirigirlos del sitio thetouristquide(punto)com a varios sitios maliciosos de antivirus.
Los programas de antivirus falsos, también conocidos como scareware o rogueware, son aplicaciones maliciosas que asustan a los usuarios para pagar una licencia falsa de antivirusa fin de solucionar supuestas infecciones en el equipo.
La estafa comienza en páginas maliciosas, como la mencionada por Boyd, que son diseñadas para tener la apariencia de Windows Explorer e imitar las estafas de antivirus.
El antivirus falso distribuido en este caso es llamado AntiSpy 2011 y es actualmente detectado por 18 de 40 motores de antivirus en Virus Total.
Se ha advertido a la gente de ignorar páginas que ofrecen descargas de archivos sin haberlas solicitado. Sin embargo, si un archivo llega a ser descargado, es muy recomendable analizarlo con servicios como Virus Total, con la finalidad de saber si se trata de un software malicioso o no.
domingo, 10 de abril de 2011
Hackear Facebook por un SMS
La curiosidad de muchos usuarios por conseguir la contraseña de alguna persona, es algo que los atacantes suelen aprovechar a su favor, ya que así suelen llamar la atención de las víctimas. A causa de esto, en muchos casos las personas terminan convirtiéndose en victimas de servicios fraudulentos o sufren el robo de información sensible.
Hoy nuevamente queremos compartir con ustedes un nuevo caso de scam, que fue reportado por un usuario a nuestro Laboratorio, y que se encuentra activo en la red.
Para comenzar, la página ofrece el supuesto servicio de “Hackear Facebook”. Este servicio indica que es posible conseguir cualquier contraseña de la persona que uno desee, de la red social Facebook. Dicha página también contiene detalles (para ser más creíble), tales como el icono favicon de Facebook en la barra de dirección, como así también aparece un reloj haciendo una cuenta regresiva, el cual una vez que este finaliza el servicio prestado supuestamente dejará de estar disponible.
Sin embargo, este supuesto servicio de robo de contraseñas no es gratis: para poder obtener la contraseña se tiene que hacer un pago vía SMS.El proceso consiste en enviar dos mensajes de textos con los datos que nos proporciona la página, el cual depende del país donde se encuentra residiendo la víctima.
Este falso servicio se encuentra alojado en un servidor de hosting de Alemania, al cual ya se envió la información correspondiente solicitando la baja de este sitio fraudulento, que se encuentra estafando a diferentes victimas de distintos países, como se pudo observar en la primera captura.
Una vez más, vemos que las victimas más curiosas y distraídas son las que caen en estos tipos de fraudes online, como así también es importante destacar que todos estos tipos de servicios son todos falsos, que buscan tentar a las víctimas para obtener un beneficio económico. Por ello es recomendable para el usuario contar con buenas prácticas para navegar en Internet para evitar estos tipos de fraudes.
Ataques a RSA y certificados fraudulentos de Comodo
En las últimas dos semanas hemos estado siguiendo con atención dos incidencias en materia de seguridad informática que afectaban a dos de las compañías más ilustres en este campo.
Primero fue RSA quien anunció que habían sido víctimas de un ataque dirigido contra ellos y que los atacantes habían conseguido extraer información confidencial que afecta a uno de los productos más destacados de la compañía como son los SecurID. Este tipo de dispositivos generan un número de seis cifras que expira al poco tiempo y que, combinado con un PIN personal de cada usuario, proporciona una autenticación segura. Según parece, la información robada permitiría averiguar cómo generan estos dispositivos estos números de seis cifras, por lo que la mitad de este esquema de seguridad se habría visto comprometida.
Este hecho puede considerarse de una gravedad relativamente alta debido a que, entre los clientes más destacados de la compañía RSA se encuentran multitud de grandes empresas y gobiernos, incluido el de los Estados Unidos. Aun es pronto para evaluar las posibles consecuencias que el robo de esta información pudiera tener, en parte debido a que el PIN secreto de cada usuario debería ser eso mismo, secreto, y no ser revelado bajo ningún concepto. No obstante tampoco debemos descartar ataques dirigidos a usuarios específicos muy bien elaborados y que proporcionasen esa mitad faltante de la clave de autenticación.
