La Internet Industry Association australiana ha propuesto un nuevo código de conducta que solicita a los proveedores de acceso que tomen acción sobre aquellos usuarios cuyos PC sean identificados como infectados y difusores de malware, pudiendo llegar incluso a la desconexión del servicio (vía Slashdot).

La asociación sugiere una aproximación al tema en cuatro pasos: identificación de los usuarios afectados, contacto con los mismos, provisión de información y consejo para la solución del problema, y reporte de las amenazas importantes.En los casos en que los avisos no fuesen atendidos y la amenaza persistiese, el proveedor de servicio podría llegar a desconectar al usuario de la red.
Los proveedores de acceso han reaccionado con precaución: por un lado, reconocen la necesidad de controlar a los usuarios que ponen en peligro a otros de una manera parecida a como se hace en las carreteras, pero por otro, exigen alternativas para convertir este servicio en algo que no suponga un coste por usuario o sea susceptible incluso de generar un beneficio.

La propuesta plantea importantes dudas: por un lado, aunque es posible identificar un ordenador infectado estudiando sus patrones de uso de la red o su interacción con otros componentes de la misma, el control supone, en cierta medida, una pérdida de privacidad de los usuarios. Por otro, incide en un tema importante: un usuario debe tener un cierto nivel de responsabilidad no solo de su propia seguridad, sino también de la inseguridad que introduce sobre el conjunto del sistema, y trata de repartir dicha responsabilidad entre usuarios y proveedores de servicio. Sin duda, un tema que va a generar reacciones.

Otra opinión al respecto en un Mundo Binario.

Fuente: Enrique Dans

www.segu-info.com.ar

Go here to read the rest:
¿PC infectado? Fuera de la red en Australia |

Los creadores Backtrack, han liberado totalmente gratis un manual de metasploit framework.

La guía cubre desde los aspectos mas básicos que debes tener en cuenta a la hora de ejecutar Metasploit, como los requerimientos de tu maquina, pasando por su instalación, hasta tocar temas como la interacción con la herramienta, como programar sobre ella y como ejecutar tu propio exploit programado con este framework.

Para acceder a este curso de Metasploit Framework, solo es necesario contar con un navegador, internet y leer un poco de ingles técnico.

Fuente: elcodigoK

www.segu-info.com.ar

Continued here:
Curso de Metasploit online gratuito |

Una de las cosas que mas profundamente me molesta es leer o escuchar a gente criticar cosas de las que en realidad sabe poco, y cuya única fuente de información son documentos de corte sensacionalista que únicamente contienen titulares al estilo ‘El Pasaporte electrónico es inseguro’ o ‘RFID es una tecnología insegura’

Como ejercicio didáctico propongo que cualquiera que escuche un comentario así, acto seguido pregunte: ‘¿Cuando hablas de RFID, podrías decirme a que frecuencias te refieres?’ y ‘¿Perdona, me podrías indicar al menos 3 protocolos RFID que conozcas?’ Si el interlocutor duda en las respuestas, estamos ante otro caso de ‘yo es que leí en nosedonde que …’

Conste que yo no estoy defendiendo nada, de hecho me he propuesto escribir este post basado en certezas y pruebas sobre MI pasaporte, las conclusiones las dejo para cada cual.

Para realizar este pequeño estudio utilicé un lector RFID de la marca Omnikey Cardman y me valí de las estupendas librerías / herramientas de RFIDIOT, que, por cierto, es una pena que el autor haya elegido tan desafortunado nombre ya que son, en mi opinión, las librerías mas completas, mas fiables y útiles para trabajar con RFID y creo que el nombre puede dar lugar a equívocos.

Voy a obviar en este post los datos mas academicistas sobre las implementaciones ICAO del pasaporte electrónico, ¿por que? básicamente porque pretendo que resulte ameno y creo que el artículo de la Wikipedia es lo suficientemente avanzado para el que quiera meterse en nomenclaturas e ir a la parte low-level.

Contenido completo en Security by Default

www.segu-info.com.ar

Go here to read the rest:
E-Pasaporte (mitos y leyendas) |

Hemos tenido acceso al detalle de algunos ataques por correo electrónico que sucedieron ayer, en el que se adjunta un archivo con un Troyano.

