6 Noticias de Seguridad Informática en Segu-Info |  |
- Seguridad en Cloud Computing de la mano de Cloud Security Alliance (CSA)
- Timar a usuarios Facebook cuesta 25 dólares
- Google entrega 20 mil dolares a quien viole Chrome
- Facebook y la (in)seguridad
- Nos subimos a la nube
- Cambios en la ISO 20000
| Seguridad en Cloud Computing de la mano de Cloud Security Alliance (CSA) Posted: 15 Feb 2011 02:29 PM PST ABSTRACT La Cloud Security Alliance es una organización sin fines de lucro conformada para promover el uso de mejores prácticas y garantizar la seguridad en el ámbito de la computación en la nube o Cloud Computing, proporcionando elementos de educación y a su vez ayudar a proteger todas las demás formas de la informática. Desde su conformación hasta estos días, ya cuenta con un importante número de trabajos que facilitan el entendimiento de los riesgos y la gestión de la seguridad implícita en Cloud. En este artículo intentaremos acercar los principales proyectos con sus características clave para que el lector pueda optar por uno u otro como soporte a las distintas iniciativas asociadas a Cloud Computing (enfocándonos en seguridad) que lleven adelante. Iniciativas de la Cloud Security Alliance Guía de Seguridad para las Áreas Críticas en Cloud Computing Es el documento de cabecera para aquellos que quieran abarcar la mayor cantidad de aspectos de seguridad en Cloud, va por la versión 2.1 y está compuesto por 3 secciones y 13 dominios. Se encuentra en PDF y actualmente se ha puesto en producción una Wiki que será la plataforma para las versiones futuras. A continuación un extracto de los dominios y secciones: Contenido completo en SecureTech
|
| Timar a usuarios Facebook cuesta 25 dólares Posted: 15 Feb 2011 12:45 PM PST Facebook fue blanco una vez más de una campaña de aplicaciones virales. Esta vez la aplicación se llamaba Profile Creeps que como muchas otras aplicaciones maliciosas que la precedieron, promete hacer lo que Facebook simplemente no permite "dejar saber quién ve nuestro perfil". "Los chicos malos siguen tratando de aprovechar todos los recursos disponibles en la red incluyendo Facebook en un esfuerzo por ganar dinero o robar información. Con la introducción de kits de explotación y las plantillas para aplicaciones maliciosas para Facebook, como la que acabamos de descubrir, el umbral de entrada a la actividad criminal se amplía considerablemente. Estos kits son cada vez más accesibles y con ello el número de atacantes y víctimas potenciales se incrementa", señaló Patrik Runald, Gerente de Investigación de Seguridad de Websense. Esta aplicación se creó con un conjunto de herramientas predefinido denominado "Tinie app" que es una plantilla de aplicaciones virales de Facebook disponible con algunas variaciones por sólo 25 dólares o incluso menos. El comprador no tiene que tener experiencia de desarrollo con Facebook, sólo necesita seguir las instrucciones y una aplicación viral para Facebook que funcione. Este fenómeno de aplicaciones de plantillas de Facebook como Tinie app muestra cómo la cultura del spam se está consolidando cada vez más alrededor de Facebook adaptándose a la plataforma y causando el aumento de lo que llamamos spam Web. Fuente: DiarioTI
|
| Google entrega 20 mil dolares a quien viole Chrome Posted: 15 Feb 2011 10:30 AM PST Google ha decidido participar como patrocinador en el concurso anual Pwn2Own. Se trata de un evento en el que los participantes compiten por vulnerar la seguridad de distintos programas, entre ellos Chrome. El departamento de seguridad de Google ha decidido premiar con 20.000 dólares (14.671 euros) al primer participante que consiga superar las defensas de su navegador web El Pwn2Own es un concurso organizado por la empresa de seguridad informática TippingPoint. El evento se celebra desde 2008 y reúne a los hackers más importantes del mundo. Durante tres días se presentan novedades de seguridad y se pone a prueba el potencial de los asistentes retándoles a hackear