Extravía banco canadiense datos personales de 470 mil clientes

Uno de los cinco grandes bancos canadienses señaló que el “extravío” ocurrió cuando un archivo “estaba en tránsito entre nuestras oficinas”, dijo el CIBC.

Montreal.- La División de Fondos Mutuales del Canadian Imperial Bank of Commerce (CIBC), uno de los cinco grandes bancos canadienses, informó sobre el “extravío” de los datos personales y financieros de 470 mil clientes.

El “extravío” ocurrió cuando un archivo “estaba en tránsito entre nuestras oficinas”, señaló el CIBC.

La información contenida incluiría los nombres, direcciones, firmas, datos personales, de cuentas bancarias e información confidencial de los clientes.

La comisionada para la Privacidad de Canadá, Jennifer Stoddart, anunció este jueves una investigación sobre el incidente, uno de los más graves de este tipo en Canadá, aún cuando CIBC afirma que “no hay indicaciones” de que el archivo haya caído en “manos inapropiadas”.

Stoddart expresó su profunda preocupación “tanto por la magnitud de esta pérdida como por el hecho de que pone en riesgo la información personal de cientos de miles de canadienses”.

De acuerdo con experto en fraude electrónico, Thomas Keenan, de la Universidad de Calgary, la empresa debe alertar a sus clientes porque las informaciones contenidas en esos expedientes “es todo lo que se necesita para robar la identidad” de esas personas.

Fuente: http://www.milenio.com/index.php/2007/01/18/32756/

Seguir leyendo...

Demandan a MySpace

Nota de Segu-Info: se publica la nota y su comentario para plasmar las dos caras de la noticia.

Cuatro familias estadounidenses han demandado al sitio web MySpace debido a que sus hijas, todas ellas menores de edad, sufrieron abusos sexuales por parte de adultos con los que entablaron relaciones en dicho portal. Según leo, los abogados de la acusación argumentan que era labor del sitio encargarse de la seguridad de sus usuarios, controlando la cantidad de información que estos pueden llegar a compartir, incluso (leo entre líneas) la veracidad de esta información. Parece ser que el portal ya ha publicado una herramienta llamada Zephyr para facilitar a los padres el seguimiento de las relaciones a distancia en las que participen sus hijos. La pregunta que me hago según termino de leer es: ¿de quién es la responsabilidad última de los actos de nuestros hijos? Quizás hemos de pedir un mayor control paterno sobre las actividades de ocio electrónico de los chavales, en lugar de obligar a terceros que incorporen sistemas de seguridad para vigilar estos comportamientos. ¿Que pensáis?

Comentario de alexcomps:

Voy a demandar a Telefónica, por los timos telefónicos y los acosos.
Y a los editores de revistas porno, porque mis hijos (si tuviera :-P) pueden acceder a ellas.
Y, por supuesto, a los fabricantes de videojuegos, por las escenas de violencia no aptas para niños (en juegos no aptos para niños, pero ¡¡ah!! la culpa no es mía)

Muchas veces nos quejamos de la política de "papá estado" mirando por nosotros y diciendo qué es bueno y qué no. Pero es que lo peor es que hay gente que quiere que papá estado controle las cosas para no tener que hacerlo nosotros.

Es más fácil pedir al estado que controle los contenidos de todo que evitar que los niños accedan a sitios/contenidos no aptos para niños.

Pero eso no se hace con leyes. Eso es competencia de los padres.
--
Disculpen si les llamo caballeros, pero es que no los conozco muy bien.

Fuente: http://americas.barrapunto.com/article.pl?sid=07/01/19/1218202

Seguir leyendo...

Pirate Bay quiere comprar la isla de Sealand

El sitio para la compartición de archivos, The Pirate Bay, quiere comprar su propio país y convertirlo en un paraíso libre de derechos de propiedad.

La flamante empresa lanzó la campaña de "Comprar Sealand" esta semana, con la intención de adquirir la antigua plataforma de la Segunda Guerra Mundial, conocida ahora como Principado de Sealand, y situado a sólo seis millas de la costa británica.

Los Pirate Bay esperan recaudar 100 millones de libras a través de la donación de los usuarios, quienes automáticamente se convertirían en ciudadanos del principado.

“Sería un lugar fantástico para todos, con conexiones a Internet de banda ancha, sin leyes de copyright y cuentas VIP a The Pirate Bay”, asegura el grupo en la página abierta para la ocasión, buysealand.com.

Si la oferta para Sealand falla, los piratas tienen planes de buscar otro sitio. “Intentaremos comprar otra pequeña isla en algún lugar y hacerla nuestro propio país".

The Pirate Bay está desde hace tiempo siendo investigada por los defensores del copyright estadounidense y su sede central en Suecia fue asaltada por la policía local el año pasado. El sitio, sin embargo, permanece activo y cada vez más desafiante.

En TorrentFreak afirman que el pequeño 'país autónomo' llamado Sealand no será vendido a ThePirateBay, a pesar de las intenciones de este portal para poder continuar su actividad sin miedo a los vetos legales.

Actualmente el precio de Sealand asciende a 750 millones de euros, una cantidad que de todos modos ThePirateBay no podría reunir.

De hecho, la gestión de la venta, que está llevando a cabo la empresa española InmoNaranja, no permitiría a este portal - con enlaces a un buen número de ficheros teóricamente protegidos por derechos de autor - comprar la micronación.

No parece que en ThePirateBay estén demasiado preocupados con esa prohibición, porque al parecer ya le han echado el ojo a otras opciones, tal y como apunta el artículo de TorrentFreak.

Fuentes:
http://es.theinquirer.net/2007/01/13/pirate_bay_quiere_comprar_la_i.html
http://es.theinquirer.net/2007/01/19/sealand_no_sera_pasto_de_pirat.html
http://torrentfreak.com/sealand-wont-be-sold-to-pirates/

Seguir leyendo...

¿Primera condena por spam?

Un residente de Los Angeles, EEUU se enfrenta a una sentencia de cárcel de 101 años tras ser el primer condenado por la ley anti-spam de California.

Según Mercury News, Jeffrey Brett Goodin de 45 años fue declarado culpable de un delito de propagación de correos con phishing. Los fiscales afirmaron que Goodin utilizó la información recogida para gastar dinero a espuertas.

Es el primero en ser condenado tras la puesta en marcha del acta 2003 CAN-SPAM que está orientada a que los spammers manden todo tipo de publicidad engañosa a través de Internet.

Los fiscales dijeron que Goodin utilizó varias cuentas que había logrado con estas técnicas para enviar mensajes a clientes de America Online. Los mensajes parecían ser auténticos y teóricamente provenían del departamento de facturación de AOL, y en ellos se instaba a los usuarios a actualizar la información de sus cuentas, o de lo contrario perderían el servicio. Goodin también fue condenado por fraude, violación de la marca registrada de AOL y de intento de acoso a los testigos.

Será sentenciado en junio. Más información aquí.

Fuente: http://es.theinquirer.net/2007/01/19/primera_condena_por_spam.html

Seguir leyendo...

Zone-h hacked

El amigo Anelkaos, que solo piensa en dos cosas, Seguridad y … tal, me mandó un mail para avisarme de esto. Habían hackeado a Zone-h!. Aquí no se salva ni el tato Honorato.

La explicación completa del ataque está aquí, en esta URL, y además es muy interesante porque lo explican día a día.

Os lo resumo en cuatro lines: Lo primero que hizo el hacker fue mangar una sesión Hotmail de la cuenta de un contributor mediante un exploit de Cross-Site Scripting para Hotmail
usando para ello un mail de petición de reset de contraseña. Este exploit permite mangar la cookie de una sesión abierta en hotmail y hacer un hijacking. Acceso a cuenta conseguido.

Nota para los amigos de mangar passwords de hotmail: Cuidadin.

Gracias a conseguir esta cuenta de Hotmail consiguió el acceso a Joomla, que es el gestor de contenidos que usa Zone-h. No tenía permisos para publicar en el sitio, pero usando un exploit de un componente de Joomla consiguió subir una Shell PHP. Luego con esa shell se subio otra más chula, se hizo un directorio, se cambio los permisos del apache y….


Según ellos el ataque tuvo éxito por:

1) Having a staff member who was not wise enough to recognize a Hotmail XSS attack.

2) Not finding the uploaded, but useless at that time, php shell. Zone-H contains 80 gigs of files, but this no excuse.

3) Not acknowledging in time the JCE component advisory (and we all make our living by reading tons of advisories every day...)

Fuente: http://elladodelmal.blogspot.com/2007/01/zone-h-hacked.html

Seguir leyendo...

Fotos del dinosaurio (digo Windows Vista)

Y bueno, fue más fuerte que yo así que les paso algunas fotitos del dinosaurio (digo Windows Vista) que he estado montando (digo probando).

Pero antes algo que me ha parecido bastante gracioso sobre las mentiras (digo evolución) de los SO de Microsoft:
http://pcworld.com.mx/pcw_completo_Secciones.asp?pcwid=2493

Bueno, como les decía, estuve probando a Dino en un P4 dual core con 2 GB de memoria (en una virtual machine) y la velocidad es buena. El peso de la interface me parece innecesaria y al final la terminé deshabilitando porque me cansó tanto celeste en mi pantalla.

La instalación es sencilla pero lenta en comparación a Ubuntu por ejemplo.

Luego de instalado tuve algunos problemas con la placa de red que por algún motivo era detectada como wireless. Nada que un par de reinicios no solucionaran (historia vieja).

Algunas cosas que observé:

- El lugar donde estan los perfiles de usuarios ahora es c:\users\nombre-usuario (ya no existe el "Documents and Setting"). Esa ruta me suena de otro sistema operativo pero no recuerdo cual :)

- Para todo lo que hacemos se nos pide autorización lo que a la larga terminas dandole al OK. Incluso me pasó a mi cuando estaba instalando el AV. Me pide autorización y pensando que era el AV le doy que si. En realidad lo que se estaba jecutando justo en ese momento era un plugin del nuevo y flamante IE 7.0.
Insisto que confundirse en el uso de UAC (User Account Control) es muy fácil y lleva a una falsa sensación de seguridad muy alta.

- Las configuraciones de algunas cosas como la conexión a red me pareció confusa y me fui al viejo y querido cmd. Quizás para un usuario normal sea más sencillo.

- Algo que me gusto es que ahora se muestran los procesos y los servicios en el Task Manager. Habría que probar con un proceso que se oculte (tipo rootkit) a ver que sucede.

- Las ayudas siguen siendo malas e incluso algunas sugieren ir a Internet para leer el documento, cosas que a veces no se puede si lo que intentas hacer es justamente... conectarte :0.

- Me parecio buena idea el parental control que deberé probar en profundidad.

- Con el Firewall y los Update no hay nada nuevo excepto que ahora se puede filtrar tráfico saliente cosa que en XP no se podía.
Cuando me conecté a Internet por primera vez ya se descargaron 3 parches.

