Hacker multilingüe con ortografía

No es tan fácil imaginar a grupos cibercriminales colocando anuncios en un periódico que digan “Se solicita hacker multilingüe, con buena ortografía y amplia experiencia”, pero en el mundo subterráneo sí están apareciendo avisos de reclutamiento que tienen como fin agrupar a programadores y diseñadores de código malicioso que hablen una lengua extranjera.De acuerdo con un reporte de McAfee, el factor del idioma está cobrando relevancia en los grupos delictivos que actúan en Internet. Investigadores que elaboraron el SAGE febrero 2008, aseguran que este aspecto le da credibilidad al mensaje pues ya no son muy efectivos los típicos mensajes escritos en inglés que además tienen faltas de ortografía.

Este hecho está aunado a que dichos grupos criminales actúan desde Europa del este y países de la ex Unión Soviética y tan sólo en Europa existen 23 lenguas clasificadas como oficiales, según e SAGE. Además, lo anterior se combina con el hecho de que los ataques se han vuelto más focalizados en contra de gobiernos y empresas.

Este hecho permite, indica el reporte, que sean fabricados ataques para una versión alemana de Word que no será efectiva en otras versiones de Word que estén traducidas en otros idiomas. De igual forma los correos masivos no solicitados que se encuentran en el idioma del receptor tendrán más éxito que uno escrito en un idioma extraño, asegura.

“A pesar de que esta táctica hace exitoso a un ataque de malware en una región de Europa, difícilmente será una amenaza fuera de ella. Aunque hemos visto cierto número de ataques locales que particularmente tienen como objetivo una región, aún es difícil verlos actuar fuera de ella. Este enfoque regional hace muy complicado para los investigadores proveer de una asesoría adecuada del riesgo que implica el malware”, afirma el reporte.

Todo fríamente calculado

Las amenazas llegan al correo de la posible víctima en su idioma, el emisor es una empresa que seguramente está relacionado con la procedencia de su correo. Por ejemplo, si el correo tiene terminación .mx seguramente será blanco de correos enviados por remitentes como Telmex, Telcel o Banamex; si es .de Deutsche Telekom o alguna entidad gubernamental local podría ser el remitente.

Lo anterior, indica que los grupos de cibercriminales están trabajando en objetivos regionales y locales, perfeccionando sus tácticas de engaño y añadiendo bonos, y mucho dinero, a sus propios bolsillos, considera McAfee.

La estrategia de los atacantes pareciera ser la correcta. Según el reporte el año pasado 67% del total del spam está escrito en inglés, un signo de que el porcentaje restante se encuentra escrito en otros idiomas, donde también se ha visto incrementada la penetración de Internet, como en Rusia y en los países asiáticos de Oriente.

“Los ataques de phishing son más sofisticados y serán más difíciles de localizar. Ofertas de trabajo fraudulentas, reclutamiento de agentes financieros e intentos por contratar a gente inocente con el fin de lavar dinero parece muy profesional hoy día y esto tiende cada vez más a adaptarse a factores locales”, dice el documento de McAfee.

Efraín Ocampo en : http://netmedia.info/articulo-31-7771-1.html

Peligro en casa

Durante una clase el día de ayer (sábado) comentaba sobre un problema ( Cross-site request forgery (XSRF) y Drive-by-pharming) que presentan los ruteadores 2Wire (que proporciona TELMEX) el cual mediante un hoyo en la autenticación redirecciona a los usuarios a sitios falsos de banca por internet.

Lo asombroso del asunto no es que suceda; lo que verdaderamente me asombro es que no sabían al respecto, considero que lo que vale la pena es; indiscutiblemente informar y difundir un poco mas al respecto asi , resumo, describo y agrego el link de el CERT, que es quien me notifico del incidente.

De forma resumida

Nota de Seguridad UNAM-CERT-2007-001

En días pasados el UNAM-CERT y diversos Equipos de Respuesta a Incidentes de Seguridad en Cómputo han estado enterados de la propagación de correos electrónicos que utilizan técnicas de ataques Cross-site request forgery (XSRF) y Drive-by-pharming para tomar ventaja de una vulnerabilidad de autenticación en los ruteadores 2Wire y de esta forma redireccionar a los usuarios a sitios Web falsos de banca electrónica.Fecha de Liberación: 07 de Diciembre de 2007
Ultima Revisión: 05 de Febrero de 2008
Fuente: UNAM-CERT
CVE ID: CVE-2007-4389
Riesgo : Crítico
Problema de Vulnerabilidad : Remoto
Tipo de Vulnerabilidad : Ejecución Remota de Código

