Existen dos módulos muy interesantes como son el módulo Anti-X, que filtra:

• Spyware
• URLs
• Virus
• Ficheros maliciosos
• Spam
• Pishing

El otro módulo es el módulo AIP, e incorpora filtros para:

• Hacking
• Gusanos
• Troyanos
• Zombis

Queda por decir, que estos dos módulos son módulos hardware con ficheros de firmas que se actualizan contínuamente, y tienen una subscripción anual. Igualmente decir, que solo se puede instalar uno de ellos en cada ASA, ya que se da por entendido que uno va destinado a la protección frente a internet y el otro para proteger el núcleo de las empresas.

Especificaciones técnicas:
Especificaciones del 5510:

• Rendimiento de hasta 300 Mbps actuando como firewall.
• Rendimiento con filtrado de ataques con el modulo AIP de 150Mbps.
• Rendimiento VPN de hasta 170Mbps.
• Sesiones concurrentes 64000 solo con firewall y 32000 con modulo AIP
• 50 VPNs simultáneas
• 3 Puertos Fast-Ethernet + 1 Puerto de gestión

Especificaciones del 5520:

• Rendimiento de hasta 450 Mbps actuando como firewall.
• Rendimiento con filtrado de ataques con el modulo AIP de 225Mbps.
• Rendimiento VPN de hasta 225Mbps.
• Sesiones concurrentes 130000
• 300 VPNs simultáneas
• 1 Puertos Fast-Ethernet + 4 puertos Gigabit

Especificaciones del 5540:

• Rendimiento de hasta 650 Mbps actuando como firewall.
• Rendimiento con filtrado de ataques con el modulo AIP de 450Mbps.
• Rendimiento VPN de hasta 325Mbps.
• Sesiones concurrentes 28000.
• 500 VPNs simultáneas
• 3 Puertos Fast-Ethernet + 1 Puertos Gigabit

Una vez aquí podemos elegir entre quedarnos seguir, si pulsamos sobre el enlace que nos ofrece o dejar las cosas como están y no arriesgarnos a ser infectados por algún Spyware. También podemos obtener más información acerca de la web a la que vamos a acceder haciendo clic sobre otra de las opciones que nos ofrece.

El listado de páginas potencialmente peligrosas se ofrece a través de un proyecto denominado StopBadware.org, que está patrocinado y dirigido por empresas tan importantes como Google, Lenovo y Sun Microsystems.

Parece que lo del Spyware es cada vez una plaga que se extiende más y más, este que voy a citar ahora es uno de los primeros que veo que están en perfecto Español.
El funcionamiento del citado Spyware, es que se mete en el Messenger, y envía mensajes a través del mismo para que otros usuarios hagan click y accedan, el mensaje es el siguiente:

Mira que fotos, y luego te enlaza directamente a una página de Gratisweb.com y a un fichero foto.cmd

Lo que provoca, pues funcionamientos erróneos de todo el sistema, cierre de ventanas sin sentido, y que envías el citado mensaje a todos los usuarios.

Los datos del whois, y por tanto del dueño del dominio son:

Admin ID: COCO-58575
Admin Name: Marta Isern
Admin Organization: J.ISERN PATENTES Y MARCAS S.L
Admin Address: Avd. Diagonal 463,bis-2o
Admin City: Barcelona
Admin State/Province: BARCELONA
Admin Postal Code: 08036
Admin Country: ES
Admin Phone Number: +34.933637900
Admin Fax Number: +34.933637902
Admin Email: internet@jisern.com

Pero hay que tener en cuenta, que el dueño del dominio no es el responsable, ya que se trata de una web que ofrece espacios personales, y ha sido usada por alguien para alojar parte del código malicioso sin ofrecer datos suyos.

Asi que cuidadito con lo que abrimos por el MSN!

Normalmente tienen dos formas de actuar:

La primera de ellas es intentando realizar las compras mediante los TPVs virtuales de las tiendas online. Usan tarjetas robadas o falsificadas para intentar pagar. Si el comercio online, no requiere el uso de tarjetas securizadas (tarjetas que requieren una clave especial para poder realizar compras por internet, que ha de ser solicitada en su entidad bancaria) y no superan el límite máximo de las mismas, el pago se realiza con éxito.

Después el “estafador” puede realizar dos cosas, si la compra no es demasiado cara y está en España, pone como dirección de envío una nave abandonada de un polígono industrial o algo similar, ofreciendo al comercio online su teléfono para que el transportista se ponga en contacto con el para quedar y entregar el paquete.Si la estafa, es a nivel internacional, pueden incluso hablar con el comercio online, para negociar el pago de los portes y pagarlos nuevamente con tarjeta de crédito.Con todo esto, el comercio online, sino se huele nada raro, pues simplemente realiza el envío donde el cliente lo ha solicitado y la estafa queda consumada.

