Vulnerabilidad en Symbian S60, “Curse of Silence”

Desde Chaos Communication Congress han desvelado además de la vulnerabilidad de MD5 y su repercusión en el cifrado SSL, una vulnerabilidad que compete a todos los terminales Symbian S60. La han bautizado como “Curse of Silence” y hace que el terminal afectado no pueda recibir ningún SMS / MMS.

La vulnerabilidad del sistema reside a la hora de recibir un SMS con un email de más de 32 caracteres en total seguido de un espacio y ajustando el protocolo de envío como TP-Protocol-Identifier como “Internet Electronic Mail”.

Si se manda una vez a cualquier versión de symbian S60 desde las versiones 2.6, 2.8 hasta la reciente 3.1 (en esta ocasión 11 veces) el móvil deja automáticamente de recibir cualquier mensaje corto o multimedia y sólo puede arreglarse haciendo un hard-reset o lo que viene a ser un formateo y reinstalación del sistema operativo para dejarlo como si viniera de fábrica.

Boletin de Vulnerabilidad sobre Symbian S60.(inglés)

Autor: Jesús Maturana
Fuente: www.theinquirer.es

Seguir leyendo...

Verisign solucionó certificados vulnerables al ataque MD5

En relación a la noticia sobre la vulnerabilidad de certificados CA firmados con MD5 y que comprometen sitios asegurados con SSL, en el blog de Verisign se informa que esa empresa invalidó todos los certificados CA emitidos por ellos que podrías se objeto del abuso.

De esa manera si alguien lograra reproducir el ataque presentado ayer en la conferencia C25C3, no podrá llevarlo a cabo con certificados CA de Verisign.

A continuación, reproducimos lo que se menciona en el blog de Verisign:

Esta mañana temprano en el Chaos Communication Congress en Berlín, tres investigadores presentaron un trabajo en el cual habían usado un ataque de colision a MD5 y una sustancial potencia de cálculo para crear un Certificado SSL usando certificados de la marca RapidSSL. La presentación en vivo está para descargarse.

Estoy contento de anunciar que este ataque articulado esta mañana se ha hecho inutilizable para todos los Certificados SSL disponibles de Verisign.

Aplaudimos a los investigadores de seguridad de este tipo y estamos contentos que los “white hats” como el grupo “MD5 Collision Inc.” Hagan investigaciones sobre la seguridad en linea. Este grupo fue hasta el final manteniendo en privado sus hallazgos, y desafortunadamente eso incluyó que Verisign no recibiera esta información por adelantado a la presentación, haciéndonos imposible comenzar a trabajar en la mitigación de este asunto antes de esta mañana. Les advierto que estas respuestas son preliminares y si resulta que alguna de la información que recibimos no es precisa, mis respuestas podrían cambiar. Afortunadamente, Verisign ya ha eliminado esta vulnerabilidad. Aquí están algunas preguntas posibles y sus respuestas basadas en lo que conocimos esta mañana.

P: ¿Es precisa la información del trabajo y de la presentación?
R: Como mencioné, recién recibimos la información esta mañana. Nuestra revisión preliminar no revela ninguna imprecisión en la información presentada.

P: ¿Cómo mitigará Verisign este problema?
R: Verisign eliminó esta vulnerabilidad. Apenas antes de publicar esto, el ataque presentado esta mañana en Berlín no podrá tener éxito contra ningún certificado RapidSSL ni ningún otro certificado que venda Verisign bajo cualquier otra marca.

P: ¿Significa que Verisign discontinuó el uso de MD5?
R: Hace un largo tiempo estamos en el proceso de dejar de usar el algoritmo de hashing MD5. MD5 no es usado en la mayoría de los certificados de Verisign para la mayor parte de las aplicaciones, y hasta esta mañana nuestra hoja de ruta indicaba que el uso último de los certificados de nuestros clientes no iba más allá del final de enero de 2009. La presentación de hoy mostró como combinar ataques de colisión MD5 con otras cosas ingeniosas de ataques para crear un certificado falso. Discontinuamos el uso de MD5 cuando emitimos certificados RapidSSL, y confirmamos que todos los demás certificados SSL que vendemos no son vulnerables a este ataque. Continuaremos con nuestro camino para discontinuar MD5 por completo en todos los certificados de entidades para finales de enero de 2009.

P: ¿Está rota la seguridad de Internet?
R: Difícilmente. Los presentadores del trabajo de esta mañana enfatizaron que les tomo un largo tiempo y gran esfuerzo de potencia computacional para conseguir el ataque de colisión. Verisign ya ha eliminado esta posibilidad de ataque.

P: ¿Cuántos certificados están afectados?
R: Cero. Ningún certificado de entidad es afectado por este ataque. El ataque, cuando funcionó, fue un método potencial para que un criminal cree un nuevo certificado falso desde cero. Los certificados existentes no son blanco de este ataque.

P: ¿Qué pasa con los clientes que tienen cerificado que usan el algoritmo MD5 de hashing?
R: La investigación de hoy reveló un ataque potencial que requirió la emisión de nuevos certificados. Los certificados existentes de entidad final no son un riesgo de este ataque. Sin embargo, cualquier cliente que quiera hacerlo puede reemplazar sin cargo alguno cualquier certificado basado en MD5. Hasta nuevo aviso Verisign está suspendiendo los cargos de reemplazo para estos certificados., como lo hicimos previamente con las claves débiles de Debian.

P: El investigador afirmó que la Validación Extendida SSL es una defensa contra este problema. ¿Es cierto?
R: Si. El estándar de Certificado de Validación Extendida SSL prohíbe el uso de MD5. De modo que ningún certificado EV que cumplimenta el estándar usa MD5. Le puedo decir de hecho que ningún certificado EV SSL de las marcas Versión, Thawte o GeoTrust usa MD5.

P: Estos investigadores han discutido su deseo por mantener el secreto de modo que el martillo de una acción legal no pudiera usarse para impedir su publicación. ¿Intenta Verisign demandar a estos investigadores?
R: Los investigadores de seguridad que se comportan éticamente no tiene motivos para temer acciones legales por parte de Verisign. Desde su fundación Verisign ha sido una de las fuerzas líderes para la seguridad online, y la compañía ha usado sus recursos y experiencia consistentemente para ayudar al progreso de la seguridad en línea. De hecho, Verisign en si misma es una firma de investigación “white-hat” (a traves de nuestro ampliamente respetado iDefense Labs) y comprendemos el concepto de “hacking ético”. Estamos decepcionados porque estos investigadores no hayan compartido antes sus resultados, pero contentos de informar que hemos mitigado completamente este ataque.

Traducción para blog de Segu-info por Raúl Batista

Noticia sobre "SSL Roto"
http://blog.segu-info.com.ar/2008/12/ssl-roto-investigadores-crean-un.html

Redacción de Segu-info.

Seguir leyendo...

¡SSL roto! Investigadores crean un certificado CA falso usando colisiones MD5

Redacción de Segu-info:
12:55 Debemos aclarar que no es SSL lo que se ha vulnerado sino cierto tipo de certificados que se usan en comunicaciones SSL de sitios seguros.


Usando la potencia de computo de un clúster de 200 consolas de juego PS3 y unos u$s700 para certificados digitales de prueba, un grupo de hackers en los EEUU y Europa han encontrado una manera de apuntar a una conocida debilidad en el algoritmo MD5 para así poder crea una Autoridad de Certificación (CA) falsa, un gran avance que permite la falsificación de certificados que son totalmente confiados por todos los navegadores Web modernos.

La investigación, que será (fue) presentada hoy (ayer 30 diciembre) por Alex Sotirov y Jacob Appelbaum en la conferencia 25C3 en Alemania, vence eficazmente la forma en que los navegadores modernos confían en los sitios seguros y provee de un camino a los atacantes para realizar ataques de phishing que son virtualmente indetectables.

La investigación es significativa porque existen al menos seis Autoridades de Certificación (CA) que usan actualmente el débil algoritmo criptográfico MD5 en las firmas digitales y certificados. Los navegadores Web más comúnmente usados – incluyendo el Internet Explorer de Microsoft y el Firefox de Mozilla – permiten estas CAs, lo que significa que una Autoridad de Certificación falsa podría mostrar a cualquier sitio como seguro (con el candado de SSL).

“Básicamente rompimos el SSL,” dijo Sotirov en una entrevista antes de su presentación en la 25C3.

Nuestro principal resultado es que estamos en posesión de un certificado de Autoridad de Certificación (CA) “falso”. Este certificado será aceptado como válido y confiable por muchos navegadores, ya que parece estar basado en uno de los “certificados CA raíz” presentes en la llamada “lista de confianza” del navegador. A su vez, los certificados de sitios web emitidos por nosotros y basados en nuestro certificado CA falso, también serán validados y confiados. Los navegadores mostraran a estos sitios como “seguros”, usando los indicadores comunes tales como el candado cerrado en el marco de la ventana del navegador, la dirección web comenzando con “https://” en lugar de “http://" , y mostrando frases tranquilizadoras como “Este certificado está OK” cuando el usuario haga clic en menúes de seguridad, botones o vínculos.

Investigadores en el Centrum Wiskunde & Informatica (CWI) de Holanda, EPFL en Suiza y la Eindhoven University of Technology (TU/e) de Holanda ayudaron en el diseño y la implementación del ataque usando una implementación avanzada de una construcción de colisiones MD5 ya conocida.

Según Sotirov, un CA falso en combinación con el ataque DNS de Dan Kaminsky podría tener serias consecuencias:

Por ejemplo, sin estar concientes de esto, los usuarios podrían ser redireccionados a sitios maliciosos que se parezcan exactamente a sitios confiables de banca o comercio electrónico que crean que están visitando. El navegador web podrá recibir un certificado falsificado que será confiado erróneamente, y las contraseñas y otros datos privados de los usuarios podrán caer en las manos equivocadas. Más allá de los sitios seguros y los servidores de correo, la vulnerabilidad también afectaría otros programas comúnmente usados.

Sotirov dijo que el equipo fue capaz de asegurar NDAs por adelantado a informar a los mayores proveedores de navegadores acerca del problema, pero debido a los temas –algunos prácticos y varios políticos- no hay arreglos simples a menos que las CAs dejen de usar MD5 y vayan al algoritmo más seguro SHA-1.

Para evitar abusos, el equipo fechó vencidos a sus certificados CA falsos (los hizo validos hasta Agosto de 2004 nada más) y no revelará la clave privada. “Tampoco vamos a liberar el código especial que usamos para las colisiones MD5 hasta un fecha más delante de este año,” agregó Sotirov.