Estos correos son enviados masivamente, cientos en el término de pocas horas. Con el objeto de intentar eludir filtros antispam la direccion del remitente es la misma o del mismo dominio que la del destinatario.

El correo (en inglés), con el pretexto de una supuesta compra de una
computadora, dice incluir documentación del envio adjunta. Pero el
adjunto, un archivo de nombre open.zip, es un troyano identificado como Trojan.Fakeavalert el cual muestra falsos alertas de virus y cambia la configuraciones de seguridad del equipo infectado. Entre los cambios que realiza este troyano, impide acceder a sitios de fabricantes de antivirus y otros proveedores de seguridad.

Como se puede observar, en las últimas dos semanas ha aumentado la tendencia de mensajes de correo con malware adjunto.

Recordamos tener la precaución de no abrir adjuntos ni enlaces de correos cuando no se los espera y menos cuando son de alguien desconocido.

Raúl de la Redacción de Segu-info en base a información propia.

www.segu-info.com.ar

See the original post here:
Ataques masivos de malware por correo electrónico |

Hace unos días, en #twestivalba (http://buenosaires.twestival.com)
conversabamos con algunos amigos, a partir de los controles que algunas
empresas aplican sobre el acceso a internet, redes sociales y
mensajeros instantáneos, sobre básicamente 2 temas.

La
posibilidad que el acceso/uso a Twiitter, Facebook y otras redes
sociales. El uso de MSN, Gtalk y otros mensajeros. Implique un riesgo
elevado para las empresas.

El habito en aumento de las
consultoras de RRHH y departamentos de RRHH de Googlear a los
postulantes – candidatos a cubrir una posición abierta.

Sobre 1) Solo nos concentramos en si, el uso de
esas herramientas implica un riesgo muy elevado para las empresas y si
fuera así, cuales son las posibles respuestas-soluciones-acciones que
podrían evaluarse. No hablábamos sobre si el uso o acceso a esas
herramientas/comunidades reduce o aumenta el nivel de productividad.

En mi opinión, como especialista en seguridad, la primera conclusión es
que SI pero es al mismo tiempo muy dependiente del tipo de empresa, el
tipo de usuario y la función que dicho usuario cumpla en la empresa.
Cualquier actividad que pueda ser:

1.a) vector de propagación de virus u otros malwares,
1.b) Repositorio de información potencialmente utilizada para ingeniería Social.

Deben ser contempladas – concientizadas – supervisadas – Auditadas/controladas.

Obviamente hay todo un abanico de opciones entre contemplar y controlar, de hecho
la palabra control, sobre todo cuando se aplica a la web 2.0, al
contenido de la web 2.0 (accedido o generado) es uno de los “asuntos”
mas calientes y mas difícil de tratar, en cualquier ambiente.

1.a)
Pero volviendo a la idea del riesgo en si mismo relacionado con virus y
otros malwares, debo reconocer que es solo otro vector de propagación
junto con la navegación pura (sin filtros), La instalación de
aplicaciones no homologadas (con privilegio de administrador), el uso
de pendrives (con vaya a saber que cosa dentro) y el correo electrónico
(con hábitos de uso poco cuidadoso).

Las acciones necesarias y posibles, comienzas por implementar herramientas de seguridad en perímetro y en los puestos de trabajo + campaña de concientización
sobre el uso correcto/seguro del pc que cada usuario tiene delante.

1.b)
Otro tema muy diferente tiene que ver con la información que una
persona podría o decide subir a sus redes sociales, sean estas abiertas
o cerradas.

En términos humanos, no tengo dudas de que se tienen
los mismos derechos y necesidades sin importar si sos: Responsable de
una mesa de dinero en un banco, Cirujano cardiovascular, Inspector de
transito, Estudiante universitario (de cualquier carrera…), Docente,
Comerciante, Modelo, Actor, Ama de casa, Legislador, Gerente comercial,
etc, etc, etc.. PERO, en términos laborales-profesionales, me guste o
no, vivimos en una sociedad basada en imágenes (Reales, Imaginarias,
Físicas, Virtuales) que se asocian indiscutiblemente con la Autoridad,
la expectativa y sobre todo con la posición de Negociación, en
consecuencia ciertos derechos se ven disminuidos en cuanto podrían
afectar responsabilidades asumidas voluntariamente.

