SEGURIDAD Y AUDITORIA DE SISTEMAS

Por Daniel Bonina: Hace varios días que mi hija menor me pide que le lea el cuento de Caperucita Roja y hace varios días que vengo viendo el clarisimo ejemplo de robo de identidad a la inocente niña de rojo, que, claramente, no es la de la foto que sigue aunque, a fines de ilustrar este articulo me pareció mas divertida. Vamos a repasar un poco el cuento y a medida que avancemos me voy a detener a hacer algunos comentarios… Había una vez una niñita en un pueblo, la más bonita que jamás se hubiera visto; su madre estaba enloquecida con ella y su abuela mucho más todavía. Esta buena mujer le había mandado hacer una caperucita roja y le sentaba tanto que todos la llamaban Caperucita Roja. Hasta acá vamos bien, hasta por ahi es la chica de la foto, le queda linda la caperucita. Un día su madre, habiendo cocinado unas tortas, le dijo. —Anda a ver cómo está tu abuela, pues me dicen que ha estado enferma; llévale una torta y este tarrito de mantequilla. Primer error! como va a mandar

Desde el punto de vista del análisis forense, las plataformas Windows no son sencillas. Al contrario de lo que se suele creer, son sistemas con una complejidad manifiesta, donde por la naturaleza del sistema y su modelo de código existen funciones que no están documentadas y donde existen infinidad de artefactos de los que es posible recoger las evidencias que necesitamos en cada caso. Para añadir dificultad, muchas de estas evidencias pueden ser recogidas individualmente pero necesitarán posteriormente una correlación para poder establecer una línea temporal o un patrón comportamental. Uno de esos muchos artefactos, o conjunto de artefactos, son las llamadas shellbags. El propósito de este articulo es ofrecer una visión introductoria a los perfiles de usuario y los procedimientos específicos para realizar un análisis sobre los artefactos relacionados. No pretende ser una revisión en profundidad del registro de Windows, para lo cual recomiendo Windows Registry Forensics de Harlan Carv

Un estudio elaborado por NSS Labs [PDF] , ha concluido que Internet Explorer 9 puede eliminar hasta el 92% del malware de ingeniería social, lo que lo convierte en el navegador más eficaz contra este tipo de malware. Para este estudio, NSS Labs probó un total de 615 URLs maliciosas durante un período de 19 días. Por detrás de Internet Explorer 9 iría su antecesor, Internet Explorer 8, que identificó el 90% de las URLs maliciosas. Le seguirían, aunque muy de lejos, Safari 5, Google Chrome 10, y Mozilla Firefox 4, que sólo localizaron cada uno el 13% de las amenazas. Pero el peor parado ha sido Opera 11, quien tan sólo logró identificar el 5%. Por su parte, los expertos de seguridad consideran que este estudio de NSS ofrece dudas en lo que se refiere a su fiabilidad, la cantidad de muestras analizadas, no hace un estudio muy completo, no analiza las funciones de seguridad extra y complementos que ofrecen los navegadores. Fuente: http://blog.segu-info.com.ar/#axzz1SYnea7N5

Las autoridades estadounidenses detuvieron a catorce personas en varios puntos del país, en una extensa operación dirigida contra el grupo de ciberpiratas Anonymous por los ataques realizados contra el servicio de pagos por internet PayPal. Las detenciones se realizaron en los estados de Alabama, Arizona, California, Colorado, Florida, Massachusetts, Nevada, Nueva México y Ohio, así como en Washington, la capital del país, según indicaron en un comunicado conjunto la Oficina Federal de Investigaciones (FBI) y el Departamento de Justicia. Los agentes del FBI procedieron a los arrestos de esos individuos después de llevar a cabo varias redadas en distintas ciudades de Estados Unidos, como Nueva York, con órdenes de registro para viviendas de varios barrios así como de la zona de Long Island, aunque no se procedió a ninguna detención. Las autoridades emitieron hoy más de 35 órdenes de registro en todo el país como parte de una investigación para esclarecer la serie de ciberataques coordin