”No anticipamos que este ataque sea repetible muy fácilmente. Si uno hace una implementación naif, necesitará unos seis meses para ejecutarlo exitosamente,” agregó.

”Arjen Lenstra, a cargo del Laboratorio EPFL para Algoritmos Criptológicos, el objetivo clave de la investigación fue estimular una mejor seguridad en Internet con protocolos adecuados para proveer la seguridad necesaria.

La jugada principal, según Lenstra: “Es imperativo que los navegadores y las CAs dejen de usar MMD5, y migren a alternativas más robustas tales como el estándar SHA-2 o el inminente SHA-3.”

Más detalles (en inglés):

• Explicacion detallada
• Diapositivas de la presentación en 25C3 (ppt)
• Diapositivas de la presentacion en 25C3 (pdf)
  
• Sitio de demostración (fije la fecha de su sistema antes de agosto de 2004 antes de hacer clic)
  

Colisión de certificados:

• Certificado real
• Certificado CA falso

Traducido para blog de Segu-info por Raúl Batista.
Autor: Ryan Naraine
Fuente: http://blogs.zdnet.com/security/?p=2339
Mas informacion:
Certisur-Verisign: http://www.certisur.com/docs/ataques_funciones_hashing.pdf
Hispasec: Investigadores consiguen hacer que cualquier certificado SSL parezca válido
¿Es tu certificado SSL de fiar?

Seguir leyendo...

Problema crítico de seguridad en Internet expuesto en el CCC

En la edición número 25 del Chaos Communication Congress (25C3) que se celebra en Berlín, están exponiendo una ponencia en la que han hecho eco de un problema grave de seguridad en lo que a la infraestructura de Internet se refiere.

El problema tiene que ver con la posibilidad de crear certificados públicos CA válidos en servidores SSL y operar como si fueran sitios legítimos. La ponencia está siendo llevada a cabo por Alexander Sotirov, Jacob Appelbaum, que junto con un grupo de investigadores han descubierto el problema y lo demostrarán esta tarde en el congreso. Según sus descubridores es un fallo en la infraestructura de claves públicas PKI.

Ha habido mucho secretismo hasta el evento debido a que es un problema grave que necesita tiempo para solucionarse y evitar los posibles daños colaterales de terceros que quieran aprovecharse del mismo. La ponencia y presentación se puede seguir en vivo desde la página web de streaming del congreso.

BreakingPointSystems
http://www.breakingpointsystems.com/community/blog/Attacking-Critical-Internet-Infrastructure
Presentación (.PPT)
http://phreedom.org/research/rogue-ca/md5-collisions-1.0.ppt

Autor: Jesús Maturana
Fuente: www.theinquirer.es

Seguir leyendo...

Boletin de Seguridad advierte posibilidad de ataques de colisiones a MD5

Un boletín de seguridad de Microsoft 961509 del día de hoy, advierte de una investigación presentada en una conferencia respecto del éxito obtenido al atacar un certificado digital X.509 firmado con el algoritmo de hashing MD5.

Este método de ataque, según se informa, podría permitir a un atacante generar certificados digitales adicionales con un contenido diferente que tenga la misma firma digital que el certificado original.

El boletín no es una advertencia sobre ningún producto de esa empresa, e insta a quienes proveen certificados digitales a abandonar el mecanismo MD5 y utilizar el más nuevo y seguro SHA-1.

La mayor parte de las entidades públicas certificantes raíz ya no usan MD5 para firmar los certificados.

La mayoría de los browser modernos advierten con una barra color verde cuando se accede a sitios seguros con certificados de Validación Extendida (EV) los cuales siempre son firmados con SHA-1 y no están afectados por lo descripto en la investigación.

El peligro potencial es el descripto y hasta el momento no se conoce de ningún caso práctico en el que se haya utilizado el ataque. Tampoco han sido revelados los detalles del estudio para comprobarlo.

Boletín de Microsoft:
http://www.microsoft.com/technet/security/advisory/961509.mspx

Relacionado con este tema es interesante leer:
"Ataques a resúmenes criptográficos en protocolos de Internet" RFC 4270 (en castellano) .

Habrá más sobre este tema en próximo post.

Redacción de Segu-info

Seguir leyendo...

Antivirus gratuitos, los más efectivos

Según un informe de SRI International varios de los antivirus gratuitos resultaron ser los más efectivos en la detección de nuevos binarios de malware.

La prueba realizada consistió en enviar dentro de las 24hs de aparecidos 3544 nuevos malware al sitio de www.virustotal.com para ser analizado por 31 antivirus distintos.

El día de hoy los cuatro mejores resultados correspondieron a antivirus gratutitos.

El informe actualizado puede ser consultado en: http://mtc.sri.com/live_data/av_rankings/

Debe entenderse el contexto de la prueba y ver que esto es una instantánea de un momento dado.

El informe destaca que en cuestión de pocos días la mayoría de los antivirus detectan estos nuevos malware.

Redacción de Segu-info

Seguir leyendo...

Inocentadas de Internet pueden poner en riesgo tu privacidad

Programas que aseguran informar quien te ha eliminado de MSN Messenger, historias según las cuáles si pones el PIN de la tarjeta de crédito al revés la policía acudirá porque significa que te están atracando o un virus gallego.

Diario Ti: El día 28 de diciembre es el día de las inocentadas: pequeñas bromas hechas para engañar a los demás. En Internet, sin embargo, las bromas circulan durante todo el año. Y no tienen nada de inocentes. Se trata de mentiras distribuidas, generalmente, a través de correo electrónico y que anuncian todo tipo de catástrofes, virus informáticos indetectables. Con motivo de la celebración del día de los inocentes, PandaLabs ha realizado una recopilación de algunos de los temas más curiosos y recurrentes:

Descubre quién te ama
Una de las bromas más curiosas de los últimos meses, que cuenta con distintas variaciones, es éste en que, después de un largo texto en el que se ensalza el amor y la amistad se dice al usuario que si se lo manda a 15 personas, espera 143 minutos (ni uno más, ni uno menos) y pulsa F6, podrá ver en la pantalla el nombre de quién le ama. Por supuesto, tal cosa no ocurrirá y, de hacer caso al email, lo único que conseguirá el usuario es llenar de spam la bandeja de entrada de sus contactos y perder 143 minutos de su tiempo.

El PIN de la tarjeta al revés, nuevo método para evitar atracos
Se trata de una broma según la cual, si cuando el usuario esté sacando dinero del cajero automático, le intentan atracar, tan sólo tiene que marcar el PIN de la tarjeta de crédito al revés. De ese modo, el cajero le dará el dinero, pero al mismo tiempo mandará un aviso a la policía de que está siendo atracado.

“Este tipo de broma es realmente peligroso, ya que la persona atracada puede confiar en que en realidad la policía va a acudir y no pensará en defenderse, cuando lo cierto es que nada va a ocurrir", explica Luis Corrons

Para dar más credibilidad a esta información, el correo asegura que se distribuyó también por televisión donde se aseguró que es un sistema que se está utilizando poco porque muy pocos lo conocen.

Descubre quién te ha eliminado del MSN Messenger
Este es una de las bromas más extendidas. Se trata de un tipo de servicio que generalmente se promociona por correo electrónico y que asegura a los usuarios que podrán descubrir datos como aquellos contactos que les han borrado o que les han bloqueado.

“En el mejor de los casos, la información que obtengan los usuarios será falsa, ya que no hay forma científica de conocer esos datos. Pero lo peor es que en muchos casos se trata de páginas web creadas para robar los datos del usuario ya que para su correcto funcionamiento piden a éste que introduzca su dirección de correo electrónico y su contraseña. Desde entonces, estos datos pasarán a manos de los ciberdelincuentes que tendrán acceso a esa cuenta de correo y podrán utilizarla para acciones maliciosas: envío de spam, robo de otros datos, etc.", explica Luis Corrons, director técnico de PandaLabs.

El virus gallego
Este es una las bromas más divertidas. En realidad, se trata de una pequeña broma burlándose de los correos electrónicos que difunden virus. El texto dice lo siguiente:

“Soy el primer virus gallego. Como los gallegos no tenemos experiencia en programación, este sistema trabaja basado en un sistema de HONOR. Por favor: Borre todos los archivos de su disco duro manualmente y envíe este mensaje a todos los miembros de su lista de correo. Gracias por su cooperación. Manolo".

Fuente: http://www.diarioti.com/gate/n.php?id=20832

Seguir leyendo...

Usurpadores de nombres de dominio deberán pagar millonaria indemnización

La práctica de registrar dominios muy similares al nombre o marca registrada original ha sido altamente lucrativa para sujetos inescrupulosos. Por primera vez, este grupo de estafadores ha sufrido un serio revés mediante un fallo judicial.

La idea de registrar nombres de dominio similares al original se debe a que muchos usuarios suelen digitar equivocadamente el nombre del sitio de su interés en la barra de direcciones del navegador. De esa forma, llegan a sitios caracterizados por abundante publicidad, que ocasionalmente incluyen un enlace al sitio real.

El tráfico dirigido hacia tales sitios ha creado una industria millonaria, en que grandes sumas de dinero llegan a los bolsillos de los anunciantes y de las empresas o individuos que ofrecen espacios publicitarios.

El operador telefónico estadounidense Verizon es una de las compañías más afectadas por este tipo de abuso. Verizon ha ganado un juicio contra la compañía registradora de dominios OnlineNIC, que ha inscrito al menos 663 dominios con nombres idénticos o muy similares a las marcas registradas propiedad de Verizon, escribe ComputerWorld.

OnlineNIC deberá pagar a Verizon una indemnización del orden de los 30 millones de dólares por abuso de marca registrada, aparte de transferir todos los dominios del caso a los demandantes.

La situación podría marcar el inicio de una serie de problemas para OnlineNIC, debido a que también ha sido demandada por Microsoft y Yahoo por exactamente las mismas actividades.

Microsoft asegura que OnlineNIC ha registrado ilegalmente más de 100 dominios que pueden ser confundidos con sus marcas registradas, entre ellas Windows, el servicio de mapas Encarta y el juego Halo.

Una consecuencia adicional podría ser que OnlineNIC pierda la licencia de ICANN para operar como registradora de los dominios genéricos .asia .biz .com .info .mobi .name .net .org .pro y .tel.

Imagen: Diarioit.com, registrado por un sujeto de nombre Richard Dib vía GoDaddy.com, es un ejemplo de la práctica de registrar sitios con nombres parecidos al original.

Fuente: http://www.diarioti.com/gate/n.php?id=20847

Seguir leyendo...

