Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

miércoles, 26 de diciembre de 2007

HERRAMIENTAS PARA ANÁLISIS ESTEGANOGRÁFICO

Confieso que cuando selecciono herramientas esteganográficas, suelo hacerlo para plataformas Linux y otros derivados de UNIX. No conozco mucho cómo está el mercado en herramientas Windows, ya que cuando me pongo a mirar las opciones que hay, casi todas son de pago, y empleando código privado. Las gratuítas brillan por su ausencia, y en general son incompletas o demasiado elementales.

Herramientas para el análisis esteganográfico hay muchas. Algunos ejemplos podrían ser, sin distinguir entre herramientas comerciales y gratuítas, o específicas por sistema: Stegdetect, Stego Suite, Stegkit, Digital Invisible Ink Toolkit, StegSpy, SteGUI, Stepic, wbStego4, NL Stego, StegFS … la lista es larga. Este listado podemos complementarlo con StegSecret, un programa multiplataforma desarrollado por Alfonso Muñoz, que yo particularmente no conocía.

StegSecret es una herramienta libre, y como está escrita en Java, es portable y por tanto, perfectamente ejecutable en entornos Windows y en otros derivados de UNIX. Permite las operaciones básicas de análisis esteganográfico, y tal y como comentan en el sitio web, trabajan ya en la implementación de técnicas avanzadas.

El análisis esteganográfico es siempre un reto, ya que cuando se emplean herramientas estándar para la ocultación suele ser fácil revelar la información ocultada en el medio digital. Sin embargo, a poco que nos salgamos de estos métodos, la revelación estegranográfica se complica e incluso imposibilita, según el caso. Las técnicas de ocultación y revelación esteganográficas son cruciales en la investigación del crimen organizado, ya que suelen ser empleadas con frecuencia para transmitir mensajes de una manera poco detectable.

Un saludo, y enhorabuena a Alfonso por su buen trabajo.

Ver más

CÓMO HACER PARA QUE WINDOWS SEA UN POCO MÁS SEGURO

A medida que generaciones de computadoras y usuarios se acumulan, cada vez más hogares tienen más de una PC que comparten la conexión de banda ancha con Internet, por medio de una red local. Está muy lindo compartir, pero la seguridad se complica. Definitivamente, ya no alcanza con el antivirus y el firewall. Aquí van algunas pistas. Seguirán más en futuras notas.

  • Olvídese de FAT32 y use el sistema de archivos NTFS. A menos que tenga un Windows 98 en la misma computadora y que necesite desesperadamente leer los discos de Windows XP desde Windows 98, entonces no hay motivo para seguir usando FAT32. ¿Por qué utilizar NTFS? Porque ofrece permisos de archivo y encriptación transparente de carpetas y archivos.
  • Ya que compartimos la conexión de banda ancha, también lo hacemos con archivos, carpetas e impresoras. Muy cómodo. Y muy inseguro, si no modificamos algunas cosas. Primero, desactive el Uso compartido simple de archivos. Esto se hace desde Panel de control>Opciones de carpeta>Ver ; allí hay que quitarle tilde a Utilizar uso compartido de archivos . No importa que Microsoft diga que es lo recomendable. Sí, claro, es más simple, pero no más seguro. Una vez desactivada esta función, una nueva pestaña aparece en las Propiedades de carpetas y ficheros, llamada Compartir. Allí se debe hacer sintonía fina, como sigue.
  • Una vez que decida compartir una carpeta, en el cuadro de diálogo que acabo de mencionar, apriete el botón Permisos . Aparece otro cuadro con dos cajas. La de arriba lista los usuarios a los que se han asignado permisos. La mala noticia es que por default Windows añade a Todos (y eso significa todo el mundo, dentro y fuera de la máquina). La caja de abajo dice qué permisos tienen Todos ; Leer está con tilde. Traducido, cualquiera que quiera entrar y leer lo que hay en esa carpeta podrá hacerlo. Ups. Para arreglar eso, apriete el botón Agregar . Luego escriba usuarios autenticados y dele OK . Finalmente, elimine Todos o quítele todos los permisos. A partir de ahora, para acceder a esa carpeta desde fuera de esa máquina habrá que poner nombre de usuarios y contraseña. ¿Cuáles? Obviamente, los de la cuenta que esté compartiendo dicha carpeta.
  • Lo que nos lleva a las contraseñas. Primero, todas las cuentas deben tener una, y debe ser robusta. Si no quiere lidiar con claves complicadas de 8 o más caracteres que combinen mayúsculas, minúsculas, números y símbolos, use frases. “¡Prefiero no usar ninguna contraseña en mis computadoras!” es una buena contraseña; al menos, mucho mejor que los nombres de su equipo de fútbol, del perro o su fecha de cumpleaños. Y fácil de recordar. Intente, eso sí, que no sea fácil de adivinar; evite frases de cabecera y otras que puedan identificarse con usted.
  • Windows viene con una cuenta predeterminada llamada Administrador . Así que el pirata ya tiene la mitad de la batalla ganada para tomar control de su PC: conoce el nombre de un usuario, y uno muy importante. Hay que cambiar el nombre de esa cuenta por algo que no se pueda adivinar. Evite también usar la palabra root. Para editar el nombre de la cuenta administrador, vaya a Panel de control>Herramientas administrativas>Directivas de seguridad local>Opciones de seguridad>Cuentas: cambiar el nombre de la cuenta administrador . Un experto podrá averiguar por otros medios cuál es la cuenta de administrador, se llame como se llame, pero en general los expertos no se ocupan de nuestras máquinas, que suelen caer víctimas de novatos que quieren sentirse hackers.
  • Tampoco está demás crear otra cuenta llamada Administrador , pero sin permisos y con una contraseña robusta. Si tiene ganas de saber cuántos pichones de hacker hay por ahí, puede auditarla ( Directivas de seguridad local>Directiva de auditoría ).
  • Hay servicios de Windows que es altísimamente improbable que usted necesite y que sin embargo le vienen muy bien al pirata. A menos que sepa exactamente lo que está haciendo, desactive Telnet y Remote Registry . Si no tiene una red, desactive el servicio Servidor ( Server ). Esto se hace desde Panel de control>Herramientas administrativas>Servicios . Dele doble clic y en Modo de inicio elija Deshabilitado . Si está ejecutándose, apriete el botón Detener .
  • Hay varias formas de desactivar el Escritorio Remoto, cuyo nombre no necesita mayor explicación. Excepto que necesite que alguien use su equipo a distancia (por razones de mantenimiento o soporte técnico), hay que quitarlo del medio. Vamos a la manera fácil; los que estén interesados en otras técnicas, pueden consultar los links que agrego al final. Haga clic con el botón secundario del mouse en Mi PC, abra Propiedades y elija Remoto . Allí quite el tilde a las dos casillas y apriete Aceptar .

Los usuarios avanzados que quieran profundizar en estos asuntos pueden consultar el sitio oficial de Microsoft (aunque no recomiendo usar el firewall de XP, sino uno de terceros): www.microsoft.com/technet/archive/security/chklist/xpcl.mspx?mfr=true

Ver más

SAURON: VIRTUALIZACION DE INTRUSIONES

Hace bastante tiempo que Kriptópolis comenzó a recorrer la senda de la virtualización, convencido como estoy de que está destinada a darnos mucho juego en todos los sentidos, y particularmente en todo lo relativo a la seguridad.

La gente de SG6 Labs ha ido un paso más allá y hoy nos presenta Sauron, que constituye el primero de sus entornos virtuales para practicar intrusiones en los sistemas.

Sauron representa un sistema GNU/Linux corriendo algunos servicios web vulnerables. El entorno es virtual, pero el reto es tan real como la vida misma: pasar del servidor web al sistema local de ficheros y luego tratar de lograr privilegios de root.

La presentación no puede ser mejor, ya que es posible descargar dos máquinas virtuales con diferente nivel de dificultad. Una de ellas (la versión "normal") cuenta con numerosas ayudas estratégicamente situadas. La otra ("avanzada") deja todo el trabajo al posible intruso...

Puesto que las máquinas están desarrolladas para ejecutarse en QEMU (puedes echar un vistazo a nuestros dos tutoriales para linux), el reto está disponible tanto para usuarios de Linux como de Windows, pudiendo descargar cada uno las intrucciones de instalación adecuadas para su sistema.

