Los investigadores de Symantec aseguraron que creen que los piratas informáticos enviaron el virus a las víctimas a través de correos electrónicos con documentos de Microsoft Word adjuntos infectados. Y una vez abiertos el virus infecta el PC, pudiendo así el hacker tomar el control, robar datos, llegara redes de organizaciones y propagarse.

Las noticias sobre el virus ‘Duqu’ comenzaron este Octubre Symantec Corp. afirmó que había encontrado un virus misterioso que contenía un código similar a ‘Stuxnet’, un software malicioso que se cree que ha causado estragos en el programa nuclear de Irán.

Los investigadores privados de los gobiernos de todo el mundo se apresuran investigar al malicioso ‘Duqu’, encontrándose con el análisis preliminar que indica que fue desarrollado por ‘hackers’ sofisticados para ayudar a sentar las bases para los ataques a la infraestructura crítica, tales como centrales eléctricas, refinerías y oleoductos.

Además asegura que parte del código fuente utilizado en ‘Duqu’ también fue utilizado en ‘Stuxnet’, lo que sugiere que o lo han robado, o lo han cedido o son los mismos piratas. Siendo esta última la que Haley sugiere.

Áudea Seguridad de la Información

Departamento de Comunicación

www.audea.com

Se trata de un virus que registra las pulsaciones de teclado, y que infectó la red de ordenadores que controla estos aviones, cuya principal misión es la de sobrevolar áreas de conflicto, con el objetivo de obtener información.

Las comunicados hechos hasta el momento, han revelado que no ha habido difusión de información confidencial del os datos recogidos por los aviones, los que han seguido realizando sus tareas con total normalidad.

Por otro lado, aún no se sabe con certeza, si el virus forma parte de un ataque organizado o la infección se produjo de forma accidental.

Aunque parece que el virus no ha generado grandes repercusiones, se ha introducido en las Bases de Datos, y está resultando complicado llevar a cabo su eliminación.

En las últimas noticias publicadas sobre el tema, se denomina al virus de los drones como “una molestia”, ya que no causó problema alguno en las misiones de control remoto de estos aparatos.

El mecanismo de infección fue a través de los discos utilizados para la actualización de mapas topográficos, y ya se está trabajando en las medidas de seguridad oportunas para evitar que vuelva a ocurrir un problema similar.

Áudea Seguridad de la Información S.L.

Departamento Seguridad TIC

www.audea.com

Fuente: www.elmundo.es

Según hemos podido leer en la web de Aljazeera, la cadena de noticias del mundo árabe, activistas informáticos han lanzado una operación contra varias páginas web gubernamentales como signo de protesta y de recuerdo a las numerosas víctimas que se ha cobrado la revolución en el país islámico.

En la operación se han visto involucradas las páginas web de grandes ciudades del país y de diferentes departamentos del gobierno sirio.

Las webs de dichas ciudades fueron reemplazadas por un mapa interactivo de Siria que muestra los nombres, edades y fechas de la muerte de aquellos que han perdido la vida en Siria desde que se inició el levantamiento en marzo.

En cuanto a as webs del gobierno sirio, éstas se han visto sustituidas por caricaturas del presidente de aquél país, Bashar al-Assad, y un mensaje de protesta: “No dejes que Bashar te monitorice online”.

La acción de protesta ha sido reivindicada por los grupos activistas Anonymous y RevoluSec, que dejaron sus sellos en páginas como la web del Ministerio de Transporte y del Ministerio de Cultura sirios.

Además, junto al mencionado mensaje de protesta se han incluido consejos para evitar ser detectados por el servicio de inteligencia online de Siria, de cara a ayudar a la población a navegar sin restricciones y sin miedo.

De nuevo vemos como la actividad en Internet sigue siendo frenética y cómo cada día nos despertamos con noticias de intrusiones en sistemas informáticos cuya protección no parece ser obstáculo para personas con un cierto nivel de conocimiento.

Áudea, Seguridad de la Información

Manuel Díaz Sampedro

Departamento de Gestión de la Seguridad

www.audea.com

La gran protagonista de la era digital que vivimos es la red de redes, que se ha convertido en un elemento necesario y siempre presente, tanto en los hogares como en todas las empresas.

A través de las comunicaciones digitales se mueven cantidades ingentes de información (comunicados, blogs sociales, publicidad).

Todos estos servicios accesibles mediante la red de redes, a menudo no se encuentran asegurados de forma correcta, o están afectados por fallos de diseño, debido a que el tema de la seguridad suele tratarse como algo secundario.

En nuestros días ha surgido una nueva forma de expresarse, que consiste en buscar fallos en los servicios (portales web, por ejemplo) publicados en Internet, y explotarlos una vez encontrados.

Esta forma de actuar, llevada a cabo por personas con determinados conocimientos informáticos, se ha puesto de moda, creándose grupos organizados con propósitos comunes.

