Me gustaría enlazar un paper en el que se pone, de una manera ordenada y por escrito, lo que muchos piensan desde hace mucho tiempo: no siempre las implementaciones del protocolo 3-D Secure para tarjetas financieras están bien hechas.

Este protocolo, utilizado en los programas Verified by Visa y MasterCard Securecode, tiene como objetivo principal reducir el fraude con medio de pago no presente. La idea es generar, para cada plástico, un código que será requerido para autenticar una transacción de comercio electrónico. Este código ha de introducirse en una ventana generalmente independiente con el objetivo de que el legítimo titular de la tarjeta demuestre que es él y no otra persona el que está ejecutando la transacción. Este protocolo, tal y como hemos comentado, surgió con la idea de proteger a los usuarios de los fraudes con medio de pago no presente, es decir, de aquellas compras realizadas por los atacantes sin estar en posesión de la tarjeta, pero en las que se utilizan datos previamente adquiridos (generalmente por skimming o troyanización de estaciones), como el titular, el PAN o número de tarjeta, la fecha de caducidad y el código de verificación.

El documento se titula Veri fied by Visa and MasterCard SecureCode: or, How Not to Design Authentication y es una crítica a cómo algunas implementaciones de estos formularios de autenticación de transacciones obvian que al usuario se le lleva años educando para, entre otras cosas, tratar de discernir si el dominio donde introduce datos casa con el dominio habitual de un negocio o empresa, o para advertir la presencia de certificados HTTPS, entre otras cosas. Por otro lado, los navegadores han empujado en este sentido bastante, introduciendo mejoras como la coloración de la barra de herramientas, el resalte del nombre de dominio, la gestión de certificados, los controles antiphishing … todo con una única finalidad: intentar que los usuarios detecten por sí mismos sitios fraudulentos o sospechosos.

Y claro, si implementas 3-D Secure y te cepillas esas medidas, flaco favor le haces a la seguridad de tus clientes y en general, al esfuerzo que durante años muchísimas personas han invertido en tratar de que las cifras de fraude, en vez de aumentar constantemente, se estabilicen o reduzcan.

Fuente: Sergio Hernando

www.segu-info.com.ar

Go here to read the rest:
Verified by Visa y MasterCard Securecode: cuando se diseñan mal los mecanismos de autenticación |

Encarcelado e incomunicado durante cinco años, Kevin Mitnick fue condenado, tras varias detenciones por parte del FBI, por su sucesiva afición a entrar en sitios donde supuestamente no debería. Desde compañías de teléfono a instituciones públicas. Su vida ha sido objeto de películas y libros, aunque hasta 2011 no saldrá la primera biografía autorizada por él. Además de dedicarse a llevar su propia consultora de seguridad, es frecuente conferenciante. En Campus Party Brasil, es algo más que un ponente, sus hazañas de jalean; se aplaude cada demostración en el estrado y hay peleas por conseguir una de sus tarjetas de visita que incluyen unas ganzúas, por si se resiste alguna puerta.

La ingeniería social consiste en una serie de técnicas para obtener información de los usuarios y poder entrar en sistemas supuestamente seguros. Basándose en premisas como que todo el mundo quiere sentirse halagado, pretende ayudar y que, en general, nos cuesta mucho decir no, Kevin Mitnick es capaz de conseguir claves para entrar en sitios, aunque con las redes sociales esto es cada vez más fácil.

“Los sitios de consumo y entretenimiento son el nuevo objetivo de los hackers. Twitter y Facebook son las nuevas fuentes para saber debilidades. Ahí la gente da información valiosa que les hace vulnerable. Hay que estar alerta con qué contamos ahí”, expone el idolatrado ponente.

Los ataques a Google, compañía que parecía invulnerable, en China han creado pánico. Mitnick da una recomendación aparementemente sencilla: “Contra los ataques, mejor código, ésa es la herramienta que tiene que usar Google”.

Microsoft publicó un parche para su navegador Internet Explorer. Preguntado qué navegador prefería, Mitnick no termina de definirse: “Todos son vulnerables. Lo importante es que se actualicen”. En su opinión: “Microsoft no es más vulnerable pero sí más apetitoso. Un ataque a un sistema que usan muchas personas tiene más relevancia”.

