Un pasaporte virtual para tener sexo seguro

Una empresa estadounidense lanza un certificado para aquellas personas que quieran relacionarse en la vida real con otros usuarios.

El desarrollo de los sitios sociales y de encuentros en Internet ha sido lo que ha hehco que una empresa estadounidense desarrolle el primer pasaporte para sexo seguro, un documento que pretende brindar más seguridad a los internautas que quieran relacionarse con otros en el mundo real.

"Hace algunos años conocí a una persona que mantuvo relaciones con alguien que conoció en Inter y no reveló que tenía una enfermedad de transmisión sexual", asegura Gonzalo Paternoster, dueño de Safe Sex Passport BioAnalytics, la empresa estadounidense que ha desarrollado este control sanitario. La idea nace porque en Internet muchas personas mienten por lo que "necesitamos algún mecanismo que verifique el estado de salud" de los usuarios.

La herramienta se lanzará el 1 de diciembre coincidiendo con el Día Mundial de la lucha contra el SIDA. Cualquier persona mayor de 18 años, que realice la petición para obtener el pasaporte, tendrá que pasar un examen médico. En el centro médico se exige al usuario la documentación que certifique su identidad. Una vez realizadas las pruebas médicas la compañía en función de los resultados otorga el pasaporte para tener sexo seguro, emitiendo un carné y un número:"Supongamos que usted se encuentra con alguien en la Red. Él o ella puede llamar a un número telefónico donde se le darán los resultados de sus tests. Antes, había que confiar en la palabra de la persona cuando sostenía que había sido controlado y que estaba bien. Ahora se puede pedir una prueba", explica el promotor de esta iniciativa.

Los suscriptores también recibirán un certificado virtual de salud, que puede ser adjuntado en su bitácora personal. Cerca de 15.000 personas y varios sitios de encuentros ya han mostrado interés en este pasaporte y en los certificados virtuales de salud. De los interesados, "muchos de ellos están divorciados o se encuentran solos después de mantener largas relaciones y ahora están de regreso al mundo de las citas y están aterrorizados", afirma Paternoster.

En Europa los primeros que podrán obtener el pasaporte será en Reino Unido y Francia donde el sistema "se encontrará probablemente disponible en el primer trimestre de 2008", según la compañía. El coste de este certificado de salud se sitúa entre los 75 y 100 dólares. Para su creador este sistema supondrá "más libertad sexual, pero en realidad provocará más responsabilidad en las personas, ser analizados, buscar tratamiento e informar a sus parejas".

Fuente: http://www.elpais.com/articulo/internet/pasaporte/virtual/tener/sexo/seguro/elpeputec/20071130elpepunet_7/Tes

Seguir leyendo...

La seguridad empresarial debe abordarse como un todo

Durante la presentación oficial de RSA, los portavoces de BBVA y Telefónica dibujan un panorama esperanzador para las empresas que consideren seriamente una estrategia global de seguridad para sus empresas, todo está relacionado y aumenta la importancia de las medidas de autenticación fuerte

La presentación oficial de RSA, la división de seguridad de EMC, en España sirvió para abordar diferentes aspectos sobre el modo de afrontar la seguridad en las empresas españolas.

Santiago Moral, director de Seguridad Lógica Corporativa del Grupo BBVA, realizó un recorrido sobre la evolución de su compañía hacia la adopción de medios convergentes de autenticación fuerte, que abarca a empleados, colaboradores y clientes.

Ante la diversidad de canales de comunicación, de usuarios y de servicios, aumenta el valor potencial de los fraudes, como se aprecia en el perfeccionamiento de las técnicas de ataque de phishing y pharming, según Moral. "La variedad de medios de autenticación de los clientes se replica en varios servidores y las aplicaciones requieren desarrollos específicos para cada nuevo medio de autenticación, por lo que lo más beneficioso es la convergencia en una única interfaz para tarjetas de coordenadas, passwords, token, etc.". De este modo, Moral estima que las empresas tendrían más facilidad para adaptarse a la evolución de amenazas y podrían exigir a clientes o empleados un medio de autenticación diferente en cada momento.

Por su parte, Juan Miguel Velasco, director asociado de Servicios y Soluciones de Seguridad de Telefónica, ha incidido en la necesidad de securizar el entorno empresarial como un todo y olvidarse de afrontar la seguridad como si se tratase de diferentes islas, "todo está relacionado". Además, en el mes de septiembre la cifra de correo basura procesado por Telefónica ascendió al 97 por ciento, según ha explicado Velasco. "Y ser spammer es un trabajo bien pagado, por trabajar 160 horas un emisor de correo basura puede conseguir 40.000 euros limpios", bromeó. No obstante, Telefónica ha perfeccionado también su servicio anti-phishing, eliminando sólo en el tercer trimestre de 2007 una cantidad de casos idéntica a la mitad de todos los procesados en 2006.

"Nuestra media para resolver estos problemas ha bajado de 48 horas a 12", aclara Velasco, que también alertado sobre el peligro que comportan las redes bot, de las cuales Madrid es la ciudad líder europea con un seis por ciento del total, aunque España también es el tercer país en el punto de mira de este modelo de crimen cibernético.

Respecto a la madurez de la seguridad en las empresas, José Miguel Velasco asegura que no existe, que no se valora lo suficiente la figura de un CISO (responsable de seguridad), "falta conciencia y te miran mal si propones invertir seriamente en elementos de seguridad".

Por su parte, el portavoz de BBVA, Santiago Moral, ha apuntado como tendencia fundamental que "hay que aprender a gestionar la intencionalidad porque estamos en el mismo punto y acabar con las organizaciones que se lucran con nuestros datos. Tenemos que dejar de ser los chicos del firewall con un MBA".

Fuente: http://www.itweek.es/noticias/article.aspx?id=102307

Seguir leyendo...

Una internauta alerta a la Policía de una red pedófila

Cuando Bea se sentó frente a su ordenador una tarde del mes de marzo no podía imaginar que se iba convertir en una pieza clave para destapar a trece pedófilos que intercambiaban material audiovisual con vejaciones sexuales a menores. Esta malagueña comenzó a buscar información sobre bebés en internet y dos ficheros que encontró en su rastreo despertaron sus sospechas.

Uno era un vídeo en el que dos adultos abusaban de una menor. Las imágenes eran de una crudeza desmedida y, en vez de apagar el ordenador y seguir con su vida normal obviando esa visión, decidió poner los hechos en conocimientos de la Policía Nacional. Este fue el germen de la operación Bea -denominada así por su colaboración- que se ha desarrollado en diez provincias, incluida Málaga, donde se arrestaron a tres de los trece detenidos.

Según informaron fuentes policiales, la investigación, llevada a cabo por el Grupo de Delitos Tecnológicos de la UDEV de la Comisaría Provincial de Málaga, se inició el pasado mes de marzo a raíz de la denuncia presentada por esta ciudadana y gracias a ella se han logrado intervenir miles de archivos tecnológicos.

Tras comprobar el contenido de los ficheros, los agentes verificaron que en ellos aparecían imágenes en la que dos adultos abusaban de una menor y procedieron a la búsqueda de los usuarios que distribuían e intercambiaban los citados vídeos en internet.

Los agentes rastrearon en la red el vídeo y lograron identificar, a través de los números IP, que es como el DNI de los internautas en la Red, a las personas que se lo habían descargado.

Cuando éstas fueron localizadas, se dio aviso a agentes de las comisarías de las ciudades donde vivían y se puso en marcha un operativo que a la detención de éstos y al registro de sus domicilios habituales.

La Dirección General de la Policía informó en un comunicado de que se han efectuado registros en Barcelona, Lérida, Alicante, Valencia, Córdoba, Granada, Málaga, Cantabria, Asturias y Vizcaya. En ellos se han intervenido miles de ficheros de pornografía infantil en soportes magnéticos y ópticos, trece discos duros, 500 DVD, 720 CD y cinco lápices de memoria.

La red de intercambio de pornografía infantil desarticulada por la Policía Nacional a través de la operación Bea utilizaba el popular programa de intercambio de archivos Emule para distribuir el material pederasta, según informaron a Efe fuentes de la investigación policial. Emule es utilizado a diario por millones de usuarios en todo el mundo de forma gratuita, y no es la primera vez que aparece envuelto en un caso de pornografía infantil a través de internet en España.

Las personas que buscan este tipo de material delictivo suelen contactar inicialmente a través de webs concretas y después realizan los intercambios con programas P2P. Con el desarrollo de la telefonía móvil también se está comenzado a utilizar este medio para distribuir las imágenes.

Fuente: http://www.internautas.org/html/4612.html

Seguir leyendo...

Publicaciones online implantaran nueva versión de "robots.txt" para proteger sus contenidos de los buscadores

El nuevo fichero, basado en una tecnología denominada ACAP, opera como un DRM fijando permisos para rastrear los ficheros contenidos en el servidor.

La nueva tecnología fue presentada durante una reunión celebrada en la sede neoyorkina de AP a la que asistieron representantes de otras agencias y grupos editoriales que afirmaron representar 18.000 medios y publicaciones de todo el mundo. Fue el propio presidente de la agencia quien defendió la necesidad de defenderse de la apropiación de sus contenidos argumentando los costes que supone (tanto económicos como en vidas) informar de los acontecimientos para que luego otros sitios se apropien de estos sin abonar ninguna cantidad.

El ACAP otorgará permisos a los buscadores y robots que indexan los sitios indicando que contenidos pueden rastrearse y por cuanto tiempo. Es como una especie de DRM de contenidos digitales y según los promotores de esta tecnología ofrece unos excelentes resultados como lo ha demostrado la prueba que durante un año se ha venido realizando con el buscador francés Exalead.

Preocupación por los costes de la piratería de contenidos digitales.

La idea de promover esta modificación tecnológica surgió a raíz de la proliferación de servicios de noticias suministrados por buscadores, que rastrean páginas web en busca de informaciones elaboradas por medios de comunicación y las ofrecen sin que el usuario tenga que pagar por ellas o pasar por su sitio de Internet.

Una preocupación similar generó la proliferación de sitios donde se cuelgan con libre acceso libros u otras obras que están protegidas con derechos de autor.

Entre los más afectados se encuentran las grandes agencias de noticias, que en varios casos han llevado ante los tribunales a Google, por ofrecer sus informaciones y fotografías sin permiso.

Cambios importantes

Los promotores de esta tecnología reconocen, sin embargo, que para que esta sea efectiva será preciso que los grandes buscadores de la red acepten su uso y sigan las recomendaciones que el fichero implanta. Por el momento, estos aún no se han pronunciado sobre el tema.

En la actualidad, las arañas de los buscadores siguen las indicaciones de un fichero llamado "robots.txt" para indexar un sitio. Sin embargo, este fichero tiene muchas limitaciones y solo permite decir que directorios pueden ser o no rastreados. Con 13 años de existencia “robots.txt ha demostrado su efectividad pero también las carencias que ha supuesto su veterana y falta de adaptación a los cambios que en los últimos años ha vivido Internet.

Fuente: http://www.noticiasdot.com/wp2/2007/11/30/diarios-y-publicaciones-online-implantaran-nueva-version-de-robotstxt-para-proteger-sus-contenidos-de-los-buscadores/

Seguir leyendo...

