En las últimas horas nos han reportado varios casos de Phishing al sitio de Facebook. El correo que los usuarios están recibiendo es el siguiente:
Como puede verse se apunta a un dominio .EU que nada tiene que ver con Facebook. En el momento de escribir el presente el sitio había sido dado de baja pero no sería extraño que en los próximos días aparecieran nuevos casos por lo que vale estar prevenido.
Cristian de la Redacción de Segu-Info
Originally posted here:
Phishing a Facebook |
Un reciente experimento de phishing
llevado a cabo éticamente (Nuevo
estudio detalla la dinámica del phishing exitoso) imitando a
LinkeIn al enviar invitaciones por correo electrónico provenientes
de Bill Gates, ha conseguido un
100% de éxito en atravezar los filtros anti-spam contra los que
fue puesto a prueba.
El experimento enfatiza como las
campañas a baja escala de arpones de phishing son capaces
de traspasar los filtros anti-spam, y una vez más prueban que los
usuarios continuan interactuando
con correos electrónicos de phishing.
Más información de la metodología
usada:
“Este escenario fuen una invitación
desde Linkein, simulando ser una invitación de Bill Gates para unirse
a su red. Se eligió Linkedin por su disponibilidad, y por el hecho
de ser una red social reconocida por la mayoría de los ejecutivos.
Esta selección de Linkedin también se basó en el hecho que los
correos electrónicos de linkedin ya deberían ser identificados por
la mayoría de los sistemas de correo electrónico existentes, y esto
podría haber ayudado al envio a las casillas de correo. El enlace
del phishing puede ser identificado en el código HTML más abajo.El sitio de phishing se hizo en base a
la página de ingreso de Linkedin. La acción del formulario se
cambió para que el usuario fuera redirigido subsecuentemente a una
página en nuestro sitio. No se recolectaron nombres de usuario ni
contraseñas durante la evaluación. Todos los usuarios blanco de la
prueba fueron contactados antes que se les enviara el correo de
phishing, y estaban esperando una invitacion Linkedin de Bill Gates.”
Un estudio similar fue llevado a cabo
por el proveedor de phishing ético PhishMe.com
en marzo de este año, señalando que basado en los 32
escenarios de phishing probados contra 69.000 empleados, la gente
es menos precavida cuando hace clic en enlaces activos en los correos
que cuando les es requerida información sensible. Este
comportamiento no es sorprendente que sea citado por PhishCamp
como una posible oportunidad para introducir amenazas mixtas,
similares a los casos donde sitios de phishing
y scareware
también están sirviendo a exploits
del lado del cliente.
Con el precio promedio en baja de mil
cuentas activas de Gmail, Yahoo Mail y Hotmail debido a la economía
de escala conseguida por los proveedores de servicios de resolución
de CAPTCHA, y las numerosas herramientas disponibles a disposición
de los spammers para aprovecharse de estas cuentas, a largo plazo
todos los spammers comenzarán a abusar
de la confianza ya establecida de DomainKeys entre la mayoría
de los proveedores populares de correo gratuito.
¿Cuál es la tasa de éxito del spam y
el phishing que llega a su bandeja de entrada? ¿Qué hay de su
correo corporativo? Además, ¿cree que el phishing ético es la forma
más constructiva de crear concientización respecto de los ataques
de phishing, o cree que eso impulsa la innovación en la direccion
equivocada al intentar conseguir métricas mediante clics en lugar de
aconsejar a los usuarios de evitar interactuar con tales correos en
general?
Traducción: Raúl Batista – Segu-info
Autor: Dancho Danchev
Fuente: Blogs ZDNet
View post:
Experimento de phishing elude todo los filtros anti-spam |
A partir de mediados de noviembre, los países y territorios estarán en capacidad de aplicar para mostrar sus nombres de dominio en su idioma natal, un gran logro técnico para Internet diseñado para aumentar la accesibilidad del idioma.
El viernes, la autoridad de direcciones de Internet aprobó un Proceso de Seguimiento Rápido para aplicar un IDN (Nombre de Dominio Internacionalizado) y comenzará a aceptar aplicaciones el 16 de noviembre.
El movimiento llega cinco años después del desarrollo de pruebas técnicas y políticas, dijo el Internet Corporation for Assigned Names and Numbers (ICANN), que realizó una reunión en Seúl esta semana.
Actualmente, los nombres de dominio solo se pueden desplegar usando letras del alfabeto latino entre la a y la z, los dígitos del 0 al 9 y el guión, pero en un futuro se podrá desplegar el código del país en Dominios de Nivel Superior (ccTLDs) en su lenguaje nativo. Los ccTLDs son aquellos que tienen una designación de país de dos letras y terminan el nombre de dominio.
En realidad, los nuevos nombres de dominio serán almacenados en el DNS como una secuencia de letras y números comenzando con xn con el fin de mantener la compatibilidad con la infraestructura existente. Los caracteres que siguen a xn serán usados para codificar una secuencia de caracteres Unicode representando el nombre del país.
