Sin palabras. Las malditas cadenas también invadieron las redes sociales.
La denuncia y el caso de Facebook vs ConnectU es real, pero de ahí a cerrar… y que tengamos que hacer una cadena para salvar Facebook hay un largo trecho.
Redacción de Segu-Info
Categorías: basura · estupideces · exclusivo · redes sociales
Sin palabras. Las malditas cadenas también invadieron las redes sociales.
La denuncia y el caso de Facebook vs ConnectU es real, pero de ahí a cerrar… y que tengamos que hacer una cadena para salvar Facebook hay un largo trecho.
Redacción de Segu-Info
Categorías: basura · estupideces · redes sociales
Por Arturo Quirantes Sierra
Granada, 12 Noviembre 2008
Estimado Sr. de Otálora,
Me llamo Arturo Quirantes Sierra. Soy profesor de Física en la
Universidad de Granada, y dirijo extra-académicamente una web sobre
criptografía (www.cripto.es). Como aficionado a la cripto, he leído con
interés su artículo La muerte se escribe en PGP.
La he leído con interés, sí, pero también con algo de disgusto,
debo reconocerlo. En su artículo, plantea usted la criptografía como un
arma que permite a los criminales campar a sus anchas. Según ese mismo
razonamiento, deberían prohibirse los cuchillos de cocina, ya que hay
gente que los usa para matar a otra gente. También podríamos entregar
copia de nuestras llaves de casa a la policía, porque lo mismo los
criminales usan las cerraduras para impedir que alguien entre en su
casa. O más aún, seguro que en el piso de los etarras encontraron papel
higiénico, así que ¿por qué permitimos que el papel higiénico siga
vendiéndose legalmente?
La táctica que usted usa -criminalizar algo porque puede ser
usado por criminales- es muy antigua, y por desgracia eficaz. Pero no
hay más que ver los usos que se dan hoy día a la criptografía (desde las
conexiones seguras a páginas web, pasando por los teléfonos GSM o los
sistemas de apertura de puertas a distancias) para reconocer que, si
bien la criptografía puede ser usada mal, en general es una herramienta
muy útil en todos los niveles.
El primero de tales niveles es la protección de nuestra propia
privacidad. Si usted investiga un poco, encontrará mil y un ejemplos de
interceptaciones de comunicaciones ilegales, irregulares o poco …
digamos … restringidas. Precisamente PGP fue inventado a comienzos de
los años 90 en un esfuerzo por mantener algo de criptografía en manos
del público. En aquellos días, el gobierno norteamericano imponía
fuertes restricciones a la exportación de cripto, y parecía que la
propia criptografía civil iba a ser ilegalizada de un momento a otro
(como estuvo cerca de suceder). Es en ese contexto, el de la lucha de
los gobiernos por asegurarse comunicaciones fácilmente interceptables,
en el que nació PGP, y no en el de la guerra fría, como incorrectamente
afirma usted. Puede vd. leer sus propias palabras al respecto en
http://www.pgpi.org/doc/whypgp/es/ .
Percibo, por su parte, cierta animadversión contra Zimmermann,
el creador de PGP. Cuando afirma usted que que demandado y ganó, no
parece recordar que, en realidad, la demanda no tenía base alguna. Se le
culpaba de exportar el programa cuando a) muchas otras personas lo
habían hecho antes (en alguna ocasión legalmente), y b) nunca hubo la
menor evidencia en su contra.
En cuanto al párrafo:
“El creador del PGP, por contra, defiende un tipo de proyectos
más cercanos al anarquismo o el liberalismo más exacerbado. En este
sentido, en los escritos de Zimmermann se denuncian los intentos de la
Administración Bush por controlar el mayor número de sistemas de
comunicación entre ciudadanos. «Si la privacidad está fuera de la ley,
sólo los que están fuera de la ley tendrán privacidad», resume el
informático.”
no puedo estar más en desacuerdo. No tiene usted más que escarbar un
poco en algunos de los proyectos de interceptación más polémicos
(Echelon, la ley Patriot, las escuchas legalizadas por orden
presidencial) para caer en la cuenta de que protegernos contra nuestro
propio gobierno no es sólo tarea de paranoicos, sino que por el
contrario constituye una labor de buen gobierno y autoprotección. Por
otro lado, yo he participado en diversos proyectos legítimos que, por
uno u otro motivo, debían permanecer confidenciales en su momento, y le
aseguro que esa necesidad de protección es necesaria más allá de si es
un “proyecto cercano al anarquismo o el liberalismo más exacergado”,
como usted afirma. Por desgracia, es muy fácil etiquetar alegremente a
quienes queremos criticar que razonar sus motivaciones de modo
desapasionado.
