Lanzamiento de la Cruzada contra el Fraude en Internet

En el marco de la Primera Cruzada contra el Fraude en Internet, Segu-Info se enorgullece de presentar el primero de los 17 consejos.

Objetivo

Cuando hablamos de Seguridad de la Información muchas veces nos olvidamos del usuario final, aquel que por lo general es el blanco de los delincuentes.

El objetivo de esta Cruzada Naranja es llevar la educación al usuario, para que cuentes con las herramientas y conocimientos necesarios para evitar caer en las trampas de personas sin escrúpulos.

Cómo se entregan las Naranjas

Como lo dice el nombre de la Cruzada, te entregaremos 17 Naranjas en formas de Consejos para utilizar Internet en forma segura.

Forma de la Naranja

Cada día se desarrollará un consejo en forma sencilla y con la demostración práctica para llevarlo adelante.

Esta demostración podrá incluir un "Modo Normal" o bien un "Modo Paranoico" por si deseas profundizar en el tema tratado.

Qué debo hacer

Simplemente ingresar una vez por día a este sitio para leer el consejo brindado.

Seguir leyendo...

BioPassword: dime cómo tecleas y te diré quién eres

Cuanto menos curioso este nuevo método para reforzar la seguridad de las contraseñas. Según dicen en su página web, el sistema BioPassword se basa en la idea de que el ritmo, la rapidez y la forma en que se pulsan las teclas a la hora de introducir las contraseñas es única para cada usuario. Una vez establecido tu perfil de pulsaciones mediante un entrenamiento previo basado en la medición del tiempo en que se mantiene presionada la tecla y el intervalo entre una pulsación y otra, cualquier intento de teclear la contraseña que no coincida con este patrón será rechazado. Merece la pena entrar en la demo e intentar suplantar a alguno de los usuarios que te proponen, algo bastante improbable ya que la fiabilidad del método es del 99%.

La gran ventaja de este sistema es que, a diferencia del resto de métodos biométricos, éste no necesita un dispositivo de entrada especial, y además no modifica el comportamiento del usuario, que no tiene que actuar de forma distinta a partir de la implantación del sistema. Lo que no sé es cómo habrán resuelto una circunstancia que, por ejemplo, ahora mismo afecta a muchos de mis paisanos, y es que en estos días nuestras pulsaciones de teclado suelen ser más torpes y lentas de lo habitual.

Fuente: BlogAntivirus

Seguir leyendo...

Ni la criptografía cuántica es segura

Un grupo de investigadores ha comprobado, por primera vez, que la seguridad de una red protegida por criptografía cuántica, también puede ser violada.

La criptografía cuántica usa las leyes mecánicas cuánticas para proteger datos de forma segura. Hasta este hallazgo, muchos investigadores suponían que las redes protegidas por estos métodos eran 100% seguras, pero un grupo del MIT ha logrado romper la seguridad usando la técnica de la escucha, en donde capturaron la mitad de los datos enviados (de modo que no fuesen detectados por ninguno de los dos extremos), y finalmente descifraron lo que se enviaba.

Es sabido que si un conjunto de datos cifrados es capturado, un posterior análisis de un amplio porcentaje de estos podría revelar el secreto ocultado en dichos datos, ya que se cumpliría con un patrón que es necesario para que ambas máquinas logren entenderse. Por estas mismas premisas, muchos dicen que no hay forma de proteger completamente un sistema, menos una masa de datos.

El grupo aún así, admite que el ataque ha sido llevado acabo en entornos de prueba, y que en un entorno real podría no ser posible de momento.

Aún así, este último mensaje claramente fue dedicado a empresas que están actualmente apostando por estas formas de seguridad, ya que si alguien lo logró en un entorno de prueba, es muy probable que puedan replicarlo a entornos reales sin mucho esfuerzo, solo con un poco de tiempo.

Fuente: BlogAntivirus
http://www.nature.com/news/2007/070423/full/070423-10.html

Seguir leyendo...

Adolescente ingresa a AOL

Mike Nieves, un chico de 17 años oriundo de Nueva York, penetró en los sistemas de America Online (AOL), infectando servidores para transferir información confidencial -numeros de tarjetas de crédito, direcciones, etc.- a su propio ordenador; en un periodo que va desde el 24 de Diciembre de 2006 hasta Abril de este año.

El joven fue detenido el Lunes pasado, y actualmente sigue en prisión preventiva.

Se calcula que el monto económico de sus actos ronda los US$500.000, aunque fiscales de la causa aclararon lo prematuro del tema para dar detalles.

El acusado, por su parte, alegó que ingresó al sistema porque “AOL le había quitado sus cuentas y pretendía recuperarlas”.

Fuente:
BlogAntivirus
http://www.infoworld.com/article/07/04/26/HNteenhackaol_1.html

Seguir leyendo...

Exploit para vulnerabilidad de Adobe Photoshop

Hace unos días, comentabamos sobre la vulnerabilidad crítica que afectaba a los productos de Adobe, en particular Photoshop, el cual podía era causado por un error dentro del módulo que maneja los archivos Bitmap (.BMP, .DIB, .RLE), provocando una sobrecarga del buffer de pila al llegar un archivo malformado.

La vulnerabilidad afecta Adobe Photoshop CS2 y CS3, aunque por el tipo de módulo, es posible que el mismo esté presente en otros productos de la compañía.

La solución que publicó Adobe fue de no abrir archivos de ese tipo, mientras que a la vez confió que actualizará el paquete a sus clientes una vez que tengan más información.

Entre tanto, en milw0rm acaban de publicar el exploit que aprovecha dicha vulnerabilidad, por lo que el tiempo se le acaba poco a poco a la gente de Adobe, o bien… a sus clientes.

Fuentes:
BlogAntivirus
http://secunia.com/advisories/25023/
http://milw0rm.com/exploits/3793

Seguir leyendo...

Faltan menos de 12 horas para el lanzamiento de la Cruzada de Seguridad

La Cruzada de Segu-Info orientada a todos los usuarios entregará 17 Naranjas en formas de consejos.

Todos las recomendaciones de Seguridad que siempre quisiste para proteger tu privacidad, ahora estarán en un solo lugar, a partir del primero de mayo.

La ingeniería social, el malware, el uso de correos, la mensajería instantanea, las redes P2P, el home-banking; entre otros temas serán los tratados a partir de mañana.

¿Qué esperas para ingresar y recibir las naranjas?

Mientras esperas, si esta Cruzada te interesa puedes votarnos en Día Internacional de Internet.

cfb

Seguir leyendo...

España: Bajarse música de Internet no se considera piratería

Los españoles creen que los bienes culturales son demasiado caros y, aunque están en contra del 'top manta', no ven censurable intercambiarlos en la Red.

Si bien es cierto que los españoles están en contra de la piratería de bienes culturales (música, libros, películas y videojuegos), no lo es menos que su idea de lo que es un producto ilegal es algo diferente a la del Gobierno, según se desprende del barómetro de marzo hecho público hoy por el Centro de Investigaciones Sociológicas. Se quejan los ciudadanos de que la cultura es demasiado cara, creen que la mejor forma de acabar con la piratería es rebajar los precios, y critican la venta ilegal de películas y música en la calle (el conocido como top manta), pero no consideran que bajarlas de Internet sea censurable.

Precios demasiado altos. La mayoría considera que los bienes culturales son caros o muy caros: los vídeos, el 54,1%; los CD, el 69,4%; los DVD, el 63,8%; los libros, el 54,1%; y los videojuegos, el 57,8%. Casi nadie cree que sean baratos (oscila entre el 0,7% de los videojuegos y el 5,9% de los libros); el resto, no sabe o no contesta.

La cultura, un bien a proteger. Instados a valorar del 1 al 10 estas afirmaciones, todos coinciden en que "la cultura es un bien que todos debemos proteger" (8,85) y que las copias no autorizadas obstaculizan su desarrollo (6,25). Por tanto, es necesaria una ley que proteja a los autores y sus obras (7,43). Sin embargo, la mayor unanimidad es para asegurar que los productos culturales deberían ser más baratos (9), y para culpar de su encarecimiento al exceso de intermediarios (discográficas, distribudores, representantes) entre las obras y el público (8,9).

Casi nadie piratea. Sólo el 8% de los encuestados usa copias ilegales de CD, DVD o videojuegos; algunas veces, el 35%, y nunca el 56,4%.

Descargar de Internet no es censurable Casi todo el mundo está de acuerdo en comprar por Internet en lugar de en las tiendas si resulta más barato (63,1% sí, 15,1% no), de igual forma que apoyan el compartir CD o DVD con amigos o familiares (69,2% sí, 12,9% no). Repudia la mayoría adquirir productos en el top manta (21,3% a favor, 55,1% en contra) y, aunque menos, fotocopiar libros (35,8% a favor, 38,5% en contra). Sin embargo, el 51,6% está a favor de descargar o intercambiar ficheros de música o películas por Internet, frente al 17,6% que se pronuncia en contra.

Y es que, frente al 72,9% que considera que el top manta es piratería, o el 41,3% que cree que lo es fotocopiar libros, sólo el 29,4% opina lo mismo del intercambio de ficheros por la Red.

¿Cómo acabar con la piratería? El 42,2% considera que la mejor forma de acabar con la piratería es abaratar los bienes culturales; el 26,2% se decanta por la presión policial contra las mafias que sacan tajada de ese negocio ilegal; el 10,1% opta por perseguir a los vendedores del top manta; y el 9,6% por las campañas de publicidad. Preguntados por la que en este momento lleva a cabo el Ministerio de Cultura, el 44,2% dice desconocerla, y el 74,3% opina que no servirá para nada.

La mitad no se conecta a Internet

El 54,3% de los encuestados no se conecta a Internet, frente al 27,2% que lo hace todos los días y el 11,4% que lo hace al menos una vez a la semana. Una vez en la Red, los españoles leen noticias de actualidad (el 41,4%), realizan gestiones bancarias (26,9%) o compras (15,2%), adquieren entradas de cine o teatro (17,4%) o buscan trabajo (16,5%).

Pero, sobre todo, consultan su correo electrónico (70,2%), usan foros o programas de mensajería instantánea (31,8%) y buscan información (80%). Consultan mapas o callejeros el 34,9%, y sólo el 5% admite mirar páginas eróticas. El 38,4% intercambia música o películas, y el 26,4% copia CD, DVD o programas informáticos.

Entre el 54,3% que no se conecta, el 32,3% explica que lo hace porque ni le gusta ni le interesa, mientras que el 34,9% no sabe usar la Red. El 10,4% dice no tener tiempo, el 6,3% asegura que es demasiado caro, y el 14,1% no tiene fácil acceso.

Fuente: http://www.elpais.com/articulo/cultura/Bajarse/musica/Internet/considera/pirateria/elpepucul/20070430elpepucul_4/Tes

Seguir leyendo...

Un tercio de los españoles prefiere conectarse a Internet desde la oficina

La búsqueda de información, la lectura de noticias en medios digitales y las consultas bancarias son las principales entradas

Un 34% de los españoles prefiere conectarse a Internet desde la oficina en vez desde su domicilio, según un estudio de la consultora Nielsen/Net Ratings. Las consultas más reclamadas por los internautas españoles se refieren a la búsqueda de información (97%), lectura de noticias en los distintos medios digitales (87%) y las consultas bancarias (80%). El estudio, sobre una muestra de 17.000 internautas, constata que el acceso a la red es más intensivo desde la oficina que desde el hogar.

