Primero debemos recordar que era el malware Stuxnet. Fue el primer gran virus que estuvo orientado a realizar ataques a gran escala contra fábricas o grandes industrias, y se lo recuerda principalmente por atacar la planta nuclear de Irán. En ese ataque logró involucrarse en todos los ordenadores de la central atómica y controlar los procesos de producción. El mismo causo una gran alerta, ya que podría ser utilizado con fines destructivos.

Luego de que pasase un año de la aparición de Stuxnet, se suma un nuevo gusano con los mismos patrones de ataque: Duqu. Y no ha dado puntada sin hilo, ya ha atacado a grandes sistemas y complejas infraestructuras en Europa.

Al ser detectado por firmas de seguridad, encontraron la semejanza con el popular gusano, ya que tiene fragmentos de códigos idénticos. El modus operandi de Duqu es enmascararse tras un código verdadero de certificados digitales (de los cuales tanto hemos hablado).

Gusano Duqu

Diferencias y Semejanzas: Duqu no es un gusano del todo, ya que a diferencia de su antecesor no busca replicarse y es más liviano. La característica principal que lo hace menos dañino es que no posee las líneas de destrucción de hardware como Stuxnet. Symantec se animo a decir que Duqu es solo el comienzo de una operación de rastreo industrial mucho mayor. Algo así como un iceberg que aun no ha demostrado todo su cuerpo.

Estaremos atentos a ver como se desempeña esta noticia a lo largo de las redes y que conflicto en los ordenadores causa el malware.

El problema del navegador web está presente en un proceso de decodificación de dibujos vectoriales. Al momento de abrir ficheros SVD se puede estar ejecutando algún tipo de malware que este incrustado en el sitio web. No es para alarmarse ya que deben cumplirse ciertas condiciones que permitan incluir códigos infecciosos.

La mayoría de los analistas han dado a llamar a esta vulnerabilidad como 0-day (día cero), ya que está presente desde el momento inicial de Opera 11. En pruebas realizadas por “The H Security”, dieron alertas positivas en 40% de los navegadores con esta versión mencionada, y en la nueva beta de Opera 12 el porcentaje alcanza el 60 de cada 100.

El problema es el silencio de la empresa noruega, ya que han pasado más de doce meses del lanzamiento de su programa y no han dado solución al inconveniente. En el siguiente Blog se puede leer (aunque está en inglés) distintos xploits modificados que demuestran el agujero de seguridad: Blog con xploits de Opera

Esperemos que llegue alguna notificación o actualización que solucione este inconveniente que pone en alerta a todos los usuarios.

Al parecer hackers aprovecharon la vulnerabilidad de los administradores en el uso de la contraseña (sí, ya lo hemos dicho muchas veces: “el principal causal de las violaciones a la privacidad son los usuarios”) y cambiaron el infantil contenido por vídeos de alto contenido erótico.

El Canal de Sésamo de Youtube ya se encuentra disponible con normalidad, aunque la problemática fue que los encargados de mantener el sitio (propiedad de Google) tardaron aproximadamente 22 minutos en percatarse del incidente. Lo que produjo que miles de usuarios (padres de niños) que disfrutan de los graciosos títeres llenarán de quejas el sitio.

Por el momento, no hubo alguna disculpa pública o palabras oficiales con respecto al hackeo. Solo se acuso a dos usuarios en un vídeo que estaba colgado en el canal hackeado. Igualmente, uno de ellos salió a desmentir su actividad en el ataque.

El tiempo que duro la reproducción del material prohibido fue breve aunque la llegada a menores ha sido de alto impacto.

RECORDAMOS: siempre usar contraseñas complejas.

Se trata de una variable de phishing, pero en vez de tratarse de una página web que suplante la identidad del sitio, llega en forma de aplicación móvil. Aprovechando la fama que ha alcanzado el sitio de vídeo streaming Netflix, y su reciente lanzamiento al habla hispana, usuarios malintencionados están distribuyendo la mencionada aplicación. Recordemos que la técnica de phishing consiste en variadas técnicas para obtener los datos de cuentas de forma engañosa.

