Reflexiones de Hugo Scolnik sobre Seguridad Informática en un ámbito general y sin entrar en detalles técnicos.
En este video se hace un recorrido por el mundo virtual, haciendo referencia a sus similitudes con el mundo físico y a la (in)seguridad de ambos.
Cristian de la Redacción de Segu-Info
See the original post here:
Reflexiones sobre Seguridad Informática de Hugo Scolnik |
Los datos muestran que al menos el 82 porciento de los sitios web han tenido alguna falla de seguridad en el pasado, y que el 63 porciento en este mismo momento son inseguros.
La vasta mayoría de los sitios Web tienen alguna vulnerabilidad de seguridad, según la información dada a conocer el lunes pasado por WhiteHat Security, un proveedor de seguridad y auditoría especializado en seguridad de aplicaciones Web.
La ultima edición del Informe de Estadísticas de Seguridad de sitios Web de WhiteHat, el cual contiene información recogida de los clientes corporativos de WhiteHat entre el 1° de enero de 2006 y el 31 de marzo de 2009, halló que el 82 porciento de los sitios Web han tenido algún problema importante, crítico o urgente a lo largo de su historia. También dice el informe que el 63 porciento de los sitios Web tienen actualmente algún problema de seguridad elevado,crítico o urgente, lo que significa que hoy están inseguros (Vea también: Seguridad Actual de Aplicaciones Web: ¿Estamos todos locos?).
Los sitios de redes sociales son responsables por el nivel más alto de vulnerabilidades, con acerca del 82 porciento de fallas urgentes, críticas o de alta severidad. Los sitios del ámbito educativo y de TI vienen en segundo y tercer lugar con el 76 y 75 porciento respectivamente, de los que tienen vulnerabilidades según dice el informe. Los sitios de venta minorista, de seguros, farmacéuticos, de salud y de telecomunicaciones también están entre los de mayor cantidad de fallas según el informe.
“Uno de los mensajes más importantes de este informe es que no todas las vulnerabilidades son creadas igual, pero muchas son muy serias, dejando la puerta abierta para explotar información sensible y causar algunos daños serios,” dijo Jeremiah Grossman, fundador y jefe de tecnología en WhiteHat Security, en declaraciones sobre los hallazgos.
WhiteHat dice que las diez vulnerabilidades principales siguen mayormente sin cambios desde los reportes anteriores. El XSS (cross-site scripting) encabeza la lista. Fallas de lógica de negocios ocupan más de la mitad de las principales señaladas.
Autor: Joan Goodchild
Fuente: CSO Online
Traducción de Raúl Batista para Segu-Info
See more here:
WhiteHat: La mayoría de los sitios Web actualmente son vulnerables |
Raoul Chiesa avisa que las infraestructuras nacionales críticas están desprotegidas en todo el mundo.
“Hay millones de delitos informáticos que no se denuncian y de los que sí, sólo el 9% acaban en detenciones”, afirmó la investigadora Erin Kenneally en la reunión anual del Anti Phishing Working Group (APWG), celebrada la semana pasada en Barcelona. Y eso no es nada según el asesor de las Naciones Unidas Raoul Chiesa: “Por suerte, los terroristas aún no saben atacar las infraestructuras críticas, que están desprotegidas en todo el mundo”. La suplantación de identidad, mediante el robo de contraseñas o de datos bancarios, es la estrella de los fraudes en Internet que, según la empresa S21sec, se ha doblado en un año. El 62% son casos de phishing, que se están cebando en el Sistema de Nombres de Dominio: los criminales registran o secuestran direcciones y los dan a ordenadores infectados bajo su control, que actúan como señuelo para que los incautos introduzcan datos bancarios. Al cambiar velozmente el dominio de una máquina a otra, dificultan mucho su localización. Esta es una de las tretas que usa el gusano Conficker, el más mencionado en la reunión como ejemplo del auge del código malicioso, que dobla sus cifras cada año y sobrepasa en ritmo de crecimiento al phishing. Panda Security detectó 20 millones de nuevos virus en 2008. Cambian muy rápido, tanto en su forma como en los mensajes de correo donde viajan, las páginas en las que se esconden y las direcciones IP de las mismas. Se necesitan meses para descifrar su código y antes se hacía en días. “Sólo hay que ver los millones de números de tarjetas de crédito a la venta en la red para darse cuenta de que afecta a mucha gente”, afirmó Ero Carrera, de Hispasec Sistemas. Entre 30 y 40 grupos organizados que actúan como mafias dominan este mercado. La más conocida y perseguida, la ruso-ucraniana Russian Business Network, posiblemente autora de Conficker.Hasta ahora se creía que las mafias tradicionales no estaban en el cibercrimen, pero Shinichi Tankyo, representante de Hitachi, desmontó este mito al afirmar que, a finales de 