Hace una semana publique un par de fotos tomadas de uno de los cajeros automáticos que Banco Itaú tiene en la sucursal número 0101 de la calle Buenos Aires 79 en la ciudad de Córdoba. Gracias a Cristian Borghello pudimos dar aviso a los responsable del área de seguridad del banco, y tres días después de ser informado este hecho nos enteramos de que el problema había sido solucionado supuestamente.

Luego de publicadas las imágenes, surgieron algunas preguntas en los comentarios de algunos sitios y listas de correo, las cuales cito a continuación porque creo que a varios nos intriga lo mismo:

¿Qué hará el BCRA con semejante asunto?
¿No hubo una auditoría en los últimos 14 meses que detecte semejante falla?
¿Qué tranquilidad puede tener el usuario si con todas las regulaciones pasa semejante cosas?
¿Cómo es posible que llegue un virus al cajero?
¿Qué impide que mañana sea un virus dedicado para robar datos de cajeros?

A continuación otra captura con el mensaje del antivirus, en donde se puede leer bien que el antivirus no fue capaz de limpiar o poner en cuarentena a algunos de los archivos infectados.

Ahora bien, mas de uno se preguntara que se busca publicando esta clase de información y la respuesta es muy simple, solo se quiere advertir a los usuarios de estos sistemas sobre los peligros a los que podrían llegar a estar expuestos. Es lo mismo que al denunciar un ataque de phishing a los clientes de una determinada entidad, no se busca dañar la imagen de la empresa sino todo lo contrario, se busca que los usuarios estén prevenidos y no puedan llegar a ser parte del alto número de victimas que caen en manos de estos delincuentes; obviamente con esto también le ahorramos unos cuantos dolores de cabeza a los bancos al no tener que lidiar con tantos casos de usuarios que se vieron estafados por una maniobra de este tipo.

Para finalizar, me gustaría que las preguntas que hicieron algunos usuarios sean respondidas y saber también que piensa Banelco sobre un incidente de esta índole en uno de los cajeros de su red.

¿Todavía siguen pensando que el home-banking es algo inseguro y que un cajero automático es la mejor alternativa para realizar transacciones?

Más información sobre esta variante en el siguiente enlace:
http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?vname=WORM_DOWNAD.AD

Actualización 08/12/2009:
Sobre el cajero de Banco Itaú infectado con Conficker
http://www.martinaberastegue.com/seguridad/cajero-banco-itau-infectado-conficker.html

Según informa Help Net Security, habría sido descubierto un gusano (virus, malware ) que aprovecha un descuido en la configuración de ciertos dispositivos - IPhone o IPod Touch - que han sido jailbreakeados (liberados) y que no han cambiado la clave por defecto del SSH. Este se dedica a cambiar el fondo de pantalla por una imagen del cantante Rick Astley con la frase "ikee is never going to give you up", haciendo alusión a la canción "Never Gonna Give You Up" generalmente utilizada para rickrollear gente en Internet.

El problema reside en que la mayoría de los usuarios descarga el paquete SSH desde Cydia para poder conectarse al teléfono y modificar archivos, y deja la clave por defecto "alpine". Cualquier persona que conozca tu dirección IP podría acceder remotamente como usuario root si así lo deseara.

Este gusano creado por "ikee" no parece ser más que una prueba de concepto, pero hay que tomarlo muy en serio y no confiarse tanto. Para cambiar esta clave solo basta conectarse al dispositivo y escribir el comando passwd; es recomendable utilizar algo complejo pero que puedan recordar luego. La otra opción es bajarse la aplicación MonileTerminal desde Cydia y ejecutar ese comando solamente.

Vía Help Net Security

Hasta la fecha no hay parche oficial por lo que se recomienda aplicar manualmente la solución propuesta por Jose actualizar a la versión 2.8.5.

1. Abrir el archivo wp-trackback.php
2. Buscar la línea número 45 aproximadamente en donde dice:

   $charset = $_POST['charset'];

3. Reemplazarla por el siguiente código:

   $charset = str_replace(",","",$_POST['charset']);
   if(is_array($charset)) { exit; }

4. Guardar el archivo, y ya con eso deberíamos estar a salvo por ahora.

Aclaración, no sirve de nada desactivar los trackbacks desde Wordpress, debido a que el error se encuentra antes de realizarse esa comprobación.