Operar con más seguridad en banca a distancia empleando sistemas virtualizados

Siempre que me preguntan por las mejores prácticas para operar con banca en línea tiendo a hacer el mismo comentario: además de aplicar el sentido común, la mejor manera de prevenir problemas desde el punto de vista técnico es hacer uso de la banca a distancia a través de máquinas que no corran sistemas Microsoft, y si no hay posibilidad o conocimientos, al menos operar en la banca en línea a través de sistemas virtualizados no Microsoft.

No es una recomendación que haga por tener nada en contra de Redmond. Los troyanos orientados a capturar credenciales están diseñados el 99,99% de las veces para funcionar en plataformas Windows, con lo que los agentes maliciosos, simple y llanamente, no funcionan en sistemas que no son Microsoft. Conviene comentar en este punto la excepción de Mac OS, un sistema no Microsoft para el cual sí existen amenazas cada vez más representativas, que aún siendo menos relevantes y abundantes que las diseñadas para plataformas Windows, no deben ser menospreciadas.

Los troyanos más usuales son aquellos orientados a modificar el sistema operativo y sus aplicaciones para, con la máxima transparencia para el usuario, provocar la captura de sus datos financieros, no sólo usuario y contraseña, sino las claves de operaciones y las coordenadas de sus tarjetas (cuando el servicio dispone de doble factor de autenticación/confirmación de operaciones). Así, es frecuente encontrar ejemplares que inyectan código HTML en navegadores, especialmente en Internet Explorer, no sólo para capturar login y pass, sino para inyectar después elaborados formularios HTML donde se insta a los usuarios a introducir la totalidad o parte de su tarjeta de coordenadas. Son frecuentes también los especímenes que capturan todo el tráfico GET/POST en determinados dominios pertenecientes a las bancas en línea, con la esperanza de poder comprometer así datos como la clave de operaciones.

También se han visto ejemplares, menos numerosos, orientados a explotar problemas en Firefox, aunque su número es muy inferior a los que están orientados a Internet Explorer. También los hay que pasan del navegador, ya que actúan sobre el sistema, como por ejemplo, los que modifican los DNS para transportar al usuario a páginas maliciosas, independientemente del producto de navegación que utilicen.

Seguir leyendo

Seguir leyendo...

Desconfianza, el principal límite para el despegue de la banca electrónica

El 41% de los usuarios de internet en el país tiene cuentas bancarias y de ese total el 39% utiliza los servicios de banca electrónica, según un estudio privado.

El trabajo, elaborado por la consultora Prince & Cooke, sostiene que el resto de los usuarios evita la red para el pago de cuentas bancarias por temor a fallas en la seguridad del sistema o porque aún disfruta de ir en persona a la entidad.

La consultora proyectó que el 2008 cerrará en el país con alrededor de 20 millones de usuarios de internet.

A través de los porcentajes se desprende que alrededor de 8,1 millones de usuarios tienen cuentas bancarias y que de ese total, 3,1 millones utilizaría el sistema de banca electrónica.

"Los que aún no lo incorporaron a sus quehaceres diarios, argumentan que prefieren ir al banco en forma personal, y que no tienen confianza en la seguridad", sostuvo la consultora.

La confianza en la banca electrónica vuelve a aparecer como un factor a tener en cuenta, después que el sector logró que la gente volviera a los bancos en forma masiva tras el crac ocurrido a fines de 2001 y principios de 2002 con el corralito de los depósitos y la posterior pesificación.

En una comparación con los sistemas de banca electrónica de entidades que no operan en la Argentina, el analista de TBI UNit, Pablo Tedesco, concluyó que uno de las barreras de acceso al servicio es justamente la obtención de la clave.

"Los bancos en el exterior permiten a los clientes obtener la clave, sin producir disrupciones, ya sea desde la página del banco, un mensaje de texto (SMS) o de la manera que el cliente prefiera; mientras que la mayoría de los bancos que operan en la Argentina presentan como único canal el cajero automático", apuntó Tedesco.

Otro elemento a favor de generar más confianza en el sistema de banca electrónica es que "los bancos en el exterior ofrecen de forma destacada la garantía de reintegro por todas la operaciones realizadas" que no sean reconocidas por los clientes como tal.

Según el relevamiento de TBI Unit, "ningún banco que opere en el país muestra o aclara esta garantía en el sitio web".

También señaló que en el exterior los bancos tienen un perfil del cliente, por lo que en caso de detectar una operación fuera de lo normal, se pone en marcha un sistema de "alertas".

Fuente: www.infobae.com

Seguir leyendo...

Violaciones de seguridad más comunes

Hace un rato me encontré con un interesante y reciente informe desarrollado por la empresa Verizon Business mediante el cual se describen los problemas de seguridad más comunes que se produjeron durante los últimos cuatro años provocando pérdidas de información considerables en las empresas.

Del informe se desprende que:

• en el 87% de los casos, los problemas se pudieron haber evitado sin problemas a través de medidas de seguridad básicas,
• en el 66% de los casos, las empresas no sabían que estaban publicando información sensible a través de sus sistemas y sitios web,
• en el 39% de las violaciones de seguridad, participaban activamente socios de negocio de la empresa (Partners), cuestión que fue multiplicándose desde el año 2004.
  

Como verán, hasta aquí sólo se mencionan tres de los puntos más importantes que expone el documento pero que más allá de ello, se suelen obviar por considerarse triviales olvidando que, sin embargo, constituyen los puntos claves para un atacante. Por otro lado,

• el 73% de las debilidades se debieron a fuentes externas,
• el 18% fue provocado por personal interno, lo que se conoce como factor insider.
  

Teniendo en cuenta esta información, se puede desmitificar la creencia que establece que el mayor daño es provocado por ataques externos (73%) que quizás es llevado a cabo por un chico que se encuentra al otro lado del mundo frente a su PC y tomando cerveza. Contrariamente a lo llamativo que pueda parecer este porcentaje, los daños provocados por estos ataques poseen un impacto mínimo.

No sucede lo mismo cuando el ataque es provocado desde dentro de la organización ya que, si bien el porcentaje es menor (18%), este tipo de ataques es el que más daño provoca en la empresa debido a que, en la mayoría de los casos, es cometida por personal que posee y conoce información privilegiada y sensible de la empresa.

Ahora bien, después de leer estos puntos, la pregunta que genera el punto de inflexión en torno a este tema es ¿podrían haber sido evitadas? Siendo la respuesta un rotundo SI.

En el mismo informe se expresa que el 87% de los problemas pudieron haberse evitado a través de medidas básicas de seguridad, es decir, por intermedio de la implementación de controles de seguridad razonables tendientes, precisamente, a prevenir este importante 87% de problemas.

Otro dato importantísimo que expone el documento es que el 22% de los ataques se produjeron a través de la explotación de vulnerabilidades de las cuales más del 80% eran conocidos, es decir, no se trataba de exploit 0-Day, además de poseer su correspondiente parche de seguridad que soluciona la debilidad.

Este punto en particular, trae a mi mente el gran ruido que ha estado causando, por ejemplo, el gusano Conficker con alta tasa de infección en apenas unos días, aprovechando una vulnerabilidad en plataformas Windows solucionada en el boletín de seguridad MS08-067, o la reciente vulnerabilidad en Internet Explorer solucionada en el boletín MS08-078 y que muchos troyanos están explotando activamente.

Resulta sumamente importante sa ber que algunas de las medidas de seguridad básicas que debemos tener en cuenta pasan por implementar y/o actualizar la Política de Seguridad de la información en la empresa, y controlar que se cumplan las medidas expuestas, en esto se centra casi la totalidad de la solución a los problemas de seguridad mencionados.

Saber con qué datos contamos, dónde se encuentran almacenados y cuál es el valor que posee cada uno de ellos según el plan de riesgos realizado, es también una cuestión a considerar ya que no es posible asegurar lo que no se conoce o lo que no se sabe dónde se encuentra.

Debemos intentar adoptar el sentido de un estratega para asegurar el entorno, o por lo menos, encontrar un adecuado equilibrio de seguridad en el mismo.

Un interesante documento que llama a la reflexión sobre los problemas de seguridad a los que comúnmente se expone una organización dejando sin protección el activo más valioso con el que cuenta, la información; muchas veces, sin saber que se encuentra disponible “para todo público”.

Fuente: http://mipistus.blogspot.com/2008/12/violaciones-de-seguridad-ms-comunes.html

Seguir leyendo...

Programas piratas para espiar mails

Permiten robar claves, grabar chats y monitorear PC ajenas. Creados para otros fines, se usan para vigilar a la pareja por celos, y también al jefe.

"¿Sabías que podés averiguar y obtener la clave del mail de tu pareja o de tu jefe?" "¿Te gustaría grabar y leer las conversaciones que tu novio/novia tiene por chat o messenger con sus contactos?" "¿Te preocupa qué sitios navega tu hijo y con quién se vincula cuando está online?" "¿Querés ver todo lo que pasa en otra PC a través de la webcam de su dueño?" "¿Morís por averiguar en qué anda la competencia de tu negocio?" Las preguntas llegan por mail, buscando eco en los rincones más controvertidos e inseguros del ser humano. Llegan, se cuelan por esa fisura llamada "spam" e insisten, una y otra vez. Convidan la propuesta de asomarse y husmear allí donde nos está vedado, y el anzuelo pica. Y cómo...

Correos electrónicos, documentos de word "bloqueados", fotos guardadas en carpetas personales, páginas visitadas, conversaciones por chat. Todo puede "espiarse" a través de la web. La oferta de programas que permiten robar claves de ingreso y "ver" qué hacen y cómo usan otras personas su computadora personal crece en Internet. La oferta llega, en general, a través de mails que invitan a visitar sitios en los cuales se ofrece un arsenal de recursos para sumarse al ciberespionaje. Los paquetes de software varios arrancan en 40 pesos y hasta se pueden pagar a través de empresas de pago de servicios, como Pago Fácil.

En general, se trata de programas legales, desarrollados comercialmente para otros fines, que son primero son "pirateados" y luego vendidos de manera remota y anónima, con fines ilegales.

Clarín se contactó con algunos vendedores. "Los programas que vendo no son legales porque no compré la licencia (autorización) para revenderlos, pero son todos comerciales: hay empresas que los desarrollan", contó Agustín, un argentino que vive en Israel y, desde allí, vende programas para ciberespiar a compatriotas argentinos. "Lo que más vendo son los llamados Keyloggers, que permiten capturar información de otra máquina 'grabando' todo lo que el otro ingresa por teclado. Uno instala el programa en su máquina y, al día siguiente, recibe por mail todo lo que el otro tipeó, incluso su usuario y contraseña", preocupa.

