¿Qué riesgos acechan a un teléfono móvil?

octubre 31, 2007 § Deja un comentario

Toda ciberdelincuencia depende de dos factores fundamentales: por un lado, el uso que se haga de una determinada tecnología y, por otro, las posibilidades de negocio.

En este sentido, los móviles y las PDA ya son herramientas masivamente empleadas (en España, la tasa de penetración es del 104%) y, ahora, se van generalizando nuevas funcionalidades de interés para los atacantes, como su uso para fines comerciales (por ejemplo, el envío de correos electrónicos con información sobre clientes) y para realizar transacciones monetarias (transferencias bancarias, compra de productos o servicios, etc.).
Hasta ahora, los ataques a móviles han sido minoritarios, porque en estos aparatos no había nada que mereciera la pena robar, pero, con la convergencia tecnológica, esto está cambiando”, indican fuentes del sector.

Medidas

La primera medida de seguridad de un dispositivo móvil son los códigos de acceso e identificación. Los más destacados son el código PIN (para iniciar el sistema) y el de identificación de la tarjeta SIM, en la que quedan almacenados todos los contactos, los mensajes y buena parte de otra información del móvil. Mediante esta última clave, cuyos dígitos vienen inscritos en el propio chip, en caso de robo, es posible inhabilitar la tarjeta.

Además, el acceso a Internet a través del móvil está haciendo proliferar, sobre todo, la entrada de virus, spam (correo electrónico no deseado), y hoaxes (mensajes con pretensión de ser enviados de forma indefinida, como, por ejemplo, las cadenas solidarias). También se han detectado varios casos de robo de información a través de phishing y de troyanos, así como de spoofing o suplantación de la identidad de un usuario de telefonía móvil, a través de la duplicación de su tarjeta SIM.

En este contexto, las compañías de seguridad informática, como Panda Security o McAfee, han desarrollado antivirus y otros productos específicos para móviles. Mientras, European Security, empresa de transporte y custodia de información digital, y Digital Parks, proveedor de soluciones de presencia en Internet, han optado por desarrollar conjuntamente un servicio global de seguridad para la información de las empresas.

Este servicio abarca tanto los dispositivos tecnológicos como la seguridad física de los soportes de información digital, garantizando la vigilancia de la documentación durante todo el proceso: trasladado, almacenamiento y gestión de la información.

Es necesario plantear la seguridad de una empresa como una estrategia global y adelantarse a los movimientos de los ciberdelincuentes, porque muchos de ellos sí están organizados y cuentan con una estrategia precisa”, asegura Arthur Coviello, consejero delegado de la compañía estadounidense de seguridad informática RSA. “Suelen comenzar por el mercado más grande, Estados Unidos, y después se dirigen hacia Europa, Oriente Medio y otros países anglosajones”, explica Coviello.

Fuentes:
http://www.expansion.com/edicion/exp/empresas/pymes/es/desarrollo/1051759.html
http://seguridad-informacion.blogspot.com/2007/10/qu-riegos-acechan-un-telfono-mvil.html

China pone fin al bloqueo de YouTube

octubre 31, 2007 § Deja un comentario

El portal de vídeos YouTube, bloqueado durante trece días en territorio chino por razones aún no aclaradas por el Gobierno, vuelve a estar accesible en el país asiático, tal y como ha podido comprobar la agencia EFE en pruebas realizadas desde Pekín y Shanghai.

Populares páginas web como Wikipedia, Blogger o Technorati han sufrido bloqueos en China

El bloqueo, último de una larga lista de webs a las que China ha restringido el acceso en los últimos años, causó el enfado de los internautas en el país asiático, donde también es una de las webs más visitadas, aunque en competencia con otros portales de vídeos locales, como Tudou.com.

YouTube fue bloqueado en la noche del 17 de octubre, precisamente un día antes de que se presentara la versión en mandarín del sitio web, por lo que en un principio se pensó que el bloqueo podía tener causas técnicas.

Sin embargo, el hecho de que esa semana se estuviera celebrando el XVII Congreso del Partido Comunista de China, días en los que aumenta el control sobre la información, hizo pensar que pudo haber censura por parte del Ministerio de Información chino, que nunca explica el porqué de sus muchos bloqueos. Algunos analistas apuntaron que podría haber relación entre el bloqueo y el hecho de que esos días se subieran a YouTube vídeos del Dalai Lama o de protestas sociales.

El sitio Great Firewall of China, desde el que es posible realizar una comprobación de disponibilidad de páginas web en los ordenadores del país asiático, YouTube sigue figurando como una de las páginas bloqueadas.

China es el segundo país del mundo en número de internautas, con más de 170 millones de usuarios y las protestas de éstos contra el control que Pekín quiere ejercer sobre la red arrecian día a día. Populares páginas web como Wikipedia, los blogs de Blogspot, Technorati y otros muchos siguen bloqueados, mientras que el portal de fotos Flickr, que también tuvo problemas de acceso en meses pasados, ha recuperado la normalidad.

Fuente: http://www.20minutos.es/noticia/299454/0/youtube/libre/china/

Los niños iberoamericanos navegan sin filtros en Internet

octubre 31, 2007 § Deja un comentario

Un 70 por ciento de los niños iberoamericanos navega sin filtros de contenido en Internet, un medio que se ha convertido en el preferido de los adolescentes frente a la televisión, dijo un estudio divulgado el miércoles.

La investigación de la Universidad de Navarra y la firma española Telefónica es parte de un proyecto que evalúa los hábitos y tendencias en el uso de pantallas de ocio digital entre jóvenes de 6 a 18 años.

Los primeros resultados del estudio, llevado a cabo entre más de 20.000 menores, revelaron que 7 de cada 10 niños de entre 10 y 14 años navega solo por el ciberespacio y que apenas uno de cada 10 cuenta con la ayuda de un filtro de contenido.

Más de la mitad de los escolares encuestados aseguró que prefería pasar sus horas de recreo en la red frente a casi un 30 por ciento que dijo optar por la televisión, lo que evidencia un cambio en las tendencias durante la última década.

