jueves, 31 de octubre de 2013

Google anuncia escudo protector contra DDoS

La iniciativa "Project Shield" se encuentra en etapa de pruebas y Google busca interesados en probar su escudo contra ataques DDoS.

Entre las actividades ciberdelictivas, una de las más difíciles de protegerse son los ataques distribuidos de denegación de servicio, DDoS. El procedimiento en sí consiste en desbordar el objetivo con un enorme volumen de conexiones realizadas desde distintos PC, dejando así fuera de servicio el servidor de la víctima.


Google se ha propuesto asistir en la prevención de tales ataques, mediante una iniciativa denominada "Project Shield". Como su nombre lo indica, el proyecto crea un “escudo” contra ataques DDoS que, en lo fundamental, permite continuar operando el servidor incluso durante un ataque de tales características.

Según Google, el sistema está basado en una combinación de sus propias tecnologías anti DDoS, y su solución PageSpeed. PageSpeed es un servicio que permite a los sitios web presentar sus contenidos mediante servidores dedicados de Google, que optimizan la descarga de los datos.

En otras palabras, el servicio Project Shield utiliza la propia infraestructura de Google con el fin de contener sustancialmente el efecto de los ataques DDoS.

Según Google, tales ataques son relativamente sencillos y baratos de realizar. Sin embargo, pueden causar un gran perjuicio, especialmente a sitios de pequeñas empresas u organizaciones, que disponen de capacidad e infraestructura limitada.

La empresa menciona una razón adicional que justifica la existencia del escudo protector: la libertad de expresión. En efecto, numerosos “actores” utilizan los ataques DDoS para doblegar a sus opositores y así socavar la libertad de expresión. Tales ejemplos abundan en regímenes totalitarios.

El sistema se encuentra en etapa de pruebas, por lo que es incierta su eficacia. Como parte de los ensayos, Google se interesa en contactar testers "confiables", relacionados a entidades de medios independientes o de derechos humanos, que puedan probar el sistema mediante el sitio web del proyecto.

Fuente: DiarioTI

en No hay comentarios:

miércoles, 30 de octubre de 2013

Cómo apestar en Seguridad de la Información

Hace muchos años me topé con un texto que ha sido fuente de consulta y que lo he citado muchas veces desde aquel entonces en diversas charlas o capacitaciones en seguridad. Se trata de la guía "Cómo apestar en Seguridad de la Información" (How to suck at information security, en su idioma original) desarrollada por Lenny Zeltser y publicada por el SANS ISC. Es un excelente resumen de las principales cosas que no debemos hacer cuando gestionamos la seguridad de la información en la empresa. El listado consta de 52 cosas que no deberíamos realizar como CISO, oficial de seguridad o cualquier otro puesto relacionado. Aunque alguna que otra puede quedar un poquito obsoleta con el paso de los años, mayormente el listado sigue muy vigente. Rememorando dicho contenido (que puede ser consultado en su formato original en el enlace superior), se me ocurrió no solo compartirlo con ustedes sino también intentar identificar de esos controles, cuáles son a mi criterio (y por qué) los diez ejemplos más importantes de que estás apestando en seguridad de la información.


Esta es mi selección de entre todos los controles, que luego podrán ver segmentados en cinco categorías: Politicas de seguridad y compliance, Herramientas de seguridad, Gestión de riesgos, Seguridad operativa y Gestión de contraseñas. Ahora, sí, el TOP 10, cómo apestar en seguridad de la información.
  1. Crear políticas de seguridad que no puedes hacer cumplir: es un error muy frecuente en las organizaciones, pecar de “paranoicos” al momento de redactar las políticas pero después estas son tan poco aplicables y controlables, que pasan a ser un documento más de los que los usuarios ignoran día a día.
  2. Pagar a alguien para que cree tu política de seguridad sin conocimiento alguno sobre el negocio y sus procesos: tercerizar servicios en seguridad de la inforamción es una excelente solución para el amplio alcance de la materia hoy en día. Sin embargo, la redacción de las políticas de seguridad debe ser realizada con conocimiento del negocio y sus procesos y no puede ser realizada solo por un consultor externo (al menos que este haya pasado un proceso de mucho tiempo dentro de la organización).
  3. Instalar las soluciones de seguridad por defecto sin analizar previamente ni personalizarlas: es muy frecuente  encontrarnos en las empresas situaciones donde los clientes reclaman funcionalidades o configuraciones que nuestro producto ya posee, solo que deben ser administradas por los responsables de su gestión en las empresas. Es una situación cotidiana entre quienes proveemos software de seguridad y es un mal hábito no explorar el alcance de las soluciones y procurar personalizarlas para las necesidades de la empresa evitando la mera instalación por defecto.
  4. Ejecutar periódicamente análisis de vulnerabilidades pero no dar seguimiento a los resultados: muchas veces organizaciones realizan análisis de vulnerabilidades periódicos y los resultados no varían mucho de un análisis a otro. Invertir en este tipo de consultorías y no dar seguimiento es un claro ejemplo de cómo desperdiciar el dinero de la empresa, ya que siempre estos servicios requieren de trabajo posterior para dar seguimietno y corrección a los hallazgos y resultados de la consultoría.
  5. Poner a alguien responsable de la gestión de riesgos pero no darle a esta persona poder de decisión: otro error muy frecuente, tener gente muy especializada, que sabe hacer su trabajo pero que no tiene autoridad o poder de decisión en la organización. Es imposible un plan exitoso de Seguridad de la Información si no se cuenta con la autoridad suficiente para ejecutar el programa y alinearlo al negocio. Es otra forma de desperdiciar dinero, contar con una persona haciendo una correcta gestión de los riesgos pero una vez que los identifica y clasifica correctamente… no puede hacer nada.
  6. Asumir que no tenés que preocuparte por la seguridad porque tu empresa es “muy pequeña”: que tu empresa sea muy pequeña no significa que no poseas información de valor para el negocio, que amenazas masivas no podrían afectar la disponibilidad de los recursos o que empleados no podrían hacer un mal uso de la información que genere inconvenientes de integridad, solo por citar algunos casos. Los riesgos y los costos asumidos por los incidentes obviamente son proporcionales al daño de las empresas, por eso independientemente de lo grande o pequeña que sea tu organización, deberás contar con un programa de seguridad de la información acorde y proporcional a la magnitud del negocio, pero nunca será nulo el riesgo existente.
  7. Asumir que estás seguro porque no has sido “atacado” recientemente: aquí aparecen dos variables muy sencillas, o bien podrías ser atacado en breve y el hecho de no haberlo sido hasta ahora no garantiza que no lo serás (los ataques evolucionan, la suerte también puede influir), sino que además muchas veces uno ya fue atacado o un incidente ya ocurrió y lo desconoce, y esto también suele generar una falsa sensación de seguridad o tranquilidad.
  8. Configurar la infraestructura de forma tan complicada, que hacer el trabajo se convierta en algo muy dificil: la seguridad de la información debe dar soporte al negocio, debe siempre ser un apoyo a lo que sea que haga la organización. Los controles de seguridad siempre afectan la usabilidad pero debe hacerlo de forma cuidadosa para no descuidar lo más importante, el negocio. Si los controles de seguridad evitan los ataques pero afectan de forma importante la operatoria de la empresa, el programa de seguridad no será nunca exitoso.
  9. No seguir aprendiendo sobre seguridad y nuevos ataques: los atacantes (y ataques) evolucionan constantemente, no es posible tener un programa de seguridad de la información exitoso si no nos mantenemos en constante aprendizaje para acompañar la evolución de los ataques y las tecnologías para seguir garantizando una correcta gestión de los riesgos. Si tu CISO o equipo de seguridad no se capacitó el último año, probablemente ya haya algún riesgo en alguna de las tecnologías que no se esté considerando. La seguridad es un tema de aprendizaje constante y cotidiano.
  10. Imponer requerimientos demasiado complejos para las contraseñas: este tipo de requerimientos, generalmente, logra que los usuarios terminen adquiriendo malos hábitos en la gestión de las contraseñas (anotarlas, compartirlas, etc.). Es por ello que hay que encontrar el equilibrio en los requerimientos para las contraseñas como así también configurar nuevas tecnologías para la seguridad por contraseñas para optimizar los riesgos en este campo.
Para terminar, a continuación pueden ver los 52 errores más comunes que se cometen en Seguridad de la Información, el listado completo traducido al español.

