Los backpackers hackers sí existen

Jorge Avello*
[email protected]

Los ahora conocidos como backpack hackers son toda una organización delictiva informática.

Es probable que haya escuchado ya de ellos o los haya visto pasar frente a su edificio o, probablemente, los haya mirado desde la ventana de su oficina. ¿No sabe aún de quiénes se trata? Pues se trata de esos discretos personajes de mochila al hombro o backpack, que se hacen pasar por jóvenes desinteresados que sólo aparentan estar interactuando con su laptop, la que traen consigo en su mochila.

No se confíe, estos aparentemente inocentes jóvenes son toda una organización delictiva informática; en un principio fueron conocidos en Estados Unidos como wardrivers y ahora, gracias a la tecnología inalámbrica, ya son conocidos como backpack hackers.

El modus robandi de estos jóvenes es llegar al edificio corporativo “objetivo”, sacar su laptop y encenderla en búsqueda de redes corporativas abiertas o de código cifrado, ya no importa si están protegidas con algún firewall. Ellos han demostrado ser hábiles, y aunque exista por ahí alguna barrera, se toman su tiempo para conocerla con el fin de ingresar ilegalmente a las redes privilegiadas. Es entonces cuando comienzan a explorar y sustraer valiosa información.

Ladrón que deja huella
Estas organizaciones juveniles han desarrollado todo un lenguaje de señales y contraseñas. Imagínese a uno de ellos ingresar ilegalmente o detectar algún orificio virtual por donde entrar y salir de una red en algún edificio determinado; su función es dejar "huella", es decir, colocar un aviso, marca o señuelo para indicar que ese edificio es vulnerable para recibir un ataque.

Tecnología mochilera
Estos jóvenes se han allegado de tecnología de punta para el rastreo y desciframiento de códigos de acceso, algoritmos de identificación, catálogos de cuentas maestras y todo tipo de ganzúas digitales. Es más, es bien sabido por los investigadores de este movimiento que estos chicos mejoran y adaptan sus laptops, alterando sus motherboards, memoria y procesadores, al mismo tiempo que modifican la potencia de transmisión, frecuencia y envío de señales de sus tarjetas inalámbricas o antenas internas, con el objetivo puntual de sobreponerse a los firewalls instalados por los corporativos.

Como siempre, las autoridades son las últimas en enterarse de los actos criminales. Considérese que esta actividad de penetración ilegal a una red ajena todavía no está legislada (no me imagino las celdas de los separos de la delegación llenas de ejecutivos de corbata y portafolios, acusados por el juez de haber ingresado ilegalmente a una red ajena sin permiso, mientras que esperaban ser atendidos por sus clientes, o antes de entrar a una junta de ventas).

Algunas recomendaciones
No queremos decir que a partir de ahora a toda persona que traiga una backpack se la deba consignar a las autoridades, no. Más bien se trata de reforzar y hacerse de protección robusta y elevada, capaz de proteger su entorno de red y su información crítica.

Los pasos a seguir son:

* Identificar la configuración de su entorno. Mire el nivel de protección de su servidor (preferentemente que sea el más elevado).
* Ver cuál información está compartida y determinar si es necesario tenerla disponible para todo el mundo. Si no es así, remuévala o elimine la función de ser observable y modificable por todo su entorno.
* Informarse sobre cuáles son los mejores proveedores de soluciones de seguridad robusta, y recordar: aunque se tenga el site lleno de cajas de soluciones antitodo, es probable que siempre quede un lugarcito para una mochila.

(*) El autor es consultor técnico de seguridad en Internet Security Systems (ISS) y responsable de proporcionar la dirección alrededor de las vulnerabilidades, el uso determinado del nivel de severidad y el uso de controles de atenuación para conducirlos a una solución adecuada.

Fuente: http://www.esemanal.com.mx/articulos.php?id_sec=5&id_art=3689
___

Seguir leyendo...

En Alemania quieren meter a la gente 10 años en la cárcel por entrar en un sistema informático

La araña va tejiendo su tela, lenta pero inexorablemente. Hoy aquí, mañana allí, de forma que nos sea más difícil captar la pintura completa aunque, francamente, ¿realmente nos importa?.

Todo lo empezó Estados Unidos, con su Convención de Cibercrimen, supuestamente para organizar la colaboración entre policías del mundo "civilizado" en su lucha contra la criminalidad informática y, claro, las ofensas al "copyright". Era el año 2001, España firmó también, aunque nunca ratificó la Convención, que sigue vivita y de vez en cuando vamos leyendo noticias aisladas sobre el tema, como esta reciente:

UK Senate ratifies Cybercrime treaty

Jamás sabremos todos sus usos auténticos (algunos la relacionaron con Echelon y la era post-Echelon), sólo que va coleando.

Bien. Cuando ya tuvieron a los gobiernos y sus respectivas fuerzas de seguridad jugando bajo el mismo "protocolo", llegó la hora de buscarles un campo de juego. Y aquí entró la directiva europea de retención de datos. Hubo protestas y recogida de firmas pero, nada, los agentes Smith la aprobaron y ahora sólo queda observar sus movimientos.

Por cierto que esta directiva contenía un punto que establecía, como escribí en el 2002, que "sólo se podrá mandar correo electrónico comercial a quién lo haya pedido expresamente y la obligatoriedad para los sitios que operen con "cookies" (archivos de seguimiento) de avisar a los usuarios. Antes de finales de julio del 2003 los estados miembros deberán haber adaptado a su legislación las nuevas directrices".

Estamos a 2006 y me da la sensación que, aunque el tema retención de datos ha avanzado, el tema "spam" y "cookies" está como parado... Pero tampoco vamos a hacernos las víctimas (es un juego envenenado) ni realmente esperamos jamás que esta gente nos solucionase nada (creo que puedo ponerlo en plural).

Bueno, y entonces, cuando ya teníamos a los policías configurados y les habíamos dado un sitio para jugar, faltaba el "equipo contrario", los "cabezas de turco" o como te apetezca llamarlos. Allí estaban los terroristas pero, aunque siempre se llenan la boca de ellos, francamente creo que son objetivos tan difíciles como acabar con el "spam". Por tanto, buscaron a otros más fáciles (eso creen).

En marzo de 2005, se daba a conocer que la intromisión en sistemas y datos informáticos se penará con entre uno y tres años de cárcel en la Unión Europea, a partir de 2007, según acaba de publicarse en su Diario Oficial.

Sólo era cuestión de esperar el goteo de estados europeos que seguirían el mandato de los agentes Smith. España fue de los primeros y en julio nos enterábamos de que iban a cambiar el Código Penal para que sea delito simplemente entrar en un sistema, hagas o no daño (hacer daño o atacar la intimidad ya era delito antes). Sólo entrar.

Ahora, Alemania pone una cifra: no 3 años, como decía Europa, no. Alemania propone meter a la gente un máximo de 10 años en prisión por entrar en sistemas, aunque no se lleve ni rompa nada, aunque lo haga con los ojos vendados (estoy segura de que existe alguien en el mundo capaz de eso).

Germany proposes hacker law update

Fuente: http://www.filmica.com/port666/archivos/004599.html
___

Seguir leyendo...

Seguridad en dispositivos móviles: conocer los riesgos

Por Nela Adans
[email protected]

A pesar de la información existente y lo razonable que parece ser que proteger la información reditúa porque se evitan valiosas pérdidas, menos del 40 por ciento de las empresas hacen cumplir a sus empleados una política de seguridad con los dispositivos móviles, según un informe de la industria.

Peor, 35 por ciento de los gerentes generales, cree que una política de seguridad para el uso de móviles no es vital, y uno en cinco de los encargados IT conviene con ellos, de acuerdo a un estudio sobre seguridad en las empresas (Securing The Enterprise) realizado por analistas de la firma Quocirca, para Orange Business Services.

"Las organizaciones y los empleados tienen que tomar en serio
la seguridad de los móviles, y de esta forma pueden
tranquilamente aprovecharse de las ventajas de su uso," dice
el informe.

"En un nivel estratégico esto significa que la organización
necesita hacer todo lo posible para asegurar sus procesos de
negocios y recursos, bajo la forma de una política, y se debe
asegurar que esta política sea bien entendida por todos los
involucrados."

"Sin duda que acceder a sistemas IT y a las herramientas
sofisticadas de las comunicaciones fuera de los límites
físicos de la oficina, expone a mayor riesgo a la
organización, y en algunos casos al empleado individualmente,
pero esto tiene que ser compensado por la ganancia devuelta,"
agrega el informe.

El estudio concluyó que si la seguridad se maneja correctamente, los riesgos son aceptables, dadas las posibles ganancias para una compañía. No se puede desconocer lo útil que los dispositivos móviles son a la hora de utilizarlos en los negocios, solo que no se debe eludir tener una políticaclara de seguridad.

* Relacionados:
Estrategias de privacidad para las empresas
http://www.vsantivirus.com/na-estrategias-privacidad.htm

Información crítica en celulares de segunda mano
http://www.vsantivirus.com/na-05-09-06.htm

¿Teléfonos o computadoras?
http://www.vsantivirus.com/eb-07-08-06.htm

Normas para la seguridad de los dispositivos móviles
http://www.vsantivirus.com/eb-16-09-06.htm

Fuentes:
One in three managers snub mobile security
http://www.vnunet.com/2165203

http://www.vsantivirus.com/na-seguridad-moviles.htm
___

Seguir leyendo...

De la revelación total a la mentira absoluta

Excelente artículo (en inglés, claro) en NewsForge sobre el cambio que se está produciendo en la política de revelación de vulnerabilidades.

Y es que hemos pasado del "Sálvese quien pueda" del movimiento full-disclosure, a una actitud mucho más contemporizadora, en que el descubridor silencia la vulnerabilidad hasta que el fabricante dispone del remedio. ¿Y después?...

Sin entra a discutir -por enésima vez- qué es mejor para los usuarios, sí que cabe preguntarse si es tolerable que el fabricante mienta descaradamente, como según afirma Newsforge, está haciendo Apple sobre la vulnerabilidad de sus drivers wireless ya tratada anteriormente por aquí.

Me ha parecido para enmarcar el último párrafo de este artículo:

"La buena noticia es que si se utiliza software libre/abierto se es inmune en gran medida, no sólo a vulnerabilidades de vida tan dilatada como éstas, sino a la perversa indiferencia de las firmas propietarias que anteponen sus campañas publicitarias a la seguridad de sus clientes. La transparencia del software Open Source hace que este juego de negativas sea imposible y los largos retrasos inexcusables".

Fuente: http://www.kriptopolis.org/node/2966
___

Seguir leyendo...

Reunión de Hackers en oficinas de Yahoo

Por Ramón Urán (*)

Los magos de software del mundo entero se reunirán en las oficinas principales de Yahoo en Silicon Valley este viernes y sábado en una maratón de hackers de toda la noche, impulsando el espíritu de la innovación.

Yahoo promueve esta programación de 24 horas que además es gratis y por primera vez una celebración del día del hacker abierta a todo público y dice además que servirá para derribar barreras entre los ingenieros de software y los usuarios.

