Cómo los bancos (des)educan a los usuarios

Ante todo la palabra deseducar sí existe y este es un ejemplo.
En el día de hoy hemos recibido varias denuncias de usuarios con casos de supuestos phishing pero que en realidad conducen al sitio bancario real, debido a que el banco en cuestión tiene una pésima política de comunicación con sus clientes.

Desde Segu-Info prácticamente todos los días denunciamos decenas de casos de correos falsos e incentivamos a los usuarios a aprender a identificar esos correos pero, lamentablemente cuando aparecen bancos que realizan las mismas acciones que los delincuentes para comunicarse con sus clientes, entendemos a los usuarios cuando dicen "a veces es imposible identificar un correo verdadero de uno que no lo es" y por lo tanto deben adivinar o arriegarse a hacer clic.

Hace un tiempo informamos de correos verdaderos de Microsoft, de IBM y de otros bancos argentinos que cometen los mismos errores que este que muestro a continuación (clic para agrandar):

Como dije el correo es real (aquí puede verse en línea el mismo correo) y se debe a que el banco en cuestión recientemente ha cambiando la forma de autenticación en su home-banking y por lo tanto requiere la generación de un nuevo usuario y contraseña. Para esto tuvieron la genial idea de comunicarse con sus clientes por correo electrónico, aún cuando todas las entidades financieras insisten y es el primer consejo de todas que nunca van a enviar este tipo de correos y nunca van solicitar este tipo de información al cliente.

Además, como puede verse el enlace (http://link.fromdoppler.com/iglu/egfqBv/cxDct/a) es sumamente sospechoso para cualquier usuario común que no sabe que Fromdoppler es una empresa que se dedica a realizar e-mailing y para la cual este banco contrató sus servicios. Si se hace clic sobre el enlace es fácil verificar que efectivamente el mismo conduce al sitio real del banco. ¿Cómo debe hacer el usuario para adivinar eso?

Aún así los bancos argentinos continúan diciendo que cuando un cliente es estafado por casos de phishing, la responsabilidad es de dicho cliente y más aún, con el tipo de "ejemplos" que dan y las formas de comunicación que implementan, siguen operando sin ninguna regulación por parte de los entes correspondientes.

Cristian de la Redacción de Segu-Info

Seguir leyendo...

Cómo roban información de los Android

Cinco aplicaciones para robar información que ofrecen recuperar información secreta de otros en menos de un minuto han impactado al mercado de Android, lo que plantea un nuevo riesgo para la seguridad de la información almacenada en smartphones que utilizan sistema Android.

Un desarrollador de aplicaciones ha publicado cinco herramientas (identificadas por Bitdefender como Android.Spyware.GoneSixty.Gen) que son anunciadas para ‘objetivos de estudio’ únicamente y que pueden robar toda la información de un Smartphone. Todo lo que se necesita es instalar una de las aplicaciones en el dispositivo de la víctima, ponerlo en marcha y memorizar un código de 5 dígitos. La herramienta espía sube y envía a un servidor remoto de manera silenciosa contactos, mensajes, llamadas recientes y el historial del navegador almacenado en el Smartphone. Además, también inicia el proceso de desinstalar la aplicación una vez el trabajo está finalizado. Fácil y bonito, y además, extremadamente discreto, todo, en menos de 60 segundos.

Para acceder a la información subida, el curioso o delincuente que ha activado la aplicación sólo tiene que acceder al sitio del desarrollador e introducir el código para poder acceder a todos los contactos. Para mensajes, llamadas recientes e historial, se pide el pago de 5 dólares, un pequeño peaje que pagar para violar la privacidad de una persona de forma grave. Si la persona también almacena información relacionada con el trabajo en el teléfono, una herramienta como ésta puede comprometer un negocio por completo.

Hay una nota que explica que toda la información que no ha sido pagada es borrada tras un día, por respeto y por razones de seguridad; no hace falta decir que esta afirmación no merece demasiada confianza. Una base de datos de información privada sensible – sea personal o corporativa- puede ser toda una mina de oro. Las mentes cibercriminales pueden ver los beneficios que puede aportar y no dejarán pasar de largo una oportunidad como ésta.

Algunas formas de minimizar robos de información como éstos:

• En público, no pierdas nunca de vista tu Smartphone
• Si prestas tu teléfono a alguien, asegúrate de qué actividad inicia con él
• Utiliza una solución AV para smartphones
• No mantengas información relacionada con tu smartphone a menos que la encriptes previamente.

Fuente: CIO

Seguir leyendo...

Firefox lanza su versión 7 y dice consumir menos memoria

Apenas seis semanas después de que Mozilla enviara la última versión de Firefox, la compañía ha lanzado la versión 7 de su navegador para hacer frente a los problemas de memoria que han afectado a Firefox en los últimos tiempos.

Después de haber implementado las mejores ideas de su equipo MemShrink, Mozilla reconoce que la versión Firefox 7 utiliza de un 20 a un 30 por ciento menos de memoria que la versión 6, y hasta el 50 por ciento menos en algunas circunstancias. La velocidad de carga también se ha visto reforzada.

"Esto significa que Firefox y los sitios web que visites serán más ágiles, más sensibles y sufrirán menos pausas. También significa que es menos probable que Firefox se bloquee o se cuelgue debido a la falta de memoria", señala el blog oficial.

El dato exacto de cuánto menos fallará puede variar de instalación a instalación, pero la compañía parece haber mejorado la huella básica de Firefox, pasando de tener una carga de 130k hasta sólo 88k (sin contar los plug-ins).

Ésta no es la primera vez que Mozilla ha tenido que responder a las cuestiones de consumo de memoria. Con el lanzamiento de Firefox 3 en junio de 2008 pasó algo parecido.

Quizás tan importante como el rediseño de la memoria en la versión 7 es el hecho de que Mozilla ha desarrollado la capacidad de grabar aspectos de telemetría tales como la CPU, la velocidad de arranque y el uso de memoria de cada pc utilizando el software como una manera de investigar el rendimiento real. Esto deberá reflejarse a largo plazo las mejoras de las futuras versiones de Firefox.

La primera vez que se ejecuta el software, se les pregunta a los usuarios si están de acuerdo con que Mozilla reúna estos datos, una característica que puede ser activada o desactivada manualmente en Opciones avanzadas. Todos los datos se envían con SSL y no se recopilan datos de identificación personal, según Mozilla.

Fuente: CIO

Seguir leyendo...

La Cloud Security Alliance publica paper de Seguridad como Servicio

La Cloud Security Alliance (CSA) anunció la formación de un grupo de trabajo denominado "Consejo de Seguridad como Servicio" y han publicado su primer White Paper [PDF] el cual define las categorías consideradas como servicio en 2011.

El propósito de la investigación de este grupo es identificar las definiciones de consenso de lo que la Seguridad como Servicio utiliza como medios, para clasificar los diferentes tipos de seguridad como un servicio y para proporcionar orientación a las organizaciones en la ejecución de buenas prácticas..

Hasta ahora ha habido poca investigación en la prestación de seguridad como servicio en un modelo de nube elástica que se adapta al cambio que el cliente requiera.

Este primer White Paper fue diseñado para proporcionar una definición clara de las diferentes categorías de servicios de seguridad que pueden ser proporcionados a través de la Nube.

“Los fabricantes han tratado de satisfacer esta demanda de seguridad, ofreciendo servicios de seguridad sobre una plataforma en la nube, pero debido a que estos servicios toman muchas formas, han causado confusión en el mercado y complicado el proceso de selección”, dijo Kevin Fielder, co-presidente del grupo de trabajo.
"Este nuevo proyecto de investigación tiene como objetivo ayudar a los clientes y los proveedores de nubes, a brindar una mayor claridad y coherencia sobre como ofrecer seguridad como un servicio – y para ayudar a los usuarios finales entender la naturaleza única de la nube, entregado ofertas sobre seguridad y para que puedan evaluar las ofertas en un marco coherente y comprender si satisface a sus necesidades". completó Fielder.

"El objetivo de esta investigación es lograr que las empresas puedan hacer uso de los servicios de seguridad en nuevas formas o maneras que no serían rentables si se alojan en forma local", dijo Cameron Smith, co-presidente del grupo de trabajo.
"Nos gustaría agradecer a Bernd Jaeger, Pohlman Marlin y Laundrup Jens, así como nuestros otros colaboradores, por su ardua labor en este proyecto, y esperamos poder continuar produciendo innovadores, muy necesaria la investigación en esta área" agregó Smith.

El White Paper de productos y Servicios de “La Seguridad como Servicio en la Nube” cubre las siguientes categorías de servicios;

• Gestión de identidades y acceso
• Prevención de perdida de datos
• Seguridad en la Web
• Seguridad para el Correo Electrónico
• Evaluación de la seguridad
• Gestión de intrusiones
• Seguridad de la Información y Gestión de Eventos
• Cifrado
• Continuidad del Negocio y Recuperación de Desastres
• Red de Seguridad

Este trabajo ha sido propuesto como base para el nuevo dominio de la guía de CSA, y este grupo de trabajo espera producir más de documentación que cubre áreas tales como la orientación para la implementación de modelos de referencia para las distintas categorías, junto con la forma en que se puede utilizar para mitigar las principales amenazas identificadas por el Top CSA.

Para mayor información sobre este WP visite www.cloudsecurityalliance.org

Fuente: CIO

Seguir leyendo...

Contingencia TIC vs Continuidad de negocio

Por Manuel Díaz Sampedro

Si bien es cierto que se van viendo avances significativos en la comprensión del, a veces, confuso mundo de la Continuidad de Negocio, todavía en ocasiones nos encontramos con que no se distinguen del todo algunos conceptos básicos. Es el caso de los Planes de Contingencia en relación con los Planes de Continuidad de Negocio (PCN).