En este sentido desde la oficina se suele trabajar con 54 sesiones frente a las 38 que se realizan desde el hogar, mientras que el promedio de dominios visitados es de 135 en el puesto de trabajo y de 75 cuando se contabilizan desde el domicilio particular.

Un 20% de los encuestados admite pasar más tiempo en la oficina para poder tener acceso a Internet y realizar sus visitas on-line. Un dato a tener en cuenta es que el 82% de los españoles que se conectan a Internet considera la prensa digital como su canal favorito mantenerse al día de los acontecimientos nacionales e internacionales mientras se encuentra en la oficina por la rapidez y facilidad que este medio ofrece para conectarse.

Otro hecho a tener en cuenta es que actividades que tradicionalmente se realizaban en el mismo lugar de la adquisición, como la compra de entradas para espectáculos, realizar la compra en grandes superficies o planificar las vacaciones a través de una agencia de viajes, evolucionan progresivamente en su realización por la red desde el puesto laboral, principalmente, en las grandes ciudades.

La red se ha convertido en uno de los principales mecanismos que los españoles utilizan para buscar empleo, ya que, frente a los tradicionales anuncios clasificados o los suplementos de la prensa dominical, el 72% de españoles opta por conectarse a los portales de empleo desde su propia oficina, frente a un 52% que prefiere hacerlo desde el hogar.

Fuente: http://www.elpais.com/articulo/internet/tercio/espanoles/prefiere/conectarse/Internet/oficina/elpeputec/20070430elpepunet_3/Tes

Seguir leyendo...

Spammers se burlan de la muerte de Yeltsin

Ayer toda Rusia se despidió del primer presidente de Rusia Boris Yeltsin. ¿Seguro que todos? No, los spammers no. Ellos estuvieron muy ocupados llenando los correos electrónicos con mensajes que titulaban “Boris Yeltsin sigue vivo.”
Los correos electrónicos contenían el siguiente texto:

¡¡¡Yeltsin se despertó en su ataúd!!!
¡¡¡Yeltsin NO ESTÁ MUERTO!!!
¡Cayó en estado de coma! ¡¡¡Todos están desconcertados!!!
{Traducción del ruso}

Además, a cada texto le seguía un enlace invitando a conocer los detalles. Por suerte, estos enlaces no dirigían a los usuarios a sitios con programas nocivos.

Los spammers son conocidos por usar temas de la actualidad para hacer que los usuarios ingenuos les respondan. Las muertes o supuestas muertes de personajes famosos son un tema muy popular.

Los enlaces del spam de Yeltsin llevaban a un foro donde los usuarios podían hacer preguntas a los doctores. Muchas de las víctimas dejaron mensajes mostrando su enojo, pero los moderadores no han respondido hasta la fecha. ¿Cuál es el objetivo de este ataque spam? El sitio al que se dirigía a las víctimas ha sido creado por los mismos usuarios, por lo que, a no ser que uno de los patrocinadores haya pagado para que lo visite más gente, no parece haber ninguna intención detrás de este ataque.

De todos modos, los spammers han demostrado una vez más su falta de respeto a los valores humanos.

Fuente: http://www.viruslist.com/sp/weblog?weblogid=208187361

Seguir leyendo...

Ejecución de código a través de productos Zone Alarm

Se han detectado varias vulnerabilidades en productos Check Point Zone Alarm que podrían ser aprovechadas por atacantes, para comprometer un sistema vulnerable.

El fallo está localizado en los IOCTL handlers 0x22208F y 0x2220CF
dentro del driver srescan.sys. Los parámetros Irp no son correctamente
verificados, por lo que un atacante podría utilizar estos IOCTL para
realizar una escritura en memoria. Para IOCTL 0x2220CF, el atacante
podría introducir el valor constante 0x30000, mientras que para IOCTL
0x22208F podría escribir el contenido del buffer devuelto por
ZwQuerySystemInformation.

Esta vulnerabilidad podría provocar:

* La ejecución de código dentro del contexto del kernel.
* Gracias a que los mecanismos de control de acceso configurados por
defecto permiten que cuentas restringidas puedan acceder a los drivers
del dispositivo afectado, un atacante podría conseguir una escalada de
privilegios al nivel de SYSTEM.

Se ha confirmado la existencia de estas vulnerabilidades para la versión
5.0.63.0 de srescan.sys instalado con la versión Zone Alarm Free, pero
no se descarta que otras versiones puedan estar también afectadas.

Se recomienda cambiar la configuración de los mecanismos de control de acceso así como actualizar a la versión 5.0.156.0 o superior de ZoneAlarm Spyware Removal Engine desde:
http://www.zonealarm.com/store/content/catalog/download_buy.jsp?dc=12bms&ctry=US&lang=en

iDefense Labs:
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=517

Reversemode:
http://www.reversemode.com/index.php?option=com_remository&Itemid=2&func=fileinfo&id=48

Fuente: http://www.hispasec.com/unaaldia/3107/

Seguir leyendo...

Faltan 2 dias para la Cruzada Anti-Fraude de Segu-Info

Antes del inicio de la Cruzada, importantes medios de Internet ya se han hecho eco de nuestra Cruzada Naranja contra el Fraude en Internet.

Agradecemos, por este importante apoyo a todos los interesados y voluntarios que han colaborado y a los medios que nos han mencionado. Esto no hace más que reforzar nuestro interés por seguir siendo la mayor, y más confiable, fuente de información sobre seguridad en español.

Sólo faltan dos días para la Primera Naranja. Te esperamos aquí para recibirla.

cfb

Seguir leyendo...

Una página de Microsoft modificada por defacers

¿Puede ser Microsoft atacada por un defacer? Sí, todos podemos, si los servidores no son correctamente administrados o los datos no son correctamente validados al ser ingresados, o...

Este último caso (de falta de validación) fue el utilizado para modificar una página de Microsoft. En la siguiente imágen puede verse una página normal de ingreso de datos.
En la misma, el atacante introdujo, mediante SQL Injection (supongo) datos especialmente manipulados. Al ser grabados en la base de datos esta información produce que la página sea mostrada con algunas pequeñas alteraciones.

Si se analiza el HTML puede encontrarse el siguiente código en el cuerpo:

Como puede verse, la seguridad es importante en todos los niveles. La gente de Microsoft, olvidó validar y hasta ahora han tenido "suerte" ya que la página sólo ha sido utilizada para mostrar una foto. Se imaginan si se utilizara para propagar malware mediante correos masivo.
¿Quién sospecharía de una URL de Microsoft?

También queda averiguar el método utilizado para insertar (vía SQL) ese "último registro" que permite ver la imagen, como si fuera parte del combo de las compañias.

Gracias a Cg por el aviso y el permiso de publicación.

Actualización 29-04-07: SANS y elladodelmal se hacen eco de la noticia.
SANS confirma que el equipo de desarrollo del código vulnerable de la página atacada era de una tercera empresa.

cfb

Seguir leyendo...

Publicado el Boletín 87 de Segu-Info

Boletín 87 - 28/04/2007

Los temas tratados son:

1. USB Hack
2. IEEE y los Standares 802.X (y II)
3. Semana de la Seguridad (la de Microsoft)

Leer Boletín

cfb

Seguir leyendo...

El Parlamento Europeo excluye las actividades no lucrativas de las sanciones contra la piratería

La Eurocámara aprobó en primera lectura la Directiva del Parlamento Europeo y del Consejo relativa a las medidas penales destinadas a garantizar el respeto de los derechos de propiedad intelectual, que introduce por primera vez, en el contexto comunitario, sanciones penales para combatir los delitos contra la propiedad intelectual, como la piratería y las falsificaciones. El Parlamento Europeo respalda la propuesta, que ha generado reticencias en varios Estados miembros, pero pide precisar el ámbito de aplicación y excluir las patentes.

Los diputados han abogado por incluir en la directiva solamente aquellas infracciones cometidas a escala comercial con una finalidad económica. Por consiguiente, se excluyen las infracciones individuales con fines personales y no lucrativos, como la descarga de música desde ordenadores personales (enmienda 13, letra b).
Al aprobar el texto, la Eurocámara ha introducido enmiendas que excluyen de su campo de aplicación los conflictos empresariales sobre patentes industriales, al entender que deben dirimirse por lo civil y no a través del código penal.

Los grupos PPE y Socialista consideraron que esta puntualización basta para prevenir la posibilidad de que la norma sirva para decidir penas de cárcel contra usuarios de Internet que descargan películas o música desde programas como el Emule, riesgo del que habían advertido organizaciones de consumidores.

Los diputados consideran que es preciso limitar de manera muy clara el ámbito de aplicación de la directiva y proponen que se excluyan las infracciones relacionadas con los derechos de patente (enmiendas 1, 9 y 11). El pleno alega que “no existen pruebas que certifiquen la urgente necesidad de intervenir mediante la imposición de sanciones penales, puesto que muchos Estados miembros ya protegen las patentes de esta forma (imponiendo multas y penas privativas de libertad)“. Entre ellos figura España, donde el código penal contempla penas de prisión de 6 meses a 2 años y multas de 6 a 24 meses por infringir las normas relacionadas con los derechos de patente.

El Parlamento Europeo ha incluido en el texto una definición de lo que se consideran derechos de propiedad intelectual y que, por consiguiente, entran en el ámbito de aplicación de la directiva. Estos son, según la enmienda al artículo 2:

• derechos de autor
• derechos relacionados con los derechos de autor
• derecho sui generis del creador de un banco de datos
• derechos de los creadores de topografías de productos semiconductores
• derechos relativos a las marcas, siempre que su protección al amparo del derecho penal no afecte a las normas del mercado libre y a las actividades de investigación
• derechos relativos a los diseños y modelos
• indicaciones geográficas
• nombres comerciales, en caso de estar protegidos por derechos de exclusiva en la legislación nacional
• derechos previstos a escala comunitaria, relativos a las mercancías a que se refiere el artículo 2, apartado 1, letras a) y b) del Reglamento (CE) n° 1383/2003 del Consejo, de 22 de julio de 2003 relativo a la intervención de las autoridades aduaneras en los casos de mercancías sospechosas de vulnerar determinados derechos de propiedad intelectual y a las medidas que deben tomarse respecto de las mercancías que vulneren esos derechos (enmienda 13, letra a).

La directiva establece una pena máxima de al menos 300.000 euros y/o 4 años de prisión para aquellos casos en los que una organización criminal haya infringido gravemente la ley. Se aplicarán las mismas penas para aquellos delitos que conlleven un riesgo para la salud o la seguridad. En el caso de las infracciones menos graves, las penas máximas incluyen multas de al menos 100.000 euros. En algunos casos, la sanción puede consistir en la destrucción del material falsificado.

El siguiente paso de este Proyecto de Directiva es conseguir ahora el acuerdo del Consejo de la Unión Europea.

