jueves, 24 de febrero de 2011

5 Noticias de Seguridad Informática en Segu-Info

5 Noticias de Seguridad Informática en Segu-Info

Link to Noticias de Seguridad Informática

Tutorial de Hacking con XSS

Posted: 24 Feb 2011 11:40 AM PST

En este tutorial producido por XSSER [PDF] (Twitter de su autor Lord Epsylon) se exponen tipos de ataques conocidos, formas de evasión de filtros, diferentes técnicas/finalidades de un atacante y una recopilación de herramientas, links, ideas y vectores válidos.

El Cross Site Scripting (XSS) es la vulnerabilidad más explotada según la OWASP (Open Web Application Security Project).

En el XSS se manipula la entrada (input) de parámetros de una aplicación con el objetivo de obtener una salida (output) determinada que no sea la habitual al funcionamiento del sistema.

Algunas estadísticas afirman que el 90% de todos los sitios web tienen al menos una vulnerabilidad, y el 70% de todas las vulnerabilidades son XSS.  A pesar de tratarse de una temática en seguridad algo antigua, aún siguen apareciendo nuevos vectores de ataque y técnicas que hacen que se encuentra en constante evolución.

Fuente: XSSER
www.segu-info.com.ar

Guía de seguridad web en navegadores

Posted: 24 Feb 2011 09:00 AM PST

El manual "Browser Security Handbook" tiene como objetivo proporcionar una referencia a desarrolladores web sobre las propiedades y requisitos de seguridad básicos que deben de cumplir los navegadores así como una comparativa de los mismos.

La guía fue publicada por Google en el 2008 y está en constante actualización reflejando las nuevas características y funcionalidades de seguridad que se han ido integrando en los navegadores más predominantes. La falta de comprensión de dichas características o bien la falta de documentación de las mismas son el punto de partida de un número elevado de vulnerabilidades, por lo que, por este motivo, INTECO-CERT recomienda la lectura del mismo tanto a desarrolladores Web como a responsables de seguridad.

La guía está en inglés y está dividida en tres partes, las cuales se citan a continuación:
  1. Basic concepts behind web browsers
  2. Standard browser security features
  3. Experimental and legacy security mechanisms
En la primera parte se ofrece una revisión de las normas fundamentales y las tecnologías existentes detrás de los navegadores actuales así como las propiedades de seguridad más relevantes.

La segunda parte muestra un análisis más detallado de los mecanismos de seguridad además de las restricciones implementadas dentro de los navegadores. Se tratan temas como , vulnerabilidades en propiedades DOM, restricciones de red ("Port access restrictions", "URL scheme access rules", "Simultaneous connection limits", etc), métodos de defensa para scripts dañinos, cifrado de comunicaciones, etc.

Por último, en la tercera parte se ofrece un breve resumen de un conjunto de funcionalidades de seguridad implementadas en diversos navegadores en los últimos años, algunas de las cuales ya están en desuso. Además, se mencionan propuestas en curso y mejoras que están siendo incorporadas entre gran parte de los navegadores.

Fuente: INTECO-CERT
www.segu-info.com.ar

Alemania lanza un plan de lucha contra el 'cibercrimen'

Posted: 24 Feb 2011 07:10 AM PST

Alemania contará con un nuevo centro especializado en la lucha contra el cibercrimen, según un plan aprobado por el Gobierno para reforzar la defensa frente a amenazas provenientes de la Red.

La llamada Estrategia de Ciberseguridad para Alemania prevé la creación de un Centro Nacional de Ciberdefensa que, en caso de un ataque perpetrado desde o contra Internet, analice la situación y asesore a las autoridades sobre cómo combatirlo. También pondrá en marcha un "Consejo de Ciberseguridad Nacional" para mejorar la cooperación entre el Estado y representantes del sector financiero y la economía.

"Todos necesitamos la Red como el aire que respiramos", explicó la experta en tecnología del Gobierno, Cornelia Rogall-Grothe, durante un acto sobre ciberseguridad en Berlín.

Por eso es imprescindible contar con mecanismos adecuados para defender los sistemas frente a ciberataques, añadió.

"Internet se ha convertido en una infraestructura vital", explicó el ministro del Interior, Thomas de Maizière, durante la presentación de la llamada Estrategia de Ciberseguridad para Alemania.

"Su falta sería dramática para el país. Es como con la electricidad y el agua: estamos a expensas de que Internet funcione".
De Maizière reveló que las autoridades registran casi a diario "ataques que al parecer provienen de otros países".

