Recordando la famosa frase de Sun Tzu "Si eres ignorante de tu enemigo y de ti mismo, puedes estar seguro de ser derrotado en cada batalla. Si eres ignorante de tu enemigo pero te conoces a ti mismo, tus oportunidades de ganar o perder son las mismas. Conoce a tu enemigo y conócete a ti mismo; en cien batallas, nunca saldrás derrotado." hoy aparece referenciado via FayerWayer una primera imagen de los grafos que construyen las redes botnets que se construyen con equipos zombies.

Tal como explica la Wikipedia, "Botnet" es un término que hace referencia a una colección de software robots, o bots, que se ejecutan de manera autónoma (normalmente es un gusano que corre en un servidor infectado con la capacidad de infectar a otros servidores). El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC. Sus fines normalmente son poco éticos.

El experto en seguridad informática David Voreland mapeó computadores infectados y los que los controlan para poder visualizar la topología de estas redes de computadores zombies infectados que terminan siendo usados para ataques DDoS, spamear y robo de identidad.

El artículo aparece publicado en la revista CSO online y presenta mediante una aplicación flash un grafo navegable al estilo Google Maps que permite recorrer el gráfico por zonas y ir subiendo y bajando en la profundidad de la imagen.

Una vez que la amenaza tiene rostro quizás se abren ahora nuevas estrategias para mitigarlas ya basadas en teorías de grafos. Siempre he pensado que la seguridad informática es un campo al que aplicar teoría de redes sociales tratando de identificar los nodos que puedan hacer caer la botnet. Uno de los libros más conocidos entorno a las teorías de redes es "Linked: How Everything Is Connected to Everything Else" de Albert-László Barabási publicado en 2002 con ISBN 0-452-28439-2.

Tal como aparece en Wikipedia,

"Barabási ha descubierto que los sitios web que forman la red (de la WWW) tienen ciertas propiedades matemáticas. Las condiciones para que se den estas propiedades son tres. La primera es que la red se debe de estar expandiendo, creciendo. La precondición de crecimiento es muy importante, ya que la idea de emergencia la acompaña. La red está en constante evolución y adaptación. Esta condición es considerablemente apreciable en la World Wide Web. La segunda es la condición de enlazamiento preferencial, es decir, los nodos (sitios web) preferirán enlazarse a conectores (sitios web que poseen las mayores conexiones). La tercera condición es lo que se llama idoneidad competitiva, lo que en términos de red significa su tasa de atracción".

GFI, desarrollador internacional de software de seguridad de red, seguridad de contenido y mensajería, desvela los principales errores de seguridad que cometen los departamentos informáticos de las PYMEs. Si bien en el 99% de los casos, las brechas de seguridad y otros problemas informáticos en las empresas son causados por los usuarios finales, muchas veces, y en contra de lo esperado, el último culpable resulta ser el propio departamento o responsable informático de la compañía.

Demasiada carga de trabajo, poco tiempo para acometerla y la presión para ajustarse a estrictos plazos de entrega, así como de mantener contentos a los superiores, lleva a los administradores informáticos a cometer errores de diagnóstico que en algunas ocasiones pueden resultar fatales. Para evitarlos, GFI detalla los diez principales errores o descuidos que cometen los administradores de red:

• Conectar sistemas TI a Internet antes de protegerlos. Este es un error clásico. Los ordenadores no están diseñados para conectarse a Internet nada más salir de la caja de embalaje. Antes de adquirir una línea de teléfono, un cable Ethernet o una tarjeta inalámbrica para un puesto de trabajo, es recomendable instalar al menos una solución de protección contra virus y detección de spyware, así como un programa para prevenir la instalación de software malicioso.

• Conectar a Internet sistemas de prueba con cuentas y contraseñas por defecto. Es el sueño de un hacker, ya que dejar las claves y cuentas por defecto facilita enormemente su acceso a la red informática de la empresa. La solución a este error, ciertamente habitual, es cambiar las contraseñas y borrar o renombrar las cuentas por defecto inmediatamente.

• No actualizar los sistemas operativos de los equipos corporativos. Existen múltiples agujeros de seguridad en los sistemas operativos. Ningún software es perfecto y, una vez que se encuentra una vulnerabilidad, ésta se explota en muy poco tiempo, por lo que es conveniente instalar los parches de seguridad disponibles lo antes posible.

• Falta de una adecuada autentificación de los usuarios que solicitan servicios técnicos por teléfono. Facilitar a los usuarios contraseñas por teléfono o cambiárselas en respuesta a una solicitud telefónica o personal cuando el usuario no se ha identificado debidamente puede ser la mejor manera de reducir las solicitudes de soporte al área TI, pero facilita enormemente la labor de los hackers involucrados en tareas de ingeniería social. Lo mejor es aplicar las normas de autenticación adecuadas, incluso cuando la voz del interlocutor resulta familiar.

