Primero que todo es importante definir que las recomendaciones que voy a escribir se refieren a dos tipos de situaciones:

1. La protección de información: donde la recuperación de lo material no es tan relevante como la información contenida en la computadora, por lo tanto, la información sensible en manos del ladrón se puede eliminar o esconder.
2. La recuperación: cuando es importante recuperar la máquina en sí, es importante notar que esto es complicado pero posible, ya que se intenta tener una idea de la localización por el acceso a redes y otras pistas.

Siempre es importante aclarar que para la recuperación de datos de valor sentimental, profesional o académico lo más seguro siempre es tener Respaldos (back-ups). Puede ser en internet, discos duros externos y/u otras computadoras.

Si lo que le preocupa es el valor económico de la máquina, una opción factible es asegurarla, el costo no es alto, menos si se hace un análisis costo/beneficio.

Pero en cuanto a opciones en la computadora una de las recomendaciones más importantes que dan los expertos para evitar el acceso y la eliminación de información importante son los Passwords. La línea de defensa más sencilla es el password de acceso (o sea, el de Windows, OS X o Linux, según lo que use). Lamentablemente eso no es suficiente, cualquier persona con capacidad técnica moderada no solo sería capaz de accesar y eliminar la información, sino que sería capaz de formatear y reinstalar la computadora, donde se perdería cualquier posibilidad de recuperación.

Entonces, habría que modificar el BIOS (Firmware en Mac), y no permitir el inicio por otro medio que no sea el Disco Duro, sin embargo esto es solo recomendado para personas con conocimiento avanzado ya que es muy riesgoso, por dos razones:

· Hay que estar muy consciente de lo que se hace, el Password no se puede perder ni olvidar, va a ser necesario cuando necesite reinstalar o hacer reparaciones avanzadas.

· Deshabilitar los medios de inicio (o booteo) alternativos puede ser complicado y riesgoso.

Lo bueno es que por a pesar de ser tan crueles, los ladrones son algo tontos, cuando se roban una computadora normalmente la usan tal y como se la robaron, no modifican nada. Ahí es donde, gracias a programas que se pueden instalar en computadoras, se tiene posibilidad no solo de recuperar la computadora sino proveer información que puede ayudar a capturar al ladrón.

Hay muchos programas de este tipo pero me voy a enfocar en uno que me llamó la atención en estos días: Prey

Prey es un programa gratuito y Open Source, que se instala en la computadora. El programa queda inactivo hasta que uno reporte la máquina como robada. Funciona en Windows, Mac, Linux, y teléfonos Android.

Una vez que se reporta en la página de internet de Prey que la máquina está perdida o robada, el panel de control (en el mismo sitio Web) empieza a recibir reportes de todo tipo:

· Localización, según redes inalámbricas visibles (o GPS si el aparato tiene).

· Uso, que se ha modificado, que se está haciendo, etc.

· Webcam, si la computadora tiene Webcam se le puede pedir al programa que tome fotos, con la esperanza de identificar a quien la tenga.

Además, Prey ofreces una gama de acciones interesantísimas como esconder la información delicada, ver la información de número de serie y especificaciones y sonar una alarma.

Durante la instalación, Prey le recomienda hacer una cuenta de Invitado en su computadora, así, aunque su usuario principal esté bloqueado con password, el ladrón pueda usar la computadora y permitir que Prey haga los reportes.

Aunque el programa es gratis, tiene opciones de pago que incrementan la cantidad de reportes y otros beneficios.

Aún así, es importante aclarar que estos consejos no garantizan que se evite un robo, que se pueda recuperar la información o que información sensible no pueda ser vista. Todo está en cómo actúe cada persona frente a la situación.

