Noticias de Seguridad Informática

Microsoft se perfecciona en sus correos (parece phishing pero no es)

noreply@blogger.com (www.segu-info.com.ar) — Thu, 20 Nov 2008 10:13:00 -0600

Luego de la excelente forma de promocionar una actualización de seguridad el pasado octubre, Microsoft vuelve a la carga con otro correo real, pero que parece phishing o, ¿será un phishing que parece real?
El correo parece falso, el asunto parece un anzuelo de un caso de phishing, la URL a donde nos redirige el correo parece falsa, el texto parece una broma, todo parece falso pero milagrosamente... el correo es verdadero.

[ironía]Gracias Microsoft por predicar con el ejemplo[/ironía].

~~A todo esto el concurso que proponen parece ser interesante.~~

Redacción de Segu-Info

Phreaking

noreply@blogger.com (sb) — Thu, 20 Nov 2008 09:56:00 -0600

La telefonía podría considerarse como el primer sistema de telecomunicaciones cuyo uso se generalizó entre la población. Como no podía ser de otra manera aparecieron personas que tenían curiosidad por el funcionamiento de este sistema. A estas personas se les acabó conociendo como phreaks como mezcla de “phone” y “freak”. De ahí han salido términos como phreaking o phreaker y un movimiento que se podría considerar como el comienzo del posterior movimiento p/hacker.

En un principio las llamadas se enrutaban manualmente. Es decir, cuando se solicitaba, una persona realizaba la conexión de los 2 extremos manualmente, por lo que el único recurso que quedaba era la ingeniería social. Este sistema no era sostenible teniendo en cuenta el ritmo al que crecía la red telefónica. Cuando se automatizó el establecimiento y enrutamiento de las llamadas aumentaron las posibilidades de investigar en el funcionamiento del sistema. Este movimiento lógicamente surgió en EEUU. Los primeros descubrimientos se hicieron por azar, cuando Joe Engressia (Joybubbles) descubrió que un tono de 2600 Hz hacía que una llamada ya establecida se interrumpiera. Lo que sucedía es que había descubierto un tono de control que hacía que el enlace quedara libre, preparado para recibir más comandos en forma de más tonos de control. La señalización del sistema usaba el mismo canal de comunicación que las propias llamadas. Los descubrimientos hechos por varias personas, junto con un artículo sobre el tema publicado en “Bell Labs Technical Journal” hizo que varias personas (algunas de cierto reconocimiento en la actualidad) consiguieran hacer llamadas, cancelarlas o redireccionarlas a otro número. Todos estos descubrimientos se tradujeron en varios dispositivos como la caja azul o la caja negra, que usando la señalización de control de la red de telefonía, permiten hacer llamadas gratis, añadir crédito a una cabina pública sin introducir dinero, hacer que suene el teléfono aunque no haya ninguna llamada, falsificar la identidad de una llamada, etc...
Aparte de esto, se atacaron los sistemas de prepago, la seguridad física de las cabinas públicas, modems conectados a la red telefónica, etc, etc...
En muchas ocasiones se usaban los conocimientos para llamar sin pagar a la compañía correspondiente, por lo que muchos phreaks eran perseguidos por las compañías y por la ley. Además, la difusión de estos conocimientos no era tan sencilla ya que se realizaba por teléfono (muchas veces mediante llamadas “gratuitas”) entre un grupo reducido de gente, que muchas veces ya estaban relacionados con el tema de una manera u otra. Esto hizo que fuera un movimiento relativamente minoritario, pero sin duda importante.
Mas en concreto, en España el movimiento phreak apareció muchos más tarde, en los años 90, gracias a la (escasa) información que se distribuía por BBS. Se investigó el funcionamiento de la red telefónica del país (distinto al de EEUU), su señalización, el uso (abuso) de los números gratuitos (900), buzones de voz, así como fallos en las cabinas públicas que en algunos casos permitían llamar gratis de manera anónima.

Según la red de telefonía ha evolucionado, estas técnicas se han quedado desfasadas y el phreaking con ellas. Actualmente utilizar VoIP y redes de datos modernas para dar servicios de telefonía es cada vez más común, por lo que los riesgos de seguridad o privacidad se parecen cada vez más a los del resto de servicios como el correo o la navegación web y se tratan de igual manera. De todas formas el phreaking clásico quizás pueda enseñarnos algo a la hora de lidiar con la seguridad de las modernas centralitas de VoIP.

Patxi Astiz
S21sec labs

Fuente: http://blog.s21sec.com/2008/11/phreaking.html

La nueva PSP-3000, ya hackeable

noreply@blogger.com (sb) — Thu, 20 Nov 2008 08:54:00 -0600

Si bien Sony lanzó hace poco una nueva PSP con una pantalla que prometía grandes mejoras respecto a las anteriores y un diseño más reducido que la versión anterior, aún no había sido hackeado. Pero teniendo la abultada Scene que tiene y la cantidad de empresas que desarrollan productos para ella era cuestión de tiempo que este modelo se pudiera hackear.

Datel ha presentado su producto Datel Lite Blue Tool que no es más que una nueva batería que arranca la consola en el denominado “service mode” que permite flashear la consola a cualquier versión anterior de firmware ya modificado por la Scene. La batería tiene un coste de 29,99 dólares en américa y 19,99 dólares en Europa.

Hasta el último modelo la técnica usada se conocía como Pandora, pero con la PSP-3000 no funciona. Por tanto Datel ha empleado tiempo y dedicación en encontrar la alternativa y por fin se ha materializado. Según parece han tenido que identificar en la nueva placa el chip que controla el acceso al modo service y una vez encontrado han encapsulado en la batería el servicio de descifrado del modo haciendo posible usarla como batería normal o batería de servicio. Válida para PSP-2000 ó PSP-3000.

Fuente: http://www.theinquirer.es/2008/11/19/la-nueva-psp-3000-ya-hackeble.html

'Hackers' van ahora tras los celulares

noreply@blogger.com (sb) — Thu, 20 Nov 2008 07:53:00 -0600

Los sistemas móviles se vuelven más parecidos a una computadora que a un teléfono, por lo que tambien son vulnerables al phishing y spam que tienen las PC.

Hace algunos años los usuarios de teléfonos celulares tenían que preocuparse por la “clonación” de su línea, y los perjudicados sufrían por grandes facturaciones de minutos que otros hicieron al robar su señal.

La buena noticia es que eso se pudo superar con las tecnologías digitales, que incluyen mecanismos de encriptación y autentificación.

La mala noticia es que ahora se presenta un nuevo riesgo: los sistemas móviles se vuelven más parecidos a una computadora que a un teléfono, por lo que son vulnerables a las mismas amenazas de hackeo, phishing y spam que tienen las PC.

Erasmo Rojas, presidente de 3G Américas, explicó con las redes de Tercera Generación y el boom en los llamados smartphones, como BlackBerry, iPhone o Treo (Palm) y otros PDA, el almacenamiento y resguardo de la información se vuelve crítico, sobre todo si se trata de archivos o datos de empresa o que pueden ser muy sensibles.

Destaca por ejemplo la importancia de garantizar transacciones financieras o compras seguras a través de dispositivos móviles, agregó. “Este tipo de operaciones crea más presión para que los sistemas de seguridad sean fortalecidos”, sostuvo Rojas.

Explicó que hace unos años las aplicaciones de los teléfonos móviles eran vendidas únicamente por los operadores celulares, o a través de estas empresas, las cuales podían comprobar que estos productos estaban libres de amenazas a través de pruebas en sus laboratorios.

