SEGURIDAD Y AUDITORIA DE SISTEMAS

Uno de los principales problemas de WhatsApp es que los mensajes van en claro. Esto significa que es relativamente sencillo si compartimos red poder ver los mensajes que envían otras personas. Por ejemplo en una red WiFi pública, que por lo general no tienen ningún tipo de cifrado. Pero ahora esto se corrige dado que por fin WhatsApp añade cifrado al envío de mensajes en su nueva versión para iOS. La versión nueva versión para iOS, la 2.8.3 se encuentra disponible desde ayer en la App Store. Además de esta cuestión, la novedad más destacable sería la descarga automática de imágenes. De momento los usuarios de Android tendrán que seguir esperando, aunque no creo que tarden demasiado en sacar una nueva versión que incluya esta característica que ha sido muy demandada por muchos usuarios. Por lo que respecta a la descarga automática de imágenes puede ser un problema para preservar las tarifas planas de datos para muchos usuarios. En ocasiones, sobre todo cuando se trata de vídeos, es

A veces, nuestra percepción de que algo es seguro en Internet se basa simplemente en un icono o una palabra. “Datos cifrados”, “Conexión segura”… Y pensamos que entonces todo está bien, que estamos protegidos con nivel casi militar. Sin embargo, esto no es siempre así: hoy vamos a comentar dos casos muy comunes, en los que parece que estamos protegidos cuando en realidad no es así. Y los ejemplos los conoceréis y probablemente usaréis: son Amazon y Dropbox. Conexión segura sólo para poner usuario y contraseña: sigues siendo vulnerable Todo parece muy seguro, ¿verdad? Veremos que no es así en realidad. Esta es una práctica demasiado extendida, por desgracia. La sensación de seguridad te la da el candado y las señales de “Página segura” cuando pones tu usuario y contraseña en una página para identificarte. Perfecto. Gracias a eso nadie podrá interceptar ni tu usuario ni tu contraseña. Lo malo viene después. Una vez que has entrado en tu cuenta, la página vuelve a HTTP normal. Tus

Para desarrollar una estrategia de riesgos de TI que ayude a asegurar el acceso continuo a los datos, es necesario prestar atención a varios aspectos importantes. Antes, las organizaciones abordaban estas cuestiones, por ejemplo mediante operaciones redundantes, infraestructuras de alta disponibilidad, operaciones continuas, capacidades de recuperación tras fallos y desastres, aisladas de la implementación. Pese a que cada uno de estos aspectos aborda la frecuencia de acceso, la protección o la frecuencia con la que se realizan copias de seguridad de los datos de forma totalmente distinta, la realidad es que sus cometidos se complementan y se solapan a la hora de prestar un servicio ininterrumpido. Juntas, estas capacidades ofrecen una estrategia de protección de datos y de acceso a la información que ayuda a garantizar una respuesta instantánea, un tiempo de inactividad prácticamente nulo y bajos niveles de pérdida de información crítica. En este informe de IBM, los empresarios

En general, en la práctica totalidad de las áreas de conocimiento técnicas, creamos estándares en base la experiencia adquirida y se van formando “de facto” las buenas prácticas que finalmente, cuando se generalizan, pasan a formar estándares y normativas. Si nos centramos en el mundo de las periciales informáticas, desde que ejerzo como perito judicial he añorado siempre un estándar que conduzca a aportar formalidad y calidad en los informes periciales que entregamos generalmente a abogados y jueces. La norma UNE 197001:2011 publicado en Marzo de 2011 tiene por objeto el establecimiento de las consideraciones generales que permitan precisar los requisitos formales que deben tener los informes y dictámenes periciales, sin determinar los métodos y procesos específicos para la elaboración de los mismos. Es decir, las normas que el documento final que concebimos para reflejar nuestra investigación. Desde mi punto de vista el documento permite: •Dar una estructura común para todas