• No mantener ni probar las copias de seguridad. La pereza es una de las mayores amenazas de seguridad; sin embargo, la creación de copias de seguridad adecuadas es mucho más fácil que recopilar los datos desde cero. Por ello, es conveniente realizar a menudo copias de seguridad y mantenerlas incluso fuera de las instalaciones de la compañía (no en la caja fuerte del jefe).

• No confirmar que el plan de recuperación ante desastres realmente funciona. Una vez que se tienen las copias de seguridad, hay que verificar si funcionan, si son buenas y si se tiene un plan de recuperación ante desastres. Si las tres respuestas son negativas, nos encontramos ante un problema.

• No implantar o actualizar programas de detección de virus. ¿Qué sentido tiene tener soluciones anti-virus y anti-spyware si no se actualizan? Las soluciones actualizadas aseguran que las últimas modalidades de software malicioso serán detectadas inmediatamente.

• No formar a los usuarios en materia de seguridad. Los usuarios necesitan conocer las amenazas a las que deben enfrentarse. Los empleados no formados en temas de seguridad, son aquellos que suelen ser víctimas de virus, spyware y ataques de phising, diseñados para corromper sistemas o filtrar información personal a terceros sin el consentimiento del usuario. No hay que dar por sentados los conocimientos de los usuarios, ni confiar demasiado en ellos.

• Hacerlo todo uno mismo. Las grandes compañías cuentan con departamentos informáticos específicos, pero los administradores TI de las PYMEs muchas veces se encuentran solos ante el peligro. Estos últimos deben pedir consejo y ayuda en caso de necesidad y si se topan con cualquier problema, ya que la ayuda externa, aunque a veces costosa, asegura un trabajo bien hecho a la primera.

• Fallos a la hora de reconocer las amenazas internas. Demasiada confianza puede aniquilar la seguridad informática de la empresa. Los empleados descontentos pueden causar grandes problemas si no se les monitoriza adecuadamente. Los responsables TI deberían monitorizar la actividad de la red, especialmente el uso de dispositivos portátiles como iPods, memorias USB, etc. Seguramente ninguna empresa querrá que sus datos se vendan a la competencia por un empleado airado.

Un reciente informe del FBI (Federal Bureau Investigation), establece un conjunto de medidas básicas para la protegernos frente ataques para obtener datos confidenciales de nuestra navegación, así como de la propia información que podamos tener en nuestros equipos portátiles, tales como datos confidenciales de nuestra compañía, nuestra identificación de usuario, los números de nuestras tarjetas de crédito.

El mismo informe establece el “Top Ten” reconexiones WI-FI por países en el que posiciona a España como el octavo país mundial en conexiones WI-FI, lo que evidentemente aumenta las posibilidades de conectividad así como el riesgo que sufrimos frente a un ataque para la obtención de información sensible.

El “Agente Especial Donna Peterson” establece en dicho informe un conjunto de recomendaciones entre las que destacan:

1. Asegurarse el Mantenimiento actualizado del equipo:
1. Actualización del sistema operativo.
2. Configuración del firewall personal.
3. Actualización del Antivirus
4. Instalación y actualización de un antispyware.
2. No realizar transacciones u operaciones bancarias ni emplear herramientas de correo electrónico y mensajería instantánea a través de conexiones WI-FI que no sean de confianza.
3. Cambiar la configuración por defecto del equipo, y seleccionar manualmente las redes WI-FI a las que se quiera conectar.
   
4. Desconectar las conexiones de red inalámbrica siempre que no se están empleando.

Los fraudes a través de la banca en línea y los robos que atacan las compras por la red generaron pérdidas mundiales por más de 105.000 millones de dólares.

Con frecuencia se publican informaciones sobre la peligrosidad de los servicios de banca online o de las compras en Internet. De hecho, se calcula que en 2006, los ciberdelincuentes ganaron u$s105.000 millones.

Sin embargo, pensar que cualquier operación que hagamos a través de Internet está siendo observada por ojos malintencionados no responde en absoluto a la realidad.

Desde luego que la posibilidad existe, pero de momento no parece implicar un riesgo superior al que corremos cuando usamos nuestra tarjeta de crédito en cualquier comercio tradicional.

Bien podría ocurrir que cuando dejemos nuestra tarjeta, alguien anote los datos para realizar operaciones no autorizadas por nosotros o que, simplemente, desaparezca con ella.

En realidad, los delincuentes de la red no suelen atacar directamente a las empresas, sino que dirigen sus esfuerzos contra el eslabón más débil de la cadena: el propio usuario.

Así, para un cibercriminal es más fácil obtener datos confidenciales desde una PC particular que intentando "colarse" en un servidor para robar una base de datos o interceptar comunicaciones que en muchos casos se encuentran cifradas.