Actualicen, no sean vagos que el exploit ya ha sido publicado y es vulnerable la última versión (2.8.4) inclusive.

Con el actual panorama de malware cada vez más complejo y la constante evolución de las técnicas de ataque a los usuarios de Internet, la información y capacitación en seguridad constituyen piezas fundamentales para prevenir ser víctimas de los ciberdelincuentes. En este sentido, el nuevo Centro de amenazas en línea ofrece múltiples recursos entre los que se destacan:

• Artículos y whitepapers: ESET Latinoamérica realiza periódicamente nuevos artículos e informes técnicos en los que se analizan las últimas tendencias de seguridad informática en América Latina a los que el público puede acceder libremente
• Recursos multimedia: son los videos educativos y podcast que ofrecen información actualizada y explicaciones acerca del funcionamiento de diversas técnicas y tipos de malware de relevancia actual en Internet. Los recursos multimedia de ESET Latinoamérica son un complemento ilustrativo, dinámico y didáctico que permite a los usuarios profundizar su conocimiento acerca de complejas amenazas informáticas
• Estadísticas de malware: es el top 10 de los principales códigos maliciosos del mes, según el porcentaje mundial de detecciones registrados por ThreatSense.Net, el sistema de Alerta Temprana de ESET
• Descripción de tipos de amenazas: se incluye la clasificación y definición de códigos maliciosos además de detalles sobre su funcionamiento y principales acciones maliciosas
• Consejos: en esta sección, el Departamento de Educación de ESET Latinoamérica ofrece una serie de consejos para la prevención de los más recientes ataques informáticos.

Además, visitando el Centro de amenazas, los usuarios podrán acceder a las últimas novedades y noticias de ESET Latinoamérica.

“Nuestra intención con el nuevo Centro de amenazas de ESET es ofrecer al público información de relevancia para conocer el panorama actual con respecto a las amenazas informáticas y poder hacer un uso seguro de los recursos de Internet”, dijo Cristian Borghello, Technical & Educational Manager de ESET Latinoamérica. “El nuevo Centro de Amenazas de ESET Latinoamérica responde a la necesidad de que todos los usuarios, sin importar su nivel de conocimiento técnico, puedan capacitarse en seguridad informática y acceder a la información más completa desde un único sitio”, concluyó Borghello.

El Centro de amenazas de ESET presenta además un nuevo diseño amigable para los usuarios, que facilita un acceso rápido a todos los recursos disponibles para la información y educación en seguridad informática.

Para más información, puede visitar el nuevo Centro de amenazas de ESET:
http://www.eset-la.com/centro-amenazas/

“Con el compromiso de garantizar la más alta protección a los usuarios, en ESET trabajamos constantemente por optimizar nuestras soluciones de seguridad según las necesidades de nuestros clientes y demandas del ambiente informático en constante evolución. Junto con ello, consideramos que es fundamental contribuir con información y herramientas para la educación y capacitación de todos los usuarios en seguridad informática”, dijo Ignacio Sbampato, Vicepresidente de ESET Latinoamérica.

Fuente: ESET

Se abre la segunda edición del concurso para profesionales del periodismo tecnológico en el que se premia al mejor trabajo en seguridad informática con un viaje al CeBIT 2010 a realizarse en la ciudad de Hannover, Alemania, según anuncia la compañía de seguridad informática ESET.

El concurso Mejor trabajo periodístico en seguridad informática abre sus puertas para toda América Latina el 13 de agosto, invitando a que profesionales del periodismo especializado en tecnología, presenten sus trabajos enfocados en algunas de las temáticas vinculadas con la seguridad informática y que hayan sido publicados por algún medio latinoamericano entre el 26 de noviembre del 2008 y fines de noviembre del 2009.

