La policía griega ha arrestado a cuatro hombres, entre ellos un oficial de policía de alto rango de la ciudad de Salónica, dentro de una iniciativa internacional contra la pornografía infantil, dijeron las autoridades.
La policía, que cooperó con organismos oficiales de otros 75 países, registró quince casas en una acción en todo el país.
Los cuatro arrestados serán acusados de posesión y comercialización de pornografía infantil.
En mayo, la policía desarticuló una organización de este tipo que se cree que integraba una red europea y acusó a 21 personas de poseer y comerciar con material de pornografía de contenido fuerte en Internet.
El Gobierno conservador de Grecia aprobó en 2007 una ley que impone sentencias de hasta cadena perpetua relacionadas con la pornografía infantil.
Fuente: http://www.laflecha.net/canales/blackhats/noticias/detienen-a-cuatro-personas-en-grecia-en-operacion-antipornografia-infantil?_xm=rss
miércoles, 3 de septiembre de 2008
Microsoft cuestiona la política de privacidad de Google
Según Microsoft, Google está totalmente rezagada en lo relativo a la protección de la privacidad de sus usuarios. Microsoft considera aventajar a Google en 10 años.
Microsoft dirige una vez más su mirada crítica a Google, esperando en esta oportunidad exponer uno de los puntos más vulnerables de su rival. En una entrevista, Microsoft critica la pasividad de Google respecto de la protección de la privacidad de sus usuarios.
A modo de ejemplo, menciona la función Street View de Google Maps, donde es posible reconocer a transeúntes gracias a la alta resolución de las imágenes satelitales.
El director de estrategias de privacidad de Microsoft, Peter Cullen, comenta en la entrevista que con gusto le mostraría a la gerencia de Google la forma de mejorar la privacidad de las personas.
“Google es una gran compañía y tiene algunos productos fantásticos. Pero en algunos conceptos considero que Google está 7 a 10 años detrás de nosotros" Comentó Peter Cullen a ZDnet.co.uk.
El ejecutivo comentó que Microsoft tiene cuarenta empleados dedicados a trabajar en jornada completa en la privacidad de los usuarios que usan los productos de la compañía. Aparte de ello, el gigante informático cuenta con 400 empleados que dedican parte de su jornada al tema.
“Google no tiene ningún empleado dedicado a tales tareas, al menos con base en lo que he podido leer", comentó Peter Cullen.
Cabe señalar que en mayo pasado, Google anunció que comenzaría a ocultar automáticamente los rostros de las personas fotografiadas mediante Street View, mediante un punto ensombrecido o difuso.
Fuente: http://www.diarioti.com/gate/n.php?id=19172
Microsoft dirige una vez más su mirada crítica a Google, esperando en esta oportunidad exponer uno de los puntos más vulnerables de su rival. En una entrevista, Microsoft critica la pasividad de Google respecto de la protección de la privacidad de sus usuarios.
A modo de ejemplo, menciona la función Street View de Google Maps, donde es posible reconocer a transeúntes gracias a la alta resolución de las imágenes satelitales.
El director de estrategias de privacidad de Microsoft, Peter Cullen, comenta en la entrevista que con gusto le mostraría a la gerencia de Google la forma de mejorar la privacidad de las personas.
“Google es una gran compañía y tiene algunos productos fantásticos. Pero en algunos conceptos considero que Google está 7 a 10 años detrás de nosotros" Comentó Peter Cullen a ZDnet.co.uk.
El ejecutivo comentó que Microsoft tiene cuarenta empleados dedicados a trabajar en jornada completa en la privacidad de los usuarios que usan los productos de la compañía. Aparte de ello, el gigante informático cuenta con 400 empleados que dedican parte de su jornada al tema.
“Google no tiene ningún empleado dedicado a tales tareas, al menos con base en lo que he podido leer", comentó Peter Cullen.
Cabe señalar que en mayo pasado, Google anunció que comenzaría a ocultar automáticamente los rostros de las personas fotografiadas mediante Street View, mediante un punto ensombrecido o difuso.
Fuente: http://www.diarioti.com/gate/n.php?id=19172
Incrementos notorios en el número de máquinas integradas en botnets
Comentan en SANS que el número de máquinas zombie integradas en botnets se ha multiplicado por cuatro en los últimos 90 días. Las máquinas zombie son aquellas que pasan a formar parte de una red gobernada (botnet) por usuarios maliciosos (botmasters), sin el conocimiento del propietario de la máquina. La integración suele basarse en la instalación de componentes maliciosos para el control remoto, principalmente a través de malware, lo que permite a los botmasters disponer de miles de máquinas para todo tipo de actividades delictivas y fraudulentas: envío masivo de spam y scams, así como ataques distribuidos de denegación de servicio, como ejemplos más representativos.
Que se hayan cuadruplicado el número de máquinas integradas en estas redes es preocupante. Por sí mismo, es un dato que indica que las máquinas vulnerables han crecido mucho (ya que de otro modo, no estarían integradas en estas redes) y por otro lado indica que los botmasters están, tras un período más o menos estable, donde se habían censado del orden de 150.000 máquinas por bot de media, con picos de 200.000. Durante los últimos 90 días, la cuenta ha ascendido a prácticamente 500.000.
¿Quién o qué es responsable de este aumento? Sin duda, los culpables son los amigos de lo ajeno, ya que, aunque todas las máquinas del mundo fueran vulnerables, si no existieran redes de delitos tecnológicos organizadas ni usuarios malintencionados, no pasaría nada. Tampoco pasaría nada (o casi nada) si los usuarios fueran rápidos y diligentes gestionando la seguridad de sus máquinas, pero esto es entrar en un terreno utópico que a nada nos conduce.
Dejando a un lado a los principales responsables, se hace necesario investigar qué productos y/o plataformas han posibilitado, mediante las vulnerabilidades no corregidas y/o no advertidas, que los atacantes saquen tajada. En SANS ejemplifican este punto hablando de los incrementos en ataques de inyección SQL en servidores, pero a buen seguro, hay muchos más problemas de seguridad a los que podemos responsabilizar del aumento de máquinas zombie. La lista es demasiado larga para detallarla al completo, me temo.
Los datos que ha empleado SANS proceden de un estudio de Shadowserver Foundation. En la página de la fundación hay estadísticas y gráficos ampliados.
Fuente: http://www.sahw.com/wp/archivos/2008/09/03/incrementos-notorios-en-el-numero-de-maquinas-integradas-en-botnets/Falsos antivirus entre las amenazas más propagadas
Los códigos maliciosos más relevantes en este periodo estuvieron relacionados con el supuesto envío de medios de comunicación masivos como la CNN y a la utilización de falsos antivirus gratis para propagar malware.
ESET ha informado que el mes de agosto se ha caracterizado por diversas metodologías de ataque e infección entre las que destacan los falsos antivirus. Durante el mes también ha aumentado el uso de imágenes de famosas desnudas y de medios de comunicación reconocidos (como CNN y MSNBC) como gancho para redireccionar al usuario a sitios dañinos.
Los falsos antivirus, o ‘rogue’, son programas de seguridad falsos y gratuitos que intentan que el usuario los instale. Una vez instalados, solicitan el registro del usuario, con el objetivo de robar su información privada y de instalar posteriormente adware y spyware en su equipo. El rogue Antivirus XP 2008 fue la principal amenaza propagada durante este mes debido a la gran cantidad de técnicas utilizadas para llegar al usuario y por la diversidad de metodologías de ingeniería social utilizadas para engañarlo e infectarlo.
La técnica de propagación más común fue el envío de spam sobre publicidad de supuestos antivirus gratuitos o de falsas actualizaciones de seguridad, que tienen como fin que el usuario descargue un archivo ejecutable, que es, precisamente, el instalador del rogue. El segundo método más empleado es a través de sitios web con el mismo mensaje publicitario o con supuesto vídeos de famosas desnudas. Cuando el usuario intenta visualizarlos, se descarga un códec que termina siendo el malware en cuestión.
“La oferta de un supuesto antivirus que ha podido detectar un nuevo ejemplar de malware en nuestro equipo produce miedo en el usuario, que intentará arreglar esa falsa situación de peligro con muy malas consecuencias", explicó Fernando de la Cuadra, director de Educación de Ontinet.com.
Por otra parte, durante el mes de agosto se registró una gran propagación de malware a través de spam con falsas noticias de diversos medios de comunicación, entre los que se destacan CNN y MSNBC. Estos correos tienen el objetivo de engañar al usuario y que el mismo acceda a un sitio previamente vulnerado por el atacante y en donde se alojan supuestos vídeos. Al intentar visualizarlos, se descargan troyanos como Nuwar (también conocido como gusano de la tormenta) y Agent.ETH.
Finalmente, en agosto aparecieron nuevos casos de archivos no convencionales entre los creadores de malware, como los MP3, que llevan a la descarga de distintos códigos maliciosos. También se han popularizado los correos con enlaces a archivos de Adobe Flash (extensión .swf) para redirigir al usuario a sitios dañino.
Fuente: http://www.diarioti.com/gate/n.php?id=19156
ESET ha informado que el mes de agosto se ha caracterizado por diversas metodologías de ataque e infección entre las que destacan los falsos antivirus. Durante el mes también ha aumentado el uso de imágenes de famosas desnudas y de medios de comunicación reconocidos (como CNN y MSNBC) como gancho para redireccionar al usuario a sitios dañinos.
Los falsos antivirus, o ‘rogue’, son programas de seguridad falsos y gratuitos que intentan que el usuario los instale. Una vez instalados, solicitan el registro del usuario, con el objetivo de robar su información privada y de instalar posteriormente adware y spyware en su equipo. El rogue Antivirus XP 2008 fue la principal amenaza propagada durante este mes debido a la gran cantidad de técnicas utilizadas para llegar al usuario y por la diversidad de metodologías de ingeniería social utilizadas para engañarlo e infectarlo.
La técnica de propagación más común fue el envío de spam sobre publicidad de supuestos antivirus gratuitos o de falsas actualizaciones de seguridad, que tienen como fin que el usuario descargue un archivo ejecutable, que es, precisamente, el instalador del rogue. El segundo método más empleado es a través de sitios web con el mismo mensaje publicitario o con supuesto vídeos de famosas desnudas. Cuando el usuario intenta visualizarlos, se descarga un códec que termina siendo el malware en cuestión.
“La oferta de un supuesto antivirus que ha podido detectar un nuevo ejemplar de malware en nuestro equipo produce miedo en el usuario, que intentará arreglar esa falsa situación de peligro con muy malas consecuencias", explicó Fernando de la Cuadra, director de Educación de Ontinet.com.
Por otra parte, durante el mes de agosto se registró una gran propagación de malware a través de spam con falsas noticias de diversos medios de comunicación, entre los que se destacan CNN y MSNBC. Estos correos tienen el objetivo de engañar al usuario y que el mismo acceda a un sitio previamente vulnerado por el atacante y en donde se alojan supuestos vídeos. Al intentar visualizarlos, se descargan troyanos como Nuwar (también conocido como gusano de la tormenta) y Agent.ETH.
Finalmente, en agosto aparecieron nuevos casos de archivos no convencionales entre los creadores de malware, como los MP3, que llevan a la descarga de distintos códigos maliciosos. También se han popularizado los correos con enlaces a archivos de Adobe Flash (extensión .swf) para redirigir al usuario a sitios dañino.
Fuente: http://www.diarioti.com/gate/n.php?id=19156
Primera Vulnerabilidad en Google Chrome
No ha pasado ni 24 horas desde que google anuncio oficialmente su navegador “Google Chrome” y ya ha sido detectada la primera Vulnerabilidad en este.
Google Chrome es vulnerable a “carpet bombing“, una vulnerabilidad descubierta por el investigador Aviv Raff en el motor web opensource Webkit (Base del navegador Google Chrome y Safari) que permite descargar automáticamente archivos cuando el usuario navega por una página maliciosa.
Raff ha publicado una prueba de concepto en la que se muestra como los usuarios de Chrome pueden ser engañados y con solo 2 clicks (obtenidos fácilmente con un poco de ingeniería social) descargaran y ejecutaran archivos .JAR sin ninguna advertencia del navegador.
Con este fallo empieza la historia de la seguridad en el Google Chrome, si quieres saber mas sobre este nuevo navegador de google, te recomiendo leer estos completos reviews realizados por arturogoga, puntogeek, genbeta, djar, etc… (toda la blogosfera habla de el, descargalo aquí…)
Fuente: http://www.dragonjar.org/primera-vulnerabilidad-en-google-chrome.xhtml¿Una hacker se postula a vicepresidenta de los Estados Unidos?
Se han estado divulgando rumores de que la candidata a vicepresidenta de los Estados Unidos Sarah Palin tiene tantos conocimientos de tecnología como un hacker.
Los rumores surgieron a raíz de un caso que sucedió en 2003. Se dice que la aliada del senador John McCain irrumpió en el ordenador del jefe del partido republicano Randy Ruedrich para buscar pruebas de una alianza ilícita entre Ruedrich y la Comisión de petróleo y gas de Alaska. Sin duda un acto noble por parte de Palin, pero ilícito, si es que lo realizó sin la autorización correspondiente.
Aunque Ruedrich trató de eliminar la evidencia de su ordenador, se dice que Palin fue capaz de ingresar a su equipo burlando el sistema de contraseñas y después utilizar sus sofisticados conocimientos de informática para recuperar los datos eliminados.
Poco tiempo después, Ruedrich admitió su culpa y pagó una multa de 12.000 dólares.
Por supuesto, los rumores pocas veces son completamente ciertos.
Es verdad que Palin ingresó al ordenador de Ruedrich para buscar evidencia de su culpabilidad, pero no lo hizo de una manera ilícita. Un agente del ministerio público le había ordenado que registrara la oficina y ordenador de Ruedrich en busca de evidencia que lo incrimine.
Además, Palin era la presidenta de la Comisión de petróleo y gas, y el equipo de Ruedrich era propiedad del estado, lo que le permitía ingresar al equipo del acusado bajo ciertas circunstancias.
Pero cuando Palin trató de registrar la oficina de Ruedrich, él ya había vaciado sus paredes y escritorio. También había tratado de borrar algunos documentos, pero los dejó en la papelera de reciclaje de su equipo.
Con la ayuda de un técnico, Palin logró prescindir de la contraseña de Ruedrich para entrar a su equipo (es probable que haya usado la contraseña del administrador) y sólo recuperó los datos que el acusado había dejado en la papelera de reciclaje.
Así que, aunque muchos estaban entusiasmados con la idea de tener a alguien que sepa de tecnología en la Casa Blanca, parece que Palin no es aquella persona.
Fuente: http://www.viruslist.com/sp/news?id=208274210Google Chrome no supera el Acid3
¿Es necesario un nuevo navegador cuando existen varios cientos? Quizás la respuesta dependa de quién sea el interrogado. Sin duda muchos usuarios no estamos del todo satisfechos con nuestro navegador predilecto, pero mucho me temo que "el navegador perfecto" no existirá nunca, y mucho menos un navegador que, además de "perfecto", convenza absolutamente a todos.
Lo que es seguro es que Google sí considera que debe existir un navegador que se ajuste al cien por cien a sus necesidades, algo que Firefox -su niño mimado- no parece poderle proporcionar (y menos aún en su versión 3.x, que al menos en Linux, y en mi opinión, representa un claro retroceso).
En todo caso, Google ha pillado a casi todo el mundo por sorpresa al anunciar (comic incluido) que hoy pondrá a disposición de los internautas de cien países una versión beta (hablamos de Google, of course) para Windows de su flamante navegador "Chrome", de código libre y con genes de Mozilla y WebKit.
La pista para realizar esta comprobación me la dio un directivo de Opera, quien al ser preguntado sobre la inminente presentación de Google Chrome afirmó que le parecía muy bien, "siempre que se ajustase a los estándares".
Pues bien; lo cierto es que al menos en mi Windows XP SP3, Chrome se embarulla con Acid3, el test que mide la compatibilidad de los navegadores con los estándares de la Web más dinámica e interactiva, obteniendo un pobre 78/100, muy alejado del 100/100 logrado hace unos meses por Epiphany con el mismo motor WebKit, y que apenas supera el 71/100 obtenido por Firefox en su Beta 5.
Fuente:
http://www.kriptopolis.org/google-chrome-no-supera-acid3
http://www.kriptopolis.org/google-chrome
http://google.dirson.com/post/4086-navegador-google-chrome-reinventar-rueda/
Localizar un portátil robado
Toda ya incorporarse a la rutina laboral y por tanto, abrir de nuevo la publicación de post de seguridad. Y para volver del verano, me ha parecido interesante un nuevo servicio que he encontrado vía CanalPDA para localizar un portátil robado.
