Resumen II Jornadas de Control Gubernamental

El pasado 25 y 26 de Octubre de 2011 tuvieron lugar las II Jornadas de Control Gubernamental en la Sala Casacuberta del Teatro San Martín de la Ciudad Autónoma de Buenos Aires, con la asistencia de aproximadamente 300 personas.

La organización estuvo a cargo de la Gerencia de Diagnósticos Especiales y Normativa de la Sindicatura General de la Ciudad de Buenos Aires y el Comité Ejecutivo estuvo conformado por el Síndico General, Dr. Ignacio Martín Rial, el Gerente de Auditoría Informática, el Lic. Patricio Bustos y la Gerente de Diagnósticos Especiales y Normativa, Dra. Mercedes Vogelius.

Las Jornadas contaron con la adhesión del Instituto Argentino de Normalización y Certificación (IRAM), del Colegio Público de Abogados de la Capital Federal; de la Sindicatura General de la Provincia de Salta, quien declaró de interés provincial las jornadas mediante decreto N° 4331/2011; del Colegio de Abogados de la Ciudad de Buenos Aires; del Colegio de Escribanos de la Ciudad de Buenos Aires; de la Universidad del Salvador y la Facultad de Derecho de la Universidad Católica Argentina

El Comité Ejecutivo se propuso como objetivo dar a conocer las nuevas herramientas que generan un valor agregado a nuestro trabajo diario. Con este fin, reafirmamos nuestro compromiso como órgano rector de control interno dando a conocer las mejoras para un modelo de control integral e integrado conforme a los principio de economía, eficacia y eficiencia.

Las Jornadas estuvieron divididas por su temática. El primer día nos acentuamos en los principales organismos que integran el control de la Ciudad, así como en los organismos interjurisdiccionales. Tuvimos la presencia de representantes de la Sindicatura General de Salta y un panel exclusivo a la implementación del Sistema de Gestión de Calidad en los organismos públicos. El segundo día nos centramos con mayor énfasis en las herramientas tecnológicas. En el modo de usarlas y en la forma correcta de implementarlas tanto para un mayor control como para la utilización de las mismas en empresas y organismos.

En el primer panel sobre “La innovación en los Organismos de Control”, contamos con la participación de la Dra. Alicia Pierini (Defensora del Pueblo de la Ciudad de Buenos Aires), la Dra. Sandra Bergenfeld (Auditoria General de la Ciudad de Buenos Aires), el Dr. Carlos Eduardo Tambussi (Procurador General Adjunto de Asuntos Patrimoniales y Fiscales de la Procuración General de la Ciudad de Buenos), el Arq. Miguel Von Rozenberg (Vocal del Ente Regulador de Servicios Públicos) y el Dr. Ignacio Martín Rial (Síndico General de la Ciudad de Buenos Aires). En el mismo se enfatizó la importancia del diálogo con los agentes involucrados. Este es un uno de los objetivos que se propuso la Procuración General de la Ciudad para la nueva gestión. Por el lado del Ente Regulador de Servicios Públicos evitar la superposición de competencias entre los distintos organismos que controlan los servicios. Desde la Sindicatura General se busca dicho propósito con las Mesas de Diálogo, los Comités de Control, los Comités de Mejora. Todos ellos en distinto ámbito pero con la misma idea de llegar a un destino común, a una solución concreta. La oportunidad de sentarnos todos en una misma mesa. Fue interesante como la Dra. Bergenfeld, desde la Auditoría General de la Ciudad, órgano colegiado integrado por diferentes fuerzas políticas destacó que todos sus informes han sido emitidos con la totalidad de las firmas del cuerpo colegiado.

Asimismo, se comentó el enfoque ambiental que se busca en el trabajo diario de todo organismo. La Dra. Pierini, comprometiéndose con el medio ambiente destacó que el edificio dónde se ubica la Defensoría del Pueblo de la Ciudad es el primer edificio público que tiene paneles solares que alimentan al sistema de iluminación y calefacción. Asimismo la Auditoría General de la Ciudad realiza todos sus informes de Auditoría con un enfoque en el medio ambiente.

Por otro lado, el Dr. Rial destacó que las organizaciones necesitan de estabilidad y continuidad, al tiempo que de adaptación e innovación. Y que no importa de que lado del escritorio este uno sino que se debe trabajar de manera tal que los buenos cambios perduren en el tiempo. Con esto destacó que en nombre de las instituciones y el respeto que éstas se merecen podemos encontrar la forma de optimizar el CÓMO sin perder de vista el QUÉ (nuestras misiones y funciones), procurando incrementar la eficiencia y la calidad en nuestras actividades cotidianas.

En esta misma línea, en el Segundo Panel el Dr. Jorge Pasquinelli (Auditor de la Cuenca Matanza Riachuelo) realizó la misma recomendación para sanear el Riachuelo afirmando que debemos juntarnos todos en la misma mesa; políticos, empresarios fabriles, ciudadanos, amas de casa y trabajadores. La Dra. Mariana Garcia Torres (Directora del Ente Regulador de Aguas y Saneamiento) destacó que es una necesidad el fortalecimiento institucional y el compromiso de las jurisdicciones integrantes de entes interjurisdiccionales deben tomar en temas transversales como es la regulación del agua.

El Dr. Leandro O. Despouy (Presidente de la Auditoría General de la Nación), en su rol de auditor del presupuesto de la ACUMAR, puso el acento en cómo se requiere de la colaboración de las tres jurisdicciones para obtener la información sobre el 100% del presupuesto ya que el mismo está integrado por los aportes de Nación, Ciudad y Provincia de Buenos Aires.

Algo que no se puede dejar de nombrar cuando hablamos de innovación es esta “cultura”, este “movimiento” que es el Sistema de Gestión de Calidad, la gestión por procesos. Este fue el tema que se mencionó a lo largo del Tercer Panel. El Cdor. Miguel Oscar Teilletchea afirmó concebir una organización moderna con procesos de calidad, capacitación continua y abierta a percibir las necesidades de la ciudadanía. Por otra parte, la Lic. Samanta Schmidt (Coordinadora del Sistema de Gestión de Calidad de la Sindicatura General de la Ciudad de Buenos Aires), agregó que el Sistema de Gestión de Calidad es un sistema integral, que contempla todos los procesos del organismo. Se puede decir que “es” el organismo mismo. Incorpora el “Enfoque por procesos” y determinados requisitos establecidos en la Norma ISO referidos a la calidad, que no modifican las actividades cotidianas, sino que generan un valor agregado en las etapas de planificación, ejecución, evaluación y mejora continúa de nuestros procesos.

Cerrando el Primer día de las Jornadas, en el Cuarto Panel, la Cdora. Nelba Noemí Alzueta (Gerente General de la Sindicatura de la Provincia de Salta) expuso sobre las misiones y funciones que la Sindicatura General de Salta tiene y en el modo en que las ejecuta. Recalcó la importancia de una buena comunicación y trató con el auditado para una mejor calidad de informes de auditoría. Por su parte, el Cdor. Alejandro Valls, Gerente General jurisdicción II de la Sindicatura General de la Ciudad, comparó el Estado tradicional con el estado moderno. Haciendo énfasis en que el Estado moderno se destaca por ser una organización del trabajo por proceso, un trabajo en equipo y coordinado, donde la información es compartida y existe un compromiso con resultados y ética. Mientras que el Estado tradicional es todo lo contrario.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Intel incorpora tecnología de autenticación en sus chips

El robo de contraseñas puede permitir el acceso a información sensible no autorizado. Para evitarlo, y cumpliendo con la estrategia de la compañía de incorporar seguridad en sus chips –que le llevó a comprar McAfee en agosto del año pasado, Intel ha incorporado tecnología de autenticación en sus chips gracias a la cual las páginas web verificarán que es el usuario, desde su ordenador el que está accediendo a su cuenta online y no un impostor o un ladrón.

Intel Identity Protection Technology se está incorporando a los chipsets de los PC basados en procesadores Core y Core vPro de HP, Lenovo, Sony y otros, que llegarán al mercado de consumo este verano (listado de PC protegidas).

Se trata de una tecnología de autenticación de doble factor que añade una capa de seguridad extra, de forma que incluso cuando una contraseña se robe no podrá acceder a la cuenta sin ofrecer más identificación o demostrar que es el propietario de la cuenta.

Cuando se habla de tecnologías de autenticación de doble factor se tiene en cuenta no sólo la contraseña sino algún tipo de hardware, como un token, que en el caso de Intel está incorporado en el chip.

Cuando se visite una web que ofrezca este servicio de autenticación de doble factor se le preguntará al usuario si quiere hacer uso de la Identity Protection Technology. Si se opta por esto último, no sólo se hará uso del nombre de usuario y contraseña, sino de un número único que se asigna a cada PC y que está asociado a esa cuenta. De esta forma, cuando se visita el site y se teclee el nombre de usuario y contraseña, un algoritmo establecido en el chipset generará un código de seis dígitos que cambia cada 30 segundos.

Si el usuario quisiera utilizar la tecnología de autenticación pero no utiliza siempre el mismo ordenador, o está en otro diferente al que suele utilizar, algunos sites ofrecen la opción de enviar un código a través de un mensaje SMS al teléfono de un usuario.