“Nuevamente, nos es muy grato poder continuar con esta iniciativa luego de haber contado con la participación y apoyo de reconocidas figuras del periodismo tecnológico en su primera edición”, dijo Andrés Tamburi, Jefe de Prensa y Relaciones Públicas de ESET para Latinoamérica. “En esta ocasión, hemos realizado sólo unos pequeños ajustes para ampliar la convocatoria, extender el período de inscripción y permitir que nuevos participantes se sumen a la iniciativa que premia a la labor de quienes, como nosotros, consideran que la información es una herramienta clave para la prevención de ataques informáticos”, concluyó Tamburi.

Para incorporar a los nuevos medios de información que continúan surgiendo con el desarrollo de las últimas tecnologías, los participantes tendrán la opción de inscribirse en tres categorías distintas según su desarrollo profesional:

• Prensa Gráfica: trabajos publicados en diarios, revistas y otros medios impresos o generados por agencias de noticias
• Prensa Digital: trabajos publicados únicamente en medios digitales, portales, blogs y otros
• Prensa Multimedia: trabajos emitidos en programas de radio, televisión o en algún otro formato periodístico audiovisual

Los trabajos a presentar deberán cumplir con un mínimo de requisitos que se detallan en las bases y condiciones publicadas en el micrositio del concurso y serán evaluados por una mesa de jurados conformada por reconocidos periodistas y especialistas TI de la región latinoamericana.
Para la selección y evaluación de los trabajos participantes se tendrá en cuenta: el enfoque socialmente relevante del tema elegido seguridad informática y su interés para la comunidad; la originalidad en la investigación; el tratamiento en profundidad de la información; la calidad narrativa y la correcta utilización de la terminología técnica.

Además, la recepción de los trabajos tendrá vigencia desde el 4 de agosto y hasta el viernes 20 de noviembre del 2009, fecha en la que se iniciará la evaluación de los trabajos para seleccionar a los finalistas y premiar al máximo ganador y a los autores finalistas en cada una de las categorías planteadas, que serán anunciados a principios de diciembre del 2009.

Desde el 2008 se encuentra disponible el micrositio del concurso Mejor trabajo periodístico en seguridad informática 2008, desarrollado por ESET Latinoamérica con toda la información disponible, bases y condiciones, formulario de inscripción, novedades y otro material de interés.

Se puede visitar el micrositio accediendo a: http://premios.eset-la.com/periodistas

“Este concurso es un emprendimiento único en la región latinoamericana, pensado desde ESET para reconocer el trabajo realizado en divulgación periodística sobre seguridad informática”, afirmó Ignacio M. Sbampato, vicepresidente de ESET para Latinoamérica. “En ESET siempre buscamos innovar, tanto en tecnología como en concientización y capacitación y este proyecto es una forma más de alcanzar nuestro objetivo”, concluyó Sbampato.

Copyright © 1997–2009 ESET. Todos los derechos reservados. ESET y NOD32 son marcas registradas de ESET. Otros nombres son marca registrada de sus respectivas empresas.

Cuando un sistema es infectado, generalmente es controlado remotamente recibiendo comandos a través de canales de IRC, P2P ó HTTP. José Nazario (Arbor Networks) en cambio, encontró un interesante ejemplo de un botnet activa y real que hacía uso de Twitter como panel control.

Nada nuevo

Durante una de las presentación en Defcon 17, Tom Eston y Kevin Johnson mostraron una prueba de concepto de un bot llamado KreiosC2, cuyo funcionamiento es bastante sencillo, solo hay que crear una cuenta en Twitter y configurar el bot para que la siga (follow); cuando queremos que el bot haga algo solo basta con enviar una actualización en dicha cuenta de Twitter. Ejemplo: “cmd: look at 128.47.220.51” hará que ejecute el comando ping a la dirección IP 128.47.220.51.

Debido a que Twitter cuenta con la habilidad de detectar y filtrar texto entre las actualizaciones enviadas por sus usuarios, es posible modificar el lenguaje de los comandos dinámicamente así como también utilizar codificación Base64 y/o algún tipo de encriptación.

