miércoles, 27 de julio de 2011

10 razones por las cuales el ciberespacio es el nuevo campo de batalla global

La próxima gran revolución o guerra mundial podría empezar en el ciberespacio; hacktivistas asociados a Anonymous proclaman estar modificando el escenario geopolítico

¿Serán los hackers los grandes caudillos de las revoluciones del siglo XXI? En un mundo donde las corporaciones y los gobiernos ejercen un claro e insalvable dominio militar y económico, es difícil vencer en el campo de batalla tradicional, pero al moverse cada vez más el mundo al ciberespacio, algunos entusiastas creen que se abre una flamante posibilidad.

Activistas y ciber-téoricos que se aglutinan alrededor de hackers y piratas informáticos como Anonymous y  el recientemente disgregado LulzSec creen que estamos viendo el surgimiento de un nuevo escenario de empoderamiento civil, en el que la plaza pública se convierte en el espacio digital, una red descentralizada cuya protesta viral se ejerce a través de la acción cibernética, en un terreno aún no definido (¿califica como violencia un ataque de D-DoS? ¿es una declaración de guerra publicar archivos clasificados?).

Si la información es poder (es el poder) entonces tal vez el ciberespacio, al transformar el espacio físico en información, la realidad en virtualidad, ciertamente se erige como el nuevo campo de batalla, en el que por enésima vez los muchos intentarán despojar a los pocos que detentan la gran mayoría de los bienes (el pastel físico y metafísico del planeta). 

¿Tendrá esta futura revolución su justicia poética o será una nueva farsa en la que lo único que ocurre es un reacomodo de los nombres para la continuidad del sistema (y las personas que secretamente lo rigen)?  ¿Se alzarán los geeks y los nerds con espadas virtuales sobre al abismo donde yace el Leviatán de la historia ? ¿O son Anonymous y los demás movimientos de hacktivismo los nuevos enemigos necesarios creados para satisfacer la dialéctica del poder y militarizar el ciberespacio, de la misma forma que el terrorismo o el comunismo fue usado para dinamizar la industria militar en su momento?

Es muy prematuro concluir en favor de alguien, pero mientras tanto les compartimos estos diez puntos, en los que hacktivistas vinculados con Anonymous exponen por qué el cibespacio será donde inicie la gran guerra del futuro:

1.- La nueva generación de hackers se muda de una economía psíquica basada en el lulz (las bromas digitales por el simple hecho de perturbar a los demás) a una actitud política y socialmente involucrada con los eventos mundiales. La “politización de 4chan”, el nacimiento de Anonymous y el apoyo mundial a WikiLeaks sientan las bases para un nuevo hacktivismo con una conciencia y una escala nunca antes vistas.

Los nativos digitales están viendo su libertad de navegar por el éter cibernético amenazada por las políticas globales de control de Internet, y esto los ha radicalizado. Recuerden que estas son las personas que respiran, comen y duermen en Internet y por lo tanto saben moverse (y agitar la Red) con mayor destreza que las personas que hacen las leyes y ponen las firmas.

2.-  Esta nueva generación que despierta políticamente (o que amenaza con despertar) a través de Internet ha crecido en una red de información interminable, fluyendo en un sofisticado río de intercambio memético  y en este sentido está naturalmente capacitada para entablar una guerra informática, con mayor velocidad y adaptabilidad que las viejas generaciones que detentan el poder. Los senadores en el Congreso, los 
Rockefeller y demás miembros de esta élite financiera no tienen nada que hacer en el terreno del manejo de la información pura y la programación de los espacios digitales contra un niño de 14 años con una buena conexión a Internet en un garage (aunque claro, ellos pueden apagar el Internet).

3. Los nativos de la Red tienen un sentido de identidad sin fronteras, en el que cada vez más las fronteras nacionales tienen menos significado. Esto se debe a que todos los días pueden interactuar indistintamente con personas que están en Texas, El Cairo o Helsinki, y las diferencias entre las narrativas nacionales se borran. En cambio se definen acorde a los roles y actividades que llevan en línea, sus valores y posturas políticas: una nueva clase internacional inmaterial de solidaridad online que se mantiene más allá de la territorialidad.

4. La intensidad de la retroalimentación en tiempo real alimenta el fuego; cualquier persona puede medir los resultados conforme van sucediéndose en el escenario global. Esto alimenta el ego de los grupos de hackers que se entusiasman al ver su trabajo reflejado en la caída de las acciones de una empresa que han atacado o de los aprietos en los que han metido a tal o cual político. Al mismo tiempo sus ataques se ven estimulados por el apoyo instantáneo de las comunidades de internautas, lo cual eleva la moral de las tropas (LulzSec, por ejemplo, recibió $7000 en bitcoins en un día).

5. Nace una nueva ética mundial entre los hackers: un hack a la vez. Ver reflejadas sus acciones en cambios positivos puede hacer que estos grupos vayan formulando una nueva ética planetaria, que a diferencia de los planteamientos teóricos de la filosofía moderna puede aplicarse de manera tangible y determinante en los nuevos escenarios de nuestra realidad colectiva. Entre la euforia de golpear a un grupo como Monsanto o atacar a Mastercard , los hackers van descubriendo algo trascendente y revelador: el viaje de poder de ayudar a la gente (el éxtasis de Robin Hood, la redención de la anarquía). Como el héroe de la película V for Vendetta, los hackers podrían aprender a fraguar el más sublime acto: el sacrificio por el bien común.

6. La diversidad de grupos de hackers como Anonymous, tanto en sus miembros (en teoría, cualquier persona en el mundo), como en sus tácticas de ciberataque: desde las técnicas más básicas como las inyecciones de SQL y los ataques de DDoS, hasta el  uso de LOIC (Low Orbit Ion Cannon). Todo esto sugiere un ejército open source con una gran flexibilidad y adaptabilidad.

7. Los gobierno están respondiendo con un esfuerzo concertado para reformular las actividades cibernéticas como crímenes contra el estado y el capital.  No hay duda que el hacktivismo será pronto elevado a una forma de terrorismo.  Esto recuerda a la reformulación de las narrativas de movimientos laborales a lo largo del siglo 19 y 20 como enemigos del Estado.

En la cumbre del G-8 de este año se empezó a discutir ya la posibilidad de endurecer el control de la Red en aras de la seguridad nacional. El Reporte de Primavera de la OTAN por por primera vez se refirió a Anonymous y empezó a utilizar palabras como  “ciberterrorismo” y “ciberguerra”.

Esto eventualmente acabará en una gran confrontación, entre aquellos para los cuales Internet encarna el espíritu de libertad popular y aquellos para quienes Internet es un sofisticado sistema de control, espionaje, vigilancia y marketing ontológico.

