Humor: Spam Vs Navidad

Feliz Navidad

y un

Próspero Año 2008

Les desea Cryptex – Seguridad de la Información

IBM lanza software de seguridad para aplicaciones web

Se enfoca en el entrenamiento de profesionales que son ajenos al área de la seguridad en fundamentos y prácticas del producto, así como el cumplimiento de normas industriales

México, 20 Diciembre 2007 (El Universal).
IBM dio a conocer su software IBM Rational AppScan para la seguridad de las empresas en el manejo de aplicaciones de internet, la cual incluye utilidades de capacitación basadas en web para el usuario.
En un comunicado IBM indica que el material educativo que contiene su software, se enfoca en el entrenamiento de profesionales que son ajenos al área de la seguridad en fundamentos y prácticas del producto, así como el cumplimiento de normas industriales.
La herramienta, precisa, posee aplicaciones para la revisión y evaluación del estatus de seguridad en aplicaciones de sitios que incluyen tecnología web de segunda generación, así como la retroalimentación de la información de estas aplicaciones.
Señaló que el componente de IBM Rational AppScan, Scan Expert perfila automáticamente una aplicación y da la configuración de prueba para el escaneo, utilidades para usuarios con poca experiencia en el uso de IBM Rational AppScan.

La utilidad del producto para la valoración, detalla, es el State Inducer que introduce una evaluación de las aplicaciones que se basan en procesos con múltiples pasos como el uso de carritos de compras en las ventas en línea, llenado de formas, o registro de reservaciones.Agregó que el programa IBM Rational AppScan identifica áreas en un sitio web donde las empresas serían susceptibles a solicitudes falsificadas de sitios cruzados, un engaño para acceder a su información delicada.

IBM Rational AppScan Standard Edition provides:

• Core vulnerability support: Includes those identified in the WASC threat classification - such as SQL-Injection, Cross-Site Scripting and Buffer Overflow.
• Broad Application Coverage: Includes integrated Web Services scanning and JavaScript Execution (including Ajax) and Parsing.
• Customization and Extensibility Capabilities: AppScan eXtension Framework allows the user community to share and build open source add-ons.
• Advanced Remediation Recommendations: shows a comprehensive task list necessary to fix issues uncovered during the scan.
• Automated Capabilities for Penetration Testers: advanced testing utilities and the Pyscan framework complements manual testing offering more power and efficiency.
• Regulatory Compliance Reporting: 40 out-of-the box compliance reports including PCI Data Security Standard, ISO 17799 and ISO 27001 and Basel II.

Humor: Sysadmin’s

El Gobierno británico vuelve a perder información privada

Para los que recuerdan el post "Pérdida de datos de mitad de los ingleses abre debate sobre seguridad en Gran Bretaña" les contamos que nuevamente los británicos son noticia:

Esta vez se trata de los datos personales correspondientes a más de tres millones de estudiantes del carné de conducir británico.

El Gobierno del Reino Unido ha anunciado que ha perdido información privada de más de tres millones de estudiantes del carné de conducir.
El causante de este desastre es una empresa norteamericana a la que el equivalente a la Dirección General de Tráfico (DGT) en el Reino Unido, la llamada Driving and Vehicle Licensing Agency (DVLA), había encargado el almacenaje de información confidencial (nombres, direcciones, números de teléfonos, etc.) correspondiente a más de tres millones de ciudadanos.
Al parecer, el disco duro y toda la información de los candidatos a conductores británicos que custodiaba la empresa norteamericana, fue extraviado el pasado mes de mayo, sin que nadie haya sabido nada hasta hoy.
Esta es la última brecha de seguridad de la información que sufren en el Reino Unido tras otros errores garrafales que en este sentido se han cometido, y que han propiciado, además del asunto que hoy es noticia, la pérdida de discos no cifrados a manos de la Agencia Tributaria británica. Estos discos contenían detalles personales de más de 25 millones de familias británicas.

Ante esta situación, la firma de seguridad Sophos recomienda a las empresas TIC que intensifiquen la seguridad y ha elaborado una lista de síntomas para que los usuarios perciban cuando pueden estar siendo objeto de robo de información:

• Ha dejado de recibir facturas u otros correos electrónicos. Esto podría sugerir que un ladrón de identidades ha facilitado una dirección que sustituiría a la suya.-Empieza a recibir tarjetas de crédito que no ha solicitado.
• Le deniegan créditos sin razones evidentes.
• Recibe llamadas de acreedores sobre artículos que no compró.
• Cuando revisa su extracto de la tarjeta de crédito encuentra artículos que no identifica.

Via vnunet.es
Por Carlos Pérez [19-12-2007]

Annual Secure Development World Conference

March 25th - 26th, 2008

Secure Development World is a conference dedicated to secure software development and programming. An arsenal of elite software development experts will be speaking for two days on numerous security threats, risks, development processes, and solutions. Secure Development World plans to offer its attendees invaluable insight on five separate Tracks:

• Programming and Scripting Security;
• Attacking Secure Applications;
• Enterprise Application Defense;
• SDLC/Management/Developmental Process;
• and Secure Software Tips & Tricks.

In addition to attending our three breakout rooms, our attendees can explore our Exhibition Hall, meet well-known authors, and make meaningful networking connections.

Training Agenda
- Leading the Development of Secure Applications
- Building Secure Web Services and SOA
- Building and Testing Secure Web Applications
- Secure Coding for Java EE
- Secure Coding for ASP.NET

Web Oficial del evento: www.securedevelopmentworld.com

Las amenazas de seguridad más destacadas de 2008

(AméricaEconomía.com) La compañía de seguridad informática Websense anunció sus predicciones anuales para 2008 con una lista de las diez amenazas más destacadas.

Específicamente, Websense Security Labs espera que los Juegos Olímpicos impulsen la actividad de hackers. Además, espera que los hackers tomen ventaja del incremento en la adquisición de Macs e iPhones como nuevos medios para ataques a través de la plataforma de web.

A su vez, los grupos con intereses especiales y cierto estatus económico, u otra gente en particular con hábitos de compra se convertirán en el objetivo de ataques Web 2.0. También aumentará el correo no deseado (spam) en la blogósfera y secciones de comentarios en sitios de noticias para llamar la atención e incrementar los índices de uso de herramientas de búsqueda de sitios Web infectados.

La lista de predicciones sobre amenazas de seguridad de Websense 2008 es la siguiente:

1. Juegos Olímpicos – nuevos ataques cibernéticos, robo de identidad (phishing) y fraude. Los ataques y las estafas basados en eventos son populares, y con todo el mundo viendo, los Juegos Olímpicos de 2008 pueden incitar los ataques cibernéticos.
   
   
2. Invasión de SPAM en blogs, herramientas de búsqueda, foros y sitios Web. Websense predice que los hackers aumentarán el uso de spam en la Web para enviar URLs a sitios maliciosos dentro de foros, blogs, en las secciones de comentarios de sitios de noticias y en sitios Web cuya seguridad ha sido comprometida.
   
   
3. Uso de las “ligas más débiles” en la web para lanzar ataquesLa Web es un enredo de ligas y contenido. La llegada de las adiciones de Web 2.0, como Google Adsense, aplicaciones híbridas (mash-ups) y redes sociales, junto con las cantidades masivas de anuncios Web ligados a páginas, ha incrementado la posibilidad de “ligas débiles”, o sitios Web y contenido vulnerable.
   
   
4. El número de sitios web comprometidos superará el número de sitios maliciosos creados. La web, como vector de ataque, ha tenido un incremento estable en los últimos cinco años, y ahora los atacantes incluso usan más los sitios comprometidos como plataformas de lanzamiento en vez de sus propios sitios.
   
   
5. Ataques en plataforma web – incremento en la popularidad de Mac e iPhone. Los atacantes aumentarán los ataques en plataformas web que detectan el sistema operativo en uso y envían un código específico para ese sistema en vez de enviar ataques sólo basados en exploradores web.
   
   
6. Incremento en ataques contra web 2.0 – hackers cuyo objetivo específico son los grupos basados en ciertos intereses y perfiles.
   
   
7. Conversión de JavaScript para evadir anti-virus. Los hackers están tomando ventaja de las técnicas de evasión que usan poli-conversión de JavaScript (polyscript), que significa que una página web con un código único recibe un sitio web malicioso por cada visita del usuario.
   
   
8. Métodos de encubrimiento de información con mayor sofisticación.
   
   
9. Aplicación de leyes globales para tomar medidas contra grupos de hackers e individuos.
   
   
10. Combinación e incremento de prácticas fraudulentas con uso de protocolo de voz sobre IP (vishing) y spam de voz.

Certificaciones. ¿Cuál es el salario medio de un profesional certificado?

Al hilo de las certificaciones, Certification Magazine ha elaborado su encuesta anual sobre salarios percibidos por profesionales certificados. En esta encuesta se refleja el salario medio declarado por los profesionales certificados en función a la certificación que poseen. Los datos son los siguientes:

El estudio salarial de se ha basado en los datos ofrecidos por 35.066 profesionales TI ubicados en 195 países diferentes. De todos los encuestados, el 94% tenía al menos una certificación.

En la tabla anterior se ha aplicado un cambio de divisa estándar 1€ = 1,45 USD
Ni qué decir tiene que el mero hecho de tener una certificación no te asegura ni de lejos aspirar a puestos con salarios como los citados. Por eso mismo es importante, cuando hablamos de certificación, hablar simultáneamente de la tenencia de experiencia acreditable. Al igual que sucede en cualquier titulación universitaria o de cualquier otro tipo, el mero hecho de tener un papel colgado en la pared no significa nada, salvo para los tituliteros y los entrevistadores inexpertos, a los que cualquier espabilado con labia les vende una moto, arena en el desierto o hielo en el círculo polar.
El movimiento se demuestra andando, y en este caso, la experiencia profesional es la que garantiza que un profesional certificado reúne los requisitos. Un licenciado en Medicina recién graduado, sin experiencia, no es un médico capaz de resolver problemas, ni es el perfil idóneo para gestionar las urgencias de un hospital. Es un profesional cuya misión principal, antes de ayudar a los demás, es aprender. Y cuando haya aprendido, estará en condiciones de hacer su trabajo con plenas garantías.

