jueves, 28 de mayo de 2009

Esteganografía usando TCP

Les presento esta vez un tema académico y que trata de cómo "esconder" (con esteganografía) información usando el protocolo TCP. El paper es de los señores Wojciech Mazurczyk, Milosz Smolarczyk y Krzysztof Szczypiorski de la Universidad Técnica de Varsovia. El truco está en usar los mecanismos de retransmisión de TCP para inyectar información, es decir, se explota la manera en que TCP fue diseñado para el fin ya mencionado.

 

Me gustan mucho estas investigaciones en seguridad tipo "paper", ya que son estudios creativos e innovadores donde es necesario ponerle cerebro y demostrar que se domina un tema, en este caso, sería el protocolo TCP.

 

Denle un vistazo, independientemente de si las afirmaciones del documento son refutables o no, la investigación bien vale la pena.

 

Extracto:

 

"The paper presents a new steganographic method called RSTEG

(Retransmission Steganography), which is intended for a broad class of protocols that

utilises retransmission mechanisms. The main innovation of RSTEG is to not

acknowledge a successfully received packet in order to intentionally invoke

retransmission. The retransmitted packet carries a steganogram instead of user data in

the payload field. RSTEG is presented in the broad context of network steganography,

and the utilisation of RSTEG for TCP (Transport Control Protocol) retransmission

mechanisms is described in detail. Simulation results are also presented with the main

aim to measure and compare the steganographic bandwidth of the proposed method for

different TCP retransmission mechanisms as well as to determine the influence of

RSTEG on the network retransmissions level."

 

http://arxiv.org/ftp/arxiv/papers/0905/0905.0363.pdf

http://arxiv.org/abs/0905.0363

 

miércoles, 27 de mayo de 2009

Tendencia: detectar ataques salientes.

Los antivirus perimetrales han sido instalados por las empresas para detectar malware que intenta entrar por ejemplo por protocolos altamente populares y por ende muy usados como el http o smpt. Pero lo de hoy es ya tener appliances que detectan los ataques que salen de la empresa hacia Internet. Y tiene sentido.

 

El malware de hoy no se explica sin la conectividad a Internet, ya que una vez que infectan a un equipo, se va a conectar a la “nave nodriza”, es decir, al que controla la botnet o a ese malware en particular. ¿Tiene sentido monitorear las conexiones que van desde los equipos hacia Internet con el afán de detectar esas llamadas a las naves nodrizas? Sí lo tiene.

 

Con esta técnica, se complementa el antivirus tradicional perimetral que detecta y detiene al malware entrante a la red interna. Ahora tenemos una detección de dos vías porque no sólo se detectan los ataques entrantes, sino que estaremos detectando el código malicioso que trata de contactar a sus creadores (así opera la mayoría). Sabremos que “X” y “Z” equipos dentro de la organización están infectados porque envían tráfico identificado como malicioso hacia Internet; la labor ahora será buscar esas máquinas con esas IP y limpiarlas.

 

Claro, el hecho de detectar el tráfico malicioso saliente es reactivo, mientras que por otro lado tener el antivirus tradicional perimetral previene que el malware infecte los equipos de la empresa. Por eso debemos de verlo como un complemento.

 

De hecho, asistí a una reunión donde un fabricante de antivirus hizo una presentación de su producto que hace precisamente lo ya descrito. Ayer navegando me encontré que ya otra empresa (que no se dedica precisamente a la parte de antivirus) tiene disponible este tipo de funcionalidad en sus appliances.

 

Es lo de hoy y pronostico que pronto veremos a más fabricantes ofrecer dispositivos con esta nueva técnica. Tiene sentido y si ya se tiene un antivirus perimetral, tal vez habrá que pensar en tener un complemento que ayude a la guerra contra el malware.

 

jueves, 21 de mayo de 2009

Antivirus 2.0

El esquema de firmas obedece ya a la era de los antiguos antivirus 1.0, dicho esquema es una manera de funcionar que ya no está acorde a las exigencias impuestas por los atacantes del día de hoy. La cantidad de malware que aparece cada día hace que hacer firmas para controlarlo sea ya algo ineficiente. Por ahí hay ya iniciativas que parecen indicar que algunos de los fabricantes de antivirus desean orientarse hacia una nueva ruta de prevención o al menos hacia una respuesta mucho más rápida.

