22/9/2014

ODILA: Observatorio de Delitos Informáticos de Latinoamérica

En el día de hoy, desde Segu-Info y AsegurarTE hemos tenido el placer de anunciar un nuevo proyecto para apoyar a todos los usuarios: ODILA es el Observatorio de Delitos Informáticos de Latinoamérica.

ODILA busca construir un espacio de investigación, encuentro y trabajo sobre la realidad latinoamericana en materia de delitos informáticos y cibercrimen, especialmente dedicado a relevar información sobre incidentes o delitos informáticos ocurridos en los países de Latinoamérica.

Los objetivos de ODILA son:
  • Que los usuarios puedan denunciar cualquier tipo de acción que consideren un delito informático contra su persona y/o empresa.
  • Generar un reporte (como este) que le permita al usuario conocer si fue o no víctima de un delito informático.
  • Informar sobre el problema de la cifra negra en materia de delitos informáticos.
  • Difundir consejos e información útil para las víctimas de delitos informáticos.
  • Generar informes y estadísticas propias sobre la ciberdelincuencia en Latinoamérica.
ODILA no pretende ser un asesoramiento, sino una guía para el usuario (víctima), a fin de brindarle información sobre la materia y fomentar la realización de denuncias ante los organismos competentes. Los datos son recolectados de forma totalmente anónima y los mismos tendrán destino de publicación de estadísticas para poder mitigar el problema de la cifra negra en los delitos informáticos.

Invitamos a todos los usuarios a ingresar y dar a conocer el proyecto y a todas las instituciones oficiales los invitamos a participar y difundir ODILA para seguir combatiendo el Delito Informático en todo Latinoamérica.
Lic. Cristian Borghello (Segu-Info)
Marcelo Temperini (AsegurarTE)
Maximiliano Macedo (AsegurarTE)

Actualización masiva de productos Apple: iOS, OS X, Safari

Apple acaba de publicar actualizaciones para gran parte de sus productos. Como gran novedad destaca iOS 8, la nueva versión del sistema operativo para sus dispositivos móviles (iPhone, iPad, iPod… ). Pero además ha publicado las siguientes versiones actualizadas OS X Server 2.2.3, OS X Server 3.2.1, Safari 6.2, Safari 7.1, OS X Mavericks 10.9.5 y Security Update 2014-004, Xcode 6.0.1 y Apple TV 7.

Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados.

iOS 8 es la nueva versión del sistema operativo de Apple para sus productos móviles (iPad, iPhone, iPod…) que además de incluir cientos de novedades y mejoras (también en temas relacionados con la seguridad) además soluciona 56 nuevas vulnerabilidades. Los problemas corregidos van desde el propio kernel hasta las cuentas de usuario, WiFi, libro de direcciones, instalación de Apps, Bluetooth, CoreGraphins, Mail, etc... Una parte importante de los problemas podrían permitir a un atacante lograr ejecutar código arbitrario en los sistemas afectados.

También hay que destacar las actualizaciones para OS X que incluyen las versiones OS Server 2.2.3, OS X Server 3.2.1 y OS X Mavericks 10.9.5. La familia de servidores se ven afectados por vulnerabilidades en CoreCollaboration. Tanto OS Server 2.2.3 como OS X Server 3.2.1 solucionan una inyección SQL en el servidor Wiki, Además OS X Server 3.2.1 soluciona un cross-site scripting en el servidor Xcode y siete vulnerabilidades en PostgreSQL, la más grave de ellas podría permitir la ejecución remota de código arbitrario.

Por otra parte, también ha publicado OS X Mavericks v10.9.5 y Security Update 2014-004, destinado a corregir hasta 44 nuevas vulnerabilidades.
Afectan a apache_mod_php, Bluetooth, CoreGraphics, Foundation, Intel Graphics Driver, IOAcceleratorFamily, IOHIDFamily, IOKit, Kernel, Libnotify, OpenSSL, QT Media Foundation y ruby. Una parte importante de estos problemas podrían permitir la ejecución remota de código arbitrario. Además OS X Mavericks v10.9.5 incluye la nueva versión Safari 7.0.6.

Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a las versiones 6.2 y 7.1 para OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9.5. Se solucionan 9 vulnerabilidades, la mayoría de ellas relacionadas con problemas de corrupción de memoria en WebKit, el motor de navegador de código abierto que es la base de Safari. Y podrían ser aprovechadas por un atacante remoto para provocar condiciones de denegación de servicio o ejecutar código arbitrario al visitar una página web específicamente creada.

