Puesta en Marcha del Equipo de Seguridad M45

M45 es el nuevo equipo de profesionales de la Seguridad de la Información que teniendo como motor el Cluster de las Tecnologías de la Información y las Comunicaciones en Asturias (www.clustertic.net) se ha establecido con el objetivo de formar un marco de servicios de seguridad de alto nivel proporcionado por profesionales cualificados, formados, certificados y con experiencia.

M45 está compuesto por profesionales de las empresas Chipbip, Contein XXI, Futuver, Grupo Intermark, Legalprotect, Neosystems, Obice, Satec, Sigea y Vorago y sus gerentes son Samuel Linares (Director de TI y Seguridad de la Información de Grupo Intermark) y Francisco Menéndez (Socio Director de Contein XXI).

web www.clustertic.net/m45

S21sec y ENISA desvelan los principales riesgos de los mundos virtuales

El robo de identidad se sitúa a la cabeza como el principal riesgo que perciben los 1.500 encuestados del estudio.

La agencia europea de seguridad de la información y redes, ENISA ha publicado un nuevo estudio sobre seguridad, en este caso concreto sobre la seguridad en los mundos virtuales.

El estudio, en el que ha participado S21sec, compañía líder en seguridad digital, dando su visión y conocimientos del tema, tiene por título: "Security and privacy in massively-multiplayer online games and social and corporate virtual worlds". Este es el segundo estudio en el que S21sec colabora con ENISA como fuente de datos, como ya hiciera el pasado año con el Estudio sobre Botnets, la amenaza silenciosa.

Para la realización del informe, se realizó una encuesta a 1.500 usuarios de mundos virtuales como Second Life(#), Habbo Hotel o World of Warcraft, siendo los riesgos más identificados los siguientes:

- Robo de identidad. El riesgo más común consiste en el hurto de personajes del juego o mundo virtual para hacerse pasar por otra persona.

- Riesgos de privacidad. Este tipo de amenaza está muy relacionada con las redes sociales, al fin y al cabo, los mundos virtuales, son una especie de red social. El acceso a la información privada del usuario, ya sea su raza, religión o afiliación política, está al alcance de muchas más personas de las que realmente creemos.

- Automatización. La creación de herramientas automáticas para intentar saltarse las reglas del juego es más común de lo que nos imaginamos. Con ellas se simulan actividades humanas.

- El cheating siempre ha existido, desde huevos de Pascua hasta formas más complejas y no contempladas en el diseño original. ¿Qué significa? Pues básicamente hacer trampas, ya sea utilizando un fallo en el diseño del juego o del mundo virtual o utilizando puertas traseras.
- La intimidación online está muy relacionada con la vida real. Algo parecido al mobbing, pero adaptado a los mundos virtuales.

- El motivo económico no podía faltar y por eso en sexta posición nos encontramos al fraude. El robo de personajes online para subastarlos o venderlos es uno de los riesgos más comunes, así como quitarles su dinero virtual o los objetos que poseen para poder venderlos luego.

- Los riesgos a la propiedad intelectual cada vez son más frecuentes. El espionaje industrial, el filtrado de información o la pérdida de documentos ya no parecen riesgos tan lejanos como hace un tiempo.

- El acceso de menores de edad a contenidos para adultos disponibles en estos mundos virtuales es muy difícil de controlar. A día de hoy es reamente complicado poder comprobar la edad de los usuarios.

- La resolución de disputas online es algo muy complicado, no existen leyes en estos mundos virtuales, con lo que el escenario puede ser parecido al Oeste: donde las disputas son ganadas por el más fuerte o arbitradas por un tercero que no es 100% objetivo.

- El spam dentro del mundo virtual es un riesgo cada vez más común. Los spammers buscan nuevas formas de contacto continuamente y en este caso el envío de publicidad o mensajes no solicitados dentro de los mundos virtuales se ha incrementado notablemente.

- Las denegaciones de servicio (DoS) se dan en muchas ocasiones debido al carácter cliente-servidor y, a veces, a las pobres medidas de seguridad. Son ataques contra la infraestructura que aloja el mundo virtual y que puede dejar a todos los usuarios del mismo sin acceso.

- Servidores de juego maliciosos para robar credenciales de acceso o personajes: una especie de "man-in-the-middle" cuando no existe autenticación cliente-servidor (y servidor-cliente), o simplemente, servidores de juegos "no oficiales".
- Con la técnica de "ataques en el cliente", muy común hoy en día, se infectan los equipos de forma remota utilizando fallos en los clientes.

- Ataques en el servidor de autenticación para utilizar en beneficio propio y bloquear a otros usuarios.

- Existe una gran dificultad para establecer políticas corporativas. ¿Qué hacemos con la información confidencial que a veces aparece? Estos mundos son ajenos a las políticas de seguridad de las empresas, y muchas veces los propios empleados o terceros utilizan información confidencial, la marca, logo u otro tipo de información sin permiso. Es muy complicado forzar la política de seguridad corporativa en estos mundos.

Todos los nuevos modelos de comunicación y relaciones que van apareciendo hoy en día como las redes sociales, virtualización o juegos online requieren de un análisis para conocer los riesgos de seguridad y las contramedidas que existen para intentar eliminarlos, o al menos, mitigarlos; para ello el documento de ENISA ofrece diferentes recomendaciones que merecen la pena analizar. La velocidad con la que evolucionan los riesgos de utilizar Internet es tan rápida que es prácticamente imposible detenerse un momento a reflexionar y mirar hacia atrás, implica estar disponible (online) 24 horas al día, 365 días al año.

(#) Second Life el mundo virtual más popular cuenta con 15 millones de usuarios seguido por World of Warcraft con 11 millones

El estudio está disponible en la página web de ENISA

Fuente s21sec.com

Los ciberdelincuentes ven grandes facilidades para realizar sus ataques

Llega la tercera y ultima entrevista de la la serie realizada por infobaeprofesional.com:

El resurgimiento del virus Conficker, que se extendió aprovechando un agujero de seguridad en Windows, violando contraseñas débiles e infectando sistemas a través de memorias USB, demuestra las graves consecuencias que pueden generar los errores en la programación de aplicaciones informáticas.

La aparición del gusano informático Conficker, también conocido como Downadup, que en las últimas semanas infectó millones de computadoras en el mundo aprovechando un error en el sistema operativo Windows, volvió a demostrar que los errores en la programación de aplicaciones tecnológicas pueden generar graves peligroso a la seguridad de las personas y a las organizaciones.
El virus explota la vulnerabilidad de Microsoft que permite a los delincuentes infectar las computadoras de los usuarios. Puede leer más sobre este código malicioso en las notas relacionadas.
La empresa de seguridad informática británica Sophos realizó una encuesta sobre quién es el responsable del nuevo estallido del Conficker. El sondeo, realizado en línea a 165 usuarios de empresas entre el 19 y el 21 de enero de 2009, indica que el 30% de los encuestados piensa que los administradores de sistemas son los mayores responsables del reciente brote del gusano, por haber sido demasiado lentos a la hora de instalar el parche de seguridad lanzado por Microsoft para el Windows.

Pero también Microsoft fue implicada, ya que el 17% de los encuestados culpa al fabricante del sistema operativo de tener un agujero de seguridad.

“La mayoría de usuarios cree que los creadores de virus son los últimos responsables por crear y lanzar este gusano, que ha afectado a empresas de todo el mundo poco protegidas”, afirmó Graham Cluley, consultor de Tecnología de Sophos “Pero lo más sorprendente es que muchos técnicos culpan a sus iguales por no realizar un mejor trabajo para defender sus redes. Muchas compañías parecen estar increíblemente frustradas por la continua necesidad de crear parches de seguridad en sus redes. Lo preocupante para Microsoft es que uno de cada cinco usuarios, lo sitúan en primer lugar como culpable de dicha vulnerabilidad”.

Microsoft había lanzado a finales de octubre de 2008 un parche de seguridad urgente para poder prevenir la infección del gusano Conficker.
En la última semana hubo un resurgimiento de este gusano que se extendió de nuevo aprovechando el agujero de seguridad, violando contraseñas débiles e infectando los sistemas vía dispositivos USB como los pen drives.

iProfesional entrevistó sobre la seguridad en el desarrollo de los códigos a Roberto G. Langdon, presidente y CEO de 2Minds, una empresa que realiza consultorías de seguridad informática en el sector corporativo. Puede leer más sobre estos problemas en las entrevistas relacionadas al final de esta nota.