8. Anonymous ha empezado ha realizar programas de mayor proactividad, reclutando miembros e impartiendo entrenamiento. Además de entrenar propsectos para su armada digital anónima y difundir herramientas de hacking, las lecciones están orientadas al aumento generalizado de una ciberconciencia, enseñando a utilizar proxies, a encriptar datos y a proteger la identidad en línea.

9. Al mismo tiempo que el hacktivismo crece, los gobiernos del mundo están entrando en una carrera para reclutar “ciberguerreros”, extraer o extorsionar a hackers para incrementar su muralla de defensa y crear un ejército de “sombreros blancos”.

10. Más allá del hacktivismo, en la actualidad se desarrollan armas cibernéticas capaces de hacer daños profundos a la infraestrctura de un Estado-nación. El primer gran ejemplo de lo que puede venirse es el complejo gusano bélico Stuxnet, utilizado por Estados Unidos e Israel para afectar el programa nuclear de Irán. En la medida en la que se incrementa la dependencia a la tecnología informática para realizar actividades de seguridad nacional también se abre una brecha de vulnerabilidad para ser atacado seriamente por estas vías. Asimismo, avances en inteligencia artificial, nanotecnología y la implementación de chips al cuerpo humano harán cada vez más diversa y compleja la panoplia de armas cibernéticas y usos del hacking en un futuro cercano. Si bien podríamos tener máquinas hiperinteligentes o seres aumentados para ser una especie de superhumanos cibernétcios, estos también podrán hackearse.

Fuente:
http://pijamasurf.com/



viernes, 22 de julio de 2011

Rusia por la seguridad informática internacional

Rusia propone redactar una convención universal de la ONU contra los ciberdelitos. En Moscú estiman que, los documentos existentes, incluidos del Consejo de Europa son obsoletos, mientras que la nueva doctrina puede convertirse en instrumento eficaz de lucha.


Hace tiempo que Moscú viene planteando la idea de crear un documento común. En las convenciones y Tratados existentes no se menciona siquiera el terrorismo que se pasea ya por Internet. En los 10 años transcurridos de la tragedia del 11 de septiembre en EEUU los métodos de los terroristas han cambiado cardinalmente.

Con el crecimiento de las redes sociales y de los microblog comenzó a propagarse más rápidamente también la ideología terrorista. Reclutar fanáticos suicidas y prepararlos online es más fácil que nunca. Aumentó también el número de los ciberterroristas. No hay que olvidar a los estafadores que roban datos personales en Internet y que en un dos por tres penetran en los sistemas de pagos electrónicos. En Moscú proponen trazar criterios comunes de cómo castigarlos.

Los socios no dudan de la vigencia de tal iniciativa, señala Ilya Rogachov, director del Departamento de nuevos desafíos y amenazas. A juicio del diplomático, los problemas mayores están en el diálogo con EEUU, opinión que comparte Andrei Masalovich, de la compañía “Dialogo de la Ciencia”. El experto afirma que, desde el momento que EEUU anunció que se investía del derecho a responder a los ataques cibernéticos con todos los medios militares posibles, las variantes políticas de solución del problema adquirieron singular actualidad.

- Surgió un país con mil millones de habitantes, Internet, en el que no hay leyes y los norteamericanos fueron los primeros que comenzaron a desarrollarlo intentando regularlo con leyes, naturalmente que en sus intereses. Hasta allá se desplegaron la OTAN y la UE, pero si tomar la gradación de los posibles socios, para Rusia es mucho más interesante crear un campo de trabajo a través de la ONU que a través de la OTAN o de la UE. Hace un año, cuando comenzaron las conversaciones sobre el tema se enfrentó una incomprensión monstruosa a nivel de ministerios. Y ahora, cuando a la redacción de los documentos se han incorporado servicios corporativos, ellos revelan el deseo de crear un instrumento eficaz. Me gusta que Rusia se incorporara a ese proceso. Otro cantar es que hay que ser realistas: estos son por ahora los primeros pasos y una intención. Lamentablemente, no existe por ahora una doctrina inteligible que sirva de base para acuerdos internacionales.

A juicio de Anddrei Masalovich, los rusos son profesionales en el combate a los delitos cibernéticos, pero ellos, como los dedos, falta empuñarlos. Rusia se empeñará en la reunión ministerial próxima de la ASEAN en convencer a los socios, y en particular a EEUU de la necesidad de elaborar una concepción de lucha contra la amenaza contemporánea más peligrosa.

A fines de semana, 10 países del sureste de Asia, con la participación de Rusia, EEUU, China, la India y otros del Pacíficos se reunirán en la Isla de Bali para debatir, entre otras cosas, el futuro de la seguridad informática internacional

Fuente:
http://spanish.ruvr.ru/2011/07/21/53510385.html



jueves, 21 de julio de 2011

Robo de datos y estafas via troyanos, spam, facebook, android, skype

El objetivo principal de los ciberpiratas son las cuentas y los datos bancarios. 

Según un estudio de la firma Gemalto, especializada en seguridad, se crearon diariamente un promedio de 73.000 ejemplares de malware (software malintencionado que roba datos) y, en comparación con 2010, los ciberdelincuentes han lanzado un 26 por ciento más de nuevas amenazas informáticas.

Los criminales de Internet son cada vez más agresivos y ya han escogido sus canales de ataque: el ‘hackeo’ de tarjetas bancarias; el spam (correo basura), por ejemplo, el que invita a ayudar a Japón; y el robo interno de datos a empresas de seguridad son algunos ejemplos.

El sistema operativo Android, para celulares y tabletas; la red social Facebook y el grupo de personas conocido como Anonymus, por su parte, son protagonistas de los incidentes de seguridad más graves; aunque surge OddJob, un revolucionario virus troyano especializado en atacar entidades bancarias, con gran capacidad para robar datos de clientes.


100 DÓLARES POR ‘HACKEAR’ UNA TARJETA BANCARIA

La cuota que pide un pirata informático para robar la información de una tarjeta de crédito puede llegar a los 100 dólares, dependiendo de la dificultad del ataque, según cifras de Symantec, la empresa número uno en seguridad informática del mundo.

Las vacaciones y el periodo navideño son las dos épocas preferidas para los ‘hackers’, debido a que las transacciones aumentan de manera considerable en estos momentos del año.

Para evitar que sea víctima de los ataques, tenga en cuenta estos consejos: 


- Revise los estados de cuenta bancarios para detectar irregularidades.

- No tire a la basura sin destruir recibos bancarios, facturas y demás papeles que tenga su información bancaria.  

- No acepte llamadas telefónicas para renovar sus tarjetas bancarias.

- Revise una vez al año su estado en las centrales de riesgo (como Datacrédito) para que verifique que no se haya presentado un robo de identidad a nombre suyo y que probablemente haya hecho que tales entidades lo reporten a usted como deudor moroso.