Aquí, si, es normal encontrar una diferencia de trato (en ambos sentidos)
dependiendo de la actividad profesional-laboral que se realiza. Es
posible que muchos quisiéramos que no sea así, pero somos seres humanos
y casi que no se puede evitar. Es como si el uniforme transformara a
las personas.
Podríamos decir que si todas las decisiones se
basaran en criterios claramente definidos y con total cobertura de
posibilidades, entonces no habría posibilidad de error, lo que
inmediatamente eliminaría la necesidad de contar con muchas de esas
personas…. NO, no me imagino como eso podría funcionar, de hecho no
estoy muy seguro de que evolucione en ese sentido….. Entonces,
necesariamente se requiere del factor humano para tomar muchas
decisiones.. y el Humano, es fácilmente influenciable.

Para influenciar a una persona hay que conocerla, descubrir que lo hace
vibrar, que necesita, a que aspira, que cosas le gustan, que lo enoja…
y luego, sacar provecho de eso. SI, ESTAMOS HABLANDO DE INGENIERIA
SOCIAL y se hace desde siempre, en todos los ámbitos, es condición
humana y no tiene nada que ver con la tecnología…(Mi hija lo hace por
lo menos una vez por semana conmigo y bastante bien le va).

Ahora, las nuevas tecnologías de la información y de las comunicaciones (web
2.0) se nos abre como un escenario nuevo, sin limites, flexible, rico,
seductor.. Mágico y Yo me pregunto: ¿Fuimos, Somos, educados para este
nivel potencial exposición?. ¿Tenemos la capacidad para defendernos de
un posible ataque de ingeniería social, que utilizara la misma
información que nosotros publicamos libremente en nuestra contra?.
Entonces volvemos a la pregunta habitual y algo de psicología de la seguridad.
¿Soy Target, objetivo potencial de un ataque?¿tengo, soy algo valioso
para un atacante, delincuente? ¿Cuantos de nuestros controles de
seguridad se sostienen sobre la hipótesis de “seguridad por oscuridad”
que tiende a desaparecer cuando aumenta la exposición en las redes
sociales?

Si la respuesta es … puede ser, entonces es posible que
deba reflexionar, un extra, por voluntad propia, cada vez que decida
hacer publica cierto tipo de información, mostrar cierto tipo de fotos,
opinar sobre cierto tipo de asuntos.

… y con la misma lógica,
por que no pensar que una organización (o empresa) que decide proteger
sus activos (físicos o virtuales), quiera solicitádselo directamente?

Claro que no alcanzara con que se lo solicite y definitivamente de nada
servirá que se lo prohíba (basta con tener un celular de ultima
generación para saltarse todas las “fronteras” de la empresa. entiendo
que además, esta misma organización deberá preocuparse de
concientizarlo, capacitarlo y eventualmente controlarlo porque
lamentablemente a algunos les aplica el mote de “hijos del rigor”.

Si por otro lado respuesta es NO, aun queda preguntarse por el dia de
mañana y lo invito a que se proyecte, porque tal vez hoy no, pero el
dia de mañana, pretenda ser o estar en alguna posición que
definitivamente lo convierta en objetivo, aunque tal vez para entonces,
ya estemos entrenados para no ser vulnerables a ese tipo de ataques.

Como resumen de este punto: Me preocupa mucho mas el potencial ataque via
ingeniería social, que un eventual virus que se filtre en un pendrive.
No fuimos, no somos educados para enfrentar ataques de ingeniería
social y peor, estamos siendo alentados a ventilar información que
permite a casi-cualquiera crear un perfil sobre nosotros,, que nos
guste o no podría ser utilizado en día de mañana en nuestro propio
perjuicio.

Ayer hablábamos sobre que el mismo riesgo ocurre
cuando se asiste a una fiesta y uno conoce una mujer hermosa,
entretenida, interesada por uno… Que al enterarse de que trabajamos en
tal o cual lugar, nos pide un favor… SI, ES CIERTO, Pero la
probabilidad de que eso ocurra aumenta, cuando todo el mundo podría
saber quien es la persona detrás de “Tal o cual trabajo” y alguien
decide contratar a una hermosa mujer y la manda a buscarte en la fiesta
a la que TODO el mundo podría saber que vas a asistir … Decime, ¿¿te
gustan rubias o morochas?? ¿acaso estas técnicas no las usaban los
Romanos en sus tiempos de gloria?