Fuente: ESET Latinoamérica

en No hay comentarios:

martes, 29 de octubre de 2013

¿Cómo pueden las empresas protegerse de los fraudes informáticos y los robos de identidad?

Ejecutivos de todo el mundo reconocen que incrementan sus inversiones en tecnologías, procesos y estrategias para proteger la información.

Sin embargo, si bien aseguran que lograron grandes mejoras, reconocen que no alcanza para hacer frente a los desafíos que enfrentan las empresas hoy.



Según el estudio The Global State of Information Security Survey 2014 lanzado recientemente por la consultora PwC, en el que participaron más de 9.600 ejecutivos de 115 países, los incidentes en seguridad de la información en el último año aumentaron en el mundo un 25%. A su vez, los costos financieros provocados por dichos delitos se han incrementado un 18%.

El avance de la tecnología, que ha impulsado la penetración de dispositivos móviles en las empresas y el desarrollo del "cloud computing", ha elevado en forma notoria los riesgos en la seguridad.

Por el momento, los esfuerzos para implementar programas de seguridad móviles, no han logrado los resultados esperados.

En el desafiante ambiente actual es fundamental que las organizaciones se replanteen su estrategia de seguridad para integrarla a las necesidades de negocio.

Si algo queda claro es que no se puede combatir las amenazas de hoy con estrategias de ayer. El informe afirma que es necesario un nuevo modelo, guiado por el conocimiento de los desafíos actuales, que conozca los motivos y el target de los potenciales adversarios.

La colaboración entre ejecutivos para mejorar las prácticas en materia de seguridad se ha convertido en un punto clave para obtener mayor conocimiento de las amenazas y las vulnerabilidades. Sin embargo, sólo el 50% reconoció hacerlo. El principal motivo (33%) es el miedo a llamar la atención por potenciales debilidades. También se teme que la competencia pueda utilizar esa información en su contra (28%).

Los principales obstáculos para mejorar las políticas de seguridad son tres:
  • Falta de financiamiento.
  • Falta de visión sobre cómo las necesidades del negocio impactarán en la seguridad.
  • Falta de liderazgo por parte del CEO o directorio.
Dentro de la organización, los empleados (31%) y ex empleados (29%) son señalados como los principales responsables por los incidentes en materia de seguridad de la información.
Sin embargo, los delincuentes informáticos (32%) desde afuera, son los máximos causantes de estos delitos, según declararon los ejecutivos.

Contenido completo en fuente original iProfesional

en No hay comentarios:

El FBI secuestra los Bitcoins de Silk Road

El FBI había logrado apoderarse de 144.000 Bitcoins con un valor aproximado de U$S 28,5 millones, del fundador de Silk Road, el almacenamiento más grande de esta criptomoneda.

Estos Bitcoins pertenecieron a Ross Ulbricht (29) recientemente arrestado, quien presuntamente creó y gestionaba Silk Road, el popular sitio de venta de droga anónimo. En marzo pasado, se comercializaron entre 7.000 de 10.000 fármacos en ruta de la seda.


A principios de este mes Ulbricht fue detenido y el sitio web fue dado de bajo por el Departamento de Justicia, acusado de participar en el tráfico de drogas, lavado de dinero, conspiración e intento de asesinato a sueldo.

La dirección de Bitcoin DPR recibió la gran masa de 144.000 BitCoins y las autoridades también están buscando 110.000 Bitcoins adicionales ($22 millones) en una billetera virtual separada, que creen también pertenecía a Ulbricht.

En total, incluyendo este dinero, el FBI tiene el control de 174.000 Bitcoins, que son el 3,15% de todos los que hay en circulación. Hace unas semanas, el FBI dijo que los Bitcoins secuestrados se depositarían en la Tesorería de Estados Unidos después de proceso judicial correspondiente.

Fuente: The Hacker News

en No hay comentarios:

lunes, 28 de octubre de 2013

Estado Global de la Seguridad de la Información 2014 PwC

La encuesta "Estado Global de la Información 2014" es un estudio llevado adelante por PwC, CIO magazine, y la revista CSO. Se realizó en línea desde el 01 De febrero de 2013 hasta el 01 de abril de 2013. Los lectores de las revistas CIO, CSO revistas y los clientes de PwC fueron invitados a responder la misma.

Los resultados discutidos en este informe se basan en la respuestas de más de 9.600 ejecutivos incluyendo CEOs, directores financieros, CISOs, CIOs, OSC, vice presidentes, y Directores de seguridad e información de 115 países. Treinta y seis por ciento (36%) de los encuestados fuera de América del norte, 26% de Europa, el 21% de Asia Pacífico, 16% de América del sur, y 2% de Oriente Medio y África. El margen de error es inferior al 1%.



El informe, muy completo, permite tener una foto de la realidad en seguridad de la información. Sólo a modo de ejemplo, la mayoría de los encuestados atribuye sus incidentes de seguridad cotidianos a los empleados actuales (31%) o ex-empleados (27%).

Fuente: PwC



en No hay comentarios:

Hay hordas de robots de internet ejecutando transacciones en el mercado financiero mundial

Adelantarse a rivales a la hora de ejecutar compras, ventas u otras transacciones en el mercado financiero resulta muchas veces vital para obtener buenos resultados, y un simple minuto de retraso puede en ocasiones marcar la diferencia entre el éxito y el fracaso para un bróker o agente de bolsa. Pero ¿qué ocurre cuando el rival no es humano, sino un robot de internet o bot (un programa informático que desempeña automáticamente algunas de las funciones que puede realizar un internauta humano)?

Hay bots buenos y bots malos. Las "arañas" de los spammers son bots malos que navegan por internet leyendo cantidades ingentes de páginas y capturando las direcciones de email que encuentran a su paso, con una velocidad colosal en comparación con lo que un ser humano podría hacer.



Por otra parte, es inevitable sentir recelos ante la idea de que algo tan vital como la economía pueda estar controlado, aunque por ahora sólo sea mínimamente, por entidades no humanas. La ciencia-ficción cuenta con un buen surtido de casos inquietantes de entes cibernéticos manipulando la economía global del Ser Humano con fines oscuros, gracias a su velocidad sobrehumana.

Una sensación de recelo como la descrita sentirá más de un profesional de las finanzas si sigue cobrando fuerza una hipótesis presentada recientemente por investigadores de la Universidad de Miami en Estados Unidos para explicar algunas anomalías informáticas que en los últimos años ha experimentado el mercado financiero global. Esos problemas técnicos paralizaron abruptamente muchas operaciones. Una razón para estas "congelaciones súbitas" de la actividad podría ser la entrada repentina en escena de una multitud de bots financieros, que habrían realizado transacciones en los mercados operando en ellos a velocidades más allá de la capacidad humana, sobrecargando de este modo al sistema, que fue diseñado para brókeres humanos.