ODDJOB, EL NUEVO TROYANO

Este virus, enfocado a atacar entidades bancarias, fue detectado la empresa Trusteer, es considerado el más peligroso hasta ahora.

Lo más grave es que les permite a los delincuentes acceder a una cuenta sin necesidad de robar los datos de acceso.

Este virus le da la posibilidad al delincuente de compartir la sesión con la víctima; es así como obtiene toda la información sobre su cuenta e identidad.

Pero lo más preocupante es que al intentar salir, bloquea el cierre de la sesión sin que el usuario lo sepa, momento en el cual el delincuente vaciará la cuenta. Los países afectados hasta ahora son EE. UU., Polonia y Dinamarca.


ATAQUES DE SPAM

En el 2010, la mayor parte del spam (74 por ciento) estuvo ligado a promociones de productos farmacéuticos.

En lo que va de este año, la tendencia parece estar centrada en temáticas amarillistas, por ejemplo:

- Enlaces y videos sobre noticias amarillistas de muertes notorias y conflictos, y otras de actualidad en las redes sociales Twitter y Facebook, ya que circulan como spam cargado de virus.

- La catástrofe natural de Japón aún está generando oleadas de robos, enlaces y archivos maliciosos distribuidos por spam, buscadores y desde Facebook y Twitter.

ENTRETENIMIENTO, GANCHO PARA ATACAR

Las personas siguen siendo víctimas de un enlace que promete ver el estreno de una película, el álbum musical más reciente, un video ‘espectacular’ o bajar el último capítulo de alguna popular serie de TV.

El consejo es no dar clic sobre enlaces desconocidos, no bajar actualizaciones o programas adicionales, y nunca descargar aplicaciones o registrarse en formularios o sitios de dudosa procedencia, pues a menudo son registros falsos para obtener información.

Según datos de la firma PandaLabs sobre los intentos fraudulentos más usados, el 25 por ciento utiliza su URL para la descarga de video y multimedia; el 21,63 por ciento utiliza instaladores o actualizaciones de programas; y el 16 por ciento son direcciones dentro de redes sociales.


RÁNKING DE MALWARE 

Los tres códigos más detectados en marzo, según los datos estadísticos proporcionados por el servicio Threatsense.Net, de la compañía Eset, son Win32/PSW.OnLineGames.OUM, INF/Autorun y Win32/Conficker, troyanos orientados a capturar contraseñas de juegos online, y Conficker; este tipo de software maligno sigue ocupando las primeros puestos del ránking, junto con el veterano del malware, Agent.

ATAQUES EN FACEBOOK

El auge de la red social más famosa del mundo también la hace una de las más vulnerables en seguridad. Cada día se encuentran más agujeros en esta red, además de que es el canal favorito para la distribución de ‘malware’ y ‘phishing’ (suplantación de identidad). Por eso, tenga en cuenta lo siguiente:


- Si le llega un mail informándole del cambio de contraseña en su cuenta, no lo abra, contiene un archivo que descarga el troyano Oficla.

- Aquellos que se han dado de alta con su cuenta de correo electrónico en Hotmail pueden estar comprometidos. Cambie su contraseña de Facebook. Aunque la red social anunció que se ha solucionado el problema, su cuenta puede haber sido robada.

- Tenga cuidado con el virus de la “chica que se suicidó por webcam”.
Este lleva circulando desde marzo y roba las claves de acceso a todos aquellos que abren el video o uno de sus enlaces.

- Aléjese de las ‘seductoras’ campañas que ofrecen aplicaciones para Facebook. Aparecen cada semana, son falsas y prometen algo que no está permitido; roban su información con cuestionarios y lo infectan al descargarlas a su PC. También circula una oferta maliciosa para bajar una aplicación Facebook Profile Creeper Tracker  / Profile Creeps, para ver quién visita tu perfil. 


VULNERABILIDAD DE ANDROID; SKYPE, EN LA MIRA

Las aplicaciones para el sistema operativo Android siguen siendo vulnerables. Se detectan 58 aplicaciones maliciosas en Android Marketplace, que Google aún está quitando de su tienda y de las 260.000 unidades que se calculan infectadas.

Ahora es el turno de Skype para Android, ya que se ha comprobado que es vulnerable a maliciosos usuarios o aplicaciones que podrían acceder a su información almacenada.

Fuente:
http://www.portafolio.co/portafolio-plus/los-ataques-informaticos-mas-peligrosos-el-bolsillo

martes, 19 de julio de 2011

Security Recommendations to Prevent Cyber Intrusions



Overview

US-CERT is providing this Technical Security Alert in response to recent, well-publicized intrusions into several government and private sector computer networks. Cyber thieves, hacktivists, pranksters, nation-states, and malicious coders for hire all pose serious threats to the security of both government and private sector networks. A comprehensive security program provides the best defense against the full spectrum of threats that our computer networks face today. Network administrators and technical managers should not only follow the recommended security controls information systems outlined in NIST 800-53 but also consider the following measures. These measures include both tactical and strategic mitigations and are intended to enhance existing security programs.


Recommendations
  • Deploy a Host Intrusion Detection System (HIDS) to help block and identify common attacks.
  • Use an application proxy in front of web servers to filter out malicious requests.
  • Ensure that the "allow URL_fopen" is disabled on the web server to help limit PHP vulnerabilities from remote file inclusion attacks.
  • Limit the use of dynamic SQL code by using prepared statements, queries with parameters, or stored procedures whenever possible. Information on SQL injections is available at http://www.us-cert.gov/reading_room/sql200901.pdf.
  • Follow the best practices for secure coding and input validation; use the secure coding guidelines available at: https://www.owasp.org/index.php/Top_10_2010 and https://buildsecurityin.us-cert.gov/bsi/articles/knowledge/coding/305-BSI.html.
  • Review US-CERT documentation regarding distributed denial-of-service attacks: http://www.us-cert.gov/cas/tips/ST04-015.html and http://www.us-cert.gov/reading_room/DNS-recursion033006.pdf.
  • Disable active scripting support in email attachments unless required to perform daily duties.
  • Consider adding the following measures to your password and account protection plan.
    • Use a two factor authentication method for accessing privileged root level accounts.
    • Use minimum password length of 15 characters for administrator accounts.
    • Require the use of alphanumeric passwords and symbols.
    • Enable password history limits to prevent the reuse of previous passwords.
    • Prevent the use of personal information as password such as phone numbers and dates of birth.
    • Require recurring password changes every 60-90 days.
    • Deploy NTLMv2 as the minimum authentication method and disable the use of LAN Managed passwords.
    • Use minimum password length of 8 characters for standard users.
    • Disable local machine credential caching if not required through the use of Group Policy Object (GPO). For more information on this topic see Microsoft Support articles 306992 and 555631.
    • Deploy a secure password storage policy that provides password encryption.
  • If an administrator account is compromised, change the password immediately to prevent continued exploitation. Changes to administrator account passwords should only be made from systems that are verified to be clean and free from malware.
  • Implement guidance and policy to restrict the use of personal equipment for processing or accessing official data or systems (e.g., working from home or using a personal device while at the office).
  • Develop policies to carefully limit the use of all removable media devices, except where there is a documented valid business case for its use. These business cases should be approved by the organization with guidelines for there use.
  • Implement guidance and policies to limit the use of social networking services at work, such as personal email, instant messaging, Facebook, Twitter, etc.,te except where there is a valid approved business case for its use.
  • Adhere to network security best practices. See http://www.cert.org/governance/ for more information.
  • Implement recurrent training to educate users about the dangers involved in opening unsolicited emails and clicking on links or attachments from unknown sources. Refer to NIST SP 800-50 for additional guidance.
  • Require users to complete the agency's "acceptable use policy" training course (to include social engineering sites and non-work related uses) on a recurring basis.
  • Ensure that all systems have up-to-date patches from reliable sources. Remember to scan or hash validate for viruses or modifications as part of the update process.
Original release date: July 19, 2011
Last revised: --
Source: US-CERT


