Promisec ha lanzado una enciclopedia en línea de amenazas en seguridad de red interna. La enciclopedia, que puede ser vista por cualquier persona de forma gratuita, se actualiza continuamente con explicaciones detalladas de las últimas amenazas.
Además, el sitio contiene gráficos mensuales que muestran cómo la tendencia en los riesgos internos ha cambiado en los últimos años, consejos de seguridad internas y trucos, artículos sobre los últimos incidentes de seguridad interna, un panorama de las amenazas internas, y una amplia gama de otros recursos.
Fuente: http://www.iso27000.es/
domingo, 24 de agosto de 2008
El DNI electrónico gana presencia en el mundo y se acerca a la Argentina
Catorce países de Europa utilizarán el recurso de manera masiva. Argentina ya está dando los primeros pasos para digitalizar algunas bases de datos.
Aunque a menor ritmo de lo que sucede en los principales países del mundo, la Argentina está dando sus primeros pasos en pos de implementar sistemas que, diseñados para asegurar la identidad de las personas, promuevan actividades remotas y fomenten prácticas sociales y económicas amparadas en un soporte electrónico.
Esta semana se conoció que el consorcio Stork, integrado por 14 países de Europa, promoverá una implementación masiva del DNI electrónico a fin de profundizar la utilización de Internet para intercambios comerciales y el concepto de gobierno electrónico en el Viejo Continente.
El consorcio tiene prevista una serie de pruebas que se extenderán durante tres años, período en el cual buscará garantizar la aceptación de los DNI en servicios de administración electrónica instalados en España, Bélgica, Estonia, Francia, Alemania, Italia, Austria, Luxemburgo, Países Bajos, Suecia, Portugal, Eslovenia, Reino Unido, e Islandia.
La iniciativa partirá de examinar cada uno de los desarrollos en materia de identificación electrónica más utilizados para, en el mediano plazo, acordar criterios comunes de desempeño y dispositivos que garanticen la validez de los documentos en cualquiera de las naciones que conforman el Stork.
Pero ¿qué sucede con una propuesta de este tipo pero ya en el plano local? Por el momento, los intentos no han superado la etapa de pruebas. Durante el 2007, en tiempos de Néstor Kirchner al frente del Ejecutivo, el Ministerio del Interior dio el primer paso hacia el DNI electrónico: llamó a licitación para la implementación de una base única de datos digitalizada.
"El año pasado se estuvo trabajando en un proyecto, que en realidad nunca pasó de la especificación, el cual tenía que ver con todo lo necesario, desde el punto de vista tecnológico, para identificar a los ciudadanos", explicó, a iProfesional.com, Martín Codini, director del área de Desarrollo de Negocios de Indra, la firma que desarrolló el DNI en España.
"Esto tiene que ver con los datos alfanuméricos de una persona, más todo lo que tiene que ver con la biometría. O sea, las características que identifican de manera unívoca a las personas", agregó.
Por su parte, Ricardo Caputo, gerente comercial de la misma empresa, sostuvo que el DNI electrónico "iba a ser una salida de la base única de identificación, una de las tantas en realidad, y que luego tranquilamente podía ser aplicada a los padrones electorales, entre otros usos".
Intento
Lo cierto es que, más allá de ese primer intento, la iniciativa poco a poco fue perdiendo fuerza. Al respecto, Adrián Giormenti, ejecutivo de la firma de desarrollo de soluciones para gobierno electrónico Giesecke & Devrient Group (GyD), señaló que "la intención de crear una base de datos electrónica salió a licitación, y fue ganada por la compañía NEC, pero después quedó demorada".
La posterior impugnación que llevaron a cabo las empresas que no se vieron beneficiadas habría sido el principal motivo por el cual, según parece, el proceso no siguió adelante. Y obligó al Ministerio del Interior a llamar a una nueva licitación, instancia que –ya con Cristina Fernández como presidenta– situaciones como el prolongado lockout agrario culminaron por frenar nuevamente.
"A finales del año pasado el ministerio, oficialmente, dio a entender que se tenía que llamar a una nueva licitación. Pero evidentemente el proyecto fue perdiendo protagonismo en la agenda por diversas cuestiones", dijo Giormenti.
Consultado sobre la situación actual en cuanto al manejo de bases de datos, el ejecutivo explicó que "hoy existe una gran cantidad de información que opera como compartimentos estancos".
"La policía tiene su base, la Ciudad de Buenos Aires emite la licencia de conducir y tiene su propia base. Entonces cada uno tiene su base, sin intercomunicar, y eso duplica el esfuerzo a la hora de la disponibilidad de datos", añadió.
Voz oficial
A fin de conocer en qué estado se encuentran los planes de identificación electrónica a nivel gubernamental, iProfesional.com dialogó con Mariano Ramírez, director general de Gestión Informática del Ministerio del Interior, quien sostuvo que "en este momento estamos orientados a mejorar los sistemas de documentación y gestión".
"La preocupación pasa por cambiar el modo en que se realizan los trámites; por modernizar lo que todavía se hace de manera manual. Tenemos el objetivo de concretar una base de datos única, pero lo cierto es que todavía muchas cosas se hacen en papel", comentó.
"Primero necesitamos contar con una base sólida de datos, concretar la digitalización de los datos, volver electrónicos muchos procesos... Nos falta desarrollar la plataforma tecnológica que nos coloque en ese camino", reconoció.
El funcionario ratificó la licitación obtenida por NEC el año pasado –que finalmente no fue anulada–, y explicó que la misma comprendió la provisión de equipamiento de hardware y software para la implementación de AFIS, un sistema que permite la identificación automática de huellas dactilares.
"Tenemos el sistema, pero todavía no lo pudimos utilizar. No cumplimos con la fase previa de reordenar los procesos y la documentación. Cuando contemos con la plataforma, recién ahí podremos usar el aparato, que en este momento está vacío", dijo.
Reconocimiento
Ramírez sostuvo que en el cronograma de metas "está establecido poner en marcha el sistema AFIS en el corto plazo" "El plan consiste en comenzar la recolección de huellas, aunque eso se haría de manera paulatina y por demanda", explicó.
También en breve la dependencia que encabeza el funcionario pondrá en marcha una serie de centros digitales para la recopilación de datos, los que tendrán como principal finalidad impulsar la informatización de todos los trámites que los ciudadanos realizan, normalmente, en dependencias estatales.
"Para ello estamos trabajando con personal propio y profesionales de la Universidad Tecnológica Nacional (UTN). Los centros serán alrededor de 25, y estarán ubicados en Capital Federal, algunas localidades de la provincia de Buenos Aires, y el resto de las principales ciudades del interior del país", aseveró Ramírez.
¿Eso nos acerca más al demorado DNI electrónico? "Si logramos hacer eficiente la plataforma de trámites en la que estamos trabajando, podemos decir que habremos plantado la primera semilla", comentó.
Y añadió: "Luego de eso, habrá que trabajar en la expansión de la firma digital y la posibilidad de insertar todos los datos de autenticación de una persona en un dispositivo. A partir de ahí se podrá plantear al DNI electrónico como una posibilidad concreta".
Procesos y costos
Con relación a los tiempos que demoraría una implementación de DNI electrónico en la escena nacional, y siempre con Europa como modelo a seguir, Adrián Giormenti comentó que "uno o dos años de pruebas piloto sería lo aconsejable".
Entre los usos más comunes del recurso el ejecutivo mencionó "las actividades de comercio electrónico, las transacciones bancarias por Internet, el pago electrónico y los trámites con los organismos estatales".
En cuando a los tiempos inherentes al reemplazo del documento tradicional por una solución digital, Giormenti dijo que "se trata de un proceso gradual".
"El paso se va dando de manera paulatina. Nunca se ve un cambio abrupto del DNI, y por citar un caso España comenzó a emitir el documento hace apenas dos años. Y hoy ya superaron los 5 millones de DNI emitidos", expresó.
¿Es costosa la migración de un documento a otro para el ciudadano común? "Por lo general, y como pasa en Europa, el DNI es subsidiado. Tiene un determinado precio al público bajo, a diferencia de lo que sucede con el pasaporte", sostuvo.
"Un DNI electrónico no puede ser demasiado caro en tanto estás obligando al ciudadano a tenerlo. Y sólo se requiere de un chip capaz de almacenar todos los datos e información que el usuario debe tener disponible para cualquier proceso", concluyó.
Puntos Importantes
* El consorcio Stork, integrado por 14 países de Europa, promoverá una implementación masiva del DNI electrónico a fin de profundizar la utilización de Internet para intercambios comerciales y el concepto de gobierno electrónico.
* Durante el 2007, en tiempos de Néstor Kirchner al frente del Ejecutivo, el Ministerio del Interior dio el primer paso hacia el DNI electrónico: llamó a licitación para la implementación de una base única de datos digitalizada.
* El Ministerio del Interior pondrá en marcha, en breve, una serie de centros digitales para la recopilación de datos, los que tendrán como principal finalidad impulsar la informatización de todos los trámites que los ciudadanos realizan, normalmente, en dependencias estatales.
Patricio Eleisegui
© iProfesional.com
Fuente:
http://www.infobaeprofesional.com/notas/70849-El-DNI-electronico-gana-presencia-en-el-mundo-y-se-acerca-a-la-Argentina.html
Aunque a menor ritmo de lo que sucede en los principales países del mundo, la Argentina está dando sus primeros pasos en pos de implementar sistemas que, diseñados para asegurar la identidad de las personas, promuevan actividades remotas y fomenten prácticas sociales y económicas amparadas en un soporte electrónico.
Esta semana se conoció que el consorcio Stork, integrado por 14 países de Europa, promoverá una implementación masiva del DNI electrónico a fin de profundizar la utilización de Internet para intercambios comerciales y el concepto de gobierno electrónico en el Viejo Continente.
El consorcio tiene prevista una serie de pruebas que se extenderán durante tres años, período en el cual buscará garantizar la aceptación de los DNI en servicios de administración electrónica instalados en España, Bélgica, Estonia, Francia, Alemania, Italia, Austria, Luxemburgo, Países Bajos, Suecia, Portugal, Eslovenia, Reino Unido, e Islandia.
La iniciativa partirá de examinar cada uno de los desarrollos en materia de identificación electrónica más utilizados para, en el mediano plazo, acordar criterios comunes de desempeño y dispositivos que garanticen la validez de los documentos en cualquiera de las naciones que conforman el Stork.
