Feliz día Seguridad de la Información !!
Link relacionados:
- 30 de Noviembre - Día de la Seguridad de la Información
lunes, 30 de noviembre de 2009
Feliz día Seguridad de la Información
Feliz día Seguridad de la Información !!
jueves, 26 de noviembre de 2009
Computer Security Day - 2010 Poster Calendar
Barra de Herramientas para Investigaciones Digitales
Ahora las herramientas más importantes para la prevención y detección de delitos informáticos están a tu disposición en un solo lugar.
Descubre la nueva Barra de Herramientas de MaTTica disponible para los principales navegadores: Mozilla, Firefox, Safari e Internet Explorer.
Descubre la nueva Barra de Herramientas de MaTTica disponible para los principales navegadores: Mozilla, Firefox, Safari e Internet Explorer.
La Barra de Herramientas de MaTTica es un dispositivo de navegación gratuito diseñado por la empresa para conjuntar en un solo punto, links, herramientas, mensajes, recomendaciones, para los usuarios entusiastas y profesionales de la seguridad y prevención del delito Informático, siendo útil y oportuna en estos momentos en que los delitos cibernéticos cada día van en aumento, a fin de que los usuarios se mantengan actualizados sobre esta información.
Para conocer un poco más sobre las herramientas y utilidades de la barra, puedes consultar el video tutorial donde Andrés Velázquez, director de Investigaciones Digitales de MaTTica, te explica paso a paso la utilidad de cada función
No esperes más, descarga la barra de herramientas de MaTTica y descubre cómo puedes incrementar la eficiencia en la detección de los delitos informáticos, así como fortalecer aún más la seguridad informática en tu labor diaria.
Requisitos del sistema: Windows Vista/XP/2000
Descarga:
IV Congreso Internacional de Biometría de la República Argentina
La Jefatura de Gabinete de Ministros organiza el IV Congreso Internacional de Biometría de la República Argentina, declarado de Interés Nacional por Resolución 1361/2009 de la Secretaría General de la Presidencia de la Nación. El encuentro concentrará su exposición en los avances producidos en materia de implementación, investigación y desarrollo de biometría a nivel internacional.
Destinado principalmente a CIOs, CTOs, Responsables de Seguridad y Vigilancia, Personal de Fuerzas de Seguridad, Arquitectos de Soluciones, Investigadores, prensa y medios y al público en general, el evento tendrá lugar los días 23 y 24 de noviembre, en horario de 9 a 20 hs., en el Hotel Panamericano (Carlos Pellegrini 551, Ciudad Autónoma de Buenos Aires).
Destinado principalmente a CIOs, CTOs, Responsables de Seguridad y Vigilancia, Personal de Fuerzas de Seguridad, Arquitectos de Soluciones, Investigadores, prensa y medios y al público en general, el evento tendrá lugar los días 23 y 24 de noviembre, en horario de 9 a 20 hs., en el Hotel Panamericano (Carlos Pellegrini 551, Ciudad Autónoma de Buenos Aires).
Debaten en Venezuela sobre protección ante delitos informáticos
Caracas, 24 nov (PL) El Sistema Económico Latinoamericano y del Caribe (SELA) acogió en Venezuela un foro sobre protección y seguridad de datos para enfrentar delitos informáticos.
Según una nota de la Secretaría Permanente del bloque integrado por 27 países, el encuentro forma parte de jornadas de intercambio promovidas por CAVEDATOS, entidad representante del sector privado de la industria y el comercio de programas y equipos de computación.
Durante la reunión celebrada en la caraqueña Torre Europa, los participantes valoraron respuestas a novedosas formas de infringir la ley, derivadas del desarrollo de las tecnologías informáticas, precisó.
Hurtos, falsificaciones, fraudes bancarios, estafas, violaciones de la intimidad, sabotajes y otros delitos fueron mencionados.
De acuerdo con el comunicado del SELA, la jornada contó con una exposición del experto Jesús Alberto Zárraga, quien destacó el marco legal existente en Venezuela para lidiar con esos problemas.
El encuentro permitió el intercambio de conocimientos, buenas prácticas y experiencias en materia de seguridad informática, apuntó.
lma/wmr
Fuente: www.prensa-latina.cu
Según una nota de la Secretaría Permanente del bloque integrado por 27 países, el encuentro forma parte de jornadas de intercambio promovidas por CAVEDATOS, entidad representante del sector privado de la industria y el comercio de programas y equipos de computación.
Durante la reunión celebrada en la caraqueña Torre Europa, los participantes valoraron respuestas a novedosas formas de infringir la ley, derivadas del desarrollo de las tecnologías informáticas, precisó.
Hurtos, falsificaciones, fraudes bancarios, estafas, violaciones de la intimidad, sabotajes y otros delitos fueron mencionados.
De acuerdo con el comunicado del SELA, la jornada contó con una exposición del experto Jesús Alberto Zárraga, quien destacó el marco legal existente en Venezuela para lidiar con esos problemas.
El encuentro permitió el intercambio de conocimientos, buenas prácticas y experiencias en materia de seguridad informática, apuntó.
lma/wmr
Fuente: www.prensa-latina.cu
lunes, 23 de noviembre de 2009
Microsoft Security Development Lifecycle (SDL) 4.1a
The Microsoft Security Development Lifecycle (SDL) is an industry-Cleading software security assurance process. A Microsoft-wide initiative and a mandatory policy since 2004, the SDL has played a critical role in embedding security and privacy in Microsoft software and culture. Combining a holistic and practical approach, the SDL introduces security and privacy early and throughout all phases of the development process. It has led Microsoft to measurable and widely recognized security improvements in flagship products, such as Windows Vista® and Microsoft SQL Server®. Microsoft is publishing the detailed SDL process guidance as part of its commitment to enable a more secure and trustworthy computing ecosystem.
A new updated version of Microsoft Security Development Lifecycle has been released recently. The 125 pages whitepaper is a comprehensive set of guidelines aiming at making agile development and security best practices fit together for the first time.
In this release Microsoft indicates “7 Phases” as the hearth beating of the Security Development Lifecycle.
A new updated version of Microsoft Security Development Lifecycle has been released recently. The 125 pages whitepaper is a comprehensive set of guidelines aiming at making agile development and security best practices fit together for the first time.
In this release Microsoft indicates “7 Phases” as the hearth beating of the Security Development Lifecycle.
- 1.Training (Core Training)
- 2.Requirements (Define quality/bugs bar)
- 3.Design (Attack surface analysis – Threat modelling)
- 4.Implementation (Specify tools – Enforce banned functions – Static Analysis )
- 5.Verification (Dynamic / Fuzz testing – Verify threat models/attack surface )
- 6.Release (Response plan – Final Security Review – Release archive)
- 7.Response (Response execution)
For those who are new to SDLC and or to this whitepaper – read it. Anyone involved in professional software development should read carefully this document.
The Education and Awareness – Pre SDL Requirements: Security Training (for example) urge that all members of a software development team should receive appropriate training to stay informed about security basics and recent trends in security and privacy.
In fact, Microsoft suggests individuals who develop software programs should
attend at least one security training class each year.
Security Training
can help ensure software is created with security and privacy in mind and can
also help development teams stay current on security issues. Project team
members are strongly encouraged to seek additional security and privacy
education that is appropriate to their needs or products.
The entire team should remain informed about security issues in the industry. Attacks and threats evolve constantly, and staying current is important.
Another interesting part, which is new of this version is the Security Code Review. And how it’s introduced to the reader.
Security code reviews are a critical component of the Security Development Lifecycle. Given the opportunity to review old code or work on a new cool feature, developers lean towards the latter. Unsurprisingly, attackers don't target only new functionality; they will attack all code, regardless of its age. Waiting to make the code more secure in the next version of the product is not a good solution for protecting customers, and therefore, high-risk items that are considered the most sensitive and important for security should be reviewed in depth at the earliest opportunity.
Microsoft suggest to determine the most-at risk components using the following criteria and perform an in-depth security review of the code making up those components.
◦Priority 1 code is considered to be the most sensitive from a security standpoint. The following are examples of Priority 1 code, but please note this is not necessarily a definitive list. Pri 1 code is all Internet- or network-facing code, code in the Trusted Computing Base (TCB)—such as kernel or SYSTEM code, code running as administrator or Local System, code running as an elevated user (also includes LocalService and NetworkService), or features with a prior history of vulnerability, regardless of version. Any code that handles secret data, such as encryption keys and passwords, is considered Pri 1 code. For managed code, Priority 1 code is considered to be any unverifiable code (any code that the standard PEVerify.exe tool reports as not verified). All code supporting functionality exposed on the maximum attack surface is considered Pri 1 code by definition.
◦Priority 2 is optionally installed code that runs with user privilege, or code that is installed by default that doesn't meet the Priority 1 criteria.
◦Priority 3 is rarely used code and setup code. Setup code that handles secret data, such as encryption keys and passwords, is always considered Priority 1 code.
The document also includes loads of fresh new recommendations regarding both security and privacy. New techniques for protecting COM+ are also available.