Es interesante ver como ya hay alguien haciendo uso de esta prueba de concepto para actividades fraudulentas; en este caso la botnet descubierta habría estado siendo utilizada por un troyano bancario cuyo objetivo serian entidades brasileras, Banco do Brasil seria una de ellas.

Actualización: Kaspersky Lab publica una entrada en su blog en donde muestran capturas y más información sobre este malware que también estaría haciendo uso de Jaiku, además de Twitter.

Enlaces relacionados:

Más información sobre KreiosC2:
http://www.digininja.org/projects/kreiosc2.php

Using Twitter as a botnet: KreiosC2
http://securitybananas.com/?p=101

Vía Twitter-based Botnet Command Channel

Los siguientes dominios se han visto afectados por este ataque:

www.buenosaires.gob.ar
www.buenosaires.gov.ar
www.usigobierno.catamarca.gov.ar
www.boletinoficial.catamarca.g...
autoridades.catamarca.gov.ar
www.tramites.catamarca.gov.ar
www.cultura.catamarca.gov.ar
www.informatica.catamarca.gov.ar
www.senado.catamarca.gov.ar
www.meccyt.catamarca.gov.ar
www.turismocatamarca.gov.ar
www.seguridadinformatica.catam...
www.salud.catamarca.gov.ar
www.registroinmobiliario.catam...
www.propap.jujuy.gov.ar
www.mdsjujuy.gov.ar
www.issp.gov.ar
www.proveedores.jujuy.gov.ar
pet.jujuy.gov.ar
proteccioncivil.jujuy.gov.ar
www.municipios.jujuy.gov.ar
www.policiadejujuy.gov.ar
trabajo.jujuy.gov.ar
www.vialidad.jujuy.gov.ar
www.registroinmobiliario.catamarca.gov.ar
www.trabajo.jujuy.gov.ar
www.hacienda.jujuy.gov.ar
www.turismo.jujuy.gov.ar
www.vialidad.jujuy.gov.ar
www.hacienda.catamarca.gov.ar
www.agro.misiones.gov.ar
www.sanjavier.misiones.gov.ar
www.ccpm.misiones.gov.ar
www.ips.misiones.gov.ar
www.softwarelibre.misiones.gov.ar
www.gobierno.misiones.gov.ar
www.turismo.misiones.gov.ar
www.policia.misiones.gov.ar
www.cedit.misiones.gov.ar

La única duda que me queda al ver el código fuente HTML de los sitios atacados es ¿Quién es Esteban?.

<object width="0" height="0"><param name="movie" value="http://www.youtube.com/v/ebjM1uhi464&amp;hl=es&amp;fs=1&amp;autoplay=1"><param name="allowFullScreen" value="true"><param name="allowscriptaccess" value="always"><embed src="esteban_files/ebjM1uhi464hlesfs1autoplay1.swf" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" width="0" height="0"></object>

Para los que no estén familiarizados con esta plataforma, cuando un usuario solicita una nueva clave se le envía a su correo (el que uso al crear la cuenta) un enlace para confirmar el proceso, luego de eso le llega a uno la nueva contraseña. Según el reporte, debido a este error bastaría con ingresar cierta URL desde cualquier navegador para lograr que Wordpress reinicie la clave del administrador sin autorización previa del mismo, o sea salteando el paso de la confirmación vía correo.

No hay parche oficial hasta el momento, Si lo hay . Se ha corregido la vulnerabilidad en la versión de desarrollo, por lo que se les aconseja actualizar el archivo wp-login.php, ya sea manualmente o descargándose la versión actualizada.

Actualización manual:

• Abrir el archivo wp-login.php
• Buscar el texto:

  if ( empty( $key ) )

• Reemplazarlo por el siguiente código:

  if ( empty( $key ) || is_array( $key ) )

• Guardar y listo.

Vía: http://core.trac.wordpress.org/changeset/11798

Versión corregida de wp-login.php:
http://core.trac.wordpress.org/changeset/11798?format=zip&new=11798

Si bien el impacto de esta vulnerabilidad es de nivel medio, se recomienda actualizar de todas formas.

