Después del almuerzo, me disponía a hacer mi recorrido ciberespacial, revisando estados en Google+, páginas de noticias que visito frecuentemente, cuando de repente veo la cuenta de Jim Parson quien encarna a Sheldon Cooper en la famosa serie de televisión The Big Bang Theory, pero tenía algo “extraño”, y es que un curioso video era la actividad más reciente, pero promocionaba un website que por motivos de seguridad para los lectores del presente artículo no voy a enlazar aquí, pero referenciaba hacia un dominio .blog.cz, sigo leyendo y resulta que la cuenta del personaje Sheldon Cooper fue comprometida por el grupo de hacktivistas “Anonymous” y los mismos dejaron el siguiente mensaje:
Como muchos saben, la serie producida por la CBS y transmitida por Warner Channel en Latinoamérica es muy exitosa y este personaje cuenta con muchos seguidores, me atrevería a pensar que incluso algunos de los hacktivistas serían fans, puesto que a diferencia de otros ataques, en este caso se han visto más “amigables”
Según la empresa de seguridad informática Armorize, el sitio Mysql.com ha sido hackeado y utilizado para distribuir malware para la plataforma Windows.
Diario Ti: El blog de Armorize informa que el sitio de Mysql.com fue hackeado durante la noche del lunes 26 de septiembre.
Wayne Huang, autor de la nota, escribe que mediante un código Javascript los hackers dirigían a los visitantes a un sitio externo, donde se intentaba instalar malware aprovechando vulnerabilidades del navegador.
El programa en cuestión, mwjs159, abre el sitio web maligno en un iframe, por lo que el usuario no detecta que está siendo enviado a un nuevo sitio. Armorize no explica qué actividades realiza el malware una vez instalado en un PC.
Armorize explica que los intrusos utilizaron servidores en Alemania y Suecia.
Por su parte, el experto en seguridad informática Brian Krebs asegura en su blog haber visto la semana pasada un anuncio en un foro de hackers rusos, donde se ofrecía acceso a Mysql.com por 3.000 dólares (2.200 euros). Esto hace suponer que los hackers han tenido la posibilidad de intervenir Mysql.com durante al menos una semana.
En 2010 también hubo notificaciones de vulnerabilidades en Mysql.com, realizadas mediante un ataque “inyección SQL”.
Oracle, propietario del sitio, no ha comentado por ahora la información. Según Alexa, Mysql tiene 400.000 visitantes diarios y es considerado el 637° sitio más popular de Internet.
El troyano pertenece a la categoría de ransomware, malware que “secuestra” al equipo de la víctima hasta que se introduce un código determinado. Para obtener el código, los ciberdelincuentes solicitan a la víctima 100 euros por el “rescate”
Diario Ti: PandaLabs, el laboratorio de malware de Panda Security, – The Cloud Security Company – ha descubierto un nuevo troyano del tipo ransomware que simula proceder de Microsoft. El troyano, bautizado como Ransom.AN, alerta al usuario de que su copia de Windows no es legal y amenaza con inutilizar el dispositivo si no se introduce un código específico, el cual, se le facilitará al usuario tras pagar la suma de 100 euros.
Este malware, dirigido específicamente a usuarios de habla alemana, puede distribuirse de múltiples formas, siendo las más utilizadas mensajes de spam y descargas P2P. Tras alertar al usuario de que su copia de Windows no es legítima, le informa de las posibilidades de pago invitándolo a realizarlo a través de una página web maliciosa, donde se le solicitarán los datos de su tarjeta de crédito. Incluso, para incentivar el pago, Ransom.AN amenaza a la víctima comunicándole que la fiscalía ya cuenta con sus datos para tomar medidas si no se realiza el pago antes de que expire un plazo de 48 horas, tras el cual además se perdería toda la información de la PC.
“Este tipo de troyanos son muy peligrosos ya que una vez infectado el equipo, es tremendamente complicado eliminarlo de forma manual, lo que obliga a muchos usuarios a pagar el rescate o formatear la PC”, comenta Luis Corrons, Director Técnico de Pandalabs, que añade: “Además, al simular proceder de Microsoft y amenazar con actuaciones de las autoridades, muchos usuarios creerán lo que dice el troyano y realizarán el pago sin dudarlo, para no buscarse problemas”.
Para estar protegido de esta y otras amenazas, siempre recomendamos contar con una buena protección instalada y actualizada en la PC, como el gratuito Panda CloudAntivirus, que se puede descargar de: www.cloudantivirus.com
En el siguiente texto, Trend Micro presenta pruebas tangibles de que la reciente vulnerabilidad de la empresa certificadora holandesa DigiNotar se utilizó para espiar a usuarios de Internet iraníes de forma masiva.