Esto promoverá el avance de nuestros productos con la ayuda de los hackers quienes manipularán el software de manera creativa y no con malas intenciones, dijo Chad Dickerson, director de desarrollo de redes de Yahoo.

"Un hacker es alguien que con sus conocimientos también puede construir cosas, no solo destruirlas", dijo.

"Dentro de la comunidad de Yahoo, ser llamado hacker puede ser considerado incluso un honor".

Yahoo reúne periódicamente a los hackers para que "compartan su amor" por su afición.

Los hackers que solamente piensan en la destrucción son denominados dentro de la comunidad como "black hats" (sombreros negros).

Los distribuidores de software de Estados Unidos y Canadá tendrán sus ojos puestos este fin de semana en Sunny Valley en el campo de pruebas de Yahoo en California.

Podrán trabajar tanto individualmente como en grupos y tendrán que demostrar sus creaciones luego de terminadas las 24 horas del evento, el día sábado.

"Les daremos todas las herramientas necesarias así como lugares tanto para dormir, comer y divertirse", dijo Dickerson.

"Otro concepto de este años es que no hay ninguna regla establecida previamente. Hemos visto que los hackers trabajan mejor si se les da total libertad de creación". Yahoo estima que participarán unas 500 personas del evento.

Yahoo to rebrand hackers
http://australianit.news.com.au/articles/0,7204,20474006^15344^^nbv^15306-15321,00.html

Fuente: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=676
___

Seguir leyendo...

Defensa en profundidad de sistemas de información

En varias ocasiones hemos mencionado la excelente fuente de información que es la página web de la Dirección Central de la Seguridad de los Sistemas de Información (SGDN/DCSSI) del Gobierno francés. Además, en un ejemplo de visión internacional, publica todos sus contenidos en francés, inglés, español y alemán.

Destacamos hoy un documento de 51 páginas dedicado a presentar la defensa en profundidad de los sistemas de información.

El concepto de defensa en profundidad tiene origen militar, de cuando las ciudades eran fortalezas, y así es como comienza el documento a presentarlo, pasando luego al terreno industrial y al de los sistemas de información. Aquí, se puede destacar la definición del término: "La defensa en profundidad del sistema de información es una defensa global y dinámica, que coordina varias líneas de defensa que cubren toda la profundidad del sistema. El término profundidad debe entenderse en su sentido más amplio, es decir, en la organización del SI, en su implementación y, por último, en las tecnologías utilizadas. Se trata, por lo tanto, de permitir acciones de neutralización de los atentados contra la seguridad, al menor costo, mediante la gestión de los riesgos, un sistema de informes, la planificación de las reacciones y el enriquecimiento permanente gracias a la experiencia adquirida".

A continuación, se hace un estudio teórico de todos los conceptos y fases que forman parte de este método y se aplican, por último, en la presentación de un caso práctico de un servicio de solicitudes vía Internet de documentación personal.

Fuente: http://www.iso27000.es/
___

Seguir leyendo...

Historia de una Certificación real en BS 7799-2:2002

David Brewer y Michael Nash, consultores y expertos en seguridad de la información, han autorizado a www.iso27000.es a traducir su interesante documento "A TALE OF BS 7799-2 CERTIFICATION", donde explica a modo de diario personal cómo consiguieron la certificación de su Pyme en las dos normas ISO 9001 e ISO 27001 de forma integrada y con un único sistema de gestión.

El artículo es anterior a la publicación de la norma ISO 27001, por lo tanto, la norma vigente en la fecha del artículo era BS 7799-2:2002. El artículo pretende servir de ayuda a las Pymes al dar una visión muy útil y de primera mano tanto sobre el proceso de implantación, así como de la propia visita de auditoría.

Descarga desde Artículos y Podcast.

Original en inglés e información en Gamma Secure Systems Limited.

Tanto el Dr. David Brewer como el Dr. Michael Nash son dos expertos en seguridad de la información reconocidos internacionalmente. Llevan más de 20 años colaborando activamente en la redacción y publicación de distintos estándares, como Common Criteria, ITSEC, BS7799-2, etc. Además, a través de su empresa Gamma Secure Systems Limited han asesorado a multitud de organizaciones en la implantación de sistemas de gestión de seguridad de la información. Su página web es una valiosa referencia llena de informaciones, metodologías y artículos.

Ambos han dado su consentimiento explícito a www.iso27000.es para la traducción y difusión desde esta Web de los tres artículos publicados.

Fuente: http://www.iso27000.es/
___

Seguir leyendo...

Nuevas vulnerabilidades en Internet Explorer y PowerPoint

Por Sergio de los Santos
[email protected]

Coincidencia o no, apenas unas horas después de que Microsoft publicara su parche oficial que corrige la vulnerabilidad VML, ha aparecido una nueva forma de ejecutar código arbitrario de forma inadvertida para el usuario de Internet Explorer. Por si fuera poco, simultáneamente Microsoft ha confirmado una grave vulnerabilidad en PowerPoint.

En julio de 2006, HD Moore se propuso hacer pública una vulnerabilidad cada día que afectase a navegadores. Debido a su partición en el proyecto Metasploit, dice poseer una amplia colección de errores, y bautizó a ese mes como el de los bugs en navegadores. Eligió y publicó una muestra cada uno de sus 31 días. Aunque no se centró en Internet Explorer, sí que es cierto que la mayoría le afectaban. Muchos no eran más que "simples" formas de hacer que el navegador mordiese el polvo (dejase de responder o acaparase todos los recursos), pero otros quedaron como posibles métodos de ejecución de código.

El día 17 de julio publicó un fallo relacionado con el método setSlice()
del navegador que fue calificado en un principio como denegación de
servicio. Sin embargo, el día 27 de septiembre aparece una forma de
aprovecharlo para ejecutar código. No deja de ser más que destacable la
"casualidad" de que surja un nuevo agujero de seguridad en Internet
Explorer horas después de que oficialmente se cierre otro. Hace ya meses
que Microsoft no hace más que sofocar fuegos (más o menos a tiempo,
siempre discutible) para que se prenda otra llama que permita nuevos
ataques. Parece como si los atacantes esperasen pacientemente a que se
corrija una vulnerabilidad, aprovechándola al máximo, para echar mano de
otra y volver a infectar sistemas.

También como "casualidad" (por la coincidencia en el tiempo), Microsoft
ha publicado un aviso de seguridad oficial en el que afirma que existe
una vulnerabilidad en PowerPoint (en todas sus versiones, incluso para
Mac) que permite la ejecución de código arbitrario. Este fallo se está
aprovechado activamente para la instalación de malware. Después
de algunos errores cometidos por casas antivirus, en los que se
calificaba como "0 day" vulnerabilidades con cierta solera, esta vez
parece que sí, que el peligro es real y no existe parche.

En realidad, no existe parche oficial para ninguna de estas
vulnerabilidades. Para Internet Explorer, se recomienda desactivar la
ejecución de componentes ActiveX en el navegador, si es posible usar
alternativas (cada vez más necesario) o utilizar la aplicación con
mínimos privilegios. Para PowerPoint, igualmente cabe la posibilidad de
usar alternativas (OpenOffice.org se presenta como perfecta candidata),
la edición Viewer de PowerPoint para abrir documentos no solicitados o
sospechosos o también protegerlo con mínimos privilegios. En ambos casos
siempre es necesario mantener un sistema antivirus actualizado.

En estos momentos, para Microsoft existen cuatro vulnerabilidades más
o menos recientes y que permiten ejecutar código (y además se está
haciendo). Una en Word (conocida públicamente desde el día 5 de
septiembre), dos en Internet Explorer (una desde el 13 de septiembre
y la que acabamos de describir) y otra en PowerPoint (también recién
descubierta).

Con esta tendencia, Microsoft se enfrenta a un grave problema y todavía le queda un duro trabajo por hacer. Los usuarios finales y administradores sufren las consecuencias, y debe ser más que complejo y agotador el poder llevar la cuenta de las aplicaciones vulnerables, las contramedidas efectivas y los fallos corregidos. Sin duda ellos se llevan la peor parte.

Más información:
MoBB #18: WebViewFolderIcon setSlice
http://browserfun.blogspot.com/2006/07/mobb-18-webviewfoldericon-setslice.html

Vulnerability in PowerPoint Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/925984.mspx

Fuente: http://www.hispasec.com/unaaldia/2896/
___

Seguir leyendo...

Nuevo Caballo de Troya

Un programa aparentemente de bromas en la TV australiana construye un Caballo de Troya y comprueban que el truco aún funciona y logran entrar a ciertas áreas restringidas, y es que no hemos aprendido nada de la historia.

Ver video

Fuente: http://alt1040.com/archivo/2006/09/27/no-hemos-aprendido-nada-de-la-historia/
___

Seguir leyendo...

Unen esfuerzos en EU para abatir pornografía de niñas y niños

Por Leticia Puente Beresford, corresponsal

Washington, 26 sep 06 (CIMAC).- Diversas compañías servidoras de Internet unifican aquí esfuerzos legislativos y financieros para combatir la pornografía infantil, cerrarán las páginas, rastrearán los sistemas de pago y castigarán con cárcel a ese tipo de delincuentes.

Unidas en una Coalición, buscan erradicar este tipo de “negocio” para el 2008 en los Estados Unidos y al mismo tiempo esperan la colaboración internacional, porque el problema es mundial.

La batalla en contra del crecimiento de la pornografía infantil en internet, es una iniciativa que ha empezado a bloquear los sitios que ofrecen imágenes de menores y que están bajo investigación criminal.

El Servicio de Internet y Asociaciones Proveedoras de Estados Unidos, así como AOL, Earthlink, Google, Yahoo, Microsoft y United Online; Financial Coalition Against Child Pornography conformada por Visa, MasterCard y American Express; National Center for Missing and Exploited Children; House Energy and Commerce Committe y legisladores como Joe Barton, se reunieron el pasado jueves y viernes para dar forma a las iniciativas de combate a la pornografía infantil en internet.

Las compañías financieras expusieron que ha sido difícil identificar a los explotadores de niñas y niños en las páginas de internet, y por ello hicieron un llamado para que la colaboración sea a nivel mundial, sobre todo entre los servicios financieros de la industria y que las autoridades contribuyan con leyes más fuertes.

Mark MacCartthy vicepresidente de políticas públicas de Visa de los Estados Unidos dijo que es necesario trabajar unidos con las demás compañías financieras de servicios, e identificar las paginas de internet, señalar a los comerciantes que están traficando con esta actividad ilícita y dar asistencia a las leyes para poner a los delincuentes en la cárcel y terminar con ellos por el bien de todos.

Durante la sexta reunión anual, Ernie Allen, presidente de National Center for Missiong and Exploited Children explicó que las tácticas a seguir como es la de “rastrear el dinero” será un esfuerzo para erradicar ese “negocio” para el 2008.

“Estamos cambiando el proceso de monitoreo en Internet”, agregó.