distintos sistemas. El año pasado, todos los grandes navegadores web, Firefox, Internet Explorer y Safari, fueron hackeados. El único que se consiguió resistir fue Chrome. Por eso este año es el gran reto y Google ha querido aprovecharlo. Los organizadores del evento han confirmado en su blog que este año cuentan con el patrocinio de Google. La compañía se ha comprometido a patrocinar el evento donando 20.000 dólares (14.671 euros). El usuario que consiga vulnerar la seguridad del navegador de Google en primer lugar conseguirá esta importante suma de dinero. Las reglas son que debe encontrar un bug dentro de los elementos puestos a disposición en el sandbox (banco de pruebas). Dada la resistencia del sistema de Google en años precedentes y el premio, buena parte de los hackers centrarán su atención en el reto lanzado por Google. El Pwn2Own de 2011 va a tener lugar en Vancouver, Canadá. Los organizadores han confirmado que el evento se desarrollará los días 9, 10 11 de marzo. Las novedades sobre el evento se pueden seguir a través del blog de TippingPoint o el tema #Pwn2Own en Twitter. Fuente: 20 Minutos
|
| Posted: 15 Feb 2011 08:00 AM PST Facebook ha llegado a los 600 millones de usuarios y sin duda, se ha convertido en un punto de referencia en Internet. En los últimos meses, además, la seguridad en Facebook ha dado demasiados dolores de cabeza a la compañía que, muy tímidamente y a pequeños pasos, intenta mejorar la protección del portal. El problema de Facebook ha sido, históricamente, la privacidad. Un punto de encuentro tan popular donde 600 millones de personas introducen tantos datos y fotografías requiere que sus usuarios confíen en el portal al máximo y además de unos mecanismos y una infraestructura adecuados que garantice su intimidad. Y Facebook está proporcionando esta seguridad... poco a poco. Como es habitual, han aprendido a base de ensayo y error, y cada error ha sido un pequeño golpe a su imagen. Aunque sí es cierto que no ha sido el centro de enormes escándalos y que goza de una salud envidiable, sí que se ha visto obligada a ponerse manos a la obra para mejorar la seguridad global de portal. El 26 de enero anunciaban mejoras en este aspecto, curiosamente, tras sufrir una serie de problemas y ataques. Repasemos algunos hitos interesantes. El 26 de enero Alex Rice, responsable de seguridad de Facebook anunciaba dos mejoras importantes con respecto a la seguridad. * La primera es el uso de conexión segura (SSL) no solo a la hora de introducir la clave, sino durante toda la sesión. Esto es una medida que llega muy tarde, y en respuesta directa a herramientas como Firesheep. Se trata de un plugin para Firefox aparecido en octubre de 2010 que aúna varias herramientas de forma muy cómoda. Pone la tarjeta de red del sistema en modo promiscuo (a "escuchar" todo el tráfico de red local no segmentada) y extrae automáticamente los datos que le interesan (la cookie de sesión) de ciertas páginas no protegidas (entre ellas Facebook) y permite que un usuario suplante la identidad de otros que naveguen en la misma red local. Esto ya se puede hacer con un sniffer, un proxy local, envenenamiento ARP, etc... pero Firesheep demostró lo fácil que puede resultar para cualquiera robar la sesión a través de un solo click. La solución es también sencilla: cifrar toda la información. Facebook ha reaccionado permitiendo que toda la sesión se base en SSL, pero de forma opcional, lo que todavía deja en manos del usuario la decisión de que su sesión permanezca protegida o no. Es una medida necesaria pero insuficiente. Además existe Borogove, otro programa que facilita con mecanismos similares la obtención de conversaciones de chat dentro de Facebook. Aunque se supone que debería estar protegido por el cifrado, el sistema de chateo no funciona correctamente bajo el cifrado. * Autenticación Social. Esto, en resumen, es eliminar el tradicional CAPTCHA y utilizar el reconocimiento de caras de amigos para demostrar que eres un ser