Según explica el plan del Gobierno, el ciberespacio comprende "todas las estructuras de información accesibles a través de Internet desde todo el mundo y más allá de las fronteras".

Un ataque contra ese espacio, agrega, generaría importantes problemas en aspectos básicos de la vida actual. "La disponibilidad del ciberespacio y la integridad, autenticidad y fiabilidad de los datos que figuran en él (...) se han vuelto por eso una cuestión clave del siglo XXI".

También otros países como Estados Unidos crearon recientemente autoridades específicas para hacer frente al cibercrimen. Además, el país creó el puesto de coordinador de ciberseguridad tras las filtraciones de WikiLeaks.

Por su parte, la Comisión Europea también propuso la creación de un centro europeo del cibercrimen, una forma de delincuencia que, según fuentes de la CE, le cuesta a la UE unos 750.000 millones de euros cada año.
Recientemente, la Organización para la Cooperación y el Desarrollo Económico (OCDE) advirtió que ataques contra los sistemas informáticos tienen el potencial de causar una catástrofe global, aunque sólo en combinación con otro desastre.

Fuente: El Mundo
www.segu-info.com.ar

Juegos y spyware en Android

Posted: 24 Feb 2011 05:35 AM PST

Hace unos días atrás el mundo de la plataforma móvil de Google se vio revolucionado. Esto sucedió debido a la declaración de uno de los desarrolladores del popular juego Tanks Hero. Este juego, desarrollado pura y exclusivamente para Android, fue causa de una disputa entre la ética y el spyware.

El motivo de tal revuelo fue debido a una propuesta que sobrepasa la moral en dónde mediante incentivos económicos, una empresa intentó convencer a los desarrolladores de este videojuego que introdujeran dentro del código del mismo un spyware.

Si esta acción se hubiese llevado a cabo, al actualizar la aplicación ya no se requerirían los permisos por defecto, sino que se incluirían permisos para leer la información del dispositivo, efectuar llamadas o enviar mensajes de texto, acceder a la posición del GPS y modificar los contenidos de la tarjeta de memoria entre otros.

Luego de que fueran contactados, uno de los desarrolladores escribió en Reddit lo sucedido, en ese espacio explicó cómo fue que la situación se llevo a cabo y el porqué de su contundente negación. La respuesta por parte de los desarrolladores de la aplicación confirma que sus intenciones son claras, y no desean condicionar el funcionamiento de su aplicación ni la información de sus usuarios ante un resarcimiento económico.

Contenido completo en ESET Latinoamérica
www.segu-info.com.ar

Facebook y Twitter: Sin ley para el robo de identidad

Posted: 24 Feb 2011 04:04 AM PST

Los robos de perfiles en Facebook y Twitter significan para las víctimas trámites lentos y costosos. No existe un marco legal que las ampare. Hay dos iniciativas en el Congreso, pero con pocas posibilidades de tratamiento en el año electoral.

En plena era digital, Argentina no cuenta con una legislación que proteja a las víctimas de los delitos informáticos como el robo de identidad o el "ciber hostigamiento" ("Grooming",como se lo conoce en inglés) ya que dos proyectos de ley para tipificar esas figuras dentro del Código Penal descansan en la Cámara de Diputados y existen muy pocas chances de debatirlos durante el actual año electoral.

La Ley de Delitos Informáticos actualizó las penalidades dentro de un abanico de crímenes. Pero la velocidad de los avances tecnológicos es mucho mayor a los tiempos administrativos de Argentina, por lo que buena parte de los crímenes 2.0 se fueron modificando y quedaron fuera del marco legal.

En la actualidad, que una persona tome la identidad de otra (con nombre, datos personales, imágenes, etcétera) en un foro, un blog, o una red social como Facebook y Twitter no es un delito porque no está tipificado como tal.

A mediados del año pasado, y a instancias de entidades de abogados y profesionales que trabajan en el asesoramiento a víctimas de violaciones informáticas, se presentaron dos proyectos de ley para modificar el Código Penal e incorporar los delitos de "ciber hostigamiento" y el robo de identidad digital. Las iniciativas tienen giro a las comisiones de Legislación Penal; Familia, Mujer, Niñez y Adolescencia; y Comunicaciones e Informática.

Ambas iniciativas fueron respaldadas por legisladores del PRO y del Peronismo Federal, pero sus impulsores admitieron a Notio que las posibilidades de éxito durante 2011 serán "casi nulas" debido a la "poca actividad que tendrá el Congreso" debido a la campaña electoral.