Fuente: ITespresso

Seguir leyendo »

Argentina: Alarma en las tecnológicas por la invasión de celulares falsos

Al igual que la ropa, los relojes, los perfumes, películas y discos, la práctica de la falsificación alcanzó a los celulares. La invasión de réplicas ilegales de teléfonos afecta a casi todas las marcas (BlackBerry, Nokia, Motorola y Apple, entre otras) y es de tal magnitud que puso en alerta a las tecnológicas: se arman asociaciones y alianzas para enfrentar un flagelo que castiga en todo el mundo y particularmente a la Argentina.
En el mercado calculan que en el país se venden alrededor de 500.000 celulares truchos de las marcas y modelos más vendidos y el negocio va en ascenso. “Para tener una idea, en 2010, la Aduana detectó 200.000 equipos falsificados”, dijo Paula Córdoba, de Nokia. “Compartimos con otros fabricantes una política incesante destinada a combatir los teléfonos falsos”, completó Maurizio Angelone, gerente general de Dispositivos Móviles de Motorola.

Un reciente estudio de MMF (Mobile Manufacturers Forum), una asociación conformada por 12 fabricantes de primer nivel, entre ellos Motorola, Nokia y RIM (dueña de los BlackBerry), advierte sobre la amenaza. “En los mercados emergentes recientemente se registró un gran aumento en la venta de celulares falsos”, expresó Aderbal Bonturi Pereira, director para la región de MMF. Si bien admite que es difícil precisar cifras, revela que “en Brasil, por ejemplo, las terminales ilegales pueden representar el 20% del mercado”.

Consultado por iEco , Pereira estimó que el volumen del mercado negro a nivel global ronda los 200 millones de equipos truchos. “El negocio ilegal crece en la misma proporción que el mercado legal y golpea a las marcas líderes”, sostuvo. Las preguntas obvias son varias: ¿dónde y quiénes fabrican las réplicas? ¿dónde se venden y quiénes las compran? Y en el caso de la Argentina, donde existen fuertes restricciones a la importación de electrónicos, ¿cómo logran ingresar al país? José Martínez, de Nokia, describe: “La gran mayoría de estos equipos son clones de las productos íconos de las marcas. Son producidos en China, no tienen marca (o les ponen marcas parecidas a las originales) y en la jerga se los conoce como teléfonos schanzai”.

“Los teléfonos falsos pueden combinar componentes desactualizados con repuestos de menor calidad, dentro de una carcasa con diseños similares a los originales, pero el producto no tiene ni el ajuste, ni el acabado ni la durabilidad de los genuinos”, señaló Adrean Scheid Rothkopf, de RIM.
Martínez indica que se han hecho denuncias en la Justicia, pero que “el problema es tan grande que las herramientas jurídicas son insuficientes y poco efectivas”.

El parecido de los equipos truchos con los originales es sorprendente (ver foto). Y no menos sorprendente, al parecer, es la logística para disputar una parte del mercado local, en el que se colocan 12,5 millones de unidades al año. “Trabajamos con denuncias y con la Aduana, pero las organizaciones criminales tienen muchas estrategias”, apuntó Martínez.

El directivo cree hay dos tipos de compradores de las falsificaciones: los que saben que es una réplica pero lo compran porque el precio es más bajo, y los que creen que compran un original. “Suelen parecerse mucho a los teléfonos genuinos y por lo tanto generan mucha confusión”, indica un informe elaborado por Nokia ¿Cuánto más barato? Paula Córdoba sostiene que se venden entre el 30 y el 50% del valor de un original.

Al igual que en otras partes del mundo, las únicas autorizadas a vender celulares en la Argentina son las telefónicas, las cadenas de retail y las agencias autorizadas. “Si un local no reúne esas características, en principio es para sospechar”, dice Córdoba. La preocupación es mayor si se tiene en cuenta que las copias ilegales abarcan también a los accesorios: es decir, en el mercado pirata es posible encontrar baterías, cables, cargadores y hasta estuches muy parecidos a los originales.

El principal interrogante es predecir si las acciones de las tecnológicas no es una batalla perdida de antemano. En el mercado dicen que no. Dicen que la prioridad es alertar y concientizar a los consumidores para frenar la amenaza.

Fuente: iEco

Seguir leyendo »

Phishing a Claro (Argentina)

Nos acaban de reportar un correo fraudulento que dice provenir de la empresa Claro (Argentina) ofreciendo "gratis 30 mensajes de texto y 15 minutos a cualquier destino":

Como puede verse en la imagen, si se hace clic en el enlace, en realidad se ingresa a un sitio que nada tiene que ver con la empresa y que solicita información al usuario sobre la cuenta de correo (cualquiera), su contraseña y su número telefónico:

Este sitio ha sido alojado en un servidor gratuito, ante quien ya hemos realizado la denuncia y, si se observa el código fuente, puede verse que la página falsa se encuentra alojada en otro servidor vulnerado http://www.[ELIMINADO]triceporno.com/images/uploads/clarin/clarin.htm:

Si el usuario ingresa los datos solicitados, se le informará que ya no puede suscribirse por "exceso de peticiones", aunque por supuesto el delincuente ya tendrá toda la información que necesita para cometer ilícitos:

Desde Segu-Info ya hemos realizado las denuncias pertinentes para que el sitio sea bloqueado a la brevedad.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

psAfterlife preserva su Legado mientras viva y lo devela sólo a sus personas cercanas, luego de su muerte

psAfterlife es un servicio que invita a organizar su Legado y asegurar su traspaso a quienes usted decida en forma de mensajes llamados posdatas"

El servicio que provee psAterlife le permite mucho más que enviar mensajes a sus seres queridos:

Organización de su Legado

Al crear su cuenta en psAfterlife podrá organizar su Legado usando formularios-guías llamados posdatas, los cuales le permitiran clasificarlo e ingresar toda la información necesaria para cada uno de los elementos de éste. Para ello hemos dividido los legados en tres grandes áreas :

• Planificación de Patrimonio: Las instrucciones sobre la sucesión de sus bienes o activos. Incluye las cuentas digitales, propiedades y hasta mascotas.
• Mensajes Póstumos: Los mensajes que desee preparar para sus seres queridos u otras personas o instituciones.
• Recuerdos: Los recuerdos que desea resguardar para sus cercanos (relatos, fotografías, videos, audios).

Respaldo de su Legado

psAfterlife le ofrece la posibilidad de preparar su Legado a lo largo de su vida. Podrá acceder a su Legado desde cualquier parte y modificarlo cuando usted lo desee. También le da la posibilidad de mantener respaldo de su patrimonio, contraseñas de sus cuentas digitales y documentos legales, lo que puede ser de gran utilidad en vida. Esta información será almacenada por psAfterlife de manera segura y permanente con lo que en vida tendrá un respaldo esencial, en caso de que se produzca una emergencia o se encuentre en el extranjero

Almacenamiento y envío seguro

En psAfterlife nos hemos preocupado de seguir los más altos estándares de gestión de la información y de definir estrictos protocolos de seguridad. Es asi como previo al envío de su Legado a quienes usted defina como destinatarios, confirmaremos su fallecimiento a través de sus testigos, y trataremos de contactarnos con usted. Sólo una vez que el Protocolo de Entrega de Legado se cumpla, psAfterlife enviará su Legado como usted lo planificó.

Traspaso de su Legado

Después de confirmado su fallecimiento, psAfterlife enviará sus posdatas a cada uno de sus destinatarios de la manera que usted lo haya definido, asegurando que sus familiares y amigos reciban lo que preparó en vida para ellos. Además tendrán acceso a ver su Legado en el sitio de psAfterlife de manera gratuita.

Libro de posdatas

Una vez creadas sus primeras posdatas, podrá verlas de forma resumida en su Libro de Posdatas, el cual le permitirá tener una mejor planificación de su Legado y a su vez será una buena base si qisiera escribir su testamento.

Legado a la Humanidad

Si usted decide escribir una posdata que incluya un mensaje que considera interesante de compartir no sólo con sus seres queridos, puede elegir como destinatario "Legado Público". Al momento de enviar sus posdatas, sólo las que usted asigne al Legado Público serán publicadas de manera abierta en nuestro sitio.

psAfterlife preserva su Legado mientras viva y lo devela sólo a sus personas cercanas, luego de su muerte.
Fuente: psAfterlife

Seguir leyendo »

Phishing a Banco BBVA: su cuenta esta bloqueada

Recibimos una denuncia de un lector que se dio cuenta del engaño una vez que ya había caído.
El caso es similar a los últimos que hemos informado. La excusa para el engaño es este correo que reciben las potenciales víctimas:

Como es costumbre se esgrime un tema para pescar al cliente incauto. En este caso el supuesto "bloqueo de la cuenta" e instan a "Activar Urgente". Por supuesto todo eso es falso, es el ardid para conseguir robar los datos bancarios de la víctima.