La seguridad en portátiles suele basarse en medidas preventivas para evitar la pérdida de datos o el acceso en caso de robo. Hasta la fecha, no había hallado herramientas que tratarán de recuperar el portátil en si mismo, aunque se que existen dispositivos hardware que permiten localizarlos.
Sin embargo, Adeona que es como se llama este servicio es abierto y gratuito, patrocinado por la Universidad de Washington, y permite realizar un seguimiento de la localización de un ordenador portátil perdido o robado.
Seguir leyendo
Fuentes:
http://seguridad-de-la-informacion.blogspot.com/2008/09/localizar-un-porttil-robado.html
http://www.canalpda.com/2008/07/18/7419-adeona+servicio+gratuito+localizacion+portatiles+perdidos+o+robados
La seguridad en portátiles suele basarse en medidas preventivas para evitar la pérdida de datos o el acceso en caso de robo. Hasta la fecha, no había hallado herramientas que tratarán de recuperar el portátil en si mismo, aunque se que existen dispositivos hardware que permiten localizarlos.
Sin embargo, Adeona que es como se llama este servicio es abierto y gratuito, patrocinado por la Universidad de Washington, y permite realizar un seguimiento de la localización de un ordenador portátil perdido o robado.
Seguir leyendo
Fuentes:
http://seguridad-de-la-informacion.blogspot.com/2008/09/localizar-un-porttil-robado.html
http://www.canalpda.com/2008/07/18/7419-adeona+servicio+gratuito+localizacion+portatiles+perdidos+o+robados
Consejos para padres y jóvenes al navegar por la web
Una empresa de seguridad informática elaboró una lista de consejos orientada a garantizar una navegación segura de los menores, evitando que los padres cierren la comunicación y obliguen a sus hijos a actuar a escondidas
Los padres, maestros y tutores que se hacen cargo de los jóvenes que son socialmente activos en línea deben primero establecer expectativas razonables. Prohibir a los jóvenes usar redes sociales puede obligarlos a hacerlo a escondidas y encontrarse en otro lugares (como computadoras en bibliotecas, teléfonos móviles o las computadoras de sus amigos) para seguir su vida social en línea. Una alternativa positiva es enseñarles cómo pensar de forma crítica sobre lo que están viendo, leyendo, escuchando y compartiendo en línea, y pedir ayuda cuando algo no parece bien.
Seguir leyendo
Los padres, maestros y tutores que se hacen cargo de los jóvenes que son socialmente activos en línea deben primero establecer expectativas razonables. Prohibir a los jóvenes usar redes sociales puede obligarlos a hacerlo a escondidas y encontrarse en otro lugares (como computadoras en bibliotecas, teléfonos móviles o las computadoras de sus amigos) para seguir su vida social en línea. Una alternativa positiva es enseñarles cómo pensar de forma crítica sobre lo que están viendo, leyendo, escuchando y compartiendo en línea, y pedir ayuda cuando algo no parece bien.
Seguir leyendo
Microsoft actualiza el Explorer 8 con más elementos de seguridad
El gigante informático Microsoft lanzó hoy la versión beta 2 de Explorer 8, una actualización de su navegador de Internet que cuenta con más elementos para aumentar la seguridad y facilidad de uso de la red.
La nueva versión de Internet Explorer 8 aparece cinco meses después del primer test, llamado beta 1, aunque aún se desconoce cuándo estará disponible la versión definitiva del programa.
Con más del 75 por ciento del mercado, Explorer sigue siendo el navegador de Internet de referencia en todo el mundo, pero la creciente popularidad de otros competidores, especialmente Firefox de Mozilla, está obligando a Microsoft a realizar actualizaciones con más frecuencia.
La versión beta 2 de Explorer 8 ha sido diseñada pensando "en cómo hacer el navegador más rápido, más fácil y más seguro", explicó a Efe Enrique Murray-Campbell, gerente de producto regional de la compañía.
"El tiempo de uso de la tecnología aumenta y en América Latina, por ejemplo, los usuarios pasan ya una media de 40 horas al mes en Internet", dijo Murray-Cambell.
"Nos hemos preguntado cómo proporcionar una tecnología que haga más sencillo el acceso a la red", añadió el directivo, que añadió que la versión en español de la última actualización de Explorer, disponible hoy en inglés, chino y alemán, aparecerá en las próximas semanas.
Las principales novedades están, sobre todo, en los elementos para aumentar la seguridad, principalmente una herramienta llamada InPrivate Browsing y que algunos medios del sector han bautizado ya como "modo porno".
. InPrivate Browsing permite al internauta mantener en privado toda su actividad en la red, pues cuando se activa el ordenador no mantiene registros tras el fin de la sesión de las páginas visitadas, ventanas emergentes desplegadas u otros datos.
Esta herramienta ofrece diferentes opciones para poder, por ejemplo, navegar en privado sólo durante unas horas sin perder la información anterior.
. Otra novedad interesante es el InPrivate Blocking, para impedir que terceros, como anunciantes de una determinada página, sepan qué sitios hemos visitado en la red.
También destaca la actualización de Web Slices, con la que se pueden tomar "instantáneas" de una parte de una página.
Cada "instantánea" queda grabada en la barra de herramientas y se actualiza automáticamente, con lo que el internauta puede acceder a la información sin dejar lo que esté haciendo y tener que dirigirse a la página en concreto de nuevo.
. Microsoft ha actualizado también la herramienta Activities, ahora llamada Accelerators, que permite pinchar con el ratón sobre algunas palabras y obtener información adicional no disponible en ese sitio.
Si el internauta está leyendo, por ejemplo, un artículo sobre restaurantes en una ciudad determinada, puede pinchar en cada nombre y acceder a links previamente definidos, como mapas en la red para encontrar la ubicación del local, sin tener que abrir una nueva página.
Fuente: http://seguridad-informacion.blogspot.com/2008/09/microsoft-actualiza-el-explorer-8-con.html
La nueva versión de Internet Explorer 8 aparece cinco meses después del primer test, llamado beta 1, aunque aún se desconoce cuándo estará disponible la versión definitiva del programa.
Con más del 75 por ciento del mercado, Explorer sigue siendo el navegador de Internet de referencia en todo el mundo, pero la creciente popularidad de otros competidores, especialmente Firefox de Mozilla, está obligando a Microsoft a realizar actualizaciones con más frecuencia.
La versión beta 2 de Explorer 8 ha sido diseñada pensando "en cómo hacer el navegador más rápido, más fácil y más seguro", explicó a Efe Enrique Murray-Campbell, gerente de producto regional de la compañía.
"El tiempo de uso de la tecnología aumenta y en América Latina, por ejemplo, los usuarios pasan ya una media de 40 horas al mes en Internet", dijo Murray-Cambell.
"Nos hemos preguntado cómo proporcionar una tecnología que haga más sencillo el acceso a la red", añadió el directivo, que añadió que la versión en español de la última actualización de Explorer, disponible hoy en inglés, chino y alemán, aparecerá en las próximas semanas.
Las principales novedades están, sobre todo, en los elementos para aumentar la seguridad, principalmente una herramienta llamada InPrivate Browsing y que algunos medios del sector han bautizado ya como "modo porno".
. InPrivate Browsing permite al internauta mantener en privado toda su actividad en la red, pues cuando se activa el ordenador no mantiene registros tras el fin de la sesión de las páginas visitadas, ventanas emergentes desplegadas u otros datos.
Esta herramienta ofrece diferentes opciones para poder, por ejemplo, navegar en privado sólo durante unas horas sin perder la información anterior.
. Otra novedad interesante es el InPrivate Blocking, para impedir que terceros, como anunciantes de una determinada página, sepan qué sitios hemos visitado en la red.
También destaca la actualización de Web Slices, con la que se pueden tomar "instantáneas" de una parte de una página.
Cada "instantánea" queda grabada en la barra de herramientas y se actualiza automáticamente, con lo que el internauta puede acceder a la información sin dejar lo que esté haciendo y tener que dirigirse a la página en concreto de nuevo.
. Microsoft ha actualizado también la herramienta Activities, ahora llamada Accelerators, que permite pinchar con el ratón sobre algunas palabras y obtener información adicional no disponible en ese sitio.
Si el internauta está leyendo, por ejemplo, un artículo sobre restaurantes en una ciudad determinada, puede pinchar en cada nombre y acceder a links previamente definidos, como mapas en la red para encontrar la ubicación del local, sin tener que abrir una nueva página.
Fuente: http://seguridad-informacion.blogspot.com/2008/09/microsoft-actualiza-el-explorer-8-con.html
Trend Micro publicó una guía de navegación segura para padres y chicos
Debido a la creciente preocupación de los padres por las amenazas a las que se ven expuestos sus hijos mientras usan las diversas aplicaciones de Internet, la empresa Trend Micro decidió publicar una "Guía de navegación segura para padres y niños", que incluye una serie de tips y consejos para dialogar en familia.
En su sitio Web, la empresa publicó una serie de documentos para la familia
Cómo principal recomendación, la empresa propone a los padres no prohibir el uso de redes sociales, ya que podrían incentivarlos a utilizarlas en otros lugares (bibliotecas, teléfonos móviles o computadoras de sus amigos). "Una alternativa positiva es enseñarles cómo pensar de forma crítica sobre lo que están viendo, leyendo, escuchando y compartiendo en línea, y pedir ayuda cuando algo no parece bien".
Las siguientes son las medidas básicas que propone la corporación para que sean implementadas por los padres y los niños en conjunto
* Mantener la computadora en un área común.
* Acordar los límites de tiempo para el uso de Internet t dispositivos de comunicación
* Mantener actualizado el software de seguridad
* Acordar qué sitios pueden visitar los chicos (sobre todo los más chicos).
* Utilizar filtro de URL
* Bajar de Internet un servicio de reputación de sitios.
* Revisar el contenido y las políticas de seguridad de los sitios que los niños frecuentan.
* Hablar con los chicos sobre el ingreso de información personal online.
* Ignorar contactos no solicitados de gente que nunca han conocido.
* Correr un escaneo manual con el software de seguridad y chequear el historial del browser
Por otra parte, la empresa publicó una serie de sugerencias para que los jóvenes tengan presente en Internet:
* Utilizar un seudónimo o nombre de código en lugar del nombre real.
* Configurar los perfiles para que estén privados de modo que sólo la gente que se invite pueda ver lo que uno publica.
* No compartir dirección, teléfono u otra información personal en línea.
* Tener cuidado de compartir fotos provocativas o detalles íntimos en línea, incluso con la gente conocida.
* Mantener actualizado el software de seguridad.
* Leer “entre líneas”. Ser consciente que, si bien algunas personas son muy agradables en línea, otras actúan de forma amable porque están tratando de obtener algo.
* Evitar las reuniones a solas.
Para conocer más sobre la iniciativa de Trend Micro, puede ingresar en www.trendmicro.com/go/safety.
Fuente: http://www.canal-ar.com.ar/Noticias/Noticiamuestra.asp?Id=6339
En su sitio Web, la empresa publicó una serie de documentos para la familia
Cómo principal recomendación, la empresa propone a los padres no prohibir el uso de redes sociales, ya que podrían incentivarlos a utilizarlas en otros lugares (bibliotecas, teléfonos móviles o computadoras de sus amigos). "Una alternativa positiva es enseñarles cómo pensar de forma crítica sobre lo que están viendo, leyendo, escuchando y compartiendo en línea, y pedir ayuda cuando algo no parece bien".
Las siguientes son las medidas básicas que propone la corporación para que sean implementadas por los padres y los niños en conjunto
* Mantener la computadora en un área común.
* Acordar los límites de tiempo para el uso de Internet t dispositivos de comunicación
* Mantener actualizado el software de seguridad
* Acordar qué sitios pueden visitar los chicos (sobre todo los más chicos).
* Utilizar filtro de URL
* Bajar de Internet un servicio de reputación de sitios.
* Revisar el contenido y las políticas de seguridad de los sitios que los niños frecuentan.
* Hablar con los chicos sobre el ingreso de información personal online.
* Ignorar contactos no solicitados de gente que nunca han conocido.
* Correr un escaneo manual con el software de seguridad y chequear el historial del browser
Por otra parte, la empresa publicó una serie de sugerencias para que los jóvenes tengan presente en Internet:
* Utilizar un seudónimo o nombre de código en lugar del nombre real.
* Configurar los perfiles para que estén privados de modo que sólo la gente que se invite pueda ver lo que uno publica.
* No compartir dirección, teléfono u otra información personal en línea.
* Tener cuidado de compartir fotos provocativas o detalles íntimos en línea, incluso con la gente conocida.
* Mantener actualizado el software de seguridad.
* Leer “entre líneas”. Ser consciente que, si bien algunas personas son muy agradables en línea, otras actúan de forma amable porque están tratando de obtener algo.
* Evitar las reuniones a solas.
Para conocer más sobre la iniciativa de Trend Micro, puede ingresar en www.trendmicro.com/go/safety.
Fuente: http://www.canal-ar.com.ar/Noticias/Noticiamuestra.asp?Id=6339
CATPCHA, más roto que nunca
Este sistema para tratar de proteger todo tipo de servicios web se ha convertido en un método inútil dada la gran cantidad de soluciones software para poder superar las barreras que impone. De hecho, superar la barrera se ha convertido casi en un deporte en la India.
En este país hay personas específicamente dedicadas a la investigación de estos sistemas y de cómo romper la seguridad que imponen, algo que les proporciona un buen fajo de billetes, más de lo que podrían ganar con sus trabajos convencionales.
El negocio de los ‘CAPTCHA-Crackers’ consiste en superar todos los tipos de CAPTCHAS que sean capaces de encontrar, algo que les proporciona más y más dinero a medida que van superando esas barreras. Muchos de los ataques se centran en MySpace, una web que sigue usando los CAPTCHAS sin que esto realmente tenga mucho sentido, puesto que está demostrado que los CAPTCHA están definitivamente acabados.
Fuente: http://www.theinquirer.es/2008/09/02/catpcha-mas-roto-que-nunca.html
En este país hay personas específicamente dedicadas a la investigación de estos sistemas y de cómo romper la seguridad que imponen, algo que les proporciona un buen fajo de billetes, más de lo que podrían ganar con sus trabajos convencionales.
El negocio de los ‘CAPTCHA-Crackers’ consiste en superar todos los tipos de CAPTCHAS que sean capaces de encontrar, algo que les proporciona más y más dinero a medida que van superando esas barreras. Muchos de los ataques se centran en MySpace, una web que sigue usando los CAPTCHAS sin que esto realmente tenga mucho sentido, puesto que está demostrado que los CAPTCHA están definitivamente acabados.
Fuente: http://www.theinquirer.es/2008/09/02/catpcha-mas-roto-que-nunca.html
El "secuestro" del portapapeles
Desde finales del mes pasado, muchos usuarios están detectando un comportamiento extraño en su portapapeles. A la hora de copiar y pegar cualquier dato, encuentran que siempre aparece almacenada en este memoria una misma dirección de Internet, que no recuerdan haber copiado nunca. Copian algún dato en su "clipboard", y cuando van a pegarlo esa información ya ha sido modificada y en su lugar se memoriza una URL. No parecen estar infectados por malware, en cuanto se visita alguna web el problema reaparece... es solo que su portapapeles ha sido secuestrado.
Según se admite en una nota publicada por el Equipo de Respuesta ante Incidentes de Seguridad en Productos de Adobe (Adobe Product Security Incident Response Team) el problema está causado por una funcionalidad en Flash Player que podría ser aprovechada por un atacante remoto para "secuestrar" el portapapeles del sistema, forzando a que devuelva siempre una misma cadena.
El problema se debe a que por medio de la función "setClipboard" de ActionScript (el lenguaje de programación de Adobe Flash) se puede modificar (pero no acceder) el contenido del portapapeles. La descripción se puede leer en la documentación de Adobe Flash citada a continuación: "El método System.setClipboard() permite a un archivo SWF reemplazar el contenido del portapapeles con una cadena de caracteres en texto claro. Esto no supone un riesgo de seguridad. Para proteger contra los riesgos que supone que contraseñas y otra información sensible sea cortada o copiada de los portapapeles, el método "getClipboard" de lectura desde el portapapeles no existe".
Si se crea un archivo SWF modificado que invoque a esta función repetidamente en bucle, cada cierto tiempo se actualizará el contenido del portapapeles para forzar que contenga la cadena elegida. Independientemente de la aplicación con la que se trabaje, siempre que se intente copiar y pegar algún dato, dará como resultado la misma cadena una y otra vez mientras el flash esté activo en una web que está siendo visitada.
