Vulnerabilidad en Routers D-LINK Permite a los Hackers su Reconfiguración

Una reciente investigación sobre seguridad realizada por la prestigiosa empresa “ SourceSec” ha descubierto una vulnerabilidad de programación en los Routers D-Link, la misma permite a personas ajenas acceder a información privilegiada y editar la configuración del router sin tener que utilizar credenciales de “admin login”.

Esto se puede hacer porque los routers tienen una Interfaz administrativa adicional, que utiliza (HNAP) implemented Home Network Administration Protocol. Sólo el hecho de que el HNAP está presente en los routers es suficiente para permitir a los atacantes para eludir las características sesión CAPTCHA.

Captcha es el acrónimo de Completely Automated Public Turing test to tell Computers and Humans Apart (Prueba de Turing pública y automática para diferenciar máquinas y humanos).

Este es un típico test para la secuencia "smwm" que dificulta el reconocimiento de la máquina distorsionando las letras y añadiendo un gradiente de fondo. Se trata de una prueba desafío-respuesta utilizada en computación para determinar cuándo el usuario es o no humano. El término se empezó a utilizar en el año 2000 por Luis von Ahn, Manuel Blum y Nicholas J. Hopper de la Carnegie Mellon University, y John Langford de IBM.

La típica prueba consiste en que el usuario introduzca un conjunto de caracteres que se muestran en una imagen distorsionada que aparece en pantalla. Se supone que una máquina no es capaz de comprender e introducir la secuencia de forma correcta por lo que solamente el humano podría hacerlo. Como el test es controlado por una máquina en lugar de un humano como en la Prueba de Turing, también se denomina Prueba de Turing Inversa.

Los captchas son utilizados para evitar que robots, también llamados spambots, puedan utilizar ciertos servicios. Por ejemplo, para que no puedan participar en encuestas, registrarse para usar cuentas de correo electrónico (o su uso para envío de correo basura) o, más recientemente, para evitar que correo basura pueda ser enviado por un robot (el remitente debe pasar el test antes de que se entregue al destinatario).

Publicado por: Ing. Roiman Valbuena.

Fuente: (www.net-security.org/secworld.php?id=8727)

PERFILES DE PERSONALIDAD DIFERENCIALES DE LOS USUARIOS DE INTERNET

Por: José Luis Fernández Seara
Colaboradores: Mielgo Robles, M., Rodríguez Velasco F. J. y Rodríguez Velasco Mª S.

PROLOGO

Esta investigación forma parte de un Proyecto de Investigación mucho más amplio sobre los diferentes ASPECTOS PSICOLÓGICOS RELACIONADOS CON EL USO DE INTERNET.

Precisamente esta primera investigación sobre "Los perfiles de personalidad diferenciales de los usuarios de internet" consta de tres partes: A. Clasificación de los diferentes usuarios de Internet. B. Estudio empírico sobre el uso de Internet. Y C. Modelo de tratamiento psicológico específico para los usuarios adictos a internet.

Una segunda y tercera investigación están dirigidas ya al estudio de Personalidad y otros aspectos. Primero a la de un grupo muy diferenciado que sería los HACKERS (crackers, samurais,...) y que ya hemos incluido en nuestra clasificación como sujetos perturbadores (aunque a veces este término sería demasiado suave para sus acciones y daños ocasionados a otros), y segundo, al grupo de usuarios de internet llamados profesionales y laborales.

Una cuarta investigación (lejana por hoy) versaría sobre temas de uso de lenguaje, las mentiras, problemas de timidez, introversión social, vulnerabilidad psicológica,...

INTRODUCCIÓN

Fenómenos tales como el desarrollo vertiginoso de las nuevas tecnologías, de la globalización, el avance de las técnicas y de los medios de comunicación, la introducción del ordenador como una herramienta más de trabajo tanto en el medio laboral, como en el hogar, la globalización,... han hecho que INTERNET se haya convertido en algo muy usual y cotidiano para muchas personas, e interaccione de forma evidente en la vida de muchas personas. Incluso hay expertos en el tema que apuntan que hay más de cuarenta millones de usuarios en USA enganchados a internet (Hughes y Kimberly).

Pero sean unas causas u otras, lo cierto es que internet se convertido en un boom en nuestros días. Su facilidad de manejo, su versatilidad, la gran variedad de servicios y su atractivo,... hacen que hayan rebasado todos límites de lo imaginable, haciendo que cada día accedamos a el, más usuarios.