Por su parte Christopher J. Christie, abogado por el estado de New Jersey y quien llevó a cabo la investigación de pornografía infantil en Internet desde Europa hasta Mount Laurel N.J., explicó que en este momento existe la preocupación de que ahora se esta dando un fenómeno de “buscadores de fotografías infantiles por nombre” además de que están utilizando otros sistemas de pago para dar de alta las páginas.

Por lo pronto, la iniciativa esta cerrando el paso a los delincuentes de la pornografía infantil y sólo falta esperar que se pueda contar a futuro con leyes más fuertes a nivel mundial para así erradicar la pornografía infantil.

Gran Bretaña esta haciendo lo propio y de acuerdo a estadísticas, en ese país la pornografía infantil disminuyó de 18 por ciento en el 1997 a 0.2 por ciento este año, mientras que en Estados Unidos en igual periodo aumentó hasta en un 50 por ciento, dijeron fuentes oficiales.

Fuente: http://www.cimacnoticias.com/site/06092610-Unen-esfuerzos-en-E.1247.0.html
___

Seguir leyendo...

Conceptos de Analisis de Riesgos

Una de las dificultades más habituales a la hora de abordar un análisis de riesgos suele ser la definición de conceptos. En este post no quiero dar definiciones oficiales, sino tratar de aclarar las diferencias entre todos ellos. Veamos si lo logro.

Activo: Es cualquier "cosa" que tiene valor para la empresa. Un servidor es un activo, una licencia también lo es. Pero no sólo eso: las personas, los servicios, los procesos, la imagen de la empresa, la marca... todo son activos.

Valor: Es la importancia que tiene ese activo dentro de la empresa. No su valor económico. Pongamos un ejemplo sencillo. ¿Cuál es el valor del carnet de conducir? ¿Lo que ha costado conseguirlo (autoescuela, tasas, ...)? Pues no, depende de la importancia de ese activo para la empresa. Para un autónomo que trabaja entregando paquetes a domicilio tiene más valor que para otro que trabaja en casa como teleoperador.

Amenaza: Es aquél elemento que puede provocar daños sobre el activo. Si estamos clavando un clavo, y el activo es nuestro dedo, está claro que la amenaza es que el martillo nos golpee.

Probabilidad de ocurrencia de la amenaza: Es la probabilidad de que la amenaza se materialice, es decir, la probabilidad de pegarnos un martillazo en el dedo. A nivel estadístico, genérico.

Vulnerabilidad: Es el grado de debilidad de un activo frente a una amenaza, la capacidad que tiene la amenaza de afectar a el activo. En nuestro caso, cómo de resistente es el dedo frente al martillazo.

Exposición: Es la medida de la vulnerabilidad, lo desprotegido que está. Dependerá de si tenemos guantes o si somos unos "machotes".

Incidente: El martillazo (la materialización efectiva de la amenaza, aprovechando la vulnerabilidad).

Degradación: Es un término que utilizan algunas metodologías para referirse al potencial que tiene la amenaza de dañar al activo. Cuánto daño es capaz de provocar el martillazo.

Impacto: Es un término con significados parcialmente distintos en función de la metodología que se utilice, pero que viene a hacer referencia al resultado de que se produzca el incidente. En definitiva, cuánto duele el dedo si nos pegamos un martillazo en él.

Riesgo o nivel de riesgo: Es el resultado de combinar todos los términos anteriores. Para ser más claros, la probabilidad de que una amenaza aproveche la vulnerabilidad del activo para provocar un daño. La probabilidad de que nos hagamos daño al pegarnos un martillazo en el dedo.

Controles o contramedidas: Medidas dispuestas para rebajar el nivel de riesgo: usar guantes (o guantes más gruesos), aprender o perfeccionar nuestro uso del martillo, fortalecer nuestro dedo, subcontratar la tarea...

Estos términos pueden variar en función de la metodología que utilicemos, pero los conceptos van a ser siempre los mismos. Lo importante es tener clara la metodología, y que todo el mundo piense en lo mismo cuando hacemos uso de ellos. Sobre todo, ahora que ya están más claros...

Fuente:
http://secugest.blogspot.com/2006/09/conceptos-de-analisis-de-riesgos.html
http://coversec.blogspot.com/2006/02/elementos-del-anlisis-de-riesgos-i.html
http://coversec.blogspot.com/2006/02/elementos-del-anlisis-de-riesgos-ii.html
http://coversec.blogspot.com/2006/02/elementos-del-anlisis-de-riesgos-iii.html

Seguir leyendo...

Los estadounidenses creen que sus jefes tienen derecho a "espiar" sus emails

Un estudio revela que los estadounidenses que trabajan en el sector privado creen que sus empleadores están autorizados a monitorear sus comunicaciones mediante internet, a pesar de que se trata de una violación a su privacidad.

Según la encuesta realizada por investigadores de la Universidad Estatal de Iowa y de la compañía de seguridad informática Palisade Systems, todos los empleados de grandes empresas afirmaron que es apropiado vigilar sus mensajes de correo electrónico, mensajería instantánea y otros sistemas de comunicación, para asegurarse de que no están compartiendo información con terceros de forma ilegal.
Según la encuesta realizada por investigadores de la Universidad Estatal de Iowa y de la compañía de seguridad informática Palisade Systems, todos los empleados de grandes empresas afirmaron que es apropiado vigilar sus mensajes de correo electrónico, mensajería instantánea y otros sistemas de comunicación, para asegurarse de que no están compartiendo información con terceros de forma ilegal.

El estudio revela que de un total de 171 trabajadores encuestados (provenientes de los sectores gubernamental, comercial y educativo), sólo el 11% de los empleados gubernamentales y el 31% de los trabajadores universitarios sintieron que sus empleadores podrían haber monitoreado sus comunicaciones.

Los investigadores afirman que la disparidad en las opiniones se basa en que los trabajadores de compañías estadounidenses son amenazados constantemente por códigos de procedimientos laborales que califican al tráfico de información como uno de los problemas más importantes de la empresa y como causa justificada de despido.

Fuente: http://iblnews.com/story.php?id=18098
___

Seguir leyendo...

Pero, ¿Qué es el canon? ¿Cómo me afecta?

El Canon te afecta: fotos y videos digitales, telefonos, ordenadores, reproductores, grabadores, dvds, cds. Averigua algo más, averigua por qué y cuánto has de pagar.
27-09-2006 - Artículo reproducido de COMFIA.info

Canon Digital:

Una propuesta injusta y desproporcionada que frena el desarrollo económico, dificulta la incorporación de ciudadanos y pymes a la sociedad de la información.

Sobre el Canon Digital

¿Qué es el Canon Digital?
El Canon es un cantidad de dinero, parecido a un impuesto, que se aplica a todos los equipos y soportes electrónicos y que se justifica legalmente como “una compensación a cambio del derecho a realizar copias privadas de los contenidos que adquirimos legalmente” tal y como se recoge en el Artículo 25 (Compensación equitativa por copia) introducido en la reciente reforma de la Ley de Propiedad Intelectual (LPI).

Leer completo
___

Seguir leyendo...

Datos personales: preocupa la falta de protección en Internet

Informe de IdentidadRobada y Segu-Info publicado en Infobae

Inquietan la fragilidad de algunos sitios y la falta de una norma que condene el "hackeo". El caso de Enargas reavivó la necesidad de una regulación penal

En momentos en que el Ente Nacional Regulador del Gas (Enargas) acaba de aprobar un sistema de identificación digital para reforzar la seguridad pública de los usuarios de GNC, recientemente el sitio oficial del organismo fue "hackeado", con lo que expertos mostraron su preocupación por la escasa protección técnica y legal con la que cuentan hoy algunas páginas en Internet que administran datos personales.

Seguir leyendo
___

Seguir leyendo...

Actualización crítica de Microsoft para IE (bug en VML)

Microsoft acaba de lanzar la actualización MS06-055 (925486) para Internet Explorer 5.01 y 6.0 corriendo sobre Windows 2003 y XP.

Es altamente recomendable la actualización de estos sistemas debido a que la vulnerabilidad corregida (VML) está siendo explotada por múltiples exploits que se aprovechan de ella para instalar troyanos en los sistemas afectados.
Sólo esperemos que esta solución no abra nuevos agujeros.

La actualización puede ser descargada desde aquí o esperar a la actualización automática si la tuviera activada.

Otra solución aceptable es cambiar IE definitivamente por otro navegador como FireFox.

Más información en http://seguinfo.blogspot.com/2006/09/inefable-explorer-actualizacin-no.html gracias a Kriptopolis.com y otras fuentes.
___

Seguir leyendo...

Los desarrolladores de virus experiementan con el "contagio lento"

Parece que los autores de los nuevos virus informáticos están tratando de comprobar el funcionamiento de una nueva técnica de expansión de los virus. Una que los contagia mucho más lentamente, haciendo que sean mucho más difíciles de detectar por parte de las empresas de seguridad.

La empresa de seguridad Symantec dijo que en los buenos tiempos los desarrolladores de virus solo querían fama y atención rápida, lo que hacía que programasen virus que se extendían con gran velocidad.

Ahora que el papel de estos programadores es mucho más comercial, muchos están escribiendo código que se extiende de un PC a otro de forma mucho más lenta, convirtiendo al PC en una especie de robot, o captando información de tan solo un puñado de máquinas.

Algunos de los virus que Symantec ha visto contienen evidencias de que el autor ha escrito el código con la intención de que no se extienda con gran velocidad. Esto complica su detección y bloqueo por parte de las empresas de seguridad.

Al parecer han descubierto que un botnet que actúa sobre 1000 personas es tan efectivo como uno que afecta a 400.000, y es más complicado desactivarlo.

Más información en el Sydney Morning Herald.
Ver Noticia original

Fuente: http://es.theinquirer.net/2006/09/26/los_desarrolladores_de_virus_e.html
___

Seguir leyendo...

Nuevo troyano bancario dirigido a entidades españolas y latinoamericanas

Laboratorio Hispasec
[email protected]

Descubierto un nuevo troyano bancario que combina la captura del teclado físico con una técnica optimizada para los teclados virtuales.
Está diseñado específicamente contra los usuarios de diversas entidades de Argentina, Bolivia, Brasil, Cabo Verde, España, Estados Unidos, Paraguay, Portugal, Uruguay y Venezuela.

La principal novedad de este troyano reside en la combinación de la
técnica keylogger tradicional con un método de captura de pantalla
optimizado para los teclados virtuales. Esta combinación le permite
atacar a una gran variedad de páginas de autenticación de acceso a
la banca electrónica, de manera independiente a si utilizan o no
teclados virtuales.

Vídeo/Flash del troyano en la web de Banesto (técnica keylogger):
http://www.hispasec.com/laboratorio/troyano_captura_banesto.htm

El método que utiliza contra los teclados virtuales consiste en
realizar una pequeña captura de un área de pantalla, alrededor del
cursor del ratón, en el momento que el usuario hace click en la tecla
virtual. Adicionalmente, y para que el atacante no tenga la menor
duda, el troyano incluye en la imagen capturada una señal en color
rojo que indica el punto exacto donde el usuario pinchó con el ratón.

