10 formas en que das información sin darte cuenta

La filtración de Snowden pone en evidencia la gran cantidad de información recolectada por la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) para rastrear objetivos extranjeros. Estas revelaciones de la NSA son inquietantes, pero quizás lo sea más saber que no sólo las autoridades estadounidenses controlan tus datos.

Como en “Un mundo feliz”, la novela distópica de Aldous Huxley, tu información es recolectada y puesta al servicio de otros, muchas veces sin que tú lo sepas.

1. Facebook sabe lo que compras

Facebook compró en 2012 datos de 70 millones de hogares estadounidenses a la compañía Datalogix. El gigante de Internet luego confirmó lo que muchos usuarios sospechaban: el monitoreo de la conducta y actividad de las personas para ofrecer avisos personalizados. La respuesta negativa de muchos usuarios ha obligado a Facebook a ser más transparente en estas cuestiones y los usuarios hoy pueden elegir ser excluidos de este programa.

2. Tus “me gusta” en Facebook revelan tu personalidad

Darle “me gusta” a algo es un simple pasatiempo en la red social. Pero cuando hasces  “like” en cerveza, bandas de música o programas televisivos,  los investigadores extrapolan detalles más personales de los usuarios, como la orientación sexual, política y religiosa, según un estudio de la Universidad de Cambridge publicado en marzo.

3. Las compañías de publicidad observan tus tuits

Twitter no se queda atrás y lanzó su propio programa para monitorear a los usuarios. WPP, una agencia de publicidad, anunció la última semana una “alianza estratégica global” con Twitter.

¿Qué significa esto? Twitter permitirá que WPP analice los datos de la red social para monitorear la conducta de los consumidores en tiempo real.

4. Las compañías utilizan monitores de retina para detectar cómo se mueven tus ojos en una tienda

Las redes sociales no son las únicas que se han lanzado a la caza de datos de los consumidores. Según un informe del Wall Street Journal, varias  tiendas  utilizan un efectivo método para monitorear la interacción de los usuarios con los productos.

Empresas como Procter & Gamble y Kimberly-Clark Corp. experimentan con tecnologías que rastrea los ojos para entender la conducta de los usuarios y su interacción con la ubicación de los productos y el tamaño de los logos.

5. Las grandes tiendas pueden monitorear tu teléfono inteligente

Un canal de noticias de Denver descubrió que algunas tiendas utilizan su red Wi-Fi para monitorear los teléfonos de los clientes y así crear un mapa de sus movimientos y los tiempos que pasan en cada sector del lugar.

6. Amazon coloca anuncios a partir de lo que observas en Internet

Amazon fue una de las primeras compañías en utilizar una práctica muy difundida hoy: el seguimiento de cookies. Una cookie es  información enviada por un sitio web que se almacena en el navegador de Internet del usuario. Amazon monitorea las cookies y luego coloca anuncios acorde al historial de Internet.

Hay, sin embargo, varios recursos que te permiten desactivar esos mecanismos.

7. Target puede saber si estás embarazada antes de que tú te enteres

La cadena de grandes almacenes Target fue noticia el año pasado cuando se descubrió que monitorea el historial de compras para enviar cupones a los clientes. El sistema demostró ser demasiado preciso cuando una tienda de Minneapolis determinó que una adolescente estaba embarazada antes de que ella se enterara. Su sistema analizó sus compras previas y halló que los productos adquiridos coincidían con los de mujeres embarazadas. Desafortunadamente, la joven y su familia aún no sabían que esperaba un hijo.

8. Las azafatas de la aerolínea Qantas llevan iPads con información actualizada de los pasajeros frecuentes

Así como los algoritmos de Target intimidaron a muchos por sus revelaciones, la aerolínea Qantas descubrió que a veces demasiada información puede ser contraproducente. Según la publicación The Harvard Business Review, cuando Qantas equipó a la tripulación con iPads con información actualizada para acomodar mejor a los pasajeros frecuentes, muchos se sintieron incómodos.

9. Una aplicación puede utilizar datos de las fotografías de tu teléfono para localizar dónde se tomó la imagen

Quizá no lo sepas, pero todas las fotografías que tomas con tu teléfono inteligente tienen una huella digital llamada EXIF que revela dónde y cuándo fueron sacadas y cómo viajaron por Internet.

10. Las bases de datos de ADN ya no pertenecen únicamente al FBI

Departamentos policiales de todo el país construyen sus propias bases de datos de ADN, informó esta semana el New York Times. El banco de Nueva York ya tiene 11 mil sospechosos y la del condado de Orange , California, ya cuenta con 90.000 perfiles bajo el radar. Estos datos suelen ser tomados de aquellos acusados de delitos menores que entregan su ADN para evitar ser procesados.