Por último, Apple también ha publicado Apple TV 7 que soluciona 37 nuevas vulnerabilidades y Xcode 6.0.1, el entorno de desarrollo de Apple, que corrige una vulnerabilidad en subversión.

Más información:
Fuente: Hispasec

Jornada de Ciberdefensa en Córdoba (Argentina)

El próximo miercoles 24 de septiembre de 9:00 a 17:00 horas se realizará en la Universidad Nacional de Córdoba una nueva Jornada de Ciberdefensa, organizada en forma conjunta por el Ministerio de Defensa, la UNC, el Instituto Universitario Aeronáutico, el Cluster Córdoba Technology y la Federación Argentina de Estudiantes de Ingeniería. La jornada tendrá lugar en el Auditorio de las Baterías “D”, en Ciudad Universitaria (Enfermera Gordillo esq. Av. Valparaíso).


09:00 a 09:30 - ACREDITACIÓN
09:30 a 10:00 - APERTURA DE LA JORNADA
10:00 a 11:30 - PANEL N° 1
  • Protección de Infraestructuras Críticas.
  • "Servicio de Ciberdefensa y Seguridad de la Informacion”, CN Daniel Sorrentino.
  • "Análisis sobre Redes Anónimas para generar ataques a Infraestructuras Críticas", MCs Ing. Eduardo Casanovas – IUA.
  • "Centro de datos de contingencia. Seguridad de Centro de datos”, Sr. Eduardo Torres, ArSat.
12:00 a 13:00 - PANEL N° 2
  • Los desafíos de la Ciberdefensa.
  • "El Comando Conjunto de Ciberdefensa: Génesis y evolución posible", Cnl. Rubén García, Comando Conjunto de Ciberdefensa.
  • "Importancia del desarrollo de capacidades nacionales en criptografía", Ing. Miguel Montes, UNC.
14:30 a 16:00 - TALLER PROYECTOS DE INVESTIGACIÓN

Aquí se puede ver el programa [PDF] y realizar la Inscripción para participar.

Keyless-SSL: CloudFlare promete una nueva forma de crear conexiones cifradas

La compañía de seguridad CloudFlare está lanzando un nuevo servicio sobre la red Amazon Web Services y orientado a evitar la utilización de claves de cifrado privadas. El servicio denominado SSL Keyless rompe el tradicional Handshake ("apretón de manos") al principio de una sesión TLS, pasando parte de los datos a transmitir hacia el centro de datos de la organización para realizar el cifrado. CloudFlare negocia la sesión con los datos devueltos y actúa como un gateway para sesiones autenticadas, mientras que sigue siendo capaz de eliminar cualquier tipo de tráfico malicioso como ataques denegación de servicio.

El desarrollo de SSL Keyless comenzó aproximadamente hace dos años, en luego de una serie de ataques masivos de denegación de servicio contra instituciones financieras y la respuesta fue cambiar lo que sucede con el protocolo y el Handshake de SSL.

En el Handshake, lo que pasa es que un cliente se conecta al servidor, a partir de un mensaje "Hello". El cliente lista qué versión de TLS y cipher suites reconoce y el servidor -en base a su lista-, toma la más favorable. Con eso, envía el certificado público del sitio al cliente". Los mensajes entre el servidor y el cliente también incluyen un intercambio de números: 4 bytes que se basan en la hora del sistema del cliente y el servidor y 28 bytes generados al azar, todo combinado en un número de 32 bytes junto a un ID de sesión.

El siguiente paso es donde ocurren los cambios de CloudFlare. En este punto, el cliente envía un "pre-master secret", una combinación de los dos números aleatorios compartidos cifrados con la clave pública del servidor. Normalmente, el servidor utiliza los dos números cifrados con la clave privada del servidor y la clave pública del cliente. El servidor y el cliente utilizan los números intercambiados para crear un secreto compartido llamado "Master Secret" para generar las claves de cifrado de la sesión. Los navegadores Chrome y Firefox, además soportan un "session ticket" que es un token que puede almacenarse en ambos extremos para identificar la sesión y realizar una negociación más rápida si la conexión es interrumpida.
Normalmente, esto significaría que el servidor tendría que tener acceso a la clave privada de la organización pero en "Keyless", los números se pasan a una aplicación en el centro de datos de Cloudflare sobre una conexión VPN y así el cliente, servicio de Cloudflare y el servidor de backend tienen la misma clave de sesión.

Una vez finalizado el proceso, el centro de datos CloudFlare es capaz de gestionar la sesión con el cliente, y utilizar la clave de sesión para cifrar el contenido del sitio de la organización.

