Publican correos de #Cuevana que probarían el lucro del sitio

En las últimas horas se ha hecho conocido un conjunto de (supuestos) correos (robados) que involucra al sitio argentino Cuevana y unos de sus creadores Tomas Escobar e intenta dejar en claro que el objetivo del sitio siempre fue comercial y se lucraba a través de campañas publicitarias en el sitio.

Si bien el archivo de 47 MB con todos los correos ya no se encuentra activo, el resumen publicado de Pastebin deja en claro la intención de pulverizar las palabras Tomas Escobar, al tacharlo de mentiroso, por siempre haber afirmado que Cuevana no manejaba publicidad desde 2009, que no tenía objetivos comerciales y que incluso daba pérdidas.

Por otro lado esos correos también involucran a otras empresas que pautaban la publicidad con el sitio y que pedían confidencialidad para manejar dichas campañas. Es curioso como, por dinero, las mismas empresas que se rasgan las vestiduras hablando de piratería sean las mismas que mantienen a los sitios sospechados de delinquir.

Consultado por mí, Tomas Escobar no ha expresado ninguna opinión.

Actualización: una persona anónima nos ha enviado una captura de pantalla de la casilla de correo mencionada y la misma ya circula por Twitter.

Actualización: como decía al comenzar el artículo y recordaba alguien los comentarios, la filtración de los correos es un robo porque en Argentina, el acceso indebido a un correo electrónico se encuentra regulado en el primer párrafo del Artículo 153 de nuestro Código Penal: Será reprimido con prisión de 15 (quince) días a 6 (seis) meses el que abriere o accediere indebidamente a una comunicación electrónica, una carta, un pliego cerrado, un despacho telegráfico, telefónico o de otra naturaleza, que no le esté dirigido”. Más allá de lo curioso de la situación y de lo que representa, conviene recordarlo.

Cristian de la Redacción de Segu-Info

Contenido completo en www.segu-info.com.ar

La contraseña de un iPhone o un dispositivo Android se puede crackear en apenas dos minutos

La seguridad del iPhone y dispositivos Android ha sido puesta de nueva en entredicho al conocerse que el acceso a un teléfono bloqueado por contraseña no entraña demasiadas complicaciones si se posee el software adecuado.

La mayoría de iPhones y terminales gobernados por Android tienen configurada una contraseña de cuatro dígitos con el fin de evitar que usuarios no autorizados puedan hacerse con su control, pero desde la revista Forbes han demostrado que los expertos en seguridad de agencias como la CIA o Europol pueden traspasar sin problemas ese elemento de bloqueo.

Según parece, podrían acceder a esos smartphones en apenas dos minutos con el empleo de XRY, un programa especial de la empresa sueca Micro Systemation que localiza agujeros de seguridad en el software de los teléfonos iPhone y Android.

Hablamos de una herramienta que está presente en algunos organismos policiales y de seguridad en el ejército de Estados Unidos y se emplea para acceder a los dispositivos de criminales sospechosos.

Para dificultar la labor de los hackers y ladrones si un teléfono acaba en las manos equivocadas, se recomienda a los usuarios que fijen contraseñas con cifras superiores a los cuatro dígitos.

Fuente: The Inquirer

Contenido completo en www.segu-info.com.ar

Sexting: Riegos y consejos para evitarlos

En su mayoría, estas imágenes son producidas por el propio remitente, Suelen ser muy íntimas, con grabación de sonidos, fotos o videos en actitudes sexuales, desnudos o semidesnudos, que tiene como destino una pareja sexual o amorosa; también las envían un  amigo  como un simple juego. Las principales causas para producir y/o transmitir sexting son: noviazgo, coqueteo, lucimiento, impulsividad, presión de amigos, venganza, intimidación, chantaje. Las personas han usado siempre los medios de comunicación para enviar contenidos sexuales (eróticos o pornográficos), pero con las NTIC (Nuevas tecnologías de la información y la comunicación.) surge un grave peligro: la difusión masiva e incontrolada de esas imágenes.