El estudio destacó también que los videojuegos “generan adicción, aislamiento o violencia entre el público infantil, si bien los escolares valoran las posibilidades de socialización” que ofrecen.

Respecto al uso de los teléfonos móviles, un 81 por ciento de los entrevistados señaló que lo utiliza para llamar y hacer llamadas, mientras un 74 por ciento lo usa para enviar y recibir mensajes de texto y un 56 por ciento para jugar.

El proyecto denominado “Generaciones Interactivas en Iberoamérica” busca establecer una estructura en países como Argentina, Brasil, Colombia, Chile, México, Venezuela, Guatemala o Perú, que permita estudiar las tendencias y el desarrollo de la generación interactiva en el futuro.

Fuente: http://www.noticiasdot.com/wp2/2007/10/31/los-ninos-iberoamericanos-navegan-sin-filtros-en-internet/

Los niños iberoamericanos navegan sin filtros en Internet

octubre 31, 2007 § Deja un comentario

Un 70 por ciento de los niños iberoamericanos navega sin filtros de contenido en Internet, un medio que se ha convertido en el preferido de los adolescentes frente a la televisión, dijo un estudio divulgado el miércoles.

La investigación de la Universidad de Navarra y la firma española Telefónica es parte de un proyecto que evalúa los hábitos y tendencias en el uso de pantallas de ocio digital entre jóvenes de 6 a 18 años.

Los primeros resultados del estudio, llevado a cabo entre más de 20.000 menores, revelaron que 7 de cada 10 niños de entre 10 y 14 años navega solo por el ciberespacio y que apenas uno de cada 10 cuenta con la ayuda de un filtro de contenido.

Más de la mitad de los escolares encuestados aseguró que prefería pasar sus horas de recreo en la red frente a casi un 30 por ciento que dijo optar por la televisión, lo que evidencia un cambio en las tendencias durante la última década.

El estudio destacó también que los videojuegos “generan adicción, aislamiento o violencia entre el público infantil, si bien los escolares valoran las posibilidades de socialización” que ofrecen.

Respecto al uso de los teléfonos móviles, un 81 por ciento de los entrevistados señaló que lo utiliza para llamar y hacer llamadas, mientras un 74 por ciento lo usa para enviar y recibir mensajes de texto y un 56 por ciento para jugar.

El proyecto denominado “Generaciones Interactivas en Iberoamérica” busca establecer una estructura en países como Argentina, Brasil, Colombia, Chile, México, Venezuela, Guatemala o Perú, que permita estudiar las tendencias y el desarrollo de la generación interactiva en el futuro.

Fuente: http://www.noticiasdot.com/wp2/2007/10/31/los-ninos-iberoamericanos-navegan-sin-filtros-en-internet/

Los niños iberoamericanos navegan sin filtros en Internet

octubre 31, 2007 § Deja un comentario

Un 70 por ciento de los niños iberoamericanos navega sin filtros de contenido en Internet, un medio que se ha convertido en el preferido de los adolescentes frente a la televisión, dijo un estudio divulgado el miércoles.

La investigación de la Universidad de Navarra y la firma española Telefónica es parte de un proyecto que evalúa los hábitos y tendencias en el uso de pantallas de ocio digital entre jóvenes de 6 a 18 años.

Los primeros resultados del estudio, llevado a cabo entre más de 20.000 menores, revelaron que 7 de cada 10 niños de entre 10 y 14 años navega solo por el ciberespacio y que apenas uno de cada 10 cuenta con la ayuda de un filtro de contenido.

Más de la mitad de los escolares encuestados aseguró que prefería pasar sus horas de recreo en la red frente a casi un 30 por ciento que dijo optar por la televisión, lo que evidencia un cambio en las tendencias durante la última década.

El estudio destacó también que los videojuegos “generan adicción, aislamiento o violencia entre el público infantil, si bien los escolares valoran las posibilidades de socialización” que ofrecen.

Respecto al uso de los teléfonos móviles, un 81 por ciento de los entrevistados señaló que lo utiliza para llamar y hacer llamadas, mientras un 74 por ciento lo usa para enviar y recibir mensajes de texto y un 56 por ciento para jugar.

El proyecto denominado “Generaciones Interactivas en Iberoamérica” busca establecer una estructura en países como Argentina, Brasil, Colombia, Chile, México, Venezuela, Guatemala o Perú, que permita estudiar las tendencias y el desarrollo de la generación interactiva en el futuro.

Fuente: http://www.noticiasdot.com/wp2/2007/10/31/los-ninos-iberoamericanos-navegan-sin-filtros-en-internet/

Los niños iberoamericanos navegan sin filtros en Internet

octubre 31, 2007 § Deja un comentario

Un 70 por ciento de los niños iberoamericanos navega sin filtros de contenido en Internet, un medio que se ha convertido en el preferido de los adolescentes frente a la televisión, dijo un estudio divulgado el miércoles.

La investigación de la Universidad de Navarra y la firma española Telefónica es parte de un proyecto que evalúa los hábitos y tendencias en el uso de pantallas de ocio digital entre jóvenes de 6 a 18 años.

Los primeros resultados del estudio, llevado a cabo entre más de 20.000 menores, revelaron que 7 de cada 10 niños de entre 10 y 14 años navega solo por el ciberespacio y que apenas uno de cada 10 cuenta con la ayuda de un filtro de contenido.

Más de la mitad de los escolares encuestados aseguró que prefería pasar sus horas de recreo en la red frente a casi un 30 por ciento que dijo optar por la televisión, lo que evidencia un cambio en las tendencias durante la última década.

El estudio destacó también que los videojuegos “generan adicción, aislamiento o violencia entre el público infantil, si bien los escolares valoran las posibilidades de socialización” que ofrecen.

Respecto al uso de los teléfonos móviles, un 81 por ciento de los entrevistados señaló que lo utiliza para llamar y hacer llamadas, mientras un 74 por ciento lo usa para enviar y recibir mensajes de texto y un 56 por ciento para jugar.