La famosa lista negra (firmas) es principalmente la manera como los antivirus manejan al código malicioso y el esquema en general puede ser descrito como: aparece un malware, en algún momento los fabricantes se dan cuenta del mal, lo analizan y crean una firma que posteriormente es liberada. Los antivirus reciben la firma y pueden ya reconocer al mal programa. Hay un gap entre el tiempo en que se libera el código malicioso en Internet y el tiempo en que llega la firma correspondiente. Y si por alguna razón el antivirus no se actualiza en un par de días o semanas, el esquema simplemente es vencido por los códigos maliciosos. Hoy en día inclusive algunas horas de des-actualización deberían de ser ya preocupantes.

Corremos con suerte si el malware es genérico y una firma logra identificarlo (esto sucede con las variantes de un mismo código). Por otro lado, la famosa “heurística” usada por algunos antivirus que trata de reconocer virus o troyanos sin contar con la firma no es algo que en mi opinión realmente sirva en la práctica por la manera en que ha sido implementada, sobre todo en un ambiente corporativo.

Simplemente, los antivirus necesitan dar el siguiente paso, por ahí leí que se estima que en el 2015 (de seguir la actual tendencia y que todo parece indicar que así seguirá), se podrían estar generando alrededor de 26,000 códigos maliciosos por hora. ¿Cómo aguantar el paso? La respuesta: evolución/innovación. Pasar de depender de las firmas, a un esquema donde las firmas sean simplemente apoyo de otras tecnologías.

Sólo por poner un ejemplo, actualmente la gran –gran- mayoría del malware opera infectando y comunicándose al exterior (Internet) para recibir más malware, instrucciones o actualizaciones; también se comunican para enviar la información robada. Es un patrón que pueden aprovechar los antivirus para identificar a los malos programas. La modificación de ciertas llaves del registro de Windows es otro patrón, ya que en general son sólo un grupo de llaves que se están modificando. Y el mejor esquema que puede ser incorporado: las listas blancas, que es lo que hace un firewall personal. 

En conclusión, ya necesitamos lo que yo llamo “antivirus 2.0” (retomando obviamente la idea del Web 2.0). No quisiera decir marcas, pero por ahí ya hay un antivirus con forma de oso que está promocionando su “cloud antivirus”, o también está la compra reciente por parte de una marca de antivirus de Solidcore, una tecnología de listas blancas (permitir lo conocido, tipo firewall personal). Esta es una tendencia que yo veo, donde de alguna forma u otra, el esquema de firmas está ya entrando a la prehistoria. ¿Por qué tardaron tanto?

 

miércoles, 20 de mayo de 2009

El estado de la seguridad es como una fotografía.

El estado de la seguridad captura un instante en el tiempo, es equivalente a obtener una fotografía: se obtiene una impresión de en un momento dado. Hoy/ahorita podemos tener un estado "seguro" de la infraestructura o de un equipo, mañana o al rato ese estado bien puede cambiar; no podemos proveer de seguridad por ejemplo a un servidor, dar la vuelta y olvidarnos del asunto. El estado de la seguridad es cambiante, mucho más de lo que podemos pensar.

 

Ejemplifiquemos. Hoy instalamos y configuramos un sistema operativo de la manera más segura posible porque va a estar expuesto a Internet. Mañana lo ponemos en producción y nos olvidamos de ese equipo, digamos, por un año. En 12 meses regresamos y esperamos para ver si sigue “como lo dejamos”. Sorpresa. A la semana siguiente que se puso en producción, se le instalaron parches de seguridad que si bien solucionaron ciertas debilidades, abrieron otras que se descubrieron meses después. Asimismo, le crearon cuentas de usuario "necesarias" y le instalaron una aplicación para dar un "nuevo" servicio. Todo lo anterior modificó el estado de la seguridad dando lugar a uno nuevo que no ha sido evaluado; sencillamente es un estado diferente al que dejamos 12 meses atrás.

 

Cada vez que se llevó a cabo la instalación de una nueva aplicación, el cambio de una configuración o la aplicación de parches, se modificó el estado de la seguridad. Cambios en la infraestructura también modifiquen el entorno: cuando se le quitó el PIX firewall que estaba delante de ese equipo protegiéndolo de las amenazas de Internet por motivos de "presupuesto", se modificaron las condiciones iniciales que tomamos en cuenta para proteger al equipo.