En estos casos, el que tiene todas las de perder es el comercio, ya que es el responsable de la venta, y al no requerir que la tarjeta esté securizada, no tiene credenciales para demostrar que dueño de la misma es realmente quien realizó el pedido y el pago. El dueño de la tarjeta suele tener hasta seis meses para realizar una reclamación por fraude, y por regla general no debería haber problemas para recuperar su dinero.

La segunda de las formas, es parecida a la primera, pero no exactamente igual. Lo primero que hacen es mediante un robot de busqueda especializado en capturar direcciones de e-mail, realizan un barrido por todas las tiendas online que puedan. Una vez que tienen las direcciones de e-mail de las citadas tiendas online, les envían un correo como el siguiente:

“SICOGI SHOP

1. 01 BP 1221 ABIDJAN 01
   Zone 4 C Rue terrasson immeuble turquoise
   IVORY COAST.Senor/ Senora ,
   Somos la empresa SICOGI SHOP situada en africa del oeste mas preccisamente en Cote D’ivoire, en efecto deseamos tener relaciones inter-societad con vosotros mediante un pedido a distancia razon por la cual enviamos este e-mail, y para ademas conocer vuestro campo de accion :
   1 - Podeis exportar mercancias hacia Africa VIA UPS o FEDEX.
   2 - Teneis un termial de pago por Tarjeta de Crédito (VISA CARD / MASTER CARD) a international TPV
   Por favor enviar la respuesta a este mail: sicogi_shop@yahoo.fr para podemos hacer nuestro pedido .
   CORDIALEMENTEMr ERIC KODJO
   Tel : +225 0849 7537
   +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
   LES ETS KODJO S.A.R.L
   Zone 4C Rue terrasson immeuble turquoise
   01 BP 1221 ABIDJAN 01
   IVOIRY COAST
   Dear Sir,We are SICOGI SHOP located in West Africa (Côte d’Ivoire), indeed we will wish to have inter-company relations with you by order,
   this is why we address this mail to you, and also to know your sphere of activities:1 - Can you export your products: towards Africa by FEDEX or UPS
   2 - Have you an Electronic Terminal of international payment for credit cards ?
   NB Please confirm all this by E-mail to us: sicogi_shop@yahoo.fr so that we can make our order
   CORDIALLY
   Mr ERIC KODJO”

Como podemos ver, lo que intentan es exactamente lo mismo que con el primer “truco”, pero esta vez, como probablemente el pago por tarjeta esté securizado en el comercio, o directamente no esté disponible, realizan el contacto por e-mail.

Hay en ocasiones que si el comercio no accede a realizar los pagos con las tarjetas de crédito, porque se huela algo, llegan incluso a falsificar transferencias bancarias y a enviarlas por FAX o e-mail. Entonces empiezan a decir que los corre mucha prisa, y que necesitan que el envío salga lo antes posible, pero claro, las transferencias internacionales no llegan hasta dos o tres días después, con lo que si el comercio envía la mercancía fiándose del supuesto justificante la perderá con toda seguridad.

Esto no quiere decir que no se puedan realizar negocios internacionales con seguridad, pero hay que tener en cuenta unos conceptos básicos para intentar no ser estafado:

1. Ninguna empresa que quiera realizar una compra internacional va a tener una cuenta de correo de yahoo, hotmail o gmail (o cualquier otra gratuita).
2. Ninguna empresa usará varias tarjetas de crédito para realizar una misma compra, si el montante asciende a mucho, siempre será una transferencia bancaria y el pedido lo realizará con la suficiente previsión como para no andar con prisas.
3. Deben pedir el NIF e intentar consultarlo con las autoridades pertinentes del país para ver si es realmente válido.
4. Si las compras vienen de Costa de Marfil o de África, tengan mucho más cuidado, ya que las leyes allí no son como en Europa y pueden quedarse sin ninguna ley internacional que les proteja.

Y finalmente si son estafados o creen que pueden llegar a serlo, remitan un e-mail a delitos.tecnologicos@policia.es, que es la dirección a la que hace referencia la página de la policía. (Yo ya he remitido varios emails y nunca he recibido respuesta, pero tampoco se si realizarán acción alguna o no).

Reedición: (22-Septiembre-2006).