El ataque (más molesto que peligroso) se está usando para secuestrar el portapapeles, pegando una URL que lleva a una página de un falso antivirus que resulta ser malware. En el caso concreto detectado en los últimos días, el código ActionScript malicioso venía incrustado en anuncios flash alojados en sitios legítimos que tienen un gran tráfico de visitas diarias, como Newsweek, Digg y MSNBC.
Este fallo no es realmente grave. Desde hace muchos años revive de vez en cuando la polémica (es una funcionalidad vs. es una vulnerabilidad) con respecto a un problema mucho más serio: El acceso al portapapeles por parte de funciones de Internet Explorer. Aunque este ataque flash en concreto es independiente del navegador, aun hoy día la configuración por defecto de la mayoría de sistemas con Internet Explorer 6 permite de forma transparente no solo modificar sino tener acceso al portapapeles. El objeto clipboardData (incorporado en la versión 5 de Internet Explorer) admite tres métodos para interactuar con los datos del clipboard, "getData" para capturar la información, "setData" para escribir, y "clearData" para borrar. Ya en 2005 Hispasec publicó una prueba de concepto disponible en el apartado de más información.
También este ataque a través de flash recuerda al que se puso de moda hace años, lo que se dio en llamar "secuestro del navegador" que consistía en la modificación persistente de la página de inicio de Internet Explorer. Mucho malware del momento era capaz de secuestrarla con más o menos destreza. Hoy en día es una práctica en desuso.
Para "liberar" el portapapeles y que vuelva a funcionar de forma normal, tan solo hace falta cerrar la pestaña del navegador con la que se está visitando en el sitio web susceptible de contener el flash especialmente manipulado.
Aviv Raff ha desarrollado una prueba de concepto que carga de forma persistente la cadena http://www.evil.com en el portapapeles, disponible desde http://raffon.net/research/flash/cb/test.htmlFuente: http://www.hispasec.com/unaaldia/3600
En Costa Rica, los bancos públicos ofrecen ‘armas’ contra el fraude electrónico
Durante este mes y el próximo, los cuatro bancos públicos empezarán a ofrecer a sus clientes nuevas “armas” contra el fraude electrónico.
En el caso del Banco de Costa Rica (BCR) y Bancrédito, el uso de estos dispositivos será obligatorio a la hora de hacer transacciones por Internet y no tienen ningún costo.
En tanto, el Banco Popular y el Nacional ofrecerán mecanismos de seguridad optativos, es decir, el usuario decide si los adquiere o no.
El primero en disponer de estas herramientas en forma masiva será el Banco Nacional con el llamado Teclado Virtual, que aparecerá en la pantalla de ingreso de Internet Banking desde este viernes.
Esta herramienta forma parte de BN Identidad Virtual, un sistema de autenticación creado por el Banco para asegurar las transacciones electrónicas. Próximamente incluirá el Token Llavero, el Token Tarjeta y el Token Celular.
El Teclado Virtual es gratuito y optativo. Sin embargo, a quienes decidan no utilizarlo, el sistema les limitará automáticamente la inclusión de cuentas favoritas y deberán hacerlo en una agencia.
El Banco Popular informó de que esta semana pondrá a disposición de sus clientes el Token, el cual funciona como una cédula de identidad en formato electrónico.
El dispositivo incluye información del cliente y su firma digital. Tiene un costo de $35 de contado y $40 a dos meses plazo.
Los afiliados a Banca Fácil que deseen adquirir el Token deben solicitarlo al teléfono: 2202-2020.
Para todos. El BCR, con un registro mensual de alrededor de 3 millones de transacciones por Internet, exigirá a los usuarios de ese servicio la tarjeta Clave Dinámica.
El dispositivo es gratuito, pueden solicitarlo en cualquier agencia del BCR y su uso es obligatorio a partir del 17 de este mes.
Mario Rivera, gerente interino del BCR, dijo que la Clave Dinámica brinda protección adicional a las transacciones de los clientes mediante una segunda autenticación, “lo cual está muy acorde con lo establecido por el reciente Código de Autorregulación Bancaria presentada por la Cámara de Bancos”.
Dicha norma establece condiciones contractuales y mecanismos de seguridad que deben aplicar los bancos para proteger a sus clientes del robo electrónico.
Arnoldo Trejos, subgerente Comercial de Bancrédito, afirmó que están en proceso de adquisición de la Multiclave Bancrédito, cuyo uso será obligatorio para los clientes que lleven a cabo transacciones en línea.
“Este proceso se finiquitará en setiembre, por lo que procederemos a entregarla a nuestros clientes a partir de octubre”, agregó.
Los fraudes por Internet llevaron a 70 personas a presentar una demanda colectiva, ante el Tribunal Contencioso-Administrativo, contra los bancos Nacional, de Costa Rica y Popular. Entre todos perdieron ¢300 millones.
Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=1923
En el caso del Banco de Costa Rica (BCR) y Bancrédito, el uso de estos dispositivos será obligatorio a la hora de hacer transacciones por Internet y no tienen ningún costo.
En tanto, el Banco Popular y el Nacional ofrecerán mecanismos de seguridad optativos, es decir, el usuario decide si los adquiere o no.
El primero en disponer de estas herramientas en forma masiva será el Banco Nacional con el llamado Teclado Virtual, que aparecerá en la pantalla de ingreso de Internet Banking desde este viernes.
Esta herramienta forma parte de BN Identidad Virtual, un sistema de autenticación creado por el Banco para asegurar las transacciones electrónicas. Próximamente incluirá el Token Llavero, el Token Tarjeta y el Token Celular.
El Teclado Virtual es gratuito y optativo. Sin embargo, a quienes decidan no utilizarlo, el sistema les limitará automáticamente la inclusión de cuentas favoritas y deberán hacerlo en una agencia.
El Banco Popular informó de que esta semana pondrá a disposición de sus clientes el Token, el cual funciona como una cédula de identidad en formato electrónico.
El dispositivo incluye información del cliente y su firma digital. Tiene un costo de $35 de contado y $40 a dos meses plazo.
Los afiliados a Banca Fácil que deseen adquirir el Token deben solicitarlo al teléfono: 2202-2020.
Para todos. El BCR, con un registro mensual de alrededor de 3 millones de transacciones por Internet, exigirá a los usuarios de ese servicio la tarjeta Clave Dinámica.
El dispositivo es gratuito, pueden solicitarlo en cualquier agencia del BCR y su uso es obligatorio a partir del 17 de este mes.
Mario Rivera, gerente interino del BCR, dijo que la Clave Dinámica brinda protección adicional a las transacciones de los clientes mediante una segunda autenticación, “lo cual está muy acorde con lo establecido por el reciente Código de Autorregulación Bancaria presentada por la Cámara de Bancos”.
Dicha norma establece condiciones contractuales y mecanismos de seguridad que deben aplicar los bancos para proteger a sus clientes del robo electrónico.
Arnoldo Trejos, subgerente Comercial de Bancrédito, afirmó que están en proceso de adquisición de la Multiclave Bancrédito, cuyo uso será obligatorio para los clientes que lleven a cabo transacciones en línea.
“Este proceso se finiquitará en setiembre, por lo que procederemos a entregarla a nuestros clientes a partir de octubre”, agregó.
Los fraudes por Internet llevaron a 70 personas a presentar una demanda colectiva, ante el Tribunal Contencioso-Administrativo, contra los bancos Nacional, de Costa Rica y Popular. Entre todos perdieron ¢300 millones.
Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=1923
Localizar un portátil robado
Toca ya incorporarse a la rutina laboral y por tanto, abrir de nuevo la publicación de post de seguridad. Y para volver del verano, me ha parecido interesante un nuevo servicio que he encontrado vía CanalPDA para localizar un portátil robado.
La seguridad en portátiles suele basarse en medidas preventivas para evitar la pérdida de datos o el acceso en caso de robo. Hasta la fecha, no había hallado herramientas que tratarán de recuperar el portátil en si mismo, aunque se que existen dispositivos hardware que permiten localizarlos.
Sin embargo, Adeona que es como se llama este servicio es abierto y gratuito, patrocinado por la Universidad de Washington, y permite realizar un seguimiento de la localización de un ordenador portátil perdido o robado.
Yo ya lo tengo instalado en mi ordenador aunque espero no tener nunca que probarlo.A continuación os detallo la explicación de CanalPDA.
"A diferencia de otros servicios, éste es totalmente gratuito y se basa en protocolos abiertos y documentados. Además la aplicación realiza un notable esfuerzo para garantizar la privacidad de los datos, de forma que nadie excepto el propietario del ordenador pueda acceder a la información registrada.
El funcionamiento es muy simple. Hay que instalar en el ordenador un pequeño programa agente (disponible para Windows Vista y XP, Linux y Mac OS X; en este momento las descargas no funcionan). La instalación es muy rápida y solo nos pide donde hay que ubicar el programa y la contraseña de protección de acceso a los datos.
La instalación genera un archivo de configuración, denominado adeona-retrievecredentials.ost. Esta será nuestra llave, conjuntamente con la contraseña indicada durante la instalación, para poder acceder a los datos de localización del portátil.
Este servicio registra la información de la IP y otros datos básicos acerca la conexión con Internet.
Si alguna vez perdemos el ordenador, podemos utilizar el programa de recuperación. Nos pedirá que facilitemos el archivo adeona-retrievecredentials.ost generado durante la instalación, así como la contraseña. Con esta información recuperará de los servidores donde se almacenan los datos de conexiones, lo que nos permitirá recuperar la información de donde está conectado el equipo.
Un ejemplo de información de ubicación:
Retrieved location information:Como podemos ver, además de la IP pública y la IP privada, también hay otros datos relativos a la configuración de la red donde está conectado el equipo.
update time: 07/16/2008,15:47 (RDT)
internal ip: 10.xxx.xx.x
external ip: xx.xxx.xxx.xx
access point: xxx
Nearby routers:
1 5.000ms 10.xx.xx.xx (could not resolve)
2 1.000ms 10.xx.xx.x (could not resolve)
Si el ordenador portátil utiliza el sistema operativo Mac OS X, además de la información, el cliente de Adeona también hace una foto del usuario con la webcam integrada... que también queda registrada :)"
Análisis de los ficheros de logs y blindaje del sistema
Websecutity, con esta serie de artículos de esta última semana analizan los programas utilizados para hacer los sistemas más seguros y más fiables. Se pueden ver las distintas formas de realizar un análisis de ficheros de registro, cosa muy importante a la hora de ver si ha sucedido algún tipo de ataque al sistema.
Yahoo! Lottery es un timo
Ryan Knight, administrador del servicio de correo de Yahoo!, está advirtiendo a la gente de que no caigan en el timo que está circulando por la red. Dicho timo consta de un correo donde felicita por haber sido premiado en un sorteo de lotería ficticio con una cantidad de 275.000 libras esterlinas y nos piden unos datos personales para recibirlo.
Knight afirma que además este caso en particular de phising es más vulgar que otros casos ya que además de faltas gramaticales y de ortografía, en todo el email, al final dejan un correo de contacto de GMail, competencia directa con Yahoo! Mail.
Para finalizar el administrador de Yahoo! concluye con un par de consejos para todo usuario del servicio: nunca des datos personales, pues las empresas reales no los solicitarán nunca y evitar acceder a las webs oficiales a través de enlaces de dudosa procedencia encontrados en dichos emails, accediendo directamente desde el navegador y tecleando la dirección oficial.
Fuente:
http://www.theinquirer.es/2008/09/01/yahoo-afirma-que-los-correos-yahoo-lottery-son-spam.html
http://news.softpedia.com/news/Yahoo-Lottery-Hoax-Attempt-Raises-Laughs-92716.shtml
domingo, 24 de agosto de 2008
Enciclopedia online de amenazas internas
Promisec ha lanzado una enciclopedia en línea de amenazas en seguridad de red interna. La enciclopedia, que puede ser vista por cualquier persona de forma gratuita, se actualiza continuamente con explicaciones detalladas de las últimas amenazas.
Además, el sitio contiene gráficos mensuales que muestran cómo la tendencia en los riesgos internos ha cambiado en los últimos años, consejos de seguridad internas y trucos, artículos sobre los últimos incidentes de seguridad interna, un panorama de las amenazas internas, y una amplia gama de otros recursos.
Fuente: http://www.iso27000.es/
Además, el sitio contiene gráficos mensuales que muestran cómo la tendencia en los riesgos internos ha cambiado en los últimos años, consejos de seguridad internas y trucos, artículos sobre los últimos incidentes de seguridad interna, un panorama de las amenazas internas, y una amplia gama de otros recursos.
Fuente: http://www.iso27000.es/
El DNI electrónico gana presencia en el mundo y se acerca a la Argentina
Catorce países de Europa utilizarán el recurso de manera masiva. Argentina ya está dando los primeros pasos para digitalizar algunas bases de datos.
Aunque a menor ritmo de lo que sucede en los principales países del mundo, la Argentina está dando sus primeros pasos en pos de implementar sistemas que, diseñados para asegurar la identidad de las personas, promuevan actividades remotas y fomenten prácticas sociales y económicas amparadas en un soporte electrónico.
Esta semana se conoció que el consorcio Stork, integrado por 14 países de Europa, promoverá una implementación masiva del DNI electrónico a fin de profundizar la utilización de Internet para intercambios comerciales y el concepto de gobierno electrónico en el Viejo Continente.
El consorcio tiene prevista una serie de pruebas que se extenderán durante tres años, período en el cual buscará garantizar la aceptación de los DNI en servicios de administración electrónica instalados en España, Bélgica, Estonia, Francia, Alemania, Italia, Austria, Luxemburgo, Países Bajos, Suecia, Portugal, Eslovenia, Reino Unido, e Islandia.
La iniciativa partirá de examinar cada uno de los desarrollos en materia de identificación electrónica más utilizados para, en el mediano plazo, acordar criterios comunes de desempeño y dispositivos que garanticen la validez de los documentos en cualquiera de las naciones que conforman el Stork.
Pero ¿qué sucede con una propuesta de este tipo pero ya en el plano local? Por el momento, los intentos no han superado la etapa de pruebas. Durante el 2007, en tiempos de Néstor Kirchner al frente del Ejecutivo, el Ministerio del Interior dio el primer paso hacia el DNI electrónico: llamó a licitación para la implementación de una base única de datos digitalizada.
"El año pasado se estuvo trabajando en un proyecto, que en realidad nunca pasó de la especificación, el cual tenía que ver con todo lo necesario, desde el punto de vista tecnológico, para identificar a los ciudadanos", explicó, a iProfesional.com, Martín Codini, director del área de Desarrollo de Negocios de Indra, la firma que desarrolló el DNI en España.
"Esto tiene que ver con los datos alfanuméricos de una persona, más todo lo que tiene que ver con la biometría. O sea, las características que identifican de manera unívoca a las personas", agregó.
Por su parte, Ricardo Caputo, gerente comercial de la misma empresa, sostuvo que el DNI electrónico "iba a ser una salida de la base única de identificación, una de las tantas en realidad, y que luego tranquilamente podía ser aplicada a los padrones electorales, entre otros usos".
Intento
Lo cierto es que, más allá de ese primer intento, la iniciativa poco a poco fue perdiendo fuerza. Al respecto, Adrián Giormenti, ejecutivo de la firma de desarrollo de soluciones para gobierno electrónico Giesecke & Devrient Group (GyD), señaló que "la intención de crear una base de datos electrónica salió a licitación, y fue ganada por la compañía NEC, pero después quedó demorada".
La posterior impugnación que llevaron a cabo las empresas que no se vieron beneficiadas habría sido el principal motivo por el cual, según parece, el proceso no siguió adelante. Y obligó al Ministerio del Interior a llamar a una nueva licitación, instancia que –ya con Cristina Fernández como presidenta– situaciones como el prolongado lockout agrario culminaron por frenar nuevamente.
"A finales del año pasado el ministerio, oficialmente, dio a entender que se tenía que llamar a una nueva licitación. Pero evidentemente el proyecto fue perdiendo protagonismo en la agenda por diversas cuestiones", dijo Giormenti.
Consultado sobre la situación actual en cuanto al manejo de bases de datos, el ejecutivo explicó que "hoy existe una gran cantidad de información que opera como compartimentos estancos".
"La policía tiene su base, la Ciudad de Buenos Aires emite la licencia de conducir y tiene su propia base. Entonces cada uno tiene su base, sin intercomunicar, y eso duplica el esfuerzo a la hora de la disponibilidad de datos", añadió.
Voz oficial
A fin de conocer en qué estado se encuentran los planes de identificación electrónica a nivel gubernamental, iProfesional.com dialogó con Mariano Ramírez, director general de Gestión Informática del Ministerio del Interior, quien sostuvo que "en este momento estamos orientados a mejorar los sistemas de documentación y gestión".