A continuación, veremos las medidas de seguridad que deben cumplir tanto el negocio online como el usuario, para conseguir la máxima seguridad en las operaciones online.

Seguir leyendo

Los ataques informáticos han aparecido en diversas ocasiones en los post que he redactado, pudiendo llegar a ver como de una actuación en el llamado cyberespacio puede llegar a provocar determinadas consecuencias en el mundo real, principalmente en el bolsillo de las personas (jurídicas y físicas) a las que puede afectar. Basta con pensar en la dependencia actual que muchas empresas tienen respecto a su infraestructura tecnológica, y como en caso de un problema serio y real puede llegar a paralizarse su actividad (con las consecuencias que este hecho conlleva).

No obstante lo anterior, y pese a que no puede negarse la importancia que una pérdida monetaria puede tener en nuestras vidas, creo que resulta sencillo coincidir en que la integridad física tiene preferencia por encima de cantidades monetarias. Y qué sucede si un ataque informático acaba con consecuencias físicas para determinados usuarios? Supongo que algunos estaréis intentando imaginar en qué casos puede llegar a producirse este supuesto. Nada más lejos de provocar que el ordenador os electrocute mediante un acceso no autorizado. En nuestro caso, las consecuencias provienen de una modificación de úna serie de determinadas páginas web.

La posibilidad de modificar el diseño de una página web puede tener multitud de consecuencias que van más allá de que nos guste o no, principalmente teniendo en cuenta el público destinatario. Así, y en las últimas semanas hemos podido observar cómo se han producido modificaciones en las webs de dos asociaciones dirigidas a facilitar la comprensión de las consecuencias que comporta sufrir de epilepsia. Así, a las páginas web de la Epilepsy Foundation of America (EFA) y de la National Society of Epilepsy (NSE) se les añadieron multitud de imágenes y scripts que podían llegar a desencadenar un ataque epiléptico en los usuarios que visitaban dichas páginas.

Pese a que la alerta por la filtración en Internet de bases de datos con antecedentes de seis millones de chilenos se dio en la madrugada del sábado, sólo hoy fue deshabilitado el link desde donde originalmente se podían descargar los tres archivos que contenían dicha información.

Al tratar de ingresar a las tres direcciones del popular sitio de almacenamiento en línea "Rapidshare", éste entrega un mensaje en inglés que indica que hubo un problema y que "el archivo está bloqueado porque se sospecha que puede tratarse de contenido ilegal".

Más adelante asegura que "siete días después de que el archivo es bloqueado, será automáticamente borrado si es que antes no ha sido removido por Rapidshare".

La filtración de datos, que se hizo pública la madrugada del sábado, se trata de registros de nombres de personas, números de RUT, direcciones, teléfonos comerciales y particulares, correos electrónicos e información académica y social obtenida desde la Dirección General de Movilización Nacional (DGMN), el Servicio Electoral (Servel), el Ministerio de Educación (Mineduc), el sitio PSU 2005 y registros telefónicos.

Ayer el vocero de Gobierno, Francisco Vidal, declaró que esto es un tema "grave y delicado", por lo que espera que los sistemas informáticos de la administración pública sean resguardados en el corto plazo. Asimismo, reconoció su ignorancia respecto de los temas informáticos, y dijo que al Gobierno "lo único que le queda por hacer es una denuncia al Ministerio Público, porque eso es un delito".

Actualmente la Brigada del Cibercrimen de la Policía de Investigaciones está tratando de determinar el origen y la calidad de la información obtenida por el o los "hackers".

Por ello ayer el Cibercrimen se contactó con las tres principales reparticiones públicas afectadas por la presunta filtración: la Dirección General de Movilización Nacional, el Servicio Electoral y el Ministerio de Educación, a quienes se les solicitó precisar la calidad de la información filtrada y si ésta habría sido efectivamente sustraída desde los servidores informáticos de las mismas.

Hasta ahora sólo ha trascendido que la policía habría determinado que parte de las bases de datos serían antiguas; es decir, no actualizadas y públicas.

Fuente: http://www.emol.com/noticias/tecnologia/detalle/detallenoticias.asp?idnoticia=303893

Hispasec publica un documento técnico que analiza la vulnerabilidad en
tratamiento de imágenes en múltiples navegadores. El problema se basa en
un manejo incorrecto de ficheros en formato BMP con paleta de colores
parcial. El código vulnerable permite que, al manejar un fichero BMP
especialmente manipulado, se filtre información al heap, y estos datos
pueden ser enviados a un servidor remoto con ayuda de la etiqueta canvas
de HTML y JavaScript. Esta vulnerabilidad ha sido descubierta por
Hispasec.