Sin embargo, esta muralla se cayó cuando llega la posibilidad de descargar contenidos desde el propio celular, que son provistos por terceros y por lo tanto el operador no puede asegurar que se trate de una fuente segura.

“Esto magnifica el problema, por lo que se espera que en dos o tres años los programas de protección que se usan en las computadoras estén cargados en los dispositivos móviles”, indicó.

Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=2070

La crisis no afectará el gasto en seguridad informática

noreply@blogger.com (www.segu-info.com.ar) — Thu, 20 Nov 2008 07:34:00 -0600

Un informe de Ernst & Young concluye que sólo un 5% de las compañías a nivel global disminuirá su presupuesto en dicha área. A nivel regional, Chile es el mejor posicionado.

A pesar de las presiones económicas que viven actualmente, gran parte de las empresas no están pensando en reducir sus costos en seguridad de la información, De acuerdo a la encuesta global de Seguridad de la Información de Ernst & Young, un 50% de los consultados asegura que su compañía proyecta aumentar el presupuesto de ese ítem. A su vez, sólo un 5% dice que se disminuirán los dineros destinados a ese aspecto.

Los datos no son menores ya que históricamente en tiempos de incertidumbre económica se restringen los presupuestos y se buscan alternativas para reducir los costos. Y hasta ahora el área de TI era precisamente una de las primeras en sufrir las bajas en los recursos.

Andrés Acuña, socio de Asesoría en Riesgo y Gestión de Ernst & Young, comenta a AméricaEconomía.com que a nivel regional, “Chile es el mejor posicionado en esta tema, mientras que México y Brasil destacan por tratarse de mercados con mayor volumen de mercado”, asegura. Sin embargo, aclara que aún se está muy lejos de lo que ocurre en Estados Unidos o Europa, donde los estándares de seguridad y las inversiones son mucho mayores que en la región.

Para Acuña, esta nueva tendencia de seguir invirtiendo en tiempos de crisis se explica por dos motivos “que “primero, la reducción de los gastos en seguridad de la información probablemente tendría un impacto negativo en las percepciones de los diferentes actores del mercado (accionistas, clientes, ejecutivos, etc.), y segundo, las amenazas de vulnerabilidad y frecuencia de ataques no disminuyen durante tiempos de contracción económica –es más, existen evidencias de que éstos hechos pueden aumentar”.

Asimismo, Darío Rojas, socio de Ernst & Young, comenta que en la actualidad las empresas están más preocupadas porque la seguridad puede impactar en la imagen de la compañía y, por consiguiente, en sus negocios.

De acuerdo al estudio de Ernst & Yound un 50% de los encuestados indicó que precisamente la conciencia organizacional –respecto al rol clave de los individuos en la seguridad de la información- es el desafío más relevante, incluso superando a la disponibilidad de recursos, que es mencionada por un 48% de los encuestados y la necesidad de tener un presupuesto adecuado (escogida por un 33%).

Precisamente la vulnerabilidad de los recursos humanos es la que ha sido más aprovechada por los hackers por mucho tiempo. Técnicas simples, tales como personificar a personal de TI o de la empresa- son comúnmente utilizadas para obtener acceso a información de los empleados.

En ese sentido, la encuesta revela que un 85% de los encuestados confirma que realizan pruebas de Internet, pero solamente el 19% de los encuestados realiza test de ingeniería social para probar las preacusaciones de sus empleados en materia de seguridad de la información. “Esto es muy relevante, ya que si bien la tecnología juega un papel central, también debe haber un enfoque en programas de capacitación y conciencia para que la seguridad de la información opere efectivamente”, asegura Acuña.

Desafíos 2009. Para la firma, existen algunos puntos clave que las empresas TI deben realizar para garantizar la seguridad informática durante el próximo año. En primer lugar, deben establecer una clara estrategia de seguridad de la información e integrar un enfoque de gestión de riesgos. Además, deben buscar lograr una visión global de la seguridad de la información. Por otra parte, recomiendan utilizar reconocidos estándares internacionales, abordar los riesgos asociados con la privacidad y la información personal en un nivel más riguroso.

Fuente: http://beta.americaeconomia.com/179569-Crisis-no-afectar%E1-el-gasto-en-seguridad-inform%E1tica.note.aspx

Para usar Internet, 4 de cada 10 chicos le sacan tiempo al estudio

noreply@blogger.com (www.segu-info.com.ar) — Thu, 20 Nov 2008 07:29:00 -0600

En una investigación hecha con 25.000 estudiantes de 10 a 18 años en siete paises de Latinoamérica, los argentinos resultaron los que más le restan a las tareas escolares para navegar. En otros países sacrifican el deporte o la familia.

De un informe sobre el impacto de las nuevas tecnologías entre los niños y adolescentes de América Latina se desprende que los argentinos son los que más desplazaron a las tareas escolares por el uso de Internet. Cuatro de cada diez argentinos consultados respondieron que para navegar en la Web le restan tiempo al estudio y los deberes. Por la Internet, incluso le sacan tiempo a la TV (32%) y a la lectura (27%). En los otros países, en cambio, los encuestados reconocen desatender a la familia, los amigos y el deporte.

A estas y otras conclusiones arribaron los expertos de la Universidad de Navarra (España) que coordinaron el informe que hoy será presentado por Telefónica bajo el título de "La generación interactiva". En él se describen los usos y costumbres de chicos de 10 a 18 años de estrecha relación con las nuevas tecnologías. El estudio analizó el comportamiento de más de 25.000 personas en siete países de América Latina: Argentina, Brasil, Chile, Colombia, México, Perú y Venezuela. En nuestro país entrevistaron a 2.344 jóvenes (el 80% alumnos fueron de escuelas públicas).

El relevamiento también indica que el 50% de los chicos realiza las tareas escolares frente a la tele, mientras chatea o cuando está atento a los mensajes de texto del celular. "Los chicos de hoy muestran destrezas de pluriatención, muy distintas a las de generaciones anteriores. Experimentan una ruptura visual muy fuerte, que contrasta con el modelo tradicional del aula del siglo XIX, donde se les exige a los alumnos que estén sentados, quietos, mirando fijo a un punto, el pizarrón, y prestándole atención a una persona, el maestro", señala el sociólogo e investigador de la Facultad Latinoamericana de Ciencias Sociales (FLACSO), Luis Alberto Quevedo.

La directora de proyectos de Educ.ar, del Ministerio de Educación, Laura Serra, plantea sus dudas sobre estas habilidades: "La pluriatención existe, pero no así el pluriaprendizaje. Los especialistas advierten que los chicos abordan al mismo tiempo muchas tareas, pero después se les dificulta explicar qué vieron, escucharon o leyeron mientras hacían otras cosas".

Apenas el 18% de los estudiantes argentinos navega por sitios de Internet educativos. Ese porcentaje cae al 11% cuando se trata de páginas culturales. Los locales están debajo de la media regional (20% en el primer caso y 17%, en el segundo). La visita a estos sitios crece por género (lo frecuentan más las mujeres que los varones), pero también entre los alumnos que navegan en la escuela.

En la mayoría de los casos, los encuestados reconocen sentarse solos, sin guía o control adulto, frente a la pantalla de la PC. Sin embargo, son los argentinos, junto con los colombianos, los que más destacan la tutela de profesores o maestros al momento de adentrarse en la Internet. Igual, la tasa resulta muy baja: sólo el 7%. Por otra parte, el 58% de los nuestros, a la par de los chilenos, perciben -muy por encima del resto- que sus docentes promueven o recomiendan el uso de Internet para el estudio o las tareas escolares.