"La preocupación pasa por cambiar el modo en que se realizan los trámites; por modernizar lo que todavía se hace de manera manual. Tenemos el objetivo de concretar una base de datos única, pero lo cierto es que todavía muchas cosas se hacen en papel", comentó.
"Primero necesitamos contar con una base sólida de datos, concretar la digitalización de los datos, volver electrónicos muchos procesos... Nos falta desarrollar la plataforma tecnológica que nos coloque en ese camino", reconoció.
El funcionario ratificó la licitación obtenida por NEC el año pasado –que finalmente no fue anulada–, y explicó que la misma comprendió la provisión de equipamiento de hardware y software para la implementación de AFIS, un sistema que permite la identificación automática de huellas dactilares.
"Tenemos el sistema, pero todavía no lo pudimos utilizar. No cumplimos con la fase previa de reordenar los procesos y la documentación. Cuando contemos con la plataforma, recién ahí podremos usar el aparato, que en este momento está vacío", dijo.
Reconocimiento
Ramírez sostuvo que en el cronograma de metas "está establecido poner en marcha el sistema AFIS en el corto plazo" "El plan consiste en comenzar la recolección de huellas, aunque eso se haría de manera paulatina y por demanda", explicó.
También en breve la dependencia que encabeza el funcionario pondrá en marcha una serie de centros digitales para la recopilación de datos, los que tendrán como principal finalidad impulsar la informatización de todos los trámites que los ciudadanos realizan, normalmente, en dependencias estatales.
"Para ello estamos trabajando con personal propio y profesionales de la Universidad Tecnológica Nacional (UTN). Los centros serán alrededor de 25, y estarán ubicados en Capital Federal, algunas localidades de la provincia de Buenos Aires, y el resto de las principales ciudades del interior del país", aseveró Ramírez.
¿Eso nos acerca más al demorado DNI electrónico? "Si logramos hacer eficiente la plataforma de trámites en la que estamos trabajando, podemos decir que habremos plantado la primera semilla", comentó.
Y añadió: "Luego de eso, habrá que trabajar en la expansión de la firma digital y la posibilidad de insertar todos los datos de autenticación de una persona en un dispositivo. A partir de ahí se podrá plantear al DNI electrónico como una posibilidad concreta".
Procesos y costos
Con relación a los tiempos que demoraría una implementación de DNI electrónico en la escena nacional, y siempre con Europa como modelo a seguir, Adrián Giormenti comentó que "uno o dos años de pruebas piloto sería lo aconsejable".
Entre los usos más comunes del recurso el ejecutivo mencionó "las actividades de comercio electrónico, las transacciones bancarias por Internet, el pago electrónico y los trámites con los organismos estatales".
En cuando a los tiempos inherentes al reemplazo del documento tradicional por una solución digital, Giormenti dijo que "se trata de un proceso gradual".
"El paso se va dando de manera paulatina. Nunca se ve un cambio abrupto del DNI, y por citar un caso España comenzó a emitir el documento hace apenas dos años. Y hoy ya superaron los 5 millones de DNI emitidos", expresó.
¿Es costosa la migración de un documento a otro para el ciudadano común? "Por lo general, y como pasa en Europa, el DNI es subsidiado. Tiene un determinado precio al público bajo, a diferencia de lo que sucede con el pasaporte", sostuvo.
"Un DNI electrónico no puede ser demasiado caro en tanto estás obligando al ciudadano a tenerlo. Y sólo se requiere de un chip capaz de almacenar todos los datos e información que el usuario debe tener disponible para cualquier proceso", concluyó.
Puntos Importantes
* El consorcio Stork, integrado por 14 países de Europa, promoverá una implementación masiva del DNI electrónico a fin de profundizar la utilización de Internet para intercambios comerciales y el concepto de gobierno electrónico.
* Durante el 2007, en tiempos de Néstor Kirchner al frente del Ejecutivo, el Ministerio del Interior dio el primer paso hacia el DNI electrónico: llamó a licitación para la implementación de una base única de datos digitalizada.
* El Ministerio del Interior pondrá en marcha, en breve, una serie de centros digitales para la recopilación de datos, los que tendrán como principal finalidad impulsar la informatización de todos los trámites que los ciudadanos realizan, normalmente, en dependencias estatales.
Patricio Eleisegui
© iProfesional.com
Fuente:
http://www.infobaeprofesional.com/notas/70849-El-DNI-electronico-gana-presencia-en-el-mundo-y-se-acerca-a-la-Argentina.html
Aunque a menor ritmo de lo que sucede en los principales países del mundo, la Argentina está dando sus primeros pasos en pos de implementar sistemas que, diseñados para asegurar la identidad de las personas, promuevan actividades remotas y fomenten prácticas sociales y económicas amparadas en un soporte electrónico.
Esta semana se conoció que el consorcio Stork, integrado por 14 países de Europa, promoverá una implementación masiva del DNI electrónico a fin de profundizar la utilización de Internet para intercambios comerciales y el concepto de gobierno electrónico en el Viejo Continente.
El consorcio tiene prevista una serie de pruebas que se extenderán durante tres años, período en el cual buscará garantizar la aceptación de los DNI en servicios de administración electrónica instalados en España, Bélgica, Estonia, Francia, Alemania, Italia, Austria, Luxemburgo, Países Bajos, Suecia, Portugal, Eslovenia, Reino Unido, e Islandia.
La iniciativa partirá de examinar cada uno de los desarrollos en materia de identificación electrónica más utilizados para, en el mediano plazo, acordar criterios comunes de desempeño y dispositivos que garanticen la validez de los documentos en cualquiera de las naciones que conforman el Stork.
Pero ¿qué sucede con una propuesta de este tipo pero ya en el plano local? Por el momento, los intentos no han superado la etapa de pruebas. Durante el 2007, en tiempos de Néstor Kirchner al frente del Ejecutivo, el Ministerio del Interior dio el primer paso hacia el DNI electrónico: llamó a licitación para la implementación de una base única de datos digitalizada.
"El año pasado se estuvo trabajando en un proyecto, que en realidad nunca pasó de la especificación, el cual tenía que ver con todo lo necesario, desde el punto de vista tecnológico, para identificar a los ciudadanos", explicó, a iProfesional.com, Martín Codini, director del área de Desarrollo de Negocios de Indra, la firma que desarrolló el DNI en España.
"Esto tiene que ver con los datos alfanuméricos de una persona, más todo lo que tiene que ver con la biometría. O sea, las características que identifican de manera unívoca a las personas", agregó.
Por su parte, Ricardo Caputo, gerente comercial de la misma empresa, sostuvo que el DNI electrónico "iba a ser una salida de la base única de identificación, una de las tantas en realidad, y que luego tranquilamente podía ser aplicada a los padrones electorales, entre otros usos".
Intento
Lo cierto es que, más allá de ese primer intento, la iniciativa poco a poco fue perdiendo fuerza. Al respecto, Adrián Giormenti, ejecutivo de la firma de desarrollo de soluciones para gobierno electrónico Giesecke & Devrient Group (GyD), señaló que "la intención de crear una base de datos electrónica salió a licitación, y fue ganada por la compañía NEC, pero después quedó demorada".
La posterior impugnación que llevaron a cabo las empresas que no se vieron beneficiadas habría sido el principal motivo por el cual, según parece, el proceso no siguió adelante. Y obligó al Ministerio del Interior a llamar a una nueva licitación, instancia que –ya con Cristina Fernández como presidenta– situaciones como el prolongado lockout agrario culminaron por frenar nuevamente.
"A finales del año pasado el ministerio, oficialmente, dio a entender que se tenía que llamar a una nueva licitación. Pero evidentemente el proyecto fue perdiendo protagonismo en la agenda por diversas cuestiones", dijo Giormenti.
Consultado sobre la situación actual en cuanto al manejo de bases de datos, el ejecutivo explicó que "hoy existe una gran cantidad de información que opera como compartimentos estancos".
"La policía tiene su base, la Ciudad de Buenos Aires emite la licencia de conducir y tiene su propia base. Entonces cada uno tiene su base, sin intercomunicar, y eso duplica el esfuerzo a la hora de la disponibilidad de datos", añadió.
Voz oficial
A fin de conocer en qué estado se encuentran los planes de identificación electrónica a nivel gubernamental, iProfesional.com dialogó con Mariano Ramírez, director general de Gestión Informática del Ministerio del Interior, quien sostuvo que "en este momento estamos orientados a mejorar los sistemas de documentación y gestión".
"La preocupación pasa por cambiar el modo en que se realizan los trámites; por modernizar lo que todavía se hace de manera manual. Tenemos el objetivo de concretar una base de datos única, pero lo cierto es que todavía muchas cosas se hacen en papel", comentó.
"Primero necesitamos contar con una base sólida de datos, concretar la digitalización de los datos, volver electrónicos muchos procesos... Nos falta desarrollar la plataforma tecnológica que nos coloque en ese camino", reconoció.
El funcionario ratificó la licitación obtenida por NEC el año pasado –que finalmente no fue anulada–, y explicó que la misma comprendió la provisión de equipamiento de hardware y software para la implementación de AFIS, un sistema que permite la identificación automática de huellas dactilares.
"Tenemos el sistema, pero todavía no lo pudimos utilizar. No cumplimos con la fase previa de reordenar los procesos y la documentación. Cuando contemos con la plataforma, recién ahí podremos usar el aparato, que en este momento está vacío", dijo.
Reconocimiento
Ramírez sostuvo que en el cronograma de metas "está establecido poner en marcha el sistema AFIS en el corto plazo" "El plan consiste en comenzar la recolección de huellas, aunque eso se haría de manera paulatina y por demanda", explicó.
También en breve la dependencia que encabeza el funcionario pondrá en marcha una serie de centros digitales para la recopilación de datos, los que tendrán como principal finalidad impulsar la informatización de todos los trámites que los ciudadanos realizan, normalmente, en dependencias estatales.
"Para ello estamos trabajando con personal propio y profesionales de la Universidad Tecnológica Nacional (UTN). Los centros serán alrededor de 25, y estarán ubicados en Capital Federal, algunas localidades de la provincia de Buenos Aires, y el resto de las principales ciudades del interior del país", aseveró Ramírez.
¿Eso nos acerca más al demorado DNI electrónico? "Si logramos hacer eficiente la plataforma de trámites en la que estamos trabajando, podemos decir que habremos plantado la primera semilla", comentó.
Y añadió: "Luego de eso, habrá que trabajar en la expansión de la firma digital y la posibilidad de insertar todos los datos de autenticación de una persona en un dispositivo. A partir de ahí se podrá plantear al DNI electrónico como una posibilidad concreta".
Procesos y costos
Con relación a los tiempos que demoraría una implementación de DNI electrónico en la escena nacional, y siempre con Europa como modelo a seguir, Adrián Giormenti comentó que "uno o dos años de pruebas piloto sería lo aconsejable".
Entre los usos más comunes del recurso el ejecutivo mencionó "las actividades de comercio electrónico, las transacciones bancarias por Internet, el pago electrónico y los trámites con los organismos estatales".
En cuando a los tiempos inherentes al reemplazo del documento tradicional por una solución digital, Giormenti dijo que "se trata de un proceso gradual".
"El paso se va dando de manera paulatina. Nunca se ve un cambio abrupto del DNI, y por citar un caso España comenzó a emitir el documento hace apenas dos años. Y hoy ya superaron los 5 millones de DNI emitidos", expresó.
¿Es costosa la migración de un documento a otro para el ciudadano común? "Por lo general, y como pasa en Europa, el DNI es subsidiado. Tiene un determinado precio al público bajo, a diferencia de lo que sucede con el pasaporte", sostuvo.
"Un DNI electrónico no puede ser demasiado caro en tanto estás obligando al ciudadano a tenerlo. Y sólo se requiere de un chip capaz de almacenar todos los datos e información que el usuario debe tener disponible para cualquier proceso", concluyó.
Puntos Importantes
* El consorcio Stork, integrado por 14 países de Europa, promoverá una implementación masiva del DNI electrónico a fin de profundizar la utilización de Internet para intercambios comerciales y el concepto de gobierno electrónico.
* Durante el 2007, en tiempos de Néstor Kirchner al frente del Ejecutivo, el Ministerio del Interior dio el primer paso hacia el DNI electrónico: llamó a licitación para la implementación de una base única de datos digitalizada.
* El Ministerio del Interior pondrá en marcha, en breve, una serie de centros digitales para la recopilación de datos, los que tendrán como principal finalidad impulsar la informatización de todos los trámites que los ciudadanos realizan, normalmente, en dependencias estatales.
Patricio Eleisegui
© iProfesional.com
Fuente:
http://www.infobaeprofesional.com/notas/70849-El-DNI-electronico-gana-presencia-en-el-mundo-y-se-acerca-a-la-Argentina.html
Video "Escritorio Limpio"
El siguiente video fue realizado por alumnos del IUPFA (Instituto Universitario de la Policía Federal Argentina) de la carrera Licenciatura en Seguridad.
El equipo de trabajo se conformó por: Gonzalo Martinez, Leandro Dikenstein, Aurelio Fernández y Mariano Fenocchio. Profesores tutores: Ing. Oscar Schmitz y Lic. Marcelo Vallaud. Soporte técnico: Marcelo Martinez. Referencia contenidos: CXO Community.
En este trabajo muy bien logrado, observaremos el descuido y falta de protección sobre información confidencial y recursos informáticos, especialmente vinculados a la política de escritorios limpios, la cual hace referencia a almacenar papeles, CDs, DVDs y todo activo confidencial bajo condiciones de seguridad adecuadas, como ser armarios o cajones con llave, con el objetivo de preservar su confidencialidad e integridad.
Fuente: http://cxo-community.com.ar/index.php?option=com_content&task=view&id=1025&Itemid=1
El equipo de trabajo se conformó por: Gonzalo Martinez, Leandro Dikenstein, Aurelio Fernández y Mariano Fenocchio. Profesores tutores: Ing. Oscar Schmitz y Lic. Marcelo Vallaud. Soporte técnico: Marcelo Martinez. Referencia contenidos: CXO Community.
En este trabajo muy bien logrado, observaremos el descuido y falta de protección sobre información confidencial y recursos informáticos, especialmente vinculados a la política de escritorios limpios, la cual hace referencia a almacenar papeles, CDs, DVDs y todo activo confidencial bajo condiciones de seguridad adecuadas, como ser armarios o cajones con llave, con el objetivo de preservar su confidencialidad e integridad.
Fuente: http://cxo-community.com.ar/index.php?option=com_content&task=view&id=1025&Itemid=1
Herramientas para el entrenamiento y simulación de phishing segmentado
Repasando los feeds me he topado con un artículo de Xavi, en el que se habla de ataques phishing personalizados desde una perspectiva que, sin duda alguna, no es la tradicional.
Los ataques de este tipo, a los que yo prefiero llamar segmentados, como consecuencia del paralelismo más que evidente que existe entre la segmentación en marketing tradicional y los mecanismos para orientar los ataques de intento de robo de credenciales que comentamos, son responsables, según iDefense Labs, de al menos 15.000 ataques específicos contra víctimas corporativas en los últimos 15 meses. No es una cifra para tirarse de los pelos, al menos si contemplamos la tipología y montos derivados de la amalgama completa de fraudes que puede sufrir una organización, pero sí es una cifra que puede invitar a contemplar estrategias de mitigación.
Esta necesidad de promover técnicas de entrenamiento y concienciación provoca que con el paso del tiempo hayan aparecido herramientas que permiten gestionar y medir el grado de respuesta de una organización y sus integrantes ante ataques spear phishing, o de phishing segmentado. Primero fue PhishMe, una herramienta comercial dirigida al entrenamiento en este tipo de ataques, y ahora, muy recientemente, se ha anunciado la próxima liberación de Lunker, una herramienta con la misma finalidad, en formato de código abierto, que estará disponible para ser descargada y utilizada sin coste alguno.
Las herramientas de seguridad gozan de una peligrosa dualidad sobre la cual existe un eterno debate. Empleando el símil del cuchillo, podemos usarlo para cortar en rodajas un tomate, pero también podemos asestar una puñalada con él. En el caso de las herramientas de seguridad pasa exactamente igual, y el carácter imprimido al uso dependerá de quién las emplee y con qué finalidad. A buen seguro, la disponibilidad masiva de Lunker provocará que algunos usuarios, tentados con la idea de hacer dinero fácil, la usen para ejecutar ataques, aunque como es normal, existirán muchos usuarios que la emplearán para prevenir los incidentes dándole un uso adecuado.
