Navegadores nuevos con viejos problemas

Sergio de los Santos
[email protected]

Dos nuevas versiones de navegadores muy utilizados han aparecido casi
de forma simultánea. Mozilla Firefox 2.x e Internet Explorer 7.x de
Microsoft. Son dos evoluciones muy esperadas por los usuarios, que se
supone traerían mejoras en funcionalidad y protección. Tras varios días
a disposición de los usuarios, se ha demostrado que sufren distintos
problemas de seguridad. Lo extraño es que varios los han heredado de
sus versiones predecesoras.

Como adelantábamos hace unos días en un boletín, a IE7 "no le espera una
vida ‘cómoda’", y con sólo unos días en la calle, ha quedado demostrado.
Nada más "nacer", algunas casas ya lanzan ataques antiguos contra el
nuevo navegador de Microsoft. Se demostró el día 19 de octubre que un
problema de seguridad descubierto en abril de 2006 (y sin parche
oficial) en Internet Explorer 6, también afectaba a la nueva versión 7.
Puede ser aprovechado por atacantes para revelar información sensible.
El día 30 se ha descubierto una "nueva" vulnerabilidad en Internet
Explorer 7 que puede ser aprovechada por atacantes para falsificar el
contenido de una ventana emergente que se cargue desde un web site en la
que se confía. Este problema es un variación de un fallo muy similar no
corregido, encontrado en diciembre de 2004 en Internet Explorer 6.x.

Además, se ha publicado código para hacer que Internet Explorer 7.x
deje de responder a través de ADODB.Connection (aunque se especula con
que es posible ejecutar código, no se ha confirmado) y otro error de
falsificación de URL que afecta en mayor o menor medida a todos los
navegadores, pero que en Internet Explorer 7 resultaría especialmente
"útil" para realizar ataques de phishing.

Por otro lado, Mozilla Firefox no se queda atrás. Desde que está
disponible su versión final, ya se ha demostrado que vuelve a ser
vulnerable a dos errores de seguridad que se suponían solucionados. El
primero consiste en tres formas de echar abajo las versiones 1.5.x,
descubiertas por Michal Zalewski. Aunque se suponían solucionados, la
versión 2 todavía es vulnerable a alguno de los tres fallos. Por si
fuera poco, se ha descubierto también que es vulnerable a otro error
calificado como crítico y con casi un mes de antigüedad.

Las razones de estos fallos prematuros y antiguos (y aparecerán más,
sin duda) en unas versiones "mejoradas" pueden ser muy diversas, y
aventurarse a encontrar un motivo concreto no es sencillo. Se supone
un problema surgido por combinación de varios factores y no resultaría
productivo estancarse en la "pelea mediática" entre el código que no
se conoce y el que puede ser analizado por millones de ojos. Toda
transición a una versión superior con nuevas funcionalidades puede ser
más o menos traumática, no hay que llevarse las manos a la cabeza. Lo
que es sin duda deseable es que ciertos factores no hayan tenido nada
que ver. Por ejemplo, esperamos que no hayan influido de ninguna manera
procesos de calidad insuficientes en productos que se ponen a
disposición de millones de usuarios. O que las prisas por aparecer y
protagonizar una lucha mediática hayan tenido mayor peso que el hecho de
lanzar un producto de mayor calidad... o que los parches creados para
vulnerabilidades anteriores no hayan supuesto más que maquillaje que no
solucionen los problemas de raíz... En cualquier caso, y sean cuales
sean los motivos, como decía Alan Cox hace sólo unos días, "la alta
calidad sólo se aplica a algunos proyectos, los que tienen buenos
autores y buenas revisiones de código", y esta afirmación será siempre
válida para todo el software.

Más información:
Vulnerabilidad Firefox 2.0 y anteriores
http://www.extremeambient.net/2006/10/29/vulnerariblidad-firefox-20-y-anteriores/

Firefox 2, vulnerable
http://www.kriptopolis.org/firefox-2-vulnerable

ADODB.Connection POC Published.
http://blogs.technet.com/msrc/archive/2006/10/27/adodb-connection-poc-published.aspx

IE Address Bar Issue
http://isc.sans.org/diary.php?storyid=1804
http://blogs.technet.com/msrc/archive/2006/10/26/ie-address-bar-issue.aspx

Information on Reports of IE 7 Vulnerability
http://blogs.technet.com/msrc/archive/2006/10/19/information-on-reports-of-ie-7-vulnerability.aspx

Fuente: http://www.hispasec.com/unaaldia/2928/
___

Seguir leyendo...

La administración de Munich y su migración a GNU/Linux

Estaba dándome una vuelta por Slashdot y me he encontrado con esta información de “Heise Online” en la que se habla del cambio que están llevando a cabo en Munich.

En dos ocasiones he estado en esa ciudad y a pesar de que no me veo viviendo allí ni de casualidad (son más aburridos que el discurso de Ramoncín-;), si que os digo que se respira modernidad por los cuatro costados.

En el artículo dicen que la capital de Baviera planea terminar su migración actual de más del 80 por ciento de sus sistemas de escritorio a GNU/ Linux antes de 2008. Los primeros funcionarios en utilizar sofware abierto en la administración, comentan que están satisfechos con el resultado.

Leo también que el alcalde de Munich, Christine Strobel, dijo recientemente en una feria tecnológica que “estaban muy contentos con la migración y que no era un gurú de la informática pero que no le fue difícil adaptarse al nuevo software” (no me digáis que no tiene que molar ir a hacer un asunto a una oficina municipal y ver a alguien tirando de KDE -;).

Por lo que se ve, antes de fin de año, unos 200 lugares de trabajo, funcionarán una distribución especial llamada “LiMux”. Si todo funciona según lo planeado, la mayor parte de los aproximadamente 14.000 PCs que hay en la administración pública, completarán la migración antes de 2 años.

También comentan que aunque algunos de los programas en Windows y GNU/Linux son muy similares, (MS Office OpenOffice por ej), los usuarios en los primeros días del cambio y al haber adquirido hábitos de uso arraigados, pueden encontrarse un poco perdidos pero Jens Barth, director del proyecto, dijo recientemente a un semanario Aleman que “eso cambiará rápidamente cuando la gente note que sus ordenadores realizan sus tareas del mismo modo que antes y en algunos casos igual o mejor y de un modo sencillo.

El proyecto está basado principalmente en una distribución de Debian GNU/Linux (3.1), usando como entorno de escritorio KDE 3.5 y OpenOffice 2.

Muchas veces tendemos a mirar a Alemania como un referente en cuanto a avance e innovación, a ver si ejemplos como este también se tienen en cuenta en nuestra administración publica, porque a pesar de que hay provincias donde se están haciendo algún giro hacia el software libre, en mi opinión estás iniciativas se quedan cortas y para acabar, recuerdo que todavía hay sitios web estatales en los que solo se puede entrar con la basura de Internet Explorer…

Artículo original, (en Inglés).

Fuente: http://www.daboblog.com/2006/10/29/la-administracion-de-munich-y-su-migracion-a-gnulinux/

___

Seguir leyendo...

Tu disco duro se autoencriptará solo

Una de las tecnologías más interesantes de las que oímos hablar en el IDF fue la que presentó Seagate, denominada DriveTrust. Su objetivo: cifrar y descifrar de forma automática y transparente el contenido de tu disco duro.

Imagina un cifrado digital que funcione de forma independiente respecto al ordenador. De hecho, la unidad de disco lo hace todo a la misma velocidad de lectura (o esa es la idea). Esta técnica dispone de varias ventajas respecto a los esquemas software, y por supuesto, algunas desventajas.

En primer lugar, todo se almacena en el disco, y este actúa de forma transparente. Lo instalamos en un PC, establecemos una contraseña, y listo. Aunque la nota de prensa no indica cómo es posible arrancar desde un volumen cifrado que puede no haber sido detectado por la BIOS, se supone que esto es factible. Suponemos que además es posible cifrar de forma selectiva volúmenes y ficheros. Teóricamente el proceso no supone una carga adicional para el sistema.

Además, este disco puede hacer algo que pocos desarrollos pueden hacer: es capaz de erradicar los contenidos del disco en menos de un segundo, y hacerlo de forma muy segura. Si se eliminan las claves de cifrado, los datos quedan totalmente ilegibles. Esto significa que si quisieras recuperar los datos (o alguien tratara de hacerlo) tendría que enfretarse con algo muy distinto al análisis de la superficie del disco: tratar de descifrar y crackear claves AES, un problema mucho más complejo.

¿Qué ocurre si pierdes las claves? En otros casos tendrías que llamar al vendedor y pedir que te solucionen el problema, a veces con un coste añadido. Seagate nos dijo en el IDF que dispone de una utilidad denominada SOL para ayudar en estos casos. No hay puertas traseras, así que si las pierdes, lo llevas crudo. Así de sencillo. No digas que no te avisamos.

Para muchas empresas, gobiernos y otras organizaciones conscientes de la necesidad de seguridad, esta unidad es precisamente lo que buscan. Sin embargo, para el usuario medio, ese que se deja el post-it encima de la mesa con la contraseña del correo, lo mejor será no optar por esa solución.

Afortunadamente, hay dos gamas de este disco. La denominada Momentus 5400 FDE.2 y la DB35 son las dos únicas que incluyen esta tecnología. La 5400 está preparada para instalarse en portátiles, una idea muy interesante. La DB35 está pensada para DVR (Digital Video Recorders) y otros dispositivos multimedia. Por el momento no hay precios concretos para dichas unidades.

Seagate tiene con estas unidades dos productos tremendamente interesantes. Al igual que asa siempre con el cifrado, las cosas pueden ir perfectas... o ser un desastre. Será interesante ver lo que pasa cuando ambos modelos sean analizadas por los expertos en seguridad y criptografía. En cualquier caso, tened en cuenta estos productos, tienen mucho potencial. µ

Noticia original

Fuente: http://es.theinquirer.net/2006/10/30/tu_disco_duro_se_autoencriptar.html
___

Seguir leyendo...

Google sale a la caza de criminalesAgregar a mis artículos

Ayudará en Brasil a identificar a individuos acusados de usar un servicio de contactos sociales de la empresa para propagar pornografía infantil y la discriminación. Sin embargo, en la Justicia de ese país recalcan que la ayuda no es total

Google ayudará a las autoridades brasileñas a identificar a individuos acusados de usar el servicio de contactos sociales Orkut, perteneciente a la compañía, para propagar la pornografía infantil y el discurso de odio racial en la Internet, informó su portavoz Debbie Frost.

Google ayudará a detectar contenido dentro de Orkut vinculado con pornografía infantil y discurso de odio racial contra negros, judíos y homosexuales, el cual es ilegal en Brasil. Frost dijo que el material en Orkut podrá ser revisado o preservado, a la espera de una orden judicial para examinarlo.