 

Lo anterior es válido para sistemas operativos y otros dispositivos como ruteadores, switches o también para un conjunto de dispositivos que forman la llamada "infraestructura". ¿Qué factores pueden modificar el estado de la seguridad? A continuación de los más importantes que me vienen a la mente:

 

+ Nuevas aplicaciones. Definitivamente creo que la instalación de una nueva aplicación es la principal fuente de modificación del estado de la seguridad. Introduce nuevas debilidades, abre puertos antes cerrados, instala DLL antes inexistentes, habilita servicios antes deshabilitados, etc.

 

+ Configuraciones. Nuevas cuentas de usuario, habilitación o des-habilitación de un servicio, una nueva regla en un ruteador, una carpeta que ahora se comparte, un nuevo mapeo a una unidad externa de red, etc. ¿Cómo impactan estos cambios a la seguridad? ¿Asumimos que no impactan y seguimos adelante (síndrome del avestruz)? ¿Lo evaluamos tan siquiera? Sin saberlo, bien pudimos cambiar el estado de la seguridad por un “simple” cambio cuyas consecuencias se reflejarán más adelante en el tiempo.

 

+ Parches. Los parches de seguridad solucionan debilidades. ¿Introducen nuevas y desconocidas debilidades? Si la respuesta es que no lo hacen, cómo lo podemos demostrar? La teoría dice que los parches no van a introducir nuevas debilidades, en la práctica podemos estar seguros al 100%? En todo caso, tendríamos que hacer el análisis cada vez que se aplica un parche para poder estar seguros de que el estado de la seguridad efectivamente no se modificó.

 

+ Cambios en la infraestructura. Aquí vamos más allá de hablar individualmente de un solo ruteador, un solo servidor o un equipo. Aquí hablamos de cambios en la arquitectura: poner un firewall, quitarlo o cambiarlo por otra marca; hablamos de cambiar de sistema operativo o de remover servidores físicos por virtuales; tal vez hablamos de abrir un nuevo canal de comunicación hacia nuestro socio o proveedor. Todo lo anterior cambió la infraestructura de TI y por lo tanto se modificó el estado de la seguridad de la infraestructura con nuevas implicaciones; inclusive tal vez dichos cambios llevan a un estado más confiable/seguro de la infraestructura…no lo sabremos hasta haberlo evaluado.

 

Conclusión. El estado de la seguridad es un ente cambiante, decir que algo es seguro es únicamente afirmar que así se encuentra en ese momento del tiempo. Es equivalente a preguntar cuántos autos están pasando por “x” caseta de cobro…la respuesta es que depende de en qué día y a qué hora se haga el conteo, y dicha respuesta irá cambiando conforme se modifiquen las condiciones de tráfico de esa caseta. El cambiante estado de la seguridad deriva en llevar a cabo constantes análisis de riesgos para estar evaluando continuamente el nuevo entorno.

 

jueves, 14 de mayo de 2009

Cyber Arms Race: no es cuento chino.

Imaginemos que somos ingenieros civiles y somos dueños de un edificio en el cual vivimos. Tenemos a una persona que realmente nos cae mal a unas cuadras de distancia y vive también en un edificio que fue construido exactamente igual que el nuestro. ¿Sería correcto pensar que si le queremos jugar una broma pesada o inclusive algo más serio, tendríamos una clara ventaja por conocer el entorno?

Conocemos nuestro edificio porque vivimos en él y al ser los dueños, tenemos acceso a cada rincón del mismo; tenemos acceso a los planos y conocemos las rutas de las verticales, de los conductos de aire acondicionado y de aquella puerta trasera que se encuentra escondida detrás de un viejo mueble, sin tomar en cuenta ese pasadizo que lleva directamente a la calle. Más aún, al ser ingenieros civiles, tenemos un conocimiento profundo de la estructura de la construcción, entendemos cómo fue construido y cuáles son sus debilidades. La persona que nos cae mal vive exactamente en un edificio igual (en todo sentido) al nuestro y aunque le haya hecho algunas modificaciones, realmente si deseamos infringirle algún daño a esa persona o a su edificio, estaremos en una posición de ventaja porque conocemos el entorno, conocemos las entrañas de lo que queremos dañar.

La otra persona sabe que no goza de nuestra simpatía y que nosotros conocemos a la perfección la instalación donde habita. Podría recurrir a instalar protecciones y a llevar a cabo modificaciones a la infraestructura con el fin de tener cierto grado de seguridad. Pero al final de cuentas, sabrá que indudablemente estaremos en una posición de ventaja al poder explotar hasta la más mínima debilidad. ¿Sería un movimiento inteligente que esta otra persona se cambiara de edificio a otro donde se elimine nuestra ventaja del conocimiento del entorno?