El proyecto denominado “Generaciones Interactivas en Iberoamérica” busca establecer una estructura en países como Argentina, Brasil, Colombia, Chile, México, Venezuela, Guatemala o Perú, que permita estudiar las tendencias y el desarrollo de la generación interactiva en el futuro.

Fuente: http://www.noticiasdot.com/wp2/2007/10/31/los-ninos-iberoamericanos-navegan-sin-filtros-en-internet/

Sobre el voto electrónico

octubre 31, 2007 § Deja un comentario

Existe un punto en el que oficialismo y oposición coinciden: promover el voto electrónico (VE), un sistema para sufragar mediante procesos informáticos que –aunque muy cuestionado– ya funciona en Brasil, India, Venezuela y algunos sitios de Estados Unidos y que podría funcionar en Argentina si el Congreso tratara alguno de los 27 proyectos que recibió desde 2003.

Por Fernando Amdan (*)

Hay dos grandes modelos de voto electrónico: distribuir urnas digitales en lugares públicos de votación, o votar en forma remota desde una PC conectada a Internet. En Argentina la alternativa con más consenso es la de distribución de urnas digitales, en tanto que la segunda opción levanta mayores dudas en cuanto a seguridad.

“No se implementa porque rompe con los aparatajes y los punteros, e iguala a los partidos chicos con los grandes” / María Eugenia Estenssoro, candidata a senadora por la Coalición Cívica

Pero las voces críticas no asoman desde los partidos sino desde las filas de expertos en seguridad informática y de diversas organizaciones sociales. Federico Heinz, presidente de la Fundación Vía Libre, señaló que según “un reporte del Instituto Nacional de Estándares y Tecnología en Estados Unidos, no se sabe cómo hacer urnas electrónicas seguras porque no se pueden verificar los datos que se escriban”. Según ejemplifica Heinz, las urnas electrónicas usadas en Ohio y otros estados de EE.UU. permiten saber quién votó por quién. Algo similar sucede en Holanda, describe, donde el sistema permite descubrir por quién vota una persona desde varias cuadras de distancia, analizando la radiación electromagnética que emiten.

“Hay mecanismos perversos y otros más eficaces, que son como ir a un cajero automático: apretar un botón y votar” / Federico Pinedo, candidato a diputado del PRO

Hay otros problemas, más caseros, que hacen del e-voto una casi utopía: “En 2005 cuando testeamos el modelo en la ciudad de Buenos Aires, había escuelas que no tenían enchufe para conectar las urnas”, recuerda María Inés Tula, investigadora del CIPPEC especializada en voto electrónico. Mejor no pensar los problemas que podrían surgir en los pueblos del interior.

“Cuanto más rápido se implemente, mejor, para evitar sospechas de fraude como en Córdoba” / Alberto Coto, candidato a diputado por UNA

En un país donde la paranoia política está a la orden del día, las urnas electrónicas no son ajenas a las sospechas de fraude. “El proceso es más oscuro, por eso cambia la fiscalización”, afirma Tula, puesto que la información se almacena y circula en el código de la plataforma utilizada. Muchos proveedores de estos sistemas son renuentes a exhibir este código por temor a que sea replicado, amenazando la médula de su negocio. Sería como difundir la fórmula de la Coca-Cola, suelen ejemplificar los especialistas en software. Además, llegado el caso de que la empresa proveedora “abra” el secreto de su plataforma, quienes están preparados para “leer” este lenguaje son los expertos informáticos, exclusivamente, “mientras que hoy cualquier persona que sepa leer, escribir y contar puede ser fiscal”, agrega Heinz. Todo esto, sin mencionar el delicado equilibrio entre las medidas de seguridad disponibles y los potenciales ataques y manipulaciones por parte de piratas informáticos (o “crackers”).

“Me parece que hay muchos más hackers hoy en las mesas truchas, con los punteros escondiendo boletas” / Federico Pinedo, candidato a diputado del PRO

“El e-voto es parte de una reforma política que abarca mucho más que la forma de votar” / Nicolás Trotta, candidato K a diputado

Tula ejemplifica tales riesgos con el último referéndum venezolano: “Los veedores del Centro Carter afirmaron que el proceso fue limpio pero también indicaron que como la empresa proveedora no abrió el código fuente del sistema para fiscalizar, no pudieron controlar ese proceso”. Y para Heinz, el e-voto es nafta para apagar incendios: “Ya tenemos bastantes problemas con nuestro sistema electoral. Agregarle una caja negra imposible de fiscalizar sólo puede empeorar las cosas.”

(*) Nota publicada en la revista Veintitrés, jueves 25 de octubre de 2007.

Ayer nomás…

  • Cómo es

El jefe de mesa y los fiscales verifican que las urnas estén vacías, que todas las boletas estén accesibles y que no tengan marcas. Firman los sobres que entregarán a los votantes de tal modo que la escritura cruce el cierre del sobre. Luego realizan control visual del documento del votante y lo contrastan con el padrón. A solas, el votante elige la boleta de su preferencia, la dobla, la introduce en el sobre y lo cierra. Luego lo introduce en la urna. El jefe de mesa sella el documento del votante y lo devuelve. El conteo final y el armado de planillas es manual.

  • Cómo sería

En los lugares habilitados de votación se instalarían computadoras comunes, a las que se conectaría un pequeño dispositivo que oficiaría de urna digital. Ese dispositivo contendría la información sobre el padrón electoral y los candidatos. El jefe de mesa y los fiscales deberían controlar que todas las máquinas contuvieran la información completa. El votante debería presentar su documento (en el futuro, podrían usarse máquinas que reconozcan al votante por biometría). A solas, elegiría, anularía su voto o lo emitiría en blanco a través de un teclado. Luego recibiría un comprobante físico del voto, además de su documento sellado. El conteo final y el armado de planillas sería automático.