Pero ¿qué sucede con una propuesta de este tipo pero ya en el plano local? Por el momento, los intentos no han superado la etapa de pruebas. Durante el 2007, en tiempos de Néstor Kirchner al frente del Ejecutivo, el Ministerio del Interior dio el primer paso hacia el DNI electrónico: llamó a licitación para la implementación de una base única de datos digitalizada.
"El año pasado se estuvo trabajando en un proyecto, que en realidad nunca pasó de la especificación, el cual tenía que ver con todo lo necesario, desde el punto de vista tecnológico, para identificar a los ciudadanos", explicó, a iProfesional.com, Martín Codini, director del área de Desarrollo de Negocios de Indra, la firma que desarrolló el DNI en España.
"Esto tiene que ver con los datos alfanuméricos de una persona, más todo lo que tiene que ver con la biometría. O sea, las características que identifican de manera unívoca a las personas", agregó.
Por su parte, Ricardo Caputo, gerente comercial de la misma empresa, sostuvo que el DNI electrónico "iba a ser una salida de la base única de identificación, una de las tantas en realidad, y que luego tranquilamente podía ser aplicada a los padrones electorales, entre otros usos".
Intento
Lo cierto es que, más allá de ese primer intento, la iniciativa poco a poco fue perdiendo fuerza. Al respecto, Adrián Giormenti, ejecutivo de la firma de desarrollo de soluciones para gobierno electrónico Giesecke & Devrient Group (GyD), señaló que "la intención de crear una base de datos electrónica salió a licitación, y fue ganada por la compañía NEC, pero después quedó demorada".
La posterior impugnación que llevaron a cabo las empresas que no se vieron beneficiadas habría sido el principal motivo por el cual, según parece, el proceso no siguió adelante. Y obligó al Ministerio del Interior a llamar a una nueva licitación, instancia que –ya con Cristina Fernández como presidenta– situaciones como el prolongado lockout agrario culminaron por frenar nuevamente.
"A finales del año pasado el ministerio, oficialmente, dio a entender que se tenía que llamar a una nueva licitación. Pero evidentemente el proyecto fue perdiendo protagonismo en la agenda por diversas cuestiones", dijo Giormenti.
Consultado sobre la situación actual en cuanto al manejo de bases de datos, el ejecutivo explicó que "hoy existe una gran cantidad de información que opera como compartimentos estancos".
"La policía tiene su base, la Ciudad de Buenos Aires emite la licencia de conducir y tiene su propia base. Entonces cada uno tiene su base, sin intercomunicar, y eso duplica el esfuerzo a la hora de la disponibilidad de datos", añadió.
Voz oficial
A fin de conocer en qué estado se encuentran los planes de identificación electrónica a nivel gubernamental, iProfesional.com dialogó con Mariano Ramírez, director general de Gestión Informática del Ministerio del Interior, quien sostuvo que "en este momento estamos orientados a mejorar los sistemas de documentación y gestión".
"La preocupación pasa por cambiar el modo en que se realizan los trámites; por modernizar lo que todavía se hace de manera manual. Tenemos el objetivo de concretar una base de datos única, pero lo cierto es que todavía muchas cosas se hacen en papel", comentó.
"Primero necesitamos contar con una base sólida de datos, concretar la digitalización de los datos, volver electrónicos muchos procesos... Nos falta desarrollar la plataforma tecnológica que nos coloque en ese camino", reconoció.
El funcionario ratificó la licitación obtenida por NEC el año pasado –que finalmente no fue anulada–, y explicó que la misma comprendió la provisión de equipamiento de hardware y software para la implementación de AFIS, un sistema que permite la identificación automática de huellas dactilares.
"Tenemos el sistema, pero todavía no lo pudimos utilizar. No cumplimos con la fase previa de reordenar los procesos y la documentación. Cuando contemos con la plataforma, recién ahí podremos usar el aparato, que en este momento está vacío", dijo.
Reconocimiento
Ramírez sostuvo que en el cronograma de metas "está establecido poner en marcha el sistema AFIS en el corto plazo" "El plan consiste en comenzar la recolección de huellas, aunque eso se haría de manera paulatina y por demanda", explicó.
También en breve la dependencia que encabeza el funcionario pondrá en marcha una serie de centros digitales para la recopilación de datos, los que tendrán como principal finalidad impulsar la informatización de todos los trámites que los ciudadanos realizan, normalmente, en dependencias estatales.
"Para ello estamos trabajando con personal propio y profesionales de la Universidad Tecnológica Nacional (UTN). Los centros serán alrededor de 25, y estarán ubicados en Capital Federal, algunas localidades de la provincia de Buenos Aires, y el resto de las principales ciudades del interior del país", aseveró Ramírez.
¿Eso nos acerca más al demorado DNI electrónico? "Si logramos hacer eficiente la plataforma de trámites en la que estamos trabajando, podemos decir que habremos plantado la primera semilla", comentó.
Y añadió: "Luego de eso, habrá que trabajar en la expansión de la firma digital y la posibilidad de insertar todos los datos de autenticación de una persona en un dispositivo. A partir de ahí se podrá plantear al DNI electrónico como una posibilidad concreta".
Procesos y costos
Con relación a los tiempos que demoraría una implementación de DNI electrónico en la escena nacional, y siempre con Europa como modelo a seguir, Adrián Giormenti comentó que "uno o dos años de pruebas piloto sería lo aconsejable".
Entre los usos más comunes del recurso el ejecutivo mencionó "las actividades de comercio electrónico, las transacciones bancarias por Internet, el pago electrónico y los trámites con los organismos estatales".
En cuando a los tiempos inherentes al reemplazo del documento tradicional por una solución digital, Giormenti dijo que "se trata de un proceso gradual".
"El paso se va dando de manera paulatina. Nunca se ve un cambio abrupto del DNI, y por citar un caso España comenzó a emitir el documento hace apenas dos años. Y hoy ya superaron los 5 millones de DNI emitidos", expresó.
¿Es costosa la migración de un documento a otro para el ciudadano común? "Por lo general, y como pasa en Europa, el DNI es subsidiado. Tiene un determinado precio al público bajo, a diferencia de lo que sucede con el pasaporte", sostuvo.
"Un DNI electrónico no puede ser demasiado caro en tanto estás obligando al ciudadano a tenerlo. Y sólo se requiere de un chip capaz de almacenar todos los datos e información que el usuario debe tener disponible para cualquier proceso", concluyó.
Puntos Importantes
* El consorcio Stork, integrado por 14 países de Europa, promoverá una implementación masiva del DNI electrónico a fin de profundizar la utilización de Internet para intercambios comerciales y el concepto de gobierno electrónico.
* Durante el 2007, en tiempos de Néstor Kirchner al frente del Ejecutivo, el Ministerio del Interior dio el primer paso hacia el DNI electrónico: llamó a licitación para la implementación de una base única de datos digitalizada.
* El Ministerio del Interior pondrá en marcha, en breve, una serie de centros digitales para la recopilación de datos, los que tendrán como principal finalidad impulsar la informatización de todos los trámites que los ciudadanos realizan, normalmente, en dependencias estatales.
Patricio Eleisegui
© iProfesional.com
Fuente:
http://www.infobaeprofesional.com/notas/70849-El-DNI-electronico-gana-presencia-en-el-mundo-y-se-acerca-a-la-Argentina.html
Video "Escritorio Limpio"
El siguiente video fue realizado por alumnos del IUPFA (Instituto Universitario de la Policía Federal Argentina) de la carrera Licenciatura en Seguridad.
El equipo de trabajo se conformó por: Gonzalo Martinez, Leandro Dikenstein, Aurelio Fernández y Mariano Fenocchio. Profesores tutores: Ing. Oscar Schmitz y Lic. Marcelo Vallaud. Soporte técnico: Marcelo Martinez. Referencia contenidos: CXO Community.
En este trabajo muy bien logrado, observaremos el descuido y falta de protección sobre información confidencial y recursos informáticos, especialmente vinculados a la política de escritorios limpios, la cual hace referencia a almacenar papeles, CDs, DVDs y todo activo confidencial bajo condiciones de seguridad adecuadas, como ser armarios o cajones con llave, con el objetivo de preservar su confidencialidad e integridad.
Fuente: http://cxo-community.com.ar/index.php?option=com_content&task=view&id=1025&Itemid=1
El equipo de trabajo se conformó por: Gonzalo Martinez, Leandro Dikenstein, Aurelio Fernández y Mariano Fenocchio. Profesores tutores: Ing. Oscar Schmitz y Lic. Marcelo Vallaud. Soporte técnico: Marcelo Martinez. Referencia contenidos: CXO Community.
En este trabajo muy bien logrado, observaremos el descuido y falta de protección sobre información confidencial y recursos informáticos, especialmente vinculados a la política de escritorios limpios, la cual hace referencia a almacenar papeles, CDs, DVDs y todo activo confidencial bajo condiciones de seguridad adecuadas, como ser armarios o cajones con llave, con el objetivo de preservar su confidencialidad e integridad.
Fuente: http://cxo-community.com.ar/index.php?option=com_content&task=view&id=1025&Itemid=1
Herramientas para el entrenamiento y simulación de phishing segmentado
Repasando los feeds me he topado con un artículo de Xavi, en el que se habla de ataques phishing personalizados desde una perspectiva que, sin duda alguna, no es la tradicional.
Los ataques de este tipo, a los que yo prefiero llamar segmentados, como consecuencia del paralelismo más que evidente que existe entre la segmentación en marketing tradicional y los mecanismos para orientar los ataques de intento de robo de credenciales que comentamos, son responsables, según iDefense Labs, de al menos 15.000 ataques específicos contra víctimas corporativas en los últimos 15 meses. No es una cifra para tirarse de los pelos, al menos si contemplamos la tipología y montos derivados de la amalgama completa de fraudes que puede sufrir una organización, pero sí es una cifra que puede invitar a contemplar estrategias de mitigación.
Esta necesidad de promover técnicas de entrenamiento y concienciación provoca que con el paso del tiempo hayan aparecido herramientas que permiten gestionar y medir el grado de respuesta de una organización y sus integrantes ante ataques spear phishing, o de phishing segmentado. Primero fue PhishMe, una herramienta comercial dirigida al entrenamiento en este tipo de ataques, y ahora, muy recientemente, se ha anunciado la próxima liberación de Lunker, una herramienta con la misma finalidad, en formato de código abierto, que estará disponible para ser descargada y utilizada sin coste alguno.