Los propósitos pueden ir, desde robar las credenciales del correo de una persona, o su clave de acceso a una red social, a robar datos bancarios de gran importancia.

Fundamentalmente, los propósitos más típicos están relacionados con el robo de información, y con Denegaciones de Servicio.

Esta situación ha generado un pánico generalizado en la sociedad, quien empieza a ver a través de los medios que los sistemas que utiliza en su vida cotidiana no son tan seguros como pensaba. El resultado es la desconfianza en Internet y en sus tecnologías, aunque a estas alturas, se depende demasiado de estas tecnologías como para prescindir de ellas.

La mejor forma de no sentirse vulnerable frente a estos ataques es apostar por la seguridad.

En el ámbito del hogar, las mejores armas para prevenir los ataques informáticos son:

• Tener instalado un antivirus actual y mantenerlo actualizado
• Instalar las últimas actualizaciones de los programas y del Sistema Operativo utilizado
• Tener instalado un Firewall de host que nos informe de las conexiones no autorizadas que se intenten realizar.
• Mantener una actitud preventiva frente a mensajes o correos de desconocidos o con apariencia sospechosa

En cuanto al ámbito empresarial, las medidas citadas son igualmente válidas, siendo necesario además, implementar otras medidas adicionales, como pueden ser:

• Implantación de redes seguras, mediante sistemas perimetrales de protección
• Revisión y actualización de dichos sistemas
• Realización de Auditorías de Seguridad e Intrusión
• Realización de Auditorías de código para verificar que las aplicaciones son seguras

Como se puede observar, todas las medidas implantar pueden conllevar un sote económico importante, y sin embargo ser víctima de un ataque puede conllevar gastos aún mayores.

En conclusión, nuestra mejor arma es la concienciación. Debemos tener bien claro lo que puede ocurrir, qué forma de comportamiento debemos adoptar para minimizar las posibilidades de que los ataques tengan éxito, y qué medidas podemos implantar para aumentar la protección frente a amenazas externas.

Áudea Seguridad de la Información S.L.

José Francisco Lendínez Echeverría

Departamento de Seguridad Tic

www.audea.com

Una gestión de incidencias eficaz implica aplicar controles detectivos y correctivos dirigidos a minimizar los impactos adversos, reunir pruebas forenses (si aplica) y “aprender las lecciones” en términos de la mejora de la gestión de la seguridad o de un SGSI.

ISO/IEC 27035 establece un enfoque estructurado y planificado para:

- detectar, informar y evaluar los incidentes de seguridad de información;
- responder a incidentes y gestionar incidentes de seguridad de la información;
- detectar, evaluar y gestionar las vulnerabilidades de seguridad de la información,
- mejorar continuamente la seguridad de la información y la gestión de incidentes, como resultado de la gestión de incidentes de seguridad de la información y las vulnerabilidades.

Un aspecto importante es que la norma incluye la gestión de vulnerabilidad, así como la gestión de incidentes

Departamento Gestión de la Seguridad
Áudea, Seguridad de la Información, S.L.

La Policía Nacional dio el pasado Junio por desarticulada a la red de hackers que más ciber- ataques estaba causando con la detención de 3 de sus más importantes intrigantes. Días después la red realizó otro ataque a la Policía en protesta de esa detención, dejando claro que para nada estaba desarticulada.

En esta semana, se ha subido a diferentes portales de descarga un archivo firmado por Anonymous que contiene datos de 30 escoltas de la Presidencia del Gobierno, y advirtiendo que en breve sacarán datos de carácter personal del Grupo de Operaciones Especiales (GEO).

La web de la Policía Nacional permanece inactiva hasta que la Brigada de Investigación Tecnológica (BIT) termine de investigar si es real que los hackers han vuelto ha traspasar las medidas de seguridad de su sitio web.

Anonymous no conforme con desvelar estos datos, arremete contra el candidato del PSOE Rubalcaba acusándolo de “violencia policial” y “manipulador de informes y pruebas” en su etapa como Ministro de Interior. Utilizan el “20-N, No Rubalcaba” para reclamar que dimita.  

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

Estos programas maliciosos superan en variedad a la escalofriante cifra de un millón y consiguen que mediante técnicas de manipulación de resultados el usuario termine entrando en el sitio infectado.

El principal riesgo para el usuario que es atacado por un antivirus falso es que una vez que facilite sus datos de personales, los atacantes los utilizarán para su beneficio.

