Experto en seguridad informática de Trend Micro, Rik Ferguson, asesora a grandes empresas y administraciones sobre ataques informáticos a sus redes.

Con pinta de estrella del rock, Rik Ferguson (Londres, 1968) es uno de los expertos en seguridad más reputados del mundo. Este analista de la empresa Trend Micro , que mantiene un blog muy seguido por los especialistas en seguridad informática, visitó recientemente Madrid y, ante una sala plagada de responsables de seguridad de empresas y administraciones, repasó algunas de las amenazas que afectan a Internet, a las redes de las compañías y a los ordenadores de los usuarios.

Google reveló hace unas semanas que había sufrido un ataque a sus sistemas desde China, la operación Aurora, con el objetivo de robar parte de su propiedad intelectual. ¿Ha sido tan serio como han asegurado?

Fue un ataque con un objetivo concreto, no aleatorio. Se trató, a grandes rasgos, de una página web trampa que usaba una vulnerabilidad de Internet Explorer para instalar un programa malicioso conocido como caballo de Troya. Una vez instalado, el troyano conectaba con su origen, quedando la máquina bajo control del atacante. Pero no iba sólo contra Google. Otras 20 compañías también se han visto afectadas. Se ha tratado de un ataque muy serio.

Sin decirlo abiertamente, Google ha señalado a elementos del Gobierno chino y no a piratas individuales. ¿Tiene China un ejército de hackers?

Hay un consenso generalizado sobre el hecho de que el Ejército de Liberación Popular de China lleva años creando unidades de guerra electrónica compuestas de civiles y militares. Pero la extensión y cuánto hay de verdad en esto sólo lo pueden aclarar los chinos. En todo caso, sólo porque un ataque proceda de servidores en China o, como en este caso, Taiwán, no significa necesariamente que provenga realmente de China, ni supone que esté apoyado por el Gobierno chino. La naturaleza del espionaje de alta tecnología hace muy difícil llegar hasta su origen.

El ataque se aprovechó de un fallo de seguridad en Internet Explorer. Esto provocó que los gobiernos de Francia y Alemania desaconsejaran usar el navegador de Microsoft. ¿Fueron alarmistas?

La alarma se lanzó demasiado pronto y fue excesiva. El fallo afectaba sólo a la versión 6 de Explorer y, una semana después, también a la 7. Pero, por lo que sé, no ha a afectado a la última, la número 8. Si la gente se pasa a otro navegador sin estar familiarizada con su configuración puede que acaben en una situación menos segura que antes.

A finales de 2009, aparecieron dos virus informáticos para el iPhone. ¿Son los móviles la siguiente víctima?

Por ahora no son un gran problema. El primero era más una prueba de concepto y no salió de Australia. Pero el código fuente de este gusano ya está en Internet, cualquiera podrá cogerlo y hacerlo más dañino. La infección y difusión de un virus en la telefonía móvil será más rápida, ya que se puede difundir por Internet y también por la red de telefonía.

Además de los móviles ¿qué otras amenazas vendrán?

Las redes sociales, sin duda. Los ataques de siempre, spam [correo no deseado], virus, phishing [robo de información] se aprovecharán de la confianza propia de las redes sociales. Koobface, por ejemplo, es un nuevo gusano que circula por Facebook. Crea nuevas cuentas y solicita amigos. Si le agregas, te roba toda la información de tu perfil.

Pero, ¿por qué son más peligrosas las redes sociales que un correo que esconda un troyano o una web infectada?

Por dos razones. Antes era una empresa la que creaba el contenido y tú te limitabas a leer. Ahora, con la interactividad de la web 2.0, tú creas el contenido y puedes introducir material malintencionado. Lo segundo es la confianza. El contenido viene de tus amigos y te fías de ellos. Por eso es un ataque más potente.

La informática en la nube está de moda. ¿No es un peligro mayor tener los datos en servidores externos que en casa?

En las empresas, lo que hay que hacer es revisar la seguridad de los distintos proveedores. Sus niveles de seguridad siempre deberán estar por encima o al nivel de los propios. Para las personas, en el caso del correo personal o las redes sociales, hay que seleccionar, los datos más críticos no deben estar ahí.

Los expertos dicen que el eslabón más débil de la seguridad es el usuario. ¿No podrían hacer algo más las empresas, en particular las operadoras?

Deberían comprometerse más, es cierto. En EEUU ya hay algunas que avisan a los usuarios.

¿Y por qué no se extiende esto?

Por coste, les costaría mucho dinero. Tener un flujo de datos limpio exige tecnología y eso vale su dinero.

Fuente: Publico.es

De seguro que a más de alguno de nuestros lectores se les ha
infectado el computador con los fastidiosos antivirus falsos (fake
antivirus) que simulan ser un programa de seguridad que lo único que
buscan es infectar tu computador simulando falsas amenazas y que pagues
por desinfectarlo, cuando la verdadera amenaza es la misma aplicación de
seguridad que se instala sin permiso alguno en tu computador. En
Internet hay una lista de cientos de estas falsas aplicaciones de
seguridad y por si fuera poco debemos agregar una más. Lee los detalles
luego del corte.

