No te dejes engañar con el fraude del robo de identidad (Phishing Fraud)

Resumen: Los ladrones de identidad engañan mediante spam, sitios Web fraudulentos y otras tecnologías de Internet para obtener información confidencial. Para quien navege por la Red, es el momento de aprender a detectar los ataques de los ladrones de identidad. Por último: las solicitudes por correo electrónico de contraseñas, números de tarjetas de crédito y otros datos privados no son casi nunca legítimos.

La Seguridad y Los Datos, como la Comida Entran Por Los Ojos!

En este post quería dedicarle unas líneas a la visualización de datos. Es algo a lo que estamos acostumbrados pero a lo que quizá no siempre le damos la importancia que se merece. Los datos por si solos, y sobre todo cuando el volumen de datos es grande, pueden ser difíciles de interpretar. La visualización de datos trata de representar la información más relevante mediante una imagen clara y comprensible a simple vista. En cierta forma, la visualización de datos está muy ligada al mundo de la minería de datos ya que el objetivos es el mismo, extraer información importante de los datos de que disponemos.

Continuar leyendo “La Seguridad y Los Datos, como la Comida Entran Por Los Ojos!”

Herramienta de OS Fingerprinting

El OS Fingerprinting es una técnica que cosiste en analizar las huellas que deja un sistema operativo en sus conexiones de red. Está basada en los tiempos de respuesta a los diferentes paquetes, al establecer una conexión en el protocolo TCP/IP, que utilizan los diferentes sistemas operativos.

Los programas que se utilizan para realizar OS Fingerprinting se basan en dos filosofías, escáner pasivo o activo:

  • En un escáner activo la herramienta envía paquetes esperando una respuesta del sistema operativo y la compara con su base de datos. Suele usar técnicas como: inundación de paquetes SYN, envió de flags TCP incorrectos, envió de paquetes FIN… Estas técnicas son fáciles de detectar.
  • En un escáner pasivo la herramienta escucha el trafico para identificar las maquinas que actúan en la red comparando sus tiempos de respuesta pero sin actuar en la red. Es una técnica más difícil de detectar pero tiene dos inconvenientes: algunas veces hay que esperar mucho tiempo si el sistema que queremos identificar no envía paquetes, no podemos identificalo y al no enviar peticiones la herramienta no genera respuestas esto limita su acción al ámbito de broadcast, se puede solucionar con técnicas de envenenamiento de la cache ARP.

Satori es una herramienta de OS fingerprinting pasivo que utiliza pcap. Satori utiliza los comportamientos en la red de los siguientes elementos para identificar sistemas: sistemas Windows, dispositivos HP(gracias al uso de HP Switch Protocol), dispositivos Cisco (envió paquetes CDP), teléfonos VoIP y servidores DHCP. Satori está disponible para Windows y para Linux.

Más información y descarga de Satori

Enmascarar sistema para evitar OS Fingerprinting:

¿Qué hacen los empleados cuando navegan por Internet en la empresa?

Un informe revela cuáles son los hábitos y las actividades que realiza el personal en la Red desde las computadoras corporativas y los controles que efectúan los gerentes informáticos y de tecnología de las compañías argentinas.

Una conducta unifica a gerentes y empleados de empresas grandes y medianas de América latina, en especial la Argentina: tanto a niveles de conducción como trabajadores utilizan su computadora para navegar por sitios web que no tienen relación con su actividad laboral en horas de oficina.

Las grandes compañías locales permiten que su personal tenga acceso a Internet en comparación con firmas de otros países, como Brasil, la nación que más bloquea el acceso a ciertos sitios a sus empleados.

Continuar leyendo “¿Qué hacen los empleados cuando navegan por Internet en la empresa?”

Utilizaran Criptografia en Elecciones – Primeras Pruebas

El 3 de noviembre se celebrara en Takoma Park, Maryland, las primeras elecciones gubernamentales en las que se use un nuevo esquema de criptografía que permite tanto a los votantes como a los auditores comprobar que los votos han sido emitidos y registrados de forma precisa.

