SEGURIDAD Y AUDITORIA DE SISTEMAS

Por: Tim Wu ¿Qué tan difícil sería pasar una semana sin usar Google? O, para subir la apuesta, ¿sin Facebook , Skype, Twitter, Apple, eBay, Amazon y Google? No sería imposible, pero incluso para un usuario de Internet moderado sería una pesadilla. Renunciar a Google y Amazon simplemente es inconveniente; renunciar a Facebook o Twitter significa dejar de lado categorías enteras de actividad. Para la mayoría de nosotros, evitar las firmas dominantes de Internet sería mucho más difícil que pasar por alto Dunkin' Donuts, Carrefour u otras empresas que dominan algún rincón de lo que solía llamarse el mundo real. Desde hace tiempo que Internet se considera un modelo de lo que se supone que debería ser el mercado libre: la competencia en su forma más pura. ¿Por qué entonces se parece cada vez más a un tablero del juego Monopolio? La mayoría de los sectores más importantes hoy es controlada por una empresa dominante o un oligopolio. Google "es dueña" de las búsquedas; Facebook, d

Si esta es la primera vez que se cruza con la idea de un auditor interno, probablemente se encuentre desconcertado: ¿para qué necesito otro control? ¿Quién lo va a pagar? ¿A quién debo emplear para que lo realice? Es una real pérdida de tiempo… Bueno, no tiene que ser tan malo; además de dar conformidad a las normas ISO 27001 y BS 25999-2, las auditorías internas pueden ser bastante útiles para sus demás temas comerciales (estén, o no, relacionados con la seguridad de la información o la continuidad del negocio). El punto con las auditorías internas es que descubran problemas que de otra forma permanecerían ocultos y, por consiguiente, perjudicarían el negocio. Seamos realistas, cometer errores es humano; por lo tanto, es imposible tener un sistema sin fallas; aunque sí es posible tener un sistema que se mejore a sí mismo y que aprenda de sus errores. Las auditorías internas son una parte crucial de ese tipo de sistemas. Existen unos pocos pasos para realizar una auditoría interna: a)

Su gerencia le ha asignado la tarea de implementar la continuidad del negocio pero usted no sabe muy bien cómo hacerlo? Aunque no se trata de una tarea sencilla, puede utilizar la metodología de la norma BS 25999-2 para facilitar las cosas. Los siguientes son los pasos principales que necesita seguir para implementar esta norma: 1. Obtener el apoyo de la dirección Si bien no es un paso obligatorio de la norma BS 25999-2, sí se trata de un paso crucial al inicio: si la dirección no comprende los beneficios de la continuidad del negocio y no se compromete con el proyecto, lo más probable es que su proyecto fracase. 2. Tomarlo como un proyecto La creación de su sistema de gestión de la continuidad del negocio (SGCN) le demandará bastante tiempo y recursos ya que debe definir claramente qué se necesita hacer, dentro de qué plazos y cuáles son las funciones en la implementación del proyecto. En otras palabras, debe aplicar métodos de gestión de proyectos. 3. Definir objetivos y alcance; red

Los expertos en seguridad alertan de la llegada de un nuevo troyano que promete dar mucha guerra en los próximos días. Se trata de Ares, que se presenta como un malware muy peligroso debido a su gran versatilidad. Y es que el propio creador de este troyano ha confirmado que Ares no estará centrado sólo en atacar a la banca, sino que cada una de sus copias “puede ser única y puede configurarse en función del comprador”, lo cual multiplica las dificultades para su detección. También ha advertido que “tiene las mismas capacidades como troyano bancario que Zeus”, una de las amenazas más peligrosas, que a principios de noviembre consiguió pasar de los ordenadores a los móviles. Pero los ciberdelincuentes no sólo van a poder utilizar este troyano para infectar equipos, sino que hay todo un kit de desarrollo circulando por el mercado negro del cibercrimen. Este kit se vende de manera gratuita a “desarrolladores de confianza”, pero puede llegar a costar hasta 6.000 dólares a los ciberdelincuen

En el informe de IT anual de Kroll Ontrack se hace un recorrido por los últimos 10 años en lo que respecta a la relación entre tecnología, legislación y políticas relacionadas. Con los años, ha habido un "efecto de maduración" en las empresas con respecto a la preparación y la promulgación de políticas. Las organizaciones comienzan a entender el valor de definir cómo gestionar la seguridad y, en consecuencia, tienden poco a poco a desarrollar estrategias de gestión, aplican herramientas de tecnología y, lo más importante, destinan presupuesto para dichos objetivos. Descarga del documento informe: http://www.krollontrack.com/library/esitrends4_krollontrack2010.pdf

