Recomendaciones de Microsoft sobre Seguridad Informática

Este artículo propone seis recomendaciones que toda compañía debería tener en cuenta para mejorar su seguridad informática. La lista no pretende enumerar los primeros pasos a seguir para enfrentar situaciones críticas, sino sugerir determinadas acciones que hacen a la rutina relacionada con el cuidado de la seguridad.

Conviértase en experto o busque la ayuda de expertos
En términos de experiencia en seguridad, existen dos opciones:
• Contratar a un experto en seguridad (”recurra a un pescador”)
• Educarse para convertirse en experto en seguridad (“aprenda a pescar”)
Ambas opciones tienen sus puntos a favor y en contra. Si bien contratar a un experto puede resultar caro, se trata de un gasto único. Y el sistema de seguridad que un experto puede diseñar e implementar en su empresa la mantendrá a salvo durante un tiempo prolongado.

Por otra parte, convertirse en un experto toma tiempo y exige un compromiso personal elevado cuando se quiere cumplir con ciertas metas, por ejemplo obtener una certificación CISSP. Pero una vez adquirido ese conocimiento, usted puede aplicarlo a lo largo de toda su carrera.

Yo recomiendo que, si usted no es experto en seguridad, contrate a uno que analice su infraestructura, elabore un análisis de riesgos y sugiera la implementación de distintos controles de seguridad. La mayoría de los administradores y ejecutivos ignora con qué bienes informáticos cuentan, cuáles valen la pena o cómo protegerlos. Un experto en seguridad independiente puede proveer esta información de una manera muy eficiente.
Existen distintos criterios que rigen la contratación al experto apropiado.

A continuación figuran algunas preguntas que usted debería hacerle a un posible candidato antes de contratarlo:

• ¿Tiene experiencia con el sistema operativo que utiliza mi empresa? Por ejemplo, en caso de utilizar software Microsoft de manera extensiva, ¿posee certificaciones Microsoft en seguridad?
• ¿Maneja certificaciones de seguridad estándares, por ejemplo la certificación CISSP?
• ¿Cuántos años trabajó como especialista en seguridad informática? Usted querrá contratar a alguien con experiencia práctica.

Además, como cada vez que decide contratar algún servicio, solicite un curriculum vitae o una lista de antecedentes laborales y verifique los datos allí vertidos. De esta manera usted podrá estar seguro de que está contratando a alguien capaz de realizar un buen trabajo y de proteger los secretos de la organización que usted gerencia.

Entienda su negocio
Proteger lo que uno no comprende es una tarea complicada. Por ejemplo, usted puede poseer sólidos conocimientos sobre seguridad y obtener un trabajo que le exige administrar los bienes TI de un bufete de abogados. Para cumplir con sus tareas, debe estar al tanto de cierta información, por ejemplo:
• Qué información es valiosa para la compañía
• Qué documentos se encuentran protegidos por la relación abogado-cliente
• Qué regulaciones gubernamentales y/o corporativas se aplican a la infraestructura TI de la corporación .

Es necesario conocer bien el negocio antes de poner en marcha cualquier cambio de seguridad. Posiblemente existan controles de seguridad que responden a razones específicas: contractuales, legales o regulatorias. La única manera de comprender el funcionamiento de la infraestructura existente, y de tomar las decisiones apropiadas sobre posibles cambios, es estar familiarizado con los “qué” y los “por qué” de las cuestiones TI y comerciales.

Catalogue sus bienes
Estoy seguro de que usted no conoce todos los bienes informáticos que posee su compañía. Suele suceder. Su empresa incorpora computadoras y dispositivos con asiduidad, en general sin que el departamento TI lo sepa o lo permita. Por ejemplo, es habitual que un empleado lleve su laptop personal al trabajo y que la conecte a la red corporativa. A menudo esa misma persona utiliza una red inalámbrica en su laptop y, si la compañía no usa wireless, el empleado en cuestión instala su propio router inalámbrico. En cambos casos, pone en riesgo la seguridad de la compañía porque se trata de entidades que carecen de la debida autorización y los debidos controles de la red corporativa.
Crear un catálogo informático completo es la mejor manera de detectar riesgos potenciales como éstos. Se utiliza una combinación de herramientas físicas y lógicas capaces de identificar todo lo que se encuentra conectado a la red corporativa. La tarea de catalogar puede automatizarse en gran parte, con herramientas de monitoreo. Por ejemplo Microsoft System Center Configuration Manager (antes conocida como SMS), herramienta basada en agente que exige la instalación de software en cada computadora analizada y que no puede monitorear algunos tipos de dispositivos adjuntos. Existen herramientas que no se encuentran basadas en agentes; esto significa que no exigen la instalación de software en las computadoras analizadas y que, en general, pueden detectar cualquier dispositivo adjunto. Mientras las herramientas basadas en agentes brindan información mucho más rica sobre la configuración del sistema y además permiten administrar la seguridad de esos sistemas, las herramientas no basadas en agentes identifican mejor qué hay en la red.

Bloquee los escritorios
Los usuarios no violan la seguridad de manera intencional, pero suelen generar riesgos de manera involuntaria. Instalan juegos que sus amigos les envían por correo electrónico; visitan sitios Web inseguros, cambian la configuración del sistema para facilitar su trabajo. Este comportamiento tan común provoca infecciones de malware, filtración de datos o robo de identidades. Por suerte es posible mitigar estos riesgos fácilmente, con sólo bloquear la configuración de las computadoras de escritorio.
Esta precaución se encuentra particularmente bien explicada. Existen distintas referencias y herramientas que permiten bloquear los escritorios de las PCs. Por ejemplo, los administradores de Windows XP pueden recurrir a la Guía de Seguridad de Windows XP, y los administradores de Windows Vista, a la Guía de Seguridad de Windows Vista. . Ambas guías proporcionan distintos niveles de seguridad, en función de necesidades específicas, y pueden instalarse fácilmente en la red. Existen guías similares disponibles en el Centro para la Seguridad de Internet y en el Instituto Nacional de Estándares y Tecnología. No importa la guía que elija; use alguna de las dos como punto de partida y el bloqueo de escritorios se llevará a cabo sin inconvenientes.

Bloquee el perímetro
La defensa a fondo –es decir, desplegar más de una capa protectora contra las distintas variantes de ataque– es un aspecto clave para una seguridad efectiva. La protección de redes más tradicional consiste en la creación de un perímetro y en la instalación de defensas robustas en dicho perímetro, con el objeto de mantener a los atacantes alejados de los sistemas informáticos internos. La instalación de firewalls y servidores proxy es el método habitual aplicado en estos casos. Si usted no posee un firewall entre su red e Internet, instale uno. Aunque no sucede siempre, en general los atacantes suelen retirarse cuando se topan con un firewall.

Muchos expertos en seguridad recomiendan eliminar los firewalls porque –sostienen– los atacantes modernos saben desactivarlos. A veces esto es cierto. Sin embargo, si puede instalar fácilmente y sin costos un firewall que proteja a su red de la mayoría de los ataques, no dude en hacerlo. No debería ser su única defensa, pero es un buen control en el que puede confiar.
Existen distintos proveedores de firewalls. Busque un producto acorde con su presupuesto, de fácil instalación y mantenimiento. Existen soluciones “todo en uno”, que también ejecutan funciones de filtro de spam. Desde ya, conviene invertir en un producto que satisfaga tantas necesidades como pueda.


Establezca planes de contingencia
¿Qué sucede cuando un ataque exitoso le tira abajo sus servidores con bases de datos? ¿O cuando a su Proveedor de Internet lo ataca un gusano que inhabilita la conexión a Internet? Los problemas son inevitables; hay que tratar de que no sucedan porque se ideó el plan de contingencia en mal mometo.
Gracias a sus análisis de riesgo (leer Busque la ayuda de expertos), usted sabe qué bienes informáticos son críticos para su negocio. Empiece por esos bienes y cree planes de contingencia (También conocidos como “planes de continuidad de negocios”) para cuando esos bienes no se encuentren disponibles por alguna razón. La implementación de estos planes suele ser cara, así que realice una planificación cuidadosa para asegurarse de que su presupuesto pueda ajustarse a la mayor cantidad de planes posible. Algunos aspectos de los planes de contingencia pueden ser sencillos y económicos; por ejemplo, ejecutar dos aplicaciones en una misma computadora para cuando una de estas máquinas deje de operar por algún motivo. Pero no importa cuán simple o económico sea su plan: asegúrese de que siempre sirva para enfrentar riesgos ya documentados.

Por Mike Danseglio, Gerente de Programación Senior, Seguridad y Aceleradores de Soluciones de Conformidad, Microsoft Corporation

Analizando los logs de Squid con Sarg

Si contamos con un Proxy Squid instalado en nuestro servidor sabremos que unas de las tareas que debemos realizar, será la de analizar los logs que este nos genera.