En este debate, yo me posiciono en la parte que defiende la necesidad de que existan herramientas, aún con el riesgo de que pongan al alcance de los usuarios malintencionados medios para perpetrar un fraude. Si una organización ha utilizado una herramienta y se ha preparado y entrenado para mitigar el riesgo de fraude por robo de credenciales, no debería ser preocupante que un usuario malicioso emplee esa u otras herramientas para tratar de ejecutar un ataque. En caso de existir un buen entrenamiento y una correcta estrategia, los impactos deberían ser mínimos, ya que, al menos en mi juicio, el éxito de un ataque de phishing depende más del grado de conocimiento y la concienciación de las víctimas que de la calidad del mismo. Estoy firmemente convencido, y la experiencia así me lo ha demostrado, que el phishing, tradicional o vía troyanos, a través del conocimiento, la prudencia y la contemplación de unas medidas mínimas medidas de seguridad, no sólo puede ser mitigado, sino que puede anulado por completo. Por otro lado, los ataques siempre pueden ser lanzados sin la existencia de herramientas, cuyo riesgo potencial principal no es la ejecución en sí de las acciones maliciosas, sino, en todo caso, la facilitación de las mismas, y siempre dependiendo del caso.
Se prevé que Lunker se presente el mes que viene en la conferencia OWASP, y formará parte de la próxima versión de OWASP LiveCD. Los autores de Lunker han anunciado que estará igualmente disponible como herramienta standalone.
Fuente:http://www.sahw.com/wp/archivos/2008/08/22/herramientas-para-el-entrenamiento-y-simulacion-de-phishing-segmentado-armas-de-doble-filo/
Dropping en el uso ilegítimo de medios de pago
Publican en F-Secure un interesante artículo donde se puede aprender un poco más cómo funciona la maquinaria underground de los atacantes a la hora de blanquear capitales y/o efectuar compras ilegítimas mediante medios de pago (tarjetas en este caso) robados fraudulentamente.
Un ejemplo de lo anterior es lo que en la jerga de los delitos tecnológicos se conoce como drops. En resumen, un drop es una técnica mediante la cual los atacantes hacen reasignaciones de direcciones de envío para impedir o dificultar la trazabilidad de las compras ilegítimas, y de paso involucrar a terceros en los procesos de blanqueo y/o adquisición en línea ilegítima de bienes. El atacante compra, consigna como dirección de envío la de un tercero, y este tercero hace llegar el bien al atacante. Otra modalidad de drop consiste en el envío de los bienes a terceros, que venderán en línea el producto, y que reembolsarán al atacante con parte de los beneficios obtenidos en la venta, reteniendo el tercero una comisión. Las combinatorias son múltiples.
Esta técnica funciona particularmente bien por varios motivos:
* A los ojos del comercio online donde ha sido usada la tarjeta robada, el envío es local o bien a países confiables. Caso de existir controles antifraude basados en la confiabilidad del lugar de envío, la dirección de envío será poco sospechosa, y por tanto, a priori, no existirán indicios de blanqueo o uso ilegítimo de medios de pago. Los controles antifraude de geolicalización se pueden burlar fácilmente empleando proxies coincidentes con el país o localidad seleccionada para efectuar el drop. Construir una petición de compra que no levante sospechas es, por tanto, relativamente sencillo, sobre todo teniendo en cuenta que los comercios con controles antifraude como los descritos son los que menos abundan, siendo algo propio de grandes servicios de venta, y no de pequeñas tiendas en línea.
* A los ojos de los atacantes, el drop hace que se involucre a terceros en la trazabilidad. El comercio no factura al atacante, sino que lo hace al tercero. En términos legales, el atacante introduce e involucra a un tercero en la operación de blanqueo o uso ilegítimo, lo que hará que las responsabilidades del uso ilegítimo no sean únicamente imputables a los estafadores, sino también a los terceros. Por otro lado, el carácter local del drop hace que en caso de investigación, los esfuerzos vayan dirigidos a resolver la parte local (la del tercero involucrado), ya que normalmente, como consecuencia de la heterogeneidad de la legislación, las Fuerzas de Seguridad tienen trabas para resolver la trazabilidad interpaís, muy costosas en algunos casos y que además, no tienen garantías de éxito.
* A los ojos del tercero, el drop implica dinero fácil. Generalmente un 25% de comisión, pagadero mediante WU (Western Union), WMZ (Webmoney), E-gold y similares, y al que se une la falsa creencia de que, como el sólo es un intermediario, no tiene que ver en el robo de datos de tarjeta, y en caso de problemas, estará exento de la responsabilidad que derive del uso ilegítimo de los datos.
Consejos para evitar ser parte de una operación ilegítima de este tipo
El consejo es único, y es el de siempre: huír del dinero fácil, y recelar de cualquier oferta de empleo que nos provoque sospechas. El riesgo de ser partícipe en una trama de blanqueo, estafa o en general, una operativa ilegal, es máximo y dado que el desconocimiento de la Ley no te exime de ella, a buen seguro serás imputado en caso de la apertura de un proceso judicial. No caigas en la falsa creencia de "como yo no he sido el que ha comprado ni robado la tarjeta, no me dirán nada". Esta falsa creencia es la que alimenta que existan tramas como la descrita.
Fuente:
http://www.sahw.com/wp/archivos/2008/08/18/tecnicas-de-fraude-tecnologico-dropping-en-el-uso-ilegitimo-de-medios-de-pago/
Un ejemplo de lo anterior es lo que en la jerga de los delitos tecnológicos se conoce como drops. En resumen, un drop es una técnica mediante la cual los atacantes hacen reasignaciones de direcciones de envío para impedir o dificultar la trazabilidad de las compras ilegítimas, y de paso involucrar a terceros en los procesos de blanqueo y/o adquisición en línea ilegítima de bienes. El atacante compra, consigna como dirección de envío la de un tercero, y este tercero hace llegar el bien al atacante. Otra modalidad de drop consiste en el envío de los bienes a terceros, que venderán en línea el producto, y que reembolsarán al atacante con parte de los beneficios obtenidos en la venta, reteniendo el tercero una comisión. Las combinatorias son múltiples.
Esta técnica funciona particularmente bien por varios motivos:
* A los ojos del comercio online donde ha sido usada la tarjeta robada, el envío es local o bien a países confiables. Caso de existir controles antifraude basados en la confiabilidad del lugar de envío, la dirección de envío será poco sospechosa, y por tanto, a priori, no existirán indicios de blanqueo o uso ilegítimo de medios de pago. Los controles antifraude de geolicalización se pueden burlar fácilmente empleando proxies coincidentes con el país o localidad seleccionada para efectuar el drop. Construir una petición de compra que no levante sospechas es, por tanto, relativamente sencillo, sobre todo teniendo en cuenta que los comercios con controles antifraude como los descritos son los que menos abundan, siendo algo propio de grandes servicios de venta, y no de pequeñas tiendas en línea.
* A los ojos de los atacantes, el drop hace que se involucre a terceros en la trazabilidad. El comercio no factura al atacante, sino que lo hace al tercero. En términos legales, el atacante introduce e involucra a un tercero en la operación de blanqueo o uso ilegítimo, lo que hará que las responsabilidades del uso ilegítimo no sean únicamente imputables a los estafadores, sino también a los terceros. Por otro lado, el carácter local del drop hace que en caso de investigación, los esfuerzos vayan dirigidos a resolver la parte local (la del tercero involucrado), ya que normalmente, como consecuencia de la heterogeneidad de la legislación, las Fuerzas de Seguridad tienen trabas para resolver la trazabilidad interpaís, muy costosas en algunos casos y que además, no tienen garantías de éxito.
* A los ojos del tercero, el drop implica dinero fácil. Generalmente un 25% de comisión, pagadero mediante WU (Western Union), WMZ (Webmoney), E-gold y similares, y al que se une la falsa creencia de que, como el sólo es un intermediario, no tiene que ver en el robo de datos de tarjeta, y en caso de problemas, estará exento de la responsabilidad que derive del uso ilegítimo de los datos.
Consejos para evitar ser parte de una operación ilegítima de este tipo
El consejo es único, y es el de siempre: huír del dinero fácil, y recelar de cualquier oferta de empleo que nos provoque sospechas. El riesgo de ser partícipe en una trama de blanqueo, estafa o en general, una operativa ilegal, es máximo y dado que el desconocimiento de la Ley no te exime de ella, a buen seguro serás imputado en caso de la apertura de un proceso judicial. No caigas en la falsa creencia de "como yo no he sido el que ha comprado ni robado la tarjeta, no me dirán nada". Esta falsa creencia es la que alimenta que existan tramas como la descrita.
Fuente:
http://www.sahw.com/wp/archivos/2008/08/18/tecnicas-de-fraude-tecnologico-dropping-en-el-uso-ilegitimo-de-medios-de-pago/
Comprometidos servidores de Fedora y Red Hat
Red Hat acaba de confirmar que varios de sus servidores resultaron comprometidos por un atacante la semana pasada. El intruso logró firmar varios paquetes de OpenSSH para diversas versiones de Red Hat Entreprise Linux. Los paquetes afectados ya han sido sustituidos, pero Red Hat provee a sus usuarios de un script para permitirles comprobar si disponen de una versión comprometida. La empresa sin embargo insiste en que quienes actualizan sus sistemas vía Red Hat Network no tienen en ningún caso de qué preocuparse.
En el caso de Fedora, uno de los servidores comprometidos (hospedados por Red Hat Inc) ha sido el que contenía la clave utilizada para firmar sus paquetes. Aunque el análisis forense del equipo ha demostrado que el intruso no pudo hacerse con la contraseña necesaria para desbloquear la clave de firma, en Fedora han procedido a sustituir la clave como medida de precaución. Fedora asegura que ningún paquete fue manipulado, pero aún así está procediendo a firmarlos con la nueva clave.
No es la primera vez que resultan comprometidos servidores de distribuciones Linux. Hace ahora justo un año, tanto Gentoo como Ubuntu sufrieron incidencias embarazosas similares...
Fuentes:
http://www.kriptopolis.org/comprometidos-servidores-fedora-redhat
http://rhn.redhat.com/errata/RHSA-2008-0855.html
http://www.redhat.com/security/data/openssh-blacklist.html
http://www.kriptopolis.org/comprometidos-servidores-fedora-redhat
En el caso de Fedora, uno de los servidores comprometidos (hospedados por Red Hat Inc) ha sido el que contenía la clave utilizada para firmar sus paquetes. Aunque el análisis forense del equipo ha demostrado que el intruso no pudo hacerse con la contraseña necesaria para desbloquear la clave de firma, en Fedora han procedido a sustituir la clave como medida de precaución. Fedora asegura que ningún paquete fue manipulado, pero aún así está procediendo a firmarlos con la nueva clave.
No es la primera vez que resultan comprometidos servidores de distribuciones Linux. Hace ahora justo un año, tanto Gentoo como Ubuntu sufrieron incidencias embarazosas similares...
Fuentes:
http://www.kriptopolis.org/comprometidos-servidores-fedora-redhat
http://rhn.redhat.com/errata/RHSA-2008-0855.html
http://www.redhat.com/security/data/openssh-blacklist.html
http://www.kriptopolis.org/comprometidos-servidores-fedora-redhat
Roban informe que pone en duda edades de gimnastas Chinas
Un hacker publicó documentos del gobierno chino donde se muestra que dos medallistas de ese país en las barras asimétricas durante las olimpiadas de Beijing tendrían menos edad de la requerida para participar en las olimpiadas.
Este informa publicado por el Hacker identificado como Stryde.hax provocó que el Comité Olímpico Internacional solicite a la Federación Internacional de Gimnasia registros sobre la edad de las competidoras.
"Stryde.hax" publicó una supuesta lista con nombres, ciudades de origen y fechas de nacimiento de cientos de gimnastas chinas. El documento, titulado "Tabla de Registro Nacional de Gimnasia del 2006" está fechado el 20 de febrero del 20006 e incluye a dos miembros del equipo femenino de gimnasia chino.
He Kexin, ganadora del oro olímpico en barras asimétricas, y Yang Yilin, medallista de bronce en la misma prueba, tendrían 14 años según ese registro, mientras que para competir en las olimpiadas es necesario cumplir 16 el mismo año de los Juegos. Tang venció a su vez en la competencia individual y ambas fueron parte de el equipo chino que ganó la presea dorada por equipos.
Fuente:
http://mouse.tercera.cl/detail.asp?story=2008/08/22/18/37/06
http://strydehax.blogspot.com/2008/08/hack-olympics.html
http://strydehax.blogspot.com/2008/08/olympic-hacking-part-ii-lets-go-for.html
Este informa publicado por el Hacker identificado como Stryde.hax provocó que el Comité Olímpico Internacional solicite a la Federación Internacional de Gimnasia registros sobre la edad de las competidoras.
"Stryde.hax" publicó una supuesta lista con nombres, ciudades de origen y fechas de nacimiento de cientos de gimnastas chinas. El documento, titulado "Tabla de Registro Nacional de Gimnasia del 2006" está fechado el 20 de febrero del 20006 e incluye a dos miembros del equipo femenino de gimnasia chino.
He Kexin, ganadora del oro olímpico en barras asimétricas, y Yang Yilin, medallista de bronce en la misma prueba, tendrían 14 años según ese registro, mientras que para competir en las olimpiadas es necesario cumplir 16 el mismo año de los Juegos. Tang venció a su vez en la competencia individual y ambas fueron parte de el equipo chino que ganó la presea dorada por equipos.
Fuente:
http://mouse.tercera.cl/detail.asp?story=2008/08/22/18/37/06
http://strydehax.blogspot.com/2008/08/hack-olympics.html
http://strydehax.blogspot.com/2008/08/olympic-hacking-part-ii-lets-go-for.html
Presentaciones de Black Hat Las Vegas 2008
Ya se encuentran disponibles las presentaciones de Black Hat Las Vegas 2008.
Que las disfruten.
Cristian
Que las disfruten.
Cristian
Reino Unido pierde los datos personales de miles de delincuentes
El dispositivo informático extraviado contiene información de 10.000 delincuentes reincidentes y de 84.000 presos internados en las cárceles de Inglaterra y Gales.
Un dispositivo informático con datos personales de 10.000 delincuentes reincidentes y de 84.000 presos internados en las cárceles de Inglaterra y Gales se ha extraviado en Reino Unido, en un nuevo caso de pérdida de documentos confidenciales, según ha confirmado el Ministerio del Interior británico. El dispositivo de memoria extraíble, de la empresa PA Consulting, guarda también datos de la Computadora Nacional de la Policía acerca de 30.000 personas condenadas por diversos delitos seis o más veces en este país durante el último año.
Una portavoz de Interior ya ha asegurado que se ha abierto una "investigación rigurosa" sobre el suceso y que se ha alertado a la Policía. Por su parte, la oposición conservadora ha criticado duramente al Gobierno porque no es el primer incidente de pérdida de información de este tipo que ocurre este año.
El portavoz de Interior del Partido Conservador, Dominic Grieve, ha señalado que "lo más escandaloso es que no es la primera vez que el Gobierno demuestra ser completamente incapaz de proteger la integridad de información altamente sensible, lo que le incapacita para encomendarle la protección de nuestra seguridad".
A finales de 2007, se perdieron los nombres y números de cuentas bancarias de 25 millones de personas beneficiarias de un subsidio infantil, contenidos en dos discos, así como los datos de más de 7.600 conductores de Irlanda del Norte y de tres millones de datos de estudiantes de conducción en EE UU.
El Ministerio de Defensa del Reino Unido, por su parte, admitió el pasado mes el robo o el extravío de 747 ordenadores portátiles que guardaban información de ese departamento durante los últimos cuatro años. Además, el Gobierno británico perdió en junio pasado documentos confidenciales en varios trenes de cercanías, algunos de ellos con datos sobre la red terrorista Al Qaeda y sobre Irak.
Fuente:
http://www.elpais.com/articulo/internacional/Reino/Unido/pierde/datos/personales/miles/delincuentes/elpepuint/20080822elpepuint_2/Tes
Un dispositivo informático con datos personales de 10.000 delincuentes reincidentes y de 84.000 presos internados en las cárceles de Inglaterra y Gales se ha extraviado en Reino Unido, en un nuevo caso de pérdida de documentos confidenciales, según ha confirmado el Ministerio del Interior británico. El dispositivo de memoria extraíble, de la empresa PA Consulting, guarda también datos de la Computadora Nacional de la Policía acerca de 30.000 personas condenadas por diversos delitos seis o más veces en este país durante el último año.
