Promisec ha lanzado una enciclopedia en línea de amenazas en seguridad de red interna. La enciclopedia, que puede ser vista por cualquier persona de forma gratuita, se actualiza continuamente con explicaciones detalladas de las últimas amenazas.
Además, el sitio contiene gráficos mensuales que muestran cómo la tendencia en los riesgos internos ha cambiado en los últimos años, consejos de seguridad internas y trucos, artículos sobre los últimos incidentes de seguridad interna, un panorama de las amenazas internas, y una amplia gama de otros recursos.
Fuente: http://www.iso27000.es/
domingo, 24 de agosto de 2008
El DNI electrónico gana presencia en el mundo y se acerca a la Argentina
Catorce países de Europa utilizarán el recurso de manera masiva. Argentina ya está dando los primeros pasos para digitalizar algunas bases de datos.
Aunque a menor ritmo de lo que sucede en los principales países del mundo, la Argentina está dando sus primeros pasos en pos de implementar sistemas que, diseñados para asegurar la identidad de las personas, promuevan actividades remotas y fomenten prácticas sociales y económicas amparadas en un soporte electrónico.
Esta semana se conoció que el consorcio Stork, integrado por 14 países de Europa, promoverá una implementación masiva del DNI electrónico a fin de profundizar la utilización de Internet para intercambios comerciales y el concepto de gobierno electrónico en el Viejo Continente.
El consorcio tiene prevista una serie de pruebas que se extenderán durante tres años, período en el cual buscará garantizar la aceptación de los DNI en servicios de administración electrónica instalados en España, Bélgica, Estonia, Francia, Alemania, Italia, Austria, Luxemburgo, Países Bajos, Suecia, Portugal, Eslovenia, Reino Unido, e Islandia.
La iniciativa partirá de examinar cada uno de los desarrollos en materia de identificación electrónica más utilizados para, en el mediano plazo, acordar criterios comunes de desempeño y dispositivos que garanticen la validez de los documentos en cualquiera de las naciones que conforman el Stork.
Pero ¿qué sucede con una propuesta de este tipo pero ya en el plano local? Por el momento, los intentos no han superado la etapa de pruebas. Durante el 2007, en tiempos de Néstor Kirchner al frente del Ejecutivo, el Ministerio del Interior dio el primer paso hacia el DNI electrónico: llamó a licitación para la implementación de una base única de datos digitalizada.
"El año pasado se estuvo trabajando en un proyecto, que en realidad nunca pasó de la especificación, el cual tenía que ver con todo lo necesario, desde el punto de vista tecnológico, para identificar a los ciudadanos", explicó, a iProfesional.com, Martín Codini, director del área de Desarrollo de Negocios de Indra, la firma que desarrolló el DNI en España.
"Esto tiene que ver con los datos alfanuméricos de una persona, más todo lo que tiene que ver con la biometría. O sea, las características que identifican de manera unívoca a las personas", agregó.
Por su parte, Ricardo Caputo, gerente comercial de la misma empresa, sostuvo que el DNI electrónico "iba a ser una salida de la base única de identificación, una de las tantas en realidad, y que luego tranquilamente podía ser aplicada a los padrones electorales, entre otros usos".
Intento
Lo cierto es que, más allá de ese primer intento, la iniciativa poco a poco fue perdiendo fuerza. Al respecto, Adrián Giormenti, ejecutivo de la firma de desarrollo de soluciones para gobierno electrónico Giesecke & Devrient Group (GyD), señaló que "la intención de crear una base de datos electrónica salió a licitación, y fue ganada por la compañía NEC, pero después quedó demorada".
La posterior impugnación que llevaron a cabo las empresas que no se vieron beneficiadas habría sido el principal motivo por el cual, según parece, el proceso no siguió adelante. Y obligó al Ministerio del Interior a llamar a una nueva licitación, instancia que –ya con Cristina Fernández como presidenta– situaciones como el prolongado lockout agrario culminaron por frenar nuevamente.
"A finales del año pasado el ministerio, oficialmente, dio a entender que se tenía que llamar a una nueva licitación. Pero evidentemente el proyecto fue perdiendo protagonismo en la agenda por diversas cuestiones", dijo Giormenti.
Consultado sobre la situación actual en cuanto al manejo de bases de datos, el ejecutivo explicó que "hoy existe una gran cantidad de información que opera como compartimentos estancos".
"La policía tiene su base, la Ciudad de Buenos Aires emite la licencia de conducir y tiene su propia base. Entonces cada uno tiene su base, sin intercomunicar, y eso duplica el esfuerzo a la hora de la disponibilidad de datos", añadió.
Voz oficial
A fin de conocer en qué estado se encuentran los planes de identificación electrónica a nivel gubernamental, iProfesional.com dialogó con Mariano Ramírez, director general de Gestión Informática del Ministerio del Interior, quien sostuvo que "en este momento estamos orientados a mejorar los sistemas de documentación y gestión".