La increíble cantidad de información continuamente filtrada en Internet, y por lo tanto accesible desde Google, es de gran utilidad a los pentesters (y delincuentes) de todo el mundo. Johnny Long de Hackers for Charity comenzó hace tiempo Google Hacking Database (GHDB) para servir de repositorio a términos de búsqueda comunes, llamados Google-Dorks y que exponen información confidencial, vulnerabilidades, contraseñas, y mucho más. Como Johnny está en una misión en Uganda, amablemente ha permitido a Exploit-DB resuciar GHDB y esto permitirá proporcionar información lo más actualizada posible y nuevos Dorks. Fuente: http://www.exploit-db.com/google-hacking-database-reborn/

Como mencionamos en repetidas ocasiones, el manejo de la información y los datos son temas sensibles, y pueden exponer al dueño de estos ante situaciones no deseadas. Es por ello que con el boom de los smartphones se debería de tomar mayor conciencia de qué datos podemos entregar cuando vendemos, cambiamos o dejamos de lado nuestro equipo por otro nuevo. Es decir, al momento de cambiar nuestro dispositivo móvil (algo que hacemos cada vez más seguido), podemos dejar olvidados en el equipo fotos, mensajes, contactos, contraseñas o incluso accesos a correos electrónicos ya sean laborales o personales, como así también contraseñas de Facebook, Twitter u otras tantas redes sociales. Todos estos, datos que pueden ser entregados con intención, o sin ella, a otra persona. Si cualquiera de ustedes va a vender su teléfono, regalarlo o simplemente devolverlo a su empresa, ¿qué debería de hacer? Lo más recomendable en estos casos es realizar un reinicio general del equipo, borrar todos los datos

Bit9 es una compañía dedicada a la seguridad informática que cada año saca una lista en la que muestra las aplicaciones que más errores presentan. Este año ya la han sacado y la verdad es que los resultados pueden hacer que más de uno entre en shock. Según sus pruebas Internet Explorer es más seguro que Firefox y Chrome. La lista consta de doce aplicaciones, entre las que encontramos cuatro navegadores. El más seguro según Bit9 es Opera con solo seis fallos, seguido de Internet Explorer con 32, Mozilla con 51, Safari con 60 y Chrome con 76. La lista es bastante curiosa, ya que sorprende ver que Internet Explorer sea más seguro que Firefox o Chrome, sin embargo otro detalle interesante es ver que Opera sea el más seguro de todos. Muchos pensarán que esta lista no tiene ningún tipo de credibilidad, pero la verdad es que Bit9 es una empresa muy seria que poco o nada tiene que ver con Microsoft. En primer lugar como aplicaciones más seguras encontramos Quicktime, empatado con Opera, y curi

Un estudio de Panda señala que el 40% del total de ejemplares de falsos antivirus se crearon durante 2010. La lista con las principales amenazas y cómo funciona este negocio que mueve más de u$s400 millones al año en estafas Desde que aparecieron hace cuatro años, se clasificaron 5.651.786 ejemplares únicos de rogueware, nombre que reciben los falsos antivirus entre las empresas de seguridad informática. De ese total, 2.285.629 aparecieron desde enero a octubre de 2010, indica un estudio de Panda. Allí se agrega que por día aparecen 63 mil amenazas nuevas, de las cuales 11,6% son falsos antivirus. La sofisticación de sus diseños, el realismo de los mensajes utilizados y el poderoso gancho social que supone el pensar que la salud de la PC está seriamente amenazada sigue funcionando, ya que son, cada vez más, los usuarios que siguen cayendo en este fraude. En lo que va de año, el 46,8% de las computadoras en el mundo están infectadas con todo tipo de malware: el 5,40% lo están con este t

Queda poco más de un mes para que llegue la navidad y con ella las compras, las felicitaciones y los buenos deseos para el próximo año. Precisamente, con todas estas acciones cargadas de buenas intenciones pueden llegar las estafas de la mano de los ciberdelicuentes. En este sentido, Dave Marcus, director de investigación de seguridad de MacAfee Labs comenta que “las estafas continúan siendo un importante negocio para los cibercriminales que tienen la mirada puesta en capitalizar nuestros corazones y nuestras carteras esta Navidad”. Por ello, os presentamos las 12 estafas más comunes en esta época. 1. Estafas de falsas ofertas de iPads: Los productos de Apple están liderando las listas de ventas esta Navidad, por lo que los cibercriminales están muy ocupados distribuyendo falsas ofertas de iPads gratuitos. 2. "Socorro, me han estafado": Esta estafa de viajes envía angustiosos mensajes telefónicos a familia y amigos pidiéndoles dinero para poder volver a casa en Navidad. 3. Ta

pyEye es el nuevo kit de creación de botnets que está recogiendo el exitoso testigo de Zeus. Se trata de un troyano bancario 2.0 que se vende en los entornos "underground" y que permite a un atacante crear de forma muy sencilla una botnet y recopilar datos sensibles de sus víctimas. Tras el vídeo publicado anteriormente, explicamos ahora sus funciones más llamativas. * Uno de los aspectos más curiosos de SpyEye es su panel de control y los métodos para robar datos y realizar fraudes. El más llamativo sin duda es "Create task for Billings". Este ingenioso método permite hacer que los datos de tarjetas de crédito robados sean usados directamente para realizar compras automatizadas en los lugares que el atacante elige. Por ejemplo: el atacante crea un software inútil o toma cualquier programa que no sea suyo y lo aloja en alguna plataforma de pago y distribución de software. Estas plataformas se encargan de realizar las gestiones de pago a los desarrolladores que aloja