Los keylogger son programas diseñados para monitorear y registrar (en secreto) cada pulsación del teclado. Pero no son los únicos. Hay software que espían de otras maneras: algunos registran capturas de pantalla (uno programa cada cuánto tiempo lo hacen), otros graban conversaciones de chat, otros informan los sitios visitados, entre varios de sus usos. Una vez que el programa está instalado, la "víctima" entrega información sin advertirlo. Si bien hay programas "anti-espías" diseñados para detectar esas invasiones, no siempre lo logran. "Es una carrera entre los desarrolladores de antivirus y los que realizan este tipo de soft: todo el tiempo están surgiendo nuevos recursos para un lado y el otro. Aún así, espiar a otro no es sencillo. No son fáciles de instalar y además existen programas de protección muy buenos", tranquiliza Alessio Aguirre, de la empresa FTI Consulting, especializada en mitigación de riesgos informáticos.

Aunque parezca mentira, estos programas son absolutamente legales. "Lo ilegal o inmoral es el modo en que se usan, pero en sí mismas son herramientas de auditoría y monitoreo desarrolladas -supuestamente- para ayudar a la Justicia o a los investigadores a resolver delitos, o para que las empresas y los padres puedan ejercer ciertos controles. Pero es cierto que han proliferado mucho otros usos y abusos.

El crecimiento del espionaje o 'inteligencia' industrial es exponencial. En la Argentina es un problema grave porque no hay normas que regulen la actividad de los investigadores privados o de quienes ofrecen estos 'servicios'. Y si bien el mail personal está protegido por ley, faltan reglamentaciones, no hay jurisprudencia y es difícil reunir pruebas para demandar", dice Aguirre.

Los secretos de la competencia no desvelan a los clientes de Agustín, el vendedor que "corrompe" almas desde Israel. Ellos buscan otras cosas. "La mayoría de la gente que me contacta lo hace por motivos personales: quieren espiar mensajes de la pareja, preguntan mucho por claves de mail. Casi siempre hay cuestiones sentimentales involucradas, aunque también consultan por cuestiones laborales. Algunos piden que sea yo el que averigüe y les pase la información. Ese servicio cuesta desde 200 pesos", comentó.

Otro vendedor, "con sede en Palermo", según sus palabras, se jactó de tener más de 500 programas de este tipo para vender. "Tengo cada vez más pedidos. Muchos de mis clientes son hombres En cuanto al motivo, un 80% compra programas por cuestiones de pareja (sentimentales), un 10% por temas laborales (quieren la clave del jefe, saber qué chatea el empleado) y otro 10% por venganza (para 'joder' a otros por motivos personales)", contó Raúl. "Algunos se escandalizan, pero la curiosidad puede más. Hay un boom con estos programas. En Parque Rivadavia, por ejemplo, se venden copias truchas a entre 5 y 10 pesos".

Según el especialista en temas de Internet Pablo Tedesco, el histórico e ineludible deseo de saber qué opina el otro de uno mismo encontró en las nuevas tecnologías una posibilidad de satisfacción que seduce a todo aquel que no puede sublimar o reprimir las ganas de espiar a sus allegados.

"Hoy, los programas de chateo tienen habilitada la posibilidad de grabar las conversaciones de los usuarios, los mails quedan guardados, el accionar en Internet se traquea. Quedan registros de todo lo que hacemos en la Web. Y quienes hacen software espías no pasan por alto esos datos", dice el especialista. Y sí: más de lo mismo. Internet y sus distintos recursos esfumando, otra vez, los límites entre lo público y lo privado.

Autor: Georgina Elustondo
Fuente: http://www.clarin.com/diario/2008/12/27/um/m-01829498.htm

Seguir leyendo...

Hackeador compulsivo

El ex agente de la SIDE Iván Velázquez, acusado de haber “hackeado” varias cuentas de mails de funcionarios y celebridades argentinas, no pudo con su genio y continuó con esas labores ilegales en Uruguay, país al que le había pedido asilo político luego de que escapó de la Argentina por temor a ser detenido por la Justicia. En medio de una investigación policial sobre una red de tráfico de personas –en la que estaría involucrado Velázquez– se descubrió que había sido intervenido el correo electrónico del senador Rafael Michelini, entre otros políticos uruguayos, sobre todo del oficialista Frente Amplio (FA). Por esos delitos Velázquez fue procesado esta semana sin prisión por la jueza uruguaya Graciela Gatti.

La magistrada comprobó que Velázquez usaba sus conocimientos informáticos para traficar información y agilizar trámites de la Dirección de Migraciones, trabajo que hacía para una red de tráfico de personas, cuyos integrantes tramitaban visas uruguayas a ciudadanos indios para luego hacerlos ingresar al mercado negro de los Estados Unidos y Europa.

Consultado por los medios, Michelini aseguró que no se había dado cuenta de que su correspondencia cibernética estaba siendo espiada. La justicia uruguaya determinó que Velázquez seguía operando un programa de “phishing” (un software pirata para ingresar a los mails privados de otras personas), y que además tenía en su poder las cuentas y claves secretas de varios políticos uruguayos.

Velázquez está en Uruguay desde mediados de año, ya que asegura que su vida en la Argentina corre peligro luego de haber denunciado que la SIDE lo había obligado a espiar a dirigentes políticos de primera línea: “Desde la presidenta Cristina Kirchner para abajo, a todos”, según sus propias palabras. Para la Justicia, sin embargo, Velázquez y su coequiper Pablo Carpintero son culpables de haber creado una especie de “pyme” del espionaje, ya que vendían la información y los correos privados de los políticos y personajes famosos a los que hackeaban de manera periódica.

Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=2144

Seguir leyendo...

16 predicciones para Google en 2009

Google Operating System, uno de los blog no oficiales de referencia sobre información del gigante de Internet, hace sus predicciones para el año que comienza. Algunas son muy interesantes, otras simples deseos que costará convertir en realidad.

1. El navegador web Chrome alcanzará el 10% de cuota de mercado.

2. El motor de búsqueda de Google perderá presencia frente a Microsoft Live.

3. Google’s Q&A service usado en los foros de ayuda de Google llegará a formar parte de Google Apps.

4. El servicio telefónico GranCentral estará disponible en Estados Unidos y su interface será integrado con Gmail.

5. Google lanzará un navegador web móvil para teléfonos inteligentes que no formen parte de Android.

6. Amplias mejoras para Bookmarks en gestión, adición de etiquetas, opciones para compartir y visualización más intuitiva.

7. Exportación de algunas características de Google a otros navegadores.

8. El traductor se integrará con los servicios y aplicaciones de Google.

9. Reader ofrecerá una lista elegida por la comunidad.

10. Maps Live ofrecerá visualización de todo el mundo a través de webcams.

11. Contacts será una aplicación independiente, ofrecerá búsqueda avanzada y opciones de sincronización de datos de contacto.

12. Los esfuerzos por posicionar el navegador web Chrome cambiará la percepción que la gente tiene en Google, asociándolo cada vez más a Microsoft.

13. Ejecutivos de alto perfil dejarán la compañía.

14. Google Apps ganará atractivo con el lanzamiento de la App Engine.

15. Anuncios de búsqueda personalizados para usuarios conectados.

16. Lanzamiento de OneGoogle, una nueva interfaz que integraría aplicaciones como Gmail, Calendar o Docs.

Autor: Juan Ranchal
Fuente: www.theinquirer.es

Seguir leyendo...

Una de cada cinco empresas es víctima del fraude de sus propios empleados

Esas estafas alcanzaron ya al 23% de las compañías, provocando una pérdida de facturación del 15 por ciento. Uno de los objetos preferidos por los "guantes blancos" es la información.

El fraude en las empresas argentinas alcanzó ya a 23 por ciento de las compañías en el último año, y la pérdida de facturación también registró un incremento y se ubicó en 15 por ciento.

De acuerdo a las estimaciones realizadas por Kroll Argentina, se detectó una disminución en aquellos fraudes que impactan hasta en 10 por ciento de la facturación, pero aumentaron las pérdidas que representan entre 10 y 20 por ciento de lo recaudado.

Según el informe, las principales causas en Argentina están relacionadas con conflictos de intereses entre los empleados, ya sean jerárquicos o no, y la empresa.

Acuerdos con proveedores, creación de empresas ficticias, entre otras, son las modalidades más frecuentes, llegando a 50 por ciento de los casos.

Los resultados demuestran que el fraude no sólo se ha extendido sino que va en aumento, y se espera ver un mayor incremento a medida que se recrudezcan las condiciones para los negocios.

Entre los tipos más comunes, las compañías declaran haber sido victimas de robo de activos físicos, en 46 por ciento de los casos; conflicto de intereses en la dirección, 43 por ciento; malversación financiera, 38; corrupción y soborno, 34.

Uno de los tipos de fraude que ha registrado un aumento significativo en la Argentina, en concordancia con las tendencias internacionales, es el robo de información.

Cuando se analizan las causas, las compañías que citaron una elevada rotación de personal o controles internos débiles registraron niveles mucho más elevados de fraude.

Los sectores de construcción y recursos naturales padecieron el mayor número de incidentes, debido en parte al aumento constante de los precios del petróleo y a la incursión en zonas de mayor riesgo.

Los sectores de atención médica, farmacéutica y biotecnología registraron un incremento en los problemas de corrupción y robo de existencias o activos.

Por su parte, los sectores de viajes, entretenimiento y transportes arrojaron un incremento en el incumplimiento de reglamentos y normas, y en el robo o pérdida de información.

Fuente: http://www.infobae.com/contenidos/422657-0-0-Una-cada-cinco-empresas-es-v%C3%ADctima-del-fraude-sus-propios-empleados

Seguir leyendo...

¿Seguros los navegadores? ¡JA!

Hemos localizado una noticia de importancia capital y que sin embargo apenas ha trascendido a los medios. Hemos revisado las fuentes para asegurarnos y hemos llegado a la conclusión de que la información es fiable. Una empresa de seguridad demuestra objetivamente que, con respecto al manejo de contraseñas, no existe ningún navegador seguro. ¡NINGUNO!