Yo pienso que sí. También el gobierno chino pensó lo mismo y decidió que no es conveniente usar sistemas operativos “comunes” como Windows, Linux o Unix. Decidió que es hora de eliminar  la ventaja competitiva de países como los EUA que tienen un conocimiento de los sistemas operativos más comunes (ya sea porque son de código abierto o porque bastarían tal vez unas llamadas para conocer los secretos de ciertos sistemas comerciales).

Todo esto se comentó este año en un estudio de los EUA llamado “The U.S. - China Economic and Security Review Commission”, donde entre otras cosas, se establece como un serio llamado de atención que China está cambiando el sistema operativo de sus instalaciones estratégicas por uno que lleva el nombre de “Kylin”. Se dice que podría estar basado en alguna distribución de Linux y que está endurecido y modificado; empezó este cambio tecnológico hace un par de años.

La idea es estar un paso adelante en la llamada “cyber warfare”, ya que el reporte claramente establece que actualmente se vive una carrera armamentista “Cyber Arms Race”, y el estudio va más allá de una simple puntualización al cambio de sistema operativo (en la cual el gobierno chino ya tomó una ventaja al cambiar sus sistemas y reducir así un riesgo). 

El reporte habla de que los estrategas chinos apuestan a explotar la debilidad referente a la dependencia tecnológica de los EUA y por otro lado se dice que el gobierno chino tiene como meta alcanzar el dominio electrónico para el 2050. También se habla de las agresiones electrónicas recientes que aparentemente provienen de China y que no saben sus implicaciones, tampoco hasta qué punto esto se ha extendido y se seguirá extendiendo la amenaza. Interesante lectura para el que desee leer el reporte completo.

 

miércoles, 13 de mayo de 2009

Sistema Operativo fortalecido...sólo para algunos.

Hace un par de semanas, en un evento casi "oficial", el CEO de Microsoft hizo entrega a la Fuerza Aérea de los EUA de un Windows XP muy especial, ya que se trata de una distribución altamente segura con una configuración que al parecer cualquier área estratégica de un país envidiaría por tener un fortalecimiento poderoso. Algunas implicaciones a continuación:

 

+ Sólo para la Fuerza Aérea de los EUA. Hasta el momento, esta distribución sólo se le hizo llegar a esta área militar de los EUA. ¿Y para otras áreas estratégicas de los EUA y de otros países del mundo? ¿No tienen la importancia que se requiere para tener al alcance una distribución segura similar? Ya ni preguntar para el resto de los usuarios mortales, los cuales deben conformarse con la distribución de siempre.

 

+ El poder de un gobierno para exigir software seguro. Los gobiernos tienen poder por la autoridad que representan en un país y por otro lado tienen poder de compra por el número de licencias que en total se adquieren. Si ejerce y hace valer ese poder, puede exigir (y como en este caso tal vez obtener) un sistema que esté a la altura de sus requerimientos de seguridad, o al menos tener al alcance algo más robusto de lo que normalmente obtendrían.

 

+ Pentest deriva en inusual petición. La NSA (National Security Agency) hizo un pentest a las redes de la Fuerza Aérea de los EUA. Derivado de este análisis es que se hizo la petición de una distribución más robusta desde el punto de vista de seguridad. Aquí resalta la importancia de hacer un pentest de vez en cuando para hacer que las cosas se muevan y además resalta la importancia de que sean personas capacitadas los que hagan este pentest y no alguien que sólo corra Nessus.

 

+ Todos usamos el mismo software. Atacantes, gobierno, usuarios y áreas estratégicas usan el mismo software (sistemas operativos y aplicaciones). Las mismas debilidades que afectan a un usuario casero le afectarán a una planta nuclear, a una base militar o a los sistemas de una presa. Los mismos exploits sirven para todos los casos, basta buscar versiones específicas para ver de qué debilidades adolece. Hay algo que no me acaba de gustar de todo esto…

 

+ Los usuarios tienen cuentas de usuarios. ¿Por qué un usuario dentro de una organización sería un administrador de un sistema? Los usuarios deben tener cuentas de usuarios. Si lo dejamos hacer lo que deseen como administradores, en efecto harán lo que deseen muchas veces sin tener en consideración cuestiones de seguridad.

