Categoría: Seguridad

10 consejos para tu pc

Hace unos días poníamos unos consejos para la seguridad del ordenador. Hoy descubro estos otros. Son basicamente los mismos, y principalmente dirigidos a usuarios de Windows.

Aún corriendo el riesgo de ser un poco pesado, los vuelvo a recordar. Siguiendo estos puntos, es mucho mas difícil que corras riesgos innecesarios en tu ordenador.

Phising en Paypal

Según denuncia la Asociación de Internautas, el phising ha evolucionada hacia sitios como Paypal, dejando de lado a los bancos (al menos de momento).
El método usado es el clásico, la recepción de un correo electrónico;

************** INICIO ***************
From: PayPal INC.
To: xxxx@xxx.xxx
Sent: Sunday, October 09, 2005 1:49 PM
Subject: Notification of Limited Account Access (Routing Code:C840-L001-Q190-T1812)

Dear PayPal Member,
PayPal is committed to maintaining a safe environment for its community of buyers and sellers. To protect the security of your account, PayPal employs some of the most advanced security systems in the world and our anti-fraud teams regularly screen the PayPal system for unusual activity.
Recently, our Account Review Team identified some unusual activity in your account. In accordance with PayPal’s User Agreement and to ensure that your account has not been compromised, access to your account was flagged. Your account will remain flagged until this issue has been resolved. This is a fraud prevention measure meant to ensure that your account is not compromised.
In order to secure your account and quickly restore full access, we may require some specific information from you for the following reason:
Our system requires further account verification.
Case ID Number: PP-056-245-481 We encourage you to log in and restore full access as soon as possible. Should your account remain flagged for an extended period of time, it may result in further limitations on the use of your account or may result in eventual account closure.
————————————————————-
Please click on the link below to log in and restore full access to your account.
Click here to activate your account
————————————————————-
Thank you for your prompt attention to this matter. Please understand that this is a security measure meant to help protect you and your account. We apologize for any inconvenience.
Sincerely,
PayPal Account Review Department
PayPal Email ID PP562

************** FINAL ***************

En el correo nos sugiere que verifiquemos nuestra cuenta de usuario de PayPal, presionando sobre el link que viene en el correo electrónico, este link nos envía a una web falsa que emula ser la empresa PayPal.
El método usado no es nuevo, pero los cibercacos en esta web falsa usan una nueva variante, emular otra ventana de dirección del navegador donde contiene la url verdadera de la empresa PayPal, de esta manera los cibercacos hace creer a la posible victima que estan en la web original.

Las web falsas son las siguientes;

http://210.178.147.130/images/paypal/sysdll.php

http://210.178.147.130/images/paypal/login.html

http://210.178.147.130/images/paypal/protect.php

http://210.178.147.130/images/paypal/update.php

http://juvenia-swiss.com/images/update.html

Como siempre la recomendación es NO HACER CASO DE CORREOS QUE NOS SOLICITEN DATOS PRIVADOS.

Mas información y pantallazos en esta direción

Francia prohíbe utilizar Skype en todos sus centros de investigación

Viva la Liberté!

En Francia no quieren que sus centros de investigación usen SKYPE, ¿la razon?: porque creen que puede resultar un riesgo para su seguridad.
Como si hasta ahora no lo hayan tenido con otros sistemas como Windows.
Es absurdo pensar esas cosas, pero mas prohibir.

Ya se han hecho eco de esta noticia sitios como Kriptópolis, Banda ancha y Cinco dias. Y seguro que estos días lo harán mas.

Exposición de información sensible en Wireless Zero Configuration de Windows XP

Se ha descubierto un problema de seguridad en Microsoft Windows XP (versiones Home y Professional) que puede ser explotado por usuarios locales maliciosos para acceder a cierta información sensible.

El servicio Wireless Zero Configuration permite la configuración automática rápida para adaptadores IEEE 802.11 en comunicaciones inalámbricas.

El problema se debe a que el servicio Wireless Zero Configuration permite a usuarios no privilegiados acceder a los perfiles de configuración inalámbrica utilizando la función ‘WZCQueryInterface’
del API. La información sacada de dicho perfil incluye los SSIDs (Service Set IDentifiers) y claves WEP (Wired Equivalent Privacy), o el PMK (Pairwise Master Key) que se usa para la autenticación en WPA (Wi-Fi Protected Access).

