Noticias de Seguridad Informática - Segu-Info

Dos detenidos en Londres en relación al virus troyano 'Zeus'

2009-11-21T17:02:00.000-03:00

La Policía Metropolitana de Londres haefectuado las primeras detenciones en Europa en relación con lapropagación a través de Internet del popular virus troyano 'Zeus', quese cree que ha infectado a decenas de miles de ordenadores de todo elmundo, informaron este miércoles fuentes de la investigación. Losdetenidos son un hombre y una mujer, ambos de 20 años, arrestados el 3de noviembre en la ciudad de Manchester.

El 'Zeus', también conocido como Zbot, es un sofisticado programainformático que ha sido utilizado para recopilar millones de datos,permitiendo a sus creadores obtener información de interés de miles depersonas.

La Policía Metropolitana detalló que este troyano estaba configuradopara que, una vez se introducía en el sistema operativo, grabara losnúmeros de pasaportes, cuentas bancarias y tarjetas de crédito, entreotros datos de relevancia. Los detectives sostienen que de esta formalos piratas informáticos obtuvieron cuantiosos beneficios a costa deprovocar importantes pérdidas a las personas afectadas.

El inspector, de la unidad de crímenes en Internet Colin Wetherillañadió que el 'Zeus' es cada vez más utilizado por criminales paradicho fin. "Los arrestos significan un avance considerable en nuestroscrecientes esfuerzos para combatir el crimen online", afirmó. Losdetenidos han sido puestos en libertad bajo fianza en espera de nuevasaveriguaciones.

Fuente: DigitaldeInternet.com

Videos de Privacidad de Google

2009-11-21T16:03:00.000-03:00

Google tiene varios videos cortos que explican como usar las características de privacidad de varios de sus productos.
Preparamos una selección de 8 videos que seguramente les serán de utilidad.

Privacidad Google Docs

Privacidad Google Calendar

Privacidad Google Gmail

Privacidad Google Picasa

Privacidad Búsquedas en Google

Privacidad Búsquedas en Google (otro)

Google Dashboard (español)

Google Chrome Modo Incógnito

Fuente: Canal Google Latinoamerica en Youtube

Raúl de la Redacción de Segu-info

Metasploit Framework 3.3

2009-11-21T14:22:00.000-03:00

En Noviembre del año pasado, que casualidad, anunciábamos por aquí el lanzamiento de Metasploit 3.2, plataforma de exploiting por excelencia. Curioso lo que ha supuesto este año para el proyecto de HD Moore, y no sólo por la herramienta en si, si no por todo lo que la rodea. De momento, la noticia más reciente es que se acaba de hacer pública la versión de Metasploit 3.3.

Pero una de las noticias más ¿sorprendentes? de estas últimas semanas fue la compra de Metasploit por parte de la empresa Rapid7, que no supuso cambio alguno en el proyecto (seguirá Open Source...), si no simplemente que HD cumpliría con el puesto de Chief Security Officer pudiendo así trabajar a tiempo completo en el desarrollo de la herramienta. De momento seguimos respirando tranquilos si siguen definiendo a Metasploit dentro de la compañía como "A Rapid7 Open Source Project" y sigan a rajatabla el listado de preguntas y respuestas sobre la adquisición.

Volviendo a la actualidad, la nueva versión 3.3 aporta varios cambios, además de los típicos de optimización en el entorno, con mejoras en los procesos de instalación para cada sistema, ampliación de información y ayuda sobre los exploits, inclusión de nuevas técnicas de explotación y un amplio etc, todo ello detallado ampliamente tanto en el propio post del anuncio en el blog del proyecto como en el Changelog (más de 180 bugs corregidos...).

Fuente: Security by Default

¿Qué es IPSec?

2009-11-21T13:42:00.000-03:00

Según Wikipedia, IPSec (Internet Protocol Security) es "un conjunto de protocolos cuya función es asegurar las comunicaciones sobre la suite de protocolos TCP/IP autenticando y/o cifrando cada paquete IP en un flujo de datos."

IPSec funciona encriptando la información contenida en los datagramas IP mediante encapsulamiento. Esto a su vez proporciona integridad, confidencialidad, autenticación y protección ante repetición. También se puede utilizar para proteger conexiones remotas.

Algunas de las funcionalidades que provee son:

Autenticación: una firma digital es utilizada para verificar la identidad del remitente. IPSec puede utilizar certificados digitales, Kerberos o una clave compartida previamente.
Integridad: un algoritmo de hash es utilizado para garantizar que la información no ha sido modificada en transito. A partir del paquete original, se calcula un HMAC (Hash Message Authentication Code).

Confidencialidad: se utilizan algoritmos de cifrado para asegurar que la información
transmitida, aunque interceptada, no pueda ser descifrada.
Anti-repetición: previene que un atacante reenvíe paquetes en un intento de acceder a la red.
No repudio: se utilizan firmas digitales para garantizar que el remitente no pueda negar el envío.
Claves dinámicas: las claves pueden ser creadas durante la sesión en forma dinámica, protegiendo distintos segmentos de la información con diferentes claves.
Regeneración de claves: el algoritmo de intercambio de claves Diffie-Hellman se utiliza para habilitar que dos equipos intercambien una clave de cifrado.
Filtrado de paquetes IP: es posible filtrar e incluso bloquear tipos de tráficos específicos, basado en cualquier combinación de dirección IP, protocolo y puerto.

IPSec posee dos modos de operación, túnel y transporte.

Modo Transporte
En este modo de trabajo, solamente la información del paquete es cifrada y/o autenticada. La información de enrutamiento, o encabezamiento no es alterada.

Modo Túnel
En este modo, todo el paquete es cifrado, lo cual incluye la información de encabezamiento.
Considerando todas las facilidades que provee IPSec, es sensato primeramente determinar cuales métodos de seguridad son necesarios implementar.

El algoritmo de cifrado
Como dijimos anteriormente, IPSec brinda servicios de confidencialidad mediante el cifrado de la
información antes de que esta sea enviada. Si los paquetes son interceptados, el cifrado asegura que el intruso no podrá interpretar la información.

Advanced Encryption Standard (AES)
También conocido como Rijndael, es un esquema de cifrado por bloques adoptado como un estándar de cifrado por el gobierno de los Estados Unidos. Se espera que sea usado en el mundo entero y analizado exhaustivamente, como fue el caso de su predecesor, el Data Encryption Standard (DES).

Data Encryption Standard (DES)
Este es el algoritmo de cifrado utilizado en forma nativa por Windows Server 2003, el cual utiliza un cifrado de 56-bit. Actualmente no se recomienda su utilización por considerarlo poco robusto.

Triple DES (3DES)
Ante las vulnerabilidades presentes en DES, se necesito una forma de garantizar mayor robustes, reutilizando este algoritmo altamente implementado. La opción fue utilizar tres rondas de DES sobre cada bloque de texto plano (plaintext).

