IBM distribuyó USB con malware en conferencia de seguridad

No era un experimento para medir la vulnerabilidad de los sistemas de los asistentes al congreso de seguridad de la información AusCERT, en Australia, pero IBM distribuyó malware a través de USB que contenían folletos promocionales.

IBM alertó a los asistentes a través de un correo electrónico advirtiéndoles que en los dispositivos externos de almacenamiento había alojado un troyano y se disculpó explicando que no hubo mala fe en el incidente.

Más...

Visto en b:Secure Mx

La Agencia de Protección de Datos considera insuficientes los cambios realizados por Facebook e investiga a Google por su programa Street View

Vulnerando la privacidad por la cara

Abrir las ventanas de los usuarios de las redes sin pedir permiso. Captar información personal con coches que recorren las ciudades. Artemi Rallo dice estar harto de la estrategia de las grandes, que, según describe, pasa por lanzar servicios sin garantía de privacidad, recibir críticas y acabar corrigiendo debido a los escándalos. Cuanto más pública es la información de los usuarios, cuanto más se sabe sobre sus gustos, más segmentada es la publicidad que se les dirige y mayor es el negocio. "Es una estrategia demasiado evidente y están abusando del incumplimiento de las leyes", sostiene.

Leer articulo completo


Fuente: elpais.com

Presentaciones: IEEE Symposium on Security and Privacy

Program
- Opening Remarks [PPTX] [PDF]
Ulf Lindqvist, David Evans, Giovanni Vigna

- Session 1: Malware Analysis
Chair: Jon Giffin, Georgia Institute of Technology
Inspector Gadget: Automated Extraction of Proprietary Gadgets from Malware Binaries [Slides: PDF]
Clemens Kolbitsch (Vienna University of Technology), Thorsten Holz (Vienna University of Technology), Christopher Kruegel (University of California, Santa Barbara), Engin Kirda (Institute Eurecom)
Synthesizing Near-Optimal Malware Specifications from Suspicious Behaviors
Identifying Dormant Functionality in Malware Programs [Slides: PDF]

Session 2: Information Flow
Chair: David Molnar, Microsoft Research Redmond
Reconciling Belief and Vulnerability in Information Flow
Sardaouna Hamadou (University of Southampton), Vladimiro Sassone (University of Southampton), Catuscia Palamidessi (École Polytechnique)
Towards Static Flow-Based Declassification for Legacy and Untrusted Programs [Slides: PPTX, PDF]
Non-Interference Through Secure Multi-Execution [Slides: PDF]
Dominique Devriese, Frank Piessens (K. U. Leuven)
Object Capabilities and Isolation of Untrusted Web Applications [Slides: PDF]


Session 3: Root of Trust
Chair: Radu Sion, Stony Brook University
TrustVisor: Efficient TCB Reduction and Attestation [Slides: PPTX, PDF]
Overcoming an Untrusted Computing Base: Detecting and Removing Malicious Hardware Automatically [Slides: PPT, PDF]
Tamper Evident Microprocessors [Slides: PDF, PPT]


Session 4: Information Abuse
Chair: Patrick Traynor, Georgia Institute of Technology
Side-Channel Leaks in Web Applications: a Reality Today, a Challenge Tomorrow [Slides: PPT, PDF]
Investigation of Triangular Spamming: a Stealthy and Efficient Spamming Technique [Slides: PPTX]
A Practical Attack to De-Anonymize Social Network Users [Slides: PDF]
Gilbert Wondracek (Vienna University of Technology), Thorsten Holz (Vienna University of Technology), Engin Kirda (Institute Eurecom), Christopher Kruegel (University of California, Santa Barbara)
SCiFI - A System for Secure Face Identification [Slides: PDF, PDF 6-up]


Buses start loading for special event
Buses will leave from the Claremont front entrance to the reception. [Walking directions (about 30 minutes)]


Session 5: Network Security
Chair: Nikita Borisov, University of Illinois at Urbana-Champaign
Round-Efficient Broadcast Authentication Protocols for Fixed Topology Classes [Slides: PPT, PDF]
Revocation Systems with Very Small Private Keys [Slides: PPT]

Session 6: Systematization of Knowledge I
Chair: Z Morley Mao. , University of Michigan
Outside the Closed World: On Using Machine Learning For Network Intrusion Detection [Slides: PDF]
All You Ever Wanted to Know about Dynamic Taint Analysis and Forward Symbolic Execution (but might have been afraid to ask) [Slides: PPTX, PDF]

Session 7: Secure Systems
Chair: Jonathan McCune, Carnegie Mellon University
A Proof-Carrying File System
HyperSafe: A Lightweight Approach to Provide Lifetime Hypervisor Control-Flow Integrity [Slides: PDF]


