Friday, 26 de February de 2010
INTECO, el Instituto Nacional de Tecnologías de la Comunicación, acaba de hacer públicos los resultados del Estudio sobre el fraude a través de Internet, que analiza la evolución del fenómeno desde 2007 hasta septiembre de 2009.
El informe describe, desde la óptica del usuario de Internet, la evolución de las situaciones relacionadas con el fraude electrónico desde 2007 hasta el tercer trimestre de 2009, y el impacto que dichas situaciones han tenido sobre el usuario, tanto a nivel económico como en el grado de e-confianza.
El diagnóstico se completa con la información procedente del Repositorio del Fraude Electrónico, que recopila información técnica a partir de los incidentes detectados por INTECO.
Wednesday, 24 de February de 2010
En el blog del “FireEye Malware Intelligence Lab” describen dos nuevos métodos de robo bancario mediante troyanos, bastante sofisticados. Ambos métodos se basan en un troyano que, tras instalarse aprovechando un fallo de seguridad del navegador o la instalación de algún software aparentemente no dañino, intercepta la comunicación entre el navegador y el banco, sin que el usuario sea consciente de este hecho.
El primer tipo de robo, llevado a cabo por el troyano Zeus/Zbot, se basa en un elaborado método que intercepta y envía a un usuario externo un código, válido durante 2 minutos, que recibe el usuario auténtico a través de un SMS la primera vez que accede desde un equipo informático a su cuenta bancaria. El troyano, en comunicación con una persona en otra ubicación remota, logra validar el equipo de esta tercera persona, momento a partir del cual puede realizar el robo bancario, mediante una transferencia a otra cuenta.
El segundo tipo de robo, llevado a cabo por el troyano URLZone, intercepta las comunicaciones que tienen lugar entre el navegador del usuario y el banco al realizar una transferencia bancaria, cambiando la cuenta bancaria destino por otra distinta, a través de la que se perpetra el robo. El usuario legítimo nunca percibe este hecho, ya que la dirección se cambia tanto en el camino de ida hacia el banco con en el camino de regreso.
Usuario legítimo Troyano URLZone Banco
Transferencia hacia la cuenta legítima —> [Modificación de la solicitud] —> Transferencia a otra cuenta distinta
Fondos transferidos a la cuenta legítima <— [Modificación de la respuesta] <— Fondos transferidos a otra cuenta
Cabe comentar que este tipo de acciones suelen ser llevadas a cabo a través de cuentas intermedias, de personas que perciben una pequeña comisión por ello, pero que la mayoría de las veces ni siquiera saben qué están haciendo.
Estamos asistiendo a nuevos métodos de obtención de información bancaria, acceso a las cuentas y robo mucho más sofisticadas que las tradicionales, como el phising, de las que la mayoría de usuarios no están a salvo, debido a la transparencia con la que actúan estos troyanos y a la facilidad de acceso a nuestro sistema, al usar exploits “0-day” o fallos de seguridad que muchos usuarios aún no tienen parcheado. No podemos considerar ningún equipo seguro. En una entrada futura trataré de bosquejar los métodos de protección ante este tipo de amenazas.
Imagen CC-by-nc-nd de Micah A. Ponce.
Thursday, 23 de April de 2009
Investigadores en seguridad acaban de demostrar como tomar el control de un ordenador que ejecuta el sistema operativo Windows 7.
Lo peor de todo es que el exploit se aprovecha de un fallo en el diseño del sistema operativo, al asumir que el proceso de arranque es seguro ante ataques, por lo que “no se puede parchear“. Lo “bueno”, que el atacante tiene que tener acceso físico al sistema atacado: la intrusión no puede ser llevada a cabo de forma remota.
Por ahora el exploit usado, denominado VBootkit 2.0, era sólo una “prueba de concepto”.
El sistema fue presentado en la “Hack In The Box Security Conference (HITB)” en Dubai el jueves pasado.
Más información en NetworkWorld y en Slashdot.
