El documento describe un malware llamado Win32/Georbot que fue diseñado para robar información de sistemas infectados en Georgia. El malware puede enviar archivos del disco duro a un servidor remoto, robar certificados, buscar documentos de Word, configuraciones de escritorio remoto, tomar capturas de pantalla, grabar audio y video, y ejecutar comandos arbitrarios en sistemas infectados. Los operadores pueden controlar los sistemas infectados individualmente enviando comandos. La mayoría de las infecciones se encuentran en Georgia.
ESET NOD32 España: Informe cuatrimestral de seguridad (enero - abril 2013)Yolanda Ruiz Hervás
Si tuviéramos que hacer balance de lo que han sido los cuatro primeros meses del año en cuanto a incidentes de seguridad se refiere, sin duda tenemos que afirmar que los agujeros de seguridad en conocidas aplicaciones y sistemas operativos han marcado la tónica. Java se ha llevado la palma, aunque también Microsoft ha tenido que lanzar bastantes parches para soluciones graves problemas de su navegador y de su sistema operativo. Y Oracle no se ha quedado atrás...
Vulnerabilidades que han sido aprovechadas por colectivos asiáticos para lanzar diferentes ataques contra objetivos occidentales. Los primeros que dieron la voz de alarma fueron algunos de los periódicos más importantes a nivel mundial como New York Times, Washington Post o Wall Street Journal. Pero no fueron los únicos, también les siguió tanto Facebook como Twitter, que también denunciaron en febrero de intrusiones en su red. No ha quedado clara la autoría, aunque se apuntaba a coletivos chinos.
Y hablando de vulnerabilidades y redes sociales, Facebook y Twitter también han protagonizado serios incidentes con errores de programación que suponían riesgos contra la privacidad de los usuarios, que sumados a otros problemas derivados de scams y amenazas que utilizan las conocidas plataformas para distribuirse, han supuesto más de un quebradero de cabeza. El supuesto vídeo de Justin Bieber con su novia o el falso sorteo de varios Samsung Galaxy SIII son solo dos ejemplos de cómo la ingeniería social sigue siendo una de las técnicas más lucrativas de los ciberdelincuentes que buscan un alto número de víctimas muy rápidamente.
Y hablar de Twitter supone, irremediablemente, hablar de la cantidad de cuentas de marcas muy conocidas que han sido hackeadas, como ha sido el caso de la de Burger King y Jeep. Pero sin duda, la que ha conseguido desplomar al índice bursátil norteamericano Dow Jones ha sido el secuestro de la cuenta de la agencia de noticias Associated Press, que mostró durante unos minutos un tweet que aseguraba que había habido varias explosiones en la Casa Blanca y que Barak Obama había resultado herido. Tweet que fue desmentido solo unos minutos después pero que fue suficiente para convulsionar un país que venía de sufrir los recientes atentados de Boston.
Y aún a pesar del excelente trabajo realizado por los cuerpos policiales deteniendo a algunos miembros que estaban detrás de la trama del “Virus de la Policía“ (aquel que secuestra el ordenador por haber visto pornografía y solicita un rescate para poder acceder a los archivos), durante estos meses hemos visto cómo proliferaban ´muchas nuevas variantes que utilizando otros argumentos, como la pedofilia, buscaban el mismo fin: el dinero del usuario que, asustado, preferiría pagar a enfrentarse a una supuesta denuncia por sus actividades online.
Igualmente, estos meses hemos visto multitud de robo de datos personales.
Arquitectura e implementación de PostgreSQL 9.3Bryan Rodríguez
Resumen de la arquitectura interna, de objetos, de consultas, de administración de memoria y del Log de Transacciones de PostgreSQl y algunas concideraciones para implementar BD en él
ESET NOD32 España: Informe cuatrimestral de seguridad (enero - abril 2013)Yolanda Ruiz Hervás
Si tuviéramos que hacer balance de lo que han sido los cuatro primeros meses del año en cuanto a incidentes de seguridad se refiere, sin duda tenemos que afirmar que los agujeros de seguridad en conocidas aplicaciones y sistemas operativos han marcado la tónica. Java se ha llevado la palma, aunque también Microsoft ha tenido que lanzar bastantes parches para soluciones graves problemas de su navegador y de su sistema operativo. Y Oracle no se ha quedado atrás...
Vulnerabilidades que han sido aprovechadas por colectivos asiáticos para lanzar diferentes ataques contra objetivos occidentales. Los primeros que dieron la voz de alarma fueron algunos de los periódicos más importantes a nivel mundial como New York Times, Washington Post o Wall Street Journal. Pero no fueron los únicos, también les siguió tanto Facebook como Twitter, que también denunciaron en febrero de intrusiones en su red. No ha quedado clara la autoría, aunque se apuntaba a coletivos chinos.
Y hablando de vulnerabilidades y redes sociales, Facebook y Twitter también han protagonizado serios incidentes con errores de programación que suponían riesgos contra la privacidad de los usuarios, que sumados a otros problemas derivados de scams y amenazas que utilizan las conocidas plataformas para distribuirse, han supuesto más de un quebradero de cabeza. El supuesto vídeo de Justin Bieber con su novia o el falso sorteo de varios Samsung Galaxy SIII son solo dos ejemplos de cómo la ingeniería social sigue siendo una de las técnicas más lucrativas de los ciberdelincuentes que buscan un alto número de víctimas muy rápidamente.
Y hablar de Twitter supone, irremediablemente, hablar de la cantidad de cuentas de marcas muy conocidas que han sido hackeadas, como ha sido el caso de la de Burger King y Jeep. Pero sin duda, la que ha conseguido desplomar al índice bursátil norteamericano Dow Jones ha sido el secuestro de la cuenta de la agencia de noticias Associated Press, que mostró durante unos minutos un tweet que aseguraba que había habido varias explosiones en la Casa Blanca y que Barak Obama había resultado herido. Tweet que fue desmentido solo unos minutos después pero que fue suficiente para convulsionar un país que venía de sufrir los recientes atentados de Boston.
Y aún a pesar del excelente trabajo realizado por los cuerpos policiales deteniendo a algunos miembros que estaban detrás de la trama del “Virus de la Policía“ (aquel que secuestra el ordenador por haber visto pornografía y solicita un rescate para poder acceder a los archivos), durante estos meses hemos visto cómo proliferaban ´muchas nuevas variantes que utilizando otros argumentos, como la pedofilia, buscaban el mismo fin: el dinero del usuario que, asustado, preferiría pagar a enfrentarse a una supuesta denuncia por sus actividades online.
Igualmente, estos meses hemos visto multitud de robo de datos personales.
Arquitectura e implementación de PostgreSQL 9.3Bryan Rodríguez
Resumen de la arquitectura interna, de objetos, de consultas, de administración de memoria y del Log de Transacciones de PostgreSQl y algunas concideraciones para implementar BD en él
Desde el Laboratorio de Análisis de malware de ESET Latinoamérica investigamos y analizamos diariamente cuáles son las tendencias en relación al desarrollo de amenazas y códigos maliciosos en la región. Como resultado de este trabajo se realizó la investigación de Dorkbot,
un código malicioso que en el último tiempo ha alcanzado el mayor índice de detección en
Latinoamérica.
Research about Malware for Linux. This presentation was made for the Guatemalan ExploitSec Security Conference November 2011. This presentation is based on the research "Seguridad (GNU) Linux: malware, vulnerrabilidades, protección y otros recursos" that got the second price at Latin American Level for the contest "AV Security" sponsored by ESET Latinoamerica. Enjoy!
FONTIC: Introducción al desarrollo en AndroidRomán Hernández
Charla práctica-Taller de "Introducción al desarrollo en Android", impartido en el Foro de Oportunidades y Negocios en las TIC" de Tenerife (2012):
http://fontic.sitios.feull.org/
Descripción: Introducción a conceptos y teoría sobre Android (software, hardware y sistema), preparación y configuración del entorno de desarrollo y SDK y un repaso a la plataforma de distribución de aplicaciones Google Play, junto a una breve introducción a la rentabilización de una aplicación.