Como se puede ver en el correo, a excepción del enlace destacado en el recuadro verde, los demas conducen a un sitio falso: http://bianc[ELIMINADO].com/index_files/bancofrances.com.ar/tlal/jsp/ar/esp/home/index.html

Al visitar ese sitio falso aparece una replica de la página original, excepto que no es el dominio del banco:

En caso que la víctima pulse el botón de Ingreso, será llevado a otra página:

y aquí comienza el robo de datos solicitando que se ingresen los 81 dígitos de la tarjeta de coordenadas. Algo que nunca pide el banco. Si se ingresan los datos, son enviados a los delincuentes mediante un formulario y luego se presenta otra pantalla:

En esta otra se solicitan clave y datos de la tarjeta de débito que también serán enviados al delincuente. A posterior de ello la parodia termina con esta pantalla:

donde se dice que el sistema no está disponible por el momento.

Como se ha visto el engaño es bastante verídico, pero en todas las pantallas se ve que la dirección URL no es la del banco y tampoco comienza con https://.

Si alguien hubiera sido víctima le recomendamos comunicarse sin demora con su banco al teléfono que figura en la página web oficial, allí atienden las 24hs.

Gracias J. por la denuncia!

Actualización 23:38hs: La página ya es catalogada como phishing por varios navegadores luego de las denuncias que realizamos.

Raúl de la Redacción de Segu-Info

Seguir leyendo »

La política argentina usada para poner a circular malware en medios sociales

La promoción de la elección de Cristina Kirchner en medios sociales inspira al cibercrimen, una vez más.

¿Recuerdan el engaño del bebé que rie? No hace mucho les advertíamos sobre el ardid para secuestrar el "Me gusta" que usaba el video de un bebé riendo que aparentemente sacudió el musculo de la risa del mundo entero.

Como señalamos entonces, el éxito del engaño se debió mayormente a la existencia de un pequeño video real e inofensivo de un bebé que tenía una risa particular (y muy contagiosa). El video se volvió viral en la red, y tenemos números para probarlo:

La historia se repite y el gran impacto del contenido compartido en redes sociales está literalmente achicando al mundo, estamos siendo testigos del inicio de otro video viral aparentemente conectado con el tema del día de Argentina: la elección de Cristina Kirchner.

Si bien este no es un caso de secuestro del "Me gusta" (el video existe y es en realidad super divertido), uno no puede evitar notar el parecido con el escenario del "bebé riendo".Tenemos dos excelentes piezas de material potencial para el engaño: contenido visual altamente emocional y el nombre de una figura pública de los titulares de estos días. Por lo tanto, tenga precaución en donde hace clic y verifique su cuenta por cualquier actividad sospechosa después de acceder a un video de contenido similar.

A pesar que el engaño del bebé es solo una conjetura que hacemos aquí, este es un ejemplo real de como los estafadores han encontrado una forma de explotar la novedad de la elección Argentina:

Como los partidarios y detractores de Cristina Kirchner participan en acalorados debates estos días, era solo cuestión de tiempo antes que alguien decidiera crear páginas en la cuales tuvieran lugar discusiones acerca de la nuevamente electa Primera Dama. Una vez construida la audiencia de las páginas de discusión, solo se necesita algo tan simple como una cuenta falsa para propagar spam para poner contenido no deseado allí. En este caso, más de 12.000 personas que buscaban un lugar de debate fueron golpeados por una ola de un engaño social (como se ilustra abajo). Este es el truco conocido por todos de "trabaje desde su casa", que en el mejor de los casos hace perder el tiempo a las víctimas y en el peor de los casos le vacían sus cuentas bancarias.

¿Qué hacer entonces? No sea demasiado generoso con sus ME GUSTA, verifique que las paginas a las que se suscribe sean moderadas (¿tienen mensajes spam?) y si no lo son, verifique su propio perfil y vea si hay publicaciones originadas de las páginas que califico con Me Gusta. La palabra clave en esto es Precaución.

No se olvide que también puede proteger su página instalando la aplicación gratuita Bitdefender Safego diseñada para proveer protección anti-scam para uno y sus amigos.

Traducción: Raúl Batista - Segu-Info
Autor: Ioana Jelea
Fuente: Blog Malware City - Bitdefender

Seguir leyendo »

Vulnerabilidad grave en TOR que permitiría exponer a sus usuarios

En el blog del proyecto TOR, el conocido sistema de comunicación anónima, se anuncia una actualización crítica de seguridad correspondiente con la versión 0.2.2.34, que solventa una vulnerabilidad que permitiría a un usuario desanonimizar otros usuarios de la red.
Al parecer, el ataque se podría llevar a cabo siguiendo las siguientes premisas, y lo que se corrige con esta actualización son los dos primeros puntos descritos a continuación:

1) Los clientes reutilizan sus certificados TLS cuando se comunican con diferentes relays, por lo que los relays podrían identificar al usuario atendiendo a la clave de identidad de su certificado.

2) Un usuario que conociese la clave de identidad de un cliente podría realizar consultas a cada relay para averiguar si la víctima se encuentra conectada a ese relay en ese instante.

3) Un buen conjunto de ataques teóricos (como el explicado en "Low-Cost Traffic Analysis of Tor" por Murdoch y Danezis en el 2005) permitirían que una web con contenido malicioso pudiera obtener el relay al que se encuentra conectado un usuario de TOR al visitarla.

4) Los clientes, normalmente, escogen tres servidores aleatoriamente, por lo que el conjunto de relays para un usuario podría servir de identificación.

Contenido completo en fuente original SecuritybyDefault

Seguir leyendo »

¿Qué querría un atacante de mi ordenador?

Muchos usuarios me preguntan "¿Qué querría un atacante de mi ordenador? ¡No tengo nada relevante!". Con esta excusa, se permiten mantener la conciencia tranquila mientras relajan las medidas de seguridad. Si no hay nada que proteger, no merece la pena esforzarse por alejar a los atacantes. Que pasen y vean... se irán sin nada.

Esta es una idea totalmente equivocada de la seguridad hoy en día, y muy peligrosa no solo para el usuario que la defiende sino para la seguridad global de Internet. La confusión tiene su origen en pensar que los atacantes quieren datos e información de la víctima, y esto no siempre es cierto. La mayor parte de las veces, lo que necesitan son sus recursos. Y esta distinción hace que cualquier usuario conectado a Internet, por el simple hecho de estarlo, ya posea cierto valor para un atacante. Veamos una serie de puntos importantes.

• La mayoría de los usuarios utiliza un ordenador para conectarse a Internet. Ese dispositivo posee un poder de procesamiento que puede ser aprovechado por ciertos atacantes para realizar tareas que requieran gran poder de computación. Si consigue acceder a él y controlarlo podrán, por ejemplo, realizar "bitcoin mining". Existen troyanos dedicados en exclusiva a utilizar los recursos del sistema para generar esta moneda virtual.
• Otro recurso interesante para el atacante es la propia conexión de la víctima. El ancho de banda es relevante para un atacante porque le podría permitir usar el sistema víctima como un zombi dentro de una botnet. Una vez troyanizado, la víctima obedece órdenes y cuanto más ancho de banda, más útil como elemento de, por ejemplo, una denegación de servicio distribuida, donde los sistemas víctima inundan de peticiones la web atacada.
• Es posible que la víctima disponga de contraseñas para el correo o redes sociales, por ejemplo. El atacante o troyano robará y utilizará esos datos no para cotillear sobre los correos de la víctima, sino para enviar spam personalizado a los contactos, haciéndose pasar por el atacado.
• Además, si el usuario hace uso de banca online, PayPal u otros, pueden robar directamente dinero de las cuentas. Esto es algo que, hoy, todavía muchos usuarios desconocen que sea posible.
• Y por último, sí que es cierto que el atacante ni quiere ni necesita para nada fotografías o documentos de usuarios anónimos en la Red... pero su legítimo dueño sí que las querrá y necesitará. Así que en última instancia pueden secuestrar el ordenador y pedir un "rescate" por volver a tener acceso a esos datos.

Fuente: INTECO-CERT

Seguir leyendo »

Cómo recuperar tu cuenta "hackeada" de Facebook

Si su cuenta en Facebook comenzó a publicar automáticamente enlaces a videos o sitios que usted desconoce probablemente ha sido víctima de un likejacking sin haberse dado cuenta.

En Facebook la forma más común para hackear las cuentas de los usuarios es a través del likejacking, una clase de spam que se distribuye en la red social por medio de videos o enlaces que resultan atractivos para los internautas.

Una vez que los usuarios intentan acceder a dicho contenido, éstos son redireccionados a portales creados por los propios cibercriminales para obtener acceso a las cuentas de sus víctimas sin que éstas se percaten.

El riesgo del likejacking reside en que los criminales informáticos obtienen acceso a los datos personales del usuario infectado, es decir, nombre, contraseña, correo electrónico, teléfono e incluso los datos de sus contactos.

Contenido completo en fuente original bSecure

Seguir leyendo »

Vulnerabilidad en Facebook permite adjuntar archivos EXE

Cando se utiliza la pestaña "Mensajes" de Facebook, hay una función para adjuntar un archivo. Al utilizar esta función normalmente, Facebook no permite adjuntar un archivo ejecutable. Nathan Power de www.securitypentest.com descubrió error que permite saltear este mecanismo de seguridad, en donde además no es necesario tener que ser amigo del usuario para enviar el mensaje con el archivo adjunto.