Existen 3 modos de operación en 3DES, los cuales en algunos artículos se mencionan como "keying":

Keying 1: Se utilizan 3 claves distintas. Esto hace que sea la modalidad mas robusta. Genera un largo de clave de 168 bits
Keying 2: se utilizan 2 claves distintas (K1 = K3). El largo de clave es de 112 bits
Keying 3: las tres claves son idénticas, por lo que el largo es de 56 bits.
AES, DES y 3DES son considerados “block ciphers”. Esto significa que trabajan en bloques de un largo fijo, es decir, un bloque de texto plano (plaintext), sin cifrar, de un determinado tamaño origina un bloque de texto cifrado (ciphertext) del mismo tamaño.

El intercambio de claves
Los algoritmos de intercambio de clave son utilizados para permitir que dos equipos intercambien una clave compartida en forma segura sobre un canal inseguro.
Los equipos intercambian información que al ser procesada por el algoritmo de intercambio, genera un clave compartida que luego puede utilizarse como clave de sesión, o para generar una clave de sesión que luego se utilizará para para cifrar la información.

Diffie-Hellman (D-H)
El Intercambio de Claves Diffie-Hellman permite a dos equipos crear una clave privada compartida para autenticar la información y cifrar los datagramas IP.
Los distintos grupos D-H son:

Grupo 1: largo de clave de 768 bits.
Grupo 2: largo de clave de 1024-bits.
Grupo 3 (o 14): largo de clave de 2048-bits.

El Grupo 3, el cual es referenciado como Grupo 14 en algunos artículos, es considerado mucho mas robusto y complejo que el Grupo 2. Pero si es necesario garantizar compatibilidad con sistemas operativos anteriores a Windows XP, deberá ser utilizado el Grupo 2.

Elliptic Curve Diffie-Hellman (ECDH)
ECDH es una variante de D-H utilizando criptografía de curva elíptica.
Al igual que D-H, permite el intercambio de una clave secreta entre dos equipos sobre un canal inseguro.
Cada uno de los equipos debe poseer un par de claves (privada/publica) de curva elíptica.
Esta clave secreta puede ser utilizada como clave de sesión o para generar una nueva clave de sesión la cual puede ser luego utilizada para cifrar la información, utilizando un algoritmo simétrico.
Posee largos de clave de 256 y 384 bits. En plataformas Windows, es soportada en equipos con Windows Vista (SP1) y Windows Server 2008.

El método de autenticación
Por autenticación se entiende la verificación de la identidad del equipo que envía la información (remitente), o la identidad del equipo que la recibe (destinatario).

Certificados digitales
Son el método mas robusto de autenticación.

Kerberos (v5)
Una de las desventajas de este método es que la identidad del equipo permanece en claro hasta que todo el paquete se haya cifrado durante la autenticación.

Claves compartidas
Se debería evitar el uso de este método siempre que sea posible utilizar uno de los anteriores.
Debido a que las Claves compartidas son consideradas menos seguras que los demás mecanismos, solo deberán utilizarse cuando estos no sean factibles.

NTLMv2
Se trata de un mecanismo de autenticación de tipo “challenge/response” propietario de Microsoft interoperable con Active Directory. Esta disponible en Windows Vista y Windows Server 2008.

Certificados digitales + ECDSA
Este método esta disponible en equipos Windows Vista en adelante. Se trata de autenticación mediante certificados digitales, firmados con el algoritmo Elliptic Curve Digital Signature Algorithm.

Es posible definir mas de un método de autenticación, estableciendo el orden en el cual se desea que se apliquen.

El algoritmo de integridad
Aplicando un algoritmo a la información que se transmitirá, el remitente genera un hash del mismo, el cual se adjunta al paquete.
Cuando el destinatario recibe el paquete, procede a separar el hash calculado por el remitente y a calcular el propio, a partir de la información del paquete recibido.
Luego compara su hash con el del remitente, si son iguales, entonces se comprueba que el paquete no fue alterado en transito.

Message Digest 5 (MD5)
MD5 es un algoritmo que genera un hash de 128 bits. Es considerado inadecuado para su utilización por el US-CERT desde Diciembre de 2008.

Secure Hash Algorithm (SHA)
SHA-1 genera un hash de 160 bits, actualmente se utilizan SHA-256 y SHA-384, con largos de 256 y 384 bits respectivamente.

Cuanto mayor el largo de clave, se considera mas robusto, debido complejidad de los cálculos criptográficos. Sin embargo eso también significa un mayor consumo de recursos por parte de los equipos, principalmente ciclos de CPU.
SHA-1 esta disponible en las versiones de Windows 2000 en adelante.
SHA-256 y SHA-384 están disponibles en las versiones de Windows Vista (SP1) y Windows Server 2008.
IPSec brinda un muy buen nivel de seguridad siempre que este correctamente implementado, sin embargo, es importante evaluar bien el alcance del despliegue en la organización.

Gracias Americo por el artículo

El SIC organiza actividades por la Semana Internacional de la Seguridad Informática

2009-11-21T11:29:00.000-03:00

Se trata de un evento mundial que se instauró en1988. Este año se realizará del 23 al 30 de noviembre y el CAB, através de su Servicio de Informática, adhirió a la iniciativa. Por esemotivo lanzará una campaña y organizará charlas brindadas por unespecialista.

¿Cómo puedo hacer un uso seguro del e mail? ¿Por qué los adjuntos de un e-mail pueden ser peligrosos? ¿Cómo se puede saber si el correo esuna broma o leyenda urbana? ¿Cómo puedo evitar ser víctima de unmensaje anzuelo, cuyo propósito es que yo revele datos personales?

Las respuestas a éstas y otras preguntas son el objetivo principal dela Semana Internacional de la Seguridad Informática, una iniciativaestablecida en 1988 por la ACM (Association for Computing Machinery)que se organiza con el fin de promover acciones conjuntas entre elsector público y el privado, en materia de concientización en el usoresponsable de las Tecnologías de la Información y las Comunicaciones.

Este año, el evento se desarrollará en todo el mundo entre el 24 denoviembre y el 1º de diciembre y aquí, en el Centro Atómico Bariloche,también habrá actividades especiales. Las propuestas llegarán de lamano de nuestro Servicio de Informática y Comunicación (SIC), que conel apoyo de la Gerencia de Coordinación lanzará una campaña yorganizará charlas.

Adhesión CAB

Ya en 2008, este Centro Atómico trabajó en el marco de la SemanaInternacional de la Seguridad Informática. Esas tareas sirvieron paragestar el portal de Seguridad elaborado por el SIC. El sitio se puedevisitar en sic.cab.cnea.gov.ar, donde los usuarios también encontraráninformación vinculada a esta Semana Internacional de Seguridad 2009.

“El año pasado, el SIC comenzó a realizar campañas en el marco de estaSemana. Lo hicimos través de la difusión de consejos útiles que sefueron enviando a través de la red de noticias internas”, explicó a ELNÚCLEO Janis Bistevins, miembro del SIC y uno de los impulsores de lasactividades. Por su parte, la Lic. Alejandra González, tambiénintegrante del SIC, agregó: “En 2009 quisimos redoblar la apuesta, poreso pensamos en reforzar la campaña que habíamos hecho el año pasadocon un soporte gráfico, sumando afiches y pósters que implementaremoseste año, gracias a la colaboración que también estamos teniendo delgrupo de Relaciones Públicas del CAB. Con esto complementaremos lainformación que digitalmente enviaremos a todo el personal”.