Diario Ti: En Trend Micro hemos descubierto que usuarios de Internet de más de 40 redes distintas de ISP y universidades de Irán se toparon con certificados SSL falsos emitidos por DigiNotar. Y lo más grave aún: hemos hallado pruebas de que algunos iraníes que usaban software diseñado para burlar la censura y espiar el tráfico no estaban protegidos contra este ataque masivo “man-in-the-middle” (conocido como ataque MitM o intermediario en español).
Certificados SSL falsos para ataques MitM
Los certificados SSL se utilizan para mantener sesiones Web seguras, como al realizar transacciones bancarias en Internet y en sesiones de Gmail de Google. Las autoridades certificadoras son las encargadas de emitir certificados SSL y de comprobar la autenticidad de los certificados SSL. En julio de 2011, algunos hackers consiguieron crear certificados SSL falsos para cientos de nombres de dominios, incluido google.com e incluso todo el dominio de nivel principal .com mediante la intrusión en los sistemas de la certificadora holandesa DigiNotar. Este ataque es de extrema peligrosidad, puesto que estos certificados SSL falsos pueden utilizarse en ataques MitM en donde el tráfico Web seguro cifrado puede ser leído por terceras personas.
El 29 de agosto de 2011 se descubrió el certificado SSL falso de Google.com emitido por DigiNotar. Este certificado permite espiar el tráfico de Gmail en los ataques MitM. Trend Micro ha descubierto pruebas tangibles de que estos ataques fueron perpetrados a gran escala en Irán.
Nuestras pruebas se basan en los datos recopilados estas últimas semanas por nuestra infraestructura Trend Micro Smart Protection Network. Trend Micro Smart Protection Network analiza de forma constante los datos de los bucles de comentarios de millones de clientes de todo el mundo, incluidos a qué nombres de dominio se accede desde qué partes del mundo y a qué hora. Esta valiosa información nos permite proteger frente a los vectores de ataque más recientes en un abrir y cerrar de ojos.
Ataque dirigido a los usuarios iraníes
En el caso del dominio validation.diginotar.nl, hemos encontrado un patrón muy interesante en las últimas semanas: hasta el 30 de agosto de 2011, lo cargaron principalmente usuarios de Internet con base en Holanda e Irán. El nombre de dominio validation.diginotar.nl lo utilizan los navegadores de Internet para verificar la autenticidad de los certificados SSL que son emitidos por DigiNotar. DigiNotar es una pequeña empresa certificadora holandesa con clientes de Holanda principalmente. Por lo tanto, lo esperado es que este nombre de dominio sea solicitado por usuarios de Internet holandeses casi en su totalidad y, quizás, por algún puñado de usuarios de otros países. Pero no por un gran número de iraníes.
A partir del análisis de los datos de Smart Protection Network, observamos que el 28 de agosto de 2011 una parte significativa de usuarios de Internet que cargaron la URL de verificación de certificados SSL de DigiNotar eran de Irán. El 30 de agosto de 2011, la mayor parte del tráfico de Irán desapareció y el 2 de septiembre de este año prácticamente todo el tráfico iraní se había esfumado y DigiNotar siguió recibiendo a usuarios de Internet holandeses, como es habitual.
Estas estadísticas agregadas de Trend Micro Smart Protection Network exponen con claridad que los usuarios de Internet iraníes estuvieron expuestos a un ataque MitM a gran escala en el que el tráfico cifrado de SSL pudo ser descifrado por terceras personas. Por ejemplo: probablemente, terceras personas pudieron leer toda la comunicación por correo electrónico que un usuario de Internet había enviado desde su cuenta de Gmail.
Un análisis más detenido de nuestros datos revela hechos incluso más alarmantes: hemos detectado que los nodos de proxy salientes del software anticensura estadounidense creado en California enviaron solicitudes de clasificación Web para validation.diginotar.nl a los servidores en nube de Trend Micro. Esto significa casi con total seguridad que los ciudadanos iraníes que usaban este software anticensura fueron las víctimas del mismo ataque MitM. Su software anticensura debería haberles protegido pero, en realidad, sus comunicaciones cifradas fueron probablemente espiadas por terceras personas.
Según Kaspersky, La fuerza de los hacktivistas reside en la cantidad de hackers implicados. Su objetivo no es económico, lo hacen por diversión Anonymous y LulzSec ponen de manifiesto la evolución y el poder del hacktivismo en la actualidad, concluye Kaspersky en su informe sobre hacktivismo.
Diario Ti: El anuncio del fin de Facebook(ver video al final), el cierre del metro de San Francisco o los ciberataques a la CIA demuestran que el hacktivismo no tiene límites. En los próximos meses seguiremos desayunando con noticias sobre la nueva oleada de hacktivismo, que acabará asentándose en países de todo el mundo.
Según señalan expertos analistas de Kaspersky Lab, la fuerza de los hacktivistas reside no tanto en su grado de profesionalidad, sino en la cantidad de hackers participantes: no todos los sitios web están preparados para resistir bajo el empuje de una multitud.