Según una investigación publicada por UNICEF en el 2011, los jóvenes se sienten más cómodos compartiendo información íntima sexualizada en la Red que fuera de ella. La ruptura con una pareja es una causa de sexting sin autorización y en otros casos se realiza por el interés en experimentar o por llamar la atención.

La investigación realizada por Luz María Velázquez Reyes, del Instituto de la Educación del Estado de México, arrojó las siguientes cifras:

• 80% habían visto imágenes de personas semidesnudas o desnudas en las redes sociales.
• 20% se tomó fotografías o videos sexualmente sugestivos.
• 20% recibió invitaciones para retratarse en poses eróticas o pornográficas.
• El 45% compartió material erótico recibido por teléfonos celulares.
• 10% lo ha publicado en sus perfiles o lo ha enviado a sus contactos.
• 60% recibió imágenes o videos con estas características.
• En el 25% de los casos, los jóvenes los comparten con su pareja, y el 10 por ciento, con personas cercanas.
• El 55% de los encuestados conoce a alguien que guarda fotografías o videos de novias.

Una encuesta efectuada a más de 10.000 estudiantes mexicanos entre 12 y 16 años mostró que casi el 8% de estos jóvenes reconocen haber enviado imágenes suyas desnudos o semidesnudos a conocidos o extraños. El 36,7% de los encuestados dijo conocer a alguien que ha enviado o reenviado imágenes de ese tipo, y el 10,2% reconoció haber enviado mensajes de e-mail o de SMS con insinuaciones sexuales (sexting textual). El estudio de Connect Safely determina que los destinatarios más frecuentes son de las imágines son: alguien que les gusta (21%); el novio o novia (20%); el ex novio/a (19%); amigos en general (18%); su mejor amigo/a (14%); desconocidos (11%); compañeros de clase (4%).

Autoridades de diversos países expresaron preocupación por la difusión de este fenómeno que está provocando nuevas tipologías del delito vinculadas con pornografía infantil, como el intercambio de imágenes por dinero. El 25% de las imágenes de pornografía infantil que se detectan en EUA, son originadas mediante el sexting.

Practicar el sexting tiene riesgos en el ámbito psicológico, legal y en la integridad física de quienes participan. Dado que la gran mayoría de los practicantes son menores de edad, los padres y los docentes deben buscar caminos de prevención. Los principales riesgos son:

• Exposición a pederastas, acosadores o chantajistas: peligro de que las imágenes sean usadas para una extorsión por parte de los destinatarios o terceras personas que tengan acceso a las mismas.
• Responsabilidad penal: la imagen de cada persona está protegida legalmente, quienes las difundan podrán ser acusados de pornografía infantil y derivar consecuencias legales. En el que caso que las difundan menores de edad, sus padres podrán ser involucrados legalmente.
• Riesgos psicológicos: la persona cuya imagen sea distribuida puede ser sujeto de humillación pública y acoso y sufrir graves trastornos por ello, como depresión, ansiedad, pérdida de autoestima, aislamiento, incluso llegar al suicidio.
• Difusión ilícita de las imágenes y/o uso de las mismas en webs ilegales de pornografía y prostitución: estas webs recogen fotos de ex parejas, generalmente desnudas, que se generan en el sexting o en situaciones privadas de pareja.

Consejos para jóvenes (y adultos)

• Piensa antes de enviar. Lo que publicas online o sale de tu propio celular es  irrecuperable, escapa para siempre de tu control y puede llegar a cualquiera en cualquier momento. Hoy deseas mostrar algo, que mañana tal vez quieras ocultar. El destinatario de tu imagen puede no ser tu amigo mañana. Cada vez hay más webs que se dedican a recopilar y difundir estas imágenes: tu desnudo podría acabar en uno de ellos.
• Desnudez de menores de edad, delito de pornografía infantil. La pornografía infantil es un delito cuando se crea, se posee o se distribuye, protagonizada por menores de 18 años. Si te llegan este tipo de imágenes, bórralas de inmediato. Si crees que su difusión está dañando a alguien, ponlo en conocimiento de una persona adulta.
• La imagen es un dato personal cuyo uso está protegido por la Ley. La imagen de alguien no se puede utilizar sin el consentimiento de la persona implicada. Si se difunde una imagen sin consentimiento y tú la posees, puede comprometerte.
• Recibir o tomar una imagen de una persona no te da derecho a distribuirla. El hecho de contar con una imagen (fotografía o vídeo) en tu celular no significa que tengas derecho a hacer con ella lo que quieras. Son cosas diferentes. Incluso si te dieron permiso para tomar la imagen, no significa que la puedas enviar a terceros.
• La Ley actúa siempre, también para los menores, con Internet y los móviles. Aunque todos lo hagan, seas menor de esas o creas que no pueden identificarte, eres responsable. Las Leyes te protegen a ti en todos los ámbitos, pero también a los demás y te pedirán cuentas si no respetas las reglas.
• Evita participar con tu acción, tu risa o tu omisión. Cuando el sexting deriva en humillación y acoso colectivo, la víctima sufre un daño enorme, un sufrimiento extremo. Si lo promueves y lo jaleas, eres responsable. Si te callas, tu silencio ayuda a quien acosa y hiere a la víctima.