Además de la campaña y la difusión de consejos, este año se agregaráncharlas. En este sentido, Janis y Alejandra confirmaron que serealizaron gestiones para que uno de los especialistas argentinos enseguridad informática pueda presentarse en Bariloche. Se trata del Lic.Cristian Borghello, quien disertará los días 24 y 27 de noviembre en elSalón de Actos del CAB-IB. “Brindará dos charlas: una dirigida ausuarios con conocimientos técnicos y otra, orientada a público engeneral que esté interesado en el tema”, informó Bistevins.

“Nosotros comenzamos a desarrollar esta iniciativa como una campañaeducativa. El objetivo es generar conciencia en la gente en cuanto alos riesgos que puede tener el mundo informático”, destacó la Lic.González y concluyó: “Nuestra intención es colaborar para educar a lagente en este aspecto, para que sepan protegerse en el trabajo, en suscasas y, sobre todo, proteger a los más chicos.”

Agenda de las Charlas sobre Seguridad Informática

Fuente: el Núcleo - Noticias y novedades del Centro Atómico Bariloche

Microsoft encuentra agujero de seguridad en Google Chrome Frame

2009-11-20T23:44:00.001-03:00

Allá por septiembre, cuando Google lanzó el plugin Google Chrome Frame para los usuarios de Internet Explorer, Microsoft advirtió inmediatamente que la movida incrementaría la superficie de ataque y haría menos seguros a los usuarios de IE.

Ahora viene el dato que un investigador de seguridad del equipo de Investigación de Vulnerabilidades de Microsoft (MSVR) que ha descubierto una vulnerabilidad de "alto riesgo" que podría permitir a un atacante eludir las protecciones cross-origin.

VEA: Microsoft dice que Google Chrome Frame duplica la superficie de ataque a IE

Severidad: Alta. Un atacante podría haber eludido las protecciones cross-origin. Aunque importante, los problems de severidad “Alta” no permiten que malware persistente infecte la máquina del usuario. Estamos en desconocimiento de cualquier explotación de este problema.

La compañia de tecnología de busquedas ha liberado una nueva versión de Google Chrome Frame (versión 4.0.245.1) con un parche para la vulnerabilidad.

La actualización del plug-in tambien soluciona varias fallas:

Solicitudes de red que fallan aleatoriamente (Issue 27401).
Solución de problemas con CFInstall.js para detectar mejor el SO compatible y las versiones de navegador, permitir a los usuarios cancelar la instalación del Frame, y no almacenar en cache el resultado de isAvailable (Issues 22738, 23057, y 23132).
No usar Google Chrome Frame para frames o iframes (Issue 22989).
Seguir apropiadamente las redirecciones (Issue 25643).
IE8 se congela intermitentemente (Issue 24007).
Eliminar carpetas de datos en la desinstalación (Issue 27483).

“Todos los usuarios se actualizarán automáticmante,” dijo Mark Larson, un miembro del equipo de Google Chrome.

Traducción: Raúl Batista - Segu-info
Autor: Ryan Naraine
Fuente: Blogs ZDNet

Actualización de seguridad para PHP

2009-11-20T23:04:00.000-03:00

Se ha publicado la versión 5.3.1 de PHP, quecorrige seis vulnerabilidades de seguridad en el popular lenguaje, quepodrían ser aprovechadas por un atacante remoto para saltarserestricciones de seguridad o provocar denegaciones de servicio.

Elprimero de los problemas solucionados se debe a que PHP no limitaba elnúmero máximo de subidas de archivo por petición, con la actualizaciónqueda limitado a 20 por defecto. Un atacante podría explotar esteproblema para provocar una denegación de servicio mediante el consumode archivos temporales.

Un segundo problema está provocado por la ausencia de controles de seguridad en el tratamiento de exif.
Un atacante podría emplear otro de los errores en "tempnam()" para evitar el modo "safe_mode".

Otrade las vulnerabilidades reside en un error en "posix_mkfifo()", quepodría permitir evitar las restricciones "open_basedir". También se hacorregido un problema en "safe_mode_include_dir".

El último delos problemas corregidos se debe a un error en popen al manejar un modono válido, lo que podría provocar una denegación de servicio.

Se recomienda actualizar a PHP versión 5.3.1 disponible en:
http://www.php.net/downloads.php

Más información:
PHP 5.3.1 Release Announcement
http://www.php.net/releases/5_3_1.php

Autor: Antonio Ropero
Fuente: Hispasec

La Justicia falló a favor de un empleado despedido por jugar a la Playstation en su trabajo

2009-11-20T13:28:00.000-03:00

La Cámara Laboral condenó a una agencia de venta de automóviles a indemnizar con más de $ 225.000 pesos a uno de sus vendedores.

La Cámara Laboral condenó a una agencia de venta de automóviles a indemnizar con más de 225.000 pesos a uno de sus vendedores, al que despidió porque fue sorprendido mientras jugaba con una Playstation en horario de trabajo.

Pese a que diez meses antes el mismo empleado había sido apercibido por estar jugando a las cargas en horario laboral, para la Sala Cuarta de la Cámara la conducta "no revestía -en el caso- gravedad tal como para impedir la prosecución del vínculo".

"El hecho de realizar una actividad lúdica en horario de trabajo importó ciertamente un incumplimiento contractual susceptible de un correctivo disciplinario, pero no revistió entidad suficiente como para justificar la ruptura del vínculo", insistieron los jueces Oscar Zas y Héctor Guisado.

Para arribar a esa conclusión, tuvieron en cuenta que "de la prueba rendida no se desprende que en el salón hubiese habido clientes que no fueran atendidos por los vendedores, o que hubiesen manifestado alguna queja por algún motivo, o que el incumplimiento hubiese causado algún perjuicio concreto a la empleadora".

"La aplicación de las sanciones debe adecuarse a criterios racionales, evitando pasar bruscamente de la indulgencia al rigor, de la benignidad a la exigencia estricta, lo que hace necesaria, a veces, una progresión en las sanciones", explicaron los camaristas.

El trabajador cesanteado, quien trabajaba en la agencia de venta de autos desde mediados de 2001 y percibía salario y comisiones por las ventas, recibirá una indemnización de 225.681,45 pesos más intereses a contar desde la fecha del despido.

Fuente: La Nación

¿Cómo pueden las empresas evitar la fuga de información?

2009-11-20T08:16:00.000-03:00

Por Horacio Bruera del Estudio Carranza Torres

Una de las principales preocupaciones del mundo corporativo es proteger sus secretos comerciales de la apropiación indebida por parte de sus competidores. Una de las posibles vías de fuga son los propios empleados de cada firma.

Sin dudas, una de las principales preocupaciones de los empresarios del sector TI estriba en la manera en que pueden proteger sus secretos comerciales de la apropiación indebida por parte de terceros competidores. Es que, muchas veces, la información confidencial de una empresa de tecnología es su principal activo y su protección adecuada es una cuestión de supervivencia en el mercado.