Microsoft Security Development Lifecycle - Process Guidance 4.1 [Download] [.docx]
Post relacionados:
- Plantilla de SDL (Security Development Lifecycle Process) para Visual Studio
Denuncia universidad robo de información sobre cambio climático
Londres.- La Unidad de Investigación del Clima (UIC) de la Universidad británica de Anglia del Este denunció el robo de correos electrónicos e información de su sistema, que fueron publicados sin autorización por piratas informáticos.
El sistema de correo electrónico de esa institución, una de las más destacadas en el terreno de investigaciones sobre el clima, fue vulnerado por los piratas o “hackers”, que el jueves divulgaron mensajes internos, incluso algunos personales, en Internet.
Más...
El sistema de correo electrónico de esa institución, una de las más destacadas en el terreno de investigaciones sobre el clima, fue vulnerado por los piratas o “hackers”, que el jueves divulgaron mensajes internos, incluso algunos personales, en Internet.
Más...
Alertas: Se ha publicado un exploit que aprovecha la vulnerabilidad 0-day en Internet Explorer 6 y 7
Se ha publicado un exploit en la lista BugTraq que se aprovecha de la vulnerabilidad
Sistemas afectados:
Internet Explorer 6
Internet Explorer 7
Riesgo: Alto
Descripción:
El fallo puede ser explotado por los atacantes para comprometer un sistema vulnerable. El problema viene ocasionado por un puntero en el Microsoft HTML Viewer (mshtml.dll) cuando se solicitan objetos CSS/STYLE a través del método "getElementsByTagName()". Esto puede permitir a los atacantes causar denegación de servicio del navegador o ejecutar código arbitrario, si consiguen engañar al usuario para que visite una página Web especialmente manipulada.
El exploit publicado en la lista BugTraq ha sido comprobado por Symantec, y ésta ha confirmado que afecta a Internet Explorer 6 y 7. Por el momento el exploit es poco fiable, pero se espera que se disponga en breve un exploit completamente fiable y funcional.
Solución:
Para minimizar las probabilidades de ser afectado por este problema, los usuarios de Internet Explorer deben comprobar que las firmas de su antivirus están actualizadas, deshabilitar el JavaScript y visitar solo páginas Web confiables hasta que se publique un parche por Microsoft.
Instrucciones:
1. Abrir el cuadro de diálogo situado en:
Menú Herramientas -> Opciones de Internet -> Seguridad
2. Para la Zona de Internet y la de Intranet Local seguir los siguientes pasos:
Hacer click en Nivel Personalizado.
Deshabilitar el Active Scripting:
Automatización -> Active Scripting -> Deshabilitar.
Fuente: Internet Storm Center http://isc.sans.org/
Sistemas afectados:
Internet Explorer 6
Internet Explorer 7
Riesgo: Alto
Descripción:
El fallo puede ser explotado por los atacantes para comprometer un sistema vulnerable. El problema viene ocasionado por un puntero en el Microsoft HTML Viewer (mshtml.dll) cuando se solicitan objetos CSS/STYLE a través del método "getElementsByTagName()". Esto puede permitir a los atacantes causar denegación de servicio del navegador o ejecutar código arbitrario, si consiguen engañar al usuario para que visite una página Web especialmente manipulada.
El exploit publicado en la lista BugTraq ha sido comprobado por Symantec, y ésta ha confirmado que afecta a Internet Explorer 6 y 7. Por el momento el exploit es poco fiable, pero se espera que se disponga en breve un exploit completamente fiable y funcional.
Solución:
Para minimizar las probabilidades de ser afectado por este problema, los usuarios de Internet Explorer deben comprobar que las firmas de su antivirus están actualizadas, deshabilitar el JavaScript y visitar solo páginas Web confiables hasta que se publique un parche por Microsoft.
Instrucciones:
1. Abrir el cuadro de diálogo situado en:
Menú Herramientas -> Opciones de Internet -> Seguridad
2. Para la Zona de Internet y la de Intranet Local seguir los siguientes pasos:
Hacer click en Nivel Personalizado.
Deshabilitar el Active Scripting:
Automatización -> Active Scripting -> Deshabilitar.
Fuente: Internet Storm Center http://isc.sans.org/
viernes, 20 de noviembre de 2009
Búsqueda de Exploits en la Base de Datos de Offensive Security via navegadores
Como hacer consultas a las base de datos de Exploits de Offensive Security directamente desde los navegadores:
FIREFOX: Se debe agregar el plugin (Barra de búsquedas)
IE: Para incorporarlo a Internet Explorer se debe agregar un nuevo proveedor de búsqueda a los ya disponibles, esto se realiza entrando al site a generar el código.
FIREFOX: Se debe agregar el plugin (Barra de búsquedas)
IE: Para incorporarlo a Internet Explorer se debe agregar un nuevo proveedor de búsqueda a los ya disponibles, esto se realiza entrando al site a generar el código.
martes, 17 de noviembre de 2009
Estudio sobre las características de calidad más valoradas en el software de seguridad informática (ATI)
- - Un 95% de los expertos TI encuestados están dispuestos a pagar más por los productos de seguridad informática, a cambio de una mayor calidad.
- - Los profesionales de TI prefieren que los fabricantes tarden más en el desarrollo de parches y actualizaciones, con tal de que estos sean más estables.
- - Fruto del estudio, la ATI crea el primer modelo específico para que las empresas evalúen la calidad de los productos de seguridad informática, en su proceso de selección.
La Asociación de Técnicos de Informática (ATI) presenta los resultados de un estudio, llevado a cabo en España, con el fin de determinar las características de calidad más importantes para los profesionales de TI de diferentes empresas y organizaciones, en la evaluación del software de seguridad informática.
El estudio supuso meses de trabajo desde final de 2008 hasta octubre de 2009 y ha contado con el apoyo del Grupo de Calidad de Software de la ATI que lo publicará en su web. Se ha basado en encuestas realizadas a más de 200 expertos expresamente seleccionados y que desarrollan su actividad en las áreas de la seguridad informática, de la ingeniería del software y en la Dirección de Tecnologías. El 64% de los encuestados cuenta con más de 5 años de experiencia en el trabajo con productos de seguridad informática, tratándose de profesionales que operan en empresas y organizaciones de los más diversos sectores (entidades financieras, hostelería y turismo, construcción, servicios, educación, Telecos, Administraciones Públicas y un largo etc.).
El mercado otorga una alta importancia a la calidad de los productos
Entre las principales conclusiones del estudio destaca que el 94,48% de los encuestados otorga una alta importancia a la calidad del software, afirmando que asumiría un coste extra en la adquisición de productos de seguridad informática a cambio de una mayor calidad de los mismos.
Respecto a las características de calidad más valoradas, los expertos encuestados creen que su apariencia no es un aspecto esencial, cuando se compara con otras características de calidad de los mismos, como su funcionalidad, su fiabilidad, su eficiencia o su facilidad de mantenimiento, entre otros.
“Características como la amigabilidad del entorno del usuario, que hoy son prioritarias para muchos fabricantes de productos de seguridad, resultan mucho menos importantes para los profesionales que implantan y mantienen estos productos en las organizaciones, que su eficiencia en el consumo de capacidades de proceso y recursos energéticos, su limitada interferencia con otros programas, etc.”, afirma Luis Fernández, Coordinador del Grupo de Calidad del Software de la ATI y coautor del estudio, junto con María Teresa Villalba, de la Universidad Europea de Madrid.
Otro requerimiento importante, detectado en el estudio, ha sido el que la mayoría de los profesionales de TI prefieren que los fabricantes tarden más tiempo en desarrollar las actualizaciones o parches de los programas de seguridad, a cambio de que éstas sean más estables.
Los profesionales de las TIC, tanto en empresas como en organismos públicos, consideran, asimismo, que los productos de seguridad deben acompañarse de una documentación mucho más amplia y detallada, que facilite la recuperación de los programas en caso de cualquier tipo de desastre informático o general. “Y es que, la falta generalizada de amplia documentación para la mayoría de los productos de seguridad, sean antivirus, firewalls o de cualquier otro tipo, dificulta seriamente la recuperación de estos programas cuando, por ejemplo, ocurre una brecha en la seguridad que implique la necesidad de restaurar todo el sistema”, explica Luis Fernández.
Un modelo de calidad específico para el ámbito del a seguridad
Otro dato a destacar en los resultados del estudio ha sido el hecho de que el 73% de los expertos de TI encuestados considere necesaria la elaboración de un modelo específico para la evaluación de la calidad de los productos de seguridad informática. “Es un requerimiento que muestra la creciente madurez del mercado español en materia de calidad del software, y que marca el paso, desde su evaluación general, hacia la elaboración de modelos específicos por tipos de aplicación”, explica Luis Fernandez.
En respuesta a este requerimiento, y aunando las características de la calidad que los expertos en TI consultados han considerado más importantes, la ATI publicará el primer modelo normalizado para la evaluación de la calidad de los productos de seguridad informática en España.
La compatibilidad con las políticas de la empresa, como factor clave en la selección
Según los resultados del estudio, en la selección de productos de seguridad informática, los Directores de TI encuestados también otorgan una alta importancia a factores como su conformidad con los estándares y con las certificaciones en calidad del software; a la seguridad y a la calidad del servicio (por este orden). Los directivos de tecnologías de la información también consideran importantes, en sus procesos de selección de productos, la cuota de mercado de cada fabricante, su reputación, solvencia, experiencia y la autonomía de los proveedores o fabricantes de software.