Sostiene Serra: "El imaginario social cree que los maestros rechazan las nuevas tecnologías, pero no es así. Los docentes argentinos son muy entusiastas. Igual, todavía queda mucho camino por recorrer". Replica Quevedo: "A partir de ciertos estudios que publican los medios, se genera un temor entre los adultos a que las nuevas tecnologías fomenten la 'alienación' de los chicos. Ante el desconocimiento, se genera miedo en los mayores, que se muestran reticentes a que Internet se sume como método de enseñanza".

Fuente: http://www.clarin.com/diario/2008/11/20/um/m-01806180.htm

Calcule cuánto cuesta el spam

noreply@blogger.com (www.segu-info.com.ar) — Thu, 20 Nov 2008 07:26:00 -0600

Esta calculadora forma parte de una campaña de marketing de Google Message Security, el servicio de filtro de spam basado en la tecnología Postini que el buscador compró el año pasado.

Para calcular el coste del spam, se han de introducir algunos datos, como el número de empleados en su empresa, cuánto les paga y con cuántos mensajes de correo electrónico no deseado se han de enfrentar todos los días. A partir de ahí, Google calcula cuántos días (y dólares) se pierden en productividad. Y, evidentemente, también ofrece el dato de cuánto le costaría al servicio de Google para erradicar el problema.

Para las empresas que tengan productos instalados contra el spam, también hay una calculadora del Coste Total de Propiedad con el que se pretende demostrar lo económico que resulta el servicio de Google.

Fuente: http://www.idg.es/pcworldtech/mostrarNoticia.asp?id=73995&seccion=Actualidad

Jornada de Seguridad Informática en ArCert (presentaciones)

noreply@blogger.com (www.segu-info.com.ar) — Thu, 20 Nov 2008 06:52:00 -0600

Presentamos a continuación los documentos de la Jornada de Seguridad Informática organizada por el ArCert, realizada hace un tiempo:

La Ciberseguridad en Argentina: perspectiva desde distintos sectores.
Julio César ARDITA – Sector Privado - Presentación en PDF
Mara MISTO MACIAS – Gerente Principal de Seguridad de la Información del Banco Central - Presentación en PDF.
Javier DIAZ – Director Laboratorio de Investigación en Nuevas Tecnologías Informáticas – Facultad de Informática – Universidad Nacional de la Plata - Presentación en PDF.
Gastón FRANCO – Responsable de ArCERT – ONTI - Presentación en PDF

Tendencias en materia de ciberseguridad: rol de los CERTs Experiencia de INTECO (Instituto Nacional de Tecnologías de la Comunicación) de España. Manuel ESCALANTE GARCÍA - Director de Programas de INTECO -Presentación en PDF

Cooperación internacional en materia de ciberseguridad: La Convención sobre Ciberdelito de Budapest. Gilberto MARTINS - Representante del Consejo de Europa - Presentación en PDF

Hacia una estrategia de ciberseguridad. Juan ZAVATTIERO - Jefe de la Oficina Regional de la ITU para las Américas Presentación en PDF

Fuente: http://seguridad-informacion.blogspot.com/2008/11/presentaciones-jornada-de-seguridad.html

Tengo un Fotolog (entrevista)

noreply@blogger.com (www.segu-info.com.ar) — Thu, 20 Nov 2008 06:49:00 -0600

Laura Goszczynski y las cibertribus: "El contacto cara a cara sigue siendo insustituible"

La socióloga, coautora del libro Ciberculturas juveniles, analiza el auge y los significados de los fotologs. El mandato "ser, estar y aparecer".

La floggerización del mundo adolescente parece imparable. De un día para el otro, chicos y chicas que hacen culto al pantalón chupín, a las zapatillas botitas, que adornan sus cabezas con extraños peinados y discurren sus vidas en la pantalla irrumpieron en las escaleras de los shoppings, en los noticieros y en los programas mañaneros como si hubieran estado ahí, desde siempre. La televisión, que se rindió ante ellos, los retrata, los vuelve noticia y estrellas efímeras, sin siquiera rascar la superficie ni explicar a fondo esta nueva forma de socialización en la era digital. “El fotolog es más que una carta de presentación de cierta tribu adolescente. No se lo puede resumir como una práctica de exhibicionismo únicamente. Es un espacio, un lugar de construcción de la identidad adolescente”, explica la socióloga Laura Goszczynski, quien, junto a un grupo de investigadores jóvenes del Instituto Germani coordinados por el también sociólogo Marcerlo Urresti, plasmó en el libro Ciberculturas juveniles su análisis de la importancia de este fenómeno de la vida cotidiana de los adolescentes.

Seguir leyendo

Informe anual CSI 2008 y NIST

noreply@blogger.com (www.segu-info.com.ar) — Wed, 19 Nov 2008 14:26:00 -0600

Como todos los años se encuentra disponible para descargar el informe CSI 2008 Security Survey

Este documento sirve para determinar el nivel de seguridad en distintas organizaciones de EE.UU. y desde hace 13 años representa un estandar de facto en lo que corresponde a informes y estadísticas sobre Seguridad de la Información.

Al no hacerlo junto con el FBI como hasta ahora, el informe de este año incorpora cambios para actualizar su información y formato.

Como extra dejo el reporte anual de 2007 de NIST.

Redacción de Segu-Info

CISSP, CCENT, CISA, CCIE, CCNA, LPT, GIAC, SSCP… ¿Quién da más?; o como ser un experto en seguridad informática y no morir en el intento

noreply@blogger.com (www.segu-info.com.ar) — Wed, 19 Nov 2008 14:16:00 -0600

Por: Jesús Nazareno Torrecillas Rodríguez (Director de Seguridad de Empresa D.S.E. Universidad Pontifica de Comillas (Madrid)

Cuando uno se va introduciendo en el mundo de la Seguridad Informática muchas veces tiene ante sí muchos retos que en la mayoría de ocasiones son bastante difíciles de resolver en solitario.

Cuando uno se va introduciendo en el mundo de la Seguridad Informática muchas veces tiene ante sí muchos retos que en la mayoría de ocasiones son bastante difíciles de resolver en solitario. Uno de estos retos es en qué certificarse y para qué sirve una certificación en Seguridad de la Información. Otro reto no menos importante es ¿A quien contratamos?

Hay un viejo refrán que dice: “ El hábito (vestiduras) no hace al monje pero si lo condiciona” Y otro que se deriva del primero dice: “No por tener un buen hábito se es un buen monje”. Hoy en día se debe estar certificado en alguna disciplina de Seguridad para que lo consideren a uno experto en Seguridad de la Información. Es por ello que los entusiastas y profesionales en Informática están muy confundidos en saber cuál es el camino correcto para ser un auténtico experto en Seguridad Informática y que tengan oportunidades de conseguir un buen trabajo en este sector profesional tan demandado en la actualidad pero tan lleno de obstáculos, trampas, e imprecisiones al no conocer exactamente cual es el perfil profesional que se desea contratar, ni qué requerimientos curriculares debe tener el candidato para desarrollar un trabajo acorde a las exigencias del negocio en el que van a desempeñar su función.

