En el día de la fecha me ha llegado un correo electrónico con un supuesto premio de Coca Cola:
Lo interesante del caso es que el enlace lleva a un sitio español (catalán) .es sobre seguridad informática que nada tiene que ver con www.segu-info.com.ar.

Dicho enlace lleva al usuario a descargar un archivo malicioso que al momento de escribir el presente se encuentra activo y la detección de los antivirus es la siguiente:
Quiero destacar:

1-El desconocimiento absoluto de www.segu-info.com.ar hacia el sitio español.
2. Si les llega un correo, no descarguen el mencionado archivo porque infectarán su equipo con un troyano del tipo Qhost, orientado a modificar el archivo "host" del sistema con las siguientes líneas:

190.xxx.10.171 www.bancomer.com.mx
190.xxx.10.171 www.bancomer.com
190.xxx.10.171 bancomer.com
190.xxx.10.171 bancomer.com.mx
190.xxx.10.171 banamex.com
190.xxx.10.171 www.banamex.com
190.xxx.10.171 banamex.com.mx
190.xxx.10.171 bancanetempresarial.banamex.com.mx
190.xxx.10.171 boveda.banamex.com
190.xxx.10.171 www.banamex.com.mx
190.xxx.10.171 www.bancanetempresarial.banamex.com.mx
190.xxx.10.171 www.boveda.banamex.com

Aclaro esto porque un par de lectores me han preguntado sobre la relación de los dos sitios y sobre la propagación de malware en www.segu-info.com.ar, la cual nunca ha existido.

Cristian

• Windows (desde NT hasta 2003 pasando por XP)
• Mac OS X (Leopard y Tiger)
• FreeBSD
• Solaris(Desde la version 2.51 hasta Solaris 10)
  
• Linux (RedHat, Novell, Debian ...)

• Windows (desde NT hasta 2003 pasando por XP)
• Mac OS X (Leopard y Tiger)
• FreeBSD
• Solaris(Desde la version 2.51 hasta Solaris 10)
  
• Linux (RedHat, Novell, Debian ...)

Si algo trae un nueva versión de un programa, son fallos de
programación. A despecho de todos los meses de betatesters, de pruebas
intensivas y de mirar cada línea de código con atención, la complejidad
del software actual hace casi inevitable la aparición de bichos. Esto es
lo que ha sucedido con Firefox, que recientemente lanzó su versión 3. A
los usuarios habituales de Firefox, no tengo que contaros nada, y a los
de Internet Explorer os sugiero que penséis en cambiaros al zorro rojo.
Hecha esta sugerencia, tenemos que centrarnos en algunos problemas de
seguridad que se han conocido recientemente.

Uno de los primeros errores concierne el modo en que Firefox3
maneja los fallos de seguridad en las conexiones seguras. Ya hemos
hablado más de una vez de lo que es un certificado digital, y de cómo a
veces hay mucha diferencia entre teoría y práctica. Cuando intentamos
una conexión cifrada SSL, hay muchas cosas que pueden fallar. Las más
habituales son que el certificado digital que nos envían esté caducado o
que haya sido firmado por una autoridad de certificación (AC) que el
navegador no reconozca. O puede haber fallos aparentes en el nombre del
dominio. Supongamos, por ejemplo, que usted quiera conectarse con
webmail.micuenta.es. A lo mejor, resulta que el certificado está firmado
para esa web, pero luego acabamos en webmail3.micuenta.es. ¿Nos han
desviado a una web falsa, o es que micuenta.es tiene varias entradas
legítimas? En muchos casos, fallos de este tipo no significa que los
malos hayan interferido nuestras comunicaciones.

Para poder calibrar mejor estos problemas, Firefox3 (o FF3, como
escribiré a partir de ahora) utiliza un sistema de verificación
reigurosa llamado Extended Validation Certificate, EVC. El resultado se
muestra como un icono con varios posibles colores: gris (no hay datos de
identificación de la web), azul (web con identificación básica), verde
(web con identificación EVC completa), amarillo (algún problema con el
certificado, como que está caducado) y rojo (entre usted aquí si quieren
que le roben hasta los pelillos de la nariz). Puede usted, si le
interesa, visitar http://www.dria.org/wordpress/archives/2008/05/06/635/
para ampliar esta información.

El primer problema que trataremos aquí no es exactamente
criptográfico, sino social. Verán ustedes. Hay veces en que es útil
generar un certificado y firmarlo uno mismo. Se denomina "self-signed
certificate" (certificado autofirmado), y tiene en principio la misma
validez de cara al exterior que la que tendría un pasaporte que usted se
hiciese en casa con lápiz y bolígrafo. También puede usted obtener uno
en www.cacert.org, que viene a ser lo mismo. Hay aplicaciones legítimas
para estos certificados hechos en casa (una tienda online pequeña, una
web privada con acceso login, una intranet). El problema es que F3 da el
aviso amarillo. Realmente lo que está diciendo es "no consigo comprobar
si este certificado es válido o no", pero el sistema de aviso lo
equipara a un certificado caducado.