Aquí podemos entrar en discusiones del tipo: “un Plan de Contingencia no es exactamente lo mismo que un Plan de Continuidad de Negocio” o “en realidad es un Plan de Continuidad de Negocio pero sólo para Sistemas”.

La forma más acertada de abordar el asunto, y en nuestra opinión la única que garantiza una comprensión definitiva del mismo, es considerar al Plan de Continuidad de Negocio como un Plan de Planes. Efectivamente, un buen Plan de Continuidad contendrá a su vez un cierto número de planes diferentes, como puede ser el Plan Evacuación, el Plan de Emergencia, el Plan de Gestión de Incidentes y, cómo no, un buen Plan de Contingencia de Sistemas.

En aras de una mayor claridad, podemos decir que un Plan de Contingencia de las Tecnologías de la Información y las Comunicaciones (TIC) consiste en una estrategia planificada en fases, constituida por un conjunto de recursos de respaldo, una organización de emergencia y unos procedimientos de actuación, encaminados a conseguir una restauración ordenada, progresiva y ágil de los sistemas de información que soportan la información y los procesos de negocio considerados críticos en el PCN de la compañía.

Por su parte, el Plan de Continuidad de Negocio puede ser definido como un conjunto formado por planes de actuación, planes de emergencia, planes financieros, planes de comunicación y planes de contingencias destinados a mitigar el impacto provocado por la concreción de determinados riesgos sobre la información y los procesos de negocio de una compañía.

Contenido completo en fuente original Blog de INTECO

Seguir leyendo...

Interpol cierra 13.500 webs que ofrecían medicamentos falsos

La policía ha incautado 2,4 millones de pastillas de antibióticos y fármacos falsos contra la depresión, el cáncer, la epilepsia y productos adelgazantes

Un total de 55 personas han sido detenidas o están siendo investigadas en el marco de una operación, desarrollada en 81 países, coordinada por Interpol contra el tráfico de medicamentos falsos por internet, que llevó a la incautación de mercancía, potencialmente peligrosa, por valor de 6,3 millones de dólares (4,6 millones de euros).

La operación, bautizada Pangea IV, se llevó a cabo entre el 20 y el 27 de este mes y condujo al cierre de 13.500 webs que se dedicaban a la venta de productos farmacéuticos pirateados. Se requisaron 8.000 paquetes en 48 países con 2,4 millones de píldoras y pastillas de antibióticos, esteroides, tratamientos contra el cáncer, contra la depresión, contra la epilepsia, así como suplementos alimentarios y productos adelgazantes.

"Los países miembros de Interpol y sus socios han mostrado con el éxito de la operación Pangea IV que internet no es un paraíso de anonimato seguro para los delincuentes que trafican con medicamentos ilícitos", subrayó el secretario general de la agencia policial internacional, Ronald Noble.

La operación de Interpol, coordinada desde su cuartel general en la ciudad francesa de Lyon, implicó a policías, aduaneros y agencias reguladoras nacionales, que también recurrieron en su trabajo a servidores de internet, proveedores de servicios de pago en línea y distribuidores. Su objetivo era desactivar redes delincuentes y actividades conexas a la comercialización en línea de medicinas falsificadas -como fraudes en el uso de tarjetas de crédito- ante los riesgos sanitarios que todo eso acarrea.

Flujos del dinero

Sus tres centros de acción fueron los servidores de internet, el sistema de pago electrónico y el sistema de distribución. Noble hizo hincapié en que el principal objetivo era acabar con la actividad de las páginas web ilegales dedicadas al negocio farmacéutico e identificar los flujos de dinero que mueven ese negocio, que representan "un riesgo para la sanidad pública".

"No podemos detener el aprovisionamiento ilícito de medicinas sin un esfuerzo internacional consistente, colectivo y constante que implique a todos los sectores", advirtió el secretario general. A ese respecto, comentó que la operación sólo fue posible gracias a la intervención de 165 agencias diferentes y el intercambio de información en tiempo real a través de la sede de Interpol en Lyon. El responsable de la agencia policial pidió a los ciudadanos que presten más atención cuando compren fármacos por internet.

Fuente: ElPeriodico

Seguir leyendo...

10 pasos para enfocarse en Mobile Banking

El mobile banking parecería que aún está lejos, pero nos sorprenderíamos cuanto se está trabajando en el mercado para lograr su implementación en la región, sorteando monopolios y los propios intereses de cada uno de los participantes.
Podemos enumerar basicamente los principales 10 focos de atención que deberían tener en cuenta aquellos que quieren focalizar su desarrollo comercial por esta vía.

Desarrollar enfocado en el “triple play”

Por mucho tiempo los smarthphones se han llevado el foco de atención, pero los bancos se han enfocado en este último tiempo en tres importantes focos ( donwloadable apps, mobile browsers and SMS-based services).
Los últimos números están mostrando que los usuarios que usan aplicaciones “mobile web”(también llamadas “web apps”) se están haciendo mucho mas fuertes que aquellos que utilizan aplicaciones para smarthphones.
Si bien las aplicaciones basadas en web que se bajan en los dispositivos móbiles están creciendo en adopción, se ha dado un crecimiento mucho mayor en aquellos desarrollos basados en “mobile web”

Contenido completo en fuente original Blog de Diego San Esteban

Seguir leyendo...

Facebook desmiente los rumores, pero corrige sus cookies

Los responsables de Facebook se han visto obligados a cambiar el funcionamiento de algunas de sus cookies que hasta ahora permitían a la red social seguir a sus usuarios en la red incluso cuando habían cerrado su sesión.

Esta polémica surgió tras darse a conocer los hallazgos de Nik Cubrilovic, según los cuales, cada vez que un usuario visita una web que contiene cualquier tipo de conexión con Facebook se envía información a los sistemas de la red social.

En un primer momento fue el ingeniero de Facebook, Arturo Bejar, quien trató de aclarar este espinoso asunto reconociendo que seguían a los usuarios para evitar casos de spam, phishing y otros riesgos para la seguridad.

Esta aclaración no ha calmado los ánimos de los usuarios sino más bien todo lo contrario, obligando a la compañía a dar una respuesta oficial. Los portavoces de Facebook han insistido en que estas cookies no han provocado ningún problema de seguridad, aunque afirman que han reparado algunas "para que no vuelvan a incluir información cuando la gente cierre su sesión".

Pero esta no es la única polémica que azota a Facebook, ya que la implantación de Ticker (una pestaña que muestra la actividad de los contactos en tiempo real) también ha provocado muchas críticas. Facebook asegura que se trata de “noticias confusas originadas por falsos estatus en los perfiles”, refiriéndose a la oleada de mensajes con instrucciones para escapar de Ticker que se han difundido en las ultimas horas.

Los responsables de la red social han asegurado las actualizaciones, fotos o comentarios que se publican en Ticker "solo son visibles para las personas que se hayan seleccionado en la configuración de privacidad".

El último rumor que les quedaba por desmentir es el que aseguraba que la red social comenzaría a ser de pago. En este sentido han afirmado que "Facebook es gratis y siempre lo será".

Fuente: The Inquierer

Seguir leyendo...

Lección 10 de Intypedia "Ataques al protocolo SSL"

En la Enciclopedia de la Seguridad de la Información, se encuentra disponible la Lección 10 titulada "Ataques al protocolo SSL" de los autores Ing. Luciano Bello de la Chalmers University (Suecia) y el Dr. Alfonso Muñoz del grupo de investigación T>SIC de la Universidad Politécnica de Madrid.

En ella Alicia comenta con Bernardo los vectores de ataque más famosos al protocolo SSL/TLS. En la lección se citan algunas recomendaciones básicas para una navegación web más segura utilizando este protocolo. La lección tiene una duración de 16:51 minutos y está formada por 4 escenas o capítulos:

• Escena 1. ¿Es seguro SSL?
• Escena 2. Fallos de programación en las implementaciones. Criptoanálisis y downgrade.
• Escena 3. Engañando al usuario. Vulnerando SSL en la web.
• Escena 4. Uso seguro de SSL. Recomendaciones.

El vídeo viene acompañado por 3 documentos en pdf que pueden descargarse desde el sitio Web de intypedia: el guión de la lección, las diapositivas  de apoyo y los ejercicios para autoevaluación.

Fuente: http://www.intypedia.com/

Seguir leyendo...

Nueva Guía para el Cómputo en la Nube de ISACA

El cómputo en la nube está registrando una mayor importancia a la hora de definir los presupuestos de TI lo que obliga a las empresas a adaptarse para poder maximizar el retorno de inversión. Con esto en mente, ISACA presenta una guía para implementar controles efectivos y el gobierno del cómputo en la nube: Los Objetivos de Control de TI para el Cloud Computing: Controles y Aseguramiento en la Nube www.isaca.org/ITCOcloud.

De acuerdo con la guía de ISACA, cuando las empresas deciden utilizar el cómputo en la nube para los servicios de TI se impactan diferentes procesos de negocio, por lo que el gobierno de la nube se vuelve crítico para:

• Administrar efectivamente los riesgos.
• Asegurar la continuidad de los procesos de negocio críticos que ahora se extienden más allá del centro de datos.
• Comunicar con claridad los objetivos empresariales, tanto internamente como a terceros.
• Adaptar efectivamente.
• Facilitar la continuidad del conocimiento de TI, el cual es esencial para sustentar y hacer crecer el negocio.
• Manejar el gran número de regulaciones

“Para obtener el máximo beneficio de sus iniciativas en la nube, las empresas deben desarrollar una clara estrategia de gobierno, un plan de administración que establezca la dirección y los objetivos para el cómputo en la nube y la ejecución del plan”, afirmó Phil Lageschulte, CGEIT, CPA, miembro del Consejo de Conocimiento de ISACA y líder de los Servicios Globales de Auditoria de TI de KPMG. “Históricamente, TI se ha visto como un centro de costos, pero la nube presenta la oportunidad de alinearlo totalmente con los objetivos de la empresa como un todo y agregar valor a la organización”.
Los Objetivos de Control de TI para el Cloud Computing destaca que las empresas deben hacer las siguientes preguntas para tener el correcto gobierno del cómputo en la nube:

• ¿Cómo se administra la identidad y el acceso a la nube?.
• ¿Dónde se localizarán los datos de la empresa?.
• ¿Cuáles son las capacidades de recuperación de desastres del proveedor de servicios en la nube?.
• ¿Cómo es la seguridad de los datos administrados de la empresa?.
• ¿Cómo se protege todo el sistema contra las amenazas de Internet?.
• ¿Cómo se monitorean y auditan las actividades?.
• ¿Qué tipo de certificación o aseguramiento puede esperar la empresa del proveedor?