Vídeo/Flash del troyano en la web de Caja Murcia (teclado virtual):
http://www.hispasec.com/laboratorio/troyano_captura_cajamurcia.htm

Tanto el log del keylogger en formato texto, como los archivos de
imágenes capturadas en formato JPG, son enviadas por FTP al ordenador
del atacante. Una vez recibe los datos, el atacante puede hacerse
pasar por la víctima y suplantar su identidad en la web de la
entidad bancaria.

Este troyano, aunque también afecta a bancos de EE.UU o Portugal,
entre otros países, tiene su objetivo mayoritario en entidades
españolas y latinoamericanas.

Según países, el troyano se dirige a las siguientes entidades:

ARGENTINA: Banco Hipotecario, Banco de La Pampa, Banco de la Provincia
de Buenos Aires, Banco Credicoop Coop. Ltdo., Banco Ciudad de Buenos
Aires, Banca Nazionale del Lavoro, ABN AMRO Argentina, Banco Itaú del
Buen Ayre, Banco Patagonia, Banco Macro Bansud, BankBoston, Banco RIO,
Banco Comafi y Banco del Chubut.

BOLIVIA: Banco Ganadero, Banco BISA, Banco de Crédito de Bolivia,
Banco Santa Cruz, Banco Solidario y Banco Central de Bolivia.

BRASIL: Caixa Econômica Federal, Banrisul, Banco do Estado de Santa
Catarina, Banco Rural, Santander Banespa, Banco do Brasil, Banparanet,
e-tim y CitiBank Brasil.

CABO VERDE: Banco de Cabo Verde

ESPAÑA: Banca March, Bancaja, BBVA, Fibanc, Banco de Valencia,
Banesto, Banco Finantia Sofinloc, Banco Espirito Santo, Banco Cetelem,
Banco Gallego, Banco Guipuzcoano, Banco Urquijo, Barclays, Banco
Popular, Bankoa, Bansacar, Santander Central Hispano, Bbk,
Caixa Laietana, Caja Castilla La Mancha, Caja de Extremadura,
Caja Granada, Caixa Girona y Caja Murcia.

ESTADOS UNIDOS: Bank of America y Citibank.

PARAGUAY: Interbanco, Banco Amambay, Banco Continental SAECA, Banco
Regional, Banco Sudameris, Abogacía del Tesoro y BBVA.

PORTUGAL: Banco de Portugal, Millennium bcp, Banif - Banco
Internacional do Funchal, BBVA Portugal, Banco Finantia, Barclays
Bank, CitiBank Portugal y Banco Invest.

URUGUAY: BBVA, Nuevo Banco Comercial, Banco Surinvest, BankBoston y
CitiBank.

VENEZUELA: Banco Mercantil y Banco Banesco.

Más información sobre como funciona el troyano, un análisis técnico
detallado, conclusiones y comentarios adicionales, pueden encontrarse
en el siguiente informe (formato PDF):

http://www.hispasec.com/laboratorio/troyano_spain_latino.pdf

Más información:
05/09/06 Troyano bancario captura en vídeo la pantalla del usuario
http://www.hispasec.com/unaaldia/2873

12/07/2006 - Troyanos bancarios y evolución del phishing
http://www.hispasec.com/unaaldia/2818

Fuente: http://www.hispasec.com/unaaldia/2894/
___

Seguir leyendo...

Seguridad para las redes: Con NAC (Network Access Control) no alcanza

Un panel de especialistas en seguridad recomendó una estrategia simple y no depositar tantas expectativas en NAC.

Un calificado panel de especialistas discutió la cuestión en el marco de la reciente edición de Interop concluyó en que hace falta mucho más que NAC para defender la seguridad de las redes.
Joshua Corman, de Internet Security Systems (ISS), señaló: “hay razones para estar más que asustados. Este es el momento de retomar la educación porque no uno no se puede defender de algo que no comprende cómo es.”
Los profesionales en seguridad de las empresas están detrás de vulnerabilidades y temas relacionados con el cumplimiento de regulaciones. “Los hackers saben qué está haciendo la gente encargada de la seguridad.”
“Los malos son más malos, las técnicas son mejores y el volumen de maldades empeora,” nos dice Elliott Glazer de Depository Trust Clearing Corp. “No vemos que las soluciones estén a la altura de la amenaza.”
A veces el problema es el exceso de tecnología, tal como lo afirma Mike McKinnon, de ProCurve Networking, división de HP. “Recomendamos a las empresas que empiecen en pequeño para saber qué les hace falta. La parte más vulnerable de la empresa desde la perspectiva del negocio es la que debe atenderse primero. Una cosa es salir bien en una auditoría y otra es estar seguro, dice McKinnon.”
Si bien las tecnologías NAC fueron centro de atención en Interop de New York, los panelistas no se mostraron demasiado confiados en sus bondades. “Cuando se investiga NAC hay que tener mucho cuidado. Se está convirtiendo en una palabra de moda. Todos dicen tener producto para esa solución, pero no es así,” comenta Corman.
“Muchos proveedores tienen un producto para otra cosa y cuando NAC se volvió caliente, lo convirtieron en solución NAC. Se exagera mucho respecto a las capacidades,” agrega Corman.
Para Glazer, antes de pensar en NAC es indispensable contar con un entorno bien seguro. “Uno puede aplicar todos los patches, actualizar todo y seguir infectado con algo. En general se asume que NAC nos hará seguros, pero no creo que inmunes,” prosigue diciendo Corman.
Paul Stamp de Forrester Research consideró que la mayor amenaza es la incapacidad de actuar que existe en algunas empresas. Justifican la inversión en seguridad después que ocurre algo serio. “Nuestra mayor amenaza son los CEOs y no los rootkits,” dice Stamp.
Para Glazer, lo grave es que los atacantes cada vez son más profesionales, su código más eficiente y se mueven más rápido. “Si combinamos esto con que son ataques puntuales, son difíciles de ver o reconocer y además existen ataques que borran sus rastros.”
Como para levantarnos más el ánimo, Corman nos deja diciendo que otro factor que contribuye a la inseguridad en las redes, son los propios proveedores de seguridad.

Fuente: http://www.datamation.com.ar/noticias/detalle_noticias.jsp?idContent=19978
___

Seguir leyendo...

Nielsen, China y los buscadores

En el último newsletter de Jakob Nielsen:

Tiempo de respuesta como barrera de entrada

Una de las razones principales por la cuál Baidu esta ganando cuota de mercado en China por sobre Google, Yahoo! y MSN es que los usuarios se quejan de la velocidad de los buscadores extranjeros. Por supuesto, se sabe que el tiempo de respuesta es un factor muy importante en la usabilidad y que los usuarios prefieren sitios rápidos. Lo que es menos conocido, es que la razón de la baja performance de Google, Yahoo! y MSN es que el gobierno Chino ha reducido artificalmente la velocidad de acceso a sitios fuera de China.

China debería ser denunciada en la WTO (Organización Mundial del Comercio) por restringir la competencia al reducir la velocidad de download de los sitios extranjeros.

Dudo que el Departamento de Estado tenga alguien a nivel de regulación que entienda usabilidad, por lo que lo más probable es que no suceda nada. Con el crecimiento de la economía digial, la usabilidad se transforma en un elemento de importancia por el cual los clientes escogen los productos. Nuevamente, esto significa que los negociadores deben entender las formas que hay para facilitar o perjudicar la experiencia del usuario.

Fuente: http://www.ojobuscador.com/2006/09/25/nielsen-china-y-los-buscadores/
___

Seguir leyendo...

Desarrollo de los programas maliciosos

Los primeros seis meses de 2006 trajeron cambios considerables. La cantidad de nuevos programas maliciosos (incluyendo modificaciones) aumentó cada mes en un promedio del 8% en comparación con el mismo período de 2005.

Leer artículo completo
___

Seguir leyendo...

Rastreo de spam descubre imperio

Por Mark Ward (BBC)

Una investigación de mensajes de correo electrónico basura o spam reveló la cuán sofisticado se ha tornado la delincuencia cibernética.

La historia comienza con unos mensajes de spam que fueron enviados en abril y mayo de este año.

A primera vista -dice Patrick Peterson, gerente de tecnología de la empresa de seguridad Ironport, que llevó a cabo la investigación- los mensajes ofreciendo medicinas se parecían los tantos millones de correos basura que circulan por internet.

Lo único que los hacía interesantes era que aparecían en mayor cantidad que el resto del spam.

Cada día, durante dos semanas, los spammers (emisores de correo electrónico basura) enviaron más de 100 millones de mensajes.

Lado oscuro

El spam se hizo aún más interesante cuando Peterson y sus colegas de Ironport miraron más de cerca. Muchos de los correos tenían escondidos fragmentos del clásico "El Hobbit", de JRR Tolkien.

El texto era incluido, explica Peterson, para intentar convencer a los filtros automáticos de spam que los mensajes son genuinos y no basura. Muchos mensajes de correo basura usan fragmentos de obras literarias para engañar a estos filtros.


Lo que es increíble es la complejidad de la operación
Patrick Peterson, Ironport

El análisis del spam reveló que había más de 2.000 variaciones en el contenido de los mensajes que formaban el ciclo del correo basura. Durante el curso de las semanas en las que se enviaron los mensajes, una nueva versión de esos correos fue emitida cada 12 minutos.

La enorme escala de la operación se hizo aún más clara cuando Peterson empezó a averiguar de dónde era enviado el spam.

El análisis de las direcciones de correo electrónico en las que se originaba el spam mostraba que más de 100.000 computadoras hogareñas en 119 países habían sido "secuestradas" para despachar el correo basura.

Para intentar sobrepasar los filtros -que buscan la dirección desde la que éste es enviado, para saber si ese dominio tiene antecedentes de spamming-, muchas de las máquinas usadas para enviar los mensajes electrónicos habían sido "secuestradas" durante el mes anterior, afirmó Peterson.

"Investigamos las fuentes y descubrimos una masiva distribución de países", Peterson dijo en declaraciones a la BBC. "Está más que nada centralizado en Europa".

Esta amplia y sofisticada estructura involucraba a más de 1.500 dominios de internet que funcionaban como las tiendas "online" en las que se vendían las medicinas publicitadas en los mensajes.

Muchos de estos dominios eran albergados por empresas que se promocionan como proveedoras de hosting (espacio en servidores) impenetrable que resisten cualquier intento de cerrar esos sitios, sin importar la información que se encuentre en el sitio web.

Imperio de basura

Detrás de la escena, había una sofisticada red de computadoras que manejaban el tráfico generado por las personas que hacían click en los vínculos en los mensajes y los dirigían al sitio apropiado.

"Spam" en casilla de correo electrónico.
La enorme mayoría de los usuarios recibe correo basura.

Cualquiera que accediese a esos vínculos era redirigido a uno de los 1.500 dominios, que parecían ser una organización real.

"Trataban de parecer lo más legítimos posible", explicó Peterson.