-¿Por qué el código seguro no es aún una realidad?

-Los avances de los ataques de seguridad informática a las aplicaciones están creciendo cada vez más rápido, y fundamentalmente es porque todavía no existe en forma masiva, una conciencia de uso de sistemas de prevención de intrusos (los llamados sistemas IPS), y eso los cyberdelincuentes lo saben, y lo aprovechan. Aún ven grandes facilidades para realizar sus ataques, valiéndose de que los desarrolladores no están tomando en consideración todas las acciones que deben encarar actualmente, en lo que respecta a presentación de datos, gestión de datos y manipulación de datos dentro de las aplicaciones. Hasta se debe tomar control del comportamiento y manejo de los errores dentro del programa, pues justamente los mensajes de error por exceptiones de datos (o errores de datos) hacen que se presente en pantalla del browser mucha información que es de mucha utilidad para quien quiere ir obteniendo información paulatinamente, para ajustar su ataque.
Existen controles que debieran implementarse para evitar la alteración de instrucciones en el programa, y que justamente son explotadas en las instrucciones donde se deben ingresar datos en forma externa, fundamentalmente. El día que todos los desarrolladores codifiquen códigos seguros, el tipo de ataque de Inyección de Código SQL habrá quedado en el olvido, o habrá sido reemplazado por otro tipo de ataque más sofisticado.

Por otra parte, lograr un código seguro implica una mayor inversión en tiempo de los desarrolladores y de los testeadores de productos, factores generalmente escasos por urgencias en tiempos, o por escasez de recursos, o por ambos al mismo tiempo.

¿Cuáles son las técnicas que deberían aplicarse para aumentar los controles?

-A los propios mecanismos de protección y segurización del código, se deben agregar controles de hash, de fechas y de otros datos que permitan “autenticar” que la versión en ejecución es la efectivamente colocada en producción, y no ha cambiado. Quizás parezca paranoico, pero son consideraciones que se deben tomar ahora, que hace unos años atrás eran innecesarias, pero que actualmente es frecuente la detección de situaciones delictivas habiendo tomado control de la aplicación, modificarla, y reemplazar la que está en vigencia.

Eso sí, a la codificación segura de aplicaciones se la debe acompañar de una protección perimetral acorde a las circunstancias actuales.

-¿Las empresas desarrolladoras de software están preocupadas para que el código que escriben sea más seguro?
-Debieran estarlo, porque cualquier alteración que sus productos permitan ejecuciones no deseadas, van en contra del buen nombre del producto.

¿Qué medidas están tomando en ese sentido?

Voy a indicar cuales serían las medidas que deberían tomar en este sentido, y que se pueden abrir en dos grupos: el primer grupo corresponde a la etapa de desarrollo, y el segundo grupo a la etapa de testeo.
En el primer grupo, se debe contar con recursos de control y auditoría de código, para no solamente verificar la calidad del mismo, sino también asegurarse que se han tomado acciones para proteger el código y los datos que maneja. Se debe hacer hincapié en como se controla el dato de entrada y sus características, como se rechazan los caracteres no habilitados (metacaracteres, por ejemplo), como se manipulan los nombres de usuario y sus passwords, para que luego de haber sido autenticados, no queden disponibles para que cualquiera pueda obtenerlos provocando un vuelco de memoria.

En el segundo grupo, además de verificar que los sets de prueba arrojen resultados esperados, se deben someter las aplicaciones a tests de penetración, que dentro de sus rutinas, verifican el comportamiento de la aplicación ante diversos tipos de ataques, y detectan e identifican estos expuestos para que sean resueltos por la gente de desarrollo. Es mandatorio que el grupo de desarrollo sea distinto al del grupo de test.

-¿Se debe replantear por completo la forma en que se escribe el código?
-Se debe capacitar a los desarrolladores en las técnicas de codificación segura, valiéndose de documentación emanada por la ISO, que en todo lo relacionado a calidad y desarrollo de software tiene mucho camino transitado. La seguridad informática se ha convertido en una disciplina por sí misma, y como tal, debe ser difundida tanto en el grupo de desarrollo como en el de test. Yo me pregunto cuántas empresas de desarrollo de software finalizan su trabajo con un test de penetración, para determinar que efectivamente su producto está a prueba de las condiciones en vigencia. Pareciera que ese es un problema del usuario, pero en realidad debiera ser del desarrollador.

César Dergarabedian
(©) iProfesional.com


Link relacionados:
-La seguridad en el código informático es cada vez más una inquietud de todos
-La mayoría del software no es suficientemente seguro

Herramientas de ESET para eliminar Conficker y Mebroot

ESET pone a disposición una serie de herramientas gratuitas para los usuarios de otras soluciones de seguridad contra ciertos malware que causaron altos niveles de infección y que además presentan cierta complejidad para su limpieza total.

Estas herramientas sólo eliminan el malware mencionado y están disponibles para todos los usuarios interesados, aunque además es recomendable la exploración con ESET Online Scanner o la descarga de evaluación de ESET NOD32 o ESET Smart Security, en caso que haya otros malware en el sistema.

• Conficker
  
  También conocido como Downadup o Kido, el gusano Conficker es un malware detectado por primera vez en noviembre del 2008 y que utiliza la vulnerabilidad de Windows reportada y corregida por Microsoft en su boletín MS08-067. Las nuevas variantes de este gusano también se propagan a través de recursos compartidos de la red y a través del archivo autorun.inf de distintos dispositivos de almacenamiento.
  Debido a sus altos niveles de infección, ESET creo una herramienta de limpieza para Conficker (MD5: ee12bc304cca8d7da0ea2eeb8366d1bb).
  

  
  

• Mebroot
  

  También conocido como Mbroot, StealthMBR o Sinowal, el rootkit Mebroot es un código malicioso que fue detectado por primera vez durante enero del 2008 y se instala en el sector de arranque del disco rígido (MBR) dificultando la limpieza de dicho malware y permitiendo al rootkit estar activo desde antes del inicio del Sistema Operativo. Mebroot además también descarga otros códigos maliciosos al sistema del usuario.
  Debido a su propagación y su complejidad, ESET creo una herramienta de limpieza para Mebroot (MD5: 9625d3da28c78900c23065f6e9273a6f).

1st Security Blogger Summit (Madrid)

Cryptex ha recibido una invitación al 1st Security Blogger Summit:

Nos ponemos en contacto contigo para invitarte al 1st Security Blogger Summit, organizado por Panda Security. Se trata de la primera reunión internacional de bloggers sobre seguridad, en la que se celebrará una mesa redonda para tratar los temas más importantes relacionados con la ciberdelincuencia y la seguridad informática.

Entre los ponentes más destacados se encuentra Bruce Schneier, afamado líder de opinión de talla mundial, además de otros comunicadores como el experto en IT Andy Willingham; el redactor de USA Today Byron Acohido; Steve Ragan, de The Tech Herald; Antonio Ortiz, creador del blog Error500; Javier Villacañas, conocido periodista de la Cadena Cope; Ero Carrera Chief Research Officer de Virustotal, Hispasec; o Sebastián Muriel, Director General de Red.es. En los próximos días se irán añadiendo más confirmaciones.

Agenda:

* 18:00 horas: Apertura de puertas
* 18:30 - 18:45: Introducción de Bruce Schneier
* 18:45 - 19:45: Mesa Redonda. Temas:
o La industria de la seguridad hoy
o Un repaso a las estrategias de prevención del cibercrimen
* 19:45 - 20:00: Coffee Break & networking
* 20:00 - 21:00: Mesa Redonda. Temas:
o Mejora de las leyes contra el cibercrimen
o Tecnologías emergentes en la lucha contra el cibercrimen
* 21:00: Cocktail/cena, barra libre de copas & ne

Mas información sobre el evento...

PCI Compliance for dummies (Free Book)

Download this Free Book: Get the Facts on PCI Compliance and Learn How to Comply with the PCI Data Security Standard

Complying with the PCI Data Security Standard may seem like a daunting task for merchants. This book is a quick guide to understanding how to protect cardholder data and comply with the requirements of PCI - from surveying the standard's requirements to detailing steps for verifying compliance.