Fuente:
http://www.us-cert.gov/cas/techalerts/TA11-200A.html

viernes, 15 de julio de 2011

Pentagon declares the Internet a war domain

EEUU - Pentagono declara al Internet como territorio de guerra

The Pentagon released a long-promised cybersecurity plan Thursday that declares the Internet a domain of war but does not spell out how the U.S. military would use the Web for offensive strikes.
The Defense Department’s first-ever plan for cyberspace states that DOD will expand its ability to thwart attacks from other nations and groups, beef up its cybersecurity workforce and expand collaboration with the private sector.

Like major corporations and the rest of the federal government, the military “depends on cyberspace to function,” the DOD strategy states. The U.S. military uses cyberspace for everything from carrying out military operations to sharing intelligence data internally to managing personnel assignments.

“The department and the nation have vulnerabilities in cyberspace,” the document states. “Our reliance on cyberspace stands in stark contrast to the inadequacy of our cybersecurity.”

Other nations “are working to exploit DOD unclassified and classified networks, and some foreign intelligence organizations have already acquired the capacity to disrupt elements of DOD’s information infrastructure,” the plan states. “Moreover, non-state actors increasingly threaten to penetrate and disrupt DOD networks and systems.”

Groups are capable of this largely because “small-scale technologies” that have “an impact disproportionate to their size” are relatively inexpensive and readily available.

The Pentagon plans to focus heavily on three areas under the new strategy: The theft or exploitation of data, attempts to deny or disrupt access to U.S. military networks, and any attempts to “destroy or degrade networks or connected systems.”

Another problem highlighted in the strategy is a baked-in threat: “The majority of information technology products used in the United States are manufactured and assembled overseas.”

To address those issues, DOD revealed a multi-pronged approach.

As expected and foreshadowed by Pentagon officials’ comments in recent years, the plan etches in stone that cyberspace is now an “operational domain” just as land, air, sea and space have been for decades for the military.

“This allows DOD to organize, train and equip for cyberspace” as in those other areas, the plan states. It also notes the 2010 establishment of U.S. Cyber Command to oversee all DOD work in the cyberspace.

By crafting a this strategy, “the Department of Defense is acknowledging what all observers of the IT revolution have known for years: cyberwar is already a reality,” Lexington Institute analyst Daniel Goure, a former Army official, wrote recently.

“The publication of the cyberwar strategy may also help jumpstart a long-postponed public debate over the nature of such a war and how it should be deterred, if possible, or fought if necessary,” Goure wrote. “The last technology to revolutionize warfare to the same extent as IT is doing was that which led to the creation of nuclear weapons.”

The second leg of the plan is to employ new defensive ways of operating in cyberspace, first by enhancing the DOD’s “cyber hygiene.” That term covers ensuring that data on military networks remains secure, using the Internet wisely and designing systems and networks to guard against cyberstrikes.

The military will continue its “active cyber defense” approach of “using sensors, software and intelligence to detect and stop malicious activity before it can affect DOD networks and systems.” It also will look for new “approaches and paradigms” that will include “development and integration … of mobile media and secure cloud computing.”

The plan devotes more than a page to mostly underscore efforts long under way to work with other government agencies and the private sector.

Notably, it calls the Department of Homeland Security the lead for “interagency efforts to identify and mitigate cyber vulnerabilities in the nation’s critical infrastructure.” Some experts have warned against DOD overstepping on domestic cybersecurity.

The Pentagon also announced a new pilot program with industry designed to encourage companies to “voluntarily [opt] into increased sharing of information about malicious or unauthorized cyber activity.”

The strategy calls for a larger DOD cybersecurity workforce.

One challenge, Pentagon experts say, will be attracting top IT talent because the private sector can pay much larger salaries — especially in times of shrinking defense budgets. To that end, “DOD will focus on the establishment of dynamic programs to attract talent early,” the plan states.

On IT acquisition, the plan lays out several changes, including: faster delivery of systems; moving to incremental development and upgrading instead of waiting to buy “large, complex systems”; and improved security measures.

Finally, the strategy states an intention to work more closely with “small- and medium-sized business” and “entrepreneurs in Silicon Valley and other U.S. technology innovation hubs.”

The reaction from Capitol Hill in the immediate wake of the plan’s unveiling was mostly muted. Cybersecurity is not a polarizing political issue in the way some defense issues are, like missile defense.

Claude Chafin, a spokesman for House Armed Services Committee Chairman Buck McKeon (R-Calif.), called the strategy “the next step in an important national conversation on securing critical systems and information, one that the Armed Services Committee has been having for some time.”

That panel already has set up its own cybersecurity task force, which Chafin said would “consider this [DOD] plan in its sweeping review of America’s ability to defend against cyber attacks.”

As the Pentagon tweaks its approaches to cybersecurity, Senate Armed Services Committee ranking member John McCain (R-Ariz.) on Wednesday wrote Senate leaders saying that chamber must as well. McCain asked Majority Leader Harry Reid (D-Nev.) and Minority Leader Mitch McConnell (R-Ky.) to establish a temporary Select Committee on Cyber Security and Electronic Intelligence Leaks.

“Cybersecurity proposals have been put forth by numerous Senate committees, the White House and various government agencies; however, the Senate has yet to coalesce around one comprehensive proposal that adequately addresses the government-wide threats we face,” McCain’s office said in a statement. “A select committee would be capable of drafting comprehensive cybersecurity legislation quickly without needing to work through numerous and in some cases competing committees of jurisdiction.”


