Publicado el 19 de octubre de 2011 por Jaime Domenech

Varios expertos en seguridad informática de la empresa Armorize han interceptado un malware que afectó a páginas webs que emplean las tecnologías ASP y ASP.NET.

Para llevar a cabo su infección, los cibercriminales planificaron un ataque masivo de SQL, que tras infectar a los usuarios les redirige a un kit de de malware para explotar webs que se aprovecha de las vulnerabilidades em Adobe PDF, Adobe Flash o Java.

Además, en las pruebas realizadas se descubrió que el citado malware tenía unas tasas de detección bajas y en muchos casos pasaba desapercibido para los antivirus.

Los “hackers” llegaron a infectar con éxito los dominios nbnjkl.com y jjghui.com y según informan desde Armorize, la acción está relacionada con los ataques de infección masiva de SQL conocidos como Lizamoon, que tuvieron lugar en abril.

En la mayoría de los casos los ataques masivos de SQL se producen a través del reconocimiento mediante motores de búsqueda activos, seguidos de la explotación automática de las webs vulnerables.



vINQulos

ZDNet

FUENTE :http://www.theinquirer.es/2011/10/19/un-ataque-web-masivo-infecta-a-mas-de-1-millon-de-paginas.html

Publicado el 19 de octubre de 2011 por Jaime Domenech

Max Schrems, estudiante de derecho de Viena, ha encontrado pruebas que demuestran que la red social Facebook está actuando sin respetar las leyes de protección de datos vigentes en la Unión Europea.

El futuro abogado de 24 años solicitó a Facebook un CD con toda la información que almacena la red social sobre su persona.

Al recibirlo, pudo comprobar que algunos datos habían sido omitidos en el disco e interpuso 22 demandas contra la red social en la Comisión de Protección de datos de Irlanda.

Asimismo, creo una página llamada Europe vs Facebook para denunciar el problema y animar a otros usuarios a solicitar sus datos a la compañía californiana.

Schrems alerta de que Facebook utiliza los botones “Me gusta” para recopilar información sobre los hábitos de navegación de sus clientes.

Además, el estudiante asegura que la red social cuenta con cookies de seguimiento cuando los usuarios abandonan la plataforma para de esa forma poder rastrear su actividad en internet, una práctica que Facebook desmintió hace unas semanas.

Desde la compañía de Zuckerberg han indicado que la legislación irlandesa de Protección de Datos de 1998 y 2003 no les obliga a proporcionar a los clientes aquellos datos personales que constituyan secretos industriales y atenten contra el derecho a la propiedad intelectual.

vINQulos

thinq.co.uk

FUENTE :http://www.theinquirer.es/2011/10/19/un-universitario-austriaco-acusa-a-facebook-de-incumplir-la-legislacion-europea.html

Su propósito es jubilar Blackberry OS y su nombre recuerda a una jugada similar de Apple hace más de una década, cuando mató Mac OS para dar paso a Mac OS X.

El fabricante canadiense Research In Motion (RIM) ha anunciado su nuevo sistema operativo móvil BBX, que se lanzará el año que viene y será utilizado tanto en los teléfonos Blackberry como en las tabletas Playbook. "Todo lo que hemos preparado para la BBX funcionará en todos los aparatos producidos por RIM", señaló Mike Lazaridis, codirector general de la marca, al desvelar el nuevo sistema en la conferencia anual de la compañía en San Francisco.

 En un comunicado de prensa, la empresa agregó que BBX está diseñada para fomentar "las poderosas experiencias en móviles en tiempo real que distinguen los productos de Blackberry". BBX combina la plataforma de Blackberry con el sistema operativo QNX desarrollado para sus tabletas electrónicas, informa EFE.

 De este modo, RIM pretende ampliar su mercado y competir con las plataformas iOS de Apple, y Android de Google. No obstante, los desarrolladores presentes en el evento tuvieron una apagada reacción inicial al anuncio, ya que se esperaba que RIM abriera la conferencia presentando una nueva línea de móviles. "BBX podría ser potencialmente excitante, pero honestamente estaba esperando un anuncio mucho más grandioso. No hay nada revolucionario", dijo a Reuters Dave Lane, un desarrollador de software en Metova, una pequeña empresa con sede en Tennessee, quien añadió que "en términos de hardware y rendimiento en general, no creo que Blackberry esté a la par de los dispositivos de Apple".

