Entradas

Mostrando entradas de septiembre, 2014

8 pasos para hacer una evaluación de riesgos (parte I)

Imagen
Un enfoque utilizado en seguridad de la información consiste en la aplicación de controles de seguridad como resultado de la evaluación y tratamiento de riesgos. En esta publicación vamos a revisar los primeros cuatro pasos de OCTAVE Allegro  (Operationally Critical Threat, Asset, and Vulnerability Evaluation), una opción para evaluar riesgos de seguridad en 8 pasos,  desarrollada por SEI ( Software Engineering Institute ) y con documentación disponible de forma gratuita. El uso de este y otros modelos similares es una forma preventiva de hacer frente a los riesgos que continuamente se presentan, ya que tienen como objetivo anticiparse a la materialización de amenazas identificadas. Para este enfoque, el reto consiste en considerar todas aquellas amenazas que podrían afectar de manera negativa los objetivos de una organización, haciendo un  análisis de riesgos para reducirlos hasta un nivel aceptable, utilizando para ello (por ejemplo) una  metodología como MAGERIT . A conti

Todo lo que debe saber sobre Bash

Imagen
Bash, denominado también con el código CVE-2014-6271, es en realidad el intérprete de comandos más extendido en el mundo UNIX y derivados; sin embargo, una funcionalidad puede ser explotada hasta conseguir ejecutar código arbitrario en sistemas remotos. Un atacante puede simplemente ejecutar comandos a nivel de sistema, con los mismos privilegios que los servicios afectados. Stephane Chazelas, investigador francés apasionado del mundo UNIX, fue quien difundió los detalles de esta vulnerabilidad. Hace ya varios años que en la página de manual de bash se dio a conocer que esta funcionalidad podría exportar funciones que los subshells definirían automáticamente con la opción –f. La definición de una función puede ser eliminada utilizando la opción –f para desconfigurar el archivo que se exportará (builtin). En la mayoría de los ejemplos en internet en estos momentos, los atacantes están atacando de forma remota servidores web que alojan scripts CGI que se han escrito en bash o pasan

El ataque a jQuery y JavaScript como “arma de doble filo”

Imagen
Casi siempre que se habla de ataques y/o vulnerabilidades web , en algún momento el término “JavaScript” es mencionado . En este post vamos a explicar de qué se trata y por qué este lenguaje de programación es útil y al mismo tiempo peligroso , en vistas de un reciente ataque a la librería jQuery que se aprovecha de los mismos. Páginas web estáticas y dinámicas Los sitios que visitamos pueden ser estáticos o dinámicos .  Los sitios estáticos son más simples y económicos, ya que normalmente son utilizados para describir contenidos comunes a muchas páginas, como “Quiénes somos” o “Acerca de”. En otras palabras, no permiten efectos o la presencia de aplicaciones en los mismos . En cambio, los sitios dinámicos ( web 2.0) son más complejos ya que permiten una verdadera interacción del usuario con la página. El administrador de la página puede ver en tiempo real resultados de encuestas realizadas en la misma, utilizar una consola que le permite hacer cambios y monitorear interac

El FBI, precupado por el cifrado “excesivo” de Google y Apple

Imagen
Parece que al FBI no le gustó demasiado el hecho de que Google y Apple anunciaran que resguardarán de autoridades la información de los usuarios con un fuerte sistema de cifrado , que la dejará fuera de su alcance. La semana pasada les contábamos cómo ambas compañías confirmaron que en las nuevas versiones de sus sistemas operativos, Android L y iOS 8, las claves de cifrado (y por lo tanto los datos que protegen) serán inaccesibles para las propias empresas, y también para la Justicia y la policía, lo que incluye al FBI. Su director, James Comey , le dijo a los medios: “Lo que me preocupa de esto son las compañías ofreciendo al mercado algo expresamente para permitirle a la gente posicionarse por encima de la ley”, según reportó The Huffington Post . Según el mandatario, el FBI debería poder obtener una orden de un juez independiente para acceder al contenido del closet o el smartphone de cualquier individuo , y para él, no tiene sentido que estas compañías vendan “un close

