INFO SECURITY: agosto 2008

viernes, 29 de agosto de 2008

Cómo vigilar, monitorizar y controlar a Linux y Windows Server en Red usando Nag

Nagios es libre, de código abierto, servicio de monitorización de red y servicios. Nagios ofrece un marco extensible, que puede controlar casi cualquier cosa mediante plugins. Algunos de los temas que pueden supervisarse mediante plugins de Nagios se enumeran a continuación.

=> Disk space usage of remote Linux and Windows server
=> CPU Usage
=> Memory usage
=> Hardware Temperature
=> VPN tunnels
=> Router and Switches
=> Databases
=> Network services (DHCP, DNS, LDAP, SMTP etc.)

Las configuraciones son muy granulares y se gestionan por medio de tres categorías diferentes de ficheros de configuración:

* Nagios servidor de consola web y archivos de configuración, que pueden ser usados para configurar el servidor de Nagios. Por por ejemplo, Utilice el nagios.cfg y cgi.cfg
* Archivos de recursos, se pueden utilizar para almacenar macros definidas por el usuario y la configuración de información sensible como contraseñas.
* Objeto definición archivos de configuración, se utilizan para almacenar la información sobre los hosts, servicios, comandos, contactos, etc período de notificación

Nagios tiene una interfaz web para mostrar la situación. Aparte de recibir la notificación sobre los anfitriones y la condición de servicio a través del correo electrónico, SMS, etc, también puede ver los anfitriones, los servicios, el estado a través de Nagios web front end. El proyecto se encuentra en el NOC (Centro de Operación de Red) para ver el estado actual de todo su centro de datos. También puede realizar algunas acciones en la consola Web como deshabilitar y habilitar la notificación de un servicio específico. Si ha definido la relación entre sus anfitriones adecuadamente en el "Nagios archivos de configuración", puede usar la pantalla 3D para ver una representación gráfica de todo el centro de datos visualmente. Esto también se presenta para la presentación de informes, característica en la que puedes ver los datos históricos, tales como la disponibilidad de un servicio en particular en un host determinado durante un período de tiempo.

El artículo completo aquí.

AMD Athlon, mejor que Intel Atom

Los procesadores Intel Atom se desarrollaron con el propósito de ser la alternativa perfecta para la nueva oleada de netbooks y nettops, en los que el consumo es un factor primordial. Sin embargo una comparación el AMD Athlon 64 2000+ revela que el micro de AMD es más barato, más potente, y atención, consume menos.

Las pruebas se realizaron con un modelo al que se realizó un downcloking (bajar la frecuencia) para situarlo a 1 GHz. El Athlon consume con este cambio 8 vatios, mientras que el Atom consume 4, pero las pruebas finales de Tom's Hardware determinaron que el consumo real es más eficiente en el procesador de AMD, que además supera al de Intel en casi todos los demás apartados.

Atheros libera su driver ath9k para Linux

«Los controladores en Linux siempre han sido un tema espinoso puesto que algunos fabricantes se negaban a liberarlos. Esos malos tiempos para la comunidad pasaron y, ahora, el último en unirse a la moda es el fabricante de chipsets Wi-Fi Atheros que ha liberado el driver ath9k para Linux, compatible con todos los dispositivos IEEE 802.11n. Además, dicho controlador está orientado a integrarse en futuros kernels.»

Vulnerabilidad en el iPhone

Da igual que tengas una contraseña de acceso puesta en tu iPhone con firmware 2.0.2: un defecto del software interno de estos teléfonos móviles ha provocado que cualquiera pueda acceder con gran facilidad a toda la información que encierra nuestro teléfono.

El método es similar al que los usuarios del iPhone original utilizaban para acceder al método de desbloqueo del terminal en los primeros tiempos. Bastará con acceder a la llamada de emergencia y luego pulsar dos veces el botón Home para que accedamos al menú del iPhone. Sin más.

La protección con un código de 4 dígitos (distinto del PIN, cuidado) de acceso al terminal no sirve de mucho porque esta vulnerabilidad provoca que un posible ladrón que nos “birle” el iPhone pueda acceder a todo su contenido sin mayor problema. A partir de ahí, de hecho, la cosa se pone peor, porque desde ese acceso podremos acceder a los contactos, el correo, e incluso acceder al navegador si una de las direcciones de nuestros contactos contiene una URL.

Fuente: http://www.theinquirer.es/2008/08/28/vulnerabilidad-en-el-iphone.html

Europa, preocupada por la privacidad de los datos

Tras los últimos escándalos en las Islas Británicas, Reino Unido vuelve a perder los datos de sus ciudadanos y Alemania vende ilegalmente información.
Publicidad

Las autoridades de Reino Unido vuelven a estar con la espalda contra la pared por un escándalo por pérdida de datos personales de sus ciudadanos.

Después de los participantes en un concurso infantil y los beneficiarios de los servicios sociales, ahora son los presos las víctimas de la poca eficacia en la materia de la Administración británica.

El Ministerio de Interior del país ya ha confirmado la pérdida de un soporte informático con datos de 84.000 internos de cárceles inglesas y galesas, 10.000 reincidentes y 30.000 condenados en los últimos años.

Los datos estaban en una memoria extraíble, como explica The San Francisco Chronicle, que se extravió y que guardaba información sobre la totalidad de la población reclusa de Inglaterra y Gales.

Éste no es el primer escándalo asociado a la pérdida de un soporte por parte de los funcionarios británicos. El último problema asociado a la protección de datos fue provocado por la poca responsabilidad en la custodia de los funcionarios de Asuntos Sociales.

En el caso de los menores participantes en un concurso de la BBC, fue un robo la causa de la pérdida de la información.

Venta datos

Alemania también se encuentra sacudida por la constatación de la escasa dificultad para hacerse con datos personales en el mercado negro.

Funcionarios de la policía germana consiguieron por 850 euros un cd en el que se detallaban seis millones de datos asociados a la vida privada de los ciudadanos, como información bancaria o contraseñas de correo, tal y como informa la BBC.

Los datos proceden, fundamentalmente, de los ficheros de la lotería, de los contratos de telefonía móvil y de las bases de datos de las asociaciones de caridad.

"Nosotros no somos seguramente el último comprador" explico a Le Monde un responsable de la investigación, que ha dado con "la punta del iceberg" de una trama con posibles ramificaciones más complejas.

Fuente: http://www.siliconnews.es/es/news/2008/08/22/europa__preocupada_por_la_privacidad_de_los_datos

Europa, preocupada por la privacidad de los datos

Enmascarar sistema para evitar OS Fingerprinting

El OS Fingerprinting es una técnica que cosiste en analizar las huellas que deja un sistema operativo en sus conexiones de red. Está basada en los tiempos de respuesta a los diferentes paquetes, al establecer una conexión en el protocolo TCP/IP, que utilizan los diferentes sistemas operativos.

Lo más habitual para evitar esta técnica es implementar IDS (sistema de detección de intrusos). Pero algunas veces un IDS no detecta esta técnica y aunque la detecte si no es un IDS reactivo (que responde a la actividad sospechosa reprogramando los cortafuegos para que bloquee tráfico que proviene de la red del atacante) nos sirve para evitarla.

Existe otra forma de evitar estés ataques que consiste en enmascarar nuestro sistema, o bien modificando los valores TCP/IP o utilizar sistemas operativos virtuales con una filosofía parecida a los honeypots.

Seguir leyendo

Por qué funciona el spamPor qué funciona el spam

Un estudio asegura que el 30% de las personas que recibe un correo basura termina comprando el producto que se ofrece. Los productos más requeridos son píldoras sexuales, software y artículos de lujo.

La investigación fue realizada por la inglesa Marshal y demuestra que las compras de este tipo crecieron un 10% respecto de 2004, cuando Forrester realizó un estudio similar.

"La encuesta pone de relieve una verdad incómoda", dijo el vicepresidente de Productos de Marshal, Bradley Anstis. "Muchos de nosotros a menudo nos preguntamos, ¿por qué hay tanto spam? La respuesta es que una cantidad suficiente de gente está comprando productos de spam, lo que se transforman en un producto útil y rentable", agregó.

Aunque no existen cifras certeras a nivel mundial, existe un consenso que indica que diariamente hay un tráfico de 150.000 millones de mensajes spam, lo que supone un 85% del total del correo recibido en un día.

La encuesta fue realizad entre 622 personas, lejos de las 6.000 encuestadas por Forrester, pero suficientes para determinar que el spam resulta en un buen mecanismo de ventas.

Sin embargo, el correo basura también es utilizado para distribuir malware, sin contar que se consume un importante ancho de banda, dinero y tiempo de los usuarios.

Fuente:
http://www.infobae.com/contenidos/399972-100918-0-Por-qu%C3%A9-funciona-el-spam
http://www.marshal.com/pages/newsitem.asp?article=748&thesection=news

Vulnerabilidad en BGP, otra vez la misma historia

Últimamente parece que está de moda el comentar que se ha encontrado la mayor Vulnerabilidad de Internet; pasó con la vulnerabilidad de DNS, y ahora está pasando con BGP (podéis leer un breve resúmen sobre BGP y la seguridad o una interesante entrevista a Courtney Love sobre aspectos básicos del mismo).

Antes de nada, tenemos que hacernos una serie de preguntas relacionadas con la Seguridad en BGP:

Si un router recibe un anuncio de un prefijo BGP procedente de un sistema autónomo (AS) determinado, ¿cómo podemos verificar que ese AS está autorizado a anunicar ese prefijo?
Si recibimos un anuncio de un prefijo BGP en un AS determinado, ¿cómo podemos verificar que realmente sabe llegar a ese prefijo?
¿Está el router que anuncia cierto prefijo autorizado a anunciarlo? Y si es así, ¿a quién?
¿El camino que se anuncia por parte de un router BGP cumple la políticas (RPSL) de intercambio de rutas que tenemos definidas?

