FBI mantuvo funcionando sitio web pedófilo para identificar a sus usuarios

mayo 31, 2013 § 2 comentarios

Según el periódico estadounidense The San Francisco Chronicle, el FBI decomisó un sitio web dedicado a la difusión de pornografía infantil en noviembre del año pasado, pero que en vez de cerrarlo inmediatamente, lo mantuvieron activo durante dos semanas para así identificar a los pedófilos clientes del servicio.

El periódico afirma que si bien anteriormente agentes del FBI han simulado ser pedófilos, esta sería la primera vez que el FBI ha facilitado activamente el compartir pornografía infantil, siguiendo un método usual entre las agencias del orden cuando permiten que continúen activas redes de narcotráfico o prostitución esperando el momento adecuado para capturar a la mayor cantidad posible de implicados en los hechos delictuales.

Durante esas dos semanas, la agencia intentó identificar a más de 5.600 usuarios, los que fueron responsables de compartir más de 10.000 fotos de niños siendo abusados en el sitio web que contenía más de 24.000 posteos. Hasta el momento, la operación ha permitido capturar al menos a un sospechoso, pues la investigación continúa mientras que se están realizando los trámites para presentar los cargos ante el poder judicial.

¿Qué crees? ¿Debe el FBI o cualquier policía de investigaciones del mundo mantener activos sitios web de pedofilia si posiblemente puede servir para capturar a más involucrados?

Fuente: Fayerwayer

¿Por qué Apple es tan buena guardando secretos?

mayo 31, 2013 § Deja un comentario

Si hay algo que caracteriza la política de Apple como compañía es el secretismo que rodea a todo lo que hace. Se trata, en efecto, de una de las compañías que menos se prodiga con la prensa y es muy difícil saber en qué nuevo proyecto están trabajando sus ingenieros. ¿Cómo es posible que Apple pueda guardar tan bien sus secretos? Pues bien, ésta pregunta la lanzó recientemente la red social Quora y, sorprendentemente, son ya muchas las respuestas recibidas de exempleados de la compañía (o al menos de personas que dicen serlo).

Sus principales respuestas, recogidas por Business Insider, son de lo más variopinto. Por ejemplo, Brian Hoshi, que asegura haber trabajado en Apple durante años, señala que “la necesidad de discreción está muy arraigada en la cultura corporativa con el fin de crear productos innovadores y revolucionarios”. Hoshi asegura que la firma tiene un equipo de seguridad corporativa vigilando que ésta se cumple en todo momento. No obstante, añade, “no hay nada que temer en Apple siempre y cuando seas capaz de seguir estas reglas de conducta muy básicas”.

or su parte, Ken Rosen, asegura que en los orígenes de la compañía “todo estaba abierto a todos. Incluso había una carpeta con el sueldo de todo el mundo que se podía consultar”. Rosen afirma que Steve Jobs les dijo a los empleados: “Dentro de NeXT todo está abierto a todos. De cara al exterior no decimos nada […]. Esto continuará así hasta la primera filtración. En cuanto se vea que no podemos guardar un secreto volveremos a ser como cualquier otra compañía”.

Y Robert Bowdidge asegura que no podía contar nada a su esposa. “Ella sabía que estaba trabajando en un edificio diferente y que llegaba muy tarde por las noches, pero no sabía lo que hacía”.

Otro exempleado, Chris Connors, asegura que incluso si tienes amigos en otros grupos “ellos nunca te preguntarán en qué estás trabajando”, ya que saben que lo haces para Apple.

Y una persona que responde de forma anónima asevera que todos los prototipos se marcan con números de serie en láser y rastreados con un sistema llamado iTrack. Esta persona afirma también que “la seguridad física se prioriza también mucho, y los prototipos se guardan bajo llave cuando no se utilizan. Además, el acceso a los prototipos también está muy restringido y se asume por defecto que tus compañeros no sepan en qué estás trabajando”.

Fuente: TicBeat

Los 10 errores típicos de una PyME en materia de seguridad

mayo 31, 2013 § Deja un comentario

No cabe duda de que en los últimos años hemos avanzado mucho en Seguridad de la Información. Poco a poco, entre las empresas comienza a implantarse la idea de que la seguridad es un ámbito al que hay que prestar una atención específica e independiente, más allá de lo que muchos consideran “los informáticos”. Sin embargo, si no es bueno caer en el catastrofismo, no debemos ser demasiado indulgentes: queda mucho camino por recorrer y los avances no siempre se producen a la velocidad a la que, afortunadamente para los delincuentes, serían recomendables o deseables. A diario se producen noticias de empresas u organizaciones con una fuerte inversión en seguridad cuya infraestructura tecnológica es vulnerada, lo que da una idea del desequilibrio de fuerzas existente.

