Cloud Computing promete una mayor flexibilidad en la planificación empresarial, junto con importantes ahorros de costes al aprovechar las economías de escala en la infraestructura de TI.
También ofrece un modelo simplificado y de capital para calcular los gastos de servicios, así como mayor agilidad para los clientes que fácilmente se pueden expandir y contraer su departamento de TI.

Sin embargo, muchos clientes de la empresa no se atreven a conocer las ofertas en la nube debido a la gobernabilidad y la seguridad. A muchos potenciales usuarios de los servicios en la nube le falta la confianza de que los proveedores protejan adecuadamente sus datos y que entreguen los mismos en forma segura.

El informe de SUN Building Customer Trust In Cloud Computing With Transparent Security hace un recorrido por los principales problemas y trabas así como las soluciones actuales.

Cristian de la Redacción de Segu-Info

www.segu-info.com.ar

Fuente: Noticias de Seguridad Informática

En esos momentos en los que uno está tratando de enfocarse en la tarea productiva, súbitamente se cruza con algo que provoca que la concentración se vaya para el lado de los tomates, en este caso consistió en un pequeño aporte en una página de WikiPedia que intentaba describir el NIC.AR, citándolo inicialmente en forma incorrecta como una corporación sin fines de lucro.

Tampoco crean que mi contribución fue mucha, bueno por el momento … sí claro aproveché para agregar el chivo con un link al site donde estoy tratando de concentrar la historieta de Internet en Argentina.

También producto de mi edición enciclopédica (más pédica que enciclo), eliminé ciertos links a sitios que aparentemente ofrecen registrar nombres de dominio de Internet en Argentina.

Hete aquí que mi curiosidad no pudo resistir la tentación de visitar uno de estos sitios:

Dominios .AR: Registro Dominio Argentina, Comprar Dominio Argentina

La cuestión es, más allá de la discusión sobre si el registro de nombres de dominio debe ser pago o no, si debe continuar o no bajo el control y administración de la Cancillería, lo cierto es que hasta el día de hoy no existe ninguna resolución o comunicado de algún tipo que haya delegado la responsabilidad de registro y administración a otra entidad pública o privada.

Hasta hoy la política de la Cancillería sigue siendo, claro que con ciertas restricciones, que el registro de nombres de dominio bajo el ccTLD .AR es libre y gratuito, por medio de NIC.AR.

Por otro lado, Argentina no ha firmado aún ningún acuerdo o carta de entendimiento con ICANN, por lo que la información sobre UDRP es pura chachara, o sea, registra con ellos y andá a reclamarle a magoya.

En pocas palabras, esta gente está CURRANDO !!
El registro de nombres de dominio bajo el ccTLD .AR es libre y gratuito.

Mientras tantos quienes tienen que velar por los intereses de los usuarios se siguen sacando los mocos y paseando por el mundo…

Contenido completo en Blog de Jorge Amodio

www.segu-info.com.ar

Fuente: Noticias de Seguridad Informática

En el día de hoy he procedido a eliminar diversas cuentas de Facebook que ya no utilizaba. Debido a lo común de la consulta, a continuación dejo el método que debe llevarse a cabo.
Para desactivar (no eliminar) una cuenta se puede realizar desde el menú Cuenta – Configuración de la cuenta. La última opción permite realizar esta acción en forma muy simple.

Esta desactivación no es definitiva y puede volver a activarse la cuenta cuando se desee, con todo el contenido que tenía al momento de la desactivación.

En cambio la eliminación “definitiva” (uso las comillas porque nada es definito en Internet), elimina el contenido de la cuenta y, luego de pasados 14 días, no puede volver a recuperarse el contenido.

Para eliminar la cuenta no encontré un acceso desde la interface de Facabook (si alguien lo ve que avise) pero es posible ingresar a este enlace (presionelo sólo si desea eliminar su cuenta). A continuación se solicita la contraseña y luego se informa que la eliminación de la cuenta se hará en los 14 días siguientes:

También se envía un correo electrónico al usuario para informar de la situación de que si no se ingresa en la cuenta en esas dos semanas, la misma se eliminará definitivamente.

Listo, tarea cumplida.