- Si bien tenia un AV instalado no encontre la forma fácil de remover Windows Defender. También deberé verlo.

- Supongo que mis próximos pasos serán instalarle algun troyano y ver que sucede.

Seguir leyendo...

España: Un fiscal del Supremo sostiene que los servidores de la Red no son responsables del contenido de las webs

El fiscal del Supremo Félix Herrero Abad ha elaborado un informe en el que sostiene que los servidores de Internet no tienen obligación de controlar o supervisar los contenidos de las páginas webs que alberguen. El fiscal diferencia entre un servidor de Internet y el director de un medio de comunicación, que sí responde de los contenidos. "La red informática ha sido configurada como un ámbito de libertad global que, a su vez, es salvaguarda de las libertades", dice. Asegura que los servidores sólo deben atenerse a las disposiciones de la Ley de Servicios de la Sociedad de la Información (LSSI) y de la directiva comunitaria de comercio electrónico.

El fiscal señala que la Constitución "proscribe la censura previa" y que "la libertad de expresión e información es uno de los más recios pilares en los que se asienta la democracia". La directiva comunitaria establece que "los Estados miembros no impondrán a los prestadores de servicios una obligación general de supervisar los datos que transmitan o almacenen".

El teniente fiscal de Madrid, Pedro Martínez, coincide con la Fiscalía del Supremo y va más allá: "No sólo la obligación de censura previa impuesta a los proveedores de servicios amenaza la libertad de expresión en Internet, sino también el proyecto de Ley de Sociedad de la Información, que refuerza el carácter de control sobre Internet al permitir que también sea la autoridad gubernativa quien pueda cerrar una web, perdiendo los jueces así su exclusividad en esta materia". Martínez califica el proyecto de "regresión incalificable del Estado de derecho" y recuerda "que el PP, en la pasada legislatura, se vio en la obligación de retirar una propuesta similar por entrar en colisión con el artículo 20 de la Constitución, cuyo apartado 5 señala: 'Sólo podrá acordarse el secuestro de publicaciones, grabaciones y otros medios de información en virtud de resolución judicial".

El escrito de la Fiscalía del Supremo es fruto de un recurso de la Asociación de Internautas contra una sentencia de la Audiencia de Madrid que condena a esta asociación a pagar 36.000 euros "por publicar" la página www.putasagae.org, propiedad de la plataforma de coordinación de movilizaciones contra la Sociedad General de Autores (SGAE).

La tesis sostenida por la SGAE fue que quien presta un servicio de la sociedad de la información es responsable solidario con los propietarios de los contenidos alojados en sus servidores, aunque no tenga el dominio de ellos. La Audiencia de Madrid fundamentó la condena "por intromisión en el honor" en que resulta "indiferente" que la Asociación de Internautas "tuviera el dominio de la página a la que pertenece la dirección de Internet www.putasgae.org o que se limitara a una labor de prestación de servicios", dado que, según los jueces, quien presta un servicio ha de controlar lo que se publica.

La Asociación de Internautas entiende que esta argumentación choca con la Directiva 2000/31/CE y la LSSI, que exoneran a los prestadores de servicios de la sociedad de la información por los contenidos almacenados y las conductas de terceras personas. La tesis de la Audiencia, según la asociación, equivale a establecer una censura previa, siendo los censores los propios prestadores del servicio.

Fuente: http://www.elpais.com/articulo/fiscal/Supremo/sostiene/servidores/Red/responsables/contenido/webs/elpepusoc/20061204elpepisoc_7/Tes

Seguir leyendo...

Los métodos más habituales para robar información personal

La compañía pretende que se tomen las medidas necesarias para poner freno a esta práctica tan extendida, cuyas víctimas fueron más de 25 millones de personas en los últimos 5 años.

En los últimos años se ha producido una explosión de los sistemas utilizados para coleccionar, almacenar, compartir y sustraer información acerca de usuarios y empresas. Los datos personales se han convertido en un gran negocio que puede llegar a ser sumamente valioso para un suplantador de identidad. Fellowes Ibérica ha elaborado un listado sobre los métodos que los ladrones de identidad emplean habitualmente para robar información personal. Con ello, la compañía pretende que se tomen las medidas necesarias para poner freno a esta práctica.

Basura y robo corporativo
Según informa la compañía, nuestra identidad puede ser usurpada empleando alguno de los siguientes métodos:

1. Sustraerlos del cubo de basura. Uno de los métodos empleados por los impostores para hacerse con los datos personales de alguien. Para ello, suelen pagar a alguien que se encarga de revolver entre los desperdicios en busca de extractos del banco y de tarjetas de crédito, documentos sobre créditos preaprobados e información sobre impuestos.

2. Utilizar la identidad de personas ya fallecidas para desarrollar su actividad fraudulenta. Los suplantadores revisan las esquelas y los anuncios de periódicos relativos a la muerte de alguien, tomando nota de la edad, la fecha de nacimiento y la dirección completa de los difuntos.

3. Cualquier persona que utilice Internet. Se puede ser víctima de fraude, ya que se puede requerir que se comparta información privada sobre su persona para poder acceder a determinadas páginas web y tiendas virtuales. Los criminales expertos suelen combinar esta información con otra recogida de Internet, para, por ejemplo, contratar un crédito a su nombre.

4. Cambio de la dirección de correo de un individuo mediante el envío de los formularios pertinentes a la oficina postal. Con este método se consigue redirigir su correspondencia, y, con ello, información vital sobre esa persona, directamente al buzón del impostor.

5. Mediante “phishing”. Se trata de un método de robo de identidad vía email. Éste consiste en el envío de un correo electrónico por parte del suplantador, en el que se hace pasar por un banco, compañía de tarjetas de crédito u otra organización con la que el receptor pueda tener algún tipo de relación, solicitándole información urgente y confidencial.

6. El “skimming”. Otra modalidad de fraude que normalmente se produce cuando un camarero o dependiente obtiene los datos personales de alguien copiando la información de su tarjeta de crédito cuando hace una compra o paga por un servicio.

7. El robo de la cartera o del bolso. Se considera otra vía para el robo de la identidad, dado que suelen contener tarjetas de crédito, libretas bancarias y valiosos documentos de identidad, tales como DNI, licencias de conducción o carnets de socio.

8. Contactos telefónicos no solicitados. Las llamadas que aseguran proceder de un banco y en las que se solicita la actualización de los datos personales deben ser tomadas con precaución.

9. Acceso a archivos abiertos al público. Muchos ladrones de identidad pueden alterar los nombres de los directivos de la organización y sus direcciones registradas.

10. Los detalles bancarios de la compañía. Pueden ser de dominio público con el fin de que los clientes puedan pagar por los bienes que compran haciendo un ingreso en su cuenta bancaria. He aquí que los impostores pueden conseguir las firmas de los archivos públicos y suplantar la identidad de los titulares de esas cuentas.

La destrucción como método preventivo
Actuar con precaución es el consejo que Fellowes da a nivel general. Además, para evitar que la información sea fácilmente accesible, se hace necesario tomar una serie de precauciones, incluida la destrucción adecuada de la misma cuando sea necesario. La forma más adecuada para eliminar los datos sensibles que ya no se necesitan es destruirlos, utilizando preferiblemente destructoras con un corte que haga más difícil el restablecimiento del documento.

Fuente:
http://www.terra.es/tecnologia/articulo/html/tec15540.htm
http:// www.fellowesshredders.com/

Seguir leyendo...

Viejos hackers

Estaba surfeando (qué antigua suena esta palabra, no sé por qué :) y va y descubro que la web de los Apòstols vuelve a estar en pie: http://www.apostols.org/ . A lo mejor hace meses, pero me acabo de enterar ahora.

Es como lo de SET, que 2 meses después de que saquen la última revista, va y también, por casualidad, caigo allí y me entero: http://www.set-ezine.org

Después dirán que no me entero 0:)

Por curiosidad, he ido a Archive.org a ver cómo era antes la página de los Apòstols. Y no parece que haya/n cambiado mucho: http://web.archive.org/web/19981202080151/http://apostols.org/

Ya puesta, busco en Google la web actual de !Hispahack : http://www.hispahack.com/

Y se me ocurre mirar en mis oldest links de Heroes, a ver quién sigue. http://www.islatortuga.com/ está en pie, pero con un ligero cambio de nombre. Falken también sigue existiendo. Y Lethan. A la CPNE: Compañia Phreakers Nacional de España, la he perdido. Tampoco funciona el enlace al JJF HACKERS TEAM. Y ya no encuentro la Proclama del Hacker Hispano. Ni a la Vieja Guardia. La página de FER El Salteador de la Web es ahora una cosa seria -o lo parece- sobre seguridad. La antigua web de Netbul no existe. La de Akelarre tampoco. Raregazz, no los veo. Raza-Mexicana, sí.

Fuente: http://www.filmica.com/port666/archivos/005214.html

Seguir leyendo...

COBIT 4.1 en el horno

Por: Antonio Valle

De entre todas las noticias que trae el segundo número de la revista COBIT Focus, publicado en Diciembre del 2006 por la ISACA y el ITGI , hay uno que es especialmente llamativo, no porque el contenido sea clarificador sino porque es una noticia importante: el ITGI planea presentar la versión 4.1 de COBIT a finales del primer trimestre del 2007, osea de aquí a un par de meses.

La nueva revisión comprende las siguientes mejoras:

1. Un paquete de correcciones al texto original de la versión 4, corrigiendo algunos errores e incoherencias reportadas por los usuarios.
2. A nivel de Objetivos de Control detallado, se ha modificado su definición, alineandola más hacia la vertiente de prácticas de gestión.
3. Mejoras en el conjunto de Objetivos de Control Detallados, agrupando, redefiniendo, eliminando y creando otros. Por ejemplo, los objetivos AI5.4, AI5.5 y AI5.6 se han agrupado en uno único.
4. Modificaciones substanciales al Objetivo de Control ME3 (Ensure Regulatory Compliance), añadiendo nuevos OC Detallados para recomendar no sólo el cumplimiento de leyes y regulaciones externas a la organización sino también las políticas internas y requerimientos contractuales
5. Ampliación en la lista de Objetivos de Negocio y Objetivos TI, gracias a un estudio proporcionado por la UAMS.
6. Revisión del resumen ejecutivo con una mejor explicación del proceso de medición, la aportación del mismo, el concepto de "cascada" de métricas y objetivos de actividad e información ampliada sobre los conceptos de Val IT.

AI5.4 Software Acquisition
Ensure that the organisation’s interests are protected in all acquisition contractual agreements. Include and enforce the rights and obligations of all parties in the contractual terms for the acquisition of software involved in the supply and ongoing use of software. These rights and obligations may include ownership and licensing of intellectual property, maintenance, warranties, arbitration procedures, upgrade terms, and fitness for purpose including security, escrow and access rights.