Una portavoz de Interior ya ha asegurado que se ha abierto una "investigación rigurosa" sobre el suceso y que se ha alertado a la Policía. Por su parte, la oposición conservadora ha criticado duramente al Gobierno porque no es el primer incidente de pérdida de información de este tipo que ocurre este año.
El portavoz de Interior del Partido Conservador, Dominic Grieve, ha señalado que "lo más escandaloso es que no es la primera vez que el Gobierno demuestra ser completamente incapaz de proteger la integridad de información altamente sensible, lo que le incapacita para encomendarle la protección de nuestra seguridad".
A finales de 2007, se perdieron los nombres y números de cuentas bancarias de 25 millones de personas beneficiarias de un subsidio infantil, contenidos en dos discos, así como los datos de más de 7.600 conductores de Irlanda del Norte y de tres millones de datos de estudiantes de conducción en EE UU.
El Ministerio de Defensa del Reino Unido, por su parte, admitió el pasado mes el robo o el extravío de 747 ordenadores portátiles que guardaban información de ese departamento durante los últimos cuatro años. Además, el Gobierno británico perdió en junio pasado documentos confidenciales en varios trenes de cercanías, algunos de ellos con datos sobre la red terrorista Al Qaeda y sobre Irak.
Fuente:
http://www.elpais.com/articulo/internacional/Reino/Unido/pierde/datos/personales/miles/delincuentes/elpepuint/20080822elpepuint_2/Tes
martes, 12 de agosto de 2008
Los crackers golpean los principales sitios Web de Georgia
Mientras las bombas rusas caen sobre los pueblos separatistas de la antigua república soviética de Georgia, los “mercenarios” digitales se dedican a asaltar las principales páginas web del país, dejando fuera de línea al sitio del Gobierno o al de Asuntos Exteriores de Georgia.
Según el seguimiento hecho por los expertos de seguridad, el sitio Web del Ministerio de Asuntos Exteriores de Georgia (mfa.gov.ge) fue atacado ayer y su página web sustituida con imágenes que comparaban al presidente de Georgia con un nazi. El sitio está en estos momentos caído de la red.
Otras páginas web georgianas, como la Caucasus Network Tbilisi (los servidores de Internet comerciales más importantes de Georgia) siguen siendo objeto de miles de ataques desde PCs infectados que están inundando la red de tal modo que casi resulta imposible acceder a ella.
Los ataques, en apariencia coordinados, mantienen el patrón de guerra cibernética que se viene manteniendo con otras ex – repúblicas soviéticas que han atraído la indignación del gobierno ruso por distintos motivos. El mes pasado, hubo un asalto similar contra el gobierno lituano. En abril de 2007, Estonia sufrió interrupciones en su infraestructura de información por los ataques de crackers rusos que se mostraban contrarios a la retirada de la estatua que conmemoraba la Segunda Guerra Mundial Soviética en el centro de Tallin, capital de Estonia.
Fuente:
http://www.theinquirer.es/2008/08/11/los-crackers-golpean-los-principales-sitios-web-de-georgia.html
http://voices.washingtonpost.com/securityfix/2008/08/georgian_web_sites_under_attac.html?nav=rss_blog
Según el seguimiento hecho por los expertos de seguridad, el sitio Web del Ministerio de Asuntos Exteriores de Georgia (mfa.gov.ge) fue atacado ayer y su página web sustituida con imágenes que comparaban al presidente de Georgia con un nazi. El sitio está en estos momentos caído de la red.
Otras páginas web georgianas, como la Caucasus Network Tbilisi (los servidores de Internet comerciales más importantes de Georgia) siguen siendo objeto de miles de ataques desde PCs infectados que están inundando la red de tal modo que casi resulta imposible acceder a ella.
Los ataques, en apariencia coordinados, mantienen el patrón de guerra cibernética que se viene manteniendo con otras ex – repúblicas soviéticas que han atraído la indignación del gobierno ruso por distintos motivos. El mes pasado, hubo un asalto similar contra el gobierno lituano. En abril de 2007, Estonia sufrió interrupciones en su infraestructura de información por los ataques de crackers rusos que se mostraban contrarios a la retirada de la estatua que conmemoraba la Segunda Guerra Mundial Soviética en el centro de Tallin, capital de Estonia.
Fuente:
http://www.theinquirer.es/2008/08/11/los-crackers-golpean-los-principales-sitios-web-de-georgia.html
http://voices.washingtonpost.com/securityfix/2008/08/georgian_web_sites_under_attac.html?nav=rss_blog
La seguridad de Vista ¿inútil?
Dos expertos en seguridad han logrado superar las barreras de seguridad impuestas en el último sistema operativo de Microsoft, y han convertido en un juego de niños poder cargar cualquier contenido en el ordenador de la víctima. Los métodos de prevención de intrusiones tales como las tecnologías ASLR o DEP, así como los controles ActiveX y los programas en código .NET o Java quedan totalmente en ridículo ante estos ataques.
Mark Dowd de IBM Internet Security Systems (ISS) y Alexander Sotirov de VMware Inc. ofrecieron una conferencia en el famoso evento de seguridad Black Hat en el que desvelaron nuevos métodos para superar los mecanismos de seguridad impuestos en el último sistema operativo de Microsoft, Windows Vista. Gracias a dicha técnica es posible hacer que tecnologías como Data Execution Prevention (DEP) o Address Space Layout Randomization (ASLR) sean totalmente inútiles, al igual que los basados en controles ActiveX o programas en Java y .NET.
Seguir leyendo
Mark Dowd de IBM Internet Security Systems (ISS) y Alexander Sotirov de VMware Inc. ofrecieron una conferencia en el famoso evento de seguridad Black Hat en el que desvelaron nuevos métodos para superar los mecanismos de seguridad impuestos en el último sistema operativo de Microsoft, Windows Vista. Gracias a dicha técnica es posible hacer que tecnologías como Data Execution Prevention (DEP) o Address Space Layout Randomization (ASLR) sean totalmente inútiles, al igual que los basados en controles ActiveX o programas en Java y .NET.
Seguir leyendo
Google Gadgets es un coladero para los ataques
Los expertos reunidos en Black Hat creen que los usuarios de Google y sobre todo Gmail son más vulnerables a los ataques a través del “agujero” de Google Gadgets.
“El atacante puede instalar Google Gadgets; puede leer el historial de la víctima después de instalar un gadget malicioso en ciertas circunstancias; puede atacar a otros Google Gadgets; robar los nombres de usuario y contraseñas y mucho más”, explicó Robert Hansen, también conocido como RSnake, fundador de la consultora de seguridad SecTheory, y continuó: “de verdad que no hay límite cuando el navegador es controlado por el atacante. Y este hecho se magnifica porque la gente confía en Google como en un dominio seguro, haciendo que los ataques sean aún más fáciles”.
Hansen comentó que los usuarios más vulnerables son aquellos que utilizan Google y Gmail desde el servicio de correo electrónico basado en Web para registrarse. El ataque se produce a través de usuarios que añaden módulos intencionadamente; un usuario puede ser engañado para que añada un módulo malicioso a su página iGoogle. “Estos usuarios utilizan casi todos JavaScript y navegadores web normales, por lo que resulta difícil reconocerlos”, añadió.
Tom Stracener, analista de seguridad de Cenzic está de acuerdo. Las fórmulas son variadas y va extendiéndose conforme aumenta el número de personas que confían en el sitio de creación de página de inicio de Google, incluido las empresas.
Fuente:
http://www.theinquirer.es/2008/08/11/google-gadgets-es-un-coladero-para-los-ataques.html
http://www.infoworld.com/article/08/08/08/Google_Gadgets_an_open_door_for_attack_1.html
“El atacante puede instalar Google Gadgets; puede leer el historial de la víctima después de instalar un gadget malicioso en ciertas circunstancias; puede atacar a otros Google Gadgets; robar los nombres de usuario y contraseñas y mucho más”, explicó Robert Hansen, también conocido como RSnake, fundador de la consultora de seguridad SecTheory, y continuó: “de verdad que no hay límite cuando el navegador es controlado por el atacante. Y este hecho se magnifica porque la gente confía en Google como en un dominio seguro, haciendo que los ataques sean aún más fáciles”.
Hansen comentó que los usuarios más vulnerables son aquellos que utilizan Google y Gmail desde el servicio de correo electrónico basado en Web para registrarse. El ataque se produce a través de usuarios que añaden módulos intencionadamente; un usuario puede ser engañado para que añada un módulo malicioso a su página iGoogle. “Estos usuarios utilizan casi todos JavaScript y navegadores web normales, por lo que resulta difícil reconocerlos”, añadió.
Tom Stracener, analista de seguridad de Cenzic está de acuerdo. Las fórmulas son variadas y va extendiéndose conforme aumenta el número de personas que confían en el sitio de creación de página de inicio de Google, incluido las empresas.
Fuente:
http://www.theinquirer.es/2008/08/11/google-gadgets-es-un-coladero-para-los-ataques.html
http://www.infoworld.com/article/08/08/08/Google_Gadgets_an_open_door_for_attack_1.html
Análisis de riesgo gráfico
Por Omar Alejandro Herrera Reyna
Hace ya unos 6 años publiqué un paper sobre una metodología gráfica de análisis de riesgos. Las referencias todavía están por ahí en Internet pero los sitios donde estaba almacenado el paper ya no parecen estar en línea, así que aquí dejo una liga y el abstract para quien le interese:
Graphical Risk Analysis (GRA): A Methodology To Aid In Modeling Systems For Information Security Risk analysis
Risk analysis for information security, as we know it today, is a difficult task involving experience and extensive knowledge of the environment being analyzed. There are already many methodologies out there but most fall in the category of what we call “check lists” or “questionnaires”.Fuente: http://candadodigital.blogspot.com/2008/08/papers-anlisis-de-riesgos-grfico.html
I will present a methodology, “Graphical Risk Analysis” (GRA), that can aid in risk analysis activities for information security. The approach is based on well-known system security principles and uses diagrams to model the system at different abstract levels. The information security risk analyst can, with this approach, ensure that he/she understands the main business processes which the system environment supports, analyze in detail the critical parts of an information system that are most critical from a business perspective.
GRA intends to be a simple risk analysis methodology focused on availability and dependency of services and systems; although it is not intended to be an all inclusive solution, it will be useful in conjunction with other methodologies, in all information security risk analysis activities.
Vulnerabilidades en los procesadores Intel podrían comprometer el sistema
El investigador ruso Kris Kaspersky planea demostrar en una conferencia de seguridad el próximo mes de octubre, vulnerabilidades de los procesadores de Intel que permitirían realizar ataques remotos y tomar el control del equipo, independientemente del sistema operativo que se esté utilizando.
El pasado viernes el especialista señaló que ha estado en comunicación con Intel desde hace un mes y la empresa está centrando su atención en 2 fallas críticas que permitirían ejecutar código arbitrario de forma remota, sin embargo el investigador asegura que existen otros errores no críticos y la empresa por el momento no tiene planes para solucionarlos.
Kaspersky (no la empresa de seguridad Kaspersky Lab) tiene previsto realizar una prueba de concepto y demostrar cómo utilizar código JavaScript o paquetes TCP/IP para efectuar ataques y comprometer los sistemas, sin importar la plataforma en que se basen. Para evitar el caos y los ataques masivos no revelará las partes críticas de su código, sin embargo presentará algunos fragmentos para explicar cómo funciona el ataque.
El especialista también comentó que los errores en los CPUs han contribuido a dañar los discos duros de los equipos sin que los usuarios pudieran detectarlo. De ser demostrados los errores descubiertos, todas las computadoras desde personales hasta servidores, podrían estar en peligro.
Según Kaspersky, "es posible solucionar la mayoría de los bugs e Intel ofrece soluciones para los principales proveedores de BIOS", es decir, el software que controla las funciones más básicas de una PC.
Fuente: http://www.rompecadenas.com.ar/articulos/2045.php
El pasado viernes el especialista señaló que ha estado en comunicación con Intel desde hace un mes y la empresa está centrando su atención en 2 fallas críticas que permitirían ejecutar código arbitrario de forma remota, sin embargo el investigador asegura que existen otros errores no críticos y la empresa por el momento no tiene planes para solucionarlos.
Kaspersky (no la empresa de seguridad Kaspersky Lab) tiene previsto realizar una prueba de concepto y demostrar cómo utilizar código JavaScript o paquetes TCP/IP para efectuar ataques y comprometer los sistemas, sin importar la plataforma en que se basen. Para evitar el caos y los ataques masivos no revelará las partes críticas de su código, sin embargo presentará algunos fragmentos para explicar cómo funciona el ataque.
El especialista también comentó que los errores en los CPUs han contribuido a dañar los discos duros de los equipos sin que los usuarios pudieran detectarlo. De ser demostrados los errores descubiertos, todas las computadoras desde personales hasta servidores, podrían estar en peligro.
Según Kaspersky, "es posible solucionar la mayoría de los bugs e Intel ofrece soluciones para los principales proveedores de BIOS", es decir, el software que controla las funciones más básicas de una PC.
Fuente: http://www.rompecadenas.com.ar/articulos/2045.php
martes, 5 de agosto de 2008
Entrevista a dos maestros de la industria antimalware
Dos excelentes entrevista y videos realizados por IDG.
He tenido el placer de conocer y cenar con estos maestros de de la industria antivirus. Dos personas excelentes que son conscientes de todo lo que saben y lo comparten sin problemas.
Han trabajado como consultores en distintos lugares y actualmente su conocimiento es invalorable en las empresas en las que trabajan.
Por un lado David Perry Director mundial de formación de Trend Micro, desvela la evolución de los ataques informáticos, qué amenaza la seguridad en la Red y por el otro Larry Bridwell, vicepresidente de estrategias de seguridad global de AVG aporta sus comentarios sobre seguridad en la Red.
Cristian
Fuente:
http://www.idg.es/
http://www.xombra.com/
He tenido el placer de conocer y cenar con estos maestros de de la industria antivirus. Dos personas excelentes que son conscientes de todo lo que saben y lo comparten sin problemas.
Han trabajado como consultores en distintos lugares y actualmente su conocimiento es invalorable en las empresas en las que trabajan.
Por un lado David Perry Director mundial de formación de Trend Micro, desvela la evolución de los ataques informáticos, qué amenaza la seguridad en la Red y por el otro Larry Bridwell, vicepresidente de estrategias de seguridad global de AVG aporta sus comentarios sobre seguridad en la Red.
Cristian
Fuente:
http://www.idg.es/
http://www.xombra.com/
Mapeando ITIL v.3 y Cobit 4.1
ISACA ha publicado el documento de mapeo entreITIL V3 y Cobit 4.1; es el resultado de un trabajo que era bastante complicado de hacer, ya que como en los demás documentos de mapeo, se intenta realizar un análisis de cómo se referencia cada uno de los objetivos de control detallados de Cobit en ITIL V3 y para poder hacer esto el equipo de trabajo debe tener grandes conocimientos de ambos extremos de la comparación.
En este estudio ha habido varias cosas que me han llamado la atención: lo primero es la evolución que ha habido en la metodología de realización de estos estudios: si miramos el documento de mapeo de ITIL V2 con Cobit 4.0 (fechado en Enero de 2007) veremos que el nivel de detalle al que se ha llegado en este nuevo análisis es mucho mayor y que ya no es tan absoluto como antes (en el de V2 se analizaba si un objetivo de control se cubre o no, booleano, blanco o negro); sin embargo, ahora hay una escala en la que se habla de cubrir "mucho, poco o nada" un objetivo de control.
Otro de los detalles que me ha parecido interesante es ver de forma gráfica la evolución de ITIL en cuanto al nivel de cobertura a las necesidades de un departamento IT. Si miramos los mapas de cobertura veremos que ITIL V2 cubría una pequeña parte de Cobit (sobre todo en la parte de Deliver and Support, como era de esperar) mientras que la cobertura de V3 es mucho más amplia.
Por último, me llamó la atención ese "agujero" que quedaba en DS... ¿qué pasaba con DS7, que no estaba cubierto?; así que me fui al manual de Cobit a buscar qué era el DS7 y me encontré con una gran sorpresa:
DS7 Educate and Train Users
Impresionante! Según este análisis, ITIL V3 no cubre en ningún aspecto la formación del usuario final. Y al menos por lo que yo he leído, es prácticamente cierto, salvo porque en alguna parte del Service Transition se habla de formar a los usuarios y en V2, en alguna parte de la Gestión de Versiones también se habla de la formación de usuarios. Pero desde luego no es algo a lo que se le preste una atención especial sino que se menciona "de pasada".
¡¡Qué gran carencia!! Visión de servicio? Tratar al usuario como a un cliente? Hacemos de todo para asegurar unos servicios de calidad y no nos acordamos de formar a los usuarios en el uso de los servicios?