Y entre las posibles vías de fuga de este tipo de información aparecen los empleados de la empresa, que en la mayoría de los casos tienen acceso a una porción significativa de información; no sólo los secretos técnicos, como el código fuente, sino los aspectos comerciales: listado de clientes, estrategias comerciales, información financiera, por mencionar algunos ejemplos concretos.

El marco legal para la protección de la información confidencial en el ámbito de las relaciones laborales está conformado por la Ley de Contrato de Trabajo y la Ley de Confidencialidad de la Información.

La primera dispone que “el trabajador debe observar todos aquellos deberes de fidelidad que deriven de la índole de las tareas que tenga asignadas, guardando reserva o secreto de las informaciones a que tenga acceso y que exijan tal comportamiento de su parte”, lo que se conoce como el deber de fidelidad que pesa sobre todos los empleados.

Por su parte, la Ley de Confidencialidad aclara qué debe entenderse por información confidencial o secretos comerciales al establecer que cualquier persona puede impedir que la información que esté legítimamente bajo su control se divulgue a terceros o sea adquirida o utilizada por terceros sin su consentimiento de manera contraria a los usos comerciales honestos, siempre y cuando se cumplan tres requisitos:

i) que la información sea secreta;
ii) que tenga valor comercial por ser secreta;
iii) que se hayan adoptado medidas razonables para mantenerla en secreto.

Complementando la disposición de la Ley de Contrato de Trabajo, agrega que toda persona que, con motivo de su trabajo o empleo, tenga acceso a información confidencial sobre cuya confidencialidad se la haya prevenido, deberá abstenerse de usarla y de revelarla sin causa justificada o sin consentimiento de quien legítimamente la tiene bajo su control.

La violación del deber de fidelidad en su modalidad de guarda o reserva de la información secreta o confidencial de la empresa constituye una injuria grave que no consiente la prosecución del vínculo laboral, habilitando al empleador a despedir con justa causa al empleado infiel.

No obstante, las aristas que presentan la aplicación e interpretación de este marco legal en los casos concretos son muchas, siendo de vital importancia conocerlas a los efectos de tomar los recaudos adecuados y prevenir costosas indemnizaciones producto de despidos incausados.

Finalmente, destacamos especialmente dos tópicos que habitualmente las empresas no tienen en cuenta a la hora de proteger sus secretos comerciales.

El primero, que las medidas adoptadas deben ser puestas en práctica. Esto no significa que no deben adoptarse, por ejemplo, que no deben adoptarse reglamentos de seguridad de la información ni hacerse capacitaciones. Todo lo contrario. Sólo quiere decir que es necesario un plus: además de eso, hay que ponerlas en práctica y velar para que su observancia se mantenga en el tiempo.

El segundo, que hay un amplio campo abierto para reglar muchas cuestiones vinculadas con la seguridad de la información en los contratos de trabajo. Hay que ser precavidos en este sentido, aprovechar este instrumento y contemplar adecuadamente los pormenores que implica el manejo de información valiosa para la empresa. Un buen asesoramiento profesional puede ayudar a prevenir situaciones conflictivas y ulteriores responsabilidades.

Fuente: Canal-Ar

Datos personales a la venta por parte de empleados de T-Mobile

2009-11-19T22:09:00.002-03:00

Parte de la plantilla de la operadora T-Mobile fue responsable de la venta de registros de miles de sus clientes a brokers de terceras partes, algo que ya ha sido confirmado oficialmente por responsables de esa empresa.

Los detalles se han revelado tras los informes que la empresa ha pasado a la comisión de información, que indicó que estaba preparando una investigación y persecución de los responsables de esta venta de datos privados.

Cristopher Graham, de esa comisión, indicó que varios brokers de T-Mobile habían vendido esos datos a otras operadoras, que gracias a ellos les llamaban para tratar de convencerles de cambiar a sus compañías cuando los contratos con T-Mobile estaban a punto de expirar

Fuente: The Inquierer y BBC

Microsoft: Windows de 64-bit es más seguro

2009-11-19T22:08:00.000-03:00

El malware que afecta a los sistemas de 64-bit basados en Windows es raro, y no se espera un cambio en la tendencia.

Los usuarios de Windows que ejecutan versiones de 64-bit del sistema operativo son menos propensos a los ataques de código, según Microsoft. Joe Faulhaber, del centro de protección de malware de Microsoft, ha hecho referencia a las estadísticas obtenidas por la Malicious Software Removal Tool (MSRT) de la compañía, una utilidad gratuita de detección y eliminación de malware que la compañía actualiza cada mes.

Según los datos de Microsoft, la versión de 64-bit de Windows XP ha tenido un 48% menos de probabilidades de ser infectada que la edición de 32-bit durante la primera mitad de 2009; si nos centramos en Windows Vista, el porcentaje se reduce hasta el 35%. Windows 7 no se ha incluido en los datos porque fue lanzado hace tan sólo un mes, aunque también está disponible en versiones de 32-bit y de 64-bit.

Desde la compañía de Redmond aseguran que Windows 7 de 64-bit es la opción dominante de la recientemente lanzada versión del sistema operativo. También afirman que Windows de 64-bit es más seguro, sobre todo porque la mayor parte del malware está escrito para las versiones de Windows de 32-bit, mucho más utilizados.

No estánde acuerdo, sin embargo, algunos expertos en seguridad, que afirman que también hay mucho malware para los sistemas de 64-bits y recuerdan que el software, y el malware, se puede ejecutar en modo compatible, o incluso puede compilarse para los 64-bit.

Fuente: ITEspresso

Cuando veas las barbas del router de tu vecino cortar...

2009-11-19T09:28:00.006-03:00

Pues sí, tenemos que poner las denuestros routers a remojar. Aunque esto al usuario de a pie no le tienepor qué afectar, siempre y cuando se le respete el ancho de bandacontratado, hay para remojar. Me refiero al mediocre plataformado conque la mayoría de las operadores preparan los routers de banda anchapara el mercado residencial, tomando como referencia los últimos casos comentados por mis compañeros de Mexico.

Perome temo que no se trata de un caso aislado. En España el problema esbastante acuciante, sobre todo en routers ADSL. Por ejemplo, leoatónito en Bandaanchaque ahora es posible hacer ataques DDoS sin necesidad de troyanizar losequipos de los usuarios. Ahora los zombies son también los routers ADSLque, incorrectamente configurados, contestan a las peticiones deresolución de DNS desde el lado WAN. No hablamos de beneficio económicodirecto, al menos de momento, pero con la gestión remota en manos delatacante, ¿qué les impide modificar el firmware y así meter un snifferque reporte a la botnet de forma periódica? No digo que esto sea mássencillo que el método clásico, pero la posibilidad existe.

Yaunque lo lea preocupado, no me extraña para nada. Tenemos un problemaque llevamos arrastrando desde los albores de las líneas ADSL, dondelas telcos no daban a basto con los pedidos, no tenían el know-how nila visión de futuro necesaria. Como es lógico el parque de usuarios haido creciendo año tras año, e increíblemente los plataformados de losequipos autoinstalables continúan siendo deficientes.