Consejos para padres y docentes

• No niegues el problema y toma medidas. Reconoce que la edad, las hormonas y la tecnología son una combinación de cuidado. Habla con tus hijos/alumnos sobre las implicaciones del sexting para protegerlos. 
• Informa a tus hijos/alumnos sobre el sexting. Habla sobre sus actividades en Internet y con su celular, para que comprendan que las fotos y mensajes que envían pueden ser usadas por otras personas y los riesgos de que esto sea visto por profesores, vecinos, novios/as, jefes, vecinos y también por pederastas; menciónales el daño que pueden causar si reenvían fotos de sus compañeros o de otras personas. Mantén un diálogo abierto y comenta sobre nuevos casos que conozcas para que ellos lo hablen también con sus compañeros.
• Intenta saber con quién se comunica. Respetando su intimidad, busca tener un diálogo franco para saber con qué personas están en contacto por Internet y por teléfono celular. Busca conocer a sus amistades y a sus familias.
• Hazle recomendaciones sobre su presencia en la Red. Habla con ellos sobre lo que ponen como público y lo que mantienen como privado e informalos sobre los problemas de seguridad que surgen en este tipo de comunidades virtuales.
• Uso eficiente de los medios de comunicación celular e Internet. Habla con ellos sobre el uso del Internet y los celulares. Debes dejarles claro qué es lo que admites que hagan en la Red y con sus móviles.
• Que cuenten contigo. …Y si algo falla, alguien los molesta o su información acaba donde no debe, que sepan que les ayudarás, y que no teman contarte cualquier problema. Ten cuidado de que no se sientan avergonzados por ti ni humillados.
• Infórmate sobre riesgos asociados. El ciberacoso, el ciberbullying y el grooming son problemas  asociados o derivados del sexting. Infórmate sobre ellos. Y aconseja a tus hijos que estén al tanto sobre las repercusiones legales de sus actos.

Fuente: Analítica

Contenido completo en www.segu-info.com.ar

Fuga de información de tarjetas de Visa y Mastercard

Visa y MasterCard están investigando si un fallo de seguridad en una de las principales empresas que procesa las transacciones, ha expuesto información confidencial de sus clientes y funcionarios del banco. Este evento puso de relieve una vulnerabilidad importante que podría afectar a millones de titulares de tarjetas de crédito.

La brecha se habría producido en Global Payments, una compañía de Atlanta, que ayuda al procesamiento en las transacciones de Visa y MasterCard. Un ejecutivo estimó que pueden verse comprometidas desde un millones hasta tres millones de cuentas. Eso no quiere decir que todas esas tarjetas fueran utilizadas de manera fraudulenta, pero la información de esas tarjetas de crédito y sus titulares fue expuesta.

Global Payments ha proporcionado muy poca información sobre las infracciones, sobre las cuentas robadas y sobre cualquier otro detalle que podría indicar que clientes podrían haber sido afectados. Cuando se identifique a las víctimas, se les notificará y reemplazarán sus tarjetas de crédito, si es necesario.

Algunos funcionarios dijeron que la violación ocurrió en algún momento entre finales de enero y finales de febrero e incluyó lo que se conoce como pista 1 y pista 2 de datos, lo que incluye detalles como nombres, números de tarjetas, códigos de validación y, en algunos casos, las direcciones de los clientes.