Asimismo, la guía resume el desarrollo de casos de negocio, la forma en que los estándares y las buenas prácticas ayudan al gobierno de la nube, cómo establecer objetivos de negocio para la nube, las consideraciones de los riesgos y las responsabilidades y un programa de auditoría/aseguramiento de la administración del cómputo en la nube.

Los Objetivos de Control de TI para el Cloud Computing es el tercer libro de la serie Objetivos de Control de TI de ISACA. El primero, Los Objetivos del Control de TI para Sarbanes-Oxley, se descargó más de 250 mil veces. Los Objetivos de Control de TI para el Cómputo en la Nube está disponible en formato impreso ($60 dólares) y en versión electrónica ($50 dólares). Los miembros de ISACSA pueden descargar el libro electrónico sin cargo y comprar el libro impreso por $35 dólares. Para consultar información adicional sobre el cómputo en la nube, incluyendo un reporte y los resultados de una encuesta, visite www.isaca.org/cloud.

Fuente: Cavaju

Seguir leyendo...

Presión a Uruguay por datos fiscales (la AFIP festeja)

Funcionarios de la AFIP festejaron ayer en Buenos Aires las recomendaciones que la OCDE le hizo a Uruguay para salir de la lista gris que incluye a los Estados que no cumplen con estándares internacionales de transparencia. En particular, se le pidió que concrete un acuerdo de intercambio de información tributaria con la Argentina y que modifique su legislación para terminar con las acciones al portador. Ambos temas son de gran relevancia para el organismo que encabeza Ricardo Echegaray, que sospecha de numerosos empresarios argentinos dueños de acciones de empresas radicadas en Uruguay que no son declaradas, y por lo tanto evaden impuestos. Lo mismo sucede con propietarios de inmuebles en Punta del Este y de cuentas bancarias en el sistema uruguayo, cuyos titulares pueden ocultarse del fisco.

Los datos comenzaron a circular con fuerza ayer, después de que el diario El País, de Uruguay, publicó las recomendaciones que hizo la OCDE en medio de la revisión que se le sigue al país para mejorar su estatus. El jefe del Foro Global sobre Transparencia e Intercambio de Información para efectos fiscales de la OCDE, Pascal Saint-Amans, habló telefónicamente con ese diario y explicó que «aunque no puede dar detalles de la revisión que se está haciendo sobre Uruguay, puede asegurar que hay buena predisposición del Gobierno para avanzar en el proceso de transparencia» y que se logrará pasar a la «lista blanca». De hecho, saltar de la lista gris (donde Uruguay se encuentra desde 2009) a la blanca es automático cuando se cierran 12 acuerdos de intercambio de información con otros países. Pero cumplir con los estándares internacionales, impulsados por el G-20, requiere mayores compromisos. Lo esencial es que la entrega de información incluida en esos convenios se haga efectiva.

Según explican en la AFIP, «se pueden firmar cientos de acuerdos con otras naciones (la Argentina tiene con India y Andorra, entre otros), pero si cuando un país requiere datos se comienza un proceso largo y burocrático para acceder a ellos, no tiene ninguna eficacia el intercambio». Ésta sería una de las trabas que podría encontrarse en el mercado uruguayo si sólo se firma un convenio. Puede que la AFIP sospeche de que un argentino sea dueño del 90% de las acciones de una compañía, pero como esos papeles no son nominativos, el Estado argentino no logrará conocer a sus titulares y cruzarlos con las declaraciones juradas. La OCDE conoce la necesidad de que el cruce de información entre Uruguay y la Argentina sea efectivo. «Hay que tener acuerdos con todos los socios que estén interesados en obtener información. Si tienes un socio que quiere firmar un acuerdo, debes concluirlo, especialmente si es un principal socio comercial, como es el caso de la Argentina para Uruguay», señaló Saint-Amans.

Fuente: Ambito

Seguir leyendo...

Fix de Microsoft para vulnerabilidad de SSL/TLS (#beast)

Luego del revuelo ocasionado por la vulnerabilidad en SSL/TLS (y BEAST), identificada como CVE-2011-3389, Microsoft ha publicado el aviso KB2588513 de seguridad sobre este problema para aplicarlo en Internet Explorer, en caso del cliente, y en IIS en caso de servidores.

Mientras se trabaja en la solución definitiva para corregir la vulnerabilidad sobre SSL 3.0 y TLS 1.0, que seguramente estará disponible en la próxima actualización de Windows, se puede aplicar este Workaround descargando un Fix-it temporal que permite habilitar TLS 1.1 en Windows Internet Explorer. Sólo puede instalarse en Windows 7 o superior.

Debido a las consideraciones que deben ser tenidas en cuenta, en el caso de desear aplicar el fix a IIS, sugiero la lectura de la documentación suministrada por Microsoft, o esperar la actualización definitiva. Ante la duda se publicó un extenso documento con preguntas y respuestas.

Como ya informamos, Chrome dice haber solucionado el problema temporalmente pero mientras tanto Chrome y Firefox están trabajando para incluir una nueva versión estable con la solución que mitigue el problema de seguridad definitivamente.

Cristian de la Redacción de Segu-Info

Seguir leyendo...

Desbaratan botnet dedicada al envío de spam

Microsoft anunció otro golpe en su batalla contra los criminales cibernéticos al desbaratar una red de envío de spam a través de computadoras infectadas por troyanos bot.
Además de hacer caer esta botnet (conjunto de computadoras infectadas conectadas a internet, llamadas bots), desde el cual se cree que fue enviado spam, se llevaron a cabo fraudes y se hizo explotación sexual de menores. Microsoft demandó al propietario de un dominio de internet utilizado para el control de las operaciones.

El residente de la República Checa Dominique Alexander Piatti fue notificado de la demanda el lunes, de acuerdo con Microsoft.

Identificar a los propietarios de los sitios en línea usados para controlar los ejércitos de computadoras infectadas con software malicioso "ayuda a exponer cómo el crimen cibernético es activado cuando los proveedores de dominios y otros proveedores de infraestructura cibernética no conocen a sus clientes", dijo Microsoft.

La red desbaratada, denominada Kelihos, es supuestamente una reencarnación de la primera botnet que desmanteló Microsoft con una combinación de tácticas legales y técnicas.

Kelihos tenía el poder para enviar 3.800 millones de correos basura al día. En marzo de 2010, Microsoft volteó Waledac, que tenía 227 dominios y capacidad para enviar 1.500 millones de correos basura al día. Ambas redes son ínfimas comparadas con Rustock, que cayó en marzo de 2011: podía enviar 32.000 millones de spam por día.

"La desarticulación de Kelihos tiene como objetivo enviar un fuerte mensaje a aquellos detrás de las botnets de que no es inteligente tratar de actualizar su código y reconstruir una botnet una vez que lo hemos desmantelado", dijo Microsoft.

Microsoft acudió a un tribunal federal de Estados Unidos para obtener una orden que le permitió cortar las conexiones entre un grupo de dominios propiedad de Piatti y las "computadoras zombi" infectados con virus.

Fuente: Infobae

Seguir leyendo...

Cárcel por engañar a niñas en Tuenti para que se desnudaran

Se hacía pasar por una chica de 14 años y convenció a dos niñas, de 12 y 11 años, para que la enviasen fotografías en las que aparecían desnudas.

La Audiencia Provincial de Cantabria impondrá una pena de cuatro años de prisión a un hombre que se hizo pasar por una chica de 14 años en Tuenti y convenció al menos a dos niñas, de 12 y 11 años, para que le enviasen fotografías en las que aparecían desnudas. La vista, fijada para hoy, no se ha llegado a celebrar porque el fiscal y la defensa han llegado a un acuerdo y se dictará sentencia de conformidad.

El fiscal pedía doce años de prisión, además de 36.000 euros en indemnizaciones y 3.840 de multa para Joaquín G.M, que finalmente deberá cumplir cuatro años y pagar 630 euros de multa y 7.000 euros en indemnizaciones. La pena ha sido rebajada porque ha reconocido la autoría de los hechos, colaboró desde un primer momento con la Policía Nacional en la investigación, facilitándoles el acceso a sus archivos informáticos y a sus cuentas de correo electrónico, y además consignó 3.200 euros para hacer frente a las indemnizaciones antes de la vista.

Según el relato de la Fiscalía, el acusado, que no tiene antecedentes penales, estuvo utilizando una cuenta de Messenger y dos en Tuenti entre septiembre de 2008 y enero de 2009 para contactar con niñas haciéndose pasar por una chica de 14 llamada Isabel. El hombre, de unos 30 años, pedía a las niñas que le enviaran fotografías en las que estuvieran desnudas con la excusa de que así sabría su talla y podía ayudarlas a "entrar en el mundo de la moda", o que conectasen su webcam para captar él mismo las imágenes.