Friday, 6 de March de 2009
En el Reino Unido están empezando a implantar sistemas de reconocimiento facial para el acceso y para la salida de las escuelas.
La máquina, situada en la entrada del centro, se encarga de validar y registrar de forma segura a cada uno de los usuarios que entran o salen del centro, tal y como se puede ver en este vídeo.
El sistema, que tarda 1,5 segundos en actuar, escanea el rostro de la persona, mediante un lector de infrarojos, y lo compara con los registros almacenados en una base de datos.
Las ventajas que presenta este sistema son claras:
- Control de las personas que se encuentran en el edificio, que puede ser interesante para infinidad de tareas (control de asistencia a clase de forma automática, seguridad en caso de incendios, al poder saber qué personas se encontraban dentro de las instalaciones,…).
- Ahorro del tiempo que gastan los docentes u otro personal en “pasar” lista, que pueden invertir en su trabajo real: enseñar y formar al alumnado.
- …
En su contra, varios factores:
- Coste del producto, de su instalación y mantenimiento.
- Tiempo invertido en el reconocimiento, ya que, además de lo que tarda la máquina en reconocer al usuario, éste tiene que interactuar con el sistema mediante una pantalla táctil, con lo que es posible que en horas “punta” se produzcan colas en las zonas de acceso, con la consiguiente pérdida de tiempo.
- Problemas acarreados por la similitud de dos individuos: gemelos,…
- Problemas de disponibilidad en caso de accidentes, incendios,… dende el punto de vista de poder conocer qué usuarios se encontraban en el edificio, ya que si se ven afectadas las propias máquinas, habría que implantar sistemas redundantes en instalaciones externas, con el consiguiente coste de mantenimiento.
- …
Un asunto interesante, a la vez que polémico.
Merece la pena echarle un vistazo a los comentarios de los usuarios de Slashdot.
La noticia original en Cambridge News Online.
Wednesday, 4 de March de 2009
La Corte Federal Constitucional Alemana acaba de declarar ilegal el uso de las máquinas de votación electrónica Nedap ESD1 and ESD2 usadas en las elecciones estatales del 2005.
La causa que argumenta el tribunal es que contradice el principio de elección pública; es decir, que los votos puedan ser contados en público: el principio de transparencia.
El tribunal no declaró las máquinas ilegales por si mismas, si no que lo que consideró ilegal es el propio proceso, ya que no es posible verificar los resultados una vez que fueron emitidos. El procedimiento para verificar el funcionamiento se basó en la toma aleatoria y verificación de muestras.
Como es habitual en este tipo de máquinas, el código fuente no es público, por lo que no puede ser auditado por cualquier ciudadano.
A pesar de todas estas irregularidades, los resultados de la elección se declararon válidos, aunque de poco habría servido declararlas inválidas y convocar nuevas elecciones, ya que éstas se convocan este mismo año.
Vía Slashdot.
Wednesday, 17 de December de 2008
El famoso hacker Kevin Mitnick acaba de pasarse por Madrid a impartir una conferencia sobre Ingeniería Social en la Casa de la Moneda, donde también se presenta el Cluster de Seguridad de la Comunidad de Madrid.
Aprovechó el paso para responder unas preguntas en un encuentro virtual en el periódico “El Mundo“.
Creo que las preguntas eran las típicas a las que está acostumbrado a contestar, por lo que no aportó nada nuevo, aunque dejó un par de detalles que me resultaron “curiosos”:
¿Qué Sistema Operativo usa? Leopard.
…Las empresas tienen mayores beneficios y, por supuesto, no podría vivir sin mi iPhone.
Al menos, peculiar.
Saturday, 31 de May de 2008
Seguro que el Bank of New York Mellon Corp se gasta una candidad ingente de dinero en seguridad informática, pero hacen copias de seguridad en cintas sin encriptar y las envían por paquetaría.
Resultado: los datos de 4,5 millones de clientes, perdidos, en manos del que los encuentre.
No comment.
Más información en Kriptópolis.