Prey se puede encontrar aquí: http://preyproject.com (en inglés), y para instrucciones más detalladas de cómo usar Prey les recomiendo leer este post de lifehacker (en inglés): http://lifehacker.com/5643460 y ver este video:

Share on Facebook

Internet Explorer siempre ha tenido problemas de seguridad, la versión 6 que llegó a ser la más usada en el mundo, tiene serias fallas que facilitan la infección de una PC y limitan el uso adecuado, la versión 7  mejoró sus condiciones de usabilidad pero siguió teniendo problemas de seguridad, velocidad y estándares de diseño, luego vino una mejora sustancial: Internet Explorer 8, que no solo logró corregir muchos de los problemas de sus antecesores sino que se posicionó como uno de los browsers más seguros por su sistema de detección de phishing (engaños en Internet). Sin embargo, como hemos mencionado anteriormente, Internet Explorer (aunque sea la versión 8.) no es la mejor opción para navegar en Internet.

El último suceso, según reportan varios medios (ver Computerworld , F-Secure, y Technet de Microsoft) es el ataque a una vulnerabilidad que permite la ejecución de código maligno (o sea, virus) en una computadora. El problema se ha manejado de forma privada entre los desarrolladores de browsers, y aunque puede afectar a todos, Microsoft ha sido el único en no tomar acciones para corregir el problema.

Así que como siempre, les recomendamos usar Google Chrome o Mozilla Firefox en sustitución del Microsoft Internet Explorer, no solo verán mejoras de seguridad sino de velocidad y usabilidad.

Google Chrome se puede bajar aqui: Mozilla Firefox

Google Chrome se puede bajar aqui: Google Chrome

Un post antiguo bastante útil para mejorar el uso de las computadoras: http://blog.compasscr.com/2009/09/17/consejos-practicos-para-usar-su-computadora-parte-1/

Share on Facebook

Ejemplo de Malware: Centro de Seguridad Falso

Estos AntiVirus falso se caracterizan por identificar gran cantidad de virus, alarmar al usuario, y pedirle información de pago para supuestamente eliminar los virus. una vez que el usuario dió su información el programa sigue funcionando de la misma manera y el usuario puede tener ciento o miles de dólares cargados en la tarjeta de crédito. En este video (en inglés), Sophos explica los “FakeAV”, los riesgos y las vías de infección.

Otra característica peligrosa es la confusión que generan. Los AntiVirus Falsos explotan palabras y combinaciones como “Windows Security”, “360 Security”, “Update”, etc. para hacer creer que sus programas son legítimos y no presentan riesgos. Incluso imitan los colores de Windows o Norton Antivirus.

¿Cómo evitarlos?

Nunca baje un programa o acepte una escaneo de archivos que usted no esté haciendo conscientemente. El Malware se aprovecha de la ingenuidad y exceso de confianza por lo que es importante recalcar lo que siempre hemos dicho: en Internet, sea absolutamente desconfiado. Además, SIEMPRE use AntiVirus de marcas reconocidas, ya sea pagados como Norton, Eset, Karspersky, o gratis cómo Microsoft Security Essentials, Avast, AVG y AVIRA.

Puede leer más consejos de Seguridad y Privacidad en nuestros posts pasados. O específicamente en estos:

http://blog.compasscr.com/2009/09/17/consejos-practicos-para-usar-su-computadora-parte-1/

http://blog.compasscr.com/2009/09/16/nueva-version-de-google-chrome/

fuente: http://www.sophos.com/blogs/gc/g/2010/08/25/malicious-spammers-launch-major-fake-antivirus-attack/

Share on Facebook

Adjunto reportes (en inglés) de la amenaza por parte de Microsoft y Sophos.

Microsoft Security Advisory (2286198)

Vulnerability in Windows Shell Could Allow Remote Code Execution

Executive Summary

Microsoft is investigating reports of limited, targeted attacks exploiting a vulnerability in Windows Shell, a component of Microsoft Windows. This advisory contains information about which versions of Windows are vulnerable as well as workarounds and mitigations for this issue.

The vulnerability exists because Windows incorrectly parses shortcuts in such a way that malicious code may be executed when the icon of a specially crafted shortcut is displayed. This vulnerability can be exploited locally through a malicious USB drive, or remotely via network shares and WebDAV. An exploit can also be included in specific document types that support embedded shortcuts.

Microsoft is currently working to develop a security update for Windows to address this vulnerability.

