Salvemos a Facebook

noviembre 30, 2008 § Deja un comentario

Sin palabras. Las malditas cadenas también invadieron las redes sociales.

La denuncia y el caso de Facebook vs ConnectU es real, pero de ahí a cerrar… y que tengamos que hacer una cadena para salvar Facebook hay un largo trecho.

Redacción de Segu-Info

Anuncios

Salvemos a Facebook

noviembre 30, 2008 § Deja un comentario

Sin palabras. Las malditas cadenas también invadieron las redes sociales.

La denuncia y el caso de Facebook vs ConnectU es real, pero de ahí a cerrar… y que tengamos que hacer una cadena para salvar Facebook hay un largo trecho.

Redacción de Segu-Info

Regulaciones en seguridad informática

noviembre 30, 2008 § Deja un comentario

Etek Reycom, proveedor latinoamericano de soluciones integrales de Seguridad de la Información presenta un análisis sobre las nuevas regulaciones en materia de Seguridad Informática, a fin de impulsar nuevos desarrollos.

La firma se propone así reforzar el concepto de que el uso responsable de la tecnología en las empresas, basado en el cumplimiento de una política de seguridad integral, es responsabilidad de todos los usuarios.

Según Laura Rodriguez Ocampo, Abogada de Professional Services de Etek Argentina, las tendencias indican que cada vez se pone más el acento en lo referido a protección de datos personales y privacidad, así como los temas relacionados con robo de identidad. En este sentido, desde fines de 2006 en Argentina ya es obligatorio implementar medidas de seguridad en el manejo de bases de datos con información personal.

Otro aspecto importante a considerar es la regulación de los llamados delitos informáticos. La reciente reforma al Código Penal del 4 de junio pasado se concretó a través de la ley 26.388.

“Esta ley se trata del primer avance de nuestro país en el sentido de castigar penalmente ciertos hechos que hasta el momento quedaban sin sanción por el vacío legal que representaban. Por lo cual es una reforma que además de resultar muy necesaria, nos acerca a las legislaciones de otros países en tal sentido”, comentó la ejecutiva.

Las principales reformas introducidas por la ley 26.388 consideran delitos a las siguientes acciones:

– Pornografía infantil por Internet u otros medios electrónicos (art. 128 CP)
– Violación, apoderamiento y desvío de comunicación electrónica (art. 153, párrafo 1º CP)
– Intercepción o captación de comunicaciones electrónicas o telecomunicaciones (art. 153, párrafo 2º CP)
– Acceso a un sistema o dato informático (artículo 153 bis CP)
– Publicación de una comunicación electrónica (artículo 155 CP)
– Acceso a un banco de datos personales (artículo 157 bis, párrafo 1º CP)
– Revelación de información registrada en un banco de datos personales (artículo 157 bis, párrafo 2º CP)
– Inserción de datos falsos en un archivo de datos personales (artículo 157 bis, párrafo 2º CP; anteriormente regulado en el artículo 117 bis, párrafo 1º, incorporado por la Ley de Hábeas Data)
– Fraude informático (artículo 173, inciso 16 CP)
– Daño o sabotaje informático (artículo 183 y 184, incisos 5º y 6º CP)

En otro orden, las organizaciones deberán considerar también su responsabilidad del uso de la tecnología en las empresas. Las decisiones judiciales en materia de uso de tecnología en ambientes de trabajo dan especial importancia a la presencia de una política de seguridad integral vivenciada por la empresa y sus dependientes, la concientización de usuarios, los procesos de clasificación de información, procesos disciplinarios ante incumplimientos a normas y procedimientos de Seguridad, entre otros que aseguran a las personas y los activos, y que al momento de un incidente de seguridad, dejan evidencia de previsión y diligencia de la organización.

Estos ordenamientos destacan que la relevancia de la seguridad de la información va más allá de lo técnico, y hace que se defina más como un proceso integral, que como acciones o productos aislados. La Política de Seguridad en una organización se identificará más con un servicio continuo que con un producto.

“Finalmente, podemos decir que una de las herramientas más adecuadas para el cumplimiento de requerimientos legales, podemos encontrarlo en la norma ISO/IEC 27001:2005. Este estándar certificable recoge las mejores prácticas en Seguridad Informática, cubriendo en sus objetivos de control la mayoría – si no la totalidad -, de los aspectos que cualquier organización debe prever al manejar sus activos en forma responsable. La implantación de un Sistema de Gestión de Seguridad de la Información (SGSI, en términos del estándar ISO) es y será en el mediano plazo el mejor instrumento para el adecuado cumplimiento legal”, agregó Rodriguez Ocampo.

Fuente: http://www.asteriscos.tv/noticia-tecnologia-559.html

AIX: Curso e-Learning sobre seguridad

noviembre 30, 2008 § Deja un comentario

IBM publica en su web un curso de e-Learning y guías de aprendizaje para AIX, para ayudarle a saber más acerca de la seguridad migración de AIX.