No obstante ante este fenómeno, hay que decir que algunos consideran que internet tiene muy pocos contenidos positivos y que influye demasiado negativamente en la vida y forma de ser de sus usuarios, que genera dependencia y conflictos. Por el contrario, muchos otros piensan que internet posee también muchísimos aspectos positivos, sobre todo si se sabe aprovechar con inteligencia y se sabe usar con ciertos criterios. Pues, internet aporta gran información sobre muchísimos y muy diferentes temas, puede ayudar a cierta socialización, a las relaciones variadas, directas y rápidas, a la desinhibición, al desarrollo de la imaginación, de la comunicación e los intercambios, al escape de la vida cotidiana,… y en muchos casos, al desarrollo personal.

I. PERFILES DE PERSONALIDAD DIFERENCIALES DE LOS USUARIOS DE INTERNET

A. CLASIFICACIÓN DE LOS USUARIOS DE INTERNET.

Estudios sobre todo de corte descriptivo apuntan a que podemos atribuir patrones de conducta y ciertos rasgos específicos a los diferentes usuarios de internet, y esto nos permitiría clasificarlos en un número pequeño de grupos (que no son ni exclusivos, ni independientes), y así analizar las características que los definen.

Entre los posibles grupos de usuarios de internet, vamos a señalar los siguientes:

- Profesionales. Aquellos que dedican largos períodos de su tiempo de trabajo al uso y manejo del ordenador (y de internet) para conseguir información, crear contenidos, programas,… Aunque ello puede crear adicción, lo más común es que con el tiempo ese trabajo se puede convertir en algo pesado y causar cierto hastío, tedio y desencanto.

- Aficionados. Hace referencia a muchos sujetos que están interesados en la red (bien por algunos aspectos de su trabajo, estudio,.. o bien por afición y gusto por internet) para recoger información, obtener nuevos programas, lograr ciertos propósitos, hacer intercambios, socializarse, relacionaarse,... pero todo ello en un marco de normalidad y sin establecer demasiados lazos con él, ni creándoles demasiadas interferencias en el desarrollo normal de sus actividades y obligaciones.

Dentro de este grupo tan amplio y variado podríamos hacer un subgrupo llamado "perfil de personas con problemas" que se referiría a sujetos relativamente solitarios, tímidos, con problemas sentimentales, al menos circunstancialmente, que buscan en el ordenador y la red un lugar de liberación de sus problemas y limitaciones.

- Perturbadores. Se trata de ciertos sujetos (que por muy diferentes motivos) entran en la red para perturbar, perjudicar, molestar, aprovecharse, causar daños y problemas,… a otros usuarios. Se puede incluir en este grupo tan heterogéneo (y sin mezclarlos): a los hackers, crackers, samuarais, gamberros, groseros,..

- ADICTOS. Se refiere a individuos que dependen demasiado de internet, piensan demasiado en el, les cree interferencias en el desarrollo normal de su vida, de sus actividades y obligaciones, sienten la necesidad de incrementar el tiempo de estar conectados al ordenador, tienen cierto síndrome de abstinencia, disminuyen el tiempo de actividad física, cambian los patrones del sueño,.. y buscan compensaciones que no encuentran fácilmente en su vida cotidiana (estimulación social, afiliaciones, reconocimiento,..

- Dentro de este grupo hay una serie de sujetos que podríamos denominarlos como “patológicos”, y que se trataría de individuos que, aún manifestando diferencias claras diferencias entre ellos, se caracterizarían por presentar una serie de rasgos de personalidad problemáticos, tales como ansiedad, timidez, inestabilidad, vulnerabilidad, introversión,… por tener posibles problemas sentimentales y grandes dificultades de relación social en el medio cotidiano normal, que estarían constantemente conectados y obsesionados por lo que pasa en internet, que vivirían pensando en casi todo lo momento en el, (manifestando así un síndrome de abstinencia), y a los que su dependencia de internet les podría interferir significativamente en sus actividades y obligaciones habituales (tales como son las relaciones sociales, profesionales, de familia, de pareja,…).

B. ESTUDIO DE INVESTIGACIÓN SOBRE EL USO DE INTERNET.

Nuestro trabajo ha sido dirigido a una población general de usuarios de inernet relativamente joven, hombres y mujeres (68% y 32% aprox.) comprendidas en edades de 15 a 30 años y que dedican más de 2 horas aproximadamente al día al uso y consulta de aspectos relacionados con internet.

En concreto hemos estudiado a 2025 internautas. La mayoría de ellos se conectan a internet más por afición y gusto que por cuestiones de trabajo (A este grupo dedicaremos un capítulo especial en la siguiente investigación). Por tanto, se trata de una muestra que representa mejor a los aficionados normales y con ciertos problemas y a los adictos (grupo dos y cuatro de la clasificación de los usuarios de internet o perfiles diferenciales de personalidad).