Las distintas controversias electorales, como por ejemplo la que se dio en Florida al recontar los votos durante las elecciones presidenciales de los EE.UU. en 2000, han subrayado la necesidad de contar con tecnologías de voto más fiables, especialmente a la hora de confirmar los resultados en las carreras electorales más disputadas. El sistema utilizado en Takoma Park, llamado Scantegrity, utiliza la criptografía para confirmar que los votos han sido contados de forma precisa. Sus inventores afirman que el sistema podría eliminar la necesidad de recontar votos y ofrecería una mayor seguridad a la hora de declarar que unas elecciones han sido llevadas a cabo de forma apropiada.

Continuar leyendo “Utilizaran Criptografia en Elecciones – Primeras Pruebas”

La seguridad es responsabilidad de todos

Cuando se habla de seguridad informática se dice: “la empresa sufrió un ataque”. Tal afirmación indicaría que la compañía fue víctima de algún malvado que, a propósito, jugó una mala pasada.

Si bien es cierto que a veces un hacker o empleado malintencionado vulnera los sistemas de seguridad informática de la empresa para generar algún perjuicio (obtener información confidencial, por ejemplo), también es cierto que es altísimo el porcentaje de incidentes de seguridad de una compañía provocados por sus trabajadores.

De acuerdo con un estudio reciente de IDC, el 52% de las organizaciones encuestadas califica sus amenazas internas en seguridad como meros accidentes, mientras que el 19% cree que son intencionadas, el 26% piensa que pueden darse ambos casos y el 3% restante se muestra indeciso.

De aquí se desprenden varias conclusiones: la primera, que hay que no hay que concentrarse solamente en disminuir los riesgos de los ataques externos, puesto que, aunque usted no lo crea, está ampliamente demostrado que la mayoría vienen desde adentro, por eso hay que tomar todos los recaudos posibles para disminuir las chances de éxito de los empleados malintencionados que buscan provocar daño a la organización o vender información valiosa a la competencia, entre otros.

En segundo lugar, es necesario capacitar al personal con respecto a la seguridad de la información puesto que es muy alto el número de incidentes producidos involuntariamente. A tal fin, existen firmas especializadas que dictan cursos donde se enseñan algunas buenas prácticas en la materia. Lógicamente, la capacitación no debe quedarse en la teoría, sino que es necesario implementar lo aprendido y, por qué no, actualizar los conocimientos periódicamente.

En resumen, la seguridad es responsabilidad de todos los que trabajan en una empresa, y no sólo del departamento de seguridad. Por tal motivo, para estar más segura, una compañía debe adoptar una estrategia integral que mitigue los riesgos internos tanto accidentales como intencionados.

Autor: Débora Slotnisky
Fuente: Blog ExpandIT – Redusers

Principios del diseño para la seguridad de sistemas

Los virus aparecen en mayor proporción en los sistemas de escritorio. En los sistemas más grandes, pueden aparecer otros problemas y se necesitan otros métodos para enfrentarlos. Saltzer y Schroeder (1975) han identificado varios principios generales que se pueden utilizar como una guía para el diseño de sistemas seguros. Algunas de sus ideas basadas en MULTICS son:

  • En primer lugar, el diseño del sistema debe ser público. Pensar que el intruso no conocerá la forma del funcionamiento del sistema es engañar a los diseñadores.
  • En segundo lugar, el estado predefinido debe ser el de no acceso. Los errores en donde se niega el acceso válido se reportan más rápido que los errores donde se permite el acceso no válido.
  • En tercer lugar, verifique la autorización actual. El sistema no debe verificar el permiso, determinar que el acceso está permitido y después abandonar esta información para su uso posterior. Muchos sistemas verifican el permiso al abrir un archivo y no después de abrirlo. Esto significa que un usuario que abra un archivo y lo tenga abierto por semanas seguirá teniendo acceso a él, incluso en el caso de que el propietario haya cambiado la protección del archivo.
  • En cuarto lugar, dé a cada proceso el mínimo privilegio posible. Si un editor solo tiene la autoridad para acceso al archivo por editar (lo cual se determina al llamar al editor), los editores con caballo de Troya no podrán hacer mucho daño. Este principio implica un esquema de protección de grado fino.
  • En quinto lugar, el mecanismo de protección debe ser simple, uniforme e integrado hasta las capas más bajas del sistema. El intento por dotar de seguridad ha un sistema inseguro ya existente es casi imposible. La seguridad, al igual que lo correcto de un sistema, no es una característica que se pueda añadir.
  • En sexto lugar, el esquema elegido debe ser psicológicamente aceptable. Si los usuarios sienten que la protección de sus archivos implica demasiado trabajo, simplemente no lo protegerán. Sin embargo, ellos se quejarán en voz alta si algo sale mal.

