To accept this license, you must read and agree to all of the terms of the following license: 

ELIGIBILITY EXPORT RESTRICTIONS 
* I am not a citizen, national or resident of, and am not under the control of, the government of: Cuba, Iran, Sudan, Iraq, Libya, North Korea, Syria, nor any other country to which the United States has prohibited export. 
* I will not download or otherwise export or re-export the Programs, directly or indirectly, to the above mentioned countries nor to citizens, nationals or residents of those countries. 
* I am not listed on the United States Department of Treasury lists of Specially Designated Nationals, Specially Designated Terrorists, and Specially Designated Narcotic Traffickers, nor am I listed on the United States Department of Commerce Table of Denial Orders. 
* I will not download or otherwise export or re-export the Programs, directly or indirectly, to persons on the above mentioned lists. 
* I will not use the Programs for, and will not allow the Programs to be used for, any purposes prohibited by United States law, including, without limitation, for the development, design, manufacture or production of nuclear, chemical or biological weapons of mass destruction. 

]]> http://lmjuan.wordpress.com/2007/09/05/%c2%bflos-agrement-detendran-a-los-malos/feed/ 0 lmjuan http://lmjuan.wordpress.com/2007/09/05/con-una-botnet-se-pueden-ganar-miles-de-dolares/ http://lmjuan.wordpress.com/2007/09/05/con-una-botnet-se-pueden-ganar-miles-de-dolares/#comments Wed, 05 Sep 2007 15:56:12 +0000 lmjuan http://lmjuan.wordpress.com/2007/09/05/con-una-botnet-se-pueden-ganar-miles-de-dolares Sigue leyendo →]]> Hola espero poner cosas más seguido pero lei este artículo y me gusto. 

Fuente: http://www.vsantivirus.com/mm-nazario.htm

Por Mercè Molist (*)
colaboradores@videosoft.net.uy

José Nazario es una especie de "cazafantasmas": investiga y persigue a las siempre cambiantes redes de ordenadores "zombie" que se esconden en la inmensidad del ciberespacio.
Se infiltra en ellas, localiza a los delincuentes que las controlan y los entrega a la policía.

-¿De dónde le vino esta afición?

-Soy bioquímico, especializado en enzimas y sus relaciones en sistemas muy complejos, pero me aburría. Usaba ordenadores para mis cálculos y empecé a fijarme en las redes informáticas. En el 2000 creé una teoría sobre las redes de ordenadores "zombie", a las que llamé "botnets" (redes de robots).

-¿Casi que dio la idea a los criminales?

-No. En 1999 ya había gente creando pequeñas redes. Pensé:
imagina que hacen esto contra máquinas Windows, qué pasaría.

-¿Cómo se caza al dueño de una "botnet"?

-A veces me hago pasar por una de las máquinas "zombie".
Estudio el código malicioso que le dice dónde debe conectarse para recibir órdenes, normalmente un canal de chat, y voy yo en lugar de la máquina. Cuando estás dentro, dices: "Hola" y suelen sorprenderse mucho.

-¿Se presenta como José Nazario?

-No. Simulo ser un adolescente.

-¿Adolescente?

-La mayoría lo son, también los que controlan redes grandes.
Como mucho tienen veintitantos años o, una minoría, cuarenta.

-¿Para qué usan estas redes?

-Principalmente para mandar correo basura, les da mucho dinero. También para bombardear sistemas, robar información bancaria, diseminar programas espía…

-¿Es cierto que cada día se crean mil nuevas "botnets"?

-Sí. Muchas son pequeñas. Con un virus que infecte diez ordenadores ya tienes una red y hay millones de máquinas infectadas en el mundo. Es como una pirámide: en la base tienes mucha gente con redes pequeñas de cientos de máquinas.
3.000 sería la media. En lo alto hay equipos de cuatro o cinco personas por red, trabajando a jornada completa.

-¿Lo llamaría crimen organizado?

-No creo que aquí esté la mafia, pero no puedo asegurarlo.
Más bien son criminales organizados.

-¿Cuánto dinero ganan?

-Los de arriba, miles de dólares al día.

-¿Cuál es la "botnet" más grande que ha visto?

-Dos: Team USA, que debe tener unas 80.000 máquinas, y Peruvian Power, de unos argentinos, con 75.000.

-¿Para qué las usan?

-Para ataques de Denegación Distribuida de Servicio.

-¿Se hace dinero con eso?