Eduardo Laporte e Iñigo Antolín, dos periodistas españoles, se han unido para crear la versión española de Wikileaks, Minileaks, una web sin ánimo de lucro donde cualquier usuario puede aportar cualquier documento de interés público. El nuevo servicio ya está abierto a todo el mundo, aunque de momento se encuentra en fase beta. Minileaks se describe como una iniciativa ciudadana, transparente y abierta hacia la colaboración sin ánimo de lucro. Por ejemplo, en su última publicación han develado documentos que ponen en duda la inversión en Bankia, el nuevo banco producto de la fusión de varias entidades. Minileaks ha señalado que mantiene y mantendrá estrecha relación con los medios y garantiza la confidencialidad del denunciante, y que garantizará la autenticidad de la información, asegurando contrastar las versiones de las partes previa publicación. Por otro lado, para que puedan llegar a mucha más gente las noticias interesantes publicadas en el servicio, Minileaks tiene también cuent

GEMA ROMERO - VALENCIA 14.07.2011 La prensa de Estados Unidos llegó a calificarlo como "el hacker más buscado del planeta". Hablamos de Kevin Mitnick, uno de los hackers más famosos de las últimas décadas, que ahora trabaja como consultor en temas de seguridad. Cuenta con más de 25 años de experiencia en el mundo de la seguridad informática, en el que aprendió de forma autodidacta a descubrir las vulnerabilidades de los complejos sistemas operativos y dispositivos de telecomunicaciones. Su 'hobbie', que consistía en estudiar métodos, tácticas y estrategias para burlar la seguridad infomática, le llevó a pasar una larga temporada en la cárcel en los años 90. Tras esta negativa experiencia, creó su propia empresa dedicada a la consultoría y asesoramiento en materia de seguridad. Mitnick ha visitado la Campus Party para compartir sus conocimientos y experiencias con los 'campuseros', que han abarrotado el Auditorio Museo Príncipe Felipe para escuchar la confer

Es uno de los mayores robos de datos en la historia del Pentágono: El Departamento de Defensa de EE.UU. afirma haber sido atacado y durante el ciberataque se sustrajeron 24.000 documentos secretos. Detrás del ataque se presume que hay un gobierno extranjero. El subsecretario de Defensa de EE.UU. William Lynn el jueves admitió que el robo de datos digitales fue llevado a cabo en marzo pasado. Lynn no dio detalles de los datos robados, pero admitió que a pesar de los ataques cibernéticos en el pasado, fue robada información muy sensible, algunos de ingeniería aeronáutica y las tecnologías de vigilancia. EE.UU. sospecha que hay un gobierno extranjero, posiblemente China y en algunos casos incluso Rusia. Una de las preocupaciones del Departamento de Defensa de EE.UU. es que alguien eventualmente pueda penetrar en sus redes informáticas y pueda causar daños graves. En esta batalla también se basan en la cooperación con los países extranjeros y dicen que "es fundamental establecer rela

El Total Cost of Ownership –Costo Total de Propiedad– es un modelo que ayuda a las empresas a analizar todos los costos y beneficios relacionados con la adquisición, desarrollo y uso de componentes de Tecnologías de Información (IT) a lo largo de su ciclo de vida. Desde siempre, las organizaciones han exigido que las personas corroboren su identidad antes de otorgarles acceso a elementos o ubicaciones de importancia. En los casos en que un oficial de aduana le solicita a una persona mostrar el pasaporte, un empleado bancario le pide a un Cliente que acredite su identidad antes de llevar a cabo una operación de extracción o una empresa le exige a sus empleados mostrar una credencial con foto para ingresar en el edificio, el objetivo es siempre el mismo: evitar instancias de acceso no autorizado. Generalmente, el tipo de identificación requerido es, en gran medida, proporcional al valor del recurso que se desea proteger. La modalidad actual de esta práctica les exige a las empresas auten

CoBIT ha sido, sin lugar a dudas, el recurso dominante para los profesionales de auditoría de TI y otros cuando se trata de controles de TI y seguridad. Además, la guía sobre el gobierno del IT Governance Institute ha estado excelente, ha sido el riskit el marco de ISACA. Ahora, ISACA ha combinado RiskIT de IT Governance Institute y su marco ValIT para obtener un nuevo "producto" muy importante: CoBIT 5. Ya se pueden descargar los nuevos borradores del proyecto (Framework and Process Reference Guide) desde el sitio web de ISACA, y allí también se pueden enviar comentarios sobre esta nueva versión, los cuales serán aceptados hasta el próximo 31 de julio. Algunos de los puntos que se pueden comentar: •¿La guía debe ser sobre "la información" (como se dice en la introducción) o sobre "la tecnología"? •¿La guía deber estar orientada a las funciones de TI, o sobre el uso de la tecnología en el negocio? Cada vez más, la tecnología no es la única provincia del