Las herramientas de seguridad gozan de una peligrosa dualidad sobre la cual existe un eterno debate. Empleando el símil del cuchillo, podemos usarlo para cortar en rodajas un tomate, pero también podemos asestar una puñalada con él. En el caso de las herramientas de seguridad pasa exactamente igual, y el carácter imprimido al uso dependerá de quién las emplee y con qué finalidad. A buen seguro, la disponibilidad masiva de Lunker provocará que algunos usuarios, tentados con la idea de hacer dinero fácil, la usen para ejecutar ataques, aunque como es normal, existirán muchos usuarios que la emplearán para prevenir los incidentes dándole un uso adecuado.
En este debate, yo me posiciono en la parte que defiende la necesidad de que existan herramientas, aún con el riesgo de que pongan al alcance de los usuarios malintencionados medios para perpetrar un fraude. Si una organización ha utilizado una herramienta y se ha preparado y entrenado para mitigar el riesgo de fraude por robo de credenciales, no debería ser preocupante que un usuario malicioso emplee esa u otras herramientas para tratar de ejecutar un ataque. En caso de existir un buen entrenamiento y una correcta estrategia, los impactos deberían ser mínimos, ya que, al menos en mi juicio, el éxito de un ataque de phishing depende más del grado de conocimiento y la concienciación de las víctimas que de la calidad del mismo. Estoy firmemente convencido, y la experiencia así me lo ha demostrado, que el phishing, tradicional o vía troyanos, a través del conocimiento, la prudencia y la contemplación de unas medidas mínimas medidas de seguridad, no sólo puede ser mitigado, sino que puede anulado por completo. Por otro lado, los ataques siempre pueden ser lanzados sin la existencia de herramientas, cuyo riesgo potencial principal no es la ejecución en sí de las acciones maliciosas, sino, en todo caso, la facilitación de las mismas, y siempre dependiendo del caso.
Se prevé que Lunker se presente el mes que viene en la conferencia OWASP, y formará parte de la próxima versión de OWASP LiveCD. Los autores de Lunker han anunciado que estará igualmente disponible como herramienta standalone.
Fuente:http://www.sahw.com/wp/archivos/2008/08/22/herramientas-para-el-entrenamiento-y-simulacion-de-phishing-segmentado-armas-de-doble-filo/
Dropping en el uso ilegítimo de medios de pago
Publican en F-Secure un interesante artículo donde se puede aprender un poco más cómo funciona la maquinaria underground de los atacantes a la hora de blanquear capitales y/o efectuar compras ilegítimas mediante medios de pago (tarjetas en este caso) robados fraudulentamente.
Un ejemplo de lo anterior es lo que en la jerga de los delitos tecnológicos se conoce como drops. En resumen, un drop es una técnica mediante la cual los atacantes hacen reasignaciones de direcciones de envío para impedir o dificultar la trazabilidad de las compras ilegítimas, y de paso involucrar a terceros en los procesos de blanqueo y/o adquisición en línea ilegítima de bienes. El atacante compra, consigna como dirección de envío la de un tercero, y este tercero hace llegar el bien al atacante. Otra modalidad de drop consiste en el envío de los bienes a terceros, que venderán en línea el producto, y que reembolsarán al atacante con parte de los beneficios obtenidos en la venta, reteniendo el tercero una comisión. Las combinatorias son múltiples.
Esta técnica funciona particularmente bien por varios motivos:
* A los ojos del comercio online donde ha sido usada la tarjeta robada, el envío es local o bien a países confiables. Caso de existir controles antifraude basados en la confiabilidad del lugar de envío, la dirección de envío será poco sospechosa, y por tanto, a priori, no existirán indicios de blanqueo o uso ilegítimo de medios de pago. Los controles antifraude de geolicalización se pueden burlar fácilmente empleando proxies coincidentes con el país o localidad seleccionada para efectuar el drop. Construir una petición de compra que no levante sospechas es, por tanto, relativamente sencillo, sobre todo teniendo en cuenta que los comercios con controles antifraude como los descritos son los que menos abundan, siendo algo propio de grandes servicios de venta, y no de pequeñas tiendas en línea.
* A los ojos de los atacantes, el drop hace que se involucre a terceros en la trazabilidad. El comercio no factura al atacante, sino que lo hace al tercero. En términos legales, el atacante introduce e involucra a un tercero en la operación de blanqueo o uso ilegítimo, lo que hará que las responsabilidades del uso ilegítimo no sean únicamente imputables a los estafadores, sino también a los terceros. Por otro lado, el carácter local del drop hace que en caso de investigación, los esfuerzos vayan dirigidos a resolver la parte local (la del tercero involucrado), ya que normalmente, como consecuencia de la heterogeneidad de la legislación, las Fuerzas de Seguridad tienen trabas para resolver la trazabilidad interpaís, muy costosas en algunos casos y que además, no tienen garantías de éxito.
* A los ojos del tercero, el drop implica dinero fácil. Generalmente un 25% de comisión, pagadero mediante WU (Western Union), WMZ (Webmoney), E-gold y similares, y al que se une la falsa creencia de que, como el sólo es un intermediario, no tiene que ver en el robo de datos de tarjeta, y en caso de problemas, estará exento de la responsabilidad que derive del uso ilegítimo de los datos.
Consejos para evitar ser parte de una operación ilegítima de este tipo
El consejo es único, y es el de siempre: huír del dinero fácil, y recelar de cualquier oferta de empleo que nos provoque sospechas. El riesgo de ser partícipe en una trama de blanqueo, estafa o en general, una operativa ilegal, es máximo y dado que el desconocimiento de la Ley no te exime de ella, a buen seguro serás imputado en caso de la apertura de un proceso judicial. No caigas en la falsa creencia de "como yo no he sido el que ha comprado ni robado la tarjeta, no me dirán nada". Esta falsa creencia es la que alimenta que existan tramas como la descrita.
Fuente:
http://www.sahw.com/wp/archivos/2008/08/18/tecnicas-de-fraude-tecnologico-dropping-en-el-uso-ilegitimo-de-medios-de-pago/
Un ejemplo de lo anterior es lo que en la jerga de los delitos tecnológicos se conoce como drops. En resumen, un drop es una técnica mediante la cual los atacantes hacen reasignaciones de direcciones de envío para impedir o dificultar la trazabilidad de las compras ilegítimas, y de paso involucrar a terceros en los procesos de blanqueo y/o adquisición en línea ilegítima de bienes. El atacante compra, consigna como dirección de envío la de un tercero, y este tercero hace llegar el bien al atacante. Otra modalidad de drop consiste en el envío de los bienes a terceros, que venderán en línea el producto, y que reembolsarán al atacante con parte de los beneficios obtenidos en la venta, reteniendo el tercero una comisión. Las combinatorias son múltiples.
Esta técnica funciona particularmente bien por varios motivos:
* A los ojos del comercio online donde ha sido usada la tarjeta robada, el envío es local o bien a países confiables. Caso de existir controles antifraude basados en la confiabilidad del lugar de envío, la dirección de envío será poco sospechosa, y por tanto, a priori, no existirán indicios de blanqueo o uso ilegítimo de medios de pago. Los controles antifraude de geolicalización se pueden burlar fácilmente empleando proxies coincidentes con el país o localidad seleccionada para efectuar el drop. Construir una petición de compra que no levante sospechas es, por tanto, relativamente sencillo, sobre todo teniendo en cuenta que los comercios con controles antifraude como los descritos son los que menos abundan, siendo algo propio de grandes servicios de venta, y no de pequeñas tiendas en línea.
* A los ojos de los atacantes, el drop hace que se involucre a terceros en la trazabilidad. El comercio no factura al atacante, sino que lo hace al tercero. En términos legales, el atacante introduce e involucra a un tercero en la operación de blanqueo o uso ilegítimo, lo que hará que las responsabilidades del uso ilegítimo no sean únicamente imputables a los estafadores, sino también a los terceros. Por otro lado, el carácter local del drop hace que en caso de investigación, los esfuerzos vayan dirigidos a resolver la parte local (la del tercero involucrado), ya que normalmente, como consecuencia de la heterogeneidad de la legislación, las Fuerzas de Seguridad tienen trabas para resolver la trazabilidad interpaís, muy costosas en algunos casos y que además, no tienen garantías de éxito.
* A los ojos del tercero, el drop implica dinero fácil. Generalmente un 25% de comisión, pagadero mediante WU (Western Union), WMZ (Webmoney), E-gold y similares, y al que se une la falsa creencia de que, como el sólo es un intermediario, no tiene que ver en el robo de datos de tarjeta, y en caso de problemas, estará exento de la responsabilidad que derive del uso ilegítimo de los datos.
Consejos para evitar ser parte de una operación ilegítima de este tipo
El consejo es único, y es el de siempre: huír del dinero fácil, y recelar de cualquier oferta de empleo que nos provoque sospechas. El riesgo de ser partícipe en una trama de blanqueo, estafa o en general, una operativa ilegal, es máximo y dado que el desconocimiento de la Ley no te exime de ella, a buen seguro serás imputado en caso de la apertura de un proceso judicial. No caigas en la falsa creencia de "como yo no he sido el que ha comprado ni robado la tarjeta, no me dirán nada". Esta falsa creencia es la que alimenta que existan tramas como la descrita.
Fuente:
http://www.sahw.com/wp/archivos/2008/08/18/tecnicas-de-fraude-tecnologico-dropping-en-el-uso-ilegitimo-de-medios-de-pago/
Comprometidos servidores de Fedora y Red Hat
Red Hat acaba de confirmar que varios de sus servidores resultaron comprometidos por un atacante la semana pasada. El intruso logró firmar varios paquetes de OpenSSH para diversas versiones de Red Hat Entreprise Linux. Los paquetes afectados ya han sido sustituidos, pero Red Hat provee a sus usuarios de un script para permitirles comprobar si disponen de una versión comprometida. La empresa sin embargo insiste en que quienes actualizan sus sistemas vía Red Hat Network no tienen en ningún caso de qué preocuparse.
En el caso de Fedora, uno de los servidores comprometidos (hospedados por Red Hat Inc) ha sido el que contenía la clave utilizada para firmar sus paquetes. Aunque el análisis forense del equipo ha demostrado que el intruso no pudo hacerse con la contraseña necesaria para desbloquear la clave de firma, en Fedora han procedido a sustituir la clave como medida de precaución. Fedora asegura que ningún paquete fue manipulado, pero aún así está procediendo a firmarlos con la nueva clave.