El pasado mes de febrero publicamos algunos detalles sobre este fallo,
prometiendo una prueba de concepto y un análisis más profundo de la
vulnerabilidad. Hemos analizado en un documento técnico (white paper)
las causas de la vulnerabilidad.

El pasado día 8 de febrero se publicaba la nueva actualización del
popular navegador Firefox. La versión 2.0.0.12 corregía (entre otras)
una vulnerabilidad descubierta por Hispasec. En ese momento no se dieron
detalles sobre el fallo, por petición expresa de algunos desarrolladores
de otros navegadores afectados.

El problema afectaba a FireFox 2.0.0.11, Opera 9.50 y otros navegadores.
El fallo permite revelar información sensible del usuario por parte de
un atacante que crease una página web especialmente manipulada. También,
bajo ciertas circunstancias, podría permitir provocar una denegación de
servicio. En realidad, el problema afecta a otros navegadores también,
pero el impacto es distinto. Al no soportar completamente el uso de
etiquetas canvas, el envío de datos no puede ser llevado a cabo. Sin
embargo, el manejo de ficheros BMP sigue siendo erróneo en ellos.
Internet Explorer no es vulnerable en ningún sentido. Safari por
ejemplo, tiene problemas similares además con el formato GIF. El
problema en concreto se da en el campo biClrUsed de las cabeceras de un
fichero BMP. Los navegadores reservan la cantidad justa de memoria en
ese campo, o no lo ponen todo a cero a la hora de usarlo.

Los enlaces directos a la descarga de los documentos (en castellano e inglés) son:

http://www.hispasec.com/laboratorio/vulnerabilidad_firefox.pdf
http://www.hispasec.com/laboratorio/vulnerabilidad_firefox_en.pdf

Se puede visualizar un vídeo en el que se muestra el efecto del exploit en:
http://blog.hispasec.com/lab/files/ff_2_0_0_11.avi

Más Información:
Firefox 2.0.0.11 and Opera 9.50 beta Remote Memory Information Leak
http://blog.hispasec.com/lab/236

HTML 5 canvas
http://www.whatwg.org/specs/web-apps/current-work/#the-canvas

Apple Safari BMP and GIF Files remote DoS and Information Disclosure Vulnerability
http://www.securityfocus.com/bid/27947/info

Fuente: http://www.hispasec.com/unaaldia/3487/
Sergio de los Santos
ssantos@hispasec.com

EZ Group S.A. y Segu-Info tienen el agrado de invitarlo a participar del curso BootCamp de CISSP a desarrollarse en la semana del 26 al 30 de Mayo de 2008.

Este BootCamp tiene como objetivo, ayudar a preparar de manera intensiva, a los profesionales que aspiren a la Certificación Internacional de la ISC2 con mayor reconocimiento en el área de Seguridad de la Información.

Qué es la certificación CISSP: Es una Certificación Internacional para profesionales de Seguridad de la Información (Certified Information System Security Professional).

Cuál es nuestra Metodología: Es un curso Teórico-Práctico, con la particularidad, que las prácticas consisten en exámenes de ejemplo para cada uno de los dominios de la certificación, y un examen final integrador, en simulación a un examen real de 250 preguntas y un workshop final de respuestas.

A Quién está dirigido: Profesionales, Administradores y Responsables de Seguridad de la Información, Profesionales de Sistemas, Consultores de Tecnología y Auditores Internos y Externos de IT.

Quién es el Capacitador: Lic. Cristian Borghello, CISSP (Certified Information Systems Security Professional).

Duración: 40 hs.

Horario: De 9:00 Hs a 18:00 Hs.
Lugar: Centro de Capacitación EZ Group S.A., Buenos Aires.

Documentación: Incluída en la capacitación

Ante cualquier consulta, enviar un correo con "Bootcamp CISSP" en el asunto.

Es la primera actividad de la serie prevista por CXO Community. Contó con la participación de más de 120 profesionales especializados en tecnología y en seguridad empresarial.

Buenos Aires, 6 de mayo de 2008 - Organizada por CxO Community, Dixit Comunicación de Negocios, y con el apoyo del Instituto Universitario de la Policía Federal Argentina, se realizó la I Jornada de Gestión de la Identidad en la Era Digital.

Como primer encuentro de la serie temática especializada en Seguridad de la Información, la Jornada generó amplia expectativa. Se dio tratamiento a los aspectos de mayor actualidad relacionados con la gestión de la identidad a nivel corporativo: los riesgos y prevenciones ante el robo de identidad, el manejo de la información personal en redes sociales y fuentes abiertas, las amenazas vinculadas a la ingeniería social en las empresas, así como la gestión de permisos, uso de las contraseñas y el análisis forense de casos.

El encuentro fue auspiciado por las empresas Lightech, Deloitte e Identidad Robada.