Organiza EmprendeULL: http://www.emprende.ull.es/
Gestiona FEULL y ULL: http://www.feull.org/ - http://www.ull.es/
Impartido por José Román (Manz): http://www.emezeta.com/
Penetracion de las nuevas tecnologias en el comercio local de Alimentación y ...Yolanda Ruiz Hervás
Estar en Internet, sí, pero sin tener mucha visibilidad del retorno de la inversión. Estas es una de las principales conclusiones de la encuesta sobre la Penetración de las Nuevas Tecnología en el comercio local de Alimentación y Distribución de Madrid que La Única ha realizado con el fin de conocer cómo las nuevas tecnologías están influyendo en la dinamización de este tipo de negocio. El vídeo con las conclusiones incluyendo declaraciones de los participantes está disponible en el Canal oficial de YouTube de La Única.
De acuerdo a los resultados obtenidos, un 66% de los que responden a la encuesta afirma tener web corporativa de su negocio, pero solo un 9% confirma tener también tienda online. Este es el caso de negocios como Frinsa, Quesos Berzal, Bodega Vidal, Grupo El Teide, NaturaSí, Martín Martín o Ferpal Madrid. Sin embargo, la mayoría, un 58,6%, tienen planes de mejorar su presencia en la Red a corto y medio plazo, bien desarrollando una nueva web corporativa o incorporando una tienda online.
Un tipo de negocio basado, sin embargo, en la tradición de la atención al cliente cree más, hoy por hoy, en el trato personalizado en las tiendas físicas que a través de la Red. Este es el caso de Carolina Davico, directora del Departamento de compras y de Marketing y Comunicaciones de NaturaSí, que afirma que “nos queremos focalizar en las tiendas físicas, que vengan y se informen, porque nuestros productos son un tanto peculiar al ser ecológicos. En la tienda, el cliente recibe asesoramiento sobre para qué es bueno cada tipo de producto. Cuando evolucione el mercado ecológico estaríamos encantados de tener la posibilidad de venta online, ya que así nos acercaríamos a muchos más consumidores”.
Además, más de un 45% utiliza las redes sociales para promocionar su negocio. Las plataformas preferidas son Facebook (86%), Twitter (50%), Google + (44%), e Instagram y Pinterest (12,50% y 6,25%, respectivamente). En cuanto a otras redes sociales, los encuestados señalan también YouTube. “Utilizamos básicamente la plataforma Facebook porque nos permite estar en contacto con nuestros clientes. Intercambiamos sobre todo recetas, divulgación de los productos… Esta plataforma nos ayuda muchísimo porque es tan dinámica que permanente nos permite tener el feedback de la gente. También tenemos un canal en YouTube que nos permite cargar contenido audiovisual: vídeos con clases de cocina, charla sobre alimentación, etc.”, asegura Carolina.
Al preguntar si cuentan con personal especializado en Internet que les realice la labor de difusión a través de las distintas plataformas o si lo hacen internamente, el 87% asegura no tener a personal especializado en la Red contratado y asumen, por lo tanto, esta labor de manera interna.
“Nosotros asumimos internamente toda la elaboración del contenido que intercambiamos a través de Internet” –continua Carolina-.
Como suele ser habitual, el tercer cuatrimestre del año no ha defraudado en cuanto a seguridad informática se refiere.
Durante estos meses hemos sido testigos cómo los acontecimientos más relevantes del panorama futbolístico y político han sido aprovechados por los cibercriminales, como han sido el Mundial de Fútbol de Brasil 2014 y la abdicación del Rey Don Juan Carlos.
También los sucesos más relevantes de la actualidad han sido aprovechados como gancho para conseguir víctimas a través de las redes sociales, como ha sido la lamentable muerte del actor Robin Williams. O como la fraudulenta venta de entradas para los conciertos de Rolling Stones en nuestro país.
Las redes sociales han sido protagonistas, una vez más, por problemas relacionados con la seguridad y con la privacidad, al igual que herramientas tan populares como TweetDeck, por ejemplo. Y sistemas de seguridad como el de Paypal han sido protagonistas precisamente por su inseguridad.
Android también se ha llevado la palma por varias razones, pero quizá la más reseñable ha sido la de la aparición de ramsonware para este sistema operativo móvil, hasta ahora, casi desconocido.
El llamado Internet de las cosas sigue dando mucho que hablar. Durante estos meses, nuevos agujeros de seguridad descubiertos en las SmartTV y en el nuevo sistema de alquiler de bicicletas en la ciudad de Madrid se han llevado la atención de la industria.
El spam y el phishing han seguido llevándose su porción de protagonismo. Sobre todo el protagonizado, supuestamente, por Amancio Ortega, que anunciaba que donaba toda su fortuna. Y el intento de fraude bancario o el distribuido en falsas facturas en pdf han sido otros intentos, infructuosos, de conseguir víctimas de las que llevarse un beneficio económico.
Los ataques de denegación de servicio a Sony a finales del mes de agosto, así como los numerosos parches de seguridad publicados durante estos meses cierran la crónica de un cuatrimestre estival que lejos de ser tranquilo y relajado ha sido de lo más movido y entretenido.
Desde el Laboratorio de Análisis de malware de ESET Latinoamérica investigamos y analizamos diariamente cuáles son las tendencias en relación al desarrollo de amenazas y códigos maliciosos en la región. Como resultado de este trabajo se realizó la investigación de Dorkbot,
un código malicioso que en el último tiempo ha alcanzado el mayor índice de detección en
Latinoamérica.
Research about Malware for Linux. This presentation was made for the Guatemalan ExploitSec Security Conference November 2011. This presentation is based on the research "Seguridad (GNU) Linux: malware, vulnerrabilidades, protección y otros recursos" that got the second price at Latin American Level for the contest "AV Security" sponsored by ESET Latinoamerica. Enjoy!
FONTIC: Introducción al desarrollo en AndroidRomán Hernández
Charla práctica-Taller de "Introducción al desarrollo en Android", impartido en el Foro de Oportunidades y Negocios en las TIC" de Tenerife (2012):
http://fontic.sitios.feull.org/
Descripción: Introducción a conceptos y teoría sobre Android (software, hardware y sistema), preparación y configuración del entorno de desarrollo y SDK y un repaso a la plataforma de distribución de aplicaciones Google Play, junto a una breve introducción a la rentabilización de una aplicación.
Organiza EmprendeULL: http://www.emprende.ull.es/
Gestiona FEULL y ULL: http://www.feull.org/ - http://www.ull.es/
Impartido por José Román (Manz): http://www.emezeta.com/
Penetracion de las nuevas tecnologias en el comercio local de Alimentación y ...Yolanda Ruiz Hervás
Estar en Internet, sí, pero sin tener mucha visibilidad del retorno de la inversión. Estas es una de las principales conclusiones de la encuesta sobre la Penetración de las Nuevas Tecnología en el comercio local de Alimentación y Distribución de Madrid que La Única ha realizado con el fin de conocer cómo las nuevas tecnologías están influyendo en la dinamización de este tipo de negocio. El vídeo con las conclusiones incluyendo declaraciones de los participantes está disponible en el Canal oficial de YouTube de La Única.
De acuerdo a los resultados obtenidos, un 66% de los que responden a la encuesta afirma tener web corporativa de su negocio, pero solo un 9% confirma tener también tienda online. Este es el caso de negocios como Frinsa, Quesos Berzal, Bodega Vidal, Grupo El Teide, NaturaSí, Martín Martín o Ferpal Madrid. Sin embargo, la mayoría, un 58,6%, tienen planes de mejorar su presencia en la Red a corto y medio plazo, bien desarrollando una nueva web corporativa o incorporando una tienda online.
Un tipo de negocio basado, sin embargo, en la tradición de la atención al cliente cree más, hoy por hoy, en el trato personalizado en las tiendas físicas que a través de la Red. Este es el caso de Carolina Davico, directora del Departamento de compras y de Marketing y Comunicaciones de NaturaSí, que afirma que “nos queremos focalizar en las tiendas físicas, que vengan y se informen, porque nuestros productos son un tanto peculiar al ser ecológicos. En la tienda, el cliente recibe asesoramiento sobre para qué es bueno cada tipo de producto. Cuando evolucione el mercado ecológico estaríamos encantados de tener la posibilidad de venta online, ya que así nos acercaríamos a muchos más consumidores”.