En cuanto a las características no técnicas de producto, destaca la importancia que otorgan los responsables de TI a la compatibilidad de los programas de seguridad con
las políticas de seguridad y con las arquitecturas tecnológicas de su empresa. “Las estructuras de las organizaciones implican a veces ciertas excepciones, como por ejemplo un esquema de protección con redes informáticas separadas para diferentes usuarios”, explica el Responsable del Grupo de Calidad de Software de la ATI, “Si un producto de seguridad, como podría ser un firewall, no es capaz de contemplar esta excepción, el mismo resultaría inviable para la organización”.
En la selección de los productos de seguridad, los responsables de informática de las organizaciones también tienen muy en cuenta factores como su estabilidad en el mercado, el soporte proporcionado, la oferta de formación para dicho producto y el tipo de licencia. “En este sentido, y en el ámbito corporativo, se valoran mucho más las licencias escalables y las licencias flotantes, que facilitan a los gestores su implantación en todos los puestos informáticos de una sola vez, en lugar de tener que hacer instalaciones locales en cada uno de los puestos”, afirma Luis Fernández.
El estudio muestra, asimismo, que los responsables de TI consideran especialmente importantes la cuota de mercado, reputación, solvencia, experiencia y autonomía de los proveedores o fabricantes de estos productos de software.
Fuente: winred.com
Concienciar a los empleados, clave para evitar el robo de identidad
Fellowes Ibérica, filial española del fabricante estadounidense de destructoras de documentos y productos de ergonomía, ofrece una serie de consejos para proteger a los empleados contra el robo de identidad personal.
El robo de identidad personal consiste en el robo de datos confidenciales (nº de DNI, números de cuentas bancarias, etc.) por parte de criminales, para solicitar créditos, abrir cuentas paralelas y un sinfín de actividades fraudulentas en nombre de la víctima.
Según Fellowes Ibérica, la tasa de robo de identidad personal sigue en crecimiento, aunque la mayoría de la población sigue desconociendo en qué consiste este fraude y cómo puede llegar a cometerse. De hecho, son muchos los que desconocen por completo dos cuestiones clave para prevenir el Robo de Identidad: cómo acceden los ladrones a sus datos personales (a través de documentos personales como extractos bancarios o introduciéndose en páginas web que contengan información confidencial de los usuarios) y cuáles son las medidas que se podrían adoptar para evitar este robo.
Aumentar la concienciación de los empleados
Por ello, el nivel de concienciación y la aplicación de las medidas preventivas adecuadas son las claves para combatir este delito. El primer lugar para fomentar esta concienciación y políticas de seguridad de la información es en las organizaciones y empresas (de carácter público o privado), ya que a menudo los empleados manejan datos de carácter privado de clientes o proveedores, sin tener en cuenta las consecuencias que puede acarrear una mala gestión de los mismos. Ejemplo de ello, ha sido la noticia de un hospital catalán, en el que se tiraron a un contenedor información privada de 173 pacientes a los que se les había practicado un transplante.
“Gracias a las múltiples campañas de información sobre el peligro de Robo de Identidad, ha habido un aumento en lo que respecta a la concienciación sobre este delito. Sin embargo, el descuidar sencillas medidas de seguridad, hace que todavía haya un gran número de personas que se convierten en víctimas”, señala Héctor Barak, director general de Fellowes Ibérica.
Destrucción segura de documentos con información sensible
Para evitar ser víctimas de un robo de identidad, los empleados y usuarios tienen a su disposición una gran cantidad de máquinas destructoras que se adaptan a sus necesidades. Estos equipos ofrecen máximas garantías de seguridad en la eliminación de todo tipo de documentos, al disponer de varios tipos de cortes para la destrucción de información en papel, CDs o tarjetas de crédito, incorporando tecnologías innovadoras como Microcorte, que incrementa la seguridad proporcionada por sus destructoras al nivel 4, la tecnología SafeSense, dirigida a garantizar la seguridad del usuario del equipo, o el sistema 100% anti-atasco, que asegura una destrucción eficaz sin atascos.
El robo de identidad personal consiste en el robo de datos confidenciales (nº de DNI, números de cuentas bancarias, etc.) por parte de criminales, para solicitar créditos, abrir cuentas paralelas y un sinfín de actividades fraudulentas en nombre de la víctima.
Según Fellowes Ibérica, la tasa de robo de identidad personal sigue en crecimiento, aunque la mayoría de la población sigue desconociendo en qué consiste este fraude y cómo puede llegar a cometerse. De hecho, son muchos los que desconocen por completo dos cuestiones clave para prevenir el Robo de Identidad: cómo acceden los ladrones a sus datos personales (a través de documentos personales como extractos bancarios o introduciéndose en páginas web que contengan información confidencial de los usuarios) y cuáles son las medidas que se podrían adoptar para evitar este robo.
Aumentar la concienciación de los empleados
Por ello, el nivel de concienciación y la aplicación de las medidas preventivas adecuadas son las claves para combatir este delito. El primer lugar para fomentar esta concienciación y políticas de seguridad de la información es en las organizaciones y empresas (de carácter público o privado), ya que a menudo los empleados manejan datos de carácter privado de clientes o proveedores, sin tener en cuenta las consecuencias que puede acarrear una mala gestión de los mismos. Ejemplo de ello, ha sido la noticia de un hospital catalán, en el que se tiraron a un contenedor información privada de 173 pacientes a los que se les había practicado un transplante.
“Gracias a las múltiples campañas de información sobre el peligro de Robo de Identidad, ha habido un aumento en lo que respecta a la concienciación sobre este delito. Sin embargo, el descuidar sencillas medidas de seguridad, hace que todavía haya un gran número de personas que se convierten en víctimas”, señala Héctor Barak, director general de Fellowes Ibérica.
Destrucción segura de documentos con información sensible
Para evitar ser víctimas de un robo de identidad, los empleados y usuarios tienen a su disposición una gran cantidad de máquinas destructoras que se adaptan a sus necesidades. Estos equipos ofrecen máximas garantías de seguridad en la eliminación de todo tipo de documentos, al disponer de varios tipos de cortes para la destrucción de información en papel, CDs o tarjetas de crédito, incorporando tecnologías innovadoras como Microcorte, que incrementa la seguridad proporcionada por sus destructoras al nivel 4, la tecnología SafeSense, dirigida a garantizar la seguridad del usuario del equipo, o el sistema 100% anti-atasco, que asegura una destrucción eficaz sin atascos.
Fuente: RRHH Digital.- www.rrhhdigital.com
lunes, 16 de noviembre de 2009
Nuevo fallo en el protocolo SSL
Un nuevo fallo en el protocolo SSL (Secure Socket Layer) pone a empresas de telecomunicaciones y vendedores de seguridad en la picota.
El vendedor de seguridad móvil PhoneFactor ha dicho que la vulnerabilidad se ha descubierto en la transmisión de los datos a través de conexiones SSL. El fallo podría, potencialmente, permitir a un hacker ejecutar un ataque 'man in the middle’, o de intermediario, en el que el atacante adquiere la capacidad de alterar la información enviada entre dos usuarios sin que ninguno de ellos lo sepa.
Según PhoneFactor el fallo se presenta como un estándar SSL en sí mismo, lo que significa que todos los sistemas que utilicen el protocolo podrían ser vulnerables a los ataques.
Steve Dispensa, director de tecnología de PhoneFactor afirma que ya que el fallo está en el propio protocolo y no es su implementación, “el impacto tiene mucho más alcance”. Por lo tanto, el experto en seguridad afirma que todas las librerías SSL tienen que ser parcheadas y la mayoría de las aplicaciones de clientes y servidores “necesitarán, como mínimo, incluir copias de librerías SSL en sus productos”.
El vendedor de seguridad móvil PhoneFactor ha dicho que la vulnerabilidad se ha descubierto en la transmisión de los datos a través de conexiones SSL. El fallo podría, potencialmente, permitir a un hacker ejecutar un ataque 'man in the middle’, o de intermediario, en el que el atacante adquiere la capacidad de alterar la información enviada entre dos usuarios sin que ninguno de ellos lo sepa.
Según PhoneFactor el fallo se presenta como un estándar SSL en sí mismo, lo que significa que todos los sistemas que utilicen el protocolo podrían ser vulnerables a los ataques.
Steve Dispensa, director de tecnología de PhoneFactor afirma que ya que el fallo está en el propio protocolo y no es su implementación, “el impacto tiene mucho más alcance”. Por lo tanto, el experto en seguridad afirma que todas las librerías SSL tienen que ser parcheadas y la mayoría de las aplicaciones de clientes y servidores “necesitarán, como mínimo, incluir copias de librerías SSL en sus productos”.
Fuente:www.itespresso.es/es/news/2009/11/06/nuevo-fallo-en-el-protocolo-ssl
3 pasos para que las organizaciones alcancen la ‘seguridad concienciada’
SafeNet propone a las organizaciones un camino, estructurado en tres etapas diferenciadas, que les permitirán obtener la ‘seguridad concienciada’
Frente a las metodologías de seguridad del pasado, la ‘seguridad concienciada’ se caracteriza por una mayor sofisticación, inteligencia y buen juicio aplicados a la seguridad de la información.