No es la primera vez que resultan comprometidos servidores de distribuciones Linux. Hace ahora justo un año, tanto Gentoo como Ubuntu sufrieron incidencias embarazosas similares...
Fuentes:
http://www.kriptopolis.org/comprometidos-servidores-fedora-redhat
http://rhn.redhat.com/errata/RHSA-2008-0855.html
http://www.redhat.com/security/data/openssh-blacklist.html
http://www.kriptopolis.org/comprometidos-servidores-fedora-redhat
En el caso de Fedora, uno de los servidores comprometidos (hospedados por Red Hat Inc) ha sido el que contenía la clave utilizada para firmar sus paquetes. Aunque el análisis forense del equipo ha demostrado que el intruso no pudo hacerse con la contraseña necesaria para desbloquear la clave de firma, en Fedora han procedido a sustituir la clave como medida de precaución. Fedora asegura que ningún paquete fue manipulado, pero aún así está procediendo a firmarlos con la nueva clave.
No es la primera vez que resultan comprometidos servidores de distribuciones Linux. Hace ahora justo un año, tanto Gentoo como Ubuntu sufrieron incidencias embarazosas similares...
Fuentes:
http://www.kriptopolis.org/comprometidos-servidores-fedora-redhat
http://rhn.redhat.com/errata/RHSA-2008-0855.html
http://www.redhat.com/security/data/openssh-blacklist.html
http://www.kriptopolis.org/comprometidos-servidores-fedora-redhat
Roban informe que pone en duda edades de gimnastas Chinas
Un hacker publicó documentos del gobierno chino donde se muestra que dos medallistas de ese país en las barras asimétricas durante las olimpiadas de Beijing tendrían menos edad de la requerida para participar en las olimpiadas.
Este informa publicado por el Hacker identificado como Stryde.hax provocó que el Comité Olímpico Internacional solicite a la Federación Internacional de Gimnasia registros sobre la edad de las competidoras.
"Stryde.hax" publicó una supuesta lista con nombres, ciudades de origen y fechas de nacimiento de cientos de gimnastas chinas. El documento, titulado "Tabla de Registro Nacional de Gimnasia del 2006" está fechado el 20 de febrero del 20006 e incluye a dos miembros del equipo femenino de gimnasia chino.
He Kexin, ganadora del oro olímpico en barras asimétricas, y Yang Yilin, medallista de bronce en la misma prueba, tendrían 14 años según ese registro, mientras que para competir en las olimpiadas es necesario cumplir 16 el mismo año de los Juegos. Tang venció a su vez en la competencia individual y ambas fueron parte de el equipo chino que ganó la presea dorada por equipos.
Fuente:
http://mouse.tercera.cl/detail.asp?story=2008/08/22/18/37/06
http://strydehax.blogspot.com/2008/08/hack-olympics.html
http://strydehax.blogspot.com/2008/08/olympic-hacking-part-ii-lets-go-for.html
Este informa publicado por el Hacker identificado como Stryde.hax provocó que el Comité Olímpico Internacional solicite a la Federación Internacional de Gimnasia registros sobre la edad de las competidoras.
"Stryde.hax" publicó una supuesta lista con nombres, ciudades de origen y fechas de nacimiento de cientos de gimnastas chinas. El documento, titulado "Tabla de Registro Nacional de Gimnasia del 2006" está fechado el 20 de febrero del 20006 e incluye a dos miembros del equipo femenino de gimnasia chino.
He Kexin, ganadora del oro olímpico en barras asimétricas, y Yang Yilin, medallista de bronce en la misma prueba, tendrían 14 años según ese registro, mientras que para competir en las olimpiadas es necesario cumplir 16 el mismo año de los Juegos. Tang venció a su vez en la competencia individual y ambas fueron parte de el equipo chino que ganó la presea dorada por equipos.
Fuente:
http://mouse.tercera.cl/detail.asp?story=2008/08/22/18/37/06
http://strydehax.blogspot.com/2008/08/hack-olympics.html
http://strydehax.blogspot.com/2008/08/olympic-hacking-part-ii-lets-go-for.html
Presentaciones de Black Hat Las Vegas 2008
Ya se encuentran disponibles las presentaciones de Black Hat Las Vegas 2008.
Que las disfruten.
Cristian
Que las disfruten.
Cristian
Reino Unido pierde los datos personales de miles de delincuentes
El dispositivo informático extraviado contiene información de 10.000 delincuentes reincidentes y de 84.000 presos internados en las cárceles de Inglaterra y Gales.
Un dispositivo informático con datos personales de 10.000 delincuentes reincidentes y de 84.000 presos internados en las cárceles de Inglaterra y Gales se ha extraviado en Reino Unido, en un nuevo caso de pérdida de documentos confidenciales, según ha confirmado el Ministerio del Interior británico. El dispositivo de memoria extraíble, de la empresa PA Consulting, guarda también datos de la Computadora Nacional de la Policía acerca de 30.000 personas condenadas por diversos delitos seis o más veces en este país durante el último año.
Una portavoz de Interior ya ha asegurado que se ha abierto una "investigación rigurosa" sobre el suceso y que se ha alertado a la Policía. Por su parte, la oposición conservadora ha criticado duramente al Gobierno porque no es el primer incidente de pérdida de información de este tipo que ocurre este año.
El portavoz de Interior del Partido Conservador, Dominic Grieve, ha señalado que "lo más escandaloso es que no es la primera vez que el Gobierno demuestra ser completamente incapaz de proteger la integridad de información altamente sensible, lo que le incapacita para encomendarle la protección de nuestra seguridad".
A finales de 2007, se perdieron los nombres y números de cuentas bancarias de 25 millones de personas beneficiarias de un subsidio infantil, contenidos en dos discos, así como los datos de más de 7.600 conductores de Irlanda del Norte y de tres millones de datos de estudiantes de conducción en EE UU.
El Ministerio de Defensa del Reino Unido, por su parte, admitió el pasado mes el robo o el extravío de 747 ordenadores portátiles que guardaban información de ese departamento durante los últimos cuatro años. Además, el Gobierno británico perdió en junio pasado documentos confidenciales en varios trenes de cercanías, algunos de ellos con datos sobre la red terrorista Al Qaeda y sobre Irak.
Fuente:
http://www.elpais.com/articulo/internacional/Reino/Unido/pierde/datos/personales/miles/delincuentes/elpepuint/20080822elpepuint_2/Tes
Un dispositivo informático con datos personales de 10.000 delincuentes reincidentes y de 84.000 presos internados en las cárceles de Inglaterra y Gales se ha extraviado en Reino Unido, en un nuevo caso de pérdida de documentos confidenciales, según ha confirmado el Ministerio del Interior británico. El dispositivo de memoria extraíble, de la empresa PA Consulting, guarda también datos de la Computadora Nacional de la Policía acerca de 30.000 personas condenadas por diversos delitos seis o más veces en este país durante el último año.
Una portavoz de Interior ya ha asegurado que se ha abierto una "investigación rigurosa" sobre el suceso y que se ha alertado a la Policía. Por su parte, la oposición conservadora ha criticado duramente al Gobierno porque no es el primer incidente de pérdida de información de este tipo que ocurre este año.
El portavoz de Interior del Partido Conservador, Dominic Grieve, ha señalado que "lo más escandaloso es que no es la primera vez que el Gobierno demuestra ser completamente incapaz de proteger la integridad de información altamente sensible, lo que le incapacita para encomendarle la protección de nuestra seguridad".
A finales de 2007, se perdieron los nombres y números de cuentas bancarias de 25 millones de personas beneficiarias de un subsidio infantil, contenidos en dos discos, así como los datos de más de 7.600 conductores de Irlanda del Norte y de tres millones de datos de estudiantes de conducción en EE UU.
El Ministerio de Defensa del Reino Unido, por su parte, admitió el pasado mes el robo o el extravío de 747 ordenadores portátiles que guardaban información de ese departamento durante los últimos cuatro años. Además, el Gobierno británico perdió en junio pasado documentos confidenciales en varios trenes de cercanías, algunos de ellos con datos sobre la red terrorista Al Qaeda y sobre Irak.
Fuente:
http://www.elpais.com/articulo/internacional/Reino/Unido/pierde/datos/personales/miles/delincuentes/elpepuint/20080822elpepuint_2/Tes
martes, 12 de agosto de 2008
Los crackers golpean los principales sitios Web de Georgia
Mientras las bombas rusas caen sobre los pueblos separatistas de la antigua república soviética de Georgia, los “mercenarios” digitales se dedican a asaltar las principales páginas web del país, dejando fuera de línea al sitio del Gobierno o al de Asuntos Exteriores de Georgia.
Según el seguimiento hecho por los expertos de seguridad, el sitio Web del Ministerio de Asuntos Exteriores de Georgia (mfa.gov.ge) fue atacado ayer y su página web sustituida con imágenes que comparaban al presidente de Georgia con un nazi. El sitio está en estos momentos caído de la red.
Otras páginas web georgianas, como la Caucasus Network Tbilisi (los servidores de Internet comerciales más importantes de Georgia) siguen siendo objeto de miles de ataques desde PCs infectados que están inundando la red de tal modo que casi resulta imposible acceder a ella.
Los ataques, en apariencia coordinados, mantienen el patrón de guerra cibernética que se viene manteniendo con otras ex – repúblicas soviéticas que han atraído la indignación del gobierno ruso por distintos motivos. El mes pasado, hubo un asalto similar contra el gobierno lituano. En abril de 2007, Estonia sufrió interrupciones en su infraestructura de información por los ataques de crackers rusos que se mostraban contrarios a la retirada de la estatua que conmemoraba la Segunda Guerra Mundial Soviética en el centro de Tallin, capital de Estonia.
Fuente:
http://www.theinquirer.es/2008/08/11/los-crackers-golpean-los-principales-sitios-web-de-georgia.html
http://voices.washingtonpost.com/securityfix/2008/08/georgian_web_sites_under_attac.html?nav=rss_blog
Según el seguimiento hecho por los expertos de seguridad, el sitio Web del Ministerio de Asuntos Exteriores de Georgia (mfa.gov.ge) fue atacado ayer y su página web sustituida con imágenes que comparaban al presidente de Georgia con un nazi. El sitio está en estos momentos caído de la red.