Además, más de un 45% utiliza las redes sociales para promocionar su negocio. Las plataformas preferidas son Facebook (86%), Twitter (50%), Google + (44%), e Instagram y Pinterest (12,50% y 6,25%, respectivamente). En cuanto a otras redes sociales, los encuestados señalan también YouTube. “Utilizamos básicamente la plataforma Facebook porque nos permite estar en contacto con nuestros clientes. Intercambiamos sobre todo recetas, divulgación de los productos… Esta plataforma nos ayuda muchísimo porque es tan dinámica que permanente nos permite tener el feedback de la gente. También tenemos un canal en YouTube que nos permite cargar contenido audiovisual: vídeos con clases de cocina, charla sobre alimentación, etc.”, asegura Carolina.
Al preguntar si cuentan con personal especializado en Internet que les realice la labor de difusión a través de las distintas plataformas o si lo hacen internamente, el 87% asegura no tener a personal especializado en la Red contratado y asumen, por lo tanto, esta labor de manera interna.
“Nosotros asumimos internamente toda la elaboración del contenido que intercambiamos a través de Internet” –continua Carolina-.
Como suele ser habitual, el tercer cuatrimestre del año no ha defraudado en cuanto a seguridad informática se refiere.
Durante estos meses hemos sido testigos cómo los acontecimientos más relevantes del panorama futbolístico y político han sido aprovechados por los cibercriminales, como han sido el Mundial de Fútbol de Brasil 2014 y la abdicación del Rey Don Juan Carlos.
También los sucesos más relevantes de la actualidad han sido aprovechados como gancho para conseguir víctimas a través de las redes sociales, como ha sido la lamentable muerte del actor Robin Williams. O como la fraudulenta venta de entradas para los conciertos de Rolling Stones en nuestro país.
Las redes sociales han sido protagonistas, una vez más, por problemas relacionados con la seguridad y con la privacidad, al igual que herramientas tan populares como TweetDeck, por ejemplo. Y sistemas de seguridad como el de Paypal han sido protagonistas precisamente por su inseguridad.
Android también se ha llevado la palma por varias razones, pero quizá la más reseñable ha sido la de la aparición de ramsonware para este sistema operativo móvil, hasta ahora, casi desconocido.
El llamado Internet de las cosas sigue dando mucho que hablar. Durante estos meses, nuevos agujeros de seguridad descubiertos en las SmartTV y en el nuevo sistema de alquiler de bicicletas en la ciudad de Madrid se han llevado la atención de la industria.
El spam y el phishing han seguido llevándose su porción de protagonismo. Sobre todo el protagonizado, supuestamente, por Amancio Ortega, que anunciaba que donaba toda su fortuna. Y el intento de fraude bancario o el distribuido en falsas facturas en pdf han sido otros intentos, infructuosos, de conseguir víctimas de las que llevarse un beneficio económico.
Los ataques de denegación de servicio a Sony a finales del mes de agosto, así como los numerosos parches de seguridad publicados durante estos meses cierran la crónica de un cuatrimestre estival que lejos de ser tranquilo y relajado ha sido de lo más movido y entretenido.
Fraude en el mercado de compra venta de segunda mano - ESET EspañaYolanda Ruiz Hervás
Quizá animado por la crisis, el fraude online en el mercado de compra-venta de segunda mano está creciendo en número de casos en nuestro país. Y aunque no existen cifras oficiales, la realidad en que en ESET estamos recibiendo cada vez más casos de personas que, por razones de ahorro, buscan chollos online para comprar aquello que necesitan o bien acuden al mercado de segunda mano y resultan estafados, acabando sin su dinero y sin el objeto deseado. Con el propósito de ayudar a los usuarios a reconocerlos, ESET España ha publicado la guía “Fraude en el mercado online de segunda mano“, que incluye consejos sobre cómo evitar ser víctima y qué vías existen para reclamar su dinero estafado.
Llevamos años intentando luchar contra el fraude en Internet, pero evoluciona tan rápido que muchas veces es muy fácil ser víctima y morder el anzuelo. Las técnicas de ingeniería social, los diseños cada vez más perfeccionados, el español cada vez más correcto y las pistas verosímiles de identidades que son falsas nos hacen picar como inocentes.
Así que más vale prevenir que curar. Y para prevenir, hay que conocer cómo operan los ciberdelincuentes en el mercado de segunda mano y andar siempre prevenidos. Desde ESET España te recomendamos que tomes las siguientes precauciones:
1. Acudir siempre a sitios de compra-venta de segunda mano oficiales. Evitar ir a sitios clonados de eBay o similares. El cómo saber dónde está entrando es sencillo: teclear la dirección en el navegador sin entrar a través de un buscador.
2. Elegir el vendedor que más karma y reputación tenga en el portal. Aunque, como también sabemos, se puede falsificar. Pero no será así en el 100% de los casos.
3. Nunca comprar ningún artículo que exija un pago por adelantado, máxime cuando se trata de un gran importe de dinero.
4. Huir de transacciones que se tengan que realizar a través de Money Gram, Western Union u otras entidades emisoras de dinero.
5. Si eres el vendedor y has recibido comunicaciones de transferencias realizadas a tu favor, no hagas nada más hasta que no verifiques que el dinero está, efectivamente, en tu cuenta bancaria.
6. Si te envían a una web donde puedes adquirir un artículo por el que te has interesado, fíjate siempre en la URL. Si no la conoces, desconfía. Intenta buscar el artículo en sitios oficiales y reconocidos.
7. Antes de comprar nada, haz una búsqueda de la tienda en la que quieras adquirir el artículo o del vendedor por Internet. Muchos usuarios denuncian fraudes en foros y sitios de Internet, y gracias a eso muchos otros se han librado de ser víctimas de un timo.
8. Negocia con tu banco o con la entidad emisora de tu tarjeta de crédito un seguro de compensación. De esta manera, estarás a salvo de timos y podrás tener tu dinero de vuelta.
9. No te fíes de la buena voluntad de la gente y de las historias que te cuentan de su vida privada. Lo hacen para generar confianza en el comprador.
10. Ante cualquier sospecha, denuncia.
Informe cuatrimestral de Seguridad ESET NOD32 Antivirus 2014 (enero-abril)Yolanda Ruiz Hervás
Madrid, 6 de mayo de 2014 – El primer cuatrimestre de este año ha estado plagado de incidentes de seguridad que han dado mucho de que hablar durante estos meses: tanto por la gran cantidad de hechos a destacar como por su importancia e impacto tanto en usuarios finales como en empresas. Todas las plataformas han sido atacadas de una u otra manera: tanto Windows como Linux y Mac, redes sociales, dispositivos móviles, sistemas online de pago y plataformas de juegos. Sin embargo, una tendencia clara y nueva que está destacando este año es el descubrimiento de múltiples vulnerabilidades en lo que llamamos el Internet de las cosas. El resumen de todo lo sucedido está en el Informe Cuatrimestral de Seguridad 2014 de ESET España.
Bitcoin, Heartbleed y el Internet de las cosas
Si tenemos que destacar los sucesos más significativos de estos primeros cuatro meses, sin duda tenemos que mencionar los problemas que ha sufrido la moneda criptográfica Bitcoin, pues junto al cierre de Mt. Gox, uno de los mayores mercados de transacción de bitcoines, se unieron los ataques que sufrió el sistema y que tuvieron como objetivo tanto a usuarios de la moneda virtual como a algunas de las plataformas de intercambio y operaciones encargadas de su gestión. Uno de esos ataques consiguió robar –según sus responsables– alrededor de 750.000 bitcoines (unos 450 millones de euros).
El problema de este ataque viene derivado de la gran pérdida de confianza en una plataforma que estaba popularizándose en algunos mercados y que ha visto cómo sus usuarios han dejado de utilizarla. Sin duda un varapalo para sistemas alternativos de intercambio de bienes y servicios a través de la Red.