Otras veces se hacía pasar por el tutor o el novio de la supuesta Isabel y las decía que si no conseguía las fotos, la iba a maltratar. E, incluso, en alguna ocasión las amenazó con que iría a buscarlas y les causaría "algún mal". Con esos métodos logró que dos niñas de 12 y 11 años les remitieran varias fotografías en las que aparecían desnudas y en el caso de las más pequeña, "en posturas y actitudes de contenido sexual".

Joaquín G.M contactó con otras cinco, de entre 11 y 14 años, con el mismo propósito y le enviaron imágenes suyas, pero en las que estaban vestidas. El acusado usó además, sin su consentimiento, fotos de las menores para enviarlas a otras chicas y que les sirvieran de ejemplo y creyesen que no había nada malo en hacer algo que ya habían hecho otras niñas. Hoy, tras aceptar la pena se ha dirigido a la Sala para decir que no sabía lo que estaba haciendo y pedir perdón.

Fuente: Público.es

Seguir leyendo...

Argentina: Contactar menores en la red o por teléfono, con fines sexuales, será delito

La comisión de justicia y asuntos penales del avanzó esta tarde, junto a expertos en derecho informático y “ciberdelitos”, con el tratamiento de dos proyectos tendientes a tipificar como delito el “grooming”, es decir el contacto de menores por la red con fines sexuales. La iniciativa ya tiene dictamen favorable y podría ser llevada al recinto en la próxima sesión de la cámara alta. El texto propone incorporar un artículo al Código Penal, para penar “con prisión de seis meses a cuatro años el que, por medio de internet, del teléfono o de cualquier otra tecnología de transmisión de datos, contactare a una persona menor de edad, con el propósito de cometer cualquier delito contra la integridad sexual”. Tiene como antecedentes los proyectos presentados por la rionegrina María José Bongiorno y por los pampeanos María Higonet y Carlos Verna.

Los senadores escucharon las opiniones de tres expertos en derecho informático:Fernando Tomeo, profesor de la Universidad de Buenos Aires (UBA) y de la Universidad Abierta Interamericana; el fiscal general de la Cámara Criminal y Correccional de la Capital Federal y especialista en delincuencia informática, Ricardo Saenz; y Daniel Monastersky, miembro de la Asociación Argentina de Informática Jurídica (AAIJ) y profesor de la cátedra de ciberdelitos en el postgrado de Derecho Informático de la Universidad Nacional de San Luis, y docente de la Universidad de Belgrano y de la Facultad de Ciencias Económicas de la UBA.

Los expertos convocados por la comisión, celebraron la iniciativa de legislar en materia de “ciberdelitos”, en este caso particular en relación con el “grooming” o acoso de menores por medio de Internet. Asimismo, advirtieron sobre los riesgos a los que están expuestos los menores de edad en las redes sociales y, en tal sentido apelaron a un debido control por parte de los padres.

Desde el punto de vista normativo, llamaron la atención por los vacíos legales existentes en la Argentina en relación con los delitos informáticos: en la lista, además del grooming, incluyeron el ciber acoso y el robo de identidad mediante la creación de perfiles en las redes sociales “falsos o apócrifos”.

Daniel Monastersky advirtió que “el grooming es un delito preparatorio para otros delitos más graves”, al que se exponen generalmente las personas más jóvenes. “El 75% de personas entre 14 y 18 años de edad tomó contacto con un desconocido por medio del chat”, puntualizó.

Los senadores de la comisión emitieron dictamen favorable, y se comprometieron a seguir trabajando en legislaciones que atiendan estos delitos surgidos de las nuevas tecnologías de la comunicación y la información, especialmente con el boom de las redes sociales.

Fuente: La Hora de Salta

Seguir leyendo...

Descarga DirectX 11 (y sé otra víctima)

En el día de hoy me encontraba realizando una demostración de las bondades de algunos nuevos procesadores CPU y GPU y cómo los mismos pueden ser utilizados por ejemplo para renderizar gráficos de alta resolución con mejor performance.

Para ello  me iba a basar en una presentación de las nuevas funcionalidades de DirectX 11 de Microsoft y tuve la genial idea de buscar dicha información en Google:

Como puede verse en el primer resultado aparece un sitio (www.DirectX11.com.[ELIMINADO] - IP: 178.33.[ELIMINADO].145) que dice contener la última versión de DirectX 11 y desde el cual se puede descargar el supuesto instalador.

Al ingresar al sitio se puede apreciar un alto contenido de imágenes y un excelente diseño, que busca engañar al usuario para convencerlo de que efectivamente se trata del sitio real, y se ofrece la descarga del instalador:

Al intentar descargarlo es donde aparece el engaño y se solicita que se envíe un mensaje de SMS a un número, que varía dependiendo del país en el cual nos encontremos:

Supuestamente si se envía el SMS, con el correspondiente costo que figura en la imagen, se devolverá un código que habilitará la descarga del instalador buscado que al momento de escribir el presente NO existe. Por supuesto el código nunca llega ya que el instalador de las DirectX 11 aún no existe y, si fuera el caso, se lo podría descargar gratis desde el sitio oficial de Microsoft.

Al momento de escribir el presente el sitio no descarga nada dañino pero podría comenzar a hacerlo. Por otro lado algunos antivirus bloquean el acceso al sitio, pero esto dependerá de cada caso.

Así que ya lo sabe: NUNCA descarga instaladores de sitios no oficiales.

Cristian de la Redacción de Segu-Info

Seguir leyendo...

Argentina: El 41% de la gente de entre 25 y 50 años no usa la PC

Imagínese que de pronto todos hablan un idioma que usted desconoce. Imagínese que para hacer un simple trámite le piden que “entre” a algo que no se sabe muy bien dónde está. Imagínese que un niño de cinco años se ríe de usted porque no entiende nada de lo que le dicen. Imagínese que de pronto el mundo a su alrededor cambia y un día se despierta analfabeto.

Eso es lo que hoy le ocurre a los millones de personas que en el país no usan computadoras. No son abuelos que se siguen maravillando con la televisión color y el control remoto, sino argentinos que están en plena actividad laboral y con edad para poder deslizarse sin más complicaciones por las ventanas de la pantalla. Pero en la Argentina donde los fanáticos de Facebook baten récords, viven 5,5 millones de personas que tienen entre 25 y 50 años y no usan computadoras. Son el 41% de las personas de esa edad.

Los datos surgen de analizar los resultados del Censo 2010. Allí, por primera vez se incluyó una pregunta relacionada con la tecnología: “¿Usa usted computadora?”. Esos números servirán para tener un base cierta sobre cuál es la relación de los argentinos con la tecnología.

¿Pero qué implica en el año 2011 no usar computadoras? “Estamos hablando de analfabetismo digital”, responde Susana Finquelievich, investigadora del Instituto Gino Germani. “Son personas que no tienen acceso a una computadora, pero que tampoco han descubierto para qué sirve. Para ellos, eso significa quedar fuera de una cantidad de relaciones laborales y sociales que ya son parte de la vida cotidiana”.

Hugo Scolnik, director de Computación de la UBA, opina que las personas que no utilizan computadoras inevitablemente “comienzan a diferenciarse del resto porque esto las afecta en su productividad, en su acceso a la cultura o en cómo se relacionan con los otros”.

Estos datos muestran la manera en que los adultos del país se vinculan la tecnología, un factor determinante en la economía. Pero además, los números trazan un mapa de la desigualdad . Con observar los porcentajes queda en evidencia que en las provincias más pobres y con menos acceso a la educación las diferencias se disparan. Santiago del Estero, por ejemplo, tiene los peores números: casi el 68% de las personas en ese rango de edad no usa computadoras.

Porcentajes similares, donde quienes no usan computadoras son mayoría, se repiten en todas las provincias del Norte y muestran una fotografía de una Argentina ajena al mundo moderno . Son números que se contraponen con una ciudad de Buenos Aires donde el 15,27% de estos adultos utiliza la computadora o con las provincias del Sur, donde también es alto el porcentaje de alfabetización digital.

“Las regiones con más alfabetización digital son aquellas que tienen el PBI más alto, donde además su población está ocupada en servicios, es decir que sus trabajadores están en contacto con computadoras. Y también en provincias donde existen universidades importantes”, señala Finquelievich. En contraposición, agrega, donde los adultos que no usan computadoras superan el 50% son provincias “donde se invierte poco en educación, donde los gobiernos no están demostrando un interés por revertir esta situación . Son provincias donde el ingreso per cápita es extremadamente bajo y hay una polarización económica muy marcada”.

Con 1.262.382 computadoras entregadas, el programa oficial Conectar-Igualdad intenta, además de darle una netbook a cada alumno, que los chicos se conviertan en la puerta de entrada de la informática a esos hogares que hasta ahora no tuvieron acceso a una computadora. Scolnik cree que en los últimos años Argentina “hizo grandes avances, pero todavía estamos muy atrás de otros países de la región como Brasil o Colombia”. ¿Cuáles son los factores? “ Estos porcentajes hablan de un problema educativo muy grande , pero también influye el costo de los equipos y los precios de los servidores de Internet. Son muchos los que todavía no pueden afrontar estos costos”.

Estos datos constituyen sólo un bosquejo para saber cuál es el nivel de informatización en la Argentina. Finquelievich sostiene que, como ocurre con el lápiz y el papel, también existen diferentes grados de alfabetización tecnológica.

Usar Facebook, mandar mails o mirar videos en YouTube, no necesariamente implican que quien realice esas prácticas sea un alfabeto digital. “Uno, en general, usa la computadora para lo que necesita inmediatamente –dice Finquelievich–, por eso existen diferentes tipos de analfabetismo.

Estar alfabetizado implica poder usar el Word o una planilla de Excel, cosas que sirven para trabajar y estudiar, y esto sí es algo que cruza a varias franjas sociales”.

Pero ese grado de precisión quedó fuera del censo, en cuyo cuestionario la única pregunta fue sobre el uso de computadoras. Hasta ahora sólo sabemos quiénes usan o no computadoras. Un número sin matices que empieza a mostrar cómo está llegando Argentina al futuro.