-Mucho.

-¿Bombardeando a alguien y extorsionándole para que cese el ataque?

-Sí. Y también cobrando por tirar las redes de la competencia.

-Hace poco Estonia sufrió un duro bombardeo.

-Es un caso interesante porque fue muy grande y muy largo. Es el mayor realizado contra un país por razones políticas.

-Dicen que venía de Rusia.

-No sé quién estaba detrás realmente, pero es un indicador de lo que puede haber en el futuro.

-¿Ciberguerra?

-Sí. Estamos entrando en la ciberguerra.

-¿Cuál fue la primera "botnet" que cazó?

-Se llamaba Shaft, en el 2000. Entraban en sistemas e instalaban un programa para controlar las máquinas. Tenían cientos. Para ellos es algo grande, se sienten poderosos.

-¿Y la más interesante?

-La mayoría son muy aburridas. Hay un grupo francés, al que he seguido algunas veces, que son realmente vagos. Otro chico, en Italia, no pone atención, sólo está por el dinero.

-¡Vaya!

-Uno de los más interesantes, al que le estoy ahora detrás, tiene una "botnet" por P2P, que es lo más nuevo. Peruvian Power también son realmente buenos, hablé con uno de ellos pero no pude hacer más. Otro buen equipo está en Estados Unidos. También hay un par en Rusia. Me gustaría saber quiénes son, no sólo para llevarles a prisión sino para saber quién es esa gente tan inteligente.

-¿Ha cogido alguna vez a alguien que tenga una "botnet" por P2P?

-Encontrar la red, sí, pero atraparles, no. Es muy difícil porque el P2P es descentralizado, además se mueven mucho y rápido, usan también la web, cifrado…

-¿Qué podemos hacer para saber si nuestro ordenador es un "zombie"?

-Cuando se han metido en tu máquina, es muy difícil.
Francamente, no sé qué podemos hacer con esto.

-¿Las leyes pueden ayudar?

-El problema no es hacer más leyes sino encontrar a esa gente. En un año, en Estados Unidos, atrapamos a unos 20.
Alguno nos cuesta un año de investigación.

-¿Y cuántos hay?

-¿Miles?

(*) Copyleft 2007 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.

NOTA VSA: Jose Nazario es autor de libros como "Defense and Detection Strategies against Internet Worms". Actualmente es Ingeniero Principal de Seguridad del ASERT (Arbor Security Engineering & Response Team), responsable de analizar nuevas amenazas de seguridad de Internet, ingeniería inversa de código malicioso y desarrollo de mecanismos de seguridad.
También, mantiene el sitio WormBlog.com, un sitio destinado al estudio de la detección de gusanos e investigación contra la defensa de estos problemas.

]]> http://lmjuan.wordpress.com/2007/09/05/con-una-botnet-se-pueden-ganar-miles-de-dolares/feed/ 0 lmjuan http://lmjuan.wordpress.com/2007/06/23/muy-pronto-de-regreso/ http://lmjuan.wordpress.com/2007/06/23/muy-pronto-de-regreso/#comments Sat, 23 Jun 2007 05:05:32 +0000 lmjuan http://lmjuan.wordpress.com/2007/06/23/muy-pronto-de-regreso Sigue leyendo →]]>

Recuerdo mucho la frase de que "LOS HACKERS NO DESCANSA, POR LO TANTO NOSOTROS COMO GENTE DE SEGURIDAD MENOS". 

Autores de
código malicioso podrían incitar a Windows Update a distribuir virus, previenen
investigadores de seguridad de Symantec.

Análisis de
la firma de seguridad revelan que recientemente se distribuyo un troyano vía
correo electrónico a finales de marzo de 2007, utilizando después el componente
denominado BITS “Background Intelligent Transfer Service” para descargar archivos.

BITS es un
componente de Windows que permite la transferencia de archivos entre equipos.
El servicio es utilizado por Windows Update, Windows Server Update Services y
Systems Management Server para entregar actualizaciones a los clientes. Este
también es utilizado por la mensajeria instantánea para facilitar la transferencia
de archivos. El servicio de descarga asíncrona es una elegante manera de
descargar archivos mientras se consume un mínimo de ancho de banda. Pero este
puede ser utilizado por hacker para descargar código malicioso, lo cual le
ofrece una gran ventaja a los hackers.