Fuente:
http://sociedaddelainformacion.wordpress.com/2007/04/28/el-parlamento-europeo-excluye-las-actividades-no-lucrativas-de-las-sanciones-contra-la-pirateria/
http://www.lavanguardia.es/gen/20070425/51335942922/noticias/el-parlamento-europeo-excluye-las-actividades-no-lucrativas-de-las-sanciones-contra-la-pirateria-ciu-ue-fiscalia-internet-francia-ignasi-guardans-ppe.html
http://www.filmica.com/david_bravo/archivos/005799.html
http://www.bufetalmeida.com/191/la-enmienda-numero-13.html
http://www.kriptopolis.org/parlamento-europeo-compartir-es-legal

Seguir leyendo...

Microsoft lanzará su ForeFront el próximo mes

Su solución de seguridad para usuarios profesionales, en la que Microsoft lleva trabajando desde 2003, hará finalmente su debut en el mercado el próximo mes de mayo, tal y como ha confirmado el propio CEO de la compañía, Steve Ballmer.

Ballmer confirmaba este próximo lanzamiento en un evento tecnológico que se ha celebrado cerca de Ámsterdam (Holanda). Según el CEO de Microsoft, Forefront Client Security, el antivirus y antispyware para ordenadores de usuarios profesionales, estará disponible “el próximo mes”. Esta solución ha estado en fase beta, para pruebas, durante más de un año y la última fecha que Microsoft se había marcado como objetivo de disponibilidad era finales de junio.

Ballmer ha calificado el producto (que es una combinación de soluciones adquiridas de las compras de otras compañías así como del desarrollo propio hecho por Microsoft) como una seguridad “todo en uno” para los PC en entornos profesionales.

Forefront Client Security ha estado en desarrollo durante bastante tiempo. Está basado en el software que Microsoft compró en 2003, tras hacerse con el control del fabricante de antivirus GeCAD. También incluye tecnología contra programas espías que la compañía incorporó con la compra, en 2004, de Giant Company Software.

En el discurso pronunciado en este evento tecnológico, Ballmer reconocía que la seguridad es una prioridad de Microsoft en el desarrollo de nuevos y existentes productos desde hace sólo cinco años. “Hará unos cinco años, tuvimos una llamada de atención: los aspectos relacionados con la seguridad empezaron a cobrar más importante en internet y en nuestras soluciones”, señalaba para añadir que, hasta entonces, Microsoft “había construido y desarrollado productos en un mundo anterior a internet”.

Una vez más, este responsable del fabricante aprovechaba el evento para insistir en que Microsoft continúa esforzándose en hacer que sus productos sean más seguros desde el propio corazón de las aplicaciones, aunque sostiene que siempre será necesaria una seguridad adicional para que la seguridad de los sistemas tecnológicos sea más consistente. Es por eso por lo que la compañía ha optado por desarrollar su propia línea de seguridad.

Fuente:
http://www.consoft.es/noticias/news_text.asp?id=36686
http://www.idg.es/pcworldtech/mostrarNoticia.asp?id=48451&seccion=seguridad

Seguir leyendo...

Ataques concretos usando Office como entrada

El número de ataques a objetivos específicos, utilizando archivos de Office ha ido en aumento. La intención es lograr acceso a corporaciones u organismos para el robo de información confidencial.

En los comienzos de 2006, los expertos detectaron que la frecuencia de estos intentos era de uno o dos a la semana. Desde esa fecha hasta ahora ha aumentado progresivamente cuando se habla de un objetivo específico.

Para lograr el éxito en esta acometida, los atacantes se aprovechan de los fallos existentes en el paquete Office de la compañía Microsoft. Los empleados inocentes reciben un correo electrónico con un archivo adjunto de Word, Excel o PowerPoint, el cual se les incita a abrir. Al hacer doble clic sobre el documento malformado, es ejecutado un código malicioso sin que el usuario lo perciba. El mismo ha sacado provecho una vulnerabilidad sin solucionar en Word, para poder ingresar en el sistema. La máquina afectada ha quedado bajo el control remoto de otra persona, quién puede incursionar la red interna de la empresa utilizándola como base.

Muchas veces los agujeros de seguridad no son descubiertos hasta semanas o meses después que el sistema está comprometido. Las vulnerabilidades de Office muchas veces son publicadas semanas más tarde, a diferencia de los exploits para las mismas.

Al tener acceso a la red de la empresa el atacante podrá lograr sus objetivos fácilmente, asi como instalar programas o debilitar las defensas internas para ataques posteriores.

El motivo para conseguir datos confidenciales, es posible que haya sido encomendado por una tercera persona o compañía. Las empresas no son elegidas al azar, los atacantes saben quienes tienen datos importantes y por consiguiente son impactadas metódicamente hasta conseguir lo que buscan.

El gran problema que reside en la actualidad y del cual toman ventaja con esta técnica, es la falta de conciencia existente con respecto a los fallos en Office y sus actualizaciones.

Un problema que siempre estará presente, es que un empleado ingenuo o curioso abra archivos no solicitados recibidos por correo electrónico. Esto puede ser fácilmente solucionado aplicando una política interna de seguridad a todo el personal.

Cuando una vulnerabilidad es descubierta y no existe parche que la corrija o forma de protegerse de alguna manera, las posibilidades de hacer algo son mínimas. Pero si existe una actualización que soluciona el problema y protege contra el agujero de seguridad, es imperativa su instalación.

La clave para evitar que estos ataques sean exitosos es mantener al día las actualizaciones de Office en la empresa.

Igualmente es muy recomendable extremar precauciones cuando se reciben adjuntos por correo electrónico, con cualquier extensión perteneciente a Word, Excel o PowerPoint. El uso de antivirus en cada terminal de red es altamente sugerido.

A diferencia de Microsoft que publica sus actualizaciones en forma lenta pero segura, los cibercriminales son más listos y rápidos al desenfundar sus archivos maliciosos.

Fuente: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=791

Seguir leyendo...

IE 7 y Firefox propensos a ataques en autenticación

Por Angela Ruiz
[email protected]

Firefox e Internet Explorer son propensos a un ataque del tipo "Http Request Splitting", cuando ocurre una autenticación codificada (Digest Authentication). Esto es debido a una "Digest Authentication Request Splitting", o división de respuesta en una autenticación codificada.

La autenticación codificada es una manera de encriptar una contraseña, antes de enviarla por Internet, considerada más segura que una autenticación básica a la hora de solicitar y enviar credenciales.

Básicamente, la primera vez que el cliente solicita un documento al servidor, ningún encabezamiento de autorización es enviado, y una respuesta simple es recibida. Luego, el cliente pregunta al usuario por su nombre y contraseña, enviando la respuesta al servidor con el cabezal de autorización.

Hay dos maneras de enviar las credenciales (utilizando HTML y JavaScript), y ambos navegadores son vulnerables a este tipo de ataque.

Un ataque del tipo "Http Request Splitting" o división de respuesta HTTP, permite al atacante enviar una única petición HTTP al servidor, de tal manera que obligue a éste último a formar una cadena de salida que puede ser interpretada como dos respuestas HTTP. El atacante puede controlar totalmente la segunda de esas salidas.

A partir de allí, es posible la realización de diferentes tipos de ataques o el uso de ciertas técnicas de intrusión.

Por ejemplo, es posible lanzar ataques del tipo Cross-site Scripting (XSS) (script que redirecciona de un dominio a otro la solicitud). También se puede envenenar la caché web (alterar su contenido), lo que permite la desfiguración de un sitio y ataques a otros usuarios que de forma temporal compartan la caché.

Un atacante también podría secuestrar páginas con la información del usuario (robo de identidad), o inclusive robar la caché del navegador, suplantando un recurso
específico al que accede el usuario.

El robo de cookies de sesión o su modificación, también puede ser posible mediante algunos de esos ataques.

Varias técnicas pueden ser combinadas para llevar a cabo con éxito estos ataques.

Software vulnerable:
- Internet Explorer 7.0.5730.11
- Mozilla Firefox 2.0.0.3

Versiones anteriores también podrían ser vulnerables. Ha sido probado en Firefox 2.0.0.3 bajo Windows XP SP2 y Ubuntu 6.06, y en Internet Explorer 7.0.5730.11 bajo Windows XP SP2.

El navegador Safari (desarrollado por Apple para su sistema operativo Mac OS X) también es vulnerable.

Más información:
IE 7 and Firefox Browsers Digest Authentication Request Splitting
http://www.wisec.it/vulns.php?id=11

Información adicional:

HTTP REQUEST SMUGGLING (archivo PDF)
http://www.cgisecurity.com/lib/HTTP-Request-Smuggling.pdf

Forging HTTP request headers with Flash
http://www.webappsec.org/lists/websecurity/archive/2006-07/msg00069.html

Rapid7 Advisory R7-0026
HTTP Header Injection Vulnerabilities in the Flash Player Plugin
http://download2.rapid7.com/r7-0026/

Subverting Ajax (archivo PDF)
http://www.wisec.it/docs.php?id=4

HTTP Authentication: Basic and Digest Access Authentication
http://www.ietf.org/rfc/rfc2617.txt

Créditos:
Stefano di Paola

Fuente: http://www.vsantivirus.com/vul-request-splitting.htm

Seguir leyendo...

Rutkowska, ahora empresaria

La famosa "hacker" polaca se lanza ahora a la aventura empresarial con la fundación de su propia start-up de consultoría, investigación y formación en seguridad informática: Invisible Things Lab (Laboratorio de Cosas Invisibles, en español).

Su presentación pública tendrá lugar en el próximo Black Hat, donde junto a su colega Alex Tereshkin, Rutkowska impartirá un cursillo de un par de días de duración sobre ocultación de malware, incluyendo nuevas formas de penetrar en el kernel de Windows Vista: "Presentaremos algunas nuevas formas de penetrar en el kernel de las últimas versiones de Vista x64, puesto que Microsoft ha reparado el vector de ataque que mostré en Black Hat el año pasado". Según parece, estas nuevas formas son sencillas y más fáciles de aprovechar por los fabricantes de malware.

Pero si alguien piensa que Rutkowska sólo tiene a Windows en su punto de mira, se equivoca...

"La protección eficiente del kernel, en un sistema operativo de carácter general como Windows, es simplemente imposible de implementar hoy en día, y probablemente continúe siéndolo en los próximos cinco a diez años", dijo Rutkowska.

Pero según la polaca las técnicas de ataque no representan sólo un problema para Microsoft, ya que pueden ser también utilizadas contra otros sistemas operativos, como Linux o BSD.

Fuente:
http://www.kriptopolis.org/rutkowska-empresaria
http://www.darkreading.com/document.asp?doc_id=122719
http://www.darkreading.com/document.asp?doc_id=119576

Seguir leyendo...

Informe sobre Fraude Online

S21sec ha publicado un estudio, en colaboración con el Instituto Nacional de Tecnologías de la Comunicación, INTECO, sobre las amenazas informáticas relacionadas con acciones fraudulentas en la Red durante el año 2006, recoge los casos detectados y solucionados por sus servicios antifraude, en las entidades bancarias españolas, durante 2006.