La aparición, en el "ecosistema informático" del mercado financiero global, de esta nueva "especie", los bots que ejecutan transacciones económicas, dará mucho que hablar a partir de ahora.

La investigación realizada por el equipo de Neil Johnson, profesor de física en la Universidad de Miami, pone de manifiesto la nueva realidad del medio electrónico financiero, un medio en el que indudablemente se mueven mucho más rápido los programas informáticos que las personas. El mundo financiero clásico, tal como se conocía, con los agentes de bolsa hablando por teléfono, y las órdenes verbales circulando de un lado a otro, está comenzando a transformarse en lo que algunos ya describen como una futura ciberjungla habitada por jaurías de algoritmos bursátiles agresivos, no mucho mejores en términos éticos que las arañas de los spammers.

"Estos algoritmos pueden funcionar tan rápido que los seres humanos somos incapaces de participar en tiempo real en las operaciones realizadas a tanta velocidad, y en consecuencia un ecosistema ultrarrápido de robots se alza tomando el control de la situación", explica de manera un tanto inquietante Johnson. "Nuestros resultados muestran que, en este nuevo mundo de algoritmos robóticos ultrarrápidos, el comportamiento del mercado sufre una transición fundamental y abrupta a otro mundo donde ya no se aplican las teorías convencionales del mercado", explica Johnson.

La necesidad de actuar deprisa para adelantarse a los competidores ha llevado al desarrollo de algoritmos capaces de operar más rápido que el tiempo de reacción del Ser Humano. Por ejemplo, lo más rápido que una persona puede reaccionar ante el peligro potencial no baja mucho de un segundo. Incluso un gran maestro de ajedrez tarda aproximadamente 650 milisegundos para darse cuenta que tiene un problema. En cambio, los microchips que sustentan a sistemas informáticos para transacciones comerciales pueden realizar una operación en una fracción de un milisegundo.

En el estudio, los investigadores recopilaron datos de secuencias anormalmente rápidas de operaciones que implicaban decisiones tomadas en escasas milésimas de segundo acerca de transacciones de acciones de bolsa. Desde enero de 2006 hasta febrero de 2011, encontraron 18.520 eventos extremos durando cada uno de ellos menos de 1,5 segundos.

El equipo se percató de que la duración de estos eventos extremos ultrarrápidos denota tiempos de respuesta muy inferiores al mínimo posible para un ser humano. Crearon un modelo para entender el comportamiento y han llegado a la conclusión de que los hechos fueron el producto de una actividad financiera ultrarrápida llevada a cabo por sistemas computerizados y no atribuible a otros factores, como regulaciones u operaciones erróneas.

Johnson compara la situación a un ecosistema. Mientras existe la combinación normal de depredadores y presas, todo está en equilibrio, pero si al ecosistema se le agregan depredadores que son mucho más rápidos de lo normal, eso conduce a situaciones extremas. "Esto es lo que vemos con los nuevos algoritmos ultrarrápidos; el depredador siempre logra actuar antes incluso de que la presa se percate de su presencia”.

Johnson explica que para regular estos algoritmos informáticos ultrarrápidos, necesitamos entender su comportamiento colectivo. Su punto débil es que carecen de inteligencia verdadera. "No son muchas las cosas que puede hacer un algoritmo ultrarrápido", explica Johnson. "Esto significa que son más propensos a adoptar el mismo comportamiento y por lo tanto forman una cibermuchedumbre que ataca a cierta parte del mercado financiero. Esto es lo que da lugar a los acontecimientos extremos que observamos".

El modelo matemático desarrollado por Johnson, Guannan Zhao, Hong Qi, Jing Meng y Nicholas Johnson, de la Universidad de Miami, así como Eric Hunsader de la empresa Nanex LLC, y Brian Tivnan de MITRE Corporation, es capaz de captar detalladamente este comportamiento colectivo para modelar cómo se comportan estas cibermultitudes.

Información adicional
en No hay comentarios:

domingo, 27 de octubre de 2013

SSL: Interceptado hoy, descifrado mañana 2

Tal y como se vio en el artículo anterior, SSL: Interceptado hoy, descifrado mañana (II), Netcraft ha probado la suite de cifrado de los cinco navegadores más importantes (Internet Explorer, Google Chrome, Firefox, Safari y Opera ) contra 2.4 millones de sitios SSL obtenidos de la encuesta SSL de Netcraft realizada en Junio.

El soporte para Perfect Forward Secrecy (PFS) varió significativamente entre los distintos navegadores: sólo una pequeña fracción de las conexiones SSL de Internet Explorer trabajaron con PFS; mientras que Google Chrome, Opera y Firefox estuvieron protegidos en aproximadamente un tercio de las conexiones. Safari se desempeñó solo un poco mejor que Internet Explorer.

Internet Explorer se desempeña pobremente ya que no soporta ninguna suite de cifrado que use tanto llaves Públicas RSA como intercambio de llaves DH de curvas no elípticas, lo que incluye la suite de cifrado PFS más popular. Además, las suites de cifrado PFS soportadas por IE tienen una prioridad más baja que algunas de las suites no-PFS. Curiosamente, IE soporta DHE-DSS-AES256-SHA, el cual usa el poco usual método de autentificación DSS, pero no soporta el muy popular DHE-RSA-AES256-SHA.


Browser priorityCipher SuiteReal-world usage in SSL Survey
1AES128-SHA63.52%
2AES256-SHA2.21%
3RC4-SHA17.12%
4DES-CBC3-SHA0.41%
5ECDHE-RSA-AES128-SHA0.08%
6ECDHE-RSA-AES256-SHA0.21%
7ECDHE-ECDSA-AES128-SHA0.00%
8ECDHE-ECDSA-AES256-SHA0.00%
9DHE-DSS-AES128-SHA0.00%
10DHE-DSS-AES256-SHA0.00%
11EDH-DSS-DES-CBC3-SHA0.00%
12RC4-MD516.46%
El orden de prioridad de la suite de cifrado de Internet Explorer 10 y la suite de cifrado real encontrada en la encuesta SSL de Netcraft. Las suites de cifrado PFS están resaltadas en negritas.

Safari soporta muchas suites de cifrado PFS pero solo recurre a las de curvas no elípticas como último recurso. Ya que los cifrados no-PFS tienen prioridades más altas, los webservices van a respetar las preferencias del explorador y los seleccionarán primero, incluso cuando ellos mismos soporten suites de cifrados (de curvas no elípticas) PFS.

Chrome, Firefox, y Opera se desempeñaron mucho mejor, dando preferencia, en cualquier nivel de fortaleza a las suites de cifrado PFS. Por ejemplo: la lista de preferencias de Opera empieza: DHE-RSA-AES256-SHA, DHE-DSS-AES256-SHA, AES256-SHA, DHE-RSA-AES128-SHA, DHE-DSS-AES128-SHA, AES128-SHA.

NetCraft no incluyó en la prueba, ninguna suite de cifrado que sólo esté presente en TLS 1.2, lo que incluye muchas de las suites de cifrado PFS de Opera, por lo que los resultados de este explorador son inferiores en el número de sitios SSL reales que utilizan PFS.

Ninguno de los exploradores cambió su interfaz de usuario notablemente para reflejar la presencia de PFS como lo sí harían para certificados EV (donde generalmente muestran una barra de direcciones de color verde). Google Chrome y Opera sí muestran la suite de cifrado utilizada (en ventanas emergentes o cuadros de diálogos), pero se basan en que el usuario entienda las implicaciones de mensajes como "... se utiliza ECDHE_RSA como el mecanismo de intercambio de llaves...".