Otras páginas web georgianas, como la Caucasus Network Tbilisi (los servidores de Internet comerciales más importantes de Georgia) siguen siendo objeto de miles de ataques desde PCs infectados que están inundando la red de tal modo que casi resulta imposible acceder a ella.
Los ataques, en apariencia coordinados, mantienen el patrón de guerra cibernética que se viene manteniendo con otras ex – repúblicas soviéticas que han atraído la indignación del gobierno ruso por distintos motivos. El mes pasado, hubo un asalto similar contra el gobierno lituano. En abril de 2007, Estonia sufrió interrupciones en su infraestructura de información por los ataques de crackers rusos que se mostraban contrarios a la retirada de la estatua que conmemoraba la Segunda Guerra Mundial Soviética en el centro de Tallin, capital de Estonia.
Fuente:
http://www.theinquirer.es/2008/08/11/los-crackers-golpean-los-principales-sitios-web-de-georgia.html
http://voices.washingtonpost.com/securityfix/2008/08/georgian_web_sites_under_attac.html?nav=rss_blog
La seguridad de Vista ¿inútil?
Dos expertos en seguridad han logrado superar las barreras de seguridad impuestas en el último sistema operativo de Microsoft, y han convertido en un juego de niños poder cargar cualquier contenido en el ordenador de la víctima. Los métodos de prevención de intrusiones tales como las tecnologías ASLR o DEP, así como los controles ActiveX y los programas en código .NET o Java quedan totalmente en ridículo ante estos ataques.
Mark Dowd de IBM Internet Security Systems (ISS) y Alexander Sotirov de VMware Inc. ofrecieron una conferencia en el famoso evento de seguridad Black Hat en el que desvelaron nuevos métodos para superar los mecanismos de seguridad impuestos en el último sistema operativo de Microsoft, Windows Vista. Gracias a dicha técnica es posible hacer que tecnologías como Data Execution Prevention (DEP) o Address Space Layout Randomization (ASLR) sean totalmente inútiles, al igual que los basados en controles ActiveX o programas en Java y .NET.
Seguir leyendo
Mark Dowd de IBM Internet Security Systems (ISS) y Alexander Sotirov de VMware Inc. ofrecieron una conferencia en el famoso evento de seguridad Black Hat en el que desvelaron nuevos métodos para superar los mecanismos de seguridad impuestos en el último sistema operativo de Microsoft, Windows Vista. Gracias a dicha técnica es posible hacer que tecnologías como Data Execution Prevention (DEP) o Address Space Layout Randomization (ASLR) sean totalmente inútiles, al igual que los basados en controles ActiveX o programas en Java y .NET.
Seguir leyendo
Google Gadgets es un coladero para los ataques
Los expertos reunidos en Black Hat creen que los usuarios de Google y sobre todo Gmail son más vulnerables a los ataques a través del “agujero” de Google Gadgets.
“El atacante puede instalar Google Gadgets; puede leer el historial de la víctima después de instalar un gadget malicioso en ciertas circunstancias; puede atacar a otros Google Gadgets; robar los nombres de usuario y contraseñas y mucho más”, explicó Robert Hansen, también conocido como RSnake, fundador de la consultora de seguridad SecTheory, y continuó: “de verdad que no hay límite cuando el navegador es controlado por el atacante. Y este hecho se magnifica porque la gente confía en Google como en un dominio seguro, haciendo que los ataques sean aún más fáciles”.
Hansen comentó que los usuarios más vulnerables son aquellos que utilizan Google y Gmail desde el servicio de correo electrónico basado en Web para registrarse. El ataque se produce a través de usuarios que añaden módulos intencionadamente; un usuario puede ser engañado para que añada un módulo malicioso a su página iGoogle. “Estos usuarios utilizan casi todos JavaScript y navegadores web normales, por lo que resulta difícil reconocerlos”, añadió.
Tom Stracener, analista de seguridad de Cenzic está de acuerdo. Las fórmulas son variadas y va extendiéndose conforme aumenta el número de personas que confían en el sitio de creación de página de inicio de Google, incluido las empresas.
Fuente:
http://www.theinquirer.es/2008/08/11/google-gadgets-es-un-coladero-para-los-ataques.html
http://www.infoworld.com/article/08/08/08/Google_Gadgets_an_open_door_for_attack_1.html
“El atacante puede instalar Google Gadgets; puede leer el historial de la víctima después de instalar un gadget malicioso en ciertas circunstancias; puede atacar a otros Google Gadgets; robar los nombres de usuario y contraseñas y mucho más”, explicó Robert Hansen, también conocido como RSnake, fundador de la consultora de seguridad SecTheory, y continuó: “de verdad que no hay límite cuando el navegador es controlado por el atacante. Y este hecho se magnifica porque la gente confía en Google como en un dominio seguro, haciendo que los ataques sean aún más fáciles”.
Hansen comentó que los usuarios más vulnerables son aquellos que utilizan Google y Gmail desde el servicio de correo electrónico basado en Web para registrarse. El ataque se produce a través de usuarios que añaden módulos intencionadamente; un usuario puede ser engañado para que añada un módulo malicioso a su página iGoogle. “Estos usuarios utilizan casi todos JavaScript y navegadores web normales, por lo que resulta difícil reconocerlos”, añadió.
Tom Stracener, analista de seguridad de Cenzic está de acuerdo. Las fórmulas son variadas y va extendiéndose conforme aumenta el número de personas que confían en el sitio de creación de página de inicio de Google, incluido las empresas.
Fuente:
http://www.theinquirer.es/2008/08/11/google-gadgets-es-un-coladero-para-los-ataques.html
http://www.infoworld.com/article/08/08/08/Google_Gadgets_an_open_door_for_attack_1.html
Análisis de riesgo gráfico
Por Omar Alejandro Herrera Reyna
Hace ya unos 6 años publiqué un paper sobre una metodología gráfica de análisis de riesgos. Las referencias todavía están por ahí en Internet pero los sitios donde estaba almacenado el paper ya no parecen estar en línea, así que aquí dejo una liga y el abstract para quien le interese:
Graphical Risk Analysis (GRA): A Methodology To Aid In Modeling Systems For Information Security Risk analysis
Risk analysis for information security, as we know it today, is a difficult task involving experience and extensive knowledge of the environment being analyzed. There are already many methodologies out there but most fall in the category of what we call “check lists” or “questionnaires”.Fuente: http://candadodigital.blogspot.com/2008/08/papers-anlisis-de-riesgos-grfico.html
I will present a methodology, “Graphical Risk Analysis” (GRA), that can aid in risk analysis activities for information security. The approach is based on well-known system security principles and uses diagrams to model the system at different abstract levels. The information security risk analyst can, with this approach, ensure that he/she understands the main business processes which the system environment supports, analyze in detail the critical parts of an information system that are most critical from a business perspective.
GRA intends to be a simple risk analysis methodology focused on availability and dependency of services and systems; although it is not intended to be an all inclusive solution, it will be useful in conjunction with other methodologies, in all information security risk analysis activities.
Vulnerabilidades en los procesadores Intel podrían comprometer el sistema
El investigador ruso Kris Kaspersky planea demostrar en una conferencia de seguridad el próximo mes de octubre, vulnerabilidades de los procesadores de Intel que permitirían realizar ataques remotos y tomar el control del equipo, independientemente del sistema operativo que se esté utilizando.
El pasado viernes el especialista señaló que ha estado en comunicación con Intel desde hace un mes y la empresa está centrando su atención en 2 fallas críticas que permitirían ejecutar código arbitrario de forma remota, sin embargo el investigador asegura que existen otros errores no críticos y la empresa por el momento no tiene planes para solucionarlos.
Kaspersky (no la empresa de seguridad Kaspersky Lab) tiene previsto realizar una prueba de concepto y demostrar cómo utilizar código JavaScript o paquetes TCP/IP para efectuar ataques y comprometer los sistemas, sin importar la plataforma en que se basen. Para evitar el caos y los ataques masivos no revelará las partes críticas de su código, sin embargo presentará algunos fragmentos para explicar cómo funciona el ataque.
El especialista también comentó que los errores en los CPUs han contribuido a dañar los discos duros de los equipos sin que los usuarios pudieran detectarlo. De ser demostrados los errores descubiertos, todas las computadoras desde personales hasta servidores, podrían estar en peligro.
Según Kaspersky, "es posible solucionar la mayoría de los bugs e Intel ofrece soluciones para los principales proveedores de BIOS", es decir, el software que controla las funciones más básicas de una PC.
Fuente: http://www.rompecadenas.com.ar/articulos/2045.php
El pasado viernes el especialista señaló que ha estado en comunicación con Intel desde hace un mes y la empresa está centrando su atención en 2 fallas críticas que permitirían ejecutar código arbitrario de forma remota, sin embargo el investigador asegura que existen otros errores no críticos y la empresa por el momento no tiene planes para solucionarlos.
Kaspersky (no la empresa de seguridad Kaspersky Lab) tiene previsto realizar una prueba de concepto y demostrar cómo utilizar código JavaScript o paquetes TCP/IP para efectuar ataques y comprometer los sistemas, sin importar la plataforma en que se basen. Para evitar el caos y los ataques masivos no revelará las partes críticas de su código, sin embargo presentará algunos fragmentos para explicar cómo funciona el ataque.
El especialista también comentó que los errores en los CPUs han contribuido a dañar los discos duros de los equipos sin que los usuarios pudieran detectarlo. De ser demostrados los errores descubiertos, todas las computadoras desde personales hasta servidores, podrían estar en peligro.
Según Kaspersky, "es posible solucionar la mayoría de los bugs e Intel ofrece soluciones para los principales proveedores de BIOS", es decir, el software que controla las funciones más básicas de una PC.
Fuente: http://www.rompecadenas.com.ar/articulos/2045.php
martes, 5 de agosto de 2008
Entrevista a dos maestros de la industria antimalware
Dos excelentes entrevista y videos realizados por IDG.
He tenido el placer de conocer y cenar con estos maestros de de la industria antivirus. Dos personas excelentes que son conscientes de todo lo que saben y lo comparten sin problemas.
Han trabajado como consultores en distintos lugares y actualmente su conocimiento es invalorable en las empresas en las que trabajan.