Seguir leyendo

miércoles, 27 de agosto de 2008

Los cibercriminales cada vez más creativos para atacar

Bandas organizadas de cibercriminales se apoyan en Blogspot, Facebook y estrellas de Hollywood para propagar su malware.

Sophos ha publicado su Informe de Seguridad de julio de 2008 sobre cibercrimen. En dicho informe se examina las tendencias de seguridad existentes y emergentes, identificando que los cibercriminales están incrementando su creatividad para utilizar nuevas técnicas en sus tentativas de defraudar dinero de los usuarios de Internet.

Se estima que el total del malware existente sobrepasa los 11 millones, de los que Sophos recibe aproximadamente 20.000 nuevas muestras de software sospechoso cada día, lo que supone 1 nuevo programa malicioso cada 4 segundos.

El informe de Sophos, revela que la mayor parte de ataques han sido diseñados para intentar engañar a los sistemas de seguridad tradicionales tales como el escaneo del correo electrónico.
Así, durante la primera mitad de 2008 se ha visto una explosión de ataques propagados vía web, la preferida por los hackers con motivos económicos. El 90% de estas páginas, que propagan Caballos de Troya y programas espía, son sitios web legítimos. Algunos de ellos, pertenecientes a grandes y reconocidas compañías que han sido hackeadas a través de ataques de Inyecciones SQL.

Sophos detalla intentos de hackers y spammers de aprovecharse de sitios Web 2.0, tales como Facebook o LinkedIn, atacar dispositivos con sistemas operativos distintos a Windows, tales como Apple Macs y Linux, y la probabilidad de ataques emergentes contra usuarios del popular iPhone de Apple.

“El mayor problema del malware, sin duda, lo tiene Windows, pero esto no significa que los usuarios de Mac y Linux deban estar tranquilos. Se han encontrado amenazas contra otras plataformas y hay un riesgo de que los usuarios de estos sistemas operativos caigan en el error de que, de algún modo, son inmunes a los ataques de Internet", afirma Graham Cluley, Consultor de Tecnología de Sophos. “El uso de sistemas tales como Facebook, Bebo o LinkedIn demuestra que los cibercriminales están buscando nuevas vías para propagar sus códigos maliciosos y publicidad no deseada".

De acuerdo al Informe de Sophos, otro método que se está popularizando es el envío de spam a través de los teléfonos móviles. Según la Internet Society of China, una cantidad asombrosa de mensajes de spam, un total de 353.8 billones, fueron enviados a usuarios del país durante el pasado año – con casi 440.000 quejas formales solamente durante Junio de 2008. Aunque el problema sea mucho menor en cualquier otra parte del mundo, Sophos también ha identificado campañas de spam SMS que han bloqueado con éxito líneas de teléfono de Estados Unidos.

Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=1907

Black Hat USA 2008 Presentations

Les presentamos a continuación algunas de las presentaciones publicadas de Black Hat USA 2008:

No More 0-Days (or Code-Based Intrusion Detection by Korset) - Presentation - PPT
Active 802.11 Fingerpinting: a "Secret Handshake" to Know Your APs - PPT
Insane Detection of Insane Rootkits: Chipset Based Approach to Detect Virtualization Malware - PPT
Cisco IOS Shellcodes/Backdoors - PPT
SQL Injection Worms for Fun and Profit - PPT
AppSec A-Z: Reverse Engineering, Source Code Auditing, Fuzzing, and Exploitation - PPT
Passive and Active Leakage of Secret Data from Non Networked Computer - PPT
Decompilers and Beyond - Presentation - PPT
Got Citrix, Hack It! - PPT
Protecting Vulnerable Applications with IIS7 - PPT
Virtually Secure - PPT
Black Ops 2008 -- Its The End Of The Cache As We Know It - Video - Audio
Jinx - Malware 2.0 - PPT - Tools
Deobfuscator: an Automated Approach to the Identification and Removal of Code Obfuscation - PPT
Bluetooth v2.1 - a New Security Infrastructure and New Vulnerabilities - PPT
Developments in Cisco IOS Forensics - PPT
Reverse DNS Tunneling Shellcode - PPT
Mifare -- Little Security, Despite Obscurity - PPT
Mobitex Network Security - Presentation - PPT
Software Radio and the Future of Wireless Security - PPT
Playing by Virtual Security Rules: How Virtualization Changes Everything and What to Do About It - PPT
Nmap: Scanning the Internet - PPT
Mas...

Fuente: http://seguridad-informacion.blogspot.com/2008/08/black-hat-usa-2008-presentations.html

Claro, regala tus datos personales

Varios usuarios nos han informado de un mal (por decir algo) diseño e implementación de una página de la empresa Claro, la cual es utilizada para realizar reservas de iPhone.

En la misma (desarrollada en Flash) se solicitan nuestros datos personales para realizar la reserva del aparato, incluído por supuesto nuestro nombre de usuario y contraseña:

Luego de ingresados, el alta ya se encuentra realizada y nuestros datos almacenados en forma "segura".

Para verificar esto último intentamos ingresar nuevamente para verificar que todo haya sido grabado correctamente, para cual se solicita... el correo electrónico!!!

¿Y el usuarios y la contraseña?

Pero eso no sería nada comparado con lo que sigue: ingresado un correo válido y si el mismo está registrado, se visualizan los datos personales ingresados anteriormente:

Es decir que con sólo contar con el correo de una persona, es posible obtener todos sus datos personales.

Además, y para nuestro tranquilidad Claro dice:

Todo debe ser "claro" y seguro para el usuario. Gracias!

Actualización 11.45: he enviado un correo a la persona que realizó el anuncio de iPhone en Argentina. Veamos que sucede.

Actualización 16.15: luego de reportado dos veces a distintas personas de la empresa aún no tengo novedades.

Actualización 16.35: en este momento si se intenta registrar (o el login) un usuario el sistema devuelve error 404 en las páginas internas (no así la película Flash).

Actualización 16.40: en este momento el servicio informa "Momentaneamente interrumpido...".

Actualización 16.45: según me han comentado (no por correo) se tomaron bien nuestro informe y fue a partir del mismo se suspendió el servicio.

Actualización 18.00: la promoción de iPhone gratuito en un sitio que simulando a Claro no tiene nada que ver con este problema.

Actualización 21.00: gracias a los sitios que se hicieron eco de la noticia.

El problema criptográfico de Debian parece estar siendo aprovechado activamente por atacantes

US-CERT está advirtiendo a los administradores de que, posiblemente, el famoso problema en la generación de números aleatorios que sufrió OpenSSL para Debian el pasado mes de mayo, está siendo aprovechado (probablemente de forma automática) para instalar rootkits en servidores Linux vulnerables.

En mayo la criptografía sufrió un grave revés. Se descubrió que el generador de números aleatorios del paquete OpenSSL de Debian era predecible. Las claves generadas con él en los últimos dos años ya no eran fiables o verdaderamente seguras. A efectos prácticos, se podría deducir la clave privada a partir de la pública de los usuarios, con lo que la criptografía asimétrica dejaba de ser fiable para la autenticación y para la confidencialidad. Pronto se generó todo el espacio posible de claves vulnerables (públicas y privadas) y se desarrollaron exploits específicos para poder acceder a sistemas SSH protegidos con criptografía pública.

Los administradores que controlan sus sistemas a través de SSH se suelen autenticar a través de su clave privada (el servidor de SSH almacena la pública correspondiente). Esta es una alternativa a la autenticación a través de la clásica contraseña simétrica. Si la pareja de claves ha sido generada con el OpenSSL vulnerable, se puede hacer un ataque de fuerza bruta sobre un espacio de claves muy pequeño, algo que tarda unos 20 minutos con un ordenador de hoy día. Los que hayan protegido el uso de las claves con contraseña, están en principio a salvo.

Aunque el US-CERT no habla de este problema en concreto, probablemente es el que está siendo aprovechado para llevar a cabo estos ataques durante estos días. Los atacantes están intentando acceder a servidores con SSH activo, protegido por criptografía pública y claves privadas vulnerables. Con esto consiguen acceso de forma fácil al sistema. Si el kernel no está actualizado, utilizan algún exploit para conseguir acceso local como root (existen decenas) y una vez dentro, instalan el rootkit Phalanx2 que les permite (entre otras cosas) obtener otras claves SSH para acceder a otros sistemas.

En el apartado de más información se ofrece información sobre cómo detectar el rootkit.

Como advertíamos en mayo, el problema criptográfico del paquete OpenSSL de Debian traerá de cabeza a los administradores durante mucho tiempo. Fueron casi dos años de generación de claves vulnerables en cientos de miles de máquinas, y pasará mucho tiempo hasta que todos los administradores parcheen sus sistemas y sobre todo, vuelvan a generar sus claves públicas y privadas con un sistema actualizado.

Fuente: http://www.hispasec.com/unaaldia/3594

Malware en la Estación Espacial

Este gusano informático, cuyo principal objetivo es robar las claves de varios juegos muy populares en Asia, como el Maple Story, el Huang Yi Online y el Talesweaver, hizo su aparición por primera vez en la Tierra en agosto del año pasado.

El virus, que llegó a la plataforma orbital por vías que todavía se desconocen, no tiene capacidad de causar ningún daño a los sistemas de control de la Estación Espacial Internacional (EEI), según la NASA.

No es la primera vez que esta clase de programas nocivos arriban al cosmos, aunque, según la agencia espacial estadounidense, esto ocurre con poca frecuencia y no afecta el funcionamiento de la plataforma orbital.

A través de los ordenadores portátiles infectados con el gusano W32.Gammima.AG, que no llevan instalado un programa antivirus, los astronautas enviaban correos electrónicos a la Tierra.