Esta noticia ha pasado de puntillas por Internet y apenas nadie se ha hecho eco de su crucial advertencia. Menos mal que aquí están los editores de Neoteo a la caza y rastreo de las piezas más peligrosas. Pues bien, resulta que los navegadores más populares de la red incorporan una función que permite recordar las claves de acceso de los sitios visitados. Muy cómoda, por cierto. Sin embargo, ¿qué garantía hay de que el navegador entregue las contraseñas solo a los sitios seleccionados por el usuario, y no a sitios de intrusos? ¡Ninguna! La compañía de seguridad informática Chapin Information Services ha probado la forma en que los programas Google Chrome, Microsoft Internet Explorer, Apple Safari, Opera y Mozilla Firefox gestionan la seguridad de las contraseñas. Los resultados no han podido ser más desoladores. No se ha librado ni el zorro.

Según las pruebas, ninguno de los navegadores se ha librado de un resultado vergonzoso. Todos han puntuado muy bajo, exhibiendo al mundo la total falta de seguridad que padecen cuando se trata de proteger las contraseñas guardadas con las que solemos entrar en las web de todo tipo. Los navegadores Opera y Firefox han obtenido la mejor puntuación, pero aún así sólo lograron superar 7 de las 21 pruebas. Internet Explorer logró superar cinco de las pruebas. Los peores resultados fueron para Google Chrome y Apple Safari, que sólo superaron dos de las 21 pruebas. Si señor, han leído bien. El todopoderoso Chrome y el Omnipotente Safari han rozado el ridículo al enfrentarse a estas pruebas tan esclarecedoras.

Cuantos mas "PASSED" tenga, mayor seguridad posee

Uno de los problemas de seguridad revelados en la prueba es que algunos de los navegadores pueden ser inducidos a enviar contraseñas correspondientes a distintos servicios, a un sitio único. Precisamente esta táctica fue utilizada durante un ataque a MySpace, donde los atacantes usaron un formulario adulterado de inicio de sesión. Debido a que tanto el formulario auténtico como el adulterado estaban almacenados en el mismo sitio, los intrusos pudieron acceder a la información de inicio de sesiones, esto es nombre de usuario y clave. La vulnerabilidad también está presente en Firefox, pero sus desarrolladores ya han solucionado el problema. Chrome y Safari continúan siendo vulnerables ante este tipo de ataques, según Chapin Information Services.Las versiones anteriores tampoco se libran aunque este test era menos exigente

Otro problema es que los navegadores no suelen comprobar a qué sitio está comunicando las contraseñas. Solo Firefox y Opera pueden evitar que el navegador permita enviar las contraseñas a otro dominio que aquél para el que fue inscrita cuando se almacenó en el gestor de contraseñas. De igual modo, formularios invisibles contenidos en algunos servicios también pueden activar la función de gestión de contraseñas de los navegadores. De esa forma, el navegador puede ser inducido para entregar la contraseña sin que el usuario se percate siquiera.

El más decepcionante ha sido Chrome. En su fase beta, recibió un montón de críticas por sus errores y fallos de seguridad. Se supuso que habrían sido corregidos en su versión final 1.0 pero Chapin Service Information asegura que esto no ha sido así. Según un informe publicado por la compañía, Chrome 1.0 es el peor navegador de todos a la hora de proteger las contraseñas de los usuarios que lo utilizan. Lo anterior se debe a que presenta tres errores que ayudan a explotar un fallo de seguridad que fue descubierto hace dos años y que facilita que un atacante obtenga las contraseñas almacenadas en Chrome sin que el usuario se percate. Estos tres errores ya habían sido denunciados por Chapin cuando el navegador se encontraba en estado Beta y por si fuera poco, se han encontrado otros 17 errores relacionados con el administrador de contraseñas de Chrome. Un cuadro, vamos. No comprendemos como una empresa como Google ha dejado descuidado un tema tan importante como el de la seguridad. Máxime cuando ya le han avisado de los errores y pueden concentrarse en arreglarlos. De igual manera, Safari ha pasado sólo 2 de las 21 pruebas, en la misma penosa y lamentable línea que el navegador de Google. Un autentico varapalo el que se llevan estos dos grandes del estrellato cibernético.

CONSEJO: Desactivar cuanto antes la función de guardar contraseñas en nuestro navegador. Es recomendable que cada vez que entremos en un sitio web (comercio electrónico, banca, etc.) debemos teclear de nuevo la contraseña y el usuario. No hacerlo puede suponer el camino más rápido para tentar la suerte y sufrir una limpieza fulminante de la cartera.

Si quieres comprobar por ti mismo la seguridad de tu navegador sólo tienes que realizar el test que te proponen aquí

Enlaces

Mas información: eweek

Fuente: Neoteo.com

Seguir leyendo...

Estado de situación de la serie ISO 27000 a diciembre 2008

A continuación voy a listar el conjunto de normas publicadas o en proceso de elaboración de la serie ISO 27000 a diciembre de 2008.
Estos resultados son fruto de una consulta a la Web de ISO.org en relación al área de trabajo del Subcomité 27 del JTC 1 - IT Security techniques.

El estado de las normas se codifica en base a unos acrónimos que ISO tiene identificados y que son:

1.PWI = Preliminary Work Item - initial feasibility and scoping activities

2.NP = New Proposal (or study period) - formal scoping phase

3.WD = Working Draft (1st WD, 2nd WD etc.) - development phase

4.CD = Committee Draft (1st CD, 2nd CD etc.)- quality control phase

5.FCD = Final Committee Draft - ready for final approval.

6.DIS = Draft International Standard - nearly there. Stage 40.

7.FDIS = Final Draft or Distribution International Standard - just about ready to publish. Stage 50.

8.IS = International Standard - published. Stage 60.

9. Under revisión. Stage 90.

Como podréis comprobar en la siguiente relación de normas, hay bastantes ya en el Stage 40 y 50 lo que indica que pronto pueden ver la luz. La situación actual del marco internacional de normas ISO 27000 es:

ISO/IEC FCD 27000.
Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary. Stage:40.99

ISO/IEC 27001:2005.
Information technology -- Security techniques -- Information security management systems -- Requirements. Stage:60.60

ISO/IEC 27002:2005
Information technology -- Security techniques -- Code of practice for information security management. Stage:90.92

ISO/IEC FCD 27003
Information technology -- Information security management system implementation guidance. Stage:40.20

ISO/IEC FCD 27004.2
Information technology -- Security techniques -- Information security management -- Measurement. Stage:40.20

ISO/IEC 27005:2008
Information technology -- Security techniques -- Information security risk management. Stage:60.60

ISO/IEC 27006:2007
Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems. Stage:60.60

ISO/IEC WD 27007
Guidelines for Information security management systems auditing. Stage:20.60

ISO/IEC FDIS 27011
Information technology -- Information security management guidelines for telecommunications organizations based on ISO/IEC 27002. Stage:50.60

ISO/IEC NP 27012
Information technology - Security techniques -- ISM guidelines for e-government services. Stage:10.99

ISO/IEC NP 27032
Guidelines for cybersecurity. Stage:10.99

ISO/IEC NP 27033
Information technology -- IT Network security. Stage:10.99
stá en modo borrador la nueva ISO 27033 que es la revisión de la ISO/IEC 18028-1:2006 destinada a la seguridad de redes de comunicaciones. ISO 27033 pretende ser un complemento exhaustivo para todos los aspectos relacionados con la seguridad en redes que vienen definidos en ISO 27002.

ISO/IEC CD 27033-1
Information technology -- Security techniques -- IT network security -- Part 1: Guidelines for network security. (FCD)

ISO/IEC WD 27033-2
Information technology -- Security techniques -- IT network security -- Part 2: Guidelines for the design and implementation of network security. (WD)

ISO/IEC WD 27033-3
Information technology -- Security techniques -- IT network security -- Part 3: Reference networking scenarios -- Risks, design techniques and control issues. (WD)

ISO/IEC NP 27033-4
Information technology -- Security techniques -- IT network security -- Part 4: Securing communications between networks using security gateways - Risks, design techniques and control issues. (NP)

ISO/IEC NP 27033-5
Information technology -- Security techniques -- IT network security -- Part 5: Securing Remote Access - Risks, design techniques and control issues. (NP)

ISO/IEC NP 27033-6
Information technology -- Security techniques -- IT network security -- Part 6: Securing communications across networks using Virtual Private Networks (VPNs) -- Risks, design techniques and control issues. (NP)

ISO/IEC NP 27033-7
Information technology -- Security techniques -- IT network security -- Part 7: Guidelines for securing (specific networking technology topic heading(s) to be inserted3) -- Risks, design techniques and control issues. Stage:10.99

Más información detallada de cada uno de estos documentos en ISO27001security.com

ISO/IEC NP 27034
Guidelines for application security. Stage:10.99

ISO/IEC NP 27037
Information technology - Security techniques -- on Information security management: Sector to sector interworking and communications for industry and government . Stage:10.99

El detalle de los diferentes escalones dentro de cada nivel o stage lo podéis consultar en Stages ISO.

Fuente: http://seguridad-informacion.blogspot.com/2008/12/estado-de-situacin-de-la-serie-iso.html

Seguir leyendo...

Grave problema de seguridad en Tuenti

Una de las redes sociales más usadas en España es Tuenti y con ello no queremos decir que sea la única ni la más importante. Sino que es una de las que mayor crecimiento están teniendo en los últimos tiempos. El que una red social tenga algún problema de seguridad acaba influyendo a todos sus usuarios, y por ello os avisamos de que Tuenti tiene un problema grave con el sistema de logeo.

El problema en cuestión es que si en un equipo inicias sesión en Tuenti y por error o por un despiste dejas la sesión abierta al irte, en el equipo se puede seguir usando la cuenta sin ningún problema no desconectándose al realizar una conexión desde otro equipo ni tampoco por tiempo de inactividad.

La solución ante este tipo de problemas viene a ser de perogrullo, cambiar la contraseña. En Tuenti, Mi cuenta, Datos de acceso, Cambiar mi contraseña. Pero en el equipo que la sesión estuviera abierta seguirá abierta hasta que o bien alguien la cierre manualmente o se reinicie el ordenador. Otro punto a tener en cuenta es el uso de la típica casilla de “recordar contraseña”, “recordarme” y similares, sobre todo en estos días que pasamos fuera de casa.

Fuente: http://www.theinquirer.es/2008/12/26/grave-problema-de-seguridad-en-tuenti.html

Seguir leyendo...

E-zine #3 Comunidad DragonJAR

Después de mucho tiempo y trabajo podemos presentar una nueva edición de la revista electrónica de La Comunidad DragonJAR como regalo de navidad para todos nuestros miembros y visitantes.

En esta edición de la revista encontraras artículos en los que aprenderás desde envenenamiento de arp creando manualmente los paquetes con scapy, pasando por artículos de informática forense, hacking ético, entornos virtualizados y nuevas secciones que se incorporan en este nuevo numero, todo esto enmarcado en el estupendo diseño creado por blue_reckiem para esta edición.