El problema ha sido confirmado en sistemas Windows XP Service Pack 2 con KB893357 (parche de soporte WPA2 para Windows XP) instalado.

Fuentes de Microsoft afirman que el problema será solucionado en la versión Longhorn de Windows. A la espera de un posible parche que solvente el problema, se recomienda restringir el acceso a los sistemas afectados.

Via Hispasec.
Mas info

10 cosas que debería saber sobre el mundo de la informática

Del blog Punto y aparte, bajo licencia Creative Commons, unas cuantas verdades:

1. La informática no es fácil

Estudiar una ingeniería informática requiere entre tres y cinco años. Una formación profesional específica requiere más o menos dos años. Aprender informática por cuenta propia también toma una gran cantidad de tiempo. Que no le tome el pelo ningún vendedor astuto, la informática no es fácil.

Aun usando los sistemas más sencillos del mundo, un ordenador es una máquina extremadamente compleja y que consta de decenas de elementos diferentes. Para poder usar un ordenador, necesitará saber qué es un disco duro, deberá aprenderse algunas abstracciones comunes, relacionar dibujos y símbolos con acciones o programas y también necesitará adquirir algo de vocabulario

Existen otros dispositivos más simples y más específicos que son más sencillos de usar. Agendas de mano o PDA’s, reproductores de música o incluso teléfonos móviles no son más que ordenadores reducidos y simplificados; al estar recortadas sus funciones también se ve disminuida la dificultad de uso

Sin embargo, aprender a usar un ordenador con cierta soltura es una gran inversión de la que no se arrepentirá, y además no requiere la habilidad manual que se precisa para conducir un coche
2. Internet no es más que un sistema de interconexión e intercambio de información

Internet no hace que la gente se suicide ni se vuelva pedófila. Esto es tan estúpido como pensar que los culpables de las muertes por arma blanca son los propios cuchillos, en lugar de la gente que los empuña.

Gracias a la rapidez de las comunicaciones mediante internet, uno puede acceder a casi toda la información existente en la tierra sin salir de su propia casa. Esa información está allí porque una persona la puso en ese lugar. «Internet» no es más que el cable que une a dos humanos
3. Los «hackers» no son terroristas informáticos

Esto no es más que un error lingüístico. Un «hacker» es el adjetivo que se usaba en los años 70 para aquellos entusiastas de los primeros sistemas informáticos que se dedicaban a analizarlos y mejorarlos. Alguien empezó a usar esta palabra con un significado diferente, que desgraciadamente es el más extendido hoy día

Para ello se creó una palabra: «cracker», referida a aquellas personas que usan internet con fines delictivos.
4. En España, es legal descargar música de internet

No deje que le insulten, usted no es un pirata por descargar música de internet. Usted no tiene un garfio, pata de palo, parche en el ojo y un loro cabrón que no hace más que reírse de las víctimas a las que atraca y asesina, ¿verdad?. Entonces usted no es un pirata.

En nuestro país, a raíz de la popularización de las grabadoras de cassettes, se introdujo en la ley algo llamado «derecho a copia privada», que establecía, más o menos, que usted podía copiar los cassettes de sus amigos mientras no los vendiera ni sacara dinero de ello. Con internet, esto no es ninguna diferencia. Usted sigue copiándose los cassettes de sus amigos, con la salvedad que no se los entregan en mano, sino virtualmente a través de la red

Yo definiría «piratería» como el acto de robar dinero a través de un impuesto que va a parar a una sociedad privada, que se cobra reiteradas veces por el mismo concepto y que presupone que todos somos delincuentes a menos que se demuestre lo contrario.
5. A los informáticos nos gusta ayudar, pero no el trabajar gratis

En nuestro país hay cierta cultura del «amigueo» y se acostumbra a pedir ayuda a familiares y conocidos en lugar de pagar a profesionales. Todos tenemos que tragar hasta cierto punto, aunque los informáticos estamos en desventaja. ¿Por qué? Porque una cocina alicatada o una instalación eléctrica no se cae a trozos al cabo de seis meses.

Si pide consejo a un amigo informático, haga caso de lo que le dice. Nada nos enfada más que decir a una persona «no uses el programa X» y que nos llamen al cabo de dos semanas porque «el programa X ha hecho que se estropee el sistema»
6. Si no está contento con el sistema Windows, sepa que tiene otras alternativas

Posiblemente su ordenador venga con el sistema Windows preinstalado. Usted debería saber que es un sistema débil, propenso a infectarse de virus que harán que vaya cada vez más lento. Si lleva tiempo usando Windows, seguro que habrá notado que el sistema se ralentiza día a día.