En esta línea, aun persisten muchos errores y creencias que podemos identificar como los diez errores típicos de las PYMEs en materia de seguridad y que marcan el camino a seguir estos próximos años.

1. Pensar que su información o sus sistemas no interesan a nadie. Este es, sin duda alguna, el principal escollo en la mejora de la seguridad de la información de una organización: pensar que no son el objetivo de nadie. Existen varios poderosos argumentos para desmontar esta creencia. En primer lugar, cualquier equipo es útil para las “botnets” o redes de PCs zombies controlados remotamente, sea un PC corporativo o el portátil de un adolescente; mientras pueda controlarse remotamente puede ser utilizado, con otros miles, para divulgar spam o atacar sistemas. En segundo lugar, quizá nadie esté interesado en nuestros sistemas, pero un escaneo por parte de un gusano puede detectar por simple casualidad un equipo vulnerable. Por último, muchas organizaciones infravaloran el valor de su información, tanto para la competencia externa como interna: balances contables, tarifas de precios, márgenes, procesos de producción, innovaciones, etc.

2. Creer que la seguridad es sólo técnica y por tanto sólo compete a los informáticos. Limitar la seguridad a los controles técnicos, evidentemente necesarios, conduce a descuidar aspectos tan importantes como los legales y organizativos. Gestionar las incidencias, definir responsabilidades o abordar los requerimientos de carácter legal son aspectos vitales para evitar amenazas como la ingeniería social o el phishing.

3. Un antivirus y un firewall son suficientes. Este es, principalmente, el progreso con el que introducíamos esta entrada: pocas organizaciones actualmente carecen de un antivirus e incluso de un cortafuegos. Sin embargo, esto conduce a una falsa sensación de seguridad que hace olvidar que existen otras muchas amenazas, tanto técnicas como no técnicas, que requieren la adopción de medidas más específicas.

4. Pensar que la seguridad es un producto y no un proceso. Este error persiste de épocas lejanas en las que la seguridad era un aspecto más dentro de las muchas tareas del personal del área de informática. Sin embargo, las cosas han cambiado significativamente y la seguridad ha adquirido un estatus propio. Cualquier persona que trabaje en un departamento de RRHH, producción, logística o contabilidad tiene que llevar a cabo un mantenimiento diario, ya sea actualizando sus conocimientos, manteniendo los sistemas, implantando nuevos procesos o adaptando su funcionamiento a nuevos requerimientos legales; las áreas y departamentos se adaptan a los cambios constantemente. Sin embargo, la seguridad sigue considerándose un ámbito que no requiere mantenimiento o seguimiento alguno. Nada más lejos de la realidad.

5. La confidencialidad es algo de espías y grandes multinacionales. Es cierto que los espías y las grandes multinacionales firman acuerdos de confidencialidad. Y aunque a muchas empresas todavía le suenan a ciencia ficción, eso no los hace innecesarios en el ámbito de la PYME. Tanto con proveedores, clientes como con trabajadores y en definitiva cualquier persona física o jurídica que vaya a acceder a la información de la empresa, es vital firmar acuerdos de confidencialidad cuya finalidad no es otra que proteger la información de la organización. Pocas veces un esfuerzo tan pequeño trae unos beneficios tan grandes. Ni más, ni menos.

6. No contemplar la seguridad en los contratos corporativos. Hoy en día, la hoja de pedido, sin más, sigue siendo en muchos casos el procedimiento para contratar servicios. No existe un contrato de servicios ni cláusulas de confidencialidad. No se contemplan requerimientos legales como la Ley Orgánica de Protección de Datos ni se tienen en cuenta, por ejemplo, las medidas que el proveedor puede estar aplicando sobre la información que le proporcionamos. En definitiva, la seguridad, en cualquiera de sus ámbitos, todavía brilla por su ausencia en los contratos que muchas PYMEs firman con sus proveedores y/o clientes.

7. La Ley Orgánica de Protección de Datos, esa gran desconocida. A pesar de que la LOPD lleva en marcha desde 1999 y que incluso existía un reglamento de una ley anterior que concretaba, con mayor o menor detalle, las medidas a implantar en el ámbito de protección de datos, casi catorce años después muchas empresas ignoran sus obligaciones en esta materia y algunas de las que las conocen deciden no llevar a cabo acción alguna. Ya sea por evitar sanciones o por responsabilidad social con las personas que nos confían sus datos, cualquier empresa debería adoptar las medidas necesarias para garantizar la seguridad de los datos de carácter personal de sus clientes, empleados, proveedores…

8. Mirar hacia fuera pensando que las amenazas siempre son externas. Sin ánimo de criminalizar y a pesar de lo que las noticias pueden a menudo hacernos pensar, es bien sabido en el ámbito de la seguridad que la mayor parte de los problemas de seguridad provienen de dentro de las propias organizaciones. En algunos casos, por usuarios malintencionados con los que se deben adoptar las medidas que subsanan muchos de los errores anteriores. Sin embargo, en muchos otros casos se trata de simple desconocimiento: un empleado que utiliza un USB infectado, abre un adjunto o pincha en un enlace que le llega en un correo o simplemente tira a la papelera información confidencial. En este caso, se hace imprescindible adoptar una estrategia permanente de concienciación en seguridad de la información, incluyendo al personal directivo que maneja información sensible, que evite y mitigue comportamientos peligrosos tanto para la organización como para el propio empleado.