Pero RSA no se encuentra sola en este tipo de incidencias puesto que, pocos días después, se descubría como un atacante desde una IP iraní había conseguido emitir una serie de certificados fraudulentos sin el consentimiento de la empresa certificadora, en este caso, Comodo. Este atacante luego procedió a emitir certificados fraudulentos de páginas reconocidas y con un elevado número de visitas como puedan ser www.google.com o login.live.com.
Al descubrirse estos certificados, varios navegadores como Google Chrome y Firefox empezaron a revocarlos y, poco después, los siguió Microsoft. De esta forma se evitaba que pudiesen ser usados de forma fraudulenta, suplantando páginas legítimas, y que los usuarios confiasen en su contenido. Al ver que el certificado emitido era reconocido como válido, el usuario no tendría ningún motivo para sospechar del peligro, pudiendo el atacante observar toda la información que el usuario envía a esa web, aun estando esta cifrada.
Estos dos incidentes en compañías de seguridad de reputada fama y experiencia contrastada nos sirven para demostrar que nadie está a salvo de los ciberdelincuentes. Con respecto al impacto que puedan tener estas incidencias sobre el usuario común, es difícil que la mayoría de nosotros usemos el tipo de dispositivo comprometido de la RSA, por lo que su alcance se limita a las grandes empresas y gobiernos que los usan y los secretos que estos guardan. Seguiremos informando en el caso de que se produzcan novedades en estos asuntos.
martes, 29 de marzo de 2011
Atacan el sitio web de MySQL a través de una inyección SQL
El sitio web de MySQL ha sido objeto de un ataque a través de una vulnerabilidad de inyección ciega de código SQL. Se trata de un fallo en el código de la aplicación web y no de la base de datos.
MySQL es una popular base de datos de código abierto. MySQL es propiedad de Oracle tras la compra de SUN, su antigua propietaria.
El ataque se atribuye a TinKode y Ne0h del grupo Rumano Slacker.Ro. Los datos extraídos han sido publicados en el sitio pastebin.com; algo que viene siendo habitual en este tipo de "hazañas".
Además del sitio principal los atacantes replicaron el ataque en las versiones localizadas de MySQL.com. En concreto las versiones francesa, alemana, italiana y japonesa.
Los datos expuestos se corresponden con las credenciales de los usuarios del servidor MySQL y el volcado de la base de datos principal del sitio. Entre las credenciales pueden observarse nombres de usuario, contraseñas hasheadas, correos y direcciones.
Algunos de los hashes han sido además publicados en texto claro ya que eran tan sencillos que posiblemente a los atacantes les llevo escaso tiempo encontrar su correspondencia utilizando fuerza bruta con tablas Rainbow. Sorprende (o no) observar contraseñas tan débiles como un simple número de 4 cifras para la cuenta de administrador.
Se da la circunstancia que el sitio de MySQL contenía ya una vulnerabilidad de cross-site scripting activa. Dicha vulnerabilidad se hizo pública a través de twitter el pasado mes de enero y aún sigue sin
ser solucionada.
Más información:
MySQL.com Hacked by TinKode & Ne0hMySQL.com Hacked by TinKode & Ne0h - Pastebin.com
MySQL.com Vulnerable To Blind SQL Injection VulnerabilityFull Disclosure: MySQL.com Vulnerable To Blind SQL Injection Vulnerability
Actualización de samba para Debian Linux
Debian ha publicado una actualización de samba que soluciona una vulnerabilidad que podría permitir a un atacante causar una denegación de servicio.
Samba es una implementación del protocolo SMB/CIFS para sistemas Unix para poder compartir archivos e impresoras con sistemas Microsoft Windows o aquellos que también tengan instalado Samba.