Esta es la segunda brecha de seguridad en Global Payments en los últimos 12 meses, de acuerdo a dos personas informadas sobre las investigaciones. Otro ataque similar fue divulgado por Heartland Payment Systems en 2009, una brecha que se inició en 2007 y dio lugar a la exposición de los datos de 130 millones de tarjetas de crédito. Heartland estima que el incumplimiento le costó U$S 140 millones en multas y honorarios legales.

El posible incumplimiento se informó en el Blog de seguridad de Krebs on Security mientras que un portavoz de Global Payments se negó a comentar sobre otros ataques.

Fuente: Krebs Security, New York Times y WSJ

Contenido completo en www.segu-info.com.ar

España: CNIL envía un cuestionario a Google pidiendo respuestas "detalladas" por su nueva política de privacidad

La autoridad francesa de protección de datos CNIL, en representación de el resto de autoridades europeas en este sector, han remitido un cuestionario a Google en el que solicitan respuestas “detalladas” respecto a su nueva política de privacidad.

En total, el documento cuenta con 69 preguntas divididas en diez apartados que analizan desde la finalidad de la recogida de datos personales por parte de Google hasta la legitimidad de la conexión de datos entre sus distintos servicios.

Así, entre las preguntas más destacadas del cuestionario se incluye la petición de “ejemplos de información” que Google obtiene y utiliza para “velar por la protección” de sus usuarios. Asimismo, requiere una enumeración de datos personales que se usen para “mejorar los servicios”.

En esta misma línea, cuestiona al buscador respecto a una frase de su política de privacidad en la que asegura que “es posible que no se eliminen los datos almacenados en sistemas de seguridad cuando el usuario solicite que se eliminen dichos datos”. “¿Esto quiere o no decir que los datos se eliminarán de todos los sistemas de seguridad una vez transcurrido un periodo de tiempo adicional?”, preguntan las autoridades de protección de datos.

Por otro lado, reiteran la necesidad de conocer cómo influirá la nueva política de privacidad en servicios como los ‘posts’ de Google+, las imágenes de Picasa, los vídeos de Youtube o los documentos de Google Docs.

Además, piden a Google que indique los datos personales que utilizan los servicios de publicidad, requiriendo al buscador a aclarar si la combinación de estos datos a través del uso de diferentes servicios sólo se producirá entre “usuarios identificados”.

“¿Puede confirmar que no se combinarán los datos recogidos en Búsqueda, Maps, Youtube y Noticias de los usuarios no autentificados?”, recoge una pregunta del cuestionario. Además, incide en si la desactivación del historial de Youtube impide que google pueda usar los datos en otros servicios.

El cuestionario también solicita al buscador el número de visitantes únicos que han accedido a la web específica para detallar la nueva política de privacidad, así como la confirmación de que todos los usuarios pueden eliminar su perfil de Google.

Google, “Encantado de cooperar”
Protección de Datos apunta en una carta introductoria al cuestionario que Google ya se ha mostrado “encantado de resolver las dudas y cooperar”, por lo que piden respuestas “específicas y detalladas” a cada pregunta.
“Agradecemos su oferta de reunirse con un grupo de trabajo para abordar las preocupaciones de las autoridades de protección de datos. Sin embargo, consideramos que una vista sería algo prematuro en esta fase del proceso y necesitamos recibir respuestas por escrito a nuestro cuestionario antes de reconsiderar esta petición”, señala.

Las autoridades de protección de datos piden recibir las respuestas antes del 5 de abril de este año y se comprometen a no publicarlas “salvo que otorgue su autorización expresa para hacerlo”.

Fuente: Europa Press

Contenido completo en www.segu-info.com.ar

Routerpwn para explotar routers caseros

Routerpwn.com es una aplicación web que facilita la explotación de vulnerabilidades en ruteadores caseros. Es una compilación de exploits locales y remotos en formato listo para correr y programado en Javascript y HTML optimizado para dispositivos móviles.