El reconocimiento de voz y cara de Mastercard alcanza una tasa de éxito del 98%

Imagen
Un piloto de Mastercard de tecnologías biométricas para pagos alcanzó una tasa de éxito de 98% en reconocimiento de voz y facial. La compañía de tarjetas de pago creó una aplicación móvil para probar las tecnologías de reconocimiento facial y de voz en más de 14 mil transacciones. Los empleados de Mastercard de todo el mundo llevaron a cabo las pruebas en los sistemas operativos Android e iOS. El proceso tomó menos de 10 segundos para la mayoría de las transacciones. "Los resultados fueron muy emocionantes, con una tasa de verificación exitosa del 98%, mezclando una combinación de voz y reconocimiento facial", dijo Mastercard. "Es crucial para nosotros innovarnos constantemente para mantenernos por delante de los defraudadores –esto ha sido así desde que fuimos establecidos hace casi 50 años. La seguridad está en el corazón de nuestro negocio, y eso también significa proporcionar una experiencia perfecta que haga las delicias de los consumidores en su simplicidad

Sistemas de Pago: Comercio Electrónico

Imagen
APARTADO 1.1. EVOLUCIÓN DEL COMERCIO ELECTRÓNICO Volver al inicio A finales de los años 90 el comercio electrónico era una forma emergente de hacer negocios que no era muy utilizado por las empresas en las compras o ventas de productos on-line. Como compañías pioneras del comercio electrónico de aquel entonces cabe destacar : Amazon, como tienda de libros eBay, como tienda de subastas electrónicas Negocios que proporcionaban herramientas de búsqueda: Altavista, HotBot, Lycos y Yahoo! La popularidad creciente de los portales de búsqueda permitió a Google cobrar tasas cada vez más altas para los espacios publicitarios en sus páginas Web. Google adoptó el modelo de oferta de palabras clave en el año 2000 y lo utilizó para vender anuncios pequeños de texto que aparecen en las páginas de los resultados de las búsquedas realizadas a través de su portal. Ejemplo: Un concesionario de automóviles podría hacer una oferta en el precio de la palabra clave "coche" para l

Diez definiciones esenciales de virtualización de redes

La aparición de las redes definidas por software (SDN) ha suscitado discursos entre los profesionales de TI acerca de la necesidad de virtualizar la red. Sin embargo, en muchos sentidos, todavía no ha surgido una definición singular de virtualización de red. En una reciente entrevista con Martín Casado de VMware, aprendimos la diferencia entre SDN y virtualización de la red –Casado comparó a SDN a un mecanismo, mientras que la virtualización de la red es una aplicación. "SDN es relevante para los fabricantes de sistemas: Lo comparo con una manera de construir un motor", dijo Casado. "Alguien que construye un coche utilizaría una nueva forma de construir un motor para el coche, pero los clientes no compran los motores, compran los coches." Aquí hemos redondeado 10 definiciones clave para explicar mejor los conceptos básicos de la virtualización de la red. 1. Virtualización de red La virtualización de la red es un método para proporcionar instancias virtuales d

Siete consejos de seguridad para entornos corporativos

Imagen
Las amenazas de seguridad a empresas han aumentado exponencialmente en tamaño, alcance y sofisticación. En una época en que la computación en la nube, el movimiento BYOD (Bring Your Own Device) y los medios sociales están cambiando las reglas del juego para las empresas, se han intensificado los desafíos en términos de seguridad para directores de TI (CIO) y directores de seguridad (CSO) como nunca antes . La seguridad tradicional actual ha probado ser ineficiente frente al avance y la persistencia de ataques a redes corporativas por medio de internet, que van desde robo de datos, hasta ataques para robo de contraseñas, violación de datos y ataques cuidadosamente planificados de 'negación de servicio' . La información de seguridad en dicho tipo de entornos requiere una estrategia de seguridad integrada y alineada con el negocio, con el objetivo de construir una base sólida para obtener una postura de seguridad sólida. Un abordaje proactivo, en términos de seguridad, está en l

El curioso caso de una migración de aplicaciones a la nube

Imagen
Cuando una empresa decide migrar una aplicación a la nube, el trabajo de un administrador de TI realmente solo ha comenzado. Lanzar una aplicación en la nube sigue siendo un proceso continuo , incluso después de que una empresa determina los factores de riesgo individuales de una aplicación. El primer paso es entender el diseño de la aplicación, que varía en función de en qué capa de la nube vive la aplicación. "Con infraestructura como servicio o plataforma como servicio, es posible diseñar la aplicación para resiliencia", dijo Drue Reeves, director de investigación de Gartner Inc., al hablar en la Conferencia Catalyst de Gartner. "Si se construye para escalar hacia arriba, es posible que desee volver a equilibrarla para escalar hacia afuera. Para SaaS, la usabilidad es clave, por lo que debe agregar características de seguridad”. Una empresa podría optar por una nube híbrida por razones de privacidad, pero muchos proveedores le cobrarán por el cifrado adicional. Lo