Otro punto muy importante a considerar es que los fabricantes de hardware y software, desde los más reputados a los menos conocidos han visto un filón de oro en el gran negocio de las certificaciones en Seguridad de la Información y por eso han creado certificaciones en Seguridad para sus productos, con lo que la situación se ha complicado aún más, ya que si uno se certifica en una marca, esa certificación en teoría no cuenta para ser considerado experto en otras marcas…

En el marco tan competitivo y de moda de la Seguridad de la Información muchas empresas auditoras (desde las más serias hasta las de dudosa ética y moralidad) también han hecho su Agosto certificando en diferentes productos o metodologías a informáticos recién titulados o egresados, con el fin de ofrecer rápidamente servicios a empresas como “expertos” de Seguridad, Consultoría, Auditoría, Test de penetración, etc… Esta situación de contar con gente certificada en casi todo, pero mal preparada trabajando como expertos en consultoras o auditoras de Seguridad de la Información ha generado varapalos, reveses, y grandes decepciones entre sus clientes. El motivo es simple: Ciertas consultoras financieras vieron un nicho de negocio en la Seguridad de la Información y como ya comenté contrataron gente sin experiencia, ofreciendo servicios de consultoría. He conocido casos extremos de empresas de renombre en el ramo de la consultoría, que sus “auditores” les mostraban a sus clientes informes procedentes de escanners automáticos y gratuitos como x-scan, nmap, Nessus, u otros y cobraban el informe sobre cada IP a más de 2.000 dólares y lo peor del caso es que el informe presentado solían estar cargados de falsos positivos. Esta situación aquí y en China se llama fraude.

Muchas empresas de “consultoría” en vez de ofrecer buenos trabajos de consultoría-auditoría se han centrado exclusivamente en ganar dinero rápidamente y a toda costa y ese es el origen de que por ejemplo en México los clientes insatisfechos estén reacios a contratar a más consultoras. Además una parte importante de empresas están muy reticentes y se sienten confundidos por haber en el mercado tanto “auditor- consultor” joven con poca experiencia profesional y certificado, los cuales tienen sus tarjetas de visitas llenas de alfabetos completos de siglas de acrónimos de dudosa comprensión para los neófitos.

Es una queja común y muy generalizada por parte de muchas empresas sobre que las grandes consultoras financieras son muy buenas para hacer innumerables metodologías y documentar procedimientos y procesos, pero carecen de la experiencia operativa para encontrar en las redes: Topos, infiltrados, fugas de información, phishing, pharming, y resto de amenazas. Es un hecho generalizado de que tanto las grandes auditoras financieras con áreas de tecnología, como auditoras de tipo medio, sabiendo esta situación (inexperiencia de su personal y descontento de sus clientes), al final acaban subcontratando a verdaderos expertos (sin certificar) que realmente conocen por donde atacar un sistema informático y que soluciones aportarle para corregir los problemas presentados. De ahí que existan muchas pequeñas empresas auditoras que ahora mismo están teniendo cierta relevancia gracias al trabajo que les proporcionan las grandes auditoras.

La respuesta de las empresas de auditoras norteamericanas y empresas dedicadas a la Seguridad frente a tanto intrusismo profesional, ha sido el poner de moda el que los “expertos” de Seguridad Informática deban estar certificados en metodologías de Seguridad de la Información, y si un informático no está acreditado con alguna de estas certificaciones y por muy bueno que sea, las posibilidades de trabajar como auditor-consultor son bastante escasas. El ejemplo del origen de todo esto fue la tristemente famosa y omnipotente Arthur Andersen y el escándalo con Enron, ahí se vieron las malas artes de las consultoras y dio origen a la famosa ley Sarbanes Oxley y las certificaciones asociadas.

Para algunas certificaciones en Seguridad los candidatos a dichas certificaciones primeramente deben rellenar un manifiesto en el cual se comprometen a no desvelar el contenido de la información, ni ha manifestar públicamente su opinión sobre la mencionada certificación. Opinión la cual en muchas de ellas es decepcionante porque dichas están más dirigidas a procedimientos teóricos y a retóricas indigeribles, en vez de a verdaderamente enseñar la operativa como experto en Seguridad de la Información.

Los departamentos de RH cuando se enfrascan en la ardua tarea de buscar a un candidato como experto en Seguridad de la Información buscan perfiles del tipo: Ingeniero de Telecomunicaciones, 5 años de experiencia laboral, certificado CISSP, CISA, CCNA, MCP, MCSE, y todo lo que se nos ocurra…y como postre añaden que el candidato sea menor de 30 años. El problema de que alguien tenga este perfil es que o bien se ha pasado toda su vida estudiando sin haber trabajado auditando compañías, o le han regalado las titulaciones. Pues es casi imposible certificarse en varias de ellas en pocos años por la dinámica y obsolescencia de las vulnerabilidades, procedimientos, hardware, etc. De ahí me viene a la memoria los famosos refranes que dicen: “El que mucho abarca poco aprieta” y “Dime de qué alardeas y te diré de que careces”. Además las empresas que emiten certificaciones saben de sobra el concepto de “obsolescencia” y por eso periódicamente los candidatos deben revalidar con examen sus certificaciones pagando un alto precio por estas revalidaciones.
En no pocas compañías el proceso de selección de un candidato para un puesto directivo como Director, Gerente, Consultor, etc…en Seguridad de la Información se vuelve un auténtico dolor de cabeza para el departamento de Recursos Humanos debido a que al día de hoy existen más de 50 (cincuenta) certificaciones reconocidas y algunas de ellas antagónicas, y por desgracia es una situación bastante reiterada de que cuando se selecciona a un candidato éste acabe por no cumplir todas las expectativas para las que se contrató, y al final la compañía acabe subcontratando a otros expertos sin tanta titulación ni tantos acrónimos en su tarjeta de visita con el fin de resolver problemas que el experto certificado contratado no ha podido abordar por inexperiencia en su desempeño. Si bien es cierto que existen grandes universidades por todo el mundo con programas muy completos y maestrías en Seguridad, el problema es que las titulaciones obtenidas muchas veces a los candidatos les cuesta mucho defenderlas frente a los departamentos de RH.

Como corolario comentaré que las certificaciones como Experto de Seguridad de la Información han intentado poner en orden el caos laboral de tanto “auditor” pero al haber proliferado tantas certificaciones y desde tan diverso origen el efecto ha sido todavía más contradictorio y en este momento hay una gran confusión tanto para los profesionales que desean que los consideren como tales, como para las compañías serias que desean contar entre sus filas a buenos expertos certificados.

Mi consejo para los no certificados es que con una buena certificación de propósito general como puede ser CISSP, CISA, etc se pueden conseguir buenos empleos, pero si luego no cuentan con una buena base de conocimiento en hardware, software, redes, virus, antivirus, spam, etc… al final la verdad sobre su verdadero nivel de conocimiento saldrá a relucir y le costará mucho trabajo que le consideren como profesional serio y responsable. Hackers de menos de veinte años de edad son la mayoría, pero los verdaderos expertos contra el hacktivismo son los que tienen más de 40 años, pues la Seguridad de la Información es una carrera de por vida como la medicina o el buen vino: Cuantos más años se tenga mejor preparado se estará o mejor sabor tendrá.

Por último mi consejo para los profesionales serios que buscan contar con buenos candidatos en Seguridad de la Información en sus compañías, es que inviertan tiempo en formar a gente en sus propias compañías y que estos candidatos vean una larga carrera profesional en estas empresas. De esta forma evitaremos el hecho de que expertos bien preparados y mal pagados se vayan a los pocos años a otras empresas o peor aún a sus competidores a buscar mejor salario y acaben compartiendo las fortalezas o miserias de la anterior empresa.