9. Ofrecer servicios a través de Internet sin tener en cuenta su seguridad. Un servicio ofrecido a Internet es accesible virtualmente por miles de millones de personas, algunas de las cuales no tendrán desde luego buenas intenciones. Sin perder de vista los requerimientos legales necesarios (y en muchos casos bastante sencillos de cumplir) que ya hemos visto, la historia se repite una y otra vez: entre otros, servicios que contienen formularios vulnerables a ataques que ya existían hace una década o servidores web incorrectamente configurados… o directamente sin configurar.

10. Descuidar la gestión de la red y los sistemas. Por último, pero no menos importante, muchas empresas todavía descuidan de manera continuada el mantenimiento de la seguridad de sus servidores y redes, lo que conduce a dispositivos de red vulnerables, puntos WiFi que permiten a una persona al otro lado de la calle acceder a nuestra red corporativa, bases de datos de uso interno accesibles desde Internet, o servidores sin actualizar desde hace años. Sin entrar en que esto además conduce a la ignorancia más absoluta sobre lo que sucede en las infraestructuras de la organización, donde un intruso puede por tanto campar a sus anchas. El resto queda a la imaginación.

Este decálogo de errores típicos, más habituales de lo que cabría pensar, podría sin duda ser completado con muchos otros problemas más específicos que las PYMEs cometen a diario. Sin embargo, si en unos años pudiésemos tachar al menos la mitad de estos errores, ya habríamos avanzado mucho en la seguridad de nuestras empresas.

Fuente: Security Art Work

México: en Nuevo León van contra el #ciberbullying y el #sexting

mayo 31, 2013 § Deja un comentario

El Congreso de Nuevo León avanza en aras de castigar el “ciberbullying y sexting” para que quienes son víctimas puedan contar con el respaldo de las leyes penales vigentes en la entidad.

De acuerdo con una encuesta de seguridad y privacidad de 2010, el 60 por ciento de usuarios cibernautas mexicanos conocen a alguien que ha recibido insultos o difamaciones a través de las redes sociales.

Por ello, quienes practiquen esta nueva modalidad de chantaje o amenaza moral se podrían hacer acreedores de sanciones de uno a tres años de prisión y sanciones administrativas de 100 a mil cuotas, de aprobarse la iniciativa en el Pleno del Congreso, antes del cierre de sesiones del próximo 31 de mayo.

La Reforma al Código Penal vigente en Nuevo León, que presentó la Comisión de Equidad y Género del Legislativo neoleonés, propone reformar principalmente el Artículo 345 bis y modificar el 429.

De acuerdo con la iniciativa, el “ciberbullying” es el uso de los medios telemáticos (internet, telefonía móvil y videojuegos online principalmente) para ejercer el acoso psicológico entre iguales. Mientras que el “sexting” es el acto de enviar mensajes o fotos sexualmente explícitos por medios electrónicos, sobre todo con el teléfono móvil.

Tras la dictaminación de la Comisión de Equidad y Género, se turnará a la Comisión de Justicia y Seguridad Pública para el estudio y posterior rechazo o aprobación de la reforma al 345 bis del Código Penal y la modificación del 429 del mismo.

La legisladora Carolina Garza presentó la iniciativa este lunes, y advirtió que de darse las reformas y modificaciones al Código Penal, se podrán castigar estas situaciones cada vez más comúnes en las redes sociales.

Cabe destacar que con la reforma del Artículo 345 bis, el Poder Legislativo busca contemplar como difamacion o daño moral a las personas, los abusos, la intimidación y el chantaje a través de imágenes y videograbaciones, no sólo a través de amenazas verbales o escritas.

De esta forma se agrega un artículo 345 bis al código penal de Nuevo León que dice lo siguiente:

“También se considera difamación quien difunda, revele, ceda o transmita por cualquier medio una o más imágenes o grabaciones audiovisuales para causarle a una o varias personas la deshonra, descrédito, perjuicio o exponerla al desprecio de alguien… Se le impondrán de uno a tres años de prisión y multa de 100 a mil cuotas”, explicó la legisladora, al resaltar que espera que ambas comisiones aprueben sus dictámenes respectivos, para que se aprueben en el Pleno del Congreso antes de que concluya el periodo de sesiones el próximo 31 de mayo.