En otro orden de cosas, tomarla con PGP es absurdo, entre otras
cosas porque los protocolos criptográficos están disponibles a
cualquiera. Un informático con dos dedos de frente (e incluso con uno)
puede tomar las instrucciones de esos algoritmos y convertirlos en
líneas de código, muy fácilmente. Borremos PGP, y aún dispondremos de
centenares de programas de encriptación para usarlos libremente.
También me gustaría expresarle mi convencimiento de que, incluso
usando PGP, los mensajes cifrados pueden ser en ocasiones recuperados.
No mediante el desciframiento directo. Pero la policía dispone de
herramientas forenses muy poderosas, que exploran el disco duro en busca
de información residual como archivos borrados (¿sabía usted que un
archivo borrado realmente sigue en el disco duro y puede ser recuperado
fácilmente?) o contraseñas guardadas en memoria caché, así como listas
de diccionario y otros procedimientos sofisticados para intentar
averiguar la clave. Se pueden insertar troyanos que capturen las
contraseñas, o bien “olfatearlas” a distancia. No basta con PGP para
proteger un mensaje en un ordenador, del mismo modo que una puerta
blindada no basta para proteger una ventana que tiene una ventana
abierta. Y usted, como periodista, debiera haberse informado mejor al
respecto.
Finalmente, su comentario:
“Según un experto de las Fuerzas de Seguridad, para que el
empleo del PGP sea eficaz en una organización, es necesario que en algún
nivel de la estructura exista una persona que controla todas las llaves.
«Sin un administrador de las claves, es muy fácil que se pierdan
documentos al olvidar una contraseña. Para que el método sea eficiente»,
continúa el experto, «el sistema tiene que tener una memoria única que
controle todas las informaciones para evitar que una parte importante de
la información se destruya».”
me resulta sencillamente increíble. Si hay algo que caracteriza PGP es
su carácter descentralizado. No hace falta ninguna persona o autoridad
central que cree o administre claves. Es cómodo, pero no imprescindible.
Usted y yo podríamos crear nuestras claves, intercambiarlas y
comunicarnos en modo seguro durante años. Yo lo hago. Y no necesito que
nadie controle mis claves. De hecho, PGP incorpora un funcionalidad que
permite, mediante una clave de descifrado adicional, descifrar mensajes
incluso si el dueño no está disponible.
Resumiendo: ni PGP es invencible en un entorno real, ni es una
herramienta imprescindible, ni es usado exclusivamente (ni siquiera
aproximadamente) por los malos. Muy por el contrario, le recomiendo su
uso, porque seguro que en más de una ocasión habrá necesitado disponer
de comunicaciones y almacenamiento de datos confidencial y seguro.
Por lo demás, estoy a su disposición para cualquier aclaración o
asesoramiento que vd. desee. Puede encontrarme en aquirantes@cripto.es,
y en la web www.cripto.es
Cordialmente,
Arturo Quirantes Sierra
Boletín ENIGMA
Boletín del Taller de Criptografía de Arturo Quirantes
http://www.cripto.es
Categorías: criptografía · opinión
Miembros del grupo de expertos en las fases de investigación, persecución y enjuiciamiento de los delitos contra la propiedad intelectual pertenecientes a los Ministerios de Cultura, Justicia, Interior, la Agencia estatal de la Administración Tributaria, Cuerpos y Fuerzas de Seguridad, Fiscalía general del Estado, Judicatura, entidades de gestión de derechos de propiedad intelectual y la Federación española de municipios y provincias han elaborado un Manual que nace con la vocación de desarrollar el Plan Integral del Gobierno para la disminución y la eliminación de las actividades vulneradoras de la propiedad intelectual.
Desde una perspectiva teórica y con recomendaciones prácticas, el Manual hace referencia a los siguientes aspectos:
Su principal objetivo es el de informar, sensibilizar y concienciar a la sociedad, siendo sus destinatarios naturales los agentes públicos con responsabilidades en esta materia: fuerzas y cuerpos de seguridad, jueces y fiscales.
Sin perjuicio de lo anterior, es de lectura recomendada para todos los interesados en la materia que desean profundizar en cómo se persiguen, en la actualidad, los delitos que se cometen relacionados con la propiedad intelectual.