PCI Compliance for Dummies arms you with the facts, in plain English, and shows you how to achieve PCI Compliance. In this book you will discover:

• - What the Payment Card Industry Data Security Standard (PCI DSS) is all about
• - The 12 Requirements of the PCI Standard
• - How to comply with PCI
• - 10 Best-Practices for PCI Compliance
• - How QualysGuard PCI simplifies PCI compliance

Contact Information

Download

Web Application Scanners Comparison

In the past weeks, I've performed an evaluation/comparison of three popular web vulnerability scanners.

This evaluation was ordered by a penetration testing company that will remain anonymous. The vendors were not contacted during or after the evaluation.

The applications (web scanners) included in this evaluation are:

• - Acunetix WVS version 6.0 (Build 20081217)
• - IBM Rational AppScan version 7.7.620 Service Pack 2
• - HP WebInspect version 7.7.869

I've tested 13 web applications (some of them containing a lot of vulnerabilities), 3 demo applications provided by the vendors (testphp.acunetix.com, demo.testfire.net, zero.webappsecurity.com) and I've done some tests to verify Javascript execution capabilities.

In total, 16 applications were tested. I've tried to cover all the major platforms, therefore I have applications in PHP, ASP, ASP.NET and Java.

The report can be found at http://drop.io/anantasecfiles/

Fuente: Ananta Security

Link relacioando:
- Web Application Scanners Comparison

Un ex funcionario de la SIDE fue procesado con prisión por "hackear" un software de la policía uruguaya

MONTEVIDEO. La Justicia uruguaya procesó con prisión a un ex agente de los servicios de inteligencia argentinos por el delito de apropiación de datos, luego de ser acusado de espiar información reservada de la policía local. En diciembre, Iván Velázquez ya había sido procesado, sin prisión en ese caso, por comprobarse que habia accedido a información electrónica de oficinas del gobierno, dirigentes políticos y periodistas.

Velásquez fue agente de la Secretaría de Información del Estado (SIDE) argentina y se había especializado en violación de sistemas informáticos. El ex agente estaba en Uruguay para tramitar el pedido de asilo político con el argumento de que era perseguido por el gobierno de Argentina. La Cancillería uruguaya tiene un pedido de extradición de la administración de Cristina Fernández.
Velázquez ha despertado sospechas por la habilidad para lograr información reservada de gente de diversos ámbitos, incluso de la casilla de correo electrónico del ex presidente argentino Néstor Kirchner.
En el expediente judicial que determinó su procesamiento en las últimas horas, se indica que Velásquez pudo "hackear" los archivos reservados de la policía uruguaya mientras reparaba un programa informático que el mismo había "donado" a la policía.
Las autoridades le encontraron una memoria extraíble de computadora, en la que tenía los registros de armas de unos 60 policías de la Jefatura de Montevideo.

El diario local El Observador informó que Velásquez había logrado ganarse la confianza de las autoridades de la Oficina de Contralor de Armas (OCA), incluso luego de haber sido procesado por su espionaje a políticos uruguayos.
Según la versión, Velázquez creó un sistema informático para que la Policía pudiera llevar un registro de armas y donó el equipamiento con el programa. Eso lo hizo mientras tramitaba la tenencia de armas. A los pocos días de instalado el programa, ocurrió un error en el sistema y la policía llamó al hacker Velásquez para repararlo. En esa ocasión, el espía copió los datos que buscaba: información del tipo de armas en poder de 60 policías de la Jefatura de Montevideo, nombres, documento de identidad y lugar donde actúan esos funcionarios. El diario, basado en el expediente judicial, asegura que ni siquiera un jerarca policial de la Jefatura puede acceder a los datos que le encontraron en un pen drive a Velázquez.

El hacker había sido enjuiciado sin prisión en diciembre por pagar una coima a un policía y acceder a información de Migraciones. Velázquez quería saber si un juez y dos funcionarios del gobierno argentino ?que según denunció lo persiguen? ingresaron a Uruguay y tenían propiedades en el país.

La historia de Velásquez se asemeja a una película de espías. El diario local El País informó que había logrado interceptar unas 600 cuentas de correo electrónico de dirientes políticos y empresarios argentinos y obtuvo la contraseña de 50 cuentas de políticos e instituciones uruguayas. Se indicó que utilizaba el mecanismo de clonación de una página web de correo, para obtener la contraseña de un usuario. Manejaba una base de datos de otras 300 cuentas de emails de uruguayos, fundamentalmente dirigentes de la coalición de gobierno Frente Amplio y también de periodistas de medios de prensa afines a la izquierda oriental.

Entre sus operaciones de hacker figuraban casillas de correo de empresarios uruguayos y sus relaciones políticas. Se indicó que había logrado violar casillas de mail del ex presidente Kirchner y de otros dirigentes peronistas y que además tenía una base de contraseñas para ingresar a bases de datos de la policía argentina.
En su país, fue acusado de violar del delito de revelar "secretos políticos o militares concernientes a la seguridad, medios de defensa o a las relaciones exteriores de otra nación", lo que está en el expediente de pedido de extradición.

La Cancillería del Uruguay rechazó el pedido de asilo político de Velásquez, pero el ex agente ganó tiempo al interpone una acción de amparo. Pero mientras eso era analizado, fue detenido por el Departamento de Delitos Informáticos de la Jefatura de Montevideo por pagar una "coima" a un funcionario de Migraciones para destruir un expediente donde solicitaba la ciudadanía uruguaya e iniciar otro. Velásquez negó que hubiera pagado coimas, pero hubo pruebas de pagos de hasta 700 dólares. En ese caso fue procesado sin prisión por el delito de cohecho simple; y como coautor de un delito de uso indebido de información. Esta madrugada de domingo fue a prisión por otro delito, de apropiación de datos, ahora ya sin el beneficio de "primario".

Fuente www.lanacion.com.ar

28 de enero: Día internacional de la Protección de Datos personales

3rd DATA PROTECTION DAY

El 28 de Enero del 2009, muchos países de Europa van a celebrar el día Internacional de la protección de datos personales. El Consejo de Europa, con el apoyo de la Comisión Europea crearon esta importante fecha hace tres años en homenaje al Convenio 108 del Consejo de Europa.

En este día se realizaran varios eventos, en varias ciudades de Europa, incluyendo reuniones presenciales y programas educativos. El día también fue creado para concientizar a los ciudadanos "de los riesgos inherentes y asociados con el manejo ilegal de nuestros datos personales".

Debido a su importancia, distintas entidades en Estados Unidos y Canadá, así como las organizaciones del sector privado de diferentes países se han sumado a este esfuerzo. Nos gustaría proponer a las distintas comunidades que trabajan en temas de privacidad/habeasdata/ protección de datos, ONG, asociación de consumidores así como todos los usuarios de Internet de América Latina, Asia, Australia, América del Norte y Europa trabajemos juntos para promover el 28 de enero Día Internacional de la Privacidad como una fecha importante, y para centrar el debate sobre "problemas reales" y "soluciones reales".
Si bien este día comenzó como un día "europeo" hace tres años, rápidamente se extendió a Estados Unidos y ahora a América Latina. El derecho a la privacidad es un derecho humano universal, reconocido en todos los textos internacionales de derechos humanos y constituciones. En nuestra región ha tenido un gran impulso merced de la aprobación de leyes de protección de datos personales en la última década en Argentina, Chile, Colombia, Paraguay y Uruguay.

La realidad es que los usuarios de Internet pueden hacer muy poco para proteger su información personal y, si hemos de desarrollar soluciones significativas que aborden los problemas reales asociados a la recolección y uso de nuestra información personal, el enfoque debe ser necesariamente en aquellas organizaciones - la industria y los gobiernos - que colectan nuestros datos personales. El punto clave es motivar a la gente a la acción - no sólo es configurar nuestras
opciones de privacidad, ni destrozar los estados de cuenta bancarios ni instalar una extensión en nuestro navegador, sino concientizar al usuario final de por qué es necesaria una ley de protección de datos personales y más aún, la observancia de nuestro derecho a la privacidad para que podamos tener capacidad de controlar nuestra propia información personal.

La idea es que cada uno de nosotros difundamos el mensaje de manera descentralizada a través de nuestros propios espacios, redes y amigos.

La RED LATINOAMERICANA DE HABEAS DATA, con blogs en Argentina, Brazil, Chile, Colombia, y Uruguay los invita a participar y sumarse a este evento.

Visto en el Blog del Foro de Habeas Data

Los troyanos ganan terreno al "phishing" en el fraude por Internet

Los troyanos, programas informáticos maliciosos que pueden robar contraseñas, están ganando terreno a la técnica del "phishing" -envío masivo de correos electrónicos falsos para lograr claves bancarias-, en el que cada vez "pican" menos internautas.