Una de las primeras preocupaciones con la implementación del IDNs es la seguridad y la estabilidad del Sistema de Nombres de Dominios (DNS). El sistema permite la traducción de nombres de dominio escritos con caracteres y dígitos en las direcciones IP (Protocolo de Internet), los cuales luego pueden ser requeridos por un navegador Web.
ICANN dijo que inicialmente permitiría un número “limitado” de números de IDNs, los cuales están sujetos a aprobación y pruebas de estabilidad. Aún, parece haber peros, advierte la ICANN.
“La usabilidad de los IDNs sería limitada, ya que no toda aplicación de software es capaz de trabajar con IDNs”, dijo la ICANN en una propuesta de 59 páginas con fecha del 30 de setiembre que describe el proceso de Seguimiento Rápido. “Está en manos de cada desarrollador decidir si o no desea soportar IDNs. Esto puede incluir, por ejemplo, navegadores, clientes de correo electrónico y sitios donde se suscribe a un servicio o compra un producto y que el proceso necesita ingresar una dirección de correo electrónico”.
ICANN ha establecido algunas restricciones de idioma para IDNs: deberá ser un lenguaje oficial de un territorio o país y tener estatus legal o al menos “servir como un idioma de administración”.
De acuerdo con la propuesta, ICANN cargará los registros en US$26.000 para un proceso de evaluación de ingresos, que pueden ser pagados en moneda local. ICANN también establecería una contribución anual del 3 por ciento de los ingresos de los registros, que puede bajar a un 1 por ciento para registros de grandes volúmenes. Para ambos montos, los registradores pueden solicitar una renuncia a los montos, dijo ICANN.
Por Jeremy Kirk
IDG News Service
LONDRES
Fuente: CIO
Originally posted here:
ICANN aprueba internalización de nombres de dominio |
Se realizarán eventos, acciones de concientización, concursos, cursos de capacitación, y charlas que contribuyan a informar sobre los riesgos de la Red
La Oficina Nacional de Tecnologías de la Información (ONTI) organiza por segundo año consecutivo la “Semana de la Seguridad 2009″, que bajo el lema “Internet es la plaza de todos. Cuidémosla”, tendrá lugar entre el 23 y el 30 de noviembre.
Se realizarán eventos, acciones de concientización, concursos, cursos de capacitación, charlas, conferencias, etc. que contribuyan a informar, enseñar y concientizar sobre la importancia de la seguridad de las información y sobre los riesgos asociados al uso de las tecnologías.
Estas iniciativas pueden ser abiertas al público, cerradas para una organización o individuales, en el sentido de plantearse en círculos familiares, de amigos o grupos más pequeños.
No existen requerimientos en cuanto a la modalidad, día y horario dentro de la semana del 23 al 30 de noviembre, destinatarios, lugar, financiación, difusión, etc., excepto por el requisito de gratuidad para los participantes, asumiendo cada organización o particular la responsabilidad por la definición, planificación y ejecución del evento que proponen.
A fin de lograr una identidad común de la celebración, la ONTI solicita que todo material de difusión, gráfico y/o informativo, en cualquier soporte que se elija, lleve independientemente de los logos del organizador, un enlace al sitio web de la Semana de la Seguridad Informática y que se utilicen los logos de dicho evento, disponibles en línea para descargar.
Se ha dispuesto un sitio en Internet, en la dirección https://seguridadinformatica.sgp.gob.ar/, donde se encontrará un formulario para subir el evento. La ONTI se reserva el derecho de publicarlo en la página principal y en el calendario de eventos, en la medida en que cumpla con los requisitos establecidos.
Fuente: Infobae
Original post:
El Gobierno argentino organiza una semana de la seguridad informática |
Como es ya de sobra conocido por todos los que trabajamos en el
ámbito de la seguridad de la información, la piedra angular de todo
SGSI (Sistema de Gestión de Seguridad de la Información) es la
realización del pertinente análisis de los riesgos asociados a nuestros
activos de información.
La importancia del Análisis de Riesgos deriva de que es la
herramienta que nos va a permitir identificar las amenazas a las que se
encuentran expuestos dichos activos, estimar la frecuencia de
materialización de tales amenazas y valorar el impacto que supondría en
nuestra Organización esa materialización.
En el campo del Análisis de Riesgos, en España tenemos un referente
indiscutible cuando nos planteamos la metodología a seguir. Si, ese
referente es MAGERIT: Metodología de Análisis y Gestión de Riesgos de
los Sistemas de Información. Actualmente por la versión 2.0, goza de
una excelente salud y está reconocida por ENISA (European Network and
Information Security Agency) junto a otras metodologías europeas e
internacionales. Es una metodología de carácter público elaborada por
el Consejo Superior de Administración Electrónica (CSAE), órgano del
Ministerio de Administraciones Públicas (MAP) encargado de la
preparación, elaboración, desarrollo y aplicación de la política
informática del Gobierno Español.