Cristian de la Redacción de Segu-Info

www.segu-info.com.ar

Fuente: Noticias de Seguridad Informática

Como informamos ayer IntelligentElite es un sitio que está utilizando a los usuarios para engañarlos y enviar mensajes directos (DM) a todos los seguidores de Twitter.

En este momento existen miles de usuarios que han sido afectados y por eso cabe preguntarse ¿qué gana esta gente haciendo esto? Dado que al parecer no se roba ningún tipo de información personal del usuario, la respuesta es sencilla: visitas a su sitio y por ende, dinero.

El sitio fue registrado en marzo de 2010 y hasta ayer la popularidad del sitio era nula pero en los últimos 7 días su ranking de visitas ha crecido la nada despreciable suma de 187% según Alexa, lo cual puede verse en este gráfico:

Como puede verse, el spam en Twitter dió sus resultados inmediatos en este mes de julio y hasta hace muy poco también era una aplicación disponible en Facebook (ya ha sido dada de baja pero puede verse en la cache de Google).

De todos modos ahora es posible conectar IntelligentElite con Facebook (de nuevo) a través de su sitio web, para que luego se envíen los mismos mensajes que en este momento se están enviado en Twitter (esta vez a través del muro):

 NO lo haga… No permita dicha conexión.

Además también se puede conectar la aplicación con los siguientes sitios: MSN, iGoogle, Faceook y Twitter

Evidentemente la popularidad de este sitio seguirá creciendo, mientras los usuarios lo sigan promocionando como algo útil y haciendo sus test de personalidad e “inteligencia”.

Cristian de la Redacción de Segu-Info

www.segu-info.com.ar

Fuente: Noticias de Seguridad Informática

Por Ben Worthen

Las ventas de bienes digitales como objetos virtuales y dinero ficticio para juegos en Internet son cada vez más populares entre los consumidores. No obstante, también lo son para los delincuentes cibernéticos.

Las compañías que vendieron productos digitales perdieron 1,9% de su ingreso total debido a fraudes en 2009, comparado con 1,1% en el caso de las empresas que venden bienes físicos en la web, según la procesadora de tarjetas de crédito para negocios en línea CyberSource Corp.

Estos porcentajes pueden parecer pequeños, pero pueden convertirse en sumas considerables a medida que redes de socialización como Facebook Inc. expanden el mercado de bienes virtuales, asociado tradicionalmente con juegos como Second Life y World of Warcraft, donde los usuarios compran artículos virtuales como oro y ropa para avatares. Las ventas mundiales de productos digitales en plataformas de juegos y redes sociales alcanzaron los US$2.200 millones en 2009 y se espera que suban a US$6.000 millones en 2013, según Piper Jaffray & Co. Los datos de CyberSource también incluyen otras compras digitales —como música y películas de la tienda iTunes de Apple— que añaden miles de millones de dólares más a la categoría.

PayPal, el sistema de pagos en Internet propiedad de eBay Inc., hizo transacciones valoradas en más de US$2.000 millones en diversos productos digitales durante 2009 y la categoría está “creciendo muy rápido”, asegura el portavoz Anuj Nayar. “Hay un nivel muy alto de actividad nefaria” en el negocio, afirma, añadiendo que PayPal está trabajando en varias medidas de prevención de fraude que espera anunciar en los próximos meses.

A primera vista, es difícil imaginarse el interés de los estafadores por artículos como espadas computarizadas para un juego de fantasía. Pero a menudo estos bienes son más fáciles de obtener que productos físicos y los delincuentes saben que hay formas de convertirlos en dinero.

“El intento de fraude es inevitable siempre que se aceptan pagos en línea”, dice Joe Sullivan, director de seguridad en Facebook. Sullivan afirma que proteger de fraude a un sitio es como una “partida de ajedrez” con delincuentes que cambian constantemente de tácticas.

Por ejemplo, Facebook presentó en 2009 una divisa virtual, llamada Credits (créditos), que sus usuarios compran en el sitio y gastan en juegos y otros servicios. Para asegurarse de que la moneda, que está en fase de prueba, no caiga presa de los delincuentes, en los últimos meses Facebook ha contratado a varios expertos en fraudes.