Cabe recordar el tipo de cosas que se dejan al aire en los routers ADSL cuando son entregados al cliente doméstico:

Configuración de la red inalámbrica deficiente
Usuarios por defecto
Ausencia de una gestión remota eficiente
Ausencia de actualizaciones automáticas del firmware de los routers

Yes que de momento parece que la mayor preocupación está en losordenadores, sin tener en cuenta que los routers actuales no dejan detener la arquitectura propia de un ordenador (CPU, ROM, RAM) ejecutandonormalmente un sistema GNU/Linux embebido. Las operadoras de cable hansabido organizarse mejor, partiendo de la base de que el usuario notiene por qué tocar el router, que es autoconfigurado mediante DHCPdesde la telco a la que está conectada.

Creo que este problemadebería preocupar mucho más a las operadoras que ofrecen servicios debanda ancha a sus usuarios por el par telefónico. Los usuarios puedentambién, por desconocimiento, degradar la configuración base de susrouters, pero creo que son casos mucho más aislados, y problemas comoel del DNS Amplificationdeberían simplemente de no existir, gracias a un correcto plataformadoy gestión remota de los routers. Por ejemplo, hoy en día se considerainepto al administrador que permite que la MTA de su compañía tenga elrelay abierto.

¿Será posible arreglar el problema remotamente, oel sistema estará herido de muerte y requerirá de un "reciclado" masivode routers al más puro estilo SECA/NAGRA? Me temo que la cosa vaencaminada por lo segundo, y claro, la solución tiene un costesensiblemente superior a la de expedir unos millones de tarjetasinteligentes con los "agujeros" cerrados. ¿Para qué poner memoriasflash en los routers? Si eso volvemos a las memorias ROM de máscara que salen más baratas y tienen un airecillo retro.

Autor: Álvaro Ramón
Fuente: S21sec labs

Firma Digital en Republica Dominicana y Colombia

2009-11-19T08:27:00.002-03:00

Previo a la entrada en operación del nuevo sistema, Aduanas realizó un acto en el que certificó la raíz de las aplicación de Republica Dominicana. La plataforma del nuevo sistema es el inicio del proceso de uso de la firma digital en las operaciones electrónicas de Aduanas a través del SIGA, por lo que este sistema ha sido denominado Aduanas sin papeles.

Por otro lado el Sistema de Impuestos en Línea para el Impuesto de Industria y Comercio ICA (Simplifica) es la herramienta que presentó la Secretaría Distrital de Hacienda para que grandes contribuyentes de Colombia puedan hacer la declaración y pago electrónico a través de un portal web.

Fuente: PKI.gov.ar

Firefox 3.6 prevendrá agregados dañinos

2009-11-18T23:58:00.000-03:00

La versión 3.6 del navegador Firefox, de pronta aparición, tendrá una nueva característica que lo hará más estable. Se denomina Directorio de Componentes Cerrado, e impide que aplicaciones de terceros (agregados y plugins) almacenen su propio código dentro del directorio de "componentes", en donde se almacena la mayor parte del propio código de Firefox.

El cambio fue anunciado por Johnathan Nightingale del equipo de desarrollo de Firefox, en su blog oficial. Dice que no debería representar mayor problema para el desarrollador de agregados. "Si uno ya está empaquetando sus agregados como un XPI, instalado como un agregado, el asunto sigue como siempre. Si uno está descargado directamente los componentes, sin embargo, necesitará cambiar al enfoque XPI," escribe, y los dirige a las instrucciones de migración

Este parece un cambio muy positivo, y uno se pregunta porque no habia sido pensado antes, ya que como establece Nightingale, no se requieren de habilidades especiales que sean ganadas al instalar los agregados su código en el mencionado directorio, y eso sólo le trae probelmas a Firefox y a los desarrolladores de esos agregados.

Traducción: Raúl Batista . Segu-info
Autor: Zeijka Zorz
Fuente: Help Net Security

En Noruega no es secreto el sueldo de los ciudadanos

2009-11-18T21:40:00.001-03:00

Jorn Madslien, BBC Mundo

Las autoridades económicas del país nórdico publican de forma anual en Internet los datos sobre la riqueza y las ganancias de sus habitantes; algunos consideran que es una apertura desproporcionada de información personal.

Cada año, las autoridades económicas noruegas publican los detalles sobre la riqueza y las ganancias de los ciudadanos, y cada año, husmear en los datos ajenos es más fácil.

En lo que ya se convirtió en un ritual anual, los periódicos noruegos llenan sus páginas con artículos sobre las personas que más ganan en el país, sean políticos, industriales o gentes del mundo del espectáculo. Por su parte, muchos se preocupan por comparar su "fortuna personal" con la de sus vecinos, amigos y familia. Nada es secreto.
Investigar y obtener datos de la base de datos de las autoridades es fácil. El sitio en Internet de toda organización mediática que se precie tiene un buscador en el que, simplemente con escribir el nombre y apellidos de cualquier persona, mostrará información detallada sobre su estado financiero.
De esta manera, Aftenposten , el principal periódico del país, tiene un sistema en el que los curiosos pueden rastrear la situación económica de cualquier vecino.

Espectáculo contra política
Por ejemplo, de Morten Harket , miembro del grupo de música A-ha, muy conocido en Noruega. La búsqueda nos indicará cuántos impuestos paga el músico, y en cuánto están valoradas sus inversiones. También se dispone de datos como su código postal y el nombre de la autoridad local a la que paga sus impuestos.
Pero además, el diario desarrolló un sistema de gráficos que compara las ganancias de cada ciudadano con la media de ingresos nacional y regional. El año pasado, Harket, por continuar con el mismo ejemplo, ganó 1,75 millones de coronas (alrededor de 315.000 dólares), cerca de un 658 por ciento más que la media noruega.

Si escribiéramos otro nombre -por ejemplo, el del primer ministro el país Jens Stoltenberg - aparecerá una comparación entre ambos en un gráfico de barras. De esta manera podemos saber que un músico gana más dinero que un funcionario gubernamental, aunque paga menos impuestos.

Fuente: La Nación

Concienciar a los empleados, clave para evitar el robo de identidad

2009-11-18T18:54:00.000-03:00

l robo de identidad personal consiste en el robo de datos confidenciales (nº de DNI, números de cuentas bancarias, etc.) por parte de criminales, para solicitar créditos, abrir cuentas paralelas y un sinfín de actividades fraudulentas en nombre de la víctima.

Según Fellowes Ibérica, la tasa de robo de identidad personal sigue en crecimiento, aunque la mayoría de la población sigue desconociendo en qué consiste este fraude y cómo puede llegar a cometerse. De hecho, son muchos los que desconocen por completo dos cuestiones clave para prevenir el Robo de Identidad: cómo acceden los ladrones a sus datos personales (a través de documentos personales como extractos bancarios o introduciéndose en páginas web que contengan información confidencial de los usuarios) y cuáles son las medidas que se podrían adoptar para evitar este robo.