 

+ No todo está perdido. El NIST tiene publicadas guías de fortalecimiento bastante “decentes” de sistemas operativos como Windows. Hay que ser proactivos y no esperar a que la montaña venga a nosotros; si realmente nos interesa tener una configuración suficientemente segura, podremos acudir a estas guías del NIST o de otras entidades para tener lo que deseamos (o al menos algo bastante cercano).

 

Finalmente, por ahí leí que el fabricante comentó que no se trató de una distribución especial, sino que lo que hicieron sólo fue colaborar con un cliente suyo para recomendar algunas mejoras de seguridad que de por sí están públicamente disponibles. En fin, ya no hay una sola versión de esta noticia. Me quedo con la versión del reportaje.

 

viernes, 8 de mayo de 2009

Buen paper: "Analysis of a Botnet Takeover"

Interesante paper sobre el análisis de una botnet que fue secuestrada por los buenos:
http://www.cs.ucsb.edu/~seclab/projects/torpig/torpig.pdf


"In this paper, we report on our efforts to take control of the Torpig botnet for ten days. Over this period, we observed more than 180 thousand infections and recorded more than 70 GB of data that the bots collected. While botnets have been "hijacked" before, the Torpig botnet exhibits certain properties that make the analysis of the data particularly  interesting."

Maestría en la Administración para la Continuidad del Negocio.

Me estoy enterando de una maestría en Vermont (EUA) que imparte la Universidad de Norwich. Lleva el nombre de "Master of Science in Business Continuity Management". Antes escuchábamos de maestrías en seguridad de la información (como la que yo mismo realicé), pero la tendencia (y no es nueva) es crear maestrías especializadas en algunos de los ramos de la seguridad. Al menos es una tendencia fuera de México.

Un ejemplo es esta maestría enfocada en la continuidad del negocio (BCP) donde se estudian los aspectos a tomar en cuenta para darle continuidad a los procesos críticos de una organización.  Para los que están buscando una maestría y les llame la atención los temas relacionados al BCP, no está de más darle un vistazo a esta opción académica.

La maestría consta de varios módulos:

+ Foundations of Business Continuity

+ Principles of Incident Management and Emergency Response

+ Developing the Resilient Organization

+ Risk Management

+ Information Systems Continuity

+ Implementation: Awareness Programs and Testing


jueves, 7 de mayo de 2009

¿A la cárcel por subir pornografía?

Es un oficinista como muchos otros, la diferencia es que lo acusan de hacer un mal uso del equipo de la empresa bajo la ley en EUA llamada "Computer Fraud and Abuse Act". ¿Su delito? Subir fotos desnudo de él mismo y visitar sitios porno. ¿Hizo algún fraude? ¿Cometió un abuso? Depende del cristal con que se mire.

Al señor Richard Wolf de Ohio lo agarraron porque la ley arriba mencionada fue enmendada para que incluyera el texto de "…or exceeding the scope of authorization to access a computer", de ahí que lo acusan de haber "excedido" la autorización que tenía en su acceso al subir imágenes y visitar sitios que nada tienen que ver con sus actividades laborales.

La medida de acusarlo es controversial, algunos podrán decir que no cometió ningún fraude o un abuso serio ni le causó daños a la empresa y que es injusto. Otros dirán que efectivamente subir imágenes subidas de tono y visitar esos sitios desde la computadora trabajo es un abuso y debe de ser castigado ya que la ley es muy clara al decir que no se debe de exceder en los privilegios que se le otorgaron. Como es un tema de dos puntos de vista en donde ambos tienen una razón ineludible, pienso que las razones reales por las que lo están acusando son básicamente dos:

+ Su jefe la trae contra el empleado: el jefe descubrió las fotos (ese es un hecho). Si ya le trae ganas al empleado, encontró la justificación perfecta para despedirlo. Vaya, si a nuestro jefe le parece que hacemos un buen trabajo, caray, no nos daría una segunda oportunidad?

+ Su jefe es muy "especial": puede ser de esas personas impecables que no toleren el más mínimo detalle, sobre todo cuando el detalle es del tipo pecaminoso. No importa si caemos bien o si somos buenos empleados, ante estos jefes, seguro vamos para afuera.

En fin, al final, hay que pensar como jurado/juez que no se debe de abusar de la interpretación de las leyes y simplemente limitarse a aplicar el castigo correcto para el tamaño de la falta. Si todos los que han visitado YouTube o enviado un correo personal desde la computadora empresarial fueran acusados de hacer un mal uso del equipo, habría una cantidad enorme de despidos alrededor del mundo…el que esté libre de pecado, que arroje la primera piedra.