Un solo archivo para poder descargarlo y acceder sin conexión a internet y está disponible para Android, iPhone/iTouch y BlackBerry.
Puedes cambiar la IP a la cual se atacará dando click en el link que dice [IP] a un lado del exploit.

Para ver más información del exploit como el advisory completo y el autor puedes dar click en el link [+]

Fuente: Routerpwn

Contenido completo en www.segu-info.com.ar

Errores de (los administradores) cPanel

Cualquier página Web presente en Internet tiene detrás un servidor (físico o virtual) y un hosting que le da servicio, conectividad y visibilidad a todo el mundo. Existen múltiples empresas dedicadas a ofrecer sus servicios de alojamiento Web (hosting) donde poder colgar una página Web y posibilitar así que cualquier persona desde el rincón más escondido de Internet pueda visitarla. Al mismo tiempo, todas estas empresas de Web Hosting facilitan la labor de publicar dicha página y administrarla mediante herramientas de gestión basadas en tecnología Web con un interfaz de usuario sencillo, y a la vez potente, que permite cambiar y editar el contenido, las imágenes, el diseño, utilizar CMS (WordPress, Joomla, Drupal, etc.) como, por ejemplo, cPanel, froxlor o Parallels Plesk Panel.

Algunas de estas empresas de hosting Web son muy conocidas como 1and1, Network Solutions, Bluehost, etc. Aparte de las diferentes ofertas y el precio de cada una de ellas, todas disponen de herramientas de administración y paneles de control para la facilitar al usuario las tareas de gestión de la Web. De entre todas esas herramientas, la que está más extendida es cPanel. CPanel apareció por primera vez allá por el año 1996 y, poco a poco, por su potencia, flexibilidad y facilidad de uso se ha ido asentando y actualmente es el programa de gestión Web más utilizado. cPanel proporciona al usuario control absoluto sobre la página Web en función de lo que el administrador de la empresa de hosting determine.

Tal y como se puede observar en la página Web de cPanel, entre sus principales características destaca:

• Facilidad para administrar páginas Web con el administrador de archivos de cPanel.
• Función cPanel Web para cortar y pegar ficheros desde el equipo local del usuario al servidor de la página Web.
• Métodos tradicionales de transferencia de archivos tales como FTP, SFTP, FTPS, etc.
• Facilidad en la creación de cuentas de correo electrónico y FTP adicionales.
• Gran nivel de estadísticas acerca del uso y la actividad de la página.
• Posibilidad de hacer copias de seguridad y restaurar backups de la página desde el mismo panel de control.
• Facilidad para instalar aplicaciones comunes como osCommerce, phpBB, foros, CMS, etc.

Habitualmente, los esfuerzos se centran en hacer que las páginas Web sean lo más seguras posible, controlando los contenidos dinámicos (ASP, PHP, etc.) y la respuesta del servidor ante ataques del tipo Inyección SQL (SQLi), Cross Site Scripting (XSS) y, en general, cualquier otro problema que pueda comprometer la seguridad de la plataforma. Se da por hecho que la herramienta que proporciona la empresa de hosting es segura y cumple con los mínimos necesarios y recomendables para poder operar por Internet con ciertas garantías. Una simple búsqueda por Google demuestra que esto no es del todo cierto:

Captura de pantalla con los resultados de la búsqueda en Google de “hascgi: y“

Especialmente interesante es el siguiente listado de cuentas de dominios de Indonesia, por ejemplo, obtenidas con la búsqueda anterior (se trata de un documento en formato Word de Microsoft):

http://www.Google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=5&ved=0CGYQFjAE&url=http%3A%2F%2Fxa.yimg.com%2Fkq%2Fgroups%2F23114193%2F2086818954%2Fname%2F3%2BIA%2B12.doc&ei=cedyT87EEMOcOsympMAO&usg=AFQjCNG_UTWHyRjZ900irwUHbwF6F00rKA&sig2=tpLPGfaPzVHj_MCPy-qxUA

La potencia del buscador combinado con la caché de Google y acotando dicha búsqueda por países y dominios concretos genera resultados espectaculares y si lo combinas con el buscador Shodan (http://www.shodanhq.com/) buscando “cpanel” se abren un montón de posibilidades como, por ejemplo:

intext:© cPanel, Inc. + site:.es -> para encontrar cPanels de páginas Web españolas, luego hay que añadir el puerto 2082 a la URL y ya se tiene el panel de inicio de sesión de cPanel (http://dominio:2082)