Hay que destacar el trabajo de todas las personas que participaron directa o indirectamente para que esta edición de la revista saliera al aire, especialmente a:

* Blue_Reckiem - Diseñador
* Hernandgr - Editor
* Skorpyo - Editor
* Spiderman - Editor
* Epsilon - Director

Y a los creadores de los artículos que publicamos en la edición #3 de la eZine DragonJAR:

* Versace123mx - Como instalar un servidor
* Mirphak - Envenenamiento ARP
* Spiderman - La tel-araña binaria (Columna)
* Dino - Hacking Etico
* Warriorhood - Informática forense
* Spiderman -Entornos virtualizados

Seguir leyendo

Seguir leyendo...

Guatemala: Impulsan en Guatemala la tipificación del delito de pornografía infantil en el código penal

La organización Casa Alianza impulsa la inclusión de algunas reformas al Código Penal para que el delito de pornografía infantil sea tipificado en Guatemala, ya que este tipo de aberraciones sigue en aumento.

Un informe de Casa Alianza destaca que la pornografía infantil en Guatemala persiste principalmente en lugares turísticos como Antigua Guatemala, Quetzaltenango, Petén, oriente del país y principalmente la ciudad capital.

Casa Alianza dió a conocer la forma de cómo operan estas redes de pornografía infantil en Guatemala.

Fuente: http://nopornoinfantil.blogspot.com/2008/12/impulsan-en-guatemala-la-tipificacin.html

Seguir leyendo...

Memorias moleculares de grafeno de 10 átomos

Recuerden este material: grafeno. Su nombre va a resonar con fuerza en los próximos años pues sus increíbles características lo van a proyectar a la estratosfera de las promesas de futuro. Por lo pronto, aparte de ser el material más fuerte del mundo, presenta otras peculiaridades que le han permitido formar unas memorias de 10 átomos de ancho, con una densidad de datos espectacular y una durabilidad muy por encima de la media de las memorias tradicionales. Aún tardará en salir a la venta pero ya se puede considerar una tecnología realista de futuro.

Vayan preparando camisetas con el nombre "grafeno" porque pronto será más conocido que el Papa. Este fascinante material va a ser el que permita a los científicos construir las memorias del futuro. En partícular, un grupo de investigadores de la Universidad de Rice, en Houston, ha desarrollado en laboratorio un nuevo tipo de almacenamiento de datos, fabricado con una capa de grafito de sólo 10 átomos de espesor. El equipo, está liderado por el profesor James Tour, y añade a los investigadores Yubao Li y Alexander Sinitskii. En una entrevista, Tour ha afirmado que comenzaron las primeras pruebas hace un año y medio, pero no ha sido hasta hace poco cuando han presentado un informe sobre los resultados. La carrera por conseguir las memorias mas potentes no cesa. El grupo ha sido capaz de obtener en el laboratorio una conjunto de capas de grafeno que se depositan por encima del silicio y que serán las que guarden los bits de información. “A pesar de que hemos avanzado desde la fase de vapor, este material es como el grafito de los lápices, cuya punta se desliza por el papel para escribir. Si pusiéramos encima un poco de papel celo y tiráramos de él, saldrían partículas de grafito del tamaño de una lámina de grafeno, que tiene un grosor de menos de un nanómetro”, explica Tour.

Esta nueva tecnología de memoria molecular está llamada a sustituir a las actuales memorias Flash NAND, que en el presenten se limitan a 45 nanómetros y para el año 2012 pretenden llegar a su máximo teórico en 20 nanómetros. Con el grafeno, se puede rebajar el tamaño hasta los 10 nanómetros tranquilamente. Eso significa que un bit ocupa mucho menos espacio con la nueva tecnología. Además, al contrario que lo que ocurre con las memorias flash NAND, que son controladas por tres terminales o cables, las memorias de grafeno requieren dos terminales, haciéndolas así más viables para arrays tridimesionales, por ejemplo. Así se multiplicaría la capacidad de los chips en cada capa. Pero tal y como sucede con la memoria flash, los chips fabricados con grafeno prácticamente no consumirán energía mientras los datos permanezcan intactos. Tour también ha declarado que este material genera muy poco calor, lo que es otra ventaja significativa.

El grafeno también se distingue de futuros medios de almacenamiento por su ratio “on-off”, esto es, por la cantidad de electricidad que un circuito mantiene cuando está encendido en comparación a cuando está apagado. “La diferencia es enorme, de un millón a uno. Las memorias de cambio de fase, la otra tecnología que están considerando en la industria, presentan un ratio de 10 a uno. Lo que significa que el estado de apagado mantiene una décima parte de la cantidad de electricidad que se utiliza en el modo encendido”, afirma Tour.

Eso sí, aún queda un punto que Tour deberá demostrar, aunque está seguro de poder hacerlo y es depositar múltiples bits en una única capa de grafeno. Las células NAND flash multinivel mostradas por Samsung, almacenan hasta cuatro bits de datos por celda. Actualmente se comercializan dispositivos flash MLC que pueden almacenar hasta 3 bits por celda. Aparte de eso, el grafeno, ha sido testeado en entornos de -75 grados hasta 200 grados Celsius. Además, ha demostrado una enorme resistencia a la radiación. “En lugares donde no sería posible tener memoria flash, esto funcionaría muy bien”. En lo que respecta a velocidad, Tour afirma que sólo han probado la memoria de grafeno en tiempos de 100 nanosegundos, “y estamos seguros de que podrá ser aún más rápida”.
Visto en: Sciencedaily

Autor: Kir Ortiz
Fuente: Neoteo.com

Seguir leyendo...

La ruptura de tres cables submarinos deja a Egipto sin Internet

Las conexiones se han complicado por la avería, frente a la costa de Italia, de tres líneas que unen Europa y Asia.- También afecta a otros países de Oriente Próximo y el sureste asiático.


La ruptura de tres cables submarinos que cruzan el Mediterráneo ha complicado en las últimas 24 horas la conexión a Internet y los servicios telefónicos de varios países de Oriente Próximo y el sureste asiático.

En Egipto, la capacidad de la red se ha visto reducida alrededor de un 80%, algo que los técnicos están intentando solucionar desviando las comunicaciones a través del mar Rojo, según ha señalado un portavoz del ministerio egipcio de Comunicaciones.

Varios residentes en el país han asegurado que la conexión a Internet no funciona o lo hace a una velocidad muy lenta. Además, han explicado que la conexión teléfonica era imposible con EE UU, pero sí funcionaba con Europa.

Un proveedor de servicios telefónicos ha asegurado que la gravedad del apagón, provocado por la ruptura de varios cables en la costa mediterránea de Italia, varía según la zona. En Pakistán, la plataforma Micronet Broadband ha informado a sus clientes de que los problemas en el servicio por problemas en las líneas SMW-3, SMW-4 y FLAG, que unen Europa occidental con Asia mediante cable de fibra óptica.

Los apagones no son nuevos en Egipto ni en otros de los países que se han visto afectados. A principios de este año, la ruptura de varios cables frente a la costa egipcia, también dejó sin Internet a Egipto, a los países de la región del golfo Pérsico y a varios estados del sur de Asia. En aquella ocasión, el tráfico se desvió por rutas alternativas, una solución similar a la que están adoptando ahora la mayoría de los proveedores a la espera de conocer las causas y la gravedad de la avería.

Fuente: www.elpais.com

Seguir leyendo...

Los falsos antivirus se aprovechan de la compras navideñas

Las compras en Red de las fiestas navideñas propician la navegación por sitios desconocidos, a la búsqueda y captura del regalo perfecto, pero la aventura puede acabar en un presente no esperado: un virus que simula ser un antivirus. Millones de ordenadores en todo el mundo se han infectado este año a causa de este engaño.

No son algo nuevo pero sí en auge estas fiestas: los antivirus falsos se presentan como la solución para un ordenador que parece estar infectado sin ser cierto. Tienen nombres que suenan a profesionales, como Antivirus Scanner Online o E-AntivirusPro, y sitios diseñados como cualquier empresa seria.

Atraen a los internautas mediante anuncios por palabras de Google o banners en sitios legítimos, comprados con tarjetas robadas. Cuando alguien pincha en el anuncio y accede a la página del antivirus, aparece una animación en Flash que asegura haber detectado virus en el ordenador. Sólo se podrán eliminar descargando el falso antivirus. En realidad, este es un virus que actuará como el resto: robando información o convirtiendo el ordenador en un zombie. Según Hispasec, en los últimos meses la industria de los antivirus falsos manipula sitios legítimos para que quienes los visiten, procedentes de un buscador, sean redirigidos a la web del antivirus.

Autor: MERCÈ MOLIST
Fuente: www.elpais.com
http://blog.segu-info.com.ar/2008/10/los-falsos-antivirus-y-el-uso.html

Seguir leyendo...

El sitio de New York Times es utilizado para descargar a malware

Un "amigo brasilero" me ha enviado una postal y cual fue mi sorpresa al comprobar que la dirección web en la cual debía ver la supuesta postal, era la del diario New York Times:
Al analizar la URL (cortada en la imagen) no visualicé nada extraño pero por supuesto no podía ser verdad que una postal estuviera alojada en el sitio de uno de los diarios más importantes del mundo.

Al ingresar al sitio se puede comprobar que en realidad se descarga un archivo ejecutable llamado page879aspx.com, un troyano del tipo downloader, que descarga 4 nuevos archivos ejecutables desde 70.38.XXX.170. Estos archivos son variantes de Hupingon un troyano que abre puertas traseras en el equipo del usuario.

Analizando con más detalle la URL brindada pude comprobar que en realidad uno de los parámetros pasados en el GET corresponde a una redirección, mediante la cual el sitio NYTimes.com envía al usuario al sitio que se desee.
La sección ocultada en la imagen corresponde al parámetro y a la dirección desde donde se descarga el troyano.

Como puede verse, se está aprovechando este error en el manejo del GET para redirigir al usuario a la descarga de malware y podría utilizarse también para casos de Phishing o cualquier otro ataque más elaborado.

El error ya fue reportado al diario y cuando sea corregido daré más información.

¡Gracias M. por reportar la postal!

Redacción de Segu-Info

Seguir leyendo...

Acusan a 8 personas de estafar un millón de dólares a dos bancos Florida

Un total de ocho personas fueron acusadas de cometer un fraude de un millón de dólares en dos bancos de Florida.