Este curso empieza explorando porqué la seguridad es un tema tan importante para los administradores de sistemas actuales, cómo IBM puede ayudarle a tratar las preocupaciones de seguridad y las características de seguridad ofrecidas por el sistema operativo AIX 5.3. El curso describe las ventajas, restricciones y utilizaciones de los valores de seguridad de nivel alto, medio, bajo y estándar de AIX Security Expert. Aprenderá cómo fortalecer un sistema durante la instalación, personalizar los valores de seguridad y aplicar una configuración de seguridad para varios sistemas.

Fuente: http://seguridad-informacion.blogspot.com/2008/11/aix-curso-e-learning-sobre-seguridad.html

Principios de Seguridad

noviembre 30, 2008 § Deja un comentario

En el marco de la Semana Internacional de la Seguridad Informática, Openware realizó una serie de artículos de concientización, destacando los principios de la seguridad informática. Acorde con el lema de la iniciativa, “dale valor a tu información”, estos están dirigidos a cualquier usuario de computadoras que quiera mantener su información segura.

Las temáticas de los principios y sus días de publicación son los que se presentan a continuación.

  • Principio 1: “Cuida tu privacidad” (24/11/2008) – descargar
  • Principio 2: “No brindes información indebida” (25/11/2008) – descargar
  • Principio 3: “Usa contraseñas fuertes” (26/11/2008) – descargar
  • Principio 4: “Protege el acceso al Home Banking” (27/11/2008) – descargar
  • Principio 5: “No hables con extraños” (28/11/2008) – descargar

Todos los artículos serán publicados con licencias libres (Creative Commons).

Cualquier lector está invitado a difundir estos documentos y a distribuirlos entre sus seres cercanos, sean empleados de su organización, familiares y/o amigos.

Fuente: http://www.openware.biz/es/noticias/semana_internacional_de_la_seguridad_informatica_principios_de_seguridad_%E2%80%9Cdale_valor_tu_inf

Empieza el combate para SHA-3

noviembre 30, 2008 § Deja un comentario

El pasado 31 de octubre se terminó el plazo de presentación de algoritmos Hash para el nuevo estándar SHA-3. En total se han presentado unos 64 trabajos de los cuales la mitad son públicos y entre los que hay que citar, por curiosidad, la propuesta de un joven de 15 años y el nuevo MD-6 presentado el pasado mes de agosto.

En la fase preliminar de criptoanálisis ya se han roto 8 de los candidatos públicos (no tengo acceso a los candidatos privados) y si el calendario se cumple la proxima semana se darán a conocer los algoritmos que cumplen todos los requisitos de la competicion.
Para finales de febrero está prevista la presentación oficial justo después de la FSE y muy pronto, en 2012, tendremos el nuevo estándar SHA-3, eso si al menos uno consigue llegar a la final.

Eduardo Morrás
S21sec labs

La muerte se vende como cuchillos de cocina

noviembre 30, 2008 § Deja un comentario

Por Arturo Quirantes Sierra

Granada, 12 Noviembre 2008

Estimado Sr. de Otálora,

Me llamo Arturo Quirantes Sierra. Soy profesor de Física en la
Universidad de Granada, y dirijo extra-académicamente una web sobre
criptografía (www.cripto.es). Como aficionado a la cripto, he leído con
interés su artículo La muerte se escribe en PGP.
La he leído con interés, sí, pero también con algo de disgusto,
debo reconocerlo. En su artículo, plantea usted la criptografía como un
arma que permite a los criminales campar a sus anchas. Según ese mismo
razonamiento, deberían prohibirse los cuchillos de cocina, ya que hay
gente que los usa para matar a otra gente. También podríamos entregar
copia de nuestras llaves de casa a la policía, porque lo mismo los
criminales usan las cerraduras para impedir que alguien entre en su
casa. O más aún, seguro que en el piso de los etarras encontraron papel
higiénico, así que ¿por qué permitimos que el papel higiénico siga
vendiéndose legalmente?

La táctica que usted usa -criminalizar algo porque puede ser
usado por criminales- es muy antigua, y por desgracia eficaz. Pero no
hay más que ver los usos que se dan hoy día a la criptografía (desde las
conexiones seguras a páginas web, pasando por los teléfonos GSM o los
sistemas de apertura de puertas a distancias) para reconocer que, si
bien la criptografía puede ser usada mal, en general es una herramienta
muy útil en todos los niveles.

El primero de tales niveles es la protección de nuestra propia
privacidad. Si usted investiga un poco, encontrará mil y un ejemplos de
interceptaciones de comunicaciones ilegales, irregulares o poco …
digamos … restringidas. Precisamente PGP fue inventado a comienzos de
los años 90 en un esfuerzo por mantener algo de criptografía en manos
del público. En aquellos días, el gobierno norteamericano imponía
fuertes restricciones a la exportación de cripto, y parecía que la
propia criptografía civil iba a ser ilegalizada de un momento a otro
(como estuvo cerca de suceder). Es en ese contexto, el de la lucha de
los gobiernos por asegurarse comunicaciones fácilmente interceptables,
en el que nació PGP, y no en el de la guerra fría, como incorrectamente
afirma usted. Puede vd. leer sus propias palabras al respecto en
http://www.pgpi.org/doc/whypgp/es/ .