Ver más

SCAM: UN FRAUDE QUE INUNDA EL CORREO ELECTRÓNICO

Detrás de las algunas ofertas para trabajar desde casa que llegan a la cuenta de correo se esconden fraudes para propiciar el blanqueo de dinero de dudosa procedencia

Mensajes electrónicos con propuestas para conseguir dinero fácil trabajando desde casa, notificaciones de haber ganado una lotería extranjera o la compra de un vehículo barato en otro país inundan los buzones de correo electrónico de los usuarios de forma constante. Todos estos mensajes que se engloban bajo la denominación de 'scam' suelen ser publicidad engañosa, en el mejor de los casos, o una estafa descarada para blanquear dinero ilícito, en el peor. Conviene, por tanto, que el usuario esté atento a este tipo de mensajes porque si 'pica', puede verse en serios problemas.

"Trabaje cómodamente desde el ordenador de su casa"... Miles de mensajes con este titular inundan los buzones de correo electrónicos de los internautas de medio mundo. En ellos se prometen ofertas de trabajo fáciles a cambio de sustanciosas comisiones.

Pero no hay que dejarse engañar; detrás de estos mensajes se esconde un tipo de fraude denominado 'scam' que mezcla mensajes de correo basura con falsas alertas, normalmente de supuestos negocios basados en estructuras piramidales. El objetivo es hacer caer en algún fraude a los destinatarios.
Los 'muleros digitales'

Los 'muleros digitales' son personas que aceptan una propuesta de trabajo desde casa consistente en recibir y enviar dinero a través de su cuenta bancaria personal

El timo más común que se realiza bajo esta técnica en España son los denominados 'muleros digitales', personas que aceptan una propuesta de trabajo desde casa basada principalmente en recibir una cantidad de dinero en su cuenta corriente, y al cabo de unos días reenviarlo a otra persona mediante transferencia, o a alguna empresa de envío de dinero directo a cambio de recibir un sustancioso porcentaje de la cantidad movida.

Este dinero procede normalmente de otros fraudes cometidos en Internet, como el robo de dinero de cuentas bancarias. De esta manera los estafadores utilizan a una tercera persona para blanquear el dinero y hacerlo desaparecer.

Otro de los fraudes más comunes es el del 'heredero nigeriano', aunque existen muchas variantes. Este engaño consiste en que un supuesto miembro de un gobierno africano o institución solicita al destinatario del mensaje un número de cuenta corriente para transferir en ella una cantidad importante de dinero que quiere sacar del país a cambio de un porcentaje importante de la misma.

Tras una serie inicial de contactos, que pueden llegar a ser incluso telefónicos, se le solicita al destinatario que adelante una cantidad del dinero para hacer frente a imprevistos. Poco a poco se le van solicitando más cantidades que el estafado, animado por la codicia, va transfiriendo.

Con la misma mecánica funciona otro timo centrado en enviar un mensaje a los usuarios indicando que han ganado una lotería en un país extranjero, aunque ni siquiera esa lotería exista ni haya participado el usuario en ella.

Recomendaciones ante el 'scam'

  • Desconfiar de todas las ofertas de trabajo recibidas en el correo electrónico provenientes de personas que se desconocen y empresas extranjeras de difícil localización. Muchos de estos estafadores llegan a construir sitios webs falsos con estas empresas para darle una apariencia más real al fraude.

  • Desconfiar de 'la suerte' al haber recibido un correo electrónico donde se le indica al usuario que ha ganado un premio o un trabajo basado en mover dinero de dudosa procedencia.

  • Desconfiar de ofertas de trabajo procedentes de direcciones de correo electrónico creadas en servicios de correo gratuito como Hotmail, Gmail o Yahoo!, aunque procedan de personas o empresas aparentemente conocidas.

  • Bajo ningún concepto hay que enviar datos personales, números de cuentas corrientes y contraseñas a terceras personas.

  • Acceder a las entidades bancarias u organismos oficiales tecleando directamente la dirección en la barra del navegador y no pulsando sobre ningún enlace remitido por correo electrónico o terceras webs.

Si sospecha haber sido víctima de alguno de estos mensajes, es muy recomendable denunciarlo inmediatamente en la comisaría más próxima o bien comunicarse telemáticamente con la unidad de delitos informáticos de la Policía o Guardia Civil.

Glosario de términos
  • SCAM: Captación de usuarios a través de foros, chats y mensajes de correo basura para utilizarlos en el blanqueo de dinero procedente de estafas bancarias. También se incluyen propuestas para hacer de intermediario en la recepción de premios o herencias de dudosa procedencia.

  • HOAX: Mensajes de correo electrónico enviados masivamente que contienen mensajes en cadena con contenido como alertas de virus, intenciones solidarias o premios donde se solicita que sea reenviado al mayor número posible de contactos. Es una táctica para recopilar el máximo de información sobre las direcciones de correo de los usuarios con el fin de estafarles después.

  • PHISHING: Una estafa se basa en obtener los datos, contraseñas y datos de las cuentas bancarias de los usuarios suplantando a una entidad bancaria o organismo oficial para que el usuario reenvie los datos solicitados. Normalmente este tipo de fraudes suele realizarse mediante el envío de mensajes electrónicos.

Ver más

EL JEFE CONTROLA MI "E-MAIL"
Según una reciente sentencia del Tribunal Supremo, las empresas pueden vigilar cómo usan sus trabajadores el correo, aunque lo tienen más difícil para leer los mensajes.

¿Puede estar seguro un trabajador de que ningún ojo oculto de la empresa lee sus correos electrónicos? El mail se ha convertido en los últimos tiempos en una herramienta indispensable en la mayoría de los empleos, pero la incertidumbre sobre su uso y control ha sido grande hasta hace poco.

El panorama, por fortuna, se ha despejado bastante gracias a una reciente sentencia del Tribunal Supremo. "Las empresas pueden fiscalizar el correo profesional de sus empleados para comprobar que cumplen con sus tareas, ver el número de mensajes que envían, con qué peso... Estos controles los suele admitir la justicia sin mayores exigencias", explica Javier Aparicio Salom, socio del departamento de Propiedad Intelectual y Protección de Datos de Cuatrecasas.

Lo que tienen más complicado es acceder al contenido de los correos. "Sólo se pueden leer los e-mail cuando existen circunstancias graves, cuando no pueden utilizarse otros medios de investigación. La invasión de la intimidad debe ser siempre la mínima posible", apunta Aparicio Salom. "Cualquier sistema de control tiene que ser idóneo, proporcional y necesario", remata Javier Ribas, socio de Landwell- PricewaterhouseCoopers.

Las empresas no tienen carta blanca a la hora de vigilar. Los delitos que más persiguen (deslealtades graves, desvelar secretos a la competencia...) son "abstractos, lo que deja un gran margen a la interpretación, pero esto no significa que puedan entender lo que les convenga en cada momento, sino que deben valorar si las circunstancias son tan graves como para justificar una limitación de las libertades de los empleados", señala Javier Aparicio, de Cuatrecasas. Las compañías se mueven a menudo, pues, en terrenos pantanosos y poco claros, con el riesgo de extralimitarse en su control, con lo que eso puede suponer legalmente para ellas.

Cada vez más despidos por un mal uso

Proteger la propiedad intelectual e industrial es la preocupación principal de las compañías a la hora de ejercer unos controles que cada vez son mayores, tal como recalcan Aparicio y Ribas. Conocer a qué dedican exactamente los trabajadores su jornada laboral también importa, aunque en un segundo plano.

No existen datos oficiales, pero ambos abogados expertos en esta materia, tanto Javier Ribas como Javier Aparicio, aseguran que el número de despidos ha crecido por este motivo. La horquilla de medidas sancionadoras cuando un empleado es cazado in fraganti oscila entre no hacer nada y perseguirlo penalmente.

Los trabajadores, eso sí, tienen derecho a conocer si su correo electrónico de empresa puede ser controlado. Cómo se informa de ello depende de cada empresa. En Cuatrecasas, por ejemplo, aconsejan la firma de un documento que explique las normas de uso de las diferentes herramientas de trabajo. Ribas, por su parte, de Landwell- PricewaterhouseCoopers, cree que "es recomendable que se establezcan cláusulas específicas en los contratos de trabajo o, incluso, en los convenios".

Los correos personales, inviolables

Todos estos controles afectan a las cuentas de correo profesionales, pero nunca a las personales. Éstas se encuentran protegidas de forma total por el Código Penal, al igual que una carta tradicional o el teléfono. Se trata de un medio de comunicación absolutamente privado y personal. "Cualquier intento del empresario de acceder a su contenido sin un mandato judicial será constitutivo de delito", subraya Aparicio Salom.

La sentencia dictada por el Tribunal Supremo el pasado septiembre ha resultado clave para sentar los criterios que a partir de ahora seguirán los jueces en este asunto. "La jurisprudencia no era unívoca y ello generaba inseguridad jurídica e incertidumbre en el momento de fijar una política corporativa para el uso de los sistemas", comenta Javier Ribas. "La sentencia del Tribunal Supremo ha eliminado esta incertidumbre, pero ahora las empresas deben realizar un esfuerzo para adaptarse a los nuevos criterios, ya que en la mayoría de las compañías no hay normas", concluye el socio de Landwell- PricewaterhouseCoopers.