Fuente: Clarín

Seguir leyendo...

Los Boing 747 son UNIXs volando (y sin parchear)

Para aquellos que no lo saben, los Boing 747 son grandes sistemas UNIX voladores. Hasta el momento, el sistema de gestión del motor de los aviones de esta compañía aérea estaban basados ​​en SUN Solaris. Al parecer la utilización de SSH dañaba el sistema de menús y no se aprueba el presupuesto necesario para solucionar el problema, por lo que los ingenieros podrían tener acceso al motor del 747 aún cuando este se encuentre en vuelo y, si se observan problemas, se podría volver a ajustar el motor en el aire.

El problema aquí es que todo lo que separaba a los sistemas de control del motor y la red abierta se basa filtros NAT. No hubo (ni parece haber hoy en día) ningún tipo de control de extrusión y sólo se filtra el tráfico entrante, pero todo el tráfico saliente está permitido. Para aquellos que se dedican a pentesting, no se necesita decir más.

Fuente: Traducción de BoingBoing

Seguir leyendo...

En Latinoamérica, el 30% de los usuarios de banca electrónica le temen a internet

Internet se consolidó como el canal más usado para hacer operaciones bancarias en el primer semestre de 2011 en Colombia, con un total de 391 millones de transacciones, pero aún así las personas siguen utilizado la oficina física para realizar transacciones monetarias.

Ese fenómeno —el de acudir a las sucursales físicas— es similar en la mayoría de los países de América Latina , ya que el 30% de los clientes bancarios consultados a través de una encuesta informó que no usan internet para realizar transacciones o compras por el temor al fraude electrónico.

El estudio llamado Visión de los Consumidores Latinoamericanos sobre el Fraude Electrónico 2011 fue realizado por la firma Easy Solutions, una compañía estadounidense especializada en prevención y detección de fraude electrónico y se presentó en el congreso contra el fraude de la Federación Latinoamericana de Bancos, Felaban, realizado recientemente.

Seguir leyendo...

Phishing a Mercado Libre

En el día de hoy hemos recibido en nuestra sección de denuncias el aviso de un sitio web que simula ser de Mercado Libre.

La barra de navegación muestra el dominio, que ya está siendo bloqueado por algunos navegadores,  luego de las denuncias realizadas. Al consultar los datos del registrante, obtuvimos la siguiente información:

Todos los enlaces apuntan a Mercado Libre, exceptuando el botón Ingresar que, sin importar el usuario y la contraseña que se ingresen, redirecciona al usuario a una página como la siguiente, donde se solicita la información de la tarjeta de crédito del usuario:

Luego de completar los datos del formulario e intentar continuar con el supuesto proceso de compra, se muestra un mensaje falso de Visa que informa que el sistema no está disponible y nos invita "Intentar más tarde".
Luego de algunos segundos, efectivamente se realiza una redirección al sitio web real de Visa.

Recordamos nuevamente que es importante, al momento de realizar alguna operación en internet, tener la precaución de verificar que el dominio o página web a la que estamos ingresando sea realmente el verdadero y prestar especial atención en el caso de estar realizando alguna compra o transacción.

SoloE de la Redacción de Segu-Info

Seguir leyendo...

Facebook te identifica aunque cierres sesión

Facebook vuelve a estar en el ojo del huracán por la privacidad. En este caso, la culpa la tienen las cookies de su red social y la nueva API que, combinadas, podrían permitir que las aplicaciones publiquen actualizaciones de estado en el perfil de un usuario, incluso cuando éste no está logueado.

Cuando parecía que Facebook había comenzado a proteger la privacidad de sus usuarios ante la amenaza de Google +, ha aparecido una nueva polémica.
Según parece, la nueva API permite a las aplicaciones publicar en el muro de un usuario sin que éste realice ningún tipo de acción. Así, por ejemplo, al visitar una página, podría aparecer un mensaje en la red social con el perfil del usuario en el que se diga que ha visitado la web o que ha leído un artículo en la misma.

Uno de los primeros en publicar esta información fue Dave Winer quien proponía la solución de cerrar la sesión siempre que no se esté utilizando la red social. De este modo se evitaría, en teoría, entrar en otras páginas registrado como usuario de Facebook.

Sin embargo, el hacker y bloguero australiano Nik Cubrilovic publicó otra entrada en la que asegura que cerrar sesión no es suficiente, pues, según explica, las cookies almacenan información suficiente como para identificar a cualquier usuario, incluso si ha cerrado la sesión.

De este modo, al visitar cualquier página que tenga alguno de los widgets o botones para compartir contenido de Facebook, los usuarios pueden ser identificados a pesar de haber cerrado sesión, y su información puede ser recogida.

Por lo tanto, la única solución sería borrar todas las cookies de la red social después de cada visita o tomar medidas más drásticas como utilizar navegadores distintos para navegar y para utilizar la red social o, incluso, darse de baja en Facebook.

Actualización: Desde Facebook han dicho que trabajarán en resolver estos problemas: aunque mantendrán algunas cookies al desconectarse, ninguna de ellas podrá vincularse con una cuenta específica.

Fuente: TicBeat y Genbeta

Seguir leyendo...

Troyano para Mac OS X enmascarado en un PDF

Ha aparecido un nuevo troyano para Mac OS X enmascarado en un archivo PDF. El troyano se conecta a un servidor externo pera descargar un software que abre una puerta trasera en el ordenador. El supuesto PDF de ehcho muestra texto para engañar a los usuarios que lo abren y que no reciben ninguna notificación real de lo que está ocurriendo. El actual troyano muestra texto en chino, pero puede cualquier tipo de PDF. Dentro te contamos como identificarlo con relativa facilidad.

Cuando un usuario abre el archivo, el ejecutable entra en acción extrayendo un tercer ejecutable que descarga un software de puerta trasera de un servidor remoto. El primer ejecutable solo funciona en Macs con Intel y el software de puerta trasera no funciona en sistemas de archivos que diferencian mayúsculas y minúsculas (que no es el caso habitual ni por defecto en la instalación de Mac OS X). El software e puerta trasera es capaz de sacar pantallazos y los envía a un servidor además de realizar otras acciones.

El troyano no está ampliamente distribuido en internet y posiblemente se trata de una prueba de concepto. Su diseño es bastante pobre y aunque puede llegar a funcionar, no se conecta a un servidor activo. VirusBarrier X6 de Intego detecta este troyano y lo identifica como OSX/Revir.A y el software de puerta trasera, como OSX/Imuler.A. La amenaza puede considerarse como muy baja.

¿Un PDF ejecutable?

Realmente, y sin tener una muestra del Troyano, es bastante factible que este Troyano se aproveche de la posibilidad de crear una App-in-PDF.

La documentación de Aperture es un ejemplo de este tipo de PDF. A pesar de que su icono pone claramente que es un PDF, la realidad es muy distinta: es una aplicación con su correspondiente extensión .app. Realmente lo que ha hecho Apple es meter esta documentación en "una caja" que impide que pueda leerse en ordenadores que no están soportados (por ejemplo, un PPC y de ahí que el troyano no funcione en un procesador de este tipo) además de centralizar todos los documentos de ayuda de diferentes idiomas en una misma aplicación, pero esto es fácilmente solucionable.

Selecciona cualquiera de los archivos de ayuda y con el botón contextual elige Mostrar contenido del paquete y navega a Resources/English.lproj/ y en esa ubicación tienes el PDF real que puedes copiar a tu escritorio para poder inspeccionar sin las restricciones de Apple. Adicionalmente, en la carpeta Resources están las versiones en francés, alemán y japonés.

En el caso de un PDF sospechoso como Troyano, el proceso de detección debería ser el mismo: si es factible mostrar el contenido del paquete (y el PDF viene de una fuente poco segura o no confiable) es bastante probable que nos encontremos ante una versión de este troyano.

Fuente: Faq-Mac

Seguir leyendo...

Tendencias de la ciberseguridad en entornos industriales

Como ya hemos comentado en las entregas anteriores, los sistemas de control industrial son cada vez más parecidos a los sistemas tradicionales de Tecnologías de la Información, obteniendo todo lo bueno de estos sistemas como el abaratamiento de costes, mayor flexibilidad, nuevas capacidades, menor necesidad de formación, etc. pero exponiéndose a su vez a todo lo malo como virus y malware, bugs y vulnerabilidades de software, actualizaciones continuas necesarias, etc.

¿Cuáles deberían ser los siguientes pasos ante este nuevo escenario? Es claro que los principales actores en el escenario (fabricantes de sistemas de control y de dispositivos de seguridad, empresas, asociaciones profesionales, ingenierías e integradores) deberían tomar las riendas de los cambios y adaptarse al nuevo entorno.

Los fabricantes de sistemas de control industrial deberían incorporar la seguridad como un requisito más en el diseño de sus productos y arquitecturas incluyendo autenticación fuerte, criptografía y las medidas de seguridad habituales que se incorporan ya de facto en la mayoría de sistemas de TI tradicionales.

La realidad es bien distinta. A día de hoy muy pocos fabricantes de sistemas de control industrial y SCADA están teniendo en cuenta la seguridad seriamente en el diseño de sus productos y soluciones y prueba de ello es la continua publicación desde la aparición de Stuxnet de numerosas vulnerabilidades de distintos fabricantes de conocida reputación en el ámbito industrial. Semanalmente el número de problemas de seguridad publicados en este tipo de sistemas está creciendo exponencialmente.

Los fabricantes de dispositivos de seguridad TIC, por su parte, deberían tener en cuenta las características y requisitos de los sistemas industriales incluyendo entre sus capacidades y funciones el manejo adecuado de los protocolos específicos en este ámbito, así como la incorporación de mecanismos de funcionamiento en tiempo real.