Fuente: http://famdan.wordpress.com/2007/10/28/como-por-un-tubo/

Sobre el voto electrónico

octubre 31, 2007 § Deja un comentario

Existe un punto en el que oficialismo y oposición coinciden: promover el voto electrónico (VE), un sistema para sufragar mediante procesos informáticos que –aunque muy cuestionado– ya funciona en Brasil, India, Venezuela y algunos sitios de Estados Unidos y que podría funcionar en Argentina si el Congreso tratara alguno de los 27 proyectos que recibió desde 2003.

Por Fernando Amdan (*)

Hay dos grandes modelos de voto electrónico: distribuir urnas digitales en lugares públicos de votación, o votar en forma remota desde una PC conectada a Internet. En Argentina la alternativa con más consenso es la de distribución de urnas digitales, en tanto que la segunda opción levanta mayores dudas en cuanto a seguridad.

“No se implementa porque rompe con los aparatajes y los punteros, e iguala a los partidos chicos con los grandes” / María Eugenia Estenssoro, candidata a senadora por la Coalición Cívica

Pero las voces críticas no asoman desde los partidos sino desde las filas de expertos en seguridad informática y de diversas organizaciones sociales. Federico Heinz, presidente de la Fundación Vía Libre, señaló que según “un reporte del Instituto Nacional de Estándares y Tecnología en Estados Unidos, no se sabe cómo hacer urnas electrónicas seguras porque no se pueden verificar los datos que se escriban”. Según ejemplifica Heinz, las urnas electrónicas usadas en Ohio y otros estados de EE.UU. permiten saber quién votó por quién. Algo similar sucede en Holanda, describe, donde el sistema permite descubrir por quién vota una persona desde varias cuadras de distancia, analizando la radiación electromagnética que emiten.

“Hay mecanismos perversos y otros más eficaces, que son como ir a un cajero automático: apretar un botón y votar” / Federico Pinedo, candidato a diputado del PRO

Hay otros problemas, más caseros, que hacen del e-voto una casi utopía: “En 2005 cuando testeamos el modelo en la ciudad de Buenos Aires, había escuelas que no tenían enchufe para conectar las urnas”, recuerda María Inés Tula, investigadora del CIPPEC especializada en voto electrónico. Mejor no pensar los problemas que podrían surgir en los pueblos del interior.

“Cuanto más rápido se implemente, mejor, para evitar sospechas de fraude como en Córdoba” / Alberto Coto, candidato a diputado por UNA

En un país donde la paranoia política está a la orden del día, las urnas electrónicas no son ajenas a las sospechas de fraude. “El proceso es más oscuro, por eso cambia la fiscalización”, afirma Tula, puesto que la información se almacena y circula en el código de la plataforma utilizada. Muchos proveedores de estos sistemas son renuentes a exhibir este código por temor a que sea replicado, amenazando la médula de su negocio. Sería como difundir la fórmula de la Coca-Cola, suelen ejemplificar los especialistas en software. Además, llegado el caso de que la empresa proveedora “abra” el secreto de su plataforma, quienes están preparados para “leer” este lenguaje son los expertos informáticos, exclusivamente, “mientras que hoy cualquier persona que sepa leer, escribir y contar puede ser fiscal”, agrega Heinz. Todo esto, sin mencionar el delicado equilibrio entre las medidas de seguridad disponibles y los potenciales ataques y manipulaciones por parte de piratas informáticos (o “crackers”).

“Me parece que hay muchos más hackers hoy en las mesas truchas, con los punteros escondiendo boletas” / Federico Pinedo, candidato a diputado del PRO

“El e-voto es parte de una reforma política que abarca mucho más que la forma de votar” / Nicolás Trotta, candidato K a diputado

Tula ejemplifica tales riesgos con el último referéndum venezolano: “Los veedores del Centro Carter afirmaron que el proceso fue limpio pero también indicaron que como la empresa proveedora no abrió el código fuente del sistema para fiscalizar, no pudieron controlar ese proceso”. Y para Heinz, el e-voto es nafta para apagar incendios: “Ya tenemos bastantes problemas con nuestro sistema electoral. Agregarle una caja negra imposible de fiscalizar sólo puede empeorar las cosas.”

(*) Nota publicada en la revista Veintitrés, jueves 25 de octubre de 2007.

Ayer nomás…

  • Cómo es

El jefe de mesa y los fiscales verifican que las urnas estén vacías, que todas las boletas estén accesibles y que no tengan marcas. Firman los sobres que entregarán a los votantes de tal modo que la escritura cruce el cierre del sobre. Luego realizan control visual del documento del votante y lo contrastan con el padrón. A solas, el votante elige la boleta de su preferencia, la dobla, la introduce en el sobre y lo cierra. Luego lo introduce en la urna. El jefe de mesa sella el documento del votante y lo devuelve. El conteo final y el armado de planillas es manual.

  • Cómo sería

En los lugares habilitados de votación se instalarían computadoras comunes, a las que se conectaría un pequeño dispositivo que oficiaría de urna digital. Ese dispositivo contendría la información sobre el padrón electoral y los candidatos. El jefe de mesa y los fiscales deberían controlar que todas las máquinas contuvieran la información completa. El votante debería presentar su documento (en el futuro, podrían usarse máquinas que reconozcan al votante por biometría). A solas, elegiría, anularía su voto o lo emitiría en blanco a través de un teclado. Luego recibiría un comprobante físico del voto, además de su documento sellado. El conteo final y el armado de planillas sería automático.

Fuente: http://famdan.wordpress.com/2007/10/28/como-por-un-tubo/

Sobre el voto electrónico

octubre 31, 2007 § Deja un comentario

Existe un punto en el que oficialismo y oposición coinciden: promover el voto electrónico (VE), un sistema para sufragar mediante procesos informáticos que –aunque muy cuestionado– ya funciona en Brasil, India, Venezuela y algunos sitios de Estados Unidos y que podría funcionar en Argentina si el Congreso tratara alguno de los 27 proyectos que recibió desde 2003.

Por Fernando Amdan (*)

Hay dos grandes modelos de voto electrónico: distribuir urnas digitales en lugares públicos de votación, o votar en forma remota desde una PC conectada a Internet. En Argentina la alternativa con más consenso es la de distribución de urnas digitales, en tanto que la segunda opción levanta mayores dudas en cuanto a seguridad.