Según los datos del Instituto Nacional de Tecnologías de la Comunicación (Inteco), en 2007, el 70 por ciento de los ataques con fines económicos fue con la técnica del "pishing", mientras que el 30% restante vino a través de troyanos, programas informáticos dañinos que parecen ser software útil y que pueden dañar el equipo o la información del usuario de múltiples formas.
Este porcentaje se ajustó en 2008 (60% frente a un 40%) y es previsible que se iguale o incluso cambie este año, que ha empezado con el ataque más fuerte de los últimos cuatro años: el gusano Downadup, también conocido como Conficker, que ha infectado más de 9 millones de ordenadores por una vulnerabilidad del sistema operativo y que es capaz de transmitirse a través de dispositivos USB.

Una vez en el equipo, Conficker puede descargarse otros programas maliciosos, espiar al usuario o permitir a un tercero hacer un uso fraudulento del equipo.

"El malware (programas informáticos maliciosos) con fines económicos se ha multiplicado en los últimos meses, mientras que los ataques de "phishing" van bajando, ya que los internautas conocen mucho esta técnica y no caen tanto", explica el subdirector de e-confianza de Inteco, Marcos Gómez.
A este mayor conocimiento se suma la actual situación económica que hace que los ciudadanos "se preocupen mucho más por el bolsillo" y sean más "desconfiados" en todo lo referente a los datos o contraseñas bancarias, añade Gómez.
No obstante, de la mano de la crisis, va a venir otra de las principales amenazas de seguridad informática de 2009: los correos electrónicos con ofertas de trabajo fraudulentas para blanquear dinero.

En Inteco confirman que este tipo de "spam" (correo no deseado) ha crecido en los últimos meses ante el mayor número de parados.
Los ciberdelicuentes se "adaptan" a la actualidad y la gente puede dejarse atraer por un dinero que parece fácil, pero no se debe olvidar que son delitos, que están siendo cómplices de un fraude, advierte Gómez.
Y también el correo electrónico va a ser una de las principales puertas de entrada para los "troyanos": el 45 por ciento de los programas maliciosos (malware) ya se distribuye solo por e-mail, como un archivo adjunto que parece una aplicación útil, una tendencia que seguirá creciendo, según datos de la compañía de seguridad informática BitDefender.

Ante estas amenazas -los troyanos son capaces de robar contraseñas, descargarse otros programas maliciosos o convertir el ordenador en distribuidor de "spam"-, desde Inteco recomiendan tener protegido el sistema operativo con los programas necesarios (cortafuegos, antivirus, filtros de correo); tener mucha cautela a la hora de navegar por Internet y, ante cualquier duda, consultar a especialistas. EFECOM nca/rl
Fuente: EFE

Visto en ar.invertia.com

La seguridad en SAP - Roles y permisos

Tema complicado si los hay… explicar como funciona la seguridad en SAP… trataré de hacer lo más simple posible algo lo suficientemente complicado.

Una vez que accedimos a SAP si nuestro usuario no tiene efectivamente ningún tipo de permiso al sistema (solo el acceso) no vamos a poder realizar ninguna actividad sobre el mismo.

La manera de asignar estos permisos es a través de Roles.

Los Roles, son un medio para permitir que un usuario acceda a una transacción o pueda ejecutar una función determinada dentro de alguna transacción.

Para entender el concepto hace falta explicar el concepto de Objeto de Autorización: Es un objeto que nos brinda SAP como marco para crear Autorizaciones y es la unidad fundamental de la seguridad en SAP.

Un Objeto de Autorización tiene el siguiente formato:

Nombre del Objeto: S_TCODE (Permiso de acceso a las transacciones)
Campo: TCD (Código de Transacción)

Este es el objeto por excelencia (S_TCODE), en donde uno determina las transacciones a las que el usuario debería tener acceso. Para ser más claros:
Paso 1: El usuario pfernandez necesita acceder a las transacciones SU01 (ABM de Usuarios) y SU10 (Gestión de Usuarios en Lote)
Paso 2: Ante la necesidad se crea un ROL de nombre Z:GESTION_USUARIOS al cual se le asignan las dos transacciones en el menu a través de la transacción PFCG.
Paso 3: Automáticamente SAP crea una autorización para el rol Z:GESTION_USUARIOS para el objeto S_TCODE, al que le agrega en el campo TCD los valores: SU01 y SU10.
Paso 4: Se asigna al usuario pfernandez el rol Z:GESTION_USUARIOS dándole a través del mismo el acceso a las transacciones SU01 y SU10.
Paso 5: El usuario pfernandez, accede al sistema con su usuario y contraseña y una vez dentro, ejecuta la transacción SU01.
Paso 6: SAP analiza el pedido de ejecución de la transacción SU01, y se fija que entre los permisos de pfernandez se encuentre el objeto de autorización S_TCODE con el campo TCD con el valor SU01. Si es correcto permite el acceso a la transacción.

Cabe destacar que el control del objeto S_TCODE está implícito en SAP y se realiza siempre que se llama a una transacción, por eso el objeto S_TCODE es tan “popular” dentro de la segurida SAP

Esta explicación es a fines educativos solamente, más adelante vamos a ver que la generación de un rol, es mucho más compleja que los pasos seguidos anteriormente, pero da una idea general de como es el proceso.

En un próximo post vamos a explicar como es el proceso de autorización completo y con ejemplo de mayor complejidad.


Fuente: http://www.seguridadsap.com/

La seguridad en el código informático es cada vez más una inquietud de todos

Continuando con la serie de entrevistas realizadas por iProfesional.com y republicada en Cryptex en el post "La mayoría del software no es suficientemente seguro" presentamos a continuación la entrevista a Jorge Cella:


Jorge Cella, gerente de Iniciativas de Seguridad de la filial argentina de Microsoft, el mayor fabricante mundial de programas de computación, habló con iProfesional sobre los riesgos en el desarrollo y la generación del software.

Puntos Importantes

• - En Microsoft generaron un modelo de seguridad mejorado que incluye encriptación de la base de datos y configuraciones predeterminadas seguras.
  
  
• - Igualmente, en la empresa afirman que es importante desarrollar tecnologías innovadoras como fomentar la planificación de la seguridad y la prevención.
  
  
• - Para aumentar la seguridad en el desarrollo de código se requiere tanto la adopción de prácticas seguras en manos de los desarrolladores como seguridad en tecnología de la plataforma de desarrollo.

El grupo incluye, entre otros, al Ministerio de Seguridad Interior de Estados Unidos y la agencia de seguridad NSA, la organización japonesa IPA y empresas como Microsoft y Symantec. De acuerdo al documento, la mayoría de estos errores son desconocidos entre los propios programadores, y no integran los estudios de los desarrolladores.

iProfesional entrevistó sobre la seguridad en el desarrollo de los códigos a tres especialistas en seguridad informática argentinos: Ivan Arce, CTO de Core Security Technologies; Roberto G. Langdon, presidente y CEO de 2Minds; y Jorge Cella, gerente de Iniciativas de Seguridad de Microsoft Argentina.

Entrevista a Cella:

-¿Por qué el código seguro no es aún una realidad?
En la industria se trabaja fuertemente para que el software sea cada vez más seguro y que los códigos no sufran vulnerabilidades. Se ha avanzado mucho en este sentido mejorándose los estándares, pero el trabajo en seguridad siempre es arduo y requiere de la suma de esfuerzos de todos los actores además de una fuerte inversión en innovación.

Sabemos además que existen en paralelo redes delictivas que buscan lucro económico realizando ataques en seguridad que nos llevan a superarnos en desarrollo de tecnologías y capacitación de los usuarios para protegerlos. Desde Microsoft a partir de las opiniones y devoluciones de los desarrolladores con los que trabajamos y aquellos que son usuarios y pertenecen a la comunidad. Net, estamos invirtiendo y destinando recursos para seguir mejorando el nivel de seguridad de la plataforma de desarrollo.

-¿Las empresas desarrolladoras de software están preocupadas para que el código que escriben sea más seguro?
Vemos un interés generalizado en la problemática que afecta a toda la industria. Este interés se ve reflejado en la inversión que hacen las empresas para desarrollar plataformas seguras, en mejorar sus productos, en buscar soluciones que cubran las expectativas del mercado.