Si se utiliza cPanel para crear un nuevo plan de hosting cuando un usuario se ha dado de alta y quiere hospedar su página Web, los pasos a seguir implican definir el nombre del nuevo paquete, el espacio en megabytes asignado a este nuevo plan, el ancho de banda para el tráfico asignado a dicho plan, etc. Para crear la nueva cuenta de usuario asociada a este plan hay que indicar el nombre de dominio que se quiere alojar, un nombre de usuario, una contraseña, una dirección de correo electrónico de contacto y la cantidad de subdominios, listas de correo y bases de datos, que el usuario podrá crear y gestionar. Al finalizar el proceso, cPanel proporciona un mensaje similar al siguiente:

+===================================+
| New Account Info |
+===================================+
| Domain: hacktimes.com
| Ip: 192.168.0.25 (n)
| HasCgi: y
| UserName: hacktime
| PassWord: contraseña_segura
| CpanelMod: rvlightgreen
| HomeRoot: /home
| Quota: 25 Meg
| NameServer1: ns2.hacktimes.com
| NameServer2: ns1.hacktimes.com
| NameServer3:
| NameServer4:
| Contact Email: hacktimes@hacktimes
+===================================+

wwwacct creation finished
Account Creation Complete!!!


Una vez que se dispone de cuentas de acceso de cPanel, es necesario encontrar el panel de autenticación que suele estar en la misma dirección que el nombre de dominio de la página pero en los puertos TCP 2082 o 2083 si es con SSL.

Como la mayoría de veces, gracias a un descuido de los administradores de sistemas, esta información se ha indexado y Google proporciona resultados sorprendentes donde se obtienen numerosas cuentas de usuario de diferentes empresas de hosting.

Fuente: Hack Times

Contenido completo en www.segu-info.com.ar

Reflexiones sobre Ciberguerra [Security Chat & Beers]

Durante el día de ayer se llevó a cabo un nuevo encuentro en el marco del “Security Chat & Beers” que organiza TrendMicro Argentina, cuyo objetivo es reunir a los interesados en temas de seguridad de la información y debatir en un espacio común las distintas alternativas sobre una temática determinada. En este caso el tema que se trató fue la “Privacidad en tiempos de Ciberguerra”.

Se utilizó como un disparador una charla que Mikko Hypponen dio en TED acerca del cibercrimen y su visión en relación a 3 tipos de modalidad: http://www.ted.com/talks/lang/es/mikko_hypponen_three_types_of_online_attack.html.

En su charla Mikko define como los tres tipos de ataques a:

• Ciberdelincuentes cuyo objetivo es el dinero.
• Hacktivismo, centrado en el accionar de anonymous principalmente
• Espionaje gubernamental, con casos como Diginotar.

No es el objetivo de esta nota realizar un análisis de la presentación o discutir los puntos de vista planteados, sino compartir algunas reflexiones de lo conversado entre los distintos profesionales que asistieron al encuentro, dentro de los que se encuentran miembros del board de Cloud Security Alliance Argentina.

En relación a los distintos tipos de ataques, se intercambiaron opiniones respecto a la necesidad de concientizar tanto a los ciudadanos como también a los miembros de las Organizaciones, en definitiva a las personas, acerca de la necesidad de contar con una serie de medidas técnicas y hábitos de uso que permitan minimizar la posibilidad de materialización de dichos ataques, pero siempre teniendo claro que el factor humano es el eslabón más débil. Un aspecto que se resaltó es el la importancia de no considerar a la seguridad de la información un tema tecnológico, sino un aspecto que se debe gestionar en forma integral incluyendo temas técnicos, tecnológicos, legales, administrativos, culturales, etc.

Relacionado con el hacktivimos se coincidió en que no existen métodos eficaces para impedir que, por ejemplo, un DDoS sea efectivo, aunque se criticó el accionar considerándolo un método totalitario y/o de censura. Además de que en el plano nacional en muchos casos se incurre en delitos informáticos, a pesar de que ello podría desconocerse en algunos casos, por quienes se suman a las acciones.