Al cargar el archivo adjunto en Facebook capturamos a la solicitud POST que se envía al servidor web. Dentro de esta petición POST se lee la siguiente línea:

Content-Disposition: form-data; name = "archivo adjunto", filename = "cmd.exe"

En donde la varibale 'filename' contiene el nombre del archivo que se permitiría enviar o no.

Para saltear el mecanismo de seguridad y permitir subir el archivo EXE, se puede modificar la petición POST añadiendo un espacio al nombre del archivo:

filename="cmd.exe "

Resultando que el archivo es adjuntado y enviado en el mensaje:

Esta vulnerabilidad fue repotada a Facebook el 30/09 y el día de hoy ha sido publicada en Full Disclosure.

Actualización: la vulnerabilidad ya fue corregida.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Phishing y malware simulando al Correo Argentino

Después de la gran repercusión que causó, tanto en el sector informático como en los medios de comunicación, el famoso virus de las foto multas, me llegó una muestra de un correo electrónico acerca de un presunto “paquete nacional en tránsito”.

Este correo electrónico, presuntamente proveniente de la “Oficina de correos ([email protected])” anuncia al receptor del mensaje que tiene un paquete en tránsito y que lo recibirá solo cuando se utilice el sistema de “Pago contrarembolso”, para poder continuar con el trámite, se ve un link de descarga de un supuesto documento en PDF, el cual en realidad está apuntando a la siguiente URL:

http://an[BLOQUEADO]ub.net/file/4qpg-detalles_seguimiento-pdf.exe

Como nota adicional, noten en la siguiente imagen como incrustan dentro del cuerpo del correo el logo de una empresa de seguridad afirmando que el correo está libre de virus

Contenido completo en fuente original Antivirus.com.ar

Seguir leyendo »

Riesgos de la utilización de redes sociales en la organización

En un post anterior hablamos sobre las repercusiones que puede tener el uso de las redes sociales para un usuario, sea cual sea el entorno en el que se encuentre. Pero hay un entorno en el que el uso de las redes sociales puede hacer que aparezcan nuevos riesgos cuyas consecuencias deben valorarse: el entorno corporativo.

Cada vez que se dispone de un nuevo mecanismo que las organizaciones pueden aprovechar para otorgar valor, se plantea el debate sobre su uso y surgen los que inmediatamente lo implementan, los que son completamente detractores y los que esperan a ver cómo les va a otros.

Las redes sociales son un mecanismo que puede permitir la comunicación entre los integrantes de la organización de una forma fácil, rápida y amena. Sin embargo, hay determinados aspectos que dejan entrever que quizá antes de conceder acceso a redes sociales desde el interior de una organización, deben sopesarse los riesgos que ello comporta, entre los cuales figuran los siguientes:

Problemas derivados del licenciamiento y Condiciones del Servicio

Imaginemos que un empleado coloca por error en la Red información confidencial de la organización (de la que no es propietario). En este caso, se estarían compartiendo innumerables derechos con el proveedor del servicio. Frente a esta situación, los proveedores de servicio incluyen cláusulas con los límites y responsabilidades del usuario. Por ejemplo, Tuenti advierte en sus condiciones legales:

2. El uso de [la red social] es personal, y bajo ningún concepto podrás utilizarlo con fines económicos o comerciales sin nuestro previo consentimiento.

8. Cuando un usuario publica cualquier tipo de contenido, garantiza que tiene todos los derechos necesarios para publicar dicho contenido y licenciar a [la red social] para su uso en la red y que con ello no se vulnera ningún derecho relativo a la intimidad, el honor o la propia imagen de un tercero.

Fugas de Información

Por lo general, en una organización se suelen limitar los medios de conexión con el exterior, a fin de evitar que determinada información salga de las fronteras de la misma: se desactivan los puertos USB, se limita el acceso a las cuentas de correo personales, se controla el acceso a servicios de almacenamiento en la nube y un largo etcétera que pasa, para los más exigentes, por la Gestión de Derechos Digitales o DRM.

Sin embargo, una fuga interna de información puede venir motivada por un error o por un usuario desleal. Cuando se plantea el debate sobre abrir o no la conexión a redes sociales desde la organización, se debe evaluar el riesgo de fuga de información por este medio y sus posibles consecuencias.

Tras realizar esta evaluación, la organización puede acordar delimitar el uso de redes sociales a determinados usuarios, como medida para prevenir las fugas por error y evitar el robo de información por parte de un usuario malicioso.

Proveedor de servicios comprometido

En este caso, la pérdida de información se produce cuando el prestador de servicios (la red social) se ve comprometido. Cuando se realiza outsourcing, la responsabilidad de la organización con sus clientes no se delega, sigue en la organización, mientras que la seguridad sobre el elemento de la cadena de valor externalizado pasa a ser gestionada por el proveedor.

La cuestión es qué se le puede exigir al proveedor en relación a la seguridad de la información y en estos casos las garantías pasan por un "Hacemos todo lo posible para mantener a salvo tu información" (extraído de la política de uso de datos de Facebook).

Propagación de Malware

Los casos de código malicioso que infectan redes sociales han dejado de ser extraños. No hay más que teclear en cualquier buscador "[red social] virus" (sustituya [red social] por la que más le guste), para darse cuenta de la repercusión del software malicioso en las redes sociales. En un escenario en el que los miembros de la organización están interconectados a través de la red social y tienen acceso a la misma desde la organización, la situación es idónea para la propagación de malware.

Conclusiones

El acceso a redes sociales desde el entorno corporativo comporta una serie de riesgos para la organización. Las condiciones del servicio hacen al usuario responsable de qué se publica en el medio social, y en la organización el usuario puede tener a mano información confidencial, que pueda ser compartida por error o deliberadamente, no siendo el usuario propietario de la misma.

Si las redes sociales son un medio que puede aportar valor a la organización, ¿por qué no proporcionarlo desde el interior? El uso de redes sociales y cómo estas se ponen al alcance de los miembros de la organización es una decisión trascendente que debe tener en cuenta los riesgos a los que ésta se enfrenta, con el objetivo de que se puedan gestionar de la mejor forma posible.

Fuente: INTECO-CERT

Seguir leyendo »

Google Chrome corrige 26 fallos de seguridad

Los usuarios de Google Chrome tienen disponible una actualización: la versión 15.0.874.102. Esta nueva revisión del navegador web, además de contar con diferentes mejoras de navegación, incluye 11 correcciones de seguridad que solucionan 26 vulnerabilidades.

Aunque por motivos obvios la compañía mantiene en privado los detalles de las correcciones hasta que la mayoría de los usuarios hayan actualizado, ocho de las once correcciones han sido catalogadas por el equipo de desarrollo como de severidad “alta”.

También es de destacar que Google ha pagado más de $26,000 dólares a los investigadores que reportaron los fallos como parte de su programa de recompensas.

La nueva versión estable está disponible para Windows, Mac OS X y Linux.

Fuente: OpenSecurity

Seguir leyendo »

"0 Day" Phishing technique

Una vez más, vamos a presentar un 0-day en técnicas de phishing de facebook. Afortunadamente todavía no hemos visto la técnica en funcionamiento. Mediante una continua investigación de la plataforma, logramos deducir ciertos vectores de ataque para prevenir a los especialistas en seguridad y desarrolladores, antes de que los vectores sean explotados de forma masiva, reduciendo de esta forma su futura efectividad.

Cada vez que publicamos un Link, ya sea en nuestro muro o en el muro de alguien más, se genera un contenido al cual Facebook llama “Vista Previa”.

Una vez copiado el link en el sector para hacer la publicación, la vista previa se genera sola y da información sobre la pagina a la cual redirecciona el link, léase Nombre de link + Dominio De Redirección.

Si quisiésemos, podríamos borrar el link del sector de publicación y que se vea solamente la vista previa. De esta forma solo bastaría con hacer un click en la Imagen o Link de vista previa para ser redirigidos.

Contenido completo en fuente original Mkit

Seguir leyendo »

A Sarkozy le "robaron" el dominio web para las presidenciales francesas

Tendrán que pensar un "plan B". El presidente francés Nicolas Sarkozy, y el candidato socialista a las elecciones francesas, Francois Hollande, se quedaron sin dominio web.

www.nicolassarkozy2012.fr y www.hollande2012.fr fueron comprados por dos rápidos usuarios que se lanzaron a la caza de estos dominios y lo consiguieron.

"Lo que me importa es hacerme oír", dijo la tatuadora Corinne Dubosque, en unas declaraciones publicadas hoy por el diario francés "Libération", al explicar los motivos por los que decidió comprar el dominio de Sarkozy y reclamar desde allí mejoras para su sector, como una reducción del IVA hasta un 5,5% frente al 19,6% actual.