Seguridad de la Información es una larga y tortuosa carrera profesional y las siglas en las tarjetas de visita no garantizan que se sepa al 100% lo que nos han enseñado. Depende de todos nosotros el irnos cultivando y actualizando constantemente para seguir estando en la cresta de la ola y dignificar esta profesión.

Acerca del autor: Jesús Torrecillas nació en Tenerife (Islas Canarias en España) Está considerado como un reconocido y prestigioso experto internacional en Seguridad de la Información. En la actualidad trabaja como consultor en Seguridad de la Información en CEMEX Central en México. Así mismo es un conferencista muy reputado en materias como Seguridad de la Información, Análisis del riesgo informático, Concientización en
Seguridad, y temas relacionados sobre hacktivismo y prevención del delito informático.

Empezó en la tecnología a la temprana edad con menos de 14 años diseñando sistemas electrónicos. Su trayectoria profesional es indistinta tanto en software como en hardware habiendo obtenido diversas certificaciones en Novell, Microsoft, IBM, Universidad Pontificia de Comillas, etc…

Fuente: http://bsecure.com.mx/articulos.php?id_sec=52&id_art=6692

Cuáles serán las diez principales tendencias tecnológicas del 2009

noreply@blogger.com (www.segu-info.com.ar) — Wed, 19 Nov 2008 13:35:00 -0600

Los analistas de la consultora Gartner difundieron las diez principales tendencias tecnológicas que, a su juicio, serán de gran importancia estratégica para la empresas durante el 2009.

El criterio para la elección de cada una de estas tendencias está relacionado con la maduración de ciertas tecnologías en el mercado, o porque su adopción temprana brinda ventajas competitivas.

Las diez tecnologías más estratégicas para 2009 (iProfesional publicó notas sobre la mayoría de ellas, que puede leer al final de este informe).

Seguir leyendo

¡Tengo hambre y me dais caviar! (PPT)

noreply@blogger.com (www.segu-info.com.ar) — Wed, 19 Nov 2008 12:06:00 -0600

Ese fue el título de la ponencia que mi gran amigo Nacho Paredes y yo presentamos la semana pasada en el II Encuentro Nacional de la Industria de la Seguridad en España (ENISE). Dado el éxito de la misma y su excelente aceptación entre los asistentes creemos que lo más adecuado, en lugar de enviarla uno a uno a los que nos la solicitaron, es colgarla aquí para descarga pública de todos los que queráis reiros unos minutos.

El contenido que pretendimos trasladar es la falta de alineación de la industria de la seguridad que en muchos casos existe con la situación real de la gran mayoría de compañías. Todos estamos pensando en nuevos estándares, métricas, innovación, firma digital, Firewalls, IPS, etc. lo que es totalmente necesario, pero no suficiente.
Todos estos avances son muy adecuados y necesarios, pero aprovechables en el corto/medio plazo únicamente por una minoría de organizaciones cuyo nivel de madurez en seguridad es mucho mayor, mientras que la gran mayoría de compañías adolece de las medidas más básicas de seguridad y necesitan llegar a eso, pero de forma mucho más comprensiva y paulatinamente.

Expusimos algunos ejemplos y en la última parte de la presentación, como no podía ser de otra forma, ”hablamos de nuestro libro”, describiendo nuestra aproximación al problema mediante la metodología IS2ME: Information Security to Medium Enterprise.

Esperamos que sea de vuestro agrado, sirva como una crítica constructiva hacia nosotros mismos y de paso os haga pasar unos minutos entretenidos.

Podeis descargar la presentación powerpoint aquí.

Fuente: http://blog.infosecman.com/2008/10/28/%C2%A1tengo-hambre-y-me-dais-caviar/

Configuraciones por defecto: La misma historia de siempre

noreply@blogger.com (sb) — Wed, 19 Nov 2008 08:58:00 -0600

Luego de regresar del trabajo, me di una vuelta por Internet como para no perder la costumbre y entre página y página, me encontré con una página que posee una vulnerabilidad muy habitual de encontrar: las configuraciones por defecto.

La cuestión es que, de casualidad, me topé con una interfaz de usuario para acceder a un calendario, creado con una aplicación llamada WebCalendar.

Por curiosidad, coloque una “x” en cada campo para ver el resultado. Un error, pero sin más dato. Inmediatamente después y casi por inercia, coloqué “admin” en cada campo y... adivinen qué?

Pero eso no es todo, como es de esperar, al entrar con la cuenta de administración, se tiene acceso a la configuración total de la aplicación y, lo más interesante, es que podemos obtener información de los usuarios que forman parte del calendario y hasta un historial de los eventos creados.

Lamentablemente las configuraciones por defecto responden a una cuestión recurrente que tiene relación directa con la falta de capacitación y concientización en cuanto a las cuestiones de seguridad.

Muchas herramientas de ataque asumen que los objetivos se encuentran con las configuraciones por defecto, como podemos observar en este caso. Además, existen muchos sitios que llevan una base de datos con los usuarios y contraseñas por defecto de dispositivos y aplicaciones.

Fuente:
http://mipistus.blogspot.com/2008/11/configuraciones-por-defecto-la-misma.html
http://www.segu-info.com.ar/foro/?q=defecto

¿Qué es SCAP?

noreply@blogger.com (www.segu-info.com.ar) — Wed, 19 Nov 2008 08:42:00 -0600

El programa ISAP (Information Security Automation Program) es una iniciativa entre varias agencias del gobierno americano (NIST - National Institute of Standards and Technology, OSD - Operational Services Division, DHS - Department of Homeland Security, NSA - National Security Agency, y DISA - Defense Information Systems Agency) madurada en 2007, que pretende definir los modelos de automatización y los estándares de las operaciones de seguridad en la información (me pregunto que es lo que se había estado haciendo hasta ahora..). Desde el punto de vista operativo, SCAP es el método para utilizar estos estándares de forma que sea posible la medida, gestión de vulnerabilidades y su cumplimiento de forma automática.

Seguir leyendo en S21Sec

McColo: bullet-proof hosting in the USA

noreply@blogger.com (www.segu-info.com.ar) — Wed, 19 Nov 2008 08:31:00 -0600

Desde primeras horas del día de ayer un ISP norteamericano dejó de existir en Internet: McColo (AS 26780). La razón no fue la quiebra de la empresa, sino que sus homólogos norteamericanos dejaron de enrutar sus paquetes (situación parecida hace unos meses a Atrivo/Intercage). En los servidores de este ISP estaban paneles de control (C&C) que manejaban muchas de las botnets responsables del SPAM actual: Rustock, Srizbi, Pushdo, Mega-D, ... botnets dedicadas casi enteramente al SPAM y que son el motivo principal de todo el SPAM existente en el mundo.

Seguir leyendo en S21Sec
Leer informe sobre Atrivo I y II
Leer informe de CyberCrime en McColo y su suplemento

Introducción al Portable Document Format (PDF)

noreply@blogger.com (www.segu-info.com.ar) — Wed, 19 Nov 2008 08:28:00 -0600

Hace ya unos meses, en la Black Hat europea de este año, se hizo una charla que hablaba de las capacidades y funcionalidades del formato PDF. En ella se advertía que gracias a algunas de sus funciones, un simple PDF podría convertirse en un malware en toda regla que podría realizar las acciones que especificara el atacante. Además, recientemente se ha puesto de moda la explotación de vulnerabilidades a través de documentos en este formato. Es por eso que hoy os voy a contar lo básico sobre la estructura de un PDF y cómo trabaja internamente.