Es por ello que para poder llevar a cabo esta tarea de una forma mas amigable que la de andar abriendo archivo access.log con el vi, podemos utilizar unas de las tantas herramientas existentes para esta tarea, podemos ver un listado completo de las mismas en www.squid-cache.org/Scripts, si bien existen muchas en esta lista, la que recomienda Emiliano Piscitelli autor del articulo "Analizando los logs de Squid con Sarg" publicado en el numero 3 de la revista TUXINFO es Sarg (Squid Analisys Report Generator), ya que es muy flexible y posee diferentes parámetros, los cuales podremos ir modificando a nuestro gusto y necesidad.

El articulo muestra el proceso de instalación, el proceso de configuración, Iniciando Sarg y Opciones de ejecución.

Para leer el articulo completo descargar la revista:

Descargar TuxInfo (alta calidad) -- Descargar TuxInfo (baja calidad)

Proyecto Grsecurity

Que es grsecurity?

Grsecurity es un enfoque innovador para la seguridad. Es un proyecto que ofrece varios parches al núcleo de Linux que mejoran la seguridad global de su sistema, utiliza: "multi-layered detection, prevention, and containment model". Es licenciado bajo GPL.
Web oficial del proyecto: www.grsecurity.org

Algunas caracteristicas:

• An intelligent and robust Role-Based Access Control (RBAC) system that can generate least privilege policies for your entire system with no configuration
• Change root (chroot) hardening
• /tmp race prevention
• Extensive auditing
• Prevention of arbitrary code execution, regardless of the technique used (stack smashing, heap corruption, etc)
• Prevention of arbitrary code execution in the kernel
• Randomization of the stack, library, and heap bases
• Kernel stack base randomization
• Protection against exploitable null-pointer dereference bugs in the kernel
• Reduction of the risk of sensitive information being leaked by arbitrary-read kernel bugs
• A restriction that allows a user to only view his/her processes
• Security alerts and audits that contain the IP address of the person causing the alert

En el siguiente link se discuten en mas detalle las variadas características provistas por grsecurity.

Link relacionados
- Guía en español de Grsecurity v2 de Gentoo
- Securityfocus

Más seguridad para el protocolo HTTP

La especificación del protocolo HTTP tiene ya más de 8 años, y es ahora, cuando se empieza a trabajar en la seguridad asociada a este protocolo, con la creación de un borrador por parte del IETF. Security Requirements for HTTP.

Los problemas que van a tratar son los mecanismos de seguridad asociados al HTTP o la falta de ellos. :)
Entre otros podemos ver:

• Autenticación HTTP a través de claves de sesión en cookies y formularios HTML.
• Susceptibilidad de las cookies a todo tipo de ataques por parte de intermediarios y mirones.
• Autenticación básica, digest y otros esquemas basados en la capa de transporte.
• Esquemas de autenticación basados en tickets centralizados.
• Web Services. (protocolos basados en XML)
• Posible revisión del protocolo HTTP en un futuro.

Ya hablamos de esto anteriormente, la seguridad en la capa de transporte proporcionada a los protocolos de nivel más alto, como HTTP, o lo que es lo mismo, HTTPS, no es suficiente para los riesgos que existen actualmente en las aplicaciones web.

Este documento cubrirá los mecanismos de seguridad de HTTP como una combinación del transporte seguro y la autenticación de acceso. Su objetivo será concluir con un documento de "Recomendación de las mejores prácticas actuales de la seguridad HTTP".
Hay que ver que en la actualidad se trata únicamente de un borrador inicial y está incompleto. Pero al menos, son buenas noticias, ya que se está trabajando en ello para que tarde o temprano se empiece a implementar. Puede que no sea todo lo que necesitamos, pero al menos es más de lo que tenemos actualmente.
Emilio Casbas, S21sec labs

HoneySpot: The Wireless Honeypot

El portal "Spanish Honeynet Project (SHP)" publico un artículo (en inglés) para aumentar la concienciación y ayudar a la implantación de honeypots inalámbricos o wireless, principalmente centrado en tecnologías 802.11 (WiFi). El artículo proporciona una visión general del diseño y la arquitectura de los honeypots wireless, denominados HoneySpots.

Actualmente SHP esta implantando estas tecnologías, capturando ataques e información relacionada, desarrollando herramientas de análisis, y documentando los resultados.

Sí estás interesado en desarrollar o implantar honeynets wireless, contacta a SHP en project at (removethis)honeynet.org.es. El Spanish Honeynet Project quiere promover este área de investigación, incluyendo múltiples tecnologías inalámbricas, principalmente 802.11 y Bluetooth a día de hoy, con otras futuras incorporaciones como WiMAX.

Descarga del Articulo: "Monitorizando las actividades de los atacantes en redes inalámbricas, Diseño y arquitectura"

Link relacionado:
- Presentación del “Spanish Honeynet Project”, [Pic1] [Pic2]

España: Rastrear el contenido de los mails para personalizar los anuncios vulnera la privacidad

Esta semana, coincidiendo con la celebración el lunes del Día Europeo de la Protección de Datos, se ha conocido que la Agencia Española de Protección de Datos (AEPD) considera que los servicios de correo electrónico de Google, Microsoft y Yahoo! vulneran la legislación española.

La AEPD explica que dichos servicios escanean los correos de sus usuarios con varias finalidades, como prevenir virus informáticos en los ficheros adjuntos y filtrar los correos que se consideran spam. Sin embargo, no es lícito que las compañías rastreen el contenido de los mensajes para personalizar la publicidad en el correo.

Además, la Agencia recibió el año pasado las primeras reclamaciones por parte de personas que vieron vulnerados sus derechos por la inserción de imágenes en YouTube, o el intercambio de archivos a través de programas P2P, como el Emule. AEPD recibió en 2007 unas 900 demandas de tutela, casi el doble que en 2006, lo que evidencia una concienciación cada vez mayor sobre este asunto.

Las tutelas son gratuitas y se refieren al derecho de los ciudadanos a conocer la información personal que se encuentra en poder de entidades públicas, y eliminar o corregir los datos inexactos o irreales.

El 90% de las empresas que protagonizan las demandas de tutelas incumplimiento de la Ley Orgánica de Protección de Protección de Datos de Carácter Personal (LOPD) pertenecen al sector financiero y de las telecomunicaciones, básicamente por la inclusión indebida en ficheros de morosos y la obtención fraudulenta de información personal.

Estas empresas se exponen a sanciones que pueden alcanzar los 600.000 euros en los casos más graves y los 600 en los más leves. La AEPD impuso el año pasado más de 300 multas por vulnerar los derechos en materia de protección de datos.

Via netydea.com

Argentina: Ley 26.343 reforma la ley de protección de datos personales (25.326)

El blanqueo legal de morosos: comentario a la ley 26.343 que reforma de la ley de protección de datos personales, Ley 25.326.

1. Introducción
A fines del año 2007 el Congreso aprobó la ley 26.343, que reforma la ley de protección de datos personales 25.326. La norma se publicó el 9 de enero de 2008 en el Boletín Oficial y entró en vigencia a los ocho días de su publicación. Mediante esta ley se incorpora un nuevo art. 47 a la ley 25.326 de Protección de los Datos Personales. El propósito de esta nota es comentar los antecedentes de la reforma, sus principales aspectos y cómo deberá ser interpretada en la práctica.

2. Antecedentes
Cuando a fines del año 2000 se sancionó la ley 25.326 de protección de datos personales, el Congreso incluyó un “blanqueo de morosos” en el art. 47 por el cual se buscaba “limpiar” los datos negativos de deudores existentes a la época de la sanción de la ley. Esa norma, muy criticada por la doctrina y generadora de una gran polémica , fue observada por el Poder Ejecutivo en ejercicio de la facultad prevista en el art. 83 de la Constitución Nacional y el Congreso nunca insistió.
Luego de la crisis del año 2001, se presentaron diversos proyectos de leyes tendientes a paliar la situación informativa de deudores de entidades financieras que aparecían en situación irregular, informados en bancos de datos de informes comerciales y en la base de datos del Banco Central. En el primer semestre del año 2006 existían mas de una veintena de proyectos de ley con tal finalidad en la cámara de diputados. Los proyectos se debatieron durante todo ese año, e incluso el PEN dictó una prórroga de sesiones a través del decreto 1670/06, que posibilitó que en la cámara baja se aprobara esa reforma en el mes de diciembre de aquel año.
Pero para poder ser tratado, el proyecto de reforma se desdobló en dos proyectos que recibieron aprobación el mismo día en la cámara baja. El primero obligaba a través de la modificación del art. 47 de la ley de 25.326, a eliminar de los registros de las empresas de riesgo crediticio a los morosos que se hubiesen endeudado durante la última crisis económica “siempre y cuando esas deudas hubieran sido canceladas o regularizadas al momento de entrada en vigencia de la presente ley o lo sean dentro de los 180 días posteriores a la misma”. Este es el proyecto convertido en ley que comentamos.
El segundo proyecto de reforma de la ley 25.326 , era una reforma muy amplia y controvertida del art. 26 de la ley 25.326 por la cual se introducían toda una serie de nuevos requisitos para incluir información en bancos de datos de informes comerciales y se encomendaba a la Dirección de Protección de datos personales (que a la fecha no cuenta con recursos suficientes para realizar todas las tareas que le encomienda el art. 29 de la ley 25.326) la creación de un registro de juicios finalizados. De aprobarse, constituirá una reforma integral de la regulación de informes comerciales, en especial del art. 26 de la ley 25.326 .