En esta ocasión el engaño llega ejecutando la aplicación de Netflix. Encontraremos una ventana de bienvenida y logueo idéntica a la oficial provista por el Market de Android. Al cargar el usuario y contraseña, los datos son enviados a un servidor remoto desconocido. Como siempre los datos son aprovechados para acceder a nuestras cuentas, y robar la información. El riesgo aumenta en caso de tener una membrecía paga, ya que datos de tarjetas o modos de pago pueden estar almacenados aun.

Como siempre, solicitamos a nuestros lectores que tomen las medidas correspondientes para evitar caer en la trampa de hackers. En este caso usar siempre la tienda oficial: Android Market. En caso de estar interesados en el popular servicio de películas y series ingresar al sitio oficial de Netflix.

El caso de hoy revela que Sony había detectado actividad inusual en los accesos a los servidores de su plataforma de juegos, por lo que decidió contrarrestar estos intentos de infracción desactivando las cuentas.

Igualmente, los malintencionados lograron acceder a 93.000 cuentas y sus respectivos datos. Por ello a modo preventivo se encuentras desactivadas las cuentas. Mientras tanto se dejo en claro que las tarjetas de crédito registradas no corren riesgo, ya que la “pequeña falla de seguridad” no permitió filtrar ese dato. Por otro lado, se enviará correos electrónicos a las personas afectadas para que tomen las medidas correspondientes y reactiven sus usuarios cambiando la contraseña y parámetros de seguridad.
Hace un rato realizamos la nota de la quiebra de DigiNotar por la falta de confianza en su seguridad y el complejo sistema que se vio vulnerado. Sony sigue sufriendo fallas en sus servidores y sistemas de seguridad.

¿Hasta qué punto será necesario llegar para que tomen en serio esta actividad?

Entre las mejoras destacables se encuentran, una nueva interfaz y un renovado proceso de instalación. Aquí nuestra crítica de Avira Free Antivirus 2012.

La instalación del antivirus es rápida y sencilla, luego de un par de clicks habremos pasado la licencia y la solicitud de registro, eso es todo. Supuestamente el proceso de instalación era una de las “grandes” adaptaciones que realizaron, la verdad resultó algo incomodo para el usuario.

Algo no muy interesante es la actualización de la base de datos o firmas de virus. No es que sea un problema o no lo haga, simplemente que la actualización nos descarga una serie de ficheros que harán una reinstalación del antivirus. Es igual que descargues el antivirus de nuevo.

Lo positivo, es la nueva interfaz. Simple, dinámica, clara y con la mínima intervención del usuario. Además ha incorporado nuevos sistemas para detectar malware, virus y distintos ficheros maliciosos. Principalmente, aquellos rootkits que podían haber doblegado los análisis de versiones pasadas.

Algo positivo (y no tanto), es que el nuevo modo de escaneo profundo, realmente es minucioso. Tarda aproximadamente 2 horas en revisar unos 20Gb de disco. Esto quiere decir, que realmente se toma su trabajo en serio, aunque la demora puede ser algo molesta. Lo ideal, es controlar más seguido los directorios con mayor movimiento de datos

La idea es comprobar el desempeño de avast! frente  a falsas amenazas. Recordemos que el objetivo es demostrar que podemos ser precavidos al desactivar los controles de las herramientas de seguridad sí consideramos que la fuente del instalador, programa o documento es fiel. Además, buscamos exponer que existen ciertas conductas inapropiadas de los antivirus.

Luego de esta pequeña aclaración, estos son los resultados que arrojo la herramienta:

♦ No existieron inconvenientes con los clientes P2P que usamos, si en la búsqueda de algunos de estos programas en Internet (ver ítem sitios)

♦ Visitamos distintos sitios de descargas, que ofrecen instaladores propios y la cantidad de Falsos Positivos fue elevadísima. Algunos de los instaladores fueron desmembrados para analizar su contenido y no existía infección alguna. Sólo barras de navegación o páginas de inicio

♦ Al igual que NOD32, no demostró inconvenientes ni errores en la manipulación de ficheros RAR, ZIP u otros comprimidos

♦ La edición del registro de Windows con ejecutables o archivos REG fue impedido por parte del programa. En este caso, se nos permitió hacerlo por medio del ‘sandbox’

♦ Otra gran falencia de avast! fue en la visita de sitios con programas que pueden llegar a infringir algún derecho de autor o que sirven para compartir libremente información entre los usuarios. Por ejemplo: sitios estáticos que ofrecen descargar programas P2P.

