Seguridad y Tecnologia

Es evidente que cada vez somos más conscientes de los derechos relacionados con nuestros datos de carácter personal y, por ello, recelosos del mal uso que de ellos hagan terceras personas y/o entidades.

En este sentido destacamos el aumento de las denuncias ante AEPD (Agencia Española de Protección de Datos) en el 2008 en más de un 45%. En la gran mayoría de los casos las mismas estaban relacionadas con el sector de las telecomunicaciones, con entidades finacieras y con temas relacionados con la videovigilancia.

Como resultado a estas denuncias han sido muchos los procedimientos sancionadores, incrementados en un 58% respecto al año anterior, los cuales han llegado a recaudar más de 20 millones de euros en multas.

Así mismo es destacable que entre las infracciones cometidas una gran parte se corresponden a las Administraciones Públicas en este 2008 por acciones tan graves como, por ejemplo, el extravío de información de carácter personal de sus ciudadanos en la calle.

Por otro lado, junto al aumento de estas denuncias, nos encontramos con el incremento de consultas realizadas por parte de los ciudadanos a la Agencia para informarse de sus derechos, sin duda estamos dando importantes pasos en la materia con un importante incremento de concienciación no sólo por parte de los afectados, sino de las propias empresas.

Fuente: Áudea Seguridad de la Información.

Via Seguridad Informatica.es

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) y la iniciativa PantallasAmigas lanzan TriviRal un juego online de preguntas y respuestas sobre seguridad en Internet dirigido a menores.

Se trata de un juego de preguntas y respuestas sobre riesgos en Internet, dirigido a menores de un amplio rango de edades (entre 9 y 15 años principalmente). TriviRal combina un triple objetivo de carácter didáctico (que los niños identifiquen algunos de los riesgos a los que se enfrentan en el uso de Internet), lúdico (aprender jugando sobre medidas preventivas a adoptar) e informativo (dar a conocer la existencia de recursos y servicios de ayuda y respuesta así como sensibilización sobre la seguridad y la econfianza en el uso de las TIC por los menores). Los temas tratados son el código malicioso o malware (virus, troyanos y espías), el ciberbullying (acoso entre menores) y el grooming (acoso sexual por adultos).

TriviRal está diseñado para que resulte un material educativo adecuado, tanto para uso en el ámbito doméstico, como para su empleo en el contexto escolar. Dispone de un sistema de cómputo y estadísticas que permite analizar los resultados para cada jugador (a elegir entre 1 y 4) y por cada área temática, de manera que ofrece a padres y educadores un método para medir el grado de conocimiento y aprendizaje de los menores.

Mas Info Web de TriviRal

Via vtroger.blogspot.com

Se ha confirmado la existencia de una vulnerabilidad en Asterisk 1.6, que podría permitir a un atacante evitar restricciones de seguridad.

Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El problema se debe a que no se realiza una comprobación ACL cuando se tramitan SIP INVITEs, un atacante podría emplear esto para que un dispositivo realice llamadas en redes destinadas a ser prohibidas tal y como se hayan defino en las líneas “deny” y “permit” de “sip.conf”.

Se recomienda actualizar a Asterisk Open Source versión 1.6.1.8 :
ftp://ftp.digium.com/pub/telephony/asterisk

O aplicar el parche :
http://downloads.digium.com/pub/security/AST-2009-007-1.6.1.diff.txt

Más Información:

Asterisk Project Security Advisory – AST-2009-007

Via Hispasec

IBM ha confirmado una vulnerabilidad en IBM Lotus Connections 2.5.0.0, que podría permitir a un atacante ejecutar ataques de Cross Site Scripting.

IBM Lotus Connections es un software social específicamente diseñado para el entrono empresarial. Permite utilizar los conocimientos de la organización, socios y clientes al establecer de forma dinámica conexiones entre las personas, la experiencia que éstas tienen y las tareas que ejecutan.

El problema se debe a un error de validación de entradas en las páginas de “Actividades ” para móviles. Un atacante podría explotar este problema para lograr la ejecución de código script arbitrario en el navegador del usuario en el contexto de seguridad del sitio afectado.

Se recomienda aplicar el Interim Fix LO43637 disponible en este link

Más Información:

LO43637 Mobile: Mandatory iFix: XSS fixes for mobile Activities pages

Via Hispasec

Ha llegado un curioso correo, sobre todo era llamaba la atención por pertenecer a una entidad de la que nunca forme parte, igualmente dejando mis lados humanos de lado mire un poquito (no mucho, saltaba a simple vista) y me encontre con un lindo caso de phishing.

Lo que se intentaba era hacerle creer al usuario que se estaban actualizando las DB del Banco y que se debian actualizar los datos de cuenta (típico), obviamente el link “decía” llevarte a http://www.e-galicia.com.ar/homebanking (que dicho sea de paso, no es la URL correcta) pero en lugar de llevarnos ahí nos dirgia a http://www.XXXXXXXXX.de/webnews/modules/include/www.e-galicia.com/portal/ … como el sitio aún está arriba no les paso el link correcto.

Obviamente ha sido reportado y estamos a la espera de que deje de existir. 

Via Sechack

La criptografía viene empleándose en el diseño de Malware casi desde antes que se empleara en el diseño de SOFTWARE legitimo

Inicialmente se utilizó como una protección frente a la ingenieria inversa y contra la detección mediante cadenas y patrones: El virus cifraba su código mediante una clave y una operación sencilla, reversible, como puede ser un simple cifrado XOR con clave aleatoria.

Read the rest of this entry

Un proceso para implementación de nuevos sistemas es importante ya que permite que estos arranquen seguros en producción, por lo general las organización que carecen de este proceso cometen el error de llevar a producción sistemas que no están correctamente parchados que tienen aplicaciones, usuario o procesos que no son requeridos, los mismos que se convierten en un riesgo de seguridad muy grande para las organizaciones.

El proceso
Se propone el mismo con el fin de que en cada sistema nuevo, se pueda seguir una serie de pasos importantes y críticos que permita reducir el riesgo de compromiso, aligeren el proceso de administración de los mismos a futuro y permitan a la organización el cumplimiento de la norma en forma continua.

Se debe recordar que para el cumplimiento con la norma, el proceso deberá estar respaldado con los procedimientos adecuados y se deberá generar la documentación necesaria sin la que el sistema no sera aprobado por un QSA (Estándares de configuración, plantilla de revisión, entregables, etc.)

Endurecimiento
El proceso de endurecimiento se usa para asegurar un sistema reduciendo su potencial de ser vulnerado. Por la naturaleza de operación, los sistemas, mientras más funciones cumplen aumenta su potencial de compromiso y su numero de vulnerabilidades.

Lo que explica que la norma PCI-DSS solicite claramente que los sistemas solo cumplan una función (máximo dos si esto es justificado) y que en el mismo se reduzca los posibles vectores de ataque al remover todas las funciones (Aplicativos, programas, etc.), servicios (Demonios, puertos, etc.) y usuarios (Administradores, super usuarios, regulares, etc) no no sean específicamente requeridos por la función.

Read the rest of this entry

¿Qué es Sec-Track?

Sec-Track es un proyecto colaborativo que ofrece un repositorio de recursos relacionados con la implementación y el desarrollo de laboratorios  de entrenamiento e investigación sobre Seguridad Informática. Estos recursos son distribuidos por  medio de entornos virtualizados que asemejan entornos reales, dichos entornos pueden ser implementados en diferentes ambientes de capacitación e investigación.

Read the rest of this entry