Hoy me ha vuelto a llegar otro correo, os lo adjunto para que veáis las cabeceras que tiene con todo lujo de detalles:

“Return-Path:
Delivered-To: webmaster@xxxx.com
Received: (qmail 22128 invoked by uid 508); 22 Sep 2006 08:33:35 -0000
Received: from 64.233.182.191 by LXServer2 (envelope-from , uid 507) with qmail-scanner-1.25st
( Unitel SaFeFiLtEr
Clear:RC:0(64.233.182.191):SA:0(-1.9/4.0):.
Processed in 5.450699 secs); 22 Sep 2006 08:33:35 -0000
X-Spam-Status: No, hits=-1.9 required=4.0
Received: from nf-out-0910.google.com (64.233.182.191)
by 192.168.5.5 with SMTP; 22 Sep 2006 08:33:29 -0000
Received: by nf-out-0910.google.com with SMTP id o25so966413nfa
for ; Fri, 22 Sep 2006 01:14:36 -0700 (PDT)
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
s=beta; d=gmail.com;
h=received:message-id:date:from:to:subject:mime-version:content-type;
b=JJYHmo5PKDWCWSb4+1JFK2lF+gHu6DICftbF1yUKq22wj/5b6NgHcMmJZuR31czanq3Shnnd9D5LpAq2VDcgI98qVKfV/ASUHD8xmmeys6Mf0N5K/g6RBuoI2u1lP6LDS2Kdaarm0iHYVJnMvCDyWD9yXwTOrzzlSw7fiKeF9S0=
Received: by 10.78.128.11 with SMTP id a11mr235794hud;
Fri, 22 Sep 2006 01:14:31 -0700 (PDT)
Received: by 10.78.174.13 with HTTP; Fri, 22 Sep 2006 01:14:31 -0700 (PDT)
Message-ID: <392cb6ea0609220114o13df2d41sdea17ea8be070a02@mail.gmail.com>
Date: Fri, 22 Sep 2006 08:14:31 +0000
From: “Lapoule Jean Francois”
To: galleguis@hotmail.com
Subject: INFO PEDIDO
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”—-=_Part_3187_13424787.1158912871753″
X-Qmail-Scanner-Message-ID: <115891400992322115@LXServer2>
Status: R
X-Status: NC
X-KMail-EncryptionState:
X-KMail-SignatureState:
X-KMail-MDN-Sent:

Buenos días Sr. o Sra.,
Soy Director de una tienda y desearíamos efectuar una compra
en su Tienda para eso querríamos saber algunos
información:
1-Si pueden exportar el paquete mediante una casa de expedición
UPS,TNT,
2-si tieneis datafono de pago por tarjeta de credito Visa o Mastercard.
Esperamos de sus noticias si ustedes estais de acuerdo con nuestras condiciones
Mandame la tarifa de sus productos para hacer nuestro primer pedido.
Muchas Gracias.
Esperando leerse.
Cordialmente
Sr. Lapoule Jean François
09 BP 250 ABIYÁN 09
TELF.: 225 01 18 99 70
Adjame 220 Alojamientos
REP: Costa de Marfil
sgmt_ci@yahoo.com
sgmt.ci@gmail.com”

Saludos.

ttrentham sez (un lector de boingboing.net), dijo “I’ve been using Tor/Privoxy/Vidalia, FoxyProxy and CustomizeGoogle Firefox extensions for the past several weeks when using Google. This morning, I started getting 403 Forbidden responses from Google when I search.”

Lo cual viene a decir: “He estado usando sistemas Tor/Privoxy/Vidalia, FoxyProxy y una extensión personalizada de google durante semanas, hasta que esta mañana, he comenzado a obtener respuestas de Google como: 403 Forbidden. Es decir que le han comenzado a denegar respuestas.

Este usuario, usaba sistemas proxy para ocultar su posición en internet, dichos programas, en ocasiones se usan para hacer el mal, pero en otras ocasiones, cada vez más, lo tienen que usar para evitar las opresiones de sus paises y la censura en internet. Y Google, por ejemplo, en China, por presiones de su gobierno tiene bloqueados resultados de su índice de búsqueda.
La respuesta que le daba al citado usuario era:

“We’re sorry…

… but your query looks similar to automated requests from a computer virus or spyware application. To protect our users, we can’t process your request right now.

We’ll restore your access as quickly as possible, so try again soon. In the meantime, if you suspect that your computer or network has been infected, you might want to run a virus checker or spyware remover to make sure that your systems are free of viruses and other spurious software.

We apologize for the inconvenience, and hope we’ll see you again on Google.”

Lo cual viene a decir, que su busqueda parece una consulta hecha por un ordenador con virus, que para proteger a sus usuarios, no pueden procesar su consulta ahora.