La vulnerabilidad se debe a una falta de comprobación en los límites del valor asignado a los descriptores de archivo usados por la macro FD_SET. Esta falta de comprobación provoca una corrupción de la pila cuando son usados valores fuera de rango.
El fallo ha sido descubierto por Volker Lendecke de SerNet y tiene asignado el CVE-2011-0719. Se recomienda actualizar los paquetes samba.
Más información:
DSA 2175-1 samba security update[SECURITY] [DSA 2175-1] samba security update
Samba es una implementación del protocolo SMB/CIFS para sistemas Unix para poder compartir archivos e impresoras con sistemas Microsoft Windows o aquellos que también tengan instalado Samba.
La vulnerabilidad se debe a una falta de comprobación en los límites del valor asignado a los descriptores de archivo usados por la macro FD_SET. Esta falta de comprobación provoca una corrupción de la pila cuando son usados valores fuera de rango.
El fallo ha sido descubierto por Volker Lendecke de SerNet y tiene asignado el CVE-2011-0719. Se recomienda actualizar los paquetes samba.
Más información:
DSA 2175-1 samba security update[SECURITY] [DSA 2175-1] samba security update
domingo, 23 de enero de 2011
Estafas a jugadores de FarmVille al recibir "extraños animales de regalo"
Una cadena de estafas relacionada con FarmVile ha venido apareciendo en Facebook en los últimos días, en las cuales se persuade a los usuarios de llenar formularios que son usados para ofrecerles animales extrañoso bonos de Farm Cash.
Facecrooks advierte que un simple clic en la liga contenida en estos mensajes, y los usuarios son dirigidos a la página donde se les pide que instalen una "barra de juego libre para Farmville", además publica información de la aplicación en el muro de los usuarios, lo que hace que la estafa se propague más rápido.
Una vez que terminan el formulario, los usuarios deben completar una encuesta con el fin de ser acreedores al animal extraño. A los estafadores se les paga por cada encuesta completada, la cual es llenada por los usuarios, además se corre el riesgo de que la información proporcionada por los usuarios pueda ser usada para futuras estafas.
Algunas veces los usuarios también son incitados a inscribirse a un servicio de tarificación adicional, otras veces para descargar y terminar un juego con el objetivo de obtener un premio final.
Lo peor de esto, es que en algunas ocasiones el juego descargado por los usuarios no es por completo un juego, es un malware disfrazado para engañar a los usuarios y ser instalado en el sistema.
En cualquier caso, si usted es tentado por estas ofertas, lo mejor es verificar su legitimidad mediante la comprobación oficial de Farmville y los sitios Zynga.
Gusano de Twitter golpea goo.gl y redirige a antivirus falso
Un gusano de Twitter de rápida propagación que utiliza el servicio de redirección de Google, goo.gl, anda en circulación y lleva a usuarios desprevenidos a una notoria campaña malware scareware (antivirus falso).
De acuerdo con los "cazadores" de malware a cargo de buscar la amenaza, la cadena de redirección del gusano lleva a los usuarios a una página web que aloja el Rogue AV "Security Shield". La página utiliza técnicas de ofuscamiento que incluye una implementación de criptografía RSA en JavaScript para ocultar el código.
El investigador de malware, Nicolas Brulez, de laboratorios Kaspersky, comentó que los enlaces originales de "goo.gl"en los mensajes de Twitter, redirigen a los usuarios a diferentes dominios con la página "m28sx.html". Esa página posteriormente redirige a un dominio estático con una dirección ucraniana de alto nivel.
Por si esto no fuera suficiente, el dominio redirige al usuario a otra dirección IP, la cual ha sido relacionada anteriormente con la distribución de antivirus falsos. "Esta dirección IP hará el trabajo final de redirección, el cual lleva al sitio actual del AV falso", explicó Brulez.
Una vez que la sesión de navegador del usuario es redirigida al sitio malicioso, un mensaje de advertencia alerta de que la máquina está ejecutando aplicaciones sospechosas y el usuario es encaminado a realizar un escaneo. Como siempre, el resultado es que la máquina está contaminada con amenazas maliciosas y la estafa resulta al engañar al usuario para descargar una falsa herramienta de desinfección.