Nota: por cierto, al señor ya lo encontraron culpable de los cargos.

miércoles, 6 de mayo de 2009

Checklist para seguridad en el desarrollo de aplicaciones

Me encontré con un checklist interesante llamado "Security Peer Review Checklist Based on CWE/SANS Top 25 Most Dangerous Programming Errors and OWASP Top 10".  El checklist viene con ligas de ayuda y aunque puede ser muy simplista, alguien que no tome en cuenta la seguridad en el desarrollo de software puede tomarlo como un buen comienzo.

http://trustedsignal.com/secDevChecklist.html


Video ilustrativo de fraude en cajero.

Hemos escuchado de clonaciones de tarjetas en cajeros automáticos. Tal vez no nos ha pasado a nosotros (ojalá) y realmente no estamos seguros de cómo hacen su trabajo los estafadores. En un video (http://tinyurl.com/c5pkls), un reportaje muestra un par de métodos de cómo clonar exitosamente una tarjeta en un cajero.

En el video, la primera parte muestra al estafador (en realidad forma parte del staff del reportaje) que cuidadosamente coloca un dispositivo pequeño pero profesional sobre la ranura del cajero (ATM). Este dispositivo no sólo roba la información de la cinta magnética de la tarjeta, también tiene una mini-cámara para ver cómo el usuario teclea el PIN y obtener así los cuatro dígitos. Dicho dispositivo se coloca en unos segundos y realmente se ve como parte del cajero.

Una señora se acerca, inserta la tarjeta, teclea su PIN, extrae dinero y se va; el estafador está a unos metros y en seguida extrae el dispositivo y lo lleva a un vehículo donde con el dispositivo, se clona la información a otra tarjeta. Ya con la tarjeta clon, el estafador se dirige al cajero, inserta la tarjeta y teclea el PIN que su cámara filmó; extrae dinero de la cuenta de la víctima y se va.

La otra parte del video muestra otro método de cómo se puede intercambiar la tarjeta de una víctima usando un distractor.

El reportaje dura unos minutos, vale la pena verlo. Habrá que poner más atención la próxima vez que vayamos a un cajero a retirar nuestro dinero.

http://www.trutv.com/video/real-hustle/cash-machine-hustle.html?link=truTVshlk

Beware of this ATM Scam (Video)

Un video muy ilustrativo de cómo robar datos de una tarjeta bancaria de un usuario. Una estafa que nos puede suceder cualquier día al usar un cajero automático (ATM).

http://tinyurl.com/c5pkls

http://www.trutv.com/video/real-hustle/cash-machine-hustle.html?link=truTVshlk

martes, 5 de mayo de 2009

Windows 7 RC1 con “regalito”.

Microsoft ha puesto a disposición y de manera gratuita el sistema operativo Windows 7 "release candidate 1". Uno visita la página del fabricante y obtiene una copia (hay que tener una cuenta en Live y verificar cuestiones de hardware, pero el proceso es realmente fácil). Sin embargo en los llamados sitios para compartir archivos (file-sharing) y en los torrent existen copias troyanizadas de Windows 7.

Por eso cuando comento que hay que ir al sitio del fabricante para obtener la copia gratuita, no es sólo un decir. Abstenerse de bajarlo de otras partes es lo mejor para evitar troyanos y mejor visitar: http://www.microsoft.com/windows/windows-7/download.aspx

Otra del fraude nigeriano.

Los fraudes nigerianos son ya casi una leyenda, siendo que ya desde hace varios años circulan correos pidiendo ayuda a cualquier víctima que esté dispuesta a "ayudar" a un "alto funcionario nigeriano" que necesita transferir dinero. Se inventan una historia y el objetivo es defraudar a la víctima y robarle su dinero.

Estos fraudes sobre todo intentan que ciudadanos europeos caigan en la trampa, aunque por ejemplo a mi me han llegado un par de estos correos en un español por demás deficiente. En fin, el punto es que un cirujano de Escocia  contestó a este tipo de correos y le robaron nada menos que 350,000 libras.

Uno pensaría que por ser un cirujano, el señor sería menos…cómo decirlo? Menos descuidado, esa es la palabra. Lo que me llamó la atención es que la policía capturó al defraudador nigeriano por un movimiento en falso: visitó Londres para encontrarse con su víctima. Hasta donde sabía, estos defraudadores no salían de su país, y ahora se confirma el por qué no lo deben de hacer.