Fuente:
http://thehill.com/blogs/hillicon-valley

martes, 12 de julio de 2011

Cómo surgió el movimiento hacker que desafía al mundo

Un breve recorrido por los orígenes y características de los integrantes y agrupaciones que lograron su impacto a nivel global con los recientes ataques a Sony, Nintendo y el FBI

 

Mark Ward
BBC, Tecnología

El mundo está lleno de hackers, o eso es al menos lo que parece. En los últimos meses apenas ha pasado un día en el que no se haya dado a conocer una nueva violación de seguridad informática .

Compañías multinacionales se vieron asumiendo el costo de ataques a sus sistemas de correo electrónico y sus sitios web.

Y el público general sufrió el robo de información y su posterior publicación en Internet.

En los comienzos del siglo XXI la palabra "hacker" se ha convertido en sinónimo de gente que siembra el terror en Internet, de forma anónima, oculta en oscuras salas.

Pero no siempre ha sido así. Los hackers originales eran, de hecho, benignos estudiantes.

Para cualquiera que cursara sus estudios en el Instituto de Tecnología de Massachusetts (MIT, por sus siglas en inglés) durante las décadas de 1950 y 1960, la palabra "hack" se refería a una solución simple, creativa y elegante para un problema.

Muchos de esos hacks solían ser bromas pesadas. En uno de los ejemplos más extravagantes, una reproducción del auto de la policía que recorría la universidad fue colocada sobre el gran domo del MIT.

Con el tiempo la palabra empezó a asociarse a la floreciente escena de los programadores informáticos, en el MIT y más allá. Para esos pioneros, un hack representaba una proeza en el campo de la programación.
Esas actividades causaban admiración por combinar un conocimiento especializado con un instinto creativo.

Poderosos varones. Esos estudiantes del MIT también sentaron las bases para la notable división de género del mundo de los hackers. Tanto entonces, como ahora, suele ser un universo habitado por hombres jóvenes y adolescentes.

La razón fue explicada por el autor de ciencia ficción Bruce Sterling en un libro sobre los primeros grupos de hackers.

Los hombres jóvenes suelen carecer de poder, argumentaba. Un íntimo conocimiento de un área técnica les da control, aunque solo lo apliquen sobre máquinas.

"Nunca debe subestimarse la atracción profunda que genera la sensación de poseer un poder técnico exclusivo", escribió Sterling.

Su libro, La caza de hackers (The hacker crackdown, en inglés), detalla vida y obra de la primera generación de hackers.

La mayoría eran muchachos jugando con la red de teléfono, infiltrando los primeros sistemas de ordenadores y hablando sobre sus actividades en bulletinboards (de algún modo, precursores de los foros de Internet, conocidos de forma popular como BBS).

Esta era también la época de las revistas especializadas en las actividades de los hackers, como Phrac y 2600, que todavía sigue existiendo. Quienes pertenecían a este movimiento se daban apodos como Rayo Caballero o Izquierdista (Knight Lightning y Leftist, en inglés).

Y también empezaron a surgir grupos con pomposos nombres, como Legión de la Perdición, Maestros del Engaño y Caballeros de Neón (Legion of Doom, Masters of Deception y Neon Knights). A medida que los hackers se fueron sofisticando, empezaron a llamar la atención de las fuerzas de seguridad.

En las décadas de 1980 y 1990, legisladores de Estados Unidos y Reino Unido aprobaron leyes contra el uso indebido de computadoras, lo que permitía procesar a quienes las violaran.

A eso siguió una serie de medidas drásticas, que culminaron en 1990 con la operación Sundevil, una sucesión de redadas contra hackers del servicio secreto de EE.UU..

Dinámica de grupo. Pero si el objetivo principal de Sundevil era acabar con los hackers, la iniciativa estadounidense fracasó. A medida que lo sistemas conectados se volvían más omnipresentes, emergió un nuevo grupo, deseoso de demostrar sus capacidades.

La grandilocuencia era parte de todo el asunto para agrupaciones como L0pht Heavy Industries, Cult of the Dead Cow, y Chaos Computer Club, e individuos como Kevin Mitnick , Mafiaboy (Chicomafia) y Dark Dante (Dante el Oscuro).

En 1998, en una famosa comparecencia ante el Congreso de Estados Unidos, miembros de L0pht dijeron que podían derribar Internet en 30 minutos. Mafiaboy demostró qué era capaz de hacer, al atacar sitios web de prominentes firmas, como Yahoo!, Amazon, eBay y CNN.

Dark Dante utilizó sus conocimientos para ganar un Porsche 944 en un concurso de un programa de radio, tras infiltrarse en las líneas de teléfono de la emisión y hacerse pasar por el oyente número 102 en llamar (que era quien ganaría el premio).

Hechos como estos demuestran cómo los hackers caminan sobre la delgada línea que separa la legalidad de la ilegalidad, explica Rik Ferguson, especialista en seguridad informática de Trend Micro.

"Estos grupos pueden ser al tiempo de sombrero blanco, de sombrero negro (o a veces gris) dependiendo de su motivación", dice, aludiendo a las películas de vaqueros, en las que los buenos siempre usaban sombreros blancos y los malos, negro.

En la jerga informática, los sombreros blancos también son benignos y los negros son criminales. Pero esos términos son relativos. A veces alguien es un hacker en una situación y un hacktivista (activista informático) en otra.

Amenaza global. El hacking tuvo sus inicios incipientes en Estados Unidos, pero se ha vuelto realmente global.

"Recientemente han emergido grupos en lugares como Pakistán e India, donde hay una feroz competencia entre los hackers", dice Ferguson.

Grupos como el rumano HackersBlog han atacado a varias compañías. Se cree que hackers de China y Rusia han actuado al servicio de sus gobiernos.

Y ahora, en 2011, grupos de hackers han vuelto a ocupar los titulares.

Fundamentalmente dos de ellos: Anonymous y la extinta agrupación LulzSec, que han cobrado relevancia con ataques de alto perfil a Sony, Fox e Infragard, una organización asociada con el FBI.

"Estas acciones ocurren al tiempo que gobiernos nacionales buscan decidir qué hacer en caso de un ataque concertado a su infraestructura de red", dijo el veterano analista sobre cibercrimen Brian Krebs.

"No es muy difícil entender por qué tanta gente le presta atención a una actividad que en su mayor parte se trata de hacks de la vieja escuela: determinar un objetivo y atacarlo por diversión o para dar un mensaje, y no para conseguir un beneficio económico", agregó.

Una de las prácticas en boga hoy es modificar (deformar, en la jerga) sitios webs para dejar mensajes prominentes, semejantes a los de un artista de grafiti.

De acuerdo con Zone-H, un sitio dedicado al seguimiento de este tipo de actividad, se registraron más de 1,5 millones de "deformaciones" en 2010, más que nunca antes.

Y parece ser que 2011 alcanzará al menos la misma cifra.