"La preocupación pasa por cambiar el modo en que se realizan los trámites; por modernizar lo que todavía se hace de manera manual. Tenemos el objetivo de concretar una base de datos única, pero lo cierto es que todavía muchas cosas se hacen en papel", comentó.
"Primero necesitamos contar con una base sólida de datos, concretar la digitalización de los datos, volver electrónicos muchos procesos... Nos falta desarrollar la plataforma tecnológica que nos coloque en ese camino", reconoció.
El funcionario ratificó la licitación obtenida por NEC el año pasado –que finalmente no fue anulada–, y explicó que la misma comprendió la provisión de equipamiento de hardware y software para la implementación de AFIS, un sistema que permite la identificación automática de huellas dactilares.
"Tenemos el sistema, pero todavía no lo pudimos utilizar. No cumplimos con la fase previa de reordenar los procesos y la documentación. Cuando contemos con la plataforma, recién ahí podremos usar el aparato, que en este momento está vacío", dijo.
Reconocimiento
Ramírez sostuvo que en el cronograma de metas "está establecido poner en marcha el sistema AFIS en el corto plazo" "El plan consiste en comenzar la recolección de huellas, aunque eso se haría de manera paulatina y por demanda", explicó.
También en breve la dependencia que encabeza el funcionario pondrá en marcha una serie de centros digitales para la recopilación de datos, los que tendrán como principal finalidad impulsar la informatización de todos los trámites que los ciudadanos realizan, normalmente, en dependencias estatales.
"Para ello estamos trabajando con personal propio y profesionales de la Universidad Tecnológica Nacional (UTN). Los centros serán alrededor de 25, y estarán ubicados en Capital Federal, algunas localidades de la provincia de Buenos Aires, y el resto de las principales ciudades del interior del país", aseveró Ramírez.
¿Eso nos acerca más al demorado DNI electrónico? "Si logramos hacer eficiente la plataforma de trámites en la que estamos trabajando, podemos decir que habremos plantado la primera semilla", comentó.
Y añadió: "Luego de eso, habrá que trabajar en la expansión de la firma digital y la posibilidad de insertar todos los datos de autenticación de una persona en un dispositivo. A partir de ahí se podrá plantear al DNI electrónico como una posibilidad concreta".
Procesos y costos
Con relación a los tiempos que demoraría una implementación de DNI electrónico en la escena nacional, y siempre con Europa como modelo a seguir, Adrián Giormenti comentó que "uno o dos años de pruebas piloto sería lo aconsejable".
Entre los usos más comunes del recurso el ejecutivo mencionó "las actividades de comercio electrónico, las transacciones bancarias por Internet, el pago electrónico y los trámites con los organismos estatales".
En cuando a los tiempos inherentes al reemplazo del documento tradicional por una solución digital, Giormenti dijo que "se trata de un proceso gradual".
"El paso se va dando de manera paulatina. Nunca se ve un cambio abrupto del DNI, y por citar un caso España comenzó a emitir el documento hace apenas dos años. Y hoy ya superaron los 5 millones de DNI emitidos", expresó.
¿Es costosa la migración de un documento a otro para el ciudadano común? "Por lo general, y como pasa en Europa, el DNI es subsidiado. Tiene un determinado precio al público bajo, a diferencia de lo que sucede con el pasaporte", sostuvo.
"Un DNI electrónico no puede ser demasiado caro en tanto estás obligando al ciudadano a tenerlo. Y sólo se requiere de un chip capaz de almacenar todos los datos e información que el usuario debe tener disponible para cualquier proceso", concluyó.
Puntos Importantes
* El consorcio Stork, integrado por 14 países de Europa, promoverá una implementación masiva del DNI electrónico a fin de profundizar la utilización de Internet para intercambios comerciales y el concepto de gobierno electrónico.
* Durante el 2007, en tiempos de Néstor Kirchner al frente del Ejecutivo, el Ministerio del Interior dio el primer paso hacia el DNI electrónico: llamó a licitación para la implementación de una base única de datos digitalizada.
* El Ministerio del Interior pondrá en marcha, en breve, una serie de centros digitales para la recopilación de datos, los que tendrán como principal finalidad impulsar la informatización de todos los trámites que los ciudadanos realizan, normalmente, en dependencias estatales.
Patricio Eleisegui
© iProfesional.com
Fuente:
http://www.infobaeprofesional.com/notas/70849-El-DNI-electronico-gana-presencia-en-el-mundo-y-se-acerca-a-la-Argentina.html
Aunque a menor ritmo de lo que sucede en los principales países del mundo, la Argentina está dando sus primeros pasos en pos de implementar sistemas que, diseñados para asegurar la identidad de las personas, promuevan actividades remotas y fomenten prácticas sociales y económicas amparadas en un soporte electrónico.
Esta semana se conoció que el consorcio Stork, integrado por 14 países de Europa, promoverá una implementación masiva del DNI electrónico a fin de profundizar la utilización de Internet para intercambios comerciales y el concepto de gobierno electrónico en el Viejo Continente.
