Publican datos de 1000 usuarios de tarjetas #SUBE

Qué excusa pondrá ahora Tarjeta SUBE sobre la protección de datos personales, luego de que hace instante se publicaran (anónimamente) 1000 itinerarios de ciudadanos argentinos que son controlados mediante el uso de su tarjeta.

En Argentina a diario se observan problemáticas por cuestiones de control por parte del estado. Camaras en la calle cada dos cuadras, edificios y patrulleros, la creación de una base de datos con información biométrica de cada ciudadano desde que nace y el rastreo de sus movimientos.

El proyecto de monedero virtual (SUBE) impuesto por el gobierno Argentino exige identificación por DNI cuando no es necesaria y luego rastrea cada uso de esta tarjeta, creando una base de datos del ir y venir de cada ciudadano.

Como hemos mencionado y remarcado desde Segu-Info hace 3 meses, SUBE viola la ley de Protección de Datos Personales de Argentina y por eso invitamos a todos los ciudadanos a expresarse en contra del registro del itinerario de viaje y salvaguardar su privacidad. Las tarjetas de viaje deben ser anónimas.

Actualización: Segu-Info y yo mismo no compartimos de ninguna forma las actividades llevadas adelante para la publicación de la información mencionada, por una persona que dice ser de Anonymous, pero lamentablemente este hecho no hace más que probar la irresponsabilidad de SUBE.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Ejerce tu derecho a la privacidad y reclama contra #SUBE

Luego de hacerse público las actividades llevadas a cabo por la tarjeta SUBE en la República Argentina, donde se viola el derecho a la privacidad de sus usuarios, se ha publicado una carta que se puede enviar al presidente de la Dirección Nacional de Protección de Datos Personales (DNPDP) para reclamar que SUBE cambie la forma en que actualmente registra y muestra los viajes en su sitio web.

Juan Antonio TRAVIESO (directordnpdp[ARROBA]jus.gov.ar)
Dirección Nacional de Protección de Datos Personales

Estimado Director,

He tomado conocimiento del servicio “Consulta tu saldo” (http://www.sube.gob.ar/consulta-tu-saldo/) provisto por el Sistema Único Boleto Electrónico (SUBE). SUBE es responsable registrado en la Dirección Nacional de Protección de Datos Personas razón por la cual me comunico con usted por este medio.

Dicho servicio expone datos personales al permitir entender la frecuencia de uso, tipo y denominación del transporte utilizado por mi persona sin proveer las más mínimas medidas de seguridad para evitar que terceros puedan acceder a información de geolocalización actualizada en forma anónima. Como usted sabrá existen métodos para evitar que terceros que puedan hacerse del numero de tarjeta puedan acceder a la información personal mediante el uso de passwords u otros dispositivos; métodos que no han sido utilizados por SUBE.

Al ser su ente responsable de salvaguardar los datos personales y estar permitiendo tal flagrante violación al derecho a la privacidad. Pongo a usted en conocimiento de la situación y exijo se tomen los recaudos correspondientes para subsanarla.

Aguardo su respuesta y lo saludo muy atentamente,
Nombre: [TU NOMBRE]
DNI: [TU DNI]

Se invita a todos los usuarios a enviar el correo y a reclamar su derecho a que no se vigile ni se conozca públicamente su ubicación.

Actualización 18:00: tal y como ya habíamos advertido, acaban de publicar datos de los viajes de ciudadanos


Cristian de la Redacción de Segu-Info

Seguir leyendo »

"Quien pone datos personales en la Red tiene derecho a recuperarlos"

Viviane Reding, vicepresidenta de la Comisión Europea responsable de Justicia, Derechos Fundamentales y Ciudadanía, presenta este miércoles en Bruselas un plan para que los ciudadanos puedan ejercer al máximo su derecho a la protección de datos personales. La legislación vigente se remonta a 1995, cuando apenas era perceptible el porcentaje de información que era telecomunicada. Hoy esa información supera el 97%, Internet se ha convertido en una jungla y el 72% de los europeos se dice preocupado por el uso que las compañías hacen de sus datos personales. La venidera protección de datos consagra el derecho al olvido. “Quien ha puesto información personal en la Red tienen derecho a recuperarla porque es suya”, dice la comisaria. Su planes, que incluyen un reforzamiento de la agencias nacionales de protección de datos y un mismo reglamento de aplicación a escala comunitaria, serán efectivos hacia 2015.