Es decir, el programa pone en el mismo saco certificados que
realmente son inválidos con certificados que no sabemos si son válidos.
Sería como decir que mi tarjeta de crédito no es válida porque el
supermercado no tiene conexión con el banco. FF3 permite hacer
excepciones y admitir como válida una conexión amarilla, en el supuesto
de que el usuario sabe lo que está haciendo. Pero el usuario medio, que
no entiende de tecnicismos y lo único que quiere es que las cosas
funcionen, se encuentra con un mensaje de "conexión no válida, cuidado
con esto" y se enfrenta a la alternativa de seguir adelante y que sea lo
que Dios quiera, o bien abandonar esa web. Como ven, se trata de un caso
en el que la cripto no falla, pero sí la interpretación que se hace de
sus resultados. Y es que una cosa es la encriptación, y otra la
autenticación.

Un segundo fallo, o al menos algunos lo identifican como tal, es
que FF3 no reconoce muchos emisores de certificados SSL. Dicho en otras
palabras, no tiene las claves públicas de las AC. Los usuarios de FF2
pueden verlos en Herramientas\Opciones\Avanzado\Ver certificados\
Autoridades. A mí me salen unas cincuenta. Según un post en barrapunto
(http://preguntas.barrapunto.com/preguntas/08/06/28/1933249.shtml), FF3
incorpora los de Thawte, Verisign y poco más. Esto, más que un fallo, es
un olvido. Por supuesto, hay lugares donde se pueden descargar (p. ej.
http://www.cert.fnmt.es/content/pages_std/certificados/FNMTClase2CA.cer
para los de la FNMT), pero ciertamente, vendría muy bien que FF3
incorporase más claves públicas.

Más preocupante es lo que nos cuenta Fernando Acero, cuyos
conocimientos criptográficos hacen honor a su apellido. Fernando nos ha
hecho partícipes a todos de su preocupación en un post en Kriptópolis
(http://www.kriptopolis.org/problema-firefox-3-certificados-digitales).
Vamos a ver si consigo explicarlo bien, porque Fernando es del tipo de
personas que se compra un coche, lo destripa y luego le envía al
fabricante una lista con sus quejas. En su caso, descubrió que no podía
ni importar ni exportar certificados. Ya vimos en el boletín del mes
pasado otro problema con la exportación de certificados. Pero entonces
el problema era hacerlo con seguridad, en tanto que ahora el problema es
hacerlo y punto. Al intentarlo, le aparecen estos mensajes:

"a) Fallo en la recuperación del archivo PKCS #12 por motivos
desconocidos. b) Se produjo un fallo por motivos desconocidos al guardar
la copia de seguridad del archivo PKCS #12."

(PKCS #12 es un estándar de criptografía de clave pública que define un
formato de archivo para guardar claves privadas, junto con sus claves
públicas asociadas, todo protegido por una contraseña simétrica)

Fernando echó mano del web oficial sobre Firma Digital del
gobierno argentino (bien por ellos), que ofrecía una solución para estos
casos. Bueno, más que solución es un apaño, porque consiste en borrar el
certificado de la AC que emitió el certificado de la clave, exportar
nuestro certificado y luego reinstalar el certificado que habíamos
borrado antes. Como la terminología es algo confusa, recordaré que
"certificado de la AC" es la clave pública de dicha AC, y "nuestro
certificado" es nuestra propia clave. En cualquier caso, es como decir
"¿que el guardia de seguridad no nos deja entrar a nuestro propio
edificio? pues despedimos al guardia, entramos y luego lo volvemos a
contratar" Lo dicho, un apaño.

El problema es que a Fernando eso tampoco le funcionó, así que se
fue con su problema directamente a bugzilla. La respuesta es
sorprendente. Firefox utiliza un conjunto de librerías criptográficas
que reciben el nombre colectivo de "Network Security Services" (NSS).
Esas librerías, si lo he entendido correctamente, son administradas en
SSL mediante algo llamado "Personal Security Manager" (PSM). Cuando hay
un error, NSS lo detecta y da los códigos específicos de error, muy
útiles para saber exactamente qué ha fallado. Seguro que usted los ha
visto cuando un programa falla, o cuando aparece el famoso "pantallazo
azul" de Microsoft: usted no entenderá toda esa retahíla de números y
letras, pero los expertos sí.

Pero por algún motivo, NSS toma los mensajes de error de PSM y
los transforma en "error por motivo desconocido", fastidiando así a los
desarrolladores, que se ven impotentes ante un fallo cuyos detalles
desconocen. Peor aún, los usuarios, al no saber en qué consiste el
fallo, informan de los "bugs" a los desarrolladores, los cuales están
tan hartos que ni siquiera les prestan atención. No es que no quieran
arreglarlo, es que no saben cómo hacerlo.

¿Por qué PSM se empeña en borrar los detalles de los fallos y
convertirlos en "error desconocido"? Por lo visto, el desarrollador
responsable de su interfaz con el usuario "no estaba a la altura", y el
detallito de mostrar los códigos de error se dejó para el final. El
administrador del proyecto, presionado por las fechas de entrega,
decidió coger todos los códigos de error que faltaban y los metió en el
saco de "fallos desconocidos". Eso fue hace ocho años. Desde entonces,
nadie pensó ponerse a arreglar ese detalle.