Percibo, por su parte, cierta animadversión contra Zimmermann,
el creador de PGP. Cuando afirma usted que que demandado y ganó, no
parece recordar que, en realidad, la demanda no tenía base alguna. Se le
culpaba de exportar el programa cuando a) muchas otras personas lo
habían hecho antes (en alguna ocasión legalmente), y b) nunca hubo la
menor evidencia en su contra.

En cuanto al párrafo:

“El creador del PGP, por contra, defiende un tipo de proyectos
más cercanos al anarquismo o el liberalismo más exacerbado. En este
sentido, en los escritos de Zimmermann se denuncian los intentos de la
Administración Bush por controlar el mayor número de sistemas de
comunicación entre ciudadanos. «Si la privacidad está fuera de la ley,
sólo los que están fuera de la ley tendrán privacidad», resume el
informático.”

no puedo estar más en desacuerdo. No tiene usted más que escarbar un
poco en algunos de los proyectos de interceptación más polémicos
(Echelon, la ley Patriot, las escuchas legalizadas por orden
presidencial) para caer en la cuenta de que protegernos contra nuestro
propio gobierno no es sólo tarea de paranoicos, sino que por el
contrario constituye una labor de buen gobierno y autoprotección. Por
otro lado, yo he participado en diversos proyectos legítimos que, por
uno u otro motivo, debían permanecer confidenciales en su momento, y le
aseguro que esa necesidad de protección es necesaria más allá de si es
un “proyecto cercano al anarquismo o el liberalismo más exacergado”,
como usted afirma. Por desgracia, es muy fácil etiquetar alegremente a
quienes queremos criticar que razonar sus motivaciones de modo
desapasionado.

En otro orden de cosas, tomarla con PGP es absurdo, entre otras
cosas porque los protocolos criptográficos están disponibles a
cualquiera. Un informático con dos dedos de frente (e incluso con uno)
puede tomar las instrucciones de esos algoritmos y convertirlos en
líneas de código, muy fácilmente. Borremos PGP, y aún dispondremos de
centenares de programas de encriptación para usarlos libremente.

También me gustaría expresarle mi convencimiento de que, incluso
usando PGP, los mensajes cifrados pueden ser en ocasiones recuperados.
No mediante el desciframiento directo. Pero la policía dispone de
herramientas forenses muy poderosas, que exploran el disco duro en busca
de información residual como archivos borrados (¿sabía usted que un
archivo borrado realmente sigue en el disco duro y puede ser recuperado
fácilmente?) o contraseñas guardadas en memoria caché, así como listas
de diccionario y otros procedimientos sofisticados para intentar
averiguar la clave. Se pueden insertar troyanos que capturen las
contraseñas, o bien “olfatearlas” a distancia. No basta con PGP para
proteger un mensaje en un ordenador, del mismo modo que una puerta
blindada no basta para proteger una ventana que tiene una ventana
abierta. Y usted, como periodista, debiera haberse informado mejor al
respecto.

Finalmente, su comentario:

“Según un experto de las Fuerzas de Seguridad, para que el
empleo del PGP sea eficaz en una organización, es necesario que en algún
nivel de la estructura exista una persona que controla todas las llaves.
«Sin un administrador de las claves, es muy fácil que se pierdan
documentos al olvidar una contraseña. Para que el método sea eficiente»,
continúa el experto, «el sistema tiene que tener una memoria única que
controle todas las informaciones para evitar que una parte importante de
la información se destruya».”

me resulta sencillamente increíble. Si hay algo que caracteriza PGP es
su carácter descentralizado. No hace falta ninguna persona o autoridad
central que cree o administre claves. Es cómodo, pero no imprescindible.
Usted y yo podríamos crear nuestras claves, intercambiarlas y
comunicarnos en modo seguro durante años. Yo lo hago. Y no necesito que
nadie controle mis claves. De hecho, PGP incorpora un funcionalidad que
permite, mediante una clave de descifrado adicional, descifrar mensajes
incluso si el dueño no está disponible.

Resumiendo: ni PGP es invencible en un entorno real, ni es una
herramienta imprescindible, ni es usado exclusivamente (ni siquiera
aproximadamente) por los malos. Muy por el contrario, le recomiendo su
uso, porque seguro que en más de una ocasión habrá necesitado disponer
de comunicaciones y almacenamiento de datos confidencial y seguro.

Por lo demás, estoy a su disposición para cualquier aclaración o
asesoramiento que vd. desee. Puede encontrarme en aquirantes@cripto.es,
y en la web http://www.cripto.es

Cordialmente,

Arturo Quirantes Sierra

Boletín ENIGMA
Boletín del Taller de Criptografía de Arturo Quirantes
http://www.cripto.es

¿Dónde estoy?

Actualmente estás viendo los archivos para noviembre, 2008 en Seguridad Informática.