Los pasos a seguir por las empresas para alcanzar la ‘seguridad concienciada’ son los siguientes:
Paso 1: Ser consciente de su ceguera en materia de seguridad
Al concebir un enfoque de seguridad concienciada, es esencial comenzar por echar un vistazo inflexible y franco a los mecanismos de seguridad existentes y entender qué pueden hacer y qué no.
Paso 2: Concienciarse acerca de la información
¿Cómo librarnos de la ceguera de información tipificada por las metodologías de seguridad tradicionales? Actualmente, hay soluciones de cifrado avanzadas que preparan el terreno para proteger los datos concretos, en vez de proteger la información en el sistema, en la red o en un nivel de dispositivo. El cifrado sofisticado, de aplicación o de información son tres mecanismos que determinan una base vital de la que las organizaciones pueden comenzar a obtener la concienciación de información necesaria para satisfacer el doble objetivo de optimizar la seguridad y el rendimiento de la empresa.
Paso 3: Obtener concienciación de información
En un alto nivel, la concienciación de información se caracteriza por mecanismos de seguridad proactivos y no necesariamente reactivos.
En lugar de un sistema de prevención de intrusiones, que requiere actualizaciones constantes para protegerse contra los ataques de ayer, la metodología del mañana será ‘infocéntrica’ y proactiva. Las organizaciones se centrarán en la información necesaria para su protección y a la hora de adoptar las medidas necesarias para asegurar su privacidad, accesibilidad e integridad, sea cual sea la índole de las amenazas planteadas.
Un programa de protección de datos bien diseñado debe basarse en cinco principios y caracterizarse por ser:
◦Integral: El plan de toda estrategia de protección de datos necesita comenzar por una plataforma universal que se pueda integrar en una amplia gama de servidores de archivos de la empresa, bases de datos, aplicaciones, etc.
◦Inteligente: La protección de datos debe estar en consonancia con necesidades comerciales y ser definida por ellas.
◦Persistente: Desde el momento en que se crea un documento y durante su modificación, distribución y borrado, la protección se debe emplear de manera constante, de modo que la información sea autoconsciente. La persistencia encapsula los datos junto con su política y les permite ser accesibles y moverse libremente, de manera que se pueda compartir la información conforme a las necesidades de la empresa y así posibilitar una mayor productividad.
◦Selectivo: Esto faculta a personas a definir de manera explícita políticas para los datos que se desea proteger.
◦Proactivo: La protección de datos proactiva es tan transparente y sin contratiempos, que las amenazas se predicen como medio de prevención, debido a un estado de concienciación constante.
Frente a las metodologías de seguridad del pasado, la ‘seguridad concienciada’ se caracteriza por una mayor sofisticación, inteligencia y buen juicio aplicados a la seguridad de la información.
Los pasos a seguir por las empresas para alcanzar la ‘seguridad concienciada’ son los siguientes:
Paso 1: Ser consciente de su ceguera en materia de seguridad
Al concebir un enfoque de seguridad concienciada, es esencial comenzar por echar un vistazo inflexible y franco a los mecanismos de seguridad existentes y entender qué pueden hacer y qué no.
Paso 2: Concienciarse acerca de la información
¿Cómo librarnos de la ceguera de información tipificada por las metodologías de seguridad tradicionales? Actualmente, hay soluciones de cifrado avanzadas que preparan el terreno para proteger los datos concretos, en vez de proteger la información en el sistema, en la red o en un nivel de dispositivo. El cifrado sofisticado, de aplicación o de información son tres mecanismos que determinan una base vital de la que las organizaciones pueden comenzar a obtener la concienciación de información necesaria para satisfacer el doble objetivo de optimizar la seguridad y el rendimiento de la empresa.
Paso 3: Obtener concienciación de información
En un alto nivel, la concienciación de información se caracteriza por mecanismos de seguridad proactivos y no necesariamente reactivos.
En lugar de un sistema de prevención de intrusiones, que requiere actualizaciones constantes para protegerse contra los ataques de ayer, la metodología del mañana será ‘infocéntrica’ y proactiva. Las organizaciones se centrarán en la información necesaria para su protección y a la hora de adoptar las medidas necesarias para asegurar su privacidad, accesibilidad e integridad, sea cual sea la índole de las amenazas planteadas.
Un programa de protección de datos bien diseñado debe basarse en cinco principios y caracterizarse por ser:
◦Integral: El plan de toda estrategia de protección de datos necesita comenzar por una plataforma universal que se pueda integrar en una amplia gama de servidores de archivos de la empresa, bases de datos, aplicaciones, etc.
◦Inteligente: La protección de datos debe estar en consonancia con necesidades comerciales y ser definida por ellas.
◦Persistente: Desde el momento en que se crea un documento y durante su modificación, distribución y borrado, la protección se debe emplear de manera constante, de modo que la información sea autoconsciente. La persistencia encapsula los datos junto con su política y les permite ser accesibles y moverse libremente, de manera que se pueda compartir la información conforme a las necesidades de la empresa y así posibilitar una mayor productividad.
◦Selectivo: Esto faculta a personas a definir de manera explícita políticas para los datos que se desea proteger.
◦Proactivo: La protección de datos proactiva es tan transparente y sin contratiempos, que las amenazas se predicen como medio de prevención, debido a un estado de concienciación constante.
Videojuegos y móviles reconocen dónde está el usuario y añaden señales al entorno
Las cámaras, la brújula y la conexión a internet están ayudando a cumplir una de las promesas de la ciencia ficción: la realidad aumentada o la confluencia de imágenes virtuales y reales en un mismo plano. Los móviles, primero, y ahora los videojuegos combinan el plano real con el plano informático para ofrecer más información sobre el entorno o simplemente con fines lúdicos. Es el caso de multiples programas para el iPhone y los teléfonos con Android, y de juegos para la Playstation, que permiten localizar lugares o crear mascotas que no existen. Incluso Ikea tiene un programa para móviles que permite imaginar cómo queda un mueble en casa sin mover una silla.
El iPhone 3GS es el dispositivo que dispone de más aplicaciones de este tipo, gracias a que integra GPS y brújula. La mayoría permiten encontrar lugares en el mundo real y obtener información sobre ellos. Es el caso de las paradas de metro, que son detectadas gracias a que el programa informático combina la información geográfica (coordenadas GPS) con la espacial, que proporcionan la brújula y los acelerómetros (sensores que detectan la posición del teléfono).
Buscar cajeros
La empresa Acrossair ha desarrollado aplicaciones para localizar estaciones de metro en las principales ciudades, incluida Barcelona. también La Caixa tiene un programita que encuentra oficinas de la entidad sobre el mapa real usando la brújula y el GPS. El futuro de estas aplicaciones apunta al reconocimiento de imágenes sobre Google Maps en su vista de satélite, pero esto está todavía en fase muy embrionaria.
Actualmente el programa más conocido es Layar, que aplica la base de datos de lugares de interés de Google, sobre la posición del usuario, para encontrar dónde comprar una pizza, dónde hay un banco o cómo se llega al metro.
Como la tarea de etiquetar puntos en la realidad que permitan vincular información es ingente, algunas empresas apuestan por crear comunidades virtuales.
Más...
El iPhone 3GS es el dispositivo que dispone de más aplicaciones de este tipo, gracias a que integra GPS y brújula. La mayoría permiten encontrar lugares en el mundo real y obtener información sobre ellos. Es el caso de las paradas de metro, que son detectadas gracias a que el programa informático combina la información geográfica (coordenadas GPS) con la espacial, que proporcionan la brújula y los acelerómetros (sensores que detectan la posición del teléfono).
Buscar cajeros
La empresa Acrossair ha desarrollado aplicaciones para localizar estaciones de metro en las principales ciudades, incluida Barcelona. también La Caixa tiene un programita que encuentra oficinas de la entidad sobre el mapa real usando la brújula y el GPS. El futuro de estas aplicaciones apunta al reconocimiento de imágenes sobre Google Maps en su vista de satélite, pero esto está todavía en fase muy embrionaria.
Actualmente el programa más conocido es Layar, que aplica la base de datos de lugares de interés de Google, sobre la posición del usuario, para encontrar dónde comprar una pizza, dónde hay un banco o cómo se llega al metro.
Como la tarea de etiquetar puntos en la realidad que permitan vincular información es ingente, algunas empresas apuestan por crear comunidades virtuales.
Más...
www.elperiodico.com - CARMEN JANÉ - BARCELONA
viernes, 13 de noviembre de 2009
Un virus infecta más de mil cuentas de Google Reader
Nueva víctima de Koobface: Google Reader.
Según informa Trend Micro, 1.300 cuentas de Google Reader han sido infectadas por el citado virus. Cuando el internauta que comparte un enlace contaminado pincha en él, le aparece una página con la falsa apariencia de Facebook que descarga un programa malicioso en el ordenador de la víctima. Altera la navegación y permite el acceso remoto. Trend Micro asegura que ha sido bloqueda la página fraudulenta.