Es una verdadera lástima que un proyecto tan exitoso como
Firefox no repare en estos pequeños detalles, sobre todo cuando presumen
de ser más seguros que sus competidores de Redmond. Seguiremos el tema
con atención.

Fuente: Boletin Enigma

La Internet Corporation for Assigned Names and Numbers (ICANN) que se encarga, entre otras cosas, de validar los famosos sufijos de los dominios de Internet fue atacada recientemente. Está claro que nadie se libra de los ataques de hackers y crackers.

El informe del SANS Internet Storm Center indica que los dominios de los organismos ICANN e IANA fueron atacados por un grupo de hackers llamado NetDevilz. Durante los 20 minutos que duró el redireccionamiento que los hackers colocaron en estos dominios aparecía una página con un mensaje de los responsables:

“¡Creéis que controláis los dominios, pero no es así! Todo el mundo se equivoca. Nosotros somos los que controlamos los dominios, ¡incluyendo el de la ICANN! ¿No nos creéis? Jaja :)”

El ataque sucedió el pasado 26 de junio, pero aún no se ha desvelado el problema que causó este redireccionamiento, pero lo que parece evidente es que con tiempo y dedicación cualquier hacker experimentado puede poner en serios problemas a cualquier sitio web y organismo del mundo.

Fuente: http://www.theinquirer.es/2008/06/30/la_icann_hackeada.html

La obtención de la Certificación CISSP no es tarea fácil para la mayoría de las personas debido a que se requiere un amplio conocimiento teórico y práctico de muchos ámbitos de la seguridad de la información, los cuales a la fecha, Junio 2008, son 10 dominios de conocimiento (CBK). En este sentido más que por la profundidad de conocimientos la dificultad está por la variedad y amplitud de los mismos.

A continuación sigue una lista de las recomendaciones que yo seguí de CCCURE.ORG y otras personas:

• Requisitos: Verifique que cumple los requisitos de experiencia para obtener la certificación CISSP (https://www.isc2.org/cgi-bin/content.cgi?category=1187)
• * Plan de estudio: defina una estrategia de estudio y escriba su plan de estudio.
• Determine la fecha e idioma dará el examen y donde. Si es fuera en su ciudad reserve con tiempo el hotel, el automovil o carro y la asistencia al examen con la entidad examinadora o directamente en https://www.isc2.org/cgi-bin/content.cgi?page=11288.
• Si la dará en español debe estar preparado a la interpretación y traducción de algunos términos que puede estar acostumbrado a usarlos en ingles. Si la dará en ingles entonces considere seleccionar un buen diccionario ingles-español que pueda llevar el día del examen y los segundos que perderá en cada pregunta si no fuera lo suficientemente habil con dicho idioma. Por ejemplo si por cada pregunta se toma 20 segundos más entonces deberá considerar que son 1,5 Hrs que perderá.
• Determine si participará o no en grupos de estudio. Si así fuera, entonces no se reúnan más de una vez por semana para que tengan tiempo de preparar los conocimientos y preguntas para discutir. Es buena idea considerar desde un comienzo el inscribirse en grupos de estudio y discusión vía Internet.
• Recomiendo estudiar desde un comienzo los dominios que menos domina y al final aquellos que son de su conocimiento teórico y práctico, su especialidad.
• Por cada dominio prepare un esquema de trabajo, ajústese a un plan de estudio el cual debe ser conocido por su familia y amigos más cercanos para que comprendan que en determinados momentos usted no podrá ser interrumpido.
• No destine varias horas al día a estudiar, sino que es mejor ser realista y asignar 1 a 2 horas pues no es fácil mantener dicho nivel de estudio para alguien no acostumbrado y con compromisos laborales y familiares.
• Utilice los fines de semana para hacer los ensayos de pruebas y re-estudiar aquellos puntos en que esté más débil.o Una pregunta habitual es cuánto tiempo estudiar. Creo que eso dependerá del conocimiento y capacidad de cada persona, en mi opinión una persona con mucha experiencia podrá necesitar de dos a tres meses y una con menos experiencia quizá unos 6 a 9 meses.
  