Google, puede que haya bloqueado a dicho usuario, por usar demasiadas herramientas para proteger su intimidad (o hacer el mal), pero parece que otros usuarios están recibiendo las mismas respuestas cada vez que acceden a través de un proxy.

“memory_limit es un módulo de PHP que no permite que un script use más memoria de la fijada por el sistema, consiguiendo con ello, que un solo script pueda bloquear el servidor. Éste módulo es casi obligatorio, en entornos, donde no se controla quien desarrolla los scripts, ya que sin el, cualquiera podría bloquear el servidor en pocos segundos“

Este tipo de ataques son los más comunes últimamente, ya que una gran parte de los ordenadores tienen algún tipo de firewall que corta puertos, bien en el router, en el sistema operativo o bien con un firewall independiente, con lo que por ahí los hackers no tendrían nada que hacer.

El modus operandi, de hoy en día, es aprovechar los pocos puertos abiertos que puedan quedar atacándolos con SCRIPTs que aprovechen vulnerabilidades de los servicios que escuchan en los puertos abiertos. Es decir, que si tenemos un modem colocado en nuestro equipo, y Windows ni tiene el parche de seguridad que afecta al servicio RPC, pues un atacante, lo puede explotar e infectarnos el equipo. En igual medida puede suceder con servidores Web, de bases de datos, de copias de seguridad, etc. En ocasiones incluso si el servidor web no tiene ninguna vulnerabilidad, pero alguna aplicación que corre bajo el sí, es posible que los atacantes puedan hacer modificaciones en el sistema.

Para parar estos ataques lo único que tenemos disponible son dos cosas, la primera es la de tener instalados todos los parches de seguridad en nuestros equipos, y la segunda es el poseer un sistema IPS que nos ayude a parar estos ataques, ya que por regla general, él actualizará su fichero de firmas diáriamente y estará preparado para cuando lleguen esos ataques y nosotros no hayamos actualizado el equipo.

Un Modem USB, bajo mi punto de vista es una fuente de problemas desde el mismo momento en el que lo conectamos al equipo, ya que primero está la configuración, que en muchas ocasiones da muchos dolores de cabeza. Lo segundo es la compatibilidad ya que he detectado multitud de problemas de este tipo de modems con placas base basadas en chipsets VIA (afecta principalmente a AMD), ya que estos modems tienen un consumo de energía muy alto y a veces dichos chipsets no son capaces de alimentarlos correctamente, provocando fallos en el resto de dispositivos USB e incluso problemas en el sistema. Y lo tercero y más importante, problemas de seguridad muy elevados, ya que los datos según vienen de internet “chocan” contra nuestro ordenador, el cual, sino está correctamente protegido (y aun estándolo) tendrá contínuos problemas.

Los beneficios de un router se hacen notar desde el momento de la configuración, ya que simplemente con el CD de configuración de nuestro operador lo podremos configurar en unos minutos (hay veces que no es así de sencillo, pero por regla general suele ser sencillo). Un router, configurado en multipuesto, además nos ofrece conectividad para varios equipos bien por red ethernet o bien por Wi-Fi simultáneamente. Otra de las ventajas, es que los datos, no van directamente a nuestro indefenso Windows, sino que antes de nada “chocan” contra lo que normalmente es un sistema Linux o el propio sistema operativo del router (depende del modelo y de la marca), pero que normalmente no tiene problemas de seguridad como puede tener Windows XP, o por lo menos no están tan extendidos como estos otros. Con lo que conseguimos ya simplemente por ese hecho, ahorrarnos muchos disgustos como son ataques a los puertos TCP o UDP.

Últimamente, los routers, han añadido algunas novedades en cuanto a seguridad se refiere, que incluso algunos de muy bajo coste pueden incorporar, como son por ejemplo sistemas IPS (Intrusion Prevention System), que son sistemas que no solo bloquean los puertos, sino que analizan los scripts que pasan por ellos, y si son ataques comunes o raros (solo en routers o firewalls de alto rendimiento), los paran sin dejar que lleguen al equipo. También permiten filtrar contenidos, bloquear controles ActiveX y otras muchas funcionalidades.

- Spybot Search&Destroy

- Ad-Aware Personal

El Spybot Search&Destroy está programado y diseñado por programadores, investigadores y desarrolladores independientes, que no cobran nada por su trabajo que su único beneficio son algunas donaciones que hacen algunos usuarios que se benefician del programa. Su funcionamiento es muy sencillo, simplemente se descarga (Barra Izquierda de la página y luego en Descargas). Se instala, se actualiza y se analiza el equipo.