Dubosque, dueña de un local de tatuajes a las afueras de París, rechazó que la califiquen de "ciberokupa" por haberse hecho con el dominio por excelencia para la elección presidencial del año que viene. La tatuadora asegura que se trata de una iniciativa "totalmente legal", y confesó que no es la primera vez que lo hace. Ya registró en 2007 el dominio "carlabrunisarkozy.eu", así como otros asociados a varios miembros del Gobierno francés.

Hace unos días se supo que un joven desempleado compró el dominio que hace referencia a la candidatura de Hollande a la Presidencia, y en él pide al equipo del candidato socialista un empleo relacionado con áreas como marketing, comunicación y análisis técnico y gráfico.

"Publiqué mi currículum vítae y me contestaron que verán lo que pueden hacer, pero que no son una agencia de empleo", explica el joven en la web, en la que dice "soñar" ante la hipotética posibilidad de que el "futuro presidente" le ofrezca una oferta de empleo.

Tanto la tatuadora como el desempleado deberán, sin embargo, ceder esas páginas en caso de que así lo reclame la Justicia francesa, ya que la legislación protege los términos que puedan atentar contra los derechos de propiedad intelectual o personales.

De todas formas, el partido conservador UMP ya reservó hace ocho años la dirección web "sarkozy2012.fr", indicaron medios franceses.

Por su parte, el equipo del socialista explicó que tenía reservado ya otros dominios pero que la combinación utilizada por ese joven sin trabajo era una que no se había incluido.

La compra de páginas web asociadas a políticos ha inspirado también a bromistas como al que adquirió el dominio "jospin2012.fr", en referencia al ex primer ministro francés Lionel Jospin, quien se retiró de la política tras verse superado en votos por el candidato de ultraderecha Jean-Marie Le Pen en 2002.

"Les repito que me he retirado de la vida política. Esto empieza a ser pesado", bromea un falso Jospin en la página creada ex profeso para las presidenciales que se celebrarán en abril y mayo del próximo año.

Fuente: Clarin

Seguir leyendo »

Acceden a base de datos de Panamericanos y envían datos personales a prensa

La base de datos de los Juegos Panamericanos de Guadalajara-2011 fue vulnerada y para probarlo este lunes enviaron mensajes individuales a los periodistas en los que se les comunicaba algunos datos personales.

En los mensajes, en inglés, se comunicaba a los periodistas su nombre completo, su fecha de nacimiento y los cinco primeros números de su pasaporte. Los datos eran correctos.

"Hice un importante descubrimiento sobre la seguridad del sitio web guadalajara2011.org.mx", afirmaba el mensaje, que provenía de un remitente que se identificaba con el seudónimo Galileo Trueman.

"Para probar que no se trata de una broma, incluí dos datos sin peligro sobre usted", continuaba, antes de ofrecer esa información.

El remitente dijo no tener malas intenciones. "Quiero clarificar que no soy un pirata informático", descubrí el agujero de seguridad solo por coincidencia. Estoy seguro de que alguien con malas intenciones podría acceder fácilmente (a la página) y abusar de ese punto débil en la seguridad", explicó.

El acceso a los datos de los Panamericanos se da tres días después de que la organización de piratas cibernéticos Anonymous amenazase con atacar sitios del gobierno mexicano como parte de una operación denominada Independencia, por el festejo independentista de este país, para protestar por la violencia ligada al narcotráfico.

Fuente: El Liberal

Seguir leyendo »

iPhone podría utilizarse como keylogger

Un equipo de investigadores descubrió una forma para registrar las pulsaciones sobre la computadora, simplemente con colocar un iPhone 4 cerca del teclado de un usuario y monitorear las vibraciones de las teclas.

El equipo de especialistas, que colabora en Georgia Tech, utilizó el acelerómetro en un iPhone 4 para percibir las vibraciones y determinar lo que se había digitado, son la necesidad de alguna conectividad a la computadora del usuario o periférico.

Tal y como documentaron en un reporte: “El iPhone decodificó vibraciones de teclados cercanos usando los acelerómetros incluidos en los móviles”, los investigadores pudieron descifrar enunciados completos con un 80 por ciento de precisión, con sólo usar un diccionario de 58,000 palabras.

“Primero intentamos experimentar con un iPhone 3GS, y los resultados fueron difíciles de leer”, dijo Patrick Traynor, asistente de profesor en la School of Computer Science de Georgia Tech, “sin embargo, cuando lo intentamos con un iPhone 4, el cual tiene añadido un giroscopio para limpiar el ruido del acelerómetro, los resultados fueron mucho mejores”.

No obstante, no sólo se puede utilizar un iPhone en el ataque. Traynor cree que la mayoría de los smartphones hechos en los últimos dos años serían lo suficientemente sofisticados para lanzar un ataque.

La técnica trabaja al detectar pares de tecleos, determinando así el par de teclas que fueron oprimidas sobre el izquierdo o derecho del teclado y si fueron cercanos o lejanos.

Después de que el sistema determinó las características para cada par de teclas oprimidas, compara los resultados contra un diccionario, cada una de estas palabras ha sido dividida en grupos de dos letras y, de manera similar, clasificadas como muy juntas o muy aparte, y se utiliza para determinar la palabra más probable estadísticamente.

"La forma en que vemos el trabajo de este ataque es que el usuario, propietario del teléfono, solicite o indique descargar una aplicación aparentemente inofensiva, la cual que no le ha solicitado el uso de sensores del teléfono sospechoso", dijo Henry Carter, un estudiante de doctorado en ciencias de la computación, y uno de los coautores del estudio. “Entonces el malware de detección de teclado spiPhone es activado, y la próxima vez que coloque el teléfono junto al teclado y comience a escribir, lo empezará a escuchar”.

Mientras que los keyloggers acústicos, que pueden realizar el mismo análisis con muestras de audio de hasta 93,9 por ciento de exactitud (PDF), podrían ser utilizados, se requeriría la aplicación para solicitar permiso para utilizar el micrófono del teléfono, levantando así sospechas.

Anteriormente, se han documentado keyloggers similares basados en acelerómetros para los mismos smartphones, señala un par de investigadores de la Universidad de California, quienes fueron capaces de iniciar sesión en un smartphone con una tasa de exactitud [PDF] de más del 70 por ciento.

Fuente: UNAM

Seguir leyendo »

107 millones de personas afectadas por ataques en la primera mitad de 2011

Eso ha declarado Jake Kouns, CEO of the Open Security Foundation in Glen Allen, que dirige el proyecto DataLossDB y que son reflejados en este gráfico:

¿Serás informado si sus datos están expuestos? Tal vez no. Por eso el Congreso norteamericano está considerando proyectos de ley que obligaría a las empresas a notificar a los clientes de las infracciones en caso de que si exista un "riesgo razonable" de que información personal pudiera haber sido expuesta. Mientras tanto, en este momento muchos estados exigen a las empresas a revelar todas las infracciones.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Argentina: Investigan cómo se hackeó la cuenta de un banco de Paraná

La venta de una netbook por Internet determinó el traspaso irregular de dinero. La operación fue abortada y la estafa virtual se ejecutó a medias. En la causa judicial se ubicó al sospechoso.


Javier Aragón
De la Redacción de UNO


Se supone que una persona con amplios conocimientos en sistemas informáticos es la responsable del hackeo de una cuenta bancaria cuya titular fue víctima de la transferencia de 3.000 pesos sin su autorización. El hecho, que es el primero que se registra en Paraná, determinó que todo se iniciara por la venta de una netbook por Internet.

UNO conoció que esta semana se produjo la denuncia de una entidad bancaria de Paraná que alertó que internamente registraron un llamativo movimiento de dinero de 3.000 pesos de la cuenta bancaria de una mujer que, al consultársela, informó que no estaba al tanto. De modo simultáneo, en la comisaría cuarta de la capital entrerriana se presentó el vendedor de una computadora, alertando que desde un banco le habían avisado que se habría producido una estafa virtual.

Personal especializado de la Jefatura de Policía de Paraná avanzó con la investigación a cargo del comisario Gustavo Palacio, quien determinó que se produjo una maniobra fraudulenta que por el momento fue neutralizada y llevó a identificar al autor del ilícito que tendrá que dar sus explicaciones frente a la acusación concreta en la Justicia.


Venta por Internet
Todo se inició con la venta por Internet de la netbook por parte de un hombre que la ofrecía al precio de 3.200 pesos. Por esa vía se comunicó una persona que dijo ser de Concordia y que le proponía adquirirla en 3.000 pesos, precio que fue aceptado.

El comprador le solicitó el CBU para efectuar la transferencia del dinero, para con posterioridad buscar el medio de tomar posesión de la computadora. Hasta allí todo bien.

El primer problema que le surgió al vendedor es que el comprador comenzó a extender la operación, como también la forma de buscarla. Tras justificar varias dilaciones, finalmente anunció la transferencia del dinero a la cuenta requerida. Sin embargo, al chequear la situación del dinero, verificó que desde la entidad bancaria privada del centro de Paraná, le llegó una comunicación que le puso los pelos de punta: desde el banco quisieron saber cómo había efectuado la transferencia.

El vendedor explicó que un hombre que viviría en Concordia y que viaja a Paraná, fue el autor de la operación.