Una forma común de fraude consiste en comprar un artículo con una tarjeta de crédito robada y venderlo posteriormente por dinero de verdad en el sitio web de otra empresa, a menudo a un precio rebajado.

Sullivan afirma que monitorea Internet para vigilar que no surja un mercado secundario de créditos de Facebook. Por su parte, la compañía también comprueba que la dirección de Internet que usa un cliente para hacer una compra se encuentra donde vive el titular de la cuenta. Si los datos presentados parecen sospechosos, Facebook usa una novedosa técnica de identificación: muestra fotos de amigos de usuarios y pide que nombre a la persona en la imagen.

Las compras por Internet de bienes digitales y físicos están regidas por las mismas normas impuestas por las compañías de tarjetas de crédito, que estipulan que la empresa que acepta la compra —y no el titular de la tarjeta— es responsable de los cargos fraudulentos, incluso si la compra fue aprobada por la administradora de la tarjeta.

Sin embargo, los bienes digitales presentan desafíos particulares. Una compañía en línea que vende, por ejemplo, un libro o una computadora, tiene una dirección de envío para comparar con una dirección de facturación. Además, tiene horas, o en algunos casos días, para revisar el pedido manualmente si sospecha de fraude. Cerca 25% de las compras en Internet está sujeto a esta revisión, según CyberSource.

Por lo general, los vendedores de bienes digitales no cuentan con tanta información ni tiempo para tomar decisiones. Los clientes esperan que el proceso sea rápido, y las tasas de cancelación de la compra son mayores cuando éste no es el caso. Además, con un bien digital no hay dirección de envío. Otra complicación: las ventas de productos digitales son a menudo por pequeñas cantidades de dinero, generalmente de US$1 o US$2, afirma Justin Smith , fundador de la firma de estudios de mercado Inside Network Inc.

En el caso de Facebook, la divisa virtual no tiene ningún valor en el mundo real, por lo que la compañía no incurriría en multas elevadas si permite una compra fraudulenta. Pero el sitio no quiere que sus usuarios lo asocien con fraude bajo ninguna circunstancia: “una mala experiencia no sólo hará que los usuarios eviten los créditos, sino también a Facebook”, dice Sullivan.

Fuente: WSJ Americas

www.segu-info.com.ar

Fuente: Noticias de Seguridad Informática

Cisco ha publicado una nota en su blog en respuesta a la charla que se iba a dar esta semana en Black Hat sobre el hackeo de millones de routers hogareños. Hace dos semanas blogueamos sobre esa charla..

Básicamente, el presentador afirma que una técnica de reenlace de DNS puede ser usada por un atacante para infiltrarse en el router y tomar control del navegador del usuario para invadir archivos internos y aplicaciones. La técnica hace vulnerable a los routers Cisco Linksys WRT, así como también los de ActionTec, Asus, Belkin, Dell y Thompson.

Pero Cisco, en una nota de su blog esta semana, afirma que los usuarios pueden protegerse de ser atacados cambiando algunos de los valores por defecto en su router Linksys WRT:

Hemos intentado contactar al investigador para una charla, pero basados en la información existente hacer cualquiera de los siguientes pasos en su router Linksys modelo WRT le ayudará a proveer seguridad:

1. Cambiar la contraseña por defecto del router
2. Cambiar su SSID (también conocido como Nombre de Red)
3. Habilitar el cifrado WPA2
4. Actualizar al último firmware Linksys

Los modelos WRT se despachan con valores por defecto que son conocidos por cualquiera que use el mismo router, dice Cisco en el post. De modo que cambiar la contraseña y el SSID por defecto ayudará a prevenir el ataque de reenlace DNS (DNS rebinding attack)

Los Linksys E-Series y los nuevos routers hogareños Valet no son susceptibles a la vulnerabilidad de reenlace de DNS porque el software de estos modelos establece un nuevo SSID y contraseñas automáticamente durante la configuración inicial, dice Cisco.

