Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

viernes, 14 de marzo de 2008

INSCRIPCIÓN 4to SEMINARIO DE SEGU-INFO
Se encuentra abierta la inscripción al 4to Seminario y Taller de Segu-Info.

Ver más información e inscripción.

Ver más

TO 10 DE LOS PEORES CAPTCHAS

Más de una ocasión me he encontrado con diversos sitios que en su registro cuentan con un CAPTCHA (Completely Automated Public Turing test) una serie de carácteres que en teoría garantizan que sea una persona y no un robot el que llene un formulario.

No me van a decir que en no pocas veces las imágenes del CAPTCHA son un verdadero pain in the ass. Aquí un ejemplo de algunos de estos CAPTCHAS infames:

Captchas

Captchas

Captchas

Captchas

Captchas

Captchas

Captchas

Captchas

Captchas

Captchas

Vía John M Willis ESM Blog

Ver más

SEGURIDAD DE LA INFORMACIÓN Y LAS LEYES EN LATINOAMÉRICA
Por Jeimy Cano Martínez

La información al ser un bien personal y común para una sociedad, manifiesta características que sugieren una protección individual como grupal.

Latinoamérica viene en un proceso ascendente de fortalecimiento del tema de seguridad particularmente en los temas de tecnologías, un poco más retrasado en temas de gestión, y con una necesidad urgente de vincular a las personas, formalmente, en el modelo de seguridad. En este sentido, los Estados y los reguladores aún no se han manifestado formalmente en algunos países a nivel de toda la Nación, sino regulando a sectores particulares, como lo es la Banca. Colombia es un reflejo de esa realidad.

¿Qué es lo que está faltando para que se sancione una ley específica sobre Tecnología y Delitos Informáticos? ¿Considera que existen cuestiones políticas que obstaculizan su salida?

Para los organismos del Estado, particularmente los entes de Policía Judicial, aún los elementos electrónicos e informáticos no hacen parte formal de un proceso de investigación. A pesar de que la situación ha venido cambiando y que en países de Latinoamérica como Chile, Brasil y Colombia, se avanza en un reconocimiento formal de la evidencia digital, estamos en mora de mayores niveles de entrenamiento y concientización del aparato judicial de nuestros países para lograr un mayoría contundencia de los trabajos adelantados por los mencionados entes. El problema real no es que no existan leyes, sino que no se formalice el tema probatorio en medios informáticos para poder proceder y soportar una investigación.

¿Qué ganamos con tener una ley de delitos informáticos y no contar con estrategia de formalización de la evidencia digital?

El vacío legal afecta a todos por igual, no sólo a las empresas sino a los individuos. Mientras no reconozcamos el siguiente teorema, no podremos avanzar de manera coherente con el reto que impone el cibercrimen en la actualidad: "No podemos alcanzar mayores niveles de seguridad jurídica en Internet si no contamos con una adecuada administración de la inseguridad informática". Los impactos de este vacío van desde la vulneración de los derechos de las personas, hasta impactos en la imagen en las empresas, por sanciones legales.

¿Qué consejos y recomendaciones le darías a una persona que sufre un ataque informático y quiere resolverlo?

Primero la calma, pues el atacante quiere precisamente confundirlo y que usted actúe de manera errática. Luego de considerar esta sugerencia y conocer la existencia de algún ente de policía judicial que atienda esta problemática, hacer efectivamente la denuncia del mismo para proceder a la investigación formal. Si no existe, y aún no haya sido víctima de un ataque informático, considerar elementos de higiene informática como antivirus, cortafuegos personal y software anti-espía.

¿Qué sectores de la sociedad están trabajando sobre estas cuestiones? ¿Qué acciones lleva adelante el gobierno en esta materia?

Deberían estar trabajando todos, pues la información al ser un bien personal y común para una sociedad, manifiesta características que sugieren una protección individual como grupal. En este sentido, es necesario que la dinámica de la inseguridad y de los problemas que se presentan a diario, sean los detonadores de las propuestas para articular desde los procesos, las personas y las tecnologías hacia un entorno de interacción con las tecnologías más confiable. Los gobiernos en particular tienen otros temas más prioritarios en sus agendas, luego este tema se puede llevar a los estrados, siempre y cuando ocurra algo de proporciones importantes o exista una voluntad política de hacer en conjunto con el gobierno de turno.