Exactamente lo mismo pasa con los profesionales certificados. Sin experiencia, no eres nada. Así pues, encuentro ventajoso que, en la gran mayoría de las certificaciones, antes de ser expedidas, se inste al candidato a acreditar un mínimo de experiencia profesional demostrable. En estos eventos siempre existe la picaresca, y más de uno le firmará la experiencia a su amigo/socio/primo/hermano/novio/novia, pero a la hora de la verdad, cuando se entrevista a un profesional, y si se sabe entrevistar porque se conoce el marco real de trabajo de ese profesional certificado, es muy fácil determinar si la trayectoria profesional que se acredita hace honores o no a las certificaciones que se posean, o si éstas son sólo humo para vender en la entrevista.
Aquellos que obtienen la certificación cumpliendo con los requisitos (esos 5 años de experiencia que suelen pedir casi todas) pues tienen el camino del aprendizaje ya andado, y podrán acreditar experiencia profesional certera y verdadera, que como no podía ser de otro modo, vale dinero. Y aquí no vale cualquier cifra.

Link relacionado

Programas de Brocade: www.brocade.com/education_services/overview.jsp

Visto en www.sahw.com/wp/archivos/2007/12/18/certificaciones-cual-es-el-salario-medio-de-un-profesional-certificado/

Argentina: ISMS Certification (2007)

Argentina Vs Certificación ISO/IEC 27001

Cuando se accede al site iso27001certificates.com se puede observar al buscar a Argentina en "Register Search" que este país se encuentra en la posición 40 a nivel mundial con 4 certificaciones.

Si lo comparamos con otras certificaciones como ser ISO 9001, ISO 14001, OHSAS 18001, ISO/TS 16949, ISO 22000, etc. (ver imagen) se observa que es muy bajo el porcentaje de organizaciones que certificaron su "Information Security Management Systems (ISMS)" como también que esta muy por abajo en comparación con los otros estándares señalados en el grafico.

También se tiene que tener en cuenta la diferencia de años de vida de estas normas:
. 1979 Publicación BS 5750 - ahora ISO 9001

. 1992 Publicación BS 7750 - ahora ISO 14001

. 1996 Publicación BS 8800 - ahora OHSAS 18001

. ISO 27001 tiene su origen en la norma BS 7799-Parte 2, norma que fue publicada por primera vez en 1998 y ya era un estándar certificable desde entonces. Tras la adaptación pertinente, ISO 27001 fue publicada el 15 de Octubre de 2005.

Nota: Imagen tomada del material del Seminario sobre "Inspecciones y Certificaciones para la Exportación" en la Ciudad de Rosario - Argentina (TÜV Rheinland), 20 de septiembre 2007.

Link relacionado:
- Encuesta de ISO sobre certificacion en el mundo. Primer año de ISO 27001
- Estadisticas de cantidad de Certificaciones en Argentina de las normas ISO 9001:2000, ISO 14000:1996, ISO 14000:2004, CERTIFICADOSQS 9000 y Bajas - Renuncias- Suspensiones

Lo último en estafas informáticas: Se disparan las cifras en Navidad (Chile)

Según la Bridec (Brigada de Delitos Económicos), los fraudes tienden a aumentar durante el ajetreo de las fiestas de fin de año. La principal de todas es la clonación de tarjetas, un ilícito que prolifera en Chile debido a la falta de seguridad bancaria.
Una de las estafas informáticas más nuevas ocurre a través de los portales de remate.

Francisco Aguirre, fiscal económico de Las Condes, explica el modus operandi de los delincuentes: "Existen estafadores que compran y depositan el dinero con cheques sin fondos justo cuando el banco se está cerrando. Así al estafado le aparece el dinero en su cuenta, pero con retención y no puede percatarse de la estafa hasta que el banco rechaza el cheque".

El abogado explica que de esta manera se logran estafas que bordean los $200 mil.

La locura que se genera en torno a las compras navideñas y la velocidad con la que se realizan las transacciones hacen que en esta época prolifere la falsificación de cheques, las compras suplantando a personas con documentos de identidad falsos y, por sobre todo, la clonación de tarjetas.

Aunque no es nuevo, este delito tiene mayores posibilidades de perpetrarse en época de fiestas y a la fecha ha aumentado: en 2005 se registraron 43 casos denunciados, 318 en 2006 y 482 en lo que va de 2007.

Los montos de tales estafas, tan sólo en el período entre agosto de 2006 y junio de 2007, superan los $190 millones."Son grupos relativamente organizados que toman contacto con garzones, con empleados de locales nocturnos o con bomberos", dice el jefe nacional de delitos económicos, prefecto Patricio Morales.

En el país, la clonación de tarjetas se lleva a cabo con mayor facilidad debido a que el sistema es inseguro, afirma Lorena Donoso, directora del Centro de Estudios en Derecho Informático de la Universidad de Chile: "Para hacer una compra por internet, por ejemplo, sólo necesitas los números que aparecen en la tarjeta", dice, al mismo tiempo que reconoce que algunos bancos han comenzado a tomar medidas para impedir ilícitos.

De acuerdo con Donoso, probar la existencia de una estafa a través de clonación de tarjeta es una tarea muy difícil y recuerda el caso de una mujer que sufrió ese problema y sólo pudo esclarecer su caso cuando se comprobó que le habían sustraído dinero de su tarjeta en cuatro lugares distintos al mismo tiempo.

Via Eeconomia y Negocios On Line

Gestion, Certificacion y Mantenimiento, segun ISO 27001

Cuando hablamos de Sistemas de Gestión de Seguridad de la Información (SGSI), según ISO 27001, la impresión es que la “gestión” se reduce a la definición, implantación y puesta en marcha del sistema y, llegados al caso, a la auditoría y posible certificación del SGSI por parte de una entidad de certificación (acreditada por una entidad nacional de acreditación del estándar en cuestión, ISO 27001).

Lo cierto es que, aunque hoy en día el asunto de la certificación en seguridad no ha alcanzado la relevancia necesaria en el ámbito empresarial, no tenemos ninguna duda de que se convertirá en algo de gran importancia en un corto periodo de tiempo. De hecho, la creación de esta norma ha tenido como objetivo fundamental su implantación en el entorno empresarial; lo cual nos viene a decir, que pasará a ser un imperativo en cualquier organización que aspire a mantener la seguridad de sus operaciones. Y es que si una empresa tiene relación con sus clientes, quiere controlar las comunicaciones internas y gestionar de forma segura sus pedidos, es vital mantener un nivel adecuado de seguridad con el fin de evitar amenazas en el sistema.

Argumentos favorables al SGSI

El argumento principal para adoptar un SGSI según ISO 27001 es que es un estándar basado en una metodología de proceso (PDCA: planificar, hacer, comprobar y actuar) y, por lo tanto, capaz de proporcionarnos un situación continuada de seguridad en el tiempo -y no una foto puntual, que sería lo que obtenemos con una auditoría perimetral, interna o tecnológica-. Este estándar se basa en la mejora continua que proporciona la metodología PDCA, y es de esperar que cuanto más veterano sea un SGSI basado en ISO 27001, más efectivo será (y previsiblemente, cada vez a un costo más reducido por la mejora en rendimiento y efectividad).

Implantación y gestión
Este estándar de seguridad de la información establece como primera premisa que se adoptará para beneficio del negocio de la organización. El objetivo principal es proteger la actividad, el negocio y el valor de la organización, para ello adopta un sistema de protección para su valor más importante: los activos de información. De este modo se establecerá qué queremos proteger (alcance) y cómo lo hacemos (política).

El siguiente paso es gestionar los activos de información más críticos, importantes, escasamente controlados, difíciles de cuantificar y manejar y que, además, están sujetos a emociones -las personas-. Éstas además manejan y controlan el resto de elementos de uso o protección de un sistema de gestión de seguridad de la información o cualquier herramienta o control de seguridad tecnológico. Otro problema añadido es que también pueden cambiar por sí mismos de empresa u organización a diferencia del resto de activos de información, que hay que ayudarles a cambiar de sitio.

Normalmente, la parte que requiere más inversión de todo este proceso, es la parte de planificación. En ella vamos a analizar nuestro negocio, vamos a determinar dónde está su valor (activos de información) y vamos a estudiar cuáles son los riesgos que las amenazas y vulnerabilidades pueden generar en nuestra organización. Los elementos que hasta ahora llamábamos “herramientas” (AV, FW, IDS, etc.) serán los “controles”, que nos ayudarán a gestionar los riesgos que existan sobre nuestros activos de información, y que serán implementados de acuerdo con procedimientos y criterios establecidos.

Algunas ventajas de un SGSI son el retorno en seguridad, mejora de imagen exterior, protección del negocio y mejora de procesos.

Indicadores y cuadro de mando
En este punto ya estaríamos en la parte de “hacer” de la metodología PDCA. Una vez implantado nuestro SGSI, deberíamos comprobar su efectividad mediante la definición de indicadores (o medidas) y por medio del uso de un cuadro de mando, que nos proporcione información suficiente para poder comprobar esa eficacia y efectividad.
En esta parte, la gestión correcta de la mejora continua es esencial para poder completar el proceso PDCA y así obtener esa situación continuada de seguridad.
La certificación de nuestro SGSI supone la convocatoria de una tercera parte confiable que analiza y certifica la correcta implementación del sistema de gestión en su totalidad, siguiendo las indicaciones del estándar ISO 27001. Éste nos dice lo que hay que hacer, pero no cómo conseguirlo. Esta certificación, con motivaciones variadas -abarca desde el puro marketing, a obligaciones generadas por clientes o Administración-, es un elemento de reconocimiento entre iguales, que debe ser revisado como mínimo anualmente y renovado cada tres años.