Navegar fuera de hora

Controlar cómo los trabajadores usan Internet resulta más sencillo para las empresas. Basta con una monitorización permanente de la navegación para saber qué personas lo usan más y de qué manera. Los tribunales suelen entender que "esta invasión de la intimidad parece adecuada", según Javier Aparicio, de Cuatrecasas. El objetivo, en este caso, es cazar a los empleados menos aplicados. ¿Y qué ocurre cuando alguien se queda fuera de su horario viendo Internet? Si la compañía permite continuar en el puesto de trabajo sin pagar horas extra, no existe ningún problema. ¿Y si lo que se queda viendo es contenido pornográfico? "Aunque puede ser socialmente rechazable, no constituye en general una actividad ilícita", afirma Aparicio. "Cuestión distinta es si el contenido es constitutivo de un delito, como la pornografía infantil", matiza el socio de Cuatrecasas.Más allá de que el contenido sea o no delito, Javier Ribas, de Landwell- PricewaterhouseCoopers, apunta que "la empresa también puede estar interesada en no ser consumidora de determinadas páginas para no comprometer su reputación".

Fuente: http://www.elpais.com/articulo/internet/jefe/controla/e-mail/elpeputec/20071221elpepunet_1/Tes

Ver más

CÓMO HACER PREGUNTAS DE MANERA INTELIGENTE
Navegnado microsiervos encontre esta entrada.
Me parece apropiada y conveniente compartirla con ustedes.

Saludos
santiago.

Nota completa: Sugiero su lectura :
Cómo hacer preguntas de manera inteligente:

Antes de hacer una pregunta técnica por correo, en un grupo de noticias o en el foro de un sitio web, haz lo siguiente:

1. Intenta encontrar una respuesta leyendo el manual.
2. Intenta encontrar una respuesta leyendo las FAQs
3. Intenta encontrar una respuesta buscando en la web.
4. Intenta encontrar la respuesta preguntándole a un amigo con más experiencia.

Cuando hagas tu pregunta, destaca el hecho de que ya has hecho todo esto; esto ayudará a establecer que no eres una esponja vaga y que sólo estás desperdiciando el tiempo de los demás. Aún mejor, destaca lo que hayas aprendido a partir de estas cosas. Nos gusta responder a la gente que ha demostrado ser capaz de aprender de las respuestas.

Prepara tu pregunta. Piensa en ella. Las preguntas precipitadas reciben respuestas precipitadas, o ni siquiera eso. Cuanto más hagas para demostrar que has puesto pensamiento y esfuerzo en resolver tu problema antes de pedir ayuda, más cerca estarás de recibirla realmente.

Ten cuidado de no hacer la pregunta equivocada. Si haces una que esté basada en asunciones erróneas, Hacker Al Azar seguramente te responderá con algo literal e inútil mientras"


Visto en: http://issaarba.blogspot.com

Ver más

CONTROL PARENTAL Y SOFTWARE ANTI-PHISHING FREEWARE

Uno de los tipos de aplicaciones de seguridad más interesantes en el entorno doméstico son las de control parental.
Internet permite el acceso a todo tipo de información, pero dado que la edad del navegante es cada vez menor, los padres deben preocuparse en el uso y los hábitos de navegación de sus hijos. Para ello, las aplicaciones de control parental limitan y restringen el acceso a ciertos contenidos.

Leo en DiarioTI que el software K9 Web Protect de Blue Coat ha ampliado su funcionalidad proporcionando ahora también protección antiphishing. Esta aplicación que he podido probar e instalar es una de las más completas, sencillas y eficientes que me he podido encontrar. Además, para uso doméstico es freeware, aunque es necesario obtener una licencia.
Básicamente la protección la basa en varios aspectos:
- Limitación del horario de conexión.
- Limitación de las categorías de contenidos a consultar.
- Permite definir las cadenas de dominios que se quieren bloquear, como por ejemplo, ".xxx", ."sex" o las palabras que no se autorizan en la URL.
Ahora K9 Web Protection incorpora ahora la misma tecnología de protección anti-phishing en tiempo real de Blue Coat, que también tiene su solución empresarial WebFilter, lo que le convierte en el primer producto de consumo de filtrado de Internet que puede alertar a los usuarios sobre sitios de phishing nuevos o anteriormente no descubiertos utilizando funciones de evaluación en tiempo real.

Tal como explica Diario TI, "La tecnología de protección anti-phishing en tiempo real de Blue Coat analiza la página web a la que se intenta acceder mientras el usuario pulsa el enlace. Si la página no se encuentra en la base de datos, se envía una consulta al centro de datos de Blue Coat Labs, donde se analiza la página web automáticamente en tiempo real. El servicio clasifica entonces la página. Si la incluye entre los sites de phishing, K9 Web Protection bloqueará la página a la que se intenta acceder o avisará al usuario. Todo el proceso se realiza entre 250 y 750 milisegundos."

Para descargar el preoducto, podéis dirigiros a las direcciones:

Ver más

VERBOS EN SEGURIDAD DE LA INFORMACIÓN
En las ultimas dos semanas he dedicado algunas horas a conformar una lista de verbos
En el blog de ISSA ArBA http://issaarba.blogspot.com/ he publicado un documento llamado :

Verbos usados en Seguridad de la Información v06.

En este documento he listado 1590 Verbos en infinitivo que habitualmente son utilizado por profesionales de seguridad de la información ya sea durante la expresion escrita, oral, formal o informal (aunque no llevado al extremo, claro).

Por que y Para que?

La necesidad surgio a partir de la idea del mapa entidad-relacion de seguirdad de la informacion y este a su vez a partir de pensar segun el modelo de unificacion de ITIL.
En fin, luego de armar la primera version de entidades (que esta en revision) habia que determinar la relacion entre estas y por supuesto, cuando hablamos de relacion, estamos hablando de verbos.
Las primeras relaciones, surgieron naturalmente del modelo ITIL, pero como solo fue una idea generadora, no tenia sentido limitarse a ellas.
La pregunta era, cuales y como no olvidar ninguna realacion importante.
Entonces comence a pensar que hacemos y que sucede en seguridad de la informacion. (lista interminable, que siempre me recuerda a los superheroes de Ezequiel Sallis y Claudio Caracciolo)
Pense en los 10 dominios del examen CISSP, la ISO 27001 ( y sus anexos), la BCRA 4609 y las listas de discusion en las que estoy subscripto.
Tambien pense que esto puede ayudar luego a la definicion de roles y en consecuencia de perfiles tambien.... Asi como de las habilidades y conocimientos para poder realizar estas acciones.
Asi, todo tiene que ver con todo pero no por ello imposible de organizar con alguna jerarquia (mindmaps)
Por otro lado, este proyecto, como los otros, que esperan ser cooperativos, no tienen mayor apuro, y de hecho los estoy pensando para todo el 2008.

Como?

El proceso de elección no fue sencillo.
Primero comencé haciendo una lista a mano alzada, pero suponía que no era capaz de evocar todos los verbos (en su momento me imaginaba unos 300 verbos especifico)
Como esto no funcionaba, sali a buscar una herramienta de extracción de texto, que me permitiera tomar un documento y extraer de alli todas las palabras y la frecuencia de las mismas.
El principal problema aqui fue el idioma, la mayoria de las herramientas no responde muy bien en idiomas diferentes al ingles, pero encontre una herramienta que funciono muy, pero muy aceptablemente : http://www.cro-code.com/textanz.jsp , asi que con esta herramienta comence a analizar algunos textos.

Avance en tres lineas diferentes.

1) Del website de segu-info : http://segu-info.com.ar/terceros/ elegi algunos documentos y consolide su informacion en un documento unico sobre el cual se hizo el analisis:

acorletti_analisis_iso_27001.txt
acorletti_iso-27001-los-controles2.txt
acorletti_iso-27001-los-controles.txt
guia-elaboracion-politicas.txt
Heuristica.txt
iso-27001_e_iso-27004.txt
jmieres_seguridad- de-la-informacion.txt
mmartinez_proteccion- datos-iso-17799.txt
oschmitz_activo-informacion2.txt
oschmitz_iso17799.txt
psicologia-seguridad.txt
+
A4609
Norma ISO 17799 Castellano VERSION PUBLICADA A DEBATIR

El resultado del analisis arrojo: 10400 palabras únicas para un total de 129.000 palabras.
A raiz de que la cantidad de palabras no era un numero razonable, para poder trabajar con esta cantidad de palabras, aplique un filtro para quedarme únicamente con las palabras terminadas en: "r", "aba", "ara","ia" y "on" que totalizaron 1200 registros unicos. (volumen asi manejable)

http://es.wikipedia.org/wiki/Modo_gramatical

Un ejemplo de esto puede ser que frente a las palabras
Auditoría - auditar
Consultor - consultar
Seguridad - asegurar
Vulnerabilidad - vulnerar
etc.