Aquí me viene a la cabeza la definición de Mark Toomey sobre el Gobierno de TI y la nueva norma ISO 38500:
Las TIC son una herramienta del negocio. Es responsabilidad del Negocio determinar cómo, cuándo, dónde y porqué utilizará la herramienta y es responsabilidad de IT proporcionar la herramienta que satisfaga estas necesidades.Pero no sólo estamos hablando de entregar una herramienta que satisfaga las necesidades, sino que también hemos de garantizar que quien ha de usar la herramienta sabrá sacar el máximo partido de ella; y no ya sólo por una visión egoísta del tema, en cuanto a que a medida que los usuarios estén más y mejor formados, menos problemas tendremos en IT (en soporte funcional, técnico o en peticiones, por ejemplo) sino que cuanto más y mejor estén formados los usuarios más partido podrán sacar de las herramientas que les proporcionemos y podrán aportar mayores eficiencias gracias al uso adecuado de las TIC.
Formar a los usuarios es una gran inversión, pero ITIL V3 se olvidó de ello.
Fuente:
www.gobiernotic.es/2008/08/mapping-itil-v3-with-cobit-41.html
http://seguridad-informacion.blogspot.com/2008/08/mapping-itil-v3-with-cobit-41.html
https://www.isaca.org/Template.cfm?Section=home&Template=/ContentManagement/ContentDisplay.cfm&ContentID=43999
OSSTMM 3.0 Lite publicado
El paso 3 de agosto se publico la versión 3.0 Lite de OSSTMM (Open Source Security Testing Methodology Manual). El manual de 52 paginas tiene el titulo "Introduction and Sample to the Open Source Security Testing Methodology Manual"
El documento es una versión reducida del OSSTMM version 3.0, pero incluye "Data Networking tests" así como instrucciones sobre como implementarlo.
Table of Contents
- Introduction to the OSSTMM
- Compliance
- Security Test Types
- Methodology By Channel
- Testing Data Networks
- Security Test Audit Report (STAR)
Fuente: http://seguridad-informacion.blogspot.com/2008/08/osstmm-30-lite-publicly-released.html
El documento es una versión reducida del OSSTMM version 3.0, pero incluye "Data Networking tests" así como instrucciones sobre como implementarlo.
Table of Contents
- Introduction to the OSSTMM
- Compliance
- Security Test Types
- Methodology By Channel
- Testing Data Networks
- Security Test Audit Report (STAR)
Fuente: http://seguridad-informacion.blogspot.com/2008/08/osstmm-30-lite-publicly-released.html
Crackers contra Twitter
La red de 'micro blogs' recibe el primer ataque documentado desde su creación.
Los delincuentes informáticos han puesto su punto de mira en las redes sociales, donde millones de internautas de todo el mundo comparten a diario millones de fotos, vídeos y experiencias. La última víctima ha sido el site de micro blogging Twitter.
Según informa la web de la BBC, un grupo de crackers brasileños estaría utilizando un perfil falso de Twitter para distribuir un virus del tipo gusano entre los usuarios del site.
Así, utilizando como gancho un inexistente vídeo de contenido pornográfico, los ciberdelincuentes remiten a los incautos twitteros a una página desde la que, supuestamente, se descargan una nueva versión del programa necesario para visualizar el vídeo (en este caso, Adobe Flash). Pero, en su lugar, se instala en el ordenador un virus programado para robar los datos del internauta. Este virus únicamente afecta a los usuarios de Windows.
El ataque, descubierto por la firma de seguridad en Internet Karspersky, es el primero documentado en la famosa red social.
El anuncio sigue a otros dos realizados por la misma firma sobre sendos virus diseñados para infectar a los usuarios de MySpace y Facebook, dos de las redes sociales más importantes del mundo. Según Karspersky, los gusanos convierten las máquinas infectadas en zombis al servicio de los crackers y cuyo cometido es mandar spam (correo electrónico no deseado), lanzar ataques de phising o, simplemente, robar datos personales.
"Desafortunadamente", asegura uno de los analistas de Karspersky, Alexander Gostev, "los usuarios confían demasiado en los mensajes que les envían sus contactos en las redes sociales, por lo que la probabilidad de que un usuario pinche en un enlace como estos es muy alta".
Fuente: http://www.elpais.com/articulo/internet/Crackers/Twitter/elpeputec/20080805elpepunet_9/Tes
Los delincuentes informáticos han puesto su punto de mira en las redes sociales, donde millones de internautas de todo el mundo comparten a diario millones de fotos, vídeos y experiencias. La última víctima ha sido el site de micro blogging Twitter.
Según informa la web de la BBC, un grupo de crackers brasileños estaría utilizando un perfil falso de Twitter para distribuir un virus del tipo gusano entre los usuarios del site.
Así, utilizando como gancho un inexistente vídeo de contenido pornográfico, los ciberdelincuentes remiten a los incautos twitteros a una página desde la que, supuestamente, se descargan una nueva versión del programa necesario para visualizar el vídeo (en este caso, Adobe Flash). Pero, en su lugar, se instala en el ordenador un virus programado para robar los datos del internauta. Este virus únicamente afecta a los usuarios de Windows.
El ataque, descubierto por la firma de seguridad en Internet Karspersky, es el primero documentado en la famosa red social.
El anuncio sigue a otros dos realizados por la misma firma sobre sendos virus diseñados para infectar a los usuarios de MySpace y Facebook, dos de las redes sociales más importantes del mundo. Según Karspersky, los gusanos convierten las máquinas infectadas en zombis al servicio de los crackers y cuyo cometido es mandar spam (correo electrónico no deseado), lanzar ataques de phising o, simplemente, robar datos personales.
"Desafortunadamente", asegura uno de los analistas de Karspersky, Alexander Gostev, "los usuarios confían demasiado en los mensajes que les envían sus contactos en las redes sociales, por lo que la probabilidad de que un usuario pinche en un enlace como estos es muy alta".
Fuente: http://www.elpais.com/articulo/internet/Crackers/Twitter/elpeputec/20080805elpepunet_9/Tes
Anuncian desbloqueo del iPhone 3G vía tarjeta SIM
Aún no es posible usar el iPhone 3G con cualquier compañía, pero está claro que los señores hackers ya están trabajando en un software que solucione ese inconveniente. Mientras tanto, USB Fever, una compañía que vende accesorios para teléfonos celulares, ha anunciado que el 20 de agosto próximo comenzará a vender una tarjeta de desbloqueo SIM para el iPhone 3G, la cual te permitirá usar el celular de Apple con tu proveedor favorito.
La tarjeta en cuestión es muy delgada (0.10mm), lleva incorporado un microcontrolador; y se coloca entre la tarjeta SIM de tu compañía y el conector SIM del teléfono. Según USB Fever, esta es una manera muy sencilla de desbloquear el iPhone 3G, y sin riesgo de dañar el equipo o perder la garantía. ¿Cuanto? USD34.99. Pero claro, primero necesitas un conseguir el famoso teléfono.
Fuente:
http://www.usbfever.com/index_eproduct_view.php?products_id=624
http://www.fayerwayer.com/2008/08/anuncian-desbloqueo-del-iphone-3g-via-tarjeta-sim/
La tarjeta en cuestión es muy delgada (0.10mm), lleva incorporado un microcontrolador; y se coloca entre la tarjeta SIM de tu compañía y el conector SIM del teléfono. Según USB Fever, esta es una manera muy sencilla de desbloquear el iPhone 3G, y sin riesgo de dañar el equipo o perder la garantía. ¿Cuanto? USD34.99. Pero claro, primero necesitas un conseguir el famoso teléfono.
Fuente:
http://www.usbfever.com/index_eproduct_view.php?products_id=624
http://www.fayerwayer.com/2008/08/anuncian-desbloqueo-del-iphone-3g-via-tarjeta-sim/
Guía de Seguridad de Windows Vista
La guía de seguridad de Windows Vista es un recurso único para todo administrador o usuario avanzado que desee tener un entorno seguro. A día de hoy está disponible en Inglés la versión 1.2 y la puedes descargar del siguiente URL: Guía de Seguridad de Windows Vista.
Aquí tienes una breve descripción de los temas tocados en las 100 páginas que conforman esta guía.
Capítulo 1: Implementar la línea base de seguridad
Este capítulo está dedicado a los conceptos clave de la fortificación de una plataforma Windows. En él se analiza cual es proceso de creación de la llamda línea base de seguridad, es decir, los principios comunes que deben aplicarse a máquinas en stand-alone o clientes en entornos corporativos. En él se introduce la herrmiaent GPOAccelerator, para la edición de políticas en clientes Windows Vista.
Capítulo 2: Defensa contra el Malware.
En este capítulo de la guía se analizan las tecnologías que Windows Vista ofrece para luchar contra la inclusión de software no deseado dentro de la plataforma. Así como se dan recomendaciones de uso del sistema, se estudia el funcionamiento del Userr Account Control, de Windows Defender, la configuración y uso de Windows Firewall, el Windows Security Center, como funciona la Malicious Software Removal Tool o como se configuran las Software Restriction Policies. Especial atención se presta en este capítulo a la fortificación de Internet Explorer 7, dónde se anliza el Modo Protegido, la configuración de componentes Activex mediante ActiveX Ipt-in, la protección Cross-Domain Scripting Attack, como funciona la Security Status Bar y el Filtro Anti-Phising, la gestión de Add-ons, y otras opciones de seguridad que acompañan a IE7 como Binary Behavior Security Restriction, Consistent MIME Handling, Local Machine Zone Lockdown Security, MIME Sniffing Safety Feature, MK Protocol Security Restriction, Network Protocol Lockdown, Object Caching Protection, Protection From Zone Elevation, Restrict ActiveX Install, Restrict File Download o Scripted Windows Security Restrictions.
Capítulo 3: Protección de datos sensibles.
Este capítulo se centra en la protección de datos mediante el uso de BitLocker Drive Encryption, EFS (Encrypting File System), el suo de los Rights Management Services y la configuración del control de dispositivos. Un capítulo dedicado a los algoritmos y herramientas de cifrado en Windows Vista.
Capítulo 4: Compatibilidad de aplicaciones
En esta parte de la guía se trata uno de los temas más calientes en el uso de Windows Vista. Está centrado en la compatibilidad de aplicaciones que no es completa, debido al cambio en la arquitectura, con sistemas operativos anteriores. En este apartado de la guía se ven las comprobaciones de compatibilidad que deben hacerse, las temas importantes a tener en cuenta y las herramientas y recursos disponibles para lograr la máxima compatibilidad de aplicaciones en una migración de sistema operativo.
Capítulo 5: Seguridad Especializada - Funcionalmente Limitado
El último capítulo está dedicado a la fortificación de sistemas en entornos limitados. Así se tratan temas como la restricción de servicios, el acceso a datos, el acceso restrigido de red, como fortificar las conexiones mediante el filtrado de red, y como implementar políticas de seguridad utilizando la herramienta GPOAccelerator Tool
Más información (Vista-Técnica)
El robo de notebooks llega a 54% de los delitos que sufren las empresas
El 71% de los atracos de portátiles tiene como sospechosos al propio personal interno de las compañías. Por cada unidad, las firmas pierden 61.000 dólares.
Un estudio realizado entre empresas internacionales, las compañías sufren importantes pérdidas de capital y de información con cada denuncia de robo o extravío de las notebooks con las que proveen a sus empleados.En este contexto, la investigación mostró que el 71% de las denuncias recibidas tuvieron por sospechosos a personal interno, ya sea de empleados que están prontos a dejar sus puestos o de personal contratado a terceros y que realizan tareas desde las oficinas del cliente.
"Este dato justificaría que el 54% de los delitos que sufren las empresas estén vinculados al robo de notebooks, ya que cerca del 34% de los empleados guarda en ellas los usuarios y códigos de acceso a documentos clasificados, aplicaciones y datos sensibles de las empresas para las que trabajan", explica un comunicado de prensa de LoJack.
En este sentido, según el informe, "las empresas pierden un promedio de u$s61.000 por cada notebook que sus empleados denuncian como robada o perdida".
Escasa cobertura
"El principal problema que tienen las empresas es que no han desarrollado políticas que les permitan garantizar el resguardo de la información que manejan sus empleados, ya sea porque no existen políticas y una autoridad visibles en la materia o por falta de una eficiente inducción durante el proceso de capacitación del empleado", señala Carlos Mackinlay (h), Gerente General de LoJack Argentina.
"Hemos visto que en los casos donde la empresa no ha tomado medidas para prevenir el robo o implementar medidas para recuperar las notebooks, el 97% máquinas denunciadas jamás fue recuperado", dijo el ejecutivo.
Fuente: http://www.infobae.com/contenidos/395736-100918-0-El-robo-de-notebooks-llega-a-de-los-delitos-que-sufren-las-empresas
El Messenger demuestra la teoría de los seis grados
Un estudio de Microsoft confirma que dos personas cualesquiera están separadas, como mucho, por seis eslabones.
La leyenda urbana dice que todos estamos relacionados con cualquier otra persona del planeta por no más de seis grados de separación y Microsoft acaba de demostrar que es cierto, aunque no son seis grados sino casi siete.
Un estudio de Microsoft, recogido este lunes por la prensa de Estados Unidos, corrobora que dos individuos cualesquiera están conectados entre sí por no más de 6,6 grados de separación, es decir, que son necesarios siete o menos intermediarios para relacionarlos.
Para demostrar que a nadie le separan más de siete pasos de George Clooney o Angelina Jolie, el gigante del software ha utilizado 30.000 millones de conversaciones electrónicas de 180 millones de usuarios de su servicio de mensajería instantánea Messenger.
El estudio, que usó datos de 2006, partió de la base que dos personas se conocían si habían intercambiado al menos un mensaje de texto.
Los investigadores descubrieron que cualquier par de usuarios estaba interconectado por una media de 6,6 eslabones, aunque en algunos casos eran necesarios hasta 29 para relacionar a dos personas.
"Esta es la primera vez que una red social a escala planetaria ha logrado validar la teoría de los seis grados de separación", señalan Eric Horvitz y Jure Leskovec, responsables del estudio, al diario The Washington Post.
Desde la década de los sesenta, diferentes investigadores han indagado en las interconexiones entre los seres humanos, intentando demostrar que, en realidad, la cadena entre un campesino en Camboya y un multimillonario estadounidense, por ejemplo, es más corta de lo que parece.
Curiosamente, casi todos los estudios llegaron a un número de interconexiones en torno al seis.
Con la llegada del correo electrónico y las redes sociales en Internet, la teoría de los "seis grados de separación" ganó en popularidad, inspirando la creación de varios juegos en la Red.
Fuente: http://www.elpais.com/articulo/internet/Messenger/demuestra/teoria/grados/elpeputec/20080804elpepunet_7/Tes
La leyenda urbana dice que todos estamos relacionados con cualquier otra persona del planeta por no más de seis grados de separación y Microsoft acaba de demostrar que es cierto, aunque no son seis grados sino casi siete.
Un estudio de Microsoft, recogido este lunes por la prensa de Estados Unidos, corrobora que dos individuos cualesquiera están conectados entre sí por no más de 6,6 grados de separación, es decir, que son necesarios siete o menos intermediarios para relacionarlos.
Para demostrar que a nadie le separan más de siete pasos de George Clooney o Angelina Jolie, el gigante del software ha utilizado 30.000 millones de conversaciones electrónicas de 180 millones de usuarios de su servicio de mensajería instantánea Messenger.
El estudio, que usó datos de 2006, partió de la base que dos personas se conocían si habían intercambiado al menos un mensaje de texto.
Los investigadores descubrieron que cualquier par de usuarios estaba interconectado por una media de 6,6 eslabones, aunque en algunos casos eran necesarios hasta 29 para relacionar a dos personas.
"Esta es la primera vez que una red social a escala planetaria ha logrado validar la teoría de los seis grados de separación", señalan Eric Horvitz y Jure Leskovec, responsables del estudio, al diario The Washington Post.
Desde la década de los sesenta, diferentes investigadores han indagado en las interconexiones entre los seres humanos, intentando demostrar que, en realidad, la cadena entre un campesino en Camboya y un multimillonario estadounidense, por ejemplo, es más corta de lo que parece.
Curiosamente, casi todos los estudios llegaron a un número de interconexiones en torno al seis.
Con la llegada del correo electrónico y las redes sociales en Internet, la teoría de los "seis grados de separación" ganó en popularidad, inspirando la creación de varios juegos en la Red.