Aumentar la concienciación de los empleados

Por ello, el nivel de concienciación y la aplicación de las medidas preventivas adecuadas son las claves para combatir este delito. El primer lugar para fomentar esta concienciación y políticas de seguridad de la información es en las organizaciones y empresas (de carácter público o privado), ya que a menudo los empleados manejan datos de carácter privado de clientes o proveedores, sin tener en cuenta las consecuencias que puede acarrear una mala gestión de los mismos. Ejemplo de ello, ha sido la noticia de un hospital catalán, en el que se tiraron a un contenedor información privada de 173 pacientes a los que se les había practicado un transplante.

“Gracias a las múltiples campañas de información sobre el peligro de Robo de Identidad, ha habido un aumento en lo que respecta a la concienciación sobre este delito. Sin embargo, el descuidar sencillas medidas de seguridad, hace que todavía haya un gran número de personas que se convierten en víctimas”, señala Héctor Barak, director general de Fellowes Ibérica.

Destrucción segura de documentos con información sensible

Para evitar ser víctimas de un robo de identidad, los empleados y usuarios tienen a su disposición una gran cantidad de máquinas destructoras que se adaptan a sus necesidades. Estos equipos ofrecen máximas garantías de seguridad en la eliminación de todo tipo de documentos, al disponer de varios tipos de cortes para la destrucción de información en papel, CDs o tarjetas de crédito, incorporando tecnologías innovadoras como Microcorte, que incrementa la seguridad proporcionada por sus destructoras al nivel 4, la tecnología SafeSense, dirigida a garantizar la seguridad del usuario del equipo, o el sistema 100% anti-atasco, que asegura una destrucción eficaz sin atascos.

Fuente: RRHH Digital

"Unfriend" y otros términos en las redes sociales

2009-11-18T15:43:00.000-03:00

"Unfriend" fue nombrada la palabra del año por el New Oxford American Dictionary, seleccionada de una lista de finalistas con una marcada inclinación tecnológica.

"Unfriend" (por las palabras "un" -des- y "friend" -amigo-) fue definido como un verbo que indica la remoción de alguien como "amigo" en un sitio de redes sociales como Facebook.

Contenido completo en Ambito

Sólo un 1% de los menores acudiría a sus padres ante una situación de riesgo en Internet

2009-11-18T15:42:00.000-03:00

Sólo un 1% de los niños acudiría a sus padres en una situación de riesgo en Internet. Sin embargo, un tercio de los padres cree que su hijo sí lo haría. Un desfase importante y peligroso, ya que los menores no saben evaluar los riesgos de lo que encuentran en la Red, pese a que son muy conscientes (más que sus padres) de los peligros que esconde Internet. Esta es una de las principales conclusiones del I Congreso Internacional de Menores en las TIC (Tecnologías de la Información y la Comunicación), celebrado esta semana en Gijón.

Pablo Pérez San-José, Gerente del Observatorio de la Seguridad de la Información (INTECO), ofrecía los datos de arriba y resaltaba la gran cantidad de horas (14,5 semanales) que los niños pasan en Internet, sobre todo desde su casa. Por eso los participantes del Congreso han querido destacar la necesidad de que se difundan medidas a adoptar en situaciones problemáticas, tanto para padres como para menores. Porque es precisamente el ámbito familiar aquél que más debe implicarse, siempre apoyado por el educativo.

El colegio, por supuesto, debe apoyar la educación. Y aquí dos ideas: disminuir la edad, hasta la educación infantil incluso, para comenzar la incorporación al uso de la Red y hacer una labor preventiva en el ámbito de la adecuación legal.

En el Congreso se ha llamado a la participación de la industria, que debe observar esta problemática. Porque, desde los "navegantes seguros", resaltan las conclusiones, hay que pasar a "ciudadanos digitales". Este es un concepto nuevo que debe apoyarse en la alfabetización: digital, de los medios audiovisuales, social y cultural.

El Congreso, que ha reunido a alrededor de 500 especialistas, también ha redundado en la importancia de la privacidad y de la identidad digital para seguir desarrollando un Internet seguro para los menores.

Fuente: El Pais

Camino hacia la "seguridad concienciada"

2009-11-18T15:37:00.000-03:00

SafeNet propone a las organizaciones un camino, estructurado en tres etapas diferenciadas, que les permitirán obtener la "seguridad concienciada".

Frente a las metodologías de seguridad del pasado, la ‘seguridad concienciada’ se caracteriza por una mayor sofisticación, inteligencia y buen juicio aplicados a la seguridad de la información.

Los pasos a seguir por las empresas para alcanzar la ‘seguridad concienciada’ son los siguientes:

Paso 1: Ser consciente de su ceguera en materia de seguridad
Al concebir un enfoque de seguridad concienciada, es esencial comenzar por echar un vistazo inflexible y franco a los mecanismos de seguridad existentes y entender qué pueden hacer y qué no.

Paso 2: Concienciarse acerca de la información
¿Cómo librarnos de la ceguera de información tipificada por las metodologías de seguridad tradicionales? Actualmente, hay soluciones de cifrado avanzadas que preparan el terreno para proteger los datos concretos, en vez de proteger la información en el sistema, en la red o en un nivel de dispositivo. El cifrado sofisticado, de aplicación o de información son tres mecanismos que determinan una base vital de la que las organizaciones pueden comenzar a obtener la concienciación de información necesaria para satisfacer el doble objetivo de optimizar la seguridad y el rendimiento de la empresa.

Paso 3: Obtener concienciación de información
En un alto nivel, la concienciación de información se caracteriza por mecanismos de seguridad proactivos y no necesariamente reactivos.
En lugar de un sistema de prevención de intrusiones, que requiere actualizaciones constantes para protegerse contra los ataques de ayer, la metodología del mañana será ‘infocéntrica’ y proactiva. Las organizaciones se centrarán en la información necesaria para su protección y a la hora de adoptar las medidas necesarias para asegurar su privacidad, accesibilidad e integridad, sea cual sea la índole de las amenazas planteadas.

Un programa de protección de datos bien diseñado debe basarse en cinco principios y caracterizarse por ser:

Integral: El plan de toda estrategia de protección de datos necesita comenzar por una plataforma universal que se pueda integrar en una amplia gama de servidores de archivos de la empresa, bases de datos, aplicaciones, etc.
Inteligente: La protección de datos debe estar en consonancia con necesidades comerciales y ser definida por ellas.
Persistente: Desde el momento en que se crea un documento y durante su modificación, distribución y borrado, la protección se debe emplear de manera constante, de modo que la información sea autoconsciente. La persistencia encapsula los datos junto con su política y les permite ser accesibles y moverse libremente, de manera que se pueda compartir la información conforme a las necesidades de la empresa y así posibilitar una mayor productividad.
Selectivo: Esto faculta a personas a definir de manera explícita políticas para los datos que se desea proteger.
Proactivo: La protección de datos proactiva es tan transparente y sin contratiempos, que las amenazas se predicen como medio de prevención, debido a un estado de concienciación

Fuente: TechWeek

Informe sobre crimilogía virtual

2009-11-18T09:59:00.000-03:00

Por Luisa Corradini

El planeta ingresó en una "guerra fría cibernética" que se caracteriza por una carrera ciberarmamentista entre las grandes potencias, que espían a otras naciones y prueban redes informáticas con intenciones de utilizar Internet como campo de batalla, afirmó un informe publicado ayer en Estados Unidos por la empresa de seguridad McAfee.