2) documentos en ingles (esta linea esta en progreso) pero se obtuvo un documento de análisis con: 15.000 palabras únicas) los textos usados fueron:
ISO 27001
Cobit v4
Incident_and_Problem_Management_Green_Book
CISSP Prep Guide from Krutz and Russell

La lista de palabras esta disponible, pero no publicada asi que los interesados pueden solicitarla enviandome un mail directamente a mi. reconozco que me esta superando la dificultad (por desconocimiento del idioma)

3) análisis de mails enviados a la lista forosi@googlegroups.com, sobre 1900 mails que totalizaron 20.900 "palabras unicas" para uno total de 700.000 "palabras". (en este caso las comillas corresponden a que no todas son palabras, propiamente dichas, ya que al ser extractos de mails, en muchos casos hay malformaciones y además en muchos casos también, se incluye la pregunta original en la respuesta)
A raiz de que la cantidad de palabras no era un numero razonable, para poder trabajar con esta cantidad de palabras, aplique un filtro para quedarme únicamente con las palabras terminadas en: "r", "aba", "ara","ia" y "on" que totalizaron 2550 registros únicos. (volumen asi manejable)

La lista resultante considero que no corresponde hacerla publica, ya que surge de un grupo de discusion en el que a veces se ha volcado información sensible.

Datos de color:

del analisis de frecuencia de FOROSI, rescato lo siguiente (curiosidades)

No 6003
Si 4791
favor 2036
pero 1621
porque 2292
Hola 1365
Cristian 1346
Gracias 1229
yo 687
ni 580
Miércoles 472
Jueves 422
Martes 412
Viernes 380
Lunes 206

Fuente: http://issaarba.blogspot.com

Ver más

jueves, 20 de diciembre de 2007

VULNERABILITY ASSESSMENT (TESTEO DE PRODUCTOS)
La revista "SC Magazine" publico este año una evaluación de distintos productos especializados en el análisis de vulnerabilidades, para los que les gusta ver las virtudes y comentarios les recomendamos darle una lectura al articulo "Vulnerability assessment 2007" (Ingles)

This month we looked at vulnerability assessment and penetration test tools. The leading difference between last year’s tests and this year’s is that this year we saw more hybrid products that offered both vulnerability scanning and penetration testing. We also reviewed a passive scanner for the first time and saw a lot more attention to meeting regulatory requirements, especially in the payment card industry

Productos testeados:

* Core Impact 6.0
* eEye REM Security Manager
* ISS Proventia Network
* NetClarity Branch Auditor 5.0
* Rapid7 NeXpose
* Saint Scanner + Exploit
* StillSecure VAM
* Tenable Nessus 3
* Tenable Network Security Passive Vulnerability Scanner

Leer el Articulo completo

Ver más

martes, 18 de diciembre de 2007

COMPUTO FORENSE Y DELITOS INFORMÁTICOS
Todo dispositivo equipado con memoria es analizable. Todo e-mail es rastreable
Por María del Socorro Arvizu

Tuvieron que apagarse las cámaras, y se pidió a los periodistas respetar la identidad del conferencista que en unos pocos minutos iniciaría una charla titulada "Delitos cibernéticos y contra menores".

Se trataba de un representante de la Policía Cibernética, una de las divisiones de la Policía Federal -que antes pertenecía a la PFP-.

Por telenovelesco que parezca, el staff de esta unidad de investigación emplea su tiempo en monitorear Internet con el fin de rastrear todo tipo de delitos cibernéticos, y para ello cuentan con subáreas con gente especializada.
Los delitos perseguidos son muchos más de los que quisiéramos reconocer que existen: Explotación, turismo sexual, menores desaparecidos, redes de pederastas...
"Un 40% de los delitos cibernéticos se están cometiendo a través de cafés Internet", explica.

Lo que sucede es que estos establecimientos no tienen ningún tipo de regulación, e Internet es un medio en el que se consigue estar casi en el anonimato: Una conexión casera es rastreable, pero para cuando llegas al café Internet la persona ya se fue y nadie sabe nada.
"Es terrible lo que se puede encontrar en la red", dice el representante de la institución.

Los menores de edad se sienten seguros detrás de su monitor, sin embargo, los depredadores conocen perfectamente las técnicas que mejor funcionan para embaucarlos, e incluso están actualizados en los temas de moda entre los adolescentes (videojuegos, juguetes electrónicos, cantantes).

El aparentemente inofensivo chat es uno de los medios que más se están utilizando para explotar menores, puesto que personas sin escrúpulos aprovechan la curiosidad de éstos, e intentan ganarse su confianza por todos los medios.
"Se reporta que a los escasos 10 minutos de hacer contacto a través de Internet, un pedófilo es capaz de obtener imágenes de un menor", dice sin más, mientras el auditorio permanece azorado.
"A los quince días de haberse conocido a través del chat, es capaz de tener contacto físico", continúa. Los detalles son escalofriantes.
Lagunas legales

Andrés Velázquez, director de investigaciones digitales y fundador de Mattica -el primer laboratorio de cómputo forense en América Latina- deja muy claro que el único sistema totalmente seguro es aquél que está apagado, desconectado, guardado en una caja fuerte de titanio... Ya se sabe el chiste, que a final de cuentas no es tan gracioso.

"En China vulnerar un servidor es pena de muerte. En Finlandia al que meten a la cárcel es al administrador de sistemas por negligencia, y en México si matan a alguien con un ratón, es un delito informático", dice con sorna.
Existe un desconocimiento general sobre qué es y qué no es un delito informático, y el hecho de que los países no logren ponerse de acuerdo no facilita el trabajo.
"Los delitos informáticos no son nada más hackear", explica.

Imagine, por ejemplo, que se contrata un sicario a través de un chat, o vía correo electrónico. O considere los crackers...
"Hoy en día es más rentable ser cracker que ser narcotraficante", dice, sin parpadear.

Sin embargo, del delito informático más común -o al menos el más perseguido a nivel privado- no es ni el phishing ni el típico fraude nigeriano. Aunque las tendencias apuntan al lavado de dinero, el crimen organizado (planeación de homicidios, secuestros, pornografía infantil) y los fraudes vía portales financieros, el porcentaje más elevado (35%) de los delitos informáticos se concentra en el robo de secretos industriales, el 82% de los cuales son llevados a cabo por empleados.
Las amenazas y difamación representan un 30% de los delitos, mientras que los fraudes y el abuso de confianza -el contador que deposita la mitad en el SAT y la otra mitad en una cuenta personal- integran un 20%.
Cuerpo del delito

El gran riesgo ya no son los virus, sino los gusanos capaces de robar información.
"Existen troyanos que afectan directamente al ruteador de Infinitum redireccionando a páginas clonadas para obtener contraseñas", dice el fundador de Mattica.
"Vemos Internet como si fuera un medio confiable, cuando realmente no lo es", indica.
¿Ha visto el programa CSI (Crime Scene Investigation)? Siempre hay tres elementos: La escena del crimen, un cuerpo y un arma. Lo primero que se hace es aislar la escena para evitar que se contamine.

Eso es exactamente lo que hace un experto en cómputo forense, sólo que en este caso el cuerpo del delito puede ser un archivo o un disco duro, y el arma puros ceros y unos (lenguaje binario), por lo que es en extremo importante generar un buen procedimiento del manejo de la evidencia, y es que la evidencia digital o electrónica es muy frágil.

Sin embargo, todo dispositivo equipado con memoria es analizable. Todo correo electrónico es rastreable. Los archivos son recuperables aunque hayan sido borrados.

"Soy el único ingeniero que van a conocer que siempre trae el Código Penal en la mano", aclara.

Fuente: http://www.elimparcial.com/buscar/traernotanew.asp?NumNota=671421

Ver más

SÍMBOLOS UTILIZADOS POR PEDÓFILOS (SEGÚN EL FBI)
El FBI ha publicado un documento con los símbolos utilizados por los pedófilos para identificarse.
El documento puede ser descargado desde aquí. Estos son algunos de los símbolos utilizados.


El documento también rescata que algunos activistas pedófilos abogan por la aceptación social de las relaciones sexuales entre adultos y menores. Estos organizaciones también buscan descriminalizar este tipo de relaciones para legalizar la pornografía de menores, basados en su creencia que los chicos tienen la habilidad de consentir los actos sexuales.