• Material de estudio: recomiendo el libro oficial de ISC2 y tomar un buen bootcamp o fasttrack de CISSP. El libro está muy bien estructurado, provee excelentes ejemplos reales del examen y tiene la profundidad suficiente para que obtenga un conocimiento general de los CBK’s. Si no dispone de recursos (monetarios) entonces no se preocupe pues existe abundante material en Internet (vea www.cccure.org) que complementados con un buen libro de CISSP y un buen grupo de estudio le dan una buena oportunidad de lograr su meta.
• Bootcamp?: trate que su compañía le ayude a asistir a alguno, no aseguran nada pero definitivamente ayudan sobre todo cuando se toman algunas semanas antes del examen. Creo que los presenciales son los más adecuados pero también están las alternativas vía internet que en muchos casos por razones geográficas son la única alternativa.
• La práctica hace al maestro: Considere que uno de los grandes desafíos del examen es la fortaleza física y mental para lograr estar concentrado y activo durante las 6 horas que dura el examen. Se debe preparar para esto y le recomiendo comenzar con un examen semanal de 1 hora el primer mes de estudio, para luego incrementarlo gradualmente a 2 y 3 horas. Esto no solo le permitirá ir preparando gradualmente su mente para esta maratón de 6 horas, sino que también ir verificando si los conocimientos adquiridos se ven reflejados en los puntajes de los exámenes. En la última fase de su estudio incluir también el hacer algunos exámenes de 6 horas.
• Apuntes personales: preparar un resumen de las materias que va estudiando a medida que avanza en su Plan de estudio es un excelente ejercicio. Le permitirá reforzar el conocimiento adquirido y disponer de un apunte personal al cual recurrir cuando olvide algún concepto o conocimiento. NOTA: Revise mind map, es free y puede serle muy util.
• Días previos al examen: utilice sus apuntes personales para verificar que tiene todos los conocimientos y verificar que no olvide ningún concepto importante.
• Día antes del examen: no estudie, no practique, descanse y cargue energías. Cuídese de comidas extrañas para usted que puedan hacerle mal y jugarle una mala pasada durante el examen.
• El día del examen: asista con ropa confortable, recuerde que debe estar sentado 6 horas. Lleve un buen chaleco por si le da frio en la sala (que puede ocurrir por el aire acondicionado). Lleve comida energética tales como barras o similares más liquido a consumir. Estos no podrán ser consumidos en la sala del examen pero si se habilitará un lugar para dichos efectos. Llegue temprano, la sala se cierra a la hora y podría perder su oportunidad.
  

Es importante tener presente que

· No todos los dominios son los más importantes. Acorde a CCCURE (http://www.cccure.org/modules.php?name=News&file=article&sid=526) los más relevantes son Control de Acceso, Gestión y Telecomunicaciones y, los menos relevantes son seguridad física y criptografía.
· No todas las 250 preguntas pesan o ponderan el mismo puntaje, 25 son de ensayo para futuros exámenes y no afectan la puntuación final. Del resto suele ser que las más difíciles valen más puntos.
· Si no sabe una respuesta o no está totalmente seguro salte la pregunta y regístrela, siempre puede volver a revisarla al final del examen con el tiempo que pueda quedarle disponible.

Finalmente, mención especial es www.cccure.org el cual contiene abundante material:

• Hal Tipton Slides: www.cccure.org/Documents/Hal_Tipton/Intro1.pdf, www.cccure.org/Documents/Hal_Tipton/Intro2.pdf

• Handbook of Information Security Management: www.cccure.org/Documents/HISM/ewtoc.html

• Ensayos de examenes: www.freepracticetests.org

• Presentación y excelentes recomendaciones: www.cccure.org/flash/intro/player.html

Fuente: http://seguridad-informacion.blogspot.com/2008/06/recomendaciones-para-obtener-cissp.html

Dos senadores estadounidenses consideran inaceptable el actual régimen de control y retención de laptops en las fronteras de ese país.

Los senadores Russel Feigold, de Wisconsin, y Patrick Leahy, de Vermont, desean poner fin al control y confiscación de ordenadores portátiles y otros artefactos electrónicos en los aeropuertos estadounidenses. efectuada por los funcionarios de aduana y la policía de inmigración.

Confiscadas por semanas
En muchos casos toma semanas antes de que un laptop retenido sea devuelto a su dueño y esto crea a menudo grandes problemas tanto a individuos como a empresas.

Los viajeros musulmanes están mas expuestos. En una oportunidad un profesional del rubro TI de origen musulman fue registrado ocho veces al ingresar a Estados Unidos, según la organización Abogados Musulmanes.

"No ocurre acá"
“Si le preguntas a ciudadanos americanos si el gobierno tiene derecho a abrir sus PC, leer sus documentos y el correo electrónico, mirar sus fotos y ver qué páginas de internet ha visitado - todo esto sin tener ninguna razón para sospechar que se trate de algo criminal - creo que estos ciudadanos contestarían que el gobierno de ninguna manera tiene derecho a hacer algo así", expresó el senador Feingold en una audición del Comité de justicia del Senado.

“Y si le preguntaras a los mismos americanos si creen que eso sucede actualmente, dirían “No aquí en Estados Unidos", agregó.

Las autoridades reafirman que los laptops y otros artefactos electrónicos deben tratarse como cualquier otro equipaje.

Con las nuevas leyes anti-terror el personal tiene derecho absoluto a examinar lo que quieran , incluso si no existe ninguna razón de sospecha.

Organizaciones de protección de la privacidad han elogiado la iniciativa de los senadores Feigold y Leahy.

Fuente: http://www.diarioti.com/gate/n.php?id=18270

PandaLabs ha detectado un nuevo backdoor, OSX/AsTHT.A, diseñado para afectar a sistemas operativos de Apple como MacOS, Leopard o Tiger.

Tras ejecutarlo, el backdoor utiliza una vulnerabilidad de Apple Remote Desktop Agent para escalar privilegios y conseguir derechos de administrador. A continuación, se copia a sí mismo en el sistema y envia un mail al creador para notificar la infección. Además, asocia la IP de la victima a un servicio de DNS Dinamica para seguir teniendo acceso al equipo infectado aunque este cambie de dirección.