El consorcio tiene prevista una serie de pruebas que se extenderán durante tres años, período en el cual buscará garantizar la aceptación de los DNI en servicios de administración electrónica instalados en España, Bélgica, Estonia, Francia, Alemania, Italia, Austria, Luxemburgo, Países Bajos, Suecia, Portugal, Eslovenia, Reino Unido, e Islandia.
La iniciativa partirá de examinar cada uno de los desarrollos en materia de identificación electrónica más utilizados para, en el mediano plazo, acordar criterios comunes de desempeño y dispositivos que garanticen la validez de los documentos en cualquiera de las naciones que conforman el Stork.
Pero ¿qué sucede con una propuesta de este tipo pero ya en el plano local? Por el momento, los intentos no han superado la etapa de pruebas. Durante el 2007, en tiempos de Néstor Kirchner al frente del Ejecutivo, el Ministerio del Interior dio el primer paso hacia el DNI electrónico: llamó a licitación para la implementación de una base única de datos digitalizada.
"El año pasado se estuvo trabajando en un proyecto, que en realidad nunca pasó de la especificación, el cual tenía que ver con todo lo necesario, desde el punto de vista tecnológico, para identificar a los ciudadanos", explicó, a iProfesional.com, Martín Codini, director del área de Desarrollo de Negocios de Indra, la firma que desarrolló el DNI en España.
"Esto tiene que ver con los datos alfanuméricos de una persona, más todo lo que tiene que ver con la biometría. O sea, las características que identifican de manera unívoca a las personas", agregó.
Por su parte, Ricardo Caputo, gerente comercial de la misma empresa, sostuvo que el DNI electrónico "iba a ser una salida de la base única de identificación, una de las tantas en realidad, y que luego tranquilamente podía ser aplicada a los padrones electorales, entre otros usos".
Intento
Lo cierto es que, más allá de ese primer intento, la iniciativa poco a poco fue perdiendo fuerza. Al respecto, Adrián Giormenti, ejecutivo de la firma de desarrollo de soluciones para gobierno electrónico Giesecke & Devrient Group (GyD), señaló que "la intención de crear una base de datos electrónica salió a licitación, y fue ganada por la compañía NEC, pero después quedó demorada".
La posterior impugnación que llevaron a cabo las empresas que no se vieron beneficiadas habría sido el principal motivo por el cual, según parece, el proceso no siguió adelante. Y obligó al Ministerio del Interior a llamar a una nueva licitación, instancia que –ya con Cristina Fernández como presidenta– situaciones como el prolongado lockout agrario culminaron por frenar nuevamente.
"A finales del año pasado el ministerio, oficialmente, dio a entender que se tenía que llamar a una nueva licitación. Pero evidentemente el proyecto fue perdiendo protagonismo en la agenda por diversas cuestiones", dijo Giormenti.
Consultado sobre la situación actual en cuanto al manejo de bases de datos, el ejecutivo explicó que "hoy existe una gran cantidad de información que opera como compartimentos estancos".
"La policía tiene su base, la Ciudad de Buenos Aires emite la licencia de conducir y tiene su propia base. Entonces cada uno tiene su base, sin intercomunicar, y eso duplica el esfuerzo a la hora de la disponibilidad de datos", añadió.
Voz oficial
A fin de conocer en qué estado se encuentran los planes de identificación electrónica a nivel gubernamental, iProfesional.com dialogó con Mariano Ramírez, director general de Gestión Informática del Ministerio del Interior, quien sostuvo que "en este momento estamos orientados a mejorar los sistemas de documentación y gestión".
"La preocupación pasa por cambiar el modo en que se realizan los trámites; por modernizar lo que todavía se hace de manera manual. Tenemos el objetivo de concretar una base de datos única, pero lo cierto es que todavía muchas cosas se hacen en papel", comentó.
"Primero necesitamos contar con una base sólida de datos, concretar la digitalización de los datos, volver electrónicos muchos procesos... Nos falta desarrollar la plataforma tecnológica que nos coloque en ese camino", reconoció.
El funcionario ratificó la licitación obtenida por NEC el año pasado –que finalmente no fue anulada–, y explicó que la misma comprendió la provisión de equipamiento de hardware y software para la implementación de AFIS, un sistema que permite la identificación automática de huellas dactilares.
"Tenemos el sistema, pero todavía no lo pudimos utilizar. No cumplimos con la fase previa de reordenar los procesos y la documentación. Cuando contemos con la plataforma, recién ahí podremos usar el aparato, que en este momento está vacío", dijo.
Reconocimiento
Ramírez sostuvo que en el cronograma de metas "está establecido poner en marcha el sistema AFIS en el corto plazo" "El plan consiste en comenzar la recolección de huellas, aunque eso se haría de manera paulatina y por demanda", explicó.
También en breve la dependencia que encabeza el funcionario pondrá en marcha una serie de centros digitales para la recopilación de datos, los que tendrán como principal finalidad impulsar la informatización de todos los trámites que los ciudadanos realizan, normalmente, en dependencias estatales.