We are actively working with partners in our Microsoft Active Protections Program (MAPP) to provide information that they can use to provide broader protections to customers.

Y la nota de Sophos que ofrece una herramienta para solucionar el problema.

The Windows Shortcut Exploit

What you need to know

What is the Windows Shortcut Exploit?

The Windows Shortcut Exploit, also known as CPLINK, is a zero-day vulnerability in all versions of Windows that allows a Windows shortcut link, known as an .lnk file, to run a malicious DLL file. The dangerous shortcut links can also be embedded on a website or hidden within documents.

The exploit works when you open a device, network share or WebDav point carrying an infection—you don’t need to click on anything for the exploit to work, even if you have AutoPlay and AutoRun disabled.

SophosLabs first saw this exploit at work through the rootkit W32/Stuxnet-B, which targets Siemens SCADA systems to discover the system default password.

While Stuxnet only affected Windows machines with infected USB drives plugged in, the Windows Shortcut Exploit in general can work through file shares and WebDav as well.

Am I at risk?

At the moment, there is no patch from Microsoft to fix this exploit; however, our free Windows Shortcut Exploit Protection Tool will block this exploit from running on your computer. Sophos customers are already protected from this exploit.

The Windows Shortcut Exploit affects all Microsoft-supported versions of Windows—anything newer than Windows XP SP3—as well as older versions.

How do I protect against this?

Download our free Windows Shortcut Exploit Protection Tool to block the exploit from running on your computer. If you’re an existing Sophos Endpoint customer, you are already safe from this exploit.

Microsoft’s officially recommends disabling icon rendering; however, this advice could make Windows significantly harder to use.

Fuente:

http://www.sophos.com/security/topic/shortcut.html

Share on Facebook

Ejemplo de correo engañoso (imagen Sophos)

Esta amenaza llega a un correo inocente como si fuera un correo de alguna de estas agencias y dice que contiene información relevante de la fomra de actuar de los terroristas ante pasajeros normales. El correo invita a abrir uno o varios links que supuestamente tienen información importante, sin embargo estos links lo dirigen a una página web infectada, o le bajan a la computadora un virus  clasificado Zbot/Zeus que se encarga de robar claves y passwords de Facebook, bancos,correos, entre otros. El funcionamiento de esta amenaza se puede observar en el siguiente diagrama de TrendMicro.

Funcionamiento de Malware Zbot/Zeus (TrendMicro)

Esta amenaza también se ha explotado con otras fuentes supuestamente confiables, o sea, dependiendo del país o región la supuesta agencia o grupo remitente puede variar, asi como el tipo de información.

Así que, como siempre, no sobra recomendar extrema precaución en internet y en este caso con el correo y no abrir correos que no está esperando. Nunca es malo ser desconfiado en internet… ya que si se ve sospechoso lo más seguro es que sea maligno.

Fuentes de información: http://threatinfo.trendmicro.com/vinfo/web_attacks/ZeuS_ZBOTandKneberConnection.html
http://www.sophos.com/blogs/sophoslabs/?p=10116

Share on Facebook

Además se recomienda la actualización de AIR y cualquier otro programa Adobe que tenga para asi reducir el riesgo a infectarse de Virus, dado que las amenazas de los últimos días se aprovechan de los programas de Adobe para causar daños.

Las nuevas versiónes de Flash y otros programas como AIR y Acrobat Reader se puede bajar de forma gratuita aqui: Flash | Acrobat Reader | AIR | ShockWave

Fuente: http://www.sophos.com/blogs/gc/g/2010/06/11/critical-patches-update-adobe

Share on Facebook

Terremoto Haiti

El terremoto de Haití es algo terrible, nadie lo duda, pero aprovechándose de la situación ladrones, terroristas y mafias se aprovechan de la buena voluntad de la gente.

Lo que hacen es que hacen anuncios o correos donde piden las donaciones a cuentas que según dicen llegan a los fondos de rescate de Haití, cosa que nunca pasa ya que es una estafa, y el dinero llega a financiar drogas, terrorismo u otro tipo de males.