Koobface es un virus ya conocido en algunas redes sociales como Facebook y Twitter.
Visto en elpais.com
Koobface es un virus ya conocido en algunas redes sociales como Facebook y Twitter.
Visto en elpais.com
jueves, 12 de noviembre de 2009
Informe de McAfee sobre amenazas: Segundo trimestre de 2009
Este número del “Informe de McAfee sobre amenazas” presenta las últimas estadísticas y análisis acerca de las amenazas que llegan a través del correo electrónico y la Web. Este informe trimestral ha sido elaborado por los investigadores de McAfee Avert Labs, cuyo personal, repartido por toda la geografía mundial, ofrece una perspectiva única del panorama de las amenazas, desde consumidores a empresas y desde Estados Unidos a países de todo el mundo. Examine con nosotros los problemas principales relacionados con la seguridad de los últimos tres meses. Y, cuando haya concluido estos artículos, encontrará más información en el Centro de amenazas de McAfee.
En el segundo trimestre de 2009, observamos que, tras el revés sufrido recientemente, la producción de spam se recuperó rápidamente alcanzando niveles sin precedentes. El número de zombis, u ordenadores secuestrados por remitentes de spam para el envío de mensajes, también llegaba a cifras nunca vistas.
Desglosaremos la producción de spam por país y por asunto.
En la Web, el malware, tanto de sitios legítimos como de sitios maliciosos, sigue atacando los navegadores.
Las redes de robots “capturan” los equipos y se hacen con su control para apoderarse de datos ajenos y enviar mensajes de spam. Twitter se ha convertido en un objetivo frecuente de los agresores. En la actualidad, es sin duda la preferida entre las herramientas de redes sociales y los autores de malware saben bien cuál es su potencial y cómo explotarlo. Cuando tu herramienta favorita para tu nuevo estilo de vida virtual tenga planificado un mes de errores (“Mes de los errores de Twitter”) sabrás que se ha hecho realmente famosa. Twitter ha jugado también un papel de “hacktivista” (o pirata informático-activista) en las elecciones iraníes y las revueltas que les han seguido.
En el mundo del malware, hemos observado un rápido crecimiento de los troyanos ladrones de contraseñas, cuyo objetivo principal es apoderarse de los datos bancarios de los usuarios. Estos programas son sencillos, difíciles de detectar y, ahora, más fáciles que nunca de crear. Hay sitios Web, alojados principalmente en Rusia, que ofrecen herramientas de generación de troyanos que facilitan a cualquier agresor sin experiencia los medios para robar datos confidenciales. También, gracias a la disponibilidad de herramientas gratuitas o freeware para compilar y comprimir, es muy fácil crear malware AutoRun.
Descarga del Informe
Post relacionados:
- Informe de McAfee sobre amenazas - Primer trimestre de 2009
Desglosaremos la producción de spam por país y por asunto.
En la Web, el malware, tanto de sitios legítimos como de sitios maliciosos, sigue atacando los navegadores.
Las redes de robots “capturan” los equipos y se hacen con su control para apoderarse de datos ajenos y enviar mensajes de spam. Twitter se ha convertido en un objetivo frecuente de los agresores. En la actualidad, es sin duda la preferida entre las herramientas de redes sociales y los autores de malware saben bien cuál es su potencial y cómo explotarlo. Cuando tu herramienta favorita para tu nuevo estilo de vida virtual tenga planificado un mes de errores (“Mes de los errores de Twitter”) sabrás que se ha hecho realmente famosa. Twitter ha jugado también un papel de “hacktivista” (o pirata informático-activista) en las elecciones iraníes y las revueltas que les han seguido.
En el mundo del malware, hemos observado un rápido crecimiento de los troyanos ladrones de contraseñas, cuyo objetivo principal es apoderarse de los datos bancarios de los usuarios. Estos programas son sencillos, difíciles de detectar y, ahora, más fáciles que nunca de crear. Hay sitios Web, alojados principalmente en Rusia, que ofrecen herramientas de generación de troyanos que facilitan a cualquier agresor sin experiencia los medios para robar datos confidenciales. También, gracias a la disponibilidad de herramientas gratuitas o freeware para compilar y comprimir, es muy fácil crear malware AutoRun.
Descarga del Informe
Post relacionados:
- Informe de McAfee sobre amenazas - Primer trimestre de 2009
Los incidentes de "phising" de origen español ascienden a 140 en lo que va de año
España es el quinto país del mundo por emisión de correo electrónico basura y de estafas informáticas mediante páginas web falsas
A pesar de que España se coloca en las primeras posiciones de la delincuencia en Internet, sólo un 0,06% de los 600.000 dominios ".es" o de los servidores ubicados en España están involucrados en estos ataques cibernéticos. Son datos que se pusieron de manifiesto en el III Congreso Nacional de Policías Tecnológicas, que reunió la pasada semana en Madrid a agentes especializados en el cibercrimen, jueces y empresas dedicadas a la seguridad informática. Todos ellos alertaron de la creciente especialización y preparación técnica de los delincuentes y estafadores que operan en Internet.
Más...
Visto en consumer.es
A pesar de que España se coloca en las primeras posiciones de la delincuencia en Internet, sólo un 0,06% de los 600.000 dominios ".es" o de los servidores ubicados en España están involucrados en estos ataques cibernéticos. Son datos que se pusieron de manifiesto en el III Congreso Nacional de Policías Tecnológicas, que reunió la pasada semana en Madrid a agentes especializados en el cibercrimen, jueces y empresas dedicadas a la seguridad informática. Todos ellos alertaron de la creciente especialización y preparación técnica de los delincuentes y estafadores que operan en Internet.
Más...
Visto en consumer.es
Microsoft puede violar la GPL en la herramienta USB/DVD para Windows 7
La herramienta de código abierto “Windows 7 USB Download Tool” que Microsoft proporciona para copiar en un llavero de memoria Flash o en un soporte óptico DVD, la .iso adquirida desde su página web violaría la licencia pública GNU de la Free Software Foundation.
No es la primera vez que Microsoft utiliza código abierto en algunas de sus herramientas y tampoco la primera que la compañía es acusada de violar licencias de software libre en especial por no publicar y redistribuir el código como es preceptivo.
Ese parece ser el caso de la herramienta para grabar la .iso de Windows 7 comprada on-line, según la información.
Microsoft ha retirado la herramienta de descarga de su portal y dice “estar investigando el asunto, pidiendo disculpas a los clientes por las molestias”.
No es la primera vez que Microsoft utiliza código abierto en algunas de sus herramientas y tampoco la primera que la compañía es acusada de violar licencias de software libre en especial por no publicar y redistribuir el código como es preceptivo.
Ese parece ser el caso de la herramienta para grabar la .iso de Windows 7 comprada on-line, según la información.
Microsoft ha retirado la herramienta de descarga de su portal y dice “estar investigando el asunto, pidiendo disculpas a los clientes por las molestias”.
Visto en www.theinquirer.es
Experto en seguridad entrega claves para proteger la información de una PYME
•La protección de la información de una compañía puede parecer una cuestión de mucho dinero, pero con poca inversión se puede mantener una estructura de seguridad informática alejada de las amenazas más frecuentes. Conozca qué puede hacer para no perder esa información vital para su emprendimiento.
Santiago, Chile. 11 noviembre, 2009. “Muchas son las diferencias entre una PYME y una empresa de grandes capitales, pero la información interna es clave para ambas”, así lo indica Jorge Rojas, gerente de desarrollo de nuevos negocios de NovaRed, compañía especialista en seguridad informática, quien agrega que, aunque parezca extraño, no se necesita de mucho dinero para conseguir que la información esté segura en el marco de la empresa. “Son pocas las medidas que hay que tomar, pero todas son imprescindibles para tener éxito en el negocio”.
Los riesgos más comunes para una PYME incluyen los ataques de códigos maliciosos como virus, troyanos, spam, entre otros, las acciones directas como el robo de un notebook con información vital para el dueño o simplemente un desperfecto en el computador. Estas situaciones pueden generar muchas pérdidas, gatillando incluso la posibilidad de término del negocio.
Rojas sostiene que “es mucho mejor prevenir que curar”, pero principalmente “mucho más fácil”, ya que con un desperfecto mínimo es mucha la información que se puede perder. El especialista de NovaRed enumeró las principales medidas para tener asegurada su información:
Santiago, Chile. 11 noviembre, 2009. “Muchas son las diferencias entre una PYME y una empresa de grandes capitales, pero la información interna es clave para ambas”, así lo indica Jorge Rojas, gerente de desarrollo de nuevos negocios de NovaRed, compañía especialista en seguridad informática, quien agrega que, aunque parezca extraño, no se necesita de mucho dinero para conseguir que la información esté segura en el marco de la empresa. “Son pocas las medidas que hay que tomar, pero todas son imprescindibles para tener éxito en el negocio”.
Los riesgos más comunes para una PYME incluyen los ataques de códigos maliciosos como virus, troyanos, spam, entre otros, las acciones directas como el robo de un notebook con información vital para el dueño o simplemente un desperfecto en el computador. Estas situaciones pueden generar muchas pérdidas, gatillando incluso la posibilidad de término del negocio.