AI5.5 Acquisition of Development Resources
Ensure that the organisation’s interests are protected in all acquisition contractual agreements. Include and enforce the rights and obligations of all parties in the contractual terms for the acquisition of development resources. These rights and obligations may include ownership and licensing of intellectual property, fitness for purpose including development methodologies, languages, testing, quality management processes including required performance criteria, performance review, basis for payment, warranties, arbitration procedures, human resource management and compliance with the organisation’s policies.

AI5.6 Acquisition of Infrastructure, Facilities and Related Services
Include and enforce the rights and obligations of all parties in the contractual terms, including acceptance criteria, for the acquisition of infrastructure, facilities and related services. These rights and obligations may include service levels, maintenance procedures, access controls, security, performance review, basis for payment and arbitration procedures.

Otra parte importante de la noticia es que se hará coincidir esta nueva publicación con la publicación de algunos títulos complementarios en el mundo COBIT que se estaban echando de menos:

* COBIT® Control Practices: Guidance to Achieve Control
Objectives for Successful IT Governance, 2nd Edition
* IT Governance Implementation Guide: Using COBIT® and Val
IT™, 2nd Edition.
* COBIT® Security Baseline 2nd Edition
* COBIT® Quickstart, 2nd Edition
* IT Assurance Guide: Using COBIT®.

Esta última publicación promete ser interesante y necesaria, ya que está orientada a remplazar el libro COBIT® Audit Guidelines, que no se ha revisado desde COBIT 3 y que necesita un repaso desde hace tiempo.

Habrá que permanecer atentos, porque además de este atractivo paquete de nuevas nuevas, se está cocinando en el horno de la ISACA un variado surtido de títulos dentro de la serie de herramientas de mapeo de COBIT con otros estándares:

* COBIT® Mapping: Mapping PRINCE2 With COBIT® 4.0
* COBIT® Mapping: Mapping ITIL With COBIT® 4.0
* COBIT® Mapping: Mapping ISO/IEC 17799:2005 With COBIT® 4.0
* COBIT® Mapping: Mapping TOGAF With COBIT® 4.0

que sumados a los que se presentaron ya en el 2006,

* COBIT® Mapping: Mapping SEI’s CMM for Software With COBIT® 4.0
* COBIT® Mapping: Mapping PMBOK® With COBIT® 4.0

le dan a COBIT una presencia más que considerable en el mundo de los estándares.

Fuente: http://gobiernotic.blogspot.com/2007/01/cobit-41-en-el-horno.html

Seguir leyendo...

La Asociación de Internautas cuestiona el servicio 'Avísame' de Movistar

Desde hace unas semanas, Movistar viene dando de alta en su nuevo servicio "Avísame" a todos sus clientes. Estar dado de alta en este servicio consiste en que cuando el móvil de la persona a la que llamas está fuera de cobertura, apagado o comunicando, recibes un mensaje de texto de Movistar avisándote del momento en que vuelve a estar disponible, si lo está dentro de las tres horas siguientes, y si es también cliente de Movistar. Igualmente, si tu mismo eres el que está con el teléfono inactivo, se avisa cuando vuelves a estar activo.

Al tener activado este servicio por defecto, y eso sí, de forma gratuita, los clientes se han encontrado con dos cuestiones, una, no saben porqué nada mas encender su teléfono ya reciben llamadas (¿le estarán espiando?), y dos, agradece que le avisen cuando la persona a quien ha llamado ha dejado de estar incomunicada, se ahorrará las típicas excusas de "no llevaba el teléfono" o "me quedé sin batería".

La Asociación de Internautas, ha entendido que la primera parte de este servicio, el que puedan saber cuando estás o no "localizable", no sólo puede ser molesta, sino que puede incurrir en una vulneración del derecho a la intimidad, y así se lo ha comunicado a las responsables de este programa en Telefónica. La información que ofrece este servicio a sus clientes, consiste en datos de localización temporales, concretamente de actividad en un momento concreto, y éstos son datos que, ofrecidos sin consentimiento previo del afectado, pueden llegar a mostrar, o a modificar incluso, aspectos de su comportamiento invadiendo así su intimidad.

Un ejemplo sencillo es que puedes comentar con alguien que te has dejado el teléfono en casa, y si tienes este servicio activado sin haberlo consentido, entonces este alguien, podrá llegar a saber si estás o has estado en tu casa y es más, la hora a la que has entrado en tu casa, y entonces te preguntarás si te están espiando, pues de otra manera, tal vez no habrías conectado el teléfono. Más sencillo aún, puedes querer desconectar y sólo recibir mensajes, verlos cuando creas oportuno, pues bien, este servicio le dirá a todo el que te llame si enciendes tu teléfono, si ves los mensajes a una u otra hora, si tienes noticia de lo que te cuentan. En definitiva, se convierte en un sistema de control de las personas que acabará modificando su comportamiento, su forma de utilizar un medio de comunicación como es el teléfono, tal y como lo haría una cámara de vigilancia colocada en un lugar puntual por el que pasaras todos los días, sabiendo que va a informar si pasas o no por allí a quien le parezca oportuno. La diferencia entre un dato de localización geográfica y un dato de localización temporal, es tan sólo el plano desde el que se observe su incidencia en nuestra vida cotidiana. En todo caso, el gran defecto de este sistema, es la reinformación y la falta de consentimiento de las personas a ser controladas o controlables.

Responsables de Movistar han atendido estas consideraciones manifestadas por la Asociación de Internautas, con el compromiso de una vez estudiadas por la compañía dar cumplida respuesta a la Asociación.

Fuente: http://www.internautas.org/html/4065.html

Seguir leyendo...

España: Los hackers entran en el Código Penal

El Boletín Oficial de las Cortes Generales publicó el pasado día 15 el proyecto de reforma del Código Penal remitido por el Gobierno al Congreso de los Diputados.

La tónica general del proyecto es la previsible: se mantiene el espíritu de la reforma operada por la Ley Orgánica 15/2003, y su talante criminalizador de herramientas, dejando intacto aquello que se criticó desde la oposición, amén de introducir nuevos delitos informáticos.

Como dato curioso, por primera vez se incorpora a un texto legislativo español, con carácter de ley orgánica, la palabra "hackers", que puede encontrarse en la exposición de motivos del proyecto.

En cumplimiento de la Decisión Marco 2005/222/JAI del Consejo de la Unión Europea de 24 de febrero de 2005, el legislador español tenía que incorporar a su legislación penal diversos delitos de acceso ilegal a los sistemas de información, intromisión ilegal en los sistemas de información e intromisión ilegal en los datos, "al menos en los casos que no sean de menor gravedad".

El gobierno ha prescindido de la menor o mayor gravedad, y ha presentado un proyecto en el que se modifica el artículo 197.3 del Código Penal, que en lo sucesivo quedará redactado así:

"El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, accediera sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo, será castigado con pena de prisión de seis meses a dos años."

Es de prever que la reforma dará lugar a sesudos debates en Internet, y es de desear que dichos debates sean más jurídicos que lingüísticos: que sea la palabra "hacker" o "cracker" la que entre o no en nuestra legislación no es lo importante. Lo importante es el fondo: la conveniencia o no de la criminalización definitiva de todo tipo de acceso, con independencia de su objetivo.

En esta primera aproximación "informática" al proyecto, hemos podido comprobar que se modifica también el delito de daños informáticos del artículo 264, con una redacción más elaborada que hasta la fecha, incluyendo como infracción penal la simple interrupción del funcionamiento de un sistema de información ajeno.

Finalmente, y en la línea de prohibición de herramientas de la anterior reforma, tan criticada en su día, en los nuevos artículos 261 y 310 bis se tipifica la destrucción de archivos informáticos y el diseño de aplicaciones con el fin de defraudar a acreedores o a la Hacienda Pública.

Fuente: http://www.bufetalmeida.com/?id=179

Seguir leyendo...

Riguroso estudio académico sobre el impacto del software libre

Vía Slashdot llego a un interesantísimo y riguroso estudio académico (pdf, 1.8Mb.) desarrollado por Rishab Aiyer Ghosh y publicado por la Comisión Europea, incluyendo resultados de numerosas experiencias en diferentes países - incluyendo algunas españolas - y desarrollando especialmente el impacto que la adopción de FLOSS (Free Libre Open Source Software) conlleva a diferentes niveles. Es estudio considera el impacto de la adopción y concluye que conlleva, en prácticamente todos los casos, importante ahorros en los costes totales de propiedad, incluyendo costes indirectos e intangibles. Varias presentaciones desarrolladas en diversos foros por el autor con los resultados de la investigación están también disponibles en esta página.

La famosa campaña “Get the facts“, de Microsoft, que de hecho fue en su momento objeto de advertencias por parte de la Advertising Standards Authority y rebautizada como “Get the FUD”, completamente contrarrestada por la voz de la experiencia y por estudios académicos.

Fuente: http://www.enriquedans.com/2007/01/riguroso-estudio-academico-sobre-el-impacto-del-software-libre.html

Seguir leyendo...

Auditoría de sistemas UNIX

Desde hace un tiempo Sergio Hernando está publicando en su blog esta serie de artículos más que educativos sobre la forma práctica de realizar auditorías sobre sistemas Unix.

La serie es la siguiente:

Parte 1. La Piedra Rosetta UNIX
Parte 2. Identificación del sistema
Parte 3. El nivel de parche
Parte 4. Los permisos de los ficheros del directorio /etc
Parte 5. Procesos en ejecución
Parte 6. Compiladores en máquinas de producción
Parte 7. Autorizaciones cron
Parte 8. Variables de entorno
Parte 9. Ficheros ocultos
Parte 10. Ficheros con sticky bit
Parte 11. Ficheros con bit setgid y setuid
Parte 12. Ficheros .netrc
Parte 13. Ficheros sin propietario, grupo y con escritura para otros
Parte 14. Ficheros host.equiv y .rhosts
Parte 15. Interfaces de red
Parte 16. Configuración de red
Parte 17. Rutas del sistema
Parte 18. Servicios de red candidatos a la desactivación
Parte 19. TCP Wrappers
Parte 20. Conexiones remotas de root
Parte 21. El servicio finger
Parte 22. Servicios FTP
Parte 23. Servidores de correo
Parte 24. Usuarios y grupos
Parte 25. Registros de auditoría

No dudo que continuará con la misma calidad.

Seguir leyendo...

Usan mails con amenazas de muerte para estafar

El FBI debió emitir un comunicado en donde informa que circulan mails amenazadores que tienen por objetivo robar dinero a los incautos. El remitente del correo es un supuesto asesino contratado para matar al receptor

Estas frases pueden asustar a cualquiera: “Dime ahora: estás listo para hacer lo que digo o quieres que proceda con mi trabajo. Contestá por sí o no y no me hagas preguntas” y “te he estado siguiendo de cerca por una semana y tres días… no contactes a la policía o el FBI o trates de mandar una copia de esto a alguien porque lo sabré y quizás me empujes a hacer aquello para lo que fui pagado”.