También los distribuidores de malware se aprovechan de la situación para enviar archivos y links con malware para infectar la computadora de algún inocente que solo quería ayudar. F-Secure habla un poco más sobre eso: LINK

Lifehacker tiene un post excelente sobre como evitar las estafas y hacer que la ayuda llegue a las organizacones necesarias. LINK

También se recomienda donar a organizaciones como Unicef, Visión Mundial, y Cruz Roja. Y si piensa donar visite la página web de la organización directamente, no espere a que le lleguen correo ya que pueden ser estafas o virus.

Esta situación de las estafas generó grandes problemas durante los momentos de recolección de fondos para el rescate luego del Huracán Katrina y el Tsunami en el Océano Índico, donde se determino que los fondos de estafas que aseguraban ayuda para los desastres terminó en manos de Al Qaeda y otras organizaciones malignas.

Share on Facebook

Engaño en los correos

En los últimos días una amenaza bastante peligrosa está llegando a los correos, y que se aprovecha de la imagen y confianza de Microsoft para engañar y perdirle al usuario que baje e instale unas actualizaciones falsas, que en realidad infectan con virus y otro tipo de malware a la computadora, el e-mail del engaño, según Sophos, se ve así:

foto: Sophos Labs

Obviamente, la situación es delicada pues se aprovecha de la buena intención de los usuarios de actualizar su computadora para instala programas maliciosos. Ante esta amenaza, es importante recordar que la computadora, independientemente del Sistema Operativo que tenga, se debe mantener actualizada en todos los sentidos. En Windows acepte actualizaciones únicamente del programa que sirve para tal propósito “Windows Update” y nunca acepte propuestas de actualización de otro lugar. En Mac OS X y Linux, actualice únicamente por los canales oficiales.

Recordemos también que la actualización, por los medios adecuados, es el primer frente de defensa ante los Virus y Malware más modernos.

+ info específica de la amenaza: http://www.sophos.com/blogs/sophoslabs/v/post/7804

Share on Facebook

1. Limitar la información en su perfil.

Cuando usted hace un quiz, abre una galletita o juega en Facebook, toda la información (que no se haya limitado previamente) es visible a los que hicieron en juego, quiz o galletica, que a veces es vendida o usada para generar tráfico. Si usted limita su información, o controla bien su privacidad ( http://blog.compasscr.com/2009/09/24/la-privacidad-en-facebook/ ) su información no prodrá ser accesada o será menos.

2. Crear un perfil falso.

Otra opción que casi garantiza su seguridad es la creación de una nueva cuenta de Facebook con información esencial, no personal, para usarla solamente para juegos y aplicaciones. Esto le permite limitar por completo el acceso a su información real.

3. Monitorear y configurar la privacidad.

Revise y ajuste la configuración periódicamente asi está protegido contra cualquier problema. (ver post: http://blog.compasscr.com/2009/09/24/la-privacidad-en-facebook/ )

4. Actualice su Browser.

De esto he hablado miles de veces, use un Browser moderno y actualizado, preferiblemente Firefox, Chrome y si no lo puede evitar Internet Explorer 8. Para mas info sobre este punto puede ver los siguientes posts:

http://blog.compasscr.com/2009/09/17/consejos-practicos-para-usar-su-computadora-parte-1/

http://blog.compasscr.com/2009/09/16/nueva-version-de-google-chrome/

Share on Facebook

foto: sophos.com

Lo que pasa es que cuando se le hace el “jailbreak” a un iPhone se permite acceso a los sistemas básicos y el password de acceso es conocido por todos, por lo que es suficiente que el iPhone se encuentre en la misma red que uno infectado para contagiarse también.

Si usted le ha hecho el jailbreak a su iPhone es recomendable que entre a Cydia e instale y ejecute el app: MobileTerminal introducir el comando passwd y cambiar el password a algo mas seguro.

fuente: http://www.sophos.com/blogs/gc/g/2009/11/08/iphone-worm-discovered-wallpaper-rick-astley-photo/

Share on Facebook