Como también lo ha sido la aparición de Heartbleed: un agujero de seguridad en algunas versiones de OpenSSL que permitiría a un atacante acceder a parte de la memoria de muchos servidores que están conectados en Red. Y como OpenSSL está siendo utilizado por una gran mayoría de servidores con acceso a Internet, podemos imaginar la magnitud del problema.
También a destacar durante 2014 una tendencia que va consolidándose: los problemas de seguridad derivados del llamado “Internet de las cosas”. Conforme evolucionamos tecnológicamente, Internet está saltando de nuestros dispositivos móviles y ordenadores a otros objetos más cotidianos, como los vehículos, los televisores y las neveras, entre otros. Y a medida que tenemos más dispositivos que acceden a Internet, también se multiplican los riesgos de plataformas que se han desarrollado pensando más en la comodidad del usuario que en su seguridad. Así, durante estos cuatro meses, se han descubierto problemas de seguridad en televisores con conexión a Internet y en sistemas tecnológicos conectados a Internet e instalados en vehículos. Esta tendencia, sin duda, continuará creciendo y se convertirá en un nuevo foco de problemas a medida que los usuarios vayamos adquiriendo estos nuevos dispositivos.
Guia de seguridad digital del trabajador - ESET NOD32 AntivirusYolanda Ruiz Hervás
Según una encuesta interna entre clientes de ESET España, las acciones de concienciación y educación en seguridad son necesarias para aumentar la protección de los activos de las compañías. Al menos, así lo manifiesta el 97% de los responsables de informática consultados, que confiesan tener planes puestos en marcha solo en un 34%. La rotación de personal, la falta de tiempo y de colaboración interna, entre otros, son algunos de los factores aludidos cuando se les pregunta por qué no llevan a cabo más actividades de este tipo. A esta situación se añade la de los trabajadores autónomos, que no están integrados en una estructura empresarial y que se gestionan su propia seguridad.
Con el objetivo de ayudar a empresarios, responsables de informática y trabajadores, ya sean autónomos o por cuenta ajena, ESET España lanza gratuitamente la “Guía de seguridad del trabajador“. Un documento sencillo que reúne lo que se necesita saber para aumentar el nivel de seguridad digital y proteger mejor el activo más valioso: la información. Además, se pretende ayudar a las empresas a implementar planes específicos de educación ahorrándoles el tiempo de elaborar el material pertinente.
La “Guía de seguridad del trabajador“ recorre todos los aspectos relacionados con la seguridad de la información en el entorno de trabajo, en el hogar y con proveedores de bienes y servicios. Además, hace especial hincapié en un uso responsable de smartphones y tablets, especialmente si estos son personales y se utilizan para el trabajo. Igualmente, se hacen recomendaciones sobre la conveniencia de seguir las políticas corporativas de seguridad y utilizar los recursos proporcionados por la empresa para un fin única y exclusivamente laboral.
En cuanto a la utilización de los recursos de Internet, la “Guía de seguridad del trabajador“ recorre los aspectos más significativos en cuanto a la protección proactiva de la información, recomendando un uso responsable del correo electrónico, el evitar utilizar redes WiFi públicas o comunicaciones no seguras con la empresa desde fuera de las instalaciones.
Igualmente, se trata de concienciar a los usuarios sobre lo delicado que es usar las redes sociales desde el trabajo o bien gestionar los canales corporativos (en el caso de community managers o responsables de marketing y/o comunicación) sin tener claras las reglas del juego y sin seguir unas buenas prácticas en seguridad, como proteger las cuentas con contraseñas robustas, modificarlas de forma regular y observar la actividad de estas para detectar posibles acciones sospechosas.
“Esperamos que esta guía sirva para los objetivos con la que ha sido realizada, contando con la colaboración de personas del equipo de ESET España“, afirma Yolanda Ruiz, directora de marketing de ESET. “Se ha intentado darle un tono fresco y distendido que invite a la lectura haciendo hincapié en los eslabones más débiles de la cadena de la seguridad."
Llega el período estival, y aunque muchos usuarios no se iránde vacaciones a destinos exóticos, seguro que aprovecharán para desplazarse, aunque solo sea al pueblo de los familiares. Y así como hace unos años nadie se llevaba los aparatosos ordenadores de sobremesa de vacaciones por su volumen, hoy prácticamente todos incluyen en su equipaje portátiles, tablets o smartphones. Así que igual que dejamos nuestra casa lista para ausentarnos durante unos días o preparamos cuidadosamente la maleta para llevar todo lo necesario, hoy en día también tenemos que hablar de Consejos para poner a punto nuestra seguridad digital durante las vacaciones.
1. Prepara una copia de seguridad de toda tu información antes de irte de vacaciones. Es la única manera de poner a salvo tu información y conservar una copia siempre a mano. Si tienes cualquier percance con tus dispositivos, al menos siempre podrás recuperar todos tus documentos, fotos, etc.
2. Cifra los datos almacenados tanto en tus dispositivos como en las copias de seguridad. Además de poder acceder a toda la información que nos llevamos de vacaciones es importante que está se encuentra protegida de manera que solo tu puedas acceder a ella. Todos los sistemas operativos (y algunas soluciones gratuitas) permiten cifrar tanto el disco entero, como solo ciertas carpetas, ya se trate de nuestro disco duro, uno extraible, pendrives o tarjetas de memoria.
3. Configura contraseñas de acceso a todos tus dispositivos. Si utilizas el portátil solo en casa o la tablet, probablemente no tendrás contraseña de acceso. Pero cuando te los lleves de vacaciones, ten en cuenta que pueden caer en manos no deseadas. Si no tienes una contraseña de acceso a todos tus dispositivos, cualquiera tendrá acceso a toda la información. Así es mejor que la configures y que dificultes el acceso a cualquiera que intente revisar tu información.
4. Crea una contraseña para los servicios online que utilices solo durante tus vacaciones. Ya sabemos que tenemos una tendencia natural a utilizar la misma contraseña para todos los servicios. Si creamos una contraseña solo para aquellos servicios online o redes sociales que vayamos a utilizar en vacaciones evitaremos disgustos en el caso de que alguien se haga con ella e intente utilizarla en otros sitios.
5. Instala un buen antivirus, haz un análisis de todos tus dispositivos antes de salir de viaje e instala soluciones que incluyan geolocalización. De esta manera, si tienes algún problema porque pierdes alguno, o te lo roban, te será mucho más sencillo localizarlos en el caso de que se conecten a la red.
6. Apunta y lleva contigo todos los datos de tus dispositivos con los códigos correspondientes para proceder a bloquearlos o a darlos de baja si fuera necesario.
ESET NOD32 Antivirus: análisis técnico de Poker Agent, troyano de FacebookYolanda Ruiz Hervás
La red de “bots” llamada “PokerAgent”, a la que se sigue desde 2012, fue diseñada para conseguir datos de acceso a Facebook. También recogía datos de las tarjetas de crédito ligadas a cuentas de Facebook y estadísticas de los jugadores de “Zynga Poker”, supuestamente con la intención de estafar a las víctimas. Israel ha sido el país donde la amenaza ha sido más activa.
Hace aproximadamente un año, el laboratorio de investigación de ESET descubrió un troyano y le llamó la atención. Todo parecía indicar que había algo interesante: referencias a Facebook y a la aplicación Zynga Poker (que aparecían en cadenas de texto dentro del código), el código ejecutable “PokerAgent” y características de botnet, ya que el troyano contactaba con una red de control remoto.
ESET ha estado detectando diferentes variantes del troyano, denominado genéricamente MSIL/Agent.NKY. Tras el descubrimiento inicial, fuimos capaces de encontrar otras variantes del troyano, unas más antiguas y otras más modernas. También se consiguieron estadísticas de detección, que revelaron a Israel como el país con mayor actividad del código malicioso.
Hemos llevado a cabo un análisis profundo del código del troyano (tarea fácil, ya que estaba programado con C#, muy fácil de descompilar) e iniciamos la monitorización de la botnet. Los resultados se presentan en el informe adjunto.