Rojas sostiene que “es mucho mejor prevenir que curar”, pero principalmente “mucho más fácil”, ya que con un desperfecto mínimo es mucha la información que se puede perder. El especialista de NovaRed enumeró las principales medidas para tener asegurada su información:
- 1.Respaldar, al menos una vez por semana, el computador que contiene la información clave de la empresa. En la mayoría de los casos, el equipo del dueño de la Pyme es el que posee estos datos críticos, por lo que es muy importante que se tenga una copia alternativa de la información, sin importar el tipo de back up realizado. Hoy por hoy un disco USB externo tiene un valor promedio de sólo $ 50.000.
- 2.Máximo cuidado con los códigos maliciosos: tener medidas contra virus, gusanos, troyanos y otros, especialmente con el uso de antivirus que puedan enfrentar este tipo de amenazas. “Recomendamos comprar programas licenciados, que tienen costos muy bajos (desde $ 15.000), ya que generalmente los programas que se pueden descargar gratuitamente de la red también son códigos maliciosos, por lo que una inversión de este tipo salvará de muchos dolores de cabeza a cualquier empresario”.
- 3.El acceso a Internet es algo necesario hoy en día, pero debe ser implementado en forma segura. Para ello existen los equipos llamados UTM (Unified Threat Management), que protegen el acceso a Internet en forma muy fácil, integrando en un solo aparato las funcionalidades de firewall, detector de intrusos, antivirus, antispam, navegación segura, etc. Estos equipos son de bajo costo y fáciles de administrar, por lo cual han tenido muy buena acogida en este segmento (precios desde los US$ 300).
- 4.La conectividad inalámbrica es sumamente económica y eficiente para una pequeña empresa, sin embargo es necesario apoyarse en expertos que puedan configurar una red segura y que no genere filtraciones hacia el exterior, lo cual podría facilitar el ataque de terceros o la intromisión en la información confidencial de la empresa. “No podemos dejar nuestra red expuesta al mundo, la información es valiosa y debemos velar por mantenerla segura y protegida”.
- 5.Por último, dada la mayor rotación de personal en estas empresas, es conveniente entregar el acceso a la información en forma granular y segmentada, a modo de prevenir algún problema con la información sensible. Muchos trabajadores sólo permanecen un tiempo corto en estas empresas, por lo que los vínculos son efímeros y el compromiso con la empresa en cuestión es mínimo, generando roces que pueden derivar en robo o eliminación de información. “Para prevenir, se aconseja utilizar claves y segmentación de privilegios de acceso a aplicaciones, más vale prevenir que curar”.
Fuente original: Infoweek.biz
martes, 10 de noviembre de 2009
Windows 7 vulnerable to 8 out of 10 viruses
Now that we in the northern hemisphere have had some time to digest the Windows 7 hype and settle in for the coming winter, we thought we would get some more hard data regarding Windows 7 security.
On October 22nd, we settled in at SophosLabs and loaded a full release copy of Windows 7 on a clean machine. We configured it to follow the system defaults for User Account Control (UAC) and did not load any anti-virus software.
We grabbed the next 10 unique samples that arrived in the SophosLabs feed to see how well the newer, more secure version of Windows and UAC held up. Unfortunately, despite Microsoft's claims, Windows 7 disappointed just like earlier versions of Windows. The good news is that, of the freshest 10 samples that arrived, 2 would not operate correctly under Windows 7.
On October 22nd, we settled in at SophosLabs and loaded a full release copy of Windows 7 on a clean machine. We configured it to follow the system defaults for User Account Control (UAC) and did not load any anti-virus software.
We grabbed the next 10 unique samples that arrived in the SophosLabs feed to see how well the newer, more secure version of Windows and UAC held up. Unfortunately, despite Microsoft's claims, Windows 7 disappointed just like earlier versions of Windows. The good news is that, of the freshest 10 samples that arrived, 2 would not operate correctly under Windows 7.
User Account Control did block one sample; however, its failure to block anything else just reinforces my warning prior to the Windows 7 launch that UAC's default configuration is not effective at protecting a PC from modern malware.
Lesson learned? You still need to run anti-virus on Windows 7. Microsoft, in the Microsoft Security Intelligence Report released yesterday, stated that "The infection rate of Windows Vista SP1 was 61.9 percent less than that of Windows XP SP3."
But let's not get complacent. Microsoft seems to be saying that Vista is the least ugly baby in its family. You can be sure the next report will highlight its even less ugly younger sibling, Windows 7.
Why do I say this? As of October 31st www.netmarketshare.com states that Windows Vista has a 19% market share against Windows XP's 70.5% and Windows 7's 2%. Approximately 1 in 5 Windows users is using either Vista or Windows 7. These users often have newer computers, automatic patching, and firewalls and anti-virus software in place.
With millions of hosts still infected with Conficker, ZBot and Bredo, it is obvious a lot of unprotected machines are still out there, and it is no surprise that most of those are XP.
As the chart above shows, Windows 7 users need not feel left out. They can still participate in the ZBot botnet with a side of fake anti-virus. Windows 7 is no cure for the virus blues, so be sure to bring your protection when you boot up.
Posted on November 3rd, 2009 by Chester Wisniewski, Sophos
Visto en www.sophos.com/blogs/
Google permite a los usuarios controlar su información personal
Creó un espacio para ver la información que se reúne para sus productos. Desde Dashboard, además, se puede controlar la configuración de los servicios. "Queremos generar transparencia", explicaron a Infobae.com
La privacidad del usuario es un tema que cobró una relevancia sin precedentes en los últimos meses. No es casualidad que suceda esto ya que son millones las personas que acceden diariamente a sus correos, realizan búsquedas, participan de redes sociales y trabajan en línea.
Y a Google es un tema que le toca de lleno ya que es el buscador más utilizado de internet y posee una creciente cantidad de servicios gratuitos, todos funcionando en la nube.
"¿Alguna vez te has preguntado qué tipo de información almacenamos de tu Cuenta Google? Google Dashboard te ofrece una forma de visualizar de manera sencilla la información que se encuentra en tu cuenta - toda junta y en una sola ubicación”, menciona la empresa al explicar en pocas palabras qué es este nuevo producto.
Más...
La privacidad del usuario es un tema que cobró una relevancia sin precedentes en los últimos meses. No es casualidad que suceda esto ya que son millones las personas que acceden diariamente a sus correos, realizan búsquedas, participan de redes sociales y trabajan en línea.
Y a Google es un tema que le toca de lleno ya que es el buscador más utilizado de internet y posee una creciente cantidad de servicios gratuitos, todos funcionando en la nube.
"¿Alguna vez te has preguntado qué tipo de información almacenamos de tu Cuenta Google? Google Dashboard te ofrece una forma de visualizar de manera sencilla la información que se encuentra en tu cuenta - toda junta y en una sola ubicación”, menciona la empresa al explicar en pocas palabras qué es este nuevo producto.
Más...
Ignacio Pan (Infobae.com)
Acceso directo a www.google.com/dashboard
Siete principios básicos en las nuevas tendencias de la industria de seguridad de la información
Los líderes de RSA instaron a la audiencia de la conferencia europea RSA 2009 a aprovechar las nuevas tendencias tecnológicas que proveen mayor seguridad IT
Art Coviello y Christopher Young, presidente y vicepresidente de RSA, remarcaron la necesidad de las organizaciones de desarrollar una estrategia sistémica de seguridad que incorpore las crecientes y novedosas tendencias en tecnología. Esto no implica integrar al sistema una pesada carga adicional de implementación, sino que representa una oportunidad sin precedentes para mejorar la seguridad en el desarrollo de una infraestructura de la información.
A fin de de acelerar este cambio de pensamiento, proporcionaron a la audiencia los “siete principios guía” requeridos para el armado de una efectiva estrategia sistémica de seguridad de la información en el actual entorno exponencialmente evolutivo de la misma.
Los 7 principios guía de RSA: desarrollando una estrategia sistémica de seguridad
Art Coviello y Christopher Young, presidente y vicepresidente de RSA, remarcaron la necesidad de las organizaciones de desarrollar una estrategia sistémica de seguridad que incorpore las crecientes y novedosas tendencias en tecnología. Esto no implica integrar al sistema una pesada carga adicional de implementación, sino que representa una oportunidad sin precedentes para mejorar la seguridad en el desarrollo de una infraestructura de la información.
A fin de de acelerar este cambio de pensamiento, proporcionaron a la audiencia los “siete principios guía” requeridos para el armado de una efectiva estrategia sistémica de seguridad de la información en el actual entorno exponencialmente evolutivo de la misma.
Los 7 principios guía de RSA: desarrollando una estrategia sistémica de seguridad
- 1. La seguridad debe estar inserta como un componente clave en la infraestructura IT - la seguridad debe ser parte esencial del sistema, en contrapartida a un desarrollo de integración anexo a la infraestructura IT. Equipos de RSA y Cisco han reunido experiencias para incorporar fundamentos intrínsecos al sistema de prevención contra pérdida de datos, en dispositivos como el “gateway” de seguridad de e-mail Cisco IronPort. RSA y VMware también han desarrollado una alianza tecnológica para insertar controles de seguridad de base en infraestructuras virtuales a fin de ayudar a las organizaciones a reducir riesgos e incrementar la seguridad global.