Pregunta. ¿Qué opinión le merece el caso de Megaupload? ¿Se ha hecho bien?
R. No quiero intervenir sobre cómo se aplica la ley en otros continentes. Europa siempre ha dicho que lo que es ilegal en el mundo normal es ilegal también en Internet. No porque cambia el instrumento cambia la legalidad. No por poner pedofilia en Internet se convierte en legal. Es un delito y lo seguirá siendo en Internet. Nosotros hemos decidido combatir esa basura, pero no bloquear Internet. En el momento en que se comienza a bloquear Internet ¿dónde se termina? ¿Quiénes bloquean Internet en el mundo? No los países democráticos. Si se arguye que hay delitos, ¿quién define el delito? Hay una diferencia entre eliminar algo de un sistema o bloquear un sistema. La definición de delito no cambia en Internet. Lo que no se puede es delinquir en Internet, sea cual sea el delito. Si en un país es delito robar una propiedad, material o inmaterial, lo sigue siendo en Internet. Si se comete un delito hay que aplicar la ley.

P. Parece más fácil robar propiedad intelectual en Internet que hacerlo de una estantería.
R. Sí, pero el delito es el mismo tanto si se roba un libro en la librería como si se roba en Internet. Lo que ocurre es que es mucho más difícil protegerse de un delito en Internet. La Comisión está trabajando en la cuestión del copyright en Internet. Pero no hay que confundir la cuestión de copyright con la cuestión de la protección de datos.

Seguir leyendo »

Seguir leyendo »

La protección de infraestructuras críticas de gobierno cae el 20%

La encuesta sobre Protección de Infraestructura Crítica (CIP, por sus siglas en inglés), realizada por la firma de seguridad Symantec [PDF], reveló que a diferencia del año 2010, en el 2011 las empresas mostraron un índice de participación CIP en programas gubernamentales de protección del 82%, lo que muestra una reducción de 18 puntos (ver infografía).

Mientras tanto en América Latina, incluido México, el índice de participación es de 88%.

El estudio arrojó resultados que preocuparon a los ejecutivos de Symantec como el nivel de conocimiento y participación de las empresas sobre los programas CIP gubernamentales.

Alejandro Loza, experto de Symantec, dijo a b:Secure que "la causa se debe a que apenas se está comenzando con este tipo de programas. Son los primeros pasos en este tipo de madurez de los gobiernos".

Tan sólo 36% de los entrevistados a nivel global y 39% en Latinoamérica tienen conocimiento de los planes del gobierno sobre infraestructuras críticas de sus países, por 55% y 53% respectivamente del año 2010.

"Las conclusiones de esta encuesta llaman la atención, especialmente si consideramos ataques recientes como, por ejemplo, los de Nitro y Duqu, que han tenido como blanco proveedores de infraestructuras críticas", afirmó Dean Turner, director de la red global de inteligencia de Symantec.

La encuesta también registró que tanto a nivel mundial como en América Latina 42% de los participantes no tiene ninguna opinión acerca de los programas CIP. Además sólo un poco menos del 60% está dispuesto a cooperar con estos programas.

“Las empresas y los gobiernos de todo el mundo deberían implementar acciones más agresivas enfocadas a promover y coordinar la protección de las redes informáticas de los sectores críticos”, agregó Turner.

Asimismo, el estudio reveló que 60% de las organizaciones a nivel global y 63% en Latinoamérica no se sienten preparadas para enfrentar cualquier amenaza de ataque cibernético.

La Protección de Infraestructura Crítica es definida por Symantec como la preparación que tiene un país para responder a incidentes serios que involucran su infraestructura crítica como salud, aviación, manufactura, entre otras. Cualquier interrupción a estos sistemas puede tener fuertes consecuencias en otros sectores.

"Para que la CIP tenga resultados positivos los gobiernos deben tener un mayor compromiso, como el demostrado por México al generar iniciativas, como el C4 (Centro de Control, Comando, Comunicaciones y Cómputo) de la Secretaría de Gobernación", agregó Loza.

Los resultados de este estudio se basan en las respuestas de 3,475 organizaciones de 14 industrias de infraestructura crítica, alrededor de todo el mundo; de las cuales 250 pertenecen a organizaciones basadas en América Latina.

Las cinco máximas de la seguridad para CIP, según el experto de Symantec

• Desarrollar políticas y procesos
• Proteger la información paulatinamente
• Administrar los sistemas
• Tener seguridad en la CIP cercana a 7×24
• Desarrollar estrategias de administración

Fuente: bSecure

Seguir leyendo »

Symantec: dejen de usar pcAnywhere ya mismo

Symantec ha admitido que los documentos de proyecto de versiones actuales de su programa pcAnywhere fueron robados en el año 2006 y que todos los usuario están en riesgo de ataque y deben "desconectarlo".