Dentro del Informe se publica un Decálogo de Consejos para las organizaciones:

1. Sea consciente de que la seguridad es un aspecto crítico para su negocio. En nuestros días, el valor fundamental de una compañía son los activos intangibles. Un fallo en el funcionamiento de los sistemas informáticos de la compañía o una pérdida o robo de información pueden suponer un tiempo de inactividad –con las consiguientes pérdidas económicas- o, incluso, la desaparición para un negocio. Además, en determinados sectores, como la banca y el comercio electrónico, es necesario generar confianza en los consumidores y usuarios actuales y potenciales, y sólo un adecuado nivel de seguridad garantiza la credibilidad del negocio.
2. Cuente los recursos destinados a proteger la seguridad de sus sistemas de información como una inversión, no como un gasto. Se trata de mantener la seguridad de un aspecto crítico para su negocio. Por tanto, debe abordarlo como un aspecto global, que debe impregnar todas y cada una de las rutinas y procesos que tengan lugar en la organización.
3. Conozca sus debilidades. Encargue a profesionales especializados un estudio de vulnerabilidades de sus sistemas de información, para conocer en detalle los riesgos a los que está expuesta su organización, tanto externos (hackers, troyanos…) como internos (mal uso de la información por parte de empleados o acceso de éstos a información confidencial).
4. Actualice el software, antivirus y firewalls de su empresa. Aunque no es suficiente para alcanzar un grado óptimo de seguridad, mantener al día los programas informáticos con parches de seguridad y actualizaciones, antivirus y cortafuegos de la empresa ayudará a mantener a raya a virus troyanos y otros malwares.
5. Vigile los accesos y el tráfico de información de sus sistemas informáticos. Hoy día, los profesionales especializados pueden monitorizar permanentemente las entradas y salidas a los sistemas de información de una organización y todo el tráfico que se produce dentro de los mismos. Relacionando todos esos datos entre sí, se pueden detectar intentos de acceso fraudulento o extracciones anómalas de información y comprobar si efectivamente se trata de un intento de delito, lo que permite, en caso de que así sea, tomar las medidas oportunas.
6. Manténgase atento a los movimientos sospechosos que puedan producirse en su entorno. Los servicios de vigilancia digital permiten detectar el registro de dominios o sitios web que intenten suplantar el nombre de la organización, copiar su home o utilizar fraudulentamente su marca. Atajar estos movimientos a tiempo puede evitar que la organización sea víctima deun futuro fraude o vea seriamente dañada su credibilidad.
7. Establezca una política clara de acceso a la información. Ya sea a través de un sistema de claves o de cualquier otro, defina claramente quién puede acceder a cada información y en qué condiciones. De esta forma, podrá controlar mejor la seguridad de sus activos digitales.
8. Ponga en marcha un plan de formación interna en materia de seguridad. Todos los miembros de la organización, así como clientes, proveedores y todo aquel que tenga acceso a los sistemas de información deben recibir formación en materia de seguridad e implicarse en la tarea de mantenerla, desde el director general hasta el último trabajador.
9. Deje la seguridad de la organización en manos de profesionales. Sólo los expertos podrán analizar sus necesidades y ofrecerle lo que más le conviene, protegiendo sus sistemas de información y liberando al personal interno de esa tarea.
10. Instaure una verdadera cultura de la seguridad en su organización. Implíquese, implique a todos los miembros de su equipo, trate la seguridad como un aspecto estratégico para su negocio y déjela en manos de expertos. Si, a pesar de todo, su empresa es víctima de un delito, póngalo en conocimiento de los profesionales y de las autoridades y ellos actuarán para minimizar en lo posible el impacto de ese ataque.

Fuente: http://sociedaddelainformacion.wordpress.com/2007/04/28/informe-sobre-fraude-online/
http://www.inteco.es/frontinteco/files/frontIntecoAction.do?action=getFile&fileID=15350

Seguir leyendo...

Algoritmos HASH: Introducción (I)

Este artículo es una colaboración enviada por LordHASH

En primer lugar, trataremos de abordar de forma sencilla este concepto para aquellos que no lo conozcan. Podemos decir que un HASH no es más que un número resumen. De hecho, en muchos sitios web podéis encontrar expresiones como “checksum MD5″, lo que literalmente se traduce por “suma de comprobación”. Así, el concepto no es complicado, pero sí su implementación. Pongamos un ejemplo: supongamos que tenemos un fichero cualquiera. Pues bien, si consideramos dicho fichero como un flujo de bits y le aplicamos un algoritmo de HASH lo que obtenemos es otro conjunto de bits (de longitud fija y que depende del número de bits de salida del algoritmo o función que utilicemos) que depende bit a bit del contenido del flujo original de bits que sirvió como entrada al algoritmo.
Además, cumplen las siguientes propiedades:

• Todos los HASHes generados con una función de hash tienen el mismo tamaño, sea cual sea el mensaje utilizado como entrada.
• Dado un mensaje, es fácil y rápido mediante un ordenador calcular su HASH.
• Es imposible reconstruir el mensaje original a partir de su HASH.
• Es imposible generar un mensaje con un HASH determinado.

Es decir, un algoritmo de HASH no es un algoritmo de encriptación, aunque sí se utiliza en esquemas de cifrado, como algoritmos de cifrado asimétrico (por ejemplo en el RSA).

Ahora bien, tener una función de estas características puede tener muchas aplicaciones. Algunas de ellas pueden ser las siguientes:

• Comprobación de integridad de ficheros: Supongamos que queremos transmitir un fichero a un amigo. Si antes de realizar este envío calculamos la función HASH del fichero, para nuestro amigo del otro extremo es posible verificar la integridad del fichero aplicando el mismo algoritmo al archivo que recibe. Si ambos coinciden, podemos asegurar que el envío ha sido satisfactorio. Ésta es una aplicación real que se utiliza, por ejemplo, para comprobar la integridad de muchos paquetes que se descargan en distribuciones del sistema operativo GNU/Linux.
• Seguridad en procesos de identificación en sistemas: Los procesos de identificación (Login+Password) se ven reforzados por estos algoritmos. Se utilizan de la siguiente forma: cuando un usuario accede a su computadora debe introducir su nombre de usuario y su password. Pues bien, si el sistema operativo no registra estos datos como “texto claro”, si no que registra el resultado de aplicarles una función HASH, en el caso de que un usuario malicioso logre acceder a nuestro archivo de registros no conseguirá (a menos que el algoritmo utilizado sea malo o disponga de una supercomputadora) revertir el contenido de dicho registro, y por tanto no puede acceder a nuestro sistema. Esta misma idea se aplica en identificación de usuarios en muchas webs, con la diferencia de que para que este esquema sea seguro debe incluir información adicional y “aleatoria”, como marcas de tiempo y redundancias.
• Firma digital: Estos algoritmos se utilizan en esquemas de firma digital para verificar la integridad de la información enviada por el canal de comunicaciones. Algoritmos de cifrado asimétrico, como RSA por ejemplo, realizan lo siguiente: calculan la función HASH del contenido del mensaje que se va a enviar y luego se firma dicho checksum con la clave privada del emisor. Así se asegura la integridad de la información y el “no repudio”.

En el próximo post veremos algo más sobre ataques a dos algoritmos HASH: MD5 ySHA-1.

Ir a Algoritmos HASH (II): Atacando MD5 y SHA-1

Fuente: http://gaussianos.com/algoritmos-hash-i-introduccion/

Seguir leyendo...

Algoritmos HASH: Atacando MD5 y SHA-1 (II)

Este artículo es una colaboración enviada por LordHASH

Algunos de los algoritmos de HASH más utilizados, que son sobre los que trabajaremos, son los siguientes:

• MD5 (Message-Digest Algorithm 5 o Algoritmo de Firma de Mensajes 5): Desarrollado por Ron Rivest, ha sido hasta los últimos años el algoritmo hash más usado. Procesa mensajes de una longitud arbitraria en bloques de 512 bits generando un compendio de 128 bits. Debido a la capacidad de procesamiento actual esos 128 bits son insuficientes, además de que una serie de ataques criptoanalíticos han puesto de manifiesto algunas vulnerabilidades del algoritmo. Puede ser útil para comprobar la integridad de un fichero tras una descarga, por ejemplo, pero ya no es aceptable desde el punto de vista del criptoanálisis.
• SHA-1 (Secure Hash Algorithm 1 o Algorimo de Hash Seguro 1): El SHA-1 toma como entrada un mensaje de longitud máxima 2⁶⁴ bits (más de dos mil millones de Gigabytes) y produce como salida un resumen de 160 bits. Este número es mayor que el que se utilizaba en el algoritmo SHA original, 128 bits. Ya existen nuevas versiones de SHA que trabajan con resúmenes de 224,256,384 e incluso 512 bits.

En realidad, lo seguros o inseguros que estos algoritmos sean no depende de los conocimientos informáticos o telemáticos que uno tenga, sino de sus conocimientos matemáticos. Nuestra intención es demostrar por dónde cojean los algoritmos de HASH, la dificultad computacional que presentan, y qué soluciones se dan a los posibles ataques que puedan sufrir por parte de individuos malintencionados.

Desde el año 2004 aproximadamente, cuando saltaron las primeras noticias escandalosas sobre la ruptura de MD5, la seguridad que ofrecen los algoritmos de HASH a nuestros esquemas de cifrado ha sido una cuestión que se ha puesto en entredicho. ¿Qué seguridad ofrecen estos algoritmos? ¿Resulta computacionalmente complejo romper uno de estos algoritmos? ¿Qué solución se debe adoptar? Intentaremos resolver estas cuestiones.

Intentemos dar una descripción algo más matemática de lo que es una función HASH. Supongamos que tenemos un mensaje a, al que aplicamos una función resumen a la que llamaremos h. Decimos entonces que el resultado de esta operación, al que llamaremos b es el HASH de a. Es decir:

h(a)=b

Esta función debe ser sencilla de realizar para un computador, pero debe ser computacionalmente imposible realizar la operación inversa, al menos para usuarios normales.

Además, esta función tiene otra característica: el tamaño de la entrada no es de longitud fija, puede ser de longitud variable. Esto tiene la siguiente consecuencia, que no demostraremos matemáticamente, pero que asumiremos por estar razonado en otros artículos publicados en Internet (al final se indican): es posible que dos mensajes de entrada a produzcan el mismo mensaje de salida b. Es decir, es posible encontrar un mensaje c, tal que:

h(c)=b

Sin embargo, encontrar ese mensaje debe ser, al igual que la particularidad antes mencionada, muy complejo desde el punto de vista computacional. Para los algoritmos de HASH esto es lo que se conoce como colisión: que dos mensajes de entrada produzcan el mismo mensaje de salida.

Así, a priori, podemos establecer dos posibles vulnerabilidades de las funciones HASH:

• Que sea posible realizar la operación:

  h^-1(b)=a

  Habitualmente, a la operación de invertir la función HASH comprobando todas las posibilidades para los bits de salida se le llama ataque de fuerza bruta. Esto es lo que debe ser computacionalmente impracticable. Supondría aplicar la función HASH 2ⁿ veces hasta encontrar la coincidencia (n es el número de bits de salida de la función).

• Que se hallen colisiones:

  h(a)=b y h(c)=b, a distinto de c

  Lo que antes hemos denominado colisión.