Si hasta ahora este reinado de MAGERIT ha sido indiscutible -con la
interesante excepción de aquellos profesionales que han decidido
elaborar sus “propias” metodologías por considerar que se adaptaban
mejor a sus organizaciones- desde hace relativamente poco tiempo
disponemos de un competidor de peso. Este nuevo actor en la escena del
Análisis de Riesgos es, como ya muchos se habrán imaginado, el estándar
internacional ISO/IEC 27005:2008, titulado Information technology –
Security techniques – Information security risk management.
ISO 27005 “derogó” las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR
13335-4:2000, y proporciona desde su publicación en Junio del pasado
año 2008, un conjunto de directrices para la correcta realización de un
Análisis de Riesgos.
Señalar, no obstante, que ISO 27005 no proporciona una metodología
concreta de Análisis de Riesgos, sino que describe a través de su
clausulado el proceso recomendado de análisis incluyendo las fases que
lo conforman:
En pocas palabras, la norma nos sirve para no tener dudas sobre los
elementos que debe incluir toda buena metodología de Análisis de
Riesgos, por lo que, visto desde este punto de vista puede constituirse
como una metodología en si misma.
Además, el estándar incluye seis Anexos (A-F) de carácter
informativo y no normativo, con orientaciones que van desde la
identificación de activos e impactos, ejemplos de vulnerabilidades y
sus amenazas asociadas, hasta distintas aproximaciones para el análisis
distinguiendo entre análisis de riesgos de alto nivel y análisis
detallado.
Pero ¿con que argumentos cuenta ISO 27005 frente a MAGERIT u otras
metodologías existentes? Pues la verdad es que existe una división
palpable en el sector, incluso a nivel europeo (en este caso,
lógicamente, comparando el estándar ISO frente a las metodologías
propias de cada país).
Por una parte, están aquellos que han acogido al nuevo estándar con
gran entusiasmo, entendiendo que supone la oficialización a nivel
internacional de los requisitos que ha de cumplir una metodología de
Análisis de Riesgos, y que por tanto aporta claridad a un ámbito que
seguramente estaba necesitándola. Esta postura es frecuente entre
quienes se dedican a la implantación de Sistemas de Gestión bajo ISO
27001 –la referencia absoluta en gestión de la seguridad–, ya que ISO
27005 ha nacido claramente para apoyar la tarea del análisis y la
gestión de riesgos en el marco de un SGSI.
En el lado contrario encontramos a quienes no terminan de ver la
aportación de este estándar para los profesionales del análisis de
riesgos, habida cuenta las numerosas metodologías existentes. Desde
estas posiciones, más puristas de la gestión de riesgos, la crítica se
centra en señalar que el nuevo estándar no se adentra realmente en la
gestión de los mismos, sino que se queda en un mero marco declarativo
de determinados riesgos, y que dicho marco se enlaza con un ciclo PDCA
(Plan, Do, Check, Act) con el fin de revisar dichos riesgos.
Los críticos con ISO 27005 añaden otro aspecto que no termina de
convencerles, y es precisamente esa subordinación –para ellos sin duda
excesiva– del estándar hacia el SGSI. Consideran que no es admisible la
declaración que se hace en la subcláusula 7.1 de la norma, que cita
como finalidades del Análisis de Riesgos, entre otras, el apoyo a un
SGSI. Esta declaración es puesta en entredicho argumentando que en
realidad la implementación de un SGSI es consecuencia de un análisis de
riesgos previo, y no al revés. No parece desenfocada en absoluto esta
última opinión, ya que precisamente el SGSI tiene como finalidad, y
valga en este caso la redundancia, gestionar la Seguridad de la
Información siempre desde el punto de partida que supone el Análisis de
Riesgos.
Al margen de controversias, que no tienen por qué ser estériles, lo
cierto es que desde hace poco más de un año los profesionales que nos
dedicamos a la Seguridad de la Información disponemos de un nuevo apoyo
para esa difícil y crucial tarea que es el Análisis y la Gestión de
Riesgos de los activos de información en las organizaciones. Tarea que,
hay que decirlo, necesita de cuantas más aportaciones, mejor.
Entre esas aportaciones cabe destacar por parte española la
publicación un mes después de que lo hiciera ISO 27005, de una –en este
caso si- metodología de Análisis de Riesgos bajo la forma de norma UNE.
Nos referimos, claro está, a la UNE 71504, de la que sin duda será
interesante hablar en otra ocasión y compararla con ese referente
indiscutible en España que es MAGERIT.
Autor: Manuel Díaz – Áudea Seguridad de la Información – www.audea.com
Fuente: DelitosInformaticos.com
See the original post here:
Análisis de Riesgos: ISO 27005 vs magerit y otras metodologías |