Ver más

viernes, 14 de diciembre de 2007

UTILIZAN LA CRISIS DE BIRMANIA COMO RECLAMO PARA EXTENDER TROYANOS

Sophos, líder mundial en seguridad informática y sistemas de control, ha advertido a los usuarios que, aprovechando la preocupación internacional sobre las manifestaciones en Birmania, circula por la red un mensaje de correo electrónico malicioso con palabras del Dalai Lama de apoyo a monjes y otros manifestantes.

Sin embargo, se trata de un ataque malicioso diseñado para infectar ordenadores personales. En dicho mensaje, puede leerse lo siguiente:

Queridos amigos y compañeros, por favor, lean el mensaje adjunto de Su Santidad el Dalai Lama en apoyo a las recientes manifestaciones en defensa de la democracia que están teniendo lugar en Birmania. Esto es para su información y puede ser distribuido como consideren oportuno.

Mis mejores deseos
Tezin Takla
Secretario Adjunto
Oficina de Su Santidad el Dalai Lama

Cuando los usuarios lo abren, el documento adjunto (con el nombre: hhdl burma_001.doc) intenta aprovechar una vulnerabilidad de Word que a su vez intenta descargar un troyano en el ordenador de la víctima. Sophos detecta proactivamente el documento malicioso como Exp/1Table-B y el troyano que trata de descargarse como Agent-CGU.

El mensaje incluye enlaces a la web oficial del Dalai Lama


El mensaje incluye enlaces a la web oficial del Dalai Lama.

Los expertos de Sophos han visto que, para dar más credibilidad al mensaje y animar a un número mayor de víctimas a abrir el documento adjunto, se incluye el enlace oficial a la página web del Dalai Lama.

"Se dice que el régimen birmano ha tratado de evitar que estas noticias salgan del país cerrando cibercafés y controlando el acceso a la red de los ordenadores de los usuarios. La gente de todo el mundo quiere saber sobre la situación del país y apoyar el movimiento por la democracia, por lo que este tipo de correos, con un mensaje del Dalai Lama, son muy tentadores", afirma Graham Clucley, Asesor tecnológico senior de Sophos. "El uso de temas de actualidad para engañar a los usuarios imprudentes a abrir y descargar códigos maliciosos es uno de los trucos más viejos, pero obviamente todavía siguen funcionando o los hackers no seguirían utilizando este método. Todos deberíamos usar nuestro sentido común y cuestionar la legitimidad de este tipo de correos recibidos de la nada".

Sophos recomienda a las compañías protegerse con una solución integrada que pueda controlar el acceso a la red y defenderse de ataques de spam, hackers, programas espía y virus.

Fuente: http://esp.sophos.com/pressoffice/news/articles/2007/09/burma.html?_log_from=rss

Ver más

HABEAS DATA: 10 PREGUNTAS SOBRE LA INTIMIDAD
Está casada hace 9 años con Roberto GONZALEZ de 39 años, contador de BIKINI S.A. y tiene 3 hijos, Soledad de 7, Francisco de 6 y Felipe de 4 años que van al Colegio Santa Inés de Martínez. Son socios de Medicina Privada S.A y pagan $ 850,00 por el grupo familiar. Tiene cuenta corriente, con un descubierto autorizado de $ 21.000,00 en el Banco Suizo, y opera con VISA y MASTERCARD con un giro total de $ 6.500,00 mensuales.
En su declaración de Bienes Personales incluyó un Departamento en Pinamar, un terreno en Pilar y u$s 84.000 en moneda extranjera. Le gustan los canarios y los peces y practica aeróbic en el gimnasio de Libertador al 1542; los jueves, por la noche, va al supermercado de la esquina de su casa y compra verduras, carne, alimento para peces ,artículos de tocador y tintura roja para el pelo.
Esta semana tramitó un préstamo en el Banco para construir una casa en Pilar y se encuentra morosa con la patente de su Vectra. Está adherida a SateliteTV y le gusta ver películas condicionadas los miércoles por la noche.......

Todos estos son datos personales de diversos eventos que se registran en el mercado, de la vida diaria de la supuesta CAROLINA.

CMS: Considerando su conocimiento sobre el tratamiento de los datos personales le quiero formular algunas preguntas ligadas a la vida diaria de las personas y a la invasión de su vida privada:

· De dónde obtienen tantos datos las Empresas que se dedican a la venta de los mismos?
· Quién regula la actividad de estas Empresas y quién protege al ciudadano común de tanta invasión a su privacidad?
· Porqué se comercializan datos económicos, sobre todo los sueldos y de donde se obtienen?
· Quiénes son los compradores de los datos que Uds. colectan? Es legal la venta directa a cualquier persona?
· Cómo puede hacer una persona común para conocer los datos que se poseen de ella y en caso de no ser correctos como se hace para modificarlos?
· Con respecto a los datos negativos, cuantos años se guardan en la Base de Datos de su Empresa?
· Porqué cuando una persona cancela una deuda, no se la elimina de la Base de Datos?
· Que se puede hacer para evitar las llamadas telefónicas a nuestros domicilios a cualquier hora, y el correo spam que recibimos en nuestras PCs?
· Porqué se conoce tan poco la Ley de Habeas Data?
· Cuál es la situación de la Argentina con respecto a la Protección de los Datos Personales comparado con los países de la Región?

RM: intentaré responder lo mas claro y conciso posible a su batería de preguntas, y en particular, trataré de clarificarle varios aspectos que hacen a mi actividad que es el tratamiento de datos en una Central de Riesgo Crediticio cuya trayectoria es de 49 años de servicio.

Para responder su primer pregunta es importante aclarar que como en muchas actividades económicas de nuestro País hay Empresas que tienen políticas de "Buenas Prácticas" en la recolección y tratamiento de los datos y otras Empresas cuyo objetivo es colectar y vender todo lo que resulte rentable, con prescindencia de la legalidad de su accionar. Aclarado este punto, la obtención de datos - en nuestro caso -, proviene de fuentes públicas tales como: Bancos y Entidades Financieras, Juzgados Comerciales Nacionales y Provinciales, Tarjetas de Crédito, Registros de Propiedad Inmueble y Automotor, Boletines Oficiales de la Capital Federal y de las Provincias, Administración Federal de Ingresos Públicos, Aduana, Banco Central de la República Argentina, Superintendencia de Riesgo del Trabajo, ANSES, Inspección General de Justicia y finalmente los datos aportados por nuestros Clientes.

Con respecto a su segunda pregunta, no existe un Ente Regulador, pero si existen Asociaciones o Cámaras como la AMDIA (Asociación de Marketing Directo e Interactivo de Argetina) o la CEIC (Cámara de Empresas de Informes Comerciales) donde se nuclean Empresas que tratan profesionalmente los datos y cuentan con Códigos de Conducta y con pautas de autorregulación de la actividad. A partir de la sanción de la Ley 25.326 mas conocida como Ley de Habeas Data, cuyo objetivo es entre otros "garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre" se crea también un Órgano de Control, con las siguientes funciones y atribuciones:
· Asistir y asesorar a las personas que lo requieran para la defensa de sus derechos.
· Dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por esta Ley.
· Controlar la observancia de las normas sobre integridad y seguridad de datos por parte de los Archivos, Registros o Bancos de Datos y verificar infracciones al cumplimiento de esta Ley.

La respuesta referida a porque se vende el sueldo de las personas, tiene varias aristas; en primer lugar hay que recordar que el origen del mismo es muy factible que provenga de algún sector de la Administración Pública y en ese sentido hace pocos días el Titular de la ANSES inició un sumario administrativo interno, por la fuga de 12.000.000 de datos de su dependencia, que tuvieron como destino una Empresa privada, según informaron los medios. Este dato es muy usado por quienes otorgan créditos o prestan dinero, por quienes realizan segmentaciones socioeconómicas y por quienes están en la actividad de la cobranza y, con el advenimiento de la Ley, es factible que se vaya corrigiendo esta práctica ilegal, básicamente por tres motivos:
· En primer lugar por las denuncias y reclamos del ciudadano común.
· En segundo término, por diversos artículos contenidos en la Ley, en particular , el Art. 11 que establece que "el cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y éste responderá solidaria y conjuntamente ante el Órgano de Control y el titular de los datos...", esto debe interpretarse que tanto el "comprador" como el "vendedor" de los datos de sueldos serán solidariamente responsables.
· Finalmente hay un aspecto muy importante que se denomina "IMAGEN COMERCIAL" y que ningún empresario quiere perder por desarrollar MALAS PRACTICAS en su actividad; es muy difícil evaluar el impacto económico de salir en los diarios y medios de comunicación por hechos de este tipo. Los usuarios de nuestros servicios son en su mayoría Empresas o Entidades Financieras que compran datos personales de personas físicas ó jurídicas para ser utilizados por sus áreas de Marketing o la de Créditos y Cobranzas, es decir, se trata de proveer datos que ayuden a contactar a nuevos clientes o a tener información sobre la solvencia económica y patrimonial de quienes solicitan un crédito y de cual ha sido su historial crediticio. Fidelitas S.A., no comercializa sus datos por medio de locutorios u otros establecimientos que atienden al público, por su filosofía en el tratamiento y comercialización de sus productos, pero ello no implica que las Empresas que si lo hacen estén al margen de la Ley; la condición que establece la norma es que quede identificada la persona que realizó la consulta.