Sobre el espionaje gubernamental se conversó en relación a la posibilidad que brindan las nuevas tecnologías y la evolución de los mercados como para que dichas actividades pudieran trasladarse a estos “nuevos” medios. En relación a Diginotar se establecieron miradas distintas a las de la charla TED dado que la empresa no contaba con medidas básicas de seguridad, por lo tanto, era muy factible que cualquiera que estuviera interesado hubiera tenido un éxito similar. Las conclusiones surgieron en base a un informe publicado durante 2011 con el análisis de seguridad del incidente: http://www.rijksoverheid.nl/documenten-en-publicaties/rapporten/2011/09/05/diginotar-public-report-version-1.html

Como conclusión se estuvo de acuerdo en las siguientes premisas:

• Las personas deberían estar más interesadas en los aspectos de seguridad, priorizando el cuidado de la información personal y/o sensible. Aplicable al plano de la vida cotidiana y laboral.
• Las Organizaciones deberían considerar un tema central a la seguridad de la información, pero en este caso, teniendo claro que la Dirección de la Organización es la máxima responsable por ello.

Si esto se lograra, teniendo en cuenta que en muchos casos los programas de concientización podrían ayudar a todo nivel, algunas cuestiones estarían considerablemente mejor, por ejemplo:

• Se asignarían responsabilidades claras sobre el cuidado de la información.
• Se comprometería a todos los integrantes acerca de lo importante de cuidar la información.
• La información se podría gestionar en base a su clasificación.
• Los activos se podrían gestionar en base a su valoración e impacto en las operaciones.
• La estrategia de seguridad tendría una visión más integral y alineada al cumplimiento de los objetivos y requerimientos legales y/o regulatorios que apliquen.
• La relación costo/beneficio sería más clara, debido a la existencia de procesos básicos que permiten obtener dichos criterios.

Lograr el nivel de madurez que permita que los cambios culturales se presenten y los procesos se estrablezcan, requiere mucho trabajo y lamentablemente muchos incidentes. De todas formas es una buena oportunidad para compartir algunos de los trabajos que desde Cloud Security Alliance se generaron con el objeetivo de acompañar dichos cambios y establecer dichos procesos, todo ello en el asociado a la seguridad en el Cloud Computing:

• Security Guidance for Critical Areas of Focus in Cloud Computing:
  https://cloudsecurityalliance.org/research/security-guidance/
• Cloud Security Alliance Cloud Controls Matrix (CCM):
  https://cloudsecurityalliance.org/research/ccm/
• Top Threats to Cloud Computing:
  https://cloudsecurityalliance.org/research/top-threats/
• Consensus Assessments Initiative Questionnaire:
  https://cloudsecurityalliance.org/research/cai/
• Security as a Service:
  https://cloudsecurityalliance.org/research/secaas/
• Cloud Computing Risk Assessment – ENISA:
  http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-risk-assessment-spanish/view

Aprovechamos finalmente para agradecer a TrendMicro Argentina la posibilidad de participar de los encuentros, dar a conocer nuestro trabajo y difundir las buenas prácticas en relación a la seguridad de la información en el Cloud Computing.

Fuente: Cloud Security Alliance Argentina - Facebook - @cloudsa_arg y LinkedIn

Contenido completo en www.segu-info.com.ar

Tipos de direcciones IPv6

IPv6 no sólo ofrece un nuevo esquema de direccionamiento con un espacio de direccionamiento mucho más amplio. También establece una nueva forma de utilizar el direccionamiento y nuevas prestaciones. Parte de esta novedad es una variedad amplia de diferentes tipos de direcciones IPv6.

Básicamente hay 3 tipos de direcciones: unicast, multicas y anycast. En IPv6 se ha suprimido completamente el broadcast de capa 3. Pero más allá de esta simplificación de 3 tipos de direcciones, hay más aspectos a considerar.