Windows ha creado la idea de que es normal reiniciar un ordenador varias veces al día. Sus usuarios acaban creyendo que debe reinstalar el sistema por completo cada 6-8 meses para que todo funcione más o menos correctamente. Pues bien, esto es un error. La informática no apesta como Windows nos hace creer

No se preocupe, tiene alternativas a ésto. Existen sistemas operativos gratuitos y libres que cumplen las mismas funciones que Windows de forma más eficiente. Puede descargarlos de internet sin coste alguno e instalarlos en su ordenador. Si no sabe cómo hacer ésto, puede pedir consejo a algún amigo. Seguro que estará encantado de ayudarle a olvidar Windows.

También existen soluciones basadas en el sistema Macintosh, pero son mucho más caras que un PC con Windows, aunque realmente funcionan mejor. De todos modos, si necesita usar Windows por fuerza, sepa que también hay procesadores de textos que no son Microsoft Word, hojas de cálculo que no son Microsoft Excel y programas de retoque fotográfico que no son Adobe Photoshop. Al igual que el sistema Linux, puede descargarlos a través de la red de forma gratuita.
7. Enseñe a sus hijos a usar correctamente Internet

Posiblemente sus hijos sepan más informática que usted, no se preocupe. Pero lo que es seguro es que usted tiene más sentido común que ellos.

Si les enseña a no fumar y no aceptar caramelos de desconocidos, ¿por qué no les enseña a usar Internet?. Internet ha conseguido crear una nueva filosofía de comunicación y, como veremos después, entraña algunos riesgos. Si por las calles hay trileros que intentan estafar su dinero, ¿no podrían intentar éstos hacer lo mismo a través de Internet? Desgraciadamente los hay, y debe aprender a defenderse y defender a sus hijos

Recuerde que, como en todos los aspectos de la vida, la educación es lo más importante
8. La seguridad es importante

Olvide todo lo que ha visto en las películas sobre ordenadores. Todo es mentira. Un chaval de quince años no puede acceder a su ordenador si usted toma unas mínimas medidas de seguridad.

Es imprescindible que actualice su sistema una vez a la semana mediante las herramientas que éste le ofrece. Si usa Windows, compre un antivirus y un cortafuegos y active la actualización automática de estos programas. Si usa otros sistemas, posiblemente no necesite el antivirus ni el cortafuegos

Por contra de la creencia general, las mayores amenazas cibernéticas vienen provocadas por errores del propio usuario. Si recibe un correo electrónico de su banco pidiéndole su contraseña, posiblemente le estarán engañando. ¿Verdad que no le diría el PIN de su tarjeta a un desconocido por teléfono? No lo haga tampoco a través de Internet. El 99% de los correos electrónicos que pretenden ayudarle en realidad intentan estafarle.

En caso de duda, telefonee al supuesto emisor del mensaje para que le confirmen en persona esa información
9. Posiblemente usted no necesita un ordenador tan caro como el que le ofrecen

Todos los vendedores intentan venderle lo más caro. Los folletos de propaganda quieren que usted compre en su establecimiento. Aunque en la informática, más que en otras áreas, la calidad se paga, es posible que no necesite una calidad máxima

Si va a usar su ordenador para navegar por internet, escribir documentos y enviar correos electrónicos, puede ajustar enormemente su presupuesto. He visto ordenadores por 400 euros que cumplen perfectamente estas funciones.

Si se va a dedicar a jugar, a la edición de vídeo o a otras tareas que necesiten una máquina potente, priorice los siguientes componentes: El monitor, la memoria RAM y la calidad de la placa base. El resto de componentes seguramente serán adecuados para cualquier uso que les dé.
10. Cuide sus ojos y sus muñecas

Si usa diariamente el ordenador, descanse diez segundos cada diez minutos y tres minutos cada hora.

Todos pensamos que «no me va a pasar a mí» hasta que nos pasa. Un día uno se levanta con dolor en los tendones de las muñecas y los ojos irritados. Entonces la solución es mucho más lenta.