De acuerdo con la firma californiana, Google también provee herramientas para ayudar a usuarios a encontrar organizaciones que apoyan la seguridad en Internet, tal como el Centro de Defensa de Niños y Adolescentes (http://www.violenciasexual.org.br) y Vigilancia contra el Crimen Juvenil (http://www.jccbrasil.com.br).

Pero Google no ha querido ayudar a cortes brasileñas, según una fuente ligada a la oficina de la fiscalía en Sao Paulo que dijo no estar autorizada a proporcionar su nombre.

"Dicen que están ayudando al sistema de justicia brasileño, pero aún no han entregado los perfiles de usuario requeridos", dijo la fuente. El fiscal en el caso, Sergio Suiama, no estaba disponible para dar sus comentarios.

Google ha apelado la orden de un juez federal para entregar direcciones numéricas de Internet de los usuarios de Orkut, las cuales pueden ayudar a identificarlos. Google argumentó que la corte civil federal no tenía la autoridad adecuada para pedirlo.

Los fiscales brasileños han estado enfrentándose a las afirmaciones de Google de que las peticiones deben ser manejadas por Google en Estados Unidos, no en su filial brasileña. Ambas partes han debatido sobre si la información almacenada en computadoras en ese país de Norteamérica debería estar sujeta a las leyes brasileñas o estadounidenses.

El servicio en cuestión, bautizado en honor del ingeniero turco Orkut Buyukkokten, permite a miembros conversar sobre una amplia variedad de temas en foros de Internet, o "comunidades". Con aproximadamente ocho millones de usuarios - cerca de un cuarto de brasileños que tienen acceso a Internet - es más popular en Brasil que en cualquier otro país.

Fuente: http://www.infobae.com/notas/nota.php?IdxSeccion=1&Idx=283648
___

Seguir leyendo...

Delitos informáticos: aprobado con modificaciones

El proyecto de ley de delitos informáticos fue aprobado con modificaciones en la Reunión 35ª- Sesión 26ª de la Cámara de Diputados, según la versión taquigráfica provisoria de la sesión. Según surge del registro taquigráfico, los diputados recibieron numerosas sugerencias de modificación. Aún no está disponible el texto final aprobado, y la discusión en la sesión es un tanto confusa, pero el proyecto parece haber mejorado sensiblemente.

Aparentemente, el más problemático de los artículos número 12 sigue penando conductas normales y necesarias al usar y administrar redes informáticas, de modo que es probable que debamos dirigirnos a los Senadores llamándoles la atención sobre las consecuencias posibles de este lenguaje. Transcribimos la parte relevante del registro taquigráfico.

Fuente: http://www.vialibre.org.ar/?p=3752
___

Seguir leyendo...

¿Es el IE 7 realmente más seguro que el IE 6?

Por Wilson Salazar
[email protected]

Microsoft lanzó su largamente esperado navegador Internet
Explorer 7.0 el pasado 19 de octubre [Nota VSA: Al momento de
publicarse este artículo, aún no existe la versión en
español]. La descarga gratuita permite que los usuarios de
Windows substituyan IE 6.0, que no ha tenido ninguna
actualización de sus principales características, desde su
liberación en 2002.

El IE 6 ha sido un serio problema para la compañía de
software de Redmond, produciendo una cadena de advertencias,
prácticamente cada mes, sobre vulnerabilidades en su código,
que afectan las transferencias directas y otros males que
pueden explotarse vía Web.

Las buenas noticias son que el IE 7 resuelve muchas de estas
debilidades en la seguridad, algunas de las cuales Microsoft
nunca consiguió corregir en IE 6. Sin embargo, la nueva
versión del browser no es perfecta, así que si usted todavía
tiene problemas debe estar enterados de los avances en IE 7.

El IE 7 incluye más controles de seguridad de los descritos
aquí, pero una lista corta de los cambios más importantes
tendría que incluir los siguientes:

- Un control mejor de las zonas.

El IE 6 "trusted sites zone" (zona de sitios de confianza),
da un vasto poder a los sitios Web para que instalen
programas en las máquinas de los visitantes y para ejecutar
otras acciones. Consecuentemente, el IE 7 por defecto, da a
esta zona solamente los mismos privilegios que encuentra en
la "zona de Internet".

Usted puede aumentar fácilmente las capacidades de los sitios
confiables, pero esto requiere un cierto conocimiento que el
usuario medio puede no tener.

Otra mejora es que la zona de "Intranet local", que también
da privilegios elevados a los sitios, no existe en las
versiones caseras de Windows. Esto abre pocas oportunidades
para que los sitios Web se presenten como sitios de la
Intranet.

- ActiveX Opt-in.

Muchos problemas con IE 6 durante los últimos años, están
relacionados con el "contenido activo", generalmente bajo la
forma de controles de ActiveX. Esta tecnología inventada por
Microsoft, ha permitido a los sitios Web instalar código y
hacer otras cosas desagradables en las PC de los visitantes.

En el IE 7 tal código no funciona por defecto, protegiendo a
los principiantes contra ataques de sitios no confiables.

- Filtro Anti-Phishing.

Microsoft mantiene una red global de fuentes de datos
actualizadas varias veces por cada hora, que contienen una
lista de sitios que se hacen pasar por verdaderos, la mayoría
relacionados con actividades bancarias y que son utilizados
para capturar las contraseñas de los usuarios confiados.

El IE 7 advierte al usuario cuando el navegador está
visitando un sitio incluido en esta base de datos y le impide
el acceso.

Pero aún cuando no esté en esa lista, también realiza un
escaneo de la página visitada para detectar características
comunes a sitios phishing, advirtiendo al usuario si fuera
sospechoso.

Sorprendentemente, el filtro anti-phishing no está activado
por defecto. Usted necesita activarlo, que es simple porque
el IE 7 le invita a hacerlo cuando se ha abierto la primera
vez.

- Modo protegido.

Solo está disponible cuando el IE 7 se ejecute en Windows
Vista (no funciona en XP ni en 2003). El modo protegido
previene que un sitio Web modifique archivos o
configuraciones del sistema, o que pueda instalar cualquier
clase de software. Esto proporciona a los usuarios la mejor
protección contra sitios sospechosos o no confiables.

Además de estas características, también agrega opciones tan
esperadas por muchos, como que todos los datos del caché
puedan eliminarse con un solo clic.

De todos modos, esto solo es un resumen. El IE 7 agrega
muchas opciones y mejoras a la seguridad, a pesar de que los
cazadores de fallos ya aseguran haber descubierto dos errores
en la flamante versión.

Microsoft comenzará a ofrecer IE 7 como descarga directa de
carácter prioritario desde el primero de noviembre. Se
desconoce si la versión en español estará disponible para esa
fecha. Mientras tanto, Firefox lanzó su versión 2.0, en la
que agrega muchas de las opciones de seguridad -y otras- que
los usuarios esperan encontrar en el nuevo Internet Explorer.
Firefox proporciona la versión en español desde el momento
mismo de su lanzamiento.

Para aquellos usuarios corporativos que deseen retrasar la
instalación automática del IE 7, Microsoft proporciona una
herramienta (Toolkit Blocker), que evita que la descarga
directa sea ofrecida a los usuarios finales en el proceso
regular de las actualización de Windows. También es posible
utilizar servicios como WSUS para esto.

Estas herramientas no evitarán que un usuario final navegando
directamente en el sitio de Microsoft descargue IE 7 por su
propia iniciativa. Pero impedirán a la mayoría de los
usuarios ver el ofrecimiento para actualizarse al IE 7 hasta
que usted lo permita.

* Fuente:

Is IE 7 Really More Secure Than IE 6?
http://itmanagement.earthweb.com/columns/executive_tech/article.php/3639566

Fuente: http://www.vsantivirus.com/ws-29-10-06.htm
___

Seguir leyendo...

Reventa de dominios para ser usados por phishers

El asunto del phishing está un poco olvidado, ya que no levanta el interés mediático que levantaba tiempo atrás.

El phishing ha sido un problema, y desde luego, lo sigue siendo. ¿Ha dejado de tener impacto mediático porque el problema ha mejorado a raíz de las n-campañas informativas al respecto? Pues no es descartable. ¿Habrá tenido algo que ver el que existan en el mercado productos antiphishing? Pues tampoco es descartable. ¿El impacto mediático se ha reducido porque este tipo de noticias dejó hace tiempo de ser novedad? Posiblemente. ¿Sigue siendo un problema para muchos usuarios? Seguro que sí. No os quepa duda.

Independientemente de esto, y de las técnicas que se empleen para sustraer credenciales, sigue habiendo negocio alrededor del modelo de fraude. Y si no, mirad a lo que se dedica más de uno en sus momentos de ocio. Informa F-Secure que están notando mucho trasiego en la reventa de dominios para propósitos de phishing.

Gente hay para todo. Parece que en España la tendencia se ha desplazado al robo de credenciales empleando malware, ya que el número de mensajes de phishing tradicional se ha reducido bastante, al menos si volvemos la vista atrás. Así pues, este tipo de noticias quizás tenga más calado en otros países, como EEUU, donde el phishing tradicional sigue tan candente como siempre, y donde el volumen es mucho mayor, a consecuencia de lo cual aparecen estos negocios satelitales, así como phishing en contra de comercios electrónicos y servicios online que en España no han terminado de cuajar (Ebay, por ejemplo). También creo que en España cada vez son más las entidades que optan por mecanismos adicionales que hacen que los phishers se vayan a darle palos al vecino, como por ejemplo, las tarjetas de coordenadas. Son rudimentarias, pero ayudan a paliar la problemática.

Así pues, la recomendación es simple. Seguid desechando mensajes de correo de vuestras entidades que os inciten a cualquier operativa, y en lo que respecta a troyanos, lo que se puede hacer para tratar de capear el temporal es disponer de un buen antivirus actualizado, así como emplear navegadores que hoy en día no sean objetivo de explotación para el robo de credenciales, como Opera o Firefox. Internet Explorer sigue siendo el blanco predilecto. Razones hay muchas, como por ejemplo, ésta. Mantener actualizado el sistema operativo es también imperativo. Y para que no se me olvide esta vez: K-Meleon Nauscópico, basado en Gecko. También es mas fiable que IE.

Si sois clientes de entidades que basen su funcionamiento en un usuario, contraseña y una clave de operaciones que nunca cambia, solicitad una tarjeta de coordenadas o un token de un sólo uso, si dispusieran de él. Ambas medidas reducen bastante las posibilidades de ser estafados. Y cuando digo bastante, me refiero a que los phishers suelen, salvo excepciones sofisticadas (que alguna hay por ahí circulando, capturando teclados virtuales, etc.), atacar a entidades que no tengan factores de este tipo para la autenticación de los clientes.

Como consejo final, confiad en el canal. Puede ser muy seguro a poco que se tomen unas medidas mínimas de precaución.

Fuente: http://www.sahw.com/wp/archivos/2006/10/27/reventa-de-dominios-para-ser-usados-por-phishers/
___

Seguir leyendo...