-¿Qué medidas están tomando en ese sentido?
-Desde Microsoft hemos realizado una gran inversión en tecnología para mejorar nuestros productos progresivamente y esto lo vemos, por ejemplo el SQL Server 2005 constituye un hito que desde su lanzamiento hasta la fecha, tiene vulnerabilidad 0. Tomamos este producto como ejemplo de superación en innovación y desarrollo de tecnología en seguridad.
Incluso este modelo de seguridad mejorado que incluye encriptación de la base de datos, configuraciones predeterminadas seguras, ejecución de la política de identificación y control de permisos detallados y que hoy podemos comprobar a partir de 3 años de uso sin vulnerabilidad alguna, puede ser superado en el desarrollo de plataformas más seguras que vemos en el nuevo SQL Server 2008.
Pero creemos que es igualmente importante desarrollar tecnologías innovadoras como fomentar la planificación de la seguridad y la prevención y fundamentalmente favorecer la capacitación de los usuarios para asegurar que los clientes y organizaciones tengan ambientes TI seguros, por eso también pusimos nuestro foco en estos puntos preventivos. De este modo la experiencia con la tecnología es mejor gracias a la innovación, pero también a la responsabilidad de las personas.

-¿Se debe replantear por completo la forma en que se escribe el código?
-La seguridad en el desarrollo de código es cada vez más una inquietud de todos. Se requiere tanto la adopción de prácticas seguras en manos de los desarrolladores como seguridad en tecnología de la plataforma de desarrollo. En ambos sentidos trabajamos y creemos que esta combinación generará una base sólida como cimiento para avanzar en un entorno más seguro para el desarrollo de software.

César Dergarabedian
(©) iProfesional.com

Link relacionado:
- 2009 CWE/SANS Top 25 Most Dangerous Programming Errors

Penetration testing: dead in 2009?

Is the practice of penetration testing headed the way of desktop publishing and the PDA? Well probably not dead as is dead and gone, it just won't be as cool as it was before. Here's a look at the possible reincarnation of penetration testing

Penetration testing: Security experts mention it all the time as one of the essential tools of defense-in-depth. Companies have raked in the dough selling the service and the tools for years.
But is it possible that penetration testing -- the art of probing company networks in search of exploitable security holes that can then be fixed -- is an idea whose time is about to expire?

If you ask Brian Chess, co-founder and chief scientist of business software assurance (BSA) vendor Fortify Software Inc., the answer is yes.
"Death sounds rather gloomy, but stuff in high tech dies all the time," Chess said in an interview Tuesday. "Desktop publishing? Dead -- but not gone. Personal Digital Assistant (PDA)? Many of the concepts are still with us, but the PDA is dead."

Penetration testing is headed for a similar fate, he said. The concept as we know it is on its death bed, waiting to die and come back as something else. That doesn't mean pen testers will suddenly be unemployed, he said. It's just that they "won't be as cool" as they've been in more recent years.

Customers are clamoring more for preventative tools than tools that simply find the weaknesses that already exist, he said. They want to prevent holes from opening in the first place.
"Death doesn't mean it goes away, it means it transforms. Pen testing will be reborn in the area of production monitoring and measurement," Chess said. "The goal won't be that failure is found and must be fixed. The goal is that failures will become a much rarer event."

Naturally, security practitioners who swear by pen testing as a critical component of a layered security program are reacting to his hypothesis with more than a little skepticism.

Jennifer Jabbusch, CISO at Carolina Advanced Digital Inc. in the Raleigh-Durham area of North Carolina, took issue with Chess' basic premise that penetration testing will become a component of monitoring and measuring.

"Pen testing will continue," she said in an exchange over the Twitter social networking site. "Monitoring and measuring is not pen testing. It's what you do after pen testing."

She also faulted the example of desktop publishing being a dead art, saying, "Desktop publishing isn't dead. In fact, it's grown. Now you can design on your desktop and deliver via the Internet for printing at FedEx/ Kinkos."

By: Bill Brenner - CSO (US)(NA)
www.itworldcanada.com

Astaro Security Linux 7.385 Beta

Astaro Security Linux is an award-winning, unique network security solution in an integrated and easy-to-use and manage package.

Astaro Security Linux includes a combination of the following security applications:

- A Firewall with stateful packet inspection and application proxies guards Internet communications traffic in and out of the organization.

- A Virtual Private Network (VPN) gateway assures secure communications with remote offices, �road warriors,� and telecommuters.

- Anti-Virus defends computers from both email and web-bourne viruses.

- Intrusion Protection detects and stops hostile probes and application-based attacks.

- Spam Filtering eliminates the productivity drain of opening and deleting unsolicited emails.

- Surf Protection (Content Filtering) and Spyware Protection improve productivity by blocking inappropriate web activities, provide full protection from user tracking threats and violation of privacy.

Here are some key features of "Astaro Security Linux":

· Protects all types of networks � Windows, Linux, Unix and others.

· Delivers comprehensive features at low cost maximizing your ROI (return on investment).· Highly effective. Has won numerous industry awards. Beat Cisco and Checkpoint in InfoWorld magazine product review, Beat IBM and Computer Associates in Linux World for Best Security Application.

· Integrated management platform features an intuitive browser-based interface and one-step updates for rapid deployment and easy management.

· Can be installed in under 15 minutes or purchased pre-installed on security appliances.

· Can start with firewall, VPN and spam protection and add other security applications as needed, seamlessly.

· Runs as a dedicated application server on top of a hardened operating system, which relieves operating system management headaches.

· Runs on systems ranging from small devices up to large multi-processor systems utilizing gigabytes of memory.

· Redundant systems can be configured to provide high availability and automatic failover in case of hardware or network failures.

· Load balancing improves performance - traffic shaping can set priorities by network, service and protocol.

· Logging, automatic backup, and diagnostic tools support high reliability.

· Free online evaluation workshop to get you started.
Limitations:· 30 day all feature on trial period

What's New in This Release: [ read full changelog ]·

This beta Up2Date contains fixes in almost every area, with major adjustments, fixes, and polish for the HTTPS filtering, WAN link balancing, and both single and cluster installations with large database sizes.

Visto en linux.softpedia.com

Annual Report PandaLabs 2008

PandaLab publico en su blog a fines del 2008 su ultimo informe con importantes datos correspondientes al ultimo trimestre del año 2008 y al resumen anual de la evolución del malware a lo largo del año. El documento tiene 53 paginas y se encuentra disponible tanto en español como en ingles.

Distribución de las nuevas amenazas detectadas por PandaLabs en el cuarto trimestre del 2008:

Descarga del Informe:

• - Spanish


• - English

Gusano Downadup infectó a más de 5,4 millones en sólo 4 días

La semana pasada se estimó que el virus Downadup , también conocido como Conficker, había infectado a más de 3,5 millones de computadoras. Ahora F-Secure acaba de anunciar que en tan sólo cuatro días, la cantidad subió a 8,9 millones de máquinas Windows contagiadas.

Links:
- Calculating the Size of the Downadup Outbreak (F-Secure)
- Instrucciones y programa para eliminarlo en español (Symantec)
- Más ayuda y programas para eliminarlo en inglés (F-Secure)
- Programas Antivirus gratuitos: AVG Free - Avast! - ClamWin (código abierto)

Visto en www.fayerwayer.com

Sophos: Security threat report 2009

Prepare for this year’s new threats

Sophos, compañía de seguridad TI y control de contenidos, ha publicado su Informe de Seguridad 2009 en el que hace un análisis del panorama de las amenazas de los últimos doce meses así como las tendencias sobre cibercrimen que emergerán en 2009. .

El Informe de Seguridad de Sophos revela que la mayoría del malware se aloja en páginas web americanas y la mayor parte del spam es emitido desde ordenadores americanos más que de cualquier otro país. Como prueba de ello, cuando una compañía de Internet americana, acusada de colaborar con spammers y hackers, fue desconectada de la red el pasado noviembre, hubo una drástica reducción del 75% del spam.

“No sólo Estados Unidos es el país que más spam emite porque sea el que más ordenadores comprometidos tiene estando bajo control de los piratas informáticos, sino que también es el que más páginas web maliciosas posee” afirma Graham Cluley, Consultor de Tecnología de Sophos. “Nos gustaría ver los Estados que menos impacto de amenazas provocaran durante el próximo año. Los ordenadores americanos, conscientes o no, están contribuyendo de manera inquietante al problema de los virus y el spam que nos afectan a todos”.