Continuará...
Traducción: Mauro Gioino de la Redacción de Segu-Info
Fuente: Netcraft

en No hay comentarios:

sábado, 26 de octubre de 2013

SSL: Interceptado hoy, descifrado mañana 1

Millones de sitios web y miles de millones de personas dependen de SSL/TLS para proteger la transmisión de información confidencial, como contraseñas, detalles de tarjetas de crédito e información personal con la expectativa de que el cifrado garantice privacidad. Sin embargo, documentos recientemente filtrados parecen revelar que la NSA , la Agencia Nacional de Seguridad de Estados Unidos, registra un gran volumen de tráfico de Internet y retiene comunicaciones cifradas para un posterior criptoanálisis.



Estados Unidos no es el único gobierno que desea controlar el tráfico cifrado de Internet: Arabia Saudita ha pedido ayuda para descifrar tráfico SSL, China ha sido acusado de llevar a cabo un ataque MITM contra GitHub solo SSL e Irán ha sido informado que se dedique a la inspección en profundidad de paquetes y más, por nombrar sólo algunos.

La razón por la que los gobiernos podrían considerar avanzar con el registro y almacenamiento de grandes volúmenes de tráfico cifrado es que si la clave privada está disponible en algún momento, (quizás a través de una orden judicial, ingeniería social, un ataque con éxito contra el sitio web o a través de criptoanálisis) todo el tráfico histórico del sitio afectado podría ser descifrado. Esto realmente abriría la caja de Pandora, ya que en un sitio ocupado una simple tecla descifraría todo el tráfico cifrado enviado a millones de personas.

Hay una defensa en contra de esto, conocido como el confidencialidad/secreto perfecto directo (PFS). Cuando se utiliza PFS, el compromiso de la clave privada de un sitio con SSL no necesariamente revela los secretos de la comunicación privada enviada, las conexiones a sitios SSL que utilizan PFS tienen una clave por sesión que no se revela si se ve comprometida la clave privada a largo plazo. La seguridad de PFS depende de que ambas partes descartan el "secreto" compartido, luego de que la transacción se haya completado (o después de un período de tiempo razonable para permitir reanudar la sesión).

Fisgones que desean descifrar la comunicación más allá de que ha utilizado PFS se enfrentan a una tarea de enormes proporciones: cada sesión debe ser atacada de forma independiente. Cuando las conexiones SSL no utilizan PFS , la clave secreta utilizada para cifrar el resto de la sesión es generada por el sitio y enviada cifrada junto al par de claves privada-pública. Si alguna vez la clave privada es comprometida, todas las sesiones cifradas anteriores son fáciles de descifrar.

PFS fue inventado en 1992, dos años antes que el protocolo SSL y, por lo tanto sería razonable esperar que SSL hiciera uso de PFS desde el principio. Sin embargo, casi veinte años más tarde, el uso de PFS no es utilizado por la mayoría de los sitios SSL.

El uso de PFS depende de la negociación entre el navegador y el sitio web y del conjunto de cifrado utilizados (cipher suite). PFS confiere ventajas en cuestiones de confidencialidad pero tiene algunos inconvenientes de rendimiento. Por otro lado, hay un número pequeño de navegadores y si un gobierno deseara maximizar su influencia en la restricción de la utilización de PFS, sólo debería comenzar con esos navegadores.

Las suites de cifrado que proporcionan secreto perfecto son aquellas que utilizan intercambio de claves Diffie-Hellman, firmados por el servidor, auque la clave del servidor puede ser de tipo RSA.
Considerando TLS: hay dos suites de cifrado que utiliza AES con una llave de 256 bits y SHA-1 para la verificación de la integridad:

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
Sólo el último proporciona un secreto perfecto. En el primero, el intercambio de claves se realiza mediante el cifrado de un valor aleatorio con las llaves del servidor RSA, algo que puede ser atacado posteriormente al robar una copia de la clave privada del servidor.


Netcraft ha probado la suite de cifrado de los cinco navegadores más importantes (Internet Explorer, Google Chrome, Firefox, Safari y Opera ) contra 2.4 millones de sitios SSL obtenidos de la encuesta SSL de Netcraft realizada en Junio. El soporte para PFS varió significativamente entre los distintos navegadores: sólo una pequeña fracción de las conexiones SSL de Internet Explorer trabajaron con PFS; mientras que Google Chrome, Opera y Firefox estuvieron protegidos en aproximadamente un tercio de las conexiones. Safari se desempeñó solo un poco mejor que Internet Explorer.

Continuará...
Traducción: Mauro Gioino de la Redacción de Segu-Info
Fuente: Netcraft

en No hay comentarios:

Asistente de seguridad de la Casa Blanca, despedido por tuitear y criticar

Un funcionario de seguridad nacional de la Casa Blanca fue despedido después de que se descubrió que él era responsable de una cuenta de Twitter anónima que criticaba al gobierno del presidente Barack Obama.

Jofi Joseph era director de No Proliferación en el Consejo de Seguridad Nacional y estuvo involucrado en negociaciones nucleares con Irán.



Sus mensajes en la cuenta @NatSecWonk, la cual ya no está disponible en Twitter, frecuentemente criticaron políticas y figuras del Gobierno, incluido el secretario de Estado John Kerry y miembros del Congreso.

Un tuit decía: "Debería haber más gente preguntándose por qué John Kerry instaló a dos ex asistentes, ambos con CERO experiencia en política exterior, en puestos altos (del Departamento) de Estado".

Otro tuit dijo: "Que Obama haya llamado a Kerry/Hagel únicamente DESPUÉS de que tomó la decisión con sus asistentes de WH (la Casa Blanca) sobre ir a Hill (el Capitolio) subraya de qué manera toda la política externa tiene su base en WH". El mensaje se refería a la sorpresiva decisión de Obama, tomada a fines de agosto, de buscar la autorización del Congreso para realizar ataques militares contra Siria como castigo por un ataque con armas químicas ocurrido en agosto en aquel país.

No fue posible establecer contacto con Joseph el miércoles para conocer su opinión. Nadie contestó un teléfono que se cree que es suyo.

En un comunicado, Joseph dijo que se "responsabilizaba completamente” por los mensajes en Twitter y dijo que comenzó como una “cuenta de parodia". Se disculpó con aquellos a quienes insultó.

Un funcionario de la Casa Blanca confirmó que Joseph ya no trabaja para el gobierno, pero se negó a hacer declaraciones adicionales sobre asuntos de personal. No quedó en claro de inmediato cómo se determinó que Joseph era responsable de la cuenta de Twitter.

Joseph comenzó a trabajar en el Departamento de Estado en 2009. Marie Harf, vocera asistente del departamento de Estado, dijo que él fue asignado al Consejo de Seguridad Nacional en 2011 y se convirtió en un empleado de éste en agosto.

Jay Carney, portavoz de la Casa Blanca, dijo el miércoles que no tenía información adicional que proporcionar.

Carney afirmó que el personal de la Casa Blanca no puede tener acceso a sitios de medios sociales como Twitter desde la residencia presidencial a menos que tengan una cuenta oficial autorizada. Carney y muchos otros funcionarios de gobierno de alto rango tienen cuentas oficiales de Twitter y con frecuencia envían varios mensajes al día.

Fuente: bSecure

en No hay comentarios:

viernes, 25 de octubre de 2013

Escenarios posibles para cibercrimen

Project 2020 es una iniciativa de la International Cyber Security Protection Alliance (ICSPA) y recientemente han publicado el documento "Scenarios for the Future of Cybercrime" [PDF]. Se trata de anticipar el futuro de la ciberdelincuencia, permitiendo a los gobiernos, las empresas y los ciudadanos prepararse para los nuevos retos y oportunidades de la próxima década.