Vulnerabilidad en el motor de proceso de gráficos en Windows
Vulnerabilidad en el motor de proceso de gráficos en Windows.
Sistemas Afectados:
Windows XP SP3 y x64 SP2
Windows Server 2003 y x64 SP2, y 2003 para Itanium
Windows Vista y x64
Windows Server 2008, x64 e Itanium
Nota: Las vulnerabilidades descritas en este aviso no afectan a las ediciones compatibles de Windows Server 2008 que han sido instaladas con la opción Server Core. Microsoft está investigando una vulnerabilidad en el motor de proceso de gráficos en Windows (Windows Graphics Rendering Engine).
Microsoft propone una solución temporal hasta que se publique alguna actualización de seguridad o un fix-it que solucione el problema. Esta solución consistiría en modificar el ACL sobre shimgvw.dll para hacerla más restrictiva.
Esta vulnerabilidad fue revelada en Diciembre del 2010 por Moti y Xu Hao en la conferencia “Power of Community” en la que explicaron como crear un fichero de imagen para explotar esta vulnerabilidad. El thumbnail es almacenado en un archivo de mapa de bits. Estableciendo el número de los índices de la tabla de colores a un número negativo (biClrUsed) es posible explotar esta vulnerabilidad, la cual además permite eludir DEP y SafeSEH.
Esta vulnerabilidad por tanto puede ser explotada desde diferentes vectores de ataque por ejemplo visitando una página web especialmente manipulada o abriendo un fichero adjunto de un correo electrónico. La explotación de esta vulnerabilidad podría permitir a un atacante ejecutar código arbitrario en el contexto de seguridad del usuario conectado.
Aviso tecnico de Technet en el siguiente link:
http://blogs.technet.com/b/msrc/archive/2011/01/04/microsoft-releases-security-advisory-2490606.aspx
Aviso tecnico de Microsoft en el siguiente link:
https://www.microsoft.com/technet/security/advisory/2490606.mspx
Actualizaciones de Microsoft para múltiples Vulnerabilidades
Existen múltiples vulnerabilidades en Microsoft Data Access Components y Windows Backup Manager. Microsoft ha liberado actualizaciones para solucionar estas vulnerabilidades.
Sistemas Afectados
*Microsoft Data Access Components
*Windows Backup Manager
Descripción
*El boletín de Seguridad de Microsoft para Enero de 2011 describe vulnerabilidades en Microsoft Data Access Components y Windows Backup Manager. Microsoft ha liberado actualizaciones para solucionar estas vulnerabilidades.
Impacto:
Un usuario remoto no autenticado podría ejecutar código arbitrario, causar una denegación de servicio u obtener acceso a archivos del sistema.
Solución:
Aplicar las actualizaciones. Microsoft ha liberado actualizaciones para estas vulnerabilidades en el Compendio de Boletines de Seguridad Microsoft de Enero de 2011. Los boletines describen los problemas conocidos relacionados con las actualizaciones.
Se recomienda a los administradores tomar en cuenta estos problemas y realizar pruebas sobre cualquier efecto adverso. Así mismo deben considerar usar un sistema de distribución automática de actualizaciones como Windows Server Update Services (WSUS).
Referencias
Microsoft Security Bulletin Summary for January 2011
Microsoft Windows Server Update Services
Según el New York Times, Stuxnet fue creado y financiado por los gobierno de Estados Unidos de América e Israel
New York Times ha venido a confirmar lo que ya se rumoreaba desde hace tiempo: Stuxnet, un gusano que sorprendió a propios y extraños por su extrema complejidad y profesionalidad, ha sido financiado por el
gobierno de Estados Unidos de América e Israel, y su objetivo eran las centrales nucleares de Irán.