Por un lado David Perry Director mundial de formación de Trend Micro, desvela la evolución de los ataques informáticos, qué amenaza la seguridad en la Red y por el otro Larry Bridwell, vicepresidente de estrategias de seguridad global de AVG aporta sus comentarios sobre seguridad en la Red.
Cristian
Fuente:
http://www.idg.es/
http://www.xombra.com/
He tenido el placer de conocer y cenar con estos maestros de de la industria antivirus. Dos personas excelentes que son conscientes de todo lo que saben y lo comparten sin problemas.
Han trabajado como consultores en distintos lugares y actualmente su conocimiento es invalorable en las empresas en las que trabajan.
Por un lado David Perry Director mundial de formación de Trend Micro, desvela la evolución de los ataques informáticos, qué amenaza la seguridad en la Red y por el otro Larry Bridwell, vicepresidente de estrategias de seguridad global de AVG aporta sus comentarios sobre seguridad en la Red.
Cristian
Fuente:
http://www.idg.es/
http://www.xombra.com/
Mapeando ITIL v.3 y Cobit 4.1
ISACA ha publicado el documento de mapeo entreITIL V3 y Cobit 4.1; es el resultado de un trabajo que era bastante complicado de hacer, ya que como en los demás documentos de mapeo, se intenta realizar un análisis de cómo se referencia cada uno de los objetivos de control detallados de Cobit en ITIL V3 y para poder hacer esto el equipo de trabajo debe tener grandes conocimientos de ambos extremos de la comparación.
En este estudio ha habido varias cosas que me han llamado la atención: lo primero es la evolución que ha habido en la metodología de realización de estos estudios: si miramos el documento de mapeo de ITIL V2 con Cobit 4.0 (fechado en Enero de 2007) veremos que el nivel de detalle al que se ha llegado en este nuevo análisis es mucho mayor y que ya no es tan absoluto como antes (en el de V2 se analizaba si un objetivo de control se cubre o no, booleano, blanco o negro); sin embargo, ahora hay una escala en la que se habla de cubrir "mucho, poco o nada" un objetivo de control.
Otro de los detalles que me ha parecido interesante es ver de forma gráfica la evolución de ITIL en cuanto al nivel de cobertura a las necesidades de un departamento IT. Si miramos los mapas de cobertura veremos que ITIL V2 cubría una pequeña parte de Cobit (sobre todo en la parte de Deliver and Support, como era de esperar) mientras que la cobertura de V3 es mucho más amplia.
Por último, me llamó la atención ese "agujero" que quedaba en DS... ¿qué pasaba con DS7, que no estaba cubierto?; así que me fui al manual de Cobit a buscar qué era el DS7 y me encontré con una gran sorpresa:
DS7 Educate and Train Users
Impresionante! Según este análisis, ITIL V3 no cubre en ningún aspecto la formación del usuario final. Y al menos por lo que yo he leído, es prácticamente cierto, salvo porque en alguna parte del Service Transition se habla de formar a los usuarios y en V2, en alguna parte de la Gestión de Versiones también se habla de la formación de usuarios. Pero desde luego no es algo a lo que se le preste una atención especial sino que se menciona "de pasada".
¡¡Qué gran carencia!! Visión de servicio? Tratar al usuario como a un cliente? Hacemos de todo para asegurar unos servicios de calidad y no nos acordamos de formar a los usuarios en el uso de los servicios?
Aquí me viene a la cabeza la definición de Mark Toomey sobre el Gobierno de TI y la nueva norma ISO 38500:
Las TIC son una herramienta del negocio. Es responsabilidad del Negocio determinar cómo, cuándo, dónde y porqué utilizará la herramienta y es responsabilidad de IT proporcionar la herramienta que satisfaga estas necesidades.Pero no sólo estamos hablando de entregar una herramienta que satisfaga las necesidades, sino que también hemos de garantizar que quien ha de usar la herramienta sabrá sacar el máximo partido de ella; y no ya sólo por una visión egoísta del tema, en cuanto a que a medida que los usuarios estén más y mejor formados, menos problemas tendremos en IT (en soporte funcional, técnico o en peticiones, por ejemplo) sino que cuanto más y mejor estén formados los usuarios más partido podrán sacar de las herramientas que les proporcionemos y podrán aportar mayores eficiencias gracias al uso adecuado de las TIC.
Formar a los usuarios es una gran inversión, pero ITIL V3 se olvidó de ello.
Fuente:
www.gobiernotic.es/2008/08/mapping-itil-v3-with-cobit-41.html
http://seguridad-informacion.blogspot.com/2008/08/mapping-itil-v3-with-cobit-41.html
https://www.isaca.org/Template.cfm?Section=home&Template=/ContentManagement/ContentDisplay.cfm&ContentID=43999
OSSTMM 3.0 Lite publicado
El paso 3 de agosto se publico la versión 3.0 Lite de OSSTMM (Open Source Security Testing Methodology Manual). El manual de 52 paginas tiene el titulo "Introduction and Sample to the Open Source Security Testing Methodology Manual"
El documento es una versión reducida del OSSTMM version 3.0, pero incluye "Data Networking tests" así como instrucciones sobre como implementarlo.
Table of Contents
- Introduction to the OSSTMM
- Compliance
- Security Test Types
- Methodology By Channel
- Testing Data Networks
- Security Test Audit Report (STAR)
Fuente: http://seguridad-informacion.blogspot.com/2008/08/osstmm-30-lite-publicly-released.html
El documento es una versión reducida del OSSTMM version 3.0, pero incluye "Data Networking tests" así como instrucciones sobre como implementarlo.
Table of Contents
- Introduction to the OSSTMM
- Compliance
- Security Test Types
- Methodology By Channel
- Testing Data Networks
- Security Test Audit Report (STAR)
Fuente: http://seguridad-informacion.blogspot.com/2008/08/osstmm-30-lite-publicly-released.html
Crackers contra Twitter
La red de 'micro blogs' recibe el primer ataque documentado desde su creación.
Los delincuentes informáticos han puesto su punto de mira en las redes sociales, donde millones de internautas de todo el mundo comparten a diario millones de fotos, vídeos y experiencias. La última víctima ha sido el site de micro blogging Twitter.
Según informa la web de la BBC, un grupo de crackers brasileños estaría utilizando un perfil falso de Twitter para distribuir un virus del tipo gusano entre los usuarios del site.
Así, utilizando como gancho un inexistente vídeo de contenido pornográfico, los ciberdelincuentes remiten a los incautos twitteros a una página desde la que, supuestamente, se descargan una nueva versión del programa necesario para visualizar el vídeo (en este caso, Adobe Flash). Pero, en su lugar, se instala en el ordenador un virus programado para robar los datos del internauta. Este virus únicamente afecta a los usuarios de Windows.
El ataque, descubierto por la firma de seguridad en Internet Karspersky, es el primero documentado en la famosa red social.
El anuncio sigue a otros dos realizados por la misma firma sobre sendos virus diseñados para infectar a los usuarios de MySpace y Facebook, dos de las redes sociales más importantes del mundo. Según Karspersky, los gusanos convierten las máquinas infectadas en zombis al servicio de los crackers y cuyo cometido es mandar spam (correo electrónico no deseado), lanzar ataques de phising o, simplemente, robar datos personales.
"Desafortunadamente", asegura uno de los analistas de Karspersky, Alexander Gostev, "los usuarios confían demasiado en los mensajes que les envían sus contactos en las redes sociales, por lo que la probabilidad de que un usuario pinche en un enlace como estos es muy alta".
Fuente: http://www.elpais.com/articulo/internet/Crackers/Twitter/elpeputec/20080805elpepunet_9/Tes
Los delincuentes informáticos han puesto su punto de mira en las redes sociales, donde millones de internautas de todo el mundo comparten a diario millones de fotos, vídeos y experiencias. La última víctima ha sido el site de micro blogging Twitter.
Según informa la web de la BBC, un grupo de crackers brasileños estaría utilizando un perfil falso de Twitter para distribuir un virus del tipo gusano entre los usuarios del site.
Así, utilizando como gancho un inexistente vídeo de contenido pornográfico, los ciberdelincuentes remiten a los incautos twitteros a una página desde la que, supuestamente, se descargan una nueva versión del programa necesario para visualizar el vídeo (en este caso, Adobe Flash). Pero, en su lugar, se instala en el ordenador un virus programado para robar los datos del internauta. Este virus únicamente afecta a los usuarios de Windows.
El ataque, descubierto por la firma de seguridad en Internet Karspersky, es el primero documentado en la famosa red social.
El anuncio sigue a otros dos realizados por la misma firma sobre sendos virus diseñados para infectar a los usuarios de MySpace y Facebook, dos de las redes sociales más importantes del mundo. Según Karspersky, los gusanos convierten las máquinas infectadas en zombis al servicio de los crackers y cuyo cometido es mandar spam (correo electrónico no deseado), lanzar ataques de phising o, simplemente, robar datos personales.
"Desafortunadamente", asegura uno de los analistas de Karspersky, Alexander Gostev, "los usuarios confían demasiado en los mensajes que les envían sus contactos en las redes sociales, por lo que la probabilidad de que un usuario pinche en un enlace como estos es muy alta".
Fuente: http://www.elpais.com/articulo/internet/Crackers/Twitter/elpeputec/20080805elpepunet_9/Tes
Anuncian desbloqueo del iPhone 3G vía tarjeta SIM
Aún no es posible usar el iPhone 3G con cualquier compañía, pero está claro que los señores hackers ya están trabajando en un software que solucione ese inconveniente. Mientras tanto, USB Fever, una compañía que vende accesorios para teléfonos celulares, ha anunciado que el 20 de agosto próximo comenzará a vender una tarjeta de desbloqueo SIM para el iPhone 3G, la cual te permitirá usar el celular de Apple con tu proveedor favorito.
La tarjeta en cuestión es muy delgada (0.10mm), lleva incorporado un microcontrolador; y se coloca entre la tarjeta SIM de tu compañía y el conector SIM del teléfono. Según USB Fever, esta es una manera muy sencilla de desbloquear el iPhone 3G, y sin riesgo de dañar el equipo o perder la garantía. ¿Cuanto? USD34.99. Pero claro, primero necesitas un conseguir el famoso teléfono.