Facebook y Twitter, trámite lento

El robo de identidad en las redes sociales Twitter y Facebook es un clásico. Según los especialistas, las usurpaciones se realizan con el fin de dañar a la víctima quienes normalmente "sufren consecuencias psicológicas", indicó el abogado Daniel Monastersky, responsable del sitio "Identidad Robada".

Como ambas redes tienen su domicilio legal en el estado norteamericano de California, las víctimas argentinas deben probar haber sido afectadas mediante un formulario en las webs de Twitter o Facebook y esperar que ambas empresas definan la causa.

"Son delitos transnacionales. Se pueden resolver en 8 meses, un año, aproximadamente", señaló Monastersky.

Por otra parte, el especialista aseguró que "la gente común" desconoce los mecanismos que tiene para denunciar el robo de identidad. A su vez, apuntó que los honorarios de los abogados penalistas "no son accesibles", lo que limita las posibilidades de las víctimas de los delitos informáticos.

La difamación y la discriminación son los coletazos del robo de identidad. Son frecuentes los casos en los que se crean grupos en Facebook para hostigar a menores de edad, vulnerar su intimidad, sus preferencias sexuales y sus imágenes privadas. Según el titular de "Identidad Robada", muchas víctimas de este tipo de delitos tuvieron que dejar el país por los constantes ciber hostigamientos.

A su vez, los pedófilos se dedican al robo de identidades para contactar a sus víctimas por las redes sociales.

Sin ley, sin red

El crecimiento de los delitos informáticos fue de la mano de los avances tecnológicos, y viceversa. Pero los avances legislativos quedaron a medio camino. Las sanciones y la cobertura a las víctimas no alcanzan a la magnitud de las vulneraciones que realizan los delincuentes de cuello blanco (en inglés se los conoce como "white collar crimes"), llamados así por ser un grupo exclusivo de conocedores de herramientas web.

Así las cosas, en la Cámara de Diputados ingresaron a mediados del año pasado dos iniciativas para modificar el Código Penal y tipificar los delitos del robo de identidad y el ciber hostigamiento, conocido como "Grooming".

Según las iniciativas, se establecen penas de "entre seis meses y cuatro años de prisión" para los que busquen tener contactos con menores de edad, se concreten o no.

"No existen datos estadísticos exactos sobre la comisión de estas acciones en nuestro país. Pero las recientes noticias hacen referencia a una cantidad importante de casos en donde el uso de las redes sociales es el contacto inicial en la generación de una relación de confianza, y constituye el elemento iniciático del delito. El que luego se convierte en un medio para la concreción del encuentro y en algunos casos el abuso de los menores", advierte el texto del proyecto.

Por su parte, otra de las iniciativas establece penas de entre seis meses y tres años de prisión" a quienes se apropien de una identidad que no le pertenezca.

Según el proyecto, en Estados Unidos, los "white collar" roban una identidad cada 4 segundos. Estos delitos afectan a 10 millones de personas por año y generan un perjuicio de 50 billones de dólares. La iniciativa legislativa aporta más números: en Estados Unidos, restaurar una identidad cuesta 8 mil dólares y se invierten 600 horas para realizar los trámites administrativos necesarios.

Zulma Lobato quiere ser tu amigo en Facebook

En Argentina, si bien no existen datos oficiales, los casos de robo de identidad vienen incrementándose en los últimos 5 años. Este aumento en los incidentes tiene una relación directa con la masificación en el uso de las nuevas tecnologías.

Según un relevamiento efectuado por "Identidad Robada" que contiene datos hasta enero de 2011, la multiplicación de perfiles de famosos en Facebook se incrementa año tras año.

Las cifras son abrumadoras: el personaje mediático que más perfiles tiene en la red social es Zulma Lobato, con 546 reproducciones. Lo siguen las estrellas teens Mariana Espósito y Juan Pedro Lanzani, quienes también superan los 500 perfiles.

Algunos escalones debajo de podio principal se ubican la actriz Emilia Attias (487 perfiles), el conductor Marcelo Tinelli (403) y el actor Nicolás Cabré (316). Ocupan el estudio famosos tales como Cacho Castaña, Luisana Lopilato, Facundo Arana, Pablo Echarri, Fabio "La Mole" Moli o Matías Alé.

Fuente: Notio
www.segu-info.com.ar
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)