Eso incluye a los usuarios de tanto la version actual como iteraciones anteriores asi como también el que está en incluido en Altiris y el paquete pcAnywhere Thin Host incluido en productos de backup y de seguridad.

El robo salió a la luz cuando un grupo de hackers indio que se autodenominan Lords of Dharmaraja amenazó con publicar el código fuente.

Un supuesto portavoz de la pandilla, que se hace llamar "Yama Tough," publicó en PasteBin código de versiones 2006 del Norton AntiVirus de Symantec y subsecuentemente escribió en Google+ sobre la brecha de seguridad.

Originalmente no estaba claro si la brecha del código fuente era relevante para las instalaciones al día de los productos antivirus de Symantec.

La confusión se disipó, mostrando que el peligro para usuarios de productos actuales es muy real.

Symantec reveló la noticia en un documento [PDF] publicado el miércoles, junto con un boletín de advertencia en su sitio web.

La investigación de Symantec hasta ahora no ha encontrado un aumento en el riesgo de exposición de los clientes que usen alguno de sus productos en particular, con la destacada excepción de pcAnywhere, que permite comunicaciones directas PC a PC.

Aquí está lo que la firma de seguridad tenía que decir respecto de los riesgos específicos de pcAnywhere, parafraseando lo que dice su documento:

• Los elementos de codificación y cifrado dentro de pcAnywhere son vulnerables, haciendo a los usuarios susceptibles de ataque 'man-in-the-middle', dependiendo de la configuración y uso del producto. Si ocurre un ataque 'man-in-the-middle', el usuario maliciosos podría robar datos de la sesión o las credenciales.
• Un riego secundario: Si un usuario malicioso obtiene la llave criptográfica, podría lanzar sesiones de control remoto no autorizadas y con ello acceder a sistemas e información sensible.
• Si la llave criptográfica en si está usando credenciales de Active Directory, también es posible para el atacante perpetrar otras actividades maliciosas en la red.
• En un ambiente de pcAnywhere interno, si se coloca un sniffer de red en la red interna del cliente y el atacante tiene acceso a los detalles del cifrado, el tráfico de pcAnywhere podrí ser interceptado y decodificado. Esto implica que un cliente o tiene un atacante interno malicioso que plantó un sniffer de red o que una botnet desconocida opera en su entorno. Como siempre, se recomiendan las mejores prácticas para mitigar este riesgo.
• Ya que pcAnywhere intercambia credenciales de login de usuario, existe el riesgo que un sniffer de red o una botnet pudiera interceptar este intercambio de información, aunque aún sería dificultoso interpretar la información aún si el código fuente de pcAnywhere es liberado.
• Para entorno con usuarios remotos, este intercambio de credenciales introduce un nivel adicional de exposición a los ataques externos.

El  portavoz de la compañía Cris Paden le dijo a Reuters que Symantec tiene menos de 50.000 clientes que usan la versión de pcAnywhere, la cual, informó Reuters, aun estaba en venta en su sitio web por u$s100 y u$s 200 el miércoles por la mañana.

Symantec recomienda en el documento que los clientes deshabiliten el producto hasta que la compañía pueda liberar un conjunto de actualizaciones para tratar los riesgos de la actual vulnerabilidad.

Una de las primeras preguntas que vienen a la mente, por supuesto, es si Symantec recién ahora está dándose cuenta de la fuga de código del 2006 o si la compañía los supo por seis años y solo ahora admite que fueron hackeados.

Pienso que podemos estar seguros de asumir que una compañía del tamaño y la reputación de Symantec rehuiría de tal tipo de comportamiento irresponsable de cualquier forma. Vender intencionalmente programas de seguridad con fugas de código sería un suicidio profesional y éticamente imperdonable.

Solo traje el tema porque, bueno, la pregunta apareció en mi cabeza cuando en las últimas dos semanas supe sobre el robo de 2006. Se que no estoy solo, ya que nuestros lectores han considerado la misma pregunta en las secciones de comentarios.

No, me siento confiado que Symantec es inocente de ocultar la brecha, en particular dado lo disponibles que están siendo con los riesgos y los resultados de la investigación.

Entonces, ¿a quién debemos apuntar el dedo acusador?

No es para tener un marketing promocional, pero no puedo hablar mejor de lo que hizo Paul Duckling de Sophos cuando escribió que no apuntaba su dedo a la perseguida Symantec sino a los criminales que perpetraron el crimen:

Si, estoy señalando con el dedo a los ladrones. No a "los hackers," a los ladrones. Eso es lo que son. Esto es un ciber-crimen. Symantec es la víctima.