La investigación de Sophos ha revelado que en el año 2008 las bandas organizadas de cibercriminales han triplicado sus ataques contra sitios web, inyectando código malicioso que infecta a los usuarios domésticos y profesionales que visitan estas páginas. Además, el 2008 ha visto como los hackers se han organizado para presentarse como creadores de software antivirus legítimo, creando diariamente sitios web y aplicaciones con aspecto profesional con el objetivo de asustar a los usuarios haciéndoles creer que sus ordenadores han sido infectados. Como media, Sophos identifica diariamente cinco nuevos sitios web con este tipo de contenidos, con picos de hasta 20 sitios web al día.
El informe detallado, que documenta los mayores ataques de Internet durante 2008, también revela un incremento sorprendente de correos spam con archivos adjuntos maliciosos, diseñados para comprometer los PCs para el robo de identidades, dinero y recursos. Hacia finales de 2008, Sophos ha detectado cinco veces más ataques maliciosos de correo spam con archivos adjuntos que a principios de año.
Además, los spammers y creadores de malware han mostrado un descomunal interés por sitios web tales como Facebook, irrumpiendo en las cuentas de inocentes usuarios para aprovecharse de la confianza de las redes sociales y enviar spam y malware.
“Durante el último año se ha demostrado sin ningún tipo de duda que las bandas de hackers están más organizadas que nunca, a menudo trabajando más allá de sus fronteras para robar dinero y datos de usuarios confiados. El volumen de ataques se ha incrementado, con hackers que usan sistemas automatizados para introducirse en sitios web vulnerables o crear nuevas variantes de su malware” continua Cluley, “La gente necesita despertar a la realidad y darse cuenta que los sitios web legítimos que visitan podría estar albergando una peligrosa infección provocada por el malware que los hackers han introducido. Cuando entremos en 2009, no esperamos que estos ataques disminuyan. Cuando las economías comienzan a entrar en recesión será más importante que nunca para los individuos y para los negocios, asegurarse de que ellos están en guardia frente a posibles ataques de Internet”

Los ataques de Internet están perfectamente orquestados a través de las redes de ordenadores domésticos que, sin que lo sepan sus dueños, han sido tomados por los hackers. Sophos aconseja a los usuarios domésticos y a las organizaciones proteger apropiadamente sus ordenadores con un software anti-virus, parches de seguridad y firewall actualizados.

Estadísticas y principales conclusiones:

• - El mayor ataque de malware – ataques de inyección SQL contra sitios web y un notable incremento de scareware
• - Nuevas web infectadas – Cada 4 ó 5 segundos Sophos descubre una nueva página web infectada (Tres veces mas rápido que en 2007)
• - Archivos adjuntos maliciosos – este tipo de correos se envían 5 veces más a finales de 2008 que a primeros de año
• - Estados Unidos aloja el mayor número de malware basado en web, el 37%, robándole la primera posición que mantenía China en 2007
• - Los ordenadores americanos son los mayores emisores de spam, un 17,5% del total
• - Se incrementan las acusaciones sobre cibercrimen subvencionado por países tales como China, Corea del Norte, Rusia o Georgia. Estos países han sido acusados de espionaje y ataques vía Internet

Ranking de países que alojan malware en 2008:
En 2007, China era el país responsable de alojar el 50% de todo el malware basado en web. Sin embargo, en 2008 esta posición la ha tomado Estados Unidos.

Descarga del Informe de Seguridad 2009 completo - Sophos Security Threat Report 2009 (Ingles)

Link relacionado:
- Sophos Security Threat Report 2007-2008
- Top Online Security Threats for 2009

Obama, obligado a utilizar Windows Mobile en lugar de su "querida" Blackberry

Los expertos en seguridad del presidente aseguran que el uso de un dispositivo con Windows es "idóneo para garantizar el secreto de las comunicaciones presidenciales"

Como presidente de EEUU, Bill Clinton sólo envió dos mensajes de correo electrónico. De hecho, hoy en día, aún no se ha habituado a utilizar este sistema de comunicación. El actual presidente del país, George W. Bush, ya abandonó el uso del correo electrónico en enero del 2001, aunque según sus propias palabras tiene muchas ganas de poder volver a utilizarlo con sus familiares y amigos, tras abandonar la Casa Blanca el próximo día 20 de enero.
Pero el asunto del uso del correo electrónico por parte del presidente de EEUU en criterios de seguridad, parece que no pinta bien para Barack Obama. El presidente electo se ha declarado un "adicto" al servicio de correo electrónico, afirmando en una entrevista "estoy aferrado a mi BlackBerry".
Sin embargo, finalmente el servicio encargado de su seguridad se ha visto obligado a quitarle al presidente su 'vicio'. Argumentan que es posible que hackers malintencionados busquen la forma de acceder a sus mensajes o incluso realizar escuchas telefónicas. Aunque RIM, la compañía detrás de la fabricación del popular dispositivo móvil, ha señalado que ofrece un potente sistema de cifrado de las comunicaciones, por lo visto, el equipo de seguridad del presidente es mucho más exquisito en cuanto a sus criterios de seguridad.

"El uso de información clasificada en una Blackberry es algo
arriesgado", ha señalado Greg Shipley, jefe de tecnología de
Neohapsis.

Pero aunque Obama pueda perder su Blackberry mientras ejerce de líder estadounidense, sus expertos en seguridad le han asegurado que podrá utilizar otros dispositivos o sistemas que han considerado idóneos para el uso con total seguridad de documentos clasificados, envío de mensajes de correo electrónico y navegar por Internet.

Absolutamente desconocidos en el mercado de telecomunicaciones, los de seguridad consideran que el Sectera Edge de General Dynamics' es ideal para el presidente. El fabricante lo describe como una mezcla entre una PDA y un teléfono móvil, pero que funciona con redes Wi-Fi, GSM, CDMA y está fabricado a prueba de golpes, polvo y derrame de líquidos. Similar en diseño y dimensiones a la Palm Treo 750, incorpora una pantalla LCD adicional debajo del teclado.
La Agencia de Seguridad Nacional ha certificado este dispositivo como aceptable para las comunicaciones secretas que mantendrá el presidente, además de para el uso de mensajes de correo electrónico cifrados.
¿Pero por qué es un dispositivo idóneo y seguro? Según la NSA, el Sectera funciona con una versión de Microsoft Windows Mobile que ofrece versiones instaladas de Internet Explorer, WordPad y Windows Messenger lo suficientemente "buenas" como para que los datos clasificados ofrezcan un adecuado nivel de seguridad. Parece que estos expertos han encontrado el modo de añadir seguridad al navegador de Internet de Microsoft, que ha demostrado tener numerosos agujeros de seguridad en todas sus versiones.

Fuente Publico.es

Los riesgos del teletrabajo, 5 formas de hacerlo más seguro

En tiempos de crisis, las empresas ven en el teletrabajo una forma rápida de ahorrar costes y con ello los riesgos para su seguridad aumentan. La consultora Ernst & Young en un reciente estudio afirma que esos beneficios pueden ser superados por las pérdidas ocasionadas por unas malas prácticas respecto a la seguridad de la información.
Realmente, todo esto puede sonar un tanto antiguo como bien aclara Scott en Security Views (fuente) porque llevamos muchos años hablando de lo mismo en Daboweb. Pero no está de más recordarlo y he querido traducirlo ya que por mucho que hablemos de estos temas, nunca es suficiente y si tienes una empresa en la que algunos empleados trabajan remotamente a través de una intranet corporativa o si tu mismo eres uno de ellos, deberías tener en cuenta estos aspectos.

5 formas de fomentar un teletrabajo más seguro

1 - Antivirus, antispyware y políticas de filtrado a través de Firewalls. Como todos sabemos, ciertos virus que entran en los ordenadores personales que tienen en su hogar esos empleados, pueden llegar a propagarse fácilmente a través de las redes corporativas infectando a otros trabajadores y en algunos casos a los servidores de la empresa. Las empresas deberían preocuparse de dotar a sus empleados de buenas soluciones contra el malware y proporcionar medios eficientes de filtrado (bien por software, hardware o una combinación de ambos) así como de proporcionar regularmente las últimas versiones y parches del sistema operativo que usen.