Tras informar los pasos dados, se estableció que estuvo muy cerca de ser estafado, trámite que no se logró porque el comprador no pudo ajustar el mecanismo de búsqueda de la netbook. Personal de Investigaciones llegó a determinar que dos cadetes fueron contratados para buscar la computadora y al llegar a la casa de la víctima, este les informó que se posponía la venta hasta que se aclararan algunas situaciones poco claras.

Los adolescentes fueron identificados y dieron los detalles de quien requirió el servicio, un hombre de 50 años afincando en la zona del Thompson en Paraná.

En definitiva, el vendedor de la computadora –que vive en las inmediaciones de la iglesia Santa Teresita-, no sufrió la defraudación virtual, aunque sí se configura una tentativa de estafa.

Lo que mayor trabajo le lleva a la jueza de Instrucción Patricia Yedro y a los peritos especializados en informática, es establecer cómo el comprador ingresó a la cuenta bancaria de la restante víctima.

El hackeo de la cuenta fue efectuado por alguien que tiene experiencia en sistemas informáticos y de base de datos, por lo que la maniobra urdida puso en riesgo la seguridad interna de todo el sistema de la entidad bancaria de Paraná que detectó una pequeña anomalía en la transferencia que se efectuó a través de Internet.

Es evidente que tras hackear la cuenta, no efectuó algún paso interno requerido en el proceso de traslado del dinero interbancario que fue visualizado en las pantallas de la entidad bancaria.

Los especialistas no lograron entender cómo había salido un dinero, que luego al consultar a la titular, no estaba al tanto de la operación. La rápida reacción llevó a ubicar al vendedor de la computadora, que constató que en su cuenta estaban los 3.000 pesos. La estafa no avanzó sencillamente porque el comprador se demoró más de la cuenta y esto permitió poner en alerta al vendedor, al banco, a la Justicia y a la Policía. El dinero, tras los pasos dados, fue recuperado y devuelto a la legítima dueña.

Así y todo, es motivo de investigación cómo se produjo la violación de los mecanismos de seguridad de la cuenta bancaria, para lo cual el sospechoso de toda esta maniobra, por demás ingeniosa, tendrá que sentarse en el banquillo de los acusados y defenderse del delito de Estafa y la extracción de dinero sin autorización.

La maniobra por demás compleja fue efectuada por un hombre de 50 años que vive en la zona norte de Paraná, y que según la Policía es analista de sistemas que debió trabajar un tiempo importante para obtener los códigos de la cuenta y de esa manera ingresar sin que se percatara la titular. ¿Cómo lo hizo? es lo que tratan de determinar los peritos judiciales y de la Policía.

Por lo pronto, la jueza dispuso varias medidas para aclarar el suceso. Lo primero es que está el testimonio de los cadetes que dan detalles de quién los envió a buscar la netbook, luego se les tomará declaración al vendedor de la computadora y a la titular de la cuenta bancaria, como también a los responsables de la entidad bancaria. Una vez que se tengan todos los elementos acusatorios, se citará a declaración indagatoria al acusado de esta novedosa modalidad en Paraná.

El denunciado, si se comprueba el delito, permanecerá en libertad, por tratarse de un hecho excarcelable, pero si llega a ser condenado también podría recibir una pena menor a los tres años por el tenor de la tipificación penal que se investiga, que es Estafa.

Fuente: Uno Entre Ríos

Seguir leyendo »

Las tarjetas SUBE Y MONEDERO brindan información personal y de localización del usuario

Siempre estamos pensando, en que tan seguros están nuestros datos en "la nube", donde irán a parar datos tan críticos como DNI, teléfonos, contactos, etc., y a veces haciéndonos planteos como: "¿el verdulero de la esquina, sabe a qué hora uso el subte cuando lo saludo, todas las mañanas?".
Gracioso o no, datos que son importantes como horario y lugar en que me encuentro durante un tiempo, son lo que uno debería pensar de no hacer públicos.

El porque es muy fácil de deducir, estos datos pueden servir para conocer nuestros movimientos, saber rutinas de viajes y otros datos personales que no deberían estar al alcance de cualquiera.
Lamentablemente conocer esta información de las personas se ha tornado muy sencillo mediante las tarjetas SUBE y MONEDERO, disponibles en Argentina para viajar en trenes, colectivos y subtes.

Ingresando a la web de SUBE, en la parte superior, a la derecha, encontraremos una vínculo con Mis Viajes.

Una vez allí, se solicita el número de tarjeta a consultar y un CAPTCHA:

La información que se brinda es fecha y horario, tipo de transporte (colectivo, tren o subte), línea, lugar de origen, el costo del viajes y el saldo de la tarjeta:

Si bien para realizar la consulta, se debe disponer del número de tarjeta e ingresar un CAPTCHA (que evita la automatización) se puede ver que la información brindada por sí sola no es crítica pero, es lo suficientemente clara como para poder cometer un ilícito. Si pensamos que estos datos pueden ser los de un menor de edad, sí se vuelven lo suficientemente importantes como para que no deban ser revelados de forma tan sencilla.
Además de esta información, en el caso de que la tarjeta haya sido suministrada por una empresa, dicha información también se muestra.

Con lo que respecta a la otra tarjeta Monedero, el proceso es distinto y la persona debe registrarse previamente y disponer de un usuario y contraseña para visualizar los mismos datos de los viajes. Sin embargo y lamentablemente, aquí el problema es peor y radica en que si se ingresa un DNI válido, se muestra la información personal de dicha persona:

Incluso la consulta se puede realizar de forma automatizada (no dispone de CAPTCHA) a través de la siguiente consulta web:

http://nominacion.monedero.com.ar/App/ObtenerYManipularDatosDeCliente/

ObtenerYManipularDatosDeCliente.aspx?vTipoDocumento=TIPO-FIJO

&vNroDocumento=DNI-PERSONAL

&esModificacion=False

&ExisteCC=False

Esto comportamiento es totalmente incongruente con cualquier medida de seguridad, ya que se puede realizar una consulta para cualquier número de documento y el sistema brindará la información de la persona involucrada.

Este artículo nace de una discusión en el foro de Segu-Info en 2009 cuando aparecieron las tarjetas y en nuevamente en octubre de este año, donde intentamos ponernos en contacto con las empresas para que mejoren este sistema de control de las tarjetas.
Los responsables del sitio, explicaron que los datos son almacenados porque "si la tarjeta es perdida o robada, ellos la bloquean y el usuario recupera el dinero que tenía cargado al momento de la pérdida". Lo que no explican es porqué esa información se encuentra publicada casi sin control.

Al realizar otra consulta, la información provista por los administradores del sitio es imprecisa al decir que "la sección mis viajes muestra solamente fecha y hora y medio de transporte utilizado con la tarjeta SUBE, sin develar datos personales del titular de la misma. Por lo que no es posible asociar la información con el titular de la tarjeta."


Por otro lado la supuesta utilidad radica que que se pueden realizar denuncias ante la CNRT (Comisión Nacional de Regulación de Transporte) y la tarjeta puede ser utilizada como "prueba" de que el usuario se encontraba en la línea de transporte que está denunciando.

Como dice un usuario en el Foro de Segu-Info, "es muy difícil decidir que porcentaje de intimidad hemos sacrificado en pos de la tecnología, pero ha tomado parte de lo que era nuestra intimidad y está en el dominio público y bastante fácil de encontrarla para alguien entrenado".

Actualización 18:00: al parecer los creadores de Monedero están cambiando la plataforma ya que desde hace unos momentos no es posible realizar consultas de la manera descripta e eliminaron parte de su contenido web (dan error 404).

Actualización: luego de esta nota, los sitios han modificado su funcionamiento y lo han mejorado.

Actualización 25/01/2012: hoy la prensa se ha hecho eco de la noticia.

Oscar Banchiero y Cristian Borghello

Seguir leyendo »

Clientes de bancos colombia víctimas de troyanos bancarios

Nos han denunciado un caso de un correo que menciona la supuesta transferencia de dinero entre los presidentes Santos y Chavez y se invita a descargar desde CNN un documento XLS con las pruebas.
El correo es el siguiente (errores incluidos):

CNN obtubo en exclusiva un Documento donde presuntamente el presidente colombiano Juan manuel santos calderon recibe 70 millones de dolares de su homologo venezolano Hugo Rafael Chavez Frias presidente venezolano , este dinero seria presuntamente la venta del departamento de la Guajira para mas detalles a continuacion compartimos este documento con todos nuestros Lectores:
www.cnnenespanol.com/news/documentoventadepartamentodelaguajira.zip <-- enlace dañino

A continuación se puede ver la imagen del correo, con la dirección del enlace dañino:

Como puede verse el enlace conduce a un sitio ruso: http://office.vostok[ELIMINADO].ru/userfiles/File/www-cnn.espanol-news/Documentoventadepartamentodelaguajiraexcel.zip y al descargar el archivo ZIP, su contenido es un archivo ejecutable dañino Documentoventadepartamentodelaguajiraexcel.exe, detectado por muy pocos antivirus hasta el momento.
El programa se encuentra desarrollado en VisualBasic y que descarga otro malware bancario desde
http://194.[ELIMINADO].173.187/foto-service/exklusiv/content/sys/syswinlogofull.exe también con detección casi nula y orientado a robar credenciales de los siguientes bancos colombianos a través de ataques de Pharming Local:

• Banco de Occidente
• Colmena
• Banco Caja Social
• Banco Popular
• Banco GNB Sudameris
• Banco de Bogota
• BBVA
• Bancolombia
• Banco Popular
• Santander Colombia
• Banco AV Villas

Además este troyano descarga otra variante del mismo troyano desde http://194.[ELIMINADO].173.187/foto-service/exklusiv/content/sys/widnowsfull.exe (detección nula).

