SEGURIDAD Y AUDITORIA DE SISTEMAS

Un investigador australiano, Silvio Cesare, ha desarrollado una herramienta que es capaz de detectar vulnerabilidades en Linux de forma automática. De acuerdo a sus estudios, los problemas y defectos que tienen las aplicaciones se deben en gran parte en la inseguridad de Internet. Él plantea que si se incorpora la detección de errores de forma temprana, desde la etapa de QA por ejemplo, se podría hacer que el software sea más seguro desde el comienzo. En el modelo tradicional, para detectar paquetes con fallos, es necesario demostrar la lógica de Hoare. Sumado a eso, se realiza un control de modelado y un análisis estático. A su vez, actualmente, los desarrolladores normalmente hacen uso de código embebido de otros proyectos utilizando enlaces estáticos en vez de librerías externas. Eso significa que se mantiene una copia interna del código de la librería. El problema, es que este comportamiento no es fomentado por las políticas de utilización de paquetes de Linux, ya que más de dos ve

Un desarrollador especializado en Android ha denunciado públicamente la existencia de un programa, preinstalado de forma oculta en muchos modelos de teléfonos móviles en EEUU, que registra una gran cantidad de datos de usuarios para enviarlos a continuación a los operadores. Trevor Eckhart, un joven experto de 25 años miembro de la comunidad XDA, descubrió su funcionamiento y pudo constatar que dicho 'software' registraba una importante cantidad de datos, algunos de ellos protegidos por las leyes sobre privacidad, incluso el contenido mismo de las comunicaciones. Se trata de un programa creado por CarrierIQ, una compañía que proporciona datos para estadísticas a los principales operadores estadounidenses. Operadores como Verizon o Sprint utilizan sus servicios. Según dicha compañía, este programa se encuentra implementado en más de 140 millones de móviles con Android, además de dispositivos Nokia y BlackBerry, y en principio no es utilizado por operadores europeos. Eckhart,

Qué es el Día Internacional de la Seguridad en Cómputo? El DISC conocido internacionalmente como International Computer Security Day, es un evento anual establecido en 1988 por la ACM (Association for Computing Machinery) para recordarnos que: Todo el que utiliza una computadora debe tomar las medidas apropiadas para proteger al sistema, a los programas y a los datos. Por supuesto no debemos tomar precauciones solamente en el día de la seguridad, sino durante todo el año para poder confiar en nuestros sistemas de cómputo. El DISC se lleva a cabo de forma simultánea en cada una de las organizaciones participantes en todo el mundo y no en un sólo sitio. Por esto, ofrece la posibilidad de llegar a mucha más gente que una conferencia "tradicional&q uot;. El objetivo a largo plazo del DISC es hacer llegar su mensaje a todos los usuarios de sistemas de cómputo en instituciones educativas, empresas y organizaciones de cualquier tipo. Cuándo es el DISC? El día oficial establecido por

Por Tania Sagastume Artíulo publicado en la Edición Nº 9 - Octubre 2011 - de la Revista Digital ElDerechoInformatico.com. - Su autora es Tania Sagastume Bulnes-Bueso, Abogada-Magister en Derecho Empresarial- Universidad Católica de Chile. Superintendente de Valores y Otras Instituciones, Comisión Nacional de Bancos y Seguros de Honduras. En el siguiente artículo se presenta un análisis de los principales aspectos de la política de seguridad de Facebook (FB), legislación vigente, así como medidas a implementarse por los usuarios de FB para proteger su información. PRINCIPALES ASPECTOS DE LA POLÍTICA DE SEGURIDAD DE FACEBOOK (A Diciembre 2010) a. Aspectos Generales La política de seguridad de FB inicia señalando que es de exclusiva aplicación para ellos y no para aplicaciones o sitios web que utilizan su plataforma, Asimismo establece que no se crean cuentas a menores de 13 años y en caso de detectar un perfil de un menor de 13 años la cuenta se bloquea. Sobre este punto FB recalca la re