"Muchas naciones están armándose para defenderse en una ciberguerra y alistando sus fuerzas para lanzar sus propios ataques", afirma el quinto informe anual de McAfee, 2009 Virtual Criminology Report .

"Estados Unidos, Rusia, Francia, Israel y China ya están ciberarmados porque, cada vez con más frecuencia, son blanco de ataques cibernéticos por motivos políticos", precisa el documento, compilado por Paul Kurtz, un reconocido experto en protección informática que trabajó como asesor de Seguridad Interior de la Casa Blanca durante las presidencias de Bill Clinton y George W. Bush. El trabajo se basó en entrevistas a más de 20 expertos en relaciones internacionales, seguridad nacional y seguridad en Internet.

"Los rumores de ataques de naturaleza política son cada vez más eficaces", explicó François Paget, investigador de esa empresa estadounidense de informática. La Casa Blanca, el Departamento de Seguridad Interior, los servicios de inteligencia y el Departamento de Defensa de Estados Unidos fueron blanco de ataques informáticos en los últimos 12 meses.

A su vez, "el Reino Unido, Alemania y Corea del Norte también se preparan para un futuro en el cual los conflictos se desarrollarán a través de Internet", agrega el informe. Algunos expertos advierten, sin embargo, sobre la posibilidad de que McAfee, una compañía especializada en programas de seguridad informática y antivirus, haya dado a su informe un tono exageradamente catastrofista por interés comercial.

El gobierno británico anunció recientemente la creación de una Oficina Central de Ciberseguridad (OCS) a fin de luchar contra el nivel creciente de ataques informáticos. La OCS tendrá la tarea de "coordinar capacidades ofensivas" y, en casos extremos, "montar ciberataques en respuesta a intrusiones en las redes informáticas británicas", señala el informe de McAfee.

Un ataque contra un sistema informático gubernamental o infraestructuras críticas puede provocar daños físicos y hasta muertes. "Hoy, las armas letales no son nucleares, sino virtuales. Todos deben adaptarse a esas amenazas", advirtió Dave DeWalt, presidente de McAfee.

En la mayoría de los países, toda la infraestructura crítica (redes de distribución de agua y electricidad, transportes y telecomunicaciones) está conectada a Internet y carece de las funciones de seguridad adecuadas. Ese déficit las coloca en situación de extrema vulnerabilidad, señala el documento.

Precauciones

En los países desarrollados -afirma McAfee-, gran parte de esas infraestructuras vitales está en manos del sector privado. "Sin conocer [previamente] la estrategia de defensa informática adoptada por los gobiernos, ese sector no puede tomar las precauciones necesarias para defenderse", insiste.

"La toma de conciencia mundial [sobre una posible ciberguerra] comenzó después de la experiencia de Estonia en 2007", cuando a la agitación urbana sucedió una serie de ataques contra los sitios de Internet del gobierno, los bancos y los medios, recordó Paget. También citó el ejemplo de la crisis georgiana de agosto de 2008, cuando nacionalistas rusos lanzaron ciberataques contra sitios gubernamentales, y recordó que en los Juegos Olímpicos de Pekín "patriotas chinos" atacaron sitios de países donde hubo incidentes al paso de la llama olímpica.

Si bien el 80% de los ataques informáticos actuales son lanzados para obtener dinero, el 20% restante está pensado para perforar sistemas. Con el desarrollo de las redes sociales como Facebook o Twitter, el cloud computing o el SaaS ( Software as Service ), cada vez existe más peligro de que se repitan ataques como la agresión de DDoS ( Distributed Denial of Service ) perpetrado por botnets (conjunto de máquinas zombis), pronostican los especialistas.

El informe advierte que, si bien el mundo todavía no asistió a una ciberguerra "caliente", no hay dudas de que "se producirá muy pronto". "En los próximos 20 o 30 años, los ataques informáticos se transformarán en componentes de la guerra", dijo William Crowell, ex director adjunto de la Agencia Nacional de Seguridad (NSA) de Estados Unidos. "Lo que no puedo decir -concluyó- es si las redes estarán tan generalizadas y desprotegidas que esos ataques bastarán" para definir un conflicto.

Fuente: La Nación

El padre de internet destacó la importancia de la privacidad

2009-11-18T09:51:00.002-03:00

inton Cerf, también vicepresidente de Google, señaló que la pérdida de privacidad de determinada información personal en internet puede dañar otros derechos críticos, como la libertad de expresión o asociación

Durante su intervención, por videoconferencia, en la XXXI Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, Cerf apuntó que en determinadas situaciones y regímenes políticos derechos como la libertad de expresión o de asociación pueden verse aún más limitados si se desvelan identidades.

Uno de los problemas de la protección de datos en internet, añadió el considerado como creador de esta red, es la interferencia de datos que provienen de fuentes que no los controlan y que dejan así expuesta la privacidad de los usuarios.

El también vicepresidente de Google dijo que para el gigante informático la protección de la privacidad es "algo critico" y que para que funcionen bien los mecanismos y haya confianza debe trabajarse con la máxima transparencia.

Cerf también afirmó que debe trabajarse en los temas de identidad digital y en definir la jurisprudencia a la que deben acogerse los contratos que se firman digitalmente si surgen problemas.

Junto a Vinton Cerf, participaron en la mesa de debate sobre la información personal en internet expertos universitarios como el director del Centro de Investigación Informática de la Universidad belga de Notre-Dame de la Paix Namur, Yves Poullet, o representantes de empresas como Microsoft, Facebook y Google.

La XXXI Conferencia Internacional de Autoridades de Protección de Datos y Privacidad reúne esta semana en Madrid a más de 1.000 expertos de 83 países para debatir sobre los retos a los que se enfrenta la privacidad y la protección de datos.

Fuente: Infobae

Europa le declara la guerra a la piratería: cortará internet sin orden judicial

2009-11-18T09:50:00.001-03:00

El Parlamento y el Consejo de la Unión Europea acordaron que las autoridades podrán cortar el acceso de un usuario sin necesidad de una orden judicial expresa.

En el debate sobre el paquete de medidas reguladoras de las telecomunicaciones cayó la enmienda 138, largamente defendida por las asociaciones de internautas, que impedía las autoridades pudieran cortar la conexión sin permiso judicial.

Ambas instituciones de la Unión Europea (UE), con poder legislativo en este ámbito, concluyeron el 4 de noviembre y tras intensas negociaciones el único capítulo del texto en el que no se ponían de acuerdo, el del acceso a internet, en un momento en que Francia y el Reino Unido preparan leyes para castigar a los internautas que realicen descargas ilegales.