Estas dos posibles debilidades dan lugar a cuatro tipos de ataques:

• Ataque Tipo 1: El atacante es capaz de encontrar dos mensajes al azar que colisionan pero es incapaz de hacerlo de forma sistemática. Si es capaz de dar sólo con dos mensajes que provocan colisión, esta no es razón suficiente para tildar el algoritmo de ineficiente. Índice de peligrosidad: *
• Ataque Tipo 2: El atacante es capaz de generar dos mensajes distintos de forma que sus HASH colisionen, pero sin saber a priori qué hash resultará. Es decir, el atacante no podría generar “queriendo” el HASH que necesite para fines maliciosos. Índice de peligrosidad: **
• Ataque Tipo 3: El atacante es capaz de construir un mensaje sin sentido de forma que su HASH colisione con el de un mensaje con sentido. Si éste es el caso, el agente malicioso puede atacar algoritmos de encriptación asimétricos con firma digital, haciendo que se firmen mensajes sin sentido, y que el destinatario los acepte como fidedignos. Índice de peligrosidad: ***
• Ataque Tipo 4: El atacante es capaz de crear un segundo mensaje falso que tiene sentido y cuyo hash colisiona con el del mensaje verdadero. En este caso, el atacante puede actuar con total impunidad, puede falsificar certificados, firmar mensajes…El resultado sería desastroso. Índice de peligrosidad: ****.

El problema entonces es el siguiente: ¿cómo de difícil es encontrar una solución? ¿Qué ataques reales son practicables? ¿Qué se gana incrementando el número de bits de salida del algoritmo?

En primer lugar, responderemos a la última pregunta. Si aumentamos el número de bits de salida del algoritmo, el ataque de fuerza bruta será más impracticable y también lo será encontrar los mensajes que colisionen, pues teóricamente se cumple que para confiar en que podemos encontrar dos mensajes que colisionen no hay que realizar 2ⁿ operaciones, si no sólo 2^n/2.

Realicemos algunos cálculos para realizar ataques de fuerza bruta:

• Para una clave de 12 dígitos, escrita con un teclado con 97 caracteres (base 97), habría que realizar (esto no tiene nada que ver con los algoritmos de HASH):

  97¹² = 693.842.360.995.438.000.295.041 comprobaciones.

• Para MD5, la salida es de 128 bits, sería necesario realizar:

  2¹²⁸=3′402823669 * 10³⁸ operaciones.

Trabajemos ahora con los ataques basados en búsqueda de colisiones:

• Para MD5, la salida es de 128 bits, luego hay que operar sobre la mitad de bits, y sería necesario realizar:

  2⁶⁴=18.446.744.073.709.551.616 operaciones.

• Para el algoritmo SHA 1, cuya salida es de 160 bits:

  2⁸⁰=1.208.925.819.614.629.174.706.176 operaciones.

  Curiosidad: 1.000.000 de ordenadores capaces de procesar en 1 µs cada operación tardarían más de 38.000 años en las 2⁸⁰ operaciones.

Y para los más desconfiados e incluso paranoicos: ¿qué hay de las supercomputadoras y de la gente que sí dispone de los medios necesarios? Cuando saltaron las primeras alarmas sobre estos algoritmos, hace unos dos años, las cifras eran las siguientes:

• Para romper el SHA-0 completo se ha requerido un supercomputador de BULL de 256 procesadores durante unos 9 años de proceso, pero al supercomputador que está instalando IBM en la UPC (Barcelona) sólo le costaría del orden de 1 año.
• Otro grupo de investigadores, Wang, Feng, Lai, y Yu han reportado haberlo conseguido con una complejidad aproximadamente 2000 veces menor (240 en vez de 251). Esta reducción equivaldría a una necesidad de cálculo de algo menos de 1 día, si la relación fuese lineal, pero los mismos investigadores han reportado necesitar sólo 1 día con un IBM P690 en cluster, para romper el MD5, que tiene una complejidad equivalente.

Por tanto, lo habitual no es que nos ataque desde uno de estos grandes usuarios (tienen cosas más interesantes que hacer, diría yo…) si no que nos ataque un cracker o similares (ACLARACIÓN: No incluyamos a los señores programadores en esto, los hackers. Gracias a Richard Stallman).

Lo habitual es que este tipo de usuarios realicen ataques basados en diccionarios, como la aplicación para Ñu/Linux John the Ripper. Este tipo de aplicaciones tiene una base de datos con claves comunes, que prueban sobre los sistemas a los que queremos acceder (por ejemplo Sistemas basados en UNIX donde se almacenan los resúmenes HASH de el nombre de usuario y su clave para autenticar). Ante esto sólo hay una solución: EVITAR LAS PASSWORDS ABSURDAS. No sirve (marta -tkm ni maria-secreto) ok??

Concluyendo, dependiendo de su nivel de paranoia críptica y de la aplicación que estén utilizando…escojan su algoritmo de HASH, pero no acepten menos de SHA-1. Cuando un algoritmo empieza a presentar vulnerabilidades no tarda mucho en ser aniquilado, así que a algunos de estos les queda poco tiempo de vida.

Fuentes:

• http://www.infosec.sdu.edu.cn/paper/md5-attack.pdf
• http://www.md5database.net/
• http://www.eumed.net/cursecon/ecoinet/seguridad/resumenes.htm

Ir a Algoritmos HASH (I): Introducción

Fuente: http://gaussianos.com/algoritmos-hash-ii-atacando-md5-y-sha-1/

Seguir leyendo...

Las Pymes españolas ignoran el impacto del uso de software ilegal en sus negocios

A pesar de reconocer que las Tecnologías de la Información y la Comunicación son vitales para su actividad, las Pymes europeas contraen un grave riesgo por el hecho de no ser conscientes de la amenaza que el software sin licencia supone para su negocio, como demuestra un estudio independiente promovido por la Business Software Alliance y realizado por la consultora Gfk, que abarca y compara nueve países europeos: Alemania, España, Francia, Holanda, Hungría, Italia, Polonia, Reino Unido y Rusia.

Según el estudio, el 62% de los directivos de empresas españolas considera que las nuevas tecnologías son un factor clave para su éxito y el 65% entienden que para ello también es importante tener el software bajo licencia, porcentajes que se sitúan aproximadamente en la media de los países encuestados.

Sin embargo, sólo el 44% de las empresas españolas confían en que realmente su software esté completamente bajo licencia, porcentaje que sólo se repite en Francia y sólo es superior al de Rusia. Sólo el 9% están familiarizados con las herramientas de gestión de sus activos de software y el 40% aseguran que han oído hablar de ellas. En este parámetro de medida, sólo Alemania demuestra estar a un nivel inferior al de España.

Preguntados los directivos de empresas europeas acerca de los potenciales riesgos de negocio vinculados a las tecnologías, la pérdida de datos resultó ser la más significativa, seguida de la entrada de virus, trojanos y spyware, que resulta ser la que más preocupa a las empresas españolas en particular. La violación del copyright del software aparece como la última en la lista de preocupaciones en todos los países, incluso a pesar de que el uso de programas fraudulentos provoca que el negocio sea más vulnerable a los riesgos antes mencionados.

Preguntadas directamente por los riesgos que creen que les puede suponer el hecho de usar software ilegal, el 26% por ciento de las empresas españolas considera que no hay ningún riesgo y el 25% alude a los fallos del software como el principal temor. Estableciendo el promedio de las empresas de todos los países objeto del estudio, los principales riesgos son la posibilidad de que se llevan a cabo procedimientos criminales (23%) y las multas económicas (21%), mientras que son un 20% las que no ven ningún riesgo.

Por otro lado, las empresas españolas, en general, efectúan menos procesos de control del estado de sus licencias de software que las empresas de los otros países estudiados.

“El uso de software sin licencia supone serios riesgos para las empresas, incluidos riesgos operacionales y de índole técnica que no tienen nada que ver con el hecho de ser perseguido legalmente o sufrir procesos que conlleven multas económicas”, ha declarado Luis Frutos, presidente del Comité Español de BSA, quien añade que “el software fraudulento ha dado pruebas de conllevar un muy alto riesgo de recibir virus y código malicioso; carece del soporte que los fabricantes ofrecen, lo que puede repercutir en el negocio cuando ocurran problemas, aparte de que no recibirán actualizaciones, en tanto que las empresas de su competencia que actúen de forma legal van a disponer siempre de la última versión de cada producto, lo que supondrá para ellas una ventaja competitiva muy importante”.

Fuente: http://www.cibersur.com/modules.php?name=News&file=article&sid=8113

Seguir leyendo...

Norma ISO/IEC 27001:2005 versus Norma ISO/IEC 9001:2000

Por Domingo F. Donadello
Coordinador de Certificación de Sistemas IT – IRAM, Argentina.
Secretario Académico Departamento de Ingeniería e Investigaciones Tecnológicas de la Universidad Nacional de La Matanza.

La Norma ISO 27001 establece un Modelo para implementar, operar, monitorear, revisar, mantener y mejorar un ISMS (Information Security Management System).

La Norma ISO 9001 define los requisitos para un Sistema de Gestión de la Calidad.

Dado que la 27001 toma como modelo la 9001, ambas normas poseen 8 capítulos, nombrados de la misma forma, del 1ero (Objeto y campo de aplicación) hasta el 8vo (Medición, Análisis y Mejora).

Ambas se basan en la Orientación a Procesos:

- La ISO/IEC 27001 adopta una orientación a procesos para el ISMS.

Enfatiza la importancia de:

- Entender los requerimientos organizacionales para un ISMS.
- Implementar y operar controles para manejar Riesgos.
- Monitorear y revisar la performance y efectividad del ISMS.
- Mejorar continuamente el ISMS basado en medidas por objetivos.

La ISO 9001 plantea el enfoque basado en procesos con el modelo Plan-Do-Check-Act o sea Planear, Realizar, Controlar y Actuar para Mejorar; siendo el Plan responsabilidad de la Dirección. Esto implica además realizar la gestión de recursos, controlar la realización de producto y actuar en base a medición, análisis y mejora.

En la 27001 se propone Establecer, Implementar, Operar, Monitorear y revisar el ISMS y actuar manteniendo y mejorando el mismo.

Los capítulos 2 y 3 son Referencias normativas y términos y definiciones propias de cada campo de aplicación, es decir, la ISO 9000 para los Sistemas de Gestión de la Calidad en el caso de la 9001 y la 17799 para los Sistemas de Gestión de la Seguridad en el caso de la 27001, o sea, que las normas referenciadas son diferentes de acuerdo al sistema que se trate de implementar.

El capítulo 4 en ambas normas es el referido a Requisitos Generales, donde si bien difiere el objeto del sistema a implementar, en ambos casos determina que la Organización debe: establecer, documentar, implementar y mantener un sistema de gestión.

Sin embargo, existen algunas diferencias en el contenido de los ítems considerados.