Puede que resulte un poco pesado, pero os prometo que en los próximos posts sobre el mismo tema habrá más parte práctica;) Para hacerlo más ameno podéis abrir un PDF en un editor de texto o en un editor hexadecimal e ir viendo todo lo que voy comentando.

Principales preocupaciones de los usuarios en lo que a seguridad informática se refiere

noreply@blogger.com (sb) — Wed, 19 Nov 2008 08:27:00 -0600

Los usuarios se consideran hoy en día más informados en cuestiones de seguridad que en el año 2007; un aspecto que contribuye a incrementar su nivel de confianza en lo que a medidas de seguridad se refiere, según la encuesta global de seguridad de BitDefender para 2008. BitDefender, proveedor global de software antivirus de prestigio y galardonadas soluciones de seguridad de datos, ha hecho públicos los resultados de su encuesta, realizada entre agosto y septiembre de este año, sobre la visión que tienen los usuarios acerca del estado actual de la seguridad informática con respecto a años precedentes.

Impacto del grado de conocimiento sobre seguridad en la protección del PC
Según se extrae de los resultados obtenidos, el 68% de los encuestados señala haber incrementado sus conocimientos durante este año, sólo un 8% declara su desconocimiento en la materia, mientras que el 24% afirma saber lo mismo con respecto al año pasado. Este incremento en el grado de conocimiento sobre seguridad en la protección del PC juega un papel determinante en el número de usuarios que tiene previsto invertir en seguridad dado que, según los resultados, un 46% de los encuestados tiene previsión de hacerlo durante el presente año.

Del mismo modo, según reflejan los resultados de dicho cuestionario, cuanto mayor es el desconocimiento de los usuarios en temas relacionados con la seguridad de su sistema informático más preocupados se muestran éstos con respecto a la salvaguarda de su equipo, en tanto que creen menos en la efectividad de las soluciones de seguridad. Por el contrario, a más conocimientos sobre seguridad informática, menor es la preocupación de los usuarios más experimentados acerca del estado de su seguridad, debido a que consideran que las soluciones de invulnerabilidad actuales son cada vez más efectivas.

Principales preocupaciones de los usuarios
Cuando los usuarios son preguntados acerca de las amenazas que más les preocupan sobre la seguridad de su PC, el porcentaje de respuestas es el siguiente:

* Virus 36%
* Privacidad 20%
* Malware 15%
* Hackers 11%
* Cibercriminales 8%
* Ataques de Phishing 4%
* No les preocupa 2%
* Otros 4%

Paralelamente, entre los encuestados existe un gran interés sobre la seguridad a la hora de realizar gestiones de banca y compras online, así como búsquedas a través de la red y transacciones de mensajería de correo electrónico.

El cuestionario refleja, asimismo, la interesante conexión que existe entre la gente que comprende la seguridad informática y la preocupación por la seguridad de su PC. Cuanto mayor es el conocimiento sobre el estado de la seguridad informática, menor es la preocupación que muestran los usuarios sobre sus equipos, en tanto que depositan una mayor confianza en sus soluciones de seguridad. Por todo ello, compañías como BitDefender se esfuerzan al máximo en ofrecer a los equipos de los usuarios una completa y efectiva gama de soluciones de seguridad para la protección de sus PCs.

Fuente: http://seguridad-informacion.blogspot.com/2008/11/encuesta-bitdefender-2008-principales.html

El debate sobre la Ingeniería Informática y la Seguridad de la Información

noreply@blogger.com (www.segu-info.com.ar) — Wed, 19 Nov 2008 08:19:00 -0600

Interesante debate planteado en Hispasec sobre la necesidad de regulación profesional de la Informática y la seguridad. Esto viene a colación de la convocatoria de varias movilizaciones y actos por el llamado Proceso de Bolonia que pretende unificar las titulaciones universitarias en los países miembros de la Unión Europea.

¿En América se podría discutir algo así?

Más información en Hispasec y Microsiervos.

Investigaciones detecta primer caso de "grooming"

noreply@blogger.com (www.segu-info.com.ar) — Wed, 19 Nov 2008 08:17:00 -0600

Se puede ampliar esta noticia en Segu-Kids, Seguridad para menores en la red.

Chile.- (La Tercera Mouse) A partir de este caso, diputados llamaron al Ejecutivo a penalizar esta práctica. Según informa hoy La Cuarta, la policía logró dar con presunto pedófilo de 26 años, "que se hizo pasar por pokemón para pervertir a lolita". "La sedujo para que le enviara fotos sin ropa. Luego la amenazó con difundirlas en internet". Hoy, La Cuarta informó acerca del primer caso de grooming nacional que enfrenta la justicia. Esto, pues se produjo la detención de un sujeto que simuló ser menor para "engrupir" (seducir) por chat a una niña de 12 años, con fines sexuales. El acusado del chateo fue identificado como José Duarte Caroca (26), quien contactó a la menor por messenger.

Paso a paso

Según estableció la Fiscalía Occidente, Duarte, tras ganarse la confianza de la menor, la convenció para que le enviara fotografías desnuda y después amenazó con divulgarlas en la web si no seguía posando.
Alertada, la mamá de la víctima hizo la denuncia, que culminó ayer cuando Investigaciones halló el equipo desde donde venía el posteo en casa de Duarte, en Pudahuel Sur. Ahí incautó el PC más dos CPU, 19 videos y 452 CD.
Mañana el detenido será formalizado por almacenamiento de pornografía infantil y corrupción de menores. El "grooming" aún no está tipificado como delito.

Urgencia al proyecto

A raíz de este caso, el diputado Marcelo Díaz (PS) llamó al Ejecutivo a darle urgencia a la iniciativa que elaboró junto al diputado Patricio Walker (DC) y que apunta a penalizar esta práctica.
Al respecto, el diputado Díaz planteó que existe un fuerte vacío en la legislación actual, que no contempla sanciones específicas para esta práctica pederasta.
"Hoy esta práctica no está penalizada. Por eso junto al diputado Walker hemos planteado a través de un proyecto de ley la necesidad de poner fin a esta situación que es de extrema gravedad", afirmó el parlamentario.

Fuente: http://nopornoinfantil.blogspot.com/2008/04/investigaciones-detecta-primer-caso-de.html

Microsoft ofrecerá gratis sus herramientas y aplicaciones de seguridad informática para Windows

noreply@blogger.com (sb) — Wed, 19 Nov 2008 06:54:00 -0600

Microsoft Corp dijo el miércoles que discontinuara la venta de su servicio de seguridad para computadoras por suscripción y en su lugar ofrecerá software gratis para ayudar a proteger los equipos de virus, software malicioso y otras amenazas.

Agencias - Con esta decisión, el gigante de la computación parece apuntar a McAfee Inc y Symantec Corp, sus principales rivales en el mercado de la seguridad tecnológica.

Microsoft planea suspender la venta de su servicio Windows Live OneCare el 30 de junio. El servicio que será discontinuado cuesta 49,95 dólares al año y puede proteger hasta tres computadoras.

El nuevo programa de seguridad, al que la compañía ha denominado con el nombre clave “Morro”, estará disponible como una descarga gratuita en la segunda mitad del próximo año.

Morro está diseñado para trabajar con computadoras más pequeñas y menos poderosas, dijo la compañía, lo que debería hacerlo atractivo a un amplio grupo de consumidores.