Entrevistado por Juan Pablo Daniello, PR Coordinator I-SEC Information Security Inc.

Jeimy Cano Martínez
PhD in Business Administration, Newport University (USA). Master en Ingeniería de Sistemas y Computación de la Universidad de los Andes (Colombia). Ingeniero de Sistemas de la Universidad de los Andes. CFE

Fuente: http://www.tynmagazine.com/

Ver más

domingo, 9 de marzo de 2008

ACADEMIA LATINOAMERICANA DE SEGURIDAD INFORMÁTICA

¿Qué es y a quiénes se dirige la Academia Latinoamericana?
Es un programa educativo que tiene como objetivo la formación de líderes en Seguridad Informática, que ayuden a crear un ecosistema seguro, aprobados en una cultura que considere los tres pilares fundamentales de la seguridad: Personas, Procesos y Tecnología; brindándoles las herramientas necesarias para poder logar sus objetivos individuales y los de sus empresas. Se dirige a toda persona que tenga la necesidad de crear, desarrollar o implementar estrategias de seguridad informática. Es necesario contar con conocimientos técnicos para cursar, sin embargo el seminario está creado para que el participante tome ventaja de ellos y pueda ir creciendo con nosotros en diferentes tópicos, desde tecnológicos hasta procesos orientados a la seguridad.

El material de estudio es el siguiente:

Ver más

CISSP. CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL
CISSP es una certificación entregada por (ISC)2, que se trata de una organización sin ánimos de lucro dedicada a la seguridad de la indormación. Fue formada en el año 1998 por la unión de organizaciones de seguridad en IT y ha entregado certificaciones internacionales a profesionales desde 1992.

Entre los aspectos fundamentales de esta certificación se encuentran:

  • Está contituida por 10 dominios de estudio conocidos como CBK (Base común de conocimiento).
  • Lograr esta Certificación es un aval de conocimiento, credibilidad y calidad.

  • Para certificar se requieren 4 años de experiencia en cualquiera de los dominios o bien 3 años de experiencia y un título de grado.

  • El proceso de Certificación consta de tres etapas:

    1. Examination (rendir un exámen)

    2. Certification (verificar experiencia y código de ética)

    3. Audit (revisión de antecendentes en forma aleatoria)

  • Rendir tiene un costo de 499 U$S y el examen consta de 250 preguntas múltiple choice 4 opciones posibles y una sola correcta.

En esta sección se pondrá a disposición el Bootcamp sobre CISSP en español para todos aquellos que deseen aventurarse en este ámbito.

Certified Information Systems Security Professional.

Ver más

miércoles, 5 de marzo de 2008

SALTANDO HERRAMIENTAS DE SEGURIDAD CON JAVASCRIPT

Mientras analizabamos uno de los códigos de los sitios pornográficos que descargan malware nos encontramos con un código interesante en JavaScript.

Este código es utilizado para ejecutar ActiveX sin la intervención del usuario. Por supuesto esta acción sólo funciona en el navegador Internet Explorer:

bypass2.png

En cambio, este otro código es utilizado para evitar que ciertos programas tradicionales de seguridad como detectores de pop-pups alerten al usuario de las acciones que lleva a cargo el sitio web dañino:

bypass.png

Este JavaScript, al ejecutarse, descarga automáticamente un troyano y el bloqueador de pop-pup no se entera de lo sucedido.

Como vemos, los creadores de malware no descansan y buscan denodadamente la forma de engañar a programas con características sin capacidades proactivas que no son capaces de detectar estos engaños.

Fuente: http://blogs.eset-la.com/laboratorio/

Ver más

LA MEJOR FORMA DE PROTECCIÓN ES LA PREVENCIÓN (II)

Un poco más sobre acciones tendientes a proteger el sistema a partir de buenos hábitos de prevención:

Actualización de programas

Cotidianamente surgen nuevas metodologías y técnicas de intrusión más eficaces como los exploit (que existen para cualquier tipo de aplicación), códigos maliciosos cada vez más sofisticados en cuanto a las metodologías que utilizan para ganar la confianza de los usuarios y hasta vulnerabilidades de 0-day (errores de seguridad que no tienen parches) entre otros tantos, todos ellos tendientes a romper los esquemas de seguridad que plantean los sistemas y obtener información sensible de los usuarios.