OSX/AsTHT.A abre un acceso al equipo a través de un servidor VNC (Vine Server) que lleva incluido, y también a través de SSH. También activa un servidor web donde está alojada una herramienta de control remoto.

Este código malicioso suelta un keylogger en el sistema. Éste puede capturar imágenes a través de la cámara integrada iSight, una webcam de Apple. Esto le permite robar contraseñas de distintos servicios (correo electrónico, banca online, etc.).

Además, si en el PC hay más de un usuario registrado intenta adivinar las claves de los mismos mediante un programa de fuerza bruta. También está diseñado para desactivar el firewall y desactivar, borrar y modificar varios logs del sistema para evitar así dejar rastro y dificultar su detección.

Fuente: http://www.laflecha.net/canales/seguridad/noticias/nuevo-backdoor-para-macos?_xm=rss

Yahoo! ha solucionado un problema de seguridad que dejaba a los usuarios de su popular servicio de correo web, en riesgo de que sus credenciales de acceso y todo el contenido de sus cuentas fuera robado.

El fallo, un problema de “cross-site scripting” (ejecución de código de un dominio en otro diferente), permitía que el identificador de la sesión iniciada por el usuario al acceder a su cuenta de correo, pudiera ser accedido por un atacante. Sin embargo, esto implicaba cierta interacción entre Yahoo! Mail y Yahoo! Messenger.

La brecha de seguridad fue descubierta en mayo de 2008 por investigadores de la firma de seguridad Cenzic, la que colaboró con Yahoo! para resolver el problema. El pasado 13 de junio el agujero fue cerrado, lo que permitió a Cenzic publicar un informe detallado.

El aviso de seguridad explica que para que el fallo pudiera ser explotado, los delincuentes debían primero establecer el status de amigos de sus víctimas mediante Yahoo! Messenger, para luego llevar a cabo el ataque a las cuentas del servicio de correo web de Yahoo!.

De todos modos, el ataque solo podía funcionar cuando un usuario de Yahoo! mail había configurado el soporte para Yahoo! Messenger.

Si el atacante estaba utilizando Yahoo! Messenger 8.1.0.209 para chatear con su víctima, y la misma utilizaba el soporte de Messenger en la nueva aplicación web de Yahoo! Mail, una nueva pestaña de chat era abierta en el navegador de la víctima. Mientras chateaba, el atacante cambiaba su status a “invisible”, haciendo que se mostrara un mensaje “offline” en la ventana del navegador de la víctima.

La vulnerabilidad ocurría cuando el atacante había cambiado su status y enviado un mensaje personalizado conteniendo una cadena maliciosa en la forma de un falso mensaje de que estaba en línea (online), junto a una secuencia de comandos que se ejecutaban en la pestaña de chat de la víctima, en el contexto de Yahoo! Mail. Esto permitía al atacante obtener las credenciales de acceso a la cuenta de correo.

El problema ya ha sido solucionado, y ninguna acción es requerida de parte del usuario, aunque de todos modos se recomienda cambiar la contraseña de acceso.

Fuente: http://www.rzw.com.ar/seguridad-informatica-5203.html

Los datos confidenciales de unos 500.000 ciudadanos de Alemania han estado accesibles durante varios meses en internet tras un error de configuración sobre la contraseña de un programa de las autoridades.

La empresa HSH, encargada de asegurar estos datos informáticos, dejó colgados en una página de internet el nombre de usuario y la contraseña previstos para un programa que daba acceso a estos datos, informa la cadena.

Los nombres, direcciones, fotografías identificativas y confesión religiosa de los ciudadanos de una quincena de ciudades y de 425 municipios alemanes estuvieron accesibles en la 'web' desde el 15 de marzo hasta el pasado viernes.

Estas localidades tenían que modificar la contraseña dada en principio por la empresa HSH, para
elegir una "personalizada", pero la mayoría no lo hizo, lo que dejó accesibles los datos de sus ciudadanos, informa ARD.

Preguntado por la cadena de televisión, un trabajador de HSH habló de "lapsus", pero afirmó que solamente los datos de tres ciudades, todas en Brandenburgo (este), habían estado accesibles en internet.

Los periodistas de la revista Report aus München de ARD hicieron una prueba y afirmaron que ellos habían tenido acceso a los datos de cinco ciudades, entre ellas de Plauen, en Sajonia (este).

Según el sitio de internet del semanario Spiegel, la persona encargada de la protección de datos para Brandenburgo, Dagmar Hartge, anunció que iba a abrirse una investigación concertada con el ministerio regional de Interior, para determinar las circunstancias y las consecuencias
eventuales de la avería.

Fuente: http://issaarba.blogspot.com/2008/06/los-datos-confidenciales-de-500000.html

Es posible interceptar conversaciones en el protocolo VoIP porque las secuencias de datos de voz son transmitidas generalmente en el protocolo IP por medio del protocolo de transporte RTP. Este protocolo proporciona las funciones de transferencia convenientes para transmitir datos en tiempo real tales como: datos audio, de vídeo o de simulación, servicios de red en multicast o en unicast. La voz se envía comprimida en codecs que se utilizan para convertir las secuencias de datos en el lado del transmisor y receptor. El RFC-3551 describe cómo los datos audio y de video se pueden llevar dentro de RTP y también definen un sistema de decodificadores estándares y sus nombres, cuando está utilizado dentro de RTP.