La polémica sobre lo que le motivó a traspasar tantas barreras sigue presente más de 30 años después. Sin rubor, ataja el tema: “Me metí porque era mi pasión, quería saber, conocer, ir más allá. En mi época, hackeábamos por diversión. Hoy es por dinero. Antes de mí, no se consideraba ni delito, no estaba tipificado. Las leyes se hicieron conmigo”. Los aplausos de los campuseros se escucharon en todo el recinto.

Fuente: El País

www.segu-info.com.ar

Read the original here:
Kevin Mitnick: "En mi época, ‘hackeábamos’ por diversión. Hoy, por dinero" |

Se ha revelado que en 2008 al menos tres empresas petroleras estadounidenses fueron víctimas de ataques dirigidos que tenían como objetivo robar datos confidenciales sobre las reservas de petróleo estadounidenses.

Las autoridades estadounidenses investigaron los casos de ciberespionaje que afectaron a las empresas ExxonMobil, Marathon Oil y ConocoPhillips y alertaron a las víctimas sobre la gravedad del problema.

Los atacantes enviaron correos electrónicos personalizados a los ejecutivos de los niveles más altos de las empresas afectadas. Los correos contenían enlaces maliciosos que descargaban programas espías nuevos y muy sofisticados a los ordenadores de los ejecutivos.

“Uno no se puede deshacer de este atacante con facilidad. No funciona como un virus normal. Nunca habíamos visto nada tan inteligente ni tenaz”, dijo una fuente a The Christian Science Monitor, que realizó una investigación de los casos y publicó sus descubrimientos esta semana.

Los atacantes tenían como propósito establecido recolectar datos confidenciales, incluyendo la ubicación, valor y cantidad de petróleo de las reservas conocidas. Además, los espías interceptaban los correos electrónicos y las contraseñas de las cuentas de correo de los ejecutivos con acceso a información sobre la exploración y descubrimiento de pozos petroleros.

Esta información es muy valiosa para cualquier gobierno e individuo y, tras rastrear algunos datos, se descubrió que fueron a dar a ordenadores fuera de los Estados Unidos, incluyendo uno en China, lo que una vez más pone al país asiático en el ojo del huracán. Por supuesto, esto no excluye la posibilidad de que alguna otra persona le haya encargado el trabajo sucio a un pirata chino.

“Conocemos personas en la industria petrolera que están muy preocupadas porque invirtieron cientos de millones de dólares para descubrir la ubicación de la próxima reserva de petróleo que se pueda explotar. El atacante está ahorrando inmensas cantidades de dinero al robar estos datos”, explicó un portavoz de una empresa de seguridad informática que ayudó a una empresa petrolera anónima a deshacerse de espías informáticos.

Fuente: Viruslist.com

www.segu-info.com.ar

See more here:
Piratas atacan empresas petroleras en busca de información sobre las reservas de petróleo |

Por Llou winxirfurfista
Siempre quedan diez justos en Sodoma, en este caso en el mundo político patrio. Más en concreto en el tema de actualidad: descargas, bloqueo de páginas, etc…
Muy curioso el artículo de Rodríguez Ibarra, claro que él no es político hoy en dia, es profesor universitario. Pero me creo que "el bellotari", como algunos lo llamaron, fuera capaz de eso y más, máxime teniendo los antecedentes en defensa del software libre que tiene.

Leer Más…

Here is the original post:
Siempre queda algún justo en Sodoma |

La ISMS Forum Spain ha publicado un informe ejecutivo de su Guía para la Seguridad en áreas críticas en Cloud Computing de Cloud Security Alliance (CSA).

La Asociación ha prometido ampliar los temas tratados en la primera versión de la Guía (que se publicó en abril de 2009) porque los temas son lo suficientemente profundos y su divulgación es necesaria en un campo tan novedoso como el cloud computing -computación en la nube-.

Contenidos:

1. . Arquitectura de Cloud Computing.
2. . Gestión de Riesgos.
3. . Marco legal.
4. . Auditorías.
5. . Gestión ciclo de vida dela información.
6. . Portabilidad e interoperatividad.
7. . Recuperación de catastrofes.
8. . Operaciones del centro de datos.
9. . Incidencias y notificaciones.
10. . Seguridad en las aplicaciones.
11. . Cifrado y gestión de claves.
12. . Gestión de aceeso.
13. . Virtualización.

Descarga de guia (PDF, 53 pag.)

Fuente: Cryptex

www.segu-info.com.ar

See the original post here:
Guía para la Seguridad en áreas críticas en Cloud Computing (ISMS Forum Spain) |