“No se implementa porque rompe con los aparatajes y los punteros, e iguala a los partidos chicos con los grandes” / María Eugenia Estenssoro, candidata a senadora por la Coalición Cívica

Pero las voces críticas no asoman desde los partidos sino desde las filas de expertos en seguridad informática y de diversas organizaciones sociales. Federico Heinz, presidente de la Fundación Vía Libre, señaló que según “un reporte del Instituto Nacional de Estándares y Tecnología en Estados Unidos, no se sabe cómo hacer urnas electrónicas seguras porque no se pueden verificar los datos que se escriban”. Según ejemplifica Heinz, las urnas electrónicas usadas en Ohio y otros estados de EE.UU. permiten saber quién votó por quién. Algo similar sucede en Holanda, describe, donde el sistema permite descubrir por quién vota una persona desde varias cuadras de distancia, analizando la radiación electromagnética que emiten.

“Hay mecanismos perversos y otros más eficaces, que son como ir a un cajero automático: apretar un botón y votar” / Federico Pinedo, candidato a diputado del PRO

Hay otros problemas, más caseros, que hacen del e-voto una casi utopía: “En 2005 cuando testeamos el modelo en la ciudad de Buenos Aires, había escuelas que no tenían enchufe para conectar las urnas”, recuerda María Inés Tula, investigadora del CIPPEC especializada en voto electrónico. Mejor no pensar los problemas que podrían surgir en los pueblos del interior.

“Cuanto más rápido se implemente, mejor, para evitar sospechas de fraude como en Córdoba” / Alberto Coto, candidato a diputado por UNA

En un país donde la paranoia política está a la orden del día, las urnas electrónicas no son ajenas a las sospechas de fraude. “El proceso es más oscuro, por eso cambia la fiscalización”, afirma Tula, puesto que la información se almacena y circula en el código de la plataforma utilizada. Muchos proveedores de estos sistemas son renuentes a exhibir este código por temor a que sea replicado, amenazando la médula de su negocio. Sería como difundir la fórmula de la Coca-Cola, suelen ejemplificar los especialistas en software. Además, llegado el caso de que la empresa proveedora “abra” el secreto de su plataforma, quienes están preparados para “leer” este lenguaje son los expertos informáticos, exclusivamente, “mientras que hoy cualquier persona que sepa leer, escribir y contar puede ser fiscal”, agrega Heinz. Todo esto, sin mencionar el delicado equilibrio entre las medidas de seguridad disponibles y los potenciales ataques y manipulaciones por parte de piratas informáticos (o “crackers”).

“Me parece que hay muchos más hackers hoy en las mesas truchas, con los punteros escondiendo boletas” / Federico Pinedo, candidato a diputado del PRO

“El e-voto es parte de una reforma política que abarca mucho más que la forma de votar” / Nicolás Trotta, candidato K a diputado

Tula ejemplifica tales riesgos con el último referéndum venezolano: “Los veedores del Centro Carter afirmaron que el proceso fue limpio pero también indicaron que como la empresa proveedora no abrió el código fuente del sistema para fiscalizar, no pudieron controlar ese proceso”. Y para Heinz, el e-voto es nafta para apagar incendios: “Ya tenemos bastantes problemas con nuestro sistema electoral. Agregarle una caja negra imposible de fiscalizar sólo puede empeorar las cosas.”

(*) Nota publicada en la revista Veintitrés, jueves 25 de octubre de 2007.

Ayer nomás…

  • Cómo es

El jefe de mesa y los fiscales verifican que las urnas estén vacías, que todas las boletas estén accesibles y que no tengan marcas. Firman los sobres que entregarán a los votantes de tal modo que la escritura cruce el cierre del sobre. Luego realizan control visual del documento del votante y lo contrastan con el padrón. A solas, el votante elige la boleta de su preferencia, la dobla, la introduce en el sobre y lo cierra. Luego lo introduce en la urna. El jefe de mesa sella el documento del votante y lo devuelve. El conteo final y el armado de planillas es manual.

  • Cómo sería

En los lugares habilitados de votación se instalarían computadoras comunes, a las que se conectaría un pequeño dispositivo que oficiaría de urna digital. Ese dispositivo contendría la información sobre el padrón electoral y los candidatos. El jefe de mesa y los fiscales deberían controlar que todas las máquinas contuvieran la información completa. El votante debería presentar su documento (en el futuro, podrían usarse máquinas que reconozcan al votante por biometría). A solas, elegiría, anularía su voto o lo emitiría en blanco a través de un teclado. Luego recibiría un comprobante físico del voto, además de su documento sellado. El conteo final y el armado de planillas sería automático.

Fuente: http://famdan.wordpress.com/2007/10/28/como-por-un-tubo/

Protección contra las Vulnerabilidades

octubre 31, 2007 § Deja un comentario

Por Pat Edmonds
Gerente de Producción Senior, Microsoft Corporation

Cuando de Protección contra las Vulnerabilidades se Trata, el Proceso No Respeta a una “Mayor Cantidad de Observadores”.

Existen diferencias sustanciales en la forma en que los modelos del Servidor de Windows (Windows Server) y el de Linux son desarrollados. Microsoft pone el énfasis en la implementación de un modelo de desarrollo que permita la inclusión de los atributos del software de importancia en el proceso de planificación. Un ejemplo muy claro de esto es la interoperabilidad. La interoperabilidad por diseño es el elemento clave que es habilitado a través del modelo de desarrollo de Microsoft.Al tomar en cuenta las necesidades de la interoperabilidad de la amplia base de datos de clientes de Microsoft, que incluye la necesidad de intercambiar datos sobre software y hardware de más de 100.000 otras compañías, durante la fase de diseño, Microsoft puede implementar los estándares adecuados y cimentar relaciones con otros proveedores para ayudar a sobrellevar dicho peso a los clientes que precisan integrar los productos de Microsoft con el software de otros proveedores incluyendo aquellos de código abierto.