“Usando
BITS para descargar archivos maliciosos es una manera inteligente y engañosa
debido a que pasa los firewalls locales, así como que la descarga es realizada
por el propio Windows, y no requiere de acciones sospechosas por el proceso de
inyección” explico en una publicación Elia Florio investigador de Symantec.

El método
debería ser utilizado para descargar componentes adicionales de spyware en un
equipo infectado sin alertar al usuario de que algo anda mal, terminando
firewalls personales, inyectando código malicioso en componentes de confianza
del SO, o realizar otras actividades maliciosas.

El método
de descarga de BITS ha sido conocido como una manera de terminar firewalls
desde finales de 2006. Sin embargo, el troyano alemán representa un
refinamiento de la técnica al descargar componentes de código malicioso dentro
del sistema, evadiendo el firewall.

Peor aun, no
existe una solución temporal que proteja contra este tipo de ataques. “No es fácil
verificar lo que esta descargando BITS y que no sea descargado” comento el
investigador de Symantec, agregando que el mal uso que se le da a BITS es un
buen ejemplo de “que las buenas tecnologías son usadas para malos propósitos”

Florio
comento que Microsoft necesita modificar su software con una corrección que
proteja contra un ataque de este tipo. “Probablemente la interfaz de BITS debería
ser diseñada para ser accesible sólo con un alto nivel de privilegios, o
descargas con BITs deberían ser restringidas sólo a URLs de confianza,” comento
Florio.
]]> http://lmjuan.wordpress.com/2007/05/11/actualizacion-de-codigo-malicioso-con-windows-update/feed/ 0 lmjuan http://lmjuan.wordpress.com/2007/05/08/resumen-de-los-boletines-de-seguridad-del-mes-de-mayo-de-2007/ http://lmjuan.wordpress.com/2007/05/08/resumen-de-los-boletines-de-seguridad-del-mes-de-mayo-de-2007/#comments Tue, 08 May 2007 23:39:11 +0000 lmjuan http://lmjuan.wordpress.com/2007/05/08/resumen-de-los-boletines-de-seguridad-del-mes-de-mayo-de-2007 Sigue leyendo →]]>

Siguiendo su ciclo mensual de
actualizaciones, Microsoft liberó el día de hoy 7 actualizaciones de seguridad todos
con la categoría de crítica. A continuación se proporciona un resumen de los
boletines. Vulnerabilidades
en Microsoft Word podría permitir la ejecución remota de código (934232)

Este boletín corrige varias vulnerabilidades en Word, las cuales podrían
permitir la ejecución remota de código. La vulnerabilidad afecta a Word, Works y
Works Suites en diversas versiones.

Vulnerabilidades
en Microsoft Exchange podrían permitir la ejecución remota de código (931832)
Este boletín corrige varias vulnerabilidades en Exchange, las cuales sin son
explotadas con éxito por un intruso podrían darle el control total del equipo
afectado o realizar una negación de servicio o revelar información. La
vulnerabilidad afecta a Exchange en diversas versiones.

Vulnerabilidades
en Microsoft Excel podrían permitir la ejecución remota de código (934233)
Este boletín corrige múltiples vulnerabilidades en Excel que podrían permitirle
a un intruso ejecutar código remoto con lo cual podría tomar el control total
del sistema afectado. La vulnerabilidad afecta a Excel en las versiones de
Windows y Mac.

Vulnerabilidad
en el Servidor DNS de Windows con RPC podría permitir la ejecución remota de
código (935966)
Este boletín corrige una vulnerabilidad en el servicio de DNS que podría
permitirle a un intruso tomar el control total del sistema afectado. La
vulnerabilidad afecta a Windows 2000 y 2003.

Vulnerabilidad
en Microsoft Office podrían permitir la ejecución remota de código (934873)
Este boletín corrige una vulnerabilidad en Office que podrían permitirle a un
intruso ejecutar código y tomar el control total del sistema afectado. La
vulnerabilidad afecta a varias versiones de Office.

Vulnerabilidad
en CAPICOM podría permitir la ejecución remota de código (931906)

Este boletín corrige una
vulnerabilidad en CAPICOM que podría permitirle a un intruso la ejecución de código,
con lo que podría tomar el control total del sistema afectado. La
vulnerabilidad afecta a BizTalk y CAPICOM.

Actualización
de seguridad acumulativa para Internet Explorer (931768)
Esta actualización corrige múltiples vulnerabilidad en Internet Explorer, las
cuales podrían permitirle a un intruso tomar el control total del sistema
afectado. La vulnerabilidad afecta a Internte Explorer 5, 6 y 7.