Buena suerte en la limpieza de este inmerecido desastre, clientes de Smantec y pcAnywhere, y buena suerte con el conjunto de parches.

Traducción: Raúl Batista - Segu-Info
Autor: Lisa Vaas
Fuente: Naked Security - Sophos

Seguir leyendo »

El delincuente que le costó US$500 millones a Google

Con grilletes y vigilado por agentes del gobierno de Estados Unidos, David Whitaker fingió ser un representante de ventas de medicamentos en Internet en decenas de llamadas telefónicas grabadas e intercambios de correos electrónicos con ejecutivos de ventas de Google. Whitaker gastó US$200.000 del erario público en anuncios que ofrecían narcóticos, esteroides y otras sustancias controladas.

Durante el transcurso de cuatro meses en 2009, Whitaker, que cumple una pena por estafa, fue el protagonista de una operación encubierta del gobierno de Estados Unidos contra Google Inc., que acabó con una de las mayores multas impuestas a una empresa del país.

"En parte, me sentía mal", escribió Whitaker en su relato de la emboscada al que The Wall Street Journal tuvo acceso. "La gente había empezado a caerme bien". Pero advirtió: "me tranquilizó saber que ellos (…) sabían que lo que hacían estaba mal".

El gobierno armó un caso criminal contra Google usando dinero, pseudónimos y compañías falsas –tácticas más propias de la guerra contra los carteles de narcotráfico—, según entrevistas y documentos legales. El gigante de Internet aceptó pagar una multa de US$500 millones a mediados del año pasado para no ser procesado por colaborar con las ventas ilegales de fármacos en línea en EE.UU.

Como parte del acuerdo, Google reconoció que había, de manera inapropiada y con conocimiento de causa, ayudado a anunciantes en línea supuestamente asentados en Canadá a publicar avisos para ventas ilícitas de medicamentos para consumidores en EE.UU.

A diferencia de América Latina, donde la publicidad de fármacos que se venden con receta médica está prohibida, en EE.UU. se pueden anunciar medicamentos en los medios de comunicación, ajustándose a ciertas restricciones. A pesar de eso, vendedores extranjeros, especialmente en Canadá, tratan desde hace tiempo de llegar a los consumidores de EE.UU. vía Internet.

"Prohibimos los anuncios de medicamentos con receta médica en EE.UU. por farmacias canadienses hace algún tiempo", dijo Google en su único comentario sobre el tema. "Aún así, es obvio ahora que en ningún momento deberíamos haber permitido esos anuncios en nuestro sitio".

La multa de US$500 millones, si bien históricamente grande, era irrisoria considerando que Google tiene US$45.000 millones en efectivo. Sin embargo, el hecho de que la compañía asumiera su culpa abrió la puerta a la posible responsabilidad legal por aceptar anuncios de otras personas implicadas en actos ilegales en línea, como distribuir películas piratas o cometer fraudes en línea.

Google siempre ha argumentado que no es responsable por las acciones de sus más de un millón de anunciantes. Pero la multa que pagó representa no sólo el dinero que obtuvo con los anuncios, sino también los ingresos que recaudaron las farmacias ilegales mediante las ventas relacionadas a Google.

En un giro importante, el acuerdo "señala que, cuando exista evidencia de que un motor de búsqueda ayudó intencionada y activamente a un anunciante a promover una conducta impropia, el motor de búsqueda puede ser acusado de complicidad", señala Peter Neronha, el fiscal que lideró el caso.
Todavía se desconoce si, como consecuencia, la compañía empezará a rechazar anunciantes. "Si Google adoptase una definición mucho más estricta de cara a los anuncios problemáticos, todo el mundo se daría cuenta al instante de una caída en sus ingresos", asegura Eric Goldman, director del Instituto de Legislación de Alta Tecnología de la Universidad de Santa Clara, en California.

La causa del gobierno también contenía algunas acusaciones potencialmente embarazosas de que altos ejecutivos de Google, entre ellos su cofundador Larry Page, fueron informados sobre los problemas legales con los anuncios de los medicamentos.

Page, actual presidente ejecutivo de la empresa, estaba al tanto sobre las conductas ilícitas, asegura Neronha, que dirigió el equipo que llevó a cabo la operación secreta. "Sabemos a ciencia cierta gracias a documentos que revisamos y testigos que entrevistamos que Larry Page sabía lo que estaba pasando", dijo en una entrevista a The Wall Street Journal después de que se firmara el pacto en agosto.

Neronha no quiso brindar detalles sobre las pruebas, que fueron presentadas en secreto ante un gran jurado. Otras fuentes cercanas apuntan que los e-mails internos de la compañía muestran que Sheryl Sanderg, una ex ejecutiva de Google que en 2008 se integró a Facebook Inc., había expresado su preocupación por los avisos.