Estas diferencias en modelos también se pueden traducir a las diferencias de seguridad en el mundo real para los clientes:

Cómo se identifican, informan y reparan los errores/virus.

La reducción de la severidad de las vulnerabilidades.

La reducción del total de Días de Riesgo para Windows en relación a Linux.

La seguridad es a menudo considerada cómo de suma importancia al momento de la decisión de compra del sistema operativo de un servidor. La realidad es que los Servidores de Linux y de Windows tienen filosofías muy diferentes sobre la seguridad de la información, que se traducen en experiencias diferentes para sus clientes. Luego de años de construir y mejorar un enfoque céntrico del proceso para el desarrollo de la seguridad, resulta claro que el modelo del Ciclo de Vida del Desarrollo de la Seguridad de Microsoft contribuye a que la plataforma del servidor de Windows sea altamente segura para cualquier empresa.

Nadie precisa decirle a los CIOs (por su sigla en inglés Chief Information Officers o Gerente Global del Área de Sistemas) que los riesgos a la seguridad de la información son cada vez más altos. De acuerdo con Forrester, un 10 por ciento promedio de los presupuestos de TI son destinados a la seguridad, 1 y por una buena razón. Por ejemplo:

Un estudio reciente de Consumer Reports estima que los esquemas de los virus de Internet, spyware y phishing (fraude electrónico) le han costado a los consumidores de los EE.UU. más de US$ 7 billones en los últimos dos años, y que la oportunidad de convertirse en una víctima cibernética es de 1 en 4.2

Uno de cada diez sitios Web son infectados con malware.3

En el 2006, el promedio del costo total en el que incurre una organización por informe de cliente perdido es de $182, con un aumento del 30 por ciento en el 2005. Desde febrero de 2005, el Centro de Distribución de Información de los Derechos Reservados (Privacy Rights Clearinghouse) ha identificado más de 93 millones de registros de residentes de los EE.UU. que han sido expuestos debido a violaciones a la seguridad.4

Un estudio recientemente conducido por la Asociación de Administración de Empresas (Enterprise Management Associates) de seis compañías con datos revelados públicamente por violaciones a la seguridad hace notar que el precio promedio de estas compañías disminuyó en un 5 por ciento al décimo sexto día hábil luego de la revelación (aproximadamente 3 semanas más tarde). Para las cuatro compañías cuyos precios en las acciones pueden ser rastreados hasta hace un año atrás, sus promedios permanecieron dentro de un rango del -2,4 por ciento del 8,5 por ciento hasta 195 días hábiles subsiguientes al episodio (aproximadamente 9 meses). El promedio no alcanzó el nivel pre-revelación hasta 229 días hábiles más tarde- casi un año después.5 (Vea la figura debajo. Las líneas en colores representan las compañías analizadas objeto del estudio).

Figure 1

Los cambios en los Precios de Cierre de las Acciones de las Seis Compañías que Informaron Violaciones a la Seguridad de la Información, Febrero 2005- Junio 20065

Cuando nos referimos a contrarrestar las amenazas a la seguridad, Windows y Linux adoptan enfoques totalmente diferentes.Tanto los vendedores de Microsoft y aquellos de la compañía líder Linux podrían utilizar un número de técnicas y herramientas de seguridad probadas similares, pero las filosofías de desarrollo de Windows y Linux son divergentes.

Por ejemplo, las distribuciones de Linux siguen el modelo de desarrollo de código abierto, que brinda flexibilidad a los usuarios para personalizar el código. Dependiendo de las intenciones y las habilidades del usuario, Linux puede personalizarse tornándose extremadamente seguro; en realidad, al punto de que existen anécdotas sobre usuarios que han personalizado SELinux al punto tal que luego no podían iniciar la sesión nuevamente. Con esta capacidad de personalización, sin embargo, se conlleva la responsabilidad en aumento por parte del usuario de asegurar el código. Las distribuciones más importantes soportadas por Linux tienen provisiones en sus contratos para parar su soporte del producto, incluyendo el soporte de seguridad como administración de parches, una vez que el código ha sido personalizado más allá de cierto punto.

Además, existe una percepción generalizada dentro de la comunidad Linux: “los ojos de muchos observadores hacen que los virus pierdan su fuerza”, una referencia a la creencia de que la naturaleza comunitaria de Linux y su código abierto y visible alientan y permiten a que un mayor número de usuarios identifiquen virus y errores y ofrezcan las recomendaciones para la resolución de los problemas que estos presentan. En realidad, el mantra de la “mayor cantidad de observadores” para la seguridad de Linux ha sido ampliamente desaprobado por dos razones primordiales. Primero, asume que todos los “ojos observadores” se encuentran calificados para saber que están buscando. En realidad, la pericia en el área de seguridad no es mayormente conocida entre la mayoría de los usuarios, y constituye, un grupo de habilidades y prácticas bastante raras y valoradas. Segundo, el argumento del “mayor número de observadores” implica que todos los “ojos de los observadores” quieran en forma voluntaria examinar con detenimiento el código en busca de virus y errores.En realidad, la resolución de problemas y el código de evaluación no son necesariamente uno de los pasatiempos más excitantes para muchos desarrolladores voluntarios, quienes preferirán dedicar su tiempo libre a la creación de la próxima gran aplicación.Como resultado, no es sorprendente que Ben Laurie, Director de Seguridad de la Fundación Apache, haya dicho que “aunque todavía es usado a menudo como un argumento, me parece bastante claro que el argumento de la `mayor cantidad de ojos observadores´, no se aplica al tema de la seguridad” .6