Pero en realidad son parte de otro intento de estafa por internet que esta vez aqueja a los EEUU, según indicó el FBI en un reporte especial emitido en su página web.

El organismo de seguridad de ese país indicó que el mensaje posee una extraña redacción en inglés, pero siempre persigue el mismo objetivo: que el receptor entre en pánico y termine enviando una suma de dinero (llegaron a pedir u$s20.000) para terminar con la pesadilla.

En un caso, reporta el FBI, una persona reenvió el mensaje pidiendo que se lo deje tranquilo. Pero recibió otro mensaje más amenazador en donde se le detallaban ciertos datos personales, como la dirección de su trabajo, su estado civil y el nombre completo de su hija.

Desde la oficina dedicada específicamente a este tipo de casos dentro del FBI recomendaron lo mismo que las empresas de seguridad del sector: no responder y finalmente borrar el correo no solicitado o que provenga de personas que desconocemos.

Ver Imagen

Fuentes:
http://www.infobae.com/notas/nota.php?IdxSeccion=1&Idx=296792
http://www.fbi.gov/cyberinvest/escams.htm
http://blog.washingtonpost.com/securityfix/2007/01/the_spammerashitman_scam.html

Seguir leyendo...

Perú: La ley que regula el envío masivo del correo basura carece de efectividad

Nota de Segu-Info: Esta ley puede descargarse de nuestra sección de Legislación

Por Tatiana Perich Landa y Juan Carlos Luján Zavala

Flujo de mensajes sigue imparable pese a que norma tiene casi un año de promulgada. No hay sanciones por desconocimiento y complejidad del proceso

El bombardeo de publicidad a través de Internet, mediante el envío indiscriminado de correos electrónicos conocidos también como 'spam', se ha convertido en un problema que afecta, fastidia y dificulta el uso cotidiano, y necesario, que hacemos del e-mail.

Y esto no debería ocurrir desde el 5 de enero del 2006, pues ese día entró en vigencia el reglamento de la Ley 28493. Dicha norma regula el uso del correo electrónico comercial no deseado y le da al usuario la posibilidad de denunciar tanto a los remitentes como a los anunciantes, además de retribuirlo con el 1% de la UIT (S/.34,50, según el valor actual) por correo no deseado que haya recibido.

En un sondeo web realizado por El Comercio, de los 1.445 participantes, el 80% informó que recibía 'spam' diariamente, un 12,8% solo algunos días de la semana, otro 5,54% manifestó tenerlos bloqueados y solo el 1,66% dijo nunca haberlos recibido.

A pesar de eso y de que Indecopi, organismo responsable de hacer cumplir la ley y de sancionar a los infractores, asegura tener los mecanismos técnicos necesarios para seguir el rastro e identificar a los remitentes infractores, nadie ha presentado una denuncia formal hasta la fecha. La pregunta es por qué.

Todo apunta a que muy pocos saben de esta ley y de sus alcances. A la escasa difusión se suman las dificultades para comprobar el delito, que impiden convertir en denuncias las quejas de los usuarios.

A decir de José Purizaca, asesor legal de la Asociación Peruana de Consumidores y Usuarios (Aspec), esto se debe a que la mayoría prefiere continuar borrando los e-mails o cambiar de dirección de correo electrónico antes de pagar la tasa que establece Indecopi para presentar una denuncia y esperar meses a que termine el proceso.

REGULA, NO PROHÍBE

Básicamente, la ley establece dos derechos para los usuarios: rechazar la recepción de los correos electrónicos que contienen publicidad, así como revocar la autorización que en determinado momento se puede haber dado a una empresa para que envíe información comercial por Internet.

El envío de correos electrónicos comerciales no deseados está sancionado si este continúa llegando después de que el destinatario ha manifestado su deseo de no recibirlo, antes no. Además, se describen ciertos requisitos que el mensaje debe tener para ser considerado legal (ver infografía).

De esta manera, la denuncia del usuario directamente afectado es la única vía para llegar a los responsables. "¿Pero cómo puede la autoridad sancionar a un remitente o a un anunciante si el ciudadano no reclama, presenta su denuncia y dice: Señor, este mensaje yo no lo deseo?", deslinda Pierino Stucchi, secretario técnico de la Comisión de Represión de la Competencia Desleal del Indecopi.

El problema es que el trámite puede resultar algo engorroso. Para que uno pueda fundamentar su denuncia ante el Indecopi debe tener pruebas electrónicas (mantener la información en su bandeja de entrada) de que recibió un correo no deseado, de que lo rechazó y de que después de eso, lo volvió a recibir.

"Esta realidad de la comunicación a través de Internet presenta retos. Este no es un sistema tradicional de comunicación física. Esto representa dificultades en la realidad, pero cuando uno decide ejercer un derecho, tiene que superarlas", aduce Stucchi.

Para retribuir al denunciante de un emisor de correos publicitarios ilegales, la ley establece una recompensa. Una vez que el Indecopi haya declarado la infracción, el usuario tiene el derecho de acudir al Poder Judicial y, a través de un proceso sumarísimo, solicitar al juez que ordene al responsable el pago de 1% de la UIT (S/.34,50) por cada correo que compruebe recibió indebidamente, hasta un máximo de dos UIT (S/.6.900 soles).

Según Jorge Quiroz, administrador de una empresa dedicada al márketing por Internet, el gran causante del problema de que la Ley 28493 y su reglamento sean letra muerta es la falta de control sobre la venta indiscriminada de bases de datos, actividad penada por el Código Penal.

Dice que Konecta y otras diez empresas formales dedicadas a la emisión de boletines electrónicos, entre otros servicios, ven mellada su actividad por la presencia de casi un centenar de informales que lejos de pagar impuestos utilizan una PC en casa, un software comprado en las galerías Wilson y un CD con base de datos para hacer su trabajo que hoy afecta a miles de peruanos.

Cómo denunciar ante el Indecopi

Procure guardar los mensajes de correo no solicitado en una carpeta de su cuenta de correo. Estas copias, que puede incluso grabarlas en un disquete, le servirán como prueba durante el proceso.

Acérquese luego a las oficinas del Indecopi y exprese su deseo de formalizar una denuncia. Deberá llenar un formulario y cancelar S/.34 para denunciar todos los casos de 'spam' de los que sea víctima.

En no más de 120 días, el Indecopi habrá realizado las investigaciones pertinentes y dará su sanción. Si le es favorable, podrá exigir la retribución que le corresponde según ley. Más información en www.indecopi.gob.pe/antispam.

Fuente: http://www.elcomercioperu.com.pe/EdicionImpresa/Html/2007-01-15/ImEcTemaDia0651647.html

Seguir leyendo...

Dos alumnos pueden ser condenados a prisión por robar la contraseñas

Los alumnos Jonathan To, de 18 años, y un compañero menor (el qual no ha sido identificado) del instituto Cherry Hill, en New Jersey, pueden ser condenados a prisión (el menor de edad a un reformatorio) por haber robado la contraseña del sistema informático del centro, para poder de esta forma cambiar sus notas y la de sus amigos.

Según SC Revista, a Jonathan podría ser condenado a diez años de prisión por el delito, mientras su compañero menor de edad tendría que estarse en un reformatorio hasta cumplir los 21 años. Los alumnos fueron cazados cuando un funcionario encontro discrepancias entre las notas escritas en papel y las notas en el ordendor. Eso si, se sabe ya que los alumnos en ningún momento invadieron el servidor escolar, sinó que únicamente utilizaron las contraseñas de los funcionarios.

Las notas de los cinco amigos ya han estado reestablecidas de nuevo, mientras que desde el estado federal se pide a los funcionarios que sean más cuidadosos con sus contraseñas. De momento los dos alumnos pasarán a disposición judicial.

Fuente: http://www2.noticiasdot.com/publicaciones/2007/0107/1301/noticias130107/noticias130107-1238.htm

Seguir leyendo...

Dios los cría y ellos se juntan

Según la información de Websense Security Labs, parece que la escuela rusa y la brasileña, posiblemente los dos exponentes máximos en lo que a generación de malware a escala mundial pueda haber en la actualidad, van juntas de la mano.

Websense Security ha descubierto que algunos amigos de lo ajeno brasileños están empleando un kit de exploit web cuyo origen es ruso. Dicen los de Websense que se trata de un hito desgraciadamente histórico, ya que según el laboratorio, es el primer caso de cooperación de este tipo que se registra, o al menos, eso dicen ellos. Yo tampoco tenía constancia de este tipo de mixturas.

El kit de ataque web posibilita que se deposite el código en los servidores, de modo que el visitante incauto es infectado. Este kit es una de las herramientas más populares y preferidas por estos delincuentes, y se lleva utilizando, con numerosas variantes, desde hace bastante tiempo. Imagino que el malware que infecta el PC del visitante estará principalmente orientado al robo de credenciales.

En la página se exhiben un par de ejemplos sobre esta extraña coalición, y en ambos casos, el correo es el reclamo para tratar que el visitante acuda a los servidores infectados. En ambas casuísticas, se trata de exploits para los que existen parches disponibles, aunque tampoco se ofrece mucho detalle sobre las vulnerabilidades explotadas.

Lo dicho, Dios los cría, y ellos se juntan.

Fuente: http://www.sahw.com/wp/archivos/2007/01/15/dios-los-cria-y-ellos-se-juntan/

Seguir leyendo...

Conceptos Pirateables

Hoy, relacionando ciertas noticias, pensaba en una forma de explicar algo que ya muchos en la red saben y entienden pero que, muchos que no son habitué de los bits, mezclan y desconocen.

Estaba escuchando en la radio y se la pasaban mezclando a la gente en una gran moulinex y metiendo en la misma cubeta a los que descargan cosas de la red, los que compran CDs truchos y los que los generan, una gran ensalada de personajes antagónicos o parecidos o totalmente difusos, todos eran "Piratas", sin diferenciar nada, todos en la misma bolsa.

Entonces ¿como poder identificar cada sujeto en la situación? un simple recordatorio, para que no los acusen de lo que no son.

Tenemos un producto X fabricado en masa por la empresa YYY y creado inicialmente por el "artista" ZZ ZZ. Hasta ahí lo normal, este producto X se vende en locales comerciales, se muestra en un cine o en un recital, se pasa por radio o TV, etc.

Con este producto X puede transferirse con venta o intercambio. El primero tiene un marco legal, el segundo, se lo trata de vandalizar, pero es la forma más básica de comercio y de cultura, el intercambio.
Si yo te presto el producto X para que lo veas en tu TV o lo escuches en tu reproductor, estoy compartiendo, te lo puedo regalar, te lo puedo prestar, lo puedo intercambiar por otro bien, esto es la base del intercambio informal y sosten de cualquier sociedad moderna, va con la humanidad.