Sistemas Afectados
• Ruteadores 2Wire proporcionando servicio independiente al sistema operativo.
• Los modelos donde se han realizado pruebas exitosas de la explotación de la vulnerabilidad son: 2700HG y 2701HG, aunque no se descarta que otros modelos sean vulnerables.UNAM-CERT conjuntamente con el equipo de ingeniería de Telmex han verificado y validado que la versión de firmware 5.29.135.5 corrige las vulnerabilidades conocidas para los ruteadores 2wire.
En México, para los usuarios de Prodigy Infinitum, Telmex ha confirmado que aplicará la actualización de seguridad de forma automática para los modelos 171HG, 1070, 1700HG, 2700, 2070 y 2701HG de ruteadores 2wire. Durante el mes de febrero el proveedor realizará el proceso de actualización a la versión 5.29.135.5 del firmware de los modelos de ruteadores 2wire mencionados. En la siguiente sección de ésta nota se describe el proceso para verificar la versión del firmware de los modem ruteador 2wire.
Telmex actualizará exclusivamente los modelos 171HG, 1070, 1700HG, 2700, 2070, 2701HG de ruteadores. Los usuarios de Prodigy Infinitum con un modelo distinto podrán solicitar al proveedor la actualización de sus dispositivos para poder contar con la actualización de seguridad correspondiente. El fabricante liberará un boletín relativo a esta actualización de seguridad.
Si cuenta con un ruteador 2wire proporcionado por un ISP distinto a Telmex, por favor contacte a su Proveedor de Internet para obtener mayor información.

Tomado de : http://www.cert.org.mx/boletin/?vulne=5553

* Mi ultima recomendación. Si no lo ocupas ! APAGALO !

Disección de cibercriminales

Estudio de la Universidad de Utica dio a conocer el perfil de los cibercriminales y de los cibercrímenes que ocurren en los Estados Unidos; el Servicio Secreto abrió expedientes por vez primera.

Los cibercriminales en Estados Unidos realizan fraudes a través de Internet predominantemente como un reto personal, reveló un análisis de los cibercrímenes documentados en dicho país.El estudio realizado por el Centro de Manejo de Identidad y Protección de Información (CIMIP, por sus siglas en inglés) de la Universidad local Utica, contó con la colaboración del Departamento de Seguridad y, lo que lo hace novedoso, es que es el primero para el cual el Servicio Secreto de EU abre sus expedientes.

El estudio afirma que la mayoría de los criminales, es decir 42.5%, se encuentran entre los 25 y 34 años de edad, el 33% está entre los 35 y 49 años, el 18.5% son jóvenes entre los 18 y 24 años, mientras que el 6% son personas mayores a los 50 años de edad.

El 53% de las personas que han cometido algún fraude por Internet, señala el estudio, son personas de raza negra, mientras que el resto, es decir, el 38.3% son blancos. También afirman que una tercera parte del total de los fraudes cibernéticos lo han realizado mujeres.

Las cifras arrojaron que la mayoría de los defraudadores, es decir, 71% nunca habían cometido algún crimen, pues no tenían historial de arrestos. Asimismo señalan que el 24% de ellos nacieron fuera del territorio estadounidense.

Lo que prevalece en este tipo de crímenes, es el robo de información financiera para hacer retiros de dinero, utilizar el crédito de las tarjetas y realizar pago de multas en vehículos. En la gran mayoría de los casos, señala el reporte, el robo de identidad facilitó a los criminales realizar varios tipos de fraudes.

Sin embargo, uno de los hallazgos más sorprendentes del estudio es que el Internet no es necesario para cometer robo de identidad, aunque puede ser de ayuda. “El análisis de los métodos empleados por los delincuentes mostraron que el Internet y otros dispositivos tecnológicos fueron utilizados en aproximadamente la mitad de los casos. En algunas ocasiones, los delincuentes comienzan con una acción no tecnológica, como el robo de correo, para obtener datos de identificación personal, es entonces cuando utillizan cámaras digitales, computadoras, escáners y teléfonos celulares para producir y distribuir documentos fraudulentos. Mientras que el uso de Internet como herramienta criminal tiene presencia, parece no representar una necesidad para la mayoría de los delincuentes para alcanzar sus metas”, dice el estudio.