Sophos, fabricante de soluciones antimalware, ha redactado un monográfico sobre estos programas maliciosos dónde expertos explican cómo funcionan, cuáles son los riesgos para los usuarios y cómo detectarlos. http://esp.sophos.com/security/topic/fake-antivirus.html

Áudea Seguridad de la Información

Departamento de Seguridad TIC

www.audea.com  

Desde el punto de vista técnico existen distintos puntos de revisión de una base de datos MySQL, fundamentalmente:

• Asignación de privilegios
• Fichero de configuración
• Cuentas de usuario
• Acceso remoto

Una de las primeras acciones de revisión se debe centrar en la revisión de las cuentas por defecto, en este caso root. Para ello se puede comprobar si existe la cuenta y contiene contraseña en blanco:

SELECT User, Host

FROM user

WHERE User=’root’;

El acceso remoto (puerto 3306) a la base de datos debe ser monitorizado y controlado. Es muy común que el servidor de aplicaciones resida en la misma máquina que la base de datos, por lo que se podría limitar las conexiones a la base de datos desde fuera de localhost. Para ello se puede configurar esta opción en el fichero my.cnf añadiendo:

MYSQLD_OPTIONS=”–skip-networking”

Adicionalmente existen algunos parámetros de configuración o arranque de la base de datos interesantes desde el punto de vista de la seguridad:

• skip-grant-tables: Arrancar el sistema con esta parámetro supone una grave brecha de seguridad, ya que supone que cualquier usuario tiene privilegios para hacer cualquier cosa sobre la base de datos. En algún caso puede ser útil para recuperar la contraseña de root.

• safe-show-database: Permite mostrar solamente aquellas bases de datos sobre las que un usuario tiene algún tipo de privilegio

• safe-user-create: permite determinar si un usuario puede crear nuevos usuarios siempre y cuando no tenga privilegios de INSERT sobre la tabla mysql.user

Finalmente, y partiendo de la base de asignación del mínimo privilegio necesario, uno de los aspectos de seguridad a revisar son los privilegios asignados en la base de datos:

Select * from user where

Select_priv  = 'Y' or Insert_priv  = 'Y'

or Update_priv = 'Y' or Delete_priv  = 'Y'

or Create_priv = 'Y' or Drop_priv    = 'Y'

or Reload_priv = 'Y' or Shutdown_priv = 'Y'

or Process_priv = 'Y' or File_priv    = 'Y'

or Grant_priv   = 'Y' or References_priv = ‘Y'

or Index_priv = 'Y' or Alter_priv = 'Y';

Select * from host

where Select_priv  = 'Y' or Insert_priv  = 'Y'

or Create_priv = 'Y' or Drop_priv    = 'Y'

or Index_priv = 'Y' or Alter_priv = 'Y';

or Grant_priv   = 'Y' or References_priv = ‘Y'

or Update_priv = 'Y' or Delete_priv  = 'Y'

Select * from db

where Select_priv  = 'Y' or Insert_priv  = 'Y'

or Grant_priv   = 'Y' or References_priv = ‘Y'

or Update_priv = 'Y' or Delete_priv  = 'Y'

or Create_priv = 'Y' or Drop_priv    = 'Y'

or Index_priv = 'Y' or Alter_priv = 'Y';

Áudea Seguridad de la Información

Antonio Martínez

Departamento de Seguridad TIC

www.audea.com

Esto sucede tras haber sido desmentida por ambos grupos la supuesta guerra entre los dos, y qué mejor forma de demostrarlo que unir sus competencias en la mencionada operación.

Por parte de LULZSEC se ha emitido un comunicado en términos navales en el que se dice que la “flotilla” de LULZSEC ha unido sus “naves” a las de ANONYMOUS, con el fin de maximizar la capacidad de la operación Anti-Sec.

El objetivo principal de la operación es la “desclasificación” de documentación clasificada por los gobiernos, entendiendo “desclasificación” como el robo o filtración de dicha información.

Los organizadores de la operación animan a los participantes a incluir la palabra Anti-Sec en los sitios web gubernamentales y de los bancos, e incluso a que realicen pintadas en los edificios de tales instituciones.

Parece que se avecina una nueva oleada de ataques que pondrán a prueba una vez más la Seguridad de la Información de varias instituciones y organismos a nivel mundial.

Áudea Seguridad de la Información

Departamento de Gestión

Manuel Díaz

www.audea.com

Ha sido detectado por Tren Micro, compañía de seguridad, y lo han denominado ANDROIDOS_NICKISPY.C.

Han explicado que se trata de una aplicación escondida en Google ++ y no se diferencia de la versión legal de este. El modo de actuar es el de registrar llamadas e incluso responderlas cuando la pantalla está apagada.  Es capaz de poner el móvil en silencio para que no se detecte la llamada.

El principal problema es la capacidad del troyano para recopilar información, como la localización GPS, mensajes de texto, llamadas… y trasmitirlas aun servidos remoto. Y además puede acceder y variar 19 servicios diferentes del terminal, cómo alarmas, bloqueo….

Son las versiones Android 2.2 o anteriores los que presentan un fallo en la seguridad que permite la entrada de este malware.

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

Fuente: www.eweekeurope.es