En la sede del Instituto Universitario de la Policía Federal Argentina (IUPFA), Rosario 532 Capital Federal, se realizó la Primera Jornada de Gestión de la Identidad en la Era Digital. Más de 120 asistentes congregados en el Salón de las Américas, en esta jornada de día completo, pudieron apreciar de las ponencias de destacados referentes del mercado de la Seguridad Informática.

La presentaciones completas se pueden obtener desde aquí

La apertura de la jornada fue realizada por Daniel Monastersky, Abogado y CEO del sitio Identidad Robada (www.identidadrobada.com) abordando el interrogante sobre ¿Si existe una única identidad digital?

El libro “Googleame” de la filósofa Bárbara Bassin sirvió de punto de partida para que Daniel abriera una serie de problemáticas en la actual era digital en relación a como cada uno de nosotros exponemos y nos mostramos en Internet y en general en el contexto informático. Las redes sociales y los blogs fueron claros ejemplos de como nuestra identidad es distribuida por nosotros mismos sin conciencia de la apertura informativa que ello implica. Ahora bien, ¿qué hacemos para encontrar información de una persona en particular? ¡Googleamos! Daniel demostró como sitios como www.pipl.com y www.spock.com nos brindan información personal que se encuentre en el mundo digital.

El marco regulatorio de Argentina se encuentra en un proceso de madurez. La Ley de Habeas Data (Ley 25326, Decreto 1558/01 y Disposición 11/2006) sumada a la reforma del Senado (próxima a aprobarse en Diputados) sobre delitos informáticos demuestran que estamos en esta transición de tomar en serio una problemática que existe desde el año 2000. Los casos de robo de identidad no esperan a que las leyes se efectivicen. Sobre esta base se presentó el caso de la Srta. Maricela Ballatore, quién fue víctima del robo del documento de identidad y como complemento a un conjunto de información personal, se realizaron transacciones, compras y préstamos a su nombre. Actualmente se encuentra bajo la asesoría de Daniel Monastersky, a fin de recomponer su situación previa al momento de la usurpación y robo de la identidad.

Sobre la línea que ofrecen los servicios de búsqueda de Google y las facilidades del mundo Web 2.0, Ezequiel Sallis, Director de Investigación y Desarrollo de Root-Secure (www.root-secure.com) desarrolló el segundo segmento titulado “The Low Hanging Fruit” (La fruta más fácil de alcanzar).

“Lo primero que podemos ver es que las Redes Sociales, los Foros, los Juegos, las Herramientas On Line, etc… conforman los repositorios de información relacionada con la administración de identidad, más grandes e informales del mundo virtual, y por ende, mayormente una de las más descuidadas.”, comenzaba disertando Ezequiel. Asimismo complementaba: “Las consecuencias de la ejecución efectiva de las técnicas antes mencionadas, ponen en evidencia el riesgo al que expone inocentemente un usuario a su organización o a si mismo, tan solo por no interactuar de manera adecuada en el mundo WEB 2.0”. Y para que no quedaran dudas que el eslabón más débil en seguridad sigue siendo la persona, Ezequiel mostró un abanico de ejemplos que desbordaron el marco de lo imaginable en términos de información confidencial expuesta en los calendarios de Google, a saber: cambios de contraseñas, códigos de conferencias, códigos confidenciales, cambios de personal, entre otros insólitos ejemplos de información personal a disposición de cualquier persona que quisiera utilizar un buscador en Internet. Como cierre, Ezequiel Sallis nos brindó un inteligente consejo: “La efectividad de los controles técnicos, depende en gran medida de la colaboración del Usuario. Revise su plan de seguridad y vea que prioridad ocupa la educación de sus usuarios...”

Santiago Cavanna, Consultor Independiente, Vicepresidente de ISSA Argentina (www.santiagocavanna.com.ar) desarrolló una exposición en vistas a las tendencias y estadísticas sobre lo que sucede en el mundo al respecto de los fraudes de identidad, lo llamó “Los grandes números”.

El crecimiento demográfico, es acompañado por uno aún mayor en lo que al acceso a Internet se refiere. La generación .NET (nacidos entre el ’77 y ’96) es el tercio de la población que desde sus comienzos se comunica a través de Internet, donde bajo sus principios, se sienten libres de hacer lo que ellos quieren y no limitados como sucede en su contexto “no digital”. Esta libertad sin conciencia deja abierta la puerta a la exposición de información personal. Los grandes números determinan brechas de seguridad con fuertes tendencias al crecimiento, según lo expuesto por Santiago basado en información de ITRC (Identity Theft Resource Center), que indicó el doble de brechas de seguridad en el primer trimestre de 2008 con respecto al mismo período del año anterior. ¿Cuál es el negocio que está detrás del robo de la identidad? Solo el negocio atrás de las redes sociales es de USD 764 millones en la actualidad, con un futuro a crecer a USD 4,600 millones en el 2013. Se suman a la lista de este negocio, tarjetas de créditos, inmigrantes ilegales, infidelidades de pareja, fraudes en el comercio electrónico, etc. Muchas cosas no tienen precio, como dice el slogan, pero nuestros datos si. Como cierre de su exposición, Santiago basándose en un reporte de Symantec, nos mostró el ranking de precios de nuestra información confidencial: una cuenta bancaria entre USD 10 a 1000, tarjetas de créditos USD 0.40 a 20, perfiles completos de identidad USD 1 a 15, …nuestros datos tienen precio y en el mercado negro esto es un importante negocio delictivo.