Session 8: Systematization of Knowledge II
Chair: Ed Suh, Cornell University
How Good are Humans at Solving CAPTCHAs? A Large Scale Evaluation
Elie Bursztein, Steven Bethard, John C. Mitchell, Dan Jurafsky (Stanford University), Céline Fabry
Bootstrapping Trust in Commodity Computers [Slides: PPTX, PDF]

Short Talks
Short Talks Chair: Angelos Stavrou, George Mason University

Session 9: Analyzing Deployed Systems
Chair: J. Alex Halderman, University of Michigan
Chip and PIN is Broken [Slides: PDF, Prezi]

Session 10: Language-Based Security
Chair: David Brumley,Carnegie Mellon University
ConScript: Specifying and Enforcing Fine-Grained Security Policies for JavaScript in the Browser [Slides: PPT, PDF]
Leo Meyerovich (University of California, Berkeley), Benjamin Livshits (Microsoft Research)
TaintScope: A Checksum-Aware Directed Fuzzing Tool for Automatic Software Vulnerability Detection [Slides: PPTX, PDF]

Definición del concepto seguridad de la Informacion

Sirva esta presentación multimedia para explicar de manera diferente el concepto de SEGURIDAD DE LA INFORMACION.

Para iniciados en el mundo de la Calidad TIC como para profesionales que quieran disponer de estas slides para poder explicar el concepto a sus clientes. Una definición básica, pero completa, puesto que la seguridad de la información es quizás un concepto mayor del que pensabas

Te recomiendo visualices la presentación a pantalla completa (menú de la derecha -> More - FullScreen)

Definicion Seguridad Informacion on Prezi

Autor: Toni Martin Avila
Licencia de uso: Creative Commons



 

Informe: Cómo sobrevivir a la LOPD: las 10 reglas de oro para la protección de datos en su empresa (España)

Hasta hace pocos años, en España no había normas legales que protegieran expresamente los datos personales, con lo cual la desprotección en la que se encontraban las personas era total y las empresas más desaprensivas actuaban con absoluta impunidad. Sólo unos años después, hemos pasado al extremo opuesto: tenemos una ley (¡una de las más exigentes del mundo!) que protege unos derechos frente a los que se ha creado en muy poco tiempo una extraordinaria sensibilidad social y en la que la parte más débil han pasado a ser las empresas.

Y es que casi de un día para otro las empresas se han encontrado con una enorme cantidad de obligaciones, una vulnerabilidad inaudita (cualquier cliente, empleado o proveedor puede denunciar por asuntos realmente nimios con una simple llamada de teléfono) y un régimen sancionador que ya ha obligado a más de una empresa a echar el cierre. Y lo peor de todo, una empresa puede encontrarse con que ha infringido la ley (y ser denunciada y sancionada por ello) sin mala voluntad e incluso sin haberse dado cuenta.

Este decálogo sobre la LOPD le aclarará muchas de sus responsabilidades frente a la protección de datos personales… y le hará evidente hasta qué punto su empresa se encuentra indefensa.

Descárgueselo ahora completamente GRATIS.

INTERNET LAW - United Kingdom 2010 NIS Report on Measures against Cybercrime

The European Networks and Information Security Agency (ENISA) conducted a comprehensive study on the status of network and information security (NIS) in Europe. The goal was to produce a series of country reports regarding the "state of the art¡± of NIS in each European country. The countries covered by this report are Austria, Belgium, Bulgaria, Cyprus, Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Ireland, Italy, Latvia, Lithuania, Luxembourg, Malta, Netherlands, Poland, Portugal, Romania, Slovakia, Slovenia, Spain, Sweden, United Kingdom, Iceland, Liechtenstein, and Norway. The first report concentrated on security breaches and was concluded in 2008. The 2010 update concentrates on cybercrime. This article provides a summary on the United Kingdom 2010 country report on cybercrime.

The United Kingdom (UK) report on NIS and cybercrime addresses the following topics, NIS national strategy, regulatory framework and key policy measures; NIS governance; and NIS facts, trends, good practices and cases.

More...

Irá a juicio oral por dañar el sistema de la empresa que lo despidió (Argentina)

La Cámara del Crimen porteña puso al borde del juicio oral y público a un empleado del sector informático de una empresa quien, tras ser despedido, dañó el sistema operativo mediante la introducción de un virus por vía remota para borrar archivos y constancias de movimientos comerciales.

De acuerdo a la agencia DyN, la sala primera de la Cámara, con las firmas de los jueces Jorge Rimondi y Gustavo Bruzzone, consideró que el "hacker" procedió a "destruir o inutilizar -a través de un virus- o al hacer desaparecer -mediante el borrado- un archivo de computadora -como campo magnético conformado tecnológicamente-", con lo que "se estaría dañando una cosa".

Más...