3. Principales aspectos de la ley 26.343
Como se señaló, la ley tiene un sólo artículo integrado por cuatro párrafos mediante el cual se incorpora un nuevo artículo 47 a la ley 25.326 con la siguiente redacción.

A continuación se comentan los aspectos salientes de la norma.
3.1. Sujetos que deben cumplir con la ley
La norma se aplica a los “bancos de datos destinados a prestar servicios de información crediticia”. La norma coincide con la terminología usada por el art. 26 de la ley 25326 (esta se refiere a “prestación de servicios de información crediticia”) pero su campo es mas amplio porque alcanza a todo aquel que vende informes comerciales .
La norma alcanza también a los bancos y entidades financieras que les informan estos datos, ya que éstos también también deberán cumplir con el mandato legal para que lo dispuesto por el Congreso sentido. Ello surge además del último párrafo del art. 47 que hace referencia a la obligación del acreedor de comunicar (a la empresa de informes comerciales o al BCRA) la cancelación o regularización de la obligación.
Como veremos, la norma también alcanza a las bases de datos que mantiene el BCRA pues en definitiva al haber creado esta base de datos, el BCRA actúa como una central de riesgos de carácter público o estatal.

3.2. Derechos de los titulares de datos frente a esta norma
La ley dispone, un tanto sobreabundantemente, que “toda persona que considerase que sus obligaciones canceladas o regularizadas están incluidas en lo prescripto en el presente artículo puede hacer uso de los derechos de acceso, rectificación y actualización en relación con lo establecido (en esta norma)”.
Está claro que si la norma se inserta en el art. 47 de la ley 25.326 tales derechos integraban el plexo de recursos que dispone el titular de los datos personales. Pero la aclaración ayuda al interprete a concluir que el incumplimiento de estas disposiciones dejará habilitada la acción de protección de datos personales prevista en el art. 33 de la ley 25.326.

3.3. Obligación de comunicar
La norma finaliza señalando que “Sin perjuicio de lo expuesto en los párrafos precedentes, el acreedor debe comunicar a todo archivo, registro o banco de datos al que hubiera cedido datos referentes al incumplimiento de la obligación original, su cancelación o regularización”.
Esta norma refuerza lo que decíamos al comienzo acerca de su aplicación a todo acreedor, incluidos bancos y entidades financieras. Es que no tiene ningún sentido que solo se imponga su cumplimiento a las empresas de informes comerciales y no a quienes le suministran los datos en cuestión. Por otra parte tampoco serviría a los propósitos de la ley que los bancos cesen de informar si el dato sigue figurando históricamente, por ende la norma impone una obligación activa dentro de los supuestos contemplados en el art. 47, que recae tanto sobre la entidad financiera como sobre la proveedora de informes comerciales. El acreedor debe comunicar a todos aquellos a quienes hubiera cedido datos referentes al incumplimiento de la obligación original su cancelación o regularización en los términos de esta ley y el receptor debe borrar la deuda histórica respectiva. No alcanza, como sostuvo algún fallo adecuadamente, con dejar de informar el dato negativo .

4. Conclusiones y sugerencias
La ley introduce una modificación de poca importancia en la ley de protección de datos personales. Hay muchas e importantes reformas pendientes respecto de la materia que deberían implementarse en nuestro país; y no todas requieren que se modifique la ley 25.326. Entre otras señalamos las reformas requeridas por la Unión Europea al aprobar a Argentina como país adecuado y otras que la práctica y aplicación diaria de la ley, que ya cumple siete años, requiere decididamente tanto en materia de fondo como la procesal. Estas reformas deberán hacerse con el consenso y participación de todos los interesados, porque en la sociedad de la información la protección de datos personales y la privacidad debería ser una política de estado. Por otra parte, como hemos señalado en otra ocasión , los temas sobre informes comerciales, si bien suelen ser los más abordados en nuestra doctrina y jurisprudencia, no son por ello los mas importantes dentro del amplio campo del Derecho de la Protección de los Datos Personales.

Por Pablo Palazzi, Blog del Foro de Habeas Data

Metasploit Framework 3.1 Release

Austin, Texas, January 28th, 2008 -

The Metasploit Project (#) announced today the free, world-wide availability of version 3.1 of their exploit development and attack framework. The latest version features a graphical user interface, full support for the Windows platform, and over 450 modules, including 265 remote exploits.

"Metasploit 3.1 consolidates a year of research and development, integrating ideas and code from some of the sharpest and most innovative folks in the security research community" said H D Moore, project manager. Moore is referring the numerous research projects that have lent code to the framework.

Descarga:
- Versión para Linux, BSD, Mac OS X, Windows Cygwin - framework-3.1.tar.gz
- Versión para Windows 2000/XP/2003/Vista - framework-3.1.exe

The latest version of the Metasploit Framework, as well as screen shots, video demonstrations, documentation and installation instructions for many platforms, can be found online at http://metasploit3.com/

(#) El Proyecto Metasploit es un proyecto open source de seguridad informática que proporciona información acerca de vulnerabilidades de seguridad y ayuda en tests de penetración y en el desarrollo de firmas para Sistemas de Detección de Intrusos. Sus subproyecto más conocido es el Metasploit Framework, una herramienta para desarrollar y ejecutar exploits contra una máquina remota. Otros subproyectos importantes son la bases de datos de opcodes (códigos de operación), un archivo de shellcodes, e investigación sobre seguridad. Inicialmente fue creado utilizando el lenguaje de programación de scripting Perl, aunque actualmente el Metasploit Framework ha sido escrito de nuevo completamente en el lenguaje Ruby. (es.wikipedia.org/wiki/Metasploit)

Tools: Oracle Audit Vault

Oracle Audit Vault es una solución de gestión y consolidación de auditoría que permite a las empresas simplificar los informes de cumplimiento, detectar preventivamente las amenazas, reducir costos y garantizar los datos de auditoría. Es una solución clave en la oferta integral de Oracle - Governance, Risk and Compliance.

Las compañías pueden utilizar Oracle Audit Vault para:

• Administrar de forma centralizada su configuración de auditoría de base de datos, lo que facilita la implementación de políticas uniformes de auditoría. Adicionalmente, los clientes pueden aprovechar el esquema abierto de almacén de datos y generar informes desde sus repositorios de auditoría utilizando la herramienta de business intelligence (BI) de su preferencia, incluido Oracle BI Publisher u otras herramientas de informes de terceros.
• Consolidar los silos de auditoría de toda la empresa y conservar de manera segura los datos en un solo lugar. La capacidad de alerta del producto ayuda también a detectar en forma anticipada el acceso no autorizado a la información y a mitigar el peligro de posibles riesgos financieros.
• Ayudar a mejorar los requisitos de auditoría relacionados con las reglamentaciones de distintos sectores, como la ley Sarbanes-Oxley (SOX, por sus siglas en inglés), la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA, por sus siglas en inglés) y el Estándar de Seguridad de Datos de la Industria de Pagos con Tarjeta (PCI, por sus siglas en inglés).
• Ayudar a demostrarles a los auditores que cuentan con los controles preventivos adecuados y eficaces, los cuales cumplen con los requisitos reglamentarios. Por ejemplo, una empresa de servicios financieros podría utilizar Oracle Audit Vault para verificar el cumplimiento de SOX, a través de la auditoría de las operaciones y controlando las actividades del usuario en varios sistemas financieros.

"Con las normas legislativas y el incremento en las amenazas de seguridad, para las empresas es cada vez más importante adoptar e implementar iniciativas integrales de cumplimiento y protección", dijo Trent Henry, analista senior de Burton Group. "Para evitar que información crítica esté en juego, las soluciones de auditoría de base de datos y de monitoreo son claves para el entorno de hoy, ya que operan en forma dual, ayudando a mejorar los informes de auditoría y la seguridad de la empresa".

"Integrar el estado de la actividad de la aplicación y de la base de datos con los eventos del sistema y del sistema de red es clave para desarrollar una visión de toda la empresa en cuanto a la seguridad, riesgo y cumplimiento", dijo Hugo Njemanze, jefe de tecnología y vicepresidente ejecutivo de Investigación y Desarrollo en ArcSight. "Con Oracle Audit Vault contamos con información exclusiva sobre el proceso comercial que podemos correlacionar con los eventos de infraestructura para producir una visión en tiempo real de las amenazas internas y externas".