Fuente: planoinformativo.com

La OTAN acuerda reforzar la ciberseguridad, aunque con desacuerdos

BRUSELAS (Reuters) -

 Los ministros de la OTAN acordaron el martes reforzar las defensas cibernéticas de la alianza militar pero difirieron en torno a cuánto debería hacer para proteger a aliados más pequeños de ataques de piratería informática potencialmente devastadores.

El año pasado, la OTAN afrontó más de 2.500 "casos significativos" de ataques cibernéticos en sus sistemas, dijo el secretario general de la alianza, Anders Fogh Rasmussen, en una reunión que mostró la importancia que ha adquirido la ciberseguridad en la agenda atlántica.

"Estamos todos conectados, así que un ataque a un aliado, si no se trata con rapidez y efectividad, puede afectarnos a todos. La ciberdefensa es tan efectiva como lo sea el eslabón más débil de la cadena. Trabajando juntos, podemos fortalecer la cadena", declaró Rasmussen en una conferencia de prensa en Bruselas.

Los ministros de Defensa de los 28 países miembros acordaron que el programa de seguridad cibernética de la OTAN debería estar completamente operativo para octubre, extendiendo la protección de la organización a todas sus redes informáticas, dijo Rasmussen.

También acordaron establecer equipos de reacción rápida para ayudar a proteger los propios sistemas de la OTAN.

Miembros de la OTAN están de acuerdo en que la prioridad de la organización debe ser defender las propias redes informáticas de la entidad, ya que esos son los sistemas utilizados para coordinar operaciones militares entre los aliados.

Sin embargo, existen desacuerdos sobre cómo la organización debería responder a las solicitudes de ayuda de miembros que sufren ciberataques.

Países pequeños con recursos limitados pretenden sacar ventaja de las capacidades de ciberdefensa de la OTAN y Rasmussen cree que el organismo tiene la capacidad de ayudar.

Pero miembros más grandes como Estados Unidos, Reino Unido, Francia y Alemania se muestran en desacuerdo. Como invierten grandes sumas de dinero en defensa cibernética en sus propias fronteras, esos países son reacios a desviar dinero hacia actividades de la OTAN que beneficiarían a otros.

Fuente :es.reuters.com

COBIT será guía para integrar la operación de TI

COBIT puede ser utilizado por las empresas para optimizar el uso de sus activos de información y darle valor a la operación del negocio.

 

Ciudad de México.- COBIT es un marco de trabajo que puede ser utilizado por las empresas para optimizar el uso de sus activos de información y darle valor a la operación del negocio. En este post presentamos la forma en que está organizado este framework para visualizar qué contiene y cómo puede abordarse desde el punto de vista de la seguridad.

Cuando se habla de mejorar la gestión de las tecnologías de la información en las organizaciones, aparece ITIL como compendio de mejores prácticas o incluso se habla de estándares como los de la familia ISO para normalizar los procesos dentro de la empresa. Pero COBIT va un paso más allá en la búsqueda de la mejora de los procesos a través de un enfoque holístico de la operación del negocio, es decir, tener en cuenta todos los aspectos que hacen parte del negocio y que influyen en el cumplimiento de sus objetivos.

Particularmente, COBIT en su versión 5 se desarrolla alrededor de cinco principios que buscan: satisfacer las necesidades del negocio, abarcar toda la operación de la empresa, aplicar un solo marco integrado, habilitar un enfoque holístico y separar gobierno de administración. Surge la pregunta entonces de dónde queda el tema de la seguridad de la información y cómo entender lo que es este marco de trabajo.

Dentro de los principios el que trata de aplicar un solo marco integrado, se refiere precisamente a incorporar como parte de la gestión algún estándar de los más relevantes dentro de la industria. Es acá donde hace su aparición la serie de estándares ISO 27000 que precisamente está enfocada en establecer todo un sistema de gestión para garantizar la seguridad de la información.

En pocas palabras, lo que persigue la implementación de COBIT es lograr que toda la gestión y la administración de los activos de información de la empresa estén bajo un mismo marco integrador y que no dé lugar a que se tengan sistemas de gestión aislados sin compartir información entre sí.

Es precisamente esto lo que se conoce como el enfoque holístico de la organización. Si bien garantizar la seguridad de la información es vital para una empresa, no es lo único de lo que debe ocuparse. Es así como cualquier sistema de gestión que se implemente debe buscar habilitar la operación para cumplir con los objetivos del negocio. Y dentro de estos factores que buscan garantizar la operación del negocio se encuentran los recursos como la información, la infraesctructura y los servicios, las personas, los procesos y la cultura de la empresa.

