Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

viernes, 14 de diciembre de 2007

UTILIZAN LA CRISIS DE BIRMANIA COMO RECLAMO PARA EXTENDER TROYANOS

Sophos, líder mundial en seguridad informática y sistemas de control, ha advertido a los usuarios que, aprovechando la preocupación internacional sobre las manifestaciones en Birmania, circula por la red un mensaje de correo electrónico malicioso con palabras del Dalai Lama de apoyo a monjes y otros manifestantes.

Sin embargo, se trata de un ataque malicioso diseñado para infectar ordenadores personales. En dicho mensaje, puede leerse lo siguiente:

Queridos amigos y compañeros, por favor, lean el mensaje adjunto de Su Santidad el Dalai Lama en apoyo a las recientes manifestaciones en defensa de la democracia que están teniendo lugar en Birmania. Esto es para su información y puede ser distribuido como consideren oportuno.

Mis mejores deseos
Tezin Takla
Secretario Adjunto
Oficina de Su Santidad el Dalai Lama

Cuando los usuarios lo abren, el documento adjunto (con el nombre: hhdl burma_001.doc) intenta aprovechar una vulnerabilidad de Word que a su vez intenta descargar un troyano en el ordenador de la víctima. Sophos detecta proactivamente el documento malicioso como Exp/1Table-B y el troyano que trata de descargarse como Agent-CGU.

El mensaje incluye enlaces a la web oficial del Dalai Lama


El mensaje incluye enlaces a la web oficial del Dalai Lama.

Los expertos de Sophos han visto que, para dar más credibilidad al mensaje y animar a un número mayor de víctimas a abrir el documento adjunto, se incluye el enlace oficial a la página web del Dalai Lama.

"Se dice que el régimen birmano ha tratado de evitar que estas noticias salgan del país cerrando cibercafés y controlando el acceso a la red de los ordenadores de los usuarios. La gente de todo el mundo quiere saber sobre la situación del país y apoyar el movimiento por la democracia, por lo que este tipo de correos, con un mensaje del Dalai Lama, son muy tentadores", afirma Graham Clucley, Asesor tecnológico senior de Sophos. "El uso de temas de actualidad para engañar a los usuarios imprudentes a abrir y descargar códigos maliciosos es uno de los trucos más viejos, pero obviamente todavía siguen funcionando o los hackers no seguirían utilizando este método. Todos deberíamos usar nuestro sentido común y cuestionar la legitimidad de este tipo de correos recibidos de la nada".

Sophos recomienda a las compañías protegerse con una solución integrada que pueda controlar el acceso a la red y defenderse de ataques de spam, hackers, programas espía y virus.

Fuente: http://esp.sophos.com/pressoffice/news/articles/2007/09/burma.html?_log_from=rss

Ver más

HABEAS DATA: 10 PREGUNTAS SOBRE LA INTIMIDAD
Está casada hace 9 años con Roberto GONZALEZ de 39 años, contador de BIKINI S.A. y tiene 3 hijos, Soledad de 7, Francisco de 6 y Felipe de 4 años que van al Colegio Santa Inés de Martínez. Son socios de Medicina Privada S.A y pagan $ 850,00 por el grupo familiar. Tiene cuenta corriente, con un descubierto autorizado de $ 21.000,00 en el Banco Suizo, y opera con VISA y MASTERCARD con un giro total de $ 6.500,00 mensuales.
En su declaración de Bienes Personales incluyó un Departamento en Pinamar, un terreno en Pilar y u$s 84.000 en moneda extranjera. Le gustan los canarios y los peces y practica aeróbic en el gimnasio de Libertador al 1542; los jueves, por la noche, va al supermercado de la esquina de su casa y compra verduras, carne, alimento para peces ,artículos de tocador y tintura roja para el pelo.
Esta semana tramitó un préstamo en el Banco para construir una casa en Pilar y se encuentra morosa con la patente de su Vectra. Está adherida a SateliteTV y le gusta ver películas condicionadas los miércoles por la noche.......

Todos estos son datos personales de diversos eventos que se registran en el mercado, de la vida diaria de la supuesta CAROLINA.

CMS: Considerando su conocimiento sobre el tratamiento de los datos personales le quiero formular algunas preguntas ligadas a la vida diaria de las personas y a la invasión de su vida privada:

· De dónde obtienen tantos datos las Empresas que se dedican a la venta de los mismos?
· Quién regula la actividad de estas Empresas y quién protege al ciudadano común de tanta invasión a su privacidad?
· Porqué se comercializan datos económicos, sobre todo los sueldos y de donde se obtienen?
· Quiénes son los compradores de los datos que Uds. colectan? Es legal la venta directa a cualquier persona?
· Cómo puede hacer una persona común para conocer los datos que se poseen de ella y en caso de no ser correctos como se hace para modificarlos?
· Con respecto a los datos negativos, cuantos años se guardan en la Base de Datos de su Empresa?
· Porqué cuando una persona cancela una deuda, no se la elimina de la Base de Datos?
· Que se puede hacer para evitar las llamadas telefónicas a nuestros domicilios a cualquier hora, y el correo spam que recibimos en nuestras PCs?
· Porqué se conoce tan poco la Ley de Habeas Data?
· Cuál es la situación de la Argentina con respecto a la Protección de los Datos Personales comparado con los países de la Región?