Para responder a su quinta pregunta, le comento que la Ley contempla lo que se denomina el "Derecho de Acceso", art. 1: "... para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre...| y en particular el art. 14 de la norma establece: "... el TITULAR de los datos, previa acreditación de su identidad, tiene DERECHO a solicitar y obtener información de sus DATOS PERSONALES incluídos en los bancos de datos públicos o privados........el RESPONSABLE del archivo debe proporcionar la información solicitada dentro de los DIEZ DIAS corridos de haber sido intimado fehacientemente.........;el DERECHO DE ACCESO solo puede ser ejercido en FORMA GRATUITA cada SEIS MESES........."

Con referencia a su inquietud sobre los datos erróneos o desactualizados también es un tema complejo: en primer lugar hay que entender que muchas veces el "dato de origen" erróneo proviene de un Boletín Oficial, de una Institución Bancaria, de un Juzgado Comercial, de un CLIENTE o de un padrón de CUIT suministrado por la AFIP; Fidelitas S.A., ha desarrollado software de validación y consistencia de la información con el objeto de minimizar estos errores. De cualquier manera, invertimos permanentemente en nuevas tecnologías para mejorar nuestro servicio y para cumplir con la ley que establece en su art. 4: "...los datos total o parcialmente INEXACTOS, o que sean INCOMPLETOS, deben ser suprimidos y sustituídos, o en su caso COMPLETADOS, por el responsable del archivo cuando se TENGA CONOCIMIENTO DE LA INEXACTITUD O CARACTER INCOMPLETO DE LA INFORMACION..." Con respecto a la guarda de los datos negativos, de su siguiente pregunta, Fidelitas S.A. cumple estrictamente lo que indica la Ley: "...solo se podrán archivar, registrar o ceder los datos personales que sean significativos para evaluar la SOLVENCIA económico-financiera de los afectados durante los últimos CINCO AÑOS. Dicho plazo se reducirá a DOS AÑOS cuando el deudor cancele o de otro modo extinga la obligación..." En mi criterio, el plazo de 5 años previsto por el legislador como "derecho al olvido", es razonable para las personas que no pudieron pagar su deuda, aunque este criterio es solamente para la guarda de los datos, dado que para el acreedor, la deuda continúa siendo exigible. Su pregunta relacionada a porque cuando una persona paga su deuda morosa sigue figurando en la Base de Datos, en principio se la respondo con otra pregunta: ¿ a Ud. le gustaría conocer el comportamiento de pago de la persona a la cual le va a prestar dinero? En la Argentina como en todo el mundo es imprescindible conocer el comportamiento tanto positivo como negativo de las personas y esa transparencia le permite al sistema poder establecer diferentes tasas de interés de acuerdo al riesgo y comportamiento histórico de sus Clientes. Las llamadas telefónicas y el incremento de los spam, de su octava pregunta, son un problema cultural que hay que encarrilar, y humildemente recomiendo:
· Restringirse en la participación de sorteos de todo tipo, incluyendo los datos de email y teléfonos, salvo indicación clara del organizador del evento sobre el tratamiento de sus datos personales y su destino, de acuerdo a la Ley 25.326.
· No tirar los tickets de sus consumos con la Tarjeta de Crédito en la vía pública; cuando tire estos comprobantes o estados de cuenta bancarios, asegúrese de destruir la parte del documento donde aparece el número de la cuenta y su nombre.
· No proporcionar información bancaria ni de sus tarjetas de crédito por teléfono, salvo que Ud. pueda verificar la legitimidad de su interlocutor
· Hacer negocios por Internet siempre y cuando el comerciante tenga un sitio "seguro" representado por una llave o un candado cerrado, cuente con Políticas de Privacidad, sean claras las ofertas, forma de entrega del producto o servicio, políticas de garantías, políticas de cancelación o devolución, etc. Se debe verificar la dirección del establecimiento y su número de teléfono
· No responder emails enviados desde cualquier Empresa de Tarjetas de Crédito o Institución Bancaria o Financiera en el que le informan sobre cualquier inconveniente y le solicitan sus datos para solucionarlo.
· No enviar por email información confidencial, como números de cuentas, número de PIN, passwords, números de tarjeta de crédito, etc.
· Ante la recepción de ofertas por email, no conectarse al link adjunto; si el email ofrece la opción de eliminar su nombre de la lista, este hecho puede ser utilizado para validar su correo electrónico y finalmente, se debe cambiar frecuentemente la contraseña.

Para finalizar con sus últimas dos preguntas, existen varios motivos que fundamentan el desconocimiento de la ley de Habeas Data; en mi opinión es una norma "moderna" que hace hincapié en el "derecho al honor y a la intimidad de las personas" y son aspectos culturales originarios de otros pueblos, en particular europeos, que tienen mayor entrenamiento y respeto por el cumplimiento de las leyes y también toman naturalmente la sanción para quienes las incumplen, con multas de montos importantes , dependiendo de la gravedad y de la reincidencia del hecho. Argentina es el primer País de la Región en incorporar esta doctrina y es de esperar que con el tiempo adopten las partes (compradores y vendedores de datos) las
BUENAS PRACTICAS que tanto se declaman.
Finalmente, es muy importante el rol que actualmente juega el organo de Control que es la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.

Fuente: http://www.emprendedoresnews.com

Ver más

sábado, 8 de diciembre de 2007

VÍCTIMAS DE LAS OFERTAS DE "TRABAJO DESDE CASA"
El anuncio ofrece trabajar desde casa tan sólo con una computadora, dedicando una o dos horas diarias de tiempo y con importantes retribuciones económicas.

Sucede que esas ofertas de trabajo, que llegan a las cuentas de correo electrónico o son difundidas en sitios web, pueden convertirse en una perversa trampa para quienes las acepten.

Los "futuros teletrabajadores", una vez que contactan con el anunciante, completan un formulario para poder acceder al trabajo. No sólo rellenan sus datos personales, sino también su número de cuenta bancaria, algo fundamental para poder realizar el supuesto trabajo. Todo parece normal, pero en realidad, quienes ofrecen el trabajo son empresas falsas que pretenden blanquear dinero procedente del phishing, una de las actividades ilegales más frecuentes dentro del universo de hackers y crackers.

La falsa empresa que le dio el trabajo le ingresará el dinero a su cuenta. Posteriormente le pedirá que se quede con una comisión del 5 o 10% y que envíe el resto a otro depósito, por medio de MoneyGram, WesternUnion o algún otro mecanismo de envío de divisas a un país del Este o de Sudáfrica. Así, de ese modo, la estafa estará consumada.

El problema principal reside en que la justicia no buscara al estafador, de quien no conocen los datos y se mueve entre las sombras, sino directamente a quien aparece como beneficiario del dinero robado. Ni más ni menos que la víctima, a quien se le exigirá la devolución del capital supuestamente robado, cuando en realidad solamente recibió una pequeña comisión.

Generalmente, dentro de los engañosos avisos que circulan, el perfil buscado de la víctima oscila entre los 21 y 50 años. Entre los requisitos que suelen enumerar figuran que el potencial empleado debe ser comunicativo, cumplidor, despierto, capacitado para ir aprendiendo en el proceso de trabajo y responsable. No hace hincapié en el nivel educativo y prometen una paga de 1000 a 4000 euros mensuales. Una cifra atractiva, muy atractiva para un trabajo de solamente dos horas diarias…

Fuente: http://www.identidadrobada.com/site/nota.php?idNota=1262

Ver más

viernes, 7 de diciembre de 2007

REPORTE A GOOGLE DE PÁGINAS CON MALWARE

Hace unos días comentamos un problema que está pasando con los resultados de búsqueda en Google, y es que spammers y atacantes están manipulando los resultados a través de técnicas de SEO para lograr que sus páginas maliciosas escalen los primeros puestos en los resultados de búsqueda.

Afortundamente, si nos encontramos con páginas como estas de spammers, maliciosas o llenas de malware, ya podemos reportala en Google Safe Browsing: Report a Malware Page , una página en el que debemos ingresar en un formulario la página que hayamos detectado no es segura. De esta manera, Google inspecciona la página para verificar que efectivamente contenga malware y entonces seguramente eliminarla de los resultados.