Finalmente, la mejor forma de definir COBIT es como un mapa que brinda una guía completa de qué deben tener en cuenta dentro de los departamentos de TI de las empresas para garantizar que las operaciones del negocio se puedan llevar a cabo. No se trata solamente de gestionar la seguridad, de tener aplicaciones, procesos o servidores. Es ir un paso más adelante, es la implementación de un proyecto que permite a cualquier organización integrar toda su gestión de TI y que debería velar por alinearla con la operación del negocio.

Fuente: elsemanario.com

‘Hackean’ la web oficial de Brasil sobre los preparativos para el Mundial de fútbol 2014

La página web oficial del Gobierno de Brasil sobre los preparativos para la Copa Mundial de fútbol 2014 ha sido atacada por ‘hackers’ y no es accesible para los usuarios de Internet.

El servicio de prensa del Ministerio de Deportes ha emitido un comunicado afirmando que el acceso al sitio web www.copa2014.gov.br está temporalmente cerrado debido a un masivo ataque DDoS.

Texto completo en: http://actualidad.rt.com/actualidad/view/97666-hackear-web-brasil-mundial-futbol

IPv6 Security - An Overview

The advent of IPv6 changes not only the network components, but also the security field shifts. We see new types of attacks or at least variations of the attacks we know from IPv4. This article provides an overview of the IPv6 security vulnerabilities that arise with the launch of IPv6.

1. Attacks against the IPv6 protocol
1.1. Multicast

Via certain multicast messages an attacker can very fast do a reconnaissance attack on a local network. Simply pinging the all-nodes multicast address ff02::1 shows several machines that are alive. Additionally, some NMAP scripts can be used to reveal almost all IPv6 clients on the network via forcing them to generate new (temporary) IPv6 addresses via SLAAC. The corresponding Multicast Listener Discovery messages from the clients, which are sent via multicast, reveal their interface IDs.

1.2. Extension Headers

Inside extension headers an attacker can send information that remain undetected if the intermediary firewalls do not fully check the options of these headers. This kind of attack is called "covert channel". For example, inside the Hop-by-Hop extension header, the PadN option which according to the standard must contain zeros, can be filled with any characters. That means, hidden information can be sent via the network without touching the upper layer protocols.
Another vulnerability arises with the routing header 0 (RH0). With its usage, a Denial-of-Service (DoS) attack between two nodes or firewall bypassing strategies can be performed. But since RFC 5095 deprecated the overall usage of RH0 in 2007, these attacks are not explained here one more time. (Please refer to the RFC for further details.)

2. Attacks against ICMPv6

ICMPv6 plays a key role in the proper usage of IPv6. Especially the Neighbor Discovery messages such as Router Advertisements (RAs) and Neighbor Solicitation/Advertisements (NS/NA) are needed for the straightforward usage of the new Internet Protocol.

2.1. Router Advertisement Spoofing

If an attacker sends spoofed Router Advertisements inside a subnet, all IPv6 nodes will immediately change their routing tables and store the attacker as one of the default routers. If they send traffic to the Internet, this new default router will be used. This leads to a situation in which the attacker can fully see (and even modify) all outgoing traffic from the IPv6 nodes to the Internet. This is called a Man-in-the-Middle (MITM) attack. Meanwhile the attacker can not see the returning traffic from the Internet since he is not able to spoof the real default router on the network. See Figure 1 below for an illustration of this attack.

Figure 1: Router Advertisement Man-in-the-Middle Attack

2.2. Router Advertisement Flooding

The attacker can also flood many thousand RAs which immediately freezes all Microsoft Windows computers since they are completely overloaded with that many SLAAC processes. This bug is known for many years but still exploitable. That means: If an attacker has access to a local network and is not stopped by the intermediary switch while sending spoofed RAs, the complete Windows environment will be frozen!

2.3. Neighbor Discovery Spoofing

When the attacker spoofs certain Neighbor Advertisements, he can execute a MITM attack. By answering falsified Neighbor Advertisements to the issued Neighbor Solicitations from the victims, he redirects all IPv6 traffic over his "routing instance" in the same subnet (see Figure 2).

Figure 2: Neighbor Advertisement Man-in-the-Middle Attack

2.4. Duplicate Address Detection

A DoS attack is executed if the attacker answeres to all Duplicate Address Detection messages (DADs) from a new IPv6 node (with a not yet assigned IPv6 address). The node always believes that this address is already in use and will never get an available IPv6 address and is therefore unable to access the network. This situation remains until the attacker stops the attack.