Fuente:
http://www.usbfever.com/index_eproduct_view.php?products_id=624
http://www.fayerwayer.com/2008/08/anuncian-desbloqueo-del-iphone-3g-via-tarjeta-sim/
La tarjeta en cuestión es muy delgada (0.10mm), lleva incorporado un microcontrolador; y se coloca entre la tarjeta SIM de tu compañía y el conector SIM del teléfono. Según USB Fever, esta es una manera muy sencilla de desbloquear el iPhone 3G, y sin riesgo de dañar el equipo o perder la garantía. ¿Cuanto? USD34.99. Pero claro, primero necesitas un conseguir el famoso teléfono.
Fuente:
http://www.usbfever.com/index_eproduct_view.php?products_id=624
http://www.fayerwayer.com/2008/08/anuncian-desbloqueo-del-iphone-3g-via-tarjeta-sim/
Guía de Seguridad de Windows Vista
La guía de seguridad de Windows Vista es un recurso único para todo administrador o usuario avanzado que desee tener un entorno seguro. A día de hoy está disponible en Inglés la versión 1.2 y la puedes descargar del siguiente URL: Guía de Seguridad de Windows Vista.
Aquí tienes una breve descripción de los temas tocados en las 100 páginas que conforman esta guía.
Capítulo 1: Implementar la línea base de seguridad
Este capítulo está dedicado a los conceptos clave de la fortificación de una plataforma Windows. En él se analiza cual es proceso de creación de la llamda línea base de seguridad, es decir, los principios comunes que deben aplicarse a máquinas en stand-alone o clientes en entornos corporativos. En él se introduce la herrmiaent GPOAccelerator, para la edición de políticas en clientes Windows Vista.
Capítulo 2: Defensa contra el Malware.
En este capítulo de la guía se analizan las tecnologías que Windows Vista ofrece para luchar contra la inclusión de software no deseado dentro de la plataforma. Así como se dan recomendaciones de uso del sistema, se estudia el funcionamiento del Userr Account Control, de Windows Defender, la configuración y uso de Windows Firewall, el Windows Security Center, como funciona la Malicious Software Removal Tool o como se configuran las Software Restriction Policies. Especial atención se presta en este capítulo a la fortificación de Internet Explorer 7, dónde se anliza el Modo Protegido, la configuración de componentes Activex mediante ActiveX Ipt-in, la protección Cross-Domain Scripting Attack, como funciona la Security Status Bar y el Filtro Anti-Phising, la gestión de Add-ons, y otras opciones de seguridad que acompañan a IE7 como Binary Behavior Security Restriction, Consistent MIME Handling, Local Machine Zone Lockdown Security, MIME Sniffing Safety Feature, MK Protocol Security Restriction, Network Protocol Lockdown, Object Caching Protection, Protection From Zone Elevation, Restrict ActiveX Install, Restrict File Download o Scripted Windows Security Restrictions.
Capítulo 3: Protección de datos sensibles.
Este capítulo se centra en la protección de datos mediante el uso de BitLocker Drive Encryption, EFS (Encrypting File System), el suo de los Rights Management Services y la configuración del control de dispositivos. Un capítulo dedicado a los algoritmos y herramientas de cifrado en Windows Vista.
Capítulo 4: Compatibilidad de aplicaciones
En esta parte de la guía se trata uno de los temas más calientes en el uso de Windows Vista. Está centrado en la compatibilidad de aplicaciones que no es completa, debido al cambio en la arquitectura, con sistemas operativos anteriores. En este apartado de la guía se ven las comprobaciones de compatibilidad que deben hacerse, las temas importantes a tener en cuenta y las herramientas y recursos disponibles para lograr la máxima compatibilidad de aplicaciones en una migración de sistema operativo.
Capítulo 5: Seguridad Especializada - Funcionalmente Limitado
El último capítulo está dedicado a la fortificación de sistemas en entornos limitados. Así se tratan temas como la restricción de servicios, el acceso a datos, el acceso restrigido de red, como fortificar las conexiones mediante el filtrado de red, y como implementar políticas de seguridad utilizando la herramienta GPOAccelerator Tool
Más información (Vista-Técnica)
El robo de notebooks llega a 54% de los delitos que sufren las empresas
El 71% de los atracos de portátiles tiene como sospechosos al propio personal interno de las compañías. Por cada unidad, las firmas pierden 61.000 dólares.
Un estudio realizado entre empresas internacionales, las compañías sufren importantes pérdidas de capital y de información con cada denuncia de robo o extravío de las notebooks con las que proveen a sus empleados.En este contexto, la investigación mostró que el 71% de las denuncias recibidas tuvieron por sospechosos a personal interno, ya sea de empleados que están prontos a dejar sus puestos o de personal contratado a terceros y que realizan tareas desde las oficinas del cliente.
"Este dato justificaría que el 54% de los delitos que sufren las empresas estén vinculados al robo de notebooks, ya que cerca del 34% de los empleados guarda en ellas los usuarios y códigos de acceso a documentos clasificados, aplicaciones y datos sensibles de las empresas para las que trabajan", explica un comunicado de prensa de LoJack.
En este sentido, según el informe, "las empresas pierden un promedio de u$s61.000 por cada notebook que sus empleados denuncian como robada o perdida".
Escasa cobertura
"El principal problema que tienen las empresas es que no han desarrollado políticas que les permitan garantizar el resguardo de la información que manejan sus empleados, ya sea porque no existen políticas y una autoridad visibles en la materia o por falta de una eficiente inducción durante el proceso de capacitación del empleado", señala Carlos Mackinlay (h), Gerente General de LoJack Argentina.
"Hemos visto que en los casos donde la empresa no ha tomado medidas para prevenir el robo o implementar medidas para recuperar las notebooks, el 97% máquinas denunciadas jamás fue recuperado", dijo el ejecutivo.
Fuente: http://www.infobae.com/contenidos/395736-100918-0-El-robo-de-notebooks-llega-a-de-los-delitos-que-sufren-las-empresas
El Messenger demuestra la teoría de los seis grados
Un estudio de Microsoft confirma que dos personas cualesquiera están separadas, como mucho, por seis eslabones.
La leyenda urbana dice que todos estamos relacionados con cualquier otra persona del planeta por no más de seis grados de separación y Microsoft acaba de demostrar que es cierto, aunque no son seis grados sino casi siete.
Un estudio de Microsoft, recogido este lunes por la prensa de Estados Unidos, corrobora que dos individuos cualesquiera están conectados entre sí por no más de 6,6 grados de separación, es decir, que son necesarios siete o menos intermediarios para relacionarlos.
Para demostrar que a nadie le separan más de siete pasos de George Clooney o Angelina Jolie, el gigante del software ha utilizado 30.000 millones de conversaciones electrónicas de 180 millones de usuarios de su servicio de mensajería instantánea Messenger.
El estudio, que usó datos de 2006, partió de la base que dos personas se conocían si habían intercambiado al menos un mensaje de texto.
Los investigadores descubrieron que cualquier par de usuarios estaba interconectado por una media de 6,6 eslabones, aunque en algunos casos eran necesarios hasta 29 para relacionar a dos personas.
"Esta es la primera vez que una red social a escala planetaria ha logrado validar la teoría de los seis grados de separación", señalan Eric Horvitz y Jure Leskovec, responsables del estudio, al diario The Washington Post.
Desde la década de los sesenta, diferentes investigadores han indagado en las interconexiones entre los seres humanos, intentando demostrar que, en realidad, la cadena entre un campesino en Camboya y un multimillonario estadounidense, por ejemplo, es más corta de lo que parece.
Curiosamente, casi todos los estudios llegaron a un número de interconexiones en torno al seis.
Con la llegada del correo electrónico y las redes sociales en Internet, la teoría de los "seis grados de separación" ganó en popularidad, inspirando la creación de varios juegos en la Red.
Fuente: http://www.elpais.com/articulo/internet/Messenger/demuestra/teoria/grados/elpeputec/20080804elpepunet_7/Tes
La leyenda urbana dice que todos estamos relacionados con cualquier otra persona del planeta por no más de seis grados de separación y Microsoft acaba de demostrar que es cierto, aunque no son seis grados sino casi siete.
Un estudio de Microsoft, recogido este lunes por la prensa de Estados Unidos, corrobora que dos individuos cualesquiera están conectados entre sí por no más de 6,6 grados de separación, es decir, que son necesarios siete o menos intermediarios para relacionarlos.
Para demostrar que a nadie le separan más de siete pasos de George Clooney o Angelina Jolie, el gigante del software ha utilizado 30.000 millones de conversaciones electrónicas de 180 millones de usuarios de su servicio de mensajería instantánea Messenger.
El estudio, que usó datos de 2006, partió de la base que dos personas se conocían si habían intercambiado al menos un mensaje de texto.
Los investigadores descubrieron que cualquier par de usuarios estaba interconectado por una media de 6,6 eslabones, aunque en algunos casos eran necesarios hasta 29 para relacionar a dos personas.
"Esta es la primera vez que una red social a escala planetaria ha logrado validar la teoría de los seis grados de separación", señalan Eric Horvitz y Jure Leskovec, responsables del estudio, al diario The Washington Post.
Desde la década de los sesenta, diferentes investigadores han indagado en las interconexiones entre los seres humanos, intentando demostrar que, en realidad, la cadena entre un campesino en Camboya y un multimillonario estadounidense, por ejemplo, es más corta de lo que parece.
Curiosamente, casi todos los estudios llegaron a un número de interconexiones en torno al seis.
Con la llegada del correo electrónico y las redes sociales en Internet, la teoría de los "seis grados de separación" ganó en popularidad, inspirando la creación de varios juegos en la Red.
Fuente: http://www.elpais.com/articulo/internet/Messenger/demuestra/teoria/grados/elpeputec/20080804elpepunet_7/Tes
La Justicia aceptó que el empleado "infiel" difunda información
El juez hizo lugar a una medida cautelar para que Arbizu pueda dar a conocer los datos que obtuvo en forma ilícita tras la relación laboral con JP Morgan.
La Justicia en lo Comercial rechazó un planteo de la banca estadounidense JP Morgan para prohibirle a un presunto empleado infiel, a su abogado y a todos los medios de comunicación, la difusión de bases de datos que habrían sido robadas y que contendrían información "confidencial y privilegiada" sobre sus clientes en Latinoamérica.
El juez en lo comercial Javier Cosentino aceptó parcialmente una medida cautelar pedida para que el supuesto empleado infiel, Hernán Arbizu, sospechado de una estafa del orden de los u$s2,7 millones, difunda públicamente esa información que habría "obtenido ilícitamente como consecuencia de la relación laboral que lo vinculara con el JP Morgan o la cartera de clientes de éste".