El mantenimiento del estándar
La propia definición del estándar como proceso basado en la mejora continua y la certificación con carácter revisable y sujeta a la evolución y mejora del SGSI, obligan no sólo a definir, implantar y mejorar el SGSI, sino a mantenerlo con la mejor salud posible.
La percepción general de distribución de inversión y costos relacionados con un SGSI según ISO 27001 se centran en las fases previas de definición e implantación, principalmente porque en estos estadios se cuenta con elementos consultores externos. Pero también hay que tener en cuenta la dedicación, necesaria y fuerte, de personal de la organización sujeta al proceso, ya que hay que tomar muchas decisiones que no pueden ni deben ser asumidas por consultores externos.
Aunque bastante más bajo de lo que se podría pensar, el costo de la auditoría de certificación también es tenido en cuenta. Este dependerá del tamaño y complejidad del alcance elegido para el SGSI.Pero los costos necesarios para mantener el sistema en funcionamiento una vez implementado y certificado, no se contemplan o se obvian. Y puesto que es un sistema vivo, estos costos existen. Cuanto más haya participado la organización en el proceso de definición e implementación, menor será la dependencia de agentes externos. La tendencia general en la evolución y mejora de SGSI es el adelgazamiento de estructuras, procedimientos, e incluso, alcance.
Una mejor relación entre el esfuerzo y la seguridad se producirá de forma paulatina y ayudará a establecer, de manera exacta, el esfuerzo necesario para mantener el SGSI en plena forma. Cuanto más fiables sean los indicadores o medidas elegidas para establecer la salud del SGSI, se obtendrá un mejor rendimiento de nuestra inversión.
Además de un retorno en seguridad, mejora de imagen exterior y protección de nuestro negocio, un SGSI según ISO 27001 ayudará a la mejora de procesos de negocio, a la optimización de recursos IT y al incremento de la productividad y fiabilidad de los recursos humanos de nuestra organización. Todo esto tiene un costo más razonable cuanto más veterano y efectivo es nuestro SGSI.

Agustín Lerma, Security Manager Nextel

Via borrmart.es

Voto electronico: Muy buen grado de funcionamiento de los aparatos (Justicia Electoral de la República de Paraguay)

El Centro de Información de la Institución emitió el último reporte relacionado con la ejecución del voto electrónico en el marco de las internas del Partido Liberal Radical Auténtico. El documento refiere que de las 2.858 urnas electrónicas habilitadas para las elecciones sólo 16 máquinas fueron sustituidas por el voto convencional, es decir; se encuentran en perfecto estado de funcionamiento 2.420 urnas electrónicas.

Resto arroja un 86,65% de mesas receptoras de votos funcionando sin ningún tipo de dificultades ni inconvenientes de carácter técnico ni logístico.

Por otro lado, 241 mesas requirieron la utilización de urnas electrónicas de contingencia; apenas un 8,63%.
La cantidad de mesas donde el voto electrónico fue reemplazado por boletines de voto es de 16; lo que alcanza el 0.57% del total.
Estas cifras permiten concluir que la implementación del voto electrónico en los comicios que actualmente celebran los liberales es plenamente satisfactoria y se enmarca en las previsiones hechas.

Fuente: www.tsje.gov.py/prensa/2007/diciembre/11_plra.htm

Articulos relacionados
- Paraguay: Denuncian manipulación de urnas electrónicas y solicitan nulidad
- Fiabilidad de urnas quedo demostrada (11/12/07)

Memorias y articulos: VII Jornada Nacional de Seguridad Informática (Colombia)

Presentamos las memorias y artículos de la VII Jornada Nacional de Seguridad Informática "Computación Forense: Rastreando la Inseguridad Informática":

• Encuesta VII Jornada Nacional de Seguridad Informática
• No Más Secretos
• Ciencia Anti-Forense un nuevo reto para las organizaciones
• Honeypots, herramientas forenses para trazar perfiles del enemigo
• Recuperación de datos: Data carving y archivos fragmentados
• La Fuga de información - La amenaza y sus contramedidas
• Introducción a las técnicas antiforenses: Conceptos e implicaciones para investigadores.
• Evolución de los laboratorios de informática Forense: Conceptos y casos
• Análisis forense a partir de recuperación de evidencias en memoria
• Sustentación en Juicios Penales de sistema acusatorio, de pruebas digitales.
• Tercerizar, una opción estratégica
• Norma de Seguridad de la Información para el Sector Financiero
• Cómputo Forense y Pólizas de Seguro Aplicables para el Fraude Informático

Artículos
SIDIRI, Propuesta de modelo para un Sistema Inteligente de Detección de Intrusos en Redes Informáticas. Juan David Arroyave, Jonathan Herrera, Esteban Vásquez Escuela de Ingeniería de Antioquia, Colombia. Conferencia Artículo

InForce Technology Siler Amador Donado Guillermo Jurado. Universidad del Cauca, Colombia. Conferencia Artículo

Metodología para la admisibilidad de las evidencias digitales. José Ebert BonillaCorporación Universitaria UNITEC, Colombia. Conferencia

Herramienta para colectar código malicioso en ataques a servidores Web. Hugo González Universidad Politécnica de San Luis Potosí, México. Conferencia Artículo

2008
La VIII Jornadas Nacionales se realizaran en Junio 18, 19 y 20 de 2008 en Bogotá, cuyo tema central será "Gestión de la Inseguridad Informática".

Asociación Colombiana de Ingenieros de Sistemas

ClubHack2007: Presentaciones

ClubHack es una convención realizada en la India que sirve como un lugar de encuentros para hackers, profesionales de seguridad, agencias de seguridad y demás interesados en la seguridad informática.

Descarga de Presentaciones:

• Analysis of Adversarial Code: The Role of Malware Kits! (PDF)
• Backdoor 2.0: Hacking one's Firefox to steal his web secrets. (PPT)
• Mining Digital Evidence in Microsoft Windows – Answering Who, When, Why and How (PPT)
• The future of automated web application testing (PDF)
• 7 years of Indian IT act - 7 Best Cases (PDF - PPT)
• Faster PwninG Assured: Cracking Crypto with FPGAs (PDF)
• Crazy Toaster: Can Home Devices turn against us?
• Legiment Techniques of IPS/IDS Evasion (PDF)
• Subtle Security flaws: Why you must follow the basic principles of software security (PPT)
• Hacking Web 2.0 Art and Science of Vulnerability Detection (PDF)
• Vulnerabilities in VoIP Products and Services (PDF)

Web oficial: clubhack.com

Paraguay: Denuncian manipulación de urnas electrónicas y solicitan nulidad

El procesamiento de datos de las internas liberales continúa generando conflictos. Representantes de la Lista 7 denunciaron manipulación en las urnas electrónicas en el distrito de Guarambaré y solicitan la nulidad de los votos de ese distrito.

Los apoderados de la Lista 7 del PLRA denunciaron que en las 9 mesas del distrito electoral de Guarambaré se comprobaron que llamativamente los resultados estaban abultados y no se compadecían con la participación de electores observados durante el desarrollo del acto comicial.

Néstor Stellato Mojoli, apoderado de la Lista 7, señala que ante esta situación realizó un control y verificación de las actas de dicho distrito, observando que las mismas tenían caracteres inusuales y que sin lugar a dudas se estaba en un claro y evidente hecho de nulidad contemplado en el Código Electoral.
“Como sustento de esta aseveración procedí nuevamente a una verificación de los tickets expedidos por la urna electrónica para los apoderados y luego de verificados con los de la Justicia Electoral, prueban que entre supuestos votantes existe una secuencia en segundos, que únicamente pudo haber sido realizado por una misma persona y en complicidad con los tres miembros de mesa”. señala Mojoli.

Sostiene que de conformidad con lo establecido en el Código Procesal Civil, esto constituye un hecho nuevo, llegando a conocimiento de los apoderados con posterioridad a la verificación de las actas de Guarambaré, pero anterior al juzgamiento de las mismas, ya que aún no han sido resueltas por resolución correspondiente del Tribunal Electoral Independiente. Apunta que antes del cómputo de las actas referidas el Tribunal Electoral, deberá resolver la nulidad planteada.

Afirma que ante estos nuevos hechos, solicitan formalmente que la Justicia Electoral realice una detallada auditoría informática del 100 por ciento de las urnas electrónicas del distrito de Guarambaré.

“Es necesario que para beneficio de todos los candidatos y afiliados al PLRA se aseguren la transparencia y la seguridad de que el sufragio emitido por los electores sea traducido en elecciones con resultados incuestionables que permitan la legitimidad de representación del partido”, afirmó el dirigente liberal.

El político entregó copias de la secuencia de votación en la mesa 9 de Guarambaré, donde se puede apreciar que en algunos casos sólo existen segundos de tiempo entre un votante y otro, lo que consideran como prueba irrefutable de que allí hubo fraude.

Fuente: Digital ABC

Amenazas a la seguridad informática en las Fiestas de Navidad y Año Nuevo

Siempre a contramano, como corresponde a los malvivientes, los piratas informáticos no ven en las fiestas de Navidad y Año Nuevo una dichosa oportunidad para reunirse con amigos y familiares. Más bien, encuentran que la ocasión es inmejorable para hacerse con el dinero de millones de personas conectadas a la Red.

La actividad de virus, troyanos, keyloggers y otros programas maliciosos aumenta en esta época del año, porque se incrementan las transacciones comerciales online, asegura el director técnico de la empresa de seguridad informática española Panda Labs, Luis Corrons. Según un informe de la empresa, en 2006 el importe medio robado online a cada víctima fue de 6383 euros. Y con un riesgo adicional: que el miedo nos impida usar la Red para hacer compras y transacciones bancarias. Sin embargo, siguiendo unas pocas reglas básicas y simples estas operaciones son totalmente seguras.

Según un informe de la empresa, en 2006 el importe medio robado online a cada víctima fue de 6383 euros.

Y con un riesgo adicional: que el miedo nos impida usar la Red para hacer compras y transacciones bancarias. Sin embargo, siguiendo unas pocas reglas básicas y simples estas operaciones son totalmente seguras.

Lo primero es usar una computadora confiable para nuestras operaciones comerciales en línea. Es decir, una computadora a la que no tengan acceso personas que instalan software indiscriminadamente, bajan música y películas pirateadas y chatean , y usan el e-mail sin conocer las normas elementales de seguridad.