Investigadores de una universidad francesa han demostrado que es posible crear programas maliciosos que exploten vulnerabilidades en el hardware de un ordenador vez de en su sistema operativo. Los investigadores de la Ecole Superiore d'Informatique, Electronique, Automatique afirman que han hallado un método que permite a los cibercriminales lanzar ataques informáticos dirigidos a CPUs vulnerables. “En este informe analizamos diferentes métodos y mostramos con bases técnicas con cuánta facilidad un programa malicioso puede reconocer y atacar sistemas de forma selectiva basándose en el chip de sus procesadores”, explicaron los investigadores en su informe titulado “Malware y códigos para procesadores”. de ataque es complejo y todavía no está bien desarrollado. La parte más difícil de este proceso es descubrir el tipo de procesador que emplea cada ordenador; este dato es esencial para lanzar los ataques. Para hacerlo es necesario enviar una serie de problemas matemáticos clave al ord

SpyEye es el nuevo kit de creación de botnets que está recogiendo el exitoso testigo de Zeus. Se trata de un troyano bancario 2.0 que se vende en los entornos "underground" y que permite a un atacante crear de forma muy sencilla una botnet y recopilar datos sensibles de sus víctimas. Hemos grabado un vídeo para demostrar lo sencillo que sería para un atacante crear este troyano. Zeus (Zbot) lleva ya varios años siendo de los troyanos bancarios más presentes en los equipos infectados. Supuso una revolución por su facilidad de uso y eficacia. Las botnets controladas por él (más o menos numerosas) se cuentan por cientos de miles. Pero la atención mediática recibida parece haber hecho mella y ha llegado el momento en el que otros desarrolladores tomen el testigo y creen una herramienta "rival". SpyEye es el digno sucesor de Zeus. En sus primeras versiones, parecían competir entre ellos (SpyEye eliminaba de los equipos infectados a Zeus para alojarse él mismo) pero los ú

El padre y creador de MySQL, Michael “Monty” Wideniu el año pasado pedia ayuda a la comisión europea para salvar a MYSQL de las garras de Oracle. Como ya todos sabemos Oracle hace algunos meses compro a Sun, destruyo a OpenSolaris y hoy pública los nuevos precios para las suscripciones MYSQL. Oracle ha decidido imponer su criterio y eliminar la suscripción básica que antes ofrecía Sun a un precio de 599 dólares anuales. A partir de ahora, el precio más bajo que se podrá pagar por hacerse con una suscripción a MySQL es nada menos que 2.000 dólares. Eso, cuando estemos hablando de una suscripción estándar con entre uno y cuatro sockets, ya que si hay más de cinco la cifra sube hasta los 4.000 dólares. Solo el tiempo nos dira que tanto funciona la estrategia de precios de Oracle. Y cuantos usuarios o empresas dejaran de utilizar MySQL y prefieran utilizar otras bases de datos tales como PostgresSQL. Fuente: http://www.mysql.com/products/

Seguridad y redes de Alfon ha creado una interesante sección dedicada a la representación gráfica de tráfico de red y en esta ocasión vamos a estudiar NetGrok, herramienta multiplataforma basada en Java. NetGrok trabaja, como la mayoría de herramientas que hemos visto, tanto con ficheros .pcap como directamente desde una interface de red, pudiendo, de esta forma, realizar el análisis del tráfico en tiempo real. Otras herramientas vistas: • NetGrok • Inetvis • Xplot 1 y 2 • TNV • AfterGlow • AfterGlow para Windows Fuente: http://seguridadyredes.nireblog.com/post/2010/11/09/netgrok-visualizando-graficamente-el-trafico-de-red-en-tiempo-real-visualizacian-pcap

Existen pocas herramientas administrativas o de gestión que sean confiables, la mayoría de estas ya las probé y son buenas, así que,,, les paso un buen Link para los amigos admin's 1. Permissions Analyzer for Active Directory - Get Instantaneous Visibility Into Effective Permissions. 2. VM Console - Bounce VMs & Track Their Status from Your Desktop! 3. SAN Monitor - Quickly & Easily Monitor Your Storage Array. 4. Network Device Monitor - Monitor Any Statistic on Any Network Device. Y muchos mas aquí .