Contenido completo en fuente original:WSJ Americas

Seguir leyendo »

La gestión de eventos de seguridad: un diamante por pulir

Por Javier Cao Avellaneda

Todas las organizaciones, grandes o pequeñas, disponen de sistemas de recogida de eventos que guardan en ficheros de log datos sobre lo que está sucediendo en el funcionamiento de los sistemas de información. Esta materia prima permite establecer un puesto de vigilancia y conocer de primera mano qué ocurre en sus sistemas de información. En algunos casos por tiempo, en otros por desconocimiento sobre las problemáticas a analizar, esos datos no sirven para tomar decisiones que en un momento dado pueden luego costar una factura muy cara. Un ejemplo en el mundo físico es el del empresario que coloca cámaras de vigilancia y sensores volumétricos en todos los rincones a vigilar de su empresa, centralizando toda esa información en un cuarto de control, pero luego no pone vigilantes las 24 horas del día para que monitoricen lo que sucede en esas pantallas y centrales de alarma.

El Ejército Americano tiene publicado un manual sobre cuáles son las herramientas a utilizar en el campo de las operaciones de información (Information warfare), que en conflictos bélicos son uno de los escenarios más relevantes donde se deciden las batallas. Es imprescindible leer el Capitulo I, de Introducción porque aporta una nueva perspectiva al concepto de "información" y sus dimensiones. Y tal como deja claro el manual, la información esencial, la importante donde se pueden perder batallas, es aquella que se emplea en la toma de decisiones. Este fue el mensaje que quedó en mi mente tras leer el documento americano.

No podemos llamar "información" sino "datos" a aquello que no sirve para tomar decisiones. Y ese es el verdadero problema/drama de los logs, puesto que no llegan a ser información sino datos sobre la situación de seguridad de la Organización, que son guardados o borrados sin que de ellos se extraigan conclusiones o decisiones que pueden evitar o mejorar en mucho la seguridad de los sistemas. Como mucho, los logs se utilizan una vez sucedido el incidente para tratar de esclarecer los hechos perdiendo así una oportunidad de ser proactivos y preventivos.

Hace unos meses Anton Chuvakin, un “information security warrior” publicó un post con el top 7 de informes de seguridad.

Contenido completo en fuente original INTECO-CERT

Seguir leyendo »

Las ventas de música por Internet sobrepasaron las ventas de música por medio tradicionales

"Claramente el plástico no es un formato óptimo para vender música", dijo Brian Zisk, productor ejecutivo SF MusicTech Summit.

He aquí un dato que un grupo sin duda daba por sentado, mientras que para otro grupo de seguro que será una sorpresa. Por primera vez en la historia las ventas de música digital por Internet sobrepasaron las ventas globales totales de música por medios tradicionales (como los CD en tiendas).

Específicamente, según Nielsen y Billboard el 50.3% de la música comprada hoy día ya es por Internet, en donde Apple tiene la mayor tajada con su tienda iTunes. En general, las ventas de música por medios físicos tradicionales continuó su descenso, bajando un 5%, mientras que la música digital por Internet aumentó un 8.4%.

Esta noticia viene cerca de 3 años después de Apple reclamar el puesto #1 en ventas por Internet en los EEUU, más el puesto #1 en ventas en general (superando al gigante Walmart de esa nación).

Fuente: Eliax

Seguir leyendo »

Guía de auditoria de WEP y WPA

En este documento Asaltando redes Wi-Fi WEP y WPA (mirror) desarrollado por Aetsu con Licencia Creative Commons explica y resume de forma simple cómo auditar una red Wi-Fi con cifrado WEP y WPA utilizando Aircrack-ng sobre Backtrack 5.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Virus infectan gusanos por error

Los virus están infectado accidentalmente a diversos gusanos en los ordenadores de las víctimas, creando un malware híbrido que se puede propagar más rápidamente y lanzar ataques contra los sistemas, cuentas bancarias y datos privados de una manera ni siquiera imaginada por los propios creadores de malware.

Un análisis de Bitdefender encontró 40.000 ejemplares de este tipo de malware - al que han bautizado como "Frankenmalware" o "malware sandwiches" - en un estudio de 10 millones de archivos infectados llevado a cabo a comienzos de enero, lo que supone un 0,4 por ciento del malware analizado. Si tenemos en cuenta que el malware activo en todo el mundo está en torno a los 65 millones, esto supone que 260.000 ejemplares de este tipo están amenazando los ordenadores de los usuarios.

Seguir leyendo »

Seguir leyendo »