El crecimiento en el uso de la información ha llevado a que los temas relacionados con su seguridad cobren gran relevancia dentro de las organizaciones, llevándola a ser parte de todo el análisis de riesgos del negocio. Lo más complicado al momento de integrar los temas de seguridad de la información es que, generalmente, no están enfocados en los objetivos del negocio y sus intereses. Para que un modelo esté en los mismos términos de los objetivos del negocio , debería tener en cuenta tres áreas principales: los lineamientos de seguridad, la gestión de la seguridad y los grupos de interés. Lo primero que es importante tener en cuenta son los lineamientos que se van seguir. Es decir, considerar las leyes o regulaciones que aplican a la realidad de la compañía y que deben cumplirse dependiendo de las normatividades vigentes en los países donde se desarrolla la actividad de la empresa. Por otra parte alinear la estrategia de seguridad con los objetivos de negocio, lo cual se ve refleja

Ya todos conocemos el magnífico proyecto dedicado a la seguridad de aplicaciones web OWASP (The Open Source Web Application Project). Si desarrollas aplicaciones web y no lo conoces o trabajas en el campo de seguridad y tienes que auditar aplicaciones web, ya estás tardando en añadirlo a tus favoritos. De entre muchas de las páginas e información que nos ofrece este wiki, esta página en concreto contiene una serie de plantillas sobre temas muy específicos con los que nos vamos a encontrar mientras desarrollamos nuetra aplicación. Además también tienen un par de referencias sobre la seguridad en móviles, más algunas otras que no están aún terminadas. Plantillas para desarrolladores •OWASP Top Ten Cheat Sheet •Authentication Cheat Sheet •Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet •Cryptographic Storage Cheat Sheet •Input Validation Cheat Sheet •XSS (Cross Site Scripting) Prevention Cheat Sheet •DOM based XSS Prevention Cheat Sheet •Forgot Password Cheat Sheet

Recientemente se lanzó una nueva distribución de Linux orientada a la seguridad en dispositivos móviles y el análisis de malware y forense sobre las plataformas orientadas a los mismos. Esta nueva distribución se conoce bajo el nombre de Santoku Linux . Actualmente la distribución se encuentra en su versión 0.1 alpha. El nombre Santoku se refiere a un cuchillo de cocina que proviene originalmente de Japón. El significado de esta palabra es “tres virtudes” o “tres usos”. Debido a las características de esta distribución, que explicaremos a continuación, fue la elección del mencionado nombre japonés. A continuación se adjunta una imagen del escritorio de Santoku: Tres virtudes o tres usos Anteriormente se mencionó que la distribución estaba orientada a la seguridad en dispositivos móviles, análisis de malware y análisis forense. El significado del nombre de la distribución, es decir, la motivación consiste en los tres tópicos antes señalados. Dentro de los tres usos que propone

Android Security Evaluation Framework o ASEF es básicamente un dispositivo virtual de Android (AVD – Android Virtual Device) pre-configurado capaz de estudiar el comportamiento de una o varias aplicaciones Android. La idea es importar dentro de este una o varias aplicaciones de un dispositivo Android, ya sean éstas, pre-instaladas por nuestro proveedor o instaladas por nosotros mismos. Este framework o marco de trabajo simula el ciclo completo de una aplicación y recoge toda la información que la aplicación maneja. Éste requiere intervención del usuario, es decir, el proceso sería instalar una aplicación dentro de este dispositivo virtual y jugar con dicha aplicación, ASEF monitorizará y guardará toda la actividad generada y luego basado en la colección de dichos datos aplica un serie de análisis cuyo objetivo es detectar comportamiento fuera de los normal, envío de datos personales: IMEI, IMSI, número de teléfono, etc. Este proyecto es de código abierto y se puede acceder a su có