Cristian de la redacción de Segu-Info

Seguir leyendo »

Otro revés judicial para Taringa! por la publicación de obras sin autorización

En otra instancia de la causa que enfrenta desde 2009, confirman el procesamiento de los administradores del sitio web por ofrecer contenidos que infringen la Ley de Propiedad Intelectual.

La Sala VI de la Cámara Nacional de Apelaciones en lo Criminal y Correccional confirmó el procesamiento de los tres administradores del sitio web Taringa!, al determinar que son responsables de poner a disposición de los usuarios de Internet los contenidos de obras literarias sin autorización de sus autores, violando así la Ley de Propiedad Intelectual.
El procesamiento recayó sobre Alberto Nakayama y los hermanos Matías y Hernán Botbol, por presuntamente haber cometido ese delito en 12 oportunidades como propietarios de Wiroos, una firma de hospedaje web que brinda su servicio al sitio Taringa .

La Sala Sexta de la Cámara, con las firmas de los jueces Marcelo Lucini y Mario Filozof, describió que los procesados ofrecieron "a usuarios anónimos la posibilidad de compartir y descargar gratuitamente archivos cuyo contenido no está autorizado para publicar por el autor", y agrega que de esta forma facilitaron "la reproducción ilícita del material que se publica".

Por su parte, la defensa de los imputados adujo que las obras literarias no se encuentran en la plataforma. "No están almacenadas en la página, sino en el sitio Rapidshare, cuyos servidores están localizados fuera del territorio nacional, por lo que no puede aplicarse al caso la ley penal argentina", agregaron.

Sin embargo, el tribunal no deslindó la responsabilidad de los acusados. "Más allá de que los enlaces web desde los cuales se habrían descargado las obras reproducidas ilegalmente desde sitios que se encuentran fuera del país, como rapidshare.com , 4shared.com y mediafire.com , lo cierto es que los servidores del dominio Taringa desde donde se ofrecía su descarga (hospedados en kui.wiroos.com.ar y lanark.wiroos.com ) y cuyos titulares serían los imputados, registran domicilio en la República Argentina", agrega

"Se comprobó que las obras fueron reproducidas indebidamente al colgarlas en una página web sin los permisos pertinentes, por los usuarios y a la cual Taringa redireccionaba la búsqueda de terceros no identificados", subrayó el fallo.

La Cámara confirmó también el embargo por 130 mil pesos contra Nakayama. La figura que se les imputa tiene penas que llegan hasta los seis años de prisión.

El antecedente

De forma previa, en mayo la sala determinó una multa de 200.000 pesos por la causa iniciada en 2009 por la Cámara Argentina del Libro, junto a un grupo de editoriales. Ante el fallo, los abogados de Taringa adujeron que es imposible determinar el contenido de veinte mil publicaciones diarias en promedio, y agregaron que se encontraban en una instancia previa al juicio.

En un comunicado oficial publicado , Taringa rechazó la acusación y reiteraron lo informado en el fallo. "Como administradores de un sitio web no podemos investigar el destino final de cada uno de los 20.000 post diarios que recibimos, escrutando la inmensidad de Internet, para determinar eventualmente sobre la licitud o ilicitud de lo que sea que allí encontremos", dijo la empresa.

Fuente: La Nación

Seguir leyendo »

El estándar XML Encryption sería vulnerable

Según algunas investigaciones, una vulnerabilidad en el ampliamente utilizado estándar de encriptación XML Encryption puede ser explotada para desencriptar información sensible.

El cifrado XML, utilizado para asegurar las comunicaciones entre los servicios web y la mayoría de las empresas, incluidas IBM, Microsoft o Red Hat, es inseguro. Así de claro lo han dejado los investigadores Juraj Somorovsky y Tibor Jager, de la Ruhr University of Bochum (RUB) en Alemania, que han ideado un ataque que descifra los datos asegurados con DES (Data Encryption Standard) o AES (Advanced Encryption Standard) en modo CBC (cipher block chaining).

Jrg Schwenk, profesor de Ingeniería Eléctrica y Tecnología de la Información de la universidad alemana, todos los algoritmos de encriptación de datos recomendados en XML Encryption son vulnerables al ataque, que se basa en enviar textos cifrados modificados al servidor y analizar los errores en busca de claves. Es más, según Schwenk, cualquier algoritmo que utilice el modo CBC resulta vulnerable.
Somorovsky y Jager planean ofrecer más detalles de sus estudios durante la ACM Conference on Computer and Communications Security, que se celebrará a finales de este año en Estados Unidos.

Todos los algoritmos son vulnerables a los ataques porque utilizan el modo CBC. "Todas las implementaciones del estándar se ven afectadas por el ataque", aseguran los investigadores refiriéndose a las recomendaciones XML Encryption.

Somorovsky y Jager han enviado correos electrónicos a las empresas afectadas a través del World Wide Web Consortium (W3C), que es la organización que hizo el borrador del estándar. El ataque lanzado por los profesores de la universidad alemana tuvo éxito contra todas las implementaciones utilizadas por las compañías que respondieron a la información de los investigadores.

Somorovsky y Jager han dicho también que no hay una solución fácil y que lo mejor es cambiar el estándar.

Fuente: ITEspresso

Seguir leyendo »

8.8 Computer Security Conference en Chile

El 18 de noviembre de este año se realizará la primera conferencia técnica de seguridad de la información (Hacking) en Chile llamada 8.8 Computer Security Conference. La entrada a la conferencia se puede adquirir a través del sitio web y tiene un valor de 20.000 pesos (40 USD) que incluye una polera de 8.8 (sólo si compras por internet).

Esta idea seguramente la tuvieron muchos, pero hasta la fecha no existía una instancia como esta para conocer y compartir conocimientos en este ámbito de la seguridad. Este año, en junio, un grupo de profesionales del rubro de seguridad de la información se juntaron y decidieron crear una conferencia 100% técnica enfocada principalmente en compartir conocimientos y experiencias. El objetivo era una conferencia distinta, más alternativa, donde el foco fuera compartir experiencias, técnicas y conocimiento, no orientada a gobernabilidad y gestión (que también son importantes), o simplemente con fines comerciales. Queremos dejar en evidencia las nuevas técnicas que se están usando para explotar plataformas, sistemas, los últimos tipos de ataques registrados, la forma en que ellos se concretaron, se repelieron o se solucionaron.

Para lograrlo, contactamos profesionales de Alemania, Argentina, Brasil, Chile, Estados Unidos e Italia que vienen a compartir su conocimiento, técnicas, experiencia e historias y tendrán la misión de hacer de esta conferencia un evento imperdible. Ya pueden revisar las bio de los expositores y sus charlas en http://8dot8.org/talks.php.
La conferencia terminará con un after-event en donde los expositores y participantes podrán estar cara a cara y compartir conocimientos y experiencias en un ambiente distendido.
Los organizadores están seguros que marcarán un precedente y que la conferencia será un éxito, invitan a los lectores a no dejar pasar esta oportunidad.

Fuente: 8.8 Computer Security Conference

Seguir leyendo »

Anonymous derriba más de 40 sitios de pornografía infantil

El colectivo de hackers Anonymous ha vuelto a actuar. En esta ocasión, con los websites que permiten compartir pornografía infantil como objetivo.

Anonymous se ha atribuido el mérito de haber tirado más de 40 sitios web utilizados para compartir material de pornografía infantil y ha expuesto información sobre más de 1.589 usuarios. Aquí puede verse el timeline del ataque a los sitios que contenían más de 100GB de información sobre menores.

At apprx 11:30pm CST on October 14, 2011 We infiltrated the shared hosting server of Freedom Hosting and shutdown services to all clients due to their lack of action to remove child pornography from their server.

Supuestamente algunos miembros del grupo encontraron un índice de pornografía infantil mientras navegaban una parte de Internet principalmente utilizada para compartir archivos ilegales peer-to-peer que no pueden ser vistos por los motores de búsqueda, ni accederse a ellos sin un navegador especial. Un posterior rastreo les reveló que la mayoría de tales sitios estaban asociados a un mismo servidor de hosting compartido.

Anonymous asegura que, después de que sus advertencias para que la retirada del contenido ilegal fueran desatendidas, consiguió infiltrarse en el servidor y desconectar sus servicios para todos los usuarios.

El grupo asegura que uno de los websites que consiguió derribar era “uno de los mayores sitios web de pornografía infantil, que en ese momento contenía más de 100 GB de contenidos de este tipo”.