Además, esa máquina debe tener un antivirus y las actualizaciones de Windows al día. Si los chicos han tomado demasiado control de la PC, lo más razonable es utilizar una segunda máquina, que no necesita ser ni muy potente ni muy cara, para realizar operaciones comerciales online.

Otra solución, menos segura, es instalar dos veces Windows, en dos particiones diferentes, y reservar una para las operaciones en línea.

El e-mail y el chat son actualmente las dos principales vías de contagio de virus, que al revés que antes ya no buscan destruir datos o dañar el sistema, sino robar contraseñas y números de tarjeta de crédito. La única forma de mantenerse realmente libre de estas pestes es ser precavido. El antivirus ayuda, lo mismo que un firewall , pero lo más importante, sobre todo en estos días de fiesta, es desconfiar de lo que llega por e-mail y por chat.

Una aparentemente inofensiva tarjeta de Navidad puede, en realidad, dirigir el navegador a una página Web, que instalará software malicioso en el equipo. Un adjunto que parece traer los buenos augurios de un amigo es, en realidad, un capturador de teclado que robará nuestras contraseñas. La inesperada fortuna de haber ganado un supuesto concurso navideño se puede convertir rápidamente en la desgracia de una cuenta asaltada por medios electrónicos.

La clave es sencilla: en general, pero sobre todo en estos días, no darle clic a ninguna dirección Web que llegue por e-mail o chat, ni darle doble clic a ningún adjunto. Esto solo alcanza para desactivar el 90 por ciento de los ataques de los piratas informáticos.

El phishing, un tipo de estafa que también llega por e-mail nos urge a darle clic al link que se adjunta para ir a nuestro banco o a una entidad financiera; en realidad, nos envía a un sitio falso. Además, en esta oportunidad, se resuelve no haciendo clic en ninguna dirección que llegue por e-mail. No es una mala idea verificar siempre que el sitio en el que vamos a hacer una operación muestre un candado cerrado en la barra de estado (abajo, a la derecha).

Ofertas sospechosas

El éxito de sitios de subastas hace que los piratas creen sitios falsos con ofertas a precios increíbles (en rigor, imposibles). "Si se compra en una de esas webs, es probable que no se reciba el producto y se pierda el dinero pagado", asegura un informe de Panda Labs. El mejor consejo es hacer compras en sitios de subastas reconocidos, como DeRemate.com. Con el mismo espíritu de tentar con una oferta imperdible al usuario incauto, las promesas adoptan diversísimos disfraces, desde trailers de películas hasta lejanas loterías. Rechazarlas y educar a todos los miembros de la familia sobre sus riesgos es una forma, en la era de Internet, de tener la fiesta en paz.

Por Ariel Torres De la Redacción de LA NACION.com

Las mejores prácticas para DNS

Al tiempo que se convertía en piedra angular de casi cualquier aplicación en red, el sistema de nombres de dominio (DNS) ha ido ganando complejidad, tanto en su parte teórica como en sus implementaciones. Por ello conviene revisar la arquitectura DNS y tomar precauciones para evitar ser objeto de las múltiples amenazas que acechan en la Red.

Vint Cerf, padre de Internet, vaticinaba recientemente tres predicciones para el futuro de la Web: el mejor uso de las transmisiones IP para, entre otros, enviar actualizaciones de software y sistemas operativos; la creciente demanda de seguridad en los sistemas operativos; y el fortalecimiento de DNS (Domain Name System). “Hoy en día no hay manera de asegurar si los datos proceden de un sitio real o de un flujo desviado”, asegura Cerf.

Y es que los errores a la hora de crear una arquitectura DNS son bastante frecuentes, a tenor de la amplia variedad de ataques sufridos últimamente en Internet. Un reciente estudio realizado por The Measurement Factory para Infoblox, firma de soluciones basadas en identidad, asegura que más de la mitad de los servidores de nombres de Internet están mal configurados, dejando las redes abiertas a ataques y causando graves daños tanto a empresas como a otros usuarios de Internet. El informe está basado en una muestra que incluye el 5% del espacio de direcciones IPv4: alrededor de 80 millones de dispositivos.

Falta de Seguridad

El fallo más común en estas arquitecturas se produce, según la consultora, cuando los servidores DNS reenvían peticiones procedentes de sistemas fuera de su propia red. Salvo un pequeño número de servidores de nombres autorizados en Internet, la mayoría son “recursivos”, entendiendo por ello que residen en una LAN o en la red de un ISP y remiten solicitudes de sus propios usuarios a los servidores autorizados. Cuando estos servidores se abren a otros usuarios de fuera de su red, favorecen los ataques de “pharming”, cuyo principal efecto es el redireccionamiento del usuario a una página Web falsa y en apariencia idéntica a la solicitada, a menudo con el fin de obtener datos privados del usuario.

Otra de las consecuencias de esta práctica es la saturación de las redes; los atacantes envían múltiples peticiones DNS fraudulentas, aparentemente de un único usuario, a muchos de estos servidores recursivos abiertos, que le devuelven una respuesta con mayor peso, sobrecargando la red y el equipo cliente. Así, cientos de PC envían una petición de 64 bytes y los servidores le responderán con 4 KB por cada petición, generando una gran cantidad de tráfico hacia el usuario.

El informe de The Measurament Factory también señala que había 9 millones de servidores DNS conectados a Internet en 2006, un 20% más que en el año anterior, y un total de 20 millones de servidores DNS en todo el mundo. De los equipos externos, el 29% admite transferencia de zonas para peticiones arbitrarias, permitiendo la duplicación de todo un segmento de los datos DNS de una organización de un servidor DNS a otro, abriéndolos así a ataques de denegación de servicio (DoS). La forma de resolver esta cuestión sería ejecutar una extensión segura de DNS, llamada DNSSEC, que aplica criptografía asimétrica para permitir a los administradores firmar zonas de forma digital. Sin embargo, esta práctica no termina de calar: sólo uno de cada 100.000 la ejecuta, según Infoblox.

No obstante, una muestra de que las empresas comienzan a tomar conciencia de la necesidad de aplicar medidas de seguridad es el mayor uso de BIND 9, la versión más reciente y segura del software de servidores de dominios basada en código abierto. En 2005, un 58% de los equipos DNS ya la utilizaba y en 2006 se detectó que esta versión se había instalado ya en el 61% de los servidores de nombres. Por contrapartida, ha disminuido la presencia de BIND 8 en un 30%, al pasar del 20% de los servidores DNS en 2005 al 14% en 2006. También se ha reducido a la mitad el número de estos servidores basados en Microsoft.

Buen uso del DNS
Los efectos que los ataques a los servidores de nombres de dominios causan en las organizaciones pueden ser brutales: todas las funciones relacionadas con Internet fallarán, incluidos correo electrónico, acceso Web, comercio electrónico y extranet.

Para Liu (vicepresidente de arquitectura de Infoblox y coautor de los libros “DNS and BIND”, “DNS and BIND Cookbook” y “DNS on Windows Server 2003”), la criticidad de los sistemas DNS ha aumentado en los últimos años al haberse vinculado estos sistemas a aplicaciones como autenticación del correo electrónico. “Además del uso del sistema para aplicaciones como Active Directory, estándares como XPF permiten almacenar información en el DNS para indicar a los servidores de correo qué direcciones IP tienen permiso para enviar email, o utilizar mecanismos como DKIM, una fusión de las tecnologías DomanKeys de Yahoo e Identified Internet Mail de Cisco, que autentica mensajes de email. Si alguien recibe un mensaje mío de firma DKIM, puede estar seguro de que yo soy el emisor”.

Dado que todas estas tecnologías descansan sobre técnicas del servidor de nombres de dominio, Liu sugiere que “todas las empresas deberían evaluar sus sistemas DNS y tomar las medidas para hacer esta arquitectura fiable y segura”. Para ello, y basándose en su dilatada experiencia en el mundo de los dominos –Liu gestionó durante cinco años hp.com, uno de los mayores dominios corporativos del mundo–, el vicepresidente de Infoblox propone una serie de mejores prácticas para evitar las vulnerabilidades del DNS, así como los problemas de configuración. Una de ellas es la desactivación de la recursión en los servidores de nombres autorizados externos para evitar ataques DoS y en los forwarders, así como la limitación de la recursión tanto como sea posible, si no se pueden separar los servidores de nombres autorizados y los forwarders.
También es aconsejable ocultar el servidor de nombres maestro primario para que no aparezca en el registro de servidores de nombres, y la utilización de appliances seguros y reforzados que permitan fáciles actualizaciones, en vez de sistemas basados en software operativo y servidores de propósito general. Igualmente, conviene monitorizar los servidores de nombres para comprobar no sólo que están operativos, sino también que están autorizados para acceder a las zonas que les han sido asignadas. Asimismo, se puede monitorizar las operaciones del servidor de nombres recopilando datos syslog en un único servidor de registros anfitrión y utilizando herramientas que avisen cuando un servidor registra un mensaje significativo.

Otra buena práctica será filtrar el tráfico hacia y desde sus servidores de nombres externos, así como configurar los clientes DNS (resolvers) con un servidor de nombres de backup, de modo que si falla el primero, las operaciones pasarán al segundo.

Por último, es aconsejable probar las configuraciones y datos de zona modificados antes de ponerlos en producción para descubrir errores inadvertidos. Después de modificar los datos de zona, se puede utilizar named-checskzone, una herramienta de validación de archivos de zona incluida en BIND 9 para chequear errores de sintaxis. Si no se dispone de esta capacidad, hay que configurar un nuevo proceso de nombres para descargar y probar el archivo de datos de zona. También es posible utilizar named-checkconf para comprobar los archivos de configuración o un nuevo proceso de nombres a fin de revisar los archivos named.conf de errores.

Fuente: IDG.es

Cerca de un 95% del correo electrónico es Spam

Cerca del 95% de los mensajes electrónicos enviados en 2007 fueron "spam", según un estudio de una compañía estadounidense especializada en seguridad informática, publicado el miércoles.