Otro bug crítico mata a Firefox 2.0

El bug 355221 (comunicado por Raúl Rodríguez a Mozilla y calificado por ésta como "crítico" hace ya casi un mes) también afecta sorprendentemente a Firefox 2.0 y permite cerrar el navegador abruptamente, como puede comprobarse cargando esta página de demostración.

ATENCIÓN: Con Javascript activado el cierre del navegador es inmediato en Linux y tras un aviso de error en Windows.

Fuente: http://www.kriptopolis.org/otro-bug-critico-mata-a-firefox-2-0
___

Seguir leyendo...

Las personas y los Procesos son más importantes que la Tecnología para la Seguridad de la Empresa

Las personas y los Procesos son más Importantes que la Tecnología para la Seguridad de la Empresa, según un Estudio Global entre 4.000 Profesionales de Seguridad Informática.

El Tercer Estudio Global sobre Profesionales de Seguridad Informática, Patrocinado por (ISC)2, Destaca un Aumento en los Presupuestos para Personal, Educación y Capacitación.

NUEVA YORK-- International Information Systems Security Certification Consortium ((ISC)2(R)), la organización líder mundial sin fines de lucro que se dedica a la educación y certificación de profesionales de seguridad informática a lo largo de sus carreras, anunció hoy día los resultados del tercer Estudio Global sobre Profesionales de Seguridad Informática (Global Information Security Workforce Study), realizado por la firma internacional de analistas IDC y patrocinado por (ISC)2.

Según más de 4.000 profesionales de seguridad informática de más de 100 países en el estudio más exhaustivo en su género, los elementos más importantes para asegurar en forma efectiva la infraestructura de sus organizaciones son (por orden de importancia):

-- Apoyo gerencial de las políticas de seguridad

-- Respeto de la política de seguridad por parte de los usuarios

-- Personal de seguridad calificado

-- Soluciones de software

-- Soluciones de hardware

Según el estudio, los tres principales factores de éxito ponen de relieve la necesidad de que las entidades públicas y privadas dediquen más tiempo y atención a las políticas, los procesos y la gente, áreas que tradicionalmente han sido ignoradas, confiándose más en el software y el hardware para la resolución de los problemas de seguridad. Los encuestados comentan que las organizaciones están comenzando a reconocer que la tecnología es un facilitador, no una solución, para implementar y ejecutar una buena estrategia de seguridad.

El estudio también reveló que la responsabilidad de ejecutar una estrategia de seguridad es compartida cada vez más por toda la organización, responsabilizando a los directivos como parte de un programa bien definido y articulado de gestión de riesgos. Continuando una tendencia identificada en el estudio del año pasado, la responsabilidad de asegurar los activos de la información está pasando del director de información (CIO) a otras áreas de la gerencia superior y de la empresa, incluso el director general, director de finanzas, el director de riesgos y el director de seguridad informática, así como al departamento jurídico y de cumplimiento.

"Si las organizaciones quieren asegurar y proteger en forma proactiva su información y activos financieros y físicos, es necesario su compromiso incondicional con la seguridad a nivel financiero, gerencial y operacional", dijo Allan Carey, director de programa de IDC, quien encabezó el estudio.

"La gestión de la seguridad requerirá siempre del equilibrio apropiado entre la gente, las políticas, los procesos y la tecnología a fin de mitigar con eficacia los riesgos que conlleva el entorno digitalmente conectado en el que funcionan las empresas".

IDC analizó las respuestas de 4.016 profesionales de seguridad informática de más de 100 países, con casi el 40% empleado por organizaciones con $1.000 millones o más en ingresos anuales. Los encuestados pertenecían a las tres regiones importantes del mundo: América del Norte, Central y del Sur (57,3%), EMEA (Europa, Medio Oriente, África) (22,8%) y AP (Asia Pacífico, incluyendo Japón) (19,5%), y representaban a organizaciones del sector público y privado, diversas industrias verticales, al igual que diferentes competencias centrales y cualidades. Los encuestados tenían típicamente responsabilidades de adquisición, contratación de personal y/o administración. Otros puntos destacados del estudio 2006 comprenden:

-- IDC estima que el número de profesionales de seguridad informática en todo el mundo en 2006 es de 1.5 millones, un aumento del 8,1% con respecto a 2005. Se espera que esta cifra aumente a un poco más de 2 millones para 2010, con una tasa de crecimiento anual compuesto (CAGR) del 7,8% de 2005 a 2010. A modo de comparación, el crecimiento previsto en el número de empleados de informática a nivel mundial en el mismo período es del 4,6%.

-- Los sueldos en los Estados Unidos para la profesión continuaron sin cambios con respecto al año pasado; sin embargo, los sueldos para seguridad informática han cambiado a nivel global para reflejar la dinámica regional que tiene lugar a medida que evoluciona esta profesión. En el continente americano, los trabajadores que ganan menos de $30.000 dólares aumentaron el 3% al 4,4% de la fuerza laboral, el cambio más notable entre los encuestados de las Américas, debido más que nada al creciente número de profesionales de seguridad informática a ese nivel que se están contratando en América Central y del Sur con sueldos más bajos que el promedio para toda la región.

-- Las tecnologías comunes de seguridad que implementan las organizaciones de todas las regiones son biométrica, seguridad inalámbrica, prevención de intrusiones y herramientas forenses. La biométrica se ubicó en primer o segundo lugar en todas las regiones.

-- El área de gestión de riesgos en seguridad informática se ubicó en primer lugar como prioridad de capacitación en todo el continente americano y en la región EMEA y en segundo lugar en la región AP. Esto continuará en el futuro previsible mientras las organizaciones luchan por ganar el control sobre su postura de riesgo, desarrollan un marco flexible para adaptarse rápidamente a los nuevos factores ambientales, y dan visibilidad a sus riesgos más grandes. La continuidad empresarial y la ciencia forense son también temas que consideran los profesionales para aumentar sus conocimientos y perfeccionar sus habilidades.

-- El 67% de los profesionales de seguridad creen que durante los últimos 12 meses sus esfuerzos lograron influir en la gerencia y en los accionistas de la empresa para elevar la concienciación y la responsabilidad en materia de seguridad dentro de sus organizaciones. Con respecto a 2007, el 73% cree que podrá fomentar el cambio en sus organizaciones.

-- En general, las organizaciones están gastando un mayor porcentaje de sus presupuestos para seguridad informática en personal y capacitación en 2006 que en 2005. Las organizaciones están gastando más del 41% de sus presupuestos para seguridad, como promedio, en personal y capacitación para dotar de personal a proyectos y apoyar la gestión posterior a la implementación.

-- La importancia de las certificaciones de seguridad informática como un criterio de contratación siguió siendo alta, con el 85% entre los encargados de contrataciones, pero bajó del pico del 92% en 2004.

-- Para compensar las capacidades internas y los recursos limitados, las organizaciones están contratando a terceras firmas de servicios que han logrado atraer a profesionales calificados en el campo de la seguridad informática.

"IDC cree que los profesionales de seguridad que participaron en este estudio están llevando su mensaje a las masas y están actuando como 'agentes del cambio' dentro de sus organizaciones para cerciorarse que la seguridad informática sea reconocida por sus contribuciones positivas a la empresa, en lugar de costos irrecuperables como se han percibido en los últimos años", dijo Carey. "El mensaje de que la gente y los procesos son absolutamente cruciales para una seguridad informática eficaz finalmente está comenzando a resonar entre los líderes empresariales".

"Las vulneraciones de seguridad que fueron noticia el año pasado son resultado del error humano, y el Estudio Global sobre Profesionales de Seguridad Informática de este año valida además la opinión que mantuvieron durante años los profesionales de este campo de que la gente es el componente más importante de un programa eficaz de seguridad informática", señaló Ed Zeitler, CISSP, director ejecutivo de (ISC)2. "El hecho de que los profesionales de seguridad informática sean escuchados por los directivos y se comparta la responsabilidad de la seguridad en toda la organización demuestra que se ha consolidado la profesión de la seguridad informática y que se valora como un componente imprescindible de la empresa"

"Con respecto a la certificación, esta encuesta no distinguió entre las certificaciones que se basan sólo en una prueba y las que exigen experiencia profesional validada, formación permanente, patrocinio de pares y otros requisitos asociados generalmente con certificaciones profesionales en otros campos más establecidos", agregó Zeitler. "Creemos que las certificaciones acreditadas que apoyan la necesidad de gestión para los profesionales con experiencia en el mundo real y educación continua son consideradas en forma más favorable que las certificaciones que se obtienen con sólo pasar una prueba".

El Estudio Global sobre Profesionales de Seguridad Informática 2006 (IDC Doc. # 203970, octubre de 2006) fue llevado a cabo por IDC y patrocinado por (ISC)2 con el fin de proporcionar un panorama detallado de las tendencias importantes y las oportunidades dentro de la profesión de seguridad informática. La finalidad del estudio es proporcionar una visión más clara de cómo son remunerados los profesionales, qué opinión tienen sus organizaciones con respecto a la seguridad y cuáles son los siguientes pasos para que sigan evolucionando las carreras y la profesión de la seguridad informática. Para descargar una copia del estudio, visite www.isc2.org/workforcestudy.

Acerca de (ISC)2

International Information Systems Security Certification Consortium ((ISC)2) (Consorcio Internacional de Certificación en Seguridad de los Sistemas de Información) es la principal organización sin fines de lucro que se dedica a certificar a profesionales de la seguridad informática de todo el mundo. Fundado en 1989, (ISC)2 ha certificado a más 45.000 profesionales de seguridad informática en más de 120 países. Con sede en Palm Harbor, Florida, EE.UU., y oficinas en Vienna, Virginia, EE.UU., Londres, Hong-Kong y Tokio, (ISC)2 expide las credenciales de Profesional de Seguridad Certificado en Sistemas de Información (CISSP(R)) y concentraciones relacionadas, Profesional Certificado y Acreditado (CAP(CM)) y Profesional Certificado en Seguridad de Sistemas (SSCP(R)) y concentraciones relacionadas, a aquellas personas que cumplen con los requisitos necesarios de competencia. Las certificaciones CISSP, CISSP-ISSEP(R) y SSCP(R) son las primeras credenciales de informática que cumplen con los requisitos rigurosos de la norma 17024 de ANSI/ISO/IEC, un parámetro global para evaluar y certificar al personal. (ISC)2 también ofrece una cartera de productos y servicios educativos relacionados, basados en CBK(R) de (ISC)2, una taxonomía de temas de seguridad informática, y es responsable del Estudio Global sobre Profesionales de Seguridad Informática (ISC)2. Para obtener más información, visite www.isc2.org.

(C) 2006, (ISC)2 Inc. (ISC)2 , CISSP, ISSEP, SSCP y CBK son marcas registradas de certificación y CAP es una marca de servicio de (ISC)2 Inc.

Pat Harriman o Mike Kilroy
Maples Communications, Inc.

Este estudio está disponible en www.isc2.org/workforcestudy

Fuente: http://www.pincus.pincus.com/iginfo.htm a través de Santiago
___

Seguir leyendo...