Andrés Gil, socio de Deloitte, especialista en Servicios de Seguridad y Privacidad (www.deloitte.com.ar) abordó la temática: Gestión de la identidad en las corporaciones.

El especialista desarrolló el concepto de la identidad en las redes corporativas, el esquema de gestión de las mismas y las buenas prácticas del mercado de la seguridad en esta materia. La problemática actual aborda la administración de identidades y el control de accesos enfatizando que su buena gestión solo es posible con una política adecuada y un IAM (Identity & Access Management) asociado. El alcance de un IAM engloba las identidades en los procesos de negocios, la gestión de identidades en la cadena de valor del mismo, la gestión del ciclo de vida de las identidades, procesos vinculantes a los empleados, roles y permisos, entre los más importantes a destacar. En la gran red de relaciones que existen entre los activos de información y tecnológicos y los empleados de la empresa, el IAM tiene un objetivo simple y concreto: asegurar que los usuarios autorizados tengan acceso a la información en base a las necesidades definidas por los procesos del negocio. Andrés Gil nos expuso los beneficios: “El ahorro operativo de las áreas y el retorno de la inversión no se pueden entender como las únicas variables de análisis a ser consideradas, la implementación de Identity & Access Management contribuye a facilitar la implementación de los nuevos negocios, aumentar las capacidades de las aplicaciones, y mejorar la administración del riesgo y cumplimiento regulatorio

Sergio Bollini, Director de Tecnología de Lightech (www.lightech.com.ar), ahondó en una de las prácticas más utilizadas a la hora de robar información: Ingeniería Social.

Sin importar la forma en la que se encuentre la información, ésta puede ser robada por mecanismos de engaño entre personas. Sergio nos explicaba: “Ingeniería Social es la práctica de obtener información confidencial a través del engaño a usuarios legítimos, aprovechando la tendencia natural de la gente a confiar en los demás y tratar de ayudarlos. Esto permite que el atacante acceda a información confidencial sin la necesidad de explotar eventuales debilidades de seguridad en los sistemas informáticos”, y reforzaba la idea, “los usuarios son el eslabón más débil de la seguridad”. La ingeniería social, fuera de todo alcance tecnológico, tiene bases psicológicas en su perfección. Sergio determinó que el proceso puede dividirse en cuatro etapas: la recolección de información, el desarrollo de relaciones, la explotación y la ejecución propiamente dicha. La minimización de los riesgos, frente a estas técnicas, conlleva una combinación de capacitación, políticas de seguridad, herramientas tecnológicas y como recalcaba Sergio, “Ponga a prueba sus defensas”, focalizando en controles periódicos a la población de la organización frente a lo implementado y aprendido.

A esa altura de la jornada, el nivel informativo de los riesgos actuales en la sociedad digital conllevaba a tomar conciencia de lo vulnerables que nos encontrábamos al dejar nuestros datos en la red de redes. Nuestro marco legal todavía no se encuentra maduro al respecto de evidencias digitales. Igualmente existen herramientas y técnicas que nos permiten realizar análisis forenses en materia de elementos informáticos en caso de robos o fraudes.

Es por ello, que Gustavo Daniel Presman, especialista certificado en Informática Forense (www.presman.com.ar) desarrolló en su bloque de exposición el “análisis forense de un caso de robo de identidad”.

Sobre el desarrollo de un caso, Gustavo planteó las etapas del análisis forense en términos prácticos que sumó un aditivo a las expectativas de conocimiento del auditorio. El desarrollo involucró el planteo de las evidencias disponibles (visibles e invisibles), el material a buscar en este tipo de casos, la virtualización aplicada a la evidencia, el análisis de soportes de información, el análisis de la imagen forense disponible, el análisis de firmas y índices (hashes) y el cierre del informe de investigación. Apoyado en herramientas como Encase Forensic, el conjunto de actividades iban guardando pistas de los resultados de investigación, contribuyendo a un detalle minucioso y comparativo, que posibilitase a los responsables legales complementar sus investigaciones con las conclusiones obtenidas en el análisis forense informático. La ciencia forense permite aplicar los conocimientos técnicos, en virtud de brindar respuesta a los interrogantes que el sistema legal posee.