En algunas de las farmacias falsas, aseguró Peterson, los spammers habían incluso creado biografías apócrifas de los supuestos fundadores de la empresa. Cuando uno de los empleados de Ironport fue a controlar la existencia física de la empresa en una de las direcciones postales provistas, encontró un terreno baldío.

Usando una tarjeta que era válida por una única vez, Peterson compró productos farmacéuticos de uno de los tiendas de internet y se sorprendió cuando un paquete llegó por correo.

"En todas las otras ocasiones, lo único que querían era estafar a la gente", dijo. Hasta ahora, los spammers se limitaban a robar los detalles de las tarjetas de crédito, hacer dinero y no hacer nada para cumplir con los pedidos de productos.

En cambio, esta red de spam hacía que sus órdenes fuesen atendidas por una empresa farmacéutica de India. Las drogas que recibió Peterson han sido enviadas a un laboratorio para ser analizadas.

Más allá de esto, Peterson expresó que "lo increíble es la complejidad de la operación".

Ironport planea continuar con su investigación, añadió, para ver si es posible determinar quién o quiénes están detrás de la operación de envío de spam.

También se ha entregado la información al FBI (agencia de investigaciones de Estados Unidos) para colaborar con su investigación de una empresa de EE.UU. relacionada con casos de spam y estafas.

Fuente: http://news.bbc.co.uk/hi/spanish/science/newsid_5377000/5377134.stm
___

Seguir leyendo...

Defacing a sitios del gobierno argentino (descubierto por www.identidadrobada.com)

Por gentileza IdentidadRobada hemos podido visualizar que un sitio secundario de Enargas (Ente Nacional Regulador del Gas ) ha sido defaced.
Cabe aclarar que este sitio no es la página principal (http://www.enargas.gov.ar/), la cual no ha sido modificada.

Este ataque es conocido como Defacing y consiste en el cambio de páginas de sitios web, a través de vulnerabilidades y bugs que se utilizan para acceder a los servidores. Estas vulnerabilidades pueden encontrarse en el propio servidor web o en las aplicaciones que le dan soporte.
Una vez que una de estas vulnerabilidades es encontrada es explotada masivamente en todos los sitios en los que se den las condiciones apropiadas.

Los grupos de delincuentes que se dedican a esta actividad generalmente llevan adelante competencias y mantienen rankings de cantidades de sitios modificados.

En el siguiente sitio puede encontrarse un ranking de ataques realizados por Bact3ry:
http://www.zone-h.org/component/option,com_attacks/Itemid,43/filter_defacer,BACT3RY/
___

Seguir leyendo...

Presentan estudio sobre el spam basado en imágenes

El estudio se ha basado en los datos registrados en SenderBase, el cual dispone de información de cerca del 25% del tráfico email mundial y datos de más de 100.000 ISPs, universidades y corporaciones en todo el mundo.

Diario Ti: IronPort Systems, proveedor de seguridad del correo electrónico, distribuido en España por Mambo Technology, presenta un nuevo estudio que muestra el incremento del “spam basado en imágenes", una técnica avanzada que los spammers han adoptado con el fin de evadir su detección.

El spam basado en imágenes esquiva el escaneo tradicional de contenidos y firmas al no incluir a penas texto, en ocasiones ni siquiera lleva, con el fin de obstaculizar su análisis. En su lugar, incluye un archivo .gif o .jpeg. Éste contiene el mensaje de spam en forma de texto e imágenes, muy similar a un e-mail HTML, dificultando aún más el reconocimiento del texto.

El spam basado en imágenes ha experimentado un gran crecimiento, pasando de menos del 1% de todo el spam analizado en junio de 2005 a más del 12% recibido en junio de 2006. Esto representa que de más de 5 billones de mensajes de spam basados en imágenes enviados al día, el 78% consiguió traspasar tanto la primera como la segunda generación de filtrado spam.

"Mediante el procesamiento de billones de mensajes email, IronPort es capaz de identificar anomalías en el email" señala Tom Gillis, Vicepresidente Senior de Marketing de IronPort. "Gracias a las técnicas de spam basado en imágenes, observamos que los spammers están empezando a utilizar métodos más sofisticados, con ligeras variaciones de cada imagen en cada ataque de spam – los cambios son imperceptibles en el usuario final e invisibles a los filtros basados en firmas. Es como si se tratara de copos de nieve en una ventisca, se envían billones pero no podemos encontrar dos exactamente iguales".

Fuente: http://www.diarioti.com/gate/n.php?id=12382
___

Seguir leyendo...

Knuth responde a todas las preguntas

Todos tenemos nuestros heroes personales, hombres representativos, sobretodo del campo en que nos desarrollamos.
Uno de mis más antiguos héroes personales es el profesor y programador Donald Knuth.

Autor del famoso Art of Computer Programming, y un gran programador. Creador de Metafont y TeX, usados por miles de científicos hoy en día para publicar sus artículos.

Donald Knuth es profesor emérito en la Universidad de Stanford, y probablemente el geek más antiguo que existe. Por ejemplo, las versiones de Tex se aproximan al número trascendente Pi, por ejemplo, la primera versión era la 3, la segunda 3.1, la tercera 3.14, y así sucesivamente. Además tiene la costumbre de pagar 2.56 dólares por cada error encontrado en sus libros (porque "256 centavos es un dolar hexadecimal").

Imitando al famoso físico Richard Feynman tiene la costumbre de que la última clase en cada curso que dicta está abierta para contestar cualquier pregunta sobre cualquier tema, excepto las relacionadas con política, religión, o el examen final.

Una de estas sesiones de preguntas y respuestas se realizó como una conferencia el 5 de octubre de 2001 en la Technische Universität
en München, Alemania. Esta sesión fue transcrita en Notices of AMS (American Mathematical Society). Ustedes pueden descargarla desde ese sitio, pero quiero compartir con ustedes una traducción de algunas de las preguntas que me parecieron más interesantes, los invito a conocer a uno de los grandes pensadores de las ciencias de la computación.

Seguir leyendo
___

Seguir leyendo...

¿Como protejo mi red Wi-Fi inalámbrica? Sigue estos consejos

Por Sergio Vazquez Martín

Acabo de dar una charla sobre seguridad en redes Wi-Fi, tan populares hoy en día y
que se están extendiendo masivamente. Voy a compartir con la comunidad las conclusiones puesto que estas redes reciben bastantes ataques dado que las
configuraciones por defecto de los routers no suelen ser muy seguras dejando las redes abiertas, cosa que desconoce el usuario medio. Algunas de las peores consecuencias son : robo de identidad, reducción de nuestro ancho de banda, pérdidas económicas etc..

Los ataques habituales son:

Ataques DoS
Ataques WEP
Ataques por MAC e IP
Wardriving
Warchalking
Ataques de reduccion de señal
etc..

Las contramedidas que os propongo son:

Usa Separación de redes y filtros MAC e IP
Usa cifrado de datos WEP/WPA con cambio periódico de claves.
Cambiar la configuración por defecto del router. Me refiero al ESSID, IP,usuario y clave administrador
Utilizar WPA con una clave fuerte. ( "H5gd8s9a0l9f4" sería una buena clave.)
Actualizar el firmware.
Apagar el router inalámbrico cuando no es utilizado.
Desactivar el servidor DHCP.
Desactivar la anunciación del punto de acceso.
Política de cambio de claves periódica. Esto es MUY importante.
Usa Autenticación a nivel de enlace (802.1x).

Se agradece cualquier comentario o ampliación. Recordad que la seguridad 100% no existe , pero cuanto más díficil lo pongamos al atacante con contramedidas como estas más seguros estaremos todos y desistirá antes.

Más consejos pueden ser encontrados aquí

Fuente: http://geeks.ms/blogs/sergio/archive/2006/09/23/_BF00_Como-protejo-mi-red-Wi_2D00_Fi-inal_E100_mbrica_3F00_-Sigue-estos--consejos.aspx
___

Seguir leyendo...

Investigador demuestra ataques vía Adobe Reader

Por Emilio Baby (*)

Un investigador en temas de seguridad afirma que es posible instalar programas maliciosos en un ordenador, por medio de las características comunes y totalmente legítimas del Adobe Reader.

Se trata de David Kierznowski, quien ha publicado varios documentos sobre una nueva tendencia, la utilización de rasgos legítimos de una aplicación, para fines peligrosos.

La semana pasada, investigadores norteamericanos encontraron que los ataques del tipo "cross-site scripting" (permiten eludir las restricciones para ejecutar archivos de comandos en ventanas pertenecientes a diferentes dominios Web), han llegado a ser más predominantes que los que se aprovechan de desbordamientos de búfer, para afectar el código de las aplicaciones locales.

"Backdooring" es la acción de crear una puerta trasera (o backdoor) a un programa o aplicación. "Recientemente, ha habido mucha exageración involucrando el backdooring de varias tecnologías Web," dijo Kierznowski en su estudio. Él afirma que los documentos PDF (Portable Document Format), aparecen como un blanco obvio, debido a que soportan JavaScript, pero encontró que el aprovechamiento de esto no era directo, en parte porque Adobe utiliza su propio modelo de JavaScript.

"Hay bastantes vueltas en esto," ha escrito. Él dice que Adobe Reader y Adobe Professional también tienen diferentes restricciones en cuánto al uso de objetos JavaScript.

Uno de los ataques, agrega un enlace malicioso dentro de un documentos PDF. "Una vez que el documento es abierto, el navegador del usuario es automáticamente activado y el enlace es accedido," escribe Kierznowski. "En este punto es obvio que cualquier código malicioso puede ser lanzado."

El ataque trabaja incluso con versiones totalmente actualizadas de Adobe Reader en Windows o Mac OS X. No afecta a otros lectores PDF, tales como Foxit o Mac OS X's Preview. Los investigadores también notaron que si el documento es abierto desde el escritorio, se muestra una advertencia antes de que se abra el enlace, pero si se abre un documento PDF desde Internet, no hay notificación alguna. "Ni Adobe 6 ni 7, me avisaron antes de abrir esos enlaces," escribió Kierznowski.

El segundo ataque utiliza ADBC (Adobe Database Connectivity) y soporte de servicios web, accediendo a Windows ODBC, enumerando las bases de datos disponibles y finalmente enviando la información al "localhost" (el propio ordenador).

Kierznowsky dice que debido a la naturaleza del ataque (la utilización de características legítimas), es más probable su aprovechamiento allí donde fuera posible usar Adobe Reader para formularios HTML, acceso a archivos del sistema y otras características. "Estoy seguro que con un poco más de creatividad, ambos ataques podrían ponerse juntos", escribió.

El notó que es posible colocar una puerta trasera (backdoor), a todos los archivos de Acrobat, si se carga un JavaScript dentro del directorio de scripts del Acrobat. Adobe dijo no tener planes inmediatos para modificar sus productos, pero agregó que está enterado de la investigación y que se encuentra examinando el tema.

Esta semana, Adobe liberó Acrobat 8, y lo integró a su Creative Suite 2.3 Premium mejorada. La compañía dijo que Acrobat 8 Professional, estará disponible para Windows y Macintosh, con Acrobat 8 Standard para Windows, en noviembre (en inglés, francés, alemán y japonés).