Día Internacional de la Seguridad Informática (30 de noviembre)

El 30 de noviembre ha sido declarado ”Día Internacional de la Seguridad de la Información” desde 1988, con el objeto de concientizar sobre la importancia de la seguridad de la información y de los sistemas y entornos que operan con ella.

Ver poster 1 sobre concientización de Seguridad Informática
Ver poster 2 sobre concientización de Seguridad Informática

Por ese motivo, hacemos llegar un saludo especial a quienes, desde sus puestos de trabajo, contribuyen a incrementar los niveles de seguridad de la información y manifestamos nuestro completo apoyo en dicha tarea. En este sentido, se encuentran disponibles en el sitio http://www.arcert.gov.ar varios documentos que pueden ser de interés a la hora de adoptar las medidas adecuadas. Entre otros, encontrará documentos relativos al robo de identidad, uso seguro del correo electrónico, funcionamiento y detección de “botnets”, etc. así como un nuevo Manual para el Instructor en Seguridad de la Información que estaremos publicando en el transcurso del día de hoy.

A quienes utilizan las nuevas tecnologías de la información y las comunicaciones en sus trabajos o en sus hogares, los invitamos a adoptar todas las medidas a su alcance para proteger su información y sus recursos y evitar así ser víctima del accionar de los ciberdelincuentes.

A continuación, le sugerimos algunas medidas que puede empezar a poner en práctica hoy mismo:

* Utilice contraseñas fuertes, de al menos 8 caracteres y que contengan letras mayúsculas, minúsculas, números y símbolos. Asimismo, es recomendable que cambie las contraseñas periódicamente y que utilice diferentes contraseñas para diferentes cuentas y/o servicios de importancia.

* Utilice un antivirus y asegúrese de mantenerlo actualizado con las últimas definiciones de virus y actualizaciones provistas por el fabricante.

* Mantenga actualizadas todas sus aplicaciones incluyendo el sistema operativo con las últimas actualizaciones de seguridad provistas por el proveedor del software, y aquellas aplicaciones que se accedan directamente a través de su navegador, como puede ser el visualizador de archivos PDF o la extensión para archivos Flash.

* Realice copias de resguardo periódicas de sus archivos y carpetas importantes.

* Bloquee con contraseña su estación de trabajo cuando se ausente de su puesto laboral.

* Apague su computadora o desconéctela de la red cuando no la utiliza por largo tiempo, especialmente si tiene una conexión permanente a Internet.

* No abra archivos adjuntos en mensajes de correo electrónico enviados por desconocidos o que no esta esperando recibir.

* No descargue ni abra archivos provenientes de fuentes o sitios no confiables.

* No haga clic en los enlaces web de los correos electrónicos no solicitados (spam), ni en los enlaces que recibe a través de mensajería instantánea.

* No complete formularios incluidos en correos electrónicos.

* Verifique la identidad de los sitios web y los indicadores de seguridad antes de ingresar una contraseña o completar formularios y procure utilizar siempre canales cifrados (https://) para ese propósito.

* Elimine servicios y desinstale programas que no utilice, que podrían ser canales de acceso no autorizado

* En Windows, deshabilite la opción de ocultar las extensiones de los nombres de archivos.

* No utilice un usuario con privilegios de administración para realizar las tareas cotidianas en su computadora, especialmente si va a utilizar un lector de correo o un navegador en Internet.

* Deshabilite, de ser posible, la ejecución de scripts en su cliente de correo electrónico.

Como siempre, nos ponemos a su disposición para atender toda sugerencia que quiera hacernos llegar para mejorar nuestros servicios.

Fuente: http://www.arcert.gov.ar

Seguir leyendo...

El ciberespionaje es una amenaza creciente

El cibercrimen económico crece a medida que se sofistican las amenazas dirigidas a Datos Personales, servicios on line y aplicaciones de redes sociales.

McAfee anuncia las conclusiones de su estudio anual sobre ciberseguridad en el que expertos advierten de que el aumento del ciberespionaje internacional se coloca como la mayor amenaza a la seguridad en 2008. Otras tendencias importantes incluyen un aumento de amenazas en servicios on line como banca, y la aparición de complejos y sofisticados mercados de software malintencionado.

En su informe McAfee examina las cibertendencias globales de seguridad emergentes con la entrada de la OTAN, el FBI, SOCA y expertos de grupos líderes y universitarios.

El informe muestra las siguientes conclusiones:

- Los Gobiernos y grupos aliados están usando Internet para ciberespionaje y ciberataques.

- Los objetivos incluyen sistemas de redes de infraestructura nacional como la electricidad, control de tráfico aéreo, mercados financieros y redes de ordenadores del Gobierno.

- 120 países están usando actualmente Internet para operaciones de espionaje Web.

- Muchos ciberataques proceden de China.

- Los ataques han progresado desde los sondeos por curiosidad hasta operaciones bien financiadas y organizadas para el espionaje político, militar, económico y técnico.

Según los analistas de la OTAN, muchos gobiernos aún no son conscientes de las amenazas del espionaje web y ellos mismos están dejando las puertas abiertas a los ciberataques. Estos miembros creen que el ataque a Estonia, que afectó al gobierno, servidores de noticias y bancos durante muchas semanas, es la punta del iceberg en esta ciberguerra: “Las medidas tradicionales de protección no fueron suficientes para proteger contra la infraestructura crítica nacional de Estonia. Los botnets fueron usados con una complejidad y coordinación nunca vistos hasta el momento. Hubo una serie de ataques que, con sumo cuidado, usaron diferentes técnicas y objetivos específicos. Los ciberdelincuentes pararon deliberadamente en vez de tener que cerrar".

Fuente: http://www.diarioti.com/gate/n.php?id=15986

Seguir leyendo...

Detenido grupo de crackers que controlaban 1 millón de PCs Zombies

La policía neozelandesa desarticuló un grupo de crackers expertos en el uso de botnets para controlar ordenadores de usuarios.

El jefe del grupo era un conocido cracker que operaba bajo el nick de Akill y que residía en Nueva Zelanda.

La operación fue realizada conjuntamente con la policía local y el FBI. En total fueron detenidos unas 13 personas incluyendo el responsable máximo de la red.

La policía informó que el grupo era responsable de daños por valor de 20 millones de dólares y que controlaban un millón de ordenadores esparcidos por todo el mundo.

Los propietarios de los equipos desconocían que estos ejecutaban desde ataques a envíos masivos de spam comportándose normalmente en su actividad.

Fuente: http://www.noticiasdot.com/wp2/2007/11/30/detenido-grupo-de-crackers-que-controlaban-1-millon-de-pcs-zombies/
http://www.nzherald.co.nz/section/story.cfm?c_id=5&objectid=10479311
http://www.nzherald.co.nz/section/story.cfm?c_id=5&objectid=10445647

Seguir leyendo...

Google eliminará de sus búsquedas más de 40.000 sitios maliciosos

Expertos en seguridad destacan que estos sitios aparecen siempre en los primeros lugares de los buscadores.

Cuando alguien busca algo en Google, Yahoo, MSN o ASK puede encontrarse con una gran sorpresa: ser víctima de una infección vírica en su ordenador.

Según expertos en seguridad informática existen decenas de miles de sitios web que explotan la ignorancia de los usuarios para insertar todo tipo de códigos en los equipos de los visitantes. Desde Javascript embutidos que se descargan automáticamente hasta falsos formularios que llevan a extraer datos confidenciales.

Paradójicamente estos sitios suelen aparecer en los primeros lugares en las búsquedas debido a un “excelente trabajo” de los programadores de estas webs que dominan las técnicas de los “spiders” para catalogar los sitios.

Aunque en algunas ocasiones, Google como sus competidores advierten del contenido del lugar los expertos consideran del todo ilógico que muestren el resultado y a la vez adviertan del peligro.

Según fuentes del sector, Google ha ido recopilando datos sobre estas páginas y ahora se prepara para eliminarlos totalmente de los resultados. La compañía prefiere no confirmar ni negar la información aunque si insiste en que cuando detecta portales que explotan fallos en el navegador o incorporan troyanos, rootkits o prácticas ilegales de spam son eliminados del buscador.

Otras empresas como Yahoo y MSN dijeron que están trabajando en la misma línea y que también preparan una limpieza de su base de datos.

No obstante, los expertos siguen creyendo que estos no desaparecerán totalmente. “Tienen una gran capacidad para reproducirse y utilizan tácticas como crear blogs falsos muy rápidamente o llenar con enlaces comentarios en foros y otros sitios (…) los peores son aquellos que no se limitan a mandar millones de mensajes sino que son capaces de mandar mensajes selectivos a lugares determinados”, nos explicó un experto de una compañía de seguridad informática.

Fuente: http://www.noticiasdot.com/wp2/2007/11/30/google-eliminara-de-sus-busquedas-mas-de-40000-sitios-maliciosos/

Seguir leyendo...

Protección de Datos alerta de los riesgos de la Red para la privacidad

El director de la Agencia Española de Protección de Datos, Artemi Rallo, ha advertido en el Congreso sobre los riesgos que las nuevas tecnologías, de la mano de servicios como YouTube, el incremento de los dispositivos de videovigilancia, o los foros, pueden entrañar para la privacidad y dignidad de los ciudadanos. Ha añadido que, aunque incluyen productos que son fruto de la libertad de expresión, también recogen otros de "carácter deplorable", frente a los que "hay que ofrecer una respuesta clara". El texto completo de su comparecencia está disponible en PDF.

Rallo ha explicado en el Congreso los riesgos que, en su opinión, pueden entrañar fenómenos como YouTube para la privacidad y dignidad de los ciudadanos. Ha asegurado además que existe una "sensación de impunidad", y ha advertido sobre la necesidad de actualizar "con urgencia" los criterios tradicionales de garantía de privacidad, que el desarrollo de las nuevas tecnologías "pone en jaque".

Asímismo, ha señalado que en los últimos años ha proliferado el uso de sistemas de videovigilancia y, según él, las cifras parecen indicar "que somos los propios ciudadanos los que estamos dispuestos a convertirnos en nuestro propio 'Gran Hermano'".

Por otro lado, también ha afirmado que las reclamaciones "más novedosas" afectan al fenómeno de los foros de Internet y ha insistido en que estas plataformas, además de los servicios de búsqueda y de correo electrónico, deben garantizar los derechos de acceso, rectificación, cancelación y oposición.

Fuente: http://ciberderechos.barrapunto.com/article.pl?sid=07/11/30/1033227&from=rss

Seguir leyendo...

Google dice que bajó el SPAM

Brad Tayler, jefe del departamento de SPAM en Gmail, ha hecho declaraciones sobre el nivel de correo no deseado que recibe dicho servicio de correo electrónico.

Sorpresivamente, dijo que las cifras de SPAM se redujeron a lo largo de 2007. Sin embargo, no se han dado números o estadísticas puntuales. La razón posible sería el efectivo sistema que tiene Google para combatirlo, quien supuestamente habría conseguido desalentar a los spammers.