Lamentablemente los principales fabricantes de dispositivos de seguridad del mercado no reconocen a día de hoy la gran mayoría de los protocolos industriales con lo que para la mayoría de las soluciones de seguridad lógica tradicionales implantadas en las compañías, la comunicación, vulnerabilidades y características de los sistemas industriales son “invisibles”. Sólo existen unos pocos fabricantes en el mercado internacional que han desarrollado productos “de nicho” ofreciendo unos dispositivos de seguridad pensados especialmente para el entorno industrial, que reconocen sus protocolos, características y vulnerabilidades, pero que tienen una cuota de mercado bajísima si lo comparamos con los fabricantes de dispositivos de seguridad tradicionales. En los últimos días precisamente hemos asistido a algunos movimientos en el mercado en este sentido con la reciente adquisición de Byres Security (fabricante de los dispositivos Tofino) por Belden-Hirschmann.

Por su parte, las empresas y usuarios finales tienen como principal gap la falta de concienciación y formación en esta área, además de la, inexistente en muchos casos y deficitaria en otros, comunicación entre las áreas de planta, producción, tecnologías de la información y seguridad. En la mayoría de los casos la organización no es siquiera consciente de los altos riesgos a los que están expuestos ni mucho menos como mitigarlos. Se hace necesaria una labor de divulgación, evangelización y formación importante entre los profesionales de las áreas industrial, de TI y Seguridad.

En este sentido las asociaciones profesionales, de estandarización y sectoriales deberían tomar cierto protagonismo. Existen estándares para la seguridad en los sistemas industriales como ISA 99, para la gestión de la seguridad como ISO 27001 o para la continuidad de negocio como BS 25999, pero, ¿podría tener sentido un estándar o marco de referencia que uniese al menos esos 3 estándares de forma coherente y consistente en el marco que estamos tratando? La respuesta afirmativa parece obvia. Este tipo de iniciativas, así como otras de concienciación y formación deberían ser lideradas por este tipo de asociaciones u organizaciones. A nivel internacional, especialmente en Estados Unidos esta área está mucho más madura y existen iniciativas sectoriales, grupos de trabajo y estudio, etc. mientras que en España únicamente se empiezan a ver tímidas iniciativas de algunas asociaciones como ISA (la Sociedad Internacional de Automatización) que ha incorporado la seguridad como uno de los temas a tratar en sus sesiones
técnicas durante 2011 o INTECO (el Instituto Nacional de Tecnologías de la Comunicación) que en el pasado Encuentro Internacional de la Seguridad de la Información estableció ya un track dedicado a la protección de infraestructuras críticas en el que se trataron también estos temas.

Finalmente uno de los actores con mayor relevancia para el cambio que estamos comentando son las ingenierías e integradores, que son los encargados de diseñar, construir, implantar y en muchos casos mantener las instalaciones industriales. La incorporación de la seguridad no sólo física sino también lógica o ciberseguridad como un requisito más a tener en cuenta dentro de los cuantiosos proyectos que llevan a cabo debe ser un paso imprescindible para conseguir los objetivos que se persiguen. El incremento en los costes globales de este tipo de proyectos por la inclusión de este requisito es mínimo respecto a las ventajas en la disminución de los riesgos asumidos por la organización y por ende, de la nación en muchos casos.

Fuente: Infosecman

Seguir leyendo...

MySQL.com fue comprometido y propagaba malware

La advertencia sobre la vulnerabilidad y el compromiso de sitio mysql.com fue realizada por la gente de Amorize quienes realizaron el análisis del sitio afectado y del fragmento de código JavaScript ofuscado (common/js/s_code_remote.js) alojado en el mismo servidor.

En el video se puede ver que al parecer se trata de un iframe que apunta al paquete de exploits Blackhole. Una vez que se ingresa a la página se ejecutan una serie de exploits en componentes PDF, Flash, Java con el fin de descargar desde al menos dos sitios malware que es detectado por muy pocos antivirus.

Al parecer el sitio de mysql.com ya fue limpiado pero no ha habido declaraciones sobre el alcance del compromiso de los servidores. Esta es la segunda vez en el año que le sucede a este sitio y el incidente previo había sido sobre una inyección de SQL que se utilizó para obtener acceso a la información del sitio.

Actualización: además, la contraseña de usuario root al servidor se vendía por 3.000 dólares en un foro ruso.

Fuente: ISC SANS

Seguir leyendo...

Identidad en la nube

La identidad es uno de los desafíos centrales que la mayoría de aplicaciones de nube deben enfrentar. Las aplicaciones de nube están distribuidas por diseño, pero todos los nodos deben ser compatibles con el mismo reconocimiento de identidad. ¿Quién es el usuario? Qué permisos se deben otorgar?

Las preocupaciones de clientes sobre seguridad, privacidad y control operacional encabezan la lista de los límites potenciales al uso de soluciones de nube. Clientes que estén considerando cargar sus aplicaciones a la nube deben tener garantías de que el modelo de identidad que se implementa en la nube es coherente con sus requisitos y necesidades.

Hay distintas maneras de construir compatibilidad con identidad in una aplicación. El entorno de nube permite el uso de escenarios sofisticados tales como la colaboración, la mediación y el inicio de sesión único o “single sign-on” (SSO). En tales escenarios, la compatibilidad con identidad tradicional puede ser difícil de implementar.

Este artículo describe la infraestructura que la plataforma de Windows Azure proporciona y que ofrece Windows Azure Appfabric para permitir implementación de seguridad sencilla pero segura en estos escenarios.

Fuente: SeguridadIT

Seguir leyendo...

"Es fácil suplantar a cualquier individuo y vaciarle la cuenta"

Entrevista a Florin Talpes, consejero delegado de BitDefender 

Nacida en 2001 en Rumanía, la empresa BitDefender se sitúa hoy como una de las empresas punteras en la investigación y desarrollo de antivirus para combatir esta plaga. Hoy, según sus datos, tiene más de 400 millones de clientes en todo el mundo. Afirma que la proliferación de teléfonos inteligentes y tables "incrementa las posibilidades de tener virus en alguno de ellos".

Pregunta. ¿Cómo surgió su interés personal por el problema de los virus informáticos y el combate contra ellos?
Respuesta. Antes de crear BitDefender, me puse a trabajar para protegerme del software malicioso (malware) proveniente de Bulgaria. Por aquel entonces, estos programas dañinos se esparcían a través de disquetes, a una velocidad muy inferior a la de hoy con Internet. Por proximidad geográfica, Rumanía era uno de los primeros países en recibir estos virus. Pronto me di cuenta de que no solo yo podía ser víctima de estos ataques: vi que era una necesidad global combatirlos.

Seguir leyendo...

¿Qué es Windows Azure?

Windows Azure es una plataforma de informática en nube que ha sido diseñada para proporcionar un host escalable y confiable para aplicaciones de Windows en funcionamiento en la nube.

El entorno de nube por diseño proporciona escalabilidad, confiabilidad y disponibilidad, pero al mismo tiempo, también debe proporcionar garantías de que hospedar aplicaciones y guardar datos en la nube es seguro.

Dudas acerca de la seguridad, la privacidad, la confiabilidad y el control operacional encabezan la lista de barreras potenciales al uso de soluciones de informática en nube. Por consiguiente, Windows Azure usa una matriz de controles de seguridad y de directivas de privacidad para asegurar la máxima seguridad para datos y aplicaciones.

La seguridad es un sujeto multidimensional, que comprende la seguridad física, la seguridad de la red, la seguridad del host, la seguridad de las aplicaciones, y la seguridad de los datos. Para establecer una solución segura, se deben tener en cuenta todas estas dimensiones.

Así como el proveedor de nube es responsable de la máquina y del sistema operativo, también responde por la seguridad, lo cual significa que el proveedor de nube debe manejar los dominios de la seguridad física, la seguridad de la red y la seguridad del host.

Windows Azure es una plataforma PaaS, que se utiliza para el hospedaje de aplicaciones. Así, se libera al cliente de la necesidad de hacerle mantenimiento a la máquina, a la red y a l sistema operativo. El cliente es responsable únicamente de la aplicación.

Este documento (II, Video I, Video II) describen cómo Windows Azure utiliza una amplia gama de controles de seguridad para cumplir con sus responsabilidades como un proveedor PaaS y para proporcionar tecnologías de seguridad que ayuden a sus clientes a asegurar sus aplicaciones y datos en la nube.

Fuente: SeguridadIT

Seguir leyendo...

Reino Unido recoge en su estrategia de ciberdefensa los ataques a países hostiles

Para muchos países, asegurar la integridad de muchos de sus servicios básicos pasa por implementar una estrategia de defensa en Internet y evitar que su país se venga abajo por un ataque lanzado desde alguna potencia extranjera o un grupo ciberterrorista. Algunos países han puesto en marcha cibercomandos especializados en la defensa de la red y algunos, incluso, miran a la red como un objetivo estratégico donde podrían atacar a otros países. Dentro de estas estrategias de defensa, Reino Unido habría recogido esta última intención y, según parece, habría recogido la posibilidad de lanzar un ataque contra potencias hostiles utilizando recursos parecidos al Stuxnet que sembró el caos en la central nuclear iraní el año pasado.

En base a esto parece que Reino Unido estaría aplicando la expresión “la mejor defensa es un buen ataque” puesto que, dentro de la estrategia de salvaguarda de las instalaciones críticas, se dotarían de la posibilidad de devolver el ataque. Según la información que ha revelado The Telegraph, el Gobierno Británico se plantea restringir el acceso a Internet a los ciberdelincuentes y permitir que las principales compañías tengan acceso a tecnologías de Defensa para defenderse de posibles ciberataques (como mecanismo de prevención ante ataques).