Una compañía Rusa de nombre Elcomsoft, que ha desarrollado softwares efectivos para el crackeo de passwords para los formatos de cifrado más comunes de PC y que además ha liberado una herramienta para recuperar back ups de iPhone desde el PC, ha logrado crackear el sistema de backup de Blackberry. Mientras que los datos viajan desde y hacia los servidores Blackberry de una manera hasta ahora segura, los backups regulares que los dispositivos BlackBerry almacenan en una computadora son vulnerables a un ataque de recuperación de contraseña. Con el Phone Password Breaker de Elcomsoft, se puede crackear un archivo de backup de BlackBerry de siete caracteres en aproximadamente media hora, utilizando una máquina con un Intel Core i7. Según explica Vladimir Katalov de Elcomsoft, la razón de esta falta de seguridad es porque contrario a Apple, que utiliza 2.000 iteraciones de una función llamada "standard key-derivation" en sus backups iOS 3.x con cifrado AES (y 10.000 iteraciones en

Microsoft vuelve a mejorar la seguridad de su correo electrónico permitiendo a sus usuarios que establezcan el cifrado por defecto. Microsoft ha anunciado que está ofreciendo a los usuarios de Hotmail la posibilidad de hacer uso del cifrado de datos cuando utilicen su servicio de correo electrónico gratuito. Para poder hacerlo el usuario tiene que acceder a una sesión segura "https", por lo que acceder a su cuenta de Hotmail a través del enlace "https://hotmail.com", o lo establecerá por defecto en https://account.live.com/ManageSSL. Antes SSL sólo se utilizaba en el momento del registro, pero ahora está disponible desde el inicio hasta que el usuario se cierra la sesión. Además de Hotmail, Microsoft también ha dicho que a partir de ahora las páginas de SkyDrive, Photos o Docs también utilizarán de manera automática cifrado SSL. Google siempre ha ofrecido a los usuarios de Gmail, su servicio de correo electrónico, la capacidad de utilizar HTTPS y ha hecho que esta c

Le damos la bienvenida a la guía y kit de herramientas del programa de Concientización en seguridad de Microsoft. Microsoft reconoce que la Concientización y el aprendizaje en seguridad de la información es fundamental para la estrategia de seguridad de la información de cualquier organización y sus operaciones de seguridad asociadas. Las personas son en muchos casos la última línea de defensa frente a amenazas tales como código malintencionado, empleados descontentos y terceros malintencionados. Por lo tanto, es preciso educar a los usuarios en lo que su organización considera un comportamiento apropiado y consciente de la seguridad, y también acerca de qué prácticas recomendadas de seguridad es necesario adoptar en la actividad laboral diaria. Se ha reunido este kit para proporcionar orientación, muestras y plantillas para crear un programa de Concientización en seguridad. Guía de desarrollo del programa de Concientización en seguridadEste material de orientación incluye el artículo

HP publicó un reporte de investigación que destaca las tendencias de la computación empresarial y vulnerabilidades en la seguridad de las redes en la primera mitad de 2010, proveyendo a la administración de TI con información detallada sobre riesgos potenciales para sus datos en la empresa. El reporte, elaborado por Digital Vaccine Labs (DVLabs) de HP TippingPoint, ofrece a las organizaciones visibilidad de los ataques que se centran en sus aplicaciones y redes en operación. Esta información permite a los administradores hacer los cambios al sistema que se necesiten para reducir la posibilidad de infracciones en la red que pudieran conducir a pérdidas financieras o a una disminución de la productividad. El uso de parte de empleados de aplicaciones de negocios basadas en la web y sitios de redes sociales mientras están conectados a redes corporativas continúa creciendo todos los días. Aunque la premisa de los empleados en cuanto a estos programas es honorable (ayudar a crear conscienci

Según un estudio realizado recientemente por INTECO, 8 de cada 10 equipos se encuentran infectados con algún tipo de código malicioso. Ante estos datos tan alarmantes, Microsoft ha elaborado una Guía de Seguridad que intenta describir los pasos prioritarios que una empresa debe implementar para proteger su entorno. Es necesario incidir en la necesidad de un cambio de concepción, que conlleva al empleo de medidas reactivas a proactivas en la gestión de la seguridad. Las medidas reactivas son soluciones parciales, medidas de protección implementadas sin apenas intervención del usuario, que básicamente consisten en “la instalación del producto” sin un seguimiento y control continuado. Si desea evaluar los puntos débiles de su entorno de seguridad de IT puede usar la herramienta gratuita de Evaluación de Seguridad de Microsoft (MSAT), diseñada para ayudar a las organizaciones de menos de 1.000 empleados. • Revisar Herramienta de Evaluación de Seguridad de Microsoft (MSAT) • Revisar la Guía