La portavoz de la NASA Kelly Humphries subrayó que la EEI no cuenta con acceso a internet y que los datos son transferidos a través de un canal de radio y siempre son verificados, por lo que es posible que los ordenadores portátiles "quedaran infectados" cuando aún estaban en la Tierra.
Ahora, la NASA tiene intención de crear sistemas de seguridad especiales para evitar incidentes similares en un futuro.

Fuente: http://www.eluniversal.com.mx/articulos/48836.html

Redes sociales en internet y los jóvenes: conozca los riesgos

Muchos niños y jóvenes están fascinados con la libertad, el anonimato y la interacción social que ofrecen los sitios de redes sociales, salas de chat, blogs, pizarrones de mensajes y mundos virtuales. Pero tal vez no estén conscientes de los riesgos.

Los padres, tutores y profesores pueden proteger mejor a los niños educándose sobre los riesgos y compartir su conocimiento con ellos. Por esto Trend Micro da algunas recomendaciones.

Robo de Información

Como un medio social, Internet es un lugar atractivo, especialmente para los niños que han crecido en un mundo que siempre ha tenido Internet. Los jóvenes que usan sitios de redes sociales, salas de chat y cosas por el estilo, manejan normalmente por lo menos un perfil personal en línea que requiere que divulguen información sobre ellos, como su nombre y contraseña y, potencialmente, su dirección y teléfono.

Hasta cierto punto, esto es como caminar por el centro comercial local vistiendo una polera que contiene una lista de información personal. La mayoría de la gente en el centro comercial que lea esto no hará nada, pero algunos podrían decidir usarla para algún propósito malicioso. La diferencia entre el centro comercial y el mundo en línea es que el mundo en línea expone la información de los jóvenes a mucha más gente, multiplicando la posibilidad de resultados maliciosos.

Malos Comportamientos

Dos ejemplos de comportamiento inaceptable son la atracción en línea y la intimidación. La atracción en línea es una técnica utilizada por un acosador sexual para convencer a una persona menor de edad a tener una relación con él fuera de línea. La intimidación electrónica es el acoso en línea de compañeros de clase o colegas, usando foros sociales, mensajería instantánea, etc. La clave para los padres es entender y ayudar a los jóvenes a reconocer y reaccionar a estos comportamientos cuando ocurran.

En ambos casos, la primera respuesta y la mejor es recomendar a los niños no responder a dichos mensajes y alertar a sus padres para que puedan juntos decidir cuál será el siguiente paso. También es una buena idea no borrar los mensajes en caso de que después sirvan como evidencia. En algunos casos de acoso extremo, los niños han cometido suicidio, así que es importante que sepan que pueden recurrir a alguien – un padre, un maestro u otro adulto – que pueda guiarlos.

El anonimato de Internet puede provocar un mal comportamiento fuera de línea para seguir y ser exacerbado en línea. JuicyCampus.com, dirigido principalmente a estudiantes de campus universitarios, permite que cualquier publique cosas de forma anónima sobre alguien. El sitio ha sido muy criticado por promover chismes y rumores sin fundamento que daña a víctimas inocentes. Con sitios como JuicyCampus.com los jóvenes pueden convertirse fácilmente en víctimas así como participantes de comportamientos inaceptables. Necesitan saber que la información que publican puede ser vista por alguien virtualmente para siempre y que puede rastrearse su origen. La mejor regla es respetar a los demás, en línea y fuera de línea. Los comentarios más severos, especialmente aquellos que involucran amenazas físicas, también pueden considerarse una ofensa criminal.

Comercialismo desenfrenado

Además de este contacto no deseado, tenga cuidado con el comercialismo agresivo. Los mensajes en línea tratan de convencer a los jóvenes de adquirir productos o servicio a cambio de información o dinero. Los proveedores están usando formas más creativas de promover sus productos y servicios. Cada vez más integran sus mensajes en el contenido para que los jóvenes no puedan diferenciar entre la publicidad y el contenido legítimo – una técnica llamada publicidad inmersiva.

Las ofertas gratuitas y las promociones para productos y servicios no apropiados para su edad (como servicios de citas o de apuestas) también pueden atraer a los jóvenes para proporcionar información personal. El anunciante sin escrúpulos puede usar esta información después para enviar continuamente publicidad intrusiva (como spam o pop-ups) o peor aún, abrir las puertas al ciber crimen (por ejemplo, ataques de hackers o robo de identidad).

Ciber Subterfugio

Los sitios de redes sociales también son un lugar popular para que los criminales engañen a la gente para que divulgue información o descargue software en sus computadoras para varios fines. Algunas veces un joven verá un anuncio o enlace para descargar software aparentemente inofensivo, como un widget, para usarlos en sus perfiles de redes sociales. Sin embargo, este software puede haber sido infectado con código malicioso que se descarga junto con el software legítimo.

Algunas aplicaciones que corren sobre sitios de redes sociales pueden invitar a los jóvenes a completar una encuesta o proveer información que pudiera no ser adecuada para compartirse con otros. O un joven puede sentirse atraído para ver un video “atractivo” que primero requiere descargar un reproductor. Los ciber criminales agregan software malicioso a estos reproductores, lo que les permite robar información de su computadora o espiar las actividades de su propietario.

Guía para Socializar en Línea

Los padres, maestros y otros que se hacen cargo de los jóvenes que son socialmente activos en línea deben primero establecer expectativas razonables. Prohibir a los jóvenes usar redes sociales puede obligarlos a hacerlo “de forma subterránea” y encontrarse en otro lugares (como computadoras en bibliotecas, teléfonos móviles o las computadoras de sus amigos) para seguir su vida social en línea.

Una alternativa positiva es enseñarles cómo pensar de forma crítica sobre lo que están viendo, leyendo, escuchando y compartiendo en línea, y pedir ayuda cuando algo no parece bien.

Guía para Jóvenes

A continuación presentamos algunas sugerencias para que los jóvenes las sigan cuando están usando sitios de redes sociales, cuartos de chat, blogs o pizarrones de mensajes.

• Utiliza un seudónimo o nombre de código en lugar de su nombre real. No utilices un nombre que sea sexualmente sugerente u ofensivo para otros. Esto puede ayudar a reducir la probabilidad de acoso en línea.
• Configura sus perfiles para que estén privados de modo que sólo la gente que usted invita pueda ver lo que usted publica.
• No compartas tu dirección, teléfono, u otra información personal en línea. No reveles tu ubicación real o planes para salidas o eventos.
• Ten cuidado de compartir fotos provocativas o detalles íntimos en línea, incluso con la gente que conoce o incluso en un correo electrónico o conversación de texto. La información o conversación podría ser copiada y hacerse pública. Recuerda: lo que usted dice en una sala de chat o sesión de mensajería instantánea se queda ahí y no puede eliminarse después.
• Mantén actualizado tu software de seguridad y asegúrate de que el resto de las aplicaciones de software estén actualizadas y parchadas.
• Lee “entre líneas”. Está consciente que, si bien algunas personas son muy agradables en línea, otras actúan de forma amable porque están tratando de obtener algo.
• Evita las reuniones a solas. La única forma de que alguien pueda lastimarte físicamente es si están ambos en el mismo lugar, de modo que no los conozca en persona. Si realmente tienes que conocer a alguien en persona, no vaya solo y dile a tus padres dónde estarás.
• Sé amable en línea; trata a la gente como te gustaría que te trataran.
• Piensa cómo respondes. Si alguien dice o hace algo que te haga sentir incómodo, bloquéalo y no respondas. Si continúan, deja que tus padres u otro adulto lo sepa y guarda el mensaje.
• Sé inteligente cuando utilices un teléfono celular. Estos consejos aplican a los teléfonos y computadoras.

Guías para Padres

A continuación, una guía para que los padres la consideren cuando dejan que sus hijos utilicen sitios de redes sociales, salas de chat, blogs o pizarrones de mensajes:

• Definan expectativas razonables. Desconectar el cable del sitio social favorito de su hijo es como desconectar su vida social. Esto puede cerrar la comunicación y hacer que los niños vayan a lo “subterráneo” donde están más en peligro.
• Hable con sus hijos sobre qué sitios están visitando y qué están haciendo en línea. Ayúdelos a entender algunos lineamientos de seguridad básicos, como proteger su privacidad (incluyendo contraseñas), no acosar a sus compañeros, nunca hablar de sexo con la gente que no conocen, evitar las reuniones a solas con gente que conocen en línea, y ser cuidadosos con lo que publican en línea.
• Apoye el pensamiento crítico y el comportamiento civil. Estimule a su hijo para que desarrolle un buen sentido de la seguridad y las relaciones – en línea y fuera de línea.
• Considere el uso de Internet en un lugar de alto tráfico en su hogar para ayudar a monitorear las actividades y ampliar el uso.
• Trate que sus hijos compartan sus perfiles y blogs con usted. También, utilice motores de búsqueda y las herramientas de búsqueda de los sitios de redes sociales para buscar el nombre completo de sus hijos, números de teléfono y otra información que los identifique. No está invadiendo su privacidad si están proporcionando información personal en lugares públicos en línea.

Para consultar más información sobre la seguridad en Internet para niños y familias, visite
www.trendmicro.com/go/safety o http://www.connectsafely.org.

Fuente: http://www.lasegunda.com/ediciononline/ciencia_tecnologia/detalle/index.asp?idnoticia=430111

Privacidad en Internet Explorer 8

La próxima versión del navegador de Microsoft integrará una nueva tecnología llamada InPrivate que dispondrá de distintas medidas para proteger la privacidad del internauta. Entre ellas destaca la inclusión del llamado "modo porno" que borra todos los rastros de una sesión de navegación, y que será útil para PCs utilizados por muchos usuarios (como los de los cibercafés).

A esta característica se le unen nuevas herramientas para el borrado selectivo del historial de navegación, el bloqueo de sitios que "rastrean" nuestros pasos (algo que está provocando controversia entre las empresas publicitarias) o el gestor de bloqueos que automatiza todo el proceso. El blog de desarrolladores de IE8 en inglés detalla aún más estas funciones.