Fuente: tecnologia.iprofesional.com

Encuesta de ISACA: América Latina adopta la computación en nube con mayor facilidad que América del Norte y Europa

ROLLING MEADOWS, Illinois--(Marketwire - May 19, 2010) - Cerca de un tercio de las organizaciones en América Latina implementarán la computación en nube en 2010, según la encuesta ISACA IT Risk/Reward Barometer (barómetro riesgo/recompensa de TI), conducida por ISACA, una asociación sin fines de lucro formada por 86.000 profesionales de tecnología de información (TI).

Encuestas similares conducidas por ISACA hallaron que América del Norte y Europa están adoptando la computación en nube más lentamente, con el 25 por ciento de las organizaciones en Norteamérica y el 18 por ciento de las europeas implementándola en 2010. Mientras el 41 por ciento de los 433 profesionales de tecnología de información latinoamericanos encuestados considera que los riesgos de la computación en nube sobrepasan los beneficios, el 18 por ciento cree lo contrario y el 42 por ciento cree que los beneficios y riesgos tienen un balance apropiado. "La nube representa un gran cambio paradigma en como los recursos de computación se implementan, de modo que no es sorprendente que los profesionales de TI se preocupen sobre la compensación del riesgo frente a la recompensa", dijo Robert Stroud, CGEIT, vicepresidente internacional de ISACA y vicepresidente de gestión de servicios de TI y gobernabilidad de CA Inc. "Sin embargo, el riesgo y el valor son las dos caras de la moneda. Si la computación en nube se trata como una iniciativa de gobernabilidad importante con la participación de un amplio conjunto de grupos interesados, tiene el potencial de generar beneficios que pueden igualar o superar los riesgos".

La ISACA Risk/Reward Barometer también analizó los impulsadores para la gestión de riesgos relacionados con TI. Mientras los profesionales de TI en Europa y América del Norte dicen que cumplir con los requisitos regulatorios es el mayor impulsor de sus organizaciones, sus colegas en América Latina reportaron que asegurar que la funcionalidad esté alineada con las necesidades de negocios es el motivador clave. (33 por ciento). "Es motivante ver que las empresas latinoamericanas vean la mejora en el desempeño en lugar del cumplimiento como la principal razón para la implementación de gestión de riesgo eficaz", dice José Angel Peña Ibarra, CGEIT, vicepresidente internacional de ISACA y socio de Alintec en México. Según Brian Barnier, miembro del equipo que desarrolló el nuevo Riesgo TI de ISACA: basado en la estructura COBIT y directivo de ValueBridge Advisors, "Desde la perspectiva de C-suite o la junta, al igual que en la inversión personal o en el deporte, el principal impulsor debe ser el balance del riesgo frente al retorno para impulsar un crecimiento rentable".

El mayor obstáculo al abordar la gestión de riesgos relacionados con TI en las tres regiones son los límites de presupuesto (41 por ciento en América Latina) seguido de las líneas de negocios que no están dispuestas a integrarse totalmente a la gestión de riesgo (19 por ciento).

Las medidas más importantes para mejorar la gestión de riesgo de TI según los encuestados en América Latina son incrementar el uso de las mejores prácticas (32 por ciento), crear mayor conciencia de riesgo entre los empleados (28 por ciento) y mejorar la coordinación entre la gestión de riesgo de TI y la empresa en general (24 por ciento).

Negocio riesgoso El ISACA IT Risk/Reward Barometer también reveló los tres comportamientos de mayor riesgo de empleados relacionados con TI: Los empleados no protegen los datos de trabajo confidenciales de manera apropiada. Los empleados no comprenden las políticas de TI en su totalidad. Los empleados comparten archivos entre compañeros con un dispositivo de trabajo. "Es crítico fomentar una conciencia de seguridad y educar a los empleados acerca de las buenas prácticas de gestión de riesgo", dijo Peña. "Sin la formación adecuada, los empleados a menudo, son involuntariamente, el vínculo más débil en la cadena de seguridad".

Fuente: www.acis.org.co

Descarga: 2010 ISACA Risk Reward Barometer Results US

Link relacionados:
- ISACA.

- Latinoamérica adopta el cloud computing con mayor facilidad

Facebook reconoce sus errores respecto a la privacidad

La privacidad de Facebook continúa estando en auge y más tras las declaraciones protagonizadas por el CEO de la red social, Mark Zuckerberg, quien después de asegurar a finales de la semana pasada que los usuarios no quieren una privacidad absoluta, ha contestado a un e-mail de Robert Scoble en el que reconoce que en esta cuestión “han cometido errores”, algo que no va a volver a suceder. De hecho, y tal y como confirma Mark Zuckerberg en el Washington Post, en Facebook se van a realizar cambios “y en esta ocasión vamos a hacer las cosas bien”. En este sentido, los cambios van a girar alrededor de los controles de privacidad, “que se van a simplificar además que se va a habilitar una forma de desactivar los servicios de terceros".

Según asegura el CEO de Facebook, en menos de una semana ya se podrá comprobar las mejoras que va a realizar en la red social, aunque puntualiza que “es muy difícil contentar a los más de 400 millones de usuarios”.