Ver más

jueves, 6 de diciembre de 2007

FAKE CHECKS ¿COMO DE PREPARADO ESTAS PARA RECONOCER EL FRAUDE?

Me encantan las páginas informativas que tratan de informar al usuario sobre los riesgos de sufrir fraude y de verse involucrados en turbios procesos de blanqueo de capitales.

Me gustan especialmente porque son muchos los servicios y páginas que hablan de las causas técnicas y de los fraudes en sí, pero pocas van más allá y enlazan con lo que muchas veces es el core del problema: las complejas e intrincadas redes del crimen organizado.

Esta campaña es de la National Consumers League y creo que este tipo de campañas deberían emanar no sólo de instituciones extranjeras, sino también nacionales. En España, ya se sabe, este tipo de campañas y ha se sabe que brilla por su ausencia. En EEUU, esta Liga de Consumidores se ha aliado con las entidades bancarias, asociaciones de banca y el servicio postal, entre otros, para combatir el fraude que gira en torno a la emisión de cheques falsos.

fake checks

Hoy quiero hacer mención a Fake Checks, una página informativa sobre fraude y prevención de lavado de dinero, que además de contenidos explícitos y claros sobre fraude, que incluyen entrevistas con afectados, tiene un test para saber cómo de preparados estamos para reconocer y eludir el fraude.

¿Cómo de preparado estás para afrontar el fraude?

Averígualo

Fuente: http://www.sahw.com

Ver más

SERVICIOS ANTIPHISHING ¿EFECTIVOS?
Un estudio de Symantec revela que el 25% de las visitas a un sitio de phishing se produce durante la primera hora del lanzamiento del fraude. Transcurridas 12 horas habrá recibido el 60% de las visitas. Si los servicios antiphishing tardan más tiempo en desactivarlos, ¿cuál es su efectividad real en la prevención del fraude?

El estudio, que se ha llevado a cabo durante varios meses, analiza los logs correspondientes a 6.158 ataques, y pone números a algo que todos sabíamos: en un fraude por phishing las primeras horas son cruciales y concentran el mayor porcentaje de las visitas y estafas.

Durante las 6 primeras horas del ataque se llegarían a concentrar el 51,6% de las visitas, entre las 6 y 12 horas aumenta un 10,7%, entre las 12 y 24 horas se suma un 13%, y el 24,6% de las visitas restantes se suceden transcurridas las primeras 24 horas.

Estos datos dejan en entredicho la efectividad de los servicios antiphishing reactivos que mantienen medias superiores a las 6 horas de cierre, ya que no evitarían la mayoría de las visitas y por tanto la rentabilidad del ataque. Esto explica en parte que, pese a la inversión en este tipo de servicios, los ataques a ciertas entidades sigan siendo periódicos.

Desde el punto de vista del atacante, un servicio antiphishing de una entidad que cierre en el menor tiempo posible repercutiría negativamente en su negocio, y por tanto es de preveer que migrara sus ataques a otras entidades que no entorpecieran tanto el fraude.

Por ello la velocidad en el cierre de las infraestructuras de phishing es crucial en la prevención, tanto por los casos puntuales, como por estrategia a medio plazo que conlleve una disminución en los ataques a una entidad al dejar de ser un objetivo rentable.

¿Deberían las entidades exigir tiempos de reacción a los servicios antiphishing?

Queda claro que a mayor tiempo de reacción aumenta la rentabilidad del atacante, lo que también favorecería que la entidad sufra nuevos ataques. Como efecto colateral la empresa que ofrece el servicio antiphishing tendría que llevar a cabo más actuaciones, y también saldría beneficiada económicamente. Algo falla en la ecuación.

Dada la importancia de la velocidad de reacción, es lógico pensar que la entidad requiriera establecer algún tipo de escala basada en tiempos. No debería pagar lo mismo por la desactivación de un phishing en 1 hora que en 24, debería incentivar y premiar la mayor celeridad posible en las actuaciones, inclusive no pagar aquellas que se dilaten demasiado en el tiempo.

La realidad es que el cierre de una infraestructura de phishing depende de factores externos que no puede controlar la empresa de seguridad, y por lo tanto la efectividad en casos concretos, o en determinadas campañas, puede ser muy variable. No obstante, eso no debe ser ápice para que se establezcan mecanismos que incentiven los mejores resultados.

De los últimos 100 casos de phishing gestionados por el servicio antifraude de Hispasec, 47 de ellos se cerraron en menos de 1 hora. La media de cierre se sitúa en 3 horas 1 minuto.

Más Información:
Server Log Analysis of Phishing Web Sites
http://www.symantec.com/enterprise/security_response/weblog/2007/12/server_log_analysis_of_phishin.html

Fuente: http://www.hispasec.com/unaaldia/3329/

Ver más

LAS PERSONAS, ESE ESLABÓN TAN CRÍTICO
En esta oportunidad quiero escribir acerca de lo que en Seguridad de la Información podría considerarse el factor con menos avances en los últimos tiempos.
Las personas, ese "factor" crítico que está involucrado de distinta manera en la gran mayoría de los procesos.

Hace un tiempo el foco en materia de Seguridad estaba en la infraestructura, en la tecnología, cuando a la Seguridad se la conocía como Seguridad Informática.
Hoy la tecnología ha evolucionado, lo que se considera el perímetro de la red es cada vez más difícil de delimitar, y han surgido distintas regulaciones que hacen foco en la Seguridad- Debido a la inclusión de: infraestructura, procesos y personas, deberíamos reconocer e identificar a la Seguridad Informática como Seguridad de la Información.

Y tal como comentaba, respecto de las personas, es donde estamos lejos, es donde tenemos una deuda pendiente:

Teniendo presente que la Seguridad es contraria a la Funcionalidad, quizás este sea el primer factor por el cual el usuario (persona) no tiene desde los comienzos, buenas prácticas en cuanto a esta materia. Y ve a la Seguridad como una traba u obstáculo.

Esto último creo que tiene mucho que ver respecto de como quienes estamos en Seguridad, nos "acercamos" al usuario, tiene que ver más con nosotros que con ellos. En próximas líneas intentaré profundizar un poco sobre esta óptica.

Las Buenas Prácticas aconsejan llevar adelante planes de concientización y "educación" permanente respecto de la Seguridad de la Información para la Compañía en su totalidad. Incluso distintas regulaciones lo exigen debido a que está comprobada la necesidad de "educación" permanente en esta materia. En el NIST está la referencia.

Intentando retomar los conceptos anteriores, pensando al respecto de cual es el problema que hace que estemos tan mal respecto de la "educación" y "divulgación" de criterios respecto de la Seguridad de la Información, realmente estoy comenzando a pensar fuertemente en que el problema está de nuestra vereda. Y al decirlo ya surge una cuestión...¿por qué estamos en otra vereda?

Sin entrar en detalle, quizás nos jueguen en contra cuestiones como el prejuicio, la desvalorización, etc.
Pero algo que es incuestionable es que nosotros como responsables de velar por la Seguridad de la Información, debemos hacer foco en las personas, por sobre otras cuestiones. No podemos seguir negándolo, o buscar la "herramienta" que genere conciencia, somos nosotros (también personas) los que debemos encargarnos de las personas.

Deberíamos acercarnos con otro rol, con creatividad, a la misma altura, hablando el mismo idioma, con los mismos tiempos...es decir, el cambio cultural también está de nuestro lado.

La Seguridad de la Información nos da muestras diarias de que todos estamos aprendiendo, teniendo presente esto, ¿por qué entonces no somos capaces de reconocer esta necesidad en todas las personas?

Fuente: http://securetech-informacion.blogspot.com/2007/12/las-personas-ese-eslabn-tan-crtico.html

Ver más

AUMENTANDO LA SEGURIDAD DE LOS NIÑOS EN INTERNET
Internet es un buen lugar para que los niños se entretengan, aprendan y compartan sus conocimientos y experiencias con los padres. Pero como en la vida real, internet puede ser peligroso y esta repleto de contenidos inadecuados para ellos, además la mayoría no sabe de seguridad en internet.

Existen páginas especializadas en el tema, como Protégeles y Chavales. Esta última tiene un diseño muy adecuado y contiene mucha información para niños y padres; a los niños les ofrece contenidos educativos y sencillos consejos para que aprendan a utilizar las nuevas tecnologías de forma inteligente, y para los padres incluye información y documentación elaborada por expertos en protección de menores. Además existen páginas creadas especialmente para que los niños naveguen sin estar expuestos a publicidades engañosas y contenidos para adultos, David en Blog Daddy destacó algunas hace algún tiempo.