Teniendo en cuenta este escenario, se torna fundamental actualizar en forma periódica todos los programas instalados en nuestra PC, ya que ello aumentará considerablemente el nivel de seguridad y minimizará la posibilidad de ser víctimas de usuarios maliciosos.

Asimismo, es primordial priorizar la actualización de la base de firmas de nuestro Antivirus, siempre teniendo presente que la falta de actualización aumenta potencialmente la posibilidad de infección y disminuye la eficacia de la protección que tengamos implementada.

Actualización del sistema operativo

Por lo general, la mayoría de los códigos maliciosos aprovechan vulnerabilidades de los sistemas operativos para poder diseminarse e infectar la mayor cantidad de equipos posibles, esta situación constituye una de las tantas preocupaciones de seguridad que obligan a las empresas a proporcionar regularmente nuevos parches de seguridad que actualizan y solucionan los problemas encontrados. Por ejemplo, Microsoft libera sus parches el segundo martes de cada mes.

Por ello, también es sumamente importante mantener al día el sistema operativo con las actualizaciones de seguridad correspondientes ya que, básicamente se toma el mismo criterio que con las aplicaciones.

Bloqueo de direcciones web maliciosas

Muchas veces los equipos hogareños son compartidos con los demás integrantes de la familia o con algún amigo de la misma, entonces necesitamos implementar una herramienta que oficie a modo de “control parental” y que nos ofrezca la alternativa de bloquear aquellas direcciones web que poseen contenido malicioso.

ESET Smart Security y ESET NOD32 Antivirus brindan la posibilidad de poder realizar estas acciones a través de una funcionalidad específicamente preparada para este fin. A través de ella podremos filtrar direcciones web con contenido malicioso. Una explicación de cómo funciona se encuentra en ¿Sabemos por dónde navegan nuestros hijos?.

Realizar copias de seguridad de la información y archivos críticos

Una de las características más comunes del malware es no considerar ni respetar las necesidades de los usuarios por lo que muchas veces las acciones destructivas que poseen derivan en el mal funcionamiento del sistema, el daño y/o la eliminación de archivos críticos del sistema y el robo de información confidencial como los nombres de usuario, contraseñas, números de tarjetas de crédito, etcétera.

En este sentido es importante adoptar como buena práctica la realización de copias de seguridad de nuestra información a fuentes externas como cinta, CD, DVD, discos rígidos, etc. De esta manera si se produce alguna anomalía en el sistema operativo, ya sea por daño de los archivos nativos del sistema o por la acción de códigos maliciosos, es mucho más sencillo y rápido volver a recuperar la información.

Fuente: http://blogs.eset-la.com/laboratorio/

Ver más

LA MEJOR FORMA DE PROTECCIÓN ES LA PREVENCIÓN (I)

Si bien es cierto que una solución antimalware mejora notablemente la seguridad de nuestro sistema, también es cierto que no existe una aplicación que brinde el 100% de protección ya que son muchos los potenciales problemas a los que estamos expuestos, sobre todo a la hora de navegar por la Internet.

Por eso es fundamental que mantengamos nuestro equipo en óptimas condiciones a través de la adopción de una serie de medidas tendientes a reforzar la protección del sistema para minimizar los riesgos de infección y mejorar aún más nuestra experiencia en Internet.

A tal efecto proponemos una serie de condiciones básicas que no se deberían obviar para lograr un nivel adecuado de prevención en nuestro sistema, junto con un breve fundamento sobre por qué deberíamos tenerlo en cuenta:

Instalación de Antivirus con capacidades proactivas

Es imprescindible poseer un antivirus que permita bloquear las amenazas. Las soluciones antivirus tradicionales detectan malware a partir de una base de datos que contiene las firmas que permiten identificar de manera unívoca a los diferentes códigos maliciosos.