humano. Troyanos como koobface han demostrado que los CAPTCHA no son infalibles. Recordemos que el troyano Koobface, "secuestraba" el sistema y pedía a la víctima la resolución de varios CAPTCHA de Gmail. Así conseguía crear cuentas fantasma automáticamente para poder difundirse mejor, entre otros objetivos. Usaba a sus víctimas como esclavos o "CAPTCHA brokers". Estas dos nuevas medidas se añaden a un continuo esfuerzo en Facebook por demostrar que están comprometidos con la seguridad y la privacidad de los datos. Ya anunciaron mejoras en marzo de 2008 (introdujo la categoría "amigos de amigos"), en diciembre de 2009 (facilitó los controles para proteger la seguridad de las cuentas), etc... Facebook ha llegado a los 600 millones de usuarios y sin duda, se ha convertido en un punto de referencia en Internet. En los últimos meses, además, la seguridad en Facebook ha dado demasiados dolores de cabeza a la compañía que, muy tímidamente y a pequeños pasos, intenta mejorar la protección del portal. * El 26 de enero la página de fans del propio creador de Facebook, Mark Zuckerberg, aparece con contenido ofensivo que, evidentemente, no ha creado él mismo. Se comienza a especular con el hecho de que su cuenta ha sido comprometida (bien su contraseña, bien su sesión...) pero finalmente se aclara oficialmente. Un fallo en la API que permite actualizar el contenido de estas páginas en Facbook, permitía escribir en cualquiera de ellas sin necesidad de conocer su contraseña. No se sabe desde cuándo era conocida esta vulnerabilidad, pero fue necesario que la cuenta del propio creador del portal se modificara para sacarlo a la luz. En realidad, que el fallo esté en la API deja en mucho mejor lugar la imagen del propio Zuckerberg de lo que en un principio se rumoreaba (se supone que Mark sabe de seguridad y cómo proteger sus cuentas), y un poco peor a los programadores del portal en general. * Facebook y Twitter se están convirtiendo en plataforma preferida para difundir ataques, por encima incluso del correo tradicional. El correo basura se ha reducido un 75% en seis meses. El spam tradicional pierde efectividad porque cada vez hay mejores filtros en los servidores y clientes de correo, también porque el internauta se ha concienciado y no hace caso a los mensajes de publicidad que llegan a su buzón. Pero en realidad la basura se desplaza, no desaparece. Facebook y Twitter son el nuevo objetivo de los spammers, entornos que no se contabilizan en las estadísticas que reflejan el descenso del spam tradicional. Twitter, por ejemplo, reconoce que ha tenido picos de hasta el 11%, pero que lo ha reducido al 1%. Esto quiere decir que si mueve 300 millones de mensajes diarios, tres millones de ellos son basura. En Facebook más del 15% de los mensajes con enlaces que circulan son spam. En las redes sociales un gran porcentaje de la gente visita los enlaces (en teoría proviene de fuentes más confiables), mientras que por correo electrónico apenas consiguen ratios del 0,00001% de incautos. Así que para conseguir unos beneficios similares en las redes sociales los atacantes necesitan enviar mucha menos cantidad de mensajes. * En los últimos tiempos, se han hecho públicos ciertos "trucos" que permitían a cualquier usuario obtener información de otros sin necesidad de que éstos confíen en él. Por ejemplo, muy recientemente se ha explicado públicamente cómo, con un simple cambio en la URL se puede acceder a los álbumes de fotos privados de cualquier usuario de Facebook. Otro problema ha sido el descubierto por Rui Wang y Zhou Li, que encontraron recientemente la fórmula para que cualquier página suplantase a otra con permisos para acceder a datos personales. De esta forma también se podía publicar enlaces fraudulentos en cualquier muro. Se notificó de manera coordinada a Facebook y lo solucionaron antes de que se hiciese público (video). En resumen, estos fallos han mermado la confianza de los usuarios en Facebook, aunque aún no lo suficiente como para que abandonen la plataforma. En un reciente estudio sobre 1.200 internautas se les preguntó qué red social les parecía más peligrosa. Un 82% respondió que Facebook, un 8% que Twitter, otro 8% desconfiaba de Myspace y solo un 2% de Linkedin. En la misma encuesta realizada en 2010, solo el 60% pensaba que Facebook era tan peligrosa. Fuente: Hispasec I y II