Estuve revisando el software y hardware que suelo llevarme cuando tengo un caso o intervención en un cliente y he creído conveniente compartir las utilidades que mas suelo emplear o que alguna vez he necesitado. También de paso contesto a los correos en los que me preguntáis por una u otra herramienta. Quiero decir que este recopilatorio es personal y se basa en aquellas utilidades que suelo emplear o como ya he dicho he precisado alguna vez. Algunas son comerciales y en su mayoría 'Open'. He puesto 101, pero seguro que me dejo alguna. Estan ordenadas alfabeticamente pero no las he categorizado dado que muchas hacen lo mismo y valen tanto para analizar ordenadores como dispositivos móviles, buscar malware o encontrar evidencias. Espero que sean de utilidad 101 UTILIDADES Advanced Prefetch Analyser Hallan Hay Lee los ficheros prefetch de Windows. Simplemente genial Agent Ransack Mythicsoft Busca multiples ficheros usando Perl Regex. Lo he utilizado alguna vez con resultados muy

El blog Sophos Naked Security, una empresa de seguridad informática, expresó de manera muy directa que “Internet Explorer 6 debe morir”. Gigantes como Google, YouTube o Facebook no dan más soporte para el navegador, es decir que no se puede acceder a esos sitios desde allí, y además expone al usuario a amenazas de seguridad. La versión 6 del navegador de Microsoft nació hace 1’ años, y aún hoy es utilizada por un 7,9% de los usuarios alrededor del mundo. En la Argentina, la cifra baja al 2% pero recomiendan dejar de usarlo. Incluso la misma Microsoft lanzó una fuerte campaña online para que los usuarios actualicen sus sistemas e ingresen a una “nueva era en la navegación web”. Su meta es que en cada país no más del 1% de los internautas lo emplee. Sin embargo, China es el que está más lejos de lograr el cometido: un 25,6% de los usuarios aún lo emplean. En los EEUU el porcentaje desciende al 1,3%. En Noruega, apenas el 0,1% lo utiliza. La recomendación de Sophos de “dar muerte al I

Además, un 35% de compañías (más cuando se habla de comercio electrónico), almacena datos de sus clientes en servidores habituales, que debrían estar protegidos. Según un estudio, el 63% de las empresas EMEA han hecho una gran inversión para poder cumplir con las Normas de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago, para garantizar la total seguridad de los datos de sus usuarios. Esto significa que aún hay cerca de un 40% de empresas que presentan riesgos al respecto. Por su parte, el informe presentado por Safenet, tras encuestar a 170 directivos de seguridad TI en empresas en la región EMEA, ha descubierto que “el 35% de las organizaciones almacenan datos de sus clientes en servidores virtuales“. Cuando se trata de comercio electrónico la cifra es “aún mayor”, según el informe. Siendo así, Safenet recuerda a los retailers online que “tienen que seguir las leyes impuestas por los organismos de regulación de la industria de pagos con las tarjetas de crédito“. La e

Todos los años el laboratorio independiente, Virus Bulletin, celebra el evento más importante del año para la comunidad de investigadores de la industria antivirus, la Virus Bulletin Conference. En esta conferencia participan los principales investigadores de los laboratorios antivirus, entre ellos ESET, presentando las principales tendencias en lo que respecta al mundo del malware y cibercrimen. Una de las charlas técnicas de gran importancia fue la dictada por Holly Stewart de Microsoft, ya que trató de los principales exploits del año 2011. A continuación hablaremos acerca de esta charla y los principales puntos expuestos. La manera más simple de diferenciar los distintos tipos de exploits es según la tecnología que utilicen, es decir, el medio que han vulnerado para así poder lograr su fin. La explotación de las vulnerabilidades en Java han sido las más importantes en este año, esto es porque solo las 5 principales explotaciones de vulnerabilidades de Java representan un 89% del to

Los sistemas de monitorización social comúnmente conocidos como redes de espionaje, son mecanismos, normalmente gubernamentales, que se encargan de interceptar y analizar todo el tráfico que se transmite por las comunicaciones electrónicas, para así, como “ellos” lo definen, poder detectar y anticiparse a ataques terroristas, planes de narcotráfico y conspiraciones políticas entre otras funciones. Existen diversos sistemas que cumplen estas características y con esta serie de posts me gustaría hacer una pequeña introducción a algunos de ellos. Echelon La red Echelon es considerada como la mayor red de espionaje creada para la interceptación de comunicaciones electrónicas de toda la historia y es el sistema de espionaje más conocido de todos sin lugar a dudas. Se han escrito multitud de libros e incluso se ha hecho alguna película (“Echelon conspiracy”) donde tenemos a Echelon como principal “protagonista”. Sus orígenes se remontan a finales de la Segunda Guerra Mundial, cuando Estad