Sin embargo, durante el rango de tiempo que hay entre actualizaciones existe un margen de posibilidad de que nuestro equipo sea víctima del malware que todavía no ha sido identificado por el antivirus, con la consecuente posibilidad de ser víctimas de potenciales infecciones.

Por ello, a la hora de elegir una solución antivirus se debe evaluar que trabaje con tecnologías más inteligentes como la que ofrece ESET a través de su Heurística Avanzada que provee una detección proactiva mediante el análisis de la conducta del malware en tiempo real.

Es decir, el antivirus debe poseer funcionalidades de Heurística Avanzada y brindar la mejor defensa proactiva sin mayores consumos de recursos del sistema para poder prevenir el daño que provocan los códigos maliciosos antes de que sea demasiado tarde.

En el artículo de análisis heurístico pueden leer más sobre los beneficios que ofrece la detección por heurística.

Instalación de un Firewall personal

Básicamente un firewall personal es un programa que se interpone entre la red LAN y la World Web Wide estableciendo reglas de filtrado que permiten o deniegan el acceso a los recursos de la red.

Los códigos maliciosos de la actualidad tienden a establecer algún tipo de comunicación hacia el exterior (Internet) aprovechando las vulnerabilidades de los browser o la utilización de metodologías que permiten infectar un sistema con el sólo hecho de acceder a una página web, es importante complementar la solución antivirus con un firewall que permita bloquear este tipo de acciones maliciosas.

La solución ideal para controlar estas acciones maliciosas es la instalación de una solución como ESET Smart Security que integra, además del antivirus, un firewall personal entre otras herramientas de seguridad. En el artículo sobre firewall personales podrán aprender un poco más sobre este tema.

Fuente: http://blogs.eset-la.com/laboratorio/

Ver más

martes, 4 de marzo de 2008

¿EXPERTOS, ESPECIALISTAS O PROFESIONALES EN INSEGURIDAD INFORMÁTICA?
Es frecuente escuchar los términos “experto en seguridad informática”, “especialista en seguridad informática” o “profesional en seguridad informática”, tres palabras, tres contextos que nos deben animar a una reflexión personal y profesional alrededor de aquellos interesados que enfrentan día a día los retos de la inseguridad informática. (HOWARD 2008, BRATUS 2007)

De acuerdo con el diccionario de la Real Academia Española - RAE, existen diferencias importantes entre las tres palabras: experto, especialista y profesional.

Para la RAE un experto, viene del latin expertus, alguien experimentado en algo, alguien que ha probado o tratado con algo. Se asocia generalmente a un perito. Un especialista, es alguien que cultiva o practica una rama determinada de un arte o una ciencia, de la que tiene particulares conocimientos y habilidades. Finalmente un profesional, es una persona que ejerce su profesión con relevante capacidad y aplicación.

Mirando estas tres definiciones se puede sugerir que los que se dedican a la seguridad informática (o inseguridad de la información), siendo estrictos en el manejo de las anteriores, responden a un proceso evolutivo que los cautiva y los lleva a explorar su propia curiosidad con eventos que desafían lo establecido, para generar nuevas inquietudes y así, continuar aprendiendo. Es un proceso de desaprendizaje (POURDEHNAD, J., WARREN, B., WRIGHT, M. y MAIRANO, J. 2006) que invita a reconocer que no sabemos y que debemos estar atentos a descubrir las nuevas propuestas que nos ofrece el evento que se estudia.

Un experto en seguridad informática, siguiendo lo sugerido por la real academia, es alguien que se ha enfrentado a la inseguridad de la información, alguien que se ha enfrentado a la incertidumbre que genera la falla, a la presión que se manifiesta en ese momento para tomar acciones que ponen a prueba su conocimiento y experiencia previa en situaciones semejantes (nunca iguales). Las acciones acertadas o no, son el insumo de las futuras que esta persona enfrente, cuando nuevamente sea sorprendida por un nuevo episodio de la inseguridad informática.