Alan Cox: "Se invierte mucho dinero en seguridad, pero también en intentar romperla"

Por Sergio de los Santos

[email protected]

"Se invierte mucho dinero en seguridad, pero, la situación es peor, porque también se invierte mucho dinero en intentar romperla" Esta es una de las afirmaciones que según news.com, ha lanzado Alan Cox mientras asistía a la LinuxWord de Londres celebrada hace pocos días. Alan Cox, respetado desarrollador del núcleo de Linux y actual trabajador de Red Hat, se queja de la autocomplacencia del mundo del código abierto con respecto a la seguridad.

Alan Cox conoce el mundo del código abierto. Ha programado activamente el núcleo de Linux e incluso tenía su propia versión de la rama 2.4. Según publica news.com, sus declaraciones no tienen desperdicio.

Advierte de que mucho código abierto está lejos de ser seguro y que se están invirtiendo grandes sumas de dinero en intentar romper la seguridad de este código. Aunque no lo menciona, es fácil constatar que en los últimos meses se han puesto en marcha varias iniciativas desde empresas privadas (más las iniciativas que con toda seguridad existen "en la oscuridad") que incentivan el descubrimiento de problemas de seguridad, que se ha convertido en un negocio a todos los niveles. No sólo en el código abierto, sino en todo tipo de filosofía. Se paga a cambio del conocimiento de los detalles de la vulnerabilidad, por la exclusividad de la publicación del fallo bajo el nombre de la empresa.

Cuanto más crítico el problema, más jugoso el premio. Este es el caso de iDefense, o TrippingPoint. Por ahora, se le pueden adjudicar varias publicaciones de vulnerabilidades que han visto la luz a través de estos proyectos, tanto en productos de código abierto como "cerrado".

"Lo que aparece en los medios de comunicación como que el código abierto es seguro y más fiable y que tiene menos fallos son afirmaciones muy peligrosas", dijo Cox. "Un análisis de 150 proyectos de SourceForge (un repositorio de software de código abierto) no obtendría los mismos buenos resultados que el núcleo de Linux. La alta calidad sólo se aplica a algunos proyectos, los que tienen buenos autores y buenas revisiones de código".

Alan Cox continua: "El debate de Microsoft diciendo "Mira qué seguros somos" contra Linux afirmando "Nosotros somos más seguros" no se está enfocando en los puntos importantes". Esta es una de las afirmaciones que podemos considerar particularmente más lúcidas. En los últimos meses, esta estéril discusión se ha materializado especialmente en la constante comparación (casi competitiva) de la comunidad entre los navegadores Internet Explorer y Firefox, su número de errores, la criticidad, la rapidez para corregirlos... algo que como bien opina Cox, no es realmente la cuestión.

Cox, por otro lado, también habló del nuevo proyecto llamado Software Quality Observatory for Open Source Software (SQO-OSS) fundado por la Comisión Europea y estrenado recientemente. Pretende medir la calidad del código abierto de manera estricta y cuantificable a través de fórmulas establecidas. Respecto al proyecto, parece no tenerlo del todo claro y dijo que "es bueno establecer medidas, y SQO-OSS tiene un gran potencial, pero existen problemas con esto, y riesgos asociados a este tipo de metodología".

Más información:

Linux guru warns on security of open-source code

http://news.com.com/2100-1002_3-6129835.html

SQO-OSS: Software Quality Observatory for Open Source Software

http://www.sqo-oss.eu/

Zero Day Initiative

http://www.zerodayinitiative.com/

Vulnerability contributor program

http://labs.idefense.com/vcp/

Alan Cox

http://en.wikipedia.org/wiki/Alan_Cox

Fuente: http://www.hispasec.com/unaaldia/2925/comentar

____

Seguir leyendo...

Desarrollo de los programas maliciosos (Enero-junio)

Yury Mashevsky
Analista de virus, Kaspersky Lab

• Troyanos
• Virus y gusanos
• Otros programas maliciosos
• Extorsión. Una tendencia peligrosa
• Conclusiones

Programas maliciosos para plataformas diferentes a Windows

Ataques por Internet

Programas dañinos para dispositivos móviles

Spam en el primer semestre de 2006

Los primeros seis meses de 2006 trajeron cambios considerables. La cantidad de nuevos programas maliciosos (incluyendo modificaciones) aumentó cada mes en un promedio del 8% en comparación con el mismo período de 2005 (ver Diagrama 1)

Cantidad de nuevas modificaciones de programas maliciosos, encontradas en el transcurso de un mes.

El diagrama 1 muestra que los troyanos representan la mayor proporción de programas maliciosos. Los troyanos son el único tipo de programa malicioso que demostró un crecimiento en la cantidad de nuevas modificaciones, (9%) durante los primeros seis meses de este año. El incremento en la cantidad de troyanos juega un papel importante para determinar el crecimiento del malware en su conjunto.

Las cifras de virus y gusanos muestran una pequeña disminución del 1,1%, lo cual era de esperarse.

La clase MalWare mostró la mayor disminución de todas, cayendo en un 2.3% en comparación al mismo período de 2005.

Examinaremos después en mayor detalle los recientes desarrollos en las tres categorías.

Troyanos

Los programas troyanos se están desarrollando con mayor rapidez que cualquier otra clase de código malicioso. De acuerdo a lo mencionado antes, el aumento en la cantidad de nuevas modificaciones de troyanos alcanzó un 9% durante la primera mitad de 2006.

Cantidad de nuevas modificaciones realizadas a programas troyanos, encontradas en el transcurso de un mes.

Diagrama 5. Desglose de troyanos por categoría.

De los diversos tipos de programas troyanos, los más comunes son Backdoor (30%), Trojan-Downloader (26%), Trojan-PSW (12%) y Trojan-Spy (13%). ¿En que se diferencian estos troyanos de los otros? La respuesta, de hecho, es mucho más simple de lo que parece a simple vista: todo depende del dinero. Estos troyanos son elementos clave cuando se trata de robar datos personales o de crear una botnet. Esta es la razón por la que son los más populares entre los usuarios maliciosos, que cada vez están más orientados hacia las ganancias.

La popularidad de los programas Trojan-Downloader y Backdoor se puede explicar por el hecho de que se utilizan con frecuencia para crear botnets. A fin de obtener control sobre el ordenador de la víctima, un usuario de código malicioso lo infectará con un pequeño y especializado programa malicioso: un Trojan-Downloader. El trabajo de este troyano es instalar otros programas maliciosos en el sistema: la mayoría de las veces, éste será un programa Backdoor, que dará acceso remoto total al equipo de la víctima.

Después están los programas Trojan-Spy y Trojan-PSW. Como sus nombres indican, estos troyanos roban información personal. Pueden usarse para la búsqueda de casi cualquier tipo de datos personales, desde contraseñas hasta información de juegos, financiera y de otros tipos, hasta información que podría ser utilizada para estudios de mercadeo – todo sin que el usuario sospeche nada.

En contraste con los códigos maliciosos que pueden replicarse (tales como virus y gusanos), los programas troyanos deben ser entregados al equipo víctima. En la actualidad, los troyanos se entregan ya sea vía spam, con adjuntos que contienen el código malicioso; o se descargan utilizando un explotador de vulnerabilidades. Debe tenerse en cuenta que los usuarios maliciosos están mostrando una preferencia por el correo no deseado masivo en lugar del uso de exploits. Éstos cuestan entre 40 y 60 dólares por cada mil infecciones, aunque nadie asegura al cliente que “su” programa malicioso será el único en el ordenador infectado.

En el futuro, parece que la tendencia de crecimiento de la cantidad de programas troyanos se mantendrá constante, aunque podría disminuir un poco.

Virus y gusanos

Los virus y gusanos, como clase, han estado experimentando una disminución constante durante más de un año. El siguiente gráfico presenta la cantidad de nuevas modificaciones de virus y gusanos detectadas de forma mensual.

Cantidad de nuevas modificaciones de virus y gusanos por mes.

En base a los resultados de la primera mitad del 2006, la cantidad de nuevas modificaciones de virus y gusanos ha caído en un 1,1%.

Desglose de los tipos de virus y gusanos detectados durante la primera mitad del 2006.

La cantidad de nuevas modificaciones ha disminuido en todos los tipos de programas malintencionados. Esta disminución se debe a una economía simple; es menos caro desarrollar un programa troyano primitivo que crear un código malicioso que sea capaz de reproducirse, tal como un gusano.

Tanto las estadísticas como una serie de otros factores testifican una caída en la cantidad de gusanos. Por ejemplo, la cantidad de epidemias globales en los últimos seis meses ha disminuido de forma considerable en comparación con el mismo período del 2005. Esto demuestra que la tendencia de disminución que se notó hace un año se mantiene.

La caída en la cantidad de epidemias llevará, sin duda, a la disminución de daños financieros y de otros tipos. Sin embargo, aún existe el riesgo de que los usuarios no tomen las precauciones adecuadas, creando de esta manera oportunidades para usuarios maliciosos.

La cantidad de virus y de gusanos continuará disminuyendo en el futuro.

Otros programas maliciosos

Esta sección examina la última clase de código malicioso que es detectado por nuestras bases de datos antivirus. La evolución de este código malicioso, clasificado como MalWare, se muestra en el siguiente diagrama:

Cantidad de modificaciones de programas en la clase MalWare.

La cantidad de nuevos programas maliciosos de clase MalWare cayó en un 2,3% en comparación con el mismo período del 2005.

El gráfico circular en el diagrama 8 muestra los distintos tipos de MalWare de acuerdo al sistema de clasificación de Kaspersky Lab.

Desglose de los distintos tipos de MalWare

Los exploits, la clasificación más común de MalWare, representan el 30% de esta categoría de código malicioso. Son una parte integral del mecanismo utilizado por otros programas maliciosos para poder diseminarse.

Extorsión: una tendencia peligrosa

Una de las tendencias más peligrosas que se han visto en los últimos meses, es el crecimiento en la cantidad de incidentes en los que usuarios maliciosos utilizan un programa para modificar datos en un equipo víctima y después chantajean al usuario. Muchos de estos programas son muy similares los unos a los otros, y están diseñados ya sea para afectar las funciones del equipo víctima, o para bloquear el acceso a información. El crecimiento en la cantidad de nuevas modificaciones de tales programas está ilustrado en el diagrama 9 siguiente.

Cantidad de programas que modificaron datos y fueron utilizados para chantaje.

En enero del 2006, estos tipos de programas estuvieron representados básicamente por un solo troyano – Trojan.Win32.Krotten. El autor de Krotten divulgó 13 modificaciones de este código maliciosos en sólo dos semanas, con una regularidad envidiable. Cambió de forma constante el código en un esfuerzo para evitar que Krotten fuera detectado. Esto explica el salto en los inicios de los primeros seis meses de este año, como se muestra en el diagrama.