Además, dice haber revelado la información sobre los usuarios de tal webites, incluidos sus nombres de usuario, cuánto tiempo han estado activos y cuántas imágenes han compartido. Según el blog sobe cibercrimen DreaminDemon, Anonymous reivindica también haber conseguido las identidades de algunas personas de la lista y haber invitado al FBI a contactar con ellos si desea conocer más detalles al respecto.

Fuente: CSO España

Seguir leyendo »

Manual de Planeación Estratégica de Seguridad de la Información

El siguiente es un resumen de actividades a realizar para una planeación estratégica de la seguridad de la información. Esta guía ha sido desarrollada por Ing. Adolfo Araujo J. en su blog.

Alineación Estratégica para las Tecnologías de Información

1.1- Análisis del Entorno
1.2- Macroentorno (Entorno General)
1.2.1- Tendencias Tecnológicas
1.3- Microentorno (Entorno Específico)
1.4- Intraentorno (Dentro de la Organización)

Primera Etapa del Proceso Administrativo

2.1- Etapa de Planeación
2.2- Componentes de un Plan

Servicios

3.1- Etapa de Organización3.2- Ubicación de la Unidad de Tecnologí­a3.3- Organización Interna de la Unidad de T.I.3.3.1- Catálogo de Servicios de Tecnologías de Información

Capital Humano

4.1- Análisis y Descripción de Puestos y Funciones4.2- Reclutamiento del Procesos de Administración de Personal4.3- Etapa de Selección de Personal4.3.1-Inteligencia Emocional4.4- Etapa de Inducción o Socialización de Personal4.5- Etapa de Capacitación o Desarrollo del Personal4.6- Evaluación del Desempeño del Puesto4.6.1- Método de escalas gráficas

Procesos de Operación del Centro de Cómputo

5.1- Proceso de Selección de la Plataforma
6.1- Procesos del Centro de Cómputo
6.2- Mantenimiento de Hardware
6.3- Mantenimiento del Software
6.4- Herramientas de Administración del Centro de Datos

Aspectos Importantes de las Ubicación Fisicas del Centro de Cómputo

7.1- Ubicación Física del Centro de Cómputo
7.2- Aspectos Eléctricos del Centro de Cómputo
7.3- Aspectos de Seguridad del Lugar del Centro de Cómputo

Políticas de Seguridad de la Información

8.1- Seguridad Informática8.2- Atributos de la Información8.3- Amenazas y Vulnerabilidades8.3.1- Glosario de Amenazas y Medidas Informáticas8.4- Analisis de Riesgo8.4.1- Proceso del Análisis de Riesgos
8.5- Manual de Políticas de Seguridad Informática8.6- Aplicaciones de Seguridad del Centro de Cómputo

Seguir leyendo »

Wikileaks cierra por problemas de financiación

Su fundador, Julian Assange, ha culpado al "bloqueo bancario ilegal" por parte de entidades financieras estadounidenses que le han impedido obtener recursos económicos.

La organización Wikileaks, que ha publicado miles de documentos comprometedores para los gobiernos de todo el mundo, anunció hoy que dejará a divulgar secretos oficiales a causa de sus problemas de financiación.

El anuncio fue realizado en una rueda de prensa en Londres por el fundador de Wikileaks, Julian Assange, quien se encuentra en el Reino Unido a la espera de que concluya un juicio de extradición a Suecia bajo la acusación de supuestos abusos sexuales.

Wikileaks señaló que suspende la divulgación de secretos oficiales ante "el bloqueo arbitrario e ilegal" por parte de entidades estadounidenses como el Bank of America, Visa, Mastercard, PayPal y Western Union, y que le han dejado sin acceso a financiación.

Wikileaks se centrará ahora en recaudar fondos, tras denunciar que el bloqueo ha destruido el 95 por ciento de los ingresos del portal y le ha costado miles de millones de euros por la pérdida de donaciones durante un periodo de once meses.

"Nuestros escasos recursos deben concentrarse ahora en luchar contra el bloqueo bancario ilegal", afirmó Assange. "Si no se hace frente a este ataque financiero, entonces habrá un precedente peligroso, opresivo y no democrático, con consecuencias que van más allá de WikiLeaks y su trabajo", agregó.

El fundador del portal también advirtió de que otras organizaciones que denuncian las actividades de grupos poderosos pueden correr la misma suerte que WikiLeaks.

Assange, detenido en Londres el pasado diciembre, permanece en arresto domiciliario en una mansión del este de Inglaterra, pero puede pedir permiso para asistir a eventos como la rueda de prensa de hoy.

El periodista ha negado las acusaciones de las autoridades suecas, que le quieren interrogar por presuntos delitos sexuales cometidos el pasado agosto en Suecia.

Fuente: Cinco Días

Seguir leyendo »

Mes de concienciación en seguridad con mucho material de descarga

Las iniciativas cómo la que les presento hoy son necesarias para acercar y dar a conocer la problemática existente en lo que a seguridad informática se refiere, explicando claramente los problemas más comunes, e incluso dando ejemplos con los que poder aumentar la seguridad informática en nuestro entorno, tanto corporativo como particular.
Esta iniciativa se denomina el mes de la ciberseguridad (Cyber Security Awareness Month) del que este año se celebra su octava edición, y está promovida por el Departamento de Seguridad Nacional de los Estados Unidos de América, en cooperación con la National Cyber Security Alliance (NCSA) y el Multi-State Information Sharing and Analysis Center (MS-ISAC).

Para esta edición, se ha publicado mucho material, como consejos y pósters, entre otros, en la propia web dedicada a este evento. También se muestran recursos proporcionados a la causa por otras empresas, y otras muchas simplemente han decidido unirse haciendo campaña por su parte.

Desde el instituto SANS han querido colaborar con el mes de la ciberseguridad dando un repaso a su lista de 20 controles críticos de seguridad, ofreciendo en sus artículos diarios una visión sencilla y cercana de por que es importante implantar estos controles y cuales son los objetivos que se persiguen con ellos, proporcionando además directrices acerca de su implementación práctica. Además, estos controles han sido actualizados este último año, contemplando una correspondencia entre estos controles y los ofrecidos por el NIST y por el departamento de estado Australiano.

Antes de mostraros los controles, mencionar que el orden en que aparecen no corresponde con el orden de importancia ni con el orden en que deben ser implementados en una organización, ya que muchos de ellos son independientes y pueden ser implantados en paralelo. Además, 15 de ellos son automatizables, lo que facilita conseguir su cumplimiento, aunque sea a un nivel básico.

El listado de controles es el siguiente:

1. ¿Qué son los 20 controles críticos? Estos 20 controles
2. [SANS] Inventario de Dispositivos (Autorizados o No)
3. [SANS] Inventario de Software (Autorizado o No)
4. [SANS] Configuración segura del software en equipos y servidores
5. [SANS] Configuración segura de dispositivos de red
6. [SANS] Defensa perimetral
7. [SANS] Mantenimiento, monitorización y análisis de logs de Seguridad
8. [SANS] Seguridad en aplicaciones software
9. [SANS] Uso controlado de privilegios administrativos
10. [SANS] Acceso controlado, basado en la necesidad de conocer (Need to know)
11. [SANS] Comprobación continua de las vulnerabilidades y su mitigación
12. [SANS] Monitorización y control de cuentas
13. [SANS] Defensa contra el malware
14. [SANS] Limitación y control de uso de puertos de red, protocolos y servicios
15. [SANS] Control de dispositivos inalámbricos
16. [SANS] Prevención contra la pérdida de datos
17. [SANS] Diseño de redes seguro
18. [SANS] Test de penetración y ejercicios de tipo “Red Team”
19. [SANS] Capacidad de respuesta ante incidentes
20. [SANS] Capacidad de recuperación de datos
21. [SANS] Revisión de las habilidades en seguridad y formación adecuada para cubrir carencias

En primera instancia, uno puede pensar que llevar todo esto a cabo en una empresa debe ser una tarea titánica y con un coste elevadísimo, tanto en mano de obra como en tiempo, pero, como ya hemos comentado, con un poco de ingenio y utilizando herramientas y aplicaciones gratuitas o libres, el coste puede reducirse significativamente. Como muestra este ejemplo (en inglés) de una implementación de estos controles en una empresa con presupuesto reducido.

Bajo mi punto de vista, creo que un buen enfoque puede ser comenzar por conocer los elementos que conforman nuestra red y las aplicaciones que se utilizan (controles 1 y 2), luego controlar las cuentas de usuarios y su uso, para saber quién y como accede a los recursos existentes (controles 11, 8 y 9), y más adelante plantear la configuración segura de todos los activos de la red (controles 3 y 4) y el control del perímetro de nuestra red, así como los servicios que ofrecemos al exterior (controles 5 y 13). ¿Qué os parece este enfoque? Si no os parece adecuado, ¿cómo lo modificaríais?

Para finalizar me gustaría destacar la necesidad de este tipo de programas, que nos ayudan a dar difusión a los problemas de seguridad informática y nos aportan soluciones para mejorar nuestra navegación, cada vez más ubícua, en los entornos informáticos.

Fuente: SecurityArtWorks

Seguir leyendo »