Desde mediados de 2010, Stuxnet ha marcado un antes y un después en la mitología del malware, acaparando titulares. Técnicamente, es muy avanzado: el uso combinado e inteligente de vulnerabilidades
desconocidas hasta el momento para difundirse, el uso de certificados válidos, y unos objetivos muy concretos (el software para controlar ciertos aspectos de las centrales nucleares) hacían pensar que detrás de este código debía existir un despliegue fuera de lo común. Se necesita mucho conocimiento, poder, investigación y tiempo (o sea, mucho dinero en resumen) para desarrollar Stuxnet y esta tarea ya se le reservaba a los gobiernos. Por ejemplo, en octubre ya escribíamos en una-al-día que Stuxnet fue "diseñado y financiado supuestamente por algún gobierno para atacar el plan nuclear Iraní" y Eugene Kaspersky consideraba en esas mismas fechas que Stuxnet "era el prototipo funcional de una ciber-arma, que dará el pistoletazo de salida a una ciber-guerra en el mundo"
Lo que sugiere el New York Times es que Estados Unidos e Israel desarrollaron el gusano para paralizar el plan nuclear iraní. Durante dos años se utilizó una central nuclear de Dimona (al sur de Israel) como laboratorio para examinar y ensayar Stuxnet con el objetivo de sabotear las centrifugadoras nucleares en Irán. En Dimona, los israelitas utilizaron el mismo tipo de centrifugadoras que operan en la central iraní de Natanz, donde se produce el enriquecimiento de uranio. Así consiguieron que fuese tan efectivo: el gusano paralizó la quinta parte de las centrifugadoras de uranio de Natanz. Stuxnet primero modificaba sus parámetros de regulación para destruirlas y luego enviaba señales al sensor para aparentar que todo estaba correcto.
En principio, la información del New York Times viene de "expertos militares y de inteligencia norteamericanos", pero muy probablemente nunca será confirmado oficialmente (aunque todo apunta a que sea cierto).
Por ejemplo, en la noticia se habla de que llevaban dos años trabajando en el gusano. Según nuestra base de datos de Virustotal, la primera referencia a Stuxnet viene el 1 de julio de 2009. Sí, 2009 (Stuxnet saltó a los medios en julio de 2010). Pero no es el troyano como tal. Lo que encontramos entonces son las primeras referencias a malware que aprovecha una vulnerabilidad por entonces llamada simplemente por algunos antivirus "Autorun". Solo era detectado por 6 motores. Lo que no sabían, es que esta sería la vulnerabilidad que más tarde (un año más tarde) se calificaría como CVE-2010-2568, y que permitía a Stuxnet la ejecución de código a través de enlaces LNK. En pocas palabras: esta vulnerabilidad (que obligó a Microsoft a publicar un parche de emergencia por su gravedad) era conocida desde hacía más de un año y,
aunque algunos motores la detectaban entonces, no descubrieron que era "nueva". La metieron en el saco de malware genérico que se ejecutaba a través del Autorun. Tuvo que entrar en escena Stuxnet para que se
analizase, saliera a la luz y fuera corregida.
Las primeras muestras en aprovechar este fallo vienen desde Vietnam, China y una casa antivirus en el Reino unido en julio de 2009. Se siguen recibiendo muestras, pocas, durante todo 2009 y 2010, y no es hasta
julio de 2010 que es ampliamente reconocida como lo que realmente es. Una muestra real de Stuxnet en nuestra base de datos la encontramos por primera vez el 16 de mayo de 2010. Se trata de un driver (archivo .sys que contiene la funcionalidad de rootkit de Stuxnet) que no era detectado entonces por ningún motor. Sigue pasando relativamente desapercibido hasta el 7 de julio, cuando un antivirus lo bautiza como
Stuxnet. A partir de ahí, recibimos muchas muestras, pero no es hasta finales de julio que es detectado por la mayoría.
El primer ejecutable Stuxnet del que tenemos noticia, se remonta también al 16 de mayo de 2010 y sigue una trayectoria muy similar al driver en nivel de detección.