Obviamente, otros especialistas piensan lo contrario, y aseguran que el envío de correo basura no deja de crecer. De hecho, el propio Gmail dijo hace unas semanas que el 70% del correo en su sistema era SPAM.

Fuente: http://www.blogantivirus.com/google-dice-que-bajo-el-spam

Seguir leyendo...

La seguridad informática, una cuestión de Estado

Una compañía de seguridad advirtió sobre el comienzo de una "guerra fría cibernética"; asegura que desde más de 120 países trabajan en técnicas de ataque a gobiernos y mercados financieros por Internet.

Una "guerra fría cibernética" por las computadoras del mundo podría convertirse en una de las mayores amenazas para la seguridad en la próxima década, según una investigación presentada.

Unos 120 países están desarrollando modos de utilizar Internet como un arma para atacar a los mercados financieros, los sistemas informáticos gubernamentales y las empresas, indica el informe anual de la compañía de seguridad informática McAfee.

Los servicios secretos ya prueban de manera rutinaria las redes de otros estados en búsqueda de puntos débiles, y sus técnicas son más sofisticadas cada año, añade informe.

Los gobiernos deben incrementar sus defensas de manera urgente contra el espionaje industrial y los ataques a las infraestructuras.

"El cibercrimen ahora es una cuestión mundial", dijo Jeff Green, vicepresidente senior de McAfee Avert Labs. "Evolucionó significativamente y ya no es sólo una amenaza para la industria y los particulares, sino también cada vez más para la seguridad nacional", agregó.

Desde oriente . El informe sostiene que China está en la vanguardia de la ciberguerra. Este país ya ha sido culpado de ataques en Estados Unidos, India y Alemania, algo negado repetidamente por Pekín.

"Los chinos fueron los primeros que usaron los ciberataques para objetivos políticos y militares", dijo en el informe James Mulvenon, director del Centro de Inteligencia e Investigación en Washington.

El reporte fue elaborado con datos de académicos y responsables de la Agencia británica del Crimen Organizado Grave, de la Oficina Federal de Investigación de Estados Unidos y de la OTAN.

Los ciberataques de abril y mayo de este año a páginas de Internet privadas y del Gobierno en Estonia fueron "sólo la punta del iceberg".

Peligrosos. El informe de McAfee predijo que los ataques del futuro serán más sofisticados.

"Los ataques han progresado desde pruebas iniciales por curiosidad a operaciones bien financiadas y bien organizadas por espionaje político, económico y técnico", concluyó.

Fuente: http://www.lanacion.com.ar/tecnologia/nota.asp?nota_id=966916

Seguir leyendo...

Métricas y guías de implantación sobre la ISO 27001 (en español)

En una labor encomiable de Javier Ruiz Spohr y Agustín Lopez Neira, de ISO27000.es similar a las que nos vienen mal acostumbrando en su portal, hoy quiero dar a conocer la traducción al castellano del documento elaborado por Gary Hinson para la web ISO27000security.com sobre métricas y guía de implantación de controles de la norma ISO 27001(Anexo A).
El documento podéis descargarlo en el portal ISO27000.es o desde este enlace.

Es de gran ayuda disponer de recomendaciones sobre cómo medir para plantearse cómo resolver una situación o implantar un control. Como consultor el tema de la medición es uno de los que más quebraderos de cabeza genera en el proceso de certificación ISO 27001, quizás por su importancia dado que el buen funcionamiento del SGSI debe valorarse en base al cumplimiento de objetivos y para ello, es crítico medir bien.

Fuente: http://sgsi-iso27001.blogspot.com/2007/11/mtricas-y-guias-de-implantacin-sobre-la.html

Seguir leyendo...

Cómo cifrar las conversaciones de MSN Messenger

Algo que no muchos saben es que cada vez que hablamos por MSN inevitablemente somos vulnerables a que cualquiera (que sepa hacerlo) pueda leer lo que escribimos con todos nuestros contactos usando cualquier sniffer ya que MSN transmite todo en texto claro, sin cifrado. Esto hace que los administradores de la red (o de nuestros proveedores de Internet) no tengan muchas complicaciones técnicas para revisar en tiempo real lo que estamos conversando con nuestros contactos y almacenar todo en un log (registro de texto).
El servicio de MSN Messenger NO CIFRA los datos, es decir, estos... viajan por la red tal y como los escribimos, haciendo que puedan ser interceptados fácilmente.
El siguiente esquea muestra con equis azules los puntos donde se puede interceptar fácilmente una comunicación entre dos personas.

La verdad no sé porqué los desarrolladores de Messenger no le han puesto firmeza al tema de la seguridad y confidencialidad de datos en sus software y se preocupan más de reventarlos de monos y chiches inútiles.
En fin, para solucionar en parte eso existe SIMP que es un protocolo utilizado para cifrar las comunicaciones y así nadie pueda espiar lo que hablamos.
El único detalle es que solamente cifra la comunicación con otro contacto que también tiene SIMP. Por eso hay que ayudar a masificar esta herramienta en pro de la seguridad y privacidad.
Para descargarlo puede seguir el siguiente enlace:
http://www.secway.fr/us/products/simplite_msn/getsimp.php
SIMP funciona como un complemento más de Messenger y no interferirá en el normal funcionamiento de este. Se trata de una pieza de software 100% recomendable. Si necesita hablar cosas privadas por MSN, no lo haga sin protección de cifrado de datos o de lo contrario se arriesga a que lean todo lo que usted escribe.

Fuente: http://www.seguridad-informatica.cl/home/como-cifrar-las-conversaciones-de-msn-messenger

Seguir leyendo...

La inseguridad en el software de seguridad y un estudio amarillista

Si, señores, el software de seguridad no es invulnerable. Cerremos todo, guardemos la computadora en la caja y vamos a vivir al campo que es más tranquilo.

Hay algo que todos tenemos que entender es que no existe un software invulnerable, en ningún sentido. Siempre existe la posibilidad de que cualquier software tenga algún tipo de error de programación que devenga en un agujero potencial de seguridad.

Lo anterior también se aplica a antivirus, antispam, firewall, IDS, IPS, filtros de contenidos, protección de datos, programas de encriptación, etc, etc, etc.

Este hecho no es discutido por nadie (y quien lo discuta, mejor que se dedique a otra cosa), y hay que tenerlo en cuenta cuando diseñamos la seguridad de nuestro entorno informático, sea hogareño y/o empresarial.

Los agujeros de seguridad en las aplicaciones que están destinadas a protegernos suelen ser de importancia y ponen de manifiesto la necesidad de una clara comunicación entre los desarrolladores y los usuarios, tanto en materia de información del problema como en soluciones lo más automáticas posibles.

Un reciente estudio, un tanto amarillista en la forma de expresarlo, informa sobre vulnerabilidades pasadas y posibles en los antivirus en particular.

El nombre del estudio, realizado por una empresa alemana, es “La muerte de la defensa antivirus”. Cuando uno lee eso, dan ganas de dejar de usar una computadora, ¿no?

Más allá del nombre, el estudio muestra algunos puntos interesantes en factores como el procesamiento de distintos tipos de archivos por los antivirus, los cuales pueden llevar a potenciales vulnerabilidades relacionadas con desbordamiento de buffers y demás.

Negar que los antivirus tienen o pueden tener vulnerabilidades es imposible, dado que es cierto, como con cualquier software. Lo interesante de este estudio es la forma en que lo presenta, pero no por la veracidad del mismo en muchos aspectos, sino por lo que hace la empresa que lo realizó.

N.runs, la empresa tras este estudio, es de origen alemán y está desarrollando un software que… sirve para parsear archivos y su objetivo es prevenir que se puedan realizar ataques contra los antivirus. Es más, dicen que los antivirus son aliados tecnológicos muy importantes para ellos (ver última página del estudio). ¿En qué quedamos? ¿¡No era que estaban muertos los antivirus!?

Básicamente, el estudio marca algunos factores reales, pero dudo del interes detrás de su realización. El título es amarillista, con la intención clara de llamar la atención, tanto de potenciales clientes como de las propias casas antivirus, y lo que se desprende a leer entre líneas es que están presentando el problema de una forma enteramente comercial para luego poder vender su solución…

Más allá de esa práctica tan poco “convencional” (esa no sería la palabra), quiero remarcar que la existencia de vulnerabilidades en software antivirus existe, y basta con navegar por Internet para encontrar información sobre las conocidas y ya solucionadas. Es otro factor más que tenemos que tener en cuenta al planear nuestra seguridad.

Fuente: http://virusattack.blogspot.com/2007/11/la-inseguridad-en-el-software-de.html

Seguir leyendo...

Google revela la IP de un blogger israelí sin ser obligado por el juez

Según informa Globes Online, Google, en un movimiento sin precedentes, ha proporcionado la IP de un blogger israelí sin llegar a mediar una orden judicial al respecto.

El blogger acusaba a tres candidatos a unas elecciones de aceptar sobornos de un contratista, hacerse pasar por discapacitados para reducir impuestos y tener relaciones con bandas delictivas.

Los tres afectados interpusieron una demanda contra el "anónimo" blogger, al tiempo que solicitaban una orden judicial para obligar a Google a revelar su IP...

Inicialmente, Google alegó que revelar la identidad del blogger violaba las reglas del equilibrio entre la libertad de expresión y el derecho de las personas a proteger su reputación.

Sin embargo, en una vista previa el juez afirmó que el contenido del blog era sospechoso de una conducta delicitiva y Google captó el mensaje. La empresa californiana llegó a un acuerdo con los denunciantes mediante el que se proporcionaba al blogger la posibilidad de identificarse en las 72 horas previas a la vista, al tiempo que se le advertía que, en caso de no hacerlo -como de hecho ocurrió- su IP sería desvelada.

Fuente:
http://www.kriptopolis.org/google-revela-datos-blogger-anonimo
http://yro.slashdot.org/article.pl?sid=07/11/27/2235251

Seguir leyendo...

Riesgos del teletrabajo

A todo el mundo se le hacen los ojos "chiribitas" cuando oye que en el futuro podrá ser un teletrabajador. Sin embargo, desde la perspectiva de los responsables de sistemas de información, es justo en ese momento cuando empieza un temblor en las piernas.
En esta vorágine de modernizarlo todo, “alguien” debe profundamente reflexionar y pensar que nuevos medios implica revisión de los diseños. Es como si a un edificio ya construido, le ponemos por encima cuatro plantas más. ¿Vale el mismo proyecto arquitectónico? ¿Resistirá la nueva carga?. Pues eso es lo que habitualmente se hace con los sistemas de información, y por desgracia, sin contar con “sus arquitectos” ni con expertos en “seguridad de la información” (que no ya informática).

El teletrabajo es un nuevo elemento que hay que tratar de proteger de la manera mejor posible. Sin todavía justificar mi respuesta, ya anuncio que el principal problema de seguridad es el usuario teletrabajador que no sea un empleado fiel.

Cuando se estudia y diseña un sistema de seguridad, se realiza lo que llamamos un análisis de riesgos. Básicamente consiste en identificar el sistema de información, sus procesos, sus actores y para cada una de estas piezas plantearte qué cosas pudieran suceder y cuales son realmente los daños y por tanto, los riesgos.