Han pasado más de tres años desde que Ars descubrió la incapacidad de Facebook para eliminar realmente las fotos de sus servidores y recien ahora la compañía dijo que eliminaría las fotos en un plazo razonable de tiempo. El método para el controlar las fotos es guardar un vínculo directo a la imagen en cuestión, y luego del "borrado" probar abrirla directamente a través de su URL. Para Twitter y Flickr, eliminar (definitivamente) las fotos de sus redes de distribución de contenido (CDN) sólo toma unos segundos pero MySpace y Facebook no son tan rápidos. MySpace se toma varios meses para eliminarlas y Facebook suele tardarse más de un año o incluso hasta 3 años en algunos casos. En febrero de este año, la compañía finalmente admitió que "sus sistemas pueden haber estado trabajando incorrectamente en el pasado", lo que confirma que no todas las fotos se habrían eliminado en un plazo razonable de tiempo. Eso ahora parece haber cambiado y desde febrero las foto

El 40% de los usuarios adultos no actualiza con regularidad los programas informáticos de sus equipos, ya que la mayoría no están preocupados por la seguridad y el principal handicap es el tiempo que se 'pierde' en actualizar el programa en cuestión. Por otra parte, el estudio elaborado por la compañía Skype en el marco de la Semana Internacional de Modernización Tecnológica, indica que los hombres suelen actualizar sus equipos con más frecuencia que las mujeres, aunque la mayoría de usuarios se quejan de la falta de información durante el proceso. En concreto, la compañía asegura que el 40% de los usuarios no actualizan su software, principalmente por motivos relacionados con la seguridad, por el tiempo que tardan en instalar las nuevas versiones o porque no ven las ventajas que ofrecen. Un aspecto fundamental para actualizar el sistema es que la nueva versión sea gratuita Otros motivos señalados por los encuestados para no actualizar los programas es porque no entien

Las empresas confían cada vez más en la nube, como demuestra el Third Annual Trends in Cloud Computing que acaba de publicar la asociación de la industria tecnológica, CompTIA. Según las conclusiones del estudio, el mercado del cloud es “robusto”. En la actualidad, 8 de cada 10 empresas emplean algún tipo de solución de cloud computing y las cifras, a tenor de las previsiones de inversión, podrían aumentar. Más de la mitad de las firmas consultadas por la CompTIA tienen como previsión aumentar su inversión en soluciones de cloud computing en el año próximo al menos en un 10%. La razón de este crecimiento de la inversión viene dado por una cada vez mayor confianza en la nube: los “sentimientos positivos” que genera la nube es la llave para que el gasto en cloud. El 85% de los encuestados se muestran de hecho más confiados en relación con la nube, una cifra que supera el 72% que se mostraba positivo en el análisis que la CompTIA realizó el año pasado. El salto a la nube implica, a

Uno de los puntos de interés en los últimos tiempos en cuestiones de seguridad está en la protección de infraestructuras críticas y, más generalmente, en la seguridad en entornos industriales. Es evidente que hay un largo camino que recorrer en cuestiones tecnológicas. Los especialistas en la materia rápidamente aplican su experiencia y descubren que nociones básicas en entornos TIC como el cifrado, el despliegue de herramientas como IDS, el desarrollo de arquitecturas seguras, etc. son prácticamente inexistentes en el ámbito industrial. El hecho de encontrar un territorio prácticamente virgen ante sus ojos puede hacer que el experto en seguridad se centre en estas carencias tecnológicas tan visibles descuidando, sin embargo, otros aspectos menos obvios, quizá, pero igualmente importantes. Como en tantos ámbitos de la vida hemos de acometer primero lo primero. Y es que hasta que existan soluciones técnicas para las carencias mencionadas, soluciones que tengan en cuenta las caracter

Kaspersky Lab anuncia el descubrimiento de Gauss, una nueva ciberamenaza cuyo objetivo son usuarios de Oriente Medio. Gauss es un conjunto de complejas herramientas creadas por un Estado para llevar a cabo labores de ciberespionaje y robo de datos confidenciales, con especial foco en contraseñas del navegador, credenciales de cuentas bancarias online, cookies y configuraciones específicas de los equipos infectados. La funcionalidad del troyano bancario Gauss tiene características únicas que no se encuentran en ninguna otra ciberarma descubierta anteriormente. Gauss fue descubierto tras detectar Flame, durante una investigación iniciada por la agencia de Naciones Unidas para la Información y la Comunicación Tecnológica (ITU), dirigida a mitigar los riesgos derivados de las ciberarmas, lo cual es un componente clave en la consecución de un objetivo global en materia de paz. ITU, junto a la experiencia de Kaspersky Lab, está dando pasos importantes para fortalecer la seguridad general