Moraleja. No hay dinero fácil. Nadie nos va compartir 300 millones de libras esterlinas. Si suena demasiado bueno para ser verdad, es una mentira. Investiguen en Internet: los textos de estos correos son copy-paste que se ponen en todos los correos y muy probablemente ya alguien habrá posteado al respecto y puesto la farsa en línea. Más en estas épocas, hay que cuidar el dinero.


lunes, 4 de mayo de 2009

Se apresuran a crear dominios sobre influenza

Según el blog de la empresa antivirus F-Secure, en este fin de semana se crearon cerca de mil dominios relacionados a la influenza; no se tiene evidencia de que sean maliciosos (aún). ¿Cuáles son los objetivos de crear esta cantidad de dominios en un pequeño lapso de tiempo?

 

Los objetivos pueden ser a).- crear spam en los siguientes días (¿horas?) que contenga ligas a estos dominios (de hecho, esto ya es una realidad) o, b).- simplemente que las búsquedas de Google de la palabra "influenza" lleven a esos sitios. En ambos casos dichos sitios seguramente ofrecerán algo para vender o contendrán código malicioso.

 

Me queda claro que crear esos mil y pico de dominios no es para informar desinteresadamente a la gente sobre la influenza. Para los administradores de TI, no está de más verificar el buen funcionamiento de los sistemas antispam y antivirus.

 

Así empieza la lista de los mil y pico: 

 

- 1888swineflu.com

- 1minswineflutest.com

- 1minuteswineflutest.com

- 2009mexicanswineflu.biz

- 2009mexicanswineflu.com

- 2009mexicanswineflu.info

- 2009mexicanswineflu.net

- 2009mexicanswineflu.org

- 2009mexicanswineflu.us

- 2009swineflu.info

- 2009swinefluoutbreak.com

- 2009swinefluoutbreak.info

- 360swineflu.com

- 800swineflu.com

- 888swineflu.com

- a-h1n1swineflu.com

- aboutswineflu.info

etc, etc.

 

NOTA: punto y aparte, Trend reporta que los usuarios japoneses están recibiendo spam CON adjuntos maliciosos.  La epidemia del spam relacionado a la influenza está en sus inicios y durará varias semanas antes de bajar su intensidad.

sábado, 2 de mayo de 2009

FYI: Swine Flu Ancestor Born on U.S. Factory Farms (WIRED)

De la revista Wired. Interesante lectura.

Scientists have traced the genetic lineage of the new H1N1 swine flu to a strain that emerged in 1998 in U.S. factory farms, where it spread and mutated at an alarming rate. Experts warned then that a pocket of the virus would someday evolve to infect humans, perhaps setting off a global pandemic.

The new findings challenge recent protests by pork industry leaders and U.S., Mexican and United Nations agriculture officials that industrial farms shouldn't be implicated in the new swine flu, which has killed up to 176 people and on Thursday was declared an imminent pandemic by the World Health Organization.

"Industrial farms are super-incubators for viruses," said Bob Martin, former executive director of the Pew Commission on Industrial Animal Farm Production, and a long-time critic of the so-called "contained animal feeding operations."

http://www.wired.com/wiredscience/2009/05/swineflufarm/

viernes, 1 de mayo de 2009

Artículo interesante del WSJ

Interesante lo que dice el Wall Street Journal, la lectura del artículo completo es recomendable:

http://online.wsj.com/article/SB124113876438075685.html

Germ Sleuths Stalk Origin of Killer Flu


"Until recently, Mexico was widely assumed to be ground zero. Now, however, some California doctors are questioning that."

"The four earliest confirmed cases are divided evenly between California and Mexico. In fact, it appears two children in California got sick in late March, several days before the first two known Mexico cases in early April."

"Normally, bird and swine viruses aren't good at spreading from human to human, which helps limit the damage to people in direct contact with animals. The latest virus, however, is an unusual hybrid of pig, bird and human flu bugs. It also has the scary ability to leap from human to human. Thousands of people may have already been infected."

"So far, the virus is treatable with antiviral medicines. It appears less deadly than first thought, as long as good medical care is within reach."

"In Mexico, one early warning sign occurred in a dusty village in Mexico's eastern Veracruz state called La Gloria, which sits near an industrial pig farm."