- Cuestionario. Para este estudio hemos elaborado un cuestionario (similar a otros, como el de K.S. Young) que consta de 15 items o preguntas, dónde hemos incluido preguntas sobre el tiempo diario o semanal dedicado al uso y consulta de internet, sobre los motivos que le llevan al uso de internet, sobre lo que le aporta ( conversaciones, amistad, relaciones, sentimientos,.. que le quita (evasiónes, fantasías, amigos, responsabilidades, oportunidades,..). Destacamos del grupo encuestado el alto nivel de sinceridad a las preguntas. A todos ellos, gracias.

- Resultados más destacados del estudio. Para incluir a un internauta en nuestro estudio debía dedicar al menos dos horas o doce semanales a estos menesteres. Así un cincuenta por cien de los sujetos dedicaba más tres horas y media y un 11%, más de siete horas diarias.

Por último, está el grupo llamado ADICTOS, representado en nuestra muestra por un 2,5% y que se trataría de unos cuarenta sujetos (al que hemos definido por criterio objetivo: más de nueve horas diarias o más de 70 horas semanales conectados a internet -aunque tal vez se podría rebajar a 50/60h)- al uso de internet en sus diferentes facetas y campos: chateo, mood, cibersexo,...).

- Conclusiones más relevante del estudio de investigación. Hemos constatado en nuestra investigación que un alto porcentaje (31,5%) de la muestra manifiesta una gran dependencia de internet.

Dedica más de cinco horas diarias a conectarse a internet, con lo que ello implica. Creemos que les cuesta desconectar de física y psicologicamente del ordenador y de la red (supondría una falta de autocontrol como señalan otras investigaciones y especialistas en el tema), buscan excusas para co-desconectarse, manifiestan cierta timidez (diríamos una cierta introversión o dificultad social), cierto grado de irritabilidad y ansiedad sin no consiguen conectarse o sucede cierto retraso en hacerlo, manifiestan cierto grado de vulnerabilidad psicológica (poca tolerancia a la frustración, irritabilidad, mal humor,.... Pero es el grupo de adictos dónde se acentúa mas la dependencia, el síndrome de abstinencia, la falta de control, la pérdida del principio de realidad y la introversión social.

C. MODELO DE TRATAMIENTO ESPECÍFICO PARA LOS ADICTOS A INTERNET.

- IAD: Trastorno o síndrome de adicción a internet Aunque perezca, a priori, fuerte hablar y decir que puede darse un síndrome de dependencia o de adicción a internet, dado que necesitamos estudios e investigaciones que avalen estas hipótesis y más programas específicos de rehabilitación, no obstante, podemos decir, sin duda, que todo apunta a que se trata de una adicción o dependencia que se caracteriza sobre todo por una falta de control personal, por un uso abusivo del ordenador, por una excesiva dependencia de internet (a los chats, moods, ciberespacio, u otros), y por una distorsión de los objetivos personales, familiares o profesionales. Así el Center for Online Addiction describe esta adicción sobre todo como una falta de control por parte del sujeto y en un conjunto de síntomas a nivel fisiológico, cognitivo y conductual.

Entre los síntomas más importantes destacan la ansiedad, la agitación psicomotriz, la irritabilidad, los cambios en los patrones del sueño, la vuelta a pensamientos recurrentes, a las fantasías y sueños sobre internet.

- Modelo de tratamiento psicológico específico para Adictos a Internet. Nuestro modelo se contextualiza dentro de un enfoque cognitivo-conductual. Es decir actuaremos en los pensamientos y actuaciones del adicto. Va dirigido sobre todo a: reducción inmediata de horas de conexión, al control de ansiedad, de la inquietud, al control de los pensamientos, y a la atención diaria a la adquisición de responsabilidades (laborales, académicas, familiares, amistades/pareja.

EPILOGO Creemos que con este avance de investigación ya entramos de lleno en los perfiles psicológicos de los usuarios de internet y sobre todo en el grupo de adictos, primero conociendo su problemática personal, y en segundo lugar ofreciéndoles un modelo operativo de ayuda profesional, que sin duda algunos de ellos la necesitaría.

Por: José Luis Fernández Seara
Colaboradores: Mielgo Robles,
M., Rodríguez Velasco F. J.
y Rodríguez Velasco Mª S.

Mcafee revela la guerra psicológica que utilizan los ciberdelincuentes.

Seguridad. Nuevas investigaciones revelan que los juegos psicológicos son usados por los ciberdelincuentes para persuadir a la naturaleza humana y conseguir dinero e información personal.