Fuente:
http://www.miguelangelmata.com/2008/11/20/manual-para-la-persecucion-de-delitos-contra-la-propiedad-intelectual/
http://www.miguelangelmata.com/wp-content/uploads/2008/11/manual_buenas_practicas.pdf
Categorías: manual · propiedad intelectual
El 23 de octubre, Microsoft solucionó una vulnerabilidad crítica presente en RPC bajo Windows, sin esperar el próximo parche mensual, programado para el segundo martes de diciembre. La compañía tuvo buenas razones para acelerar la publicación del parche debido a que se ha detectado un gusano que aprovecha precisamente tal vulnerabilidad, incluso estando ya solucionada. El riesgo radica en que numerosos usuarios no han instalado la actualización, por lo que sus sistemas siguen siendo vulnerables.
El gusano Conficker.A ya ha infectado una red corporativa en Estados Unidos, y también se han detectado incidencias en Europa, Asia y Sudamérica.
El gusano en cuestión ejecuta un servicio similar a un servidor web en la computadora infectada, usándolo para descargar e instalar nuevo código maligno. Una curiosidad es que, luego de instalarse, el gusano descarga la actualización de Microsoft que corrige el agujero de seguridad que el mismo gusano acaba de explotar. Claro está, no actúa movido por la generosidad, sino más bien por un intento de dejar fuera a otros gusanos de RPC.
Protegerse contra el gusano es relativamente fácil. Aparte de la instalación del parche de Microsoft es imprescindible tener activada constantemente un cortafuegos.
En su sitio Malware Protection Center, Microsoft presentará una descripción detallada del gusano del procedimiento para proteger el sistema.
Por ahora la mayoría de los Antivirus detectan la amenaza pero por favor parchee de inmediato y filtre el puerto 445.
Fuente:
http://diarioti.com/gate/n.php?id=20496
http://blogs.eset-la.com/laboratorio/2008/11/29/gusanoconficker-parchee-inmediatamente/
http://blogs.zdnet.com/security/?p=2228
http://www.virustotal.com/analisis/9ddb07d1fdceeaf299c7288627e27d1b
http://www.heise-online.co.uk/security/Windows-worm-infection-accelerates–/news/112077
http://news.cnet.com/8301-1009_3-10109080-83.html
http://blogs.technet.com/mmpc/archive/2008/11/25/more-ms08-067-exploits.aspx
http://www.avertlabs.com/research/blog/index.php/2008/11/25/further-067-woes/
http://blog.trendmicro.com/ms08-067-vulnerability-botnets-reloaded/
http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?ID=75911
http://isc.sans.org/diary.html?storyid=5401
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.A
http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99&tabid=2
http://www.razorman.net/noticias-de-informatica/eliminar-gusano-win32-conficker.a.html
http://foros.zonavirus.com/intrusion-por-ip-de-gusano-conficker-si-no-se-tiene-ms08-067-t26913.html
Categorías: actualización · malware
En las últimas semanas he visto muchos sitio y blogs que publicitan, quizás sin saberlo, el sitio web y la empresa “dateas” en sus anuncios de Adsense:
Si bien entiendo que esa publicidad puede pagar un monto interesante por clic, también es bueno saber que ese sitio no ofrece los servivios prometidos ni la información es confiable ni fidedigna. Es fácil encontrar información sobre este fraude en Google.
Al solicitar los datos de una persona, introduciendo nombre y apellido, se recibe un correo informando que el informe ya ha sido procesado y que, luego del pago correspondiente se recibira un enlace para descargarlo. Al intentar descargar el informe informan que tardarán 24 horas más para procesarlo. Luego de descargar el informe, la información recibida corresponde a la misma que se puede obtener navegando y buscando en servicios gratuitos como Google. Es decir que invirtieron esas 24 horas posterior para recolectar la información en Internet. Es decir que los datos brindados pueden ser incorrectos al ser obtenidos desde Internet.
El primer correo que llega tiene este aspecto:
Al ingresar al enlace ofrecido, aparece lo siguiente mensaje:
Un par de horas despues se recibe un correo pidiendo el pago para entregarnos el supuesto informe:
Por supuesto no he realizado ningún pago, pero si alguien lo ha hecho puede contar suexperiencia.