Más información:
Israel y EEUU crearon el virus que dañó el programa nuclear iraní
Israel y EEUU crearon el virus que daño el programa nuclear irani | Mundo | elmundo.es
gobierno de Estados Unidos de América e Israel, y su objetivo eran las centrales nucleares de Irán.
Desde mediados de 2010, Stuxnet ha marcado un antes y un después en la mitología del malware, acaparando titulares. Técnicamente, es muy avanzado: el uso combinado e inteligente de vulnerabilidades
desconocidas hasta el momento para difundirse, el uso de certificados válidos, y unos objetivos muy concretos (el software para controlar ciertos aspectos de las centrales nucleares) hacían pensar que detrás de este código debía existir un despliegue fuera de lo común. Se necesita mucho conocimiento, poder, investigación y tiempo (o sea, mucho dinero en resumen) para desarrollar Stuxnet y esta tarea ya se le reservaba a los gobiernos. Por ejemplo, en octubre ya escribíamos en una-al-día que Stuxnet fue "diseñado y financiado supuestamente por algún gobierno para atacar el plan nuclear Iraní" y Eugene Kaspersky consideraba en esas mismas fechas que Stuxnet "era el prototipo funcional de una ciber-arma, que dará el pistoletazo de salida a una ciber-guerra en el mundo"
Lo que sugiere el New York Times es que Estados Unidos e Israel desarrollaron el gusano para paralizar el plan nuclear iraní. Durante dos años se utilizó una central nuclear de Dimona (al sur de Israel) como laboratorio para examinar y ensayar Stuxnet con el objetivo de sabotear las centrifugadoras nucleares en Irán. En Dimona, los israelitas utilizaron el mismo tipo de centrifugadoras que operan en la central iraní de Natanz, donde se produce el enriquecimiento de uranio. Así consiguieron que fuese tan efectivo: el gusano paralizó la quinta parte de las centrifugadoras de uranio de Natanz. Stuxnet primero modificaba sus parámetros de regulación para destruirlas y luego enviaba señales al sensor para aparentar que todo estaba correcto.
En principio, la información del New York Times viene de "expertos militares y de inteligencia norteamericanos", pero muy probablemente nunca será confirmado oficialmente (aunque todo apunta a que sea cierto).
Por ejemplo, en la noticia se habla de que llevaban dos años trabajando en el gusano. Según nuestra base de datos de Virustotal, la primera referencia a Stuxnet viene el 1 de julio de 2009. Sí, 2009 (Stuxnet saltó a los medios en julio de 2010). Pero no es el troyano como tal. Lo que encontramos entonces son las primeras referencias a malware que aprovecha una vulnerabilidad por entonces llamada simplemente por algunos antivirus "Autorun". Solo era detectado por 6 motores. Lo que no sabían, es que esta sería la vulnerabilidad que más tarde (un año más tarde) se calificaría como CVE-2010-2568, y que permitía a Stuxnet la ejecución de código a través de enlaces LNK. En pocas palabras: esta vulnerabilidad (que obligó a Microsoft a publicar un parche de emergencia por su gravedad) era conocida desde hacía más de un año y,
aunque algunos motores la detectaban entonces, no descubrieron que era "nueva". La metieron en el saco de malware genérico que se ejecutaba a través del Autorun. Tuvo que entrar en escena Stuxnet para que se
analizase, saliera a la luz y fuera corregida.
Las primeras muestras en aprovechar este fallo vienen desde Vietnam, China y una casa antivirus en el Reino unido en julio de 2009. Se siguen recibiendo muestras, pocas, durante todo 2009 y 2010, y no es hasta
julio de 2010 que es ampliamente reconocida como lo que realmente es. Una muestra real de Stuxnet en nuestra base de datos la encontramos por primera vez el 16 de mayo de 2010. Se trata de un driver (archivo .sys que contiene la funcionalidad de rootkit de Stuxnet) que no era detectado entonces por ningún motor. Sigue pasando relativamente desapercibido hasta el 7 de julio, cuando un antivirus lo bautiza como
Stuxnet. A partir de ahí, recibimos muchas muestras, pero no es hasta finales de julio que es detectado por la mayoría.