Para más información acerca de Oracle Audit Vault
- Hands-On: Oracle Audit Vault (Overview - Auditor's View - Viewlet)
- FAQ: Oracle Audit Vault FAQ
- Web: www.oracle.com/goto/auditvault

Humor: TiraEcol

Según The Jargon Dictionary el Humor Hacker es un tipo de humor que comparten en general los expertos en computadoras, que incluye cosas como parodias elaboradas de documentos como especificaciones, standards, descripciones de lenguajes, etc.

El blog Cryptex - Seguridad de la Información, desde sus inicios siempre mostró este este tipo de Humor.

En este nuevo post les presentamos dos gráficas de "TiraEcol", excelente web site que publica este tipo de comic.

Pánico en el ascensor:

Code Red: la verdad:

Fuente: tiraecol.net

Servidores web comprometidos

De acuerdo a una nota de prensa liberada por la empresa de seguridad Finjan, servidores web comprometidos, están infectando a miles de visitantes diariamente, con un malware que convierte a sus equipos en máquinas zombis, formando parte de una red de robots (botnet), controlada por organizaciones criminales.
Otros expertos confirman esta información, aunque con diferentes estimaciones en cuánto a cantidad de sitios afectados.
Todos los reportes coinciden en que los servidores comprometidos se ejecutan en Linux y utilizan Apache como software.
El exploit implica la inyección de un rootkit que sustituye múltiples archivos en el servidor. Los siguientes binarios parecen ser los comprometidos:

/sbin/ifconfig
/sbin/fsck
/sbin/route
/bin/basename
/bin/cat
/bin/mount
/bin/touch
El rootkit renombra estos archivos, y los sustituye por versiones infectadas, quedando a la espera del próximo reinicio del servidor. Cuando ello ocurre, el rootkit llama a los binarios infectados.

El resultado, es que ciertos archivos en el servidor quedarán ocultos, y un código en JavaScript será enviado a los visitantes del sitio.
El código en JavaScript es creado de forma dinámica, y suele tener un nombre al azar de cinco caracteres (Ej: 'cbolw.js').
Ello no ocurre en todas las sesiones, haciendo más difícil su identificación.
El JavaScript intenta explotar múltiples vulnerabilidades en Windows, QuickTime y Yahoo! Messenger. Son afectados aquellos usuarios que no han aplicado las últimas actualizaciones de Microsoft, ni tienen las últimas versiones del software involucrado.

Mark Cox del equipo de seguridad de Apache Software Foundation, dice que no hay detalles precisos sobre como los atacantes pueden obtener acceso de root a los servidores comprometidos, "además de que no hay evidencias que este ataque se deba a alguna vulnerabilidad no corregida en el servidor Apache."

Una misma opinión parece tener Red Hat, el mayor proveedor de Linux. "En este momento, no hemos tenido acceso a todos los equipos afectados, y por lo tanto, no podemos dar una orientación sobre las herramientas que puedan detectar al rootkit."

Los fabricantes de cPanel, una popular herramienta utilizada por las empresas de alojamiento web que permite a sus clientes administrar sus sitios, ha publicado una nota de seguridad describiendo lo que el rootkit hace después de instalado, y sugiere algunos procedimientos para comprobar si un servidor está comprometido.
Según cPanel, si no se puede crear un directorio cuyo nombre comience por un número, es probable que su sitio esté infectado.

Otras técnicas son descriptas en el siguiente enlace:
Random JS Toolkit: www.cpanel.net/security/notes/random_js_toolkit.html

Uno de los mayores misterios hasta el momento, es como llegó el rootkit a los servidores infectados. En ausencia de cualquier evidencia forense sobre los allanamientos, lo más lógico sería pensar que los autores del malware consiguieron acceder a los servidores utilizando contraseñas de root robadas.
Las primeras víctimas conocidas, de acuerdo a información publicada anteriormente, fueron los sitios de alojamiento web administrados por grandes empresas, los que dan acceso a miles de sitios Web, los cuáles a su vez, son visitados por cientos de miles de navegantes diariamente.
Los usuarios que mantengan su software actualizado (incluyendo el sistema operativo), tienen menos probabilidades de convertirse en víctimas.

Via boletín VSantivirus No 2625 Año 11, lunes 28 de enero de 2008

Por qué las empresas deben certificar sus sistemas de gestión

Cada vez más compañías buscan avalar la calidad de su producción mediante normas internacionales. Entre sus principales beneficios se encuentran que mejora el posicionamiento en los mercados extranjeros y genera una imagen más confiable en el ámbito local.

La globalización y las grandes oportunidades de exportación surgidas en la Argentina, luego de la crisis, generaron una creciente necesidad en las empresas locales: la certificación de sus sistemas de gestión.

Así, términos como ISO, HACCP o BS comenzaron a ser siglas cada vez más familiares para las compañías nacionales.

Gustavo Nudel, gerente de servicios de sistemas de certificación de Bureau Veritas, afirma: “La tendencia a la certificación de sistemas en la Argentina es sumamente positiva y desde hace más de cinco años acompaña al crecimiento sostenido del país en materia de procesos productivos y exportaciones".

Así, agrega que "mientras que en otros países más industrializados y con más historia en relación con la certificación de sistemas de gestión (en particular de Europa), se comienza a notar un amesetamiento de la actividad, en la Argentina la tendencia y el interés por la estandarización y la validación de sistemas de gestión continúa vigente y en alza, con un crecimmiento del orden de entre el 25% y el 30% año tras año".

Sin embargo, pese a que la cantidad de certificaciones se incrementó en los últimos años, la Argentina continúa estando relegada respecto del resto del mundo.
De acuerdo con la última encuesta de certificación, elaborada por la Organización Internacional de Estandarización (ISO, según sus siglas en inglés), en 2006 se emitieron en Argentina 7934 certificados ISO 9001:2000, mientras que China, por ejemplo, otorgó 162.259.

(..........)

En todo el mundo la norma más empleada es la ISO 9001:2000, que certifica los sistemas de gestión de calidad y representa el 70% del total de certificaciones emitidas en el planeta. Argentina no es la excepción.

"A nivel local, las certificaciones de sistemas de gestión de calidad según requisitos de ISO 9001 continuan estando a la cabeza del ranking, seguidas por las certificaciones de sistemas ambientales y en gran medida por la certificación de sistemas integrados que combinan tres normas internacionales: ISO 9001, ISO 14001 y OHSAS 18001. En los últimos dos años, se ha incrementado enormemente el interés en empresas alimenticias por estándares de seguridad alimentaria reconocidos internacionalmente, tales como la ISO 22000, GlobalGap, BRC o HACCP", señala Nudel.

El especialista también señala que en la actualidad existe además "una marcada tendencia en relación a la certificación de sistemas de gestión de responsabilidad social (SA8000, AA1000) y en particular durante 2007 se ha generado gran expectativa en empress de tecnología en función de la publicación de la norma internacional ISO 27001, relacionada a sistemas de gestión de seguridad informática".

Aunque no siempre es un requisito obligatorio, contar con este tipo de certificaciones contribuye a alcanzar un mejor posicionamiento para insertar productos en el extranjero y a mejorar la imagen de la empresa en el mercado local.

"Los sistemas de gestión proporcionan a las empresas un esquema de probada solidez para cumplir y superar requisitos de calidad, seguridad, responsabilidad social y ambiental mediante el establecimiento de un enfoque sistemático para gestionar sus procesos: la orientación hacia la calidad, prepara a las organizaciones para aprovechar las nuevas oportunidades que surgen en el mercado. La certificación acreditada según una norma reconocida internacionalmente permite comunicar a los clientes, proveedores y empleados de una organización el compromiso con la calidad, a la vez que permite establecer un punto de referencia para medir el rendimiento de dicha organización", agrega Nudel.

Según el IRAM, algunos de los beneficios que brinda la certificación son:

• Mejora el nivel de satisfacción de los clientes.
• Demuestra el compromiso del concesionario con la calidad.
• Mejora la eficiencia general de la empresa.
• Permite disminuir los costos por la no calidad de los servicios ofrecidos.
• Reduce la cantidad de reclamos o quejas por problemas en la prestación de servicios.
• Mejora el cumplimiento de los plazos de entrega.
• Genera una mayor fluidez en el desarrollo de los procesos del negocio.
• Aumenta la motivación del personal.

Su aplicación
El proceso de certificación puede durar desde seis meses hasta un año y medio, ya que implica la implementación previa de un sistema de gestión de calidad. Una vez que el modelo ya está establecido y comprobado, la empresa puede pedir la intervención de una certificadora.

Aunque en la Argentina existen más de 10 entidades autorizadas para emitir certificados de normas ISO, las que concentran la mayor cantidad de certificaciones del mercado son: Bureau Veritas (con el 30% del volumen total), IRAM, DNV, y Quality International.

Cualquier compañía, independientemente de su rubro o tamaño, puede certificar sus procesos.