Actualización 06/12/2008: luego de una semana se me recuerda por correo que mi informe ya está listo y que puedo descargarlo luego de pagar el monto correspondiente ($18 = ~ U$S 6). Además se me ofrece un enlace para descargar el formulario de pago (a través del servicio de Pago Fácil):
Para los usuarios es recomendable que no ingresen a este sitio y para los webmaster es recomedable bloquear este sitio en su administrador de Adsense, a menos que quieran colaborar con el fraude.
Otros sitios similares son “BasesArgentinas” y GlobInfo (esta última investigada) de los cuales se puede leer en nuestro Foro aquí y aquí.
Hay más información sobre Dateas y la violación leyes de protección de datos personales.
Actualización 10/02/2009: debido a que no he comprado el informe, la empresa me acaba de hacer una nueva oferta del informe por un precio menor:
Cristian de la Redacción de Segu-Info
Categorías: basura · delitos · exclusivo · fraude · legislación
En las últimas semanas he visto muchos sitio y blogs que publicitan, quizás sin saberlo, el sitio web y la empresa “dateas” en sus anuncios de Adsense:
Si bien entiendo que esa publicidad puede pagar un monto interesante por clic, también es bueno saber que ese sitio no ofrece los servivios prometidos ni la información es confiable ni fidedigna. Es fácil encontrar información sobre este fraude en Google.
Al solicitar los datos de una persona, introduciendo nombre y apellido, se recibe un correo informando que el informe ya ha sido procesado y que, luego del pago correspondiente se recibira un enlace para descargarlo. Al intentar descargar el informe informan que tardarán 24 horas más para procesarlo. Luego de descargar el informe, la información recibida corresponde a la misma que se puede obtener navegando y buscando en servicios gratuitos como Google. Es decir que invirtieron esas 24 horas posterior para recolectar la información en Internet. Es decir que los datos brindados pueden ser incorrectos al ser obtenidos desde Internet.
El primer correo que llega tiene este aspecto:
Al ingresar al enlace ofrecido, aparece lo siguiente mensaje:
Un par de horas despues se recibe un correo pidiendo el pago para entregarnos el supuesto informe:
Por supuesto no he realizado ningún pago, pero si alguien lo ha hecho puede contar suexperiencia.
Actualización 06/12/2008: luego de una semana se me recuerda por correo que mi informe ya está listo y que puedo descargarlo luego de pagar el monto correspondiente ($18 = ~ U$S 6). Además se me ofrece un enlace para descargar el formulario de pago (a través del servicio de Pago Fácil):
Para los usuarios es recomendable que no ingresen a este sitio y para los webmaster es recomedable bloquear este sitio en su administrador de Adsense, a menos que quieran colaborar con el fraude.
Otros sitios similares son “BasesArgentinas” y GlobInfo (esta última investigada) de los cuales se puede leer en nuestro Foro aquí y aquí.
Hay más información sobre Dateas y la violación leyes de protección de datos personales.
Actualización 10/02/2009: debido a que no he comprado el informe, la empresa me acaba de hacer una nueva oferta del informe por un precio menor:
Cristian de la Redacción de Segu-Info
Categorías: basura · delitos · exclusivo · fraude · legislación
En las últimas semanas he visto muchos sitio y blogs que publicitan, quizás sin saberlo, el sitio web y la empresa “dateas” en sus anuncios de Adsense:
Si bien entiendo que esa publicidad puede pagar un monto interesante por clic, también es bueno saber que ese sitio no ofrece los servivios prometidos ni la información es confiable ni fidedigna. Es fácil encontrar información sobre este fraude en Google.
Al solicitar los datos de una persona, introduciendo nombre y apellido, se recibe un correo informando que el informe ya ha sido procesado y que, luego del pago correspondiente se recibira un enlace para descargarlo. Al intentar descargar el informe informan que tardarán 24 horas más para procesarlo. Luego de descargar el informe, la información recibida corresponde a la misma que se puede obtener navegando y buscando en servicios gratuitos como Google. Es decir que invirtieron esas 24 horas posterior para recolectar la información en Internet. Es decir que los datos brindados pueden ser incorrectos al ser obtenidos desde Internet.
El primer correo que llega tiene este aspecto:
Al ingresar al enlace ofrecido, aparece lo siguiente mensaje:
Un par de horas despues se recibe un correo pidiendo el pago para entregarnos el supuesto informe:
Por supuesto no he realizado ningún pago, pero si alguien lo ha hecho puede contar suexperiencia.