Fuente: ArsTechnica

México: #YoloBorro, campaña contra el #cyberbullying

El acuerdo para difundir la campaña #YoloBorro, contra el cyberbullying, será vital para erradicar la violencia a través de las tecnologías de la información y proteger a los niños y jóvenes ante los riesgos de este tipo de acoso.

La diputada Irazema González, secretaria de la Comisión de Ciencia y Tecnología, expuso que el Poder Legislativo realizará acciones para difundir la campaña en medios de comunicación y electrónicos, así como en redes sociales.

Además, dijo, promoverán y difundirán mediante conferencias el uso adecuado de las tecnologías de información y comunicación (TICS), con la participación de diferentes ponentes, autoridades, legisladores y miembros del sector empresarial.

González advirtió que los principales problemas o síntomas que presentan los afectados por el cyberbullying son baja autoestima, altos índices de depresión, ansiedad, sentimiento de soledad, ideas de suicidio y ausentismo escolar.

La campaña está dirigida eminentemente a los padres para que puedan conocer y detectar a tiempo los síntomas conductuales que caracterizan la posible condición de ciberacosador en sus hijos. Esos síntomas son los siguientes:
  • Rompe los límites de uso de ordenador pactados.
  • La mayor parte de su tiempo libre está navegando en Internet ya sea en smartphone, tablet u ordenador.
  • Presenta comportamientos agresivos, o comentarios fuera de lugar mientras está navegando en Internet.
  • Está despierto usando el smartphone hasta altas horas de noche.
  • Si coges su smartphone se pone nervioso, alza la voz, etc.
  • Nunca deja que el mires lo que está haciendo cuando navega en Internet.
  • Nunca deja solo su dispositivo con el que navega en Internet.
  • Usa todo tipo de redes sociales, e intuyes que tiene varias cuentas abiertas.
  • Los fines de semana pasa demasiado tiempo navegando en Internet.
  • No sale tanto con los amigos, pues disfruta más desde casa a través de Internet.
  • Está ausente, poco comunicativo.
  • Lo ves alterado, muy intolerante.
  • No participa en las conversaciones familiares, se ausenta a su cuarto.
  • Se ha hecho pasar por otros a través del móvil o Internet, aunque fuera a modo de broma o juego.
  • No le hemos enseñado unas normas claras de uso de internet.
  • Muestra o comparte fotos o vídeos que le parecen muy graciosos aunque estos puedan ser humillantes para otros.
  • Si ha practicado anteriormente el bullying o acoso escolar.
  • Justifica o excusa la violencia u otros casos de ciberbullying.
  • Tener escasa tolerancia a la frustración.
  • No querer actuar en actividades que exijan cooperación, falta de respeto a la autoridad y a los padres y mostrar abuso de poder o autoridad.
La campaña informa que en la motivación para el acoso siempre están presentes el odio, la envidia, la venganza o la incapacidad de aceptar un rechazo, además se añade la nota de cobardía, ya que el ciberacosador se sirve del aparente anonimato y las posibilidades de usurpación de identidad que permite Internet.

Fuente: El Universal y El Derecho

21/9/2014

John McAfee anuncia una página web para descargar ira y venganza


El extravagante pionero de la industria de software antivirus, John McAfee, hizo una aparición sorpresa en el congreso de piratas informáticos y reveló un sitio web nuevo donde los usuarios pueden descargar su ira.

El ex millonario, que huyó de Belice en 2012 después de que la policía le buscase para interrogarle por el asesinato de un vecino, dijo que había creado una página para que los usuarios comunes puedan lanzar sus quejas acerca de todo, desde la corrupción del gobierno a malos productos de consumo.

El sitio, llamado BrownList, porta el lema "It's payback time (Es la hora de la venganza)".

"Esto se nutre de la ira en una manera positiva", dijo en una entrevista con la agencia Reuters antes de subir al escenario en Def Con, el mayor congreso del mundo de piratas informáticos.
"En lugar de enfadarse y disparar a alguien en la carretera, o gritar a su esposa, usted puede iniciar una sesión en la página web"
BrownList ofrece un foro para que las personas publiquen quejas específicas y para que los usuarios propongan soluciones a los problemas.

Las sugerencias serán votadas por miembros del sitio decidiendo qué respuesta es la mejor.

"En lugar de simplemente quejarnos, nos permite obtener soluciones positivas", dijo a una audiencia de cientos de 'hackers' que participan en un congreso de tres días.

McAfee dijo que planea hacer dinero mediante servicios de suscripción con empresas, pero no dio más detalles.

Dijo que estaba buscando más inversores para la página, que puso en marcha con 450.000 dólares iniciales de un inversor privado, cuyo nombre no quiso revelar.