|
| Posted: 15 Feb 2011 06:30 AM PST Por Microsoft Introducción El objetivo de esta serie de artículos es analizar como con Microsoft BRS Solutions ( Microsoft Business Ready Security Solutions) podemos proteger la información sin importar donde esté, verificando como se accede a ella y a su vez protegemos la misma manteniento los objetivos de la Seguridad de la Información (Confidencialidad-Integridad-Disponibilidad). BRS Solutions, compuesto por la familia de soluciones Forefront nos ayudará con el objetivo, pero antes de que entremos a las problemáticas puntuales, tenemos que entender algunos conceptos. La Nube Si buscamos en BING, el concepto de Cloud Computing, vamos a encontrar varias definiciones comunes. Para el caso, vamos a utilizar una definición que me agradó de NIST, ya que es la más completa de todas, que la describe de la siguiente manera : "...Cloud Computing es un modelo para permitir acceso conveniente por demanda a un conjunto compartido de recursos computacionales configurables, por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios, que pueden ser rápidamente aprovisionados y liberados con un esfuerzo mínimo de administración o de interacción con el proveedor de servicios. Este modelo de nube promueve la disponibilidad y está compuesto por cinco características esenciales, tres modelos de servicio y cuatro modelos de despliegue..." Continuar leyendo Parte I y II
|
| Posted: 15 Feb 2011 05:10 AM PST Por lo que tengo entendido, se aproximan importantes cambios en la nueva ISO 20000. La nueva versión de la norma ISO 20000, que pasará a ser ISO/IEC 20000-1:2011, ya está cerrada, y la fase de votaciones ya ha concluido, así que, salvo sorpresas, en las próximas fechas podremos ver la nueva edición del estándar. Una nueva versión del estándar que introduce, por lo que me he podido enterar, cambios destacables. El más evidente es su "crecimiento", ya que pasa de 16 a 26 páginas (aunque no tengo muy claro si en estas 26 páginas incluyen el control de cambios, en cuyo caso dicho crecimiento sería significativamente menor). Además, esta nueva versión ya indica claramente en su título que su contenido contempla los requisitos para un sistema de gestión de servicios. Pero quizás el cambio más significativo es precisamente ése, que se limita a hablar de sistema de gestión de servicios, sin incluir el apellido TI. Cambio que en principio podría ser símplemente consmético, ya que la primera parte del título es precisamente esa ("Information Technology"), pero que en realidad introduce una modificación sustancial en el ámbito del estándar, ya que su contenido pasaría a ser válido para certificar, potencialmente, el sistema de gestión de cualquier tipo de servicios. Sin conocer el texto de esta nueva versión, la interpretación que yo hago de este cambio es que podría servir para poder certificar bajo este estándar servicios que, relacionados con las TIC, antes no se consideraban certificables, por ser principalmente servicios "profesionales" (en contraposición con los servicios TI "puros", como ya he comentado en alguna otra ocasión). ¿Será una interpretación válida? ¿Tenéis alguna información más al respecto de los cambios de esta nueva versión? ¿Estáis de acuerdo con esta interpretación? Seguro que todos los lectores del blog estamos encantados de conocer otras opiniones al respecto. Fuente: Segugest
|
| You are subscribed to email updates from Noticias de Seguridad Informática To stop receiving these emails, you may unsubscribe now. | Email delivery powered by Google |
| Google Inc., 20 West Kinzie, Chicago IL USA 60610 | |
No hay comentarios:
Publicar un comentario