"Para ello estamos trabajando con personal propio y profesionales de la Universidad Tecnológica Nacional (UTN). Los centros serán alrededor de 25, y estarán ubicados en Capital Federal, algunas localidades de la provincia de Buenos Aires, y el resto de las principales ciudades del interior del país", aseveró Ramírez.
¿Eso nos acerca más al demorado DNI electrónico? "Si logramos hacer eficiente la plataforma de trámites en la que estamos trabajando, podemos decir que habremos plantado la primera semilla", comentó.
Y añadió: "Luego de eso, habrá que trabajar en la expansión de la firma digital y la posibilidad de insertar todos los datos de autenticación de una persona en un dispositivo. A partir de ahí se podrá plantear al DNI electrónico como una posibilidad concreta".
Procesos y costos
Con relación a los tiempos que demoraría una implementación de DNI electrónico en la escena nacional, y siempre con Europa como modelo a seguir, Adrián Giormenti comentó que "uno o dos años de pruebas piloto sería lo aconsejable".
Entre los usos más comunes del recurso el ejecutivo mencionó "las actividades de comercio electrónico, las transacciones bancarias por Internet, el pago electrónico y los trámites con los organismos estatales".
En cuando a los tiempos inherentes al reemplazo del documento tradicional por una solución digital, Giormenti dijo que "se trata de un proceso gradual".
"El paso se va dando de manera paulatina. Nunca se ve un cambio abrupto del DNI, y por citar un caso España comenzó a emitir el documento hace apenas dos años. Y hoy ya superaron los 5 millones de DNI emitidos", expresó.
¿Es costosa la migración de un documento a otro para el ciudadano común? "Por lo general, y como pasa en Europa, el DNI es subsidiado. Tiene un determinado precio al público bajo, a diferencia de lo que sucede con el pasaporte", sostuvo.
"Un DNI electrónico no puede ser demasiado caro en tanto estás obligando al ciudadano a tenerlo. Y sólo se requiere de un chip capaz de almacenar todos los datos e información que el usuario debe tener disponible para cualquier proceso", concluyó.
Puntos Importantes
* El consorcio Stork, integrado por 14 países de Europa, promoverá una implementación masiva del DNI electrónico a fin de profundizar la utilización de Internet para intercambios comerciales y el concepto de gobierno electrónico.
* Durante el 2007, en tiempos de Néstor Kirchner al frente del Ejecutivo, el Ministerio del Interior dio el primer paso hacia el DNI electrónico: llamó a licitación para la implementación de una base única de datos digitalizada.
* El Ministerio del Interior pondrá en marcha, en breve, una serie de centros digitales para la recopilación de datos, los que tendrán como principal finalidad impulsar la informatización de todos los trámites que los ciudadanos realizan, normalmente, en dependencias estatales.
Patricio Eleisegui
© iProfesional.com
Fuente:
http://www.infobaeprofesional.com/notas/70849-El-DNI-electronico-gana-presencia-en-el-mundo-y-se-acerca-a-la-Argentina.html
Video "Escritorio Limpio"
El siguiente video fue realizado por alumnos del IUPFA (Instituto Universitario de la Policía Federal Argentina) de la carrera Licenciatura en Seguridad.
El equipo de trabajo se conformó por: Gonzalo Martinez, Leandro Dikenstein, Aurelio Fernández y Mariano Fenocchio. Profesores tutores: Ing. Oscar Schmitz y Lic. Marcelo Vallaud. Soporte técnico: Marcelo Martinez. Referencia contenidos: CXO Community.
En este trabajo muy bien logrado, observaremos el descuido y falta de protección sobre información confidencial y recursos informáticos, especialmente vinculados a la política de escritorios limpios, la cual hace referencia a almacenar papeles, CDs, DVDs y todo activo confidencial bajo condiciones de seguridad adecuadas, como ser armarios o cajones con llave, con el objetivo de preservar su confidencialidad e integridad.
Fuente: http://cxo-community.com.ar/index.php?option=com_content&task=view&id=1025&Itemid=1
El equipo de trabajo se conformó por: Gonzalo Martinez, Leandro Dikenstein, Aurelio Fernández y Mariano Fenocchio. Profesores tutores: Ing. Oscar Schmitz y Lic. Marcelo Vallaud. Soporte técnico: Marcelo Martinez. Referencia contenidos: CXO Community.
En este trabajo muy bien logrado, observaremos el descuido y falta de protección sobre información confidencial y recursos informáticos, especialmente vinculados a la política de escritorios limpios, la cual hace referencia a almacenar papeles, CDs, DVDs y todo activo confidencial bajo condiciones de seguridad adecuadas, como ser armarios o cajones con llave, con el objetivo de preservar su confidencialidad e integridad.
Fuente: http://cxo-community.com.ar/index.php?option=com_content&task=view&id=1025&Itemid=1
Herramientas para el entrenamiento y simulación de phishing segmentado
Repasando los feeds me he topado con un artículo de Xavi, en el que se habla de ataques phishing personalizados desde una perspectiva que, sin duda alguna, no es la tradicional.