McAfee ha anunciado las conclusiones de una nueva investigación que revela cómo el crimen organizado emplea juegos psicológicos para engañar a los usuarios para hacerse con su dinero y sus datos personales.

La investigación sobre las tendencias de los ciberdelitos, encargada por McAfee en asociación con el profesor Clive Hollin, de la Universidad de Leicester en el Reino Unido, indica que en los últimos timos por e-mail los ciberdelincuentes están persuadiendo nuestras vulnerabilidades psicológicas más profundas. Los ciberdelincuentes están constantemente utilizando astutas técnicas como asumir una identidad que genere confianza, o diálogos amables dirigidos hacia emociones humanas como miedo, inseguridad y avaricia.

Un primer ejemplo en el informe muestra cómo, con frecuencia, la curiosidad puede suponer nuestra perdición y una ganancia inesperada para los ciberdelincuentes. Más de 400 personas hicieron clic en el enlace de un anuncio on line en el que se prometía que, al hacerlo, tendría lugar una transmisión inmediata de un virus al ordenador.

El informe destaca cómo los cibercriminales trabajan duro para reducir nuestro escepticismo y convencernos de que el correo electrónico es legítimo. Ellos usan una combinación de trucos o juegos psicológicos para hacernos creer que el mail es de un amigo o una entidad fiable como lo son las compañías de tarjetas de crédito.

Para captar nuestra atención y hacer destacar al correo electrónico, utilizan titulares que apelan a nuestros intereses personales como "compras" o "citas".

El informe muestra también cómo los típicos timos por e-mail contendrán elementos esenciales que ponen en marcha y explotan las vulnerabilidades psicológicas humanas que nos conducen o nos influyen para hacer algo - por ejemplo, "pinche aquí y obtendrá una recompensa" o "pinche aquí para evitar algo que no quiere que ocurra".

Según el profesor Clive Hollin: "En condiciones propicias - poder de persuasión del comunicado y combinación idónea de factores coyunturales y personales - la mayoría de las personas pueden ser vulnerables a una información engañosa. Esto es así para todos los usuarios de ordenadores, sea cual sea su nivel de experiencia: si bien la ingenuidad puede explicarlo en parte, también los usuarios avanzados pueden ser embaucados y sugestionados por mensajes engañosos".

Artículo completo disponible en:
http://newsroom.mcafee.com/article_display.cfm?article_id=2642

Al mercado de la seguridad no le afecta la situación económica

A nivel mundial el mercado de software de seguridad alcanzó los 13.500 millones de dólares en 2008, casi un 19% más respecto al año anterior, según Gartner.

Por Rosalía Arroyo [24-06-2009]

Aunque muchas industrias están sufriendo lo que algunos han denominado la mayor depresión desde la Segunda Guerra Mundial, la del software de seguridad parece mantenerse al margen de la actual situación económica, según la empresa de investigación de mercado Gartner.

A nivel mundial el mercado de software de seguridad alcanzó los 13.500 millones de dólares en 2008, casi un 19% más respecto al año anterior. La creciente demanda de productos basados en aplicaciones, particularmente en el segmento de seguridad de correo electrónico y gateways securizados son los responsables de ese crecimiento, dice Gartner. La economía, sin embargo, ha hecho que sea más difícil cerrar las ventas.

“Durante las épocas de incertidumbre económica y restricción de presupuestos se incrementa el valor de la efectividad de los costes y las medidas de seguridad, y esto impacta en ciclos de venta más lentos”, afirma Ruggero Contu, analista de Gartner. La ventaja, según Contu, son los nuevos métodos como las ofertas basadas en Software as a Service (SaaS), que incrementarán el interés de las pymes y que mantendrán el crecimiento en 2009.

Las cinco principales compañías de seguridad han incrementado sus ingresos en 2008, pero sólo McAfee incrementó su cuota de mercado, y sólo un 0,1%. Symantec perdió algo de cuota de mercado, desde el 24,4% de 2007 al 22% de 2008. Por regiones Europa del Este es la de mayor crecimiento, un 35%, aunque Norteamérica y Europa Occidental siguen contabilizando más del 76% del mercado.

Gartner prevé que el mercado de software de seguridad continuará creciendo en 2009, aunque menos, probablemente un 9%.