Ésta es la segunda vez que en menos de una semana Mark Zuckerberg responde a las críticas vertidas contra Facebook y que giran alrededor de la privacidad. La primera vez fue en la revista Time, donde destacó que “la forma en que la gente piensa acerca de la privacidad está cambiando un poco. Lo que quieren no es una privacidad absoluta. No quieren secretismo. Lo que quieren es control sobre qué comparten y qué no”.
Asimismo, el CEO de Facebook también destacó que “nuestra creencia fundamental es que una de las cosas más transformadores que ha ocurrido a nuestra generación es la cantidad de información que hay disponible y a pesar de todos los avances que hemos hecho, creo que estamos mucho más cerca del principio que del final de esta tendencia”.

Fuente: PC World

Defcon18 CTF PreQuals: WriteUps (Soluciones)

Defcon18 - Soluciones

Tanto si has participado como si no, siempre es interesante ver las soluciones de otros, como han resuelto aquello en lo que te quedaste enganchado, o simplemente intentar pensar si lo hubieras podido resolver si hubieras participado (aunque para este caso siempre somos un poco "sobrados", cuando otro nos dice la solución siempre parece muy fácil.

Más..

Link relacionado:
- Web del evento

Zero day aumentó 28% en America latina

Zero day aumentó 28% en la región; los hackers están desarrollando programas más sofisticado.
Kaspersky presentó los resultados de un análisis de las amenazas de código malicioso más difundidas en el primer trimestre del 2010, que afectaron la región de América Latina y los países de Argentina, Brasil y México.

La marca indica que 74% de todos los programas de código malicioso más propagados fueron detectados por los mecanismos heurísticos de Kaspersky. De acuerdo con el análisis, los criminales que crean malware enfocado a la región se esfuerzan por generar un código difícil de detectar por los motores clásicos de asignaturas, con el objetivo de evadir la detección de otros programas Anti-Virus e infectar la mayor cantidad posible de máquinas.
En comparación con el último trimestre del 2009, la cantidad de malware Zero day creció 28%, lo que demuestra que los hackers se esfuerzan por crear malware más sofisticado en términos de detección y para que las firmas clásicas (patrones) de detección de los Anti-Virus no lleguen a tiempo a los usuarios para protegerlos contra dichas amenazas.

Al comparar las 10 principales amenazas del primer trimestre del 2010 con los datos del cuarto trimestre del 2009 se observaron los siguientes cambios:

Net-Worm.Win32.Kido.ih fortaleció sus posiciones y subió del sexto lugar al tercero. El Trojan.Win32.VB.zqk está en la posición número 5 con 5% de penetración en América Latina. El objetivo de esta amenaza es infectar la máquina utilizando las técnicas de Rootkit, permanecer oculto en el sistema y robar las contraseñas de MSN (Live) Messenger y AIM Messenger. Las contraseñas robadas se envían a un servidor remoto controlado por los delincuentes.

Las amenazas Packed.Win32.Krap.ao, Packed.Win32.Krap.ai y Packed.Win32.Katusha.e están relacionadas con los programas de falsos Anti-Virus que al infectar la máquina muestran mensajes de la detección de supuestos virus pidiendo una activación a través del pago correspondiente.

El análisis muestra una tendencia alarmante en cuanto al objetivo de los ataques en América Latina, siendo el principal blanco el dinero de las víctimas o cualquier cosa virtual del cual se pueda transformar en él.
Existe un creciente peligro de infectar la máquina con el malware que finge ser un Anti-Virus y pide activación para eliminar una supuesta infección. Los mensajes que mandan dichos Anti-Virus falsos suelen ser muy molestosos y persistentes y en algunos casos también dichos programas de código malicioso son difíciles de eliminar.

Los ataques en América Latina fueron:

En Argentina 58% de los programas maliciosos más difundidos fueron detectados por los mecanismos heurísticos. La tasa es bastante alta porque representa más de la mitad de todo el malware. Entre los programas están not-a-virus:Adware.Win32.EZula.heur y not-a-virus:Adware.Win32.Ron.heur, que pertenecen al grupo de los programas no deseados. Éstos no roban información, no dañan el sistema operativo, no infectan otras máquinas por la red o a través de medios de almacenamiento, sino que buscan generar dinero para sus autores a través del tráfico de Internet.
Cada vez que la víctima que tenga instalado uno de estos programas está conectado, su acceso a Internet es usado para dar en clics en segundo plano (invisible) en los banners de diferentes sitios Web.

En tercer lugar se ubicó Backdoor.Win32.Poison.bjdy, que se oculta en el sistema de la víctima bajo el nombre del MSN Messenger y permite a los atacantes tener acceso no autorizado y sin el consentimiento de la víctima, además robar todo tipo de datos confidenciales como contraseñas, pines, nombres de usuarios, etc.