Como parte de su ciclo mensual de actualizaciones, Microsoft proporciona
el avance de los boletines de seguridad. 
Para el próximo 8 de mayo Microsoft esta planeando liberar siete
actualizaciones de seguridad de la siguiente manera:

• Dos boletines de seguridad de Microsoft corrigen
  problemas en Microsoft Windows. La más alta severidad encontrada en estos será
  de crítica.
• Tres de los boletines de seguridad de Microsoft
  corrigen problemas en Microsoft Office. La más alta severidad encontrada en
  estos será de crítica.
• Uno de los boletines de seguridad corrige problemas
  en Microsoft Exchange. La severidad en este boletín será de Crítica.
• Uno de los boletines corrige problemas en CAPICOM
  y BizTalk. La severidad en este boletín será de Crítica.

Estas actualizaciones pueden
requerir reiniciar el equipo, además de que podrán ser detectadas a través de
MBSA.

Microsoft también planea
liberar una actualización de su herramienta de detección de código malicioso.  

Además Microsoft planea
liberar una actualización de alta prioridad, no siendo esta de seguridad, a
través de Windows Update y SUS.  Y seis actualizaciones
de alta prioridad, no siendo estas de seguridad, a través de Microsoft Update y
WSUS.

Según declaraciones previas
de Microsoft una de estas actualizaciones corregirá la vulnerabilidad en el
servicio de DNS de Windows y el RPC.

Referencias:

Microsoft Security Bulletin
Advance Notification

http://www.microsoft.com/technet/security/bulletin/advance.mspx

                           Ciclo de Conferencias
                         Junio 7 – Junio 8 de 2007

                          Ciudad de Mexico, Mexico
  ========================================================================

  La Universidad Nacional Autónoma de México a través del Departamento de
  Seguridad en Cómputo/UNAM-CERT de la Dirección General de Servicios de
  Cómputo Académico, organiza el Congreso de Seguridad en Cómputo 2007,
  uno de los principales eventos en Latinoamérica relacionado con la
  seguridad informática en cualquiera de sus ramas.

  El evento "Congreso de Seguridad en Cómputo 2007 Mexico" tiene como
  objetivo concientizar a la comunidad usuaria de cómputo sobre las
  medidas de seguridad necesarias para proteger la información en
  cualquiera de sus formas.

  Bajo el lema "Combatiendo el Ecrime", para la décima segunda ediciòn
  del Congreso Seguridad en Computo 2007 la UNAM reunirà a reconocidos
  lìderes mundiales en materia de seguridad informàtica, con la finalidad
  de discutir las principales amenazas que involucra el ecrime
  (phishing, virus, gusanos, spam, ataques, DDoS) y que afectan a las
  organizaciones que se encuentren relacionadas con el uso de Internet,
  desde las instituciones publicas, bancarias, hasta el usuario final.

             ————————————————–
                          Lineas de Especialización

                              Centro Mascarones
                          Junio 1 a Junio 6 de 2007
             ————————————————–

        Como labor importante en la capacitación, se impartirán líneas de
        especialización en formato de talleres Teórico-Prácticos que se
        enfocarán a diversos tópicos de la seguridad en cómputo.

        L1. Administración y Seguridad en Windows
        L2. Administración y Seguridad en Unix
        L3. Cómputo Forense y Legislación Relacionada
        L4. Seguridad Perimetral y de Red
        L5. Técnicas de Intrusión, Análisis de Vulnerabilidades y Pentest
        L6. Detección de Intrusos y Tecnologías Honeypots
        L7. Estandares, Planeacion y Administracion de la Seguridad en
            Computo
        ** Talleres

                                 !!  REGISTRO DISPONIBLE !!

                         Antes del 20 de Mayo 10% Descuento

              ————————————————–
                            Conferencias Magistrales

        * Peter Cassidy
        Secretario General del AntiPhishing Working Group

        * Lance Spitzner
        Presidente de Honeynet Project

        * Mikko H. Hyppönen
        Director de Anti-Virus Research en F-Secure Corp

        * Lance James
        Fundador de SecureScience y Autor del Libro "Phishing Exposed"

        * Jose Nazario
        Especialista en Ecrime en Internet

        * Richard Perlotto
        Proyecto ShadowServer

        * Jason A. Rafail
        Contacto de colaboración y alerta
        Miembro del staff técnico CERT/CC

        * Paul Vixie
        Experto en Seguridad DNS

        * Francisco Monserrat
        RedIRIS -España

              ————————————————–
                           ¿Quienes deben asistir?