“La preocupación de las empresas por la calidad de sus productos y servicios es uno de los factores más importantes para su desarrollo. Por esta razón, tanto grandes corporaciones industriales como las Pyme han tenido y tienen como objetivo certificar sus sistemas de gestión", destaca Nudel.
El especialista agrega que, con el logro de este tipo de certificaciones -que reconocen la implementación y mantenimiento de los Sistemas de Gestión en las empresas - se comprueba la utilización de métodos y/o herramientas de gestión que permiten una mayor eficiencia y satisfacción de los clientes.

"Así, la utilización de estándares internacionales es también una forma de mejorar los procesos internos de la compañía, además de ser una manera de demostrar al mercado la preocupación por la mejora continua de sus productos y servicios”, asegura.

El único requisito para obtenr la certificación es estar dispuesto a cumplir con las determinaciones que fije la norma y asumir el costo de la certificación, que varía de acuerdo con la cantidad de empleados, sucursales, la complejidad de las actividades de cada empresa y la asignación del tiempo necesario para el desarrollo de la actividad de auditoría, certificación, registro y mantenimiento del sistema de gestión a ser evaluado.
Por ejemplo, la certificación y mantenimiento por tres años, de un sistema de gestión que cumpla con los requisitos de una norma internacional en forma acreditada en una Pyme de aproximadamente 50 personas, no supera los $7.000 por año.

María Eugenia Baliño, Infobae 24 Enero/2008
©infobaeprofesional.com

ESET NOD32, Mejor Software Antivirus 2007 según el laboratorio independiente AV-Comparatives

ESET NOD32 Antivirus fue galardonado como el Mejor Software Antivirus 2007 por el prestigioso laboratorio independiente AV-Comparatives. Luego de participar en las cuatro evaluaciones realizadas durante el 2007, obtuvo el máximo premio ADVANCED+ en las últimas tres y el galardón ADVANCED en la primera de ellas, marca no alcanzada por los productos de la competencia.

En el resultado global de las evaluaciones del 2007, ESET NOD32 Antivirus obtuvo el más elevado índice de detección proactiva en las evaluaciones retrospectivas, junto con la detección del 100 por ciento de los virus polimórficos y los niveles más elevados de detección de todo tipo de códigos maliciosos. Además, logró los mejores resultados en velocidad de exploración combinado con el más bajo impacto en el rendimiento total del sistema.

AV-Comparatives realiza evaluaciones de detección de malware en los distintos software antivirus. La calidad de sus comparativas y la originalidad de ser el único en realizar análisis retrospectivos hacen de AV-Comparatives uno de los más prestigiosos laboratorios independientes del mundo.
Para leer un informe de AV-Comparatives puede hacerlo desde aqui y si estas interesado en ver la metodología utilizada para el estudio ver el siguiente link.


Como complemento a la anterior noticia, recordemos la campaña publicitaria que realizo NOD32 en Europa en el 2006:

One of NOD32’s European resellers recently had an amazingly ingenius marketing idea.



Fuente: blogs.securiteam.com/index.php/archives/date/2006/04/page/2/

Firewall de Windows Vista

Todos los navegantes de la Red sabemos los peligros que tiene. Desde los virus, hasta la más sospechosa cookie son suceptibles de instalarse en el ordenador con fines perniciosos. El cortafuegos evita muchos problemas.

El cortafuegos o firewall es un programa destinado a controlar y filtrar todo el tráfico de información que entra y sale del ordenador hacia una red, ya sea esta local o Internet. Con él se puede bloquear o autorizar cualquier dato que quiera acceder a nuestro ordenador y, también, todos los que se transmiten hacia el exterior. Es uno de los mejores remedios para prevenir que los piratas informáticos o cualquier tipo de programas malintencionados puedan tener acceso al equipo y que el propio equipo sirva para propagarlos.

WINDOWS VISTA
Los últimos sistemas operativos traen un incluido un cortafuegos pero suele estar desactivado por defecto. Es el caso de Windows Vista y de Mac OS X Leopard por lo que hay que acceder a su configuración y dejarlo activado y, si es posible, configurarlo personalmente ya que, una vez activado, bloquea todo tipo de comunicación para la mayoría de programas. En el caso de Vista hay dos formas de actuar sobre el firewall, una básica útil para la mayoría, y otra avanzada sólo para expertos que realmente tengan conocimientos de seguridad informática.

CORTAFUEGOS BÁSICO
Para acceder al firewall de Windows Vista hay que ir al Panel de control y en el apartado Seguridad (vista por defecto), localizar el panel Firewall de Windows, (es posible que le pida una contraseña de Administrador o una confirmación). Se abrirá una ventana de configuración en donde se indica en la parte de la derecha si está activado o no, y en la parte de la izquierda dos accesos rápidos. Haga clic en el acceso Cambiar la configuración para que se abra la ventan principal.

OPCIONES DE CONFIGURACIÓN
Desde esta ventana se puede activar y desactivar el cortafuegos, especificar las exclusiones, definir reglas para las conexiones entrantes y elegir las conexiones de red que el cortafuegos debería proteger. El primer apartado General tiene las tres opciones principales: Activado (recomendado), así se bloquean la conexión de la mayoría de programas a través del firewall, y le aparecerá un mensaje de avido cuando un programa no autorizado quiera conectarse. Si lo autoriza quedará incluido en la lista de Excepciones y ya no volverá a pedir su permiso. Esta misma operación la puede hacer de forma manual y personalizada en el apartado correspondiente a Excepciones. Para saber exactamente qué hace con cada uno de los programas, selecciónelo y haga clic en Propiedades. Verá una nueva ventana con una breve explicación.

Otra opción es la de Agregar un puerto a las excepciones del cortafuegos, algo muy práctico, por ejemplo, si juega con otras personas a través de Internet con programas que necesitan utilizar puertos concretos para intercambiar información

BLOQUEAR
Si deja marcada la opción Bloquear todas las conexiones entrantes quedarán bloqueados todos los intentos de conexión al equipo no solicitados. Es una opción recomendable cuando se necesita la máxima protección. Podrá ver la mayoría de las páginas y enviar y recibir mensajes de correo electrónico y mensajes instantáneos, pero no le avisará de los programas que ha bloqueado y se omitirán los que figuran en la lista de excepciones.

La tercera opción es Desactivado (no recomendado) que como indica, no conviene usarla, ya que el equipo se vuelve mucho más vulnerable a los ataques de piratas informáticos y a la entrada de software malintencionado.

OPCIONES AVANZADAS
Para acceder a las opciones avanzadas hay que ir al Panel de control, Herramientas administrativas, Firewall de Windows con seguridad avanzada (le pedirá autorización para poderse abrir). También se puede acceder desde el menú Inicio, Ejecutar, con el comando WF.msc.

Luego seleccionar Agregar/Quitar complemento, Buscar Cortafuegos de Windows con seguridad avanzada y pulsar en el botón Agregar. Seleccionar Ordenador local y Finalizar. Al confirmarlo aparecerá en la Consola de administración de Microsoft. Sólo hay hacer doble clic encima y se abrirá la ventana correspondiente. En ella aparecen los tres perfiles posibles (dominio,privado y público) según el tipo de conexión de red y las opciones de configuración de cada uno. Pero, insisto, éstas son opciones sólo aptas para usuarios avanzados y no se debe trastear si no se sabe muy bien lo que se hace.

Via El Pais.com

Un fallo en la web de tributos del Principado dejó al descubierto datos privados

Oviedo - España
El Gobierno regional asturiano informó ayer de que, a causa de un fallo de seguridad informática, en la página web del ente público de servicios tributarios del Principado quedaron al descubierto datos privados de los contribuyentes asturianos y pudieron consultarse de forma indebida.

No obstante, la portavoz del Ejecutivo regional, Ana Rosa Migoya, subrayó que la situación ya estaba «controlada» y que se habían repuesto todos los controles necesarios que impiden cualquier tipo de acceso a expedientes privados desde la página web de los servicios tributarios de la Administración central.

Ana Rosa Migoya explicó ayer, al término de la reunión de los jueves del Consejo de Gobierno, que este defecto en la web tributaria del Principado fue notificado el lunes por un ciudadano que denunció por vía telefónica la situación. Este denunciante llamó al teléfono que aparece en la página web para explicar que al introducir los datos para la consulta de un expediente que le afectaba a él mismo -al parecer, de un familiar- comprobó que también podía consultar otras informaciones relativas a otros ciudadanos particulares referentes a multas de tráfico o al pago de impuestos particulares. También le resultaban accesibles informaciones relativas al cobro de ayudas de ayuntamientos, entre otros expedientes.

La consejera portavoz del Gobierno aseguró que la documentación tributaria que por un fallo de seguridad informática en la página web había resultado accesible al ciudadano denunciante era pública «en su gran mayoría», por lo que Ana Rosa Migoya restó importancia al grado de privacidad de los datos. La Consejera aseguró que sólo fueron consultados por el ciudadano denunciante, pues no se produjeron otros intentos de intentar acceder a la web.

Via Lne.es

Papers: Computación Forense

A continuacion les presentamos algunos papers realizados en el contexto del curso Introducción a la Computación Forense ofrecido en la Pontificia Universidad Javeriana, durante el segundo semestre de 2007.