Pero tenemos otra forma de venta, no intercambio, venta, que es ilegal y que todos reconocemos como tal. La piratería. Un individuo toma el producto X, lo lleva a su planta VVV VV y realiza cientos de miles de copias, imprime etiquetas, packaging, todo lo que quiera agregarle, no paga royalties, ni impuestos ni nada.
Lo distribuye en el mercado negro y lo vende a un precio inferior que YYY, le roba mercado y el "artista" ZZ ZZ no cobra ese céntimo miserable de regalías ni YYY cobra esa fortuna morbosa de las ventas Risa Eso es la piratería.

Ahora bien, el primer caso se emparenta con el P2P, uno no vende, intercambia, presta, regala, otro hace lo mismo y así una gran cadena de regaladores. El segundo caso es punible, es lucrativo y es ilegal.

Y NO SON JODIDAMENTE IGUALES, SE ENTIENDE ASÍ???

Son dos casos distintos, después podemos discutir si una cosa corresponde o no, si habrá una nueva legislación para el primer caso, si lo que mata a la música no es el músico de mierda si no el inescrupuloso público, etc. Pero comencemos por hablar con propiedad y no meter a todos en la misma bolsa.

Si no, simplemente, decreten que todo "criminal" es aquel que hace algo ilegal y le damos a todos la misma condena, total, son todos iguales, todo criminal hace lo mismo, es igual. Si matás a alguien, sos Pirata, si violás, sos Pirata, si estafás, sos Pirata, total... son más o menos las cosas que hacían los Piratas en el siglo XVIII/XIX Risa

Si dejasen de criminalizar a su propio cliente y comenzasen por cambiar su producto, cambiar sus márgenes de ganancias, adaptarse a las nuevas tecnologías en vez de querer forzar a que cambien para sus intereses privados (eso es robo, eso es piratería, DRM!), la cosa cambiaría.

El problema no está en que uno intercambie o preste, el problema principal es qué motiva a la gente hacerlo no es precisamente la buena calidad del producto o del productor. Es una consecuencia de que YYY no quiera que X llegue al público de la forma que el público espera recibirla si no que pretenden que uno se adapte a lo que ellos imponen. La realidad les demustra una y otra vez que no lo han podido hacer. Nadar contra la corriente es complicado.

La gente no deja de ir al cine porque exista el DVD, deja de ir porque una entrada cuesta casi 20$ e igualmente seguimos yendo al cine porque nos gusta.

A todo esto, los de The Pirate Bay.org andan tratando de comprar Sealand para instalar los servidores ahí, ¿no será mucho?

Fuente: http://www.fabio.com.ar/verpost.php?id_noticia=1938

Seguir leyendo...

Una profesora puede ser condenada a cuarenta años de cárcel por un Spyware

Mientras hacia clase a niños de 12 años el ordenador mostró un spyware que contenía pornografía.

La profesora Julie Amero, de Windham, situado en el estado de Connecticut, estaba impartiendo su clase de inglés a los alumnos de 12 años, cuando de la pantalla de su ordenador salieron imágenes pornográficas. Estos hechos ocurrieron en el 2004, y ahora ha sido declarada culpable de riesgo de daños a menores por lo que podría ser condenada a cuarenta años de cárcel.

Las imágenes pop-ups que salieron en el ordenador de la profesora eran fruto de un Spyware instalado en el ordenador de la profesora. Las imágenes salían de varias páginas webs, como meetlovers.com y femalesexual.com, entre otras. Para la acusación tales imágenes solo salían por que la profesora frecuentaba esas páginas, mientras que la defensa argumentó, a través del informático W. Herbert Horner, el ordenador estaba infectado por culpa de una inocente web de peinados y no por visitar páginas pornos. Además el programa antivirus del colegio estaba caducado, por lo que la profesora no pudo limpiar su ordenador.

Los abogados de la defensa, en primera instancia pidieron la anulación del juicio, alegando que el jurado comenzó a discutir el caso en un almuerzo en un bar, pero esta instancia fue rechazada. Ahora pretenden apelar la decisión para mostrar la inocencia de su cliente.

Fuente: http://www2.noticiasdot.com/publicaciones/2007/0107/1301/noticias130107/noticias130107-1239.htm

Seguir leyendo...

Los IDS como instrumento de lucha contra los exploits y el malware

Luchar contra el malware y las vulnerabilidades mediante la adición de firmas al IDS.

Parece prácticamente inexcusable que a estas alturas cualquier red que se precie proteger cuente con mecanismos de detección de intrusos.

De entre las múltiples opciones que poseen los administradores, hay un sistema de detección bastante popular. Se trata de Snort, un buen sistema de detección que además, es libre y gratuíto.

Una de las grandes ventajas de Snort es que admite la carga de firmas específicas para determinadas vulnerabilidades, factor interesante a tener en cuenta a la hora de minimizar el riesgo que proviene de la existencia de exploits masivos que puden atacar nuestra infraestructura.

Así por ejemplo, a raíz de la reciente publicación de MS06-042, sobre la que se habló extensamente ayer en una-al-día, han aparecido algunos exploits on the wild que pueden ser detenidos con ayuda de nuestro amigo Snort.

Para ello, basta con añadir firmas que permitan identificar estos exploits. Desde la firma más genérica, del tipo alert tcp any any -> any $RPC_PORTS (msg:"US-CERT MS06-040 Indicator"; content:"| 90 90 EB 04 2B 38 03 78 |"; classtype:malicious-activity; sid:1000003; rev:1;), a firmas más elaboradas, que incluyen información suficiente para identificar al vuelo los exploits conocidos para un determinado problema de seguridad.

Para entender la secuencia PCRE que sirve habitualmente como firma para un IDS como Snort, basta con acudir a una referencia Regular Expression Basic Syntax Reference, en la que se estandariza la sintaxis adecuada para codificar firmas adecuadamente. Estas PCRE son las llamadas Perl Compatible Regular Expressions, orientadas a ofrecer patrones de coincidencia (matching) en expresiones regulares.

Este tipo de firmas pueden ser consultadas y descargadas de servicios como Bleeding Edge Snort. Otro ejemplo interesante de firma sirve para contrarrestar el reciente troyano que se comunica vía túnel ICMP, y sobre el que habló Julio en nuestro blog del laboratorio.

Fuente: http://www.hispasec.com/corporate/noticias/127

Seguir leyendo...

Chile: detienen a un estafador de Amazon

El hombre comenzó a realizar operaciones ilegales en 1999, cuando estudiaba Informática en la universidad. Hizo más de 2 mil compras que pagó con tarjetas de crédito ajenas y aún no emitidas. Ahora podría recibir hasta cinco años de prisión.
Tendencias

El chileno César Matamala estafó a Amazon.com, el portal estadounidense de comercio electrónico, con más de 2.000 transacciones ilícitas durante unos siete años. Pero todo tiene un final: fue detenido en la ciudad de Valdivia, según informó hoy Brigada de Delitos Económicos de la policía.

En 1999, cuando comenzó con sus prácticas, Matamala era un estudiante de Ingeniería en Informática. En ese momento comenzó a operar con el sitio web, especialmente haciendo compras de objetos tecnológicos que pagaba con tarjetas de crédito a punto de emitirse a nombres de otras personas. Había aprovechado sus conocimientos para desarrollar un software que le permitía cometer ese delito.

Sin embargo, Amazon nunca descubrió las estafas. El caso salió a la luz por las denuncias realizadas por bancos de todo el mundo. Esto derivó en un pedido de detención a Interpol, que identificó al usuario luego de rastrear la dirección IP de la computadora desde donde se realizaban las operaciones.

En la audiencia de detención, el hacker dijo que con las operaciones buscaba "asumir nuevos desafíos". Ahora se expondrá a un juicio que lo podrá a condenar a una pena de entre 61 días a cinco años de prisión.

Amazon es el principal sitio de ventas de la Web, un espacio cada vez más atractivo para el comercio. Mientras en la Argentina uno de cada cinco jóvenes asegura haber realizado compras por Internet, en Estados Unidos el fenómeno movilizó más de 102.000 millones de dólares en 2006, un 24% por encima del año anterior. Y, según los analistas, en los próximos años seguirá creciendo con un ritmo acelerado.

Fuente: http://www.clarin.com/diario/2007/01/15/um/m-01345488.htm

Seguir leyendo...

Aparece un sofisticado 'kit para defraudadores' en la Red

RSA, la división de seguridad de la compañía EMC, ha alertado sobre la aparición de un sofisticado 'kit para el defraudador' por Internet que permite lanzar de manera sencilla ataques de 'pishing', que permiten acceder a los datos bancarios de los clientes.

Este producto, según precisó la empresa, se puede probar gratis a través de ciertos foros de Internet, y su precio final alcanza los 1.000 dólares (772 euros), lo que "refleja las capacidades de la herramienta y lo convierte en realmente peligroso".

RSA afirmó que se trata de un producto "universal" que permite "fácilmente" configurar ataques a objetivos concretos sin tener que diseñar un sistema concreto para cada entidad.

El 'Universal Man-in-the-Middle Pishing Kit', que así se llama el producto, se pone en contacto en tiempo real con la página web legítima de cada entidad financiera, o con la de cualquier compañía de comercio electrónico, de forma que el cliente interactúa con información legítima sin percibir irregularidad alguna.

Durante la visita de los usuarios a la página falsa, los estafadores no solo recogen la información bancaria de cada cliente sino que procesan cualquier tipo de información personal que haya sido registrada.

Fuente: http://www.internautas.org/html/4060.html

Seguir leyendo...

Libertad y anonimato

Por Enrique Dans

Un proyecto de ley en Corea del Sur nos trae un debate de los de toda la vida, al menos desde que la red es red: la legitimidad del anonimato. El proyecto de ley, que si nada lo remedia entrará en vigor el próximo mes de Julio, pretende obligar a todas las páginas web con un tráfico superior a cien mil visitantes a registrar a sus visitantes de manera que éstos únicamente puedan escribir entradas o comentar en las de otros utilizando sus nombres reales (UCLA Asia Institute, vía Digg) algo que supone la desaparición virtual de la posibilidad de utilizar el anonimato en la red.

Las razones esgrimidas por el legislador se refieren a la necesidad de control sobre delitos como el libelo y las infracciones a la privacidad, un control notablemente difícil de ejercer en las condidiones actuales. Y es que de acuerdo, resulta indudable que el anonimato plantea problemas para todo el mundo. El anonimato provoca una sensación de total impunidad, ante la cual un individuo se siente autorizado a insultar, difamar, zaherir o descalificar, amén de posibilitar la comisión de delitos. Recuerdo hace cierto tiempo, en una conferencia, como una persona que reclamaba la prohibición del anonimato en la red acudió al estrado con una bolsa en la cabeza que impedía ver su rostro, intentando llamar la atención sobre lo incorrecto de dicho comprtamiento de acuerdo a los usos sociales establecidos, algo que, según él, reclamaba a todas luces su erradicación también en la red. La persona en cuestión representaba los intereses de una conocida sociedad de autores, y esperaba ya de paso con una medida semejante eliminar la posibilidad del intercambio anónimo de archivos en la red, un comportamiento ilegal según su peregrina e interesada interpretación de la ley.