La maniobra fue realizada mediante una trama con la que lograron la aprobación de dos préstamos hipotecarios, informó hoy la Fiscalía Federal del distrito sur de Florida.

Los imputados son Bienvenido Benny Benach, Jr., Ramon Puentes, Danny Flores, Rolando Alfonso, Jorge Nobrega, Jorge Arrieta, Sebastian Kishinevsky, y Adriana Cruz, sobre los que pesan cinco cargos por fraude a los bancos Wachovia y Bank of America.

Los ocho fueron acusados el pasado 18 de diciembre por un gran jurado de conspirar para cometer fraude bancario, fraude bancario y robo de identidad , entre otros cargos.

Benach, Puentes, Flores y Alfonso decidieron presentar de forma simultánea solicitudes para realizar un fraude en líneas de crédito sobre el valor de la propiedad denominadas HELOC a Bank of America y Wachovia , según la Fiscalía.

Los presuntos estafadores pidieron a cada uno de los bancos mencionados 500.000 dólares.

Las líneas de crédito figuraban bajo el nombre de la suegra de Benach, que aparecía como la supuesta prestataria que ofrecía la vivienda como garantía.

Para preparar y cumplimentar las solicitudes del préstamo HELOC, se utilizaron los números de seguridad social y el nombre de la suegra de Benach sin su consentimiento.

En una segunda fase, Flores y Alfonso presentaban las peticiones fraudulentas a los bancos. En el caso de Wachovia, se la entregaban a Kishinevsky, un especialista financiero de esta entidad bancaria.

A cambio de un cargo, cada banco aceptaban tramitar el fraudulento HELOC.

Después de que las cantidades del HELOC se depositaban en los bancos y estaban disponibles, los acusados desembolsaban y compartían el dinero del préstamo fraudulentamente obtenido , que alcanzó la cantidad de 800.000 dólares.

Fuente: http://www.identidadrobada.com/site/nota.php?idNota=2141

Seguir leyendo...

Muy, muy alarmante. En serio

Los 'cibercriminales' están ganando la guerra en Internet, donde campa a sus anchas.

La seguridad de Internet ha fallado y nadie sabe bien cómo restablecerla. A pesar de los esfuerzos del sector de la seguridad informática y de la lucha de Microsoft durante media década por proteger su sistema operativo Windows, el software malévolo se propaga con mayor rapidez que nunca. El llamado malware se hace furtivamente con el control del ordenador y luego utiliza dicho ordenador para distribuir más malware entre otras máquinas de forma exponencial. Los especialistas en informática y los investigadores sobre seguridad reconocen que son incapaces de detener la invasión.

Los criminales prosperan gracias a una economía sumergida de robos de tarjetas de crédito, fraude bancario y otras estafas con las que a los usuarios de ordenadores se les sustraen alrededor de 76.000 millones de euros al año, según cálculos por lo bajo de la Organización para la Seguridad y la Cooperación en Europa. Una empresa rusa que vende programas antivirus falsos que, en realidad, se hacen con el control del ordenador, paga a sus distribuidores ilegales nada menos que ciberasaltantes, que disponen de enormes recursos procedentes de tarjetas de crédito robadas y de otra información financiera, están ganando con facilidad una guerra en la que la tecnología se emplea como arma. "Ahora mismo, los malos progresan con mayor rapidez que los buenos", afirma Patrick Lincoln, director del laboratorio de informática de SRI International, un grupo de investigación científica y tecnológica de Menlo Park, California.

Hay una clandestinidad informática bien financiada que ha aprovechado las ventajas de moverse en países que disponen de conexiones mundiales mediante Internet, pero cuyas autoridades muestran poco entusiasmo por perseguir a unos criminales que están ingresando importantes cantidades de moneda extranjera. Esto se puso especialmente de relieve a finales de octubre, cuando el RSA FraudAction Research Lab, un grupo asesor de Bedford, Massachusetts, descubrió un alijo de medio millón de números de tarjetas de crédito y contraseñas de cuentas bancarias que habían sido robados por una red de ordenadores zombis (como se los conoce), controlados a distancia por una banda criminal que actuaba a través de Internet.

En octubre, los investigadores del Centro de Seguridad de Información Tecnológica de Georgia consideraron probable que el porcentaje de ordenadores conectados a Internet e infectados en todo el mundo por botnets ?redes de programas conectados a través de Internet que envían correo basura o interrumpen servicios que funcionan gracias a Internet ? aumente del 10% de 2007 hasta un 15% este año. Esto indica que hay una cantidad sorprendente de ordenadores infectados (nada menos que 10 millones) que están siendo utilizados para distribuir por Internet correo basura y malware, según una investigación de PandaLabs.

Los investigadores sobre seguridad admiten que sus esfuerzos son en gran parte inútiles porque los botnets que distribuyen malware como los gusanos (programas capaces de pasar de un ordenador a otro) son todavía relativamente indetectables por los programas antivirus que se comercializan. En noviembre, un informe sobre una investigación realizada por Stuart Staniford, jefe científico de FireEye, una empresa de seguridad informática de Silicon Valley, señalaba que, en pruebas realizadas con 36 productos antivirus comerciales, se detectaban menos de la mitad de los programas malévolos más recientes.

Seguir leyendo

Seguir leyendo...

¿Qué puedo hacer si un estafador ha puesto a la venta mi coche en Internet?

Los estafadores on-line cada vez se las ingenian con más detalle para estafar a los internautas, una de las modalidades es utilizar anuncios auténticos de venta de vehículos para obtener del vendedor y dueño, información y copias de la documentación legal y, después poder engañar y captar con ello posibles compradores.

La operación para el estafador es sencilla, basta con entrar en una web de venta de coches usados, elegir el vehículo más atractivo (suelen ser de alta gama) y, contactar con el vendedor interesándose por las características del coche y las condiciones de venta.

Para “asegurarse” de que el vendedor es el dueño del coche y, poder comprobar el estado del vehículo en la Dirección General de Tráfico, le pide que le envíe una copia escaneada de la documentación del vehiculo y, del DNI del titular. Igualmente, para ofrecer garantías de que él es quien dice ser, le envía una copia de su propio DNI. Una vez conseguido todo esto, el “supuesto” comprador desaparece sin más y, no vuelve a responder a ningún intento de contacto del vendedor.

El estafador ya tiene todo lo que necesita y, puede insertar su propio anuncio de venta del vehículo facilitando unos datos de contacto mínimos, reales para llevar a los internautas hasta él (correo electrónico y número de teléfono). El resto de los datos de contacto que aparezcan junto al anuncio serán los del vendedor y dueño original.

Cuando un internauta se interese por el coche y, especialmente por su bajo precio (por ejemplo, un Mini Coupé BMW por 4.000 euros), el estafador podrá facilitarle toda la información y documentación que éste necesite, porque la tiene gracias a la confianza del dueño originario. Cuando el internauta decida adquirirlo, entonces le pedirá que la operación sea realizada a través de una empresa de transportes “de confianza” (que generalmente aparece publicitada en web fraudulenta. Estas supuestas empresas tramitan el pago del precio a través de Western Union o entidad similar y, piden que se envíe el dinero en plazos de cantidades inferiores a 3.000 euros, de forma que la clave o localizador será suficiente para retirar el dinero y, desaparecer del mapa. El estafador habrá conseguido el dinero y, la internacionalidad de su ubicación le permitirá desaparecer sin que las autoridades policiales hagan nada. Esta operación podrá repetirla tantas veces como internautas contacte y piquen en la trampa.

Mientras, el vendedor originario se habrá encontrado con el anuncio de venta de su coche, multiplicado y, sin poder hacer otra cosa que comunicar su carácter fraudulento al titular de la web que los aloje y, denunciarlo en Comisaría.

Generalmente se retiran al momento, sin embargo, el estafador no tendrá inconveniente en volver a colgarlo tantas veces le apetezca y, en tantas páginas de anuncios como encuentre.

Estas páginas web de anuncios deben adoptar medidas de responsabilidad social corporativa, tales como la creación de espacios para la
denuncia, un enlace bajo el que los Administradores pudieran hacer constar las denuncias policiales que reciban de los dueños de los bienes publicitados (no sería necesario publicar el texto de la denuncia, sino informar de que tienen constancia de dicha denuncia, sobre un determinado anuncio presuntamente ilegal), un lugar en el que poder comprobar si los anuncios más atractivos de la web son o no de fiar.

Algunas recomendaciones para defendernos del Phishing Car

En todo caso, las cautelas del internauta, junto con las advertencias de las empresas, serán siempre lo más efectivo a la hora de prevenir e impedir las estafas on-line. Las recomendaciones más habituales son:

- Si Internet funciona como herramienta de contacto, el resto de la transacción debe realizarse con las mismas cautelas que se tomaría si se hiciese a pie de calle.
- Nunca enviar dinero a través de Western Union, o agencia similar, si no se conoce al destinatario y confía en él.
- Si además se utiliza un medio de pago, a través de Internet, asegúrese de que es un medio de pago seguro. Consulte con su entidad bancaria.
- No utilizar intermediarios (del tipo "trust service").
- "Chollo" y "garantía" suelen ser incompatibles.
- Use el sentido común."

Ofelia Tejerina - Defensor del Internauta

Fuente: http://www.internautas.org/html/5078.html

Seguir leyendo...

Dos años de cárcel por difundir e-mails privados de un colega

Divulgar correos electrónicos ajenos es un delito de revelación de secreto.

Recuperar del ordenador los correos electrónicos de un ex compañero de trabajo a sus espaldas y difundir su vida privada sin que se entere denota muy mala baba, pero además es un delito castigado con penas de prisión. Una juez de Barcelona ha impuesto dos años y dos meses de cárcel a un hombre por hacer precisamente esto, definido en el Código Penal como revelación de secretos.

A mediados del año 2006, el gerente y administrador de una empresa dejó su trabajo y borró de su ordenador todos sus correos personales. Sin embargo, su hermano, su cuñada, su ex esposa y la destinataria de algunos de los mensajes recibieron una amplia recopilación de sus e-mails, algunos de los cuales se referían a su vida sexual, cosa que acabó en una denuncia en el juzgado, en una investigación y en un juicio, sentándose en el banquillo de los acusados un ex compañero del hombre cuya intimidad fue difundida a los cuatro vientos.

Entonces, en el escrito de acusación de Fiscalía se podía leer que el imputado accedió al contenido del correo electrónico y por lo menos distribuyó 480 e-mails, en los que "se incluían frases de alto contenido sentimental". Incluso le llegaron al alcalde del ayuntamiento asturiano donde trabajaba la destinataria de los mensajes.