Fuentes:
http://barrapunto.com/articles/08/08/26/1613213.shtml
http://yro.slashdot.org/article.pl?sid=08/08/26/0046203

Fabricante de máquinas de voto electrónico reconoce ahora un "error" crítico presente desde hace diez años

La antigua Diebold (ahora reconvertida a Premier Election Solutions) acaba de reconocer un error crítico de programación en su sistema de voto electrónico, utilizado actualmente en 34 estados de EE.UU.

El error provoca la desaparición de votos antes de que sean contados y ocurre en el proceso de transferencia desde las tarjetas de memoria a la central de recuentos. Al parecer, en cuestión de milisegundos, votos aún no contabilizados resultan definitivamente descartados cuando llegan otros nuevos a la central.

El gravísimo error fue detectado tras las primarias de Ohio el pasado marzo pero, tras tratar de echar la culpa a bugs del software antivirus utilizado y a imprecisos errores humanos, la empresa se ha visto obligada a reconocer que el fallo lleva 10 años presente en su software y afecta tanto a las pantallas táctiles como a los escáneres, siendo sus consecuencias más graves cuanto mayor es el número de votos involucrados en la elección...

Fuente:
http://www.kriptopolis.org/error-critico-software-voto-electronico
http://voices.washingtonpost.com/the-trail/2008/08/21/ohio_voting_machines_contained.html

Un fallo informático lleva a los aeropuertos estadounidenses al caos

La mayor parte del tráfico aéreo de los principales aeropuertos de Estados Unidos ha vuelto a la normalidad tras los importantes retrasos sufridos este martes por la tarde (noche en España). El problema tuvo su origen en un fallo en el sistema informático de clasificación de los planes de vuelo, según ha declarado la Administración Federal Aérea estadounidense.

La portavoz de la institución, Kathleen Bergen, ha afirmado que no se han producido problemas respecto a la seguridad de los aviones, ya que los pilotos no han perdido comunicacion con los oficiales en tierra. Bergen ha situado la causa de los retrasos en un fallo del sistema que gestiona la información de los vuelos en las instalaciones de Hampton, en el Estado de Georgia, desde donde se transmiten dichos datos al otro centro de gestión de planes de vuelo en EE UU, situado en Salt Lake City, capital del Estado de Utah.

Como resultado, el centro de Salt Lake City ha tenido que procesar por si mismo los planes de vuelo de todo el país, lo que ha provocado retrasos en la salida de los aviones. Según ha dicho la portavoz, no se han producido problemas en el aterrizaje de las naves, ya que el problema sólo ha afectado a los aparatos que se encontraban en tierra esperando a despegar, y no a los que se encontraban en el aire en el momento del fallo informático.

Los aeropuertos más afectados han sido los de Baltimore, Charlotte, Atlanta, Chicago y Boston. Los de Washington, Miami, Cleveland y Houston no han sufrido las consecuencias del fallo informático y han posido seguir funcionando con normalidad. Las autoridades han informado de que los vuelos internacionales han recibido un trato prioritario.

Fuente: http://www.elpais.com/

Revelado (otro) mayor agujero de seguridad de Internet

Dos investigadores de seguridad informática han demostrado una técnica para interceptar tráfico en forma casi indetectable. La técnica, del tipo man-in-the-middle, utiliza el protocolo BGP para desviar tráfico en cualquier lugar del mundo hacia la estación de monitorización y luego lo envía (posiblemente modificado) hacia su destino.

Peter Zatko, uno de los investigadores, declaró: "Es un problema enorme. Es un problema al menos tan grande como el de DNS, si no más grande". Peter Zatko es un ex miembro del grupo L0pht y en 1998 testificó ante el congreso estadounidense diciendo que podría detener totalmente Internet en 30 minutos utilizando un ataque BGP similar. También instruyó a agencias de inteligencia sobre la posible utilización de BGP para monitorizar tráfico remoto sin necesidad de colaboración por parte de ningún ISP...

La técnica descrita intercepta el tráfico por dirección de destino, y no siempre es posible desviar tráfico que ocurre dentro de un mismo ISP. El protocolo BGP mantiene tablas de rutas para encontrar la más eficiente hacia un destino dado. Pero las rutas están basadas en las máscaras de red y la más restrictiva (la más específica) gana. Para interceptar el tráfico, todo lo que tiene que hacer un atacante es publicar un rango de IPs más pequeño que el que está publicado por su legítimo dueño. La publicación se propaga en minutos a todo el mundo y el atacante comenzará a recibir datos destinados a los rangos IPs publicados.

Si sólo se hiciera esto, sería muy fácilmente detectable ya que el tráfico "desaparecería" hacia otra red en vez de llegar a su destino. Esto es más o menos lo que pasó este año cuando un ISP de Pakistán desvió por error todo el tráfico de YouTube (en realidad el tráfico hacia YouTube) hacia direcciones inexistentes. Obviamente todo el mundo se dio cuenta.

Lo innovador de la técnica presentada es la capacidad de poder redirigir el tráfico hacia su destino final después de ser interceptado, algo que normalmente no sería posible ya que las tablas BGP harían que el tráfico volviese al atacante. Sin embargo, se utiliza otra capacidad del protocolo BGP llamada "AS path prepending", que permite seleccionar algunos routers para que no acepten la publicación BGP maliciosa hecha por el atacante y lograr de ese modo que tengan las tablas BGP originales. Luego es cosa de enviar el tráfico por medio de éstos routers y llegará correctamente a destino.

Si los datos siempre llegan a destino correctamente, ¿quién va a notar algo?

En todo el proceso no se aprovecha ninguna vulnerabilidad, ningún fallo del protocolo, ningún error de software. Simplemente se saca provecho a la arquitectura BGP que está basada en la confianza mutua.

Anton Kapela, el otro investigador, dijo que los ISP pueden evitar este tipo de ataques utilizando filtros. El problema es que se requiere una gran cantidad de filtros y trabajar en coordinación con todos los otros ISPs. También tendría un alto costo de mantenimiento. Por todo esto, Kapela opina que una solución basada en filtrado no va a prosperar.

Otra solución propuesta se basa en la autenticación de los "dueños" de los bloques IPs. Una solución de éste tipo requeriría la utilización de certificados por parte de los ISPs. Sin embargo, aunque se evitaría el desvío de tráfico en el primer salto en una ruta, lo que evitaría desvíos accidentales como el de Pakistán, este esquema no evitaría el desvío del segundo o tercer salto en una ruta.

Stephen Kent y sus colegas de BBN Technologies, han desarrollado Secure BGP (SBGP), que requiere que cada router BGP firme digitalmente todas sus rutas publicadas con una clave privada. Esto evitaría totalmente el desvío malintencionado de tráfico, pero lamentablemente los routers actuales no tienen ni la memoria ni la capacidad de procesamiento para generar y validar firmas, por lo que una implementación masiva de SBGP requeriría el cambio a gran escala de todos los routers involucrados, algo que ni los ISP ni los fabricantes de routers se ven motivados a hacer por ahora.

Fuente:
http://www.kriptopolis.org/revelan-mayor-agujero-seguridad-internet
http://blog.wired.com/27bstroke6/2008/08/revealed-the-in.html

Servidores Linux, bajo ataque (por el problema de SSH)

El US-CERT acaba de publicar un aviso sobre la detección de un aumento de ataques contra infraestructuras basadas en Linux mediante el uso de claves SSH comprometidas, probablemente relacionadas con el famoso fallo de Debian. Especialmente vulnerables son los sitios en que la identificación se realiza mediante claves no protegidas por contraseña.

Tras lograr el acceso al sistema, se utilizan "exploits" contra vulnerabilidades del kernel para obtener privilegios de "root". Acto seguido, se procede a instalar un rootkit (Phalanx2) en el sistema así comprometido, el cual roba nuevas claves que se utilizan para comprometer otros sitios u otros sistemas de la propia infraestructura comprometida.

Para detectar si nuestro sistema ha sido comprometido, además de revisar los controles habituales (Tripwire, buscar procesos ocultos, etc) hay que comprobar si existe un directorio /etc/khubd.p2/. No vale utilizar el comando ls (se oculta de él), sino tratar de entrar con un cd /etc/khubd.p2/

Si el sistema aparece comprometido, US-CERT recomienda deshabilitar la autenticación mediante claves SSH, auditar las claves en uso y avisar a los usuarios en riesgo...

Fuente: http://www.kriptopolis.org/servidores-linux-bajo-ataque

Race to Zero: conclusiones

Durante esta última edición de Defcon, se celebró el controvertido concurso denominado 'Race to Zero', que como comentamos ya en una entrada anterior, causó un pequeño revuelo entre los vendedores de software antivirus.

Este concurso se celebraba en el salón multiusos adyacente al CTF donde nuestros colegas de Pandas with Gambas intentaban realizar sus breakthrough, un salón donde se congregaban personas de diferentes países, y sobre todo, de diferentes formas de vida (había un par de norteamericanos que eran unas máquinas al Guitar Hero, algunos maestros de lockpicking, y mucha gente que hacía cosas demasiadas extrañas para preguntar). En realidad el concurso se celebraba en 4-5 mesas donde había unas 10-15 personas.

El concurso en sí no despertó mucho interés de los asistentes a Defcon, más preocupados con la charla de Dan Kaminsky (la misma que dió en BlackHat en el Caesars), y realmente todos los equipos se afanaban en conseguir mutar los 10 ejemplares que se suministraron usando una mezcla de OllyDbg, IDA y algún editor hexadecimal (el mítico hiew). Nuestros amigos de iDefense se habían presentado (nos contaron que habían estado preparando algún packer polimórfico durante estas últimas semanas), y consiguieron completar todos los especímenes en unas 6 horas. Bueno, realmente todos no, puesto que una prueba consistía en un exploit de Word 2000 y nadie tenía un Microsoft Office 2000 :).