 RIM ha lanzado un kit de desarrollo de aplicaciones nativas para Playbook, que será compatible con el futuro BBX. "Le estamos dando a los desarrolladores las herramientas que necesitan para construir aplicaciones más variadas, y les estamos mostrando cómo desarrollar mejor sus aplicaciones para smartphones y tabletas pues las plataformas BlackBerry y QNX convergen en nuestra plataforma BBX de nueva generación", dijo el copresidente ejecutivo de la compañía, Mike Lazaridis, en el discurso que abrió la conferencia.

 Lazaridis explicó que RIM cuenta en la actualidad con más de 50 millones de clientes que utilizan de forma asidua el popular sistema de mensajería instantánea BlackBerry Messenger. El codirector de RIM también se refirió brevemente al incidente técnico que dejó sin servicio durante varios días a sus clientes por el que pidió disculpas y que calificó como "desafortunado".

FUENTE :http://www.libertaddigital.com/internet/2011-10-19/rim-anuncia-la-fusion-de-sus-sistemas-operativos-para-blackberry-y-playbook-en-bbx-1276438693/

Una vez más, se rompe con el estereotipo que Internet es solo para ligar o buscar pareja. Aunque los usuarios siguen utilizando la red para encontrar pareja, lo cierto es que actualmente está creciendo el porcentaje de personas que también utilizan estas páginas como un medio para hacer nuevas amistades y conocer gente nueva.

^sDesde mobifriends.com señalan que más de un 70% de los españoles ha utilizado alguna vez la red, sobre todo para contactar con gente nueva fuera del círculo de amistades convencional. A diferencia de otras páginas orientadas a la búsqueda de pareja, en mobifriends los usuarios pueden acceder a diferentes servicios totalmente gratuitos como buscar pareja, conocer gente nueva, chatear y ligar, y conocer amigos.

Los siguientes datos, pertenecientes a la última encuesta de mobifriends, muestran el tipo de relación que suelen buscar los usuarios en Internet a la hora de relacionarse.

Los usuarios eligen en general

71% amistad, 51,6% pareja, 35% ligar, 32,1% compartir aficiones, 25,3% sexo.

Los hombres eligen en general

67,8% amistad, 51,4% pareja, 41,3% ligar, 32,5% sexo, 31,5% compartir aficiones.

Las mujeres eligen en general

80,6% amistad, 52% pareja, 33,9% compartir aficiones, 15,5% ligar, 2,63% sexo.

La tendencia general es que existe un porcentaje mayor, concretamente un 71%, de personas que están interesadas en conocer nuevas amistades. Las mujeres, concretamente un 80,6%, son las que más se han decantado por esta opción. A continuación, la opción que eligen los usuarios es la de buscar pareja, así lo demuestran las cifras, con un 51,4% en el caso de los hombres y un 52% en el de las mujeres.

A diferencia de otras páginas de encuentros que son de pago, mobifriends facilita también al usuario la posibilidad de conocer amigos gratis o compartir aficiones, mientras que la mayoría de estas plataformas están orientadas exclusivamente a la búsqueda de pareja.

En la actualidad, la página de encuentros mobifriends, que sigue sumando usuarios, está presente en diferentes países como España, Andorra, México, Colombia, Argentina, Perú, Ecuador, República Dominicana, Venezuela, Chile, Costa Rica y Estados Unidos.

FUENTE :http://www.laflecha.net/canales/curiosidades/noticias/el-67-de-las-mujeres-busca-amistad-en-internet-y-el-61-de-los-hombres-busca-ya-veremos

Publicado el 19 de octubre de 2011 por Helga Yagüe

Expertos en seguridad han descubierto un nuevo troyano denomiado Duqu, que según las primeras investigaciones es muy similar al gusano Stuxnet y está diseñado para espiar a los fabricantes de sistemas de control industrial.