La falta de un enfoque céntrico de proceso sobre la administración de seguridad parece estar al día con el desarrollo de Linux, dado que Linux se convierte en un proceso más complejo día a día. Andrew Morton, Líder Mantenedor del Kernel de Linux, ha dejado entrever, “Creo que el kernel 2.6 se está llenando de virus lentamente.Parece que estamos agregando virus a una tasa mayor de la que los estamos reparando”.También notó que algunos pocos desarrolladores se encuentran motivados a trabajar para reparar virus y errores.7 Jonathan Corbet, co-fundador de LWN.net, comentó recientemente que “Los desarrolladores de Linux parecen permitir que los informes de los virus y errores se deslicen a través de las fracturas.Con 1.500 virus de núcleo en el sistema de rastreo, y 50 sin respuesta en la lista de correo, ¿precisan los desarrolladores un mejor proceso o tan sólo nuevas prioridades?”8

A diferencia del modelo de Linux, Microsoft promociona la seguridad de sus productos a través del Ciclo de Vida de Desarrollo de Seguridad (Security Development Lifecycle o SDL)El SDL surgió de un famoso memorando de Bill Gates9 en 1992 que marcaba el curso de Microsoft en dirección a convertirse en un líder en el área de la seguridad después de años de (generalmente justificadas) preocupaciones de clientes sobre el compromiso de Microsoft para con la seguridad.El propósito del SDL es doble:Reducir el número de vulnerabilidades en el código y reducir la severidad de los virus que se filtran por el.Dado que es virtualmente imposible atrapar todas las vulnerabilidades, la clave consiste en asegurar un proceso disciplinado capaz de identificación y corrección de los virus y errores de la forma más adecuada y priorizada que sea posible. (Más información sobre el SDL en un lanzamiento Web reciente con John Pescatore de Gartner and Michael Howard y James Whittaker de Microsoft).

La ventaja del SDL consiste en que la seguridad es “cocinada dentro” de los productos de Microsoft a cada paso del desarrollo a través de una serie de portales y controles severos de seguridad realizados por expertos.La seguridad también se ver reforzada en el desarrollo del producto a través de las amplias inversiones que Microsoft continua realizando en el área de capacitación para la seguridad y la prioritización ejecutiva de arriba a abajo para asegurarse que esta sea parte de la cultura corporativa. Como parte de este compromiso, Microsoft invirtió más de US$ 200 millones en la capacitación de más de 13.000 empleados de Windows en técnicas de desarrollo centradas en la seguridad y nuevos procesos de ingeniería, resultando en una revisión de la seguridad línea por línea del Servidor de Windows 2003.10 En un giro del modelo de Linux de “muchos ojos observadores”, Microsoft a menudo realiza versiones de pre-lanzamiento de su software disponible y tiene un amplio programa interno de “autoalimentación de seguimiento” para que los empleados evalúen los betas y brinden información al respecto. Por ejemplo, más de 2.25 millones de copias de prelanzamiento del Windows Vista fueron distribuidas,11 para ayudar a asegurar su estabilidad y que cumpliese con los requisitos del mundo real. Diferente al modelo de “muchos ojos observadores” de Linux, los productos de Microsoft son probados por un número de profesionales dedicados cuyo sustento se base en su capacidad para encontrar y solucionar problemas en los códigos. Dicho de otro modo, más de 2.500 evaluadores llevan a cabo evaluaciones y pruebas del Servidor de Windows 2003 (Windows Server 2003).12

La seguridad no termina con el desarrollo del SDL. Cuando surge un problema con un software, los clientes pueden enviar un informe anónimo a Microsoft.Los temas relacionados con la falla en los sistemas involucran el servicio de Análisis de Caídas en Línea de Microsoft, que realiza una investigación e informa más en detalle. Los datos son utilizados para mejorar los últimos productos, y de ese modo reforzar las lecciones aprendidas en lanzamientos futuros y manejar un ciclo de seguridad de mejora continua.

Un área de seguridad en la que Microsoft se ha dejado estar detrás de Linux ha sido la habilidad de esta última para personalizar las distribuciones para excluir componentes innecesarios, y por este medio reducir el área de superficie de la vulnerabilidad del producto. Con el Servidor de Windows 2008, Microsoft ha dado un gran paso en la misma dirección permitiendo a los usuarios desmontar aplicaciones innecesarias para reducir el área de superficie de vulnerabilidad a través del Núcleo del Servidor. La instalación del Núcleo del Servidor es tan sólo una fracción del tamaño de la Instalación del Servidor de Windows porque excluye un número de características de Windows tradicionales, incluyendo la interfaz del usuario gráfico de Windows (a excepción de una capacidad de un conjunto mínimo de gráficos), el Microsoft Internet Explorer y el Windows File Explorer.

Dadas las diferencias obvias en el enfoque de la seguridad que Linux y Windows poseen, ¿qué resultados brindan estos a los clientes? Mediante cualquier tipo de medida, el SDL ha brindado a los clientes de Windows menor cantidad de vulnerabilidades en los sistemas operativos.En una comparación recientemente llevada a cabo de las vulnerabilidades en los sistemas operativos en cuestión durante los primeros seis meses de sus lanzamientos, el Windows Vista tuvo bastante menos vulnerabilidades que sus rivales de Linux. Además, a modo de evidencia adicional del ciclo de mejora continua generado por el SDL, el Windows Vista también tuvo menos de la mitad del número de vulnerabilidades que su predecesor, el Windows XP, tuvo a los seis meses de su lanzamiento.13 (Vea las cifras debajo.)

Figure 2

De la misma maneara, una comparación de las vulnerabilidades entre el Windows Server 2003 y sus rivales empresariales de Linux desde enero a julio del 2007 mostraron que el Windows Server 2003 tuvo muchas menos vulnerabilidades, incluyendo menor cantidad de vulnerabilidades de alta criticidad.14 (Ver las cifras debajo).

Figure 3

Al comparar la seguridad entre diferentes productos, una medida común de la vulnerabilidad es la de los Días de Riesgo (DoR).Las DoR miden el tiempo desde el cual la vulnerabilidad ha sido públicamente dada a conocer hasta que una actualización de un proveedor se encuentra disponible para dar fin a dicha vulnerabilidad.