Los ataques de este tipo, a los que yo prefiero llamar segmentados, como consecuencia del paralelismo más que evidente que existe entre la segmentación en marketing tradicional y los mecanismos para orientar los ataques de intento de robo de credenciales que comentamos, son responsables, según iDefense Labs, de al menos 15.000 ataques específicos contra víctimas corporativas en los últimos 15 meses. No es una cifra para tirarse de los pelos, al menos si contemplamos la tipología y montos derivados de la amalgama completa de fraudes que puede sufrir una organización, pero sí es una cifra que puede invitar a contemplar estrategias de mitigación.
Esta necesidad de promover técnicas de entrenamiento y concienciación provoca que con el paso del tiempo hayan aparecido herramientas que permiten gestionar y medir el grado de respuesta de una organización y sus integrantes ante ataques spear phishing, o de phishing segmentado. Primero fue PhishMe, una herramienta comercial dirigida al entrenamiento en este tipo de ataques, y ahora, muy recientemente, se ha anunciado la próxima liberación de Lunker, una herramienta con la misma finalidad, en formato de código abierto, que estará disponible para ser descargada y utilizada sin coste alguno.
Las herramientas de seguridad gozan de una peligrosa dualidad sobre la cual existe un eterno debate. Empleando el símil del cuchillo, podemos usarlo para cortar en rodajas un tomate, pero también podemos asestar una puñalada con él. En el caso de las herramientas de seguridad pasa exactamente igual, y el carácter imprimido al uso dependerá de quién las emplee y con qué finalidad. A buen seguro, la disponibilidad masiva de Lunker provocará que algunos usuarios, tentados con la idea de hacer dinero fácil, la usen para ejecutar ataques, aunque como es normal, existirán muchos usuarios que la emplearán para prevenir los incidentes dándole un uso adecuado.
En este debate, yo me posiciono en la parte que defiende la necesidad de que existan herramientas, aún con el riesgo de que pongan al alcance de los usuarios malintencionados medios para perpetrar un fraude. Si una organización ha utilizado una herramienta y se ha preparado y entrenado para mitigar el riesgo de fraude por robo de credenciales, no debería ser preocupante que un usuario malicioso emplee esa u otras herramientas para tratar de ejecutar un ataque. En caso de existir un buen entrenamiento y una correcta estrategia, los impactos deberían ser mínimos, ya que, al menos en mi juicio, el éxito de un ataque de phishing depende más del grado de conocimiento y la concienciación de las víctimas que de la calidad del mismo. Estoy firmemente convencido, y la experiencia así me lo ha demostrado, que el phishing, tradicional o vía troyanos, a través del conocimiento, la prudencia y la contemplación de unas medidas mínimas medidas de seguridad, no sólo puede ser mitigado, sino que puede anulado por completo. Por otro lado, los ataques siempre pueden ser lanzados sin la existencia de herramientas, cuyo riesgo potencial principal no es la ejecución en sí de las acciones maliciosas, sino, en todo caso, la facilitación de las mismas, y siempre dependiendo del caso.
Se prevé que Lunker se presente el mes que viene en la conferencia OWASP, y formará parte de la próxima versión de OWASP LiveCD. Los autores de Lunker han anunciado que estará igualmente disponible como herramienta standalone.
Fuente:http://www.sahw.com/wp/archivos/2008/08/22/herramientas-para-el-entrenamiento-y-simulacion-de-phishing-segmentado-armas-de-doble-filo/
Dropping en el uso ilegítimo de medios de pago
Publican en F-Secure un interesante artículo donde se puede aprender un poco más cómo funciona la maquinaria underground de los atacantes a la hora de blanquear capitales y/o efectuar compras ilegítimas mediante medios de pago (tarjetas en este caso) robados fraudulentamente.
Un ejemplo de lo anterior es lo que en la jerga de los delitos tecnológicos se conoce como drops. En resumen, un drop es una técnica mediante la cual los atacantes hacen reasignaciones de direcciones de envío para impedir o dificultar la trazabilidad de las compras ilegítimas, y de paso involucrar a terceros en los procesos de blanqueo y/o adquisición en línea ilegítima de bienes. El atacante compra, consigna como dirección de envío la de un tercero, y este tercero hace llegar el bien al atacante. Otra modalidad de drop consiste en el envío de los bienes a terceros, que venderán en línea el producto, y que reembolsarán al atacante con parte de los beneficios obtenidos en la venta, reteniendo el tercero una comisión. Las combinatorias son múltiples.
Esta técnica funciona particularmente bien por varios motivos:
* A los ojos del comercio online donde ha sido usada la tarjeta robada, el envío es local o bien a países confiables. Caso de existir controles antifraude basados en la confiabilidad del lugar de envío, la dirección de envío será poco sospechosa, y por tanto, a priori, no existirán indicios de blanqueo o uso ilegítimo de medios de pago. Los controles antifraude de geolicalización se pueden burlar fácilmente empleando proxies coincidentes con el país o localidad seleccionada para efectuar el drop. Construir una petición de compra que no levante sospechas es, por tanto, relativamente sencillo, sobre todo teniendo en cuenta que los comercios con controles antifraude como los descritos son los que menos abundan, siendo algo propio de grandes servicios de venta, y no de pequeñas tiendas en línea.