2- Instalación de software y políticas de actualización. Se hace una llamada de atención a los potenciales riesgos del mal uso de programas P2P a través de los cuales puedan romper la seguridad de esos equipos (y aclaro, de uso totalmente legal por mucho que alguno quiera hacernos ver otra cosa-;) y también se habla del software no actualizado y los peligros que conlleva aconsejando el uso por ejemplo de Secunia PSI (sólo para Windows) para detectar ese software desfasado y ayudar a que esos empleados trabajen en entornos más seguros.

3- Otro tema a tener en cuenta es la política de acceso a redes inalámbricas desde el hogar de esos empleados. Si no se accede a Internet con unas mínimas medidas de seguridad por esas redes Wi-fi, la información que viaja por la red puede ser sensible a ser capturada por técnicas de “sniffing” quedando expuesto contenido sensible así como contraseñas y datos personales del usuario. (Sobre este punto y para realizar una traducción más completa, añado que es muy importante que el correo electrónico vaya cifrado bajo SSL o similar aunque se podría añadir tanto que haría esta entrada interminable-;).

4- Papel, medios de almacenamiento y políticas de eliminación. Los usuarios deberían estar obligados a realizar un seguimiento de los medios de comunicación electrónicos y en papel, se recomienda el uso de destructoras de papel (de costes ahora más reducidos) para mantener la información corporativa sensible a salvo de algunos que buscan “hasta en la basura” (que por cierto sigue siendo una técnica tan usada como efectiva para obtener información). Se hace una llamada de atención al almacenamiento de documentos, disquetes o CD’s, los cuales deben ser colocados en recipientes o gabinetes bajo llave. (Añado también que la información que contienen los discos duros debería estar protegida mediante cifrado o bajo el uso de unidades externas por ejemplo con protección por huella dactilar).

5- Para acabar, recordar que por mucho que se apliquen todas las medidas posibles y políticas de seguridad para evitar sufrir pérdidas y accesos no deseados a esa información, una “navegación responsable” es la mejor compañera así como el uso de sentido común. Añado también que la formación en la empresa sobre buenas prácticas de seguridad es fundamental, así como una actitud responsable de los empleados del uso de los sistemas corporativos no olvidando que en manos de todos, está reducir ese 90 % de Spam que acompaña a todo el correo electrónico que circula por la red. También y por básico que parezca, añado que el cambio frecuente y uso de contraseñas seguras es la primera medida a tener en cuenta. (Eso y…no dejarlas pegadas en un papel en la pantalla-;).

Por David Hernández (Dabo).

Fuente Daboweb.com

La mayoría del software no es suficientemente seguro

La mayor parte de los agujeros de seguridad en las aplicaciones informáticas se debe a errores de programación. ¿Cuál es la responsabilidad de los desarrolladores y de las empresas? ¿Por qué el código seguro aún no es una realidad?

Las aplicaciones informáticas se construyen a partir de diferentes códigos. Estas líneas de programación no son 100 por ciento seguras, y sus errores son aprovechados por delincuentes tecnológicos, a través de virus y acciones de espionaje. Así, millones de personas quedan expuestas a amenazas peligrosas y silenciosas.
La gravedad del problema fue expuesto por un grupo internacional de expertos que difundió una lista con los 25 errores de programación con mayor potencial de daño. Por ejemplo, dos de esos errores fueron explotados en 2008 para instalar código maligno en un millón y medio de sitios web, que luego propagaron código malicioso entre sus visitantes.
El grupo incluye, entre otros, al Ministerio de Seguridad Interior de Estados Unidos y la agencia de seguridad NSA, la organización japonesa IPA y empresas como Microsoft y Symantec. De acuerdo al documento, que puede leerse aquí, la mayoría de estos errores son desconocidos entre los propios programadores, y no integran los estudios de los desarrolladores.
iProfesional entrevistó sobre la seguridad en el desarrollo de los códigos a tres especialistas en seguridad informática argentinos: Ivan Arce, CTO de Core Security Technologies; Roberto G. Langdon, presidente y CEO de 2Minds; y Jorge Cella, gerente de Iniciativas de Seguridad de Microsoft Argentina.

Arce trabaja para Core Security Technologies, una compañía que se dedica a la evaluación exhaustiva de seguridad informática. Esta firma, con oficinas de investigación y desarrollo en el barrio porteño de Palermo y una sede comercial en Boston, EE.UU., identifica y verifica vulnerabilidades, mide el riesgo operativo y comprueba la efectividad de la seguridad.
En el documento mencionado, Core fue mencionada como una de las organizaciones que hizo contribuciones más sustantivas a la lista de los 25 errores.

-¿Por qué el código seguro no es aún una realidad?

-El “código seguro” es una quimera, una abstracción formal que no existe en la realidad. Es común pero, en mi opinión, un tanto ingenuo pensar que una serie de artefactos intangibles, por lo general bastante complejos (software) creados por seres humanos -que son imperfectos y falibles- puedan llegar a ser lo suficientemente confiables como para que alguien garantice que con ellos sólo se puede hacer lo que sus “creadores” idearon y absolutamente nada más.
Una vez que se deja de lado la definición taxativa de seguridad absoluta y se la relativiza con las preguntas “¿código seguro para qué?” y “¿cuán seguro?”, la respuesta cambia y es más sencilla.
Hoy en día existen sistemas suficientemente seguros para muchas cosas, pero la mayoría del software no es suficientemente seguro para lo que se espera de él. Creo que las expectativas son demasiado grandes pero que los esfuerzos necesarios por satisfacerlas, incluso las más modestas, siempre son subestimados o ignorados.

-¿Las empresas desarrolladoras de software están preocupadas para que el código que escriben sea más seguro?

-Sólo lo están en la medida que esa preocupación sea funcional a su negocio. Es una preocupación importante para las de mayor relevancia a nivel mundial, ya que son las que tienen más por perder si su código no sólo resulta ser inseguro, sino que además esa inseguridad puede ser explotada con consecuencias negativas para sus clientes.
Lamentablemente, la mayoría de las empresas desarrolladoras de software que hoy se preocupan por la seguridad de su código llegaron a ese estadio de forma reactiva, y como consecuencia de haber pasado por alguna serie de incidentes negativos con la seguridad de su software.
Pasar por un proceso como el que describo para empezar a preocuparse por la seguridad del software y empezar a hacer algo al respecto es innecesario y generalmente bastante costoso.
Para muchas pequeñas y medianas empresas que desarrollan software o, en general, tecnologías de información, y que pueden ser más flexibles y dinámicas que las grandes productoras de software, un tratamiento más proactivo o preventivo del problema puede resultar más efectivo y menos costoso.

En todos los casos, a la larga, creo que es siempre mejor resolver las fallas y defectos del software en el estadio más temprano posible de su ciclo de desarrollo. Para las empresas desarrolladoras de software comercial decidir cómo, cuándo y de qué manera hacerlo es una decisión de negocios y no técnica; los clientes (usuario) del software en cuestión pueden tener gran influencia en esa decisión.

-¿Qué medidas están tomando en ese sentido?

-Por lo general, cuando hay medidas concretas, ellas conforman una colección de actividades y prácticas inconexas entre sí: actividades genéricas y esporádicas de capacitación en “programación segura”, utilización de herramientas que automatizan la identificación y búsqueda de defectos, implantación de procesos y estándares de ingeniería de software reconocidos por la industria pero no necesariamente adecuados para el propósito en cuestión, contratación de servicios especializados de consultoría y/o asesoramiento en la materia, entre otras.
Todas estas actividades serán útiles en la medida en que respondan a una estrategia más general para la seguridad del código que las englobe y a un análisis racional de los riesgos, costos y el retorno de la inversión para implementarlas. Ese nivel de sofisticación para determinar qué hacer al respecto de la seguridad de los desarrollos es virtualmente inexistente en la industria de software de la Argentina y muy poco frecuente en la de cualquier otro lugar.-¿Se debe replantear por completo la forma en que se escribe el código?-No. Los cambios revolucionarios en la forma en que se escribe código, las herramientas o los procesos que se utilizan no garantizan que los resultados sean mejores, aunque posiblemente sí que sean distintos. Creo más bien que hay que dedicarle más tiempo, dinero y esfuerzo a buscar un mejoramiento constante en la calidad del software (seguridad incluida) y tener la paciencia, inteligencia y constancia para hacer que ese proceso resulte eficiente y tenga un sentido práctico claro en el ámbito específico del grupo o empresa que lo implementa.
Todo esto puede sonar un tanto críptico o vago pero, en resumen, sólo quiere decir que si bien no hay recetas pre-armadas para resolver el problema en cualquier ámbito, en la mayor parte de los casos tampoco hace falta cambiar completamente todo para lograr mejoras visibles.