Un hallazgo importante es que los defraudadores no trabajan solos, pues existen grupos organizados que van de 2 a 45 personas, constituyendo 42.4% del total de los cibercriminales la delincuencia organizada.

En cuanto a los objetivos de los criminales, el reporte señala que más de una tercera parte, es decir, 37.1% de la víctimas, fueron la industria financiera como bancos, compañías de tarjetas de crédito y empresas dedicadas a ofrecer créditos. El 21.3% de las víctimas fueron negocios como tiendas, automotrices, estaciones de gasolina, casinos, restaurantes, y hospitales.

Del total de las víctimas, el 59% contestó que no conocían al delincuente, mientras que el 10.5% confirmaron que el criminal había sido algún cliente o trabajador.

El estudio está basado en 517 casos de los 734 existentes, a los cuales los investigadores de la Universidad de Utica tuvieron acceso, debido a que determinaron que estaban fuera del ámbito del estudio. El documento hace énfasis en que las pérdidas económicas las padecen tanto personas como empresas e industrias, sectores que no siempre son considerados en este tipo de estudios.

El CIMIP trabaja en conjunto con socios corporativos como IBM, LexisNexis y TransUnion; como con agencias de gobierno federal tales como el Servicio Secreto y el FBI, entre otros; además de instituciones académicas como la Carnegie Mellon University Software Engineering Institute, el Centro de investigación aplicada en ciberseguridad de la Universidad de Indiana y el centro CASE de la Universidad de Siracusa.

Tomado de: http://netmedia.info/articulo-31-7340-1.html?utm_medium=boletin&utm_source=BOLETIN-SU-25-10-07

Por: Héctor A. González Campos, Efraín Ocampo

Linux Morir Decidir

Cuenta la leyenda que en la vida solo hay dos cosas que nunca podremos evitar: MORIR y DECIDIR.
Bueno aclarando que el no elegir es en si una decisión  por tanto valida pues afecta.

Cuando uno se encuentra en el umbral de instalar un Sistema Operativo adicional a su equipo, nos percatamos que la palabra “Linux” sale a relucir; ¿el problema? Existe una variedad casi infinita de sabores, colores, características, utilidades, orientaciones de este.
Para aquellos que tomaron la decisión  de “no decidir” encontré navegando en la red un “decididor” se trata del proyecto “Linux Distribution Chooser” que orienta en base a nuestros conocimientos y a la respuesta de sencillas preguntas cerradas que “Distro” de “Linux” es la mas adecuada a las características de nuestro equipo y  nuestros conocimientos.

Puedes acceder en http://www.zegeniestudios.net/ldc/

Inicias el Test, eliges el idioma, digo para que se te haga mas fácil, si eres una “chucha” en ingles no selecciones nada, practica tu griego, árabe, italiano. . .

-0-

GateKeeper

Parte de los conflictos de mi día de hoy radicaron en comprender la asignación de extensiones E.164, suena interesante.

Estas son extensiones que asigna la UIT dando un código numérico a cada país, tiene su chiste, para ello debo de configurar asociado un Gatekeeper  suena bien, pero no “pitufa” como debería.  Encuentro que un Gatekeeper es el encargado de ofrecer: 

• Traducción de direcciones.
• Control de admisiones.
• Control de ancho de banda.
• Administración de zonas.
• Control de señalizacion de las llamadas.
• Autorizacion de llamadas.
• Administración de ancho de banda.
• Administración de llamadas.

La mejor definición:

“Gatekeepers

Son un elemento opcional en la comunicación entre terminales H.323. No obstante, son el elemento más importante de una red H.323. Actúan como punto central de todas las llamadas dentro de una zona y proporcionan servicios a los terminales registrados y control de las llamadas. De alguna forma, el gatekeeper H.323 actúa como un conmutador virtual. Los Gatekeepers proporcionan dos importantes funciones de control de llamada:

• Traducción de direcciones desde alias de la red H.323 a direcciones IP o IPX, tal y como está especificado en RAS.
• Gestión de ancho de banda, también especificado en RAS. Por ejemplo, si un administrador de red ha especificado un umbral para el número de conferencias simultáneas, el Gatekeeper puede rechazar hacer más conexiones cuando se ha alcanzado dicho umbral. El efecto es limitar el ancho de banda total de las conferencias a alguna fracción del total existente para permitir que la capacidad remanente se use para e-mail, transferencias de archivos y otros protocolos.