En Brasil el panorama es claro; la mayoría de los programas de malware están enfocados al robo de información de las cuentas para el acceso a los servicios de pagos y de banca en línea. El troyano Trojan-Dropper.Win32.VB.aksg está en la posición número 2 en Brasil con 17% de todos los ataques. Éste roba la información bancaria de sus víctimas al instalarse en el sistema bajo un aplicativo falso de Microsoft. El robo de información se da cuando el usuario accede a su banco a través del Internet Explorer.
Los programas maliciosos que están en la lista de Brasil roban contraseñas de los bancos que tienen sucursales en este país, así como de los sistemas de pagos en línea y las tarjetas de crédito más populares.

México tiene un panorama viral variado, ya que hay gran presencia de diferentes tipos de programas de código malicioso usados en otros países de Latinoamérica e incluso propios como es el caso del troyano espía Trojan-Spy.Win32.Agent.begh. Éste es el más codicioso entre los analizados anteriormente, porque su meta es robar cualquier información del usuario y no solamente cuentas de bancos, tarjetas de crédito o nombres de usuarios de sistemas de pagos en línea. Este troyano es capaz de robar los nombres de usuario y contraseñas de los correos electrónicos, redes sociales, programas de mensajería instantánea y hasta juegos en línea que requiere autenticación.
El Trojan-Downloader.Win32.Agent.cyrc tiene una penetración de 17%; su tarea es infectar la máquina de la víctima y descargar e instalar al sistema otro troyano que finalmente convierte el equipo en una PC zombie. La máquina infectada envía su identificación al centro de comando y control que se encuentra en Estados Unidos. Los criminales al obtener el control de la máquina pueden darle cualquier uso que les convenga. Por ejemplo, pueden enviar Spam, generar ataques de denegación de servicios, robar información confidencial que represente interés financiero o hacer cualquier otra cosa ilícita.
El troyano Trojan.Win32.Sasfis.ahic, que está en el lugar 10, tiene una tasa de penetración de 4%, sus posibles daños están en robar dinero. El troyano se especializa en robar las contraseñas de los sistemas PayPal, eBay y también números de las tarjetas de crédito MasterCard.

En México, el panorama fue el siguiente:

Fuente: www.addictware.com.mx

New OSSTMM 3 sampler and ToC available now

New OSSTMM 3 sampler from Chapter 2 released!

The most current OSSTMM 3 Table of Contents released!

17 de Mayo - Día de Internet

17 de mayo se celebra en todo el mundo el Día de Internet, una iniciativa que tiene como objetivo dar a conocer las posibilidades que ofrecen las nuevas tecnologías para elevar el nivel de vida de los usuarios y contribuir a su desarrollo personal y al de sus tareas diarias, desde un marco voluntario donde cualquier persona u organización puede realizar actividades o eventos relacionados.

Con motivo de esta fecha, los especialistas en seguridad informática del Laboratorio de Eset Latinoamérica han preparado un Decálogo de Seguridad para usuarios de Internet, con los consejos más importantes para cuidarse al momento de navegar por el ciberespacio:

1. Evitar los enlaces sospechosos
2. No acceder a sitios web de dudosa reputación
3. Actualizar el sistema operativo y aplicaciones
4. Descargar aplicaciones desde sitios web oficiales
5. Utilizar tecnologías de seguridad como antivirus, firewall y antispam
6. Evitar el ingreso de información personal en formularios dudosos
7. Tener precaución con los resultados arrojados por buscadores web
8. Aceptar sólo contactos conocidos
9. Evitar la ejecución de archivos sospechosos
10. Utilice contraseñas fuertes

Visto en infochannel.com.mx

Video: Conciencia de Seguridad

6:00 minutos

McAfee indemnizará a todos los afectados por el error del antivirus

McAfee indemnizará a todos aquellos usuarios que hayan sido víctimas del problema acaecido dias atras. Y es que la empresa detectó un componente de Windows XP como un falso antivirus, de manera que decenas de miles de computadoras quedaron paralizados y no pararon de reiniciarse.

Noticia completa...

Auditar la seguridad en plataformas de virtualización.

La virtualización de sistemas se utiliza cada vez más debido a sus grandes ventajas: reducción de los costes, administración centralizada, integración de arquitecturas… y finalmente nuevos recursos en materia de seguridad.

Pero también entraña nuevas amenazas de seguridad como son las vulnerabilidades de plataformas de virtualización. Con VASTO es posible auditar la seguridad de plataformas de virtualización.

Vasto es un conjunto de herramientas que permiten explotar vulnerabilidades de las principales infraestructuras de virtualización: VMware y Citrix XenCenter. VASTO está formado por componentes de Metasploit.

Más información y descarga de VASTO

Visto en el blog Guru de la Informática

The Good The Bad The Virtual

View more presentations from Claudio Criscione.