El empresario británico-estadounidense fue el fundador en 1987 de McAfee, pionero del software antivirus informático, que posteriormente fue vendida a Intel en 2010.

Fuente: iProfesional

Alemania endurecerá las penas por la #pornografía infantil

Berlín (Reuters) - Alemania quiere ampliar su definición de pornografía infantil y encarcelar hasta tres años a la gente que posea o distribuya fotos de niños desnudos que sean consideradas pornográficas, según un nuevo proyecto de ley.

"Las nuevas normas mejorarán la protección de las víctimas de ofensas sexuales", dijo el ministro de Justicia Heiko Maas al presentar el texto, que fue aprobado por el gabinete alemán el miércoles.

Hasta ahora, sólo las imágenes en la que un niño estaba en "una postura sexual extraña" eran ilegales en Alemania, pero la nueva ley ampliaría la definición de lo qué tipo de poses desnudas se consideran pornografía ilegal.

"Nadie puede ganar dinero con los cuerpos de los niños y los adolescentes", dijo Maas, quien añadió que la ley no pretende que los padres no tomen fotos de sus propios hijos en la playa.

El debate público y la presión para una ley más dura llegaron después de que el prominente parlamentario socialdemócrata Sebastian Edathy fuera investigado por imágenes de niños desnudos descargadas en su portátil del Gobierno. Las imágenes no eran ilegales y Edathy ha negado que poseyera pornografía infantil.
"La pornografía infantil es un abuso sexual. Los niños no son capaces de defenderse contra tal violencia y son traumatizados".
La ley da protección a las personas que son fotografiadas contra su consentimiento o sin su conocimiento en poses "que probablemente dañen significativamente la reputación de la persona" y que podrían usarse para el ciberacoso. Esto incluiría personas que están borrachas o que son víctimas de delitos violentos.

El borrador también arremete contra el acoso sexual infantil a través de Internet.

Fuente: Investing

20/9/2014

Consejos para proteger una empresa del hackeo


Los últimos acontencimientos en materia de seguridad, tales como la filtración de cinco millones de contraseñas de Gmail, han llevado a muchas empresas a preguntarse qué pasa con los ataques dirigidos a grandes compañías en los que los ciberdelicuentes consiguen tener acceso a información privilegiada o cómo pueden las empresas prevenir estos riesgos.

Un grupo español se ha propuesto ayudar a las empresas a evitar ser víctimas del hackeo y para ello acaba de publicar nueve consejos:
  • Informar periódicamente la plantilla: Las compañías deben instaurar ciclos de formación sobre las medidas que deben seguir los empleados para gestionar sus contraseñas en su trabajo diario.
  • Crear una política que obligue a generar contraseñas robustas: que tengan al menos 8 caracteres en la que se alternen mayúsculas, minúsculas y números. La firma además aconseja que éstas no se encuentren en el diccionario y que no tengan que ver con la vida personal de los usuarios.
  • Instaurar la costumbre de cambiar las contraseñas cada cierto tiempo: Para una mayor seguridad, es recomendable que todos los colaboradores de la empresa cambien sus contraseñas cada 3 ó 6 meses.
  • Cifrar todas las contraseñas de los empleados con un algoritmo robusto
  • Nunca almacenar las contraseñas de los empleados, usar en su lugar un hash
  • Crear un segundo factor de autenticación para los empleados
  • Permitir que los empleados puedan escribir su propia pregunta personalizada en un sistema de preguntas recordatorio para reseteo de contraseñas
  • Cambiar las contraseñas por defecto de todas las aplicaciones que use la empresa
  • Investigar la seguridad de los servicios que quieran usar los empleados para su trabajo y elegir el más seguro.
Fuente: CSO España

El Gobierno de Ecuador invertirá en defensa cibernética

Ecuador tiene previsto invertir ocho millones de dólares para crear un comando de defensa cibernética que deberá estar en plena actividad a mediados del próximo año, informó la ministra del área.

La titular de Defensa María Fernanda Espinosa señaló: "Queremos estar preparados para cualquier ataque que quiera vulnerar la seguridad del Estado" y destacó que Ecuador uno de los 10 países de América Latina que es blanco permanente de ataques cibernéticos.

Añadió que el Consejo Sudamericano de Defensa que tiene el mandato de los jefes de Estado de la Unión de Naciones Suramericanas se propone avanzar en una estrategia compartida con la idea "crear una suerte de anillos que protejan nuestras comunicaciones".

El general Luis Garzón, jefe del comando conjunto de las fuerzas armadas, dijo que se ha puesto un plazo de 30 días para organizarse y dar inicio al proyecto.