El flujo de spam, es decir las comunicaciones electrónicas no solicitadas por los destinatarios y enviadas en masa por agentes publicitarios, estalló en estos últimos años, a pesar de tentativas para restringirlo, según la compañía Barracuda Networks Inc.
La ley US CAN-SPAM estableció en 2004 penas para los "spammers" cuando sus correos ya eran un 70% del total, según Barracuda.

"La guerra contra el spam es una batalla sin fin entre los 'spammers' y los vendedores de sistemas de seguridad", indicó al director de Barracuda, Dean Drako. Para Drako estos últimos "ahora necesitan poner las operaciones de defensa 24 de las 24 horas para controlar continuamente internet y poder ofrecer nuevas soluciones defensivas inmediatamente". Barracuda afirma haber basado su estudio en el análisis de más de mil millones de mensajes electrónicos recibidos diariamente por cerca de 50.000 clientes en el mundo entero. Los "spammers" disimulan hábilmente su identidad enviando mensajes a través de otros sitios, blogs u ordenadores, según Barracuda(agencias).

Via 24horaslibre.com

Garrigues y T-Systems crean Logalty para dotar de la necesaria Seguridad a las Transacciones Online

Madrid, 13 de diciembre de 2007.- T-Systems, del Grupo Deutsche Telekom, líder en tecnologías de la información y la comunicación, y Garrigues, líder en asesoramiento jurídico sobre nuevas tecnologías, han creado Logalty, una empresa de generación y custodia de pruebas electrónicas que dota de la necesaria seguridad a las transacciones online.
Junto a ellas también participa en esta iniciativa la Agencia Notarial de Certificación (ANCERT), pues Logalty no se limita a la generación y custodia de las pruebas electrónicas en un nodo neutro, sino que encomienda parte de estas actividades a la sociedad mercantil participada por el Consejo General del Notariado.

Uno de los principales problemas jurídicos que se plantean en la actualidad está relacionado con la prueba electrónica. Efectivamente cada vez con más frecuencia se necesita acreditar los hechos acaecidos con las pruebas electrónicas que generan los sistemas informáticos.

Las pruebas electrónicas tienen una serie de características que las diferencia de las pruebas convencionales: son muy volátiles (cualquiera puede modificarlas o suprimirlas para que apoyen su relato fáctico) y muy intrusivas (para obtener esas pruebas muchas veces es necesario vulnerar derechos fundamentales y más concretamente, el derecho a la intimidad).

Por este motivo desde hace varios años se viene estudiando la forma de obtención de pruebas electrónicas válidas en el entorno comentado. Fruto de estos estudios nace Logalty como generador y custodio de las pruebas electrónicas que acreditan envíos, transacciones y/o accesos a los sistemas informáticos. Consiste básicamente en la generación y custodia de dichas pruebas electrónicas en nodos neutros (ajenos a las relaciones jurídicas entre las partes).

En este contexto es también fácil entender el concurso de la Agencia Notarial de Certificación en esta iniciativa; Logalty no se limita a la generación y custodia de las pruebas electrónicas en un nodo neutro sino que encomienda parte de estas actividades a la sociedad mercantil participada por el Consejo General del Notariado.
Logalty se constituye como Tercera Parte de Confianza, según lo previsto en la vigente Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico, Ley 34/2002, de 11 de julio, en su artículo 25, prestando servicios tales como “notificaciones electrónicas certificadas” y “formalización electrónica de contratos”.

Fuente: www.is-portal.com/index.php?id=2357

Manual de Buenas Prácticas del Business Continuity Institute (BCI)

Como se habia publicado en el post "II Jornada Internacional de ISMS Forum Spain", ISMS Forum Spain ha traducido y editado por primera vez en castellano el Manual de Buenas Prácticas del Business Continuity Institute (BCI).

Se trata de una completa guía de gestión, actualizada en 2007, para instaurar Buenas Prácticas Globales en Gestión de Continuidad de Negocio (GCN) y entender sus principios de forma integral. Este trabajo ha sido posible gracias al patrocinio de HP. ISMS Forum Spain edita este manual en el contexto del convenio de colaboración que recientemente ha firmado con BCI Spain, y con la certeza de que será de gran utilidad para todos sus socios.

Top 10 Web application vulnerabilities for 2007 (OWASP)

Totally re-written edition lists the most serious web application vulnerabilities:

• A1 - Cross Site Scripting (XSS)
• A2 - Injection Flaws
• A3 - Malicious File Execution
• A4 - Insecure Direct Object Reference
• A5 - Cross Site Request Forgery (CSRF)
• A6 - Information Leakage and Improper Error Handling
• A7 - Broken Authentication and Session Management
• A8 - Insecure Cryptographic Storage
• A9 - Insecure Communications
• A10 - Failure to Restrict URL Access

Fuente: OWASP (Open Web Application SecurityProject) - Top Ten web application vulnerabilities.

Innovadores SC Magazine 2007: Control de Acceso

Bradford Networks, un proveedor líder de soluciones de control de acceso a redes (NAC), ha sido nombrado Innovador SC Magazine del Año por su solución NAC Director, un motor de gestión de políticas de control de acceso basado en el agente fuera de banda que mejora los activos de red existentes.
En el ejemplar de diciembre de 2007 de la revista, el redactor de tecnología de SC Magazine Peter Stephenson escribió: "Tácticamente, NAC Director impulsa el refuerzo de la política de control de acceso al margen de la empresa donde pertenece. Estratégicamente, NAC Director mejora los activos en la red para mantener el ritmo de la arquitectura de seguridad única de cada empresa".

SC Magazine también aplaudió la facilidad de uso y visión de NAC Director para ofrecer la arquitectura altamente escalable necesaria para apoyar el número de dispositivos y redes inalámbricas.

Otros premiados:

• Identica Vascular Biometrics.
• Bradford Networks
• Passlogix v-GO SSO
• Fischer Identity Suite
• Entrust Identity Guard

Créditos
Industry innovators 2007: Access control
Bradford Networks nombrado Innovador SC Magazine del Año

Tao-IT promueve un nuevo concepto en seguridad informática

La iniciativa apunta a analizar el nivel de riesgo de todos los procesos dentro de una empresa, tanto en relación a su personal como instalaciones, para reducir su posible impacto

Tao-IT dio a conocer sus nuevos objetivos y su estrategia en miras al año entrante. La empresa dedicada al desarrollo de soluciones de software apuntará a un nuevo mercado: los sistemas integrados de seguridad tecnológica.

Desde la compañía aseguraron que existe una cultura electrónica al respecto, a lo que deberán sumar el conocimiento sobre sistemas de información. Guillermo Pierazzoli, presidente de la compañía, manifestó que la nueva visión está centrada en "poner al cliente por delante de la marca", "ver qué es lo que quiere, y en base a eso darle soluciones". Para cumplir con esto, impulsarán un concepto que, aseguraron, es único en la Argentina: el Derisking your business, cuyo objetivo es analizar el nivel de riesgo de todos los procesos dentro de una empresa y reducir su impacto.

"Vemos el tema de la seguridad y el riesgo como una cadena. Si uno de los eslabones está flojo, la cadena se rompe. Cada proceso es un eslabón de la cadena, y a todos ellos hay que cuidarlos. Es imprescindible minimizar el riesgo dentro de la empresa", expresó Pierazzoli.

Según el ejecutivo, Tao-IT apuntará a los sistemas integrados de seguridad tecnológica. ¿De qué se trata? Que en una sola solución interactúen varios dispositivos, la combinación de las oportunidades de aspectos físicos, y electrónicos. Por ejemplo, Pierazzoli destacó el futuro rol del sistema de reconocimiento facial (capaz de capturar 2.000 puntos del rostro), que a su entender será más preciso que los mecanismos de identificación de huellas dactilares e iris.

Sus alcances pueden ser de los más variados: desde supermercados y estacionamientos de centros comerciales, hasta la Ciudad de Buenos Aires (con quienes están en conversaciones). Sus posibilidades, sostuvo, dependen exclusivamente de las redes con las que se trabaje. Además, el ejecutivo señaló que mientras el sector público recién está empezando a entender las dimensiones de estas aplicaciones, en el ámbito privado ya tomaron conciencia de su importancia. "Antes la seguridad recaía en la figura de una persona, pero ahora las empresas se prestan a nuevos sistemas. Conocen los dispositivos, y tienen preguntas certeras".

Con una facturación anual de 6 millones de dólares, Tao-IT espera registrar un crecimiento del 25% durante el 2008, además de consolidarse, aumentar su base de clientes e imponer el concepto Derisking your business. "Apuntamos a posicionarnos como una empresa líder de seguridad en informática", sostuvo Pierazzoli. -->

Via CanalAr

Humor: Usabilidad

Link relacionados

- Sistema para proteger trabajos en Internet
- Celebración del Día Mundial de la Usabilidad 2007
- ¿Gestionamos o tapamos agujeros?

Tendencias en seguridad informática para el 2008 (Symantec)

Symantec dio a conocer su visión acerca de las tendencias en seguridad informática para el próximo año.

• Evolución de bots: Esperamos que los bots evolucionen y se diversifiquen en su manera de operar. Quizás, por ejemplo, podríamos llegar a ver situaciones como sitios de phishing hospedados por computadoras con bots.
• Amenazas avanzadas de Web: A medida que el número de servicios Web aumenta y los navegadores interpretan de manera uniforme del lenguaje de códigos como JavaScript, Symantec espera que el número de amenazas basadas en Web se incremente.
• Plataformas móviles: El interés en seguridad móvil está en su punto más alto. A medida que los teléfonos se vuelven más complejos, más interesantes y más conectados, se espera que los atacantes tomen ventaja de ello.
• Evolución del Spam: Symantec espera ver que el spam continúe evolucionando para evadir los sistemas tradicionales de bloqueo y hacer que los usuarios abran los correos no deseados.
• Mundos virtuales: Symantec espera que mientras continúe aumentando el uso de mundos virtuales y los juegos en línea que involucran a múltiples jugadores se hagan más populares, surgirán nuevas amenazas ya que los criminales, phishers, spammers y otros delincuentes digitales pondrán su atención en estas nuevas comunidades.
• Campañas electorales: Especialmente en Estados Unidos, a medida que los candidatos políticos utilicen Internet como parte de sus campañas no deben perder de vista que existen diversos riesgos de seguridad asociados a las TI. Estos riesgos incluyen, entre otros, la difusión de donaciones en línea para las campañas; el envío de información errónea; fraude; phishing; y la invasión de la privacidad.