Se compone de un grupo de actividades, informes de amenazas comunes, ejercicios de escenario, orientación política y creación de guías de trabajo. Los escenarios de este documento no son predicciones de un futuro único, por el contrario, son descripciones de un futuro posible, que se centra en el impacto de la delincuencia informática en la perspectivas de un usuario normal de Internet, un fabricante, un proveedor de servicios de comunicaciones proveedor y un gobierno.

Los eventos y acontecimientos descritos están diseñados para ser factible en algunas partes del mundo. El informe y los escenarios están inspirados en el análsis del panorama actual, la opinión experta de los miembros de ICSPA y un extenso análisis de las tecnologías emergentes.




en No hay comentarios:

SIBIOS: El sistema de control total de Argentina

El reporte de ANRed profundiza conceptos acerca del sistema SIBIOS (Sistema Federal de Identificación Biométrica para la Seguridad). Opinión similar tiene Assange, al afirmar que "Argentina tiene el sistema de vigilancia mas invasivo de Latinoamérica".

El gobierno encabezado por la presidenta Cristina de Kirchner está utilizando un sistema biométrico que, gracias al nuevo DNI, en pocos años tendrá un registro de rostros y huellas dactilares de toda la población. Si bien la presentación del sistema SIBIOS – Sistema Federal de Identificación Biométrica para la Seguridad- se realizó en noviembre de 2011, el debate y la discusión política han sido escasos a pesar de ser la mayor violación a las libertades individuales desde el regreso a la democracia en la Argentina.



En noviembre de 2011 el gobierno nacional argentino presentó el sistema SIBIOS (Sistema Federal de Identificación Biométrica para la Seguridad). Se trata de un nuevo sistema de identificación biométrica centralizado, con cobertura nacional, que permitirá a los organismos de seguridad (Policía Federal, Gendarmería, Prefectura, Policías provinciales) y otros organismos estatales (puede ir la Infografía) cruzar información con datos biométricos y otros datos personales. Un dato biométrico es una característica física única que permite identificar con poco margen de error a una persona. Ejemplos de estos datos son las huellas dactilares, el ADN, la geometría de la mano, análisis del iris, análisis de retina, venas del dorso de la mano, reconocimiento facial, patrón de voz, firma manuscrita, análisis gestual, etc.

Como si fuese un plan perfectamente ejecutado, la noticia ni sonó en los grandes medios de comunicación ni tampoco tuvo ningún tipo de debate a nivel social y político, algo que sí sucedió en la mayoría de los países donde se quiso implementar este tipo de tecnologías intrusivas y controversiales.

Pocos gobiernos democráticos en el mundo han logrado concretar un plan tan ambicioso como este, al que sin dudas podríamos calificar como la mayor violación a las libertades individuales desde el regreso a la democracia en Argentina. Han sido numerosos los países que han emprendido proyectos similares y que no han podido implementarlos, bien sea por la resistencia de la sociedad o por declararlos inconstitucionales.

Otros países

En Inglaterra, una de las democracias más vigiladas del mundo, en el año 2010 una ley obligó al estado a destruir todos los registros biométricos almacenados, derogando la ley del 2006 que creaba un registro nacional de identidad donde se almacenaban los datos de las tarjetas de identidad. Algunas de las razones de su fracaso fueron las inquietudes expresadas por organizaciones de derechos humanos, activistas, profesionales de seguridad informática y expertos en tecnología así como de muchos políticos y juristas. Muchas de las preocupaciones se centraron en las bases de datos que almacenaban los datos de las tarjetas de identidad, luego de que algunas dependencias estatales “perdieron” discos con datos pertenecientes a 25 millones de británicos.

En EE.UU., a pesar de los intentos de varios gobiernos, no existe a la fecha ninguna tarjeta o documento de identidad nacional, ni tampoco hay una agencia federal con jurisdicción en todo el país que pueda emitir tarjetas de identidad de uso obligatorio para todos los ciudadanos estadounidenses. Todos los intentos legislativos para crear una han fracasado debido a la tenaz oposición de los políticos tanto liberales como conservadores, que consideran al documento nacional de identidad como un signo de una sociedad totalitaria (En EEUU no existe un registro de identidad). A pesar de ello luego de las ocupaciones de Irak y Afganistán el ejército estadounidense construyó una base de datos con registros biométricos de 1 millón de afganos y 2 millones de irakies.

En Francia en marzo de 2012 se declaró inconstitucional la ley que establece que más de 45 millones de sus habitantes deberán digitalizar sus rostros y huellas dactilares en lo que se convertiría en la mayor base de datos de registros biométricos de aquel país. Los argumentos para tomar esa decisión fueron que la nueva ley viola los derechos fundamentales a la privacidad y presunción de inocencia.

El Nuevo DNI argentino

En 2011 se comienzan a entregar los nuevos DNI, por primera vez en la historia argentina. Los tan necesarios DNI -a diferencia de muchos países en Argentina es obligación identificarse cuando la policía lo requiera y para la mayoría de los trámites en organismos estatales y privados- son entregados en un tiempo récord: solo una demora de entre quince y treinta días y no como anteriormente cuando la espera podía llegar a demorar mas de un año. Ahora está claro que la contraparte de facilitar y agilizar en todo el país el trámite para obtener el nuevo DNI es obtener lo más rápidamente posible los registros biométricos (rostros y huellas dactilares) de los cuarenta millones de argentinos.

En marzo de 2012, hace más de un año, el gobierno señaló que había 14 millones de registros biométricos y que llegarían a completar los 40 millones de argentinos en los siguientes dos años.

El objetivo de SIBIOS: vigilancia masiva y menos libertades

En el discurso de presentación del sistema SIBIOS, la presidenta argentina señaló que este representa "un salto cualitativo en la seguridad y en la lucha contra el crimen", gracias a la posibilidad de poder identificar a cualquier persona en tiempo real "sobre todo hoy donde hay en casi todos los lugares cámaras que permiten filmar e identificar rostros". Con el nuevo sistema se podrá identificar a cualquier persona que circule por un espacio público donde haya cámaras de videovigilancia y si es necesario personal policial podrá mediante un lector de huellas dactilares conocer en tiempo real la identidad de un individuo.

¿Por qué el uso de la biometría atenta contra nuestra libertad?

El potencial de abuso de un sistema de estas características es incalculable, sobre todo conociendo el poco feliz historial de nuestras fuerzas de seguridad: desde poder identificar a los participantes de una manifestación pública, hasta poder controlar a alguien en base a sus movimientos, cruzando datos con otros registros privados y estatales.

En un estado realmente democrático una herramienta como SIBIOS otorga demasiado poder al Estado y reduce significativamente el de sus habitantes.

Como señalábamos en otra nota, ya estamos viviendo en una sociedad de control, sociedad que se propone aplicar a cada uno de sus miembros dispositivos de control y vigilancia que antes estaban únicamente destinados a los delincuentes.

Para el filósofo Giorgio Agamben, en las sociedades de control, la relación normal del Estado con los ciudadanos es biométrica, es decir, de sospecha generalizada: todos somos criminales en potencia que vivimos en un Estado de excepción permanente que está haciendo desaparecer la distinción entre la esfera pública y la privada. En este estado de excepción, el Estado de derecho es desplazado cotidianamente por la excepción, y la violencia pública del estado queda libre de toda atadura legal.

SIBIOS es un exponente de este estado de excepción permanente, de este nuevo Estado biométrico que viola nuestras libertades en nombre de una mayor seguridad para la población.