En este estudio se ha analizado la posible relación de causalidad entre las descargas de software no autorizado y el malware así como su incidencia en los sistemas de información domésticos y corporativos. Para ello se ha analizado un total de 3.286 descargas de aplicaciones de software no autorizado tanto con mecanismos de detección basados en firma, como mecanismos heurísticos mediante diferentes soluciones de seguridad en búsqueda de código malicioso. 3 de cada 10 muestras de software sin licencia de uso que se descargan de sitios web de intercambio de archivos contienen algún tipo de malware, e incluso en algunos casos las descargas poseen varios ficheros infectados. En especial, el 46% de las descargas a través de eMule contienen código malicioso. Además, las descargas con mayores probabilidades de contener código malicioso son las de programas de video y sonido, con un 44,9% y 39,9% respectivamente. El 81,9% del malware detectado en la muestra descargada corresponde a troyano

Gracias a Eric Ligman, Director de Microsoft (Worldwide Partner Experience) llegué a un listado en su blog en donde se muestra una serie de libros de descarga gratuita que puede ser de mucho interés. Aquí verás un extracto de ellos (los que consideré de más importantes de acuerdo a las tecnologías que venimos charlando en mi blog. Una lista más extensa puede verse en su propio post (incluyendo tecnologías como Office y Windows 7). Además de Windows Server, me focalicé en seleccionarte los de Office365, SQL Server 2012 (y hay para divertirse), Windows Azure y SharePoint. Realizar las descargas de Aqui

FinFisher es un desarrollo comercial de la compañía británica Gamma Internationl Gmbh destinada en principio a uso de agencias gubernamentales y que ha sido analizada por la compañía de seguridad Rapid 7, revelando que FinFisher va mucho más allá de lo que podríamos considerar un anti-malware y además de un completo spyware para actividades ‘legales’ de inteligencia y vigilancia, puede convertirse en un potente troyano de ataque. FinFisher pasa por alto las soluciones antivirus comunes supervisando secretamente toda la actividad de los ordenadores objetivo, activando las webcam, registrando todo lo que se escribe con un keylogger o grabando las conversaciones de servicios como Skype. También accede a los datos de las unidades de almacenamiento registros de correo electrónico o chats comunicándose en secreto con servidores remotos. Es capaz de realizar un estudio forense en vivo, dispone de filtros para grabar únicamente información importante y ataca a sistemas Windows, Mac OS X y

Gracias a la gente de Hack a Server (Crowd Source Audit Platform for Manual PenTest) es posible crear un server vulnerable con el que podrás practicar junto con otra gente pentesting en un entorno real. Hack a Server proporciona VPN para poder conectarte a su entorno y realizar las prácticas pertinentes. Contenido completo Aqui .

El sistema de protección de Windows 8 ya fue hackeado por un pirata ruso, lo que ha demostrado la inutilidad del sistema proporcionado por Microsoft para proteger su software. La opción más viable para que Microsoft detenga a quienes piratean sus productos es bajarle el precio... algo que Bill Gates probablemente no desee. El nuevo sistema de protección de Windows 8 logró contener a los piratas solo durante unas horas. Un hacker ruso identificado como Wzt ha filtrado a Internet las versiones Pro y Enterprise de Windows 8. Posteriormente, el mismo individuo proporcionó acceso a las claves de activación de las versiones de distribución por volumen. Pocas horas después que el servidor de activación comenzara a recibir las primeras llamadas de piratas, Microsoft bloqueó el sistema, haciendo imposible la activación de Windows 8 Pro y Enterprise por parte de usuarios ilegítimos. Esto, a su vez, motivo una respuesta inmediata de los hackers, que por la noche habían logrado eludir la pro