En el tema del teletrabajo, podemos identificar tres trozos que forman el proceso: Usuario-cliente, el canal de comunicación, y los sistemas centrales que suministran los datos. Este esquema es por ejemplo, el que también presentan los servicios de banca electrónica.

Seguir leyendo

Seguir leyendo...

Top 20 de vulnerabilidades de SANS

El reporte anual 2007 de SANS sobre las vulnerabilidades más comunes ha sido publicado y puede ser accedido desde SANS Top-20 2007 Security Risks (2007 Annual Update) y un resumen aquí.

Seguir leyendo...

Gran Bretaña pospone su polémica megabase de datos infantiles

El polémico proyecto ContactPoint, dirigido a crear una gigantesca base de datos conteniendo los datos de todos los menores británicos y de los adultos con los que interactúan, parece haber sufrido un serio revés a raíz de la reciente pérdida de unos discos conteniendo los datos fiscales de millones ciudadanos británicos.

Desde sus inicios, el proyecto ContactPoint ha sido severamente criticado, sobre todo desde que se conoció que más de 300.000 personas dispondrían de autorización oficial para consultarla...

Demasiada disponibilidad sin necesidad siquiera de contar con los "daños colaterales" que podría suponer el acceso a la base on-line de intrusos no autorizados.

En definitiva, aún no está todo perdido. Los impulsos controladores del Gran Hermano pueden aún ser eficazmente combatidos de dos formas: la decidida oposición ciudadana y -ahora también- la fuerza de los hechos, que se concreta en las cada día más frecuentes filtraciones de datos de megabases oficiales y privadas.

Fuente:
http://www.kriptopolis.org/contactpoint-aplazado
http://www.heise-security.co.uk/news/99705

Seguir leyendo...

Cómo acelerar BitTorrent un 500% (o no)

Un sitio web llamado High Speed Torrent presumía de vender a sus clientes métodos infalibles para multiplicar por 5 la velocidad de descarga en sus clientes BitTorrent, pero los incautos deberían comprobar que se trata de un truco más de algún usuario muy avispado.

En TorrentFreak han publicado un simpático post imitando esa oferta y comentando la utópica promesa de High Speed Torrent - ahora en proceso de venta - , que prometía a sus clientes rendimientos muy superiores a la media mediante la venta de manuales y guías que podrían acelerar de forma crítica sus tasas de transferencia.

No obstante y como bien señalan en TF, las mismas guías están disponibles tanto en esta como en otras páginas especialmente dedicadas a promulgar el uso de este protocolo P2P, de modo que si alguna vez habéis visto algo similar, no caigáis en la trampa.

Fuente:
http://www.theinquirer.es/2007/11/29/como_acelerar_bittorrent_un_500_o_no.html
http://torrentfreak.com/speed-up-your-torrents-500-071128/
http://torrentfreak.com/20-bittorrent-tips-and-tricks-070903/

Seguir leyendo...

EMI cortará la financiación a las asociaciones antipiratería

Una de las empresas más importantes del mundo de la música, quiere "cortar el grifo" en lo que abona a las asociaciones como la RIAA o IFPI, lo que dicen podría suponer un duro golpe en la mal llamada "lucha contra la piratería".

EMI recientemente adquirida por el grupo británico de capital riesgo Terra Firma, estaría buscando formulas para reducir “sustancialmente” su aporte a este tipo de asociaciones que representan a la industria discográfica contra la piratería.

Estas reciben sustanciosas sumas de gigantes como EMI, Warner, Sony o Universal más cientos de pequeños sellos independientes. Solo las cuatro grandes aportarían la barbaridad de 132 millones de dólares anuales, según fuentes de la propia IFPI.

El cambio de la estrategia de EMI es un nuevo paso tras el anuncio de vender música sin DRM. Dejar de perseguir a los consumidores parece ser la siguiente.

Los analistas en UBS dicen que reducir la financiación a estas asociaciones podría obstaculizar los esfuerzos de la industria para combatir la piratería y proteger los derechos de autor.

Otros lo vemos de otra forma. Las cuantiosas sumas gastadas en denunciar a los potenciales clientes tratándolos de delincuentes no han servido absolutamente de nada y deberían haber sido destinadas en la búsqueda de nuevos modelos de negocio, con menos asociaciones que se llevan la pasta, cabrean al usuario y no hacen vender más discos si no todo lo contrario.

Renovarse o morir. Las fórmulas existen y son de gran éxito. Una de ellas es la venta online de canciones. ¡Qué le pregunten a Jobs cuánto gana en su tienda iTunes!

Fuente: http://www.theinquirer.es/2007/11/29/emi_cortara_la_financiacion_a_las_asociaciones_antipirateria.html

Seguir leyendo...

La mayor amenaza a la seguridad son los usuarios

Por Angela Ruiz
[email protected]

Una de las mayores vulnerabilidades de seguridad en
computadoras y redes, es el propio usuario. De acuerdo con el
reporte anual del SANS Institute sobre los 20 riesgos más
importantes a la seguridad en Internet, "los usuarios que son
fácilmente engañados" y las aplicaciones creadas a medida,
están en los primeros puestos como los principales objetivos
para los atacantes.

En el informe se citan varias historias basadas en eventos
auténticos, que ilustran las implicancias del "mundo real" en
los retos actuales de la seguridad.

En un caso, cientos de altos funcionarios federales y
directivos de empresas, visitaron un sitio político
infectado, y todas sus computadoras se convirtieron en
máquinas zombis.

Keylogers instalados en sus equipos, capturaron nombres de
usuario y contraseñas de sus cuentas bancarias y otra
información financiera, y enviaron todo ello a
cibercriminales de varios países. Mucho dinero y datos
críticos fueron perdidos.

En otro caso, un adolescente simplemente visitó una página de
Internet con una versión no actualizada de un reproductor
multimedia. Un video se abrió apenas el joven entró al sitio,
mientras un keylogger (capturador de la salida del teclado),
se instalaba en su equipo sin su conocimiento. Es el mismo
equipo que su padre utiliza para manejar sus cuenta bancarias
en línea.

La cuenta fue literalmente vaciada por los atacantes. A pesar
de que el banco más tarde compensara en parte las pérdidas,
los investigadores descubrieron que el dinero fue a parar a
un grupo de terroristas suicidas en medio oriente.

En un tercer caso, una aplicación hecha a medida tenía un
error de programación que permitía a los delincuentes acceder
a los registros privados de los pacientes de un hospital. El
hospital fue extorsionado a pagar una suma de dinero para
evitar que los registros se hicieran públicos en Internet.

Estas y otras historias ilustran el informe del SANS que
intenta mostrar el panorama actual de la seguridad
informática. El mismo es la creación de un trabajo colectivo
de cuarenta y tres expertos en seguridad, pertenecientes a
gobiernos, industrias e instituciones académicas de varios
países.

En el panorama que presenta el informe del SANS, se destacan
los continuos asaltos de programas automatizados en busca de
vulnerabilidades. De hecho, el Internet Storm Center, el
sistema de alertas tempranas del SANS, informó que "una
computadora recién conectada a Internet, puede ser atacada de
inmediato, y no llegará a sobrevivir más de cinco minutos si
no fue debidamente configurada o protegida antes de
conectarse."

Alan Paller, director de investigaciones del SANS, dice que
muchas aplicaciones web personalizadas, son programadas sin
tener en cuenta los requisitos de seguridad necesarios.
"Hasta que los colegios que enseñan programación y las
empresas que contratan a los programadores, garanticen que
los desarrolladores dominan la codificación segura", dijo,
"seguirán existiendo importantes vulnerabilidades en casi la
mitad de todas las aplicaciones web."

El informe sugiere algunas formas de defensas acerca de las
aplicaciones que pueden permitir que un sitio pueda
comprometer la información de las computadoras o infectarlas.
La mejor defensa es la utilización de cortafuegos y
antivirus, educar a los usuarios para sensibilizarlos en
cuestiones de seguridad, y entrenar al personal de las
empresas para detectar síntomas como un aumento imprevisto en
el tráfico de la red.

Otros riesgos señalados en el informe, incluyen dispositivos
no autorizados (memorias USB por ejemplo), y el uso indebido
de programas de intercambio de archivos. El informe indica
que en general, las mejores prácticas deben incluir la
configuración de los sistemas para prevenir la instalación no
autorizada de software, el uso de proxys, el cifrado de los
datos sensibles, y la prueba exhaustiva en un ambiente
controlado, de cualquier software antes de ser instalado en
la red de la compañía.

* Fuente:
SANS Institute
SANS Top-20 2007 Security Risks (2007 Annual Update)
http://www.sans.org/top20/

Fuente: http://www.vsantivirus.com/28-11-07.htm

Seguir leyendo...

Cómo eliminar las protecciones de un PDF

Hoy he necesitado imprimir un documento PDF relacionado con el trabajo (interesante para mí y muchas otras personas). Era importante, porque el documento lo necesitaré tener consultable en papel en pocos días. Pero ¡oh sorpresa!, a pesar de ser un documento que mucha gente además de mí va a necesitar imprimir, éste está protegido ¡contra impresión! Pero vamos a ver… ¿por qué se empeñan en poner puertas al campo? Si quiero imprimirlo por muchas protecciones que pongan siempre podré sacar pantallazos e imprimir, ¿por qué nos ponen estas trabas?

En fin, eso me ha llevado a descubrir un servicio online para eliminar las protecciones de los PDF (en concreto, puede eliminar la protección anti-impresión y la protección anti-copy-paste). Funciona perfectamente, tal y como podéis apreciar en las imágenes. Supongo que no durará mucho online...

Fuente: http://diariolinux.com/2007/08/28/como-eliminar-las-protecciones-de-un-pdf/

Seguir leyendo...

Certificados Digitales gratuitos con CaCert

CaCert.org es una Autoridad de Certificación (CA) que ofrece certificados digitales gratuitos, tanto para uso en clientes (para firmar digitalmente documentos o mensajes de correo, o incluso código fuente, como las macros de OpenOffice o las extensiones de Firefox) como en servidores (para autenticar un servidor frente a un cliente - “sí, éste realmente es el servidor de banca electrónica que dice ser”).

Cuando pides un certificado personal a CaCert, en los campos del usuario Nombre, Apellidos, Email, sólo te ofrecen, inicialmente, el poder elegir cuál es la dirección de correo que quieres que figure en el campo email. Para que tu nombre y apellidos también figuren, CaCert necesita asegurarse de que realmente eres quien dice ser. Para verificar esta cuestión, recurre a los anillos de confianza: usuarios que ya han acreditado sus datos personales han de firmar y acreditar los tuyos. En concreto, es necesario buscar a un “Assurer”, una persona (a ser posible cercana a tu lugar de residencia) que, previa presentación de tu documento de identidad y/o pasaporte, acredite tu identidad frente a CaCert. Cada vez que consigues que un Assurer dé fe de tu identidad, consigues hasta 35 puntos. Es necesario acumular 100 puntos para que CaCert incluya tu nombre y apellidos (aparte del email) en el certificado.

Esta semana he enviado varios mensajes a varios “assurers” cercanos a Donostia, y sólo me ha respondido uno. He quedado con él para la semana que viene, a ver si consigo mis primeros 35 puntos y me entero exactamente de cómo funciona el proceso.