Recurrir a la comparación de lo que ocurre en la red con las circunstancias de la vida cotidiana fuera de la red es una tentación bastante lógica. Yo mismo utilizo ese argumento cuando pretendo discutir basándome en el sentido común. Sin embargo, las comparaciones entre ambos mundos no siempre son perfectas. Efectivamente, una persona que intentase desarrollar su vida fuera de la red con un pasamontañas puesto permanentemente en la cabeza sería vista de manera como mínimo sospechosa. Pero ¿quiere eso decir que el anonimato no tenga sentido, en la red o fuera de ella? Desde mi punto de vista, la posibilidad del recurso al anonimato protege libertades absolutamente fundamentales, y eliminarla supone una brutal violación de los derechos del individuo. Si alguien pretendiese obligarme a impedir los comentarios anónimos en mi página, estaría dispuesto a irme a alojarla en cualquier otro país con el fin de evitar tal requerimiento, y para nada resulta relevante en mi decisión el hecho de que el anonimato sea utilizado en muchas ocasiones para lanzar insultos o descalificaciones. Cuando elimino un comentario por insultante o descalificante lo hago por lo que pueda poner en él, no por quien lo firme o deje de firmar. Pensar en requerir “manos en la nuca y carnet en la boca” a todo aquel que circule por Internet me parece aberrante, digno de un estado dictatorial.

El libelo y la descalificación son problemas en sí mismos. Son susceptibles de producir un profundo daño y un desánimo en el uso de la red. Hay personas que han abandonado su participación en la red por culpa de comportamientos simimlares. Pero ¿resulta lícito acudir a la prohibición del anonimato para evitarlos? ¿Justifica en este caso el fin los medios utilizados? Desde mi punto de vista, en modo alguno. Pretender la eliminación del anonimato para evitar ese tipo de problemas sería comparable a implantar el estado de excepción para evitar que las personas tirasen chicles en el suelo. ¿Es molesto pisar un chicle? Sin duda, y produce que te acuerdes de todos los familiares vivos y muertos del cerdo que lo tiró. Pero ¿sería razonable y, sobre todo, mesurado declarar el estado de excepción para evitarlo? ¿Sería efectivo?

Si Corea decide ratificar esa ley, como por el momento parece indicar el curso de los acontecimientos (la interacción parlamentaria habida por el momento ha tendido a endurecer las medidas, no a mitigarlas, bajando el límite de visitantes de los trescientos mil a los cien mil) creo que, de entrada, surgirá un movimiento de deslocalización. Surgirán, además, problemas derivados de la implantación de la medida e, indudablemente formas de hackear el sistema, unidas además a un comportamiento todavía más virulento por parte de los opositores a la medida. Al final, la red impondrá su carácter de irregulable, de ente dinámico que considera toda regulación como una anomalía y encuentra su camino para anularla, y seguirá siendo un espacio para la libertad total en el que la posibilidad de un comportamiento anónimo sea considerado un derecho fundamental.

Personalmente, nunca recurro al anonimato. Nunca. Ni siquiera al seudónimo. Siempre firmo en todas partes con mi nombre y mi e-mail. Y sin embargo, considero el anonimato un derecho fundamental, y me siento más seguro sabiendo que está ahí para ser utilizado si es necesario. Defiendo el derecho a utilizarlo, aunque a veces ese derecho sea utilizado para cosas que decididamente no me gustan. Qué le vamos a hacer. Creo en la autorregulación, y en que con el tiempo, el sistema y las personas aprenden a no tener en cuenta determinados comentarios cuando no es posible atribuir su autoría o existen dudas sobre la misma. El proyecto de ley coreano me parece, directamente, una aberración digna no de ese país, sino de su triste vecino del norte. Pero me preocupa seriamente ya no la medida, que nos pilla geográfica y culturalmente un poco lejos, sino el debate que pueda surgir a partir de ella. Me preocupa seriamente que políticos de aquí puedan sentirse tentados por una ley así, y las actitudes de algunos políticos ante otros problemas similares me hacen pensar que, efectivamente, así podría ser. Que no se les caería la cara ni las convicciones democráticas de vergüenza ante un “estado de excepción digital” semejante. Habrá que estar preparados por si acaso.

Fuente: http://www.enriquedans.com/2007/01/libertad-y-anonimato.html

Seguir leyendo...

Detalles sobre el agujero de seguridad de las cuentas de Google

Ayer os hablábamos de un agujero de seguridad de Google que hubiese permitido a un atacante hacerse con el control de cualquier cuenta de usuario, y a partir de ahí poder acceder a una gran cantidad de información personal y sensible.

Ahora, en este post, Tony Ruscoe nos cuenta más detalles sobre esta vulnerabilidad, que ya ha sido solucionada por el equipo de seguridad de Google. En este caso, se trata de un error como es el permitir que el recientemente presentado programa para alojar cualquier tipo de dominio en los blogs de Blogger admitiese incluso dominios del tipo 'algo.google.com', con el riesgo que supone para los usuarios, los cuales confían en las páginas de 'google.com'.

Ruscoe nos comenta que este programa de Blogger no comprueba que alguien sea efectivamente el propietario de los dominios que señala, y su prueba de que tiene el control sobre ellos simplemente se limita a que modifiquen una entrada del servidor de nombres de dominio (DNS) para redirigir el tráfico web hacia unos servidores concretos de Google. Con ello, se podían señalar ciertos dominios 'algo.google.com', los cuales ya de por sí redirigen a esos servidores de la compañía que muestran los blogs de Blogger.

Dentro de la herramienta de gestión de Blogger se puede crear una página web con un script que, al estar albergado en esta ocasión bajo el dominio 'google.com', pueda hacerse (mediante XSS) con los datos contenidos en las cookies de las sesiones de los usuarios dentro de las aplicaciones alojadas en 'google.com' (todos los servicios personalizados de Google). Pero también, como afirma Ruscoe, se podría haber creado maliciosamente una página que, bajo el dominio 'algo.google.com', mostrase un formulario de registro para introducir nuestro nombre de usuario y contraseña de Google, redirigiendo los datos insertados hacia un tercer sitio web que los extrae.

Además, Ruscoe va más allá, y se pregunta sobre si no sería también poco fiable el que se puedan albergar en los servidores de Google (y, por lo tanto, se puedan capturar datos privados relacionados con sus herramientas) sitios web con dominios tipo 'googlepasswords.com'. Hay que recordar que no solamente se pueden alojar páginas en los servidores de Google con el servicio de Blogger, sino también con 'Google Apps para tu dominio', el cual no permite utilizar el dominio '*.google.com'.

Fuente: http://google.dirson.com/post/3096-detalles-agujero-seguridad-cuentas/

Seguir leyendo...

BackupHDDVD, se comprueba su funcionamiento y se descifran películas en HD-DVD

Aunque algunos pensaban que BackupHDDVD, la herramienta que “supuestamente” permitía el descifrado del películas en formato HD-DVD no era más que un engaño, ya que no se había podido demostrar que sirviera para nada, al no disponer de las claves necesarias para el descifrado de los discos, ya podemos afirmar que estaban equivocados.

Según los usuarios del foro Doom9, donde se publicó por primera vez el programa, ya se han encontrado claves para varios de los títulos que se han puesto a la venta en este formato, como Serenity o Full Metal Jacket. Algunos incluso han publicado allí algunas de las claves. Lo cual confirma que el programa funciona y que es posible reproducir posteriormente el contenido descifrado e, incluso, distribuirlo.
El proceso para encontrar las claves no es sencillo, ya que no se ha automatizado, pero no debería ser muy complicado para alguien que conozca un poco el tema de cracking de programas o de debugeo. Se dice que el programa usado para encontrar las claves ha sido WinDVD, en el que la última de sus versiones permite la reproducción en formato HD.

Veremos cual es el siguiente paso en esta “batalla”. Es probable que empiecen a aparecer servicios que ofrezcan las claves o que circulen ficheros de configuración para BackupHDDVD con muchas de las claves. En cualquier caso, un servicio que ofrezca estas claves sería probablemente cerrado por las compañías productoras. El gran tamaño de los ficheros resultantes, además, hará que por ahora tampoco veamos muchísimas pelícuals circulando por las redes de intercambio.

Pero de todos modos es difícil pronosticar nada, ya que fue ayer mismo cuando se pudo comprobar el funcionamiento del programa, así que habrá que estar atentos a futuros progresos.

Fuente: http://www.genbeta.com/2007/01/13-backuphddvd-se-comprueba-su-funcionamiento-y-se-descifran-peliculas-en-hd-dvd
http://seguinfo.blogspot.com/2007/01/backuphddvd-copiar-discos-hd-dvd-cmo_01.html
http://seguinfo.blogspot.com/2007/01/backuphddvd-copiar-discos-hd-dvd-cmo.html

Seguir leyendo...

Eset NOD32, mejor aplicación de seguridad para los lectores

Ni firewalls, ni antispyware, ni gaitas. Los lectores de Genbeta han considerado a un antivirus la mejor herramienta de seguridad del 2006. Y el escogido ha sido NOD32, elección con la que muchos editores están de acuerdo, sobretodo Javier que lo escogió hace tiempo para su ordenador.

Y se situa el primero en el podio con un 42% del total de los votos, quedando por detrás otros dos antivirus, AVG y Avast.

Y eso que, para muchos, los virus ya no son el principal riesgo al que se ven expuestos los usuarios de ordenadores. Spyware, phishing, malware,... son otros de los especímenes a los que se tienen que enfrentar. Por suerte, la mayoría de antivirus han reaccionado ante estas amenazas e incorporan protecciones para ellas, además de para los virus.

Fuente: http://www.genbeta.com/2007/01/08-encuesta-2006-nod32-mejor-aplicacion-de-seguridad-para-los-lectores

Seguir leyendo...

Ubuntu, mejor Sistema Operativo de 2006

Sorprendentemente, Ubuntu 6.04/6.10 ha ganado esta categoría con el 42,4%, seguido a una mediana distancia de Windows XP SP2, con un 32,9%, a casi diez puntos. Y digo que es sorprendente porque según nuestras estadísticas el 92,3% de los visitantes provenís de Windows (incluyendo a los que vienen de Google), mientras que solo el 3,9% utilizáis alguna distribución de Linux. Lo que, claramente, quiere decir bastantes cosas, por ejemplo que los usuarios de Linux son más activos o que nos visitáis mucho desde el trabajo.