Con el paso del tiempo este experto, desarrolla un instinto o intuición en el arte de conocer y descubrir la inseguridad; en ese momento se transforma en un especialista, no de seguridad informática, sino de inseguridad de la información. El enfrentamiento constante con la inseguridad y la falla, genera en este personaje una mente más abierta y sistémica, más llevada por las relaciones y efectos emergentes, que por eventos puntales. El especialista estructura una red de conocimientos y prácticas que proponen soluciones emergentes, generalmente diferentes y alternas a las que pudiesen ofrecer lo que dicen las buenas prácticas actuales. Recordemos que las buenas prácticas, nacen del reconocimiento de acciones que han demostrado ser útiles en el tiempo.

Finalmente el profesional en seguridad informática, sería una persona que ejerce una profesión, un oficio, que generalmente se encuentra estructurado bajo una serie de lineamientos y conceptos que son avalados y normados por entes reguladores en temas académicos o científicos. De esta forma, existen las profesiones como la ingeniería, el derecho, la medicina, entre otras.

En este contexto y considerando que a la fecha no existe un acuerdo nacional o internacional sobre currículos en seguridad de la información, tratar de responder la pregunta ¿qué debo estudiar para aprender seguridad informática? es un reto que aún tenemos que enfrentar y donde tenemos grandes oportunidades para proponer y avanzar.

El profesional en seguridad informática actualmente es tema de discusión y análisis en diversos foros internacionales. Iniciativas como las efectuadas en la Universidad Politécnica de Madrid, orientada por el Dr. Jorge Ramio Aguirre (ver http://www.criptored.upm.es, sección docencia), las consideraciones de formación en seguridad informática (particularmente orientadas al desarrollo de software seguro) sugeridas por el Dr. Mattew Bishop (http://nob.cs.ucdavis.edu/bishop/papers/), de la Universidad de California, en Davis, entre otras iniciativas (ver otras fuentes adicionales) son elementos que nos dicen que debemos continuar analizando posibilidades y estrategias para acercarnos cada vez más a un acuerdo base sobre lo que un profesional de seguridad informática debería estudiar.

La seguridad informática en su evolución desde los años 50’s, ha venido mostrando patrones característicos e inquietudes particulares, generalmente atadas con la evolución de la inseguridad de la información. Si bien, cada vez que evolucionan las plataformas tecnológicas, la inseguridad se transforma, es importante observar que los profesionales de seguridad no lo hacen de la misma manera, pues, deben recorrer nuevamente la curva de aprendizaje que les exige el nuevo contexto computacional o de negocio que se enfrenta.

En razón a lo anterior y no obstante, los aspectos evolutivos de las tecnologías de información (ver publicación anterior de este blog), si se requiere adelantar un ejercicio de exploración y análisis sobre las prácticas de seguridad y los patrones que sugiere la inseguridad para delinear un perfil evolutivo de aprendizaje de la seguridad, que considere la exposición de los interesados sobre temas conocidos en seguridad, para avanzar y conocer comportamientos desconocidos ocasionados por la inseguridad. Esto permite disminuir el riesgo de que el experto (siguiendo la definición de RAE) sea víctima de “una falsa sensación de seguridad” y mantenga un mínimo de paranoia, requerida para mantenerse vigilante.

Si mantenemos a este experto, en proceso evolutivo de desaprendizaje, es decir, confrontando las buenas prácticas, los mecanismos de seguridad y sus procesos de construcción y afinamiento, inspeccionando código en búsqueda de funciones inseguras, analizando comportamientos adversos de personas en las organizaciones, entre otros elementos, pronto tendremos un especialista que de manera sistémica (KEILY, L y BENZEL, T. 2006) observe y diagnostique una situación antes de que ocurra. Si bien, no podrá anticiparse a todo lo que puede ocurrir, si estará atento a nuevas relaciones que la inseguridad pueda sugerir.

Como hemos visto hasta el momento y sabiendo que la inseguridad de la información es un “camino que se revela al andar”, las personas que se dedican a la seguridad de la información, bien sean expertas, especialistas o profesionales siempre tendrán algo en común, una misión y deseo que los marca, una convicción de vida personal y profesional que los une: el reto de conocer, descubrir y aprender de la inseguridad de la información.