El caso “PokerAgent” representa un ataque con éxito a los usuarios de la red social más grande del mundo y a los jugadores del mayor sitio de Poker en el mundo. Hay, sin embargo, varias prácticas de seguridad, además de la obvia recomendación de utilizar un antivirus actualizado, que evitarán a los atacantes tener suerte.
- No solo son necesarias medidas técnicas, sino que también la vigilancia del usuario es una protección contra todos los ataques que emplean ingeniería social. Aunque a simple vista la página falsa de Facebook es una copia perfecta de la auténtica, el usuario puede reconocerla como una copia si comprueba la barra de direcciones, aunque la mayoría de las víctimas fueron engañadas por la página.
- Facebook ha implementado varios mecanismos para mejorar la seguridad de sus usuarios. En concreto, el doble factor de autentificación podría haber evitado que los bots entraran en las cuentas de Facebook de las víctimas.
- Queremos insistir en que hay que ser cauteloso antes de permitir a los navegadores “recordar” contraseñas de servicios importantes, y mucho más si se están almacenando los datos de la tarjeta de crédito en cualquier aplicación, no solo en Facebook.
- Con las redes sociales más populares siendo atacadas pro malware, spam, phishing y otros propósitos nefastos, es muy recomendable asegurarse de que estamos protegidos de estos vectores de ataque también. Para mantener la cuenta de Facebook limpia, ESET ha presentado ESET Social Media scanner.
ESET NOD32 Antivirus - Informe anual de Seguridad - Facebook y Twitter, prota...Yolanda Ruiz Hervás
El pasado año ha seguido la estela de actividad en cuanto a seguridad informática se refiere, ya que todos los meses han sucedido hechos internacionales que han tenido sus efectos y una gran repercusión mediática. Si echamos un vistazo al resumen anual de seguridad elaborado por ESET NOD32, veremos que hay nombres propios que se repiten a lo largo de cada uno de los meses y que protagonizan repetitivos incidentes de seguridad de forma reincidente.
De esta manera, Facebook y Twitter se llevan la palma, ya que prácticamente todos los meses han sufrido algún tipo de problema derivado bien de la seguridad de sus usuarios bien de su privacidad. Les sigue muy de cerca otras redes o aplicaciones como WhatsApp, Skype, Yahoo! o Instagram.
En el capítulo de hacktivismo, Anonymous se ha mostrado especialmente activo este año operando en el frente tanto nacional como internacional. A nivel local, los miembros de este colectivo han publicado los datos privados de los responsables de la Ley Sinde a principios de año, han aprovechado los premios Goya para introducirse en los servidores de la Academia del Cine y obtener multitud de datos profesionales y personales, han protestado junto al colectivo sanitario por los recortes en Sanidad y han atacado, también en señal de queja por la situación económica, varias webs de partidos políticos.
Con respecto a actuaciones internacionales e intrusiones no autorizadas, numerosos organismos, instituciones y grandes empresas privadas han visto su seguridad e integridad vulneradas por una razón u otra. La realidad es que la NASA, varias universidades, entidades gubernamentales americanas, Sony, Amazon.com, T-Mobile, Nissan y VMWare, por solo citar unos ejemplos, se han convertido en blanco durante el pasado año de los cibercriminales.
Respecto a la aparición de nuevas amenazas informáticas, tanto la plataforma Mac como Android se han llevado la palma, sin desmerecer para nada a Windows, que sigue ostentando la gran cifra récord de 250.000 nuevos ejemplares mensuales. Otro dispositivo, como el eReader Kindle Touch, también ha tenido algún susto.
En cuanto a las técnicas de ingeniería social utilizadas para la distribución de spam o phishing, también hemos visto cómo se han seguido utilizando los hechos más internacionales y representativos, como los Juegos Olímpicos y la Supercopa, pero también han hecho mella otros ganchos como el de Michel Teló y su éxito del verano, servicios como SkyDrive de Microsoft o relacionados con juegos muy conocidos como League of Legends.
También 2012 ha sido el año en el que se han descubierto varias redes de botnets, algunas relacionadas con el espionaje internacional y con ataques dirigidos, como es el caso de Medre o de Flashback. A lo que se añaden las múltiples vulnerabilidades críticas en los programas habituales, como Adobe, Java y Windows.
Más en http://blogs.protegerse.com.
Eset España NOD32 Antivirus - Informe técnico troyano para Android BoxerYolanda Ruiz Hervás
El Laboratorio de Investigación de ESET ha descubierto el primer troyano SMS diseñado específicamente para usuarios de Android que suscribe a las víctimas a servicios Premium locales de 63 países sin su conocimiento ni consentimiento, incluyendo a usuarios españoles. Se trata de Boxer, y está distribuyéndose de forma masiva, ya que va camuflado en 22 falsas aplicaciones de juegos o de salud que los usuarios se descargan de sitios no oficiales.
Para formentar su descarga e instalación, utiliza títulos tan sugerentes como “Sim City Deluxe Free”, “Need for Speed Shift Free”, “Assassin's Creed” y algunos accesorios para “Angry Birds”. Dichos títulos estaban disponibles hasta hace poco tiempo para su descarga a través de Google Play, y aunque se ha procedido a su eliminación, se siguen pudiendo descargar desde repositorios y tiendas no oficiales.
Una vez descargado e instalado en el terminal Android, el troyano suscribe a la víctima a números de mensajería Premium locales a partir de la obtención de los códigos numéricos de identificación por país y operador MCC (Mobile Country Code) y MNC (Mobile Network Code). Tras determinar en qué país reside la víctima y cuál es la compañía telefónica a la que pertenece, procede a enviar SMS a números Premium de tarificación especial, de acuerdo a la información recopilada anteriormente.
“La mayoría de los troyanos SMS solo son capaces de afectar a determinados países porque los servicios de mensajería Premium a los que suscriben al usuario varían de acuerdo a cada operador y nación. La información recopilada sobre Boxer nos permite afirmar que no solo se trata de un troyano SMS capaz de afectar usuarios de España y de Latinoamérica, sino que también se trata de una amenaza con un amplio potencial de propagación y gran rango de acción”, asegura Josep Albors, responsable de Laboratorio de ESET españa.
En el caso de España, Boxer suscribe a sus víctimas al 35969, número Premium asociado a World Premium Rates, S.A., que está siendo utilizado para diferentes fines, pero que se vincula de forma muy directa a un servicio de Tarot de Tenerife. Una vez se instala, envía 3 mensajes SMS Premium a dicho número cada vez que la aplicación se ejecuta, dando como resultado altos cargos económicos cargados a la cuenta de la víctima sin que esta sea consciente de que se están produciendo dichos envíos desde su terminal móvil y quedándose sin derecho a ningún tipo de reclamación o devolución.
Las amenazas informáticas siguen distribuyéndose e infectando a numerosos usuarios día a día, pero la forma en como consiguen sus víctimas ha cambiado.
Antes eran los considerados "héroes" de leyenda porque habían sido capaces de introducirse en grandes organizaciones.
Hoy operan como mafias aisladas, en silencio, intentando pasar desapercibidas y priorizando la consecución de beneficios económicos sobre todas las cosas.
Así las cosas, la educación y concienciación en seguridad, junto a una buena protección, es condición indispensable para llevar una sana vida online.
Josep Albors, responsable de Comunicación de ESET España, NOD32 Antivirus, da un repaso al cibercrimen y a la ciberguerra en esta presentación que impartimos en diferentes colegios, institutos y centros de formación.
Análisis técnico de Flashback, el troyano para Mac que ya ha infectado a más ...Yolanda Ruiz Hervás
ESET, líder en protección proactiva que está celebrando el 25 aniversario de su tecnología de protección NOD32, sigue investigando el troyano para OSX Flashback. Diseñado específicamente para afectar a usuarios Mac, se ha convertido en el más distribuido hasta la fecha. El análisis técnico del laboratorio de ESET está disponible en
Durante la investigación de ESET, se ha visto en el laboratorio cientos de miles de sistemas infectados que forman ya parte de una gran red de bots, y eso teniendo en consideración que lleva solo un año distribuyéndose.