* A los ojos de los atacantes, el drop hace que se involucre a terceros en la trazabilidad. El comercio no factura al atacante, sino que lo hace al tercero. En términos legales, el atacante introduce e involucra a un tercero en la operación de blanqueo o uso ilegítimo, lo que hará que las responsabilidades del uso ilegítimo no sean únicamente imputables a los estafadores, sino también a los terceros. Por otro lado, el carácter local del drop hace que en caso de investigación, los esfuerzos vayan dirigidos a resolver la parte local (la del tercero involucrado), ya que normalmente, como consecuencia de la heterogeneidad de la legislación, las Fuerzas de Seguridad tienen trabas para resolver la trazabilidad interpaís, muy costosas en algunos casos y que además, no tienen garantías de éxito.
* A los ojos del tercero, el drop implica dinero fácil. Generalmente un 25% de comisión, pagadero mediante WU (Western Union), WMZ (Webmoney), E-gold y similares, y al que se une la falsa creencia de que, como el sólo es un intermediario, no tiene que ver en el robo de datos de tarjeta, y en caso de problemas, estará exento de la responsabilidad que derive del uso ilegítimo de los datos.
Consejos para evitar ser parte de una operación ilegítima de este tipo
El consejo es único, y es el de siempre: huír del dinero fácil, y recelar de cualquier oferta de empleo que nos provoque sospechas. El riesgo de ser partícipe en una trama de blanqueo, estafa o en general, una operativa ilegal, es máximo y dado que el desconocimiento de la Ley no te exime de ella, a buen seguro serás imputado en caso de la apertura de un proceso judicial. No caigas en la falsa creencia de "como yo no he sido el que ha comprado ni robado la tarjeta, no me dirán nada". Esta falsa creencia es la que alimenta que existan tramas como la descrita.
Fuente:
http://www.sahw.com/wp/archivos/2008/08/18/tecnicas-de-fraude-tecnologico-dropping-en-el-uso-ilegitimo-de-medios-de-pago/
Un ejemplo de lo anterior es lo que en la jerga de los delitos tecnológicos se conoce como drops. En resumen, un drop es una técnica mediante la cual los atacantes hacen reasignaciones de direcciones de envío para impedir o dificultar la trazabilidad de las compras ilegítimas, y de paso involucrar a terceros en los procesos de blanqueo y/o adquisición en línea ilegítima de bienes. El atacante compra, consigna como dirección de envío la de un tercero, y este tercero hace llegar el bien al atacante. Otra modalidad de drop consiste en el envío de los bienes a terceros, que venderán en línea el producto, y que reembolsarán al atacante con parte de los beneficios obtenidos en la venta, reteniendo el tercero una comisión. Las combinatorias son múltiples.
Esta técnica funciona particularmente bien por varios motivos:
* A los ojos del comercio online donde ha sido usada la tarjeta robada, el envío es local o bien a países confiables. Caso de existir controles antifraude basados en la confiabilidad del lugar de envío, la dirección de envío será poco sospechosa, y por tanto, a priori, no existirán indicios de blanqueo o uso ilegítimo de medios de pago. Los controles antifraude de geolicalización se pueden burlar fácilmente empleando proxies coincidentes con el país o localidad seleccionada para efectuar el drop. Construir una petición de compra que no levante sospechas es, por tanto, relativamente sencillo, sobre todo teniendo en cuenta que los comercios con controles antifraude como los descritos son los que menos abundan, siendo algo propio de grandes servicios de venta, y no de pequeñas tiendas en línea.
* A los ojos de los atacantes, el drop hace que se involucre a terceros en la trazabilidad. El comercio no factura al atacante, sino que lo hace al tercero. En términos legales, el atacante introduce e involucra a un tercero en la operación de blanqueo o uso ilegítimo, lo que hará que las responsabilidades del uso ilegítimo no sean únicamente imputables a los estafadores, sino también a los terceros. Por otro lado, el carácter local del drop hace que en caso de investigación, los esfuerzos vayan dirigidos a resolver la parte local (la del tercero involucrado), ya que normalmente, como consecuencia de la heterogeneidad de la legislación, las Fuerzas de Seguridad tienen trabas para resolver la trazabilidad interpaís, muy costosas en algunos casos y que además, no tienen garantías de éxito.
* A los ojos del tercero, el drop implica dinero fácil. Generalmente un 25% de comisión, pagadero mediante WU (Western Union), WMZ (Webmoney), E-gold y similares, y al que se une la falsa creencia de que, como el sólo es un intermediario, no tiene que ver en el robo de datos de tarjeta, y en caso de problemas, estará exento de la responsabilidad que derive del uso ilegítimo de los datos.