El 4.2 para la 9001 plantea requisitos de Documentación en el caso de la 27001, éstos se encuentran en el ítem 4.3

En el caso de la 27001 se desarrolla en el ítem 4.2 un detalle exhaustivo de cómo debe establecerse ítem 4.2.1, implementarse y operarse el sistema ítem 4.2.2, monitorearse y revisarse el Sistema de Gestión de la Seguridad de la Información en el ítem 4.2.3 y cómo debe mantenerse y mejorar el SGSI en el ítem 4.2.4, es decir, si comparamos los requisitos expuestos en el capítulo 4 para la 9001 podemos decir que los requisitos generales son mucho menos detallados que en el caso de la 27001 y esto es razonable en virtud de que la 27001 es una aplicación específica y técnica del modelo de la 9001.

Luego continúan los ítems según el siguiente detalle: Requisitos de la Documentación, Control de Documentos y Control de Registros.

En la 9001 se establece el Requerimiento del Manual de la Calidad en el ítem 4.2.2 que no está incluido en la 27001. Sin embargo, podemos decir que está implícito el Manual de la Seguridad ya que en el punto 4.2.1 se establece la necesidad de definir una política, determinar, analizar y evaluar los riesgos, determinar el tratamiento de los riesgos seleccionando objetivos de control y controles adecuados y publicando un documento de aplicabilidad del sistema, es decir que finalmente existe documentado y publicado el equivalente a un Manual de la Seguridad de la Información, aunque no esté explícito en la Norma.

Los siguientes capítulos también difieren en su contenido no así en su espíritu. El 5to en ambos casos establece los requisitos de la Responsabilidad de la Dirección para establecer distintos Sistemas de Gestión. En ambos casos existe un compromiso de la Dirección claramente definido, la gestión de recursos de infraestructura y humanos que en la 9001 corresponde al capítulo 6, la revisión por la Dirección a partir de auditorías internas que en la 27001 se visualiza en el capítulo 6, la revisión por la dirección que en la 27001 corresponde al capítulo 7.

Como dijimos, el capítulo 6 de la 9001 se corresponde con la Gestión de Recursos, el capítulo 7 de la 9001 es específico de un Sistema de Gestión Productivo ya que establece los requisitos de diseño, compra y producción de bienes, por lo tanto, no tiene un capítulo equivalente en el 27001, que sólo es un sistema de operación y basado en información.

Finalmente, podemos ver que el capítulo 8 es tanto en espíritu como en contenido similar en ambas normas y que trata de la mejora continua del Sistema basado en acciones correctivas y preventivas.

Como corolario podemos establecer que ambas Normas utilizan el mismo modelo de Gestión basado en un Sistema que se desagrega y relaciona procesos específicos, donde el objeto es diferente pero las actividades y responsabilidades son similares.

Fuente: http://www.infosecurityonline.org/newsletter/febrero2007/palabras.htm

Seguir leyendo...

¿Qué pérdida económica supone un pérdida de datos a la empresa?

La pérdida de los datos como resultado de las brechas en seguridad y hurto de la identidad se ha convertido en un suceso frecuente. A pesar que el número de registros involucrados puede variar mucho y depende de cada caso, un estudio reciente del instituto de Ponemon encontró que la media era a grosso modo de 99.000.

Darwin creó la calculadora del coste por la pérdida de datos "Tech//404" como una herramienta para demostrar el alcance del impacto financiero negativo al que una organización debe hacer frente como resultado de un caso de pérdida de datos por hurto de la identidad o brecha de seguridad.

La calculadora genera automáticamente un coste medio con un margen de más/menos 20% en relación a los costes asociados a la investigación interna, gestión de la notification/crisis y las acciones legales/regulatorias si el incidente diera lugar a posibles demandas.

Tras introducir el número de expedientes afectados y activar/desactivar clicando sobre los nueve parámetros se genera un informe de costes que puede ser representado en un gráfico clicando sobre el icono del gráfico.

La calculadora utiliza algoritmos propietarios desarrollados en base a informes y casos de pérdidas reales entre los que se incluyen 31 casos de compañías analizadas por el Ponemon Institute.

Calculadora disponible en Tech 404.

Fuente: http://www.iso27000.es/

Seguir leyendo...

¿Cómo puede medirse la seguridad?

En relación a preguntas recientes que iso27000.es ha recibido y por el especial interés que suscita este tema, recordamos uno de los artículos traducidos y publicado originalmente en el número 2 de 2005 de la revista "Information Systems Control Journal" que lleva por título "¿Cómo puede medirse la seguridad?".

En él, David A. Chapin y Steven Akridge hacen un recorrido introductorio por las métricas de seguridad tradicionales y los modelos de madurez de seguridad existentes (a los que hacen la crítica de que suelen mezclar existencia con calidad), pasando a continuación a proponer un nuevo modelo de madurez, basado en ISO 17799, que evalúa de forma separada el nivel de madurez y la calidad de los elementos de seguridad implantados.

Descarga desde nuestra sección de artículos o desde la propia Web de ISACA.

Fuente: http://www.iso27000.es/

Seguir leyendo...

Ley anti-espía (¿para espiar?)

Proyecto de ley estadounidense contra el espionaje aspira a eliminar el spyware. El problema es que la ley podría convertirse en un despropósito al posibilitar precisamente el espionaje.

Un proyecto de ley estadounidense, conocido popularmente como Spy Act (Ley de Espionaje), tiene como una de sus intenciones declaradas poner fin los espías de Internet. Así, la ley plantea prohibir el spyware como los keyloggers, que permiten, por ejemplo, que un intruso vea lo que otra persona ha digitado en un PC.

Sin embargo, la ley incluye una serie de excepciones que preocupan a observadores y especialistas.

En general, las excepciones permiten a todas las empresas, desde proveedores de acceso a Internet hasta desarrolladores de software, vigilar sus redes siempre y cuando sea por razones de seguridad. La ley también permite la monitorización tendiente a evitar "actividades fraudulentas", como estafas, piratería, etc.

Así, la ley hace grandes concesiones para que las empresas puedan espiar a sus clientes o a la gente que use – o no use – su software. En la práctica, la ley permite a las empresas instalar spyware en las computadoras de sus clientes.

El proyecto de ley será sometido a voto en el Congreso de EEUU dentro de algunas semanas. Según observadores, la ley será aprobada ya que cuenta con el apoyo de republicanos y demócratas.

Fuente:
http://www.diarioti.com/gate/n.php?id=14021
http://weblog.infoworld.com/gripeline/archives/2007/04/spy_act_only_pr.html
http://www.infoworld.com/article/07/03/16/HNspywarebill_1.html

Seguir leyendo...

El Presidente de Ecuador insta al uso de software libre en toda América Latina

Rafael Correa, que considera que el software libre garantiza la independencia de la región, prepara un mensaje que se conocerá el sábado y será transmitido por Internet.

El presidente de Ecuador, Rafael Correa, instará el sábado, en un mensaje a 17 países del continente americano, a utilizar el software libre en pro de la integración de América Latina y para liberarse de la dependencia tecnológica.

La Presidencia ecuatoriana ha informado en un comunicado que Correa difundirá un llamamiento en favor de la utilización del software libre "como medio de garantizar la soberanía y como paso para la integración y liberación de América Latina".

La declaración, grabada en vídeo, será transmitida por Internet para su presentación en las cerca de 200 sedes del Festival Latinoamericano de Instalación de Software Libre. Dichas sedes están localizadas en Argentina, Bolivia, Brasil, Chile, Colombia, Costa Rica, Cuba, El Salvador, Guatemala, Honduras, México, Nicaragua, Panamá, Paraguay, Perú, Uruguay y Venezuela, además de Ecuador.

Correa, de 44 años y economista, formulará el llamamiento para que todos utilicen "los programas informáticos que pueden ser distribuidos, copiados, estudiados y modificados libremente". En su mensaje, el mandatario indica que "es la hora de la integración de América Latina en todos los aspectos, entre ellos, el aspecto tecnológico y el uso de tecnologías informáticas". "Por eso es necesario que todos adoptemos, tanto a nivel público cuanto a nivel privado, el software libre. De esa manera garantizaremos la soberanía de nuestros estados, dependeremos de nuestras propias fuerzas, no de fuerzas externas a la región latinoamericana", señala.

Agrega que así "seremos productores de tecnología, no simples consumidores; seremos dueños de los códigos fuentes; y podremos desarrollar muchos productos, (lo) que, incluso, con una adecuada articulación de nuestros esfuerzos, puede ser de suma utilidad para las empresas públicas y privadas" de Latinoamérica. Rafael Correa recuerda que el Gobierno ecuatoriano ya estableció el software libre como una política de Estado.

Fuente: http://www.elpais.com/articulo/internacional/Presidente/Ecuador/insta/uso/software/libre/toda/America/Latina/elpepuint/20070426elpepuint_26/Tes

Seguir leyendo...

Compartir archivos no será delito en la Unión Europea

Carlos Almeida nos escribe para recordarnos que esta semana el Parlamento Europeo votaba una nueva propuesta de la Directiva sobre medidas penales destinadas a garantizar la defensa de los derechos de propiedad intelectual, y que contra todo pronóstico por una vez los usuarios no hemos salido convertido en criminales de la votación, ya que según cuenta el propio Carlos en La enmienda número 13

La Directiva establece finalmente en su artículo 3 que los Estados miembros velarán por calificar de infracción penal toda infracción intencional de un derecho de propiedad intelectual cometida a una escala comercial, así como la complicidad y la instigación a dicha infracción. [...]

Ello no obstante, y en virtud de la enmienda número 13, el artículo 2 de la Directiva excluye la punibilidad de los actos efectuados por usuarios privados con fines personales y no lucrativos.

Una vez que este texto entre en vigor los gobiernos de los distintos países miembros de la UE tendrán que trasponer la directiva a sus respectivas legislaciones, con lo que la buena noticia es que podremos seguir compartiendo archivos, no diría que sin problemas porque las sociedades gestoras de derechos de autor seguro que seguirán intentando meter baza, pero sí con más tranquilidad, aunque la definición de «escala comercial» queda un poco en el aire y puede dar lugar a abusos o a que alguien se lleve un susto.

Y siguiendo con los temas de leyes, hoy se ha sabido que el Anteproyecto de ley sobre procedimiento de notificación de presuntas infracciones de derechos de propiedad intelectual a través de los prestadores de acceso a Internet [PDF 92 KB], AKA el retorno del Artículo 17bis de la LISI, que convertía a las entidades gestoras de derechos de autor en juez y parte de lo que se podía publicar en la Red, del que ya hablábamos hace unos días, ha sido retirado ante la oposición frontal de casi todos los miembros del Cosejo Asesor de las Telecomunicaciones y la Sociedad de la Información: La reunion del CATSI ha finalizado con la eliminación definitiva del artículo 17 bis.

La idea es partir de cero en la negociación del texto que tendrá lugar durante los dos próximos meses, contando en esta negociación con todas las partes implicadas, aunque curiosamente los representantes de las entidades gestoras de han ido de la reunión de hoy antes de que esta terminara.

Según Miguel Pérez Subías, de la Asociación de Usuarios de Internet,

Se han levantado y se han ido porque rechazan el diálogo, y aseguran que es un trabajo estéril

Lo que en mi opinión demuestra su talante negociador cuando las cosas no van como ellos quieren.