Por ello, en el punto 9 se especifica que el componente más importante de un ordenador es el monitor. No dude en gastarse todo el dinero que haga falta en un buen monitor de buena marca. Los monitores LCD de los portátiles son los mejores y los más caros. Las pantallas «planas» TFT dan muy buenos resultados, y si se compra uno de los tradicionales CRT asegúrese de que el cristal es plano y no abombado. Use reposamuñecas si es posible, la mano donde aparecen primero los dolores acostumbra a ser la que mueve el ratón.

Usando programas como workrave, el propio ordenador puede aconsejarle hacer pequeñas pausas cada poco tiempo. Posiblemente hoy no me hará caso, pero guarde esta dirección para el día que le pase a usted.

Algunos puntos pueden ser discutidos y/o discutibles, pero en esencia es lo que hay.

Los futuros virus


Leo en el blog de Pc Actual unas afirmaciones de Eugene Kaspevsky, director de la empresa de su mismo apellido, que se dedica a mantener a raya a los virus, troyanos y toda esa fauna.

Cuenta que el creador actual de virus busca básicamente conseguir un beneficio rápido:«Principalmente los escriben para conseguir dinero. Hay diferentes formas de lograrlo, pero la más importante es a través del acceso on-line a las cuentas bancarias. Ya no se roban los bancos como en las películas de Hollywood, sino que ahora el método es escribir troyanos y extenderlos. Estos ficheros malignos esperan hasta que el usuario teclea su log-in y contraseña en un ordenador infectado, y ya está»,

Es consciente de que las empresas antivirus van siempre detrás de los creadores, pero que el tiempo se estrecha y poco a poco el tiempo de respuesta es mas corto:
«Ellos trabajan para neutralizar a los antivirus. Ellos nos matan y nosotros a ellos. Se trata de una carrera contra el tiempo y nosotros siempre estaremos un paso por detrás. Nuestro objetivo es acortar la diferencia, analizar el virus, testearlo y proporcionar una solución».

Sobre las nuevas plataformas vulnerables opina: «Atacarán a los PDA, smartphones… Ahora no son productos muy extendidos, pero lo serán en muy pocos años y habrá más que ordenadores, por lo que el público objetivo del que aprovecharse será mucho mayor.

Lo cierto, es que hace años que se rumorea sobre un ataque general a todos los servidores y en un tiempo record, es decir un ataque a gran escala que dejase al mundo como en la edad Media, como en aquella película de John Carpenter, que no recuerdo el título y en que al final una vez perdidos todos los avances tecnológicos de los últimos 200 años, el tesoro era una simple cerilla.

¿Llegará?, no lo se, pero a cada paso que avanzamos nos volvemos mas vulnerables en otros aspectos, porque olvidamos como eramos antes.

Antivirus de Microsoft

La noticia se lleva oyendo desde hace tiempo y ahora se confirma:
Steve Ballmer y Mike Nash han contado en Munich lo que Microsoft nos va a deparar en materia de seguridad informática.

Microsoft Client Protection es el nombre del plan contra el malware (virus, troyanos, spyware, rootkits, y resto de fauna) a todos los niveles, desde el PC doméstico a los servidores corporativos, con el que definitivamente entrará en compentencia con las casas antivirus que ya llevan años en el negocio.

Leido en Laboratorio Hispasec

Bueno, es normal, al fin y al cabo es la plataforma que sufre los acosos de todo tipo de virus, troyanos, etc. Lo que espero es que sea gratuito, sería lo lógico no?. Si compras un producto que es vulnerable , y la misma empresa tiene la vacuna, la deberían incluir gratuitamente, no?.
Pero algo me dice que no será así.

Criptografía gracias a Google

cryptoogle
En esta página puedes generar textos encriptados a partir de una búsqueda GOOGLE. Es decir, tu pones un texto cualquiera, y además una palabra de búsqueda de GOOGLE. El programa se encarga de encriptar ese texto basándose en los resultados de la búsqueda (que por cierto no ves).
Posteriormente, cuando quieres desencriptar el mensaje, actúas al revés. Pones el texto encriptado, y vuelves a dar la palabra de búsqueda, el programa te devuelve la palabra o frase original.

Según el autor el método es seguro porque los resultados de las búsquedas en Google cambian con el paso del tiempo y eso garantiza que la clave expirará en algún momento y además los ataques de diccionario están limitados por el número de búsquedas en Google que un atacante sea capaz de realizar.

Lo he probado, y parece que funciona, no se que nivel de seguridad dará, pero al menos es original.