Las críticas no se hicieron esperar ya que la medida claramente podría afectar a cualquier persona que lance críticas contra la clase política y contra los gobernantes. La sanción por criticar a alguien en internet fue fijada por el PRI en trabajo comunitario y de 1 a 2 años de prisión en caso de reincidencia, además de una multa económica.

Sólo votó en contra de esta medida el perredista Eduardo Arguijo y se abstuvo el petista Guadalupe Rodríguez. Arguijo advirtió que la reforma atenta contra los medios de comunicación y la libertad de expresión, ya que censura la información que se difunde a través de redes sociales.

Fuente: El Universal y Criterio Hidalgo

Romper contraseñas de 16 caracteres

mayo 30, 2013 § Deja un comentario

En marzo, Nate Anderson, subdirector de Ars Technica y subdirector y novato auto-admitido del descifrado de contraseñas, descargó una lista de más de 16.449 contraseñas y a las pocas horas, descifró casi la mitad de ellos. La moraleja de la historia: si un reportero con una formación cero en el arte de descifrado de contraseñas puede lograr tales resultados, imaginen lo que los atacantes más experimentados pueden hacer.

Se sabe que las contraseñas débiles son terriblemente insegura pero lo ¿qué pasaría si se lograra descifrar cualquier contraseña de hasta 16 caracteres?

Para conocer la respuesta se consultó a tres expertos de craqueo de contraseñas para atacar a la misma lista Anderson y el grupo de hackers ha conseguido descifrar más de 14.800 contraseñas supuestamente aleatorias de la lista de 16.449 Hash MD5 (sin salt), utilizando el Cracking de contraseñas con GPU.

Mientras que la tasa de éxito de 47% de Anderson fue impresionante, fue minúsculo en comparación con lo que hicieron los crackers ya que el “menos exitoso” del trío, utilizando la menor cantidad de hardware, sólo dedicó una hora para descifrar 62 por ciento de las contraseñas y aquí explicó el proceso completo.

Cristian de la Redacción de Segu-Info

Informe cómo obtener ventajas de la nube

mayo 30, 2013 § Deja un comentario

Una vez que las agencias de gobierno se han montado en la nube, deberán evaluar el nivel de adopción en el que se encuentran, con el objetivo de obtener las ventajas que deriva de ello.

Esto tiene que ver con las diferentes necesidades de cada empresa, sus entornos, tipo de nube seleccionada, consumo y hasta la seguridad que requiere.

En este Whitepaper de Symantec [PDF] encontrará cinco consejos que le permitirán ganar confianza y aprovechar al máximo los servicios de nube:

  • Considere sus necesidades
  • Considere su entorno
  • Seleccione la nube que mejor convenga a sus intereses
  • Consuma, Construya o Amplie
  • Asegure y Proteja

Fuente: Netmedia

AndroRAT: un troyano RAT para Android

mayo 30, 2013 § Deja un comentario

Androrat es un RAT (Remote Administration Tool) de código abierto para Android. Se trata de una aplicación cliente-servidor desarrollada en Java (Java Android para el cliente y Java/Swing para el servidor) por un equipo de cuatro desarrolladores universitarios en tan sólo un mes (video). Por lo tanto es casi una prueba de concepto, si bien es bastante funcional ya que en sus primeras versiones puede:

  • Obtener los contactos (y toda la información de ellos)
  • Obtener los registros de llamadas
  • Obtener todos los mensajes
  • Localización por GPS / Red
  • Monitorizar mensajes recibidos en tiempo real
  • Monitorizar el estado del teléfono en tiempo real (llamada recibida, llamada enviada, llamada perdida ..)
  • Tomar una fotografía desde la cámara
  • Obtener el sonido del micrófono (u otras fuentes ..)
  • Obtener el streaming de vídeo (sólo para clientes basados en actividad)
  • Enviar un mensaje de texto
  • Relizar una llamada
  • Abrir una URL en el navegador por defecto
  • Hacer vibrar el teléfono

La aplicación Android se ejecuta como un servicio (no una actividad) que se inicia durante el arranque. Por lo tanto el usuario no tiene que interactuar con el servicio (si bien hay una actividad de depuración que permite configurar la dirección IP y el puerto de conexión). La conexión con el servidor puede ser desencadenada por un SMS o una llamada (configurable).

Para los que no les gusta realizar todos este proceso, dentro de poco estara agregado en las herramientas de la Distribución de Linux Bugtraq.

Fuente: HackPlayers

¿Dónde estoy?

Actualmente estás viendo los archivos para mayo, 2013 en Seguridad Informática.