Actualización: El Camarada Bakunin habla también de estos dos casos en Con la propiedad intelectual a brincos (otra vez) y de paso nos recuerda que en una curiosa coincidencia por lo visto hoy es el Día Mundial de la Propiedad Intelectual.

Fuente: http://www.microsiervos.com/archivo/internet/compartir-archivos-no-delito-ue.html

Seguir leyendo...

TrueCrypt

No tengo excusa. Para ser sincero, no encuentro ninguna razón (más allá de la pura y dura pereza) que justifique que TrueCrypt, posiblemente la mejor herramienta de cifrado disponible en la actualidad, no contase aún con un espacio propio en Kriptópolis.

Es cierto; en varios artículos y debates hemos arañado levemente su superficie, pero se echaba en falta una especie de tutorial de TrueCrypt para novatos, de esos que tanto nos gustan por aquí.

La buena noticia es que hoy, por fin, TrueCrypt ha llegado a Kriptópolis. Y lo hace con todos los honores: sección propia, foro específico y primera entrega de un tutorial sobre TrueCrypt para Windows...

Sin duda aún es poco para los más impacientes (y para los usuarios habituales del programa), pero lo más costoso ha sido arrancar. A partir de este momento (y siempre que la respuesta sea estimulante) procederemos a exprimir a TrueCrypt todo su jugo, que como muchos bien sabéis es abundante y sabroso.

TrueCrypt
TrueCrypt para Windows (I)
Foro sobre TrueCrypt

Fuente: http://www.kriptopolis.org/truecrypt-por-fin

Seguir leyendo...

RFID Guardian, a unos meses vista

Melanie Rieback ha concedido una entrevista a The Enquirer que nos hace concebir la esperanza de que RFID Guardian (un dispositivo portátil, capaz de detectar y bloquear etiquetas RFID) pueda ser por fin una realidad antes de que acabe el año.

Rieback es una investigadora norteamericana que trabaja en Amsterdam en el equipo de Tanenbaum y RFID Guardian constituye su principal proyecto de investigación.

En la actualidad, RFID Guardian es un prototipo montado en una tarjeta PCB, del que sólo se ha distribuido una docena de copias a otros investigadores, pero en el futuro podría estar integrado en un solo chip. Tanto su hardware como su software podrían ser Open Source antes de que acabe este año...

RFID Guardian ya contempla el uso de Bluetooth para poder comunicarse con teléfonos móviles y PDAs. Se trata en definitiva de una especie de "firewall" personal, que permitirá detectar y bloquear a voluntad las etiquetas RFID.

Fuente: http://www.kriptopolis.org/proyecto-rfid-guardian

Seguir leyendo...

Hackers Are Us

Según la acusación del caso que se sigue en Londres contra una agencia de detectives, ésta disponía de una línea de servicios denominada "Hackers Are Us" (Nosotros somos los "hackers") que consistía en colocar troyanos en los ordenadores de otras personas y espiar sus sistemas telefónicos mediante dispositivos de alta tecnología.

Al parecer, estos servicios resultaban muy lucrativos para la agencia. Según documentos hallados por la policía, cobraban hasta 10.000 euros al mes por colocar dispositivos de escucha en teléfonos o introducir troyanos vía e-mail en ordenadores...

Los servicios de esta agencia eran utilizados para espionaje industrial y también para otras finalidades de índole más personal, como el espionaje de las esposas de algunos ejecutivos antes o después de sus divorcios.

Durante la investigación del caso han sido detenidas 30 personas.

Fuentes:
http://www.kriptopolis.org/hackers-are-us
http://news.bbc.co.uk/2/hi/uk_news/6592717.stm

Seguir leyendo...

"PhishingCar": Nueva forma de estafar por Internet

Un nuevo formato de fraude en internet se esta produciendo el "Phishing-Car" captación de compradores de coches a un coste muy bajo, la venta nunca se efectúa, esta persona realiza un pago como señal, se queda sin dinero y sin coche. La pesca de incautos de compradores de coches.

El crecimiento fraudulento en internet es notable, cada día sufrimos diferentes "formatos" de intentos de estafas por medio de la recepción de correo electrónico, foros, chat, anuncios, etc.

Nos intentan “pescar” (Phishing) con cualquier tipo de engaño (ingeniería social) para que facilitemos nuestras claves, datos, todos nuestros datos. ¿Quien no ha recibido un ataque de phishing bancario, de Ebay de Paypal, Scam (trabajos falsos)?. Los ciber-delincuentes encontraron una nueva forma mas directa para robarle su dinero, el reclamo de un articulo a bajo coste y además es usted el que les entregas el dinero. Es mas rápido que el phishing tradicional y mas económico para el estafador.

Las personas dedicadas a la seguridad informática tienen dos puntos de referencia, la seguridad basada en el trafico (control de conexiones) y seguridad basada en el usuario (control de admisión de usuarios), pero todo esto se queda corto, ahora nos hace falta dar un paso mas: “enseñar seguridad al usuario final”.

Parece un poco absurdo pero recuerdan cuando eran pequeños y en su colegio llego un policía y durante una semana les enseño seguridad vial, “enseñarnos a cruzar por un paso de peatones”, en internet también tenemos que enseñar y concienciar de “los nuevos peligros”.

Negar el crecimiento de fraude seria cerrar los ojos a la realidad, la Asociación de Internautas lleva varias campañas de seguridad en la red, enseñando al usuario luchar contra virus, troyanos, intrusiones, spyware, etc pero el avance de las tecnologías nos hace ahora dar un paso mas y realizar campañas contra el fraude, el peligro ya no son los virus, códigos malware el peligro ahora se llama Phishing.

Como es el nuevo formato de engaño y como reconocer la trampa

El nuevo formato le hemos llamado “Phishing-Car” para diferenciarlo del ataque tradicional bancario, pescando incautos con ganas de comprar un coche muy barato. La victima es la ideal, los reclamos se producen por medio de llamativas ofertas en vehículos lujosos, incluso tienen web trampas con nombre de dominios muy similares a empresas con mucho prestigió que se dedican a la venta de vehículos de ocasión, pero todas los fraudes tienen algo en común:

- El pago se realiza por medio de empresas de envió de dinero a otros países (Tipo Western Union, Money Gram).

- El vendedor le oferta la entrega a domicilio.

- En un 90% el vehículo que venden esta fuera de su país, de esta manera usted solo puede verlo en fotos.

- Le piden primero el 30% o el 40% del precio ofertado como primera señal.

- Captan a las victimas por medio de anuncios en web de venta de coches o de segundamano y por supuesto la recepción de correos electronicos.

- Muchas veces el vendedor dice que es un español que vive en Gran Bretaña y por motivos laborales de estancia en el país ingles, tiene que cambiar de forma urgente de coche por que se conduce por la izquierda y su coche al estar matriculado en España el volante esta al lado contrario y no se adapta, por este motivo vende el coche de forma muy económica, te enseñan un coche matriculado en España.

- La mayoría de los estafados enviaron el dinero a Reino Unido, esto no quiere decir que cambien.

Consejos para la compra de un coche por Internet por 4x4coches.net

Compra segura Desconfía de los anuncios de coches y motos que son excesivamente baratos y que te obligan a comprar en el extranjero. Si te piden el envío de una cantidad inicial como entrada, como garantía, como gastos de envío o con cualquier otro pretexto, nunca la envíes por sistemas que no permitan la localización posterior del vendedor en caso de que no realice el envío o de que el vehículo enviado no se ajuste a lo descrito en el anuncio. Se han dado casos en los que después de que el comprador hace efectiva la paga y señal, desaparece todo rastro de contacto del vendedor.
Cuando vayas a comprar un coche y te quieran vender un catálogo de los coches o motos disponibles que tienen a la venta, asegúrate de que la agencia es seria y dispone realmente de esos vehículos. Te pueden vender un catálogo con coches inexistentes o que no se ajustan a lo que anuncian.

Formas de pago seguras

La mejor forma de no tener problemas cuando compres tu vehículo, es hacer el pago por un método que deje rastro:

1. Transferencia, el pago se realiza desde una entidad bancaria reconocida a otra y se puede rastrear el pago.

2. Contrareembolso, aporta una prueba de pago que se puede consultar desde correos.

3. Tarjeta de crédito, se puede seguir su rastro hacia una dirección particular.

Formas de pago no recomendables

Anuntis-Segundamano recomienda que no se realice nunca una transacción monetaria por Western Union a personas desconocidas. Este servicio es un método muy eficaz para enviar dinero al extranjero de personas que conoces, pero no está diseñado para realizar transacciones con desconocidos.
Desconfía de las empresas intermediarias que algunos vendedores te propondrán para que ingreses allí tu dinero en forma de depósito y que te lo devolverán si no estás conforme con la operación. Muchas de estas empresas te las dan a conocer mediante una página web pero son pura fachada, con una imagen muy profesional pero sin nada detrás y dinero ingresado es dinero perdido.

Se han dado casos de personas que se presentan como trabajadores de Anuntis Segundamano para hacer de intermediarios en una transacción. Ni Anuntis Segundamano, ni Coches.net ni Motos.net ofrecen este servicio y esas personas han sido denunciadas ante la justicia.

Venta segura

Hay personas, habitualmente desde el extranjero, que pueden ofrecerte la compra de tu coche mediante pago por cheque bancario. Cuando recibas el cheque y antes de realizar cualquier paso, comprueba siempre que el cheque tiene fondos y que es auténtico. Sucede que lo ingresas en tu cuenta y a los tres, cuatro días, tu banco te avisa de que te retira el importe porque el cheque no era correcto.

La Asociación de Internautas cuenta con un servicio operativo desde hace meses para todos aquellos internautas que quieran reportar información sobre este tipo de fraudes realizados por medio de Phishing, con solo mandar un correo y adjuntar la información a: [email protected]

Se estudia el caso y se comunica a las Fuerzas de Seguridad del Estado para cursar la denuncia junto a un comunicado de aviso a la entidad suplantada.

Realizado por:
José María Luque Guerrero
Comisión de seguridad en la red
http://seguridad.internautas.org/
http://www.seguridadenlared.org
http://www.internautas.org

Fuentes:
http://seguridad.internautas.org/html/767.html
http://seguridad.internautas.org/html/4184.html

Seguir leyendo...

SGSI: Gestion y Seguridad

Hace ya algun tiempo (mas del que pensaba, ahora que vuelvo a ver la fecha), publique un post en el que analizaba el contenido de la ISO 9001 desde el punto de vista de sus componentes: Gestion + Calidad. El objetivo de este post es hacer el mismo analisis con la ISO 27001, y de ese modo facilitar la identificacion de los componentes de un SGSI.

Un SGSI es, por un lado, un sistema de gestion. En este caso, desarrollado con el objetivo de gestionar la seguridad de la informacion. Por tanto, sus componentes como sistema de gestion son los ya señalados:

* Plan: Políticas, objetivos, metas, planes, ...
* Do: Procesos, difusión, formación, gestión documental, registros, ...
* Check: Auditorías, mediciones, gestión de incidencias, no conformidades, revisión por la dirección, ...
* Act: Correcciones, acciones correctivas, acciones preventivas, ...