Venezuela Inaugura Diplomado en Defensa y Delitos Informáticos

Escrito por vencert.gob.ve

Jueves 29 de Enero de 2009 09:51

vencert.gob.ve

Inaugurado Diplomado en Defensa y Delitos Informáticos que será dictado conjuntamente por SUSCERTE con el IUMCOELFA

Martes, 27 de Enero de 2009 11:34

Caracas, 26/01/09. Prensa/SUSCERTE. Con el objeto de capacitar a los participantes en los principios técnicos, estrategias y práctica de la defensa electrónica y los delitos informáticos, se dio por inaugurado el Diplomado en Defensa y Delitos Informáticos, el cual tendrá una duración de 230 horas académicas y será dictado de manera conjunta por la Superintendencia de Servicios de Certificación Electrónica (SUSCERTE) y el Instituto Universitario Militar de Comunicaciones y Electrónica de la Fuerza Armada Nacional (IUMCOELFA).

El Acto de inauguración tuvo lugar en las instalaciones del Complejo Cultural Simón Bolívar, ubicado en el Fuerte Tiuna, y fue presidido por el General de Brigada (EJ) Enrique José Díaz Nieves, Director del IUMCOELFA, la Lic. Niurka Hernández, Superintendente de SUSCERTE, Jefes de División del Instituto y personalidades Militares.

En sus palabras de apertura. Niurka Hernández destacó los alcances que tendrá este diplomado en la formación, capacitación y sensibilización del talento humano en materia de seguridad de la información y guerra electrónica al servicio de la nación, lo cual le permitirá a los egresados la detección, el análisis y el desarrollo de estrategias ante los incidentes de seguridad telemática.


Hernández enfatizó acerca de la necesidad de mejorar los esquemas de seguridad de la nación a través de la implementación de recomendaciones, normas y estándares. Finalmente, concluyó sus palabras, invitando a los presentes a realizar el Diplomado para “convertirse en un instrumento multiplicador del conocimiento que coadyuve en el desarrollo y transformación tecnológica del estado venezolano”.

Por su parte, el General de Brigada (EJ) Enrique José Díaz Nieves, Director del IUMCOELFA, recalcó que el Diplomado cubrirá los objetivos propuestos en la formación y dotación de conocimientos al personal que tiene la responsabilidad de atender las necesidades del estado y de la institución armada en materia de seguridad de la información.

“SUSCERTE, emerge como punta de lanza en América Latina, basada en sus leyes, para luchar en un mundo de guerras sin restricciones”, resaltó el General Díaz Nieves. Concluyó sus palabras, exhortando a los presentes a “unirnos como civiles y militares, hacer un tejido electrónico y estar preparados para formar fuerzas de coalición y tareas combinadas”.

El acto culminó con la imposición de medalla y barra de honor a altos oficiales de la Fuerza Armada.

Ofrecen herramientas para esconder malware en .Net

Net-sploit puede esconder rootkits en un marco de trabajo, intocable por el software de seguridad pero desde donde puede afectar a la mayoría de las aplicaciones.

Por Rosalía Arroyo [20-04-2009]

Según recoge Infoworld, unos investigadores ha lanzado una herramienta actualizada que puede simplificar la localización, difícil de detectar, de un software malicioso en Microsoft .Net de los ordenadores basados en Windows.

La herramienta, llamada .Net-sploit 1.0, permite hacer modificaciones en .Net, una pieza de software instalada en la mayoría de las máquinas Windows que permite a los ordenadores ejecutar ciertos tipos de aplicaciones. Microsoft tiene una suite de herramientas de desarrollo para que los programadores puedan escribir aplicaciones compatibles con el marco de trabajo .Net.

Estas herramientas les ofrece la ventaja de escribir programas en varios lenguajes de programación de diferentes niveles que funcionarán en un ordenador.

Los que hace .Net-Sploit, es permitir a un hacker modificar el marco de trabajo .Net e insertar un software malicioso del tipo rootkit en un lugar intocable por el software de seguridad y donde muy pocos pensarían en mirar, ha dicho Erez Metula, un ingeniero de seguridad de software.

Un rootkit es “una herramienta, o grupo de herramientas, cuya finalidad es la de esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, claves de registro y puertos que permiten al intruso mantener el acceso a un sistema”, según definen en Wikipedia.

Esencialmente .Net-Sploit permite a un atacante reemplazar una pieza legítima de código dentro de .Net por otra maliciosa. Ya que hay algunas aplicaciones que dependen de partes de .Net para poder funcionar, significa que el malware puede afectar a la función de muchas aplicaciones.

Por ejemplo, una aplicación que tiene un mecanismo de autenticación podría ser atacada si el .Net manipulado intercepta el nombre de usuario y contraseñas y las envía a un servidor remoto.

La ventaja de corromper el marco de trabajo .Net es que un atacante podrían mantener el controla de la máquina clandestinamente durante largo tiempo.
Según recogen en Infoworld, a Microsoft Security Response Center se le notificó este tema en septiembre de 2008. La posición de la compañía es que no hay ninguna vulnerabilidad en .Net.