Black Hat 2012 . Ivan Ristic, director de ingeniería de la firma Qualys -autor del popular ModSecurity- ha presentado en el evento de Las Vegas, una herramienta con 150 técnicas capaces de eludir a nivel de protocolo los cortafuegos de aplicaciones web. La herramienta está destinada a probar vulnerabilidades sobre Web Application Firewalls (WAFs) diseñados para proteger a las aplicaciones web de ataques conocidos (como inyección SQL) al interceptar peticiones enviadas y aplicar normas estrictas de formateo y carga últil. Aún así, existen varios métodos para violar estas reglas mediante ‘técnicas de evasión a nivel de protocolo’, algo que ha probado Ristic con éxito, contra el propio ModSecurity y contra otros desarrollos comerciales. Con esta herramienta, Ristic espera poner en marcha un debate en la industria sobre el nivel de protocolo y otros tipos de evasión. “Si los vendedores y los investigadores de seguridad no documentan los problemas y los dan a conocer, los desarrolla

Múltiples amenazas acechan al usuario de telecomunicaciones y el fraude en el sector de telecomunicaciones a nivel internacional se estima en 40.000 millones de dólares. Afecta a los operadores especialmente en lo que a fugas de ingresos, calidad de servicio y gestión incidencias se refiere, así como a los usuarios ya sea de forma económica o de violación de nuestros datos personales. Los principales fraudes que rodean a las compañías de telecomunicaciones y a sus usuarios son de tres: el robo de datos, el fraude y la suplantación de identidad. A continuación podrás ver cuáles son las principales amenazas y la mejor forma de evitarlas: 1. Robo de datos: - Ingeniería social. Los delincuentes se las ingenian para engañar a los propios usuarios o los teleoperadores, ya sea por teléfono, por correo electrónico o mediante webs falsas, para ganarse su confianza y conseguir acceder de forma no autorizada a sus datos personales. ¿Qué hacer? No debemos dar ningún dato personal salvo que

En Defcon, el investigador de seguridad Moxie Marlinspike ha lanzado una herramienta para romper el cifrado de cualquier PPTP (Point-to-Point Tunneling Protocol) y WPA2-Enterprise (Wireless Protected Access) siempre y cuando se que utilicen autenticación MS-CHAPv2. MS-CHAPv2 (Wikipedia) es un protocolo de autenticación creado por Microsoft y se introdujo en Windows NT 4.0 SP4 y comúnmente es utilizado por pequeñas y medianas empresas. A pesar de su edad, todavía se utiliza como mecanismo de autenticación primaria por la mayoría de las VPN sobre PPTP. MS-CHAPv2 ha sido conocido por ser vulnerable a ataques de fuerza bruta basadas en diccionario ​​desde 1999, cuando un criptoanálisis del protocolo fue publicado por el criptógrafo Bruce Schneier y otros investigadores. Ahora Moxie Marlinspike desarrolló ChapCrack, que puede capturar el tráfico de red al momento del handshake de PPTP y WPA2 y reducir la seguridad de este "saludo" a una clave DES (Data Encryption Standard).

El típico Hotmail con el que han crecido muchos usuarios en Internet dejará de existir. A partir de ahora, el servicio pasará a ser Outlook. Con este cambio de marca llegará un gran lavado de interfaz e integración con otros servicios de Microsoft en smartphones y tablets. Outlook.com ofrece el primer servicio de correo electrónico conectado a Facebook, Twitter, LinkedIn, Google, y próximamente, Skype, para dar un contexto relevante a las comunicaciones en tu email con una bandeja de entrada receptora de fotos de amigos, actualizaciones o Tweets. Además, incluye el servicio de almacenamiento en nube SkyDrive. El nuevo webmail personal de Microsoft también incluye Office Web Apps de manera gratuita –Word, PowerPoint, Excel y OneNote-, permitiendo ver y editar documentos adjuntos sin abandonar la bandeja de entrada. Para probar la versión previa de Outlook.com, los usuarios de Hotmail solo tienen que pulsar sobre la pestaña ‘actualizar’ en el menú de opciones y pasar al nuevo cl