La cobertura por parte de la prensa ha sido escasa (a pesar del interés inicial), pero hay algún site donde comentan el transcurso del evento, y parece que ninguna casa antivirus ha comentado nada al respecto, pero lo que sí que es evidente, y ellas lo reconocen, que es necesario replantearse la manera de luchar contra el código malicioso.

Actualización (27/08/2008): Rafa Sanchez nos comenta una entrada en su blog relacionada con el tema.

Fuente: http://blog.s21sec.com/2008/08/race-to-zero-conclusiones.html

martes, 26 de agosto de 2008

Códigos maliciosos a través de programas de descarga

Como es usual, los programas de descarga son una fuente atractiva para la infiltración de códigos maliciosos en los equipos. A través de falsos programas que simulan contener algún software en particular, en más de una oportunidad los usuarios terminan siendo engañados y descargando algún malware en su computadora en vez de ese programa que los había entusiasmado.En estos últimos días, la compañía especialista en seguridad Panda comentó que hay otros dos nuevos programas que están siendo utilizados con este fin: el BitRoll-5.0.0.0 y el Torrent101-4.5.0.0. En ambos casos se trata de supuestos instaladores P2P que permiten el intercambio de archivos entre los internautas en forma remota.Pero lo que en realidad hacen es instalar en nuestro equipo algunos ejemplares del adware Lop, un adware que permite que aparezcan ventanas emergentes con publicidad o banners mientras estamos navegando por la Web. E incluso hace que se instale como página de inicio en el IE un buscador específico que si se utiliza para buscar algo, lo que va a enviar como respuesta es páginas en donde hay publicidad referida a la palabra que se anotó en el buscador.La compañía detectó también otras aplicaciones que instalan este adware, como por ejemplo wavesoftwarecreative.exe, un programa que simula ser un software de sonido. Así que a tener cuidado con todo lo que se descarga, tanto con los programas que hemos comentado acá como con todos en general.Para quienes quieran saber si tienen este adware instalado en su PC o algún otro, pueden chequear su equipo en forma gratuita desde la página de Panda.Fuente: http://www.rompecadenas.com.ar/articulos/2048.php

Tipos de URLs maliciosos y cómo actúan

Los enlaces a páginas falsas son una forma de ataque que cobra cada vez más víctimas. En más de una oportunidad, muchos de nosotros habremos ingresado a URLs maliciosos sin querer, quizás sólo por habernos confundido en una letra al haber escrito el nombre de una página Web.Hay que tener en cuenta que hay dos tipos de URLs maliciosos, los que se dividen en cada clase según la forma que se utilice para hacer entrar al link a la víctima.Uno de ellos es el que se basa en la Ingeniería Social y trata de convencer al usuario de que ingrese a algún link de su interés para después redireccionarlo a una página falsa en la que habrá algún código malicioso esperándolo o alguna forma de persuación para que ingrese sus datos personales (un ejemplo típico de phishing).Trend aseguró que esta es la forma más usual de cobrar víctimas mediante URLs maliciosas. Una forma clásica es el envío de spam que contenga algún tema de interés para el usuario y un link para ingresar a la página que supuestamente contiene el material prometido en el correo electrónico.En estas últimas semanas el tema de los Juegos Olímpicos estuvo al frente, pero también otro tipo de noticias relacionadas con figuras del ambiente artístico o la política, desastres ambientales, eventos de envergadura y otros muchos temas que puedan captar la atención del internauta.El segundo caso son aquellos en los que no se involucra la Ingeniería Social sino alguna variante en la URL original. Un ejemplo claro es cuando se comete algún error tipográfico al escribir la dirección de alguna página y terminamos ingresando en un sitio falso. Es muy común que muchos ciber-delincuentes utilicen esta táctica, especialmente con el nombre de marcas conocidas.La misma Trend fue víctima de este caso. Un breve cambio en el nombre real de la página lleva directamente a una página falsa controlada por criminales. Otro ejemplo es cuando logran plagar los resultados de búsqueda de Google con sitios falsos de manera que al ingresar, nos llevan al sitio falso. Como vemos, hay una serie de cuestiones que hay que tener en cuenta para no ser víctimas de URLs maliciosos: no ingresar a links en correos electrónicos de los que no conocemos su origen o que tengan noticias sorprendentes, y si conocemos a quien lo envía, chequear bien qué lo haya enviado. También hay que tener mucho cuidado con las direcciones a las que ingresamos (cuidado en el sentido de estar seguros que no hay ninguna diferencia, por más pequeña que sea, a la original). Y por supuesto, tener un antivirus continuamente actualizado.Fuente: http://www.rompecadenas.com.ar/articulos/2049.php

Gobierno alemán baraja prohibir el comercio telefónico

El Gobierno alemán baraja prohibir el comercio telefónico después de varios escándalos de uso fraudulento de datos en compañías de 'telemarketing'.El presidente de la Federación de Oficinas del Consumidor, Gerd Billen, constató la vulnerabilidad de los sistemas de protección de datos en Alemania con una frase lapidaria: "Nuestros peores temores se han visto confirmados". La sucesión de escándalos en compañías de telemarketing ha puesto en la picota a las agencias de ventas telefónicas. Hasta tal punto, que el Gobierno alemán se plantea prohibir el comercio por teléfono.Billen convocó la semana pasada una conferencia de prensa para demostrar lo fácil que es hacerse con datos personales. La Federación de Oficinas del Consumidor intentó comprar en el mercado negro información teóricamente protegida. En un par de días, y por sólo 850 euros, tenía dos CD y un DVD con los datos personales de seis millones de alemanes. Además de la dirección, el nombre y el teléfono de la persona, cuatro millones de fichas incluyen sus datos bancarios completos.La iniciativa de las oficinas de Consumo amplió el impacto que ya habían tenido las revelaciones de Detlef Tiegel, empleado de una agencia de ventas telefónicas en Lübeck. Tiegel envió un CD con datos de 17.000 alemanes a la oficina del consumidor del Estado federado de Schleswig Holstein.El ex telefonista -que perdió su empleo tras dar este paso- explicó a la oficina de consumidores que su trabajo en la agencia consistía en ofrecer suscripciones a una lotería alemana, una práctica legal y común en el sector. Sin embargo, además de importunar a los desprevenidos clientes que respondían a sus llamadas telefónicas, Tiegel y sus colegas tenían la orden de comprobar si sus cuentas bancarias se correspondían con los datos que la empresa había obtenido de contactos dudosos. Si las víctimas eran lo suficientemente incautas para confirmar los datos, la agencia usaba la conversación grabada para reclamar dinero de las cuentas. En caso de reclamación, los agentes demostraban que habían hablado por teléfono y alegaban haber recibido permiso.Tras la denuncia de Tiegel, cientos de alemanes, especialmente ancianos, se han percatado tarde de que faltan cantidades pequeñas de sus cuentas corrientes. Cada estafa de este tipo, que están mucho más extendidas de lo que se creía, oscila entre los 30 y los 100 euros, según las oficinas de consumidores.Tiegel pretendía con su denuncia "hacer una pequeña demostración" de la baja calidad de la protección de los datos que circulan por el país. El ex telefonista asegura que sólo la agencia para la que trabajaba tenía información sobre 1,5 millones. "Estamos ante un robo masivo, de una magnitud desconocida", señaló Billen, que sostiene que el uso fraudulento de datos es una práctica extendida. Las informaciones sobre que otra agencia telefónica de Bremerhaven había accedido a la base de datos del gigante Telekom, con 30 millones de clientes, acentuaron aún más la polémica.El ministro federal de Economía, el socialcristiano Michael Glos (CSU), abogó ayer por medidas más restrictivas para el comercio con datos de consumidores. En una entrevista concedida al dominical Bild am Sonntag, Glos aseguró que "si no hay otra manera de proteger a los consumidores de las actividades delictivas, debemos plantearnos la prohibición total del comercio con datos personales". Según el semanario Der Spiegel, el ministro de Interior Wolfgang Schäuble (CDU) prepara una "reunión de crisis" con sus colegas de Justicia, Consumo y Economía para tratar el asunto.La asociación alemana de telemarketing (DDV) trata de salvar la cara de las empresas del sector a las que representa. El portavoz Patrick Tapp pedía el sábado que "no se generalice" a partir de una empresa cuyas prácticas "ya son punibles según la ley actual". Las compañías que se dedican al marketing telefónico tienen pésima reputación, primero porque son un engorro para los que no quieren recibir llamadas no solicitadas en sus hogares y, además, por las abusivas condiciones de trabajo que a menudo ofrecen a sus empleados.Las críticas contra el abuso de datos personales alcanzan también a las bases de datos públicas, que almacenan las informaciones más sensibles sobre los ciudadanos. Thomas Hagen, de la oficina del consumidor de Schleswig Holstein, explicó la semana pasada al diario Süddeutsche Zeitung que "hay diversos indicios de que las propias administraciones intercambian datos de forma ilegal".La ley alemana castiga con multas de hasta 250.000 euros el uso indebido de datos privados. En casos como el descrito por Tiegel, los estafadores comenten un delito penal que puede llevarlos a la cárcel por dos años. Algunos defensores del consumidor están de acuerdo con la DDV en que no es necesario cambiar la ley ni endurecerla, tan sólo aplicarla.Fuente: http://www.elpais.com/articulo/economia/Cuentas/bancarias/secretos/elpepueco/20080825elpepieco_3/Tes