Via Mundo en linea.cl

Las educación, clave para mejorar la seguridad informática según el 48% de las PYMEs

La seguridad informática sigue siendo una de las grandes asignaturas pendientes de la empresa, especialmente en el caso de las pyme. Las inversiones en esta área suelen estar directamente relacionadas con el tamaño de la empresa y se destinan principalmente a la adquisición de programas y equipos específicos. Sin embargo, un estudio de GFI desvela que el 48% de las pequeñas corporaciones apunta a la educación como clave para mejorar la seguridad en la red.

La seguridad informática y la pequeña y mediana empresa (pyme) forman un binomio que rara vez llega a entenderse del todo. Muchos empresarios siguen considerando la protección de sus equipos tecnológicos como un gasto relativamente prescindible hasta el punto que, por ejemplo, en España el 25% de las pequeñas compañías considera que no se trata de un tema relevante, pese a que el mismo porcentaje de corporaciones ha tenido que para su negocio en algún momento debido a ataques informáticos. Esta mentalidad se refleja en unas partidas menores de 500 euros anuales en la materia en más del 60% de los casos en España y del 50% en Europa. Además, normalmente este capital se destina a la compra de de material específico, que suele traducirse en programas antivirus, suites de seguridad e incluso hardware especializado.

El capital humano suele quedarse habitualmente fuera de la partida de gastos informáticos cuando su importancia para salvaguardar la organización puede ser fundamental. Un reciente estudio llevado a cabo por el desarrollador de software de seguridad GFI desvela que cerca de la mitad de las pyme estadounidenses (que en muchos casos marcan la pauta que después se traslada a Europa) creen que un mejor conocimiento de los asuntos de seguridad y su mayor implicación en la configuración de las Tecnologías de la Información (TI) de la empresa contribuirían a incrementar la seguridad de las redes. En este sentido, el informe no excluye a los altos cargos, ya que un cuarto de los encuestados afirma que la dirección debería ser más consciente de las cuestiones y amenazas a la integridad informática de la compañía.
El estudió se llevó a cabo a través de una encuesta realizada a 455 ejecutivos de TI pyme de EE.UU., según el cual, el 48% afirmaron que el conocimiento de asuntos de seguridad entre los empleados, que también es considerado es eslabón más débil de la cadena, fue un factor clave a la hora de desarrollar una mejor seguridad general. La investigación también sacó a relucir que los empleados no son las únicas personas que necesitan ser educadas en cuestiones de seguridad. Así, uno de cada cuatro ejecutivos de TI sostiene que la dirección debería tener una mejor comprensión de las cuestiones de seguridad para poder influir en el nivel general de seguridad de las redes y, posiblemente, en el alcance de las medidas de seguridad que podrían ser implantadas. Sólo el 10% de las pyme afirmaron que necesitarían más recursos humanos, mientras que el 12% señalaron que este problema mejoraría si contaran con un mayor presupuesto.

La encuesta muestra que cuatro de cada diez compañía consideran que sus redes no están suficientemente preparadas ante las amenazas a su seguridad, especialmente frente a los virus informáticos. Sin embargo, estos no ocupan el primer lugar en los temores diarios de los empresarios, que en el 71% de los casos están más preocupados por las caídas del sistema y dedican su tiempo a cuestiones de seguridad. Mientras, otro 51% apunto al soporte al usuario como su principal quebradero de cabeza en el día a día.

Andre Muscat, director de Ingeniería de de GFI, explica que “los usuarios de ordenadores pueden considerarse como la menos predecible y controlada vulnerabilidad de seguridad. En la mayoría de los casos, una falta de educación y un desconocimiento de los principios y procedimientos básicos de seguridad son las principales causas de las vulnerabilidades en lugar de la actividad maliciosa – aunque esto último no se puede ignorar. Se necesita muy poco para que se produzca una vulneración de la seguridad”. De hecho, desde su punto de vista. “Hoy los administradores de TI tienen que dedicar más tiempo y recursos a encargarse del soporte al usuario final. La proliferación de dispositivos de consumo y el creciente número de empleados que utilizan ordenadores portátiles, dentro y fuera de la oficina, han ampliado el tamaño de la red y con ello el incremento asociado en las amenazas. Como de la misma forma ha aumentado la carga de trabajo de los administradores de TI en las pyme”.

Desde una perspectiva financiera, la encuesta muestra que el gasto en medidas de seguridad fue relativamente bajo, ya que el 55% de las pyme afirmaron haber gastado en seguridad menos del 10% de su presupuesto de TI. Por su parte, un 38% de los encuestados destinó entre un 11% y un 30% de su partida tecnológica a proteger sus bienes informáticos, en tanto que sólo l 2% admitieron haber gastado más de la mitad del presupuesto en seguridad. Lo más alarmante en estos casos es que, pese a la escasa inversión, el 77% de las pequeñas y medianas corporaciones cree que destina suficiente dinero para cubrir sus necesidades en este campo, al que hay que sumar un 50% de los encuestados que encontró difícil convencer a sus jefes de la necesidad de invertir en soluciones de seguridad, por sólo un 15% que lo consideró muy fácil.
Muscat apunta que las reticencias de la dirección a gastar más en protección pueden deberse a que se les está tratando de vender una solución que no se encuentra entre sus compras habituales. En este sentido, el ejecutivo precisa que “la mayoría de directivos están familiarizados con los productos de seguridad tradicionales, particularmente anti-virus, anti-spam y cortafuegos. Los administradores de TI encuentran pocos problemas comprando estos productos, sin embargo convencer a la dirección de gastar en gestión de vulnerabilidad, administración de registros de sucesos y soluciones de administración y archivado de correo es todo un problema. Y esto bien podría explicar por qué el 25% siente que la dirección necesita más conocimiento de las amenazas de seguridad que encaran las empresas hoy en día”.

De acuerdo a la encuesta, las compras por parte de pyme en EE.UU. en los próximos seis meses incluyen soluciones de monitorización de red (31%), administración de correo (29%), análisis de red (26%) y anti-virus (26%). El 15% planean implantar soluciones de seguridad endpoint o de gestión de parches (16%) en los próximos seis meses.

NP-J. Trecet, Redacción Aprendemas.com 11/12/2007

Revista HackMex Ezine #1

HackMex es un espacio donde exponer temas de Seguridad Informática, Electrónica, Telecomunicaciones y Tecnología en general, en todas sus facetas, con el simple fin de difusión libre del conocimiento para el administrador de las tecnologías digitales del mundo moderno, dejando a conciencia del mismo, la utilización y manejo de este conocimiento.

Contenido de la primera edición:

• HACKING FOR DUMMIES
• MANUAL PARA DECIFRAR CLAVES MD5
• QUE HACER DESPUES DE CRACKEAR LA WEP
• DENEGACION DE SERVICIO MODEMS 2WIRE
• ARTICULOS DE SEGURIDAD
• MAN IN THE MIDDLE 07
• SUSTITUTO PARA XP_CMDSHELL EN SQL SERVER
• XSS EN SISTEMAS DE CORREO
• XSS EN PRODIGY WEBMAIL
• XSS EN YAHOO MAIL
• XSS EN HOTMAIL
• HOTMAIL ANTIVIRUS ATTACHMENT BYPASS V2
• HOTMAIL CROSS SITE MESSAGE EXPLORER V2
• WINDOWS LIVE MAIL INBOX BYPASS
• INSTALACION DE OPENBSD 4.0GADGETS
• LIBERACION DE CELULARES MOTOROLA (V3)
• MODEAR XBOX USANDO UXE INSTALLER

Descarga # 1

Tool: Burp suite v1.1 (Test de Seguridad en aplicaciones Web)

Burp Suite version 1.1 es la ultima versión de la plataforma integrada que es útil para realizar Test de intrusión en aplicaciones Web. La herramienta permite combinar técnicas manuales y automáticas para enumerar, analizar, atacar y explotar aplicaciones Web.

La suite esta formada por los siguientes componentes:

- Burp intruder
- Burp spider
- Burp sequencer
- Burp repeater
- Burp proxy. Proxy Spoofing / Transparent Proxy

Dichos componentes trabajan juntos con eficacia para compartir la información y permitir conclusiones identificadas para formar la base de los ataques posibles.

Nuevas características de la versión 1.1:

• Improved analysis of HTTP requests and responses wherever they appear, with browser-quality HTML and media rendering.
• Burp Sequencer, a new tool for analysing session token randomness.
• Burp Decoder, a new tool for performing manual and intelligent decoding and encoding of application data.
• Burp Comparer, a new utility for performing a visual diff of any two data items.
• Support for custom client and server SSL certificates.
• Ability to follow 3xx redirects in Burp Intruder and Repeater attacks.
• Improved interception and match-and-replace rules in Burp Proxy.
• A "lean mode", for users who prefer less functionality and a smaller resource footprint.

Download Burp Suite:
Burp Suite is free to use for personal and commercial purposes. Burp Suite includes all of the free Burp tools, and a demo version of Burp Intruder.
Burp Suite is a Java application, and runs on any platform for which a Java Runtime Environment is available. It requires version 1.5 or later.
Both archives contain the same files, which will run under both Windows and Linux.
burpsuite_v1.1.zip
burpsuite_v1.1.tar.gz

Link relacionados:
Terminos y condiciones de uso
Screenshots
Web Oficial

Presentación de Evento " Mejores Prácticas de Seguridad Informática "

Presentacion reducida para conferencia via LiveMeeting para Mexico, Diciembre 2007.

| View | Upload your own

Descarga del archivo PPT

Responsabilidad de la seguridad en el puesto de trabajo

Virus, troyanos, robo de información crítica, ataques de denegación de servicio, y malware en general son amenazas, que en los últimos tiempos se están convirtiendo en incidentes casi cotidianos.