Es una lástima que CaCert no se incluya de serie en el almacén de Autoridades de Confianza de Mozilla/Firefox y haya que instalar el certificado raíz a mano. Sin embargo, parece ser que el proceso de inclusión del certificado raíz de CaCert (o de cualquier otra CA) en Mozilla debe de pasar por un proceso de auditoría bastante estricto. Y aún les queda trabajo por hacer… Interesante ese último enlace, porque en el Wiki de CaCert publican muchos detalles de la auditoría a la que deben someterse (ellos y cualquier otra CA que quiera ver su certificado raíz por defecto incluído en Mozilla/Firefox)

Es curioso, leyendo toda la documentación de los párrafos anteriores, me he enterado de que existe otra empresa que ofrece también certificados digitales gratuitos y que ha pasado ya con éxito por la auditoría que solicita Mozilla: StartCom. Instalaré sus certificados a ver qué tal funciona el proceso con esta otra CA.

Finalmente, para aquellos lectores que estén empezando y no conozcan las posibilidades de uso de los certificados digitales en Linux, les recomiendo el artículo sobre Firma Digital en Linux que escribí en la revista Todo Linux 66 y que la editorial ha tenido a bien publicar libremente.

Fuente: http://diariolinux.com/2007/11/03/certificados-digitales-gratuitos-con-cacert/

Seguir leyendo...

Phishing a usuarios de GMail

En las últimas horas nos han hecho llegar (gracias Carlos) un reporte sobre un Phishing a usuarios de GMail con el siguiente aspecto.

Como puede verse se invita al usuario a ingresar a un enlace para confirmar sus datos.
De más está decir que este mensaje es falso y tiene como objetivo robar los datos de usuarios desprevenidos.
Lo más curioso de todo es que también nos reportan que los usuarios preguntan como confirmar los datos, cuando intentan ingresar al sitio (falso) y no logran acceder porque el mismo ya ha sido dado de baja.

La falta de educación: una fuente inagotable de recursos para los delincuentes.

cfb

Seguir leyendo...

Ejecución de código arbitrario en Apple Quicktime

Se ha encontrado una vulnerabilidad en Apple Quicktime que podría ser
aprovechada por un atacante remoto para ejecutar código arbitrario y, si
la aplicación es ejecutada con privilegios de administrador, conseguir
control total sobre el sistema.

La vulnerabilidad está causada por un fallo de límites al procesar
respuestas que usan el protocolo RTSP para streaming de audio y vídeo
(Real Time Streaming Protocol). La aplicación comete un error al
comprobar los límites de una entrada introducida por el usuario de
manera que la copia en un búfer de memoria en pila demasiado pequeño.
Esto podría ser aprovechado por un atacante remoto para provocar un
desbordamiento de búfer a través de una respuesta RTSP que contengan un
encabezado Content-Type demasiado largo. La vulnerabilidad es explotable
si la víctima abre un stream especialmente manipulado o visita una
página web maliciosa. De realizar un ataque con éxito, el atacante
podría ejecutar código arbitrario con los privilegios con los que se
ejecuta la aplicación.

La vulnerabilidad, que fue hecha pública el día 23 por Krystian
Kloskowski (el mismo que en agosto descubrió un grave fallo en Nessus)
podría afectar a todos los usuarios de Apple Quicktime que hagan uso de
la versión 7.3 (versión actual) o de cualquiera de las versiones
anteriores. Los usuarios de iTunes también se verían afectados por el
problema puesto que la última versión de Quicktime está incluida en la
instalación de iTunes, el popular software multimedia de Apple.

Poco después de que se conociera la vulnerabilidad, ya se publicó un
exploit para Windows XP y Vista que la aprovecha para ejecutar código.
En teoría Microsoft Vista, gracias al ASLR (Address Space Layout
Randomization), protegería en cierta medida de la ejecución de código
derivada de los desbordamientos de búfer, pero no es el caso. Los
archivos de sistema sí son colocados en espacios aleatorios, pero el
resto de binarios deben tener un bit activo para aprovechar esta
funcionalidad. Los programadores de Apple no lo han activado para
QuickTime, así que el exploit es igual de funcional en XP y Vista.

Por ahora, según Symantec, el exploit hecho público tiene diferente
comportamiento según el navegador.

En Internet Explorer 6 y 7 y Safari 3 Beta, se carga QuickTime como
plugin interno. Esto provocaría el desbordamiento y la aplicación
dejaría de responder, pero no permitiría la ejecución de código. En
Firefox, la petición es manejada directamente por QuickTime como un
proceso separado. Como resultado, el atacante podría ejecutar código
arbitrario. En cualquier caso, el exploit podría ser reprogramado y
funcionar bajo cualquier navegador.

No existe ningún parche disponible por el momento. Para protegerse, es
posible bloquear el protocolo RTSP a través de red, o deshabilitarlo en
QuickTime desde el panel de control de la aplicación. En Preferencias y
seleccionar Tipos de Archivo / Avanzado / MIME Settings y quitar de la
selección la descripción RTSP stream bajo la opción Streaming –
Streaming movies.

Con respecto a los navegadores, es posible deshabilitar el control de
ActiveX QuickTime en Internet Explorer, para ello hay que activar el
kill bit para los CLSID 02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} y
{4063BE15-3B08-470D-A0D5-B37161CFFD69}. Esto evitará que el fallo sea
aprovechado a través de una web.

En el caso de Firefox, se recomienda deshabilitar la ejecución de
JavaScript bajo páginas no confiables.

Más información:
Zero-Day Exploit for Apple QuickTime Vulnerability
http://www.symantec.com/enterprise/security_response/weblog/2007/11/0day_exploit_for_apple_quickti.html

New QuickTime bug opens XP, Vista to attack
http://computerworld.com/action/article.do?command=viewArticleBasic&articleId=9048678&intsrc=hm_list

Pablo Molina
[email protected]
Sergio de los Santos
[email protected]

Fuente:
http://www.hispasec.com/unaaldia/3321/
http://www.vsantivirus.com/vul-quicktime-261107.htm

Seguir leyendo...

VISA dice basta a los robos de tarjetas en la red

Por Mercè Molist

Las principales firmas de tarjetas de pago exigen unos mínimos de seguridad al comercio electrónico.

El comercio electrónico está viviendo una carrera que ríase usted de la adaptación al año 2000. Bancos, tiendas y pasarelas que almacenan datos bancarios deberán cumplir antes de 2008 un nuevo estándar de seguridad, dictado por las principales firmas de tarjetas de pago. En caso contrario, no podrán usar estas plataformas para comercializar sus productos.

La razón de esta medida radica en una práctica común pero peligrosa del comercio electrónico, explica Simon Perry, vicepresidente de Gestión de Seguridad de Computer Associates: "Cuando compras con tarjeta en Internet, la tienda guarda tus datos para que la próxima vez no tenga que pedírtelos y sea más fácil para tí. El problema es que así se crean bases de datos con información de cientos de miles de tarjetas, muy apetecibles para los delincuentes".

Los robos de estas bases de datos han sido una práctica habitual en los últimos años y un secreto a voces que las empresas se han negado a publicitar. Esto cambió en 2005, cuando el estado norteamericano de California aprobó la "Ley de Información de Brechas de Seguridad", que obligaba a notificar a los clientes los robos de información personal.

Con la ley, aumentaron exponencialmente las noticias sobre compromisos de bases de datos y también la desconfianza de los consumidores, explica Simon Perry: "A la gente le preocupa cada vez más la seguridad a la hora de comprar en Internet y esto se ha convertido en un importante problema empresarial que justo ahora las compañías empiezan a reconocer".

Diversas encuestas realizadas por Computer Associates confirman esta sensación, también en Europa, explica Perry: "Las decisiones de compra electrónica de los consumidores más educados y que gastan más se basan sobre todo en la confianza en que el sitio sabrá guardar sus datos bancarios, convirtiéndose así en uno de los principales motivos de compra".

Conocedoras de esta situación, las principales entidades de tarjetas de pago, American Express, Visa, MasterCard, Discover Financial Services y JCB, han creado el Estándar de Seguridad de los Datos de la Industria de Pago con Tarjeta (PCI DSS son sus siglas en inglés), de obligado cumplimiento a partir de 2008.

El estándar establece unas normas básicas para este tipo de bases de datos: además de las medidas habituales como usar antivirus, cortafuegos e instalar parches de seguridad, los datos deben ser cifrados y los accesos a la máquina, controlados y grabados, de forma que todos los que la usen estén claramente identificados.

Las penalizaciones por no homologarse van desde multas hasta la retirada del permiso para usar estas tarjetas de pago. Muchas empresas han esperado hasta el último momento, lo que ha provocado que desde las grandes consultoras internacionales hasta las pequeñas estén trabajando a destajo en ponerlas a punto para el nuevo estándar.

Aunque la medida no afecta sólo al comercio por Internet sino a cualquier compañía que almacene datos bancarios en formato electrónico, está especialmente dirigida a aumentar la seguridad del primero. Algo muy necesario, según Perry: "De las muchas empresas que he auditado, todas tenían algo que arreglar, a pesar de que las medidas que requiere el estándar son de seguridad muy básica".

Pero, para este ejecutivo, "lo que pone los pelos de punta es que en Europa no haya una ley que obligue a las empresas a informar de estos robos. Aunque se ha pedido y discutido a nivel de Comisión Europea, sigue sin haber nada porque a las compañías les preocupa la pérdida de reputación. Mi opinión es: dejen de discutir y háganlo".

PCI Security Standards Council
https://www.pcisecuritystandards.org

Computer Associates
http://ca.com/es

Copyright 2007 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.

Fuente: http://ww2.grn.es/merce/2007/tarjetas.html

Seguir leyendo...

Los blogs de los fans de Apple, defaceados

Nota de segu-info: el término 'hacker' no está correctamente utilizado en la nota, debería decir defacement.

Un harto de la elitista postura de muchos maqueros se está dedicando a entrar en blogs dedicados a destacar todos los productos de Apple y sustituir el contenido de un blog por un mensaje en el que critica esa actitud.

En el mensaje este escribe “Este es un mensaje para el resto de la comunidad Mac, así que escuchad. ¿Habéis oído hablar alguna vez de la presunción? Relajad el tono y no seréis atacados.”

El con el alias Malcor ha atacado ya al menos 4 blogs dedicados al ‘culto al Mac’ y en todos ellos ha dejado ese mismo mensaje, acompañado de una imagen con una manzana podrida que expresa su crítica a la actitud de ’superioridad’ que muchos maqueros tienen ante el resto de usuarios.

Fuente: http://www.theinquirer.es/2007/11/28/los_blogs_de_los_fans_de_apple_hackeados.html
http://www.theregister.co.uk/2007/11/27/mac_site_defacer/

Seguir leyendo...

El PSOE invita a "spamear"

Nota de segu-info: Nos sentimos en la obligación (o impulso) de añadir que nos parece muy triste la noticia. Siempre alentamos que parte importante de la seguridad es el eslabón humano y evidentemente, algunos todavía no entienden nuestra responsabilidad en el circuito.