- 2. Desarrollar ecosistemas de soluciones - los ecosistemas deben ser diseñados para permitir a los productos y servicios de múltiples organizaciones el trabajo en conjunto, a fin de solucionar problemas de seguridad en común. RSA ha invertido en la comunidad RSA eFraudNetwork, un ecosistema creado en colaboración con miles de instituciones financieras a escala global con el objeto de detectar fraudes.
- 3. Crear seguridad transparente y sin fisuras - desarrollar una seguridad transparente de cara a los usuarios y a los sistemas permite a las personas un mejor conocimiento de las nuevas tecnologías. RSA y First Data, recientemente anunciaron un servicio esencial intrínseco al sistema de procesamiento de datos relacionados con pagos con tarjetas de crédito mediante el que se elimina la necesidad de los comerciantes de almacenar datos de pagos con tarjeta de crédito en sus propios sistemas IT.
- 4. Los controles de seguridad se correlacionan y conocen los contenidos - el promedio de acceso de usuario a la información está creciendo exponencialmente debido a las regulaciones externas y las políticas de gobernabilidad de los datos en el sistema. En el centro de respuesta a incidentes críticos de EMC -EMC critical incident response center (CIRC)-, la administración de la seguridad de la información se centraliza a fin de que la misma correlacione los datos provenientes desde múltiples herramientas de control. Estas avanzadas operaciones de seguridad permiten distinguir a los analistas de seguridad entre un evento de seguridad benigno de otro malicioso.
- 5. La seguridad de doble faz: resguardo dentro y fuera del sistema - RSA argumenta que la seguridad debe ser de doble orientación o faz, permitiendo así proteger tanto el perímetro (desde afuera hacia dentro del sistema) como la información en sí misma (desde adentro hacia fuera). A partir de que los usuarios acceden a la información desde una variedad de dispositivos dentro y fuera de la red, como así también en la “cloud”, las políticas de seguridad y los controles deben “adherirse” o “rastrear” la información a medida que ésta se mueve a través de la estructura de la información.
- 6. La seguridad debe ser dinámica y sobre la base del riesgo - para combatir a los criminales y los estafadores, las organizaciones necesitan ser capaces de correlacionar en forma dinámica la información proveniente de varias fuentes y poder además responder en tiempo real a riesgos de seguridad que afecten a la infraestructura y/o la información respectivamente. RSA anunció nuevos servicios de consultoría para ayudar a los clientes a implementar y/o mejorar sus operaciones de seguridad a fin de administrar de manera más efectiva tanto el riesgo como los programas de gobernabilidad de la información.
- 7. La seguridad efectiva debe aprender por sí misma - la naturaleza dinámica de las infraestructuras IT y los ataques maliciosos sobrepasan la habilidad de los seres humanos de estar a la altura de la velocidad y la complejidad de este paradigma.
Por esta razón, la estrategia de seguridad de la información debe ser dinámica y sobre la base de la conducta del usuario. A esta altura, RSA anunció también que está trabajando conjuntamente con Trend Micro a fin de potenciar la inteligencia en tiempo real contra la infección del sistema -virus, spam, algoritmos y otras modalidades de software espurio que induzcan a fraudes (se denominan “malware”)- mediante la generación de programas de inoculación en los centros de recursos de amenazas de Trend Micro -Trend Micro's Threat Resource centers-.
Además, para incrementar la protección de los clientes del servicio anti-troyano de RSA -RSA fraudactionsm anti-trojan service-, la información acumulada e identificada conjuntamente con Trend Micro se incorpora a las estrategias de fraudes en el centro de comando anti-fraude de RSA -RSA anti-fraud command center-.
--------------------------------------------------------------------------------
Fuente: www.ebizlatam.com/news/117/ARTICLE/10341/2009-11-09.html
¿Por qué es tan importante hablar de Data Loss Prevention?
Como concepto general, se sabe que hay que proteger la información de la compañía. En este punto, lo importante es destacar que a la información hay que protegerla SIEMPRE.
La información puede estar en tres estados: en uso, en transporte, o en almacenamiento. En los tres casos debemos asegurar su confiabilidad, su integridad y su disponibilidad.
El primer concepto implica que solamente las personas autorizadas tengan acceso a la información. En tanto, el segundo término consiste en asegurar que cada vez que busco un dato, el mismo es fidedigno y no ha sido modificado. Por último, la disponibilidad tiene que ver con asegurar que voy a poder acceder al dato siempre que lo necesite.
Ahora apliquemos estos conceptos los tres estados en que puede estar la información:
La información puede estar en tres estados: en uso, en transporte, o en almacenamiento. En los tres casos debemos asegurar su confiabilidad, su integridad y su disponibilidad.
El primer concepto implica que solamente las personas autorizadas tengan acceso a la información. En tanto, el segundo término consiste en asegurar que cada vez que busco un dato, el mismo es fidedigno y no ha sido modificado. Por último, la disponibilidad tiene que ver con asegurar que voy a poder acceder al dato siempre que lo necesite.
Ahora apliquemos estos conceptos los tres estados en que puede estar la información:
- En uso: En general, esto se da cuando lo estoy usando dentro de mi PC.
- En transporte: Este es un caso para tener en cuenta, ya que el transporte es amplio. Consideramos aquí, cuando un dato es enviado dentro de la red, por ejemplo desde una oficina a otra o hacia el Data Center. Pero no podemos olvidar que cuando llevamos un pendrive, estamos transportando información. Lo mismo ocurre cuando llevamos una notebook de un lado a otro. ¿Qué ocurre si la laptop es robada?
- En almacenamiento: es cuando el dato está guardado en un lugar fijo, como por ejemplo un Data Center o en un Server dentro de la empresa.
De los tres casos, cada uno tiene su forma de proteger a la información.
Pero concentrémonos en los dispositivos móviles (notebooks, pendrives, smartphones, etc). En este punto es importante tener una política definida sobre la protección de los datos ya que, si cuando están dentro de la empresa, en general están en mayor o menor medida protegidos, cuando los transportamos físicamente hay muy poco hecho.
Al respecto, a fin de garantizar la seguridad de los datos transportados se deben encriptar los discos rígidos de las notebooks para evitar que, ante una pérdida o robo, la información pueda ser utilizada. Asimismo, existen en el mercado pendrives con password, donde toda la información contenida esta encriptada, llegando incluso a poder tener lectores de huellas digitales en los mismos.
Otro punto a tener en cuenta es qué ocurre con los puertos de las computadoras. En este sentido, tenemos que asegurar que cuando un archivo es confidencial el mismo no pueda ser copiado, impreso, o gravado en un pendrive o similar. Hoy en día los celulares poseen muchas capacidades, y tenemos que considerar si estos dispositivos no pueden ser un problema de seguridad para la empresa.
Por todo lo dicho, se aconseja implementar soluciones de protección de datos, que permitan encriptar toda la información de los dispositivos móviles, bloquear los puertos de computadoras solamente para los archivos marcados como confidenciales, no permitir su impresión o copia, etc.
Con respecto a la red, hay que encriptar los vínculos y segurizar los accesos, entre otras medidas para prevenir la perdida de información.
Con todo esto lograremos estar mejor preparados para enfrentar la problemática del robo de información, defendiendo los intereses de nuestra compañía.
Fuente: www.redusers.com/blogs/expandit/
lunes, 9 de noviembre de 2009
Web Application Security Scanner Evaluation Criteria Version 1.0
Web Application Security Scanners are automated tools to test web applications for common security problems such as Cross-Site Scripting, SQL Injection, Directory Traversal, insecure configurations, and remote command execution vulnerabilities. These tools crawl a web application and locate application layer vulnerabilities and weaknesses, either by manipulating HTTP messages or by inspecting them for suspicious attributes.
A large number of web application scanning tools are available, both commercial and open source. Effective use of these tools is an important part of a thorough web application security assessment, and regular security scans are required to comply with security requirements such as section 6.6 of the Payment Card Industry Data Security Standard (PCI-DSS).
The Web Application Security Scanner Evaluation Criteria (WASSEC) is a set of guidelines to evaluate web application scanners on their ability to effectively test web applications and identify vulnerabilities. It covers areas such as crawling, parsing, session handling, testing, and reporting.
The goal of the WASSEC is to create a vendor-neutral document to help guide web application security professionals during web application scanner evaluations. This document provides a comprehensive list of features that should be considered when conducting a web application security scanner evaluation. Different users will place varying levels of importance on each feature, and the WASSEC provides the user with the flexibility to take this comprehensive list of potential scanner features, narrow it down to a shorter list of features that are important to the user, assign weights to each feature, and conduct a formal evaluation to determine which scanning solution best meets the user's needs.
The aim of this document is not to define a list of requirements that all web application security scanners must provide in order to be considered a "complete" scanner, and evaluating specific products and providing the results of such an evaluation is outside the scope of the WASSEC project. Instead, this project provides the tools and documentation to enable anyone to evaluate web application security scanners and choose the product that best fits their needs. NIST Special Publication 500-269, "Software Assurance Tools: Web Application Security Scanner Functional Specification Version 1.0", contains minimal requirements for mandatory and optional web application scanner features. This document can be found at https://samate.nist.gov.