Consejos para evitar ser parte de una operación ilegítima de este tipo
El consejo es único, y es el de siempre: huír del dinero fácil, y recelar de cualquier oferta de empleo que nos provoque sospechas. El riesgo de ser partícipe en una trama de blanqueo, estafa o en general, una operativa ilegal, es máximo y dado que el desconocimiento de la Ley no te exime de ella, a buen seguro serás imputado en caso de la apertura de un proceso judicial. No caigas en la falsa creencia de "como yo no he sido el que ha comprado ni robado la tarjeta, no me dirán nada". Esta falsa creencia es la que alimenta que existan tramas como la descrita.
Fuente:
http://www.sahw.com/wp/archivos/2008/08/18/tecnicas-de-fraude-tecnologico-dropping-en-el-uso-ilegitimo-de-medios-de-pago/
Comprometidos servidores de Fedora y Red Hat
Red Hat acaba de confirmar que varios de sus servidores resultaron comprometidos por un atacante la semana pasada. El intruso logró firmar varios paquetes de OpenSSH para diversas versiones de Red Hat Entreprise Linux. Los paquetes afectados ya han sido sustituidos, pero Red Hat provee a sus usuarios de un script para permitirles comprobar si disponen de una versión comprometida. La empresa sin embargo insiste en que quienes actualizan sus sistemas vía Red Hat Network no tienen en ningún caso de qué preocuparse.
En el caso de Fedora, uno de los servidores comprometidos (hospedados por Red Hat Inc) ha sido el que contenía la clave utilizada para firmar sus paquetes. Aunque el análisis forense del equipo ha demostrado que el intruso no pudo hacerse con la contraseña necesaria para desbloquear la clave de firma, en Fedora han procedido a sustituir la clave como medida de precaución. Fedora asegura que ningún paquete fue manipulado, pero aún así está procediendo a firmarlos con la nueva clave.
No es la primera vez que resultan comprometidos servidores de distribuciones Linux. Hace ahora justo un año, tanto Gentoo como Ubuntu sufrieron incidencias embarazosas similares...
Fuentes:
http://www.kriptopolis.org/comprometidos-servidores-fedora-redhat
http://rhn.redhat.com/errata/RHSA-2008-0855.html
http://www.redhat.com/security/data/openssh-blacklist.html
http://www.kriptopolis.org/comprometidos-servidores-fedora-redhat
En el caso de Fedora, uno de los servidores comprometidos (hospedados por Red Hat Inc) ha sido el que contenía la clave utilizada para firmar sus paquetes. Aunque el análisis forense del equipo ha demostrado que el intruso no pudo hacerse con la contraseña necesaria para desbloquear la clave de firma, en Fedora han procedido a sustituir la clave como medida de precaución. Fedora asegura que ningún paquete fue manipulado, pero aún así está procediendo a firmarlos con la nueva clave.
No es la primera vez que resultan comprometidos servidores de distribuciones Linux. Hace ahora justo un año, tanto Gentoo como Ubuntu sufrieron incidencias embarazosas similares...
Fuentes:
http://www.kriptopolis.org/comprometidos-servidores-fedora-redhat
http://rhn.redhat.com/errata/RHSA-2008-0855.html
http://www.redhat.com/security/data/openssh-blacklist.html
http://www.kriptopolis.org/comprometidos-servidores-fedora-redhat
Roban informe que pone en duda edades de gimnastas Chinas
Un hacker publicó documentos del gobierno chino donde se muestra que dos medallistas de ese país en las barras asimétricas durante las olimpiadas de Beijing tendrían menos edad de la requerida para participar en las olimpiadas.
Este informa publicado por el Hacker identificado como Stryde.hax provocó que el Comité Olímpico Internacional solicite a la Federación Internacional de Gimnasia registros sobre la edad de las competidoras.
"Stryde.hax" publicó una supuesta lista con nombres, ciudades de origen y fechas de nacimiento de cientos de gimnastas chinas. El documento, titulado "Tabla de Registro Nacional de Gimnasia del 2006" está fechado el 20 de febrero del 20006 e incluye a dos miembros del equipo femenino de gimnasia chino.
He Kexin, ganadora del oro olímpico en barras asimétricas, y Yang Yilin, medallista de bronce en la misma prueba, tendrían 14 años según ese registro, mientras que para competir en las olimpiadas es necesario cumplir 16 el mismo año de los Juegos. Tang venció a su vez en la competencia individual y ambas fueron parte de el equipo chino que ganó la presea dorada por equipos.
Fuente:
http://mouse.tercera.cl/detail.asp?story=2008/08/22/18/37/06
http://strydehax.blogspot.com/2008/08/hack-olympics.html
http://strydehax.blogspot.com/2008/08/olympic-hacking-part-ii-lets-go-for.html
Este informa publicado por el Hacker identificado como Stryde.hax provocó que el Comité Olímpico Internacional solicite a la Federación Internacional de Gimnasia registros sobre la edad de las competidoras.
"Stryde.hax" publicó una supuesta lista con nombres, ciudades de origen y fechas de nacimiento de cientos de gimnastas chinas. El documento, titulado "Tabla de Registro Nacional de Gimnasia del 2006" está fechado el 20 de febrero del 20006 e incluye a dos miembros del equipo femenino de gimnasia chino.