Además, Reino Unido creará, también, un cibercomando que se enfrente, de manera proactiva, a cualquier amenaza de seguridad y canalice el uso de la fuerza militar a través de la red, que dicho de otra forma significa que Reino Unido dotará a su cibercomando de la capacidad de lanzar ataques si fuese necesario. Según el Primer Ministro, David Cameron:

Teniendo en cuenta que Internet es, sin duda alguna, una fuerza social y política, además de un bien crucial para el crecimiento de nuestra economía, necesitamos protegerlo ante amenazas hacia nuestra seguridad

Aunque la estrategia de seguridad de Reino Unido no nombra a ningún país que sea catalogado como amenaza potencial, sí que es cierto que la estrategia recoge el hecho de que gran parte de las amenazas provienen de otros países que “realizan espionaje para comprometer nuestras fuerzas militares, a nuestro gobierno, nuestra industria y nuestra economía, además de monitorizar a su propia disidencia”.
Está claro que, con todo lo que hemos vivido en el último año, todos los gobiernos deberían emplear recursos en mejorar la seguridad de sus sistemas y evitar la fuga de información o la pérdida de los servicios básicos ante un ciberataque.

Fuente: Bitelia

Seguir leyendo...

Bélgica: Facebook le deja 7 meses de prisión

Un tribunal belga condenó hoy a siete meses de prisión con remisión condicional de la pena y una multa de 550 euros a una mujer que creó un falso perfil en Facebook con el nombre de su antiguo empleador con el objetivo de denigrar su imagen.

Según la agencia de noticias Belga, la mujer de 38 años, cuyo nombre no fue revelado, creó el año pasado un falso perfil para su exjefe en la popular red social y publicaban ahí mensajes haciendo creer que el hombre tenía una amante.

Los hechos ocurrieron entre julio y diciembre de 2010 y fueron destapados cuando una investigación policial detectó que la falsa cuenta era utilizada desde la dirección IP del domicilio de la acusada.

La mujer ha admitido su culpa y ya pagó cinco mil euros a su víctima en carácter de indemnización por daños a su imagen.

La pena final es superior a la solicitada por la procuraduría, de seis meses prisión con remisión condicional, con lo que el juez Gale Jansen, del tribunal correccional de Gand, ha querido enviar “una fuerte señal a la sociedad”.

“Los sitios de redes sociales no pueden servir para arreglar cuentas, tampoco para crear falsos perfiles o endosar la identidad virtual de otra persona”, declaró el magistrado al leer la sentencia.

Fuente: Milenio

Seguir leyendo...

Reportes de Gestión necesarios para Firewalls y VPN

Parte importante de todos los proyectos asociados a las Tecnologías de la Información son los Reportes o Informes de Gestión, estos nos permiten medir el nivel de servicio entregado y obtener visibilidad e información relevante en relación a los dispositivos configurados, ya sean servicios implementados in house o a través de proveedores.
Sin duda he visto muchas implementaciones e integraciones de sistemas, donde finalmente los objetivos funcionan pero los reportes de gestión son malos e ineficientes sin que podamos dar visibilidad al negocio y poder mostrar parte del ROI justificando a posterior el porqué se pagó por una determinada solución.

Lo siguiente son consideraciones que he tomado para solicitar informes de gestión de un equipo Firewall el cual más bien es un UTM (Unified Threat Management):

Luego de pensar en que informes se deben generar de este dispositvo he concluido lo siguiente:

VPN:

• Conexiónes realizadas por usuario
• Cuenta de Dominio Utilizada, Nombre de VPN que fue accedida, IP Origen, Fecha y Hora Acceso, Fecha y Hora Desconección
• Detalle de conexiones establecidas dentro de la VPN

Firewall:

• Inicios de sesión por usuario a la interfaz de administración o CLI / consulta
• Cuenta utilizada, IP Origen, Fecha y Hora de acceso, Fecha y Hora desconección
• Detalle de cambios realizados en caso de existir
• Regla, Valor Existente --> Nuevo Valor
• Cambios realizados en Firewall (otra visión del reporte anterior pero desde la optica de cambios y no del quién)
• Modificación de Reglas: Valor Existente --> Valor Nuevo
• Creación de Reglas: Valor Nuevo
• Eliminación de Reglas: Valor Eliminado
• Número de direccione IP no autorizadas, puertos y tipos de tráfico denegados (DS5 Cobit 4.1).

Antivirus:

• Número y tipo de código malicioso prevenido (DS5 Cobit 4.1)
• Internet
• Archivos descargados por protocolo
• Archivos descargados por peso y tipo
• Archivos subidos
• Top 100 páginas visitadas y detalle de usuarios que acceden a ella
• Top 100 usuarios con mayor nivel de tráfico de páginas visitadas
• Top 100 páginas denegadas y usuarios que intentaron acceder a ellas

Estos reportes asociados a los usuarios nos deberian permitir entregar información detallada a cada una de las reparticiones del uso de servicio y con ello ver, detectar y corregir posibles desviaciones de lo que se considere como uso aceptable del mismo.

Cabe señalar que deben existir otros informes para el área de tecnología como son los relacionados a la perfomance de los dispositivos: Uso de CPU, Memoria, Disco de este apliance, por supuesto que debe exisitr un repositorio y correlación de logs como buenas prácticas.

Lo anterior debería ser revisado contra un proceso de control de cambios, es decir, que los cambios que figuren en los informes que por ciento deben tener la periodicidad que cada entidad decida deben verificarse que efectivamente hayan sido aprobados y tengan una justificación clara de negocio.

Nelson Castro de la Redacción de Segu-Info

Seguir leyendo...

Chile: anuncian "exhaustiva investigación" por apagón que afectó a 11 millones de usuarios

El gobierno chileno anunció una "exhaustiva investigación" sobre el apagón total que afectó anoche cinco regiones del país y que dejó a oscuras a 11 millones de habitantes.

La primera información reportó una falla en un transformador de 220 kilovoltios en la subestación Ancoa, lo que habría provocado el corte.

El ministro de Energía, Rodrigo Álvarez, confirmó que la situación se agravó cuando se cayó el moderno software computacional que conecta a todas las empresas eléctricas que operan en el Sistema Interconectado Central (SIC).

Este programa permite monitorear todos los puntos de transmisión y, en caso de falla, es capaz de compensar lo más rápido posible la pérdida de energía. Al fallar este programa, además de no detectar la complicación, impidió su reparación y que la red volviera a funcionar automáticamente.

Por lo mismo, explicó Álvarez, la restauración debió hacerse manualmente, lo que demoró la reactivación del suministro. Lo anterior produjo, además, que la energía no se recuperara a la misma hora para todos.

Según fuentes de gobierno, citadas por La Tercera, la clave es descubrir por qué se dejaron de inyectar 500 megawatts al SIC.

El apagón total provocó caos en supermercados, centros comerciales y salas de cine, con asaltos y saqueos. En los hospitales funcionaron los sistemas de emergencia que dan electricidad durante 36 horas.

En tanto, unas 12.000 personas no se percataron del corte en el recital del cantante Ricky Martin, ya que se activó el autoabastecimiento propio del lugar.


Fuente: Ambito

Seguir leyendo...

"Te metieron los cuernos" y te envían las fotos por correo

En los últimos días hemos recibido varias denuncias en Segu-Info sobre correos que dicen informar al receptor del correo sobre una supuesta infidelidad de su pareja y ofrecen las fotos de "los cuernos" para su descarga.

El asunto del correo es "Te llame y no me contestas lee el mail" y hace clara referencia a la urgencia del correo, para engañar al usuario y lograr que el mismo lo abra, facilitando el engaño (clic para agrandar):

Como puede verse, los enlaces conducen a archivos ejecutables EXE alojados en sitios vulnerados. Por supuesto se trata de archivos dañinos que no deben descargarse.

Cristian de la Redacción de Segu-Info

Seguir leyendo...

II Jornada de Cloud Computing de CXO

El próximo 4 de octubre se llevará a cabo la II Jornada de Cloud Computing organizada por CXOCommunity, en la cual tendré el gusto de participar como disertante.
.
Creíble, segura, madura, híbrida, despejada o tormentosa, es el nuevo reto que nos obliga a adentrarnos aun mas en esta, la era de la información, caracterizada por el uso de la tecnología al instante, una era donde las telecomunicaciones y el mundo virtual, son piezas fundamentales en el rompecabezas tecnológico.

Una evaluación profunda de riesgos y beneficios, la consideración de los niveles de seguridad, el control sobre la confidencialidad de la información, y cómo asegurar los acuerdos legales de prestación de servicio (SLA) son algunos de los aspectos que se colocan bajo la lupa en el momento de hablar de este nuevo paradigma.

Los temas que tratará el encuentro serán:

• - El Rol del CISO en la Nube.
• - Service Level Agreements.
• - Visibilidad en la Nube.
• - Evolución del Cloud Computing.
• - Cloud Computing: Es el modelo para mi empresa?
• - Hoja de Ruta.
• - Arquitectura, Infraestructura, Procesos y Personas en la Nube

Aquí se puede ver la agenda y realizar la inscripción para participar del evento.

Cristian de la Redacción de Segu-Info

Seguir leyendo...

¿Qué deberías hacer antes de ir a la nube?

Por Mariano del Río

Si has leído el artículo “¿Qué esperas de los servicios en la nube?” quizás te hayan surgido dudas acerca de los pasos previos que una organización debe dar para migrar a la nube. En este artículo, intentamos aportar algunas recomendaciones para identificar qué información es necesaria para tomar decisiones de forma responsable y minimizar los riesgos al optar por una solución de este tipo.

En primer lugar, es fundamental contar con la clasificación de la información, un inventario de activos completo, actualizado y su valoración, entre otros aspectos asociados al Gobierno de la Seguridad de la Información.