WinFE, una distribución live de Windows orientada principalmente al campo del computer forensic

No son pocas las distribuciones de Linux orientadas al análisis forense que se distribuyen en forma de Live-CD: Helix, DEFT o FIRE son sólo algunos ejemplos. Sin embargo no es menos cierto que no todos los usuarios se sienten cómodos con el sistema operativo del pingüino.

Si a lo anterior le sumamos lo difícil que resulta en ocasiones pelear con el hardware de última hornada para hacerlo funcionar en Linux, no estaría mal disponer de alternativas, alternativas como puede ser un Live-CD de Windows.

Hasta la aparición de Windows Vista/2008 esta opción era impensable, y era impensable porque Windows "montaba" automáticamente en modo lectura/escritura cualquier partición de disco con un sistema de ficheros que fuera capaz de reconocer, alterando de esta forma las pruebas.

Para generar el live-cd he utilizado un sistema Windows Vista como base para el entorno y descargado e instalado el Automated Installation Kit para Windows Vista SP1 y Windows Server 2008, disponible para descarga en el siguiente enlace. Imprescindible también el documento de Troy Larson describiendo el proceso.

Desde el menú Inicio arrancaremos el Símbolo del sistema de Herramientas de Windows PE y procederemos a crear la estructura base mediante el siguiente comando:

copype.cmd x86 D:\Vista-FE

Post completo . ..




Visto en  Neo System Forensics

Security of Cloud Computing Users: A Study of Practitioners in the US & Europe

CA and Ponemon Institute conducted a cloud security survey of U.S. and Europe IT and IT security professionals. The findings show that about half of the respondents don’t believe the organization has thoroughly vetted cloud services for security risks prior to deployment. It also showed that 55 percent of respondents are not confident they know all the cloud services in use in their organization today.

The overall study calls for a need for IT and Security professionals to embrace the cloud and help their organizations more securely adopt cloud services.

Download (EN, 34 Pag.)

Security of Cloud Computing Users. Prepared by Dr. Larry Ponemon, 12 May 2010

La dificil tarea de mantener la privacidad de facebook

A las constantes críticas que recibe la red social por el manejo de
los datos personales se sumó una falla de seguridad que expuso los chats de los usuarios; crecen las quejas ante la complejidad de la configuración de los perfiles

Para muchos usuarios de Facebook, la mayor red social del mundo, fue solo la última en una serie de frustraciones. El pasado miércoles los usuarios de la plataforma descubrieron una falla que expuso las conversaciones de chat en las cuentas de sus amigos.

Poco tiempo antes, Facebook había introducido cambios que básicamente obligaban a los usuarios a escoger entre aceptar que la información respecto de sus gustos estuviera a disposición de cualquiera o quitarla por completo. Si bien los administradores de la red social actuaron rápidamente para cerrar la brecha de seguridad, esto aumentó la sensación de muchos usuarios de que se está volviendo difícil confiar en que el servicio proteja sus datos personales.

"Facebook se ha vuelto algo que asusta más de lo que divierte", dijo Jeffrey Ament, de 35 años, un contratista del estado que vive en Rockville, Maryland.

Más...

iScanner – Detect & Remove Malicious Code/Web Pages Viruses From Your Linux/Unix Server

iScanner is free open source tool lets you detect and remove malicious codes and web pages viruses from your Linux/Unix server easily and automatically. This is a neat tool for those who have to do some clean up operation after a mass-exploitation or defacement on a shared web-host.

This tool is programmed by iSecur1ty using Ruby programming language and it’s released under the terms of GNU Affero General Public License 3.0.


Features
◦ Detect malicious codes in web pages. This include hidden iframe tags, javascript, vbscript, activex objects and PHP codee.
◦ Extensive log shows the infected files and the malicious code.
◦ Send email reports.
◦ Ability to clean the infected web pages automatically.
◦ Easy backup and restore system for the infected files.
◦ Simple and editable signature based database.
◦ Ability to update the database and the program easily from dedicated server.
◦ Very flexible options and easy to use.
◦ Fast scanner with good performance.


Coming Soon
◦ Microsoft Windows compatibility.
◦ Export log in other formats (xml, html).
◦ Extend the database and make it able to detect malicious files.
◦ Ability to send infected file to iScanner server for analysis.
◦ Build remote scanner service with API.

Download

iScanner v0.5 - iscanner.tar.gz

Or read more here.

Visto en http://www.darknet.org.uk/

Ad|Quiere - Distribución forense

Las actuales distribuciones forenses se están moviendo desde formatos abiertos y gratuitos a formatos de pago. Dichas herramientas forenses empiezan con buenas ideas e intenciones y finalmente, se apoderan de ellas empresas con ánimo de lucro, perdiendo así su filosofía GNU.