Ubuntu 6.10

De todas formas, Ubuntu se ha alzado como la alternativa más viable y popular a Windows, y esperamos que en un futuro su posición se consolide y nos beneficiemos todos de ello. Más allá de que se puedan disfrutar de cualquier contenido multimedia o de que reconozca casi todos los componentes Hardware, Ubuntu se distingue especialmente por dos cosas: por su sencillez de uso (aunque se podría mejorar) y por su comunidad.

Si te surge algún problema, una rápida búsqueda por los foros de Ubuntu o por Google en general y seguro (99% de las veces) que encuentras a alguien con tu mismo problema y con la solución. Ok, Microsoft tiene cosas parecidas, pero la horrible zona de soporte técnico (creada por profesionales), centrada en vender las maravillas de Windows más que en resolver sus problemas, tiene bastantes cosas que envidiar a las claras y directas explicaciones de personas amateurs de los foros de Ubuntu.

Por último, me he sorprendido un poco de que MacOS X tenga solo un 13,6%, aunque es comprensible si nunca lo habéis visto o tratado con él.

Fuente: http://www.genbeta.com/2007/01/13-mejor-sistema-operativo-de-2006

Seguir leyendo...

Agujero de seguridad en las aplicaciones de Google

A través del robo de cookies, conseguido haciendo que la victima visite un subdominio válido de google.com (page creator, code hosting wiki...), han explotado una vulnerabilidad que permite acceder bajo el usuario de otra persona a un gran número de aplicaciones de Google. Al parecer Google ha desactivado la página-trampa, pero aún no se ha confirmado la solución al problema, así que mucho cuidado y mantener cerrada vuestra sesión mientras navegáis.» Sigue en la página de la noticia.
«Algunas de las vulnerabilidades:

* Acceso completo Google Docs y Spreadsheets
* Leer el asunto y las primeras líneas de los emails via la página personalizada de Google.
* Ver la página de la cuenta
* Entrar el lector de RSS
* Leer Google Notebook privado
* Historial de búsquedas

En Techcrunch Arrington tambien se hacen eco de otros problemas con google y de la eliminación masiva de emails de gmail

Fuente:
http://barrapunto.com/article.pl?sid=07/01/13/0035220
http://google.dirson.com/post/3095-vulnerabilidad-xss-seguridad-cuentas/

Seguir leyendo...

Necesidades de seguridad en las empresas

La principal causa de la fuga de información delicada es la falta de seguridad interna

De acuerdo a un estudio de Select, el 59% de las PCs instaladas en México tienen conexión a Internet, 5 millones 75 mil 192 pertenecen al sector empresarial.

“Es necesario garantizar que la información así como los recursos informáticos de una empresa, estén disponibles para cumplir sus propósitos, es decir, que no estén dañados o alterados, por circunstancias o factores externos” asegura Carlos Soni, Director de Soluciones al Cliente de EMC. De esta manera la información se convierte en el elemento principal a proteger, resguardar y recuperar dentro de las empresas.

La importancia de la seguridad

De acuerdo a estadísticas de la consultora internacional Frost & Sullivan, el 90% de las empresas de Latinoamérica sufren de ataques informáticos, sin embargo, Ecuador no posee estadísticas, pues no a todas las empresas del sistema les interesa dar a conocer, que han sufrido robos de información.

La seguridad no solo es importante dentro de las empresas sino vital. Por ejemplo, en México como en el mundo entero, los medios electrónicos han revelado que fraudes como el phishing van en constante aumento. De acuerdo a mediciones de RSA el número de estos ataques en el mundo ha crecido 41% en el último año y el número de marcas atacadas por mes ha aumentado 135% en el mismo periodo.

El phishing consiste en que criminales electrónicos (no virtuales), extienden una invitación para que el usuario entre en una página falsa y revele sus datos confidenciales, los que son utilizados en contra de su patrimonio.

“De acuerdo con expertos en el área, más del 70% de las violaciones e intrusiones a los recursos informáticos, se realiza por el personal interno, debido a que éste conoce los procesos, metodologías y tiene acceso a la información sensible de su empresa, es decir, a todos aquellos datos cuya pérdida puede afectar el buen funcionamiento de la organización”, comentó Soni.

Hay que cerrar las ventanas

La seguridad en la información se debe a la relación entre la gente y datos. La Infraestructura en cambio, une a la gente con los datos, por lo que papel es más que importante en la dirección de la seguridad de las interacciones entre los dos. Para asegurar a la gente evitando fugas de información, las organizaciones deben establecer y asegurar las identidades de la gente, usando la autenticación y la identidad para tener acceso a soluciones de dirección.

Debido a lo anterior, el mercado mexicano de software de seguridad alcanzó un valor de 77 millones de dólares en el 2006, lo que corresponde a un crecimiento del 18% con respecto a los 65 millones del año previo, según datos de la consultora IDC.

“Esta situación se presenta como consecuencia de los esquemas ineficientes de seguridad con los que cuentan la mayoría de las compañías a nivel mundial, y porque no existe conocimiento relacionado con la planeación de un esquema de seguridad eficiente que proteja los recursos informáticos de las actuales amenazas combinadas”, comentó al respecto Soni.

El resultado de la falta de conocimiento y prevención, es la violación de los sistemas, provocando la pérdida o modificación de los datos sensibles de la organización, lo que puede representar un daño con valor de miles o millones de dólares.

Amenazas y vulnerabilidades

Existen varios riesgos tales como: ataque de virus, códigos maliciosos, gusanos, caballos de troya y hackers. Con el Internet como instrumento de comunicación y colaboración, los riesgos han evolucionado y ahora las empresas deben enfrentar ataques de negación de servicio y amenazas combinadas, es decir, la integración de herramientas automáticas de hackeo, accesos no autorizados a los sistemas y capacidad de identificar y explotar las vulnerabilidades de los sistemas operativos o aplicaciones para dañar los recursos informáticos.

En los ataques de negación de servicio, el equipo de cómputo ya no es un blanco, es el medio a través del cual es posible afectar todo el entorno de red, pues pueden anularse los servicios de la red, saturar el ancho de banda o alterar el web site de la compañía.

Es por esto, que la infraestructura de red y recursos informáticos de una organización, deben estar protegidos bajo un esquema de seguridad que reduzca los niveles de vulnerabilidad y permita una eficiente administración del riesgo.

Para lograrlo deben establecerse políticas de seguridad, las cuales van desde el monitoreo de la infraestructura de red, los enlaces de telecomunicaciones, la realización de un respaldo de datos y hasta el reconocimiento de las propias necesidades de seguridad, para establecer los niveles de protección de los recursos. Las políticas deberán basarse en los siguientes pasos:

* Identificar y seleccionar lo que se debe proteger (información sensible).

* Establecer niveles de prioridad e importancia sobre esta información.

* Conocer las consecuencias que traería a la compañía, en cuanto a costos y productividad, así como la pérdida de datos sensibles.

* Identificar las amenazas, así como los niveles de vulnerabilidad de la red.

* Realizar un análisis de costos en la prevención y recuperación de la información, en caso de sufrir un ataque y perderla.

* Implementar respuesta a incidentes y recuperación para disminuir el impacto.

Este tipo de políticas permitirá desplegar una arquitectura de seguridad basada en soluciones tecnológicas, así como el desarrollo de un plan de acción, para el manejo de incidentes y recuperación, para disminuir el impacto, una vez identificado y definido, los sistemas y datos a proteger.

Con las medidas de seguridad ya impartidas. Las amenazas no disminuirán y las vulnerabilidades no desaparecerán, por lo que los niveles de inversión en el área de seguridad en cualquier empresa, deberán ir acordes a la importancia de la información en riesgo.

Fuente: http://www.infochannel.com.mx/mundos33.asp?id_nota=16436&industria=2

Seguir leyendo...

Oracle sigue el modelo Microsoft y notifica con antelación sus parches

Oracle ha anunciado por primera vez con antelación, lo que será su publicación trimestral de parches de seguridad. Un resumen previo al estilo Microsoft que adelanta el número y la criticidad de las actualizaciones previstas para el próximo día 16 de enero.

Oracle publicará un total de 52 parches de seguridad (menos de los que
vienen siendo habituales) para Oracle Database, Application Server,
Enterprise Manager, Identity Management, E-Business Suite, Developer
Suite y PeopleSoft Enterprise People Tools. Diez de los 27 dedicados a
su base de datos, podrán ser aprovechados por atacantes a través de la
red sin necesidad de usuario ni contraseña válidos.

Con esta nueva estrategia de anuncio previo de boletín de seguridad,
Oracle pretende facilitar a los administradores de sus productos la
planificación de aplicación de parches. A nadie se le escapa la analogía
con la estrategia de Microsoft. Ya en agosto de 2004 (sólo 10 meses
después de que lo hiciera Microsoft) reorganizó su publicación de
parches de forma mensual, para modificarla poco después a una
planificación trimestral, tal y como se mantiene hoy día.

En octubre de 2004, Microsoft decidió además advertir algunos días antes
de la publicación del número de parches planeados, gravedad y productos
afectados. Poco más de dos años después Oracle le copia, por segunda
vez, la estrategia, aunque ha ido un poco más lejos y en su avance.
Oracle ofrecerá además "cualquier información relevante que ayude a las
organizaciones a planificar la aplicación del CPU (Critical Patch
Update) en su entorno".

Este nuevo cambio en la estrategia de seguridad de Oracle viene a
confirmar una clara tendencia de la compañía por mejorar su imagen en
este sentido. En octubre de 2006 anunció que mejoraría su sistema de
notificación de alertas de seguridad, añadiendo desde entonces un rango
de criticidad a sus boletines, un sumario más detallado sobre las
vulnerabilidades corregidas y una sección destacada de los fallos
críticos y prioritarios.... Además, se ayuda de CVSS (Common
Vulnerability Scoring System), un estándar que gradúa la severidad de
manera estricta a través de fórmulas establecidas.

Estos movimientos se han producido tras un largo periodo en el que
Oracle ha sido criticada hasta la saciedad por su estrategia general de
seguridad desde aquel fallido lema de "unbreakable" (irrompible). En los
últimos meses, publicaciones como la de David Litchfield que afirmaba
que MS SQL era mucho más seguro, unido a los continuos problemas de
seguridad, con largos periodos (mínimo trimestral y con un récord de 800
días) en los que no se ha proporcionado un parche para algún error, el
anuncio frustrado de la creación de la semana de los fallos en Oracle...
han ido deteriorando la imagen de la compañía de las bases de datos.

Está claro que esta nueva estrategia de Oracle está orientada a restaurar la confianza de posibles clientes y ayudará a los administradores. Lo que no estará tan claro para muchos es que se tome como modelo parte de la política de Microsoft. La imagen de la referencia que han decidido adoptar se encuentra también deteriorada
en cuestión de seguridad.