El repentino crecimiento en el número de hackers no necesariamente tiene que ver con que se hayan mejorado los cursos de informática en las escuelas o por un mayor esfuerzo por parte de jóvenes entusiastas de la computación.

Más bien se le debe atribuir a la popularidad de las "cajas de herramientas de ataque" (ATKs por sus siglas en inglés), programas fáciles de conseguir, diseñados para aprovechar fallas de seguridad informática. Ese tipo de software está ampliamente disponible en Internet.

Bruce Sterling imaginó lo que eso puede implicar.

"Si el alboroto dura lo suficiente, aparece simplemente un nuevo tipo de sociedad; es el mismo juego de siempre de la historia, pero con nuevos jugadores, nuevas reglas", escribió.

Y tal vez es allí donde nos encontramos ahora. Las reglas de la sociedad están siendo modificadas, pero no estamos seguros de quiénes están ejecutando los cambios.

Fuente:
http://www.lanacion.com.ar/1387964-como-surgio-el-movimiento-hacker-que-desafia-al-mundo

sábado, 9 de julio de 2011

Empresas y gobiernos crean una agencia para combatir cibercrímenes

(CNNMéxico) — Varios países en coordinación con empresas de seguridad informática y agencias policiales anunciaron este martes la creación de una organización internacional para combatir los delitos informáticos a escala global.

La Alianza Internacional para la Protección de la Ciberseguridad Internacional (ICSPA, por sus siglas en inglés) fue anunciada en Londres e involucra a grandes compañías de seguridad informática como McAffe y Trend Micro, y a agencias policiales como la Europol, que lucha contra la criminalidad dentro de la Unión Europea.

La nueva organización se financiará de los presupuestos de los gobiernos y de cualquier compañía privada que desee colaborar, dentro y fuera de la Unión Europea.

El primer ministro británico David Cameron, al respaldar al nuevo organismo, aseguró que aunque su gobierno ha invertido 650 millones de libras en fortalecer la seguridad informativa, ICSPA representa una respuesta global a cualquier amenaza que llegue a través de internet, incluídas las estafas.

“Al colaborar entre gobiernos, empresas de seguridad y agencias policiales en todo el mundo, al investigar en entrenamiento y construir una red de intercambio de experiencia, el ICSPA será lo suficientemente amplia y poderosa para poner boca abajo al crimen cibernético”, agregó Cameron.

Por su parte el secretario de Estado británico encargado de la prevención contra el crimen, James Brokenshire, señaló que aunque internet proporciona grandes oportunidades tanto a personas como a empresarios, también permite que los delincuentes operen "más allá de las fronteras nacionales".

La nueva organización de seguridad es lanzada en el momento en que ataques informáticos contra compañías y gobiernos han tomado auge, y a solo semanas de que Google denunciara un presunto ataque informático contra su sistema de correo electrónico procedente desde China.

Fuente:
http://mexico.cnn.com/tecnologia/2011/07/06/empresas-y-gobiernos-crean-una-agencia-para-combatir-cibercrimenes

The International Ciber Security Protection Alliance

Business, government and law enforcement join forces in international fight against cyber crime.

There are calls today for a concerted, coordinated crackdown on cyber crime in the face of the increasing global threat.

For the first time, leading international businesses, government and law enforcement agencies are coming together in a bid to tackle the issue.

Launching in London today, the International Cyber Security Protection Alliance (ICSPA) is focused on taking the fight to cyber criminals. It plans to disrupt their activities by providing more resources, tools and expertise to law enforcement agencies in countries that face the greatest challenges or potentially act as hosts; helping them be more successful in their fight against cybercrime.

In welcoming the launch of the ICSPA, UK Prime Minister, the Rt Hon David Cameron MP, said: “Our government has already injected an additional £650m to help improve our national infrastructure and protect against cybercrime, but the very nature of this threat calls for more than a national response; it demands a truly global response and that is what the International Cyber Security Protection Alliance is all about.”

“By forging new relationships between businesses, governments and law enforcement officers all over the world, by investing in new training, and by building an international exchange of expertise, the ICSPA is forming a network powerful enough and wide enough, to face down cybercrime. “

With support from its founding member companies, including McAfee Inc, Cassidian Systems (an EADS company), Trend Micro and Visa Europe, ICSPA’s goal is to improve international law enforcement capability and capacity to help protect businesses and their customers against this unprecedented threat.

Speaking at the launch, James Brokenshire MP, Home Office Minister for Crime and Security said: “The internet has brought great opportunities for individuals and businesses, but also for criminals to operate across national boundaries. Cyber crime is a truly global problem and to tackle it we need strong partnership between countries and across private and public sectors. I welcome the launch of the International Cyber Security Protection Alliance. Its partnership with Europol will bring together a range of resources, tools and expertise to crackdown on cybercriminals and strengthen our response to online crime.”

Chaired by former Home Secretary, the Rt Hon David Blunkett MP, the ICSPA, an international business-led not-for-profit organization, is co-ordinating a new global and collaborative approach to deal with the aggressive growth in cybercrime.


Mr Blunkett said: “This partnership approach will aim to combine both the resources and the knowledge-base of those engaged in this collaborative venture to the mutual benefit of all. The intention is to add value, to respond by identifying specific law enforcement need and, over time, to demonstrate by outcome the way in which international links can be extended, matching the operational activity of those intent on creating harm who know no national boundaries and respect no demarcation within or between existing government and private agencies”.

In a significant development, it is also being announced today that Europol, the European law enforcement agency, will form a strategic partnership with the ICSPA.

Rob Wainwright, Director of Europol, commented: “This is a vital partnership which will bring governments, business and law enforcement agencies together to address key issues such as the harmonisation of cybercrime training for law enforcement officials, providing advice and guidance and driving information sharing initiatives between EU law enforcement agencies and businesses. By doing so, we aim to ensure that by working more closely together across our 27 EU Member States and with international partners, business and law enforcement can collaborate in ways which will start to have a real impact on the unprecedented levels of cyber criminality which is causing significant harm to businesses and citizens on a global scale.”

John Lyons, Chief Executive of the ICSPA, said: “This unique initiative combining business expertise and resources to work closely with governments in support of law enforcement in their fight against cybercrime globally, is probably our best chance of taking on cybercrime groups who feel they have free reign to do what they like on the Internet with little risk of being apprehended or disrupted. Today, is just the beginning of a wider business-led response to bringing about a safer and more secure Internet experience for all of us. We very much appreciate the support from our founding member businesses and look forward to welcoming many more in the years ahead.”

jueves, 7 de julio de 2011

Los hackers, Internet y WikiLeaks, por un mundo más transparente - Hackers vs Crackers

por Colaboradores ENTER.CO  Julio 6 de 2011 

“Internet está devolviendo el poder a las personas, y gracias a esta teoría nació Wikileaks, pues le quita el velo a la política para que los ciudadanos puedan ver qué hay detrás”, dice Luis Alejandro Bernal, ingeniero de sistemas, escritor y y uno de los conferencistas que participaron en Campus Party Colombia 2011.