Programas de seguridad gratis para Windows

La gente de lifehacker a elaborado un listado muy completo de 30 aplicaciones gratuitas que pueden mejorar la vida de tu sistema Windows de forma notable.
Aplicaciones para seguridad, encriptación, firewall y antivirus son algunas de las mencionadas en el listado y lo mejor de todo es que son totalmente gratuitas, sin embargo la recomendación de siempre es la misma, mejor vete con cuidado en el internet porque a veces parece ser un campo minado y donde menos lo piensas explota algo nuevo.
El listado completo de las aplicaciones en lifehacker 30+ Free Security, Encryption, Firewall and Antivirus Apps for WindowsFuente:http://www.saturnattacks.com/2008/08/25/programas-gratis-para-seguridad-de-windows/http://www.lifehack.org/articles/technology/30-free-security-encryption-firewall-and-antivirus-apps-for-windows.html

Roban datos de clientes de los hoteles Best Western en Europa

Varios millones de datos de clientes del grupo de hoteles Best Western han sido robados por un 'hacker' indio, según informan varios diarios británicos, entre ellos el 'Daily Telegraph'.
El robo, que podría ser uno de los mayores de este tipo cometidos en la Red, fue descubierto a raíz de una investigación del diario 'Sunday Herald'. Tuvo lugar en la noche del jueves de la semana pasada en el sistema de reservas 'online' de la cadena.
El 'hacker' podría haber utilizado un virus 'troyano' en una de las máquinas utilizadas para las reservas por Best Western. El número de clientes de los que han robado datos podría llegar a los ocho millones, según las estimaciones hechas.
Los datos robados incluyen direcciones, números de teléfono, detalles de tarjetas de crédito, así como el lugar de empleo. Los datos, que fueron puestos a la venta en una red mafiosa rusa, podrían alcanzar más de 3.500 millones de euros (2.800 millones de libras) en el mercado.
Este ataque afecta a todas aquellas personas que haya reservado, y por tanto dejado sus datos, en cualquiera de los hoteles de Best Western en toda Europa desde 2007.
Según el diario, la brecha de seguridad fue cerrada al día siguiente por Best Western una vez alertados por ellos, pero los expertos temen que sea demasiado tarde.
La compañía aseguró que era completamente consciente de la gravedad del ataque y que tomaría las medidas oportunas para defender los intereses de sus clientes.
"Best Western tomó medidas inmediatas para desactivar el peligro. En estos momentos estamos trabajando con nuestros socios de tarjetas de crédito para asegurar que todas los procedimientos estándar importantes se cumplen, y que los intereses de nuestros clientes están protegidos", dijo un portavoz.
La cadena de hoteles Best Western es propietaria en España de hoteles como el Hotel Santo Domingo en Madrid o el Hotel Mediterráneo en Barcelona, entre otros muchos.
Fuente: http://www.elmundo.es/navegante/2008/08/25/tecnologia/1219667551.html

Video sobre la seguridad contraseñas

Producido en blanco y negro, este excelente video de Watchguard enseña a Buds, su personaje, cómo debe ser y cómo debe conformarse una contraseña fuerte.

viernes, 22 de agosto de 2008

En el primer semestre de 2008 se registraron más casos de fraude online que en todo 2007

Hace tiempo que terminó la época en la que muchos ataques eran fruto de la curiosidad y de demostrar la valía de ciertos adolescentes. Hoy existen bandas de crimen organizado que utilizan todos los recursos y tecnologías presentes en Internet para garantizar su anonimato. Así lo refleja el último informe de fraude online publicado ayer por S21sec. Durante la primera mitad de 2008, la unidad S21sec e-crime detectó y solucionó un total de 1.842 casos de phishing, troyanos, redirectores y otras actividades calificadas de fraude online, 198 más que en todo 2007. Como podéis ver esta cifra resulta muy superior a la alcanzada en años anteriores y, la tendencia es la misma de cara a estos últimos meses del año.

El phishing continúa siendo una de las principales preocupaciones ya que supuso el 60% del total de casos en 2008, pero durante este periodo se ha incrementado el número de troyanos detectados llegando a representar un 37% de los casos. Junio fue el mes en el que más ataques de phishing se registraron de la historia (423), esperemos que esta cifra no siga en aumento pero no podemos predecir nada.

El país de procedencia del mayor número de ataques sigue siendo Estados Unidos y el tiempo medio de cierre de sitios fraudulentos fue de 1,6 días.

En el informe podéis encontrar información y estadísticas muy interesantes respecto a la evolución y tendencias del fraude online. Os animamos a descargároslo y a profundizar en su lectura.

Maria Asín

Fuente: http://blog.s21sec.com/2008/08/en-el-primer-semestre-de-2008-se.html

En el primer semestre de 2008 se registraron más casos de fraude online que en todo 2007

Fuente: http://blog.s21sec.com/2008/08/en-el-primer-semestre-de-2008-se.html

La industria británica del videojuego arremete contra las descargas La industria británica del videojuego arremete contra las descargas

Cinco de las mayores productoras exigirán a miles de internautas un pago por compartir sus títulos.

La industria de los videojuegos obligará a miles de británicos que han descargado ilegalmente los últimos juegos de Internet a pagar 300 libras (380 euros) en los tribunales.

Cinco de las principales empresas del mundo han decidido amenazar por carta con esa medida a un total de 25.000 piratas y emprenderán acciones legales contra los 500 primeros destinatarios que hagan caso omiso de la advertencia, informa hoy el diario The Times.

Las compañías implicadas - Atari, Topware Interactive, Reality Pump, Techland y Codesmaster- comercializan algunos de los juegos más populares como Operación Flashpoint o El Señor de los Anillos.

Se calcula que alrededor de seis millones de británicos comparten ese tipo de juegos ilegalmente por Internet.

Las empresas en cuestión parecen dispuestas a emprender acciones más contundentes que la industria musical británica, fuertemente afectada por la piratería en Internet, pero que tan sólo ha actuado legalmente contra 150 personas en diez años, señala el periódico.

Esta semana, Isabela Barwinska, madre de dos hijos y sin empleo, se convirtió en la primera persona en el Reino Unido a la que se ha conminado a pagar daños y perjuicios a un fabricante. Barwinska tendrá que indemnizar con más de 16.000 libras (20.000 euros) a Topware Interactive por haber descargado ilegalmente el juego Dream Pinball.

Roger Billens, del bufete legal Davenport Lyons, asegura en el periódico que sus clientes están "indignados" por la magnitud de las descargas ilegales.

En las dos semanas siguientes a la salida al mercado del videojuego Dream Pinball 3D sólo se vendieron legalmente 800 copias, mientras que se hicieron 12.000 descargas ilegales del mismo, explica Billens, según el cual se trata de que se trata de que la gente se lo piense dos veces antes de terminar ante un tribunal.

Esa firma legal ha pedido al Alto Tribunal un requerimiento que obligue a los proveedores de servicios de Internet a entregarle los nombres y señas de 25.000 personas sospechosas de haber hecho ese tipo de descargas ilegales.

De momento, los abogados de las empresas del sector han conseguido ya cerca de 5.000 nombres y direcciones tras presentar pruebas del latrocinio informático.

No todos en la industria del juego están sin embargo de acuerdo con la adopción de medidas tan drásticas, y así una fuente próxima a la Asociación de Editores de Software para el Ocio y el Entretenimiento reconoce en The Times que la mayoría de sus miembros se muestran reacios a perseguir judicialmente a esos piratas.

Según el periódico, muchos de estos últimos son menores que han aprendido a ver en Internet una especie de cornucopia de productos fácilmente accesibles y en muchos casos gratuitos.

Muchos menores se dedican a descargar videojuegos, aunque no tengan la intención de jugar a ellos sino que les sirven muchas veces para intercambiar con los amigos.

Las ventas de videojuegos alcanzarán este año los 2.000 millones de libras (2.540 millones de euros) en Gran Bretaña, según las previsiones.

Fuente: http://www.elpais.com/articulo/internet/industria/britanica/videojuego/arremete/descargas/elpeputec/20080820elpepunet_3/Tes

PorkBind - Escáner de vulnerabilidades DNS

Al al leer la web del "Guru de la informática" me encontre con una herramienta de deteccion de vulnerabilidades para DNS llamada PorkBind muy interesante.

La herramienta una vez descubierta la vulnerabilidad nos indica como solucionarla con su correspondiente link de CVSS v2.0 y OVAL. Entre las vulnerabilidades que chequea se encuentra la popular vulnerabilidad reportada por Dan Kaminsky.

Las vulnerabilidades que detecta son:

Envenenamiento de la cache. CVE-1999-0024
Denegación de servicios via maxdname. CVE-1999-0849
Desbordamiento de buffer a través de consulta inversa. CVE-1999-0009
Desbordamiento de buffer a través de TSIG. CVE-2001-0010
Desbordamiento de buffer a través de nslookup. CVE-2001-0011
Acceso a través de variables de entorno. CVE-2001-0012
Desbordamiento de buffer a través de nslookup. CVE-2001-0013
Denegación de servicio a través de dns_message_findtype. CVE-2002-0400
Modificación del puntero nulo SIG RR. CVE-2002-1219
Denegación de servicios. CVE-2002-1220
Denegación de servicios via puntero nulo SIG RR. CVE-2002-1221
Ejecución de código arbitrario. CVE-2002-0029
Envenenamiento de la cache. CVE-2007-2930
Envenenamiento de la cache. CVE-2007-2926
Envenenamiento de la cache (de Dan Kaminsky). CVE-2008-1447

Descarga de PorkBind v1.2:
http://innu.org/~super/tools/porkbind-1.2.tar.gz

Fuente:
http://seguridad-informacion.blogspot.com/2008/08/porkbind-escner-de-vulnerabilidades-dns.html
http://vtroger.blogspot.com/

jueves, 21 de agosto de 2008

Chantaje en la web (ciber-extorsión)

