En el día de la fecha, nos han reportado otra nueva forma de engaño para obtener direcciones de correo y contraseñas al mejor estilo quienteadmite.

Este servicio tiene un par de semanas de existencia y la descripción completa está en checkapic o friendlypixx y lo más "gracioso" es lo que dice en sus términos y condiciones:
Efectivamente ellos entrarán a nuestra cuenta con nuestro nombre de usuario y contraseña.


Cristian

Brillante hackeo con JavaScript y CSS, bien explicado en anieto2k: Cómo detectar el sexo de tus visitantes con su historial de navegación. El código original se llama SocialHistory.js y se basa en un hackeo tremendamente ingenioso: utilizando técnicas de programación en JavaScript y CSS se puede saber si un visitante ha visitado otros sitios anteriormente. ¿Cómo? Por que están en su historial de navegación y los enlaces visitados tienen un color distinto. En cierto modo podría ser considerado un agujero de seguridad/privacidad, pero no se antoja demasiado grave. El truco no permite leer la lista de enlaces visitados, pero como se puede «preguntar» si se han visitado o no tantas veces como se quieras en una especie de sí/no al estilo del juego de las 20 preguntas, se pueden «averiguar cosas». Por ejemplo, y rizando el rizo, se pueden compara una larga lista de URLs diversas –hasta 10.000– de las que se conoce aproximadamente el porcentaje de hombres y mujeres que las visitan, para «acertar» con cierto grado de precisión. Snopes o Amazon los visitan más mujeres que hombres; Boing Boing y Popular Mechanics al revés… etcétera. Se puede ver una demo aquí (haciendo clic en el botón central):

• Using your browser URL history to estimate gender

Esto mismo truco permitiría hacer otras cosas en función de las URLs que el visitante haya navegado últimamente. Como además esa función relativa a los «enlaces visitados» es muy importante para los usuarios y de las más primitivas que existen en los navegadores, sería extraño que lo corrigieran. Esto abre todo un mundo de nuevas posibilidades a los webmasters.

Es el argumento empleado por el gigante de Internet, en la presentación de su defensa en el caso de la demanda de la pareja de Pensilvania que acusó a su servicio Street View de invasión intencionada de su privacidad.

Como sabéis el servicio Street View integrado en Google Maps ofrece imágenes de calles de algunas de las principales ciudades de Estados Unidos (próximamente las europeas) a base de fotografías en 360 º. Una herramienta fantástica pero polémica desde sus inicios y que se suma a las acusaciones de invasión de la intimidad de otros servicios de Google.

Aunque la demanda de la pareja estadounidense, que dicen les ha ocasionado “sufrimiento mental y devaluación de sus bienes”, parece un intento oportunista de conseguir dinero fácil (piden 25.000 dólares por daños), pone en evidencia la política global de privacidad que emplea Google, acusado de intromisiones a la hora de recabar datos de ciudadanos e internautas y su posterior tratamiento.

Está por ver que el argumento empleado por Google indicando que con la tecnología actual de imágenes por satélite “la privacidad completa no existe ni siquiera en los desiertos”, sea suficiente para convencer a su señoría. Recordemos que aunque la demanda nos parezca absurda, la vivienda en cuestión está marcada claramente como propiedad privada y la vía en la que se encuentra en una zona restringida.

Es indudable que Google pone a disposición de los usuarios excelentes herramientas web pero a cambio, según sus críticos, la convierten en la compañía con más información de las actividades online de los internautas y la dotan de una capacidad sin precedentes para el espionaje de usuarios.

Fuente: http://www.theinquirer.es/2008/07/31/google-dice-que-%E2%80%9Cla-privacidad-completa-no-existe%E2%80%9D.html

Por Ralf Benzmüller, director del Laboratório de Seguridad de G DATA.

La virtualización está de moda, empezando porque no se trata de algo pasajero o transitorio, y siguiendo porque sus ventajas hablan por sí solas: consolidación de servidores, almacenamiento virtual, flexibilidad, ahorro de costes, integración de arquitecturas y un largo etcétera de posibilidades, entre las que destacan la gestión centralizada y simplificada de los sistemas y, finalmente, nuevas capacidades en materia de seguridad.

En paralelo, los creadores de malware también están al tanto de su creciente expansión y ya están volcando sus esfuerzos en aprovechar nuevas oportunidades para seguir en su incesante carrera destructiva, en la que la sorpresa y la pronta actuación son algunas de sus tristes señas de identidad. Al respecto, los cibercriminales ya han conseguido explotar la virtualización con nuevos y dañinos rootkits, una herramienta que se utiliza para esconder aplicaciones que atacan al sistema, como Blue Pill, un código malicioso que hace referencia a la píldora azul que se le ofrecía al protagonista del filme Matrix para seguir viviendo engañado bajo un mundo virtualizado, frente a la roja que le despertaba a la realidad.

Trasladada la metáfora al caso que nos atañe, el de la seguridad informática, Blue Pill se disfraza de falso sistema operativo y, utilizando técnicas de virtualización, consigue engañar al usuario de forma que éste sea incapaz de distinguir la realidad, de forma que no podría saber si se encuentra utilizando un sistema infectado que, además, ha sido específicamente diseñado para causar daño. El atacante, aprovechando la citada capacidad de virtualización de los nuevos procesadores de Intel y AMD, instala de forma remota una herramienta de este tipo, con lo que el usuario ni tan siquiera llega a ser consciente del peligro que corre.

En contraposición al dañino Blue Pill, surge la iniciativa Red Pill, que abanderando la corriente de los salvadores en la citada película de los hermanos Wachowski, tiene el objetivo de detectar si el sistema operativo que utilizamos está siendo ejecutado en un entorno virtual o real, para que el usuario pueda volver a tener la confianza de que todo marcha como debería. En esta tarea estamos actualmente involucrados los principales fabricantes de seguridad del mercado, y no es para menos.

Dejando atrás este inquietante asunto, conviene mirar la otra cara de la moneda: la de la virtualización como aliado en aras de una mayor seguridad. Con aplicaciones en Java y .Net ejecutadas ahora en entornos virtuales, el sistema queda menos expuesto a múltiples variantes de código malicioso, y a su vez el sistema operativo pone en marcha procesos en entornos virtualizados, mientras que otras aplicaciones de uso habitual como buscadores o correo electrónico también pueden correr en entornos virtuales.

De esta forma, los cambios en las aplicaciones o en las máquinas virtuales no afectarían al verdadero sistema principal, con lo que la capacidad de propagación del código dañino también sería virtual, y no real. Es lo que se conoce como “cajón de arena”, en referencia a aquellos entornos seguros en los que nuestros hijos pueden jugar sin miedo a hacerse daño al caer.

En definitiva, vemos cómo la virtualización en materia de seguridad puede presentar riesgos –como suele suceder con toda tecnología novedosa, y máxime con la industria del malware tratando de explorar permanentemente nuevos métodos con los que hacer daño-, pero sus ventajas se presentan como francamente interesantes para los gestores TI.

La revolución no ha hecho más que comenzar.

Fuente: http://www.financialtech-mag.com/000_estructura/index.php?ntt=10459&vn=1&sec=4&idb=163

El grupo italiano Mediaset, de Silvio Berlusconi, exige del videoportal Youtube 500 millones de euros de indemnización por derechos de autor no pagados.

Mediaset dice haber descubierto en Youtube miles de vídeos propios. Y se puso a contar. Sólo el 10 de junio, tal la acusación, fueron identificadas 4.643 copias ilegales de Mediaset, con un largo total de 325 horas.

Bildunterschrift: Großansicht des Bildes mit der Bildunterschrift: Logo YoutubeMultiplicado por el número de accesos a esos vídeos, los italianos calcularon que Youtube ha emitido hasta ahora 315.672 días de programa televisivo de Mediaset. Youtube se declara inocente y ha manifestado que no existe causa para ir ante la Justicia.

"Youtube prohibe ya desde hace tiempo a los usuarios subir material con derechos de autor de terceros al portal. Youtube coopera con todos los tenedores de derechos para identificar y sacar rápidamente del portal contenidos protegidos, no bien tomamos conocimiento de los casos", declaró un el popular videoportal en un comunicado de prensa.

No es el único caso

Si Mediaset se tomó el trabajo de intentar quitar por ese camino los supuestos contenidos de propiedad suya no ha podido ser aclarado hasta ahora. Parece que los italianos optaron directamente por el camino de exigir la indemnización.

Y no es el único caso. En juicios comparables, otros grupos mediáticos proceden contra Youtube. En abril, la emisora de TV francesa TF1 también inició juicio a Youtube. TF1 reclama 100 de euros de indemnización, acusando a Youtube de "parasitismo" y difusión ilegal de contenidos.

También Viacom, dueña de MTV, y los estudios cinematográficos Paramount han llevado a Youtube ante tribunales norteamericanos. Viacom le exige al videoportal nada más ni nada menos que 1.000 millones de dólares.

Como a reacción a los juicios, Youtube instaló en octubre pasado un software de filtro, con el que intenta detectar emisiones televisivas y filmes pirateados y bloquearlos automáticamente.

Mediaset y Fininvest

Mediaset es el grupo mediático del ya varias veces jefe de Gobierno italiano, Silvio Berlusconi. El vicedirector de la sociedad anónima es su hijo, Pier Silvio Berlusconi.

Mediaset, que se cotiza en bolsa, forma parte del "holding" Fininvest, del que la familia Berlusconi posee casi el 51 por ciento de las acciones. El grupo tiene tres emisoras de televisión suprarregionales: Italia 1, Rete 4 y Canale 5.

Fuente: http://www.dw-world.de/dw/article/0,2144,3527979,00.html

En los últimos años ha crecido el malware diseñado para Linux, infectando gran cantidad de ordenadores y servidores con este sistema operativo.

Aunque Linux es utilizado por una minoría en comparación con el número de usuarios de Windows, al igual que está pasando Mac OS X, ambos sistemas operativos cada vez tienen más popularidad entre los usuarios. Por este motivo, los cibercriminales están creando malware desarrollado para que afecte específicamente a los equipos Apple u ordenadores con Linux.

Como destaca Sophos en su Informe de Seguridad de julio de 2008 sobre cibercrimen, el problema del malware contra Apple es actualmente muy pequeño si se compara con el lanzado contra Windows, pero esto no significa que no haya riesgo. Desde la aparición del primer malware contra Mac OS X a finales de 2007 -generado por motivos económicos- ha habido varias tentativas por parte de los hackers para infectar y robar desde ordenadores Mac.

El mismo informe señala que desde hace 6 años el malware RST-B, diseñado para Linux, ha infectado un gran número de ordenadores y servidores que usan este sistema operativo. Según los datos de SophosLabs, el nivel más alto de infección de Linux/RST-B con ordenadores comprometidos está en EE.UU, seguido de China y Alemania.

Pese a que Linux se presenta en varias distribuciones, el kernel o núcleo sobre el que se desarrollan las diferentes versiones es siempre el mismo, y por esta razón los virus creados para Linux se ejecutan en cualquier distribución pero pueden no tener el mismo efecto.

Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=1851

Como resumen al documento que ya indiqué en el post Guía para la elaboración del marco normativo de Seguridad ISO 27002 en este texto que he redactado para el Blog del INTECO, comento los principales documentos que aparecen en un SGSI.

Cuando se trata de documentar las decisiones y acciones relacionadas con la seguridad de la información o la construcción de un SGSI (Sistema de Gestión de la Seguridad de la Información), aparecen diferentes tipos de documentos que contribuyen a lograr ese objetivo. En este texto trataré de poner algo de luz en relación a los diferentes documentos que pueden ser utilizados para tratar de establecer, definir y documentar las necesidades en Seguridad de la Información.

Todo intento por formalizar cualquier tarea o aspecto relacionado con la seguridad debe tratar como mínimo de responder a tres preguntas:

* Qué: objetivo, requisito o regulación que se quiere satisfacer o cumplir (lo que hay que lograr).
* Quién: responsable de la tarea o encargado de que se cumpla (el encargado de hacerlo posible).
* Cómo: descripción de las actividades que darán con la consecución del objetivo o requisito (lo que haya que hacer para conseguirlo).

Las preguntas cuándo y dónde muchas veces no tienen por qué ser respondidas aunque suelen ser tratadas en los procedimientos. Basándose en lo anterior, los documentos que se elaboran para formalizar la seguridad tratan, a diferentes niveles, de responder a esas preguntas, relacionándose de manera jerárquica unos con otros:

* Una política de seguridad debe establecer las necesidades y requisitos de protección en el ámbito de la organización y es la guía o marco para la creación de otro tipo de documento más detallado que denominamos norma de seguridad. Formalmente describe qué tipo de gestión de la seguridad se pretende lograr y cuáles son los objetivos perseguidos. Definen qué quiere la organización a muy alto nivel, de forma muy genérica, quedando como una declaración de intenciones sobre la seguridad de la Organización. A su vez, una política de seguridad puede apoyarse en documentos de menor rango que sirven para materializar en hechos tangibles y concretos los principios y objetivos de seguridad establecidos. Hablamos entonces del marco normativo que puede estar constituido por documentos de rango inferior, como pueden ser las normas, políticas de uso, procedimientos de seguridad e instrucciones técnicas de trabajo. Vamos a ver en qué consisten cada una de ellas.
* Una norma de seguridad define qué hay que proteger y en qué condiciones, pero para situaciones más concretas. Sirven para establecer unos requisitos que se sustentan en la política y que regulan determinados aspectos de seguridad. Una norma debe ser clara, concisa y no ambigua en su interpretación. Se pueden agrupar en base a las diferentes áreas de la seguridad dentro de la organización: normas de seguridad física, normas de control de acceso a sistemas, normas de gestión de soportes, normas de clasificación de información, etc.
* Un procedimiento de seguridad determina las acciones o tareas a realizar en el desempeño de un proceso relacionado con la seguridad y las personas o grupos responsables de su ejecución. Son, por tanto, la especificación de una serie de pasos en relación la ejecución de un proceso o actividad que trata de cumplir con una norma o garantizar que en la ejecución de actividades se considerarán determinados aspectos de seguridad. Un procedimiento debe ser claro, sencillo de interpretar y no ambiguo en su ejecución. No tiene por qué ser extenso, dado que la intención del documento es indicar las acciones a desarrollar. Un procedimiento puede apoyarse en otros documentos para especificar, con el nivel de detalle que se desee, las diferentes tareas. Para ello, puede relacionarse con otros procedimientos o con instrucciones técnicas de seguridad.
* Una instrucción técnica de seguridad determina las acciones o tareas necesarias para completar una actividad o proceso de un procedimiento concreto sobre una parte concreta del sistema de información (hardware, sistema operativo, aplicación, datos, usuario, etc.). Al igual que un procedimiento, son la especificación pormenorizada de los pasos a ejecutar. Una instrucción técnica debe ser clara y sencilla de interpretar. Deben documentarse los aspectos técnicos necesarios para que la persona que ejecute la instrucción técnica no tenga que tomar decisiones respecto a la ejecución de la misma. A mayor nivel de detalle, mayor precisión y garantía de su correcta ejecución.
* Una política de uso es un documento destinado a usuarios finales con la intención de establecer una regulación específica sobre la utilización de un sistema, tecnología o recurso. En este caso, deben documentarse las normas de comportamiento que deben cumplir los usuarios en el uso de los sistemas de información o los aspectos generales que se desean regular, así como los usos que son considerados autorizados y los usos no aceptables.

Lo importante de este conjunto de documentos que forman el marco normativo es, por un lado, documentar de forma clara y concreta las decisiones establecidas por la organización en materia de seguridad y, por otro, que sean utilizados por todas las personas de la organización para saber qué hacer en cada circunstancia en relación con la protección de la información.

Fuente: http://sgsi-iso27001.blogspot.com/2008/07/como-resumen-al-documento-que-ya-indiqu.html

El creador de Metasploit, el popular framework de explotacion que fue el primero en incluir un modulo funcional de la ultima vulnerabilidad de DNS, ha sido victima de su propio invento.

Martes por la mañana, en la compañia de Moore (BreakingPoint), tuvo redirecciones de parte de su trafico a una pagina falsa de Google que habia puesto un scammer. Segun Moore, el hacker fue capaz de hacer esto ejecutando la vulnerabilidad de envenenamiento de cache en un servidor DNS en las redes de AT&T que estaba en ejecucion en Austin, Texas.

Cuando Moore intento visitar google.com, fue redirigido a una pagina falsa que servia como el index de la pagina de Google en un frame HTML junto con otras tres paginas diseñadas para hacer click automaticamente en publicidad. Aunque ninguna maquina de BreakingPoint fue comprometida, la situacion es bastante incomoda y peligrosa.

Lo interesante del asunto fue como se dieron cuenta los empleados de BreakingPoint, que luego de que algunos empleados mediante amigos y familiares que tambien estaban usando los servidores de DNS de AT&T notaran que la pagina de Google no estaba bien, ya que los atacantes omitieron la imagen de la NASA que tenia Google en su pagina por la conmemoracion de sus 50 años

Fuente: http://www.dragonjar.org/h-d-moore-victima-de-su-propio-invento.xhtml

Lamentablemente, las aplicaciones de seguridad que nos ayudan a evitar el ingreso de códigos maliciosos a nuestros equipos, muchas veces suelen ser utilizados como disfraz tras el que están camuflados los verdaderos agresores. En simples palabras: los programas de seguridad pueden a veces ser en realidad los malwares que tanto combatimos.

Si bien ya en oportunidades anteriores nos hemos referido a este tema, en esta ocasión se trata de un malware que está enmascarado como si fuera una aplicación de limpieza de una de las principales especialistas en seguridad: Trend Micro.

Lo que está ocurriendo es que se está expandiendo un correo electrónico que simula provenir de la mismísima Trend. Dentro del e-mail hay un archivo que es una supuesta herramienta de seguridad que la compañía está distribuyendo. La cuestión es que no es una herramienta de seguridad, sino un troyano que se descarga en el equipo cuando el usuario abre el archivo.

En realidad, se trata de un archivo comprimido en RAR y el nombre del que se ejecuta es iClean20.EXE. Cuando este comienza a ejecutarse, se abren dos archivos: en uno está la herramienta de limpieza y en el otro, el verdadero troyano que se instala en la máquina, incluso al hacerlo de esta manera, puede engañarnos en forma tal que ni nos demos cuenta de lo que está ocurriendo.

Si bien acá están los datos de los archivos y del supuesto correo electrónico como para no caer en el engaño, tengamos en cuenta que las empresas de seguridad no envían nunca herramientas de limpieza o seguridad en archivos a través de e-mails. Y si bien por el momento sólo se han detectado algunos equipos infectados en China, vale la pena estar prevenidos por si suele expandirse o por si aparece algún otro con características similares.

Para los que confían plenamente en que navegar en páginas Web verdaderas o legítimas es 100% seguro, presten atención a esta información porque los puede ayudar bastante.

En estos últimos meses, los ciber-delincuentes están dejando de lado la práctica de crear páginas falsas como medios de descarga de códigos maliciosos y en su lugar están ingeniándoselas para utilizar las páginas reales como territorio de ataque. De esta manera, no necesitan perder tiempo en la creación de los sitios y además, obtienen mayor cantidad de víctimas debido a la popularidad de las páginas que infectan.

Según un informe que dio a conocer recientemente la especialista en seguridad Websense conocido como Reporte del Estado de Internet, de los cien sitios más visitados por los internautas, sesenta han sufrido alguna infección en la primera mitad del año. Una cifra muy alta que muestra la falta de herramientas de seguridad en las mismísimas páginas que visitamos diariamente, herramientas que sean capaces de analizar en tiempo real el contenido de las mismas.

Lo que hay que resaltar es que de estas sesenta, la mayoría son los tipos de páginas que más usuarios están teniendo actualmente: redes sociales, sitios Web 2.0 y motores de búsqueda.

En el informe también se comenta que en parte la “buena reputación” que tiene este tipo de páginas puede ser una de las razones que lleve a que los ciber-criminales las elijan a ellas y no a otras. Además del hecho, como comentamos anteriormente, que son las que en estos momentos tienen mayor cantidad de usuarios.

Como vemos, no hay nada seguro y hay que tener mucho cuidado de lo que se descargue, aunque sea algo proveniente desde las mismísimas páginas legítimas.

Los consejos obsoletos ofrecen una falsa sensación de seguridad de la
que se están aprovechando los atacantes. Muchas de las informaciones
publicadas sobre seguridad en general y sobre malware en particular no
han sabido renovarse, y se perpetúan coletillas y axiomas que (aunque
útiles y necesarios) no se han matizado ni completado correctamente con
el tiempo. Son consejos de hace años, que no se han adaptado a una
industria (la del malware) que avanza mucho más rápido de lo que podamos
imaginar. Vamos a ofrecer algunos consejos útiles contra el malware...
de hoy.

Administrador no, gracias

El principal consejo para los usuarios de sistemas operativos en general
y los de Windows en particular es no usar la cuenta de administrador. Se
debe utilizar la cuenta de un usuario sin privilegios, sin excusas. Esto
es lo que puede llevar a una mayor protección no solo contra el malware,
sino contra posibles despistes del propio usuario. Un "administrador"
está precisamente para "administrar", y son muy pocas veces las que un
usuario utiliza su sistema para realizar modificaciones importantes. La
mayor parte del tiempo lee correo o navega, actividad esta última que
conlleva un importante riesgo, sea con el navegador que sea. Esta
irresponsable actitud de usuario administrador perpetuo está heredada de
los tiempos de Windows 9x. No tenía sistema de usuarios local real, ni
soportaba NTFS, con lo que no se podían establecer permisos por
usuarios. Cuando apareció XP, tras su instalación Microsoft permitía por
fin la creación de un usuario distinto al administrador para el uso del
sistema. Un gesto que hubiera servido de algo si este mismo usuario no
perteneciese por defecto al grupo administradores, y por tanto fuese tan
poderoso como él.

A nadie que utilice un sistema operativo que no sea Windows se le ocurre
realizar sus actividades cotidianas como "root" o súperusuario. En
Windows, lo extraño es precisamente lo contrario, trabajar con cuentas
limitadas. Este es el verdadero origen de la mayor parte de los males, y
de que el malware pueda campar a sus anchas en un ordenador donde puede
escribir, leer, modificar... puesto que es ejecutado con los mismos
permisos del usuario que está usando la máquina.

En Windows Vista, Microsoft ha establecido un importante sistema de
seguridad para mitigar este problema heredado, rompiendo así una
tendencia muy arraigada y limitando el poder del usuario habitual. Se
ha relegando por fin el uso del administrador a un segundo plano. Sin
embargo esto ha sido visto por muchos usuarios como un estorbo, en vez
de como una importantísima mejora en su seguridad.

Aunque se presente aquí como panacea, no lo es. Todavía una parte del
malware actual podría seguir actuando. Además, trabajar como usuario
raso en XP o 2000 puede llegar a ser incómodo, incluso para usuarios
experimentados. Es necesario tener conocimientos sobre permisos,
privilegios, NTFS, derechos, herencias, grupos... Por si fuera poco, con
ánimo de no complicar al usuario, Windows XP Home Edition escondía
deliberadamente la pestaña de seguridad para poder cambiar los permisos,
a no ser que se trabajara en modo a prueba de fallos.

Actualizar el sistema

No sólo Windows, sino todos los programas que tengamos instalados deben
estar actualizados a la última versión de su rama. Esto es muy
importante, pues una gran parte del malware hoy en día se aprovecha de
vulnerabilidades conocidas que ya tienen parche. Muchos usuarios piensan
que un Windows parcheado tendrá problemas "legales" o que sufrirá fallos
de compatibilidad. Un Windows sin actualizar es un Windows contaminado.
Pero no sólo el sistema operativo. Todo programa es susceptible de
sufrir problemas de seguridad y de que sean aprovechados. Desde el
reproductor de MP3 hasta el lector de PDF, se han detectado ataques
dirigidos a versiones vulnerables de los programas más utilizados para
tareas comunes. La única solución es no abrir archivos no solicitados
tengan el formato que tengan y sobre todo, mantener actualizados los
programas que los interpretan.

Mantenerse informado

Mantenerse informado sobre tendencias de seguridad, malware y estado
en general de la seguridad en la red. No se puede luchar contra lo que
no se conoce. Son muchos los usuarios que desconocen que pueden ser
infectados por archivos que no son ejecutables, que es posible ejecutar
código arbitrario en el sistema de forma transparente con sólo visitar
una web, o que el SSL del banco visitado no tiene por qué significar que
un sistema no esté troyanizado o que no se trate de un phishing. Otros
piensan que el hecho de que la página del banco aparezca modificada y
requiera más casillas de la tarjeta de coordenadas de lo habitual,
significa que la seguridad ha aumentado...estar informado es primordial.
No sólo por lo cambiante de algunas técnicas, sino también porque es
necesario seguir de cerca ciertas campañas que emprenden los atacantes
y que suscitan modas y comportamientos sobre los que resulta
imprescindible estar especialmente atento. Existen momentos en los que
se perpetran ataques concretos para los que puede que la única solución
sea conocerlos y evitarlos hasta que exista parche.

Otros consejos

Estos tres consejos anteriores son los más importantes. Por desgracia no
son los que se dan habitualmente en los medios no especializados. Ni la
tecnología, ni Internet ni los atacantes son los mismos que hace cinco
años, por tanto las precauciones no deben ser iguales para siempre.
Obviamente es necesario usar herramientas o suites de seguridad
actualizadas (cortafuegos, antispyware...) pero sobre todo, saber cómo
se usan. Si no se saben manejar, se vuelven inútiles.

¿Y el antivirus? Por supuesto. También es imprescindible tener un
antivirus actualizado a diario.

Sergio de los Santos
ssantos@hispasec.com

Fuente: http://www.hispasec.com/unaaldia/3567/

El análisis de los hábitos de los usuarios en su vida digital denota el "aumento" de la penetración de las nuevas tecnologías en todos los ámbitos de la vida.

Esta "digitalización" de la vida diaria ha favorecido una mayor concienciación y preocupación por los "posibles riesgos" de la Red, especialmente aquellos que conciernen a los menores, apunta el estudio.

Respecto a los niños y la seguridad en internet, la preocupación de los padres sobre las actividades que los menores realizan en la red aumenta a medida que los niños pasan cada vez más tiempo conectados, puesto que son los "más vulnerables" a los peligros de la red, por lo que es indispensable disponer de los recursos necesarios para prevenir y actuar lo antes posible en caso necesario.

Según revela el informe, la irrupción de las redes sociales también tiene una "gran incidencia" en los hábitos de los usuarios ya que cada vez se comparte más información personal en la red. Además la creación, descarga y almacenamiento masivo de contenidos en los equipos personales es a su vez una tendencia al alza.

Además, las aplicaciones web son las mayores afectadas por las vulnerabilidades, ya que representaron un 58 por ciento de todas las documentadas, que alcanzaron un total de 2.134.

Por otra parte, las amenazas a la seguridad para el usuario están lideradas "por el pirateo y explotación de sitios web de confianza para los usuarios", lo que ha provocado seis millones de afectados en todo el mundo. De todos los "códigos maliciosos" detectados un 8 por ciento se dirigían a juegos en red, establece la investigación.

El secuestro de ordenadores mediante ´bots´ tiene "especial importancia" en España, de manera que ocupa el cuarto puesto mundial en número de redes bot y Madrid es "la ciudad con mayor cantidad de ordenadores infectados del mundo".

Spam

Por otro lado, tanto el ´phishing´ como el ´spam´, que continúan "aumentando en porcentaje respecto a los anteriores periodos estudiados", tienen como objetivo principal "los usuarios finales", y en este sentido, "resulta especialmente preocupante que hasta el 71 por ciento de todo el tráfico de correo electrónico monitorizado resultó ser spam".

Symantec, gracias a la red de vigilancia y alerta temprana que mantiene en todo el mundo, elabora y publica periódicamente varios informes sobre seguridad como internet Security Report, spam report y phishing report, entre otros, cuyas conclusiones más relevantes junto con datos relativos a los hábitos de los usuarios en la red, proporcionan "una visión amplia y rigurosa de los peligros a los que se enfrentan los internautas día a día", concluyeron las mismas fuentes.

Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=1848

Recientemente revisando dos artículos sobre el desarrollo de software seguro, es interesante ver cómo los dos coinciden en aspectos fundamentales acerca de la construcción de dicho software, pero igualmente los dos documentos no hacen explícitas las consideraciones sistémicas propias de la realidad de un software confiable, no seguro.

Mientras la Maestra en Ciencias de la Computación Julia Allen, establece que construir software sin consideraciones de seguridad, es como tratar de ir por la cuerda floja sin malla protectora, los autores del artículo “la inevitabilidad de la falla”, sostienen que la seguridad inicia con el aseguramiento de los sistemas operacionales, lugar donde muchas veces establecemos los elementos mínimos para asegurar una ejecución confiable de las aplicaciones.

Para Allen, el problema de la seguridad en el desarrollo de software está asociado por un lado con las amenazas durante el desarrollo, es decir, aplicación formal de las buenas prácticas de seguridad durante el ciclo de desarrollo de aplicaciones y por otro, con las amenazas en la operación del mismo, es decir, la toma de ventaja de las vulnerabilidades que se pueden explotar en el uso de la misma, lo cual puede llevar a corrupción de la memoria, buffer overflows y otras fallas propias de la exigencia del usuario del software en su uso.

Para los autores del artículo “la inevitabilidad de la falla”, la seguridad inicia en una sana y buena propuesta de aseguramiento del sistema operacional. Sin este requisito, sostienen los autores, las implicaciones y complejidades derivadas de las fallas de las aplicaciones, serán mayores y por tanto la identificación de la(s) causa(s) será más demandante y exigente en el tiempo y en el detalle técnico. Evitar una falla, sin bien no es posible todo el tiempo, el documento arguye, que si se toman las acciones requeridas de controles de acceso mandatarios, se valoran las fortalezas y limitaciones de los mecanismos de seguridad instalados, es posible mejorar las condiciones de seguridad de los sistemas operacionales.

Si bien los dos documentos, establecen referentes generales y conceptos específicos que apunta a una mejor ejecución y confiabilidad de las aplicaciones, no se advierte las relaciones emergentes propias de un ambiente computacional y cambiante como lo tenemos hoy. La seguridad del software más allá de la amenazas en el desarrollo y en la operación, y considerando las prácticas propias de aseguramiento de los sistemas operativos, requiere el entendimiento de la inseguridad como propiedad inherente del contexto donde se requieren las medidas de seguridad.

En este contexto, no se puede hablar de seguridad de las aplicaciones, sino confiabilidad de las mismas. Este nivel de confiabilidad, está dado por el nivel de riesgo aceptado que establece la organización para sus desarrollos, medido todo él en función de la administración de riesgos que hace frente a las prácticas de construcción de software, el estudio del perfil psicológico de los usuarios, las vulnerabilidades propias de los productos utilizados y la evolución de los procesos de negocio de la organización.
La confiabilidad es una propiedad emergente del sistema que se percibe como un incremento de la confianza de los usuarios y clientes en el uso de las tecnologías de información, como parte de la estrategia de la generación de valor de la empresa.

Las diferentes propuestas actuales que buscan disminuir las vulnerabilidades propias
del software, basan sus propuestas en consideraciones específicas de uso de las tecnologías y lenguajes de programación, que si bien ayudan a regular el número de vulnerabilidades, frecuentemente conocidas, no avanzan en un estrategia más holística de construcción de software confiable.

Julia Allen sostiene que el software es vulnerado frecuentemente por la explotación de debilidades resultantes de:

1. Complejidades, imprecisiones y cambios en el modelo de procesamiento de software, es decir, en un inadecuado diseño de la arquitectura del software, relacionado con los modelos de procesos y datos lógicos requeridos para los requerimientos del negocio.
2. Supuestos incorrectos aceptados por los desarrolladores, como son entre otros, capacidades del producto, salidas y comportamientos (estados) de las aplicaciones en el ambiente de ejecución o entradas de entes externos.
3. Fallas en la especificación o el diseño que llevan a defectos en la implementación del software o sus componentes.

Considerando este escenario, se puede establecer que tenemos tres tipos de palabras para hablar de problemas que impacten la confiabilidad del desarrollo de las aplicaciones.

Un error, un error es una limitación operacional propia de la utilización del software; un evento causado por un usuario o interconexión con otro proceso. Una falla, es un problema inherente en el diseño mismo de la aplicación y está embebido en la manera como se plantea la solución que se construye y una vulnerabilidad, es la explotación de una falla identificada en el diseño, que bien puede ser producto de la configuración de la aplicación o de las funciones propias del lenguaje utilizado.

En consecuencia de lo anterior, las confiabilidad del software exige la exposición de la aplicación a los errores propios del uso, a la valoración y evaluación de los riesgos propios del diseño y a la explotación de las vulnerabilidades que se expuestas en el diseño. Es importante aclarar que siempre es posible un efecto de borde u operación inesperada que puede no estar documentada ni en la operación, ni en el diseño, por tanto, esta posibilidad es el riesgo residual aceptado por la organización cuando recibe una solución de software para su uso.

La confiabilidad del software requiere un alto grado de experiencia en el uso de buenas prácticas, un claro conocimiento de las posibilidades y oportunidades de los lenguajes de programación y el ojo crítico y analítico de aquel que busca esos lugares en el diseño (visibles y no visibles) donde podemos ir “más allá de lo especificado en la funcionalidad”.

El software seguro, si bien no es posible, por la sencilla razón que no existe riesgo cero, es una oportunidad tanto para los desarrolladores como para las empresas, para aprender de los efectos de borde, pues como decía Albert Einstein, “la imaginación es más poderosa que el conocimiento”. En este sentido, nuestras limitaciones humanas sobre lo que ocurre en los detalles de la implementación, así como nuestras percepciones y operaciones sobre el software, son alimento suficiente para que la inseguridad de la información busque nuevos caminos para sorprendernos y mantenernos “fuera de la zona de confort”.