El primer ejecutable Stuxnet del que tenemos noticia, se remonta también al 16 de mayo de 2010 y sigue una trayectoria muy similar al driver en nivel de detección.
Más información:
Israel y EEUU crearon el virus que dañó el programa nuclear iraní
Israel y EEUU crearon el virus que daño el programa nuclear irani | Mundo | elmundo.es
Etiquetas:
EUA,
Iran,
Israel,
New York Times,
Programa Irani Nuclear Arruinado por Stuxnet,
Stuxnet
|
0
comentarios
"Geinimi" troyano para Android con capacidad para recibir ordenes
Recientemente se ha observado un nuevo ejemplar de Troyano para la plataforma móvil Android con ciertas características similares a las encontradas en el malware asociado a botnets.
La primera observación fue efectuada por la empresa china de seguridad NetQin. A principios de diciembre ya se publicó una noticia en CNETNews China sobre este malware alertando de su existencia.
El ejemplar, estudiado por investigadores de la empresa LookOut, es más sofisticado de lo habitual ya que permite una vez instalado en el dispositivo de la víctima recibir comandos desde un servidor
remoto de control.
El resto de características presenta los puntos comunes y esperables en este tipo de malware: El troyano va insertado en aplicaciones reempaquetadas y que presentan un aspecto "sano", descargables desde páginas chinas de aplicaciones para Android.
De hecho, el ejemplar, en principio solo afecta al público chino. Tras la instalación y la solicitud al usuario de los permisos y excepciones de seguridad, el ejemplar se dedica a recabar datos sobre el terminal como el IMEI, el IMSI (número de identificación de la SIM) o la geolocalización del usuario entre otros. También reseñar que el troyano puede desinstalar e instalar aplicaciones, aunque para ello necesite el
permiso del usuario.
Geinimi viene con una lista de unos diez dominios preconfigurados a los que interroga cada 5 minutos. Si uno de ellos responde el troyano envía los datos capturados al servidor.
El bytecode de Geinimi está ofuscado y partes de la comunicación entre el troyano y el servidor de control se envía y recibe cifrada como medio de defensa frente a análisis.
Más información:
La primera observación fue efectuada por la empresa china de seguridad NetQin. A principios de diciembre ya se publicó una noticia en CNETNews China sobre este malware alertando de su existencia.
El ejemplar, estudiado por investigadores de la empresa LookOut, es más sofisticado de lo habitual ya que permite una vez instalado en el dispositivo de la víctima recibir comandos desde un servidor
remoto de control.
El resto de características presenta los puntos comunes y esperables en este tipo de malware: El troyano va insertado en aplicaciones reempaquetadas y que presentan un aspecto "sano", descargables desde páginas chinas de aplicaciones para Android.
De hecho, el ejemplar, en principio solo afecta al público chino. Tras la instalación y la solicitud al usuario de los permisos y excepciones de seguridad, el ejemplar se dedica a recabar datos sobre el terminal como el IMEI, el IMSI (número de identificación de la SIM) o la geolocalización del usuario entre otros. También reseñar que el troyano puede desinstalar e instalar aplicaciones, aunque para ello necesite el
permiso del usuario.
Geinimi viene con una lista de unos diez dominios preconfigurados a los que interroga cada 5 minutos. Si uno de ellos responde el troyano envía los datos capturados al servidor.
El bytecode de Geinimi está ofuscado y partes de la comunicación entre el troyano y el servidor de control se envía y recibe cifrada como medio de defensa frente a análisis.
Más información:
Security Alert: Geinimi, Sophisticated New Android Trojan Found in WildThe Official Lookout Blog | Security Alert: Geinimi, Sophisticated New Android Trojan Found in Wild
Suscribirse a:
Entradas (Atom)
About Me
- Tony Orozco
- Mmmm, pues bien soy honesto a veces demasiado, sencillo, sincero, amo la vida y la vivo a cada instante y al limite