Actualización: Ya esta disponible para la descarga una actualización de seguridad, lo cual deja la version 2.8.4 como la ultima segura hasta la fecha.
http://wordpress.org/development/2009/08/2-8-4-security-release/

Con esta iniciativa destinada a los canales de distribución de software, la compañía líder en detección proactiva de amenazas informáticas busca brindar herramientas y sustento para sus argumentos comerciales, a la vez que educar en Seguridad Informática.

ESET lanza su nuevo micrositio educativo dirigido a canales de distribución de software en la plataforma de negocios ITSitio.com. Con sólo registrarse, los usuarios podrán acceder de modo gratuito a distintas trivias, cursos en línea, artículos y vídeos y participar de un entrenamiento didáctico y dinámico sobre seguridad informática.

“Nuestra intención con este micrositio es ofrecer a los canales una forma original de participar en actividades de entrenamiento en seguridad informática, siempre con el objetivo de que sea una herramienta adicional para estar informados y capacitados con las últimas tendencias del malware”, explicó Ignacio Sbampato, Vicepresidente de ESET Latinoamérica. “Con ESET Security University, tanto los usuarios registrados a ITSitio, como cualquier otro canal de distribución de software de seguridad, podrán demostrar sus conocimientos y completar los desafíos que iremos proponiendo a la vez que acceder a nueva información que pueda contribuir a sustentar sus argumentos comerciales y les permita así ofrecer el mejor servicio a sus clientes”, concluyó Sbampato.

En ESET Security University, los usuarios podrán participar de desafíos semanales a modo de trivias con el fin de ampliar sus conocimientos sobre conceptos específicos. Adicionalmente, encontrarán detallados cursos en línea actualizados mensualmente a través de los cuales podrán capacitarse en distintas temáticas relacionadas con la Seguridad Informática. El primero de ellos, “Prevención de redes botnet”, se centra en las principales precauciones a tener en cuenta para evitar formar parte de una red de equipos zombies, tema de gran actualidad en relación a la reciente amenaza del gusano Conficker.

En la Videoteca de Seguridad encontrarán material multimedia preparado por los especialistas de ESET Latinoamérica que servirán de entrenamiento y actualización en la materia y que además brindarán información acerca de las soluciones de la compañía.

A través de su participación en las distintas actividades propuestas, los canales de distribución registrados, además de las herramientas e información, recibirán puntos que les permitirán participar por premios mensuales, tales como: pendrives y licencias anuales de ESET Smart Security; trimestrales: una netbook y anuales: un televisor plasma y un home theater).

ESET Security University es una iniciativa original de ESET, que forma parte de la estrategia regional de educación en seguridad informática de la compañía, dado su compromiso con la capacitación de usuarios y empresas para alcanzar el mayor nivel de prevención de ataques informáticos junto a la disponibilidad de soluciones proactivas de protección contra malware.
En línea con este objetivo, además de poner a disposición del público en general este nuevo micrositio y su reconocida Plataforma Educativa (edu.eset-la.com), ESET viene dictando, desde el 2005 y por gran parte de América Latina, seminarios en reconocidas universidades para fomentar el conocimiento en materia de seguridad informática y colaborar con la formación académica de los actuales y futuros profesionales de la materia.

“El canal de distribución de software suscripto a ITSitio.com nos ha reconocido durante los últimos años como el mejor software de seguridad, y es por ello que no podemos olvidarnos de seguir brindándole razones para ello.”, concluye Sbampato. “Desarrollar software de seguridad de alta calidad y generar concientización para prevenir ataques informáticos a la vez que capacitar en seguridad en Internet es el sólido compromiso de ESET para con la comunidad. ESET Security University se inscribe en la larga lista de proyectos que emprendemos con este fin, como una herramienta destinada a los profesionales encargados de suministrar soluciones de seguridad y asesorar a los usuarios”.

Todos los interesados en acceder a ESET Security University podrán hacerlo desde el propio ITSitio.com, o desde el sitio exclusivo www.esetuniversity.com

Copyright © 1997 – 2009 ESET. Todos los derechos reservados. ESET y NOD32 son marcas registradas de ESET. Otros nombres son marcas registradas de sus respectivas empresas.