Pepe Blanco, secretario de Organización del PSOE, está empeñado en sacarle todo el jugo a la Red. Tras unos inicios complicados, con ciertas dificultades en el uso del navegador, ahora ha pedido a sus partidarios que no se corten con el spam. Que recurran a correos electrónicos, blogs y SMS para "ilusionar a los indecisos".

Sin preguntar a los indecisos si quieren recibir estos mensajes o ser ilusionados. Algo, como mínimo, feo y de muy mala educación. Aunque los partidos tienen todo el derecho a utilizar Internet para captar votos, no todas las técnicas son legítimas. Y algunas pueden ser contraproducentes.

Imaginemos que de la noche a la mañana la llamada de Blanco surge efecto y que los buzones de correo, los teléfonos móviles y la blofosgera se inundan de propaganda política no solicitada. 50.000 voluntarios, según el socialista, son los encargados de llevar a cabo esta labor.

Toda ayuda es poca para difundir el mensaje. Desde un comentario en una noticia hasta un vídeo, por cutre que sea. La 'Guía del voluntario ciberprogresista' —¿Alguien puede recomendar que se elimine de una vez ese 'cíber'— anima a crear listas de distribución propias de un mínimo de 5 a 10 direcciones. Y enviar correo no solicitado, eso sí, con talante positivo y sin incluir a 'ciberenemigos', no sea que monten —con razón— en cólera.

Pero ahí no acaba la cosa. También animan a inundar foros, chats, herramientas de participación de los medios digitales e incuso blogs de candidaturas contrarias. Además de recomendar que se vote en todas las encuestas posibles. Dicen que se trata de "política con mayúsculas" cuando, siendo sinceros, parece propaganda.

Quien haya tenido la idea pensará que es un visionario. Pero ha metido la pata del todo al intentar copiar el o de activismo estadounidense. La primera norma del 'marketing viral' es no provocarlo, sino dejar que surja, y ya la han incumplido. Una lástima, porque la página que han creado para organizarlo todo, 'La mirada positiva', es sorprendentemente aceptable.

Por este camino sólo van a conseguir justo lo contrario de lo que pretenden: perder votos por la vía del hartazgo. O puede que yo sea muy fácil de hartar, aburrir y cabrear.

Fuente: http://www.elmundo.es/elmundo/2007/11/26/catalejo/1196101194.html

Seguir leyendo...

Un catedrático noruego y sus estudiantes atacan el sistema informático de varios bancos

Lo hicieron para demostrar los problemas de seguridad de estos sistemas, informó hoy la revista 'Computer World'.

Durante 9 meses, Hole y su equipo sabotearon de forma continua el sistema de dos bancos donde tenían cuentas mediante el 'phishing', práctica que consiste en el envío masivo de mensajes electrónicos que fingen ser oficiales y que buscan hacerse con información del usuario, en este caso, con su identificador electrónico.

"La seguridad mediante autenticación es muy débil, hemos demostrado que es posible robar la identidad. Para ello, sólo hemos necesitado pensar como criminales y utilizar técnicas de ataque conocidas", declaró Hole a la edición noruega de esta revista informática, que hoy publica la historia.

Hole, que trabaja en el Centro de Investigación para Teoría de los Códigos y Criptología de la Universidad de Bergen, señaló que había informado a la Oficina de Estandarización de Bancos (BSK) y a las propias entidades bancarias del déficit de seguridad desde el inicio de su investigación y que realizó los ataques porque no le hicieron caso.

Hole y su grupo, que utilizaron sólo sus propias cuentas, realizaron durante esos meses varias demostraciones ante expertos de seguridad para probar los fallos del sistema, a pesar de que las autoridades habían asegurado en marzo que el problema estaba solucionado.

Uno de sus estudiantes ideó además en sólo 100 horas de trabajo un código para sabotear las soluciones de los bancos digitales, según la revista.

Tanto el Centro Noruego para Seguridad en la Información (NorSIS) como la entidad encargada de emitir los identificadores y controlar la seguridad del sistema rechazaron los métodos de Hole por su supuesta falta de ética y avisaron de posibles acciones legales contra él y su equipo.

Fuente: http://www.lavanguardia.es/lv24h/20071128/53414303112.html

Seguir leyendo...

IXQuick, el buscador anónimo

Cada vez que utiliza un buscador, sus datos estan siendo archivados.
Sus terminos de busqueda, el tiempo de sus visita, los enlaces que eligió, sus dirección de IP y sus ID cookies de usuario son todos alemacenados en una base de datos.

Los perfiles de identidad que se pueden construir basadas en esta información son una mina de oro para los expertos del marketing.
Pero funcionarios del gobierno, crackers e incluso criminales tambien tienen un interés especial en apoderarse de sus datos personales de busqueda.
Y tarde o temprano lo harán ...

Ahora que la protección de la confidencialidad está cada vez más en peligro durante el empleo de motores de búsqueda de Internet, la Metabúsqueda Ixquick da un gran paso adelante borrando todos los datos personales de sus usuarios.

"Esta nueva función de nuestro motor de búsqueda asegura que nuestros clientes podrán disfrutar de una protección de confidencialidad y de un rendimiento de búsqueda de máxima calidad. Usuarios de Ixquick podrán buscar en los 11 mejores motores de búsqueda sin que estos motores graben sus datos personales", declaró Alex Van Eesteren, portavoz de Ixquick.

Debido a la mayor digitalización el almacenamiento de datos personales va incrementando con fuerza. Los motores de búsqueda tienen un papel vital en este proceso, ya que registran la hora, las palabras claves, sitios visitados y la llamada dirección IP del usuario mientras buscan en Internet. En muchos casos, esta dirección IP permite identificar al ordenador - y la dirección (domicilio) relacionada - utilizada en la búsqueda.

Generalmente los motores de búsqueda almacenan datos personales durante largos periodos de tiempo. Estos datos son de interés comercial para las empresas, de interés de seguridad pública para el Estado, pero también pueden ser usados con fines criminales.

"Muchos motores de búsqueda ya utilizan los datos para fines comerciales. Sólo es cuestión de tiempo que esta información se utilice incorrectamente", declaró el Sr. Van Eesteren.

Por esta razón, Ixquick espera que durante los próximos años el problema de la confidencialidad adquiera cada vez mayor importancia.

La frase "Sin intentiones nocivas no hay nada que temer" que utilizan los motores de búsqueda más importantes como excusa para recopilar información, ya no es valida" declaró el Sr. Van Eesteren.

La función Metabúsqueda de Ixquick permite al usuario buscar simultáneamente en los 11 mejores motores de búsqueda. No obstante, Ixquick no comparte los datos personales del usuario con estos motores de búsqueda individuales. Además, a partir de esta semana, Ixquik suprimirá las direcciones IP de los usuarios y los ID únicos del usuario" de sus propios registros de búsqueda, "log-files".

De esta forma, cualquier usuario puede utilizar Ixquick para encontrar resultados de la combinación de los mejores motores de búsqueda, a la vez que disfruta de una protección completa de su confidencialidad", continuó el Sr. Van Eesteren.

Ixquick conserva la anominicidad:

- Usted tiene el derecho a la intimidad.
- Sus datos de busqueda nunca deberán caer en manos equivocadas
- Borrar sus datos es la única solución convincente.
- Borramos los datos privados de nuestros usuarios en 48 horas.
- Somos la primera y única maquina de busqueda que actua de esta manera.
- Nuestra iniciativa esta recibiendo una respuesta muy positiva.

Fuente:
http://www.ixquick.com/
http://www.laflecha.net/canales/blackhats/noticias/200606082/

Seguir leyendo...

Cuidado con las contraseñas débiles de los correos. Especialmente Gmail

Hay quienes defienden la opinión de que los sistemas deben ser los que entreguen la seguridad a los usuarios y no que de los usuarios dependa la seguridad completa del sistema. Los argumentos de los primeros son que los usuarios finales no debiesen tener entre sus preocupaciones el hecho de andar pendiente de los posibles problemas que los pueden afectar por el mal uso de sus datos (usuarios, contraseñas, etc) y privilegios. Por otro lado, quienes defienden la postura del lado del usuario indican que este es el principal responsable de que sus datos estén protegidos correctamente.

Lamentablemente en seguridad informática hay que tratar de mantener siempre los equilibrios en cuanto a este tipo de argumentos ya que el simple hecho de incilinarse por una opción y darle más "peso" a esta hará que el otro lado de la balanza esté más expuesto a amenazas por haberlo descuidado. Un ejemplo claro de esto es algún administrador que ama Linux y por eso ignora y "mira en menos" a uno de sus servidores Windows 2003, y gracias a ese descuido permite que existan backdoors donde los intrusos pueden lograr acceder a recursos privados.

Pero ¿qué tiene que ver todo esto con el título del artículo? Mucho, puesto que simplemente el servicio de GMail es vulnerable... a las contraseñas débiles. En estricto rigor no es el servicio en sí, si no que son los usuarios de GMail los vulnerables a este problema.

En el sitio http://www.0x000000.com/ se ha publicado un pequeño pero efectivo script en PHP (Bruteforcer) que permitiría a un atacante malicioso conectarse vía POP Seguro (POP+SSL) con el servidor de correos de GMail para lanzar un ataque de fuerza bruta basándose en listas de palabras con contraseñas simples y comunes. Bastaría con conocer la dirección de correo GMail que se quiera acceder y ejecutar el ataque.

En este caso, como decía, no basta con hacer un sistema súmamente seguro como lo es GMail (por eso no deben creer en tonteras como "¡Aprenda a hackear Hotmail, MSN Messenger y GMail!") y utilizar los más potentes métodos de cifrado de datos, redundancia de servidores, acceso a bases de datos protegidas y similares cuando el que comete el error final es el usuario, el eslabón más débil. A pesar de todas las estrictas políticas de seguridad de GMail, los usuarios que tengan claves como 123456,miperro, 15051975 (y todas las combinaciones posibles de fechas en ese formato) pueden ser fácilmente víctimas de robo de identidad al estar facilitando los medios para que un atacante se apodere de sus contraseñas de correo.

Les recomiendo a TODOS los usuarios de correos electrónicos, no solamente de GMail que cumpla con las siguientes recomendaciones:
1.- NO USE CONTRASEÑAS FÁCILES DE ADIVINAR. Terriblemente, si su contraseña está en uno de estos archivos entonces ya es vulnerable.

2.- NO USE SIEMPRE LA MISMA CONTRASEÑA. Es común que por comodidad utilicemos una clave para el correo de la empresa, y esa misma clave sea para todos los correos que tenemos, el acceso al sitio web de la universidad y la contraseña de inicio de sesión de su computador. Con solo recuperarla una vez ya estaría haciendo que todos los demás servicios sean vulnerables.

3.- CAMBIE SU CLAVE REGULARMENTE. Si utiliza la misma clave desde hace 6 meses, entonces cámbiela inmediatamente.

4.- POR NINGÚN MOTIVO GUARDE SU CONTRASEÑA EN EL NAVEGADOR WEB. Si la almacena ahí, bastaría que alguien que pueda acceder físicamente a su PC revise el código fuente de la página de inicio de sesión de su correo y ya tendría su clave en 5 segundos.