Bernal centró su intervención en tres temas distintos pero interrelacionados: la ética hacker, la libertad de expresión y la importancia de WikiLeaks.

A pesar de que WikiLeaks ha sido catalogado como una amenaza pública por parte de algunos gobiernos, por la filtración, entre otros,de documentos secretos, Bernal asegura que lo que pretende WikiLeaks es denunciar los atentados contra la libertad, denunciar el secreto y la censura que se usan con el ánimo de controlar a las personas. En otras palabras, promover un mundo más transparente.

Así mismo, Bernal agrega que “Wikileaks es el resultado del fenómeno de la existencia de Internet”, y además asegura que cuando este proyecto de Julián Assange se acabe, siempre habrá otro sitio que lo remplace, porque este fenómeno puede ser considerado como una forma de veeduría, una forma en la que los ciudadanos puedan estar pendientes de lo que hace el Estado. (De hecho, ya OpenLeaks, ‘rival’ de WikiLeaks surgido desde adentro por diferencias filosóficas entre sus creadores, ya ha dado sus primeros pasos).

Y Bernal amplía su planteamiento de WikiLeaks a toda Internet: “El día que Internet muera, este resucitará”.




El verdadero hacker.

Otro tema que siempre genera interés y debate es el de el hacker y su ética. De hecho, para dar un ejemplo de la confusión, en ENTER.CO recibimos fuertes críticas por esta nota, por mostrar una ‘cara positiva’ del hacker.

Citando al historiador de la cultura hacker y líder del movimiento Open Source Eric Raymond, Bernal señala que los hackers, “programadores expertos y magos de las redes”, surgidos hace muchas décadas, son quienes construyeron Internet, y son hoy quienes hacen funcionar la Web. Así mismo, Bernal afirma que la naturaleza de Internet es transparente y se basa en la ética hacker.

Para el autor, estos son los valores y las motivaciones que resumen la ética de los hackers: el mundo está lleno de problemas fascinantes que esperan ser resueltos (“Internet fue creada porque es un problema interesante, y a la vez para compartir problemas y sus soluciones”); la libertad siempre es buena, y es necesaria para que el hacker pueda crear soluciones (“Si quieres dañar a un Hacker, es fácil, sólo quítale su libertad”); y en tercer lugar, el hacker es antiautoritario por naturaleza (y vuelve a WikiLeaks: “Esa es la razón de ser de WikiLeaks, denunciar los atentados contra la libertad, el secreto y la censura para controlar a las personas”).

Al mencionar estos tres valores, Bernal hace la aclaración mil veces hecha pero pocas veces comprendida por el gran público –y muchos medios de comunicación–: los verdaderos hackers no hacen daño y construyen, y los hackers que destruyen no merecen ese nombre. “No son hackers. Se divierten entrando ilegalmente en computadores y sistemas telefónicos, y causando daño. No son brillantes ni disciplinados. Los hackers de verdad los llaman ‘crackers’”, agrega.

Para finalizar su intervención, y a propósito de los gobiernos que están buscando controlar u ‘ordenar’ Internet, Luis Alejandro Bernal es enfático: “Si quieren tratar de controlar Internet, hay que recordar que esta red fue hecha contra desastres nucleares: que se adaptará, se reconectará, se reconfigurará para que los valores de libertad y cooperación sigan existiendo”.

Notas relacionadas:


Este es el video oficial de Campus Party con la conferencia de Luis Alejandro Bernal:





martes, 5 de julio de 2011

The Long-Term Impact of Short-Term Problems







I pose the question because from the recent events, may organizations (profitable, global organizations) have had board room level visibility into what a security breach can cause them in terms of reputational, financial, and operational risk.  That being said, we've seen EPS fall (short-term, anyway), people get fired, and in some cases mass amounts of revenue go unrecognized.  So what?  What has changed?

Immediate Impact of a Catastrophic Breach

I think, unless I've been reading the news wrong, that the short-term, immediate impact of a 'catastrophic' breach (one that makes front-page news on a busy day) is the board room notices.  At that instant the security manager, or whom ever is responsible for the organization's security, has a tiny window of opportunity to make the most important decision of their careers.  That decision, if I may be frank for a moment, will either be to do something heroic and stupid, or step back and think and make a smart decision.

The problem with the "heroic and stupid" option is that it's the easier one to make.  It's simple to look at a breach that has cost a company north of $150 million US dollars, and go before the board and ask for a huge bucket of money to 'fix the problems'.  See, this is the problem of being "stupid and heroic" ...it's the easy and obvious move to make... but it's the wrong one.  A hasty decision to throw money at the problem without first fully assessing the problem and organizational impact can actually make things worse.  In a hasty decision it's easy to take that bucket of money you're being offered, and spend it on something that can either mask the original problem, or solve a symptom of the problem - and leave the actual underlying problem to fester.  The bigger issue here is that on top of the fact that the problem still remains, you're now out a bunch of money and expected to deliver "security".

The much more difficult thing to do is to take a step back, offer to perform a full-on risk assessment and only then offer a solution.  With all the pressures and eyes on the security manager ... it's scary to do the right thing.  The pressure from media, from the board or shareholders may be overwhelming ...but keep in mind that if you're a good security manager you know better than they all do ...let that be your guide.

Doing the Right Thing

At the risk of sounding like a late-80's Spike Lee movie ...just remember to "do the right thing".  I fully realize this won't necessarily make you short-term popular, or a 'hero' immediately, but sanity will prevail.  I wrote a piece on this earlier called "QuickSand" and you can read about the dangers of a diaster-driven security program  too if you've missed it... but the idea that a panic and catastrophe should drive your reaction is just as crazy.  Don't let it happen to you.  I won't beat this topic to death any more ... 


So Back to My Question

How long do you suspect that the memory of these catastrophic data breaches we've seen in the last few months will live?  Six months? A year?  Three years?  I'm willing to bet that some incidents will be forgotten faster than others, and it will generally be proportional to the amount of money lost.  Interestingly enough, this may also depend on what you (or the 'security person in charge') does to solve the problem.

You see, you and I know full well that the board room has long-term memory, but only on things that catastrophically impact them.  If your security incident loses the company $5/share on a $20/share price and a year later they haven't quickly recovered ...you can bet that incident will be on their minds longer than if your company pays the fine and bounces back.  I know, it's disheartening...

In the big picture, I'm willing to bet that the length of impact won't exceed 18 months.  Moral of the story is ...do the right thing, but make it snappy.  I think I'd like to believe that everyone will start to care about security ...but then I wake up from my dream and realize it's not really realistic.  In the #SecBiz conversations we've had it's acknowledged that unless we make security relevant to the business ...all is lost anyway - but I really firmly believe that how you respond to a major incident is what will dictate how your company perceives and carries forth the ideals of security in the business.