Como complemento a lo desarrollado por Andrés Gil con respecto a IAM, Mariano Morano, Latin America ISM Lead, Security and Identity Management, Novell Inc. (www.novell.com/security) abordó el tema de la próxima generación en administración de seguridad – SIEM (Security Information & Event Management).

El intercambio de información digital entre los activos de información y cada una de las identidades digitales en la red, determina el flujo de eventos que realizan las personas con los recursos que dispone la organización. El flujo de paquetes que se transmiten por la red y el grado de confidencialidad determina el nivel de riesgo a la que se encuentra expuesta la empresa. Mariano nos explicaba tres pasos básicos en relación a la identidad digital y la seguridad, “Si Usted puede identificar un recurso o usuario, entonces Usted puede administrarlo. Tan solo recién cuando realizó lo anterior, entonces podrá aplicar la seguridad correspondiente para protegerlo”. El desafío en la utilización de SIEM es realizar un mapeo entre los eventos y las actividades del negocio, determinando la identidad de quienes (empleados) utilizan que cosa (activo de información y tecnológico) dentro de un contexto de riesgos conocidos y controlados de la organización.

Otro aspecto relacionado con la identificación de las personas se relaciona con las tarjetas de acceso a las empresas y las credenciales de identificación personales. Martín Deferrari, Gerente Comercial de Identimax (www.identimax.com.ar) presentó el concepto de tarjetas inteligentes de identificación a nivel corporativo y el caso de documentos de identidad de España.

En relación a este tema de identidad electrónica, Martín explicaba “La identidad nunca es electrónica, siempre es física. Lo que es electrónico es el procedimiento para establecer y verificar dicha identidad”, continuaba el punto diciendo “La identidad digital, es una herramienta esencial para el desarrollo de la Sociedad de la Información y las relaciones jurídicas, económicas, a través de la red y se combina con la seguridad física del documento”. El documento electrónico acredita en forma inequívoca la identidad del titular considerando los tres niveles de seguridad aplicados a la tarjeta soporte: 1) Perceptibles a simple vista, 2) Perceptibles mediante equipos mecánicos y electrónicos y 3) Perceptibles en laboratorio.

En el cierre de la jornada, Cristian Borghello, Director del Sitio Segu-Info y Certificado Profesional de la Seguridad de la Información (www.segu-info.com.ar) focalizó en el eslabón mas débil, los usuarios finales, brindando consejos prácticos en la administración de contraseñas.

Cristian comenzaba: “Una contraseña es como un cepillo de dientes. Úsalo cada día, cámbialo regularmente y NO lo compartas con tus amigos”. El punto de partida de la información confidencial digital, requiere el uso de una identificación de usuario y una contraseña de autenticación. La importancia del uso de las contraseñas estará ligada a la información accesible mediante la misma. Cristian explicaba que la longitud de la contraseña, la combinación de caracteres y el uso de reglas inteligentes para recordarlas, es la clave al respecto de este punto de seguridad. Mediante técnicas de “fuerza bruta” para la obtención o averiguación de contraseñas de usuarios, Cristian indicaba que “una contraseña de 6 caracteres utilizando solamente letras minúsculas, puede ser obtenida en 51 minutos, la misma cantidad de caracteres pero combinando mayúsculas, minúsculas, dígitos y símbolos, necesitaríamos 3 meses aproximadamente”. Continúó bajo el concepto de extender la cantidad de caracteres, “Ahora bien, si vamos al mismo caso anterior pero utilizamos 10 caracteres los tiempos de quiebre de contraseña se extenderían a 54 años y 21 millones de años respectivamente”. Es por eso que las contraseñas son un aspecto importante de la seguridad, son la primera línea de defensa de los usuarios, las cuales deben ser gestionadas y administradas globalmente. Es por ello que el especialista de seguridad expuso detalladamente las buenas prácticas sobre contraseñas en base a tres pilares: su longitud (cantidad de caracteres), el ancho (universo de caracteres posibles) y su profundidad (esfuerzo necesario para descifrarla). Cristian finalizó su exposición recomendándonos, “Realicen el cambio de los usuarios y contraseñas que vienen por defectos en los dispositivos informáticos y tecnológicos… En caso contrario nada de lo anterior tiene sentido”.

La presentaciones completas se pueden obtener desde aquí

NOTA: Para poder realizar la descarga de las presentaciones (archivos PDF) debe estar registrado en el sitio www.cxo-community.com.ar, de esta manera podrá acceder a la sección “Documentos” donde se encuentran cada uno de los contenidos indicados.

CXO Community, www.cxo-community.com.ar, info(at)cxo-community.com.