Los atacantes acechan por doquier a cualquiera que disponga de un sitio Web mínimamente comprometido. Este es el caso que se presenta en la revista online Wired, en la que un usuario preocupado explica su caso de ciberchantaje. Todo empieza cuando una persona de la antigua Unión Soviética (no especifica el país exacto), le envía un e-mail indicándole que en su web existe un agujero de seguridad. Y que si no le paga la cantidad de 1.000 euros, aireará el asunto por Internet. Aunque la respuesta del especialista de Wired no aclara demasiado qué camino tomar, quizás nos proporcione algunas claves para afrontar una situación parecida.Como en cualquier chantaje, pagar la cantidad que el verdugo nos solicita no garantiza la resolución del conflicto y puede que al cabo de unos meses, tengamos una legión de farsantes dispuestos a arruinarnos. De hecho, según el FBI, se ha demostrado que la mayoría de amenazas provienen de personas que no tienen ni la más remota idea de agujeros de seguridad o de informática con este nivel. Es por eso que unas de las recomendaciones es hacer caso omiso al chantaje y muy probablemente, no pase nada en nuestro sitio Web. Los que quieran probar esta suerte tienen el siguiente dato a su favor: según un estudio de la Universidad Carnegie Mellon, sólo un 18% de las amenazas llegan a consumarse como cibercrimen. Otras opciones menos recomendables pasan por una auditoría de seguridad. Este es no es un proceso nada sencillo ni barato, que puede hacernos perder mucho más dinero que el que pide el chantajista. Pero de esta forma nos aseguramos de si realmente existe o no algún agujero de seguridad. Pero acudiendo a profesionales, no a chantajistas.Fuente:http://www.tuexperto.com/2008/08/20/%C2%BFque-hacer-si-te-chantajean-con-tu-web/http://www.wired.com/techbiz/people/magazine/16-08/st_kia

Graves riesgos mensajería instantánea o chat por Internet

El que los padres de familia permitan que sus hijos utilicen sin ninguna restricción los programas de "mensajería instantánea" o chat, puede representar un grave riesgo, ya que muchas personas utilizan este servicio de Internet para abusar de los menores, señaló Lourdes Ibáñez Aldana, directora del Sistema Educativo Líderes Informáticos en Aprendizaje (LIA).Al respecto, indicó que dichos programas se han vuelto más populares entre los usuarios de casa, café Internet y escuela, son más vulnerables que el correo electrónico y pueden permitir que los niños sean contactados por extraños.Precisó que actualmente los estudiantes de todas las edades tienen sus propias cuentas de correo electrónico e Instant Messenger (IM) así como su propia página publicada en My space o Hi5 para comunicarse o "chatear" con amigos y familiares en tiempo real, o para intercambiar fotos, contactos, publicar o bajar música y videos, entre otros.Pero a pesar de su apariencia inocente, citó que estos sistemas pueden representar importantes riesgos para la seguridad de los usuarios infantiles, desde peligros psicológicos, hasta amenazas a la intimidad y seguridad del equipo, siendo el mayor riesgo, la adicción que generan y la falta de información al respecto.Dijo que los menores constituyen un grupo social especialmente vulnerable a ataques de pederastas y maníacos, ya que es fácil engañarles, haciéndose pasar por responsable de una casa de juegos por computadora, que les invita en secreto, sin que sus padres lo sepan, a probar el último vídeo juego, o por un niño de su edad, cuando en realidad son adultos con malas intenciones.Ante esta serie de peligros, destacó que LIA ofrece una propuesta integral para apoyar a los maestros en la enseñanza de la informática básica, mientras que a los niños los apoya para que entiendan la tecnología más allá que sólo utilizarla y a los padres los alerta, ofreciendo alternativas de seguridad y protección en casa.Ibáñez Aldana abundó que por medio de diferentes libros y un portal de Internet, el Sistema proporciona a los docentes las herramientas para que cuenten con los recursos actualizados sobre la manera en cómo dar sus clases en esta temática.Destacó que a través del Club LIA, también se enfoca en la capacitación de los padres de familia ofreciendo una serie de cursos en los que se les enseña el manejo básico de las computadoras y el Internet para que así puedan supervisar el uso que les dan sus hijos y que éstos naveguen con mayor seguridad.Lourdes Ibáñez agregó que actualmente el programa LIA se emplea en diversas primarias particulares de la ciudad y se esperan su introducción en algunos planteles públicos.Es por ello que recomienda evitar transmitir información confidencial a través de IM y servicios P2P, toda vez que los mensajes pueden ser interceptados y leídos; además, utilizar un software de seguridad integrada que revise los archivos adjuntos.Y sugiere que se evite "auto-aceptar" la transferencia de archivos y descargar los últimos parches y definiciones para los programas de mensajería instantánea e intercambio de archivos; para descargar archivos es conveniente contar con un software de seguridad para Internet, concluyó.Fuente: http://www.oem.com.mx/elsoldetijuana/notas/n819689.htm

Debutó el dominio "gob.ar"

Lo implementó la ANSES para su web. Es el primer organismo oficial de la Argentina en modificarlo y busca "atender la demanda idiomática de nuestra lengua oficial"Por decisión del Ministerio de Relaciones Exteriores, Comercio Internacional y Culto, a través de NIC Argentina, administrador de los nombres de dominio para el país, se incorporará gob.ar como subdominio para todos los sitios del gobierno nacional, como ya lo hizo ANSES.La decisión de renombrar a los sitios de gobierno es para facilitar el acceso a los mismos, pudiendo inscribir los nombres de dominio según las reglas del idioma español e incorporando caracteres multilingües como la letra eñe, diéresis y acentos.Así, queda establecido el nombre de dominio gob.ar (por gobierno) para la Argentina y para la comunidad internacional, donde el inglés es la lengua dominante, la terminación gov.ar (por goverment).Fuente: http://www.infobae.com/contenidos/398413-100918-0-Debut%C3%B3-el-dominio-%22gob.ar%22

Banners Flash secuestran el portapapeles

¿"Fanboy" de Windows, Linux o Mac? ¿De Firefox, Explorer o Safari? Da igual; si has instalado el reproductor de Flash de Adobe cualquier anuncio malicioso puede apoderarse de tu portapapeles, anotando en él una dirección poco recomendable que te ofrecerá un falso antivirus definitivo.
Y "apoderarse" es literal. Hasta que no cierras tu navegador o la correspondiente pestaña no puedes hacer otra cosa con el portapapeles que pegar la dirección fraudulenta. Por tanto si acostumbras a copiar y pegar direcciones en la barra de direcciones, y has resultado "tocado", ya sabes dónde vas a ir a parar.
Ni siquiera hace falta visitar sitios sospechosos, porque parece que el asunto está siendo explotado mediante anuncios en sitios como Newsweek, Digg y MSNBC.
Y si eres de los que antes de creer necesitan meter la mano en la llaga, Aviv Raff ha creado para ti una demostración inofensiva.
Parecía que NoScript no protegía de este ataque pero al final se confirmó que sí según la configuración del mismo. Mientras Adobe está investigando el problema.Fuentes:http://www.kriptopolis.org/banners-flash-secuestran-portapapeleshttp://raffon.net/research/flash/cb/test.htmlhttp://www.heise-online.co.uk/security/Flash-banners-manipulate-the-clipboard--/news/111353http://blogs.zdnet.com/security/?p=1733http://ubuntu-virginia.ubuntuforums.org/showthread.php?t=886905http://discussions.apple.com/thread.jspa?messageID=7768848http://msmvps.com/blogs/spywaresucks/archive/2008/08/20/1645130.aspxhttp://blogs.adobe.com/psirt/2008/08/clipboard_attack.htmlhttp://www.kriptopolis.org/noscript-no-sirve-segun-mvp-microsofthttp://hackademix.net/2008/08/20/alert-ie7s-protected-mode-does-not-protect-from-anything/http://www.kriptopolis.org/noscript-no-sirve-segun-mvp-microsoft

Invaden la web del Comité Olímpico de Brasil por falta de medallas

El sitio oficial del Comité Olímpico Brasileño (COB) en la red Internet fue invadido en la madrugada de este martes con mensajes de protesta por la falta de medallas para el país sudamericano en los Juegos Olímpicos de Pekín, informó la prensa local."Brasil es una basura en estas Olimpíadas", decía el principal mensaje colocado en varios lugares de la página de internet del COB por los piratas cibernéticos.La página sufrió dos invasiones, la primera al inicio de la madrugada y la segunda después de las 04H30 (07H30 GMT), cuando el sitio web del COB fue retirado de operaciones.Al mediodía de este martes el sitio del COB seguía sin conexión y apenas un mensaje que indicaba: "Querido usuario, nuestro sitio está temporalmente fuera de servicio, por motivos de mantenimiento. En breve volveremos con las noticias de nuestra delegación en Pekín".Brasil suma seis medallas en la competición, una de oro en natación y cinco de bronce (en natación, judo y vela). Ese resultado está muy por debajo de las 15 conseguidas en Atlanta (1996), aunque los brasileños esperan conseguir algunas más en los próximos días.Fuente: http://ar.news.yahoo.com/s/afp/080819/tecnologia/jo2008_bra

Record de ataques de phising en junio

El pasado mes de junio S21sec registró el mayor número de ataques de phising de la historia, culminando así el primer semestre del año en el que se han detectado más fraudes online que en todo el año 2007. En su tercer Informe de Fraude Online, la compañía de seguridad S21sec ha detectado una rápida evolución de los casos de fraude online entre los que destacan el phishing o la suplantación de páginas web de empresas ya que supuso el 60% del total de casos en 2008.Frente a los 1.842 casos detectados en el primer semestre del año, en todo el 2007 se detectaron 1.644. Sólo en junio de 2008 se detectaron 504 casos, mas del doble de los ocurridos en enero del mismo año, y con una clara tendencia al alza que pronto dejará pequeñas estas cifras.Entre los casos detectados por S21sec el tiempo medio de cierre de sitios fraudulentos y de phising fue de 1,6 días.Además, cada vez se detectan más casos de troyanos especializados en el robo de información que se descargan sigilosamente en el ordenador del usuario. En los primeros meses de 2008 se han incrementado hasta representar el 37% de los casos detectados, frente al 15% que se detectó en 2006. En el caso de troyanos, el tiempo medio de cierre 1,45 días.De los 1.842 casos de phishing detectados durante este año, 419 se alojaban en Estados Unidos, lo que supone el 38% del total de casos detectados. En cuanto a los países de procedencia de ataques, en segundo lugar encontramos a Turquía con 179 casos, China (60), México (52), Alemania (43) y Rumanía (42). España se sitúa en décimo primer lugar con 16 casos en todo el año.Fuente:http://www.idg.es/iworld/noticia.asp?id=70714http://blog.s21sec.com/2008/08/en-el-primer-semestre-de-2008-se.html