Via exa.unne.edu.ar

La Agencia Española de Protección de Datos avisa a las redes sociales

La AEPD (Agencia Española de Protección de Datos) ha dado un toque de autoridad a las redes sociales en el marco de la 31 Conferencia Internacional de Protección de Datos y Privacidad, celebrada en Madrid.

Artemi Rallo (director AEPD) considera que los sistemas de verificación de edad de dichas redes es insuficiente. Por otro lado, se valoró positivamente la medida adoptada por Tuenti, que si duda de algún perfil solicita una copia del DNI al propietario del mismo; y si no la recibe en 92 horas el perfil es ‘ depurado’ .

Claro está que la medida no es fácilmente aplicable a otras redes como Myspace, cuya sede está en EE.UU, lo que dificulta la comprobación de documentación extranjera.

Más info: AEPD

Controversia con el potencial fallo de seguridad en SSL y TLS

Marsh Ray y Steve Dispensa dicen haber descubierto una vulnerabilidad en el protocolo SSL y TLS que podría permitir inyectar texto en una conversación cifrada si el atacante tiene acceso al tráfico. El fallo se encontraría en el protocolo en sí, y por tanto afectaría a prácticamente todas las implementaciones de todos los sistemas. Sin embargo otras voces indican que quizás el fallo no sea tan grave.

Es importante aclarar que el fallo no permite descifrar las comunicaciones. Al parecer es posible inyectar tráfico en texto plano como prefijo en una sesión TLS si el atacante es capaz de interceptar el tráfico. Dado que el cifrado TLS y SSL es usado por gran variedad de aplicaciones para cifrar todo tipo de tráfico (HTTP, FTP, POP3…), el impacto depende mucho del escenario donde nos movamos. Se han demostrado ataques prácticos contra autenticación basada en certificados usando servidores Apache y Microsoft IIS. Se podría reproducir la vulnerabilidad sin autenticación por certificado de cliente pero de esta forma resulta incluso más complejo.

Continuar leyendo “Controversia con el potencial fallo de seguridad en SSL y TLS”

¿Es suficiente la seguridad lógica en entornos de alta seguridad?

Cuando se piensa en seguridad informática casi siempre nos enfocamos a equipos firewalls, sistemas o software de trafico, IDS, y demás herramientas relacionadas con aquellas actividades que te permiten proteger o en su caso atacar a sistemas de computo vulnerables. Sin embargo poco se habla de los sistemas se seguridad física, los cuales son aplicados en muchos lugares que visitamos sin siquiera percatarnos de que existen o para que nos pueden servir en un enfoque global de seguridad de la información a empresas o entidades.

Si alguna empresa llama a una consultoría para realizar una auditoría para proteger sus sistemas de ataques de hackers, muchas de ellas de no estar bien capacitadas o documentadas se enfocaran al 100% en registrar vulnerabilidades en servidores, servicios y aplicaciones, pero que pasa con la gente? Que pasa con la ingeniería social?; ya no se acuerdan del caso 1 KEVIN MITNICK personaje que además de ser un estupendo hacker montado en su portátil desarrollo una gran habilidad en el ámbito del engaño, habilidad conocida como “Ingeniería Social”, dicen los expertos que no hay mejor manera de hacer una instrusión que utilizar los ojos, la palabra y la mente, esas herramientas son las mas efectivas y letales.

Contemplando este escenario existe equipo que permiten disponer de un control físico de las persona y cosas que ingresan a un lugar donde se puede suscitar algún ilícito como es el robo de información.

Continuar leyendo “¿Es suficiente la seguridad lógica en entornos de alta seguridad?”