# "¿Internet? No estamos interesados en eso"
-- Bill Gates

# "La mejor forma de obtener información correcta de los foros de Usenet es enviar algo incorrecto y esperar las correcciones"
-- Matthew Austern

# "No temo a los ordenadores; lo que temo es quedarme sin ellos"
-- Isaac Asimov

# "Una vez un ordenador me venció jugando al ajedrez, pero no me opuso resistencia cuando pasamos al kick boxing"
-- Emo Philips

# "La informática tiene que ver con los ordenadores lo mismo que la astronomía con los telescopios"
-- Edsger W. Dijkstra

# "El ordenador nació para resolver problemas que antes no existían"
-- Bill Gates

# "El software es como la entropía: difícil de atrapar, no pesa, y cumple la Segunda Ley de la Termodinámica, es decir, tiende a incrementarse"
-- Norman Augustine

# "El software es un gas: se expande hasta llenar su contenedor"
-- Nathan Myhrvold

# "Todas las piezas deben unirse sin ser forzadas. Debe recordar que los componentes que está reensamblando fueron desmontados por usted, por lo que si no puede unirlos debe existir una razón. Pero sobre todo, no use un martillo"
-- Manual de mantenimiento de IBM, año 1925

# "Los estándares son siempre obsoletos. Eso es lo que los hace estándares"
-- Alan Bennett

# "La física es el sistema operativo del Universo"
-- Steven R Garman

# "El hardware es lo que hace a una máquina rápida; el software es lo que hace que una máquina rápida se vuelva lenta"
-- Craig Bruce

# "Todo lo que puede ser inventado ha sido ya inventado"
-- Charles H. Duell, Comisario de oficina de Patentes en EEUU, en 1899

# "Pienso que hay mercado en el mundo como para unos cinco ordenadores"
-- Thomas J. Watson, Presidente de la Junta Directiva de IBM, sobre 1948

# "Podría parecer que hemos llegado a los límites alcanzables por la tecnología informática, aunque uno debe ser prudente con estas afirmaciones, pues tienden a sonar bastante tontas en cinco años"
-- John Von Neumann, sobre 1949

# "Pero, ¿para qué puede valer eso?"
-- Ingeniero en la división de sistemas informáticos avanzados de IBM, hablando sobre los microchips, en 1968

# "No hay ninguna razón para que un individuo tenga un ordenador en su casa"
-- Ken Olson, Presidente de Digital Equipment Corporation, en 1977

# "640K deberían ser suficientes para todo el mundo"
-- Bill Gates, 1981

# "Windows NT podrá direccionar 2GB de RAM, que es más de lo que cualquier aplicación va a necesitar jamás"
-- Microsoft, durante el desarrollo de Windows NT, en 1992

# "Nunca seremos realmente una sociedad sin papeles hasta que la gente de la Palm Pilot creen 'WipeMe 1.0'"
-- Andy Pierson
(Nota: Wipe es la traducción de toallita de papel)

# "Si las cosas siguen así, al hombre se le atrofiarán todas sus extremidades excepto los dedos de pulsar los botones"

# "Pienso que los virus informáticos muestran la naturaleza humana: la única forma de vida que hemos creado hasta el momento es puramente destructiva"
-- Stephen Hawking

# "El único sistema seguro es aquél que está apagado en el interior de un bloque de hormigón protegido en una habitación sellada rodeada por guardias armados"
-- Gene Spafford

# "Saber romper medidas de seguridad no hacen que seas hacker, al igual que saber hacer un puente en un coche no te convierte en un ingeniero de automoción"
-- Eric Raymond

# "Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores"
-- Kevin Mitnick

# "Si piensas que la tecnología puede solucionar tus problemas de seguridad, está claro que ni entiendes los problemas ni entiendes la tecnología"
-- Bruce Schneier

# "Los bulos (hoaxes) que circulan por internet usan la debilidad del ser humano para asegurar su replicación y distribución. En otras palabras, utilizan los resquicios del Sistema Operativo Humano"
-- Stewart Kirkpatrick

# "Las contraseñas son como la ropa interor. No puedes dejar que nadie la vea, debes cambiarla regularmente y no debes compartirla con extraños"
-- Chris Pirillo

Fuente: http://www.variablenotfound.com/2008/02/101-citas-clebres-del-mundo-de-la.html
http://www.variablenotfound.com/2008/04/otras-101-citas-clebres-del-mundo-de-la.html

En el día de hoy he encontrado gran cantidad de comentarios en nuestro blog que intentan hacer que el usuario ingres a sitios .us.

El formato de los mismos es un dominio con números y letras (aparentente hexadecimal aleatorio) de la forma:
http:// 9d46dad0206d.us/
http:// 7112bfcec6c2.us/

Actualmente estos dominios no alojan ningún contenido y desconozco cual es el fin de los mismos pero no me parecería raro que se esté armando algún tipo de campañá con ellos.

Cristian