RM: intentaré responder lo mas claro y conciso posible a su batería de preguntas, y en particular, trataré de clarificarle varios aspectos que hacen a mi actividad que es el tratamiento de datos en una Central de Riesgo Crediticio cuya trayectoria es de 49 años de servicio.

Para responder su primer pregunta es importante aclarar que como en muchas actividades económicas de nuestro País hay Empresas que tienen políticas de "Buenas Prácticas" en la recolección y tratamiento de los datos y otras Empresas cuyo objetivo es colectar y vender todo lo que resulte rentable, con prescindencia de la legalidad de su accionar. Aclarado este punto, la obtención de datos - en nuestro caso -, proviene de fuentes públicas tales como: Bancos y Entidades Financieras, Juzgados Comerciales Nacionales y Provinciales, Tarjetas de Crédito, Registros de Propiedad Inmueble y Automotor, Boletines Oficiales de la Capital Federal y de las Provincias, Administración Federal de Ingresos Públicos, Aduana, Banco Central de la República Argentina, Superintendencia de Riesgo del Trabajo, ANSES, Inspección General de Justicia y finalmente los datos aportados por nuestros Clientes.

Con respecto a su segunda pregunta, no existe un Ente Regulador, pero si existen Asociaciones o Cámaras como la AMDIA (Asociación de Marketing Directo e Interactivo de Argetina) o la CEIC (Cámara de Empresas de Informes Comerciales) donde se nuclean Empresas que tratan profesionalmente los datos y cuentan con Códigos de Conducta y con pautas de autorregulación de la actividad. A partir de la sanción de la Ley 25.326 mas conocida como Ley de Habeas Data, cuyo objetivo es entre otros "garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre" se crea también un Órgano de Control, con las siguientes funciones y atribuciones:
· Asistir y asesorar a las personas que lo requieran para la defensa de sus derechos.
· Dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por esta Ley.
· Controlar la observancia de las normas sobre integridad y seguridad de datos por parte de los Archivos, Registros o Bancos de Datos y verificar infracciones al cumplimiento de esta Ley.

La respuesta referida a porque se vende el sueldo de las personas, tiene varias aristas; en primer lugar hay que recordar que el origen del mismo es muy factible que provenga de algún sector de la Administración Pública y en ese sentido hace pocos días el Titular de la ANSES inició un sumario administrativo interno, por la fuga de 12.000.000 de datos de su dependencia, que tuvieron como destino una Empresa privada, según informaron los medios. Este dato es muy usado por quienes otorgan créditos o prestan dinero, por quienes realizan segmentaciones socioeconómicas y por quienes están en la actividad de la cobranza y, con el advenimiento de la Ley, es factible que se vaya corrigiendo esta práctica ilegal, básicamente por tres motivos:
· En primer lugar por las denuncias y reclamos del ciudadano común.
· En segundo término, por diversos artículos contenidos en la Ley, en particular , el Art. 11 que establece que "el cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y éste responderá solidaria y conjuntamente ante el Órgano de Control y el titular de los datos...", esto debe interpretarse que tanto el "comprador" como el "vendedor" de los datos de sueldos serán solidariamente responsables.
· Finalmente hay un aspecto muy importante que se denomina "IMAGEN COMERCIAL" y que ningún empresario quiere perder por desarrollar MALAS PRACTICAS en su actividad; es muy difícil evaluar el impacto económico de salir en los diarios y medios de comunicación por hechos de este tipo. Los usuarios de nuestros servicios son en su mayoría Empresas o Entidades Financieras que compran datos personales de personas físicas ó jurídicas para ser utilizados por sus áreas de Marketing o la de Créditos y Cobranzas, es decir, se trata de proveer datos que ayuden a contactar a nuevos clientes o a tener información sobre la solvencia económica y patrimonial de quienes solicitan un crédito y de cual ha sido su historial crediticio. Fidelitas S.A., no comercializa sus datos por medio de locutorios u otros establecimientos que atienden al público, por su filosofía en el tratamiento y comercialización de sus productos, pero ello no implica que las Empresas que si lo hacen estén al margen de la Ley; la condición que establece la norma es que quede identificada la persona que realizó la consulta.

Para responder a su quinta pregunta, le comento que la Ley contempla lo que se denomina el "Derecho de Acceso", art. 1: "... para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre...| y en particular el art. 14 de la norma establece: "... el TITULAR de los datos, previa acreditación de su identidad, tiene DERECHO a solicitar y obtener información de sus DATOS PERSONALES incluídos en los bancos de datos públicos o privados........el RESPONSABLE del archivo debe proporcionar la información solicitada dentro de los DIEZ DIAS corridos de haber sido intimado fehacientemente.........;el DERECHO DE ACCESO solo puede ser ejercido en FORMA GRATUITA cada SEIS MESES........."