Actualización 06/12/2008: luego de una semana se me recuerda por correo que mi informe ya está listo y que puedo descargarlo luego de pagar el monto correspondiente ($18 = ~ U$S 6). Además se me ofrece un enlace para descargar el formulario de pago (a través del servicio de Pago Fácil):
Para los usuarios es recomendable que no ingresen a este sitio y para los webmaster es recomedable bloquear este sitio en su administrador de Adsense, a menos que quieran colaborar con el fraude.
Otros sitios similares son “BasesArgentinas” y GlobInfo (esta última investigada) de los cuales se puede leer en nuestro Foro aquí y aquí.
Hay más información sobre Dateas y la violación leyes de protección de datos personales.
Actualización 10/02/2009: debido a que no he comprado el informe, la empresa me acaba de hacer una nueva oferta del informe por un precio menor:
Cristian de la Redacción de Segu-Info
Categorías: basura · delitos · exclusivo · fraude · legislación
En las últimas semanas he visto muchos sitio y blogs que publicitan, quizás sin saberlo, el sitio web y la empresa “dateas” en sus anuncios de Adsense:Si bien entiendo que esa publicidad puede pagar un monto interesante por clic, también es bueno saber que ese sitio no ofrece los servivios prometidos ni la información es confiable ni fidedigna. Es fácil encontrar información sobre este fraude en Google.
Al solicitar los datos de una persona, introduciendo nombre y apellido, se recibe un correo informando que el informe ya ha sido procesado y que, luego del pago correspondiente se recibira un enlace para descargarlo. Al intentar descargar el informe informan que tardarán 24 horas más para procesarlo. Luego de descargar el informe, la información recibida corresponde a la misma que se puede obtener navegando y buscando en servicios gratuitos como Google. Es decir que invirtieron esas 24 horas posterior para recolectar la información en Internet. Es decir que los datos brindados pueden ser incorrectos al ser obtenidos desde Internet.
El primer correo que llega tiene este aspecto:Al ingresar al enlace ofrecido, aparece lo siguiente mensaje:Un par de horas despues se recibe un correo pidiendo el pago para entregarnos el supuesto informe:Por supuesto no he realizado ningún pago, pero si alguien lo ha hecho puede contar suexperiencia.
Para los usuarios es recomendable que no ingresen a este sitio y para los webmaster es recomedable bloquear este sitio en su administrador de Adsense, a menos que quieran colaborar con el fraude.
Otros sitios similares son “BasesArgentinas” y GlobInfo (esta última investigada) de los cuales se puede leer en nuestro Foro aquí y aquí.
Redacción de Segu-Info
Todos los involucrados en seguridad nos topamos con algún tipo de análisis de riesgos tarde o temprano, y a pesar de que hay muchas metodologías disponibles sigue siendo una de las tareas más difíciles de realizar.
La principal dificultad radica en la naturaleza subjetiva de este tipo de análisis, pero hoy en día me parece que tenemos las herramientas necesarias para modificar nuestros procesos y producir resultados razonablemente precisos, que puedan ser utilizados por el negocio para la toma de decisiones.
Tipos de análisis
Tradicionalmente se habla de 2 tipos de análisis de riesgos: cuantitativos y cualitativos. En un principio las metodologías que surgieron trataron de ser cuantitativas (es decir, calificaban el impacto de los riesgos con un número, típicamente dinero). Sin embargo, pronto las empresas y los profesionales de seguridad se dieron cuenta que no todo es cuantificable y la asignación de valores era asignada en muchos casos de forma totalmente arbitraria.
Surge entonces el análisis cualitativo, que básicamente califica dentro de una escala el riesgo (ej. alto, medio, bajo). Este enfoque acepta la naturaleza subjetiva de algunas amenazas y logra establecer prioridades con base en la opinión de un especialista y la aplicación de algunos criterios generales. Sin embargo, el problema de la falta de información de costo/beneficio en inversiones de seguridad para la toma de decisiones aún persiste; una calificación cualitativa no es suficiente en estos casos. ¿Cuánto es aceptable invertir para mitigar un riesgo medio o uno alto? ¿Todos los riesgos calificados de la misma manera cuestan lo mismo a la empresa?
Por esta razón existe en la actualidad una tendencia en buscar algún tipo de análisis de riesgos que cuantitativo que de alguna manera cubra estas necesidades. Para lograr este objetivo podemos aprovechar un recurso que hoy en día es más fácil de obtener: la información histórica de eventos en el negocio y/o el aprendizaje que ha resultado de dichos eventos.
Categorías: riesgos