Para capturar conversaciones utilizamos un sniffer que extrae los parámetros como: puertos de RTP, direcciones IP de la sesión de RTP del emisor y receptor y los tipos dinámicos del códec de la sesión del SIP que precede los datos flujo en RTP. Después captura y descifra las corrientes audio de RTP codificadas con los codecs. Una vez descifrado el audio se guarda en archivos de sonido en el disco duro. Los programas sniffer para VoIP puede descifrar y grabar las conversaciones que estén codificadas en los codecs soportados, por dichos programas.

Capturar conversaciones desde la plataforma Windows.

Utilizando una famosa y polivalente utilidad Cain & Abel, que puede decodificar los flujos de audio RTP codificados con los siguientes códecs: G711 uLaw, G771 aLaw, ADPCM, DVI4, LPC, GSM610, Microsoft GSM, L16, G729, Speex, iLBC, G723.1, G726-16, G726-24, G726-32, G726-40, LPC-10. También implementa un modulo para envenenamiento de la cache ARP para evitar las limitaciones de tráfico broadcast impuestas por los switch. Los switch solo envían paquetes entre los host que están incluidos en su tabla ARP, limitando así el broadcast entre emisor y receptor, con el envenenamiento ARP se consigue mediante una técnica denominada ataque man-in-the-middle, falsear la MAC del atacante para poder recibir ese broadcast y capturar las conversaciones VoIP entre el emisor y receptor.

Para comenzar a interceptar el tráfico con Cain & Abel pinchamos en el botón “Start/Stop Sniffer” situado a la izquierda en la barra de herramienta. Seleccionamos la pestaña Sniffer de la parte superior, y después pinchamos en la pestaña VoIP de la parte inferior. El sniffer capturara las conversaciones colocándolas por orden de captura en una lista. Cuando se pare el sniffer podemos reproducir los archivos generados en formato WAV, que se alamcenaran en la ruta de instalación del programa, si la elegida en la instalación es la ruta por defecto seria la siguiente: “C:\Archivos de programa\ Cain\VoIP”.

Si queremos utilizar la técnica de envenenamiento ARP solo tendremos que pinchar con el sniffer activado el botón “Start/Stop APR”, seleccionar la pestaña APR de la zona inferior de la pantalla y pulsar en el signo “+” en la barra de herramientas. Se despliega un menú en el que hay que elegir en la zona izquierda donde se encuentran las IP de los equipos de la red, los equipos que quieres interceptar, que aparecerán en la zona derecha, para finalizar pulsamos OK y ya estaría funcionando el envenenamiento ARP.

Capturar conversaciones desde otras plataformas.

Utilizando Voipong que intercepta las las comunicaciones VoIP en la red que utilizan los protocolos: SIP, H323, Cisco's Skinny Client Protocol, RTP y RTCP. Decodifica los flujos de audio codificados con el códec G711 convirtiéndolos al formato WAV. Está escrito en C para mayor eficacia y funciona sobre las plataformas: Solaris, Linux y FreeBSD.

Antes de instalarlo es necesario tener instalada la librería libpcap de captura de paquetes. Después de instalar el programa y libpcap editamos el fichero de configuración del voipong en la ruta por defecto “/usr/local/etc/voipong/voipong.conf”, comprobando que los parámetros sean correctos. Cambiamos los parámetros “soxpath” y “soxmixpath” con la ruta de sox y soxmix respectivamente. Para encontrar las rutas podemos utilizar el comando “whereis”. Modificamos el parámetro “device” en el que tenemos que poner el nombre del interfaz de por la cual interceptamos los paquetes. También modificamos el apartado “outdir” en el especificamos la ruta donde se guardán los ficheros en formato WAV correspondientes a las conversaciones que capturemos.

Una vez configurado podemos ejecutar el programa con la sentecia “voipong”, para un mejor funcionamiento ejecutamos el Voipong en modo debug, para que no trabaje en modo demonio con los modificadores –d4 y –f. Los ficheros en formato WAV con las conversaciones interceptadas los encontraremos en la ruta asignada como “output” en el fichero voipong.conf.

Para realizar el envenenamiento ARP podemos usar la herramienta Arpoison.

Sintaxis:

NAME
arpoison -- arp cache update utility
SYNOPSIS
arpoison -i -d -s -t -r
[-a] [-n number of packets] [-w time between packets]
DESCRIPTION
Arpoison constructs an ARP REQUEST or REPLY packet using the
specified hardware and protocol addresses and sends it out the specified interface.
-i Device e.g. eth0
-d Destination IP address in dotted decimal notation.
-s Source IP address in dotted decimal notation
-t Target MAC address e.g. 00:f3:b2:23:17:f5
-r Source MAC address
-a Send ARP REQUEST
-n Number of packets to send
-w Time in seconds between packets

Para averiguar las direcciones MAC solo tenemos que hacer ping a las maquinas que queremos atacar y encontraremos su MAC visualizando nuestra tabla ARP con “arp -nv -i eth0”.