La gentileza se la debemos a Microsoft
quien este miércoles informó que ha aparecido una falsa aplicación de
seguridad que simula ser la propia aplicación de seguridad de Microsoft (Microsoft
Security Essentials) lanzada por la firma de Redmond en junio
de 2009, la aplicación falsa tiene por nombre “Security
Essentials 2010” y usa el mismo método persuasivo de todos las
falsas aplicaciones ya que mediante un nombre relativamente familiar
busca engañar a los usuarios menos expertos para que paguen por
desinfectar el equipo. La nueva amenaza contiene el trojano  Trojan Win32/Fakeinit y su ventana principal luce
así.

Una vez instalado este falso antivirus o malware, descarga e instala
un falso escáner que monitoriza los procesos, lamentablemente como es
típico, modifica el registro, se deshabilitan opciones del sistema como
la misma terminar procesos, regedit, msconfig y ademas cambie el fondo
de escritorio por un fondo negro con la típica advertencia de que el
equipo esta infectado el cual no se puede cambiar.

Además el falso antivirus instala el componente malicioso Win32/Alureon y otro componente denominado “Layered
Service Provider” que monitorea el trafico TCP enviado por el navegador
y bloquea ciertos sitios web, desplegando este mensaje. Naturalmente el falso
antivirus pide a los usuarios que paguen por una
“versión completa” del software, y ese es su fin principal.

Aunque la recomendación viene de cerca, Microsoft indica que su
antivirus puede detectar y eliminar la amenaza con su suite de seguridad
Microsoft
Security Essentials

Nota del editor: Por nuestra parte cumplimos con
informar y solicitarles que tengan mucho cuidado con las herramientas
que seguridad que descargan de Internet, sobre todo las que aparecen en
ventanas emergentes o las que aparecen sin solicitarlas. Siempre tengan
su sistema actualizado y un buen antivirus también actualizado en su
sistema, a modo personal  (aunque cada uno es libre de elegir) les
recomiendo las siguientes herramientas: AVG Antivirus,
(excelente Antivirus gratuito y de pago),  Malwarebytes’
Anti-Malware (Eficaz Anti-malware) y la herramienta para remover
falsos antivirus: Remove Fake Antivirus.

Más información al respecto en: [Microsoft]

Autor: Cedric
Fuente: Madboxpc

La versión en linea de Technology Review trae hoy una historia que escribí sobre un grupo de investigación financiado por el gobierno que está preparando para publicar una nueva herramienta gratuita diseñada para bloquear los ataques de “descargas silenciosas o invisibles” (drive-by downloads) en los cuales con solo visitar un sitio abusado o un sitio Web malicioso resulta en la instalación de programas no deseados, usualmente sin el conocimiento o conocimiento del visitante.

La historia profundiza en gran detalle acerca del software aún no publicado, denominado “BLADE”, (abreviatura de Block All Drive-By Download Exploits). El artículo, que explora algunos de los enfoques únicos y limitaciones de esta herramienta, está disponible aquí y aquí.

Como señalo en la historia, casi todos los sitios a los que se le endilgan esos ataques drive-by han sido actualizados con los que se denominan “paquetes de explotación”, o conjuntos de programas diseñados para verificar vulnerabilidades conocidas en el navegador del visitante. El mes pasado, compartí con los lectores una mirada dentro del panel de administración web del paquete de explotación Eleonore – uno de los más populares del momento.

El grupo de investigación BLADE ha estado corriendo sus máquinas virtuales de prueba por los sitios infectados con Eleonore y una variedad de otros paquetes de explotación, y sus hallazgos refuerzan el punto que estaba tratando de señalar con aquel artículo del blog: Los atacantes se interesan cada vez menos en el navegador que uno está usando; en lugar de eso, sus ataques tienden a enfocarse en los plugins desactualizados que uno podría tener instalado.

Phil Porras, el director del programa de SRI International — uno de los grupos de investigación involucrados en el proyecto – dice que hasta ahora ninguno de los sitios de explotación ha sido capaz de sobrepasar a BLADE, que actúa como una especie de sandbox para el navegador que previene que cosas dañinas sean escritas en el disco. Incluso, debido a que la herramienta permite el exploit pero bloquea la instalación de la carga maliciosa, el grupo ha sido capaz de recolectar una gran cantidad de estadísticas interesantes sobre los ataques, tales como cuales son los navegadores mas atacados, a que plugins de navegador se apunta más, y cosas así.

Los siguientes gráficos fueron tomados de la última versión del laboratorio de evaluación de BLADE, que es actualizado constantemente con resultados de nuevos sitios de explotación. Los gráficos de más abajo muestran un desglose de 5.154 descargas infecciosas drive-by que BLADE bloqueó.

Aquí están las aplicaciones vulnerables que más fueron objeto de los ataques drive-by que vio el grupo BLADE:

Podemos ver que el equipo BLADE encontró que el kit de explotación Eleonore está entre los más usados para infectar sitios:

Los investigadores también encontraron una mediocre detección de kits de explotación por parte de los principales productos antivirus (Porras dijo que la información de abajo es un promedio de las tasas de detección de cada binario maliciosos entregado por los sitios de explotación):

Me aseguraré de hacerle saber a los lectores cuando esta herramienta esté disponible públicamente para descargar.

Traducción: Raúl Batista – Segu-Info
Autor: Brian Krebs
Fuente: Krebs on Security