Como decimos, esta nueva amenaza guarda un gran parecido con Stuxnet pero tiene algunas capacidades diferentes ya que instala en los equipos un software keylogger para captar toda la información introducida a través del teclado y se autodestruye tras 36 días de espionaje.

“El objetivo de Duqu es reunir datos de inteligencia y activos de entidades como fabricantes de sistemas de control industrial, con el fin de llevar a cabo más fácilmente un ataque contra terceros en el futuro”, explican desde Symantec.

Es decir, que la tarea principal de Duqu es obtener información sensible de sistemas de control industrial para conocer sus puntos débiles y poder lanzar ataques más dañinos. Al parecer, este troyano podría llevar más de un año recabando este tipo de datos de varias empresas europeas gracias a un certificado digital que habría sido robado a una compañía taiwanesa.

“Los atacantes están buscando información como documentos de diseño que podrían ayudarles a lanzar un ataque contra un centro de control industrial en el futuro”, afirma los expertos en seguridad de Symantec.

El origen de Duque es todo un misterio ya que Symantec asegura que fue “un laboratorio de investigación con fuertes conexiones internacionales” quien dio la voz de alarma sobre esta amenaza, pero no se han dado más detalles.

vINQulos

TG Daily, The New York Times

FUENTE :http://www.theinquirer.es/2011/10/19/duqu-el-sucesor-de-stuxnet-ya-esta-entre-nosotros.html

Hoy en día la banca por Internet se ha convertido en algo cotidiano para muchas personas. Un número cada vez mayor de bancos se esmeran en expandir al máximo el espectro de servicios al que se puede acceder después de darse de alta en el sistema de banca online. Comodidad, velocidad…, parece que todo es positivo. Pero allí donde hay dinero, aunque no sea en forma de billetes reales, siempre habrá estafadores.

Los expertos de Kaspersky Lab explican que existen dos tipos de ataques cibernéticos: los que usan métodos de phishing "clásico" y los que se hacen mediante diferentes programas maliciosos. El blanco inicial de estos ataques eran los medios de identificación del usuario en el sistema de banca online. Es decir, el login y la contraseña. A medida de que se iban perfeccionando los mecanismos de protección de los bancos, también mejoraban los programas maliciosos: los delincuentes informáticos aprendieron a burlar la mayoría de los métodos existentes de confirmación de operaciones de la banca online.

Actualmente los métodos más populares de protección de la banca online son los códigos de autorización, (TAN, transaction authentication number) y la firma digital. En algunos casos, el banco puede enviar los códigos de autorización en mensajes SMS (mTAN, mobile transaction authentication number). Hasta septiembre de 2010 no se habían registrado ataques contra los códigos de autorización de operaciones en teléfonos móviles.

El troyano ZeuS para smartphones (ZeuS-in-the-Mobile, o ZitMo), que apareció a finales de septiembre de 2010 fue el primer programa malicioso para móviles que robaba códigos de autentificación de transacciones bancarias.

Los especialistas de Kaspersky Lab afirman que el ZeuS móvil, Trojan-Spy*.Zitmo tiene un solo objetivo: robar de una forma rápida e inadvertida los códigos mTAN. Asimismo, señalan que ZitMo funciona en estrecha colaboración con ZeuS que es la modificación del troyano para la plataforma Win32, Trojan-Spy.Win32.Zbot según la clasificación de Kaspersky Lab.

¿Qué pasa si un usuario en cuyo sistema está instalado ZeuS trata de ingresar en su sistema de banca online? Los expertos de Kaspersky Lab explican que cuando el usuario trata de visitar la página de su banco para entrar en el sistema;ZeuS, modifica la página web que la víctima ha visitado en el navegador, de tal manera que los datos personales que el usuario introduce para autorizar su login, no se envían al banco, sino al servidor de administración de la botnet ZeuS.


Esquema general de funcionamiento de ZeuS

Actualmente el esquema de funcionamiento no ha sufrido cambios, pero ahora en la página modificada de autorización, además del login y contraseña, se pide al usuario que indique el modelo de smartphoney escriba su número, supuestamente para renovar los certificados.