A su vez incorpora sistemas de ayuda para prevenir que se pueda alterar la configuración de Internet Explorer sin que el usuario de el visto bueno (solo se deben aceptar cambios cuando se trate de una web conocida). Y otro que transparentemente protege los navegadores contra ataqtes conocidos.

El otro programa es el Ad-Aware SE, está desarrollado por una empresa, que el beneficio que obtiene con el es, dar a conocer su producto a particulares y luego venderlo a empresas en sus versiones profesionales. Es también muy efectivo, y puede convivir con el SpyBot. Es muy recomendable, que se instale un parche llamado VX2 Cleaner V2.0 dicho parche ayuda a eliminar algunos Spyware que se introducen en Windows, y son EXTREMADAMENTE complicados de eliminar. Bajo mi experiencia, el Ad-Aware con el VX2 Cleaner, ha sido el único capaz de eliminarlo con éxito.

El uso del Ad-Aware es muy sencillo igualmente, simplemente se descarga de la web, se instala, se actualiza, y se da a analizar.

Normalmente la actualización, es muy recomendable ya que de otra forma no haremos nada, ya que los spyware nacen constantemente.

Saludos.

Primero vamos a explicar en qué consiste el Phishing. El pishing es: un intento de robo de contraseñas de las cuentas bancarias de internet, para ello suelen enviar un email a gente diciendo que ha habido un error en los servidores de los bancos, o que por un error se han perdido todas las contraseñas. Entonces, ofrecen un enlace con la página del banco por ejemplo:

https://www.banesto.es/clientes

Entonces los más confiados hacen clic y ya se olvidan del enlace y demás, pero el problema está en que ese supuesto enlace no va a la página de Banesto, sino que va a otra web totalmente distinta, y muchos no miran la barra del navegador, donde en vez de poner “https://www.banesto.es/clientes”, misteriosamente ha cambiado a una web extraña.

Una vez llegados a este punto, podemos ver en la página en cuestión, que nos piden nuestro numero de cuenta, y las credenciales para acceder, como son el DNI, y sobre todo la contraseña. Dependiendo del banco que estén intentando imitar y lo que se necesite para su acceso, lo pedirán o no, pero no suelen pedir más de lo que necesitan para que el supuesto “estafado” no piense mucho y lo haga rápido.

Tras enviar las citadas credenciales, como habrá quedado claro, no van a los archivos de Banesto, sino a los archivos del estafador. Con ellas, accederán a las cuentas del banco y harán movimientos con el dinero, intentando perderlo por cuentas para luego poder recogerlo más tarde.

Como ejemplo os puedo mostrar uno que me llegó hace tiempo:

“Apreciado Cliente de Banca en Linea,

Caja Madrid siempre trata de encontrar sus expectativas mas altas.
Por eso usamos la ultima tecnologia en seguridad para nuestros clientes.

Por lo tanto nuestro departamento de antifraude ha desarrollado un nuevo
sistema de seguridad que elimine cualquier posibilidad del acceso de la tercera
persona a sus datos, cuentas ni fondos.
Este sistema esta construido en la utilizacion de una pregunta secreta y respuesta.
Su respuesta secreta seria usada para confirmar su identidad cuando haga una operacion de pagos.

Es obligatorio para todos los clientes de Caja Madrid Banca en Linea usar este
sistema de seguridad.

Nosotros consejo para usted es que introduzca su pregunta secreta y su respuesta de su cuenta cuanto antes.
Si el registro no es realizado dentro de 14 dias su cuenta sera suspendida temporalmente hasta
que su registro sea completado.

Esto solo le va a costar unos minutos de su tiempo y va a tener una seguridad mucho mas elevadar.
Para comenzar el registro por favor pinche aqui : http://oi.bancamadrid.com

Atentamente,
Luis Perez Monreal.
Departamento de seguridad y asistencia al cliente.
Caja Madrid.”

El enlace, no funciona, porque ese enlace no existe, sino que enviaban a otra página totalmente distinta. Pero es un claro ejemplo de cómo intentan ganarse a los clientes, para luego robarles.

Para evitar estas situaciones, hay que tener una cosa muy muy clara y con esta regla, nunca serán estafados:

Un banco nunca pide credenciales de acceso por e-mail, página web o teléfono

Es más, para que te den una de las citadas credenciales, hay que ir con el DNI al banco y de forma presencial, el titular de la cuenta solicitarlo. Sino nunca lo pedirán. Además, antes de solicitar una contraseña por pérdida, el banco lo resetearía (daría unos nuevos) y te lo daría personalmente y como mucho te lo enviaría por correo ordinario, pero nunca por email.

Saludos y espero haberles sido de ayuda.