2008, fueron detenidos en Japón miembros de la Yakuza por una estafa de phishing. “Les cogimos porque lo hicieron bastante mal, no estaban preparados, pero cada vez vemos más casos de crimen electrónico relacionados con la Yakuza”, afirmó Tankyo. Una de las estrellas del congreso del Anti-Phishing Working Group fue el asesor de las Naciones Unidas Raoul Chiesa, quien añadió otro factor para la preocupación general: los terroristas. “Las infraestructuras nacionales críticas están desprotegidas en todo el mundo y los gobiernos no lo entienden. El mes pasado, el jefe de ciberterrorismo norteamericano se quejaba de que no podía hacer su trabajo porque nadie le escucha”, explicó Chiesa a Ciberpaís. Según el asesor, “los terroristas aún no se han dado cuenta del potencial de dejar a una ciudad sin agua o electricidad”. Ejemplificó el peligro con acontecimientos recientes como unos paneles luminosos en las carreteras de Texas, que alguien manipuló para que emitiesen el mensaje “zombies más adelante”; el cambio del trayecto de un tranvía en Polonia, hecho por un niño de 16 años, o la infección de aparatos médicos en hospitales de San Francisco por el gusano Conficker. Chiesa aseguró: “China ataca regularmente a otros gobiernos” y le dio la razón el investigador Shishir Nagaraja, quien denunció los frecuentes ataques chinos contra la Oficina del Dalai Lama. El más crítico fue a finales del pasado año. “Secuestraron un mensaje de correo legítimo que alguien mandaba a la oficina, pusieron un virus en el adjunto y lo reenviaron a quien iba dirigido, infectando así nuestras máquinas y robando información confidencial”. Nagaraja se quejó de que los gobiernos pequeños y ONG no pueden defenderse ante estas amenazas: “El coste no es asumible, necesitamos defensas más baratas. Lo que nos proponen las empresas es inútil. Sólo nos queda entrenar bien a los administradores y poner toda la información secreta fuera de Internet. Antes, defender una red informática se basaba en proteger su perímetro frente a Internet, con la ayuda de cortafuegos, detectores de intrusos o antivirus. Hoy, los expertos coinciden en que el uso de aparatos móviles y sistemas interconectados ha hecho desaparecer el perímetro y sólo queda defender globalmente Internet. Según Dean Turner, de Symantec, la solución sería modificar el comportamiento de los internautas: “Necesitamos escritorios seguros donde los usuarios no puedan equivocarse, controlar qué tipo de información envían, limitar sus movimientos y formarlos”. En este sentido, Leonardo Amor, de Telefónica, recordó que su empresa ha bloqueado más de 250.000 ADSL por mandar spam y virus. Ero Carrera, de Hispasec Sistemas, propuso modificaciones técnicas: “No hay que confiar en nada que venga de la web y usar cajas de arena o virtualización para todo lo que entre, de forma que no pueda afectar a las aplicaciones del sistema”. Carrera recordó que “hay muy buenos ingenieros en países sin industria y el cibercrimen es la forma de ganar dinero con lo que les gusta”. Toralv Dirro, de McAfee, afirma: “Hay tanto dinero en juego que hay mil razones para pensar que seguirán. La solución sería que no fuese rentable, pero ¿cómo? Van a mucho más velocidad que nosotros, necesitamos la colaboración de gobiernos, fuerzas de la ley y fabricantes; ir todos a una”. Los representantes policiales, precisamente, pidieron un acercamiento de investigadores privados y públicos. Incluso hubo quien propuso la creación de brigadas para patrullar la web. La mayoría denunció que tanto el intercambio de información entre ellos como las fórmulas para denunciar en línea son ineficaces y deben estandarizarse. Les cortó Donna Peterson, del FBI: “No poder compartir datos entre países, es un impedimento para las investigaciones, pero es también una forma de proteger tus datos”. Fuente: El País
El pesimismo y las descripciones apocalípticas sobre la inseguridad en Internet dominaron la reunión del APWG, que congregó a expertos internacionales de la industria, las universidades y las fuerzas de la ley. Una representante del Federal Bureau of Investigation (FBI), Donna Peterson, aseguró: “Estamos desbordados, hay demasiada información por investigar y no podemos ir a más velocidad. Han robado mi propia identidad tres veces en el pasado año”.
La estrella: el robo de identidad
Extraños acontecimientos
¿Hay defensa posible?
Read more from the original source:
Los expertos en seguridad afirman que se sienten desbordados |
Aunque Conficker acaparó la mayor atención, entre todas las amenazas del correo electrónico durante el primer trimestre del año destacan los nuevos niveles de sofisticación alcanzados por las técnicas de ingeniería social, al utilizar el miedo, la emoción y los vacíos de seguridad para perpetrar ataques.