Con referencia a su inquietud sobre los datos erróneos o desactualizados también es un tema complejo: en primer lugar hay que entender que muchas veces el "dato de origen" erróneo proviene de un Boletín Oficial, de una Institución Bancaria, de un Juzgado Comercial, de un CLIENTE o de un padrón de CUIT suministrado por la AFIP; Fidelitas S.A., ha desarrollado software de validación y consistencia de la información con el objeto de minimizar estos errores. De cualquier manera, invertimos permanentemente en nuevas tecnologías para mejorar nuestro servicio y para cumplir con la ley que establece en su art. 4: "...los datos total o parcialmente INEXACTOS, o que sean INCOMPLETOS, deben ser suprimidos y sustituídos, o en su caso COMPLETADOS, por el responsable del archivo cuando se TENGA CONOCIMIENTO DE LA INEXACTITUD O CARACTER INCOMPLETO DE LA INFORMACION..." Con respecto a la guarda de los datos negativos, de su siguiente pregunta, Fidelitas S.A. cumple estrictamente lo que indica la Ley: "...solo se podrán archivar, registrar o ceder los datos personales que sean significativos para evaluar la SOLVENCIA económico-financiera de los afectados durante los últimos CINCO AÑOS. Dicho plazo se reducirá a DOS AÑOS cuando el deudor cancele o de otro modo extinga la obligación..." En mi criterio, el plazo de 5 años previsto por el legislador como "derecho al olvido", es razonable para las personas que no pudieron pagar su deuda, aunque este criterio es solamente para la guarda de los datos, dado que para el acreedor, la deuda continúa siendo exigible. Su pregunta relacionada a porque cuando una persona paga su deuda morosa sigue figurando en la Base de Datos, en principio se la respondo con otra pregunta: ¿ a Ud. le gustaría conocer el comportamiento de pago de la persona a la cual le va a prestar dinero? En la Argentina como en todo el mundo es imprescindible conocer el comportamiento tanto positivo como negativo de las personas y esa transparencia le permite al sistema poder establecer diferentes tasas de interés de acuerdo al riesgo y comportamiento histórico de sus Clientes. Las llamadas telefónicas y el incremento de los spam, de su octava pregunta, son un problema cultural que hay que encarrilar, y humildemente recomiendo:
· Restringirse en la participación de sorteos de todo tipo, incluyendo los datos de email y teléfonos, salvo indicación clara del organizador del evento sobre el tratamiento de sus datos personales y su destino, de acuerdo a la Ley 25.326.
· No tirar los tickets de sus consumos con la Tarjeta de Crédito en la vía pública; cuando tire estos comprobantes o estados de cuenta bancarios, asegúrese de destruir la parte del documento donde aparece el número de la cuenta y su nombre.
· No proporcionar información bancaria ni de sus tarjetas de crédito por teléfono, salvo que Ud. pueda verificar la legitimidad de su interlocutor
· Hacer negocios por Internet siempre y cuando el comerciante tenga un sitio "seguro" representado por una llave o un candado cerrado, cuente con Políticas de Privacidad, sean claras las ofertas, forma de entrega del producto o servicio, políticas de garantías, políticas de cancelación o devolución, etc. Se debe verificar la dirección del establecimiento y su número de teléfono
· No responder emails enviados desde cualquier Empresa de Tarjetas de Crédito o Institución Bancaria o Financiera en el que le informan sobre cualquier inconveniente y le solicitan sus datos para solucionarlo.
· No enviar por email información confidencial, como números de cuentas, número de PIN, passwords, números de tarjeta de crédito, etc.
· Ante la recepción de ofertas por email, no conectarse al link adjunto; si el email ofrece la opción de eliminar su nombre de la lista, este hecho puede ser utilizado para validar su correo electrónico y finalmente, se debe cambiar frecuentemente la contraseña.

Para finalizar con sus últimas dos preguntas, existen varios motivos que fundamentan el desconocimiento de la ley de Habeas Data; en mi opinión es una norma "moderna" que hace hincapié en el "derecho al honor y a la intimidad de las personas" y son aspectos culturales originarios de otros pueblos, en particular europeos, que tienen mayor entrenamiento y respeto por el cumplimiento de las leyes y también toman naturalmente la sanción para quienes las incumplen, con multas de montos importantes , dependiendo de la gravedad y de la reincidencia del hecho. Argentina es el primer País de la Región en incorporar esta doctrina y es de esperar que con el tiempo adopten las partes (compradores y vendedores de datos) las
BUENAS PRACTICAS que tanto se declaman.
Finalmente, es muy importante el rol que actualmente juega el organo de Control que es la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.

Fuente: http://www.emprendedoresnews.com

Ver más