Si desea más información visite este enlace de Microsoft y este de Segu-Info donde indican con gran claridad cómo crear una buena contraseña.

Fuente: http://www.seguridad-informatica.cl/home/cuidado-con-las-contrasenas-debiles-de-los-correos-especialmente-gmail

Seguir leyendo...

Rastreo de dispositivos USB robados

A Mat Mullen le robaron su iPod del coche mientras asistía a una conferencia. Nada del otro mundo... de no ser porque Mat no se cruzó de brazos. En lugar de perder el tiempo en maldecir (que seguro también lo hizo ;) puso en marcha ihound Software, una aplicación que detecta cuándo el dispositivo robado es conectado a un ordenador, transmitiendo su IP, proveedor de acceso y ubicación aproximada. Incluso dispone de la opción de imprimir una denuncia con los datos del dispositivo y su localización para entregar a la policía. Para que no falte nada, ihound es -al menos de momento- gratuito.

Sin embargo, ihound no es un software novedoso. Desde primeros de año existe GadgetTrak, un sistema similar que abarca más dispositivos pero no es gratuito...

En TechCrunch hay una viva polémica sobre si ihound es o no una mera copia de GadgetTrak... y también sobre si este tipo de servicios sirven o no de algo cuando el ladrón sabe desactivar la autoejecución de ficheros autorun o -aún mejor- conecta el aparato a un sistema no-Windows y procede a limpiarlo por completo.

Fuente: http://www.kriptopolis.org/rastreo-de-dispositivos-usb-robados

Seguir leyendo...

Los empleados se arriesgan más en la oficina que en casa

Un estudio ha revelado que los riesgos informáticos que toman los empleados en el trabajo superan con creces a los que toman en sus hogares, donde son más cuidadosos.

La Information Systems Audit and Control Association (ISACA) encuestó a 301 trabajadores de empresas con al menos 100 personas, y de su estudio se deduce que el comportamiento de estas personas en sus trabajos no es especialmente ‘cuidadoso’.

Por ejemplo, el 15% de ellos intercambiaba archivos vía P2P, que según ISACA era como “abrir una gran puerta a las corporaciones”.

Además, el 11% había enviado documentos confidenciales a la persona equivocada, aunque sólo el 60% de ellos consideraba dicha acción como arriesgada. Y el 35% habían violado las políticas corporativas de TI con conocimiento.

“Creen que incluso si cometen un error, nada malo ocurrirá, dijo Kent Anderson, un consultor de ISACA.

El estudio concluye afirmando que los empleados dan como un hecho que las infraestructuras de la empresa les proporcionan la seguridad necesaria, mientras que sí que se preocupan por la seguridad de sus datos en sus hogares.

Vinculos: BaselineMag

Fuente: http://www.theinquirer.es/2007/11/27/los_empleados_se_arriesgan_mas_en_la_oficina_que_en_casa.html

Seguir leyendo...

Métricas y recomendaciones de implementación sobre ISO 27001

En una labor encomiable de Javier Ruiz Spohr y Agustín Lopez Neira, de ISO27000.es similar a las que nos vienen mal acostumbrando en su portal, hoy quiero dar a conocer la traducción al castellano del documento elaborado por Gary Hinson para la web ISO27000security.com sobre métricas y guía de implantación de controles de la norma ISO 27001 (Anexo A).
El documento podéis descargarlo en el portal ISO27000.es o desde este enlace.

Es de gran ayuda disponer de recomendaciones sobre cómo medir para plantearse cómo resolver una situación o implantar un control. Como consultor el tema de la medición es uno de los que más quebraderos de cabeza genera en el proceso de certificación ISO 27001, quizás por su importancia dado que el buen funcionamiento del SGSI debe valorarse en base al cumplimiento de objetivos y para ello, es crítico medir bien.

El mes pasado nuestro primer cliente ha logrado obtener su certificado ISO 27001, hecho que nos llena de satisfación por el trabajo de consultoría bien realizado y por ser un proyecto pionero al tratarse, según parece, de la primera Administración Pública que obtiene una certificación ISO 27001. También comentar que el proyecto ha sido bonito principalmente porque el alcance era extenso y horizontal para toda la organización, con unas doscientas personas involucradas en los procesos administrativos de tramitación que han sido objeto de certificación. Tras un año y medio de proyecto y superar algunas dificultades, el cliente ha superado con éxito el proceso de auditoría y ya solo queda esperar la tramitación del expediente de certificación.

De esta forma, Firma, Proyectos y Formación S.L. , una consultora modesta de la Región de Murcia se suma al resto de consultoras que ya han logrado una certificación ISO 27001. En nuestro caso además, también destacar que por necesidades del cliente, han sido ellos los primeros en lograr el sello aunque en Firma estamos también trabajando para pronto lograr el reconocimiento de la gestión de la seguridad sobre nuestros servicios de consultoría. En estos temas, es necesario predicar con el ejemplo, aunquen en nuestro caso, nuestro cliente es nuestra mejor referencia.

También comentar que a través del Grupo de Google "http://groups.google.es/group/Seguridad-de-la-informacion" se están compartiendo y comentando diferentes enfoques o dudas respecto al proceso de certificación por el que todos tenemos que pasar y sobre el cual algunos ya tenemos experiencia, tanto como Auditor provisional IRCA 27001 como consultor que ha vivido en primera persona el proceso de certificación.

Quien quiera participar o colaborar puede suscribirse, es un foro abierto sin restricciones salvo respectar las normas de educación de todo foro.

Fuente: http://seguridad-de-la-informacion.blogspot.com/2007/11/mtricas-y-recomendaciones-de.html

Seguir leyendo...

Alerta: Phishing contra el BSCH

Lo que son los phishing kits. Andan algunos servidores estos días alojando plantillas para atacar entidades españolas, y bueno, aunque los efectos están siendo mínimos, algún que otro ataque se cuela y pone en riesgo a las clientelas de banca electrónica.

Este caso es del Santander, y está activo en el momento de publicar la alerta. Las URLs fraudulentas que acompañan al mensaje son las dos siguientes

http://www.gruposantahder.com/particulares/

http://www.bancosantahder.com/empresas/

En la primera URL se pretenden robar usuario, contraseña, posiciones de firma electrónica y teléfono móvil asociado a Supernet. En el segundo caso, se solicitan grupo, usuario y clave, además de posiciones de firma electrónica y móvil Supernet. En ambos casos, nótese la “h” que crea confusión en el nombre del dominio y por tanto, familiaridad en las víctimas potenciales.

Clientes del BSCH: eviten a toda costa seguir enlaces de este tipo. Al resto de usuarios, pese a que cada día conocéis mejor este tipo de estafas, insistir en que los servicios de banca electrónica nunca envían mensajes solicitando nuestra intervención modificando claves o datos sensibles. NUNCA.

Fuente: http://www.sahw.com/wp/archivos/2007/11/27/alerta-phishing-contra-el-bsch/

Seguir leyendo...

¿Son sus servidores DNS vulnerables?

Más de la mitad de los servidores de internet a día de hoy permiten hacer solicitudes que hacen que las redes sean vulnerables a un envenenamiento de la caché y a distribuir ataques de diversa índole.

Este dato ha sido obtenido en la tercera edición anual que lleva a cabo The Measurement Factory sobre servidores internet dedicados. Una investigación que está patrocinada por el fabricante de dispositivos de gestión Infoblox. Este estudio analiza el cinco por ciento de las direcciones IPv4 (es decir, unos 80 millones de equipos) y su reto es descubrir errores de configuración que comprometan la seguridad y disponibilidad de la red.

Las soluciones de seguridad Trend Micro Worry Free para la pyme ofrecen protección automática frente a amenazas, defensa completamente integrada y simplificada y administración cero.

Generalmente no se suele prestar mucha atención a los servidores DNS(Domain Name System), pero son parte esencial de la infraestructura que genera el mapa de nombres de dominios. Es decir, son los encargados de “traducir” una dirección de números en una página web accesible mediante letras. Si el DNS no funciona, entonces parece que la red está caída. Los servidores DNS tienen esta característica de resolución de nombres de dominio para responder a las solicitudes de internet y, generalmente, cuando fallan dejan sin servicio el correo electrónico, el acceso a la web y otros recursos.

Pese a esta importancia, más de la mitad de los servidores de nombres de internet permiten solicitudes del tipo “recursivas”, esto es, que hacen que el servidor de nombres retrase las peticiones de otros servidores. Esta cifra permanece invariable desde 2006, lo que hace que muchos servidores sean vulnerables a ataques del tipo pharming, según Infoblox, lo que abre la puerta a que también amplifiquen los ataques de denegación de servicio.

Asimismo, los servidores que permiten zonas de transferencia de solicitudes arbitrarias han crecido del 2 al 31 por ciento. Al permitir estas transferencias se abre la puerta a la duplicación de un segmento completo de los datos DNS de un servidor a otro, lo que hace que sea susceptible de un ataque de denegación de servicio distribuido (DDoS). Según este informe, el 75 por ciento de las máquinas están mal configuradas, lo que puede provocar cortes en el suministro.

Fuente: http://www.idg.es/comunicaciones/noticia.asp?id=62395&seccion=

Seguir leyendo...

¡Raptado Orco Shaman nivel 70!

El pasado mes de Septiembre tuvo lugar la venta en Internet de un personaje del juego World of Warcraft por un total de casi 10000$. El personaje en cuestión estaba dotado con dos espadas legendarias del mítico jefe Illidian Stormrage y 4/5 de una armadura Tier 6, lo cual para los expertos les ayuda a entender el hecho.

A los casi profanos en la materia nos cuesta comprender que haya gente dispuesta a pagar estas cantidades de dinero por disponer inmediatamente de objetos o personajes virtuales, que, de no ser por este medio, supondrían una infinidad de horas de juego (que es por cierto lo que se supone que uno busca al engancharse a un juego como el WOW). Sin embargo, hay casos ya reportados de jugadores “a sueldo”, generalmente de países más pobres como China, por parte de jugadores en países más ricos.

En cualquier caso, Internet ya nos ha mostrado que es mercado global, y lo que rige la ley de todo mercado es la oferta y, mientras haya gente que este dispuesta a comprar “oro virtual” por “oro real”, habrá gente que esté dispuesta a venderlo. Así, basta introducir “WOW gold” en Google para encontrar múltiples páginas en las que es posible comprar “oro virtual” del WOW o de varios otros juegos on-line.

Y como en todo mercado, siempre hay gente dispuesta a hacer trampas. En los últimos años han proliferado diversos tipos de troyanos especializados en llevarse las contraseñas de los usuarios empleados por los jugadores on-line, con lo que cuando el jugador vuelve a acceder a su cuenta, el oro ha desaparecido, ¡o quizás en el futuro le hayan raptado su personaje preferido, el Orco Shaman nivel 70!

El siguiente articulo de reciente publicación de Kaspersky labs es un buen compendio de la situación actual sobre amenazas malware relacionadas con juegos on-line.

El tema del robo de propiedad virtual será sin duda un tema que va a ir consiguiendo mayor actualidad, conforme los mundos virtuales de Internet como Second life o Habbo Hotel vayan creciendo en usuarios y complejidad. Sin duda, el derecho tradicional tendrá que ir adaptándose a casos que hace años habrían parecido pura ciencia-ficción.