Sin embargo, la resolución advierte que esa prohibición "no debe afectar aquella información que eventualmente pudiera brindar el demandado en las acciones penales iniciadas en su contra", de modo tal que si fuera necesario para garantizar su derecho de defensa, la medida cautelar no tendría vigencia, según publicó DyN.
El juez Cosentino rechazó que la restricción informativa fuera aplicada al abogado de Arbizu, Pablo Argibay Molina, "y a cualquier persona y medio técnico de comunicación social que obtuvieren la información cuestionada".
"La acreditación de la conducta sindicada al demandado respecto del apoderamiento de dicha información y su entrega a medios masivos de difusión pública sólo puede, en esta instancia, basarse en circunstancias presuncionales pues, a diferencia de otras posibles afectaciones, ésta no se caracterizaría por una evidencia obvia", sostuvo el juez.
JP Morgan sostuvo que Arbizu habría robado bases de datos que contendrían información sobre los clientes de la banca en la región latinoamericana, por lo que "su eventual divulgación masiva podría traer como consecuencia el descrédito y la falta de confianza que constituyen para cualquier entidad financiera factores determinantes que inciden directamente en el regular desenvolvimiento dela entidad".
Al rechazar la cautelar contra el abogado y contra los medios de comunicación, el juez advirtió que "acceder a la prohibición con la amplitud requerida importaría un avasallamiento improcedente sobre derechos de terceros, que podrían ver restringido su derecho de información por causa ajena a su responsabilidad".
"La acción de informar ha de ser preservada al máximo a fin de garantizar el pleno ejercicio del derecho de información, que constituye al periodismo en reducto privilegiado para el pleno ejercicio de la libertad de expresión autónoma", resumió, citando jurisprudencia de la Corte.
Fuente:
http://www.infobaeprofesional.com/notas/70014-La-Justicia-acepto-que-el-empleado-infiel-difunda-informacion.html&cookie
La Justicia en lo Comercial rechazó un planteo de la banca estadounidense JP Morgan para prohibirle a un presunto empleado infiel, a su abogado y a todos los medios de comunicación, la difusión de bases de datos que habrían sido robadas y que contendrían información "confidencial y privilegiada" sobre sus clientes en Latinoamérica.
El juez en lo comercial Javier Cosentino aceptó parcialmente una medida cautelar pedida para que el supuesto empleado infiel, Hernán Arbizu, sospechado de una estafa del orden de los u$s2,7 millones, difunda públicamente esa información que habría "obtenido ilícitamente como consecuencia de la relación laboral que lo vinculara con el JP Morgan o la cartera de clientes de éste".
Sin embargo, la resolución advierte que esa prohibición "no debe afectar aquella información que eventualmente pudiera brindar el demandado en las acciones penales iniciadas en su contra", de modo tal que si fuera necesario para garantizar su derecho de defensa, la medida cautelar no tendría vigencia, según publicó DyN.
El juez Cosentino rechazó que la restricción informativa fuera aplicada al abogado de Arbizu, Pablo Argibay Molina, "y a cualquier persona y medio técnico de comunicación social que obtuvieren la información cuestionada".
"La acreditación de la conducta sindicada al demandado respecto del apoderamiento de dicha información y su entrega a medios masivos de difusión pública sólo puede, en esta instancia, basarse en circunstancias presuncionales pues, a diferencia de otras posibles afectaciones, ésta no se caracterizaría por una evidencia obvia", sostuvo el juez.
JP Morgan sostuvo que Arbizu habría robado bases de datos que contendrían información sobre los clientes de la banca en la región latinoamericana, por lo que "su eventual divulgación masiva podría traer como consecuencia el descrédito y la falta de confianza que constituyen para cualquier entidad financiera factores determinantes que inciden directamente en el regular desenvolvimiento dela entidad".
Al rechazar la cautelar contra el abogado y contra los medios de comunicación, el juez advirtió que "acceder a la prohibición con la amplitud requerida importaría un avasallamiento improcedente sobre derechos de terceros, que podrían ver restringido su derecho de información por causa ajena a su responsabilidad".
"La acción de informar ha de ser preservada al máximo a fin de garantizar el pleno ejercicio del derecho de información, que constituye al periodismo en reducto privilegiado para el pleno ejercicio de la libertad de expresión autónoma", resumió, citando jurisprudencia de la Corte.
Fuente:
http://www.infobaeprofesional.com/notas/70014-La-Justicia-acepto-que-el-empleado-infiel-difunda-informacion.html&cookie
Las amenazas online cuestan a los consumidores 8.500 millones de dólares
Los problemas de seguridad llegan a ser uno de los principales motivos por lo que los usuarios se compran un nuevo ordenador.
En los últimos dos años los consumidores han perdido casi 8.500 millones de dólares gracias a los virus, spyware y ataques de phishing. Pero los problemas de seguridad han sido buenos para el negocio, ya que los consumidores han reemplazado 2,1 millones de equipos debido a infecciones de malware. Los datos de este curioso informe, publicado por Consumer Reports, proceden de una encuesta realizada a 2.071 hogares a través de Internet.
Entre otros datos notables destaca que uno de cada seis usuarios han sido víctimas del cibercrimen, frente al porcentaje de uno de cada cuatro del año anterior; el 19 por ciento de los que han respondido la encuesta afirman no tener antivirus en sus ordenadores; y un 75 por ciento dicen que no tienen una herramienta anti-phishing.
Consumer Report ha hecho una lista de lo que considera que son los siete errores online más comunes: no contar con un antivirus actualizado es el primero, seguido de acceder a sites financiero a través de enlaces que llegan a través de correos electrónicos; la descarga de software gratuito, o freeware es otros de los errores considerados por Consumer Report, además de asumir sin más que los Macs son más seguros que los PCs basados en Windows; pulsar las ventanas emergentes que afirman que tu ordenador está en riesgo y hacer compras online sin tomar precauciones extra son los dos últimos riesgos determinados por Consumer Report.
Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=1860
En los últimos dos años los consumidores han perdido casi 8.500 millones de dólares gracias a los virus, spyware y ataques de phishing. Pero los problemas de seguridad han sido buenos para el negocio, ya que los consumidores han reemplazado 2,1 millones de equipos debido a infecciones de malware. Los datos de este curioso informe, publicado por Consumer Reports, proceden de una encuesta realizada a 2.071 hogares a través de Internet.
Entre otros datos notables destaca que uno de cada seis usuarios han sido víctimas del cibercrimen, frente al porcentaje de uno de cada cuatro del año anterior; el 19 por ciento de los que han respondido la encuesta afirman no tener antivirus en sus ordenadores; y un 75 por ciento dicen que no tienen una herramienta anti-phishing.
Consumer Report ha hecho una lista de lo que considera que son los siete errores online más comunes: no contar con un antivirus actualizado es el primero, seguido de acceder a sites financiero a través de enlaces que llegan a través de correos electrónicos; la descarga de software gratuito, o freeware es otros de los errores considerados por Consumer Report, además de asumir sin más que los Macs son más seguros que los PCs basados en Windows; pulsar las ventanas emergentes que afirman que tu ordenador está en riesgo y hacer compras online sin tomar precauciones extra son los dos últimos riesgos determinados por Consumer Report.
Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=1860
España, número uno en Phishing
Según un informa que dio a conocer IBM, los números respecto al phishing no son nada alentadores para el país ibérico: España resultó ser el país desde el que más se emitió este tipo de correo electrónico durante la primera mitad del año.
Recordemos que el phishing es la técnica de fraude online creada por los ciber-delincuentes que tiene como objetivo el robo de información personal del usuario, generalmente datos como número de cuentas bancarias o tarjetas de crédito, claves, etc.
Uno de los métodos más comunes es el de enviar e-mails que simulan provenir de bancos o entidades financieras reales y que, bajo la excusa de necesitar los datos personales para actualizar la base, renovar la tarjeta o alguna similar, piden la información personal a la víctima potencial, generalmente incluyendo un link falso en el cuerpo del mail al que se debe ingresar para cargar la información.
Pues bien, resulta ser que casi el 17% de este tipo de estafa provino de España, por lo que el país europeo quedó en primer lugar en la lista provista por IBM. Esto no significa que ese porcentaje haya sido creado ahí, pero sí que provino de servidores locales controlados en forma remota para este fin. Incluso se pudo ver que la mayoría de los links que incluyen en los correos se dirigen a servidores de Corea del Sur y los Estados Unidos (más del 50% entre los dos).
En cuanto al spam, también España está en uno de los primeros lugares: como emisor de correo basura, se encuentra en quinto puesto con casi 4% del total. Otro dato revelado en este informe es que en sólo el primer semestre, ya se registraron más de 3.500 vulnerabilidades, lo que representa un 5% más que en el mismo período del año anterior.
Fuente: http://www.rompecadenas.com.ar/articulos/2039.php
Recordemos que el phishing es la técnica de fraude online creada por los ciber-delincuentes que tiene como objetivo el robo de información personal del usuario, generalmente datos como número de cuentas bancarias o tarjetas de crédito, claves, etc.
Uno de los métodos más comunes es el de enviar e-mails que simulan provenir de bancos o entidades financieras reales y que, bajo la excusa de necesitar los datos personales para actualizar la base, renovar la tarjeta o alguna similar, piden la información personal a la víctima potencial, generalmente incluyendo un link falso en el cuerpo del mail al que se debe ingresar para cargar la información.
Pues bien, resulta ser que casi el 17% de este tipo de estafa provino de España, por lo que el país europeo quedó en primer lugar en la lista provista por IBM. Esto no significa que ese porcentaje haya sido creado ahí, pero sí que provino de servidores locales controlados en forma remota para este fin. Incluso se pudo ver que la mayoría de los links que incluyen en los correos se dirigen a servidores de Corea del Sur y los Estados Unidos (más del 50% entre los dos).
En cuanto al spam, también España está en uno de los primeros lugares: como emisor de correo basura, se encuentra en quinto puesto con casi 4% del total. Otro dato revelado en este informe es que en sólo el primer semestre, ya se registraron más de 3.500 vulnerabilidades, lo que representa un 5% más que en el mismo período del año anterior.
Fuente: http://www.rompecadenas.com.ar/articulos/2039.php
Suscribirse a:
Entradas (Atom)