“Tuvimos un pico de infecciones que comenzó a hacerse notar en marzo de 2012, cuando esta amenaza se empezó a propagar gracias a una vulnerabilidad del intérprete de Java que incluye el sistema operativo de Apple. Durante los primeros días de abril, desplegamos un sistema de monitorización para que nos ayudara a entender el tamaño de la red de botnets que estaba formando. Justo un par de semanas después, a principios de mayo de 2012, el último servidor de control y comandos (C&C) desde el que se gestionaba la red de ordenadores infectados desapareció. Desde entonces, podemos decir que esta red de botnets está efectivamente muerta”, dice Pierre-Marc Bureau, investigador senior de malware de ESET.
ESET decidió investigar el troyano OSX/Flashback por varios motivos. Primero, utiliza técnicas novedosas para espiar a los usuarios cuando están navegando. Además, este ejemplar de malware también hace uso de múltiples métodos para conectar con sus centros de control (C&C) de manera redundante, generando nombres de dominio de forma dinámica y buscando hashtags en Twitter. Finalmente, la escalada de infecciones le hizo bastante interesante, porque no había precedente de una red de botnets con tal cantidad de equipos Mac infectados.
“En la investigación participaron varios equipos de ESET. En nuestra central en Bratislava un equipo creó el algoritmo de detección genérico para el bot, mientras que otros equipos localizados en Praga y en Montreal hicieron ingeniería inversa con el código de OSX”, continúa Bureau.
El primer objetivo de ESET ha sido siempre la mitigación de la amenaza, y dada la magnitud de OSX/Flashback, necesitamos llevar a cabo dos tipos de actividades. Primero, informar a los usuarios para que pudiesen analizar sus sistemas y, en caso de encontrar infecciones, proceder a su limpieza. Segundo, necesitamos colaborar con otros investigadores de la industria de seguridad para registrar el mayor número posible de nombres de dominios aleatorios generados por el bot, impidiendo de esta manera que el dueño de la botnet enviase comandos a sistemas ya infectados.
Eset españa informe cuatrimestral de seguridad (mayo agosto)Yolanda Ruiz Hervás
Facebook, Twitter, LinkedIn, eHarmony… Los cibercriminales se han hinchado a perseguir, utilizando todos los métodos a su alcance, los datos de los usuarios de las redes sociales más populares. Y les han atacado desde dos frentes: utilizando la ingeniería social para distribuir nuevas formas de engaño pero también accediendo directamente a las bases de datos utilizando vulnerabilidades o aplicaciones externas.
Y no le ha ido mejor a Apple: su creciente popularidad, sobre todo por el cada vez más creciente uso de sus dispositivos periféricos, le está colocando –todavía más- en el ojo del huracán y en el punto de mira del mercado del cibercrimen. Tuvo un gran problema con la vulnerabilidad de su sistema operativo Lion, pero también se ha visto afectada por el troyano Flashback.
Skype, Yahoo! y Gmail también han sido protagonistas por diversas vulnerabilidades, fallos en el sistema de cifrado de comunicación, consecución de contraseñas de usuarios por el hackeo del sistema y hasta problemas derivados de phishing, spam y otros.
Los jugones, más activos en época de vacaciones, han visto cómo el lanzamiento de Diablo III traía consigo sorpresitas y los fieles seguidores de League of Legends también han visto su integridad puesta en entredicho.
También han sido estos los meses de los nombres propios: descubríamos una seria vulnerabilidad en el sistema de control de Renfe, así como en el nuevo sistema de telecomunicaciones de los aviones, la infanta Cristina se vio envuelta en la “Operación Pitiusa”, destinada a su espionaje, y Cañizares publicó a través de su Twitter la foto de su mujer desnuda en la ducha (aunque después acusó a sus hijos de semejante tropelía).
Los Juegos Olímpicos de Londres junto al acoso a Julian Assange fueron utilizados, como siempre, como ganchos para conseguir nuevas víctimas. Y hasta han hackeado las cuentas de Twitter de numerosos jugadores de la selección española y han puesto palabras en su boca que jamás fueron dichas por sus autores, pero sí por los cibercriminales que accedieron a ellas.
Por último, las vacaciones, el 30 aniversario de las amenazas para Mac, y el cada vez más intensivo uso de los dispositivos móviles así como la proliferación de falsas ofertas a través de Internet han protagonizado nuestras infografías de estos cuatro meses: nuestra particular aportación y granito de arena para conseguir una cada vez mayor seguridad.
Cuatro meses que no hacen sino presagiar lo que va a ser tendencia en el resto del año y que vamos viendo en el día a día: pocas empresas conocidas escapan a los cibercriminales y los usuarios son, cada vez, más víctimas.
Más información sobre seguridad en el blog de ESET España (http://blogs.protegerse.com).
El primer cuatrimestre del año ha estado plagado de incidentes de seguridad: desde las acciones de los grupos hacktivistas movidos por el cierre de Megaupload por parte del FBI hasta amenazas para todo tipo de plataformas, incluyendo Mac y Android.
2011 ha resultado ser un año más que interesante. La situación económica y política actual ha terminado redundando en dos factores que han determinado el rumbo del año en cuanto a seguridad informática se refiere: por un lado se han multiplicado las acciones realizadas por parte de grupos hacktivistas como Anonymous, y, por otro, han aumentado los intentos de ataques por parte de ciberdelincuentes que, utilizando la ingeniería social, han intentado llegar a más potenciales víctimas utilizando todo tipo de vectores de ataque, pero sobre todo, redes sociales. Facebook, Twitter y YouTube han sido las preferidas por los ciberdelincuentes, que han encontrado en su gran popularidad un excelente caldo de cultivo para conseguir nuevas víctimas que les reportaran beneficios económicos.
Estas son algunas de las conclusiones del “Informe anual sobre seguridad 2011 de ESET”, documento que analiza todo el año 2011 desde la perspectiva de la seguridad. Más información en www.eset.es y http://blogs.protegerse.com
En este documento analizamos ciertos conceptos relacionados con la ficha 1 y 2. Y concluimos, dando el porque es importante desarrollar nuestras habilidades de pensamiento.
Sara Sofia Bedoya Montezuma.
9-1.
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador ValenciaAMADO SALVADOR
Descubre el catálogo general de la gama de productos de refrigeración del fabricante de electrodomésticos Miele, presentado por Amado Salvador distribuidor oficial Miele en Valencia. Como distribuidor oficial de electrodomésticos Miele, Amado Salvador ofrece una amplia selección de refrigeradores, congeladores y soluciones de refrigeración de alta calidad, resistencia y diseño superior de esta marca.
La gama de productos de Miele se caracteriza por su innovación tecnológica y eficiencia energética, garantizando que cada electrodoméstico no solo cumpla con las expectativas, sino que las supere. Los refrigeradores Miele están diseñados para ofrecer un rendimiento óptimo y una conservación perfecta de los alimentos, con características avanzadas como la tecnología de enfriamiento Dynamic Cooling, sistemas de almacenamiento flexible y acabados premium.
En este catálogo, encontrarás detalles sobre los distintos modelos de refrigeradores y congeladores Miele, incluyendo sus especificaciones técnicas, características destacadas y beneficios para el usuario. Amado Salvador, como distribuidor oficial de electrodomésticos Miele, garantiza que todos los productos cumplen con los más altos estándares de calidad y durabilidad.
Explora el catálogo completo y encuentra el refrigerador Miele perfecto para tu hogar con Amado Salvador, el distribuidor oficial de electrodomésticos Miele.
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial ValenciaAMADO SALVADOR
Descubra el catálogo completo de buzones BTV, una marca líder en la fabricación de buzones y cajas fuertes para los sectores de ferretería, bricolaje y seguridad. Como distribuidor oficial de BTV, Amado Salvador se enorgullece de presentar esta amplia selección de productos diseñados para satisfacer las necesidades de seguridad y funcionalidad en cualquier entorno.
Descubra una variedad de buzones residenciales, comerciales y corporativos, cada uno construido con los más altos estándares de calidad y durabilidad. Desde modelos clásicos hasta diseños modernos, los buzones BTV ofrecen una combinación perfecta de estilo y resistencia, garantizando la protección de su correspondencia en todo momento.