Por otro, un SGSI es Seguridad. Seguridad gestionada, y como tal, separada en dos partes: gestion de riesgos y controles de seguridad. La primera parte, la gestion de riesgos, es la principal aportacion de la norma, y exige la realizacion de un analisis de riesgos formal, la definicion de la estrategia de tratamiento de esos riesgos y la eleccion de las medidas para llevar a cabo ese tratamiento. Y para llevar a cabo esa eleccion de medidas de seguridad es precisamente para lo que se utilizan los controles de seguridad, ya que la norma propone definirlas mediante la seleccion de los controles necesarios de entre los 133 controles que la propia norma propone en su anexo A (y usar controles adicionales si los 133 no son suficientes).

En resumen, podemos decir que la ISO 27001 define un SGSI como Sistema de Gestion + Gestion de Riesgos + Controles de Seguridad. Ahora bien, los tres elementos tendran que estar adecuadamente integrados si queremos que el SGSI completo funcione. Ahi esta precisamente la dificultad, y tambien uno de los aspectos en los que, desde mi punto de vista, la norma quizas no sea lo suficientemente clara. Al fin y al cabo, los tres elementos que componen el SGSI llevan coexistiendo por separado en el mundo de la seguridad durante mucho tiempo, y sin embargo son muy pocos los ejemplos que se pueden poner de SGSIs reales y que funcionen antes de la aparicion de su antecesora (BS 7799-2).

Fuente: http://secugest.blogspot.com/2007/04/sgsi-gestion-y-seguridad.html

Seguir leyendo...

Desarrollo seguro de aplicaciones

Sería complicado, en unas pocas líneas, exponer de forma clara y concisa el tema sobre el que versa este documento. La seguridad -y la programación segura, como parte de ella- son multidisciplinares. En ellas tienen cabida programación, ingeniería del software, redes, servicios de red, inteligencia artificial, y un sin fin de áreas de conocimiento asociadas.

No obstante, y pecando de simplicidad, diremos que este texto versa en torno a tres ideas. La primera es que nuestro software debe hacer únicamente lo que nosotros queramos que haga, absolutamente nada más. La segunda es que la seguridad es tan importante como la funcionalidad, por mucho que nos cueste darnos cuenta. Y la tercera es que la única forma de adquirir los conocimientos necesarios para comprender plenamente las anteriores es conociendo en profundidad qué es un fallo de seguridad, por qué se cometen y cómo se explotan...

Un nuevo documento original y en español de FraME (de Kernel Panik Labs), que ya puedes descargar desde Kriptópolis por gentileza de su autor:

Desarrollo Seguro de Aplicaciones [PDF-ZIP, 300 KB, 41 páginas].

Fuente: http://www.kriptopolis.org/docs/procseg.zip

Seguir leyendo...

VBootkit: tomando el control de Windows Vista

Los ataques al DRM de Windows Vista vienen ya de varios frentes. Si Ionescu demostró hace un par de semanas que los "procesos protegidos" no lo eran tanto, una semana antes dos informáticos de la India habían realizado una presentación en Black Hat de su programa VBootkit, capaz de adelantarse a la carga del propio Vista y crear un camino hasta el mismísimo kernel, sin necesitar la firma digital de Microsoft.

Hoy mismo, Federico Biancuzzi entrevista para Security Focus a los creadores de VBootkit, lo que nos permite conocer de primera mano muchos más detalles sobre el programa, por ejemplo que su tamaño (sólo 1.500 bytes) le permitiría alojarse en la propia BIOS y que sería capaz de saltarse la activación de Windows Vista y evitar su DRM.

Fuente:
http://www.kriptopolis.org/vbootkit
http://www.sahw.com/wp/archivos/2007/04/26/entrevista-con-los-creadores-de-vbootkit/
http://ddanchev.blogspot.com/2007/04/video-demonstration-of-vbootkit.html
http://www.nvlabs.in/files/vbootkit_nitin_vipin_whitepaper.pdf

Seguir leyendo...

La formacion es clave

Hoy algunos medios se hacen eco de un informe publicado por McAfee sobre la seguridad de la informacion en las pymes europeas. Este informe, elaborado a partir de mas de 1000 encuestas, destaca que muy pocas empresas incluyen la seguridad informatica entre las materias de formacion interna. Este deberia ser un apartado especialmente importante en la formacion inicial que deben recibir todos los empleados, y tambien de cara a regular las actividades de mayor riesgo dentro de las organizaciones (navegacion web, acceso al correo electronico, utilizacion de dispositivos de almacenamiento extraibles, uso de equipos portatiles, ...). En general, el informe afirma que la falta de formacion deja a los empleados expuestos a los riesgos de seguridad de la informacion, y que seria conveniente informar a los empleados sobre los mismos.

Otro de los elementos que destaca el informe es que en muchos casos no estan claras las responsabilidades de la organizacion y las de los empleados a nivel individual, y afirma que aunque las acciones de los empleados pueden desembocar en infracciones de seguridad, el responsable último de los procesos y condiciones que rodean los incidentes de seguridad es de la direccion de la organizacion.

Sin embargo, ni siquiera en estos casos es todo tan sencillo. Al menos, si atendemos a esta otra noticia, que afirma que es precisamente la direccion de las empresas la que lleva a cabo la mayor parte de los delitos de fraude. Y no solo eso, sino que estos delitos normalmente son recurrentes y se cometen durante periodos de tiempo prolongados. Aunque quizas el dato mas preocupante es que estos delitos normalmente no son investigados ni se inician investigaciones penales al respecto. ¿Por tanto, cuantos casos de este tipo se produciran sin que pasen a formar parte de las estadisticas?

Y como reflexion final, una duda. Si es la direccion la que tiene que establecer las politicas de seguridad, y se da la casualidad de que coincide con una de las direcciones fraudulentas de la segunda noticia... Que tipo de autoridad moral tiene esta direccion para establecer dichas politicas? En fin, todo un dilema...

Fuente: http://secugest.blogspot.com/2007/04/la-formacion-es-clave.html

Seguir leyendo...

Ofertas de empleo falsas en internet para blanquear dinero

Piratas de la red utilizan a 'muleros' para hacerse con las sumas robadas en cuentas bancarias.

No responda a las ofertas de trabajo no solicitadas que le lleguen por correo electrónico. Son falsas y enviadas por hackers que necesitan de un mulero (el mismo término que los transportistas de droga) para blanquear el dinero que roban a clientes de bancos. Buscan intermediarios que les envíen, a una cuenta propia, el dinero sustraído a través del phising (robo de claves y contraseñas a bancos e internautas).

'Me llegó una oferta para trabajar como intermediario de transferencias financieras', cuenta Francisco García (nombre ficticio), un mulero engañado, según él, al que la justicia le ha abierto dos procesos por un supuesto delito de estafa. Este profesor de secundaria de 35 años necesitaba 'algo de dinero extra' cuando le llegó un correo electrónico que se lo garantizaba fácilmente con un empleo a tiempo parcial. Contestó al e-mail y a los dos días ya estaba trabajando.

Su empleo era sencillo. Recibía cantidades de unos 3.000 euros en su cuenta que tenía que enviar, a través de Western Union, a supuestos clientes de la firma para la que trabajaba a cambio de una comisión del 10%. Lo que dice no saber es que era un miembro más de una trama de estafa organizada por hackers que robaban dinero de cuentas bancarias. Éstos utilizan a intermediarios como Francisco para recibir, en sus países de residencia, casi siempre en Europa del Este y con identidades falsas, las sumas sustraídas. Así cierran el círculo que empezaron al robar las claves, sin que aparezca su nombre en ninguna transferencia, por lo que es difícil localizarles.

'Es casi imposible encontrarles, por eso es muy importante la colaboración policial entre países y que la gente denuncie', opina Luis Corrons, director técnico de PandaLabs, compañía de software de seguridad. Explica que el hacker puede estar en Rusia, su servidor de internet en Hong Kong, el mulero en España y el cliente al que roban en otro país, por lo que es muy difícil localizar al cerebro de la trama.

Al que es más fácil de encontrar es al ejecutor de esa especie de blanqueo: el mulero. 'Al tercer o cuarto envío, si no se han dado cuenta antes de que están siendo engañados, la policía va a por ellos', cuenta Ofelia Tejerina, abogada de la Asociación de Internautas. Tejerina asegura que recibe a la semana una media de cinco consultas de incautos que se dicen timados por estas ofertas, que tienen también como soporte a webs con aspecto de empresas respetables.

En el caso de Francisco fue él mismo quien sospechó. Hizo cuatro envíos por un valor total de 12.000 euros, 1.200 de ganancia para él por unos pocos minutos de trabajo. 'Algo me olió mal', cuenta. Entonces investigó en internet y se percató de que había sido víctima de lo que se conoce como scam (timo, en inglés). Buscó un abogado que le aconsejó denunciar, aunque la policía le creyó parte de la estafa y al poco tiempo le llegaron dos denuncias, de Canarias y de Lugo, de los clientes del banco a los que habían robado. 'Es complicado explicar al juez que el mulero ha sido estafado. El juez le ve como un listillo que quiere dinero rápido', asegura Tejerina.

Esta abogada comenta que todos los muleros se preguntan cómo pudieron picar en un timo tan obvio. Francisco dice pensar en ello todos los días: 'Estoy muy fastidiado'. De momento la justicia ha sobreseído uno de los casos de los que estaba acusado. Pero todavía le queda otro.

Fuente: http://www.internautas.org/html/4232.html

Seguir leyendo...

El 43% de las empresas se ven obligadas a interrumpir su actividad por culpa del malware

El malware sigue haciendo mella en las empresas de todo el mundo. De hecho, un 43% de ellas han visto interrumpido su negocio debido a los programas maliciosos o malware. Como consecuencia de la infección provocada por estos programas “espía”, un 26% de las empresas confiesan haber expuesto información confidencial a los ciberdelincuentes.

Así se desprende del informe “El Estado de la Seguridad en Internet” elaborado por Webroot Software, que también desvela que los ataques más frecuentes son el correo basura (85%), la publicidad no deseada (67%), los virus (61%), las estafas mediante webs o correos falsos (51%) y los troyanos (39%).

El equipo de investigación de la compañía ha descubierto que ya son unos 4,2 millones de páginas de Internet de todo el mundo, de una muestra de 250 millones, las que albergan software dañino. Sólo durante el 2006 se descubrieron casi 3 millones de estas páginas peligrosas.

La falta de protección de muchas compañías provoca, según el mismo estudio, que en la actualidad un 39 % de las empresas analizadas estén infectadas por troyanos, un 24 % por monitores de sistema y un 20 % hayan sufrido intentos de estafa mediante webs o correos falsos (phising) y espías de teclado.

Webroot recuerda que, a pesar de esta creciente amenaza y de las medidas legales y reguladoras llevadas a cabo, el último informe del Small Business Technology Institute ha descubierto que el 20% de las empresas ni siquiera tienen la protección anti-virus adecuada, dos tercios no cuentan con ningún plan de protección de la información, y muchos sólo adoptan medidas de seguridad después de sufrir pérdidas en sus datos por un accidente informático.

Fuente: http://www.noticias.com/noticia/43-empresas-se-ven-obligadas-interrumpir-su-actividad-culpa-malware-2cg.html

Seguir leyendo...