Referencias
BRATUS, D. (2007) What hackers learn that the rest of us don’t. Notes on hacker curriculum. IEEE Security & Privacy. July-August. PP.72-75
HOWARD, M. (2008) Becoming a security expert. IEEE Security & Privacy. January-February. PP. 71-73
KEILY, L y BENZEL, T. (2006) Systemic security management. IEEE Security & Privacy. Noviembre-Diciembre.
POURDEHNAD, J., WARREN, B., WRIGHT, M. y MAIRANO, J. (2006) Unlearning/Learning Organizations – The Role of Mindset. Proceedings of 50th International Society of Systems Science Conference. Disponible en: http://www.isss.org/conferences/sonoma2006/2006_ISSS_50thAnnualMeeting_Sonoma_Program-Body-Acrobat6-150dpi.pdf

Otras Fuentes adicionales:
* NSTSC (2003) National Strategy to Secure Cyberspace. A National Cyberspace Security Awareness and Training Program. p. 37 Available on March. 12, 2004. http://www.whitehouse.gov/pcipb/cyberspace_strategy.pdf
* Information Security (Master of Science in Information Security Technology and Management - MSISTM). 13 Jan 2003. Carnegie Mellon University. Available on March 12, 2004 at http://www.ini.cmu.edu/academics/MSISTM/index.htm
* Master of Science in Computer Science Concentration in Information Security. James Madison University. Available on March 12, 2004 at http://www.infosec.jmu.edu/website/overview.htm
* Infosec Graduate Program. Purdue University. Available on March 12, 2004 at http://www.cerias.purdue.edu/education/graduate_program/
* Master of Science in Security Informatics. Johns Hopkins University. Available on March 12, 2004 at http://www.jhuisi.jhu.edu/education/index.html
* Master of Science degree program in Information Security and Assurance. George Mason University. Available on March 12, 2004 at http://www.isse.gmu.edu/ms-isa/
* Dark, Melissa. Davis, Jim. “Report on Information Assurance Curriculum Development”. The Center for Education and Research in Information Assurance and
Security (CERIAS). Available on March. 12, 2004 at http://www.cerias.purdue.edu/education/post_secondary_education/undergrad_and_grd/curriculum_development/informa


Fuente: http://www.eltiempo.com

Ver más

domingo, 2 de marzo de 2008

SOBRE QUIEN TE ADMITE O NO EN EL MSN
Mucho se ha hablado, y se está hablando, sobre aquellas páginas que ofrecen un "supuesto servicio" que permite conocer información sobre qué contactos nos tienen bloqueados en el famoso cliente de mensajería instantánea.

Mucho ruido se generó en torno a esto debido a la relación que se atribuye sobre los ataques de DoS que sufrieron una serie de sitios web. Pero sin lugar a dudas, lo que sí queda bastante claro es que este tipo de "servicios" dejan mucho que desear y son pruebas claras sobre cómo descuidar y sobre cómo se pueden aprovechar de nuestros datos confidenciales.

Recuerden que las constraseñas constituyen barreras muy importantes y una medida de seguridad fundamental con la contamos a la hora de proteger nuestra información. En la sección "papers" pueden encontrar un documento llamado "Contraseñas. Cuestión de conciencia" que habla sobre el tratamiento de las contraseñas y sobre lo que representan en materia de seguridad.

En consecuencia, les dejo un video que muestra una prueba sobre el funcionamiento de uno de estos sitios que hecha un poco de luz al tema.



Por otro lado, a continuación dejo un listado con algunos de estos sitios:

checkmessenger3.net/es/ (en español)
delmessenger.com/ (en español)
desadmitido.com/ (en español)
ebuddy.com/ (multilenguaje)
e-messenger.cl/ (en español)
funfull.com/msn-delete-checker/ (en inglés)
hamassenger.com/maintenance/ (en inglés)
litux.nl/maintenance/ (en inglés)
msncheck.41m.com/ (en inglés)
msncheck.net/ (en inglés)
msnnaweb.com/ (en portuguez)
quimeefface.com/ (en francés)
youareblocked.com/ (en español)


Y en segu-info van a encontrar una breve explicación sobre por qué no deberían utilizar estos sitios junto a un listado de páginas que pretenden brindar el tipo de información en cuestión que constantemente se esta actualizando.

jam

Ver más