Sobre 2) las reflexiones del punto 1, tienen otra dimensión, otro frente diagnostico y análisis: Todavía no trabajo en esa empresa, pero me estoy postulando para trabajar allí.

Supongamos que soy el CEO de una compañía y necesito contratar un gerente de compras, contrato una consultora de RRHH y me presenta 3 candidatos.

Supongamos que decido investigar sobre ellos, no solo analizando su CV sino que además utilizando las herramientas disponibles en internet.

Sera posible que lo que encuentre en la web, sobre estas personas forme una imagen que luego interfiera (positiva o negativamente) en cualquier entrevista?

¿Acaso esa no es una de las formas como nos movemos normalmente por la vida, confianza transitiva?
¿Leer
sobre lo que una persona piensa, ver sus fotos, seguir sus discusiones,
conocer sus gustos… lo que esta debajo del uniforme, no dejaría
sospechar el como reaccionara ese factor humano para tomar cierto tipo
de decisiones?

¿Las empresas contratan solo en base al CV (primer
filtro) o necesitan además esas reuniones para ver cuestiones de piel?
y esas cuestiones de piel no son influenciadas por prejuicios
(positivos o negativos) que podrían alimentarse en base a toda la
información publicada (hecha publica) en internet?

Puede no ser
legal. Pero los departamentos de RRHH y las consultoras de RRHH,
googlean. ( Y Mucho), uno de los motivos esta relacionado con cumplir
niveles de servicios, validar que los postulantes que serán presentados
para su evaluación, han pasado los filtros de calidad (?) requeridos
por el cliente / Área del negocio que lo necesita.

Otro de los
motivos es que quienes contratan son personas que buscan a otras
personas que van incorporarse a equipos que en la mayoría de los casos,
ya se encuentran operando, asi que hay cuestiones que no se bajan a
papel, pero que igual son validadas.

Así:

Yo soy de la
idea de que una persona es persona durante todo el día. y que puede
ponerse un trabjo/profesion y ejecutarlo durante una parte de ese día,
pero debajo sigue estando la misma persona, que de alguna manera
influye inconscientemente en cada una de las decisiones que va a ser
tomadas…..

¿Como explicárselo a un adolescente?

Si tengo
presencia web, es posible que me encuentren y me analicen .. y es
posible que les guste lo que vean, porque si no tengo nada de que
avergonzarme y la propia actividad web demuestra una coherencia a
través del tiempo (es difícil escribir mucho sin que se termine
filtrando algo de la esencia de quien escribe), algo que puedo mostrar
con orgullo a mis hijos, a mis padres. Si es algo que podría hacer en
el mundo Físico, pero decido hacerlo en el mundo virtual, entonces
preferiría que lo hagan, que me encuentre y que me elija. así como soy.

¿Estaremos llegando al punto?

¿Sera
que el problema es imaginar que lo que hago en el mundo virtual (o lo
que hago de mi vida privada) solo me afecta a mi y en absoluto a mis
pares, familia, amigos, colegas, clientes?.

Porque no se trata
solo de lo que publico o no publico, se trata de si soy coherente
durante todo el día o creo que soy una persona de 9 a 18 y otra de 18 a
9.

En definitiva y como deje ver un poco mas arriba, el modelo de
seguridad por oscuridad se esta muriendo, y a menos que decida volverse
hippie y desconectarse de todo, (ya he escuchado algunas personas
pensándolo seriamente) creo que deberá aprender a vivir con una
presencia cada vez mas publica y un contexto propenso a interesarse en
sus cosas, juicio incluido.

Cierro con la siguiente idea

Estamos
en un momento de transición hacia un “No estoy muy seguro” pero no es
lo mismo tener 34, que tener 19 o 55 años, vemos las cosas de forma
diferente, nos golpean, nos afectan de forma diferente… No promuevo la
desconexión ni la paranoia, solo invito a la reflexión sobre el
volverse consciente de hechos que están ocurriendo, después, si es
decisión propia y a conciencia, adelante, bienvenido. Yo ya tome mi
decisión.

Fuente: CXO Community

www.segu-info.com.ar

Here is the original:
Departamentos de RHHH que Googlean candidatos |