Por todo esto decimos que SIBIOS es el mayor atropello a las libertades individuales desde la vuelta a la democracia, principalmente porque es invasivo a nuestra privacidad y porque viola el principio de presunción de inocencia. Por otra parte las supuestas ventajas de la biometría son más que discutibles. Mientras la creciente industria de la seguridad y la biometría convence a políticos y empresarios de su fiabilidad y precisión hay innumerables ejemplos de que esto no es tan así.

5 argumentos contra el uso de la biometría y de SIBIOS:

1. Dá demasiado poder al Estado a costa de nuestras libertades
2. Viola nuestro derecho a la privacidad y el principio de presunción de inocencia
3. Es un arma de doble filo por el potencial de abuso de los datos almacenados
4. La biometría no es una tecnología infalible y ya se han demostrado muchos de sus fallos
5. La biometría es una tecnología que mientras más tolerada y aceptada sea, más facilita la implantación de un estado totalitario

Fuente: Control de Acceso y ANRed

en No hay comentarios:

jueves, 24 de octubre de 2013

¿De verdad se ha encontrado malware para Firefox OS?

El poder de un buen titular es hipnótico. El que copa muchas noticias de seguridad estos días es el "descubrimiento del primer malware para Firefox OS". El título es atractivo, pero ¿es correcto? El desarrollo de la noticia invita a la reflexión sobre qué ha ocurrido exactamente, en qué consiste el "descubrimiento" y por qué todavía no se han superado ciertos mitos.




Firefox OS es un reciente sistema operativo basado en web. Todas sus programas son web, creados a partir de JavaScript, CSS3 y HTML5. Esto implica que las aplicaciones se puede distribuir de dos formas: En un zip que lo contenga todo, o a través de una URL que la aloje y se visite. Un chico de 17 años ha creado una prueba de concepto de malware para Firefox OS. Presentará sus investigaciones en una convención en noviembre. Dice que su aplicación permite realizar ciertas acciones potencialmente no deseadas sobre el dispositivo de forma remota, controlándolo a través de comandos.

¿Es esto malware? Depende. Habrá aplicaciones legítimas que necesiten acceder a datos en la SD, a los contactos, etc. Se les permitirá porque el usuario normalmente confiará en el fabricante/programador. Como bien describe el documento sobre seguridad de Firefox OS, existe un modelo basado en la confianza en la aplicación.

Lo que llama la atención es el control de aplicaciones ajenas (habla de controlar la radio). También invita a llamarlo "malware" que el se hable de "enviar comandos", aunque una vez la aplicación está instalada, parece sencillo enviar comandos... así que en general el problema no es tanto qué haga esa prueba de concepto que se ha creado sino cómo lo hace, cómo llega a disponer de esos permisos o cómo ha conseguido hacerlo. Por lo poco que sabemos, suponemos que el usuario lanza una aplicación alojada en un servidor, y esta realiza ciertas acciones que pueden ser potencialmente no deseadas por el usuario.

Contenido completo en fuente original Eleven Paths

en No hay comentarios:

Actualización de PCI 3.0

Ciberdelincuencia, robo de identidad y el fraude van en aumento; y en la mayoría de los casos, las violaciones de datos están asociadas con las tarjetas de crédito y datos del titular. El impacto de la violación de datos afecta a las organizaciones y a sus clientes.


Es fácil notar que la mayoría de las organizaciones tienen dificultades para cumplir con los requisitos necesarios para el procesamiento de datos del titular de las tarjetas de crédito. Por eso, basado en la retroalimentación de la industria, PCI Security Councilha introducido algunos cambios en las regulaciones de cumplimiento y los mismos serán publicados en la versión 3.0 de PCI, cuya versión final está programada para el lanzamiento el próximo 07 de noviembre de 2013, y se espera que será efectiva a partir de enero de 2014.

¿Cuáles son las actualizaciones y cuál será del impacto del cumplimiento de PCI de la organización?

La actualización 3.0 también clarificará la intención de los requisitos y los métodos de aplicación: Flexibilidad:se añade mayor flexibilidad en términos de cómo cumplir con los requisitos de PCI y cómo las organizaciones deben mitigar los riesgos. Responsabilidad compartida:PCI 3.0 cita que la protección de datos de los titulares de las tarjetas es una responsabilidad compartida debido al aumento en el número de puntos de acceso a los datos de los titulares.

Entre los factores considerados para las revisiones en PCI 3.0
  • Mejoras en la seguridad del pago
  • Aplicabilidad global
  • Costo del cambio de la infraestructura
  • Impacto de los cambios

¿Novedades de PCI 3.0 y por qué la nueva versión?

PCI Requirement No. Current PCI DSS Standard(as of October 2013) Proposed PCI DSS Update for 3.0 on top of existing standards Purpose
1 Install and maintain a firewall configuration to protect cardholder data. Have a current diagram that shows cardholder data flows. To clarify that documented cardholder data flows are an important component of network diagrams.
2 Do not use vendor-supplied defaults for system passwords and other security parameters. Maintain an inventory of system components in scope for PCI DSS. To support effective scoping practices.
3 Protect stored cardholder data. No change from the existing version.
4 Encrypt transmission of cardholder data across open, public networks. No change from the existing version
5 Use and regularly update antivirus software. Evaluate evolving malware threats for systems not commonly affected by malware. To promote ongoing awareness and due diligence to protect systems from malware
6 Develop and maintain secure systems and applications. Update list of common vulnerabilities in alignment with OWASP, NIST, and SANS for inclusion in secure coding practices. To keep current with emerging threats.
7 Restrict access to cardholder data by business need-to-know. No change from the existing version
8 Assign a unique ID to each person with computer access. Security considerations for authentication mechanisms such as physical security tokens, smart cards, and certificates. To address feedback about requirements for securing authentication methods, other than passwords, that need to be included.
9 Restrict physical access to cardholder data. Protect POS terminals and devices from tampering or substitution. To address the need for physical security of payment terminals.
10 Track and monitor all access to network resources and cardholder data. No change from the existing version
11 Regularly test security systems and processes. Implement a methodology for penetration testing, and perform penetration tests to verify that the segmentation methods are operational and effective. To address requests for more details about penetration tests, and for more stringent scoping verification.
12 Maintain a policy that addresses information security. Maintain information about which PCI DSS requirements are managed by service providers and which are managed by the entity.
Service providers need to accept responsibility for maintaining applicable PCI DSS requirements. 		To address feedback from the 3rd-Party Security Assurance SIG.

La actualización incluye las siguientes mejoras:

  • Eliminación de los requisitos redundantes
  • Aclaración de los procedimientos de prueba para cada requisito
  • Fortalecimiento de los requisitos de pruebas de penetración y validación de segmentos de red
  • Mayor flexibilidad en métodos de mitigación de riesgo que comprende los requerimientos de fuerza y complejidad de contraseña.
Fuente: The Hacker News

en No hay comentarios:

Roban 100 mil dólares a usuarios por malas prácticas en sus contraseñas

Hace unos días, un grupo de delincuentes realizó un ataque a un proveedor de servicios de Internet en Estados Unidos, logrando acceso a los nombres de usuario y contraseña de los clientes. Las contraseñas obtenidas fueron utilizadas para ingresar a sistemas bancarios de algunas de las víctimas y transferir alrededor de 100 mil dólares, según afirman los cibercriminales en su cuenta de Twitter.







Mediante la utilización de la técnica SQL injection, un servidor vulnerable del proveedor de servicios de Internet Sebastian, de California, fue atacado para obtener los datos de sus usuarios. El ataque pudo ser perpetrado en cuestión de minutos gracias a la automatización con la herramienta SQLmap, la cual busca posibles ataques y los aplica, volcando la estructura y contenido de las bases de datos. Posteriormente el grupo subió un video demostrando no sólo el ataque al ISP, sino también el acceso a las cuentas bancarias de algunos clientes.