Traducción: Raúl Batista – Segu-Info
Autor: Jim Duffy
Fuente: Networkworld

www.segu-info.com.ar

Fuente: Noticias de Seguridad Informática

La corporación implanta el protocolo de seguridad DNSSEC en los 13 servidores raíz. Desde mediados de mes se puede comprobar que las direcciones visitadas son auténticas y no han sido alteradas.

El sistema de nombres de dominios (DNS), la infraestructura técnica que gestiona la resolución de nombres y direcciones de Internet, ya es un poco más seguro. La corporación ICANN ha implantado el protocolo de seguridad DNSSEC en los 13 servidores raíz. Desde mediados de mes se puede comprobar que las direcciones visitadas son auténticas y no han sido alteradas por un ciberdelincuente.

El sistema DNS es una gran base de datos jerárquica, que convierte las direcciones alfabéticas en numéricas. Es decir traduce el nombre Elpais.com en su correspondiente dirección IP. Desde su origen el sistema ha sido inseguro porque no utiliza mecanismos de seguridad, como la autentificación e integridad, que garanticen la veracidad y fiabilidad del sistema. En 2002, gobiernos y empresas ya estaban preocupados por esta vulnerabilidad y se acordó que ICANN creara un departamento de seguridad con el objetivo de resolver el problema.

La respuesta fue DNSSEC. Mediante criptografía y firmas digitales para la identificación y validación de las respuestas de resolución de nombres, el protocolo atajaba el problema, pero era muy costoso de implantar. “El protocolo utiliza criptografía de clave pública. A nivel de DNS implica que cada dirección, o resolución de nombres, vaya firmada digitalmente. El protocolo requiere que cada dominio (o zona) tenga sus claves asociadas, que garantizan que las resoluciones de ese dominio son realmente las auténticas. El hecho de que en Internet haya millones de dominios hace que sea tan complejo de implantar globalmente. En cualquier caso es un importante primer paso para resolver ataques asociados al DNS, como los de pharming“, explica Raúl Siles, experto en seguridad informática y fundador de la empresa Taddong .

Cuando hace un año Dan Kaminsky descubrió que era muy fácil manipular el sistema, las reticencias a DNSSEC se disiparon .Un año después, el protocolo ya está disponible, al menos en los 13 servidores principales de nombres de dominio y se aleja el temido ciberataque masivo, que echaría abajo Internet al completo.

Fuente: El País

www.segu-info.com.ar

Fuente: Noticias de Seguridad Informática

Barnaby Jack, investigador de IOActive, ha conseguido atraer la atención de los asistentes a la conferencia de seguridad Black Hat al conseguir explotar brechas de seguridad en dos cajeros automáticos diferentes logrando que emitieran efectivo bajo demanda y almacenaran los datos sensibles de las tarjetas bancarias de los usuarios.

Jack demostró sus ataques sobre dos sistemas que había comprado para tal fin. Se trataba de cajeros automáticos del tipo que generalmente se encuentra en algunos bares y centros comerciales. Desde hace años, los delincuentes vienen tomando este tipo de sistemas como objetivo, utilizando rastreadores específicos para almacenar los datos de las tarjetas y números PIN de sus víctimas.

Según Jack ya los fabricantes de cajeros Triton y Tranax ya han desarrollado parches para proteger las máquinas de este tipo de ataques. Tranax, en concreto, cubrió la vulnerabilidad en sus máquinas en noviembre de 2008.

Tranax había padecido problemas de seguridad con anterioridad. En 2006, un delincuente de Virginia (Estados Unidos) utilizó un código de teclado para reprogramar una de sus máquinas haciéndola interpretar que estaba entregando billetes de 5 dólares. Después, utilizando una tarjeta de débito el ladrón sacó billetes de 20 dólares consiguiendo que el sistema sólo restara de la cuenta una cuarta parte del dinero.

Con sólo una llamada telefónica

Pero, según Jack, existe una forma aún más fácil y preocupante de conseguir el efectivo. Basta simplemente con que los delincuentes se conecten con las máquinas haciendo una llamada telefónica -dado que gran parte de ellas tienen asociadas herramientas de gestión remota que son accesibles a través de un teléfono- y lanzando después el ataque.