Para ello, basta ver la siguiente noticia de El mundo, en el que un chico de 17 años en Holanda ha sido arrestado por “sustraer muebles virtuales ajenos” por valor de 4000€ de otras habitaciones de otros usuarios, que los compraron mediante créditos Habbo, a su vez, comprados con dinero de verdad.

Eso sí, cabe preguntarse si los barrotes de las celdas para estos ladrones serán también virtuales.

Fuente: http://blog.s21sec.com/2007/11/raptado-orco-shaman-nivel-70.html

Seguir leyendo...

Defacement el blog de Al Gore, para promocionar la venta de viagra

Nota de Segu-Info: donde dice hackeado debe decir defacement.

El blog del antiguo vicepresidente de Estados Unidos ha sido hackeado y utilizado para atraer la atención hacia la venta de productos como la viagra o el valium.

La técnica es bastante conocida. Se accede de forma ilícita a una web y se incluyen vínculos hacia páginas web que promocionan venta de productos en línea. De esta forma se consigue aumentar el tráfico hacia sitios con títulos como “Xanax en línea”, “Viagra” o “Compra valium en línea”.

Ya que los motores de búsqueda dan prioridad a las páginas más populares, añadir sus vínculos al blog de “Una verdad incómoda” puede ser un gran negocio para los atacantes. El blog de la película tiene “unos ratios de visitas tan altos que lo utilizan para ganar un buen puesto en Google y vender más medicamentos”, comentó Adam Thomas, de Sunbelt Software.

El blog pertenece al dominio climatecrisis.net, que es propiedad de la estrella mediática del cambio climático, Al Gore.

Fuente:
http://www.theinquirer.es/2007/11/27/un_blog_de_al_gore_hackeado_para_promocionar_la_venta_de_viagra.html
http://www.networkworld.com/news/2007/112607-another-inconvenient-truth-al-gores.html

Seguir leyendo...

Firefox 2.0.0.10 corrige tres vulnerabilidades

Por Angela Ruiz
[email protected]

Se ha publicado una nueva versión de Firefox, que corrige al
menos tres vulnerabilidades, todas ellas clasificadas con un
nivel de impacto "Alto". Mozilla utiliza esta clasificación
(intermedia entre "Crítico" y "Moderado"), para aquellas
vulnerabilidades que pueden ser explotadas para interactuar
con el usuario, obtener información sensible a partir de
sitios diferentes a los que el usuario está visitando, o
inyectar datos o código en esos lugares.

La primera de esas vulnerabilidades está relacionada con el
manejo de los datos obtenidos utilizando el protocolo JAR, lo
que puede permitir a un atacante ataques del tipo Cross-Site-
Scripting (XSS), esto es, la posibilidad de eludir las
restricciones para ejecutar scripts (archivos de comandos),
en ventanas pertenecientes a diferentes dominios.

Tal como publicábamos hace un par de semanas (ver en
"Relacionados"), existe una prueba de concepto que demuestra
que los usuarios de Gmail, pueden ser víctimas fáciles de
este tipo de ataque, si utilizan por ejemplo Firefox para
ingresar a su cuenta Web.

La segunda vulnerabilidad cubre tres errores de corrupción de
memoria en el programa, lo que puede ocasionar que el mismo
deje de responder. Aunque podría ser posible la ejecución de
código, ello no ha sido demostrado.

Finalmente, la tercera vulnerabilidad corregida, permite la
falsificación de la información entregada por la cabecera
HTTP-REFERER, o sea la página o servidor desde donde viene la
petición del navegador (por ejemplo, el enlace usado para
llegar allí). Esto podría ser utilizado en ataques de
falsificación o phishing.

Se recomienda la actualización inmediata a la última versión.

* Última versión NO vulnerable:
- Firefox 2.0.0.10

* Descarga de Firefox 2.0.0.10 en español:
http://www.mozilla-europe.org/es/products/firefox/

* Referencias:
jar: URI scheme XSS hazard
http://www.mozilla.org/security/announce/2007/mfsa2007-37.html

Memory corruption vulnerabilities (rv:1.8.1.10)
http://www.mozilla.org/security/announce/2007/mfsa2007-38.html

Referer-spoofing via window.location race condition
http://www.mozilla.org/security/announce/2007/mfsa2007-39.html

* Referencias CVE:
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5947
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5959
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5960

* Relacionados:
Vulnerabilidad en JAR: en navegadores de Mozilla
http://www.vsantivirus.com/vul-mozilla-jar-071107.htm

Denegación de servicio en Firefox 2.0.0.9
http://www.vsantivirus.com/vul-firefox-dos-021107.htm

* Más información:
Known Vulnerabilities in Mozilla Products
www.mozilla.org/projects/security/known-vulnerabilities.html

Fuente: http://www.vsantivirus.com/firefox-261107.htm

Seguir leyendo...

Recomendaciones de seguridad para redes sociales en Internet

ENISA (European Network and Information Security Agency) ha publicado una propuesta de recomendaciones de seguridad para redes sociales en Internet.

Este documento de 36 páginas está a disposición pública para comentarios hasta el 28 de Febrero de 2008 aquí.

Fuente: http://www.iso27000.es/

Seguir leyendo...

El País no evita anuncios engañosos de malware

Y ya van dos en este mes de noviembre, según he podido comprobar. Éste es el anuncio que acabo de ver colocado en la franja superior de la portada de El País (es una imagen con un fragmento de pantallazo, sin enlace al original - haz clic sobre ella para verla ampliada, más visible):
El pasado día 5 de noviembre ya me había topado en la misma portada de la edición digital de El País con un anuncio de software dañino, bajo la falsa promesa de ofrecer acceso a “TV por internet”, como hacen casi todos aquellos que ofrecen tal patraña. Con muy contadas excepciones, lo de TV por internet es una mentira, que hasta por lógica debería resultar sospechoso, por aquello de los derechos de autor. Esta vez, el anuncio aparenta ofrecer un servicio de escaneo gratuito para “pillar” software espía - pero hace prácticamente lo contrario. El anuncio enlaza al sitio de spyware-secure.com (no he creado un enlace a propósito, ya que se trata de un sitio peligroso: ¡no visitarlo!) que está muy claramente denunciado como sitio dañino en el servicio público y gratuito de McAfee, SiteAdvisor, en el que se puede consultar si un determinado sitio es considerado “seguro” o si tiene problemas.

Francamente, me parece mal ¡muy mal! que un periódico con el prestigio de El País no adopte más medidas de seguridad para evitar que se “cuelen” bandas criminales, que no hacen más que agravar el ya de por sí gravísimo panorama de inseguridad en la red.

Fuente: http://nv1962.net/2007/11/24/el-pais-no-evita-anuncios-enganosos-de-malware/

Seguir leyendo...

Captchas rotos e irrompibles (por ahora)

El spam en la WWW mueve mucho dinero y muchos spammers están dispuestos a desembolsar importantes cantidades de dinero para poder, sin problemas y de manera automatizada, dejar comentarios en blogs o foros, o crear infinitas cuentas de usuario en cualquier sitio web.

Muchos responsables de sitios web hemos optado, para evitar que estos sistemas automatizados abusen de los servicios, por utilizar los ya famosos 'Captchas', y así intentar asegurarnos que al otro lado del navegador hay un ser humano intentando interaccionar con las páginas web, y no un automatismo.

Sin embargo, algunos programadores-hackers como el chino 'wangrun', han creado software para intentar 'descifrar' automáticamente captchas de diferentes servicios, y en este sitio web lo comercializan con un precio que es función de la complejidad de cada uno de los sistemas de captchas que se utilicen.

En la tabla de precios que se muestra, los primeros 'captcha decodes' consiguen 'saltarse' controles bastantes sencillos que muestran simples dígitos en blanco y negro a la hora de que el ser humano teclee lo que ve en ese momento, y se cobra a un precio de 500 dólares con una eficacia del 100%. Progresivamente el precio va a aumentando y el porcentaje de aciertos va disminuyendo mientras aumenta la complejidad de los captchas (líneas que atraviesan los caracteres, letras acompañando a los dígitos, diferentes colores, distorsiones, ...).

Los 'decodes' más caros, los que se utilizan para saltarse los captchas de 'ebay.com' y de 'ticketmaster.com', se cobran a un precio de 4.000 dólares y de 6.000 dólares respectivamente. Y los que no tienen precio, porque simplemente este hacker no ha conseguido crearlos, son los 'decodes' para 'romper' los captchas tanto de Google, como de Hotmail o de Yahoo!. El programador chino los considera como "irrompibles", aunque suponemos que seguirá dedicando esfuerzos para conseguir un software que pueda comercializar a los spammers.

Google utiliza los captchas en varias situaciones:

:: para protegerse de las peticiones automáticas a sus servidores, mostrándose un captcha cuando detecta que por ejemplo se realizan búsquedas muy repetitivas desde el mismo PC (estimando que se está usando por ejemplo un software para automatizar análisis de resultados), o cuando un virus realiza búsquedas muy similares siguiendo un mismo patrón (por ejemplo, direcciones de email). Esto último solía producir hace tiempo un 'error 403' a algunos usuarios.

:: para protegerse de automatismos que intentan probar con diferentes contraseñas mediante ataques de fuerza bruta. Puedes intentar a fallar varias veces con tu contraseña al acceder a tu cuenta de Gmail

:: desde el año 2005, para evitar spam en los comentarios de Blogger, el servicio de creación de blogs. El autor del blog puede determinar si obliga a rellanar un captcha a aquellos usuarios que deseen realizar comentarios.

:: a la hora de crear una nueva cuenta de usuario de Google, para evitar que nadie abuse del sistema con usuarios ficticios.

Fuente:
http://google.dirson.com/post/3756-captchas-google-irrompibles/
http://www.lafdc.com/captcha/
http://www.segu-info.com.ar/articulos/62-captcha.htm

Seguir leyendo...

El mito de los 13 servidores de Internet

En el blog de ICANN (Internet Corporation for Assigned Names and Numbers) publicaron un artículo que termina de una vez por todas con el mito de que los servidores raíz son 13 y que están localizados en su mayoría en USA. Para los que no sepan, sin esos servidores raíces Internet no funcionaria, por hacer corta la explicación.
Muchos se confunden al ver los datos en la Wikipedia porque dice que existen 13 servidores, pero si se lee bien se aclara que “siete de ellos no son realmente servidores únicos, sino que representan múltiples servidores distribuidos a lo largo del globo terraqueo“.
En fin, Patrik Fältström publica un mapa con la ubicación de todos los servidores raíz conocidos, y claramente uno puede darse cuenta de que la mayoría no está en USA:

Sí es el país que posee más servidores en el, 18 para ser exactos, mientras que Rusia y China solo poseen 1.
Fuentes:
http://www.martinaberastegue.com/icann/el-mito-de-los-13-servidores-raiz-de-internet.html
http://www.segu-info.com.ar/boletin/boletin_070210.htm
http://blog.icann.org/?p=235
http://stupid.domain.name/node/407
http://es.wikipedia.org/wiki/Servidor_Raíz

Seguir leyendo...