Entre los principales problemas de seguridad que sufren algunos usuarios de servicios como Hotmail, Gmail, Facebook, Twitter… está la suplantación de identidad que consiste en la apropiación del nombre, contraseñas y/o patrimonio de otra persona con el fin de realizar actos delictivos. Vamos a explicar detalladamente en qué consiste la suplantación de identidad, quién es susceptible de ser suplantado y cómo denunciar si eres una víctima o testigo de esta práctica fraudulenta. ¿Qué es la suplantación de identidad? Se conoce la suplantación de identidad como la actividad maliciosa en la que un atacante se hace pasar por otra persona por distintos motivos como: cometer un fraude, realizar ciberbullying o grooming… Un caso típico de suplantación de identidad es, en las redes sociales, crear un perfil de otra persona e interactuar con otros usuarios haciéndose pasar por ella. ¿A quién pueden suplantar su identidad? La respuesta es simple y clara, cualquier podría ser suplantado en Inte

El Departamento de Seguridad Nacional estadounidense (DHS) va a lanzar una lista con los 25 errores de programación más importantes que permiten que se lleven a cabo los ataques hackers más comunes y peligrosos. El objetivo es dar información a las compañías y las organizaciones sobre los canales que utilizan los hackers para conseguir acceso a información confidencial y servidores. Sin embargo, los trabajadores también pueden suponer un problema.Los errores de software que aparecerán en la lista del DHS son muy comunes y pueden dar lugar a los llamados exploits ‘zero day’ (día cero). El primer elemento en esta lista es un error de programación que puede hacer que un servidor sea vulnerable a ataques de inyección SQL como los utilizados por organizaciones como LulzSec y Anonymous para acceder a información supuestamente segura. La lista ha sido creada por el DHS en colaboración con SANS Institute y Mitre, según informa el New York Times, e incluirá información personalizada para difere

En estos días hemos leído en los medios todo tipo información sobre una botnet indestructible que supuestamente ha dejado a todos los expertos del mundo "con la boca abierta" (frase que han empleado en muchos artículos). En este caso concreto, ¿qué significa eso de indestructible?, porque puede llegar a confundir y asustar al usuario: ¿significa que no podré eliminarlo nunca de mi sistema? ¿Significa que nadie podrá eliminar nunca la botnet? Vamos a intentar aclarar por qué se ha llegado a esta conclusión, y si es cierta o no. Kaspersky ha hecho sonar la alarma. TDL4 era la evolución de TDL (nacida en 2007). Esta nueva versión contaba con 4.5 millones de sistemas infectados, y dispone de recursos muy avanzados para permanecer en el sistema infectado. Cabe destacar que se trata de una botnet destinada a crear fraudes por "click" en publicidad. Sus principales características que destacaba el artículo son: Nueva con ... ¡4.5 millones de víctimas! Parece que ya se sabí

La administración de riesgos implica: 1. Un sistema formal para: - Identificar y/o anticipar, medir y controlar riesgos - Registrar información - Monitorear resultados 2. Administración económica: Adoptar medidas cuyo costo sea inferior a sus beneficios por medio de la reducción del costo de las pérdidas o la evitación de pérdidas catastróficas. 3. Establecer responsabilidades para la administración de los riesgos para proveer una defensa contra su eventual materialización. IDENTIFICACIÓN Y MEDICIÓN DE RIESGOS Son varias las razones para emprender la medición de riesgos: a) PARA TOMA DE DECISIONES DE ASUMIR RIESGOS: - Es el riesgo muy grande en relación con su probable beneficio? - Involucra demasiada incertidumbre como para aceptar su manejo? b) PARA TOMA DE DECISIONES DE CONTROL DE PÉRDIDAS: - Cómo puede ser controlado el riesgo? - Cuánto puede costar su control? - De qué manera puede afectar la actividad de control de pérdidas el costo probable de una pérdida? c) PARA TOMA DE D