Según el estudio de Cyberoam y Commtouch, los spammers están refinando sus técnicas de ingeniería social a fin de engañar mediante el correo electrónico a los usuarios de Facebook, Myspace, y Twitter para que divulgaran información personal, atemorizándoles sobre la posibilidad de difundir imágenes suyas comprometedoras por la Red. También hicieron uso de Facebook para enviar mensajes “desesperados” de amigos supuestamente en apuros financieros. De modo que los usuarios, al pinchar sobre el enlace, eran direccionados a un site ficticio que imitaba la página de registro de Facebook pero que, en realidad, se apropiaba de sus nombres de usuarios y contraseñas sin su conocimiento.
Por otro lado, los agujeros de seguridad en Twitter, como el uso de TinyURL para sustituir las largas URL por otras cortas y así encajar en el límite de 140 caracteres que marca esta red de microblogs, puso de manifiesto que los usuarios no sabían de dónde procedía el enlace sobre el que habían pinchado.
“Los atacantes han confirmado una vez más que trabajan en los dos lados de la ecuación: juegan con las emociones de los usuarios mientras explotan los agujeros de la plataforma. Utilizados conjuntamente, se convierten en un camino efectivo para propagar el malware”, afirma Abhilash Sonwane, vicepresidente de gestión de producto de Cyberoam. “Si bien es cierto que Cyberoam ofrece protección frente a las amenazas, es clave educar al usuario en la forma de contener estas amenazas de manera efectiva”.
Un dato sorprendente del estudio y que refleja la difícil situación económica que atravesamos, es que el spam sobre préstamos ha pasado de representar el 3% del total de todo el correo basura en el último trimestre de 2008 al 28% en el primer trimestre de este año, situándose en primera posición.
El informe señala además que las amenazas crearon sitios casi perfectos y correos electrónicos en apariencia procedentes de la CNN y de la agencia recaudadora estadounidense, así como que Google Docs fue utilizado para comprometer ZDNET y que los spammers utilizaron imágenes “prestadas” de sitios legítimos como la web de CBS y Pizza Hut para enmascarar sus direcciones de correo electrónico y eludir así los filtros de spam.
Fuente: Network World y CSO
Read more from the original source:
Crece sustancialmente el correo basura relacionado con los préstamos bancarios |
Aunque Conficker acaparó la mayor atención, entre todas las amenazas del correo electrónico durante el primer trimestre del año destacan los nuevos niveles de sofisticación alcanzados por las técnicas de ingeniería social, al utilizar el miedo, la emoción y los vacíos de seguridad para perpetrar ataques.
Según el estudio de Cyberoam y Commtouch, los spammers están refinando sus técnicas de ingeniería social a fin de engañar mediante el correo electrónico a los usuarios de Facebook, Myspace, y Twitter para que divulgaran información personal, atemorizándoles sobre la posibilidad de difundir imágenes suyas comprometedoras por la Red. También hicieron uso de Facebook para enviar mensajes “desesperados” de amigos supuestamente en apuros financieros. De modo que los usuarios, al pinchar sobre el enlace, eran direccionados a un site ficticio que imitaba la página de registro de Facebook pero que, en realidad, se apropiaba de sus nombres de usuarios y contraseñas sin su conocimiento.
Por otro lado, los agujeros de seguridad en Twitter, como el uso de TinyURL para sustituir las largas URL por otras cortas y así encajar en el límite de 140 caracteres que marca esta red de microblogs, puso de manifiesto que los usuarios no sabían de dónde procedía el enlace sobre el que habían pinchado.
“Los atacantes han confirmado una vez más que trabajan en los dos lados de la ecuación: juegan con las emociones de los usuarios mientras explotan los agujeros de la plataforma. Utilizados conjuntamente, se convierten en un camino efectivo para propagar el malware”, afirma Abhilash Sonwane, vicepresidente de gestión de producto de Cyberoam. “Si bien es cierto que Cyberoam ofrece protección frente a las amenazas, es clave educar al usuario en la forma de contener estas amenazas de manera efectiva”.
Un dato sorprendente del estudio y que refleja la difícil situación económica que atravesamos, es que el spam sobre préstamos ha pasado de representar el 3% del total de todo el correo basura en el último trimestre de 2008 al 28% en el primer trimestre de este año, situándose en primera posición.
El informe señala además que las amenazas crearon sitios casi perfectos y correos electrónicos en apariencia procedentes de la CNN y de la agencia recaudadora estadounidense, así como que Google Docs fue utilizado para comprometer ZDNET y que los spammers utilizaron imágenes “prestadas” de sitios legítimos como la web de CBS y Pizza Hut para enmascarar sus direcciones de correo electrónico y eludir así los filtros de spam.
Fuente: Network World y CSO
Go here to read the rest:
Crece sustancialmente el correo basura relacionado con los préstamos bancarios |