Sin embargo, McAfee dijo que la decisión es una señal de capitulación por parte de Microsoft. McAfee indicó que OneCare consiguió captar menos del 2 por ciento del mercado en los dos años que ha estado disponible.

“Microsoft se está dando por vencido”, dijo un portavoz de a McAfee. “Ahora están recurriendo a un modelo gratuito reducido que no cumple las necesidades de seguridad de los consumidores”, agregó.

Microsoft tiene un historial de chocar con sus competidores en el segmento de seguridad de computadoras.

En el 2006 y el 2007, Symantec y McAfee expresaron su preocupación porque Microsoft había diseñado Windows Vista para negarles acceso al corazón del sistema operativo, necesario para proteger a las máquinas de ciertos tipos de software malicioso.

Luego de negociaciones, y de ciertas exigencias de reguladores antimonopolio en Bruselas, Microsoft dijo que proveería la información necesaria.

Fuente: http://www.noticiasdot.com/wp2/2008/11/19/microsoft-ofrecera-gratis-sus-herramientas-y-aplicaciones-de-seguridad-informatica-para-windows/

Obama se queda sin blackberry por motivos de seguridad nacional

noreply@blogger.com (sb) — Wed, 19 Nov 2008 05:52:00 -0600

Despegarse del móvil no es fácil y más en estos tiempos en que parece una extensión más del cuerpo. Pero a Barack Obama lo tendrá que hacer. El Presidente electo de Estados Unidos tendrá que apagar su Blackberry en apenas dos meses por motivos de seguridad nacional. Durante años, Obama ha estado pegado a su dispositivo móvil. En pocas ocasiones se ha podido ver al candidato demócrata separado de su Blackberry, a lo largo de su intensa campaña política.

Dentro de 64 días, fecha en la que entrará en la Casa Blanca, Obama tendrá que desconectar su teléfono móvil. El motivo de esta medida tan estricta es la seguridad. Uno de los requisitos que conlleva el cargo es que todas las comunicaciones del Presidente deben estar recogidas de forma oficial y sean puestas a disposición del público al cabo de los años. Además, la normativa también exige que los presidentes se deshagan de sus cuentas de correo electrónico.

Al igual que convirtió el tradicional mensaje radiofónico del presidente en un vídeo que se publicará en YouTube, Obama quiere cambiar esta ley. La decisión todavía no se ha tomado, pero el presidente electo podría convertirse en el primero con la posibilidad de mandar y recibir emails, aunque los asesores del demócrata afirmaron que parece difícil.

Pese a las restricciones, el Presidente no ha cambiado nada de sus hábitos. En los últimas semanas, se ha podido ver a Obama escribiendo sus pensamientos y sensaciones en su Blackberry, eludiendo, por el momento, la burocracia que poco a poco le va exigiendo la desconexión de sus aparatos electrónicos. Además, es probable que el demócrata pueda hacer uso de sus ordenador en la mesa del Despacho Oval, convirtiéndose en el primer Presidente Norteamericano en hacerlo. En cuanto a su correo electrónico,no ha dado de baja su cuenta de correo, que posee desde hace muchos años.

EL ULTIMO MAIL DE BUSH

El Presidente electo de Estados Unidos es el segundo presidente que está luchando contra esta imposición ‘voluntaria’ de aislamiento. El primero en quejarse de la dura medida fue George W. Bush, quien tres días antes de su primer acto político como Presidente electo, mandó un mensaje a 42 amigos y conocidos explicándoles que ya no iba a poder usar el móvil ni el correo electrónico.

“Como no quiero que personas extrañas lean mis conversaciones privadas, la única solución que encuentro es no corresponder los e-mails a través del ciberespacio”, escribió Bush en uno de sus últimos correos desde la antigua dirección G94B@aol.com. “Esto me entristece. Me ha alegrado hablar con cada uno de vosotros”.

Obama parece que va a luchar por mantener su ‘libertad’ cibernética ya que es “muy importante para él tener información no filtrada”. “Me imagino que le va ser muy difícil adaptarse a la nueva situación“, lamentó una de sus consejeras durante la campaña, Linda Douglass. Durante los debates entre John McCain y Barack Obama, se estableció un requisito fundamental: Blackberrys No. Todos depositaron sus dispositivos en la mesa pero Obama no podía dejar de echar un vistazo de vez en cuando a la pantalla.

La ley que controla las comunicaciones de los presidentes responde, según la encargada de dirigir el programa de estudios de la Universidad de Georgetown, Diana Owen, “a motivos de seguridad y al miedo a que los mensajes presidenciales puedan ser interceptados”.

Fuente: http://www.noticiasdot.com/wp2/2008/11/19/obama-se-queda-sin-blackberry-por-motivos-de-la-seguridad-nacional/

El Etarra Txeroki detenido gracias al espionaje de su correo electrónico

noreply@blogger.com (sb) — Tue, 18 Nov 2008 14:00:00 -0600

Hace un mes el Centro Nacional de Inteligencia consiguió localizar dos cuentas de correo que utilizaba el terrorista | Rubalcaba ha dicho que una de las misiones de los equipos conjuntos de investigación hispano-franceses es seguir el rastro de los vehículos robados en Francia | Garikoitz Aspiazu, "Txeroki" y Leire López Zurutuza ya han llegado a la comisaría de Bayona, donde continuarán declarando

Dos cuentas de correo electrónico y las placas falsas de un vehículo robado han sido claves para la detención hoy en Francia del jefe del aparato militar de ETA, Mikel Garikoitz Aspiazu, alias Txeroki, según han informado fuentes de la investigación.

Desde hace años, la captura de Txeroki era prioritaria, especialmente cuando se constató que fue él quien ordenó el atentado de la T-4 y la ruptura del alto el fuego, y que había participado directamente en el atentado que costó la vida de dos guardias civiles en Capbretón en diciembre del pasado año.

Los presuntos etarras Garikoitz Aspiazu, "Txeroki" y Leire López Zurutuza ya han llegado esta noche a la comisaría de Bayona, donde continuarán declarando.

El considerado jefe del aparato militar de ETA y su compañera han sido trasladados en dos coches distintos desde la localidad pirenaica de Cauterets, donde fueron detenidos, a la comisaría de Bayona cubiertos por mantas.

Previsiblemente a los dos presuntos etarras se les trasladará a lo largo de hoy, martes, a París, donde comparecerán ante el tribunal de la capital francesa encargado de asuntos de terrorismo.

La detención de los dos presuntos etarras se llevó a cabo por orden de la juez parisina Laurence Le Vert, especializada en sumarios de ETA en Francia.

Le Vert es la juez responsable del sumario abierto sobre el atentado en Capbreton, que costó la vida a dos guardias civiles en esa localidad del suroeste de Francia, el 1 de diciembre de 2007 y en el que "Txeroki" reconoció haber participado, según las autoridades españolas

Placas falsas

Desde hace un mes, el Centro Nacional de Inteligencia (CNI), según las citadas fuentes, había conseguido localizar lo que ha sido clave para la investigación: dos cuentas de correo que utilizaba Txeroki. Los servicios secretos españoles pusieron esta información en conocimiento de la Guardia Civil, que ha conseguido finalmente cerrar el "cerco" a quien se le consideraba como el número uno de lo que denominan "aparato militar" de ETA, el jefe de los "comandos".

Además, el ministro del Interior, Alfredo Pérez Rubalcaba, ha asegurado que las Fuerzas de Seguridad han conseguido dar esta madrugada con el paradero de Txeroki, gracias al seguimiento de un coche robado con placas de matrícula falsas.