César Dergarabedian
(©) iProfesional.com

Link relacionado:
- 2009 CWE/SANS Top 25 Most Dangerous Programming Errors
- La seguridad en el código informático es cada vez más una inquietud de todos

Seguridad en las sesiones de las aplicaciones Web

El blog s21sec publico un serie de artículos sobre la gestión de sesiones en las aplicaciones Web en lo que respecta a seguridad:

- Seguridad en las sesiones de las aplicaciones Web I
. Definiciones iniciales
. Cookies y Sesiones

- Seguridad en las sesiones de las aplicaciones Web II

. Funcionamiento habitual de las aplicaciones que utilizan autenticación basada en cookies de sesión

.Vulnerabilidades típicas en el manejo de sesiones

- Seguridad en las sesiones de las aplicaciones Web III
. Fijación de sesión (Session fixation)

- Seguridad en las sesiones de las aplicaciones Web IV
. Session - Hijacking

Las 10 áreas TI con mayor demanda profesional

www.idg.es publico a fines del 2008 las 10 áreas TI con mayor demanda profesional, entre las que se encuentra "Seguridad".

Las 10 áreas son:
1. Wireless,
2. Virtualización,
3. Seguridad,
4. Networking,
5. Aplicaciones,
6. Web 2.0,
7. Análisis del negocio,
8. Bases de datos,
9. I/data mining,
10. El factor X y enfoques híbridos


Seguridad

La seguridad es hoy una cuestión clave para cualquier empresa. En un sondeo realizado por CompTIA y publicado el pasado febrero aparecía como la principal prioridad para las tres cuartas partes de los 3.578 directores de contratación TI entrevistados. En consecuencia, crece la demanda de profesionales expertos en esta disciplina. De acuerdo con un informe reciente de Foote Partners, la experiencia en seguridad representó el 17% del salario total del personal TI en el cuarto trimestre de 2007, y el pago por experiencia en gestión de seguridad de red se incrementó en más de un 27% en 2007. Son datos relativos al mercado laboral de Estados Unidos, pero en buena medida sirve de indicador de tendencias también para Europa y España.

Los profesionales TI tendrán que extender sus conocimientos de seguridad a áreas como redes, wireless, aplicaciones y sistemas operativos, entre otras, si quieren estar en condiciones de competir en el mercado laboral. Pero, como recuerda CompTIA, además de conocer todo sobre firewall, filtración de datos o cumplimiento normativo, tendrán que saber formar al personal en estas cuestiones y hacerles conscientes de su trascendencia a escala corporativa.

Articulo completo:
- Las 10 áreas TI con mayor demanda profesional (I): Wireless, Virtualización, Seguridad
- Las 10 áreas TI con mayor demanda profesional (II): Networking, Aplicaciones, Web 2.0, Análisis del negocio, Bases de datos
- Las 10 áreas TI con mayor demanda profesional (III): BI/data mining, el factor X y enfoques híbridos

CIBSI'09: cita de la seguridad de la información en Montevideo

Universidad Politécnica de Madrid

Como cada año impar, este 2009 nos trae una nueva cita con los últimos avances en la investigación de la seguridad y protección de la información de la mano de CIBSI '09, el V Congreso Iberoamericano de Seguridad Informática que tendrá como anfitriona a la Facultad de Ingeniería de la Universidad de la República en Montevideo, Uruguay.

Esta es la quinta edición del congreso, iniciativa de la Red Temática Iberoamericana de Criptografía y Seguridad de la Información CriptoRed que tras nueve años de existencia cuenta con representantes de 200 universidades y más de 275 empresas, todos ellos investigadores y profesionales de la seguridad informática.

En su histórico, CIBSI inicia su andadura en el año 2002 celebrándose CIBSI '02 en la ciudad de Morelia en México; en el año 2003 la cita de CIBSI '03 es en Ciudad de México, en donde se decide que su periodicidad sea bienal; CIBSI '05 tiene como escenario la ciudad de Valparaíso en Chile y la última edición, CIBSI '07, a Mar del Plata en Argentina.
El congreso, que se celebrará del 16 al 18 de noviembre de 2009 en temporada de primavera verano en dicho país, tendrá como sede el Hotel NH Columbia situado en la Rambla Gran Bretaña, en pleno paseo marítimo de Montevideo, frente al mar y a sólo 10 minutos caminando del centro de la ciudad.

A la fecha están confirmados los siguientes conferenciantes invitados para sesiones plenarias: el Dr. Gilles Barthe de IMDEA Software (España), el Dr. Eduardo Giménez de la Universidad de la República (Uruguay) y el Dr. José Luis Piñar Mañas de la Universidad CEU San Pablo (España).

La temática de interés para el envío de trabajos contempla el amplio abanico actual de la seguridad de la información, entre otros: Fundamentos de la Seguridad; Algoritmos y Protocolos Criptográficos; Vulnerabilidades y Criptoanálisis; Infraestructuras de Clave Pública; Seguridad en Aplicaciones; Seguridad en Redes y en Sistemas; Control de Acceso e Identidad; Técnicas y Sistemas de Autenticación; Arquitecturas y Servicios de Seguridad; Implantación y Gestión de la Seguridad; Planes de Contingencia y Recuperación; Auditoría y Forensia Informática; Legislación en Seguridad y Delitos; Normativas y Estándares en Seguridad; Negocio y Comercio Electrónico.

Las fechas de interés para autores son:
Límite de recepción de trabajos, 15 de abril de 2009; Notificación de aceptación, 17 de junio de 2009; Versión final para actas del congreso, 31 de julio de 2009.

Congresos CIBSI
Un breve repaso por la historia de los congresos CIBSI, nos recuerda en el plano científico que se presentan del orden de 50 ponencias, procedentes de más de una decena de países, y asisten por tanto más de una centena de investigadores de prestigio, lo que facilita y fortalece el intercambio de experiencias, siendo además un excelente entorno para plantear nuevos proyectos de colaboración académica, técnica y científica.

En un aspecto más lúdico, los eventos sociales que se planifican y ofrecen a los congresistas permiten un amplio conocimiento del arte y la cultura de los países anfitriones, así como poder apreciar in situ sus paisajes, arquitectura y la amabilidad de su gente, en este caso de la preciosa ciudad de Montevideo y sus alrededores.
Desde su génesis, CIBSI '09 ha contado con la colaboración de la Universidad de la República, de la empresa uruguaya ANTEL y de la Universidad Politécnica de Madrid. Así mismo, en estos momentos de lanzamiento del servidor Web el congreso cuenta ya con el patrocinio de la empresa española GMV Soluciones Globales Internet. Si su empresa, institución u organismo desea participar como patrocinador, por favor póngase en contacto con el Comité Organizador Local en la dirección de correo que encontrará en el apartado Contactos del sitio Web del congreso.

Para más información ver enlaces:
www.fing.edu.uy/cibsi09
www.criptored.upm.es/

Visto en www.universia.es

Gobierno en Línea anunció entrada en operación de nuevo sistema de seguridad para proteger información (Colombia)

Protegerá los datos que intercambien entidades y ciudadanos a la hora de efectuar trámites virtuales y solicitudes de datos a través de Internet.

La herramienta, exclusiva para entidades públicas que ofrezcan acceso virtual a trámites e información, se implementará en todo el país durante este año. Las empresas privadas que provean servicios a entidades del Gobierno también deben integrar dicha plataforma de seguridad.

Este Sistema de Gestión en Seguridad de la Información (SGSI) será aplicado tanto en entidades públicas de orden nacional y territorial, como en operadores de Internet, cafés Internet y telecentros del Programa Compartel, entre otros.

"En su configuración se han incorporado las mejores prácticas mundiales para que estas instituciones puedan cumplir con los estándares internacionales en seguridad de la información", aseguró Hugo Sin Triana, Director de Investigación del Programa Gobierno en línea.

Dicho modelo incluye un software de auto-evaluación para verificar las políticas y controles de seguridad con las que ya cuenta una institución y cuáles les hacen falta para cumplir con éste, de tal forma que puedan hacerles seguimiento, control y mejora continua para incrementar sus niveles de seguridad de la información.

Fuente: www.portafolio.com.co