Práctica de Asalto a una Sesión TCP

Autores: Guillermo Fonseca, María Camila González, Bernardo Andrés Neira

Resumen: En este documento se explica la estructura de un asalto a una sesión TCP, se presenta un ejemplo práctico utilizando la herramienta Hunt y se evidencian los rastros que se dejan tras el ataque.
DESCARGA

Métodos de Control y Acceso a través de Dispositivos de Almacenamiento USB
Autores: Paola Peña, Iván Vásquez
Resumen: Este documento presenta un análisis de mecanismos de acceso a través de dispositivos USB, siendo éstos destinados principalmente a quebrantar la seguridad de sistemas basados en Microsoft Windows. Igualmente, el documento presenta una aplicación de “Hackblade” la cual es una de las técnicas que pueden ser utilizadas para realizar un ataque a través de un dispositivo USB. Por último, se discuten algunas medidas de detección y prevención recomendables para evitar un ataque realizado con un dispositivo USB.
DESCARGA

Blue MAC Spoofing: El Backdoor de Bluetooth
Autores: Carlos Castillo, José Luis Gómez-Casseres, Edgar TorresBajo la dirección de: Julio Álvarez y Jeimy Cano
Resumen: El siguiente documento es un análisis del ataque de seguridad informática Blue MAC Spoofing en dispositivos móviles. Se inicia con una introducción de la tecnología de telefonía celular, incluyendo el protocolo de comunicación Bluetooth y sus mecanismos de seguridad. Luego de esto se expone la realización del ataque, cómo se realiza y cuales de las políticas de seguridad del protocolo son vulneradas. Por último realizamos un análisis forense buscando rastros en el celular afectado para poder identificar el posible atacante y que acciones realizó en el dispositivo sin autorización. Al final del artículo se exponen las conclusiones y las consecuencias de este fallo de seguridad en los dispositivos móviles actuales.
DESCARGA

Via La WeB de DragoN

Motor de busqueda de informacion de vulnerabilidades

El portal ExploitSearch.com es un buscador personalizado que utiliza la tecnología de búsqueda de google para encontrar información relacionada con vulnerabilidades.

Este proyecto esta buscando nuevos participantes, por lo que si estas interesado tendrías que enviar tus datos al mail info@exploitsearch.com

Ficha del Site:
Domain Name: exploitsearch.com
Registrar: NEW DREAM NETWORK, LLC
Whois Server: whois.dreamhost.com
Creation Date: 2008-01-15
Last Update Date: 2008-01-15
IP Location: United States
Server Type: Apache/2.0.61 (Unix) PHP/4.4.7 mod_ssl/2.0.61 OpenSSL/0.9.7e mod_fastcgi/2.4.2

Tools: Pass-The-Hash Toolkit - v1.3

¿Qué es Pass-The-Hash Toolkit?

Pass-The-Hash Toolkit (PSH toolkit) contiene herramientas para manipular "Windows Logon Sessions" mantenidos por LSA (Local Security Authority).

Estas herramientas permiten:

- Listar las sesiones logueadas con sus correspondientes credenciales NTLM (ej. usuarios conectados al escritorio remoto/terminal service).

- Cambiar el nombre de usuario, nombre de dominio, hashes NTLM... SI! Pass-The-Hash en Windows :)

Licensing
This software is provided under the following license for non-commercial use.
Latest stable release (1.3), updated on February 29, 2008, 2008

Direct download links:
source code: http://oss.coresecurity.com/pshtoolkit/release/1.3/pshtoolkit_v1.3-src.tgz
Win32 binaries: http://oss.coresecurity.com/pshtoolkit/release/1.3/pshtoolkit_v1.3.tgz

More info:
http://oss.coresecurity.com/projects/pshtoolkit.htm
http://oss.coresecurity.com/pshtoolkit/doc/index.html

what's new: http://oss.coresecurity.com/pshtoolkit/release/1.3/WHATSNEW

Via ! securityfocus

Los juegos online, una puerta al malware

Los cibercriminales aprovechan que muchos jugadores desactivan sus cortafuegos durante la partida online para infectar sus equipos con facilidad.

Según el estudio llevado a cabo por la compañía de seguridad informática G DATA, hasta el 54% de los archivos referidos a videojuegos en redes P2P esconde en realidad algún tipo de malware. Así, este estudio ha comprobado que el robo e intercambio de información referida al juego online se ha convertido en un negocio extremadamente lucrativo, pudiendo ganar los cibercriminales incluso más dinero con estos datos que con los de tarjetas de crédito, ya que los ordenadores de este tipo de usuarios suelen ser máquinas potentes de gran valor para los operadores botnet, que además suelen estar casi siempre conectadas a Internet.

El Director del Laboratorio de Seguridad de G DATA, Ralf Benzmüller ha explicado que los cibercriminales han puesto su mirada en la comunidad del juego online, al fijarse en que muchos jugadores desactivan su protección antivirus y firewall al empezar la partida, para no ver penalizado el rendimiento de sus equipos o de su conexión a Internet. “De esta forma, quedan expuestos a un enorme riesgo, al dejar vía libre a la entrada de malware. Por ello, las soluciones de seguridad optimizadas para los videojuegos son esenciales para los aficionados al juego online”, recalcó.

Tras analizar más de 1.000 muestras en sitios y redes P2P referidos a los 30 videojuegos más populares del momento, se constató que 528 de ellos contenían algún tipo de malware.

Los cinco códigos maliciosos más habitualmente encontrados fueron P2P Worm.Win32.P2PAdware.a, Trojan Dropper.Win32.Peerad.a, P2P Worm.Win32.Kapucen.b, P2P Worm.Win32.Padonak.b y P2P Worm.Win32.VB.fc
La mayoría de estos archivos trataron de pasar por parches o trucos para videojuegos, encabezando las listas de reclamo el popular World Of Warcraft, como objetivo prioritario de los ataques.

Via IDG

Correo electrónico laboral: sonría, lo están leyendo

Al ser una herramienta corporativa, se suscita una colisión entre el derecho del empleador a controlar las casillas de sus asalariados, y el de los empleados a la privacidad en las comunicaciones on line. Opiniones encontradas sobre un tema de rigurosa actualidad. Entre otras cosas, el uso del correo electrónico generaría fuga de información.

El correo electrónico puede convertirse en un importante instrumento laboral que los empleadores facilitan a sus asalariados para su utilización con fines productivos y comerciales.
El empleador está facultado para vigilar el contenido del servicio de mensajería electrónica cuya titularidad pertenece a la compañía. Sin embargo, el conflicto jurídico surge a raíz de que los empleados cuentan con garantías constitucionales que protegen su intimidad y la inviolabilidad de la correspondencia privada. He aquí la cuestión.

Derecho del empleador
Las empresas poseen la titularidad de los medios de producción, por consiguiente, la computadora, el software y las casillas de e-mail les pertenecen.
El artículo 70 de la ley de Contrato de Trabajo, les confiere la facultad de ejercer controles personales sobre los trabajadores destinados a la protección de los bienes de la empresa, siempre salvaguardando la dignidad del trabajador.
El uso del correo electrónico laboral debe ser destinado a lo estrictamente profesional; no obstante, se estima que más del cincuenta por ciento de los mensajes enviados y recibidos en los lugares de trabajo son de naturaleza personal, lo que significa una pérdida monetaria para la empresa.
En consecuencia, según datos del mercado, dos de cada diez empresas restringen los usos cibernéticos de sus trabajadores. De hecho, los trabajadores de compañías de consumo masivo, bancos y laboratorios, entre otros, son destinatarios del llamado “monitoreo laboral”.
En diálogo con el diario Hoy, Fernando Raúl Pérez, abogado especialista en Derecho Laboral, consideró: “Las empresas están limitando el uso de los e-mails personales por el tiempo que destina el trabajador en horario de trabajo a dicha actividad y por el probable ingreso de virus informáticos”.
También sostuvo que se pretende evitar que por un correo personal, “el trabajador derive información de su empleadora, lo que constituiría una justa causa de despido cuya injuria está provocada por la actitud desleal más que por la utilización del medio electrónico en sí”.

Derecho del empleado
En virtud de la Carta Magna argentina, la correspondencia privada se encuentra específicamente protegida por el art. 18, el cual determina que es inviolable. Su objetivo es proteger la intimidad de un individuo, un derecho humano que además cuenta con garantías constitucionales en los artículos 19 y 11 del Pacto de San José de Costa Rica.
Manuel Larrondo, abogado especialista en Derecho Empresarial, explicó a Hoy: “La diferencia con el correo electrónico es que éste es un documento informático que se encuentra asentado en un soporte inmaterial, en bites. Pero ello no quita que pueda ser asimilable a la naturaleza de las cartas en soporte papel en términos de recibir protección de la ley ante intromisiones arbitrarias de terceras personas”.
Agregó que para determinar si se ocasiona o no la violación a la intimidad por parte del empleador al revisar los e-mails de su empleado, “entiendo que debe analizarse si el trabajador fue alertado e instruido desde un comienzo y en forma expresa respecto de que el correo electrónico laboral es de exclusivo uso para esa esfera; y por lo tanto, prohibido para usos personales ajenos al trabajo”.