    *  Los  administradores  de   sistemas  interesados  en  el  campo  de  la
      seguridad.

    * Personas  que se  encuentren trabajando en  el campo de  la
      seguridad y manejo de incidentes de seguridad en cómputo.

    *  Quien esté  interesado  en la  seguridad  en cómputo  en general  y  en
      conocer a personas expertas  en la materia, para mejorar sus programas,
      esquemas  e implementación  de  herramientas de  seguridad y  a  la vez
      compartir sus experiencias y conocimientos.

    * Las  personas que tengan planes de  establecer un equipo de respuesta a
      incidentes de seguridad en cómputo.

    *  Toda persona  con interés  en la  seguridad en  redes, herramientas  de
      monitoreo, detección de intrusos y firewalls.

    *  Los   directivos  de   empresas  que  estén   interesados  en  realizar
      transacciones seguras  a través de Internet  y necesiten incrementar la
      seguridad en sistemas.

              ————————————————–
                            ¿Por qué debe asistir?

    * Porque es  la oportunidad de poder  conocer lo que se  está
      realizando en el campo de la seguridad en cómputo y compartir
      experiencias y conocimientos.

    * Porque puede aprender cómo  manejar y/o responder a los cada vez
      más comunes incidentes de seguridad en cómputo, sin exponer sus
      recursos.

    * Se mantendrá actualizado sobre las técnicas de respuesta y
      prevención a incidentes más recientes.

    * Compartirá experiencias con especialistas responsables de la
      Seguridad Informatica en las princiaples organizaciones del pais de
      los sectores publico, financiero y privado.

              ————————————————–
                                      Informes

      Para mayores informes:

      Web:            http://congreso.seguridad.unam.mx

      e-mail:         congreso@seguridad.unam.mx

      Dirección:

                                  UNAM-CERT
                       Departamento de Seguridad en Cómputo,
                                DGSCA, UNAM
                      Circuito exterior de Ciudad Universitaria S/N
                C.P. 04510
                      Del. Coyoacán,
                México, D.F.
                      Teléfonos: (52) 56 22 81 69 y (52) 56 22 85 29
                      Fax: (52) 56 22 80 43
]]> http://lmjuan.wordpress.com/2007/05/03/combatiendo-el-ecrime-congreso-seguridad-en-computo-mexico-2007/feed/ 0 lmjuan http://lmjuan.wordpress.com/2007/04/23/como-deshabilitar-administracion-remota-del-servicio-de-servidor-dns-en-servidores-windows/ http://lmjuan.wordpress.com/2007/04/23/como-deshabilitar-administracion-remota-del-servicio-de-servidor-dns-en-servidores-windows/#comments Mon, 23 Apr 2007 17:20:57 +0000 lmjuan http://lmjuan.wordpress.com/2007/04/23/como-deshabilitar-administracion-remota-del-servicio-de-servidor-dns-en-servidores-windows Sigue leyendo →]]>

El fin de semana Microsoft público un artículo donde menciona como
deshabilitar la administración remota del Servidor DNS en Windows. Dentro de
artículo de la Base
de Conocimiento de Microsoft se menciona como deshabilitar la administración remota
y que efectos puede tener. Además proporciona un método de cómo realizar tal tarea
en varios equipos a la vez y un script donde se puede verificar el estado del
servicio.

El artículo:

Cómo deshabilitar administración remota del
servicio de Servidor DNS en Windows Server 2003 y compacto de Windows 2000
Server

http://support.microsoft.com/kb/936263

Microsoft menciona que esta
trabajando en la corrección del problema y probando la actualización que resuelve
el problema, pero no especifica una fecha para la liberación de la actualización.
El siguiente ciclo mensual de actualizaciones de Microsoft será el próximo 8 de
mayo de 2007.

Más información:

Vulnerability in RPC on Windows DNS Server Could Allow
Remote Code Execution.

http://www.microsoft.com/technet/security/advisory/935964.mspx
]]> http://lmjuan.wordpress.com/2007/04/23/como-deshabilitar-administracion-remota-del-servicio-de-servidor-dns-en-servidores-windows/feed/ 0 lmjuan