En la sentencia dictada por el juzgado penal 11 de Barcelona se explicita que "alguien accedió a la información privada (…) una vez se habían borrado los correos personales del ordenador", los imprimió y se los hizo llegar al acusado, quien a su vez los entregó en mano a la cuñada del perjudicado, en el negocio que ésta regenta. Esta afirmación viene sustentada por el testimonio de la mujer durante la vista, así como del hermano del hombre cuyos secretos fueron violados, quien también reconoció a quien le hizo partícipe de la vida privada de su familiar.

No se ha podido determinar cómo se recuperaron los correos electrónicos borrados por el denunciante cuando abandonó la empresa, pero la juez deja claro que el e-mail, "como sistema informático, contiene una ingente cantidad de datos de carácter personal, en diversa presentación y de diversas características, que normalmente atañen a la esfera privada de las personas" y que se encuentran protegidos por el Código Penal; tutela que "se puede extender (…) en principio, a todo tipo de fichero, registro, soporte y mensaje", con independencia "de que se contengan o circulen a través de equipos informáticos o aplicaciones de titularidad pública o privada". Por ello se debe perseguir a quien "acceda por cualquier medio a datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier tipo de archivo o registro público o privado".

Asimismo, la juez alude a la doctrina del Tribunal Supremo, quien ha dicho que el derecho a la intimidad personal "implica la existencia de un ámbito propio y reservado frente a la acción y conocimiento de los demás, necesario, según las pautas de nuestra cultura, para mantener una calidad mínima de la vida humana".

Fuente: http://www.lavanguardia.es/

Seguir leyendo...

Gobierno australiano bloqueará 10 mil sitios de Internet que considera inapropiados e ilegales

El catalogo realizado por el Gobierno contempla desde sitios de descargas de ficheros a otros que defienden ideas extremistas.

Para bloquear los sitios, el gobierno ha invertido 70 millones de dólares en el desarrollo de los filtros que incorporaran los ISPs en sus servicios a partir del próximo mes de mayo.

El gobierno australiano no ha revelado la composición del catalogo aunque sí ha explicado que en ellos se encuentran redes P2P, pornografía infantil y contenidos extremistas.

Tanto Fronteras Electrónicas como el Partido del Sexo (una nueva formación política) se han manifestado en contra de estos filtros y de dar un cheque en blanco al Gobierno para que filtre contenidos sin la correspondiente autorización judicial ni especificar el motivo.

Los críticos argumentan que este cheque en blanco facilitaría a la Administración censurar sitios con ideas políticas contrarias o sitios legales con información sexual. El Partido del Sexo amplia su queja al considerar que este es un primer paso para bloquear totalmente los sitios de contenido adulto en una cruzada conservadora bajo la excusa de la protección infantil.

Las críticas también llegan desde los propios operadores. La implantación del sistema reducirá en un 85% la velocidad de acceso a la Web.

Fuente: http://www.noticiasdot.com/wp2/2008/12/23/australia-planea-bloquear-10000-sitios-de-internet/

Seguir leyendo...

Wikto: Web Server Assessment Tool - Release 2.1.0.0

Averiguar si un sitio web es sensible a técnicas de Google Hacking.
Utilizando una herramienta que se clasifica entre el típico escáner de servidores y el escáner de aplicaciones web, se trata de Wikto. Con Wikto podemos localizar directorios y ficheros que comprometan la seguridad del sitio web y vulnerabilidades más comunes.

Los componentes de Wikto son:

Mirror & Fingerprint: Por una parte se examinan los link que tiene el sitio para descubrir los directorios. El otro componente examina las huellas del servidor web para identificarlo.

Wikto: Es el motor de Nikto un explorador basado texto de vulnerabilidades de servidores web, escrito en Perl. Nikto explora más de 3000 problemas potenciales de seguridad, en un web server.

BackEnd: Se basa en buscar directorios en el sistio web basándose en una lista de los nombres de directorios que suelen tener información sensible.

Googler: Busca directorios y archivos sensibles en el sitio web, usando búsquedas especiales en google. Utiliza operadores como: "filetype", "site"… combinándoles entre sí. Una vez ejecutada la busqueda, se muestran los resultados de directorios extraídos desde las URLS que se debe inspeccionar manualmente.

Googlehacks: Esta sección realiza búsquedas en Google, utilizando la base de datos GHDB (Google Hacking Database), donde se encuentran todas las cadenas de búsqueda susceptibles de devolver información sensible. Se puede ejecutar las cadenas de forma individual, modificarla manualmente y volver a ejecutarla.

Web Site

Download Wikto v2.1.0.0 (installer)

Fuente: http://seguridad-informacion.blogspot.com/2008/12/wikto-web-server-assessment-tool.html

Seguir leyendo...

CETS, un programa para enfrentar el delito de pornografía infantil en la Internet

En 2003, Bill Gates encontró una carta en su escritorio que le llamó su atención. Un policía canadiense retirado, llamado Paul Gillespie, le decía que estaba seguro de que había una mejor forma de atrapar criminales que traficaban con pornografía infantil. Internet, decía, les daba nuevas herramientas para explotar a la infancia. Sin embargo, por su experiencia, advertía que la policía estaba muy rebasada.
“Con internet, los malos han encontrado una mejor manera de esconder sus huellas mientras cometen crímenes a un nuevo nivel”, escribía Gillespie. “Las fuerzas del orden no han aprendido cómo usar internet para fortalecerse.”

El arquitecto en jefe de Microsoft —en ese entonces, pues se retiró en julio de este año— mandó la carta a su equipo de investigación en Canadá. Sin ordenarles nada, comenzaron a trabajar.

Junto con Gillespie, la Unidad de Policía de los Servicios Secretos y Crímenes Sexuales, y otras agencias, comenzaron a tratar de entender cómo combatir la amenaza.
En abril de 2005 presentaron una herramienta llamada Child Exploitation Tracking System (CETS). Durante las pruebas de este sistema de rastreo se consiguió el arresto de un hombre que había abusado de una menor de edad.

En marzo se anunció la detención de 27 personas en cuatro países, las cuales operaban un chat privado en donde se intercambiaba pornografía infantil.
Reino Unido comenzó a utilizar el CETS en octubre de 2006. Meses después, Brasil, Italia e Indonesia adoptaron el programa desarrollado por Microsoft y Gillespie.
La empresa que fundó Bill Gates indica que existen en internet más de cuatro millones de sitios que contienen material sexual que involucra a menores, y que 500 nuevos espacios de este tipo se crean diariamente. Son principalmente sitios de suscripción, dice la empresa, que generan ingresos por mil 300 millones de dólares anuales.

Este es uno de los pocos programas de cómputo, o que se conocen públicamente, de este tipo. Y son también de los que casi no reciben atención. Es otro lado de internet.

Fuente:
http://nopornoinfantil.blogspot.com/2008/12/cets-un-programa-para-enfrentar-el.html
http://www.microsoft.com/spain/enterprise/perspectivas/numero21/tecnologia.mspx
http://www.microsoft.com/presspass/features/2005/apr05/04-07CETS.mspx
http://www.icarito.cl/medio/articulo/0,0,3255_5702_104021229,00.html
http://www.copianos.com/es/articulos/de-interes-general/paul-gillespie-el-cazapederastas
http://www.paulgillespieconsulting.com/
http://www.kinsa.net/Languages/es/

Seguir leyendo...

Los 12 engaños más frecuentes en navidad

El Phishing de caridad o las e-postales navideñas son algunas de las trampas más comunes que están utilizando los ciberdelincuentes en estas fiestas.

La compañía de software de seguridad McAfee ha hecho una lista con los actos más frecuentes de los hackers aprovechando el periodo navideño.

‘Los 12 timos de Navidad’ colocan en primer lugar el Phishing de caridad, utilizando como reclamo las donaciones navideñas que los consumidores más comprometidos hacen en estas fechas. Los timos de correos electrónicos procedentes de bancos son la segunda técnica de ataque, aprovechando el actual clima económico. Envían correos electrónicos que parecen oficiales, en los que se pide a los consumidores que confirmen información de su cuenta bancaria, incluyendo nombre de usuario y contraseña.

Muchos usuarios mandan e-postales navideñas para felicitar las fiestas, sobre todo n navidad. Conviene estar atentos a los mensajes mandados por remitentes desconocidos, con errores ortográficos, errores en el mensaje y con URLS de aspecto extraño. Ante la duda no la abras y no pinches en ningún link que proceda de una fuente desconocida.

Las facturas falsas de posibles regalos enviados, algo frecuente en estas fechas, son también un medio para engañar a los consumidores y para que den sus datos personales y financieros a través de ellas. Cuando el consumidor lo abre, el adjunto tiene una serie de variaciones: puede pedirte que realices o canceles una orden, puede decirte que el servicio de mensajería no pudo entregar un paquete porque la dirección es incorrecta, o pueden preguntarte por los detalles de tu tarjeta de crédito o cuenta bancaria, que son necesarios para realizar la factura o para que el cliente pueda recibir el paquete.

¡Tienes un nuevo amigo! Cuando se reciben estas notificaciones de redes sociales, al pinchar en el link el usuario corre el de descargar software malicioso que no se puede detectar, diseñado para el robo de información personal y financiera. McAfee recomienda mantenerse alejado de los amigos que no se conocen.

El sexto timo más frecuente en navidad es el relativo a los términos de búsqueda navideños. Conseguir salvapantallas de Navidad, puzles o imágenes de estas fiestas puede conllevar la descarga de adware, descargas no deseadas y spyware.

Las conexiones WiFi gratuitas de cafeterías son muy vulnerables. Los atacantes pueden asaltar las conexiones de Internet inalámbricas inseguras y conocer qué sitios Web el usuario está visitando, las contraseñas y cuentas bancarias a las que accede en ese momento. También hay que evitar los robos de contraseña, que en muchos casos es la misma para varios sitios web y servicios online.

Por último McAfee advierte de prestar especial atención a los sitios de subastas para evitar fraudes, ya que los estafadores que utilizarán el aumento de la actividad en la temporada navideña para cazar nuevas víctimas. También destaca tener especial cuidado con los correos electrónicos con spam y archivos adjuntos con temática navideña, el robo de identidad online (evitando los sitios que almacenan los datos personales) y el robo de portátil. Según el Estado del Informe de Red (2007) del FBI, las posibilidades de que te roben el portátil son de 1 entre 10, y de acuerdo con la investigación de la firma Gartner, el 97% de las portátiles nunca se recuperan.

Fuente: http://www.identidadrobada.com/site/nota.php?idNota=2142

Seguir leyendo...