Por su parte, Gonzalo Iglesias, abogado especialista en Derecho Informático, precisó: “Las políticas de control deben guardar un principio de proporcionalidad con los derechos del trabajador, en particular su intimidad. Del mismo modo, deben evitarse los criterios discriminatorios en la selección de los trabajadores a controlar, utilizando en los casos de sistemas de monitoreo no generales, criterios de aleatoriedad, salvo en los casos en que existan sospechas objetivas y fundadas respecto de un trabajador en particular”.
En este sentido, Pérez consideró que el derecho del trabajador a proteger su intimidad es “muy amplio”, y por eso si el empleador no advirtió al empleado que iba a ser controlado y que el mail sólo podía ser utilizado para temas laborales, “es posible que el despido sea considerado sin justa causa”.
Además, aclaró: “Distinto es el supuesto en que el material de la empresa y el tiempo del trabajador son destinados a obtener un rédito económico, en cuyo caso entra en juego el principio de buena fe con la que ambas partes se deben comportar durante la vigencia del contrato de trabajo”.

María Sol García Cejas, Diario Hoy (Argentina)

Link relacionado:
- ¿Pueden las empresas revisar el correo electrónico de sus empleados?

Video: Identidad Robada

Con las nuevas tecnologías y el desarrollo de Internet, las posibilidades de robos de identidad e incidentes de seguridad se potencian día a día.

El siguiente vídeo de casi 10 minutos muestra parte del programa "La mañana del nueve" de Canal 9 de Argentina donde se puede observar a Maby Wells, Claudio Albarenque, Pablo Kablan y Merlina Lich tratar el tema del robo de identidad en la Argentina y su vacío legal.

El vídeo es presentado por Identidad Robada, portal latino para la prevención del robo de identidad y los fraudes a través de Internet publico un video.

Information Security Guideline V 6.0 (New South Wales Government)

El gobierno de Nueva Gales del Sur tiene a disposición pública en su página web una excelente colección de documentos dedicados a la gestión de las tecnologías de la información.
Entre ellos destaca una guía de implantación de la norma ISO 27001.

First Published: Sept 2000
Current Version: Feb 2007
Pag.: 111

Table of Contents
Chapter 1 - Using this Guideline
Chapter 2: Introduction to Information Security
Chapter 3: Information Security Management
Chapter 4: Stage 1 - ISMS Framework
Chapter 5: Stage 2 - Risk Management
Chapter 6: Stage 3 - Implementing and Operating
Chapter 7: Stage 4 - Monitoring and Improving the ISMS
Annex A - Standards
Annex B – Risk Assessment
Supplement 1 - Vulnerabilities and Threats
Appendix A - Threats and Security Concerns
Appendix B - Vulnerabilities
Supplement 2: Information Security Safeguards
Appendix A – Classification of Safeguards
Appendix B - Safeguards by Security Concern

Descarga de Guia

Via ! Auditoría y Seguridad de la Información

Tools: ESET SysInspector Beta

ESET SysInspector es un programa gratuito de utilidades de ESET, desarrollador de ESET Smart Security y ESET NOD32 Antivirus, diseñado para recolectar información acerca de su sistema operativo con el propósito de mediar en una variedad de cuestiones, por ejemplo: Comprobar la integridad de nuestro sistema de archivos, procesos y verificar la existencia de malware.
Actualmente, ESET SysInspector es un programa de sólo lectura ("read-only") en tanto que está diseñado para recolectar información y no realizar ninguna modificación en el sistema en el que se está ejecutando.

Partamos del hipotético caso de que hemos sido víctimas de dos códigos maliciosos; por un lado, simulando ser el icono del navegador Internet Explorer, el troyano Spy Banker orientado al robo de información bancaria; y por otro, el troyano Qhost que modifica la información del archivo Hosts para realizar Pharming Local.

Cada vez que se ejecuta ESET SysInspector, examinará el sistema para determinar su configuración. Esto puede llevar algunos minutos, dependiendo de la velocidad de su equipo y su configuración. Cuando ESET SysInspector ha finalizado de catalogar al sistema, desplegará esta información en la interfaz gráfica de usuario.

Ejecutamos entonces ESET SysInspector y, como un buen detective, nos revela una gran cantidad de información detallada relacionada con los procesos activos, claves puntuales del registro que generalmente son manipuladas por el malware, servicios, conexiones de red, archivos críticos, etcétera.

Procesos maliciosos
Podemos verificar la existencia de procesos maliciosos recolectando información de dónde se encuentra alojado, qué librerías dinámicas utiliza y un resumen de Hash en SHA1 que nos puede servir, por ejemplo, para comparar archivos. Similar a lo explicado en “Identificando procesos maliciosos en sistemas Windows”.

Conexiones de red
La mayoría del malware actual suele, una vez activado, intentar descargar otros códigos maliciosos, o en algunos casos incorporan un servidor SMTP utilizado, por ejemplo, para enviar spam aprovechando la conexión DSL. Este comportamiento es digno de sospecha.

Manipulación del registro
Otra de las actividades típicas del malware actual es manipular determinadas claves del registro que permitan levantar el proceso malicioso cada vez que el sistema operativo es iniciado. ESET SysInspector también nos advierte de esta actividad. En “Cuando quedan rastros del malware” pueden encontrar información más detallada sobre las claves que habitualmente suele manipular el malware actual.

Archivos críticos
El pharming local es una técnica orientada al robo de información confidencial que consiste en desviar el direccionamiento a nivel local, esto se logra a través del archivo Host; ESET SysInspector nos brinda información particular sobre este archivo. De esta manera podemos verificar a simple vista si fue modificado o no.

Esta utilidad es muy importante ya que muchos códigos maliciosos orientados a realizar ataques de phishing suelen modificar la información que contiene este archivo.
Poder explorar cada sector de nuestro sistema en busca de información crítica es muy importante a la hora de chequear lo que realmente está sucediendo en nuestra computadora, y ESET Sysinspector nos ayuda a solventarlo desde una única pantalla, sin necesidad de instalar el software en el equipo y manteniendo la eficacia que caracteriza a los productos de ESET.
Via Jorge, blogs.eset-la.com

Link Relacinado
ESET SysInspector

Correo basura daña la salud

Especialistas en seguridad informática indican que la recepción de correos no solicitados (spam) aumenta cada día, y siempre es más difícil combatirlo a pesar del avanzado software hoy disponible en el mercado.
Ese cúmulo de mensajes que invaden la bandeja de entrada de los correos electrónicos, la mayoría de veces inservible, afecta la salud de las personas, indica un estudio efectuado por el departamento de Ciencia Computacional de la universidad de Glasgow, Escocia.

La principal razón es que el trabajo se interrumpe constantemente y eso crea mucho estrés. Según los investigadores, los trabajadores de oficina se sienten cansados, frustrados y poco productivos ante la catarata de correos que deben observar a diario.

“El correo electrónico es el factor que más problemas ocasiona en la vida laboral actual”, asegura Karen Renaud, responsable del estudio.
Aunque el e-mail es una excelente herramienta, también es causa de apuros y se crea mucha ansiedad por revisarlo constantemente, en especial para saber acerca de amigos, familiares y de cuestiones de trabajo.
Asimismo, el análisis indica que son las mujeres las que se sienten más presionadas a contestar.
Con esto, más vale que se cuide de revisar el correo a cada momento; de todas formas, lo que más verá será spam.

Yahoo noticias

Via prensalibre.com

Guía para la elaboración del marco normativo de un sistema de gestión de la seguridad de la información

Proyectos de construcción e implantación de "Sistemas de Gestión de Seguridad de la Información (SGSI)" certificables con la norma ISO 27001 requieren de un esfuerzo por parte de la Organización por formalizar y definir las actividades relacionadas con la gestión de la seguridad para dar cumplimiento a los diferentes controles de la norma ISO 27002. Para ello, se hace imprescindible establecer un marco normativo en materia de seguridad de la información, que defina y establezca los criterios y medidas que se desean garantizar y cumplir.

Debido a la ausencia de criterios formales para establecer este tipo de jerarquía de documentación, desde Firma, Proyectos y Formación S.L. han considerado interesante contribuir con la elaboración de un texto que ayude a aclarar los diferentes tipos de documentos que pueden elaborarse dentro del marco normativo y a definir un contenido deseable en cada uno de ellos. Está basado en un criterio de máximos.

El autor ha creído interesante comentar lo que sería deseable que la documentación tuviera, respecto a apartados y modo de redacción. Evidentemente, la norma ISO 27001 no entra a establecer contenidos mínimos pero si requisitos de la documentación y registros en su apartado 4.3 . Para muchos nuestra recomendación puede resultar en algunos casos excesiva. Como siempre, eso depende del tipo de organización y de su "cultura" interna. Lo más importante, ante todo, es que las normas, procedimientos e instrucciones se utilicen.