Los datos sobre incidentes y vulnerabilidades detectadas, según el CERT, no son nada halagüeños, duplicándose en los últimos años. Por otro lado, y apoyando las cifras publicadas, se demuestra día a día que las medidas técnicas no son suficientes para solventar incidentes relacionados con la seguridad, aunque la apariencia, a veces pueda engañarnos, y la situación nos convierta en más vulnerables por la sensación y confianza en la seguridad alcanzada.Políticas y Estándares
En los últimos años estamos asistiendo al notable éxito de distintos estándares para implantar modelos estratégicos de seguridad de la información; COBIT, COSO, CMMI o el binomio ISO 17799-ISO 27001 como unos de los estándares con mayor éxito y mayor aceptación a nivel mundial. Si analizamos algunos de estas normativas, uno de los factores que deberían establecerse de inicio son el conjunto de políticas, principios, y requisitos de cumplimiento en la Empresa, que establecerán el enfoque en la gestión de la seguridad. Dichos documentos deberán ser publicados y conocidos por todos los empleados, estableciendo mediante una redacción sencilla y fácil de entender, las normas que se consideran necesarias para el cumplimiento de los requisitos establecidos, junto con las responsabilidades generales y específicas en materia de gestión de seguridad, incluyendo el mecanismo a seguir para comunicar cualquier incidente. Por último, y no por ello menos importante, será necesario establecer las consecuencias de las violaciones de la política y normas de seguridad que la Dirección haya aprobado. Los diversos estándares de seguridad definen como punto clave el establecimiento de roles, responsabilidades y funciones para todos los empleados, y la forma de establecer estas premisas de seguridad para cualquier empleado contratado por terceras partes con acceso a la información de la Empresa.

A pesar de las medidas técnicas, los recursos necesarios y cualquier política o norma que la Empresa pueda elaborar y obligar a cumplir, uno de los activos más importantes en todo enfoque de seguridad es el propio personal y cualquier trabajador que trate información y maneje los recursos según las atribuciones y responsabilidades asignadas. Esto que podría parecer evidente, no en todas las Organizaciones es analizado y tratado con la misma relevancia que la implantación de cualquier herramienta técnica que afecte a los sistemas, como puede ser un firewall, un antivirus o un sistema de control de acceso al CPD. Para conseguir que los empleados asuman tanto sus responsabilidades como las normas y la política establecida, es vital una tarea continua de concienciación, educación y formación. La concienciación deberá recordar la política y las responsabilidades de manera permanente, bien mediante la publicación de folletos o jornadas divulgativas, y su finalidad es que los individuos puedan reconocer los problemas e incidentes de seguridad, y responder de acuerdo a su rol y puesto de trabajo. La formación se deberá centrar en distintos aspectos, como las políticas específicas, responsabilidades legales, uso correcto de los recursos y medidas técnicas, proceso disciplinario, etc. Cualquier actividad organizada deberá llevarse a cabo en función de los perfiles profesionales o de los roles definidos.

Requisitos Legales
Uno de los enfoques necesarios, en el ámbito de la seguridad, lo encontramos en los requisitos legales obligatorios que afectan a las Empresas en el uso de nuevas tecnologías y en el tratamiento de los datos y de la información, como por ejemplo la LOPD (Ley Orgánica de Protección de Datos) para asegurar todo lo concerniente al tratamiento de datos personales o SOX (Sarbanes-Oxley) que permite asegurar el correcto procesamiento de la información, las transacciones y el acceso autorizado a la información financiera de las Empresas que cotizan en la Bolsa de EEUU. El Reglamento de Medidas de Seguridad (RMS) de 1999, cuya finalidad es el establecimiento de las medidas de índole técnico y organizativo para la protección de los ficheros automatizados que contengan datos de carácter personal, articula los mecanismos para definir responsabilidades en el tratamiento de los datos mediante el artículo 9 (Funciones y Obligaciones del Personal), que a través de su primer punto, obliga a las Empresas a definir los perfiles y las funciones asignadas a cada uno de ellos en el acceso a los sistemas de información, y a través del segundo punto, establece la obligación de proporcionar los mecanismos necesarios para que el personal conozca las atribuciones definidas, y las consecuencias en que pudiera incurrir en caso de incumplimiento. El establecimiento de responsabilidades y su comunicación eficiente a los empleados debe uno de los primeros pasos en la cadena de la seguridad que afecta al usuario final que trabaja con la información.
Como parte de las obligaciones contractuales, los empleados deberían aceptar y firmar los términos y condiciones de su contrato de trabajo, que debería establecer sus responsabilidades así como las de la Empresa en lo relativo a seguridad. Las condiciones y términos del contrato laboral, en cualquiera de sus modalidades, debería contener:

• La política general definida y aprobada por la Dirección.
• Un compromiso de confidencialidad y no revelación de la información que tratarán durante su trabajo en la Empresa.
• Responsabilidades específicas relativas a normativas que afectan a la Empresa (LOPD, LPI, etc.)
• Responsabilidades para la clasificación de la información y el tratamiento de la misma.
• Responsabilidades para el manejo de la información recibida por otras Empresas o terceras partes.
• Responsabilidades del tratamiento de la información fuera de las instalaciones habituales.
• Acciones a tomar en caso de no respeto de los requisitos de seguridad por parte del empleado.

Conclusiones
Delimitadas tanto las normativas legales como voluntarias que permiten establecer las responsabilidades en el ámbito de la seguridad en el puesto de trabajo, queda claro que los sistemas, por complejos y seguros que parezcan, están en manos de los usuarios. Se deben establecer mecanismos para dar a conocer las normas generales y los requisitos obligatorios, pero sin olvidar que es el usuario el que trata la información y el que debe poseer el conocimiento adecuado y la formación específica para que podamos confiar todos los procedimientos y tecnología adquirida por la Organización en la consecución de un entorno fiable y seguro.

Fuente:Por Antonio Martínez (seguridadinformatica.es)

Seguridad Perimetral, Gestión Unificada Control de Amenazas

El avance de la tecnología, ligado a amenazas cada vez más complejas, ha provocado que las soluciones de seguridad perimetral avancen a una nueva generación, cuyo exponente más destacado aparece en las distintas gamas de UTM (Unified Threat Management)

Tipos de protección
La seguridad adquiere progresivamente un mayor protagonismo en la infraestructura de IT de cualquier organización y es tendencia generalizada la planificación de políticas que preserven sus sistemas de información.
Dependiendo de la criticidad del entorno y de la preocupación por la seguridad de la compañía existen diferentes tipos de protección para asegurar los activos de la misma. José Manuel Crespo, director de Marketing de Producto de Panda Software, y Juan Grau, director regional de Ventas de Radware Iberia, distinguen dos tipos de seguridad: física y lógica. Por seguridad física se entiende el conjunto de elementos que constituyen el control de accesos al negocio (puertas, cámaras de vigilancia, etc.), así como el control de acceso de las personas autorizadas por medio -por ejemplo- de controles biométricos.
Por el contrario, cuando hablamos de seguridad lógica nos referimos a la relacionada con la protección de la información y el acceso a sus fuentes. Esta categoría se compone a su vez de informática personal (a nivel de usuario); seguridad de servicios comunes (servidores, red, etc.); seguridad de acceso a la información e identificación de usuarios, y seguridad perimetral, que es el tema en el que centraremos este reportaje.

Seguridad perimetral
La seguridad perimetral basa su filosofía en la protección de todo el sistema informático de una empresa desde "fuera", es decir, establecer una coraza que proteja todos los elementos sensibles frente amenazas diversas como virus, gusanos, troyanos, ataques de denegación de servicio, robo o destrucción de datos, hackeo de páginas web corporativas, etcétera.
Toda esta tipología de amenazas posibles ha fomentado una división de la protección perimetral en dos vertientes: a nivel de red, en el que podemos encontrar los riesgos que representan los ataques de hackers, las intrusiones o el robo de información en las conexiones remotas; y a nivel de contenidos, en donde se engloban las amenazas que constituyen los virus, gusanos, troyanos, spyware, phishing y demás clases de malware, el spam o correo basura y los contenidos web no apropiados para las compañías. Esta clara división unida al modo de evolución de las amenazas en los últimos años ha propiciado que el mercado de seguridad perimetral se centrase en la creación de dispositivos dedicados a uno u otro fin.
El firewall/VPN es el tándem histórico de seguridad perimetral y a él se han ido incorporando los sistemas IDS (Intrusión Detection Systems) e IPS (Intrusión Prevention Systems) para controlar el acceso a los sistemas de una empresa desde el exterior. En principio, el firewall o cortafuegos se necesita para controlar y monitorizar las comunicaciones. Además, se encarga de examinar las acciones de las aplicaciones que se conectan a la red y los puertos de las máquinas (comunicaciones P2P, por ejemplo). A este respecto, Natalia Gómez del Pozuelo, directora de Marketing y Distribución de Optenet, señala que "muchos protocolos presentan agujeros de seguridad que pueden comprometer la red corporativa y los datos confidenciales que ésta contiene. El bloqueo clásico de un cortafuegos se realiza a través de puertos, lo idóneo es tener una solución que permita reconocer aplicaciones independientemente de éstos".

En esta misma línea se manifiesta Eusebio Nieva, director técnico de Check Point en España y Portugal, quien además indica que el cambio principal que ha experimentado la seguridad perimetral en los últimos años ha sido "una evolución de las defensas, de ser puramente nivel 3 a inspeccionar los protocolos de aplicación, la corrección de los mismos, el contenido, el comportamiento, etcétera. Es decir, las defensas han ido evolucionando a medida que la sofisticación y peligrosidad de las amenazas lo han hecho".

Por otro lado, y con el fin de garantizar la protección a nivel de contenidos, vieron la luz los appliances basados en gestión de contenidos seguros SCM (Secure Content Management), que ofrecen una protección altamente especializada, de forma desatendida y sin influir en el rendimiento de las comunicaciones de la red corporativa.