A comienzos de febrero de 2006, los chantajistas informáticos comenzaron a atraer nuestra atención con nuevos tipos de malware de una variedad de distintos autores, aunque Krotten aún estaba a la cabeza en términos de nuevas modificaciones.

A finales de enero, vimos la aparición de Virus.Win32.Gpcode, justo después de Krotten. Trojan.Win32.Krotten nunca modificaba los archivos de usuario (modificaba el registro del sistema de manera que el troyano en sí mismo fuera difícil de borrar y de manera que el equipo infectado fuera difícil de usar), lo cual significaba que sería posible, en teoría, restaurar el equipo víctima a su estado original anterior a la infección. Sin embargo, Gpcode negaba esta posibilidad al usuario. Durante los primeros seis meses del 2006, este programa malicioso evolucionó rápido: el autor pasó de utilizar, al inicio, un algoritmo de cifrado simétrico típico a uno asimétrico, extendiendo la extensión de la clave utilizada de 56 bits a 64, 260, 330 y así sucesivamente hasta 660.

Durante la primera mitad de este año, la cantidad de troyanos utilizados para chantaje se incrementaron de dos a seis (Krotten, Daideneg, Schoolboys, Cryzip, MayArchive, Gpcode). En la cumbre de su desarrollo, sus ataques estaban limitados principalmente a Rusia y a la Unión de Estados Independientes, en la antigua Unión Soviética. Sin embargo, a finales de julio, los autores o usuarios de estos programas claramente se ramificaron y se vieron casos similares de chantaje en Alemania, el Reino Unido y varios otros países.

No hay nada para prevenir que este tipo de código malicioso se siga desarrollando, lo cual produce una preocupación particular. Ya hemos visto casos en los que principiantes, que ayer apenas sabían utilizar el ratón, ahora están probando suerte con el chantaje informático. Aunque algunos intentos son más absurdos que otros – ha habido casos en los que el usuario malicioso dicta la cantidad de dinero y la forma en que debía ser transferido, pero olvida incluir los datos de contacto. Un ejemplo de este tipo de troyano sería Trojan.WinREG.Schoolboys.a.

Conclusiones

Lamentablemente, el futuro no luce especialmente brillante, ya que las técnicas utilizadas por los delincuentes informáticos continuarán evolucionando y la cantidad de programas maliciosos seguirá en aumento.

La cantidad de nuevas modificaciones a programas maliciosos está en aumento a un ritmo constante: hubo un incremento del 8% sólo en la primera mitad del año.

Los programas maliciosos más comunes en la actualidad son Trojan-Spy, Trojan-PSW, Trojan-Downloader y Backdoor: es decir, todos los programas maliciosos utilizados para construir botnets, y robar datos personales y propiedad informática de los usuarios. Lo más notorio fue la cantidad de programas que pueden utilizarse para conseguir ganancias.

También es cada vez más común el uso de programas maliciosos para realizar ataques dirigidos.

En la primera mitad del 2006, los usuarios maliciosos demostraron una preferencia obvia por infectar equipos víctimas utilizando explotadores vía sitios web de usuarios maliciosos. Este método es tan popular debido a que el programa malicioso es más o menos indetectable en el ordenador del usuario, ya que el código malicioso no necesita que una persona lo active.

Aunque las conclusiones anteriores parecen sombrías, la situación no es tan mala. Si usted actualiza sus bases de datos antivirus e instala los parches de software de forma regular, esto le ayudará a proteger su equipo o sistemas de la mayoría de las amenazas mencionadas arriba.

Fuente:Kaspersky Lab
___

Seguir leyendo...

El laberinto de la seguridad

McAfee S.A.. ha publicado recientemente las conclusiones de una nueva investigación, que revela que el deseo de lograr una gestión de la seguridad TI más sencilla está siendo minado por la complejidad de las estrategias de compras en seguridad.

A pesar que los directores TI exigen un único punto de monitorización de la seguridad TI, "demasiados proveedores de seguridad, soluciones y consolas de gestión están sobrecargando los negocios".

El estudio en 600 negocios a través de seis países europeos (Reino Unido, Francia, Alemania, Países Bajos, España y Italia) revela que, mientras a más de tres cuartas partes (77 por ciento) les gustaría tener una única vista de la seguridad de su infraestructura TI, casi un tercio (29 por ciento) actualmente usa cuatro o más consolas de gestión y la cuarta parte (24 por ciento) de empresas encuestadas tiene cinco o más proveedores de seguridad diferentes.

La investigación fue realizada por Ipsos MORI Research y financiada por McAfee para una mejor comprensión de las medidas de seguridad, cada vez más complejas, de muchas empresas europeas. La necesidad de aplicar actualizaciones a soluciones de software y renovar licencias con regularidad significa que la gestión de múltiples soluciones y de múltiples vendedores puede ser un auténtico dolor de cabeza para los directores TI.

La investigación revela que, además de los múltiples vendedores, muchos negocios despliegan un gran número de soluciones de seguridad en toda su organización. Casi un tercio (el 30 por ciento) emplea cinco o más soluciones de seguridad mientras que una de cada cinco empresas (el 22 por ciento) preguntadas tienen siete o más soluciones diferentes.

A largo y ancho de Europa la historia varía y las empresas holandesas son las que utilizan más a proveedores de seguridad. Un tercio de los negocios holandeses consultados tiene cinco o más proveedores mientras casi una de cada cinco empresas (19 por ciento) utiliza a más de 10 vendedores de seguridad. Por otra parte, en Francia uno de cada tres negocios utiliza a un único proveedor.

Las empresas británicas son las que utilizan más soluciones de seguridad con el 44 por ciento utilizando cinco o más y casi un tercio con siete o más. Un tercio de las empresas italianas también utiliza siete o más soluciones mientras en España, sólo una de cada cinco consultadas admitió el uso de cinco o más.

Otras conclusiones claves de la investigación incluyen:

* Las empresas de tamaño mediano (250 - 499 empleados) hacen uso de cada vez más vendedores, con un 42 por ciento utilizando tres o más proveedores de seguridad.

* El 26 por ciento de empresas de tamaño mediano ha desplegado cinco o más soluciones de seguridad en su organización.

* Sólo el 23 por ciento de los cuestionados está completamente satisfecho por el nivel de seguridad en sus sistemas y red.

* Una de las dificultades principales para las empresas que utilizan soluciones de múltiples vendedores está en la gestión de los parches. En este sentido, en Europa más de la mitad (el 51 por ciento) de los encuestados dijo que aplica parches al menos una vez al día. Las empresas italianas son las que más parchean (el 67 por ciento), seguidos por alemanes (el 61 por ciento).

Artículo completo de Marius Oiaga en Continuity Central.

Fuente: http://www.iso27000.es/
___

Seguir leyendo...

Outsourcing de servicios de seguridad

Por Joseba Enjuto. Un placer tener un enlace en su blog.

No sé si por casualidad o porque en estos últimos tiempos se está poniendo de moda, el caso es que últimamente han caído entre mis manos varios artículos sobre outsourcing de seguridad. En general, el mensaje de todos ellos venía a ser similar:

El outsourcing de servicios de seguridad es positivo siempre y
cuando el prestador de servicios sea de garantía, se externalicen únicamente
aquellos servicios en los que el expertise externo suponga un verdadero
valor añadido y en todo caso se mantenga el adecuado control sobre los
servicios externalizados.

Realmente, la conclusión no aporta demasiado, puesto que las tres condiciones parecen evidentes y de sentido común. Pesea a ello, creo que es una conclusión interesante ya que define, a grandes rasgos, las líneas de trabajo a seguir por una organización que quiera externalizar servicios (nótese que no me limito exclusivamente a los servicios de seguridad):

* Selección de prestadores de servicios de garantía: Definamos los requisitos a exigir a los prestadores, y verifiquemos las referencias. Si no tenemos claros los requisitos, las certificaciones pueden ser de gran ayuda (por ejemplo, exigir una certificación en seguridad tipo ISO 27001 a un prestador de servicios de seguridad parece una buena idea).
* Definición de los servicios a externalizar: Este es quizás el punto clave, y por su extensión requeriría un post específico. Aquí me limito a señalar que, para empezar a externalizar, lo hagamos por aquellos servicios en los que claramente la subcontratación sea beneficiosa económicamente (subcontratar salga más barato que desarrollar con personal interno la misma tarea con el mismo nivel de servicio), y no suponga el acceso a know-how de negocio ni información confidencial. Si hay dudas, mejor empezar por otros servicios.
* Control sobre los servicios externalizados: Tenemos que definir tanto los requisitos a controlar (SLAs, indicadores de nivel de servicio, cláusulas específicas, auditoría) como la metodología de control y supervisión, y que figure claramente en el contrato. No olvidemos que subcontratamos la operación, no la responsabilidad.

Como una primera aproximación, creo que estas ideas pueden servir para identificar los primeros pasos a seguir en la externalización de servicios. Si son ciertos los pronósticos de que el futuro va en esa dirección, tratemos de estar preparados para cuando se convierta en necesidad...

Fuente: http://secugest.blogspot.com/2006/10/outsourcing-de-servicios-de-seguridad.html
___

Seguir leyendo...

La última, que no última, de DVD Jon

El hacker noruego Jon Lech Johansen ha vuelto a sorprender al mundo, en su cruzada contra las protecciones anticopia de los productos culturales digitales.

http://ww2.grn.es/merce/2006/ipod.html

1. Este artículo fue escrito en 3 horas, por una persona que no tiene iPod, ni compra en iTunes, ni le importa qué pase con Apple desde que no está Woz.

2. Esta noticia era conocida desde hace un mes, como sabía error500. Pero no ha saltado hasta que las agencias la han mandado a los medios, procedente de no sé qué hilos (telefonazo de DoubleTwist? artículo en Fortune?). Lo que demuestra que las inercias del pasado siguen existiendo (blogs don't rule in real world). Y los cambios en los cauces de la información son lentos.

3. Interesante leerse la corta presentación corporativa de DoubleTwist. A un hacker lo reconoces hasta cuando... (ponga usted lo que le apetezca).

4. Intereresante aún más el análisis sobre esta historia que aparece hoy en Slashdot: iPod Cracked, But Does it Matter?

Fuente: http://www.filmica.com/port666/archivos/004745.html
___

Seguir leyendo...

En Navidad tendremos un Java Open Source

Sun ha anunciado la fecha en la que Java abrirá sus puertas a todo el mundo y se convertirá en una plataforma Open Source.

Según InfoWorld, el presidente y CEO de Sun, Jonathan Schwartz anunció en Oracle OpenWorld que todo estaría preparado para navidades. La plaforma básica incluirá la edición estándar de Java y se ofrecerá a través de una licencia aprobada por la Open Source Initiative.

De hecho , Java Enterprise Edition ya está disponible vía Open Source, pero este paso a una licencia abierta ya lleva tiempo siendo discutida y prevista por la comunidad Open Source.