En una comparecencia en la sede de su Ministerio, Rubalcaba ha dicho que una de las misiones de los equipos conjuntos de investigación hispano-franceses constituidos el pasado mes de enero es seguir el rastro de los vehículos robados en Francia, y ha añadido que uno de esos coches, "robado hace unas semanas", tenía placas falsas que han conducido hasta Txeroki.

En este sentido, ha precisado que ahí radica uno de los elementos clave de esta investigación. El vehículo era un Peugeot 207 y, según el ministro, llevaba unas placas que "no podían existir". Este hecho, ha puntualizado Rubalcaba, "da buena cuenta de la situación por la que atraviesa ETA, es que han puesto unas placas que eran, no falsas, sino imposibles".

"Txeroki constituía el máximo objetivo del Ministerio del Interior, de las fuerzas de seguridad españolas y francesas", ha dicho Rubalcaba que ha asegurado que "las investigaciones son trabajo de mucho tiempo, de un estrategia de combate a ETA, que nunca, nunca, ganará la batalla a la democracia española".

El ministro del Interior ha afirmado que ya hay "especulaciones sobre quién puede sustituir a Txeroki, pero ya estamos trabajando en coordinación con Francias para que sea detenido y puesto a disposición judicial".

Un "rastro" decisivo

En cuanto a las cuentas de correo electrónico, claves también en la detención de Txeroki, Rubalcaba ha advertido que debe ser precavido con las informaciones que da, pero ha apuntado que "para nadie es un secreto que ETA usa cibercafés y para nadie es un secreto que las Fuerzas de Seguridad lo saben y lo investigan".

El "rastro" de Txeroki en la red ha sido decisivo, según los investigadores, para su localización en suelo francés y para que se decidiera ayer activar el dispositivo para la detención de quien mandaba en el sector "más duro" de ETA, según las fuentes antiterroristas consultadas.

Txeroki tenía en estos momentos a su lado en la banda al que consideraban hasta hoy "número dos" de la organización terrorista, Aitzol Iriondo, quien podría haber escalado un "puesto" más en esta "carrera" del terror.

Algunas fuentes apuntan a que Iriondo estuvo implicado también en el atentado que costó la vida a los guardias civiles Raúl Centeno y Fernando Trapero, cuando los agentes participaban en una misión de vigilancia contra ETA, el pasado 1 de diciembre.

Desde el mes de marzo, la fotografía de Iriondo, junto a las de otros presuntos miembros de ETA, como Txeroki, está colocada en comisarías de España y Francia, en gendarmerías y locales de aduanas y aeropuertos. Iriondo podría ser el "sucesor" de "Txeroki", quien, según las fuentes, no era apoyado por todos los sectores de la banda.

Objetivo de la Guardia Civil

A partir de 2004, cuando se hizo cargo de la "jefatura" de los "comandos", Txeroki era el objetivo prioritario para el centenar de guardias civiles que desarrollan su actividad en suelo francés.

Mikel Garikoitz Aspiazu, además de dirigir los "comandos", se hacía cargo de la formación de los nuevos integrantes de la banda: les impartía cursillos sobre explosivos y manejo de armas y participaba en el traslado de material.

Una labor que, en principio parecería más indicada para cargos intermedios y que ha hecho que estuviera más "expuesto" y fuera más vulnerable a la investigación policial.

Fuente: http://www.seguridadinformatica.es/profiles/blogs/el-etarra-txeroki-detenido

Ataque de escucha de SSH plantea un riesgo menor

noreply@blogger.com (Raúl) — Tue, 18 Nov 2008 12:15:00 -0600

Investigadores del Reino Unido han descubierto una debilidad criptográfica difícil de explotar en el protocolo de administración remota Secure Shell (SSH).

La falla crea un medio que potencialmente permite obtener el texto sin formato de sesiones cifradas, dependiendo de la configuración del acceso remoto. Los potenciales ataques, los cuales requerirían altas habilidades de hacking para conseguirlo, necesitarían inducir y observar condiciones de error. Sería mucho más probable que ese tipo de ataque potencial sólo consiga hacer caer la conversación que lograr un resultado útil.

Cambiar el modo de enlace SSH de cifrado de bloques (CBC) a cifrado de flujo permitiría frustrar cualquier ataque potencial, que se ha confirmado que afecta a OpenSSH. Las versiones comerciales de SSH también son afectadas, con un alcance más modesto. SSH Communicatiosn Security ha publicado un boletín de advertencia instando a los usuarios a actualizar el software de sus clientes y servidores SSH Tectia. En el caso de SSH Communications, se podrían obtener 4 bits de texto sin cifrar mediante la escucha de conversaciones de sistemas vulnerables, comparado con 32 bits o, algo más realista, 14 bits de un bloque de texto cifrado en sistemas OpenSSH.

La falla criptográfica fue descubierta por investigadores del Grupo de Seguridad de la Información del Royal Holloway, de la Universidad de Londres. Se pueden encontrar más detalles de la falla en un boletín del Centro para la Protección de la Infraestructura Nacional (CPNI) aquí. ®

Traducido para el Blog de Segu-Info por Raúl Batista
Autor: John Leyden
Fuente: http://www.theregister.co.uk/2008/11/18/ssh_sniffer_attack/
http://www.ssh.com/company/news/article/953/
http://www.cpni.gov.uk/Docs/Vulnerability_Advisory_SSH.txt

El ciclo de desarrollo seguro del software (SDLC)

noreply@blogger.com (sb) — Tue, 18 Nov 2008 08:22:00 -0600

Desde hace unos días y con lo agitado del mundillo informático por el tema de mañana, la manifestación 19-N, parece que está llegando el momento de "tirar de la manta" y destapar los trapos sucios que deja la industria del software y su ausencia de regulación.

No quiero defender en ningún momento la "titulitis", pero hay una evidencia clara que todos los días pagamos caro, el software es inseguro. No voy a entrar en profundizar mucho sobre las causas dado que otros blogs amigos ya lo han hecho con gran calidad o lo harán próximamente.

Mi aportación viene más a contar la R-(evolución) de Microsoft en este tema. Ni que decir tiene que saben de lo que hablan. Han pasado de conocerse a sí mismos a intentar conocer a su enemigo (siguiendo la filosofía de Sun Tzu). Y ahora, fruto de ese esfuerzo y de la madurez de su estrategia para robustecer el software, van a la raíz del asunto: las metodologías del desarrollo software.

Esta r-(evolución) no es nueva: lleva ya algunos años en marcha y Vista creo que es el primer producto con este enfoque desde su nacimiento. Pero no contentos con eso, explican al resto cómo deben hacerse las cosas.
Para quien no tenga claro de que va esto, recomiendo ver este video What is Microsoft Application Threat Modeling?
Los resultados de este proceso son un conjunto de requisitos de seguridad necesarios para lograr que la aplicación sea robusta. En este video se pueden consultar los resultados de usar esta herramienta.

Para quien tenga más hambre de conocimientos, puede saciar su sed en Microsoft Application Threat Modeling.

Fuente: http://seguridad-de-la-informacion.blogspot.com/2008/11/el-ciclo-de-desarrollo-seguro-del.html

Publicado el Boletín 82 de Segu-Info [ma.gnolia]

SeguridadInformatica — Sun, 11 Mar 2007 22:11:37 -0500

Saved By: SeguridadInformatica | View Details | Give Thanks

Tags: None assigned