Seguridad de contenido
Todas las organizaciones, con independencia de su tamaño y del sector al que se dediquen, están presenciando aumentos significativos en la cantidad y severidad de ciber-amenazas que van más allá de las de "tipo conexión", para convertirse en "ataques de contenido". Y es que, hoy en día, las principales amenazas provienen de este modelo de ataque, el cual no requiere de conexiones sostenidas para lograr sus objetivos.
Este tipo de amenaza se basa en el uso de contenido malicioso o agentes que, una vez introducidos en el ordenador, son capaces de actuar por sí mismos y propagarse internamente sin necesitar ningún tipo de conexión con el atacante original. El formato puede ser de virus, gusano, active web content o troyano.
El principal desafió ante amenazas basadas en contenido es que casi siempre se introducen dentro de las organizaciones por vías aparentemente inocuas, actividades tales como navegación web o intercambio de correo electrónico. Además, "todo apunta a que esta tendencia continuará en la medida en que las organizaciones precisen de comunicaciones en tiempo real -aplicaciones web y mensajería instantánea- como mecanismos competitivos en el ámbito empresarial", indica Emilio Román, director general de Fortinet.
Sin embargo, las amenazas actuales más sofisticadas utilizan combinaciones de ataques de red con los de contenido para explotar las vulnerabilidades de sistemas operativos y aplicaciones de amplia difusión, comprometiendo así a las redes en las que residen y sus recursos, con resultados en ocasiones devastadoras. Igualmente, los ataques combinados utilizan las peores características de virus, gusanos, troyanos y código maligno contra las vulnerabilidades de servidores e Internet y se transmiten y extienden a través de las redes con una velocidad sin precedentes, e implican costes ingentes para una rápida recuperación.
Nimda y Red Code fueron los primeros ataques combinados en tener éxito. Éstos utilizaron múltiples métodos y técnicas, y fueron capaces de replicarse rápidamente causando importantes daños.
Mientras que las defensas contra amenazas de conexión han dependido tradicionalmente de sistemas desplegados en la red, tales como cortafuegos, las primeras respuestas a ataques de contenido se basaron en software de aplicación instalado en ordenadores, como por ejemplo antivirus personales y software de detección de intrusiones basadas en host.
En opinión de Emilio Román, los fabricantes de seguridad han respondido al cada vez mayor número de amenazas desarrollando soluciones parciales. "Aunque los firewalls, VPNs e IDSs son efectivos proporcionando protección a nivel de red, no cubren las necesidades de protección actuales en los ámbitos telemáticos: miran solamente las cabeceras del paquete (no miran el interior); no pueden comprobar el contenido del paquete en tiempo real y procesarlo para identificar virus, gusanos u otras amenazas, y por lo tanto, son totalmente ineficaces contra ataques basados en el contenido; como consecuencia de lo anterior, los virus, gusanos y troyanos transmitidos por correo electrónico y tráfico http franquean fácilmente los cortafuegos y VPN pasando a menudo desapercibidos por los sistemas de detección de intrusiones". En definitiva, el directivo asegura que la defensa contra ataques combinados está más allá de la capacidad de las soluciones convencionales de seguridad de red, y que "los firewalls, servidores VPN e IDSs fallan a la hora de proporcionar protección completa, lo cual ha acelerado la necesidad de implantación de soluciones de defensa en profundidad, a nivel de contenido".
Esta misma opinión la han manifestado la mayoría de los profesionales consultados por este medio, que si bien alegan que de nada sirve la seguridad interna de la red si se descuida la perimetral, al mismo tiempo razonan que tampoco valdría de mucho tener una puerta cerrada con llave si, una vez dentro, disponemos de todos los bienes de valor al alcance de cualquiera.

"La seguridad interna, la autentificación del usuario, los sistemas de encriptación de datos y un largo etcétera son igualmente necesarios, y deben complementarse sin perjudicar al flujo de trabajo con otras técnicas de seguridad perimetral", fundamenta Juan Carlos Pascual, director técnico de IpsCA.
Por tanto, se ha notado una clara evolución en el mercado desde lo que llamamos seguridad perimetral a una defensa en profundidad. Ahora hay una orientación clara hacia la integración de los sistemas de detección de intrusos en dispositivos típicamente perimetrales, como los cortafuegos o dispositivos pertenecientes a los cores de red como pueden ser los switches. De ahí el auge de soluciones conjuntas que combinan antivirus, antispam, firewall y diversos mecanismos más.
*** De la misma manera, ya no es suficiente con asegurar la red de una empresa, sino que también debemos preocuparnos porque ningún empleado introduzca ficheros infectados, o se conecte con un dispositivo móvil no seguro que ponga en peligro al resto de la red. Y es que, como advierte Andrew Bartram, director EMEA de Bluesocket, "las redes wireless LAN utilizan ondas de radio que traspasan los límites físicos de una organización, como es el caso de oficinas o edificios". Por eso, añade, "son necesarias soluciones que limiten la visibilidad, los accesos a las infraestructuras wireless de una empresa y puedan bloquear dispositivos externos de acceso a las redes corporativas o dispositivos internos de acceso a los recursos externos a lo largo de toda la red inalámbrica".***

En palabras de Juan Manuel López, director de Marketing de Mambo Technology, "el reto de los fabricantes se encuentra en la gestión eficiente de la respuesta ante los nuevos ataques que proliferan en la red de redes y en proporcionar a sus clientes firmas actualizadas y efectivas para poder controlarlos. Esto, junto con el desarrollo del hardware especifico como podrían ser las plataformas basadas en ASIC para integrar los diferentes módulos de seguridad (firewall, detectores de intrusiones, antivirus...), será un factor importante dentro del mercado de este sector. Cabe destacar que en entornos extremadamente críticos también se opta por incluir HIDS, es decir detectores de intrusión, a nivel particular, de una determinada máquina para controlar de una manera exhaustiva los accesos a la maquina, sus datos y aplicaciones".

Demanda corporativa
Cada vez más, las empresas Argentinas y españolas se están concienciando de lo necesario que resulta una correcta inversión en seguridad y sí se percibe una apertura del mercado provocada por la aparición de amenazas más generalistas que afectan a todas las compañías por igual, sin distinguir tipos, sectores ni tamaños, y que implican unos costes operativos importantes. Además, el entorno regulatorio ha contribuido a este efecto positivo –como ha ocurrido con la Ley de Protección de Datos Personales-, y el control y el seguimiento de los datos ya no es sólo una práctica de negocio aconsejable, sino obligatoria.
Frente a este panorama, ¿qué servicios y soluciones de seguridad perimetral podríamos decir que son los más demandados? Para responder correctamente a esta pregunta tenemos que volver a distinguir entre grandes y pequeñas corporaciones.
Xavier García, ingeniero de Sistemas de Symantec Iberia, afirma que la gran mayoría de las compañías demandan, sobre todo, soluciones antivirus y protección del correo electrónico, "aunque se están empezando a solicitar cada vez más soluciones de protección para mensajería instantánea". Asimismo, expone que los servicios de monitorización de seguridad también están teniendo mucha aceptación. "Se trata de sistemas que monitorizan todo lo que sucede en las redes y sistemas de sus clientes y en cuanto detectan una anomalía en el sistema envían una alerta para que se inicien los procesos de respuesta más adecuados".
Por su parte, Alfonso Martínez Montero, director técnico de Stonesoft España, apunta que en las grandes cuentas predominan las soluciones integradas que permitan la convergencia de la seguridad con el networking y las comunicaciones. "Se requiere conectividad y acceso seguro desde cualquier punto, disponibilidad permanente y una defensa proactiva que proteja los activos de las empresas", defiende el directivo.

En las empresas pequeñas la situación es diferente. Al no disponer ni de personal dedicado a seguridad TI ni de una partida presupuestaria asignada a tal efecto las pymes tienden a la implantación de sistemas UTM (Unified Threat Management) que garantizan una gestión unificada de las amenazas al incorporar en un solo dispositivo protección anti-malware, anti-spam, anti-phishing, filtrado de contenidos web y además incluyen el Hardenning adecuado, (cortafuegos y VPN preconfigurados) para que una empresa de estas características pueda funcionar.
Precisamente, la consultora especializada en tecnologías de la información IDC, revela que el segmento UTM del mercado de seguridad de los dispositivos dedicados es el que más rápido crece dentro del mercado de appliances de seguridad. Además, la organización estima que en 2008 los sistemas de seguridad UTM habrán alcanzado un 32 por ciento de cuota de mercado, dejando atrás la tradicional autonomía de las appliances firewall/VPN, con un 50 por ciento de la cuota global.
Una solución UTM representa protección completa completa de las redes, tanto a nivel de conexión como de aplicación; menor coste total de propiedad (TCO) no sólo en infraestructura, sino también el asociado a servicios de soporte; mantenimiento y formación del personal de TI; gestión desde plataforma única y centralizada", el director regional de Ventas de Radware Iberia considera que estas herramientas son "a todas luces insuficientes para una gran empresa, donde se requiere la utilización de herramientas específicas y de alto rendimiento en cada área de seguridad, utilizando dispositivos de balanceo como elementos aglutinadores de todas las soluciones".
Por su parte, Eduardo Martín, responsable de Seguridad de Dimension Data, justifica ambas opiniones: "las soluciones integradas simplifican la gestión y operación diarias, además de permitir la concesión de cierta inteligencia a las infraestructuras de seguridad gracias a la interacción y entendimiento entre distintos componentes. En cualquier caso, y obviando los condicionantes operativos, existen escenarios en los que soluciones más específicas se pueden ajustar mejor a las necesidades concretas y por tanto no se puede afirmar directamente que las soluciones integradas sean la panacea para la protección de las grandes empresas".

Resumen de texto fuente: Nuria Rabadán
Imagen: Protección perimetral, gestión unificada de amenazas de Panda SoftwareAppliance GateDefender Integra 100 y 300. www.pandaantivirus.com.ar

Via www.antivirusgratis.com.ar