Sun le comunicó a los clientes en la conferencia Java One en mayo que Java sería Open Source en el futuro, pero no especificó cuándo. Ahora, en las conferencias de Oracle ha afirmado que el 70% de las licencias se implantaron en máquinas de sus teóricos rivales, Dell, HP e IBM.

Las relaciones entre esas empresas y Sun han cambiado totalmente, y han pasado de ser rivales a partners en el canal de distribución.

Más información aquí.
Noticia original
___

Seguir leyendo...

La tercera guerra (de los navegadores)

Por Enrique Dans

"El producto de Microsoft, Internet Explorer 6, que había sido anunciado como el último navegador independiente de la compañía, estaba envejeciendo sin piedad frente a las nuevas prestaciones ofrecidas por Firefox."

En su momento, fue una de las guerras más cruentas de la historia de la tecnología: la conocida como "guerra de los navegadores". Su primer episodio, la "primera gran guerra", tuvo lugar a mediados de 1995, cuando Microsoft licenció un programa histórico en la web, Mosaic, y lo utilizó como base para su navegador Internet Explorer 1.0, que decidió distribuir de manera gratuita en un paquete denominado Windows 95 Plus! Tres meses después, en un rápido movimiento, apareció Internet Explorer 2.0. La idea de Microsoft era competir con el hasta entonces líder de mercado, Netscape, una compañía prácticamente monoproducto que había desarrollado Navigator, el navegador que utilizaban en aquel entonces un 80% de los usuarios. En realidad, Netscape era una empresa pequeña, cuyos ingresos totales, en su mejor momento, nunca habían llegado a superar lo que Microsoft tenía en su partida de tesorería.

Pero para Microsoft, que había intuido la importancia del navegador como ventana que el usuario utilizaba para relacionarse con el mundo, la batalla tenía una gran importancia. En 1996, con la salida de su Internet Explorer 3.0, Microsoft vio, por fin, como la cuota de mercado de su producto empezaba a aproximarse a la de una Netscape ya casi financieramente exhausta: la guerra empezaba a tener un aspecto cada vez más favorable.

En 1998, tras haber visto como su enemigo utilizaba sin pestañear armas tan letales como la gratuidad, la integración con el sistema operativo o las sanciones a los fabricantes de ordenadores que incluyesen el producto de la competencia en sus configuraciones de fábrica, Netscape capituló y liberó el código fuente de su producto. La guerra había terminado, y el monopolio estaba servido.

La segunda guerra comenzó en 2004: partiendo de los restos de la moribunda Netscape, y tras una reescritura radical en 2002, una fundación sin ánimo de lucro, la Mozilla Foundation, puso en el mercado Firefox 1.0, un navegador de código abierto. Entretanto, el tiempo transcurrido había permitido a Microsoft aplicar muchas de sus tácticas de construcción de monopolio: en lugar de adaptar su navegador a los estándares de la web, había conseguido que la web se adaptase a su navegador.

La mayoría de los webmasters del momento diseñaban sus páginas de acuerdo a las arbitrarias preferencias marcadas por la empresa de Redmond. Sin embargo, y a pesar de los comentarios de muchos usuarios que afirmaban que determinadas páginas (aquellas que no seguían los estándares de diseño) no se veían bien en Firefox, el uso del nuevo navegador empezó a tomar cuerpo. Desde entonces hasta ahora, la dominación de más del 90% del mercado que poseía Internet Explorer ha ido descendiendo hasta situarse ahora, según algunas fuentes, por debajo del 80%.

El producto de Microsoft, Internet Explorer 6, que había sido anunciado como el último navegador independiente de la compañía, estaba envejeciendo sin piedad frente a las nuevas prestaciones ofrecidas por Firefox, que contaba además con el más poderoso de los aliados: un ejército de empresas y programadores independientes que, aprovechando lo abierto de su código, añadían constantemente nuevas extensiones a una larguísima y creciente lista de prestaciones que los usuarios apreciaban en su justo valor.

Pero mucho más grave que el descenso de cuota, que seguía reflejando un mercado cuasi‑monopolístico, era la composición de usuarios en uno y otro lado: Firefox tendía a ser mayoritariamente popular precisamente entre los usuarios más avezados, con mayor experiencia, con más "tiros pegados" en la red. En muchos sitios que congregaban ese tipo de audiencias con niveles superiores de expertise, la cuota de Firefox empezaba ya a superar a la del producto de Microsoft de manera sistemática.

Tras ver como su cuota de mercado y, en mayor medida, su prestigio, se iban deteriorando, Microsoft decidió olvidar aquello que había dicho acerca de sus intenciones para el navegador, y anunció la salida de Internet Explorer 7, otro navegador independiente destinado a competir con Firefox. El nuevo navegador incorporaba, de hecho, muchas de las prestaciones que Firefox había hecho populares, en un movimiento de imitación que dejaba en poca estima la capacidad de innovación de la empresa más poderosa del mundo. Casi al mismo tiempo, Firefox publicó su versión 2.0, notablemente mejorada en muchas de sus prestaciones.

La tercera guerra de los navegadores ha comenzado. Su destino, esperemos, será una red en la que impere de una manera cada vez más patente la diversidad: múltiples navegadores, en diferentes adaptaciones y versiones, compitiendo en mejoras y prestaciones y respetando unos estándares básicos de presentación. La batalla será sin duda desigual, dado que uno de los contrincantes volverá a utilizar técnicas como el apalancamiento en la predominancia de su sistema operativo, pero el resultado, considerando la velocidad de mejora que una comunidad de usuarios fuertemente activa proporciona a Firefox, es incierto. Y las metas también lo son: mientras uno busca ferozmente recuperar el monopolio, otros luchan, simplemente, por un mercado mejor, por una competencia limpia.

Entre Internet Explorer 7, Firefox 2.0 o cualquiera de las muchas y muy buenas alternativas de otros competidores, la elección es completamente suya. Pero procure que eso sea así. Pruebe, compare, y quédese con el que más le guste, con el que mejor se adapte a su visión sobre la evolución futura de la red. El tiempo de utilizar simplemente "el navegador que venía con su sistema operativo" ha pasado ya.

Fuente: http://www.libertaddigital.com/opiniones/opi_desa_34039.html
___

Seguir leyendo...

Firefox 2.0, Internet Explorer 7, fallo a fallo

Por Jose Luis Lopez (*)
[email protected]

Los cazadores de fallos, parecen haber iniciado una carrera para descubrir nuevos problemas de seguridad tanto en Firefox 2.0 como en Internet Explorer 7.0, ambos liberados este mes.

Apenas salido al mercado el IE7, Secunia anunció lo que algunos llamaron "la primera vulnerabilidad" en el recién estrenado navegador. Y unos días después, un segundo agujero era descubierto.

Sin embargo, hasta donde nosotros mismos hemos podido comprobar, ambos problemas afectan también al Internet Explorer 5 y 6, y al menos uno de ellos, es un fallo nunca corregido por Microsoft. En ambos casos es fácil evitar el problema.

Según el primer reporte de Secunia, divulgado el mismo día de la salida oficial del IE7 (19 de octubre de 2006), un sitio malicioso podría acceder a datos de otros sitios cargados en otras ventanas del navegador abiertas. Por ejemplo, si usted
ingresa a un sitio de confianza para realizar sus actividades bancarias en línea, y al mismo tiempo visita en otra ventana un sitio controlado por un pirata, el sitio maligno podría obtener la información intercambiada con su banco.

Los desarrolladores de Microsoft, el mismo día de revelada la debilidad, afirmaron en su blog de seguridad, que el problema anunciado no se encuentra en el IE7, sino en un componente de Windows, el cuál afecta específicamente al Outlook Express, pero que puede utilizar como vector de ataque al navegador.

La segunda vulnerabilidad, también reportada por Secunia esta misma semana, permite que se abra una ventana emergente con un contenido falsificado, pero con el título de un sitio verdadero visitado por el usuario, lo que podría ser utilizado en ataques de phishing. El problema se produce no solo en el IE7, sino también en el IE6 con todos los parches actualizados. Al momento de publicarse este artículo, no tenemos referencias de que se trate de una vulnerabilidad recientemente descubierta, o de alguna existente que no haya sido aún solucionada por Microsoft.

En su blog de seguridad, Microsoft reconoce el problema, pero indica que el nuevo filtro anti-phishing del IE7, puede ayudar al usuario a no ser engañado por un sitio malicioso en casos como éste.

El filtro anti-phishing actúa de dos maneras, una de ellas realizando un análisis heurístico de las páginas web visitadas, y avisando al usuario cuando existen en las mismas características peligrosas. La otra, es a través de la base de datos de sitios que falsifican páginas verdaderas, la cuál es constantemente actualizada, y cuyo contenido es informado al navegador en tiempo real.

Pero el filtro anti-phishing, al contrario del que también incorpora el Firefox, no está activado por defecto.

De cualquier modo, ninguno de los dos problemas puede ser catalogado como crítico.

Lo mismo ocurre con los dos fallos reportados en el Firefox
2.0, a pesar de lo que claman algunas listas de seguridad.

Según Window Snyder, la nueva jefa de seguridad de Mozilla (ex integrante del equipo de Microsoft), estos anuncios "solo son puro ruido". Ninguno de los dos asuntos representan un riesgo verdadero para los usuarios de Firefox, según Snyder.

Uno de los problemas está relacionado con una vulnerabilidad corregida en una versión anterior de Firefox, y en un informe enviado a la lista Bugtraq, fue catalogado como crítico.

Pero Snyder afirma que esto es inexacto. Ella dice que la vulnerabilidad realmente fue solucionada en su momento, y la ahora detectada es un problema secundario, aunque
relacionado, y que solo puede hacer que Firefox deje de responder o se cierre.

"Se trata de una denegación de servicio, el programa solo deja de responder," dice Snyder. "De todos modos lo examinaremos para cerciorarnos que no hay realmente nada
allí."

El segundo informe, publicado en la lista Full Disclosure, menciona la existencia de un problema en Firefox 2.0 que podría ser explotado para engañar al usuario y obligarlo a revelar información confidencial. Pero la información aportada no es suficiente para que Mozilla determine si realmente hay un problema.

Otra vez Snyder asegura no tener datos suficientes para identificar el fallo, si es que éste realmente existe. "Si obtenemos más información, entonces lo investigaremos," dijo.

Internet Explorer 7 y Firefox 2, han puesto todo su énfasis en la seguridad, y ambos fueron publicados apenas con unos días de diferencia (de todos modos, la versión en español del IE aún no está disponible, al contrario del Firefox, que desde el día de su lanzamiento tenía versiones en nuestro idioma).

Características como filtros anti-phishing, y protección contra ejecución de software malicioso al visitar una página Web, son comunes en ambos, aunque cada uno utilice su propia técnica para implementarlas.

Tanto Mozilla como Microsoft, ahora parecen coincidir en pedir una actitud responsable a los cazadores de bugs.