* Fuente:
Researcher demonstates Adobe Reader attack
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9003403
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=673
____

Seguir leyendo...

Inefable Explorer (Actualización NO Oficial)

El último bug de Explorer está siendo aprovechado al máximo por los secuestradores de máquinas ajenas, mientras Microsoft demora la publicación del correspondiente parche hasta el próximo 10 de octubre.
Y eso que esta vez la amenaza no puede ser más real, porque los indeseables de la Red están manipulando máquinas de servidores de hosting (200 confirmados en Host Gator) a fin de reconducir a los inocentes usuarios de Explorer a sitios donde se les instala todo tipo de mierda, desde spyware a keyloggers que se encargan de registrar todo lo que teclean...

• Añadido (19:30):: Un vídeo (WMV) que demuestra cómo, tras visitar un sitio nada recomendable, nos han instalado (sin notar nada extraño en ningún momento) un keylogger, que envía al intruso los datos de todos los formularios que rellenemos, junto a la dirección de las páginas. Todo gracias a Explorer y la vulnerabilidad VML. (Más info sobre este vídeo)
  
• Añadido (12:40): Añadido (18:20): SANS recomienda quitar del registro la DLL afectada... y que se deje de utilizar Explorer.
• Añadido (12:40): Comprobado: en Vista RC1, Explorer no es vulnerable.
• Añadido (12:30): En esta página de demostración puedes comprobar si tu Explorer es vulnerable.

Existe -eso sí- un parche no oficial, que, como es fácil suponer, carece de las bendiciones de la casa madre.

Fuente:
http://www.kriptopolis.org/node/2927

Más información:

• isc.sans.org


• US-CERT Vulnerability Note
• Jesper Johansson's blog, which contains interesting ideas about work-arounds
  
• AusCERT Alert (phishing like technique)
  
• Microsoft Security Advisory 925568
• Blocking VML using a GPO (use the magic incantations at own risk)
• Snort VRT
• Websense
• Websense (movie of VML infection with spyware keylogger)
  
• McAfee
• Symantec
• Trendmicro
• Panda
• F-secure
• Sophos
• xforce.iss
• CA has a writeup analyzing one of the attacks
  
• Sept. 21st diary
• Sept. 19th diary


• Mitigate VML-Attacks through ISA

___

Seguir leyendo...

Symantec y Adobe quieren que la UE prohíba las nuevas herramientas de Windows Vista

Argumentan que la inclusión de un antivirus y de un lector de documentos PDF es una amenaza a la libre competencia.

Los dos gigantes del software se han dirigido a la Comisión Europea indicando que la inclusión de estas herramientas en Window Vista son una amenaza a la libre competencia y que esta debería prohibir su inclusión en la nueva versión del sistema operativo que llegará en enero próximo.

La Comisión de la Competencia ya había notificado a Microsoft su preocupación por el impacto negativo que podría suponer la inclusión de estas nuevas prestaciones en Windows Vista, sin embargo, hasta el momento ninguna de las dos empresas habían manifestado en publico hasta donde llegaban sus pretensiones..

Según la información que ayer publicaba el periódico Wall Street Journal , Adobe Systems dijo a los reguladores de la Unión Europea que a Microsoft debería prohibírsele la incorporación a Vista de programas informáticos de libre competencia para leer y crear documentos electrónicos.

Por su parte, la compañía de seguridad informática Symantec enviará a dos ejecutivos de primer nivel a Europa para que expliquen lo negativo que para la industria podría suponer estas nuevas prestaciones de Vista.

Así el vicepresidente de ingeniería de consumo Rowan Trollope y un importante ingeniero en la oficina de tecnología estratégica, Bruce McCorkendale, tienen prevista su llega a Bruselas durante la próxima semana para discutir sobre Vista y seguridad con funcionarios de la UE. Ambos realizarán también una rueda de prensa para explicar más detalladamente su posición en este aspecto.

Microsoft esta a la espera del dictamen de la Comisión sobre si Vista puede llegar en su integridad a los consumidores europeos o bien deberá modificar el sistema eliminando alguno de los nuevos componentes. Para el gigante informático reducir las herramientas de seguridad, que como novedad, incorpora Vista sería negativo para los consumidores que en los últimos años han venido exigiendo un sistema operativo más compacto y seguro.

En caso de que Microsoft se viera en la obligación de retirar estos componentes Windows Vista retrasaria su llegada a Europa, dijeron fuentes informadas.

Fuente: http://www.prodownload.net/modules.php?name=News&file=article&sid=3482
___

Seguir leyendo...

Casi 3/4 de los desarrolladores usa Software Libre

Una encuesta de la consultora IDC demuestra que casi tres cuartos (71%) de los desarrolladores de todo el mundo ya utilizan alguna tecnología de código abierto. El estudio se realizó entre 5.000 programadores en 116 países. La encuesta también dice que este resultado es consecuencia de las innovaciones en el mercado de la tecnología y una iniciativa por disminuir el precio de los productos para el consumidor.

Fuentes:
http://meneame.net/story/71-programadores-usan-codigo-abierto
http://idgnow.uol.com.br/carreira/2006/09/21/idgnoticia.2006-09-21.4586022247/IDGNoticia_view
___

Seguir leyendo...

Aprueban medidas de seguridad para proteger datos personales

Se publicó hoy en el Boletín Oficial la disposición 11/06 que establece iniciativas para proteger los datos contenidos en bases públicas y privadas

La Dirección Nacional de Protección de Datos Personales (DNPDP) emitió la disposición 11/06 por medio de la cual se aprueba las “Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos Públicos no estatales y Privados”

A tal fin, se crea un “Documento de Seguridad de Datos Personales”, como instrumento para la especificación de la normativa de seguridad. Asimismo, se establecen tres niveles de seguridad: básico, medio y critico.

Así, para cada uno de los niveles se prevén distintas medidas de seguridad, teniendo en cuenta la mayor o menor necesidad de garantizar la confidencialidad e integridad de la información contenida en el banco de datos, así como también el mayor o menor impacto que tendría en las personas el hecho de que la información registrada en los archivos no reúna las condiciones de integridad y confiabilidad debidas.

En tanto, la norma dispone distintos plazos para la implementación de las medidas de seguridad que se propician, teniendo en consideración el nivel de seguridad de que se trate, así corno también la posibilidad de otorgar una prórroga previa solicitud debidamente fundamentada.

De esa manera se indica que el plazo para la implementación de las medidas de seguridad a contar desde la fecha del dictado del presente acto, será de 12 meses para las de Nivel Básico, de 24 meses para las de Nivel Medio y de 36 meses para las de Nivel Crítico, los que serán prorrogables a pedido de la parte interesada y por razones debidamente fundadas.

Nivel Básico
Los archivos, registros, bases y bancos de datos que contengan datos de carácter personal deberán adoptar las siguientes medidas de seguridad:

* Disponer del Documento de Seguridad de Datos Personales en el que se especifiquen, entre otros, los procedimientos y las medidas de seguridad a observar sobre los archivos, registros, bases y bancos que contengan datos de carácter personal. Deberá mantenerse en todo momento actualizado y ser revisado cuando se produzcan cambios en el sistema de información.

Nivel Crítico
Los archivos, registros, bases y bancos de datos que contengan datos personales, definidos como “datos sensibles” además de las medidas de seguridad de nivel Básico y Medio, deberán adoptar las que a continuación se detallan:

* Distribución de soportes: cuando se distribuyan soportes que contengan archivos con datos de carácter personal se deberán cifrar dichos datosa fin de garantizar que no puedan ser leídos o manipulados durante su transporte.
* Se deberá disponer de un registro de accesos con información que identifique al usuario que accedió, cuando lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. Este registro de accesos deberá ser analizado periódicamente por el responsable de seguridad y deberá ser conservado como minino por el término de 3 años.
* Copias de respaldo: deberán implementarse copias de resguardo externas, situadas fuera de la localización, en caja ignífuga y a prueba de gases o bien en una caja de seguridad bancaria,. Deberá disponerse de un procedimiento de recuperación de esa información y de tratamiento de la misma en caso de contingencias.
* Transmisión de datos: los datos de carácter personal que se transmitan a través de redes de comunicación1, deberán serlo cifrados o utilizando cualquier otro mecanismo que impida su lectura y/o tratamiento por parte de personas no autorizadas.

Quedan exceptuados de aplicar las medidas de seguridad de nivel crítico, los archivos, registros, bases y bancos de datos que deban efectuar el tratamiento de datos sensibles para fines administrativos o por obligación legal.

Nivel Medio
Los archivos, registros, bases y bancos de datos de las empresas privadas que desarrollen actividades de prestación de servicios públicos, así como los archivos, registros, bases y bancos de datos pertenecientes a entidades que cumplan una función pública y/o privada que deban guardar secreto de la información personal por expresa disposición legal (v.g.: secreto bancario), además de las medidas de seguridad de nivel básico, deberán adoptar las que a continuación se detallan:

* El instructivo de seguridad deberá identificar al Responsable (u órgano específico) de Seguridad.
* Realización de auditorías (internas o externas) que verifiquen el cumplimiento de los procedimientos e instrucciones vigentes en materia de seguridad para datos personales.
* Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.
* Se establecerá un control de acceso físico a los locales donde se encuentren situados los sistemas de información con datos de carácter personal.

Verónica Morelli
[email protected]

Fuente: http://www.infobaeprofesional.com/interior/index.php?p=nota&idx=33415
___

Seguir leyendo...

Ataques de phishing a clientes de Banesto y a usuarios de Hotmail

La Asociación de Internautas (AI) ha alertado de la existencia de ataques de "phishing", intento de robo de claves bancarias, a clientes de Banesto y a los usuarios del correo electrónico Hotmail.

Según informó hoy la organización, se trata de ataques a "gran escala" que persiguen lograr las contraseñas de los clientes para, posteriormente, cometer fraude.

La Asociación de Internautas recuerda a los usuarios de banca electrónica que no faciliten a nadie sus claves bancarias, y recuerda que un banco "nunca pide las claves bancarios" a sus usuarios.
Por su parte, los internautas han detectado también el robo de las claves de acceso del correo electrónico Hotmail.

El objetivo es controlar el correo de estas personas y lograr otras claves, como puede ser el número de una tarjeta de compra.

Fuente: http://www.internautas.org/html/3908.html
___

Seguir leyendo...

Google libera datos de 4000 URLs de phishing

Interesante, sobre todo a efectos estadísticos.

Son URLs que han sido catalogadas como fraudulentas a través del programa Google Safe Browsing, una excelente iniciativa contra el fraude, materializada a modo de extensión para Mozilla Firefox. Mediante Safe Browing podemos ser advertidos de las URLs declaradas como maliciosas, y también podemos notificar URLs con phishing que no estén en ese momento clasificadas como tal.

Lo ví en el blog de Xavi. La lista blanca que han publicado también es muy llamativa.