Por estos motivos, blueliv y AEDEL lanzan ADQUIERE con los siguientes objetivos: - Dar una herramienta gratuita para la comunidad forense de habla hispana. - Establecer un modelo de TO DO list colaborativo, con objeto de hacer crecer la herramienta entre todos y que haya un benefició común. 

Descarga de versión 0.8 - Checksums. Se compone de: - Un sistema basado en linux ubuntu - Auto detección de discos y preparación previa para las adquisiciones forenses. - La herramienta Linen de Guidance Software, para realizar adquisiciones en formato Encase (todo ello guiado bajo un sencillo tutorial) . - La herramienta de adquisiciones AIR (Automated Image & Restore)

Security Predictions for 2011 and 2012

Security Predictions for 2011 and 2012 - The Emerging Security Threat

20 Critical Security Controls Grows with Proactive Organizations

Partly as a result of the economic downturn, partly because executives at some of the best run companies will start to implement the 20 Critical Security Controls. The three primary drivers are the research behind the initiative (they aren't just someone's opinion), they are measurable and metrics driven, and finally they are largely automated (according to experts, 15 of the 20 critical controls can be automated).

More...

Global Software Piracy Study 2010

Piratería del Software disminuyó a 70% en Perú en medio de recesión mundial

En Latinoamérica, la tasa promedio de piratería fue de 63%, siendo
Venezuela el país con el mayor índice (87%) y Colombia el de menor tasa (55%)

De 2008 a 2009, la instalación de software sin licencia en computadoras personales (PC) en Perú cayó en un punto porcentual, siendo ahora de 70%. Sin embargo, el valor comercial del software ilegal supusó un total de US$124 millones en pérdidas.
Esto resultados se desprenden del Séptimo Estudio Anual sobre Piratería de Software, que analiza las tasas de piratería del software en más de 100 países, y que fue presentado hoy por la Business Software Alliance (BSA), junto con la firma de análisis de mercados IDC.

El estudio revela también que en Latinoamérica, el promedio de piratería fue de 63%, siendo Venezuela* el país con el mayor índice (87%) y Colombia el de menor tasa (55%). Perú ocupa, en este contexto, el octavo puesto de los países con menos piratería en la Región, de un total de 19 incluidos. Las pérdidas totales en la región superaron los US$6,200 millones.

"Este estudio indica claramente que los esfuerzos de BSA para reducir la piratería de software en Perú vienen dando resultados, aunque aún tenemos un largo camino por recorrer. La reducción de un punto nos alienta, pero aún una tasa de piratería del 70% está lejos de lo aceptable en comparación al promedio regional," dijo Piero Calderón, Apoderado de los Miembros de Business Software Alliance en Perú.

Más...

Fuente: rpp.com.pe

Descarga del informe:

- Seventh Annual BSA and IDC Global Software Piracy Study - May 2010 - Ingles.

- Reporte - Estudio Anual de BSA/IDC sobre la Piratería del Software en el Mundo - Español

- Información sobre la metodología y obtener una copia completa del estudio

- Study in Brief (pdf)

- Global Press Release (pdf)

Video Hacking Democracy (subtitulado)

En el post "Voto Electrónico Vs Seguridad" se había mencionado el documental "Hacking Democracy" que trata el tema del Fraude y el Voto Electrónico en USA, en esta oportunidad les presentamos la versión subtitulada del vídeo



Documental sobre el sistema de votaciones de Estados Unidos que demuestra el fraude de las máquinas de votar (subtitulado, duracion aprox 80 minutos)

Google lanza curso gratuito: Web Application Exploits and Defenses

Google lanzó un nuevo curso en línea para el diseño de aplicaciones Web con la finalidad de enseñar a los desarrolladores la forma de evitar los errores comunes de programación que pueden llevar a la generación de vulnerabilidades como códigos de sitios cruzados (XSS), obtener solicitudes desde sitios externos, entre otros.

El curso, que es parte Google Code University, se basa en el concepto de aplicaciones de tipo Twitter, denominada Jarlsberg, una programa que Google liberó para este fin. Conocido como "Web Application Exploits and Defenses," el curso otorga a los desarrolladores la oportunidad de visualizar el funcionamiento interno de una aplicación fundamentalmente insegura, analizar las vulnerabilidades y aprender de los errores de programación que generaron estas fallas.
"El codelab fue construida entorno a Jarlsberg, una pequeña aplicación web que permite a los usuarios publicar fragmentos de texto y almacena diversos archivos. 'Desafortunadamente,' Jarlsberg tiene muchos errores de seguridad que van desde código de sitios cruzados y falsificación de peticiones de sitios cruzados, a la divulgación de información, negación de servicio y ejecución de código remoto. La meta de este codelab es guiar a los usuarios mediante el descubrimiento de algunos de estos errores para enseñar las formas de reparar tanto Jarlsberg como otras aplicaciones de uso general", informa el documento del curso.