Para Mike Schroepfer, vicepresidente de ingeniería de Mozilla, los investigadores son libres de buscar errores en Firefox. "Sin embargo," dijo, "esos bugs deberían ser
informados responsablemente a Mozilla, en vez de revelarlos antes públicamente".

"Es muy importante que la comunidad de la seguridad trabaje tan duro para ayudarnos a identificar los fallos," dijo Snyder. "Una vez que ellos son identificados, podemos
corregirlos rápidamente."

La verdadera lección en todo esto, debería ser no confiar en que tal o cuál navegador pueda ser más seguro que otro.

Más allá de preferencias personales, es importante reconocer que no existe ni existirá jamás un programa totalmente seguro. Aún cuando el software mejore sus prestaciones, y se agreguen mejores herramientas para protegernos, el componente
más importante de la seguridad informática no es la tecnología, sino las personas.

Del mismo modo que no abrimos las puertas de nuestras casas a cualquier extraño que se presente, deberíamos tener en cuenta nuestra actitud al navegar. Internet no es algo muy diferente a la calle, con sus mismos peligros, y las mismas precauciones a la hora de transitar por ella.

* Más información:

IE Address Bar Issue
http://blogs.technet.com/msrc/archive/2006/10/26/ie-address-bar-issue.aspx

Information on Reports of IE 7 Vulnerability
http://blogs.technet.com/msrc/archive/2006/10/19/information-on-reports-of-ie-7-
vulnerability.aspx

Internet Explorer 7 Popup Address Bar Spoofing Weakness
http://secunia.com/advisories/22542/

Internet Explorer 7 "mhtml:" Redirection Information Disclosure
http://secunia.com/advisories/22477/

Mozilla Foundation Security Advisory 2006-59
http://www.mozilla.org/security/announce/2006/mfsa2006-59.html

Mozilla Firefox JavaScript Handler Race Condition Memory Corruption Vulnerability
http://www.securityfocus.com/bid/19488/info

Mozilla Firefox JavaScript Handler Race Condition Memory Corruption Vulnerability
http://www.securityfocus.com/archive/1/449726/30/0/threaded

XSS in Firefox 2.0 ?
http://seclists.org/fulldisclosure/2006/Oct/0501.html

* Relacionados:
Versión final del IE7 vulnerable a un viejo exploit
http://www.vsantivirus.com/vul-ie7-mhtml-191006.htm

Firefox 2.0, nuevas y esperadas características
http://www.vsantivirus.com/25-10-06.htm

(*) Jose Luis Lopez es el responsable de contenidos de
VSAntivirus.com, y director ejecutivo de ESET NOD32 Uruguay.

Fuente: http://www.vsantivirus.com/26-10-06.htm
____

Seguir leyendo...

Haqueando Vista...

Como es sabido, PatchGuard es el mecanismo ideado por Microsoft para proteger el kernel de sus Windows de 64 bit (XP, 2003 y Vista) frente al "parcheo" del mismo por parte de programas maliciosos, fundamentalmente por parte de los famosos rootkits.

Esta "última frontera" se ha convertido también en el punto más candente de la controversia que mantienen diferentes fabricantes de soluciones de seguridad con Microsoft, por cuanto PatchGuard también impide en última instancia que muchos de esos programas puedan funcionar.

Pero no todo el mundo se queda sentado esperando que Microsoft le conceda acceso al kernel. Algunos tratan de hallar un camino por sí mismos...

Este verano ya comentamos en Kriptópolis el trabajo de Joanna Rutkowska, presentado en Black Hat. Pues bien; Rutkowska acaba de comprobar que Microsoft ha cerrado el camino para aquel ataque en Vista RC2, aunque -en su opinión- lo ha hecho de la peor manera posible.

Y para muestra un botón. La empresa Autenthium asegura que uno de sus productos ya ha conseguido sobrepasar los mecanismos de defensa de Microsoft y que, por tanto, el kernel de Vista x64 puede considerarse craqueado.

De ser cierto, es obvio que no sólo los fabricantes de seguridad podrían conseguirlo, sino también los productores de malware y rootkits.

Fuente: http://www.kriptopolis.org/jaqueando-vista
___

Seguir leyendo...

Ley antiterrorista estadounidense afecta a gente de negocios

Una ley estadounidense relativamente desconocida permite a los funcionarios de aduana de ese país confiscar las computadoras portátiles de viajeros extranjeros y retenerlas por tiempo indefinido. No es necesaria la sospecha fundada por parte de la autoridad.

Diario Ti: Una ley estaodounidense relativamente desconocida afecta a los empresarios extranjeros de visita en Estados Unidos. En la práctica, la ley permite a los funcionarios de aduana retener, examinar, y en el peor de los casos confiscar por tiempo indefinido las computadras portátiles de los viajeros.

Según el periódico estadounidense International Herald Tribune, la ley ha causado preocupación entre ejecutivos extranjeros. Las grandes empresas, que envían altos ejecutivos a Estados Unidos, temen que información confidencial almacenada en las computadoras pueda llegar a manos de intrusos.

Estos días se organiza en Barcelona la conferencia de la Association of Corporate Travel Executives. Según un sondeo realizado por la organización, la mayoría de los ejecutivos consultados desconoce la ley estadounidense en cuestión.

"Una de nuestras afiliadas dijo haber esperado dos años para recuperar su computadora portátil", comentó Susan Gurley, directora de la organización a International Herald Tribune.

Según el abogado estadounidense Tim Kane, ha habido varios casos en que ejecutivos extranjeros han debido recurrir a los tribunales de justicia para recuperar sus computadoras portátiles confiscadas en la aduana.

"Con esa ley, las autoridades no requieren invocar una razón específica, ni siquiera una sospecha, para analizar los contenidos de las computadoras portátiles de los viajeros. Están facultadas para hacerlo sin mediar sospecha alguna y sin dar razones", comentó Kane a International Herald Tribune.

Fuente: http://www.diarioti.com/gate/n.php?id=12578
___

Seguir leyendo...

El 85% de los delitos informáticos en las empresas los cometen los propios empleados

El 85% de los delitos informáticos en las empresas los cometen los propios empleados
ACTÚAN POR VENGANZA PERSONAL O PORQUE SU SEGUNDA actividad laboral ES DELINQUir
El espionaje, el robo de información y los ataques contra otras entidades son las acciones delictivas más extendidas.

Un 85% de los delitos informáticos en las empresas los cometen empleados o ex empleados de esas mismas firmas, según los datos manejados por la empresa donostiarra Servicios S21sec, y que cuenta con oficinas en Madrid, Barcelona y Pamplona.

La compañía, creada hace seis años, emplea a 130 expertos en seguridad de sistemas de información y cuenta con una sede central en Alcobendas (Madrid), el Centro de Operaciones de Seguridad, donde se vigilan las 24 horas del día los movimientos de las empresas abonadas a este servicio. En la actualidad, el 90% de las entidades financieras de España, 23 compañías incluidas en el Ibex35 bursátil, así como diferentes entidades públicas, tienen la protección de la firma de origen guipuzcoano.

"De nuestros trabajos realizados de análisis forense, el autor de los hechos se encontraba en un 85% de las ocasiones entre los propios empleados de la organización o se trataba de ex trabajadores. Aunque no todos los casos implican la gravedad suficiente para ser llevados a juicio, alrededor de la mitad continúan con acciones legales", explica David Barroso, experto en análisis forense de S21 sec.

Los ciberdelincuentes acceden a información confidencial o privada, obtienen credenciales de acceso y el dominio del sistema para realizar un fraude digital (phishing ) con la intención de dejar fuera de servicio la red y la presencia en Internet de las compañías.

espionaje También se dedican al robo de números y fechas de caducidad de tarjetas de crédito para realizar compras y a la instalación de programas en un ordenador para el robo de información o desarrollar actividades de espionaje (spyware).

Según los responsables de S21 sec, el conflicto laboral es "muy frecuente", ya que, por ejemplo, utiliza los equipos informáticos de la empresa "bien para descargarse pornografía o bien para atacar otra empresa sin que lo sepa su compañía".

"Todos los casos son un poco truculentos y raros. A veces los trabajadores actúan por venganza personal o porque su segundo trabajo es delinquir", apunta Luis Martín, director de la entidad que investiga los ciberdelitos .

Martín precisa que, entre los casos que han resuelto, se encuentra la detección del empleado de una empresa que la abandonaba y que, antes de irse, "hizo una campaña en Internet" contra esa misma compañía.

"Robó bases de datos y las lanzó a la Red diciendo que no se contratase a esa entidad porque no era fiable", describe Martín.

El director de S21 sec. recuerda, asimismo, el "caso más raro" que han investigado, relacionado con la existencia de un sitio de Internet donde "hay un panel de control en el que puedes comprar herramientas para hacer ataques" informáticos.

"Te planteas atacar contra clientes de la banca en España un fin de semana. Vas a la página web, pagas y lo haces. Hay paneles en la Internet oscura que se dedican a eso. A raíz de recibir un ataque, vas siguiéndolo hasta dar con el punto de emisión", pormenoriza Martín.

Cuando la compañía que ha resultado dañada se pone en contacto con los sabuesos de la empresa donostiarra, comienza un complejo camino hasta dar con el malhechor.

rastros "En la escena del ciberdelito no hay testigos ni rastros de sangre, pero sí existen los indicios. Mediante el análisis forense, nuestros expertos son capaces de descubrir el origen y el autor de un ciberataque . Podemos decir con mucha exactitud cuándo y de dónde procede el ataque, y hasta quién es el que lo lanza", asegura Martín.

Para ello, se cuenta con la valiosa información almacenada en el ordenador, ya que memoriza los datos de cada actividad que realiza, lo que genera, entre otras cosas, unos registros llamados logs , que constituyen una de las principales fuentes de información durante el desarrollo de un análisis forense informático.

Además, los sabuesos analizan toda la información relacionada con el escenario del crimen, lo que incluye infraestructuras que dan soporte al equipo infectado por la ofensiva del delincuente.

En el caso de un hipotético robo de información interna de datos confidenciales, un detective digital inicia la investigación mediante la toma de contacto con las personas relacionadas con el caso, incluido el principal sospechoso. Al igual que en una investigación policial, el especialista en análisis forense informático, realiza una serie de preguntas previamente establecidas, con el objetivo de conocer lo ocurrido y planificar la investigación. Posteriormente, se requisa el ordenador del sospechoso para realizar una copia íntegra, bit a bit, del disco duro.

Conociendo aproximadamente la fecha del suceso, se reconstruye el escenario: accesos a ficheros, creación o borrado de archivos, ejecución de comandos o accesos a páginas de Internet, por ejemplo.

Durante el proceso, el detective digital documenta todas las pruebas e indicios y mantiene lo que se denomina cadena de custodia. Una vez finalizada la investigación, el forense digital presenta los resultados y, en caso de que sea necesario, se emprenden acciones legales.

Fuente: http://www.noticiasdegipuzkoa.com/ediciones/2006/10/25/sociedad/gipuzkoa/d25gip6.347763.php
___

Seguir leyendo...