Más información:
Critical Patch Update Pre-Release Announcement
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html

Litchfield: Comparado con Oracle, Microsoft SQL Server es más seguro
http://www.hispasec.com/unaaldia/2951

Oracle ofrecerá más y mejor información en sus boletines de seguridad
http://www.hispasec.com/unaaldia/2915

Sergio de los Santos
[email protected]

Fuente: http://www.hispasec.com/unaaldia/3002/

Seguir leyendo...

Vulnerabilidad XSS en Blogspot con Safari y Konqueror

Quienes visiten sitios alojados en Blogspot a lomos de Safari o Konqueror han de andarse con cuidado.

Como cualquier sitio que se precie Blogspot no permite ciertas etiquetas... ¡a no ser que vayan dentro de comentarios!.

Al parecer Blogspot fue informado hace una semana, sin que haya respondido aún...

Es sabido lo que esto puede significar: la ejecución de cualquier javascript en los navegadores del usuario, con posible robo de sesiones, contraseñas o cosas aún peores.

Por una vez, los usuarios de Opera, Firefox y Explorer están a salvo.

Aunque la nota original sólo habla de Safari (Mac), Kriptópolis ha comprobado que la vulnerabilidad afecta también a Konqueror (Linux), como demuestra esta imagen:

• BlogSpot.Com blogs unsafe for Safari users! [Know Thyself].
• Proof of Concept [Demo].

Fuente: http://www.kriptopolis.org/vulnerabilidad-xss-en-blogspot-con-safari-y-konqueror

Seguir leyendo...

Programación de virus para código fuente C

Continuando (y muy probablemente terminando ya) con el tema de la metaprogramación, abordaremos todas las ideas introducidas hasta ahora en un artículo publicado en el e-zine sobre virus informáticos 29a (0x29a en hexadecimal es 666 en decimal ;-)). En él, se nos muestra cómo un programa en C podría ser capaz de infectar a otros programas en C no compilados todavía, incluyendo funciones de infección, es decir, convirtiéndolos así mismo en vectores de infección. El artículo tiene ya su tiempo, pero creo que es un buen broche final a esta serie de comentarios e impresiones sobre la programación de programas que programan ;-D

Resumen

En este artículo comentaremos las posibilidades de infección mediante ataques a ficheros de código fuente, los antecedentes que ha habido en la materia y los desarrollos futuros que puedan darse.

El texto será acompañado de ejemplos en C a modo de "pruebas de concepto" de los detalles explicados. Así mismo, se presentarán técnicas de desarrollo de virus para código fuente mediante otras vías, desde un punto de vista menos práctico e indicando los pasos generales para su programación.

Seguir leyendo

Seguir leyendo...

Encuentre un agujero en Windows Vista y gane US$ 12.000

Compañía de seguridad informática ofrece una recompensa de 12.000 dólares a quién pueda encontrar vulnerabilidades en Windows Vista o Internet Explorer 7.

En numerosas oportunidades, Microsoft ha puesto de relieve la seguridad incrementada de su próximo sistema operativo Windows Vista. Según ha trascendido, incluso los servicios de inteligencia estadounidenses han contribuido a que el sistema sea impenetrable.

La compañía iDefense Labs duda que tal sea el caso. Por ello, promete 12.000 dólares de premio a quien detecte agujeros de seguridad en el nuevo producto estrella de Microsoft.

iDefense repartirá 6 premios por un total de 12.000 dólares en dinero efectivo a quienes encuentren el primer agujero de seguridad en Windows Vista o Explorer 7.

Para ganar el concurso es necesario vulnerar el sistema operativo o el navegador y ejecutar código aleatorio en ellos.

El plazo para enviar aportes vence el 31 de marzo.

Fuente: http://www.diarioti.com/gate/n.php?id=13204

Seguir leyendo...

(Casi) Todos los videos del 23C3 (Chaos Communication Congress)

Me entero gracias al canal #23C3 de la red Freenode de que desde este enlace podéis descargar la mayoría de los vídeos del 23rd Chaos Communication Congress. En el mismo servidor también encontraréis las conferencias de la edición anterior.

De este año aún faltan unas cuantas que me gustaría bajarme ya que no pude ver allí y otras que querría volver a ver pero que no están; no obstante, de las que están, probablemente fueran estas dos las que más curiosidad despierten:

Console Hacking 2006
Bluetooth Hacking Revisited
Conferencia de Lessig

Fuente: http://rootzero.wordpress.com/2007/01/10/casi-todos-los-videos-del-23c3/

Seguir leyendo...

Que hacer si se entra en una lista negra

Desde que el bloqueo de correos no deseados se ha convertido en norma, las listas negras contra el spam son cada vez menos visibles. Sin embargo, de vez en cuando aparecen empresas que se encuentran con que se les ha incluido en una lista negra como spammer.

Ante esta situación se pueden emprender distintas soluciones, aunque las más habituales entre las empresas no son las más adecuadas: algunas ignoran el bloqueo, otras cambian de servidor, solicitan que se les borre de la lista o envían un escrito legal solicitando de la empresa responsable de la lista que desista del bloqueo. Sin embargo, lo más importante es que la empresa comprenda el funcionamiento de la lista y las razones por las que ha sido incluida en ella.

Lo primero que hay que saber de una lista es cuál es su finalidad; algunas se diseñan para problemas muy específicos y salir de ellas puede ser cuestión de afinar algún detalle. Además, hay que averiguar cómo se gestiona, puede estar automatizada y adquirir las entradas de otras bases de datos. Otras son manuales y se basan en las quejas de spam recibidas por el responsable de la lista. Por último, hay que conocer cuál es el procedimiento para ser borrado de la lista, que puede ser desde realizar un pago o realizar un formulario a cambiar la forma de gestión de las listas y bases de datos.

Qué hacer
A veces, estar en una lista negra supone un impacto mínimo sobre las actividades de marketing de la empresa. Si la empresa o responsable de la lista negra goza de buena reputación, su influencia será mayor. Una forma de determinar su impacto es observando los índices e informes de entrega de los emailings. Algunos sitios web facilitan información detallada sobre las razones por las que se ha rechazado un email. Otra forma de saber qué envergadura tiene el bloqueo es chequeando el rango de la lista negra en centros de recursos contra el spam, como SpamAssasin.

En función del impacto que tenga estar en la lista negra puede traer cuenta o no el conseguir borrarse de ella. Si se trata de un problema de seguridad por el que los spammers pueden acceder al servidor, es mejor arreglarlo. Si por el contrario se trata de que una lista solo admite emails bajo permiso o que requiere un cambio de ISP, el impacto puede ser mayor, por lo que habrá que sopesar los pros y los contras de la situación.

Si hay que realizar cambios de procedimiento o de configuración, hay que realizarlos y confirmarlos antes de solicitar ser borrado de la lista, si no se corre el riesgo de volver a entrar en la lista o de despertar la suspicacia de los gestores. Además, hay que seguir los pasos indicados para ser borrado de la lista.

Fuente: http://www.marketingdirecto.com/noticias/noticia.php?idnoticia=21241

Seguir leyendo...

Nuevas formas de trabajo

Acabo de ver esta nueva "forma de trabajo". Si Ud. está en su casa o bien tiene tiempo ocioso, solo debe responder este correo para ganar $60 por mes y además transformarse en spammer.

Las nuevas ofertas de trabajo están al orden del dia y también al borde de la delincuencia.

Fuentes:
http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/01/11/What-do-you-do-for-a-living_3F00_.aspx
http://www.pandasoftware.es/about/prensa/verNoticia.htm?noticia=8146&ver=18&pagina=&numprod=&entorno=

Seguir leyendo...

Los parches de Microsoft saben a poco

Después de anunciar ocho boletines de seguridad, el número real se ha reducido a la mitad. Los parches de Microsoft de este mes han dejado sin solución (entre otras) tres vulnerabilidades graves en Microsoft Word, presumiblemente incluidos entre los ocho originales que se anunciaron pero que no fueron publicados finalmente.

Los parches publicados el pasado martes solventan, como fue anunciado a
última hora, diez vulnerabilidades agrupadas en cuatro boletines. Los
que salen peor parados son los componentes de Office, Outlook y Excel,
con nueve vulnerabilidades, casi todas críticas. Ninguno de los fallos
corregidos se conocía de forma pública antes de la aparición de estos
boletines (aunque algunos sí que estaban siendo aprovechados).

Sin embargo, tres vulnerabilidades en Word para las que existe exploit
público que permite ejecución de código (y está siendo aprovechado),
no han sido contempladas en esta ocasión. Tampoco dos problemas en el
servicio CSRSS (Client Server Runtime SubSystem) que permiten elevar
privilegios en local o revelar información sensible han encontrado
solución. Todas se han dado a conocer durante el mes de diciembre.
Existen otras vulnerabilidades "pendientes" que permiten provocar
denegaciones de servicio (que la aplicación deje de responder)
igualmente en espera.

No existe aclaración oficial sobre la causa de este lote de
actualizaciones mensual descafeinado, donde se han echado en falta
soluciones a problemas acuciantes en la suite ofimática de Microsoft
o su sistema operativo. Se puede presuponer que los parches estaban
prácticamente listos en un primer momento, hasta el punto de ser
anunciados, pero a última hora no los consideraron suficientemente
maduros. Es más que probable que desde Microsoft se haya decidido
comprobar una vez más la calidad de esos parches anunciados en primera
instancia para ahorrarse disgustos y no comprometer la estabilidad de
sus clientes.

Es comprensible esta actitud reservada y conservadora a la hora de
publicar parches. Situaciones como la vivida en agosto de 2006 con el
boletín MS06-042 hacen necesario una reflexión sobre la liberación de
parches. En él se recomendaba la aplicación de un parche acumulativo
para Internet Explorer que solucionaba ocho problemas de seguridad.
Dos semanas después se hizo público que, inadvertidamente, este parche
había introducido una nueva vulnerabilidad crítica.

Si se cumple el ciclo (muy probablemente) y no se publican nuevos
parches extraordinarios hasta febrero, dejarían sin solucionar varios
problemas graves durante más de dos meses. Aunque una política de
comprobación de calidad y análisis de impacto es tan importante como
cualquier otro proceso de la administración de actualizaciones, los
retrasos pueden resultar tan peligrosos (para sus clientes y para su
imagen) como arriesgarse a publicar un parche que cause algún
estropicio. Es un equilibrio que no debe romperse.

En cualquier caso, es decisión de los usuarios utilizar alternativas cuando sea posible (como OpenOffice.org) o aplicar las contramedidas que recomendadas en los correspondientes boletines y ayudan a mitigar los efectos de un posible ataque.

Más información:

(23/08/2006) El último parche acumulativo para Internet Explorer introduce una nueva vulnerabilidad
http://www.hispasec.com/unaaldia/2860

(08/01/2007) Microsoft publicará mañana cuatro parches de seguridad http://www.hispasec.com/unaaldia/2998

Sergio de los Santos
[email protected]

Fuente: http://www.hispasec.com/unaaldia/3000/

Seguir leyendo...