La captura corresponde al comando sqlmap con la opción "dbs", que muestra las bases de datos disponibles en el servidor. En la parte superior de la imagen se ha resaltado el servidor que está siendo atacado, y también puede observarse información como el tipo de ataque y el motor de base de datos. En base al conocimiento de esta información, los cibercriminales pueden buscar las tablas con información de los usuarios, lo cual se muestra en la siguiente imagen:



Se han ofuscado los nombres de usuario y direcciones de correo electrónico, pero los valores resaltados corresponden a las contraseñas. Con esto queremos mostrar una falla grave de seguridad, más bien a nivel conceptual, por parte de los administradores: las contraseñas estaban almacenadas en texto plano y pueden ser usadas en forma directa si caen en manos equivocadas. En este caso, a nivel de seguridad, la buena práctica sería que las contraseñas estuvieran almacenadas como un valor resultante de aplicar una función de hash (como MD5 o SHA1), además de la utilización de "granos de sal".

Otro factor fundamental en el ataque, que excede la responsabilidad de este proveedor de servicios de Internet y que tiene que ver con los usuarios, es que para algunos de los clientes, la contraseña utilizada era la misma que la de otros servicios de correo electrónico, redes sociales o entidades bancarias. Si bien es cierto que puede ser difícil recordar muchas contraseñas, nunca debe utilizarse la misma contraseña para todos los servicios. En la siguiente imagen puede verse cómo los cibercriminales ingresan al sistema de transacciones bancarias de uno de los usuarios:



En resumen, a partir de una contraseña robada en el servidor del ISP se ha logrado acceso a la cuenta bancaria de un usuario, puesto que la contraseña era la misma. El video luego muestra cómo se puede llevar a cabo un movimiento de fondos, con lo cual los criminales proclaman que han ganado cientos de miles de dólares. Por ello debemos insistir en que nunca debe utilizarse la misma contraseña para distintos servicios.

Fuente: ESET Latinoamérica

en No hay comentarios:

PHP.net modificado con un script dañino

El sitio web oficial del lenguaje PHP, php.net, ha sido marcado como dañino por Google ya que contiene malware que puede dañar su sistema.



El sitio web incluye un script http://static.php.net/www.php.net/userprefs.js que ha sido marcado como dañino debido a que descarga software malintencionado de 4 dominios, incluyendo cobbcountybankruptcylawyer.com/, stephaniemari.com/, northgadui.com/ y satnavreviewed.co.uk/. Tres de estos dominios parecen estar funcionando como intermediarios para la distribución de malware.

El JavaScript alterado "userprefs.js" inserta un iframe oculto en la página web, que carga el contenido de un sitio externo.

Actualización: al momento de escribir esto, el script dañino ya ha sido eliminado pero esto no significa que PHP.net haya solucionado las vulnerabilidades en su servidor.

Fuente: HackerNews

en No hay comentarios:

miércoles, 23 de octubre de 2013

¿Qué hacer para mejorar BYOD?

Un nuevo informe de la encuesta "Data Security Report", reveló que el aumento sostenido de dispositivos móviles personales y sus aplicaciones que se mezclan con la red corporativa está obligando a los expertos en TI a diseñar nuevas estrategias para resolver problemas de seguridad.

La mayoría de las empresas están preocupadas por la seguridad de la información confidencial que almacenan los dispositivos móviles, ya que la mitad de estos dispositivos albergan datos sensibles y su uso en la red corporativa está afectando el correcto funcionamiento de sus propias aplicaciones. 



Según Dimension Data, el aumento sostenido de dispositivos personales y sus aplicaciones que se mezclan con la red corporativa está obligando a los expertos en TI a diseñar nuevas estrategias para resolver problemas de seguridad. Una de ellas es realizar auditorías específicas para monitorear como estos nuevos elementos afectan a la red.

El informe sostiene que un 82% de los encuestados señaló que los empleados de sus organizaciones están utilizando más dispositivos y aplicaciones para el trabajo personal. Sin embargo, sólo el 32% de estas empresas sondeadas, han llevado a cabo auditorías de seguridad de las aplicaciones afectadas por estos dispositivos móviles.

Peor aún, un 90% de los encuestados aseguró que su compañía no cuenta con tecnología para impedir que estos dispositivos accedan por su propia cuenta a los sistemas corporativos, vulnerando la seguridad de estos.

Sin importar su tamaño, el 61% de las empresas de Latinoamérica ha adoptado la práctica de dejar a sus empleados trabajar con sus propios dispositivos móviles, conocida como Bring Your Own Device (BYOD). No obstante, sólo el 17% de las empresas que adoptaron esta tendencia cuenta con las herramientas para implementarlo, según en reciente estudio de SpiceWorks.

Para optimizar BYOD el primer paso que debe seguir una empresa es establecer los sistemas que permiten proteger los datos que circulan a través de todos los dispositivos de la red interna: para ello, es necesario contar con plataformas de administración de redes que cuenten con soporte para todo tipo de dispositivos, de manera que la información de la empresa no pueda ser visualizada desde el exterior de la red local y no queden así vulnerables a intrusiones o ataques informáticos a través de Internet.

Una vez establecidos estos sistemas es importante implantar plataformas compatibles entre sí, las cuales permitan establecer una experiencia fluida entre los dispositivos con un mismo sistema operativo, como Windows 8, de manera que sea posible entregar a los empleados la ventaja de trabajar sin interrupciones desde un equipo de escritorio a una tableta y de ahí a un smartphone, sin restar compatibilidad, asegurando así la productividad de sus trabajadores ya sea dentro o fuera de la oficina.

También es indispensable, independientemente el tipo de organización, invertir y renovar los equipos para conseguir ejecutar la administración de esta práctica y la red de la empresa. Tanto para su uso en labores de producción o administración, las nuevas generaciones de Ultrabooks y tabletas ya igualan a las terminales de escritorio en materia de desempeño, incluyendo también características de ahorro de energía y seguridad que pueden resultar cruciales a la hora de optimizar gastos en tecnología.

Fuente: CIOAL

en No hay comentarios:

Mapa mundial de ataques digitales DDoS

Uno de los ataques más comunes contra un sitio web es un ataque distribuido de denegación de servicio (DDoS) en el cual una botnet con cientos e incluso miles de ordenadores bombardea un sitio web saturando su tráfico y haciéndolo temporal o permanentemente inservible.





Google (los equipos "Ideas" y "Big Picture") se ha asociado con Arbor Networks para ofrecer en un mapa digital que ofrece una visualización impresionante de los ataques de denegación de servicio en tiempo real en todo el mundo. Aca pueden Observar:



Fuente : hackplayers
en No hay comentarios:

Libro: Amenazas Persistentes Avanzadas: Cómo Manejar el Riesgo para su Negocio [ISACA]

Muchas de las Amenazas Persistentes Avanzadas (APTs, por sus siglas en inglés) más destructivas de hoy fueron concebidas hace más de una década. Debido a esto, las empresas que dependen de las estrategias de ciberseguridad más tradicionales tienen pocas probabilidades de tener éxito contra la próxima generación de ataques. Esta es una de las advertencias que hace un nuevo documento publicado por ISACA, la asociación de TI global, en el Mes de la Consciencia sobre la Ciberseguridad.



Amenazas Persistentes Avanzadas: Cómo Manejar el Riesgo para su Negocio establece que las defensas tradicionales como los firewalls y el anti-malware no están listas para enfrentar a las APTs de hoy y que las organizaciones necesitan agregar habilidades, procesos y tecnología a su estrategia de ciberseguridad.