Parte de la página de autorización en el sistema de banca online modificada por los delincuentes donde se pide indicar el modelo y número de teléfono. (http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-ii.html)

Los usuarios que enviaban a los delincuentes la información sobre los teléfonos móviles, después de un tiempo recibían en el número indicado un SMS que les pedía instalar un nuevo certificado de seguridad. El "certificado de seguridad" se podía descargar en el enlace indicado en el mensaje SMS. Pero en realidad el certificado era la versión móvil del troyano ZeuS. Si el usuario visitabaeste enlace y descargaba e instalaba la aplicación, su teléfono se contagiaba con ZitMo, cuya principal función es enviar a los teléfonos de los delincuentes los mensajes SMS indicados en el cuerpo del troyano. Desde entonces el esquema de propagación del ZeuS móvil no ha cambiado: los usuarios lo instalan en sus smartphones pensando que se trata de software legítimo.

Los expertos de Kaspersky Lab indican que los delincuentes que consiguieron robar mediante ZeuS los datos personales que el usuario escribe para entrar en el sistema de banca online e infectaron el smartphone con ZitMo, pueden superar la última línea de defensa del sistema de banca online, mTAN. Usando el login y contraseña del usuario se autorizan en el sistema de banca online y tratan de ejecutar la transacción (por ejemplo, enviar dinero de la cuenta del usuario a su propia cuenta). Para realizar la transacción se necesita una confirmación adicional mediante el código de autorización que el banco envía por SMS al teléfono del cliente. El banco, después de recibir la solicitud del cliente pidiendo la transacción, envía a su teléfono un SMS con el código de autorización. El SMS llega al teléfono infectado por ZitMo, que de inmediato lo envía al teléfono del delincuente, que usando el mTAN robado, confirma la transacción. Mientras todo esto pasa, el cliente del banco no sospecha nada.


El esquema general del ataque es el siguiente:

Con la ayuda de ZeuS el delincuente roba los datos necesarios para obtener acceso a la banca online y el número móvil del cliente del banco.

Se envía un SMS al smartphone de la víctima que le pide instalar una actualización del certificado de seguridad u otro software necesario. En realidad, el enlace del SMS lleva a una versión móvil de ZeuS.

Si el usuario ha instalado este software, es decir, si infectó su teléfono, el delincuente -usando los datos personales robados al usuario- trata de hacer una transferencia de dinero desde la cuenta del usuario, para lo cual es necesario ingresar el código mTAN.

El banco envía un mensaje SMS con este código al smartphone del cliente.

ZitMo envía el SMS con el código de autorización al número de teléfono del delincuente.

El delincuente, mediante el mTAN robado, confirma la transacción.

FUENTE :http://www.laflecha.net/canales/seguridad/noticias/el-troyano-zeus-ataca-las-transacciones-de-banca-por-internet

Publicado el 19 de octubre de 2011 por Helga Yagüe

El CEO de Microsoft, Steve Ballmer, ha vuelto a caldear el ambiente con sus últimas declaraciones, en las que asegura que la plataforma Android es tan compleja que se necesitan tener vastos conocimientos de computación para manejar los teléfonos.

“No necesitas ser científico de computación para usar un teléfono con Windows pero sí para utilizar un teléfono Android”, ha asegurado el directivo durante su intervención en el Web 2.0 Summit que se celebra en San Francisco.

Con este argumento como base, Ballmer señala que le resulta difícil “entusiasmarse con los teléfonos Android”,a pesar de que el sistema operativo de Google es líder absoluto del mercado smartphone.

Sin embargo, el CEO dedica elogios al iPhone, otros de sus principales rivales. En este sentido, Ballmer reconoce que “Apple es un buen competidor” y destaca las capacidades del nuevo asistente por voz Siri, pero al mismo tiempo considera que los terminales con Windows Phone superan al iPhone ya que se centran en las necesidades del usuario.

“Cuando coges un teléfono con Windows y lo utilizas, tu información está en el centro y no tienes que desplazarte por los mares de los iconos”, explica Ballmer.