3. Attacks against DHCPv6
3.1. Address Space Exhaustion

If the concept of stateful DHCPv6 is used, an attacker can exhaust the IPv6 address pool on the server, similar to a DHCPv4 server. Even though the DHCPv6 server could provide enough IPv6 addresses, it has to store a small binding for each address and the corresponding DUID from the client which will at least exhaust the memory of the server if it is flooded with many requests.

3.2. Rogue DHCPv6 Server

An attacker can also place his own DHCPv6 server inside a network and distribute falsified values, e.g. a spoofed DNSv6 server address. If the clients accept this DNS server, they will get falsified DNS responses from now on if the attacker also owns the spoofed DNS server. With this attack, internal IPv6 users can be redirected to other (web-) servers than they intended to access. The picture below shows the basic attack in the local network.

Figure 3: Rogue DHCPv6 Server

4. Attack Toolkits

In order to test own equipment and security appliances, the following IPv6 attack toolkits can be used:

• THC-IPv6: The toolkit from Marc Heuse provides many easy to use tools which require almost only the specification of the network interface.

• SI6 Networks' IPv6 Toolkit: This package of tools from Fernando Gont can be used in a more precise manner since it can be fine-tuned with many options. Likewise it is more complicated to use compared to the THC-IPv6 toolkit.

• Scapy: To send completely crafted IPv6 packets, the packet manipulation tool Scapy from Philippe Biondi can be used.

 

5. Conclusion

From a top view, the vulnerability concepts have not changed that much with the advent of IPv6, while the concrete methods are modified to the new protocol. It was also possible in IPv4 networks to execute a Man-in-the-Middle attack on the local network or to spoof the DHCPv4 server. However, it will still take some time until all network and security devices have a full adoption of all IPv6 defense methods such as the RA Guard in switches or explicit Exentsion Header detection/filtering in firewalls.

Furthermore, some attacks are possible against the transition methods from IPv4 to IPv6 (not listed here) and of course IPv6 stack implementations in all operating systems will have errors. That means: Not only the generic IPv6 security issues shown in this summary are relevant for security experts, but also application specific vulnerabilities that are new due to the usage of IPv6.

Reference

This article is a summary of the master thesis from Johannes Weber "IPv6 Security Test Laboratory". In the thesis, 20 IPv6 security attacks are explained in detail and three firewalls are tested in an isolated test laboratory (Cisco ASA, Juniper SSG, Palo Alto PA). The test results of these firewalls are shown in the thesis as well as all further references from the attacks.

About the author

Johannes Weber has a master's degree in IT-Security. In his master thesis he studied the details of IPv6 security, explained the appropriate tools and tested a few firewalls against these vulnerabilities. He is now working for the German TÜV Rheinland i-sec GmbH as a network security consultant.

Fuent: labs.ripe.net/

Sólo el 50% de los usuarios cierra sesión al usar servicios on line

Entre los servicios se incluye Internet Banking, webmail y redes sociales, entre otros. Además, 2 de cada 3 encuestados dijo que el control gubernamental impide el crecimiento de internet y desalienta la innovación

(Internacional) Durante 2012, The Internet Society (ISOC) llevó a cabo el estudio Global Internet User Survey a 10.000 usuarios de internet de 20 países con el objetivo de conocer cómo acceden, qué aplicación le encuentran, cómo manejan la información privada y la relación de internet con los derechos humanos y los procesos políticos y sociales.

En este marco, la organización destacó que el 60% de los encuestados opina que el acceso a internet contribuyó significativamente a la conciencia civil y política en su país; en tanto que el 70% opina que cuanto mayor es involucramiento de los gobiernos hará que internet tenga mayor control y limitación de acceso a contenido.

Otro de los puntos del estudio indica que 2 de cada 3 encuestados opinó que el control gubernamental impide el crecimiento de internet y desalienta la innovación. Del total de usuarios que se loguean en servicios on line (internet banking, webmail, redes sociales, etc), sólo el 50% reconoce que cierra la sesión.

Aún sabiendo que están compartiendo información personal con un sitio o servicio on line, el 12% de los usuarios confiesa que nunca lee las políticas de privacidad y el 80% sostiene que no siempre las lee. Además, 2 de cada 3 encuestados sostiene que internet jugará un rol significativo en la solución de los problemas globales, incluidos la reducción de la mortalidad infantil (63%), la eliminación de la extrema pobreza y el hambre (61%) y en la prevención del tráfico de mujeres y chicos (69%).

Vale destacar que ISOC es una ONG global especializada en investigación y promoción de Internet en lo relativo a nuevos estándares, políticas y educación. Se ocupa de lo normativo y lo técnico para preservar y fortalecer una Internet abierta para que todas las personas puedan conectarse y compartir libremente sus ideas e iniciativas. 

Fuente: tynmagazine.com