De acuerdo al Instituto de Auditores Internos (IAI), la auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a la organización a cumplir sus objetivos, aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. Habrá empresas y ejecutivos que consideran a la auditoría como un gasto o perdida de tiempo, provocando una actitud en el empleado de rechazo. Sin embargo, son más las percepciones que ven como necesario la existencia de un equipo interdisciplinario independiente que ayude a cumplir con las actividades planteadas en la definición. Propósitos y Alcance Los propósitos y alcances de un trabajo de auditoría pueden ser variados. Los trabajos de auditoría abarcan todas las actividades financieras y de operaciones, incluyendo sistemas, producción, ingeniería, comercialización y recursos

Fuente: IT-Insecurity Con frecuencia escuchamos hablar sobre el fraude, sobre como personas desarrollan actos intencionales o causados por omisión para engañar a otros, con resultados que generalmente terminan con una pérdida para alguien y una ganancia para un delincuente. El fraude es tan antiguo como la humanidad, la capacidad de traicionar, adulterar, falsificar, suplantar, de efectuar una acción con “dolus”, es decir, con ardid, treta o artimaña, está enraizada en cada una de los seres humanos en mayor o en menor medida, según su estructura de bienes libremente elegidos y su inclinación natural a lo menos bueno. En ese sentido, tratar de establecer un patrón o perfil de los defraudadores pasa primero por identificar algunas situaciones que se presentan alrededor de las personas, que pueden llevar a la materialización de un fraude. Sin perjuicio de lo anterior, es importante anotar que los indicadores que se presentan a continuación son sencillamente una lista de consideraciones y

Hoy en día, existen básicamente dos formas de actuación de las personas que se dedican al fraude de las tarjetas de crédito: por un lado, la obtención de la tarjeta física como tal, y por el otro la grabación de los datos de la banda magnética para su posterior utilización, ya sea a través de una nueva tarjeta o utilizando los datos en compras realizadas a través de Internet. Si bien la nueva tecnología EMV-Chip impide la clonación de la banda magnética, lo cierto es que es conveniente saber qué hacer ante un robo, pérdida o detección de fraude. Una vez se detecte o se sospeche del fraude, lo primero es dar aviso inmediato a la entidad bancaria para informar la situación y solicitar la cancelación de la tarjeta. Tras la cancelación, deberá comprobar si se han realizado algún tipo de transacciones que usted no reconozca como suyas. Debe saber que, después del aviso del robo o la pérdida cualquier transacción que se lleve a cabo, será responsabilidad de la entidad. A continuación en

Hay un entorno en el que el uso de las redes sociales puede hacer que aparezcan nuevos riesgos cuyas consecuencias deben valorarse: el entorno corporativo. Cada vez que se dispone de un nuevo mecanismo que las organizaciones pueden aprovechar para otorgar valor, se plantea el debate sobre su uso y surgen los que inmediatamente lo implementan, los que son completamente detractores y los que esperan a ver cómo les va a otros. Las redes sociales son un mecanismo que puede permitir la comunicación entre los integrantes de la organización de una forma fácil, rápida y amena. Sin embargo, hay determinados aspectos que dejan entrever que quizá antes de conceder acceso a redes sociales desde el interior de una organización, deben sopesarse los riesgos que ello comporta, entre los cuales figuran los siguientes: Problemas derivados del licenciamiento y Condiciones del Servicio Imaginemos que un empleado coloca por error en la Red información confidencial de la organización (de la que no es pr

En un post anterior hablamos sobre las repercusiones que puede tener el uso de las redes sociales para un usuario, sea cual sea el entorno en el que se encuentre. Pero hay un entorno en el que el uso de las redes sociales puede hacer que aparezcan nuevos riesgos cuyas consecuencias deben valorarse: el entorno corporativo. Cada vez que se dispone de un nuevo mecanismo que las organizaciones pueden aprovechar para otorgar valor, se plantea el debate sobre su uso y surgen los que inmediatamente lo implementan, los que son completamente detractores y los que esperan a ver cómo les va a otros. Las redes sociales son un mecanismo que puede permitir la comunicación entre los integrantes de la organización de una forma fácil, rápida y amena. Sin embargo, hay determinados aspectos que dejan entrever que quizá antes de conceder acceso a redes sociales desde el interior de una organización, deben sopesarse los riesgos que ello comporta, entre los cuales figuran los siguientes: Problemas deriva