Referencias
ALLEN, J. (2007) Why is security a software issue?. EDPACS 36:1, 1-13.
LOSCOCCO, SMALLEY et al.(1999) The inevitability of failure: The flawed assumption of security in modern computing environments. National Agent Security.

Fuente: http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450011111

Desde el Arcert explicaron cuáles son los incidentes y ataques más frecuentes que sufren los sistemas teleinformáticos gubernamentales.

Un organismo del Estado dedicado a la seguridad de sistemas de tecnologías de la información y la comunicación (TIC) será relanzado para mejorar las acciones preventivas ante los ataques de los delincuentes informáticos.

El equipo de coordinación de emergencias en redes teleinformáticas de la Argentina (Arcert) tiene “previsto un nuevo relanzamiento o revalorización de los objetivos y misión (…) de determinadas atribuciones, que traten no de imponer sino de marcar un poco más la obligatoriedad y de lograr el compromiso de las autoridades públicas para la gestión de los reportes y el tratamiento de los incidentes informáticos”, dijo el coordinador de este ente, Gastón Franco.

En declaraciones a la revista digital especializada en gobierno electrónico PuntoGov, el funcionario explicó que Arcert va a seguir dependiendo orgánicamente de la Oficina Nacional de Tecnologías de Información (ONTI), dependiente de la Subsecretaria de Tecnologías de Gestión.

Consultado por las principales trabas en materia de seguridad en el Estado, Franco admitió que “faltan los procesos de detección cuando en los organismos se sufren incidentes informáticos. Esto suele pasar –señaló-- porque faltan procedimientos de monitoreo y control de determinadas conductas en las redes”.

En ese sentido, apuntó que “es necesario un mejor entendimiento de la problemática de seguridad. Para eso –recordó-- desde Arcert estamos debatiendo si se pueden hacer controles preventivos. Ante un nuevo incidente, ver si podemos prevenir aquellos que pueden afectar a los organismos gubernamentales. Hoy no tenemos esa atribución, pero es parte de lo que hoy se está debatiendo de cara a la recategorización de la entidad”.

Franco explicó que los sistemas informáticos gubernamentales son uno de los principales objetivos de los delincuentes informáticos, porque “los organismos del Estado cuentan con información muy sensible y son blanco de ataque precisamente por contener esta información. Estamos hablando de datos tributarios y financieros de los ciudadanos, por ejemplo, que son blanco de interés para generar bases de datos y luego venderlas”.

“Todos los días hay alguna que otra actividad maliciosa que tiene algún impacto sobre el Estado”, advirtió. “Vemos mucho malware, que son archivos específicos destinados a causar daño en un lugar puntual y se hostean en una alguna PC que no necesariamente se aloja una máquina del Estado sino en alguna que está en Argentina. También vemos phishing (estafas en línea) mayoritariamente, que están hosteados en Argentina y que afectan a entidades financieras externas y también casos de defaced (alteración o sustitución de una página web gubernamental) contra páginas web tanto comerciales como de gobierno en la Argentina”.

Franco afirmó que “es importante recibir cada vez más reportes de aquellos que sufran ataques porque tal vez para no sentirse expuestos no denuncian la existencia de un incidente. Muchas veces –se quejó-- nos enteramos por otros canales y luego los organismos terminan confirmando que habían sufrido un ataque. Hace falta mayor conciencia acerca de las ventajas de reportar los incidentes”.

Fuente: http://www.infobaeprofesional.com/notas/69712-Relanzaran-un-ente-para-mejorar-la-seguridad-informatica.html&cookie

El hombre acusado de entrar en los archivos secretos del mando militar del Pentágono y la NASA tendrá que ser juzgado por Estados Unidos, después de que el Tribunal británico rechazase su petición de no extradición.

Y la que le espera es buena. Gary McKinnon, conocido como el cracker del Pentágono, se enfrenta a una posible cadena perpetua por acceder a 97 ordenadores militares y de la NASA. McKinnon ha admitido haber accedido a los ordenadores desde su casa en Londres pero asegura que lo hizo para buscar información sobre los OVNIS.

Los abogados de este británico de 42 años apelarán aún al Tribunal Europeo de Derechos Humanos, como último recurso para evitar la extradición. Estados Unidos asegura que McKinnon cometió un crimen que puso en peligro la seguridad nacional -el mayor crimen informático de la historia militar-. Por eso el cracker podría ser juzgado según la ley antiterrorista de Estados Unidos y sentenciado a cadena perpetua. En el Reino Unido, sin embargo, fue arrestado en 2002 pero nunca se le ha condenado.

Como dicen sus abogados: "Gary McKinnon no es ni un terrorista ni un simpatizante con los terroristas. Las consecuencias de ser extraditado a Estados Unidos son desproporcionadas e intolerables".

Fuente:
http://www.theinquirer.es/2008/07/30/el-cracker-del-pentagono-sera-extraditado-a-eeuu.html
http://news.bbc.co.uk/2/hi/uk_news/7532713.stm