A la colección de todos los Terminales, Gateways y MCU’s gestionados por un gatekeeper se la conoce como Zona H.323. Una característica opcional, pero valiosa de los gatekeepers es la habilidad para enrutar llamadas. Si se enruta la llamada por un gatekeeper, esta puede ser controlada más efectivamente. Los proveedores de servicio necesitan esta característica para facturar por las llamadas realizadas a través de su red. Este servicio también puede ser usado para re-enrutar una llamada a otro terminal en caso de estar no disponible el llamado. Además con esta característica un gatekeeper puede tomar decisiones que involucren el balanceo entre varios gateways. Por ejemplo, si una llamada es enrutada por un gatekeeper, ese gatekeeper puede re-enrutar la llamada a uno de varios gateways basándose en alguna lógica de enrutamiento propietaria. Mientras que un Gatekeeper está lógicamente separado de los extremos de una conferencia H.323, los fabricantes pueden elegir incorporar la funcionalidad del Gatekeeper dentro de la implementación física de Gateways y MCU’s. A pesar de que el Gatekeeper no es un elemento obligatorio, si existe, los terminales deben usarlo. RAS define para estos la traducción de direcciones, control de admisión, control de ancho de banda y gestión de zonas. Los Gatekeepers juegan también un rol en las conexiones multipunto. Para soportar conferencias multipunto, los usuarios podrían emplear un Gatekeeper para recibir los canales de control H.245 desde dos terminales en una conferencia punto-punto. Cuando la conferencia cambia a multipunto, el Gatekeeper puede redireccionar el Canal de Control H.245 a un controlador multipunto, el MC. El Gatekeeper no necesita procesar la señalización H.245, solo necesita pasarla entre los terminales o entre los terminales y el MC. Las redes que posean un Gateway pueden también tener un Gatekeeper para traducir llamadas entrantes E.164 (número de teléfono convencionales) a direcciones de transporte. Debido a que una Zona está definida por su Gatekeeper, las entidad H.323 que contengan un Gatekeeper interno necesitan de un mecanismo para desactivar su funcionamiento cuando hay varias entidades H.323 que contiene un Gatekeeper dentro de la red, las entidades pueden ser configuradas para estar en la misma Zona. Existen dos formas para que un terminal se registre en un gatekeeper, sabiendo su ip y enviando entonces un mensaje de registro unicast a esta dirección o bien enviando un mensaje multicast de descubrimiento del gatekeeper (GRQ) que pregunta ¿quién es mi gatekeeper?

Funciones obligatorias Gatekeeper

• Traducción de Direcciones: Traducción de alias a direcciones de transporte, usando para ello una tabla que es modificada con mensajes de Registration. Se permiten otros métodos de modificar la tabla.
• Control de Admisión: El Gatekeeper debería autorizar el acceso a la red usando mensajes H.225.0 ARQ/ACF/ARJ. Esto puede basarse en autorización de llamada, ancho de banda, o algún otro criterio que es dejado al fabricante. También puede ser una función nula que admita todas las peticiones.
• Control de Ancho de Banda: El Gatekeeper debería soportar mensajes BRQ/BRJ/BCF. Esto puede usarse para gestión del ancho de banda. También se puede aceptar todas las peticiones de ancho de banda.
• Gestión de Zona: El Gatekeeper debería suministrar la funciones anteriores a: todos los terminales, MCU’s y Gateways que se encuentren registrados en su Zona de control.

Funciones opcionales Gatekeeper

• Señalización de control de llamada: El Gatekeeper puede elegir completar la señalización de llamada con los extremos y procesar la señalización de llamada el mismo. Alternativamente, puede elegir que los extremos conecten directamente sus señalizaciones de llamada. De esta manera el Gatekeeper puede evitar gestionar las señales de control H.225.0.
• Autorización de llamada: El Gatekeeper puede rechazar una llamada desde un terminal basándose en la especificación Q.931. (H.225.0) Las razones para rechazar la llamada pueden ser, pero no están limitadas a, acceso restringido desde o hacia un terminal particular o Gateway, y acceso restringido durante un periodo de tiempo. El criterio para determinar si se pasa la autorización o falla, está fuera del alcance de H.323.
• Gestión de llamada: El Gatekeeper puede mantener una lista de las llamadas en curso, esta información puede ser usada para indicar si un terminal está ocupado o para dar información a la función de gestión de ancho de banda.
• Otros como: estructura de datos de información para la gestión, reserva de ancho de banda y servicios de directorio.”  Octubre de 2007 en http://www.rediris.es/mmedia/Arquitectura.es.html