Amado Salvador, se compromete a ofrecer productos de primera clase respaldados por un servicio excepcional al cliente. Como distribuidor oficial de BTV, entendemos la importancia de la seguridad y la tranquilidad para nuestros clientes. Por eso, trabajamos en colaboración con BTV para brindarle acceso a los mejores productos del mercado.
Explore el catálogo de buzones ahora y encuentre la solución perfecta para sus necesidades de correo y seguridad. Confíe en Amado Salvador y BTV para proporcionarle buzones de calidad excepcional que cumplan y superen sus expectativas.
Catalogo general Ariston Amado Salvador distribuidor oficial ValenciaAMADO SALVADOR
Distribuidor Oficial Ariston en Valencia: Amado Salvador distribuidor autorizado de Ariston, una marca líder en soluciones de calefacción y agua caliente sanitaria. Amado Salvador pone a tu disposición el catálogo completo de Ariston, encontrarás una amplia gama de productos diseñados para satisfacer las necesidades de hogares y empresas.
Calderas de condensación: Ofrecemos calderas de alta eficiencia energética que aprovechan al máximo el calor residual. Estas calderas Ariston son ideales para reducir el consumo de gas y minimizar las emisiones de CO2.
Bombas de calor: Las bombas de calor Ariston son una opción sostenible para la producción de agua caliente. Utilizan energía renovable del aire o el suelo para calentar el agua, lo que las convierte en una alternativa ecológica.
Termos eléctricos: Los termos eléctricos, como el modelo VELIS TECH DRY (sustito de los modelos Duo de Fleck), ofrecen diseño moderno y conectividad WIFI. Son ideales para hogares donde se necesita agua caliente de forma rápida y eficiente.
Aerotermia: Si buscas una solución aún más sostenible, considera la aerotermia. Esta tecnología extrae energía del aire exterior para calentar tu hogar y agua. Además, puede ser elegible para subvenciones locales.
Amado Salvador es el distribuidor oficial de Ariston en Valencia. Explora el catálogo y descubre cómo mejorar la comodidad y la eficiencia en tu hogar o negocio.
KAWARU CONSULTING presenta el projecte amb l'objectiu de permetre als ciutadans realitzar tràmits administratius de manera telemàtica, des de qualsevol lloc i dispositiu, amb seguretat jurídica. Aquesta plataforma redueix els desplaçaments físics i el temps invertit en tràmits, ja que es pot fer tot en línia. A més, proporciona evidències de la correcta realització dels tràmits, garantint-ne la validesa davant d'un jutge si cal. Inicialment concebuda per al Ministeri de Justícia, la plataforma s'ha expandit per adaptar-se a diverses organitzacions i països, oferint una solució flexible i fàcil de desplegar.
TEMA 2-CARPAS SOLARES PARA PRODUCCION DE HORTALIZAS.ppt
Análisis técnico de win32 georbot
1. Desde Georgia, con amor
Nuevos ESET Smart Security 5 y
¿Está alguien intentando espiar a Georgia?
ESET NOD32 Antivirus 5
Fernando de la Cuadra, director de Educación (fernando@ontinet.com)
Josep Albors, director de Comunicación (josep@ontinet.com)
2. Win32/Georbot
A principios de año, nuestros investigadores recibieron Resumen
un nuevo ejemplar de malware que les llamó la
atención. Uno de nuestros analistas se dio cuenta de El malware, denominado Win32/Georbot, tiene las siguientes
que el este ejemplar se comunicaba con un dominio funcionalidades diseñadas para robar información de un
sistema infectado:
perteneciente al Gobierno de Georgia* para
actualizarse.
• Envía cualquier fichero desde el disco duro local a un
servidor remoto.
Tras un análisis, nos dimos cuenta que este malware • Roba certificados.
era un troyano diseñado para robar información • Busca en el disco duro documentos Word.
específica de ciudadanos de Georgia. Igualmente, • Busca en el disco duro ficheros de configuración del
tuvimos acceso al panel de control de la amenaza, y escritorio remoto.
• Realiza capturas de pantalla.
descubrimos el alcance y la intención de esta
• Graba audio usando el micrófono.
operación.
• Graba vídeo utilizando la webcam.
• Analiza la red local para identificar ordenadores en la
En este documento os dejamos toda la información misma red.
acerca de esta operación. Es importante destacar que • Ejecuta comandos arbitrarios en el sistema infectado.
tanto la Agencia de Intercambio de Datos del
Ministerio de Justicia de Georgia así como su CERT Los comandos se activan de forma manual enviando las
órdenes individualmente a cada ordenador infectado, en vez
nacional estaban al corriente de la situación desde
de lanzar comandos a toda la red de forma general.
2011 y que han cooperado con ESET en esta
investigación.
*Georgia el país, no el estado. Ver https://www.cia.gov/library/publications/the-world-factbook/geos/gg.html para
más información
3. Win32/Georbot
Vector de instalación
En el dominio .gov.ge también encontramos un iframe apuntando a un servidor En algunas variantes hemos encontrado que el ejemplar revisaba con el sistema
hospedado en la República Checa. El servidor no respondió cuando intentamos determinadas zonas horarias. Antes de instalarse, el bot analizaba si el
obtener el fichero, sin embargo encontramos otra URL con el mismo patrón en ordenador estaba situado en las zonas UTC+3 o UTC+4. Solo los ordenadores
otro servidor utilizado como C&C por Georbot. El fichero contenía un javascript situados en dichas coordenadas eran infectados. La siguiente imagen muestra
ofuscado que llamaba a un iframe en otro dominio, legalcrf.in. Mientras que el los países situados en dichas franjas horarias. Esta revisión previa a la
servidor se encontraba de nuevo inactivo, el servicio de navegación segura de instalación se ha eliminado en las versiones más actuales del bot que hemos
Google indicaba que este dominio había servido exploits en el pasado, así que analizado.
puede decirse que este había sido el principal vector de instalación del malware.
4. Win32/Georbot
Ofuscación
Las familias de malware más modernas utilizan packers hechos a medida para
evitar ser detectados por los productos de seguridad. En este caso, el autor o
autores de Win32/Georbot ofuscaron el malware ellos mismos. Y aunque la
técnica de evasión es rudimentaria, el malware ha sido capaz de evitar ser
detectado por algunos motores antivirus durante un período de tiempo.
Ofuscación de la información
Para ocultar cadenas como URL, direcciones IP y librerías DLL, Win32/Georbot
utiliza una clave única localizada justo después de la sección que contiene la
información ofuscada. Cuando el malware se ejecuta, descifra toda la sección de
una vez. La función de descifrado realiza una simple resta en cada byte.
Llamadas al API ofuscadas
Las llamadas al API de Windows también están ocultas en el ejecutable. Antes Tabla !: la rutina hashedCall()
de cada llamada al API, una función llamada hashedCall() toma como argumento
el nombre de la DLL y un hash calculado a partir del nombre de la función De esta manera, Win32/Georbot esconde las funciones del API que está
hashedCall() carga la librería, calculando el hash para cada función exportada y utilizando porque el binario solo incluye los hashes. Al generar una tabla de
devolviendo un puntero donde se localiza la correspondiente función API. hashes de todas las funciones exportadas de los nombres de las DLL
encontradas en el binario (después de descifrar la información), hemos podido
identificar las llamadas.
5. Win32/Georbot
Ofuscación del flujo
Para engañar a los análisis estáticos, Win32/Georbot ofusca también la Estos dos controles de ofuscación del flujo se utilizan a veces a la vez. Aquí
secuencia de instrucciones. Coloca instrucciones de retorno en el medio de las encontramos la sentencia push;retn entrelazada con un corto jmp.
funciones. Los compiladores utilizan esta instrucción solo al final de la función,
por lo tanto, la mayoría de los desensambladores estáticos pensarán que es el
final de la función en la sentencia retn. La instrucción retn coge la dirección de la
pila y la sitúa en el EIP. Win32/Georbot realiza esta acción para ofuscar las
instrucciones jmp.