♦ Un antivirus distinto a los tres mencionados en las notas fue detectado como un malware que intentaba tener acceso al ordenador

Ya tenemos nuestros 3 análisis de los antivirus elegidos. Puede ser difícil ternarlos por mejor o peor software. Pero podemos sacar en claro que todos fallaron en la detección de falsos positivos. Un punto en común es: el incomprensible bloqueo a sitios y la imposibilidad de descargar instaladores de terceros. Este tipo de conducta solo favorece a las grandes compañías a concentrar visitas o descargas.

Dejamos a tu consideración el uso de cada suite. Sólo cabe recomendar que existen distintas herramientas a la hora de proteger tu ordenador o portátil.

Espero que haya disfrutado del informe FALSOS POSITIVOS.

El servicio de MySQL es un gestor de bases de datos SQL utilizado en gran parte de sitios y aplicaciones en línea. La gravedad de este hecho es tal que si ingresabas a mysql.com al momento que se ejecutaba el script adulterado, se te dirigía a alguno de los sitios infectados que buscaba cualquier brecha de seguridad en tu ordenador e infectaba el mismo con un malware.

Además estamos hablando de un servicio que debería de ser protegido con sistemas de seguridad elevados y perfeccionar cualquier método para evitar este tipo de violaciones en las bases de datos. Recordemos que por mes 12 millones de personas descargan esta plataforma. Por lo que se calcula que al menos 120 mil usuarios se vieron amenazados por este “xploit”.

Por el momento, Oracle – administrador del proyecto MySQL – no ha realizado ninguna declaración con respecto al tema.

Aquí un vídeo con más información:

En esta nueva entrega nos encargaremos de verificar los resultados de otro conocido antivirus: NOD32, de la empresa ESET.

Para que el resultado sea comparable con el que arrojo Dr. Web Antivirus, ejecutamos las mismas pruebas con la cuarta versión del famoso antivirus que se ha hecho un lugar entre los grandes en el mercado de la seguridad.

Repasamos los test a seguir:

• Instalación y uso de Clientes P2P
• Descarga y acceso a instaladores de programas
• Manipulación de ficheros comprimidos
• Desarrollo de “bromas” o modificaciones al registro de Windows sin alterar procesos vitales

• Acceso a sitios con publicidades o propagandas poco comunes
• Visualización de páginas o blogs de otros países
• Instalación de otro antivirus

Debemos decir que siguen llamando la atención el nivel de bloqueo y control estricto que tienen las compañías a la hora de realizar la inspección de elementos. Sin más estos son los resultados del software de ESET:

♦ Un Cliente P2P optimizado para compartir música fue bloqueado en el primer intento de instalación.

♦ Al igual que Dr. Web, NOD32 evito la descarga en nuestro ordenador de varios instaladores de terceros que incluían la carga del programa original. Creemos que este es el principal punto en conflicto con las suites.

♦ La libertad con los ficheros comprimidos fue mayor y no se vieron demasiadas alertas falsas o bloqueos innecesarios. Un punto a favor para NOD32

♦ La ejecución de líneas de comando con modificaciones al registro se vio bloqueada, a excepción de un fichero BAT que permitió la duplicación de un parámetro del inicio de Windows.

♦ No hubo interferencia con sitios en otros idiomas. El principal inconveniente que encontramos fue la privación de entrar a páginas donde se hable mal del programa o que ofrezcan “keys” para la actualización gratuita.

♦ A la hora de instalar otro antivirus no hubo inconvenientes pero se nos alerto de que ya poseemos una herramienta con esta función.

El veredicto, comparado con Dr Web Antivirus, podría ser que es más flexible en puntos como redes P2P, documentos comprimidos o la navegación sin bloqueos inexactos. Pero restringió equivocadamente a sitios que no tienen amenazas al ordenador, sino contra su negocio y además la negación a instaladores sin motivos.

Como recomendamos en la primera entrega: desactivar el análisis en tiempo real y tratar descargar los instaladores, programas o utilidades que crees que es seguro. Además, en caso de dudas o necesidad puedes pedirle a un amigo o familiar que coteje con su ordenador si tiene un antivirus distinto.

Aún nos queda un antivirus más a analizar: Avast!. Una vez que hayamos publicado sus resultados, cerraremos el tema con los procesos de Windows que se vieron afectados con FALSOS POSITIVOS.