La cantidad de hacktivistas crece motivados por la sensación de anonimato e impunidad por las acciones ejecutadas que ofrece la Red. Los gobiernos de diferentes países están interesados en aplacar al movimiento de los “hacktivistas”, lo que puede desembocar en el endurecimiento de la pena por delitos informáticos, entre ellos los ataques DDoS, así como en la firma de acuerdos de colaboración e intercambio de información entre diferentes países durante las investigaciones.
En el segundo trimestre de 2011 apareció en escena el grupo LulzSec, que en 50 días logró irrumpir en varios sistemas y hacer pública información personal de decenas de miles de usuarios. Al igual que Anonymous, las acciones de LulzSec no tenían motivación económica. Los representantes del grupo afirman que entraron en los servidores de las compañías sólo por diversión. A diferencia de Anonymous, el nuevo grupo hizo un uso más activo de los medios sociales, entre ellos Twitter, para anunciar al mundo sus hazañas.
Consecuencias legales
Estuvieron expuestas a los ataques de LulzSec tanto las grandes compañías, como Sony, EA, AOL; como organismos gubernamentales: el senado de EEUU, la CIA, la SOCA inglesa, etc. La información que cayó en manos LulzSec a consecuencia de los ataques se publicó en su página web y luego se extendió en las redes torrent. En la mayoría de los casos se trataba de los datos personales de los usuarios.
Por supuesto, todos estos ataques llamaron la atención de las agencias del orden público. En España arrestaron a tres personas y en Turquía 32 personas más están bajo sospecha por haber participado en los ataques organizados por el grupo Anonymous.
A finales de junio LulzSec anunció su disolución. Es posible que una de las razones hayan sido las investigaciones que se están realizando en varios países con el objetivo determinar quiénes son los miembros del grupo y detenerlos. La revelación de datos, que a primera vista no guarda ninguna relación con dinero, puede tener consecuencias tangibles para los usuarios, incluso de carácter financiero. Los datos publicados pueden despertar el interés de los delincuentes que actúan en el mundo real.
Los administradores de sistemas de las grandes compañías y de las organizaciones estatales deben revisar sus sistemas de seguridad, porque en caso contrario la siguiente oleada de “hacktivistas” puede alcanzarles a ellos también.
En lo personal, considero que este ataque aunque tiene cierto fundamento, es más probable que sea para atraer la atención y piensen realmente hacer un ataque a otro objetivo más importante, ya veremos el 5 de noviembre.
McAfee ha sospechado durante largo tiempo que “alguien” ha estado espiando sistemáticamente a gobiernos, organizaciones y empresas de 14 países vía Internet.
Diario Ti: La empresa de seguridad McAfee ha revelado un círculo internacional de espionaje. La operación que llevó a la revelación ha sido denominada “Shady Rat”.
McAfee prefiere no especular respecto de quienes serían responsables de la red de espionaje y piratería informática, a pesar de sentirse bastante seguros de que se trataría de un gobierno. Un indicio de lo anterior sería que “Shady Rat” revela actos de sabotaje e intrusión altamente sistemáticos y organizados.
China, principal sospechoso
Con todo, es evidente que la mayoría de las pistas apuntan hacia China. Al respecto, James A. Lewis, de la entidad estadounidense Center for Strategic and International Studies, se refiere al tema en una entrevista con Vanity Fair, que el 2 de agosto publicó la noticia en exclusiva: “Todas las pistas apuntan hacia China. ¿Y quién más espía a Taiwán?
Los gobiernos de un total de 14 países han experimentado intrusiones y ataques cibernéticos que tendrían origen en China.
Un ejemplo de ello es la intervención de cuentas de Gmail denunciado por Google
que posteriormente fue rechazado categóricamente por el gobierno de Pekín.
Cabe señalar que no ha sido comprobado que estas acciones tengan relación con la red de hackers revelada por McAfee.
Sin embargo, “” tiene numerosas ramificaciones, que según McAfee han resultado en acciones contra 70 organismos de gobierno en Estados Unidos, Taiwán, Corea del Sur, Vietnam, Canadá, Japón, Suiza, Gran Bretaña, Indonesia, Dinamarca, Singapur, Hong Kong, Alemania e India.
Dmitri Alperovitch, vicepresidente de la división de ciberseguridad en McAfee, considera que las recientes operaciones de Anonymous y Lulzsec son insignificantes en comparación a los ataques de la operación “Shady Rat”: “Las operaciones de Anonymous y Lulzsec no tienen mayor seriedad; son más que nada una molestia”.
Vanity Fair observa que se trata de “una molestia en comparación con las actividades de Shady Rat”, que correspondería a espionaje a gran escala iniciado hace cinco años y que continúa hasta el día de hoy.
La entrevista completa está disponible en el sitio de Vanity Fair.
noticias 
Agregar Comentario 
McAfee ha sospechado durante largo tiempo que “alguien” ha estado espiando sistemáticamente a gobiernos, organizaciones y empresas de 14 países vía Internet.