"Los motivos detrás de las APTs son tan antiguos como la civilización misma: espionaje, sabotaje, crimen, terrorismo, guerra y protesta. Lo nuevo es el aumento en los ataques y su sofisticación. Las empresas necesitan ver a las APTs más como una variedad distinta en lugar de como una nueva generación", aseguró el autor David Lacey, CITP. Lacey es un futurista líder y una autoridad en la seguridad de TI cuya experiencia profesional incluye las posturas de riesgo y seguridad del Royal Mail Group y del Royal Dutch/Shell Group.

Una encuesta sobre ciberseguridad de ISACA realizada entre más de 1,500 profesionales de seguridad de todo el mundo descubrió que el 94 por ciento de los entrevistados creen que las APTs representan una amenaza real para la seguridad nacional y la estabilidad económica. Una de cinco empresas ya ha experimentado un ataque por parte de una APT, pero más de la mitad de los participantes de la encuesta no creen que las APTs difieren de las amenazas tradicionales.

El libro transmite dos mensajes importantes: combatir a las ATPs no es lo mismo de siempre, y las APTs deberían ser asunto de todos. Está escrito con un lenguaje claro y no técnico para que lo entiendan los ejecutivos de las empresas y los funcionarios del gobierno responsables de los valiosos activos intelectuales o de los servicios críticos que pudieran estar en la mira del ataque de una APT. Asimismo, explica las diferencias entre los controles necesarios para contrarrestar una amenaza persistente avanzada y aquellos que se utilizan para mitigar el riesgo para la seguridad de la información cotidiano.< El libro de ISACA le da a las empresas información sobre las técnicas efectivas para combatir a las APTs. Fue escrito como un análisis práctico de los temas que muchas organizaciones no entienden completamente, incluyendo:
  • Las deficiencias típicas de los procesos actuales de la ciberseguridad
  • Cómo decir si usted está experimentando el ataque de una APT
  • Qué es un riesgo moral y cómo afecta a las ATPs
  • Cómo interrumpir una ciber "cadena de muerte" (las etapas de un ciberataque)
Mitigar el ataque de una APT se intersecta en parte con la guía y los controles convencionales, como aquellos definidos en el marco de referencia COBIT 5 de ISACA, los controles críticos del SANS Institute y los estándares de seguridad ISO/IEC 27001. Este libro se enfoca en las mejoras necesarias y destaca aquellas áreas en las que los controles necesitan fortalecerse o ampliarse. Esta es la edición más reciente de los recursos de ciberseguridad de ISACA, que incluyen el libro.

Esta es la edición más reciente de los recursos de ciberseguridad de ISACA, que incluyen el libro Respondiendo a los Ciberataques Dirigidos; Transformando la Ciberseguridad Usando COBIT 5; un programa de auditoría del cibercrimen, la Encuesta de Amenazas Persistentes Avanzadas; al comunidad de Ciberseguridad del Knowledge Center de ISACA, y la Conferencia sobre Seguriad de la Información y el Manejo de Riesgos, que se realiza del 6 al 8 de noviembre de 2013 en Las Vegas.

Fuente: ISACA

en No hay comentarios:

martes, 22 de octubre de 2013

Whonix: sistema operativo para mantener el anonimato

Whonix es un sistema operativo centrado en el anonimato, la privacidad y la seguridad. Se basa en la red anónima Tor, Debian GNU/Linux y la seguridad mediante el aislamiento. La fuga de información mediante DNS es imposible, y ni siquiera el malware con privilegios de root podría encontrar la verdadera IP del usuario.


Whonix consta de dos partes: una aislada que ejecuta Tor y actúa como una puerta de enlace, llamada Whonix-Gateway. La otra Whonix-Workstation, está en una red completamente aislada. Sólo las conexiones a través de Tor son posibles.

Fuente: HackPlayers

en No hay comentarios:

#BBM para Android y iOs disponibles

Hace unas semanas todos conocimos el fracaso del lanzamiento de BBM para estos dispositivos pero finalmente ya están disponibles oficialmente BlackBerry Messenger para Android y iPhone.



Si eres uno de los millones que se tomaron el tiempo para inscribirse en BBM.com, puedes empezar a usar BBM inmediatamente sin necesidad de esperar. Si aún no te inscribiste, no te preocupes BlackBerry está haciendo lo posible para responder lo más rápidamente posible.





en No hay comentarios:

Guía de fortificación y seguridad de servidores web Apache

De acuerdo con Netcraft, a día de hoy Apache sigue siendo el rey en servidores web y por lo tanto el más usado a través de Internet.


 
Es por ello, que también sea seguramente el más atacado por la cuota de mercado que ocupa. Por lo que tener un servidor Apache bien configurado es una tarea obligatoria para cualquier administrador.

Esta guía recientemente publicada nos ayuda con esta tarea. Trata desde el filtrado de información, hasta la configuración de los ficheros logs, pasando por la autorización, seguridad en aplicaciones web, configuración de SSL y Mod Security.

Es una guía muy concisa y resumida que nos lleva al grano. El índice de la misma es el siguiente:
Fuente: CyberHades

en No hay comentarios:

Presentaciones de Virus Bulletin 2013

El pasado 2 al 4 de octubre se celebró en Berlín otra conferencia sobre seguridad informática enfocada más al tema del malware: VB2013 – Virus Bulletin 2013 (no, no es Visual Basic!). Esta es la 23 edición de esta conferencia.



Las presentaciones que se dieron ya están disponibles para descarga. La lista es la siguiente
Corporate stream
  • Andreas Lindh (‘Surviving 0-days – reducing the window of exposure’)
  • Sabina Datcu (‘Targeted social engineering attacks. Sensitive information, from a theoretical concept to a culturally defined notion’)
  • Michael Johnson (‘Make it tight, protect with might, and try not to hurt anyone’)
  • Randy Abrams & Ilya Rabinovich (‘Windows 8 SmartScreen application control – what more could you ask for?’)
  • Axelle Apvrille (‘Analysis of Android in-app advertisement kits’)
  • Vanja Svajcer (‘Classifying PUAs in the mobile environment’)
  • Roman Unuchek (‘Malicious redirection of mobile users’)
  • Craig Schmugar (‘Real-world testin target="_blank"g, the good, the bad, and the ugly’)
  • Ciprian Oprisa & George Cabau (‘The ransomware strikes back’)
  • Jarno Niemela (‘Statistically effective protection against APT attacks’)
  • Sergey Golovanov (‘Hacking Team and Gamma International in “business-to-government malware”‘)
Technical stream
  • Carsten Willems & Ralf Hund (‘Hypervisor-based, hardware-assisted system monitoring’)
  • James Wyke (‘Back channels and bitcoins: ZeroAccess’ secret C&C communications’)
  • Xinran Wang (‘An automatic analysis and detection tool for Java exploits’)
  • Rowland Yu (‘GinMaster: a case study in Android malware’)
  • Samir Mody (‘”I am not the D’r.0,1d you are looking for”: an analysis of Android malware obfuscation’)
  • Farrukh Shazad (‘The Droid Knight: a silent guardian for the Android kernel, hunting for rogue smartphone malware applications’)
  • Fabio Assolini (‘PAC – the Problem Auto-Config (or “how to steal bank accounts with a 1KB file”)’)
  • Samir Patil (‘Deciphering and mitigating Blackhole spam from email-borne threats’)
  • Evgeny Sidorov (‘Embedding malware on websites using executable webserver files’)
  • Amr Thabet (‘Security research and development framework’)
‘Last-minute’ technical papers
Fuente: CyberHades

en No hay comentarios: