RSS
Facebook
G+

Buscador de IntercambioSOS:


Retroceder   Foro de Ayuda IntercambiosvirtualeS > Soporte Sobre: Software > Seguridad

Respuesta
 
Herramientas Desplegado
Antiguo 06-jun-2012     #21
Predeterminado Google Advertirá a sus Usuarios que pueden recibir Ataques patrocinados por Gobiernos

Google Advertirá a sus Usuarios que pueden recibir
Ataques patrocinados por Gobiernos



Tras Stuxnet y más recientemente Flame, Google está dispuesta a combatir todos aquellos ciberataques que tengan relación con los gobiernos. Lo hará a través de un mensaje claro de advertencia a sus usuarios cada vez que crea que se está intentando vulnerar alguno de sus servicios:

“Atención: Creemos que hackers apoyados por el gobierno pueden estar tratando de comprometer su cuenta o equipo. Protéjase ahora mismo”.

El anuncio ha aparecido hace unas horas en el blog oficial de la compañía. En el mismo promueven la colaboración de los propios usuarios cuando noten que una cuenta se encuentra en peligro.

¿Cómo lo hará? Con un mensaje que aparecerá sobre la pantalla si los análisis previos indican que Chrome o alguno de los servicios como Gmail están siendo vulnerados.

El vicepresidente de ingeniería de seguridad de Google, Eric Grosse, comento en el blog, el martes.

"Cuando tenemos información específica -ya sea directamente de los usuarios o de nuestros propios esfuerzos de vigilancia- mostramos claros signos de alerta e instalamos retenes adicionales para contrarrestar esta actividad maliciosa".

Grosse dijo que el nuevo paso incluye una advertencia específica -con una barra de mensajes de color rosa y letras azules- que se publicará en casos en que los usuarios pueden ser blanco de ataques.


Según Google, este tipo de mensajes serán enviados al subconjunto de usuarios “en peligro” que a su juicio podrían ser objetivo de malware, phishing u otro tipo de ataques. Se recomendarán una serie de pasos sencillos como la configuración de nuevas contraseñas o la actualización de software o plugins.

Quizá lo más interesante sea saber de qué forma Google es capaz de saber cuando se está intentando llevar a cabo una ataque patrocinado por algún gobierno. Este punto no ha sido detallado por la empresa aunque Eric Grosse, vicepresidente de la compañía, aclaró que:

No podemos dar detalles de este tipo sin revelar información que podría ser útil para los atacantes. Aún así, nuestro análisis detallado y reporte de posibles usuarios que hayan sido víctimas sugerirán la participación de estados o gobiernos en los ataques.

A falta de que la herramienta comience a funcionar, Google parece dispuesta a advertir a los usuarios sobre posibles ataques como el reciente troyano Flame.




Mi Sabiduria, abarca lo que una gota de Agua, en el Oceano del Conocimiento

Última edición por Tururojo; 06-jun-2012 a las 22:02
Responder Citando
Los siguientes 7 usuarios agradecen a Tururojo por este mensaje:
Abraxas (06-jun-2012), carmen10 (07-jun-2012), Francisco6812 (06-jun-2012), ironman1 (06-jun-2012), Prizax (06-jun-2012), Ricalbur (06-jun-2012), tortex (06-jun-2012)
Antiguo 06-jun-2012     #22
Bueno




El mundo que conocemos se acerca a su fin, pero el pasado sigue siendo la clave del futuro.
Enviar un mensaje por MSN a Prizax Enviar un mensaje por Skype™ a Prizax Responder Citando
Los siguientes 2 usuarios agradecen a Prizax por este mensaje:
Abraxas (06-jun-2012), Tururojo (06-jun-2012)
Antiguo 06-jun-2012     #23
Predeterminado

Gracias por informarnos...