Fuente: http://www.sahw.com/wp/archivos/2006/09/22/google-libera-datos-de-4000-urls-de-phishing/
___

Seguir leyendo...

Fernando Maresca: El Software Libre más que un problema Legal

Alfa-Redi conversó con Fernando Maresca, quien es Socio principal del Estudio Jurídico Maltese, Maresca & Asociados; es también Consultor del Banco Mundial para el “Proyecto Modernización Del Estado” en la Oficina Nacional de Tecnologías Informáticas (ONTI), de la Subsecretaría de la Gestión Pública, Jefatura de Gabinetes de Ministros de la República Argentina en temas vinculados a la firma digital, software libre, delitos informáticos, privacidad y políticas de seguridad y todo aspecto vinculado al desarrollo del gobierno electrónico. Es tambíen Master en Derecho. “LLM in information Technology and Telecommunication Law”. Strathclyde University. United Kingdom, y posee un MBA - Master en Administración de Empresas por el Instituto para el Desarrollo Empresarial de la Argentina, IDEA. En entrevista exclusiva para Alfa Redi , Fernando Maresca señala que el uso del Software libre en el Sector público más que un problema legal es uno político y su masificación se podrá lograr en la medida que existan políticas públicas que así lo establescan.

Leer la entrevista aquí
___

Seguir leyendo...

Así responde Yahoo! a las denuncias de spam

Grata, muy grata fue la sorpresa que me lleve de Yahoo! Argentina al denunciar a un spammer del mismo país y a vuelta de correo obtengo esto:

Hola,

¡Gracias por comunicarte con el Servicio al Cliente de Yahoo! Argentina!

Muchísimas gracias por reportar este incidente a Yahoo!.

En este caso en particular, te pedimos nos envíes una copia del mensaje,
incluyendo el encabezado completo, para que podamos identificar la
cuenta usada en el envío del mensaje, y poder tomar la acción apropiada
en estos casos. Necesitamos que, en lugar de enviarnos el mensaje como
archivo adjunto (attachment), nos lo reenvíes como texto dentro del
mensaje (Forward as a text). El mensaje enviado como archivo adjunto no
muestra los encabezados completos.

Reenvianos las copias de cualquier mensaje no solicitado que recibas y
que parezca proceder de una cuenta de Correo Yahoo! directamente a la
dirección

[email protected]

Cordialmente,
Atención al Cliente
Yahoo! Argentina

Y! Respuestas: Vos hacés una pregunta y el mundo responde. ¡Probalo!

http://ar.answers.yahoo.com/

Original Message Follows:
-------------------------

>>REDFRMADV

La direccion [email protected] es un spammer

Mi denuncia fue enviada a [email protected] (como hago con todos los webmails que existen actualmente) y evidentemente lo estaba haciendo mal por lo que la gente de Yahoo! me responde como hacerlo. Quiero aclarar que es la primera vez que recibo este tipo de respuesta y de ahi mi grata sorpresa.

Así que ya lo saben denuncien a los spammers que utilizan Yahoo! enviando un correo a [email protected]

Ahora sólo debo esperar que den de baja al spammer.
___

Seguir leyendo...

Bruce Schenier: Perderemos la guerra contra los delincuentes informáticos

Experto en seguridad informática afirma que "nunca ganaremos la guerra contra los hackers".

Bruce Schenier, director técnico de la compañía Counterpane Internet Security, asegura que no existen soluciones técnicas cabales para el problema de la seguridad informática. "La solución es más bien de tipo técnico o económico", opina el experto.

Area para delincuentes profesionales
"Internet es la máquina más complicada que se haya creado en la historia. Esto explica por qué la seguridad también ha empeorado", indica Schneier.

A su juicio, el tema del hacking, que comenzó como un hobby en el cuarto de chicos adolescentes, se ha convertido en un tema dominado por el crimen organizado.

"Hay que responsabilizar a los fabricantes de software"
"La verdad es que no creo que ganaremos la guerra de la seguridad informática. Creo que la perderemos".

A entender del experto, lo más razonable sería responsabilizar jurídicamente a los fabricantes de software, de forma que deban indemnizar a los usuarios que sean hackeados mediante sus productos. En tal sentido, Schneier traza un paralelo con los bancos, que son responsables por las pérdidas sufridas por sus clientes cuando estas tienen un origen técnico.

"Actualmente, si usted usa un programa lleno de errores y pierde información, la responsabilidad es suya y no del fabricante del software. Esta es una situación que necesariamente tiene que cambiar", concluye Schneier.
___

Seguir leyendo...

Vulnerabilidad crítica en VGX.DLL (Internet Explorer)

Por: Por Angela Ruiz
[email protected]

Se ha detectado una vulnerabilidad en Microsoft Internet Explorer, ocasionada por un error del programa al manejar el lenguaje VML (Vector Markup Language), lo que ocasiona un desbordamiento de búfer.

VML es un lenguaje basado en XML para crear gráficos de vectores bidimensionales en un documento HTML o XML. VML utiliza etiquetas XML y hojas de estilos en cascada para crear y ubicar los gráficos, como círculos y cuadrados, en un documento, como una página Web. Estos gráficos pueden incluir colores y pueden editarse en varios programas de gráficos.

Internet Explorer soporta VML desde su versión 5.0, siendo vulnerables todas las versiones a partir de la mencionada.

Según reportes del US-CERT (United States Computer Emergency Readiness Team) y del propio Microsoft, la vulnerabilidad está siendo explotada a través de sitios web maliciosos, por medio de páginas HTML modificadas especialmente.

La explotación exitosa, puede permitir a un atacante remoto, la ejecución arbitraria de código en el sistema afectado, con los mismos privilegios del usuario actualmente conectado. Y en el mejor de los casos, puede provocar que el programa deje de responder (denegación de servicio).

El problema se produce en el componente VGX.DLL. En Windows XP SP2, la explotación de la vulnerabilidad no es sencilla, debido a la forma en que SP2 protege estas bibliotecas de errores provocados por desbordamientos de búfer.

Microsoft publicó un aviso de seguridad (Microsoft Security Advisory 925568), donde reconoce el problema, y da algunas pautas para proteger los equipos vulnerables hasta que se publique un parche (estimado para octubre).

Entre varias formas de eludir el problema, Microsoft recomienda desregistrar VGX.DLL.

Para ello, desde una ventana de comandos, o desde Inicio, Ejecutar, escriba la siguiente orden (respetando las comillas, y todo en una sola línea), o corte y pegue el contenido de la siguiente ventana:
regsvr32 -u "C:\Archivos de programa\Archivos comunes\Microsoft Shared\VGX\vgx.dll"

NOTA: Lo hemos adaptado para las versiones en español de Windows. Si "Archivos de programas" no está en la unidad C, cambie las instrucciones de acuerdo a la ubicación real de dicha carpeta.

Si la operación es exitosa, le será mostrada una ventana con el mensaje "DllUnregisterServer en C:\Archivos de programa\Archivos comunes\Microsoft Shared\VGX\vgx.dll se realizó con éxito".

Si desea volver a registrar VGX.DLL, solo escriba la siguiente orden (con las comillas, y en una sola línea), o corte y pegue el contenido de la siguiente ventana:
regsvr32 "C:\Archivos de programa\Archivos comunes\Microsoft Shared\VGX\vgx.dll"
Se mostrará el mensaje "DllRegisterServer en C:\Archivos de programa\Archivos comunes\Microsoft Shared\VGX\vgx.dll se realizó con éxito".

Microsoft también recomienda mantener actualizados los antivirus, no seguir enlaces no solicitados, y configurar el programa de correo para leer los mensajes sin formato (en el Outlook Express marcar la opción "Leer todos los mensajes como texto sin formato" en Opciones, Leer).

Configurar Internet Explorer como sugerimos en el siguiente artículo, también impide la ejecución de este exploit cuando se visita un sitio no seguro:

Configuración personalizada para hacer más seguro el IE

Sistemas operativos vulnerables:

- Microsoft Windows XP
- Microsoft Windows Server 2003
- Microsoft Windows 2000

Windows 98 y Me pueden ser vulnerables, pero ya no son soportados por Microsoft.

Productos vulnerables:

- Microsoft Internet Explorer 5.01 y superior

Más información:

Microsoft Security Advisory (925568)
Vulnerability in Vector Markup Language Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/925568.mspx

Vulnerability Note VU#416092
Microsoft Internet Explorer VML stack buffer overflow
http://www.kb.cert.org/vuls/id/416092

Microsoft Vector Graphics Rendering Library Buffer Overflow
http://secunia.com/advisories/21989/

Microsoft Internet Explorer Vector Markup Language Code Execution Vulnerability
http://www.frsirt.com/english/advisories/2006/3679

Fuente: http://www.vsantivirus.com/vul-ie-vml-180906.htm
____

Seguir leyendo...

Protéjase usted mismo del "Pretexting"

Por Nela Adans
[email protected]

Una noticia publicada en Internet, habla de que se utilizó el "pretexting" para investigar a periodistas y a miembros del consejo de la compañía Hewlett-Packard, sobre un caso de reciente notoriedad.

Desde hace largo tiempo que en muchos países, investigadores privados y otros, han usado esta táctica para obtener la información y expedientes personales de las personas investigadas.

"Pretexting", consiste en llamar a una compañía de teléfonos simulando ser un cliente para obtener información del mismo, sin contar con el permiso del cliente en sí.

Se trata de una forma de "ingeniería social", bien conocida en el ámbito de los piratas informáticos, e implica el uso de estratagemas para obtener datos y documentos.

La gama de trucos va desde lo creativo a lo simple. En el caso de Hewlett-Packard, los investigadores contratados por la compañía, simplemente se hicieron pasar por las víctimas - en este caso, miembros del propio consejo de Hewlett-Packard-
y por periodistas, para obtener de las compañías de teléfonos, sus "propios" expedientes.

En el lado más creativo, el año pasado Verizon Wireless acusó a corredores de datos en línea de hacer centenares de miles de llamadas a las líneas de servicio al cliente de la compañía, presentándose como empleados del "grupo de atención diferenciada" de Verizon, un departamento no existente.
Obtuvieron información, demandando hacer las peticiones en nombre de clientes con discapacidad auditiva.

Contra estas iniciativas, parece que es poco lo que el consumidor ordinario, el director de una industria de alta tecnología, o el periodista especializado puede hacer. Pero hay algunas opciones.

* Comprar un teléfono tarjetero. Las empresas no guardan un expediente con detalles de las llamadas. Esta solución no es conveniente o deseable para todo el mundo, pero si a usted le preocupa que sus expedientes telefónicos sean obtenidos fraudulentamente por terceros, o requeridos por autoridades, las ofertas prepagas de un servicio telefónico es la mejor opción en cuanto a privacidad.

Los teléfonos prepagos vienen generalmente con una determinada cantidad de minutos disponibles para utilizar al comienzo. Este saldo puede ser aumentado comprando las tarjetas prepagas para el teléfono por el valor que usted necesite.