Direcciones de Unicast
Se utilizan para comunicaciones uno a uno. Pueden ser sumarizadas, para esto las direcciones son acompañadas por un prefijo que especifica una cantidad determinada de bits significativos. Hay varios tipos de direcciones de Unicast:

Direcciones globales

• Son utilizadas para tráfico global y tienen una estructura jerárquica de 3 niveles:
• Un prefijo de enrutamiento global (red), típicamente de 48 bits.
• Un identificador de enrutamiento local (subred), de 16 bits.
• Un identificador de interfaz de 64 bits de longitud.
• La longitud de cada porción es arbitraria, pero generalmente se respetan los 64 bits del ID de interfaz para mantener compatibilidad con múltiples implementaciones.
• En la actualidad IANA y RIR están asignando direcciones del rango 2000::/3.

Direcciones unique local

• Son direcciones que tienen el alcance de un sitio específico sin garantías de que sean globalmente únicas. Estas direcciones tienen una estructura propia:
• Un prefijo FC00::/7 de 8 bits.
• Un ID global pseudo-aleatorio de 40 bits.
• Un ID de subred de 16 bits.
• Un identificador de interfaz de 64 bits.
• Estas direcciones no son ruteables sobre Internet.

Direcciones link-local

• Todas las interfaces que operan con IPv6 tienen una dirección link-local.Su alcance está limitado al enlace y no son reenviadas.
• Son generadas dinámicamente con el prefijo FE80::/10 y un identificador de interfaz de 64 bits.
• Permiten la comunicación entre dispositivos que están en un mismo segmento de red sin necesidad de otro tipo de direcciones.
• Se utilizan en procesos de configuración automática, descubrimiento de vecinos y descubrimiento de routers.

Direcciones para propósitos especiales:

• Dirección sin especificar: ::
• Se utiliza como dirección de origen con propósitos especiales, por ejemplo en solicitudes DHCP.
• Nunca ocupa el campo de dirección de origen en un encabezado IPv6. Si así fuera el paquete no será reenviado.
• Dirección de loopback: ::1
• Como en el caso de la dirección 127.0.0.1, define una interfaz local para el stack IP.

Direcciones site-local (obsoletas)

Direcciones de Multicast

• Permiten establecer como destino todos las interfaces de un grupo.
• Son direcciones definidas por el prefijo FF00::/8 donde el segundo octeto define el alcance de esta dirección multicast que puede ser la sola interfaz, el segmento de red, una subred, una red o Internet.
• El ID del grupo de multicast está definido por los restantes 112 bits.
• El rango FF00:: a FF0F:: está reservado y asignado a través del RFC 2375.

Direcciones de Anycast

• Permiten definir como destino un host cualquiera de un grupo.
• Son direcciones asignadas a interfaces de uno o más nodos.
• Cuando la dirección de destino de un paquete IPv6 es una dirección de anycast, se rutea hacia la interfaz más cercana que esté asociada a esa dirección.
• Las direcciones de anycast se toman del rango de direcciones de unicast y requieren que la interfaz esté explícitamente configurada para identificar la dirección como dirección de anycast.

Recuerdo que en en IPv6 no existen las direcciones de broadcast.

Fuente: Libros Networking

Contenido completo en www.segu-info.com.ar

Trabajó en un banco usando la identidad de otra persona

La policía dijo que no es su caso habitual el robo de identidad, donde generalmente los ladrones se van de compras.

La única pista que tienen los investigadores es la foto que un ex compañero de trabajo le tomó.

Todo comenzó con el robo de un bolso en enero. La mujer asumió la identidad de la víctima, incluso utilizando el número de Seguro Social, nombre y dirección. De alguna manera, la mujer fue contratada en un banco del norte de Texas a través de una agencia de trabajo temporal.

Aparentemente los detectives estaban a punto de encontrarla, pero ella había dejado el trabajo temporal.
Bank of America no respondió a preguntas acerca del proceso de selección de sus empleados. La portavoz Diane Wagner dijo que Bank of America estaba “cooperando con las autoridades” en el caso.

La policía de Plano dijo que ha estado en contacto con detectives de Dallas, y creen que la mujer cometió un delito similar en Dallas hace unos años, pero nunca fue capturada.

Fuente: Telemundo Dallas

Contenido completo en www.segu-info.com.ar