Ya para terminar, el directivo a reafirmado su intención de competir con Android lanzando al mercado smartphones con precios competitivos.

El propio Ballmer ha reconocido que has ventas de los terminales Windows Phone no han ido tan bien como esperaban. Sin duda, la prueba de fuego para la participación de Microsoft en el mercado smartphone será la llegada de la nueva generación de smartphones Nokia con Mango, que serán presentado durante este trimestre.

 vINQulos

The New York Times

FUENTE :http://www.theinquirer.es/2011/10/19/steve-ballmer-%e2%80%9cse-necesita-ser-experto-en-computacion-para-usar-android%e2%80%9d.html

Se ha anunciado un problema de seguridad en Asterisk (Versiones 1.8.x anteriores a 1.8.7.1 y 10.x anteriores a 10.0.0-rc1) que podría permitir a un atacante remoto provocar condiciones de denegación de servicio.

Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El problema reside en un fallo en el controlador del canal SIP, que podría permitir a un atacante remoto sin autenticar provocar la caída del sistema. Para llevar a cabo el ataque, se debería enviar al servidor una petición específicamente creada de forma que el sistema accede a una variable sin inicializar y se desencadena la vulnerabilidad.

El problema se encuentra solucionado en las versiones 1.8.7.1 y 10.0.0-rc1.

Antonio Ropero
 antonior@hispasec.com
Twitter: @aropero

FUENTE :http://www.hispasec.com/unaaldia/4742

Aquí tienes unas fotos de fuerte contenido, para que veas que existe el canibalismo : http://www.escalofrio.com/n/Curiosidades/Canibales_Modernos/Canibales_Modernos.php

Tal como anuncian en la web "Fotografías muy fuertes no aptas para personas sensibles"

Una empresa americana crea una aplicación falsa para mofarse de la fiebre por subirlo todo a las redes sociales

Reírse de uno mismo como estrategia de marketing. Firespotter Labs vende una aplicación para móvil que permite puntuar restaurantes, o mejor dicho, la comida que se sirve en ellos, y hacer recomendaciones. Se llama Nosh y ha conseguido financiación de Google Ventures, el brazo de capital riesgo del buscador. Y también ha creado una falsa aplicación que parodia la fiebre por querer compartirlo todo en las redes sociales. Promoción por contradicción.

La falsa aplicación, supuestamente disponible para iPhone y para Android, se llama Jotly e invita al usuario a contarlo y compartirlo todo porque “todo lo que haces en tu vida es interesante. Para todo el mundo”. “Puntua tu vida entera con una sola aplicación”, insiste el presentador del vídeo de YouTube que la promociona: una hoja, un parquímetro, el sabor del hielo en el agua, un lugar en el que esconderse. Todo es susceptible de ser valorado y contado a través del móvil. Y, por supuesto, hacerlo tiene recompensa... en forma de iPad. Otra mofa. Una crítica a la forma 1.0 de vender productos 2.0.

Alex Cornell, cofundador de Firespotter Labs, comenta en AllthingsD que Jotly sólo es un guiño, una broma para reírse de la proliferación de aplicaciones que quieren puntuarlo todo. No cree que la idea pueda perjudicar a Nosh, aunque en el vídeo inviten al usuario a deshacerse de otros programas y quedarse sólo con el falso Jotly. En cualquier caso, asegura que en Firespotter Labs tienen “la piel dura”. De momento, el vídeo sólo tiene algo más de 300 visitas y algún comentario que anima la empresa a hacer realidad el invento.

La compañía, dirigida por el cofundador de GrandCentral (Google Voice) Craig Walker, ya apareció en el blog tecnológico de Time en agosto por haber conseguido crear la que, según la revista, es “la mejor página 404 de error de la historia de Internet”, que en realidad es un vídeo en el que aparecen dos soldados a la caza de la página perdida. Consiguió una viralidad modesta: algo más de 15.000 visitas.


FUENTE :http://www.lavanguardia.com/internet/20111018/54233116841/compartimos-demasiado.html