En cualquier caso, el presente documento es solamente una propuesta técnica desde la experiencia que Firma, Proyectos y Formación ha desarrollado en la ejecución de este tipo de proyectos y otros similares relacionados con el desarrollo de normas y procedimientos de seguridad de la información.

Licencia: Creative Common.

Autor(es) Firma-e, Javier Cao Avellaneda

ÍNDICE

1. Introducción

2. Política de seguridad del SGSI

3. Normas de seguridad

4. Procedimientos de seguridad

5. Instrucción técnica de seguridad

6. Políticas de uso

7. Ejemplos de cada uno de los diferentes documentos

Descargar Guía

Presentaciones: DISI 2007

Se encuentran disponibles las presentaciones del Segundo Dí­a Internacional de la Seguridad de la Información - DISI 2007.

Desde la sección Ponencias del menú principal del site de DISI pueden descargarse las presentaciones realizadas en este congreso celebrado el 3 de diciembre de 2007 en la EUITT-UPM.

• A Fool's Errand: Inventing Public Key Cryptography. Martin Hellman, Universidad de Stanford - Estados Unidos
• Avances en la Factorización Entera. Hugo Scolnik, Universidad de Buenos Aires - Argentina
• Evolución del Malware: Malware 2.0. Sergio de los Santos, Hispasec Sistemas - España
• Antiphising y Antitroyanos. Flujo Malware. Sergio de los Santos, Hispasec Sistemas - España
• Seguridad en Entornos Linux. Fernando Acero, Hispalinux - España
• El Fracaso del Software. Juan Carlos Garcia Cuartango, Instituto para la Seguridad en Internet - España.

Descarga de los vídeos de conferencias magistrales:
- A Fool's Errand: Inventing Public Key Cryptography. Dr. Martin Hellman (Universidad de Stanford - Estados Unidos)
- Avances en la Factorización Entera. Dr. Hugo Scolnik (Universidad de Buenos Aires - Argentina)

Top 5 de vulnerabilidades VoIP en 2007

Sipera Systems ha recopilado las 5 más importantes vulnerabilidades en VoIP durante este año 2007 , que ya dejamos.

Estas son:

• Escucha remota (remote eavesdropping) de llamadas VoIP.
• "VoIP Hopping",es uno de los componentes de las escuchas remotas, pero compromete Vlans, que previamente han podido ser securizadas, permitiendo a los hackers acceders a plataformas VoIP.
• Vishing, el phising de la VoIP: Permite a los hackers falsear tu caller id (identificación de llamadas) y hacerse pasar por quien no es. Se podría acceder a información sensible en sistema de banca , etc..
• Fraude en llamadas: Acceso a redes empresariales VoIP y realizar llamadas sobre ellas.
• El Gusano de Skype, w32/Ramex. Este virus se expande por mensajería instantánea , cambia el estado del usuario Skype a "No molestar" e inhibe a las herramientas de seguridad del acceso al ordenador.

Artículo completo en ingles aquí.

Via VoIP para novatos, Alberto Sagredo

Humor: Datos personales

Link relacionados:

- Venta de datos personales recabados por páginas web p2p

- La venta de datos personales de usuarios es la mayor fuente de ingresos de los portales

El Informe de Seguridad en Internet de CA advierte de las principales amenazas online de 2008

Barcelona, 16 de enero de 2008.-

El último informe de seguridad en Internet publicado por CA advierte que los usuarios de juegos online y de redes sociales y los eventos como las elecciones presidenciales de Estados Unidos o los Juegos Olímpicos de Pekín están entre los principales objetivos potenciales de los ataques online en 2008.

El estudio, que se basa en los datos recogidos por el grupo de investigadores internacionales del CA Global Security Advisor, presenta las predicciones de seguridad en Internet para 2008 y las tendencias observadas en 2007.

Las predicciones de CA acerca de la seguridad online para 2008 son:
1. Las botnets dominarán en 2008: el número de ordenadores infectados por botnets aumentará enormemente en 2008. En un esfuerzo por ser más difíciles de detectar, los individuos que controlan las botnets están cambiando su táctica y descentralizando vía arquitecturas peer to peer. Cada vez más están utilizando mensajería instantánea como su principal vehículo de distribución de botnets.
2. Código malicioso más inteligente: hay nuevos modelos de sofisticación en el código malicioso (malware), que apuntará a ordenadores virtualizados y cada vez más utilizará técnicas de ofuscación para ocultarse a la vista, incluyendo esteganografía y encriptaciones, que ayudarán a los delincuentes a encubrir sus actividades.
3. Los usuarios de juegos online están en la línea de fuego: ya eran un objetivo codiciado y robar las credenciales de su cuenta continuará siendo uno de los principales objetivos de los delincuentes online. Los usuarios de juegos online suelen estar más preocupados por optimizar sus ordenadores para obtener un mayor rendimiento que por una buena seguridad. En 2008, los activos virtuales equivaldrán al dinero del mundo real para los delincuentes de Internet.
4. Las redes sociales están en el punto de mira: los sitios web de redes sociales cada vez son más populares, y como resultado de ello, más vulnerables. El gran número de víctimas potenciales y su relativamente poca preocupación por la seguridad informática hace que estos sitios web sean una oportunidad de ganancias para los ladrones cibernéticos.
5. Oportunidades en fechas clave: las elecciones presidenciales de Estados Unidos y los Juegos Olímpicos 2008 de Pekín ofrecen oportunidades para ataques destructivos y corrupción o robo de información.
6. Los sitios y servicios de web 2.0 serán blanco de ataques dirigidos: aunque es relativamente sencillo implementar servicios de web 2.0, puede ser todo un reto configurarlos para que sean completamente seguros. Por lo tanto, muchos sitios de Internet que utilicen estos servicios son blancos fáciles con pocas indicaciones externas que hagan sospechar que la seguridad del sitio se ha visto comprometida.
7. Windows Vista amenazado: a medida que las empresas y particulares compren nuevos ordenadores, la cuota de mercado de Vista crecerá. Aunque está diseñado como el sistema operativo más seguro de Microsoft, en 2007 se publicaron 20 vulnerabilidades, según el National Institute of Standards and Technology. Cuanta más gente utilice este sistema operativo, más atacantes apuntarán a él.
8. Los dispositivos móviles aún serán seguros: los dispositivos móviles aún están a salvo a pesar de los rumores sobre código malicioso móvil. Los smartphones y otros dispositivos móviles del estilo no significarán una verdadera oportunidad para los delincuentes en 2008. Las pruebas hechas con código malicioso para los dispositivos móviles aún no se han traducido en ataques importantes. La única vulnerabilidad importante publicada en 2007 fue la del iPhone de Apple.

Los investigadores de CA constataron las siguientes tendencias en 2007:

• De enero a octubre de 2007 el volumen de código malicioso (malware) se multiplicó por 16.

• Por primera vez, el software espía sobrepasó a los troyanos como forma predominante de código malicioso prevaleciente. En 2007, el 56 por ciento del total de código malicioso detectado era software espía; el 32 por ciento, troyanos; 9 por ciento, gusanos, y 2 por ciento, virus.

• Los tipos de software espía más comunes fueron publicidad no deseada, troyanos y programas de descarga maliciosos (downloaders).

• Los gusanos de redes simples o dispositivos extraíbles fueron los más extendidos este año. Algunos gusanos inutilizan los ordenadores cuando finalizan su actividad. Otros dejan una carga de código malicioso adicional o abren los ordenadores comprometidos para que un atacante malicioso tome control de la máquina.

• El software de seguridad no autorizado o falso ha sido un problema continuo, lo que indica que aumenta la marea de aplicaciones engañosas que conducen a error. El software de seguridad falso supuso un 6 por ciento del total del volumen de software espía en 2007. Normalmente se distribuye a través de anuncios online que ofrecen software antiespía gratuito.

• Los métodos de ataque convergen y las amenazas combinadas con múltiples componentes se convirtieron en la norma.

• Más del 90 por ciento del correo electrónico fue no solicitado y más del 80 por ciento contenía enlaces a sitios maliciosos o a código malicioso (malware).

• La calidad del correo no deseado ha mejorado y ya no se emplean trucos con fallos de escritura. También suele ir cargado de ficheros adjuntos, imágenes, PDFs, documentos, hojas de cálculo o vídeos que tienen código malicioso o enlaces a sitios maliciosos.

• El código malicioso es un tema internacional. Gran parte de la actividad delictiva se origina en la Europa del Este y en Asia y su objetivo son las naciones con las mayores poblaciones de usuarios de Internet. Cerca del 40 por ciento del correo no deseado va dirigido a Estados Unidos. Alemania, Australia, España, Francia y Reino Unido también aparecen entre los objetivos más comunes, mientras que en Latinoamérica, Corea del Sur y China, el código malicioso es un problema emergente.

Fuente: is-portal.com