Experimentando con sus propias máquinas, Jack ha desarrollado una forma de evitar el sistema de autenticación remota que brinda acceso a ellas e instalar a continuación un rootkit denominado Scrooge que le permite anular el firmware. Además, ha creado una herramienta de gestión online, Dillinger, capaz de rastrear las máquinas comprometidas y almacenar los datos de las personas que las utilizan.

Fuente: CSO

www.segu-info.com.ar

Fuente: Noticias de Seguridad Informática

Hemos encontrado y reportado un error de XSS en el sitio de Mercado Libre que permitía un ataque similar al hallado y solucionado hace un tiempo. Luego de ponernos en contacto con la empresa, la misma ha solucionado el error y se ha comunicado con nosotros, agradeciendo:

Desde Segu-Info queremos destacar esta situación debido a que siempre reclamos este tipo de actitudes y cuando se dan se debe decir apropiadamente.

Para que este “circuito” funcione, se deben dar dos condiciones: la primera es encontrar personas responsables que reporten el problema en forma adecuada y la segunda es que quien recibe la denuncia, interprete correctamente el reporte, corrija el error si aplica e informe a la persona de dicha solución.

Cristian de la Redacción de Segu-Info

www.segu-info.com.ar

Fuente: Noticias de Seguridad Informática

Muchos sois los que llevais pidiendo información de que métodos son los empleados para la recolección de evidencias.

Voy a tratar de poner en dos post más o menos los pasos que sigo para que de alguna forma sea valido ante el juez, el primer post trata de la parte física y el segundo de un pequeño cuestionario que es interesante cuando no se obtiene toda la información o es parcial.

Aquí os dejo mis reglas de oro que hasta ahora son admitidas por los juzgados

EQUIPOS

• Realizar una sesión fotográfica de la sala antes de comenzar la tarea, la entrada y distintas salidas (si las hubiera) como por ejemplo ventanas. Las fotos deben de tener sobreimpresa digitalmente la fecha y hora.
• Fotografíe el ordenador de frente con los cables y por detrás, así como dispositivos conectados tal y como se encuentran. Haga más de una foto si es preciso
• No utilice el ordenador ni intente buscar pruebas.
• Si el equipo está “apagado”, no “encender”.
• Si el equipo está “encendido” y se muestran los mensajes en el monitor, realizar una fotografía de la pantalla.
• Si el equipo está “encendido” y la pantalla está en blanco, mueva el ratón o la barra de espacio (esto mostrará la imagen activa en la pantalla). Realice a continuación la fotografía.
• Desconecte la fuente de alimentación del router.
• Desconecte el cable de alimentación de la parte posterior del equipo (No hacer un apagado ordenado)
• Realice un diagrama si es una red y empiece a crear las etiquetas (ver mi etiquetadora profesional) de los dispositivos conectados.
• Desconecte todos los demás cables y los dispositivos del equipo.
• Tenga preparada bolsas etiquetadas o en su defectos paquetes para el transporte de los dispositivos
• Haga lo mismo con los dispositivos extraibles (pendrives)
• Mantenga todos los medios de comunicación, incluido el equipo, lejos de los imanes, radiotransmisores y otros elementos potencialmente dañinos.
• Recopile manuales de instrucciones, documentación y posible notas que hubiera en el lugar (es recomendable proceder a su etiquetado).
• Documentar todos los pasos implicados en la adquisición del ordenador y sus componentes.

DISPOSITIVOS MÓVILES

• Si el dispositivo está apagado “no” encender “.
• Con una PDA o teléfonos móviles, si el dispositivo está encendido, NO LO APAGUE. Si se apaga el dispositivo podría habilitar el password de inicio, por lo tanto impediría el acceso a las pruebas.
• Fotografíe el dispositivo y la pantalla (si está disponible).
• Etiquetar y recoger todos los cables (incluyendo la fuente de alimentación)
• Intentar que el dispositivo mantenga la batería en la medida de lo posible
• Etiquete el almacenamiento adicional de los dispositivos (Sticks de memoria, compact flash, etc).
• Documentar todos los pasos implicados en la adquisición del móvil y sus componentes.

Fuente: Conexión Inversa

www.segu-info.com.ar

Fuente: Noticias de Seguridad Informática