Penas para delitos informáticos avanzan en el Congreso

Diputados aprobó en particular la modificación al Código Penal respecto a los delitos vinculados al uso de las nuevas tecnologías. Penas para quien abra un correo electrónico ajeno o suministre imágenes pornográficas a menores. Los cambios que vienen

La Cámara de Diputados aprobó en particular una modificación al Código Penal que fija penas para los delitos informáticos como la violación del correo electrónico, el robo de datos o la difusión de pornografía infantil a través de Internet, que hace dos semanas había aprobado en general.

De esta manera, se incorporaron "figuras relativas a la comisión de delitos vinculados al uso de las nuevas tecnologías", explicó el presidente de la comisión de Comunicaciones e Informática de la Cámara Baja, el rionegrino Osvaldo Nemirovsci (FPC-PJ), sobre el proyecto que ahora debe ser enviado al Senado para su tratamiento.

La iniciativa, que fue aprobada por unanimidad hace quince días, cosechó hoy amplio consenso y fue acompañada con la inclusión de cambios -casi de forma- aportados por distintos bloques, pero lo medular se mantuvo tal como lo elaboró el oficialismo.

La reforma modificó al menos ocho artículos cardinales del Código Penal, pero se buscó "no desequilibrar" el código, dijo Nemirovsci, quien detalló que los modificaciones en realidad fueron incorporaciones de "figuras relacionadas con los cambios tecnológicos que no estaban contempladas hasta ahora".

En ese sentido, sostuvo que se sumaron delitos como fraude, adulteración y falsificación de documentos, violación de la privacidad, daño, intercepción de comunicaciones, integridad sexual, alteración de pruebas a través de la "cualquier tipo de comunicación electrónica".

Nemirovsci emparentó los cambios aplicados a los que en su momento se realizaron con el telégrafo y luego con el teléfono, y recordó que ahora se comenzó a legislar sobre "las nuevas tecnologías de la red".

Ante los temores de las agrupaciones defensoras de la libre circulación a través de Internet, Nemirovsci aseguró que las nuevas penas se habían definido "sin perder de vista la idea de libertad" que debe gobernar en la red, y dijo que se resguardó la labor periodística al incorporar que no será penado quien divulgue información que defienda "el interés público".

La elaboración de la reforma, que conjugó 13 proyectos diferentes, cobró un impulso determinante cuando en marzo pasado un grupo de periodistas denunció que se había vulnerado la privacidad de su correo electrónico.

La tarea de los diputados, en esencia, buscó equiparar las garantías previstas en el Código Penal para la correspondencia epistolar con la violación de los datos informáticos.

Pero en su proceso de producción, el proyecto incluyó también castigos para la difusión de pornografía infantil a través de la red.

Los cambios, en materia de pornografía, proponen reprimir con prisión de uno a cuatro años a quien produzca, facilite, divulgue, financie, comercie o publique por cualquier medio la imagen de un menor de 18 años en actividades sexuales explícitas, reales o simuladas.

A su vez, el castigo será de un mes a un año de prisión para quien suministre material pornográfico a menores de catorce años.

En el capítulo referido a los delitos contra la privacidad, el proyecto propone reprimir con prisión de 15 días a seis meses a quien "abra indebidamente" un correo electrónico y castiga a quien "sin la debida autorización" ingrese a un sistema informático de carácter privado o de carácter público de acceso restringido.

También se incorpora en el delito de fraude los daños patrimoniales causados mediante el ingreso por la red de datos falsos, su alteración, obtención ilícita o supresión de información verdadera.

Fuente: http://www.infobae.com/notas/nota.php?IdxSeccion=1&Idx=283086
___

Seguir leyendo...

Firefox 2, vulnerable

Lamento fastidiar la fiesta (¿como siempre?), pero Firefox 2 vuelve a ser vulnerable al primer torpedo de Zalewski, un bug conocido desde hace meses y supuestamente reparado desde la versión 1.5.0.7... pero que al final va a ser que no...

Para quienes prefieren mirar hacia otro lado cuando algo hiere sus deseos y creencias, y se permiten dudar de la gravedad del bug, decir que la propia Fundación Mozilla lo ha calificado como Crítico, a la vez que afirma:

"No hemos visto pruebas de que estos cuelgues puedan ser explotados, pero puesto que evidencian corrupción de memoria, hemos de suponer que sí que podrían."

Están afectadas las versiones 2 RC3 y Final. Por supuesto, con Javascript activado.

Fuente: http://www.kriptopolis.org/firefox-2-vulnerable
___

Seguir leyendo...

Métricas III (Gestión por procesos)

Desde la salida a escena de los estándares de gestión de la 'New Age' venimos oyendo hablar de la Gestión por Procesos. Luego, raro es el sistema en el que realmente se desarrolla un buen despliegue de procesos para su gestión, pero bueno, de todo hay en la viña del Señor, o de la deidad o deidades a las que cada uno adore por su propia religión.

He recibido varios correos electrónicos pidiéndome aclaraciones sobre qué es realmente la gestión por procesos, y hoy me animo a explicar la misma, pero no en términos puristas, sino con un ejemplo claro y práctico: 'El ejemplo de la Mahonesa'. Tachán !!!

Teóricamente, un proceso puede verse como un conjunto de operaciones que transforman unas 'entradas' en unas 'salidas', utilizando unos determinados 'recursos', 'soportes', 'insumos de apoyo' y siendo gestionadas o dirigidas en un estatus superior que dirige el mismo. Dicha gestión o dirección se realiza en base a unos factores, entre los que destaca la propia información a modo de 'feedback' que nos suministra el propio proceso en sus 'salidas'.

Esquema para entender esto mejor:

Como citaba antes, esto es la teoría. Ahora, iniciaré (musiquilla intrigante) 'El Ejemplo de la Mahonesa'. (Otro tachán!!!).

Imaginaos que vamos a hacer una deliciosa (en el mejor de los casos) mahonesa para adornar o acompañar uno de los mejores platos que podemos presentar a ese amigo/a al que es bueno siempre sorprender.

De un lado, tenemos la batidora allí puesta en la cocina, junto a huevos, aceite, ..., y el resto de ingredientes. La teoría de procesos nos dice que un proceso transforma unas 'entradas' en unas 'salidas' ... Pues centrémonos en las 'entradas' y 'salidas'. Si el objetivo de mi proceso 'PROCESO DE HACER MAHONESA' es transformar el aceite, huevos, ajo, ..., en mahonesa, está claro que las entradas son los elementos de partida que echo en el recipiente para batir posteriormente, y que la salida en este caso, será la mahonesa una vez conseguida (si se consigue y no se nos va, que será lo más probable, jeje).

Entradas: Pues todo lo que echo para conseguir el resultado.
Salidas: Lo que obtengo.

Pero claro, para obtener la mahonesa no basta con echar ahí libremente los ingredientes y esperar a que, por generación expontánea se cree. Necesitamos de ese conjunto de operaciones para transformar las entradas en salidas. Siguiendo con el ejemplo, necesito coger la batidora, llevarla al recipiente para batir, introducir la batidora en el recipiente, apretar el botón de batido, y hacer los movimientos que sólo saben hacer las madres hasta montar la mahonesa con esa técnica exquisita que desarrollan (se me olvidaba, lo de meter el dedo en el producto intermedio para chuparlo y probar cada poco tiempo - no podía faltar).

Llevando el símil a un ejemplo de entrega de paquetería, por ejemplo, pues las operaciones que necesitamos desarrollar para llevar el paquete correcto al destinatario correcto serían: comprobación del pedido y del domicilio de entrega, emisión del albarán de entrega, retirada del paquete en almacén y carga en el transporte, transporte a destino, comprobación de domicilio, comprobación de receptor, entrega, captación de conformidad o recibí por parte del receptor, entrega de albarán.

Entrada: Requerimiento de Administración para entrega de paquete
Salida: Entrega de paquete según requisitos de entrega.

Hablaba también de unos recuros de apoyo o también procesos de apoyo que hacen posible dicha transformación. Naturalmente sin electricidad no podríamos batir, al menos que la batidora tuviese una buena batería (que las hay). Pero nosotros nos quedamos en la era pre-batería para batidoras en la cual, supongo, se creó este ejemplo. La electricidad es necesaria, pero también las actividades de cuidado (mantenimiento) que tengamos con la batidora (si está mal, las probabilidades de obtener nuestro resultado serían menores o nulas, ¿verdad? Eso sólo lo saben los cocineros ... Ummm). La selección de los ingredientes base, también podría ser visto como un aporte necesario que soporte el proceso: ¿El tendero de confianza o los que venden huevos en una cuneta de la carretera? Una buena selección del proveedor también ayuda. Debemos pensar en todo aquello necesario para soportar las actividades que transforman las entradas en las salidas.

Por último, hacía referencia a que un ente superior o estatus superior que dirige o gestiona el proceso. En este caso, hablamos de la persona que esta batiendo la mezcla, la cual puede actuar sobre las medidas a emplear de cada ingrediente, el tiempo de batido, sobre cómo hacer los movimientos, etc. ¿Cómo y por qué cambiar? Pues en función de 'mahonesas previas'. A esto es lo que llamamos feedback del proceso. Las salidas que obtenemos del proceso, o de cómo éste va funcionando nos suministran información para tomar decidisones y poder cambiar todo aquello que marche mal o tenga visos de marchar mal. Si vemos que tenemos que añadir más aceite se añade. Si vemos que nos ha salido excesivamente salada, la próxima vez echaremos menos sal. Se trata un poco de eso. De tomar decisiones en función de ciertos parámetros que hemos ido conociendo.

Siendo un poco más riguroso, la gestión de los procesos, se basa en el denominado Ciclo de Deming o Ciclo PDCA (Plan-Do-Check-Act). Básicamente para gestionar estos procesos debemos de planificarlos, desarrollarlos/llevarlos a la práctica/aplicarlos, chequearlos/comprobarlos y actuar en función de los datos que obtengamos. Esto puede ser para procesos específicos de la operativa de la empresa u organización o, también, para el proceso de negocio global de la misma.

El esquema del ciclo de mejora continua, ciclo Deming o ciclo PDCA podemos verlo en la práctica totalidad de estándares que están saliendo en los últimos años o los que están siendo renovados de forma reciente. Su representación gráfica es la ruedecita que ponen en los primeros apartados del documento como base para el desarrollo del mismo.



La gran virtud del dichoso esquemita es que, bien aplicado/implantado pues puede llegar a funcionar oiga. El tema está en como todo, que como casi cualquiera dice que tiene un sistema implantado, para más INRI basado en un enfoque a procesos, y luego ni gestionan ni nada, pues así lleva el pobre ciclo su reputación.

Esto funciona. Si el trabajo es bueno, no quepa duda de que funciona.

La estructura de un proceso es la siguiente:

Fuente: http://iso9001-iso27001-gestion.blogspot.com/2006/10/gestion-por-procesos.html
___

Seguir leyendo...