Como prevenir el ataque.

La mejor forma de prevenir el ataque es encriptando, la clave estaría en elegir un algoritmo de encriptación rápido y eficiente. Las técnicas más eficientes serian: VPN (virtual personal network), el protocolo Ipsec y otro protocolos como ZRTP. El menos conocido es el protocolo ZRTP creado por Phil Zimmermann (creador de PGP), Jon Callas y Alan Johnston, se trata de un protocolo de acuerdo de claves Diffie-Hellman durante el establecimiento de una llamada en el flujo de datos Real-time Transport Protocol (RTP), que ha sido establecido empleando el protocolo de señalización Session Initiation Protocol (SIP), generando un secreto compartido que es usado para las claves en una sesión segura. La gran ventaja de ese protocolo es que no requiere el uso de una infraestructura de calve publica (PKI). El protocolo ZRTP se puede implementar en las plataformas Windows, Linux y Mac OS X; utilizando las aplicación Zfone. Esta aplicación para cifrar comunicaciones VoIP trabaja con la mayoría de los clientes como: X-Lite, Gizmo, Apple iChat AV (audio y video), XMeeting y SJphone; no funciona con Skype debido a que este cliente utiliza protocolos cerrados.

Más información y descarga Cain & Abel:
http://www.oxid.it/cain.html

Manual Cain & Abel:
http://www.oxid.it/ca_um

Más información y descarga Voipong:
http://www.enderunix.org/voipong

Manual Voipong:
http://www.enderunix.org/voipong/manual

Más información y descarga Arposion:
http://www.arpoison.net

Más información y descarga Zfone:
http://zfoneproject.com

IETF protocolo ZRPT:
http://tools.ietf.org/html/draft-zimmermann-avt-zrtp-04

If you read the Wikipedia’s definition of Tiger Team you get the following: A tiger team is a specialized group tasked with testing the effectiveness of an organization’s ability to protect assets by attempting to circumvent, defeat or otherwise thwart that organization’s internal and external security. And further down we have In the computer security field, the term is now obsolete, and more common terms are penetration testers or security testers. Security assessment testing of a computer system or network infrastructure is called penetration testing, which I find very untrue.

There is a significant difference between a tiger team operation and a penetration test. They differentiate largely in terms of quality, pricing and also the time frame which is allocated for each project. Let’s have a look at these differences.

Quality

It is needless to say that the tiger team operations will produce more quality if this is what you are after. Tiger Team operations involve more then one expert in the info security field. Not to mention that each expert specializes or s/he is good at in a different area all together when compared to the rest of the participants. This adds a lot of value and it works a lot better in the long term for companies/organizations who are interested in protecting their digital assets.

When a tiger team operation is established, there is a lot brainstorming involved. This usually leads to greater input and therefore much better job. Simply put, the more heads are thinking on the same problem, the more solutions you will get and much more quality is provided as a result.

Penetration tests, from what I can see from the market today, usually involve only one person. I must admit that I’ve seen penetration tests which consisted of more then one info sec expert but all of them specializing in the same field. As you probably guess, this is not very good from creative input point of view since all experts will tackle the problem from the exact same angle. Therefore, the quality is much lower.

Pricing

Tiger team operations cost a lot more when compared to penetration tests, because they involve several experts for a longer period if time, as you will see in the next section. A single tiger team operation may take a lot of money but at the end of the day you get what you pay for. You can buy jeans from the local market for 5-a but if you want the quality stuff you might want to get the American denim which will cost you a lot more.

In UK for example, anything that is less then £1000 per-day onsite work should tell you that the people who will test you will run Nessus and this is how far their commitment to your situation goes. Still, many companies are doing exactly this. In some very rare situations you get good stuff for not much but this is very, very rare. Probably you’ve hired a good startup company which does not know how much to charge you just yet.

Time frames

Tiger Team operations usually take more time then standard penetration tests. Why? Because they are custom tailored for the specific situation. Strategic planning is the key. But on the good side of the things, you don’t have to attend the team progress on every single step. The quality and professionalism speak for themselves. So, in general you do a better job by not investing your time which usually costs you money.

Penetration tests are very narrowed and can take up to a single day which in some cases is enough in others is just the start but if it is a pentest then what is done is done and this is how much you get otherwise you have to pay more, which may not be enough and which again, takes up of your time. As you can see this is a mess.

Conclusion

I guess I am bias as being the leader of the only tiger team in UK but I wouldn’t have been part of such initiative unless I believe in its values and qualities. There are many differences between both types of services and they all fit different types of clients. Therefore, both of them fit different needs. It is up to the client to decide what they really need.

Seguimos sumando nuevos tipos de Spam a la lista ya existente, y nuevas campañas. Tengamos en cuenta que la mayoría de estas -especialmente las que buscan masificarse cada vez más- está utilizando como base principal para lograr su cometido la táctica de la ingeniería social, es decir conseguir víctimas a través de algún tema de interés social.

En esta oportunidad, y a días de estar teniendo los iPhone 3G en América Latina (los que fueron presentados oficialmente en todo el mundo el mes pasado), se trata de un correo electrónico en el que se supone que hay más contenido informativo de estos dispositivos para el usuario.