Otra técnica utilizada por Win32/Georbot es la ofuscación de las instrucciones de
llamada. Una instrucción de llamada hace dos cosas: fuerza el paso a la
siguiente instrucción en la pila y entonces salta a la dirección suministrada. El
malware realiza frecuentes llamadas con dos instrucciones equivalentes en su
lugar. Un compilador nunca lo haría. Por ejemplo:
La siguiente imagen muestra el efecto de arreglar el control de flujo convirtiendo
las secuencias de instrucciones a su homólogo original.
es equivalente a:
6. Win32/Georbot
Automatizando el descifrado de estas tres técnicas es mucho más fácil entender
Historial de versiones
el comportamiento del malware:
Este bot reporta su número de versión al servidor C&C cuando se conecta a él, lo
que nos ha ayudado a reconstruir la historia del malware. La siguiente lista
muestra el historial de versiones que nos ha permitido averiguar cuándo ha sido
lanzado cada ejemplar.
Septiembre 2010 Sin número de versión
Febrero 2011 2.4.1
Abril 2011 3.3
Julio 2011 4.1
Enero 2012 5.2, 5.3, 5.4
Febrero 2012 5.5
7. Win32/Georbot
Comandos del bot
En la última versión, el bot puede recibir hasta 19 comandos diferentes. La find [PATTERN] Busca nombres de ficheros que contengan el patrón
técnica de ofuscación del API también se utiliza para los nombres de comando dir [FOLDER] Lista el directorio de una carpeta
en el ejecutable, pero sorprendentemente los comandos son envíados en texto load [URL] Descarga el ejecutable específico y lo añade al autorun
plano por el servidor C&C. Como no hemos visto todos los nombres de Upload [PATH] Sube el fichero específico al C&C
comandos en las trazas de red, hemos obtenido el resto extrayendo los hashes upload_dir [FOLDER] Sube el contenido de una carpeta al C&C
del ejecutable y utilizando la fuerza bruta con un diccionario. main Lista los directorios y los envía al C&C
list [FOLDER] Lista los ficheros de una carpeta
ddos [domain] Arranca un ataque DDoS contra un dominio
scan Devuelve una lista de todos los nombres de dominios de
una red local
word [KEYWORDS] Busca documentos de Word que contengan una de las
palabras clave
system Envía las letras de las unidades de disco al C&C
dump Envia el contenido de carpetas y subcarpetas al C&C
photo Captura pantallazos del escritorio
audio Captura audio del micrófono
rdp Roba configuraciones RDP (.rdp)
video Captura vídeo de una webcam
passwords Roba passwords del navegador (Internet Explorer,Opera)
history Roba el historial del navegador (Internet Explorer,Opera)
screenshot Captura un pantallazo y lo envía al C&C.
8. Win32/Georbot
Comunicación con el centro de mando y control
Protocolo de comunicación
Win32/Georbot utiliza HTTP (HyperText Transfer Protocol) para comunicarse con
su centro de mando y control (C&C). A lo largo del tiempo, algunos centros de
control han sido utilizados en diferentes países, como en Alemania, República
Checa y Estados Unidos. Para reportar al servidor central y pedir instrucciones, el En este ejemplo, el botmaster ordena al bot capturar un pantallazo y subirlo al
bot utiliza una petición HTTP GET cada minuto con los siguientes parámetros: servidor central.
ver la versión del bot Mecanismo de actualización
cam averigua si el sistema infectado tiene una camara
p un identificador del bot. Todas las variantes que hemos Win32/Georbot se conecta regularmente con su servidor central para buscar la última
analizado utilizan la cadena “bot123” versión del ejecutable del bot. Estas conexiones también se realizan utilizando
id Un identificador único usado para diferenciar entre bots. Se HTTP. El servidor devuelve un binario, coficiado en base64, embebido en una página
forma a partir del número de serie del primer disco duro. HTML. Hemos identificado más de mil actualizaciones, las más antiguas de
Septiembre de 2010. El bot se actualiza cada par de días, y algunas veces introduce
Por ejemplo: nuevas funcionalidades, pero en la mayoría de los casos simplemente son
mecanismos para evadir la detección antivirus.
Mecanismos alternativos
Después de recibir la consulta, el servidor central responde con contenido en Si un sistema infectado es incapaz de conectarse al servidor central, vuelve a lanzar
HTML (HyperText Markup Language) como el siguiente: sus consultas pero a una página alojada en un dominio del Gobierno de Georgia. Ha
sido precisamente este dominio alternativo lo que nos llamó la atención y el origen de
la investigación.
9. Win32/Georbot
A partir de aquí, Georbot continúa con sus operaciones normales utilizando la
dirección IP obtenida como servidor central.
Figura 2: Mecanismo alternativo utilizado por Win32/Georbot
En primer lugar, el malware intenta alcanzar el centro de control mediante el
comando que contiene su binario. Si el centro de mando y control no responde,
Georbot busca un documento alojado en el website del Gobierno de Georgia.
Seguidamente, lleva a cabo un análisis buscando el marcador ‘||||’. Si está
presente, este marcador oculta la dirección IP del centro de control o servidor
central.
10. Win32/Georbot
Interfaz de control y hosts objetivo País Porcentaje de infecciones
Hemos tenido acceso al panel de control de la botnet, que nos ha suministrado
Georgia 70,45%
información detallada de la operación y detalles de los motivos de los
cibercriminales. El panel contiene unos doscientos hosts infectados. Estados Unidos 5,07%
Alemania 3,88%
Rusia 3,58%
Canadá 1,49%
Ucrania 1,49%
Francia 1,19%
Otros 12,83%
El panel de control también contiene el historial de los comandos enviados a los
bots. Mientras que la funcionalidad de grabación de vídeo vía webcam, la captura de
pantallazos o lanzar ataques DDoS se ha usado un par de veces, la mayoría de los
comandos eran para obtener listados de directorios, para realizar búsquedas y para
Tabla 2: Panel de control de Georbot. descargar ficheros y analizar la red. Sobre todo, la información más interesante que
hemos podido recopilar del panel ha sido la lista de palabras clave utilizada para
De todos los hosts infectados, el 70% están localizados en Georgia, seguidos de buscar documentos. Las siguientes listas han sido utilizadas para encontrar
Estados Unidos, Alemania y Rusia. El panel web también tiene una funcionalidad documentos que contenían al menos una de las palabras, sin dejar lugar a dudas
que permite el marcado de host interesantes. Seis hosts habían sido marcados sobre la intención de los operadores de esta botnet.
cuando accedimos al panel: tres en Georgia, uno en Rusia, uno en Suecia y otro
más en China.
11. Win32/Georbot
Conclusión
Las características de Win32/Georbot indica que ha sido creado para recopilar
información de los ordenadores infectados. Esta amenaza tiene todas las
capacidades necesarias para infectar y robar información. El hecho de que
utilicen una dirección web de Georgia para actualizar sus comandos y la
información de control, y que probablemente utiliza el mismo dominio para
difundirse parece indicar que los ciudadanos de Georgia son su principal
objetivo. Por otro lado, el nivel de sofisticación de esta amenaza es bajo.
Pensamos que si esta operación hubiera sido promovida por un estado,
hubiese sido más profesional y sigilosa.
La hipótesis quizá más acertada es que Win32/Georbot ha sido creado por un
grupo de cibercriminales que intentaban acceder a información sensible para
Todos los documentos descargados habían sido borrados del servidor, por lo que venderla a otras organizaciones. Deben operar desde Georgia y han sido
no podemos afirmar si la búsqueda fue exitosa o no. afortunados al conseguir controlar el dominio del gobierno, utilizándolo como
parte de su operación.
El desarrollo de este malware continúa: hemos encontrado nuevas variantes
distribuyéndose. La más reciente, del 8 de marzo. Así que seguimos
investigando.
12. Win32/Georbot
Anexo: hashes MD5 analizados
Para otros investigadores interesados en investigar este malware, esta es la lista
de hashes de ficheros que hemos visto en la familia de malware Win32/Georbot.
Están listados en orden cronológico.