Naturalmente, su número de teléfono prepago aparecerá en los expedientes telefónicos de las personas que le llamen, y en los de aquellos a quien usted llame. Pero los servicios prepagos no requieren que proporcione su nombre.

Es más seguro pagar su teléfono y tarjetas prepago con efectivo, y agregar solamente los minutos a través de la interfase incorporada del propio teléfono -no utilice el sitio Web del proveedor del servicio, por que podrían rastrear su dirección IP-.

* No proporcionar datos de usted mismo. Un mínimo de información puede ayudar a los estafadores o scammers para conseguir mucho más; en el caso de Hewlett-Packard, los investigadores utilizaron los últimos cuatro dígitos de los números de las tarjetas de Seguridad Social de las victimas, para así identificarse a las compañías telefónicas que engañaron.

No proporcione información personal sobre el teléfono, en un correo electrónico o personalmente, a menos que usted hubiera iniciado el contacto. Incluso en ese caso, sea cauteloso sobre proveer más información de la necesaria.

* Elegir sus propias contraseñas. Las compañías generalmente usan los números de documentos de identidad y fechas de nacimiento como autentificación, a pesar de que esos datos no son muy privados. No deje que lo hagan e insista a las compañías proveedoras del teléfono que utilicen una contraseña indicada por usted o una única identificación en lugar de números relacionados con sus datos personales. Y utilice distintas contraseñas para diferentes cuentas.

* Romper los documentos. Destruya los documentos que contengan información personal antes de desecharlos, y no deje tales documentos en donde otras personas puedan verlos.

* Mantener los datos fundamentales fuera de línea. No publique las fechas de nacimiento u otra información personal identificable sobre usted o su familia en su página personal, blog, etc. Es obvio, pero digno de repetirlo.

* No pagar las cuentas en línea. Sí, sabemos que es conveniente, y sabemos que los bancos y las empresas de servicio público presionan a los clientes para establecer cuentas de facturación en línea para eliminar el coste de los expedientes de papel. Pero resista el impulso. Las cuentas en línea lo exponen a riesgos, no importa lo qué los negocios digan.

Los sitios Web raramente son tan seguros como las compañías insisten que son. Incluso cuando ellos sean seguros, usted puede ser engañado, al usar un sitio falso que se ve exactamente como el verdadero, o con software malévolo que registra cada golpe de teclado en su computadora y pasa la información a un pirata informático.

Y siguiendo en el tema, no archive sus impuestos en línea tampoco. Sí, también es conveniente. Pero no es seguro. Es posible que los piratas informáticos puedan obtener la misma información hackeando un servidor de datos vulnerable o robando una computadora portátil de un empleado, pero eso está fuera de su control. Lo que sí está en sus manos es el control de sus archivos.

* Averiguar si le han atacado ya. En una investigación interna de expedientes "pretexting", AT&T identificó cerca de 2,500 de sus clientes como víctimas posibles. Y eso en apenas una sola compañía telefónica. Para descubrir si sus registros han sido víctimas de pretexting, póngase en contacto con su compañía de teléfonos para determinar si alguna persona ha solicitado sus expedientes.

* Presionar para el cambio. Ejercer presión sobre sus legisladores para forzar a las compañías telefónicas a mejorar la seguridad de los registros de los clientes.

El Electronic Privacy Information Center ofrece un número de sugerencias para aumentar la seguridad, incluye forzar a la empresa a seguir el rastro cada vez que un registro de un cliente sea accedido para saber quién lo hizo.

Los hechos a través del tiempo también sugieren que las compañías telefónicas estén requeridas a notificar a sus clientes cuando alguien haya abierto sus expedientes. Las compañías, en pleitos recientes contra pretexters, han admitido que centenares de miles de veces han entregado información de clientes a personas no autorizadas. A pesar de todo, las leyes actuales no cubren estos expedientes, puesto que no se consideran información personal identificable.

Además se debe exigir a las compañías notificar a los clientes de cambios en su cuenta, por ejemplo cuando alguien establece una nueva facturación en línea y da su número de
teléfono.

Muchos bancos envían ya la verificación escrita a los clientes por correo, cada vez que el cliente o algún otra persona solicita un cambio de contraseña de la cuenta o información del contacto.

AT&T había hecho esto. Tom Perkins, miembro del consejo de Hewlett-Packard y otros involucrados por la investigación de Hewlett-Packard, habrían sido alertados en enero, que alguien intentaba tener acceso a sus expedientes en línea.

* Fuente:
Protect Yourself From Pretexting
http://www.wired.com/news/technology/1,71769-0.html

Fuente: http://www.vsantivirus.com/na-pretexting.htm
___

Seguir leyendo...

El misterioso caso del "0 day" que nunca llegó a ser

Por Sergio de lo Santos
[email protected]

El día 19 de septiembre Symantec anunció una nueva vulnerabilidad desconocida en PowerPoint que permitía la ejecución de código arbitrario y que estaba siendo activamente aprovechada. Ante la avalancha de este tipo de noticias que últimamente azotan a Microsoft, todo apuntaba a que sería un nuevo "0 day", vulnerabilidad sin parche explotada de forma masiva. En esta ocasión las alarmas sonaron de forma precipitada, y sobre todo, antes de un buen análisis del problema.

Symantec anunció que había detectado un nuevo malware, bautizado como
Trojan.PPDropper.E que se escondía en archivos PowerPoint e infectaba
al que abriese el documento con una versión (en principio se habló de
sólo la versión china) vulnerable de Microsoft PowerPoint. Su error
fue dar por sentado de que el código aprovechaba una vulnerabilidad
no documentada hasta ese momento, para la que no existía parche, y
que por lo tanto, todas las versiones de PowerPoint hasta el momento
suponían un potencial riesgo.

Varios medios, especializados o no, replicaron automáticamente la
noticia del fallo y catalogaron el problema de nuevo "0 day", quizás
precipitadamente y sin la confirmación y comprobaciones adecuadas.
Parecía oficial, sonaron todas las alarmas, y junto a la (esta vez
cierta y verdadera) última vulnerabilidad "0 day" en el componente
VML de Internet Explorer que apareció ese mismo día, se predecía una
semana negra para los productos de Microsoft.

Pero no. Todo era un incomprensible error de Symantec a la hora de
analizar el código que tenía entre manos. Microsoft, tras ser alertada
y analizar el problema, ha confirmado oficialmente que no es una nueva
vulnerabilidad, sino una ya descubierta y parcheada en marzo de 2006.
En concreto, la descrita en el boletín de seguridad MS06-012. Los que
tengan instalado ese parche, están protegidos contra este efímero "0
day" que nunca llegó a ser.

Tras el anuncio oficial de Microsoft, los medios se retractan,
rectifican y actualizan sus alertas, advirtiendo que no hubo más que
sensacionalismo y falta de rigor donde debió existir una comedida
noticia de seguridad. Algunos, incluso, esconden los enlaces que
hacían referencia al fallo bajo la alfombra y ya no son accesibles.

Cabe preguntarse cómo Symantec puede concluir que un fallo así se
trata de un problema nuevo, cuando una comprobación en un sistema
que ya estuviese actualizado con el boletín MS06-012 hubiese dado
una respuesta rápida y concluyente. Un sistema totalmente parcheado
sería inmune en las pruebas, y dejaría claro que el problema no es
nuevo. Resulta incompresible un despiste de este tipo. Sin embargo
no ha sido la única casa antivirus que ha errado en su diagnóstico.

TrendMicro informó el día 19 agosto de un supuesto nuevo tipo de
malware que aprovechaba una vulnerabilidad nueva para la que no
existía solución. Microsoft desmintió al poco tiempo que se tratara
de un nuevo fallo, además de lamentar la actitud de la empresa antivirus
por hablar de vulnerabilidades sin ponerse previamente de acuerdo con
ellos. Un caso extrañamente similar.

Es posible que, a falta de la eclosión vírica esporádica que sufrían
los sistemas Windows cada cierto tiempo, y que ponía a las casas
antivirus en portada de todos los medios, estén buscando notoriedad
de alguna forma precipitada.

En definitiva, con más o menos vulnerabilidades "0 day", la vida sigue igual y los usuarios en general pueden aprender que hasta los más profesionales se equivocan, y los de Windows en particular preocuparse por otras vulnerabilidades reales y no parcheadas que a día de hoy existen, tal y como describíamos en el boletín de ayer.

Más información:
Contramedidas prácticas para las últimas vulnerabilidades de Microsoft
http://www.hispasec.com/unaaldia/2887

Trojan.PPDropper.E
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-091810-5028-99&tabid=2

Exploit for vulnerability in Chinese version of Microsoft PowerPoint
http://www.symantec.com/enterprise/security_response/weblog/2006/09/exploit_for_unpatched_vulnerab.html

Vulnerability Summary CVE-2006-4854
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-4854

Fuente: http://www.hispasec.com/unaaldia/2888/
___

Seguir leyendo...

WASHINGTON: Buscan acceso a registros de uso de internet

Por Hope Yen

El secretario de Justicia de Estados Unidos, Alberto Gonzales, dijo ayer martes que el Congreso debería obligar a los proveedores de internet a conservar registros de las actividades de sus clientes, señalando que son necesarios para luchar contra la pornografía infantil.

En declaraciones a un panel del Senado, Gonzales reconoció las preocupaciones de algunos ejecutivos que temen que una legislación en ese sentido viole la privacidad de sus clientes. Pero indicó que la creciente amenaza de la pornografía infantil en internet era demasiado grande.

"Éste es un problema que requiere de una legislación federal", dijo Gonzales a la Comisión Bancaria del Senado. "Necesitamos información. Ella nos ayuda a sustentar nuestros casos".

Asimismo, calificó la falta de acceso a registros de las actividades de los clientes de internet como el principal obstáculo contra la pornografía infantil.

"Tenemos que encontrar una forma para que los proveedores del servicio de internet puedan retener la información por cierto período de tiempo, a fin de que podamos emplear un recurso legal para obtenerla", indicó.

Gonzales y el director de la Oficina Federal de Investigaciones, Robert Mueller, se han reunido con varios proveedores de internet, como AOL, de la empresa Time Warner, Comcast, Google, Microsoft y Verizon Communications.

Las autoridades le han manifestado a las empresas que deben guardar los registros de actividades, quizás hasta por dos años. Estas han tratado la ampliación de sus períodos de retención, que van de unos días a un año, para evitar ser sancionadas.

En la audiencia del martes, Gonzales dijo estar de acuerdo con los 49 secretarios de justicia estatales que en una misiva enviada en junio al Congreso expresaron su apoyo a una iniciativa que permitiría retener los registros de actividades durante un mayor tiempo.

"Respetamos las libertades civiles, pero tenemos que resolver esto para que tengamos más información", dijo.

El tema ha generado alarma entre los ejecutivos de las empresas de internet y grupos por los derechos civiles, luego de que el Departamento de Justicia llevó a Google ante la corte a principios de este año, para obligarla a presentar información sobre las búsquedas realizadas por sus clientes en internet.

Fuente: http://www.dfw.com/mld/laestrella/news/state/15559078.htm
___

Seguir leyendo...