Una vez realizadas estas actuaciones, podemos pasar a evaluar la solución en la nube. Para esto último, la Cloud Security Alliance (CSA) ha generado un proyecto llamado Cloud Assessments Iniciative (CAI). El CAI facilita la elección del proveedor adecuado a través de la realización de un cuestionario que incluye cerca de 100 preguntas relacionadas con los Controles establecidos en el Cloud Control Matrix (CCM). El CCM, desarrollado igualmente por  CSA, es un proyecto que relaciona los controles de la Cloud Security Guidance mencionada anteriormente y los principales estándares y regulaciones internacionales, como por ejemplo ISO 27001, PCI-DSS, NIST SP800-53, CobIT, etc.

Si la organización cuenta entonces con la clasificación de la información, el inventario de activos, más el análisis de los riesgos y la ejecución de algún tipo de evaluación como las que se comentaron anteriormente, estaría en condiciones de poder decidir de forma diligente la opción de servicios en la nube más indicada.

Teniendo en cuenta esto último, ¿Cuántas organizaciones están en condiciones de cubrir estos aspectos? ¿Seguiremos pensando que los proveedores de servicios en la nube son los máximos responsables del impacto que causan los incidentes en las organizaciones?
Algunas Referencias:

• Cloud Security Alliance (CSA)
• Riesgos y Amenazas en Cloud Computing:
• Guidelines on Security and Privacy in Public Cloud Computing
• The Nist Definition of Cloud Computing
• 5 Aspectos para mejorar la seguridad en las empresas

Fuente: Blog de Seguridad de la Información de INTECO

Seguir leyendo...

Actualización crítica de seguridad para Adobe Flash Player

Adobe ha publicado una actualización de seguridad destinada a corregir seis vulnerabilidades críticas en Adobe Flash Player versión 10.3.183.7 (y anteriores) para Windows, Macintosh, Linux y Solaris, y Adobe Flash Player 10.3.186.6 (y versiones anteriores) para Android.

Las vulnerabilidades, con identificadores CVE-2011-2426, CVE-2011-2427, CVE-2011-2428, CVE-2011-2429, CVE-2011-2430 y CVE-2011-2444, pueden permitir a un atacante provocar la caída del sistema e incluso llegar a tomar el control de los sistemas afectados.

Según confirma Adobe, al menos una de las vulnerabilidades, se está explotando activamente en ataques dirigidos a través de correos electrónicos.

Las vulnerabilidades están relacionadas con problemas de cross-site scripting, desbordamientos de pila en AVM (ActionScript Virtual Machine), errores lógicos y evasión de controles de seguridad.

Adobe recomienda a los usuarios de Adobe Flash Player 10.3.183.7 (y anteriores) para Windows, Macintosh, Linux y Solaris la actualización a la versión 10.3.183.10 disponible aquí o desde la opción de actualizaciónautomática.

A los usuarios de Adobe Flash Player 10.3.186.6 (y anteriores) para Android actualizar a la versión 10.3.186.7 desde Android Market.

Fuente: Hispasec

Seguir leyendo...

Los ataques de inyección SQL aumentan en número y sofisticación

La intensidad de los ataques de inyección SQL está aumentando, según revela el informe Hacker Intelligence Initiative (HII) de Imperva [PDF].

El informe de Imperva muestra cómo se ejecutan los ataques de inyección SQL (SQLi) y la continua innovación de los atacantes para eludir los controles de seguridad. "La inyección SQL es probablemente la vulnerabilidad más costosa en la historia del software", concluye Amichai Shulman, máximo responsable de tecnología de Imperva.

Brechas bien conocidas, como las sufridas por Sony, Nokia y Heartland Payment Systems, han sido el resultado del uso de inyección SQL para entrar en las bases de datos de back-end de las aplicaciones, y tales ataques forman parte esencial del arsenal del grupo hacktivista LulzSec.

Imperva estima que existen alrededor de 115 millones de vulnerabilidades de inyección SQL en circulación, basándose en los datos conseguidos mediante la monitorización de un conjunto de 30 aplicaciones web durante los pasados nueve meses.

Desde julio, la compañía asegura haber detectado en tales aplicaciones una media de 71 intentos de SQLi cada hora. Aplicaciones específicas resultaron en ocasiones el objetivo de ataques especialmente agresivos, siendo impactadas, en los momentos de mayor intensidad, con entre 800 y 1300 intentos por hora.

Por otra parte, Privacyrights.org estima que la inyección SQL ha sido responsable del 83% de las brechas de datos relacionadas con algún ataque de hacking exitoso desde 2005 hasta el momento.

Fuente: CSO España

Seguir leyendo...

Informe predice elevado crecimiento en seguridad biométrica móvil

Un informe emitido por Goode Intelligence, una compañía de análisis e investigación sobre la industria de seguridad informática, pronostica que el mercado de productos y servicios biométricos en los teléfonos celulares crecerá de 4 millones de usuarios en 2011 a 39 millones de usuarios en el 2015.

El informe titulado Mobile Phone Biometric Security Analysis and Forecasts 2011-2015 (Análisis y pronósticos sobre seguridad biométrica de teléfonos móviles 2011-2015) también visualiza cómo serán los futuros teléfonos celulares, que podrían imitar el modelo japonés en que se depende regularmente del teléfono y su tecnología de comunicación de campo cercano (NFC) para acciones como la de hacer pagos personalmente.

El crecimiento de la seguridad biométrica móvil y el NFC van a la par, ya que muchos de los teléfonos japoneses que emplean NFC para los pagos también requieren escaneado biométrico de huellas digitales u otros, para autorizar las transacciones.

Entre los motores del mercado durante los próximos cinco años está un ascenso en la seguridad individual de los dispositivos y de las aplicaciones, el crecimiento del comercio móvil, el esperado crecimiento del empleo de NFC, la aceptación por los usuarios de la biometría para sustituir las contraseñas y los PINs, una mayor necesidad de autenticación por factores múltiples y la demanda de soluciones rentables para que el personal militar pueda recoger datos biométricos en el terreno

Fuente: IDNoticias

Seguir leyendo...

Descarga #BEAST para descifrar SSL (publicado en #Ekoparty)

Este paper [RAR] desarrollado por Thai Duong y Juliano Rizzo presenta el ataque chosen-plaintext contra SSL 3.0 y TLS 1.0 que permitió a sus autores desarrollar la aplicación BEAST, presentada ayer viernes en Ekoparty.
El paper además describe y presenta BEAST, que permite a un atacante descifrar y obtener los tokens de autenticación embebidos en el tráfico HTTPS. La obra resultante trabaja sobre los navegadores web más importantes al momento de escribir el trabajo en mayo de 2011.

Cristian de la Redacción de Segu-Info

Seguir leyendo...

Detienen a un presunto miembro de LulzSec por los ataques contra Sony

El FBI ha arrestado a un joven de 23 años que presuntamente pertenece al grupo LulzSec y al que se relaciona con los ataques lanzados contra Sony Pictures el pasado mes de junio, también se ha detenido a un supuesto miembro de Anonymous.

Cody Kretsinger ha sido arrestado en Phoenix (Arizona) y está acusado de participar en el robo de información personal de los usuarios de la plataforma de películas online Sony Pictures, que se produjo poco después del gran ataque contra PSN.

El grupo de hackers LulzSec se atribuyó la autoría de este ataque asegurando que sólo necesitaron una inyección SQL muy simple para acceder a datos personales como nombres, contraseñas, direcciones de correo y fechas de nacimiento de los usuarios.

Kretsinger permanece bajo custodia policial y podría ser condenado a un máximo de 15 años de prisión por delitos de fraude informático y conspiración.

Además, las autoridades estadounidenses han detenido en San Francisco a un presunto miembro de Anonymous cuya identidad no ha sido revelada.

Según la información que maneja la cadena Fox News el supuesto hacker es una persona sin hogar al que acusan de participar en diversos ataques lanzados contra varias webs gubernamentales del condado de Santa Cruz.

En las próximas horas podría aumentar la cifra de detenidos en relación a estos casos ya que la policía tiene orden de realizar varios registros en los estados de Nueva Jersey, Minnesota y Montana.

Fuente: The Inquirer

Seguir leyendo...

Rompen el cifrado SSL/TLS y Chrome dice ya haberlo solucionado

Como ya habiamos informado, dos investigadores afirman haber encontrado la manera de romper el cifrado SSL/TLS, utilizado para garantizar la fiabilidad y privacidad de los datos que se intercambian entre los navegadores web y los servidores.

Los investigadores, Thai Duong and Juliano Rizzo, han demostrado su Browser Exploit Against SSL/TLS (Beast) en la conferencia de seguridad Ekoparty. Aquí se explica el funcionamiento del ataque y de la herramienta BEAST (Imagen).

Las dos últimas versiones (1.1 y 1.2) de, protocolo de cifrado TLS no son vulnerables al exploit, pero la mayoría de las páginas web, servicios de mensajería instantánea y VPNs está utilizando la versión 1.0, que sí es vulnerable, porque es compatible con una amplia variedad de tecnologías web.

El Beast consiste en código JavaScript que funciona con un ‘sniffer’ de red para descifrar las cookies que llevan las credenciales de los usuarios para acceder a las cuentas.

A diferencia de la mayoría de los ataques publicados contra HTTPS que se centran en la autenticación adecuada de SSL, Beast ataca la confidencialidad del protocolo, han explicado ambos investigadores a The Register, que aseguran además que BEAST implementa el primer ataque que actualmente descifra peticiones HTTPS.

Los investigadores han anunciado que están trabajando con proveedores de navegadores e incluso Chrome dice ya haberlo solucionado con 20 líneas de código el pasado 20 de septiembre. Sin embargo los investigadores dicen que algunos parches propuestos han resultado ser incompatibles con algunas aplicaciones SSL actuales.

Fuente: The Register I y II

Seguir leyendo...