"...Si hubiera más personas que amaran el hogar sobre el oro,
el mundo sería un lugar más feliz..."
Thorin
Responder Citando
Los siguientes 2 usuarios agradecen a tortex por este mensaje:
Abraxas (06-jun-2012), Tururojo (06-jun-2012)
Antiguo 06-jun-2012     #24
Predeterminado




Responder Citando
Los siguientes 2 usuarios agradecen a ironman1 por este mensaje:
Abraxas (06-jun-2012), Tururojo (06-jun-2012)
Antiguo 06-jun-2012     #25
Predeterminado

Hacker patrocinado por un goobierno, eso sí es preocupante.

"Hay una fuerza motriz más poderosa que el vapor, la electricidad y la energía atómica: la voluntad."

Albert Einstein
Responder Citando
Los siguientes 2 usuarios agradecen a Abraxas por este mensaje:
carmen10 (07-jun-2012), Tururojo (06-jun-2012)
Antiguo 07-jun-2012     #26
Predeterminado





El que busca la verdad corre el riesgo de encontrarla.
Responder Citando
Los siguientes 2 usuarios agradecen a carmen10 por este mensaje:
Abraxas (07-jun-2012), Tururojo (07-jun-2012)
Antiguo 07-jun-2012     #27
Predeterminado

Responder Citando
Los siguientes 2 usuarios agradecen a baduser por este mensaje:
Abraxas (07-jun-2012), Tururojo (07-jun-2012)
Antiguo 07-jun-2012     #28
Predeterminado

ve !! .. gracias por la info compañero ...

Responder Citando
Usuarios que han agradecido este mensaje de VJEVans
Abraxas (07-jun-2012)
Antiguo 08-jun-2012     #29
Predeterminado El ingenioso método de distribución de TheFlame en redes internas

Ya se puede confirmar la existencia de TheFlame desde 2009, además de que otros investigadores se remontan hasta finales de 2008. Veamos su interesante funcionamiento para apoderarse de toda una red interna.
TheFlame utiliza numerosos módulos para llevar a cabo sus diferentes funcionalidades. Una de las formas más ingeniosas es su método de propagación por la red interna. Stuxnet cometió el error de transmitirse indiscriminadamente por USB, lo que aceleró su descubrimiento. El método de ejecución era totalmente nuevo e ingenioso (lo conseguía incluso con el Autorun/Autoplay desactivado), pero indiscriminado. TheFlame juega mejor sus cartas en este sentido.

En resumen, una máquina ya infectada, intercepta las llamadas a Windows Update realizadas por los otros servidores de la red local. Simula un proxy mediante el protocolo estándar WPAD (Web Proxy Autodiscovery Protocol).

Este protocolo funciona así en Windows:

Cuando se inicia Internet Explorer, si está configurado el proxy en “Detectar automáticamente” (por defecto) comenzará un proceso que lleva al problema de hombre en el medio, y que ya ha sido explotado anteriormente por otras herramientas antes que por TheFlame.



Si el servidor DHCP de la red interna no proporciona el lugar de este archivo de configuración de proxy wpad.dat, IE intentará acudir wpad.company.com. Si no lo encuentra, usará WINS/NetBIOS para intentar resolver. Esto es lo que permite un ataque MITM, y que el sistema víctima acuda a un servidor incorrecto. NetBIOS es un sistema “punto a punto” y muy sencillo de falsificar. Un equipo solo tiene que realizar una difusión por la red proclamando que tiene un nombre concreto. Esto es lo que hace la máquina ya infectada, consiguiendo engañar al resto en la LAN y que acudan a ella a descargar el la supuesta configuración del proxy. Esta configuración del proxy está modificada para que las máquinas que la apliquen lleguen a un sitio falso de Windows Update.

Habitualmente, aunque se acudiese a un sitio falso de Windows Update a actualizar, la actualización no sería posible porque esta falsificación no tendría los paquetes firmados por Microsoft. Pero como ya sabemos, TheFlame sí los tenía firmados, con lo que se completa el ataque de forma limpia y silenciosa.