Don't screw it up, you probably have less time than you think, and this isn't golf, no mulligans.

Fuente:
http://h30499.www3.hp.com/t5/Following-the-White-Rabbit-A/The-Long-Term-Impact-of-Short-Term-Problems/ba-p/4807631



sábado, 2 de julio de 2011

EEUU aconseja cómo combatir ‘hackers’

El Gobierno actualizó una lista de 25 errores de software más peligrosos y guías para evitarlos; el primer lugar del enlistado es el agujero de seguridad que permitió acceder al sistema de Sony.


NUEVA YORK (Reuters) — Desarrolladores de software preocupados por la protección frente a los ataques informáticos tienen ahora una nueva herramienta para identificar errores comunes.
El Gobierno estadounidense actualizó recientemente una lista de los 25 errores de software más peligrosos y guías para ayudar a los programadores a identificarlos y evitarlos.

El sistema busca eliminar brechas de seguridad comunes que los piratas han utilizado para atacar a empresas como Lockheed Martin y Sony Corp.

Los consumidores de software ahora pueden pedir a los desarrolladores una puntuación de seguridad en función de un sistema estándar que pretende que los programadores estén más atentos a evitar fallas.

"El desarrollador de software no va a mostrar una puntuación baja", indicó Alan Paller, director de investigación en el Instituto SANS, una compañía de formación en seguridad informática. "Va a arreglar el problema. Porque cómo vas a decir '¿Voy a venderte algo que es peligroso?', agregó.

La lista de vulnerabilidades de software realizada por el Departamento de Seguridad Nacional y el MITRE, un organismo de investigación con financiamiento estatal, se publica cada año desde el 2009.

En el primer lugar de la última lista aparece un agujero de seguridad llamado inyección SQL que permitió al grupo de hackers LulzSec acceder a los sistemas de Sony e InfraGard, un centro utilizado por el FBI para establecer relaciones con negocios privados.

Dar un nombre común a los errores de software fue un paso crucial para crear un sistema de puntuación estandarizado.

Anteriormente, muchas firmas que analizan software en busca de fallas describían los mismos errores con diferentes nombres, haciendo casi imposible crear un sistema de evaluación de seguridad.

Ahora, el MITRE presiona a las empresas para que adopten un lenguaje común, llamado enumeración de debilidades comunes, y el nuevo sistema de puntuación.

La firma de análisis de software Fortify, propiedad de Hewlett-Packard, y la compañía Cenzic, han anunciado que adoptarán ambos criterios.

Falta de educación

Muchos de los errores de software que explotan los hackers ya deben considerarse como blancos fáciles. La inyección SQL, por ejemplo, lleva años siendo un problema conocido en la industria.

Pero la existencia de agujeros de seguridad aparentemente sencillos se explica, en parte, porque no hay estándares reales para enseñar programación de software seguro.

Los programadores provienen de campos muy diversos, desde autodidactas hasta profesionales con títulos de Harvard. Paller señaló que a la mayoría de los desarrolladores nunca se les enseñó cómo escribir códigos seguros.

"Si nunca se les ha enseñado a hacerlo, y nadie se los pide y nadie lo comprueba, entonces no lo hacen porque no saben cómo", explicó Paller a Reuters.

Paller afirmó que despertó un cierto malestar en la industria cuando ofreció premios en efectivo a los estudiantes que encontraran errores de seguridad en los libros que les enseñaban a escribir código.

Joe Jarzombek, responsable del programa en el Departamento de Seguridad Nacional, señaló que la lista de los 25 primeros errores es como una guía sobre la que pueden basarse los programadores para certificar que su software está libre de esos problemas.

"Es un gran servicio para gente que de otro modo piensa: 'Soy una víctima. No puedo hacer nada con el software'", indicó en una entrevista. 

Fuente:
http://www.cnnexpansion.com/tecnologia/2011/06/28/eu-aconseja-como-combatir-hackers


viernes, 1 de julio de 2011

Robots Automáticos Indestructibles - Botnet


Security Researchers Discover 'Indestructible' Botnet


More than four million PCs have been enrolled in a botnet security experts say is almost "indestructible".

The botnet, known as TDL, targets Windows PCs and is difficult to detect and shut down.
Code that hijacks a PC hides in places security software rarely looks and the botnet is controlled using custom-made encryption.
Security researchers said recent botnet shutdowns had made TDL's controllers harden it against investigation.
The 4.5 million PCs have become victims over the last three months following the appearance of the fourth version of the TDL virus.
The changes introduced in TDL-4 made it the "most sophisticated threat today," wrote Kaspersky Labs security researchers Sergey Golovanov and Igor Soumenkov in a detailed analysis of the virus.

"The owners of TDL are essentially trying to create an 'indestructible' botnet that is protected against attacks, competitors, and anti-virus companies," wrote the researchers.
Recent successes by security companies and law enforcement against botnets have led to spam levels dropping to about 75% of all e-mail sent, shows analysis by Symantec.
A botnet is a network of computers that have been infected by a virus that allows a hi-tech criminal to use them remotely. Often botnet controllers steal data from victims' PCs or use the machines to send out spam or carry out other attacks.

The TDL virus spreads via booby-trapped websites and infects a machine by exploiting unpatched vulnerabilities. The virus has been found lurking on sites offering porn and pirated movies as well as those that let people store video and image files.
The virus installs itself in a system file known as the master boot record. This holds the list of instructions to get a computer started and is a good place to hide because it is rarely scanned by standard anti-virus programs.

The biggest proportions of victims, 28%, are in the US but significant numbers are in India (7%) and the UK (5%). Smaller numbers, 3%, are found in France, Germany and Canada.
However, wrote the researchers, it is the way the botnet operates that makes it so hard to tackle and shut down.

The makers of TDL-4 have cooked up their own encryption system to protect communication between those controlling the botnet. This makes it hard to do any significant analysis of traffic between hijacked PCs and the botnet's controllers.
In addition, TDL-4 sends out instructions to infected machines using a public peer-to-peer network rather than centralized command systems. This foils analysis because it removes the need for command servers that regularly communicate with infected machines.
"For all intents and purposes, [TDL-4] is very tough to remove," said Joe Stewart, director of malware research at Dell SecureWorks to Computerworld. "It's definitely one of the most sophisticated botnets out there."

However, the sophistication of TDL-4 might aid in its downfall, said the Kaspersky researchers who found bugs in the complex code. This let them pry on databases logging how many infections TDL-4 had racked up and was aiding their investigation into its creators.

Source:

Other link to consult about it:



David Latorre Bermúdez
Técnico en Sistemas - SENA