No soy un experto en la materia, pero puedo dar algunos consejos generales para aumentar la seguridad de los niños en internet, basándome en el sentido común y en mi experiencia como usuario diario de internet:

Los padres deben tener presente las actividades que realizan los hijos en internet, blogs, flogs (fotologs), foros, chats, el messenger, YouTube son términos comunes para cualquier niño y adolescente de hoy en día, pero no todos los padres están muy al tanto del significado y las posibilidades que ofrecen estos servicios. Lo ideal para comprender su funcionamiento es probarlos, son todos servicios gratuitos y crearse cuentas de prueba es tarea sencilla, incluso los padres pueden pedirle a los niños que les enseñen a utilizarlos, así se compartirían experiencias de aprendizaje y los padres podrían acercarse más a su mundo.

Por otro lado los niños deben tener claro que nunca se debe revelar información personal como la dirección, el número de teléfono o celular, la escuela a la que asisten, el club o lugares donde juegan. Además no deben realizar encuentros en persona con desconocidos y para eso deben comprender el peligro que esto representa (los amigos de internet no siempre son quienes dicen ser).

Se les debe enseñar que no todo lo que ven en la red es verdad y si algo les parece sospechoso, lo mejor es comunicárselo a los padres. El comportamiento de los niños en internet debe ser el mismo que en la vida real, nada cambia por estar frente a una computadora.

Por último, voy a recomendar esta excelente lectura sobre el tema, donde sus autores ofrecen una serie de recomendaciones prácticas, basadas en anécdotas y en sus experiencias como padres de hijos internautas

Fuente: http://www.rompecadenas.com.ar/articulos/1846.php

Ver más

martes, 4 de diciembre de 2007

MANUAL DEL INSTRUCTOR EN SEGURIDAD DE LA INFORMACIÓN
ArCert acaba de publicar el Manual del Instructor en Seguridad de la Información, un nuevo material para todos aquellos encargados de llevar concientización en su entorno laboral.


Este manual fue elaborado con el propósito de ayudarlo a desarrollar una propuesta de capacitación y/o concientización en Seguridad de la Información. Comprende el desarrollo de contenidos informáticos, diapositivas para utilizar en las presentaciones y actividades y recursos para la enseñanza.

Se espera que resulte de utilidad para impulsar en las organizaciones el uso responsable de la Información y de los sistemas y recursos que operan con ella.

Descarga del Manual

( 8 archivos, ZIP 3.22MB) - MD5: f7fdda90a6d51b2a66d8709bcde7467b
Fuente: http://www.arcert.gov.ar

Ver más

COMO LOS HACKERS PUEDEN CONTROLAR TU COMPUTADORA

Hay un falso concepto hoy en día acerca de la seguridad. La mayoría de los usuarios les gusta creer que sus costosos cortafuegos (firewalls) los protege de cualquier cosa obscena. La parte mala es que no pueden estar mas equivocados. Buscamos probar con estos tres programas que pueden comprometer la seguridad de sus computadoras antes de que tenga el chance de decir “Que es una puerta trasera o backdoor?”. Y aunque fueron creados en los 90s, todavía representan una amenaza en estos dias ya que los primeros dos todavía están en desarrollo.

Back Orifice / Back Orifice 2000

Back Orifice o BO, es uno de los programas backdoor mas comunes y uno de los mas letales. El nombre aparenta un chiste, pero puede estar seguro de que la amenaza es real. Este programa fue creado por el grupo del Culto de la Vaca Muerta (Cult of the Dead Cow Group). Si usted no ha notado, ellos tienen el don de un humor raro. A parte del nombre tan raro, este programa corre en el puerto 31337.

En la imagen superior se muestra el Back Orifice version 2000. El programa usa el modelo de cliente-servidor en el que el servidor es la victima y en cliente es el atacante. Lo que hace a este programa tan peligroso es que se puede instalar y operar de manera silenciosa, sin que nadie se de cuenta. No hay necesidad para interacción, esto significa que lo puedes tener en tu computadora ahora mismo sin darte cuenta.

Compañías tales como Symantec han tomado pasos para proteger a las computadoras de este programa. Todavía muchos ataques están usando el Back Orifice 2000. Esto debido a que todavía esta siendo desarrollado como una herramienta de código abierto. Como dice en la documentación del BO, el objetivo es hacer desconocida la presencia del Back Orifice 2000 aun hasta para aquellos que lo instalaron. BO puede correr en Windows 95, Windows 98, Windows NT, Windows 2000 y Windows XP.

Como remover el Back Orifice 2000

Para remover este programa se requiere editar algunas entradas en el registry de Windows

1. Seleccione Start > Run, entones escriba “Regedit” (sin las comillas)

2. Vaya a la entrada:“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices”

3. Ahora en el panel de la derecha, busque lo siguiente: “umgr32 = ‘c:\windows\system\umgr32.exe”

4. Hagla click derecho en esta entrada, y seleccione borrar. Ahora reinicialice su computadora.

5. Despues de reinicializar, solamente abra el explorador de Windows. Asegúrese de que puede ver todas las extensiones registradas. Para hacer esto vaya a View > Options, y configure las opciones apropiadas.

6. Vaya al directorio WINDOWS\SYSTEM y busque el programa “umgr32.exe” y borrelo.

7. Salga del explorador de Window y reinicialice su computadora otra vez.


NetBus / Netbus 2.0 Pro

NetBus fue creado alrededor del mismo tiempo que Back Orifice, a finales de los 90s. NetBus fue diseñado originalmente para hacerle bromas a amigos y familia, ciertamente nada muy malicioso. De todas maneras, el programa fue liberado en 1998 y fue usado ampliamente como un backdoor para controlar una computadora.

Este programa le permite a un atacante hacer virtualmente cualquier cosa en la computadora de su victima. Trabaja bien en los sistemas de Windows 9x y Windows XP. La ultima version de NetBus es considerada un shareware, no un freeware. NetBus también ha implementado menos operaciones silenciosas o secretas, como resultado de criticismo y quejas de su uso malicioso.

Estoy infectado. Ahora que?

Afortunadamente la ultima versión de NetBus es un programa valido. Puede ser removido como cualquier otro programa. Las versiones anteriores son un poco mas difíciles de remover. Si has sido atacado con una versión anterior, el proceso para eliminarlo es parecido al proceso de eliminación de Back Orifice.

Como remover el NetBus.

1. Seleccione Start > Run, entones escriba “Regedit” (sin las comillas)

2. Vaya a la siguiente entrada: “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices”

3. Ahora en la ventana de la derecha, busque lo siguiente: “[Nombre_del_Servidor].exe” Usted debe encontrar el nombre real del archivo .exe. Comunmente es “Patch.exe” o “SysEdit.exe”, pero puede variar.

4. Reinicialice su computador y remueva cualquier rastro del programa que haya quedado.

SubSeven / Sub7

SubSeven, o Sub7, fue creado para el mismo proposito que el NetBus, para bromas. Tiene mas soporte para bromas y también tiene una mejor interfaz. A pesar de que es detectado por muchos cortafuegos y antivirus antes de que pueda inicializarse.

Sub7 no ha tenido soporte desde hace varios anios, su amenaza es usualmente muy baja. La mayoría de los programas de seguridad no tendrán ningún problema deteniéndolo antes de que tenga la oportunidad de correr. Esto demuestra que la importancia de las actualizaciones y los programas de seguridad son vitales ya que estas herramientas todavía existen.

Es comúnmente usado por aquellos que tienen acceso físico a tus cortafuegos o programas de seguridad. Si los permisos apropiados son otorgados esta herramienta trabajara sin restricción.

Suena inofensivo, como lo remuevo?

Como remover el Sub7

1. Termine estos procesos via el task manager: ”editserver.exe, subseven.exe”

2. Borre estos archivos: “editserver.exe, subseven.exe, tutorial.txt.”

Por que estos programas son completamente legales.

La idea detrás de estos programas es que están diseñados para ayudar a las personas, no para hacer danos. Mientras que algunos como el NetBus fueron originalmente creados para bromas, ellos han cambiado su ruta para evitar problemas legales.

Estos programas reclaman ser programas legales para acceso remoto, a pesar de que son facilmente usados para fines maliciosos. Estos programas están supuestos a ser usados como helpdesk o departamentos de ayuda a usuarios. Mantenerlos alejados de su red o computadora es una buena idea ya que hay muchos adolescentes y pre-adolescentes que tienen copias de ellos.

La llegada de nuevas tecnologías han echo que estos programas de alguna manera sean menos efectivos. Sin embargo programas tales como el Back Orifice todavía están evolucionando, asi que no se sorprenda de que pueda estar corriendo en el background esperando por instrucciones. Ya que la mejor defensa es una buena ofensa, asegúrese de estar bien atento de lo que esta instalado en su red o computadora. Después de todo una onza de prevención vale mas que una libra de cura.

Traducido y publicado por Lenis Hernandez con permiso de www.learn-networking.com

Ver más