Fuente: http://www.elpais.com/articulo/internet/Messenger/demuestra/teoria/grados/elpeputec/20080804elpepunet_7/Tes
La Justicia aceptó que el empleado "infiel" difunda información
El juez hizo lugar a una medida cautelar para que Arbizu pueda dar a conocer los datos que obtuvo en forma ilícita tras la relación laboral con JP Morgan.
La Justicia en lo Comercial rechazó un planteo de la banca estadounidense JP Morgan para prohibirle a un presunto empleado infiel, a su abogado y a todos los medios de comunicación, la difusión de bases de datos que habrían sido robadas y que contendrían información "confidencial y privilegiada" sobre sus clientes en Latinoamérica.
El juez en lo comercial Javier Cosentino aceptó parcialmente una medida cautelar pedida para que el supuesto empleado infiel, Hernán Arbizu, sospechado de una estafa del orden de los u$s2,7 millones, difunda públicamente esa información que habría "obtenido ilícitamente como consecuencia de la relación laboral que lo vinculara con el JP Morgan o la cartera de clientes de éste".
Sin embargo, la resolución advierte que esa prohibición "no debe afectar aquella información que eventualmente pudiera brindar el demandado en las acciones penales iniciadas en su contra", de modo tal que si fuera necesario para garantizar su derecho de defensa, la medida cautelar no tendría vigencia, según publicó DyN.
El juez Cosentino rechazó que la restricción informativa fuera aplicada al abogado de Arbizu, Pablo Argibay Molina, "y a cualquier persona y medio técnico de comunicación social que obtuvieren la información cuestionada".
"La acreditación de la conducta sindicada al demandado respecto del apoderamiento de dicha información y su entrega a medios masivos de difusión pública sólo puede, en esta instancia, basarse en circunstancias presuncionales pues, a diferencia de otras posibles afectaciones, ésta no se caracterizaría por una evidencia obvia", sostuvo el juez.
JP Morgan sostuvo que Arbizu habría robado bases de datos que contendrían información sobre los clientes de la banca en la región latinoamericana, por lo que "su eventual divulgación masiva podría traer como consecuencia el descrédito y la falta de confianza que constituyen para cualquier entidad financiera factores determinantes que inciden directamente en el regular desenvolvimiento dela entidad".
Al rechazar la cautelar contra el abogado y contra los medios de comunicación, el juez advirtió que "acceder a la prohibición con la amplitud requerida importaría un avasallamiento improcedente sobre derechos de terceros, que podrían ver restringido su derecho de información por causa ajena a su responsabilidad".
"La acción de informar ha de ser preservada al máximo a fin de garantizar el pleno ejercicio del derecho de información, que constituye al periodismo en reducto privilegiado para el pleno ejercicio de la libertad de expresión autónoma", resumió, citando jurisprudencia de la Corte.
Fuente:
http://www.infobaeprofesional.com/notas/70014-La-Justicia-acepto-que-el-empleado-infiel-difunda-informacion.html&cookie
La Justicia en lo Comercial rechazó un planteo de la banca estadounidense JP Morgan para prohibirle a un presunto empleado infiel, a su abogado y a todos los medios de comunicación, la difusión de bases de datos que habrían sido robadas y que contendrían información "confidencial y privilegiada" sobre sus clientes en Latinoamérica.
El juez en lo comercial Javier Cosentino aceptó parcialmente una medida cautelar pedida para que el supuesto empleado infiel, Hernán Arbizu, sospechado de una estafa del orden de los u$s2,7 millones, difunda públicamente esa información que habría "obtenido ilícitamente como consecuencia de la relación laboral que lo vinculara con el JP Morgan o la cartera de clientes de éste".
Sin embargo, la resolución advierte que esa prohibición "no debe afectar aquella información que eventualmente pudiera brindar el demandado en las acciones penales iniciadas en su contra", de modo tal que si fuera necesario para garantizar su derecho de defensa, la medida cautelar no tendría vigencia, según publicó DyN.
El juez Cosentino rechazó que la restricción informativa fuera aplicada al abogado de Arbizu, Pablo Argibay Molina, "y a cualquier persona y medio técnico de comunicación social que obtuvieren la información cuestionada".
"La acreditación de la conducta sindicada al demandado respecto del apoderamiento de dicha información y su entrega a medios masivos de difusión pública sólo puede, en esta instancia, basarse en circunstancias presuncionales pues, a diferencia de otras posibles afectaciones, ésta no se caracterizaría por una evidencia obvia", sostuvo el juez.
JP Morgan sostuvo que Arbizu habría robado bases de datos que contendrían información sobre los clientes de la banca en la región latinoamericana, por lo que "su eventual divulgación masiva podría traer como consecuencia el descrédito y la falta de confianza que constituyen para cualquier entidad financiera factores determinantes que inciden directamente en el regular desenvolvimiento dela entidad".
Al rechazar la cautelar contra el abogado y contra los medios de comunicación, el juez advirtió que "acceder a la prohibición con la amplitud requerida importaría un avasallamiento improcedente sobre derechos de terceros, que podrían ver restringido su derecho de información por causa ajena a su responsabilidad".
"La acción de informar ha de ser preservada al máximo a fin de garantizar el pleno ejercicio del derecho de información, que constituye al periodismo en reducto privilegiado para el pleno ejercicio de la libertad de expresión autónoma", resumió, citando jurisprudencia de la Corte.
Fuente:
http://www.infobaeprofesional.com/notas/70014-La-Justicia-acepto-que-el-empleado-infiel-difunda-informacion.html&cookie
Las amenazas online cuestan a los consumidores 8.500 millones de dólares
Los problemas de seguridad llegan a ser uno de los principales motivos por lo que los usuarios se compran un nuevo ordenador.
En los últimos dos años los consumidores han perdido casi 8.500 millones de dólares gracias a los virus, spyware y ataques de phishing. Pero los problemas de seguridad han sido buenos para el negocio, ya que los consumidores han reemplazado 2,1 millones de equipos debido a infecciones de malware. Los datos de este curioso informe, publicado por Consumer Reports, proceden de una encuesta realizada a 2.071 hogares a través de Internet.
Entre otros datos notables destaca que uno de cada seis usuarios han sido víctimas del cibercrimen, frente al porcentaje de uno de cada cuatro del año anterior; el 19 por ciento de los que han respondido la encuesta afirman no tener antivirus en sus ordenadores; y un 75 por ciento dicen que no tienen una herramienta anti-phishing.
Consumer Report ha hecho una lista de lo que considera que son los siete errores online más comunes: no contar con un antivirus actualizado es el primero, seguido de acceder a sites financiero a través de enlaces que llegan a través de correos electrónicos; la descarga de software gratuito, o freeware es otros de los errores considerados por Consumer Report, además de asumir sin más que los Macs son más seguros que los PCs basados en Windows; pulsar las ventanas emergentes que afirman que tu ordenador está en riesgo y hacer compras online sin tomar precauciones extra son los dos últimos riesgos determinados por Consumer Report.
Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=1860
En los últimos dos años los consumidores han perdido casi 8.500 millones de dólares gracias a los virus, spyware y ataques de phishing. Pero los problemas de seguridad han sido buenos para el negocio, ya que los consumidores han reemplazado 2,1 millones de equipos debido a infecciones de malware. Los datos de este curioso informe, publicado por Consumer Reports, proceden de una encuesta realizada a 2.071 hogares a través de Internet.
Entre otros datos notables destaca que uno de cada seis usuarios han sido víctimas del cibercrimen, frente al porcentaje de uno de cada cuatro del año anterior; el 19 por ciento de los que han respondido la encuesta afirman no tener antivirus en sus ordenadores; y un 75 por ciento dicen que no tienen una herramienta anti-phishing.
Consumer Report ha hecho una lista de lo que considera que son los siete errores online más comunes: no contar con un antivirus actualizado es el primero, seguido de acceder a sites financiero a través de enlaces que llegan a través de correos electrónicos; la descarga de software gratuito, o freeware es otros de los errores considerados por Consumer Report, además de asumir sin más que los Macs son más seguros que los PCs basados en Windows; pulsar las ventanas emergentes que afirman que tu ordenador está en riesgo y hacer compras online sin tomar precauciones extra son los dos últimos riesgos determinados por Consumer Report.
Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=1860
España, número uno en Phishing
Según un informa que dio a conocer IBM, los números respecto al phishing no son nada alentadores para el país ibérico: España resultó ser el país desde el que más se emitió este tipo de correo electrónico durante la primera mitad del año.
Recordemos que el phishing es la técnica de fraude online creada por los ciber-delincuentes que tiene como objetivo el robo de información personal del usuario, generalmente datos como número de cuentas bancarias o tarjetas de crédito, claves, etc.
Uno de los métodos más comunes es el de enviar e-mails que simulan provenir de bancos o entidades financieras reales y que, bajo la excusa de necesitar los datos personales para actualizar la base, renovar la tarjeta o alguna similar, piden la información personal a la víctima potencial, generalmente incluyendo un link falso en el cuerpo del mail al que se debe ingresar para cargar la información.
Pues bien, resulta ser que casi el 17% de este tipo de estafa provino de España, por lo que el país europeo quedó en primer lugar en la lista provista por IBM. Esto no significa que ese porcentaje haya sido creado ahí, pero sí que provino de servidores locales controlados en forma remota para este fin. Incluso se pudo ver que la mayoría de los links que incluyen en los correos se dirigen a servidores de Corea del Sur y los Estados Unidos (más del 50% entre los dos).
En cuanto al spam, también España está en uno de los primeros lugares: como emisor de correo basura, se encuentra en quinto puesto con casi 4% del total. Otro dato revelado en este informe es que en sólo el primer semestre, ya se registraron más de 3.500 vulnerabilidades, lo que representa un 5% más que en el mismo período del año anterior.
Fuente: http://www.rompecadenas.com.ar/articulos/2039.php
Recordemos que el phishing es la técnica de fraude online creada por los ciber-delincuentes que tiene como objetivo el robo de información personal del usuario, generalmente datos como número de cuentas bancarias o tarjetas de crédito, claves, etc.
Uno de los métodos más comunes es el de enviar e-mails que simulan provenir de bancos o entidades financieras reales y que, bajo la excusa de necesitar los datos personales para actualizar la base, renovar la tarjeta o alguna similar, piden la información personal a la víctima potencial, generalmente incluyendo un link falso en el cuerpo del mail al que se debe ingresar para cargar la información.
Pues bien, resulta ser que casi el 17% de este tipo de estafa provino de España, por lo que el país europeo quedó en primer lugar en la lista provista por IBM. Esto no significa que ese porcentaje haya sido creado ahí, pero sí que provino de servidores locales controlados en forma remota para este fin. Incluso se pudo ver que la mayoría de los links que incluyen en los correos se dirigen a servidores de Corea del Sur y los Estados Unidos (más del 50% entre los dos).
En cuanto al spam, también España está en uno de los primeros lugares: como emisor de correo basura, se encuentra en quinto puesto con casi 4% del total. Otro dato revelado en este informe es que en sólo el primer semestre, ya se registraron más de 3.500 vulnerabilidades, lo que representa un 5% más que en el mismo período del año anterior.
Fuente: http://www.rompecadenas.com.ar/articulos/2039.php
jueves, 31 de julio de 2008
¿Pueden las empresas revisar el correo electrónico de sus empleados?
Luego de la sanción de la Ley de Delitos Informáticos, expertos revelan si las firmas tienen control sobre esa herramienta informática. Advierten que si las compañías no adoptan políticas claras sobre el uso del mail pueden producirse reclamos.
La reciente sanción de la Ley sobre Delitos Informáticos (LDI) volvió a colocar en el centro de la escena un interrogante clave: ¿Es legítimo que las compañías, para preservar la confidencialidad de su información, accedan y controlen los mails corporativos de sus empleados?.
En este contexto las empresas, en procura de proteger su información sensible, extreman los recaudos y llegan a monitorear los datos enviados por sus empleados a través de los correos electrónicos.
Sin embargo, esta facultad de control genera en muchas ocasiones conflictos legales, ya que los empleados argumentan que, al revisar sus mails, la empresa vulnera su esfera de intimidad y privacidad.
La situación se torna más compleja aún teniendo en cuenta la reciente sanción de la LDI, que arroja un nuevo ingrediente a la cuestión. Sucede que esa norma reprime el acceso indebido a las comunicaciones electrónicas, entre las que, obviamente, se encuentran los mails.
Dentro de este contexto, y analizado el marco normativo, los expertos señalan que están en pugna dos derechos: por un lado, el resguardo de la privacidad de las comunicaciones de los trabajadores y, por el otro, la facultad de control que tienen las compañías respecto de la información corporativa.
Frente a ello, y teniendo en cuenta las consecuencias y eventuales reclamos que pudieran derivarse de un control indebido o excesivo por parte de los empleadores, los expertos recomiendan que las empresas implementen una clara política de privacidad.
Política de privacidad
Pablo Palazzi, socio de Allende & Brea, argumentó que luego de la reciente sanción de la LDI las compañías deberán ser cuidadosas en el uso que hagan de la tecnología, ya que a partir de esa ley es delito interceptar un correo electrónico sin permiso.
“Por eso, las empresas deberán tener en práctica y comunicar internamente una adecuada política de privacidad que, en forma clara y definida, informe a sus empleados cuáles son los límites en el uso de las herramientas de la empresa y cuáles son las consecuencias”.
El especialista consideró que “es importante dejar claro si la empresa ejercerá un control sobre el correo electrónico del trabajador y de qué forma”.
Palazzi recalcó que si se adoptan estas previsiones y se comunican estas circunstancias al empleado, la empresa estará legitimada para realizar estos controles.
Autorización expresa
Diego Carbone, socio de Alesina & Asociados, consideró que si la empresa obtiene las autorizaciones respectivas del empleado, quedará a salvo de posteriores reclamos judiciales por parte de éstos.
“El trabajador puede autorizar una intrusión a su ámbito de reserva. De ese modo, si el empleador cuenta con una autorización escrita para que se le monitoree su correo electrónico, no habrá acceso ilegítimo ni violación a la privacidad y mucho menos la comisión de un delito”.
“Esa autorización debe ser expresa y escrita –puede ser volcada en el contrato de trabajo- no debiendo interpretarla concedida en caso de silencio, ni frente a una tecnología que de por sí no genere expectativa de privacidad”.
Sin embargo, el especialista advirtió que el uso indebido no autoriza directamente el despido. “Parte de la jurisprudencia entiende que resulta necesario previamente la imposición de otras sanciones y apercibimientos”, concluyó.
Divididos
Ricardo Sáenz, Fiscal de la cámara en lo Criminal y Correccional, dijo que la jurisprudencia se encuentra dividida respecto al criterio a adoptar en el caso de la revisión o control de los mails corporativos.
“Una parte de los jueces considera que si la empresa comunica al empleado que el correo institucional puede ser revisado y el trabajador presta su consentimiento, la compañía queda habilitada para controlar los mails e imponer sanciones en caso de un uso indebido”, afirmó.
Sin embargo, Sáenz aclaró que otro grupo de jueces consideran que la privacidad de los trabajadores no resulta un bien disponible y que, en consecuencia, el empleador no podrá revisar las comunicaciones electrónicas sin orden judicial”.
La cuestión a la luz de las sentencias
La sanción de la LDI es reciente y aún no existen pronunciamientos concretos que hayan fijado algún criterio respecto de si el control por parte del empleador de los mails de sus trabajadores resulta indebido, y en su caso, un delito.
Sin embargo, y desde otro ángulo, la cuestión ha sido resuelta por la justicia laboral, quién fijó determinadas pautas respecto de cómo, cuándo y en qué circunstancias pueden revisarse los correos electrónicos de los empleados, destacó Carbone.
Así, en las causas “Gimenez Victoria c/ Creae Sistemas S.A. s/ despido” y “Zitelli, Gustavo Martin c/ Fibertel S.A. s/ despido” se fijaron las siguientes pautas orientadoras:
- El uso indebido del mail e internet por el empleado puede estar prohibido, así como la reserva de la propiedad de los correos corporativos en cabeza de la empresa.
- Pero es necesario que haya políticas claras sobre el uso de esas herramientas desde el inicio de la relación laboral o bien a partir del momento en que se instrumenten.
- Los empleados deben estar notificados fehacientemente de la política de la empresa sobre la utilización de las herramientas informáticas y el correo electrónico corporativo.
- Para monitorear y controlar sus comunicaciones con el mail de la empresa y hasta sus llamadas telefónicas laborales sin afectar el derecho a la intimidad es necesario el consentimiento previo expreso del empleado autorizando al empleador.
Fuente:
http://abogados.infobaeprofesional.com/notas/69731-Pueden-las-empresas-revisar-el-correo-electronico-de-sus-empleados.html?cookie
Suscribirse a:
Entradas (Atom)