He Kexin, ganadora del oro olímpico en barras asimétricas, y Yang Yilin, medallista de bronce en la misma prueba, tendrían 14 años según ese registro, mientras que para competir en las olimpiadas es necesario cumplir 16 el mismo año de los Juegos. Tang venció a su vez en la competencia individual y ambas fueron parte de el equipo chino que ganó la presea dorada por equipos.
Fuente:
http://mouse.tercera.cl/detail.asp?story=2008/08/22/18/37/06
http://strydehax.blogspot.com/2008/08/hack-olympics.html
http://strydehax.blogspot.com/2008/08/olympic-hacking-part-ii-lets-go-for.html
Presentaciones de Black Hat Las Vegas 2008
Ya se encuentran disponibles las presentaciones de Black Hat Las Vegas 2008.
Que las disfruten.
Cristian
Que las disfruten.
Cristian
Reino Unido pierde los datos personales de miles de delincuentes
El dispositivo informático extraviado contiene información de 10.000 delincuentes reincidentes y de 84.000 presos internados en las cárceles de Inglaterra y Gales.
Un dispositivo informático con datos personales de 10.000 delincuentes reincidentes y de 84.000 presos internados en las cárceles de Inglaterra y Gales se ha extraviado en Reino Unido, en un nuevo caso de pérdida de documentos confidenciales, según ha confirmado el Ministerio del Interior británico. El dispositivo de memoria extraíble, de la empresa PA Consulting, guarda también datos de la Computadora Nacional de la Policía acerca de 30.000 personas condenadas por diversos delitos seis o más veces en este país durante el último año.
Una portavoz de Interior ya ha asegurado que se ha abierto una "investigación rigurosa" sobre el suceso y que se ha alertado a la Policía. Por su parte, la oposición conservadora ha criticado duramente al Gobierno porque no es el primer incidente de pérdida de información de este tipo que ocurre este año.
El portavoz de Interior del Partido Conservador, Dominic Grieve, ha señalado que "lo más escandaloso es que no es la primera vez que el Gobierno demuestra ser completamente incapaz de proteger la integridad de información altamente sensible, lo que le incapacita para encomendarle la protección de nuestra seguridad".
A finales de 2007, se perdieron los nombres y números de cuentas bancarias de 25 millones de personas beneficiarias de un subsidio infantil, contenidos en dos discos, así como los datos de más de 7.600 conductores de Irlanda del Norte y de tres millones de datos de estudiantes de conducción en EE UU.
El Ministerio de Defensa del Reino Unido, por su parte, admitió el pasado mes el robo o el extravío de 747 ordenadores portátiles que guardaban información de ese departamento durante los últimos cuatro años. Además, el Gobierno británico perdió en junio pasado documentos confidenciales en varios trenes de cercanías, algunos de ellos con datos sobre la red terrorista Al Qaeda y sobre Irak.
Fuente:
http://www.elpais.com/articulo/internacional/Reino/Unido/pierde/datos/personales/miles/delincuentes/elpepuint/20080822elpepuint_2/Tes
Un dispositivo informático con datos personales de 10.000 delincuentes reincidentes y de 84.000 presos internados en las cárceles de Inglaterra y Gales se ha extraviado en Reino Unido, en un nuevo caso de pérdida de documentos confidenciales, según ha confirmado el Ministerio del Interior británico. El dispositivo de memoria extraíble, de la empresa PA Consulting, guarda también datos de la Computadora Nacional de la Policía acerca de 30.000 personas condenadas por diversos delitos seis o más veces en este país durante el último año.
Una portavoz de Interior ya ha asegurado que se ha abierto una "investigación rigurosa" sobre el suceso y que se ha alertado a la Policía. Por su parte, la oposición conservadora ha criticado duramente al Gobierno porque no es el primer incidente de pérdida de información de este tipo que ocurre este año.
El portavoz de Interior del Partido Conservador, Dominic Grieve, ha señalado que "lo más escandaloso es que no es la primera vez que el Gobierno demuestra ser completamente incapaz de proteger la integridad de información altamente sensible, lo que le incapacita para encomendarle la protección de nuestra seguridad".
A finales de 2007, se perdieron los nombres y números de cuentas bancarias de 25 millones de personas beneficiarias de un subsidio infantil, contenidos en dos discos, así como los datos de más de 7.600 conductores de Irlanda del Norte y de tres millones de datos de estudiantes de conducción en EE UU.
El Ministerio de Defensa del Reino Unido, por su parte, admitió el pasado mes el robo o el extravío de 747 ordenadores portátiles que guardaban información de ese departamento durante los últimos cuatro años. Además, el Gobierno británico perdió en junio pasado documentos confidenciales en varios trenes de cercanías, algunos de ellos con datos sobre la red terrorista Al Qaeda y sobre Irak.
Fuente:
http://www.elpais.com/articulo/internacional/Reino/Unido/pierde/datos/personales/miles/delincuentes/elpepuint/20080822elpepuint_2/Tes
Suscribirse a:
Entradas (Atom)