TABLE OF CONTENTS
Introduction
Contributors
Evaluation Criteria
1. Protocol Support
2. Authentication
3. Session Management
4. Crawling
5. Parsing
6. Testing
7. Command and Control
8. Reporting
Appendix A: Advice for Conducting a Scanner Evaluation
Appendix B: License
Download - Web Application Security Scanner Evaluation Criteria Version 1.0
Download the Evaluation Spreadsheet
List of Web Application Security Scanners
Post relacionado:
-WASC - Consorcio de Seguridad de Aplicaciones Web - The Web Application Security Consortium)
jueves, 5 de noviembre de 2009
True Source Code Analysis for Security 2009
This paper illustrates the problems associated with code analysis executed on binary or byte-code representations and how scan of the source itself solves the drawbacks.
Abstract
CISOs have responded to the sharp rise in hacking by asking developers and auditors to implement secure software development for in-house and outsourced code. In recent years, ―source‖ code analysis has become the de facto choice to introduce secure development as well as gauge inherent software risk.
The irony is that source code analysis doesn‘t often look at the source at all. In fact, the majority of the products are using Binary analysis or byte-code analysis (BCA) created by the compiler. This method saves a great deal of effort when developing the analysis tools, but lowers drastically the usability and accuracy of the results. For example, current technical approaches examine code so late in the development cycle or—worse—after development leaving a high volume of vulnerabilities undiscovered. For the unfortunate developer and auditor, they are technically incapable of delivering the CISO‘s vision of secure software.
The differences between binary analysis and byte-code analysis have received little attention. This topic was addressed in just two recent blog posts. Worse, true source code analysis (TSCA) – which seems most logical for SCA, has been largely ignored. Yet only TSCA can deliver upon the CISO‘s promise of building security in.
Further, with the onset of cloud computing there is a new breed of languages used mainly in cloud computing where the developer develops the code while the cloud platform provider is responsible for validation, proprietary compilation and execution of the programs. The code has no manifestation as byte-code nor as binary, and the SCA must be done on the source code itself. No static analyzer is properly equipped to address this growing, important segment.
This technical paper fills this gap and explains how developers, auditors and cloud platform providers benefit from deploying a true source code analysis tool. with detailed code examples.
Download (Octubre 2009)
Informe de inteligencia acerca de seguridad de Microsoft, volumen 7
El volumen 7 del informe de inteligencia acerca de seguridad de Microsoft proporciona una perspectiva en profundidad acerca del software malintencionado y potencialmente no deseado, las vulnerabilidades de seguridad de software, las infracciones de seguridad y las vulnerabilidades de software (tanto en el software de Microsoft como en el software de terceros).
Microsoft ha desarrollado estas perspectivas basándose en un análisis detallado de los últimos años, con especial atención en el primer semestre de 2009 (1M09) .
En el informe de inteligencia acerca de seguridad también se ofrecen estrategias, mecanismos de mitigación y contramedidas que se pueden descargar de http://www.microsoft.com/sir.
Documentos disponibles para descarga al dia 2/Nov/2009:
- Microsoft_Security_Intelligence_Report_volume_7_Jan-Jun2009.pdf (10.3 MB)
- Microsoft_Security_Intelligence_Report_volume_7_Jan-Jun2009.xps (32.5 MB)
- Microsoft_Security_Intelligence_Report_volume_7_Key_Findings_Summary_Spanish.pdf (1.3 MB)
- Microsoft_Security_Intelligence_Report_volume_7_Key_Findings_Summary_Spanish.xps (1.7 MB)
Documentos disponibles para descarga al dia 2/Nov/2009:
- Microsoft_Security_Intelligence_Report_volume_7_Jan-Jun2009.pdf (10.3 MB)
- Microsoft_Security_Intelligence_Report_volume_7_Jan-Jun2009.xps (32.5 MB)
- Microsoft_Security_Intelligence_Report_volume_7_Key_Findings_Summary_Spanish.pdf (1.3 MB)
- Microsoft_Security_Intelligence_Report_volume_7_Key_Findings_Summary_Spanish.xps (1.7 MB)
Un parche de Office de tres años de antigüedad soluciona el 75 por ciento de los ataques actuales
Casi tres de cada cuatro ataques (concretamente el 71 por ciento de todos los conocidos en la primera mitad de 2009) que sacan partido de una vulnerabilidad de Word podrían evitarse con un parche que Microsoft lanzó en junio de 2006, según se desprende del informe bianual de inteligencia de seguridad que Microsoft publicó el lunes. El parche es el conocido como MS06-027.
El segundo error más “popular” entre los atacantes, con un 13 por ciento de los casos, intenta aprovecharse de otro error que se solucionó en marzo de 2008, según Microsoft, quien recuerda que el parche para este agujero es uno de los siete solucionados en MS08-014.
El segundo error más “popular” entre los atacantes, con un 13 por ciento de los casos, intenta aprovecharse de otro error que se solucionó en marzo de 2008, según Microsoft, quien recuerda que el parche para este agujero es uno de los siete solucionados en MS08-014.
Visto en IDG.es
lunes, 2 de noviembre de 2009
Evento ArCERT: Tendencias de seguridad en tecnología para aplicaciones
Presentación de Iván Arce de Core Security Technologies en las Jornadas de Seguridad Informática 2009 - 10 Años de ArCERT realizada el pasado 1 y 2 de octubre..
Para acceder al resto de los videos de este evento ia a este link.
Para acceder al resto de los videos de este evento ia a este link.
Sólo un 1% de los menores acudiría a sus padres ante una situación de riesgo en Internet
Los niños perciben peligro en la Red pero no saben valorar lo que encuentran
Sin embargo, un tercio de los padres cree que su hijo sí lo haría. Un desfase importante y peligroso, ya que los menores no saben evaluar los riesgos de lo que encuentran en la Red, pese a que son muy conscientes (más que sus padres) de los peligros que esconde Internet. Esta es una de las principales conclusiones del I Congreso Internacional de Menores en las TIC (Tecnologías de la Información y la Comunicación), celebrado esta semana en Gijón.
Más...
Visto en elpais.es
Sin embargo, un tercio de los padres cree que su hijo sí lo haría. Un desfase importante y peligroso, ya que los menores no saben evaluar los riesgos de lo que encuentran en la Red, pese a que son muy conscientes (más que sus padres) de los peligros que esconde Internet. Esta es una de las principales conclusiones del I Congreso Internacional de Menores en las TIC (Tecnologías de la Información y la Comunicación), celebrado esta semana en Gijón.
Más...
Visto en elpais.es
domingo, 1 de noviembre de 2009
Microsoft busca la certificación de seguridad ISO para sus servicios en la nube
Microsoft quiere que su suite de productos de colaboración y mensajería que aloja consigan el estándar de seguridad internacinal ISO 27001 para asegurar a los clientes sobre la seguridad de sus servicios de informática en la nube.
Google, que no ha mantenido en secreto sus ambiciones en el terreno de la 'cloud computing', ya está trabajando para hacer que sus servicios sean certificados con los estándares FISMA (Federal Information Security Management Act).
Curisosamente no está claro qué valor darán los usuarios de ambas compañías, a las certificaciones adjuntas, sobre todo porque, como afirman en Infoworld, no están diseñadas específicamente entornos en la nube, aunque sí que les coloca en una mejor posición para vender en el mercado gubernamental de Estados Unidos.
Actualmente Microsoft está en proceso de conseguir la certificación ISO 27001 para su Business Productivity Online Suite, que incluye Exchange Online, SharePoint Online, Office Live Meeting y Office Communications Online.
El estándar ISO 27001 está gestionado por la Organización Internacional para la Estandarización (International Organization for Standardization – ISO) y la International Electrotechnical Commission, a los que Microsoft tiene que demostrar que sus procesos físicos y lógicos, además de los controles de gestión para proteger su suite de servicios en la nube cuentan con unos criterios rigurosos.
Fuente: itespresso.es
Google, que no ha mantenido en secreto sus ambiciones en el terreno de la 'cloud computing', ya está trabajando para hacer que sus servicios sean certificados con los estándares FISMA (Federal Information Security Management Act).
Curisosamente no está claro qué valor darán los usuarios de ambas compañías, a las certificaciones adjuntas, sobre todo porque, como afirman en Infoworld, no están diseñadas específicamente entornos en la nube, aunque sí que les coloca en una mejor posición para vender en el mercado gubernamental de Estados Unidos.
Actualmente Microsoft está en proceso de conseguir la certificación ISO 27001 para su Business Productivity Online Suite, que incluye Exchange Online, SharePoint Online, Office Live Meeting y Office Communications Online.
El estándar ISO 27001 está gestionado por la Organización Internacional para la Estandarización (International Organization for Standardization – ISO) y la International Electrotechnical Commission, a los que Microsoft tiene que demostrar que sus procesos físicos y lógicos, además de los controles de gestión para proteger su suite de servicios en la nube cuentan con unos criterios rigurosos.
Fuente: itespresso.es
Suscribirse a:
Entradas (Atom)