El curso de desarrollo seguro se basa en una serie de retos que requieren que los estudiantes se esfuercen e identifiquen vulnerabilidades especificas en el código de Jarlsberg. Después de que los estudiantes aprenden los fundamentos de una vulnerabilidad, como CSRF, se les pide que encuentren una forma de utilizar esta falla para realizar una acción maliciosas especifica en la aplicación, como cambiar algunos detalles en la cuenta de registro de los usuarios sin que ellos se enteren.

La clases de código seguro para desarrolladores no son nada nuevo, tampoco son las clases que enseñan como vulnerar de forma ética y otorgan a los estudiantes la oportunidad de aprender las técnicas básicas de ataque. Pero la idea la idea de dar a los desarrolladores la oportunidad de ir tras las vulnerabilidades de una aplicación Web especialmente diseñada para ese fin es algo nuevo, y probablemente muy necesario, dada la poca capacitación que muchos de ellos obtienen.

El curso de seguridad está abierto a todos y disponible de forma gratuita, así como el código Jarlsberg.

Fuente: threatpost.es

El 80% de las pérdidas de datos en empresas se debe a comportamientos de riesgo de sus empleados

Cerca de ocho de cada diez pérdidas de datos (un 78%) sufridas por las empresas tienen su origen en comportamientos inseguros de sus trabajadores tales como un error humano, el robo o pérdida de hardware, un USB personal infectado o la desactivación del antivirus.

Así lo afirma un estudio de BitDefender -empresa dedicada a la fabricación de software de seguridad-, que considera clave para evitar los incidentes de seguridad que causan la pérdida de datos disponer de unos trabajadores bien instruidos sobre los riesgos a los que se enfrentan.

Frente a este 78% de incidentes de seguridad ocasionados por comportamientos de los empleados, sólo un 6% es provocado por ataques con malware. Sin embargo, pese a ser inferiores en número, sus consecuencias son mucho más dañinas que un fallo de hardware o un error humano.

Según BitDefender, mientras que el fallo en el hardware o el error humano "supondrían para la empresa sólo la pérdida de datos, la infección con malware provocaría, además de esa pérdida de datos, un deterioro de la imagen de la compañía". En algunos casos, señalan, el ataque podría llegar a desembocar en un proceso legal, "si se descubre que la empresa, por ejemplo, no contaba con todas las medidas de seguridad necesarias para proteger la información que sus clientes le habían proporcionado".

Más...

Un fallo de seguridad en Facebook permite ver el chat de otros

La red social Facebook dijo que arregló una falla de seguridad en su chat que, entre otras cosas, permitía a los usuarios ver conversaciones privadas.
El error se encontraba en los parámetros diseñados para proteger la información personal de los internautas.
Debido a esta falla, los usuarios no sólo podían espiar en los diálogos privados de sus amigos, sino también ver quiénes habían solicitado unirse a su red de contactos.

Facebook cerró su chat temporalmente mientras solucionaba el problema.

La falla de seguridad, que inicialmente fue reportada por el blog tecnológico TechCrunch, funcionaba a través de una opción en los parámetros de privacidad que le permitía al usuario acceder a una vista previa de su perfil tal y como la verían sus contactos.

Más...

Fuente BBC Mundo






Video: Major Facebook security hole lets you view your friends’ live chats

Newsletter E.Security Europe & Latam # 27

• Visor e.Security
• Visor Online Multi Services
• PDF Descargar

Revista Electrónica El Derecho Informático # 3 - Mayo 2010

Se publico el tercer número de la Revista Electrónica El Derecho Informático.

Contenido
- Implementación del Teletrabajo en las organizaciones. Por Abog. Heidy Balanta (Colombia)
- La realidad del teletrabajo en Brasil. Por Abog. Manuel Pino Estrada (Brasil)
- Reforma a la Ley de Propiedad Intelectual en Chile. Por Abog. Pedro Huichalaf Roa (Chile)
- Desde Uruguay al mundo: Una visión de la actualidad del marco normativo del Gobierno Electrónico. Por Abog. Federico Carnikian Brignoni (Uruguay)
- Una visión ética de la práctica del monitoreo electrónico en el ámbito empresarial. Por Abog. Aislan Basilio Vargas (Brasil)
- Protección de Datos de Carácter Personal: Paraguay dentro del marco económico-legal del Mercosur. Por Abog. Marcelo Corrales y Abog. Alejandro Piera (Alemania)
- La Ley de Habeas Data en Colombia. Por Abog. Miguel Sumer Elias (Argentina)
- La no tan delgada línea entre legislación y justicia. Por Analista de Seg. Sebastián Bortnik (Argentina)
- El contrato de Escrow: una solución frente a las pruebas de
autoría... (Parte 1 de 3). Por Abog. Luis Manuel Tolmos (España)
- Entrevista a Ing. Pablo Abdian (Argentina)

Acceso a revista online o para descarga el enlace .