En una comparación de Microsoft, Red Hat, Novell, Sun y Apple llevada a cabo en el 2006 con respecto al promedio de Días de Riesgo, Windows demostró nuevamente ser más seguro que sus rivales, incluyendo sus rivales de Linux. El análisis agrego múltiples versiones de productos para cada proveedor dado que muchos clientes habían implementado varias versiones. Los resultados indican que, en promedio general los clientes que utilizan el Windows arriesgan exponerse a las vulnerabilidades, incluyendo aquellas del tipo de gran criticidad, por un período significativamente más corto de tiempo que aquellos quienes utilizan los sistemas operativos del rival. El Novell Enterprise Linux tuvo un DoR promedio de más de 2.5 de duración que el de Windows, y el Red Hat Enterprise Linux tuvo un DoR promedio de casi 4 veces más de duración que el de Windows.Además, los clientes del Novell Enterprise Linux fueron expuestos a vulnerabilidades del tipo severo casi dos veces más frecuentemente que los usuarios de Windows, y los clientes del Red Hat Enterprise Linux fueron expuestos a vulnerabilidades del tipo de alta criticidad con una frecuencia en más de 3 veces que los usuarios de Windows.15 (Ver las cifras debajo).

Figure 4

Windows y Linux son desarrollados y soportados a través de diferentes modelos, y estos enfoques divergentes llevan a diferentes experiencias de seguridad e interoperabilidad para los usuarios finales.En la elección entre el Windows y el Linux, el enfoque céntrico del proceso SDL disciplinado así como la interoperabilidad por diseño, han permitido que el modelo de desarrollo de Microsoft ofrezca beneficios convincentes para los clientes. El enfoque de Microsoft brinda a los clientes elecciones reales en lo que se refiere a estructura y les brinda seguridad en cuanto a las elecciones que estos realicen.

Más información sobre la comparación de la seguridad ofrecida por Microsoft y Linux en http://www.microsoft.com/windowsserver/compare/linux/security.mspx


Fuentes

1.

Investigación Forrester, citado textualmente del artículo por Joanne VanAuken, “Proveedores de Servicios de Seguridad Administrada (Managed Security Service Providers),” Network Computing.com, 3 de agosto de 2006. http://www.networkcomputing.com/showArticle.jhtml;jsessionid=NGR54YQR132R0QSNDLPCKH0CJUNN2JVN?articleID=191203015&pgno=10

2.

Consumer Report’s 2007 “El Estado de la Red” un estudio, como se lo brinda en Brian Prince, “Encuesta: El Costo del Crimen Cibernético Alcanza los $7B (Survey: Cost of Cybercrime Reaches $7B),” eWeek, 6 de agosto de 2007. http://www.eweek.com/article2/0,1759,2167203,00.asp

3.

Investigación Forrester, analista Chenxi Wang, citado textualmente de Brian Prince, “Encuesta: El Costo del Crimen Cibernético Alcanza los $7B (Survey: Cost of Cybercrime Reaches $7B),” eWeek, 6 de agosto de 2007. http://www.eweek.com/article2/0,1759,2167203,00.asp

4.

Estudio del Instituto Ponemon patrocinado por Vontu, Inc., y PGP Corp, “Estudio Annual 2006: El Costo de una Violación de Seguridad a la Información.” http://www.pgp.com/downloads/research_reports/index.html

5.

Asociados para la Administración de Empresas, “La Convergencia de la Administración de la Seguridad y los Sistemas: Hacia la Eficacia de la TI (The Convergence of Security and Systems Management: Towards IT Efficacy),” Abril de 2007. http://download.microsoft.com/download/2/7/9/27940DDA-2B42-460A-A921-6D9E5B1226EE/EMA_Microsoft-Security-SystemsMgmt_WP.PDF

6.

Ben Laurie, “Open Sources 2.0,” p. 60. http://safari.oreilly.com/0596008023/opensources2-CHP-4-SECT-1

7.

Andrew Morton, citado textualmente de Ingrid Marson, “El Núcleo de Linux `cada vez contiene más virus y errores,’ dice su líder”, CNet News.com 6 de mayo 2006. http://www.news.com/Linux+kernel+getting+buggier,+leader+says/2100-7344_3-6069363.html

8.

Jonathan Corbet, “El Espacio de Kernel: ¿Están los desarrolladores de Linux ignorando los informes de error?” LinuxWorld.com, 12 de septiembre 2007. http://www.linuxworld.com/news/2007/091207-kernel.html?page=3

9.

Bill Gates, “Bill Gates: Informática Confiable,” Wired.com, 17 de enero de 2002. http://www.wired.com/techbiz/media/news/2002/01/49826

10.

Microsoft, “El Servidor de Windows 2003 en Números: Uno de los Lanzamientos más Grandes de Productos en la Historia de Microsoft,” 23 de abril de 2003. http://www.microsoft.com/presspass/features/2003/apr03/04-23WinServerFacts.mspx

11.

Microsoft, “El Caso Comercial del Windows Vista”. 2007.

12.

Microsoft, “El Servidor de Windows 2003 en Números.” http://www.microsoft.com/presspass/features/2003/apr03/04-23WinServerFacts.mspx

13.

Jeffrey R. Jones. “Informe de Vulnerabilidades del Windows Vista para los últimos seis meses”, CSO.com, 15 de junio de 2007. http://www.csoonline.com/pdf/6_Month_Vista_Vuln_Report.pdf

14.

Jeff Jones, “Julio de 2007 – Puntuación de Vulnerabilidad del Sistema Operativo,” Technet.com, 16 de agosto de 2007. http://blogs.technet.com/security/archive/2007/08/16/july-2007-operating-system-vulnerability-scorecard.aspx

15.

Jeff Jones, “Días de Riesgo en el 2006: Linux, Mac OS X, Solaris y Windows”, CSO.com, 13 de junio de 2007. http://blogs.csoonline.com/days_of_risk_in_2006

Fuente: http://www.microsoft.com/latam/technet/articulos/articulos_seguridad/2007/octubre/sm1007.mspx

¿Dónde estoy?

Actualmente estás viendo los archivos para octubre, 2007 en Seguridad Informática.

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 105 seguidores