"Esto implica una minuciosa selección de personal, de talento humano tanto civil como militar" en universidades de todo el país. "Somos sujetos de espionaje, están violando (nuestros) sistemas de seguridad", afirmó, citado por la agencia AP.
"Somos sujetos de espionaje, están violando (nuestros) sistemas de seguridad"
Los episodios de piratería cibernética se han repetido en torno al gobierno y el presidente Rafael Correa (en la foto). Incluso en 2012 un pirata informático clonó la identidad del mandatario ecuatoriano en el portal de datos públicos.

Fuente: iProfesional

19/9/2014

Encuentra trabajo crackeando una #smartcard

Una empresa de Girona ofrece empleo y 10.000 euros a quien rompa su producto estrella: una tarjeta-chip para guardar certificados y contraseñas

Las empresas españolas que fabrican tarjetas inteligentes pueden contarse con los dedos de una mano. Entre ellas destaca de forma importante Arkocard, con sede en Girona. Arkocard tiene la respuesta a la gran pregunta que se hacen cada vez más usuarios: ¿Si no podemos guardar las contraseñas en una libreta o un post-it, y tenemos demasiadas para memorizarlas, dónde las guardamos? Desde 2010 Arkocard dedica buena parte de su I+D a una smartcard pensada específicamente para almacenar contraseñas y certificados digitales. La empezó a comercializar en 2012 y ahora reta a la comunidad de hackers especializados en "cracking" (crackers) a romperla.

Arkocard nació en 1996 como fabricante de tarjetas de plástico y hoy en día la mitad de su producción son tarjetas con tecnologías de última generación, de las cuales fabrica 3 millones al mes. Una de sus grandes apuestas han sido las tarjetas RFID, que se leen por medio de radiofrecuencia, además del desarrollo de tarjetas criptográficas a las que se puede incorporar firma digital. Entre ellas brilla con luz propia la Safe Keeper Card, que permite guardar contraseñas cifradas y hasta diez certificados digitales dentro de su chip. De esta forma, sólo es preciso recordar una contraseña: la de la tarjeta.

Para usar la Safe Keeper Card hay que disponer de un lector de tarjetas conectado al ordenador. La tarjeta cuesta 25 euros y puede comprarse en tiendas de informática. La web Safekeepercard.com muestra en un mapa los puntos de distribución a nivel mundial. En la misma web se anuncia el concurso que acaba de poner en marcha Arkocard, para probar la seguridad de esta tarjeta. Es un reto a la comunidad cracker, en el que se premia con 10.000 euros a quien consiga "romper su seguridad y hackear sus entrañas para acceder a su contenido". El premio que ofrece Arkocard es una cantidad alta debido a que hoy en día la mayoría de smartcards son productos muy seguros y quien consiga atacarlas necesita una inversión considerable de tiempo y equipos. Más aún si se trata de una tarjeta pensada para almacenar contraseñas, con 4 años de I+D encima, como es la Safe Keeper Card.

El reto se presenta en forma de juego, que consiste en "conseguir 7 bolas por medio de enlaces ubicados en la memoria cifrada de la tarjeta". Los participantes deben registrarse en la web, comprar la tarjeta y tratar de averiguar el PIN y PUK de la misma. Una vez conseguido el reto, los ganadores deberán "acreditar y presentar el método utilizado para lograr acceder al contenido de la tarjeta", lo que convierte el juego en una auditoría de la Safe Keeper Card, con informe incluido. La empresa usará el reto para captar nuevos talentos que incorporar a su plantilla de 30 trabajadores. La fecha límite del concurso es el 31 de diciembre de 2014.

Akrocard fabrica también la tarjeta Biocard, ecológica y biodegradable, que ha recibido la certificación de biodegradabilidad por parte de un laboratorio independiente, bajo el acuerdo y supervisión de la Universidad de Milán. Los clientes de Akrocard son diversos: ayuntamientos; consorcios de transporte, entidades, asociaciones, empresas de varios ámbitos, cadenas hoteleras y mutuas de asistencia médica y de viaje. Sus tarjetas se usan en entornos de transporte público, servicios municipales (tarjeta ciudadana, bicing/Girocleta), comercial y publicitario, fidelización de clientela, control de asistencia, identificación de equipaje, asistencia en viajes, apertura de puertas para cadenas hoteleras y carnés de socio. Akrocard también cuenta con una línea de distribución de impresoras de tarjetas plásticas, para ofrecer a los clientes un servicio integral. Estas impresoras permiten personalizar las tarjetas y se venden en la misma empresa. La empresa facturó el año pasado 3 millones de euros.

Fuente: Akrocard