Básicamente hablamos de una campaña en la región latinoamericana que ha sido detectada por los laboratorios de la compañía de seguridad Websense y en donde los e-mails referidos a la llegada de los iPhones a la región se están esparciendo como spam desde hace unos días, y cada vez más.

¿Cómo está armado el correo? Se trata de un e-mail que contiene un asunto relacionado con el iPhone 3G y un cuerpo del correo en el que hay un enlace al que hay que ingresar para obtener más información de la unidad o bien la presentación de la misma. Al ingresar a ese enlace, en realidad lo que sucede es que se descarga un código malicioso (aparece como “presentacion.mov.exe”) con el que se trata de robar información de la víctima.

Por supuesto que esto está ocurriendo a sólo unos días del lanzamiento del dispositivo en el continente. Así que a tener cuidado con este tipo de correos que andan dando vueltas por la Web y a no ingresar a ningún enlace que prometa darnos más información sobre el iPhone. Para eso, basta con ingresar a la página oficial de Apple o a la de las operadoras de cada país que va a trabajar con estos dispositivos.

Nota: La psicología de la seguridad también puede leerse en Segu-Info y aquí.

Por Jeimy J. Cano, Ph.D.

Comenta SHOSTACK y STEWART en su libro The New School of Information Security que un verdadero profesional de la seguridad de la información toma mejores decisiones analizando los incidentes de pérdidas de datos, dado que allí encuentra lecciones que la inseguridad le sugiere y no solamente en el reclamo justo de la administración por la pérdida de los mismos.

Esta posición algo extraña, dado que el responsable de la seguridad se expone todo el tiempo por cuenta de la inseguridad, resulta todo un acierto al revisar la perspectiva de la seguridad desde la visión psicológica y de percepción de la misma.

La seguridad es una sensación, una manera de percibir un cierto nivel de riesgo. Algunas personas son más propensas al riesgo, mientras que otras son más conservadoras. Mientras las primeras gustan el desafío y la vida en los límites, las otras, buscan medir sus pasos y analizar sus posibilidades antes de actuar. Cualquiera que sea el perfil, los dos buscan siempre confrontar la inseguridad para sacar el mejor provecho de ella, bien sea para obtener mayores dividendos en un negocio o salvar incluso su vida.

Revisando los análisis de SHOSTACK y STEWART sobre estudios realizados en el Reino Unido sobre niveles de accidentalidad, basados en el uso o no de frenos más confiables como son los ABC, se encuentran conclusiones desafiantes que nos deben invitar a reinventar nuestra perspectiva de la seguridad de la información en los individuos.

Luego de hacer seguimiento de las personas participantes en el estudio durante un año se encontró que el nivel de accidentalidad no disminuyó, pero lo interesante fue que las personas que tuvieron mayores niveles de siniestralidad fueron aquellos que tenían los frenes más confiables, es decir los ABS. Este paradójico resultado lo explican los autores con una teoría que denominan teoría de compensación del riesgo. Dicha teoría dice que “a medida que las personas se sienten más seguras con las medias de seguridad, más propensas a los riesgos se vuelven”. En el caso particular del estudio, se concluye que los conductores con frenos ABS se sentía más seguros y por tanto manejaron de manera más agresiva.

Esta interesante conclusión, nos sugiere elementos que hasta ahora hemos ignorado frente al modelaje de la seguridad de la información. Por un lado, nos invita a establecer esos perfiles de riesgo propios de cada persona, que nos permite establecer mecanismos de control que no lo limiten en su hacer y le permitan hacer su trabajo con flexibilidad; pero al mismo tiempo, reconocer en el entorno corporativo la “falsa sensación de seguridad” que sugieren los constantes ejercicios de aseguramiento, para mantener una posición proactiva en el tema.

Incorporar en los diseños de seguridad de la información estas conclusiones, nos permite comprender la inseguridad como una función de la percepción y tendencias humanas por el riesgo, lo cual nos lleva a visualizar la configuración de controles y seguridades que, por un lado permitan un libre actuar de las personas en contornos de protección mínimos requeridos, y por otro, que le permitan al individuo recordar su responsabilidad en el uso de la información dentro y fuera de la organización.

La psicología de la seguridad informática debe estar animada por la constante evolución de la percepción del individuo sobre la protección de los activos, como una manera de incorporar en la gestión de la inseguridad, esa variable que impacta los resultados propios del responsable de la seguridad y su reporte a la alta gerencia: ¿Somos más o menos vulnerables?

Fuente: http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450009147

Basado en el escáner de vulnerabilidades para WordPress de BlogSecurity, acaba de presentarse una fase muy inicial de Blogsecurify, que se supone una versión mejorada y ampliada a otros CMS (aunque yo no he podido encontrar cuáles).

Si algún malintencionado está pensando utilizarlo para escanear blogs indiscriminadamente se encontrará con un problema: hay que introducir un comentario en el código de la portada del sitio para que Blogsecurify pueda analizarlo. También está disponible un plugin para WordPress que se encarga de preparar el sitio para el análisis.

Fuente: http://www.kriptopolis.org/blogsecurify-test-seguridad-blogs-wordpress