IBM invertirá U$S300 M en "cloud computing"

Es una de las tendencias que marcará la computación en los próximos años. El Gigante Azul sale a competir así con Hewlett-Packard y SunGard.IBM invertirá 300 millones de dólares este año para construir 13 centros de datos de "computación en nube" ("cloud computing", en inglés) en los que las empresas puedan almacenar información para recuperarla rápidamente en caso de que sus sistemas sean destruidos en un desastre.Computación en nube es un término que se refiere a servicios a los que se accede por Internet y que parecen existir en una nube en toda la Red.El gigante informático construirá los centros en 10 países, incluyendo China, Japón, Turquía, Polonia, Francia y Estados Unidos.Hasta ahora, IBM ha limitado la tecnología de recuperación de datos por computación en nube a menos de cinco de sus 154 centros de datos existentes, de los que el más antiguo se construyó hace más de 40 años.Esta tecnología cifra los datos en las computadoras, enviándolos automáticamente al centro de computación en nube de IBM por Internet.Si la computadora de un cliente se estropeara o un centro de datos fuera destruido, los datos perdidos podrían restaurarse por Internet en un tiempo de entre dos y seis horas, indicó a la agencia Reuters el vicepresidente de IBM Mike Riegel.La tecnología anterior empleada para este propósito, conocida como "espejos de datos", es mucho más cara que la computación en nube e implica almacenar dos lotes de datos en dos lugares distintos. Pero también permite que los sistemas se restauren en más de una hora, apuntó Riegel.Los rivales de IBM en este campo incluyen a Hewlett-Packard y a SunGard.Más información en Mejoras en la seguridad que puede aportar el Cloud ComputingFuente:http://www.infobaeprofesional.com/notas/70724-IBM-invertira-US300-M-en-cloud-computing.htmlhttp://seguinfo.blogspot.com/2008/08/mejoras-en-la-seguridad-que-puede.htmlhttp://seguinfo.blogspot.com/2008/07/qu-es-cloud-computing.html

¿La seguridad de Windows Vista en entredicho?

"Como impresionar a las chicas traspasando la protección de memoria conel navegador". Con ese jocoso título, los investigadores, AlexanderSotirov y Mark Dowd, mostraron a una expectante audiencia en lasconferencias BlackHat 2008 como traspasar las protecciones de memoriade Windows Vista y ejecutar a través del navegador cualquier tipo decontenido.Pronto, desde algunos medios, se exageró la noticia al extremo dedeclarar que la seguridad de Windows Vista estaba rota y lo absurdamentepeor: Que no tenía solución y era mejor abandonar el sistema. Elsensacionalismo había prendido la hoguera de la confusión.¿La realidad?, que no hay nada nuevo bajo el sol. No se trata de unexploit que destruya a Windows Vista y tome el control del sistema delusuario. Lo que Sotirov y Dowd demostraron es que es posible rebasarlas protecciones de Windows Vista para hacer lo que en cualquier otrosistema es posible: ejecutar código.Windows Vista implementa una serie de protecciones de seguridad paraevitar o prevenir la ejecución de código arbitrario. La tecnología DEP(Data Execution Prevention), que permite marcar zonas de memoria noejecutables, ya presente en Windows XP SP2 y que se apoya en unacaracterística en las CPU conocida como bit NX; incluso en aquellas CPUque no implementen el bit NX, DEP es capaz de ofrecer protección confuncionalidad reducida. Mientras que con ASLR (Adress Space LayoutRandomization) se proporciona aleatoriedad en las direcciones delespacio de memoria de un proceso, para dificultar la búsqueda dedirecciones "interesantes" desde el punto de vista del atacante. Ademásde estás dos, Windows Vista también se beneficia de las anteriores comola protección del heap, SafeSEH, etc.Durante muchos años el anhelo de los diseñadores de sistemas operativos,en materia de seguridad, ha sido neutralizar la ejecución de códigomalicioso. Las características mencionadas anteriormente introducen unamayor protección pero el ingenio humano carece de límites cuando se lereta y en este caso Sotirov y Dowd lo han demostrado. Han desmontado unaa una las protecciones y han vuelto a reproducir vulnerabilidadesconocidas.En palabras de los investigadores, estas protecciones elevan el nivelde seguridad pero no son definitivas. Factores como la carga deresponsabilidad del navegador y su propia arquitectura con capacidadpara interpretar código, incrustar aplicaciones, imágenes y todo tipo deaplicaciones de terceros vía plugins hacen que el atacante invierta sutiempo en encontrar vectores sobre el navegador para llegar al sistema.Presentación (Slides)How to Impress Girls with Browser Memory Protection Bypasses: Setting back browser security by 10 yearshttp://taossa.com/archive/bh08sotirovdowdslides.pdfPaper Bypassing Browser Memory Protections: Setting back browser security by 10 yearshttp://taossa.com/archive/bh08sotirovdowd.pdfDavid Garcíadgarcia@hispasec.comFuente:http://www.hispasec.com/unaaldia/3587/http://seguinfo.blogspot.com/2008/08/la-seguridad-de-vista-intil.htmlhttp://arstechnica.com/news.ars/post/20080811-the-sky-isnt-falling-a-look-at-a-new-vista-security-bypass.html

El PCI Security Standards Council emite un resumen de cambios

El PCI Security Standards Council emite un resumen de los cambios en la nueva versión de la norma para la seguridad de la información del pago electrónico (PCI DSS).El PCI Security Standards Council (Consejo de normas de seguridad de la industria de medios de pago), un organismo global de normas abiertas que suministra gestión de la norma para la seguridad de la información en la industria de pagos con tarjeta (PCI DSS) y requisitos de seguridad para los dispositivos de entrada de PIN (PED), así como para la norma de seguridad de la información para las aplicaciones de pago (PA-DSS), anunció hoy la emisión de un resumen de los cambios que se introducirán en la norma PCI DSS, para actualizar la versión 1.1 a la nueva versión 1.2, que fuera anunciada con anterioridad y que se presentará en octubre. Se encuentra disponible una introducción al resumen de los cambios, así como una sección de Preguntas Frecuentes (FAQ) en el sitio Web del Consejo.Los cambios en la norma PCI DSS incluyen aclaraciones y explicaciones de los requisitos, las cuales ofrecen una mayor flexibilidad para enfrentar los desafíos actuales que presenta el entorno de las transacciones con tarjetas de pago. El documento que resume estos cambios está diseñado especialmente para aclarar los puntos clave de cada requisito. Gracias a estas aclaraciones también se podrán eliminar los requisitos adicionales redundantes, mejorando, a la vez, los requisitos sobre el alcance y el suministro de datos. Cuando se emita la versión 1.2 que incorpora las mejores prácticas existentes, también se actualizarán y consolidarán los documentos para respaldarla. Cabe destacar que la versión 1.2 no agrega ningún requisito importante a los 12 requisitos ya conocidos que han estado en vigencia desde el comienzo del Consejo.“Gracias a la interacción con la comunidad, las Organizaciones Participantes del Consejo han prestado un servicio invalorable para poder mejorar la norma PCI DSS de modo que cumpla con las necesidades actuales del mercado”, declaró Bob Russo, gerente general del PCI Security Standards Council.“Con la versión 1.2, lo que hacemos no es corregir las prácticas de seguridad que han venido funcionando hasta ahora, sino perfeccionarlas. Además, estamos distribuyendo una sinopsis de los cambios que se introducirán para asegurarnos de que ninguna de estas aclaraciones tome por sorpresa a los accionistas”.Mediante el resumen de los cambios efectuados en la revisión de la norma PCI DSS, el Consejo les brinda instrucciones a los accionistas para que sepan a qué atenerse cuando la versión 1.2 esté disponible para el público. El Consejo concluirá la revisión de la norma y entregará la versión 1.2 a sus Organizaciones Participantes a principios de septiembre. Las Organizaciones Participantes del PCI SSC y el Comité Asesor del Consejo han estado respondiendo las consultas sobre las revisiones, y el Consejo está ultimando los detalles de la preparación de la nueva norma, así como la documentación que la respalda. Con este proceso se cumple el ciclo de vida establecido para garantizar que la norma PCI DSS se revise y actualice cada dos años. La versión 1.1 de la norma PCI DSS se presentó en septiembre de 2006.PCI DSS Summary of ChangesThe Payment Card Industry Data Security Standard (DSS) v 1.2 will replace the DSS v. 1.1 on October 1, 2008. This Summary of Changes document provides an overview of the significant differences between the two versions.Si desea recibir más información acerca del PCI Security Standards Council o le gustaría establecerse como Organización Participante, visite el sitio pcisecuritystandards.org, o póngase en contacto con el PCI Security Standards Council escribiendo a participation@pcisecuritystandards.orgFuente:http://seguridad-informacion.blogspot.com/2008/08/pci-security-standards-council-emite-un.htmlhttp://www.euroinvestor.es/News/ShowNewsstory.aspx?StoryID=9935844&BW=20080818006235

viernes, 29 de agosto de 2008

miércoles, 27 de agosto de 2008

martes, 26 de agosto de 2008

viernes, 22 de agosto de 2008

jueves, 21 de agosto de 2008

Archivo del blog

Datos personales