Los eurodiputados querían mantener una enmienda que defendía que sólo una orden judicial previa podía ordenar el corte de internet a un usuario, algo que el Consejo -que representa a los países- no estaba dispuesto a aceptar.

Finalmente, ambas partes hicieron concesiones y cerraron un principio de acuerdo que sostiene que sólo se impondrán restricciones a un usuario de internet si las medidas, "proporcionadas" y "apropiadas", se toman "con el debido respeto al principio de presunción de inocencia y al derecho a la privacidad".

Por su parte, la comisaria europea de Sociedad de la Información, Viviane Reding, subrayó que "Europa está abriendo camino", y recalcó que esta disposición sobre la libertad en internet "no tiene precedentes".

La discusión sobre el acceso a internet, que fue incluida por el Parlamento a través de su "enmienda 138" en la propuesta que presentó la Comisión Europea en 2007, es sólo una parte del amplio paquete legislativo.

La nueva regulación pretende reforzar los derechos de los usuarios, que podrán cambiar de operador en un solo día manteniendo su número de teléfono fijo o celular, recibir de antemano información más clara en sus contratos, ser informados si se violaron sus datos, defenderse mejor contra el spam o acceder de forma más eficaz al número de urgencias.

Fuente: Infobae

España: los ataques informáticos son delito penal

2009-11-17T20:47:00.001-03:00

El Gobierno de España ha aprobado el Proyecto de Reforma del Código Penal. De esta forma, los ataques informáticos pasan a considerarse un delito que está tipificado con hasta penas de cárcel.

Los delitos informáticos han pasado a tener consideración de delito penal tras la aprobación del proyecto de reforma de código penal por parte del Gobierno de España.

Se tipifican como delito los ataques informáticos y se incluyen como conductas punibles las consistentes en:

Borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos o programas informáticos ajenos.
Obstaculizar o interrumpir el funcionamiento de un sistema de información ajeno.
El acceso sin autorización vulnerando las medidas de seguridad a datos o programas informáticos contenidos en un sistema informático o en parte del mismo.

En esta reforma también se incluyen otros nuevos delitos, como la captación de menores para espectáculos pornográficos o el tráfico ilegal de órganos. También se contemplan nuevas penas o la responsabilidad penal de las personas jurídicas. Los delitos relacionados con la propiedad intelectual también han sido modificados, de manera que los “pequeños manteros”, según palabras de Moncloa, podrán no ir a la cárcel.

Según el Consejo de Ministros, esta reforma pretende dar respuesta penal ante “nuevas formas de criminalidad, como las derivadas de las nuevas tecnologías”, entre otros objetivos, como el de someterse a las “obligaciones internacionales que España tiene contraídas, y más específicamente en el ámbito de la armonización jurídica europea, que exigen adaptaciones de nuestras normas penales”. En este caso concreto se inscribe, entre otros, la tipificación penal de los delitos informáticos.

Así, se considera como ataques informáticos acciones tales como “borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos o programas informáticos ajenos”, “obstaculizar o interrumpir el funcionamiento de un sistema de información ajeno” o “el acceso sin autorización vulnerando las medidas de seguridad a datos o programas informáticos contenidos en un sistema informático o en parte del mismo”.

Con esta reforma del Código Penal también se legisla la responsabilidad penal de las empresas, quienes podrán ser multadas, inhabilitadas o, incluso, disueltas.

Fuente: IDG

OWASP Top10 2010 RC1

2009-11-17T20:43:00.001-03:00

Durante la conferencia OWASP AppSec DC celebrada el 13 de noviembre se ha hecho público el primer borrador del famoso proyecto OWASP Top10 2010, que enumera los riesgos de seguridad más críticos en aplicaciones web. Espera ser finalizado el primer cuatrimestre del nuevo año.

La versión anterior es del año 2007 y sufrirá las siguientes modificaciones:

Añadido punto A6: "Security Misconfiguration", que aparecía en el 2004 en décimo puesto (como Insecurity Configuration), recupera sitio el próximo año.
Añadido punto A8: "Unvalidated Redirects and Forwards", es nuevo este año y hace referencia a las aplicaciones web que se valen de un parámetro web para redirigir el sitio a otra zona de la página web.
Eliminado punto A3: "Malicious File Execution" es eliminado de la lista ya que era algo que se da mucho en aplicaciones PHP, pero con las nuevas opciones de ejecución de este lenguaje su número ha disminuido.
Eliminado punto A6: "Information Leakage and Improper Error Handling" es eliminado pese a que su existencia es muy alta por su bajo impacto.

1.- Presentación OWASP AppSec DC - Top10 2010: http://www.owasp.org/images/a/a1/AppSec_DC_2009_-_OWASP_Top_10_-_2010_rc1.pptx
2.- Documento OWASP Top 10 - 2010 (RC1): http://www.owasp.org/index.php/File:OWASP_T10_-_2010_rc1.pdf

Fuente: Security by Default

Un gusano roba las contraseñas de usuarios de Twitter

2009-11-17T20:40:00.000-03:00

El popular sitio Web Twitter ha sido el último objetivo de un nuevo ataque en el que se conseguía acceso a las cuentas de usuarios para enviar spam a través de mensajes directos.

En principio, el ataque parecía ser el resultado de un modelo de ingeniería social o phishing que pedía a los usuarios que introdujeran sus nombres y contraseñas en sitios falsos, enmascarados como si se trataran de la verdadera página Web de Twitter. Posiblemente, consiguieron hacer esto utilizando una vulnerabilidad del sistema.

En cualquier caso, el especialista en seguridad Chris Shiflett sospecha que se trata de una nueva variante del gusano Koobface, que ya atacó a los usuarios de Facebook hace tiempo con cookies. Estas cookies han sido enviadas a los equipos de los usuarios al elegir la opción “Recuérdame” para mantenerse conectados a Twitter. Aún se desconoce el verdadero alcance del ataque, aunque algunas evidencias sugieren que varios cientos de personas ya han sido afectadas y sus cuentas han sido comprometidas.

Una vez que ha conseguido acceso a las cookies, el gusano puede acceder a Twitter y enviar mensajes directos a los seguidores del usuario afectado. Un especialista en desarrollo y aplicaciones de una firma de software de Auckland, donde los usuarios de Twitter estaban enviando mensajes de spam a sus seguidores sin darse cuenta ha declarado que cree que se trata también de una variante de Kookface, pero que aún no ha sido detectado por los escáneres antivirus. El gusano podría haber accedido a través de una memoria USB, “y haberse extendido en la red, buscando cookies de inicio de sesión en Twitter”. Para complicar aún más el asunto, lo cierto es que aún hay que encontrar al gusano, pues, según estos especialistas, todo parece indicar que se borra a sí mismo una vez que ha programado sus tareas. En cualquier caso, el modus operandi del gusano es similar al de otros ataques de Koobface. Además de infectar a más máquinas, parece que está enviando mensajes directos de spam desde un servicio de páginas Web para usuarios estadounidenses.

Koobface sólo funciona en Windows y es altamente polimórfico, con más de 20.000 variaciones descubiertas hasta el momento, lo que hace que sea difícil protegerse contra él.

Fuente: IDG