Por tanto, los módulos encargados de este proceso, son:



* Snack: Se trata de un sniffer de red local NetBIOS, encargado de capturar las resoluciones a la configuración wpad.dat

* Munch: Alojado también en la misma máquina. Un falso servidor de actualizaciones, que se identifica mediante el nombre NetBIOS “MSHOME-F3BE293C” y que distribuye el malware en forma de un paquete de Windows Update malicioso. El resto de sistemas en la red lo aceptarán porque está firmado, y así consigue pasar totalmente desapercibido.

* Gadget: Transmite el malware a las máquinas ya infectadas en la red. Se llama así porque se reparte entre las máquinas en forma de actualización llamada “Allows you to display gadgets on your desktop.”

El proceso completo sería el siguiente:

1. Los clientes realizan peticiones WAPD a través de NetBIOS, porque tienen configurado la autoconfiguración del proxy pero no definida en la compañía por DHCP o DNS.

2. TheFlame devuelve una configuración WPAD maliciosa. El proxy les engaña y redirige al equipo infectado cuando quieren actualizar.

3. Los clientes una vez configurados realizan peticiones Windows Update, pero en realidad se la están haciendo a un servidor en la red interna controlado por TheFlame, con el nombre MSHOME-F3BE293C.

4. TheFlame les devuelve un binario firmado dentro de un cab. Tumbler (con nombre de archivo WuSetupV.exe). 5. Tumbler descarga e instala TheFlame en los equipos de la red interna.

Así, en una red con un equipo infectado, los sistemas adyacentes totalmente actualizados acababan con el troyano. ¿Cómo era posible? Lo lógico ha sido pensar en una nueva vulnerabilidad… pero no es que aprovechara un 0-day, es que se distribuía como nueva actualización. Ingenioso.

Tenemos así varias capas de ataque. Pero falta aún la pieza que hace se infecte a la primera máquina en la red. Esto podría conseguirse, por ejemplo a través de una vulnerabilidad aún no descubierta en Windows, ingeniería social, etc. No se sabe.

Como vemos, TheFlame tiene especial interés en distribuirse a través de una red interna y una organización. No olvidemos que incluso intentaba contactar con dispositivos bluetooth (móviles, ipads…) cercanos.

El amor es dar a alguien la capacidad de destruirte y confiar que no lo haga.



Responder Citando
Los siguientes 3 usuarios agradecen a cejd por este mensaje:
Abraxas (08-jun-2012), carmen10 (08-jun-2012), Hunted (08-jun-2012)
Antiguo 08-jun-2012     #30
Bueno Buena Info!



Conocimiento: Máximo Poder
Enviar un mensaje por Yahoo  a Hunted Responder Citando
Los siguientes 2 usuarios agradecen a Hunted por este mensaje:
Abraxas (08-jun-2012), cejd (08-jun-2012)
Respuesta

Etiquetas
ciberguerra, distribución, flame, redes, revisar


(0 miembros y 1 visitantes)
 
Herramientas
Desplegado

Normas de Publicación
No puedes crear nuevos temas
No puedes responder mensajes
No puedes subir archivos adjuntos
No puedes editar tus mensajes

Los Códigos BB están Activado
Las Caritas están Activado
[IMG] está Activado
El Código HTML está Desactivado

Ir al Foro

Temas Similares
Tema Autor Foro Respuestas Último mensaje
Que Ocurre en el Administrador de Tareas cejd Tutoriales & Videos Tutoriales 6 11-may-2012 23:25
Kaspersky Internet Security 2010 punisher Seguridad 5 12-nov-2010 00:31
¿es mejor el software comercial que el software libre? xhyruja Seguridad 3 01-feb-2010 20:20


Desarrollado por: vBulletin® Versión 3.8.1
Derechos de Autor ©2000 - 2024, Jelsoft Enterprises Ltd.
Ad Management by RedTyger