admin

Categorías

Coobis

Seguridad

Internet Explorer fue usado en ataque desde China (RPC)

Un agujero en la seguridad del navegador Internet Explorer de Microsoft fue utilizado para atacar a Google y otras 34 compañías tecnológicas más, entre las que se encuentran Adobe, a lo largo del mes de diciembre pasado. Mike Reavey, responsable de seguridad de la multinacional estadounidense ha reconocido que “Internet Explorer ha sido uno de los vectores utilizados para llevar a cabo los sofisticados ataques. Microsoft sigue trabajando con Google, otras empresas del sector y las autoridades para aclarar este asunto”. Como el mismo Reavey aconseja, los internautas deberían actualicen sus navegadores a la última versión disponible para mejorar su seguridad, ya que el bug que ha permitido este ataque solo está presente en la vieja versión 6 del navegador.

Reavey también explico que el navegador de su empresa “fue una de las vías utilizadas en los sofisticados ataques contra Google y otras redes de empresas”. Google fue la primera empresa importante en anunciar -el martes pasado- que a mediados de diciembre había detectado un ataque a su infraestructura corporativa procedente de China y que había sido víctima del robo de propiedad intelectual. Desde Mcafee se ha explicado que los ataques se han generado después de que algunos empleados de las empresas perjudicadas fuesen engañados e inducidos a pinchar sobre un enlace que llevaba a una página web especial, desde la que se descargaba de forma secreta un software malicioso al que la empresa califica como “sofisticado”. Los hackers han bautizado a esta campaña como “Operación Aurora”. Dmitri Alperovitch, vicepresidente de investigación de McAfee, se ha mostrado sorprendido por las características de Operación Aurora. “Nunca habíamos habíamos visto un ataque de tanta sofisticación contra  una empresa, solo se habían detectado a nivel gubernamental”, declaró.

Horas más tarde, conocidas las declaraciones de Mcafee, los voceros de Microsoft confirmaron el fallo de Internet Explorer 6 y enviaron un aviso a los usuarios con el fin de limitar el problema. Además, se supo que la empresa trabaja en el desarrollo de un “parche” que elimine la vulnerabilidad. Según Microsof, utilizar el Internet Explorer en “modo protegido”, con los ajustes de seguridad al máximo limita el impacto de la vulnerabilidad. “Es desafortunado que nuestro producto se esté utilizando para actividades criminales. Continuaremos trabajando con Google, líderes de la industria y las autoridades apropiadas para investigar la situación”, agregó Reavey. Se sabe que el software descargado sin el conocimiento de los usuarios les permitía a los hackers tomar el control de los ordenadores utilizados.

Noticia completa en:  Neoteo

____________________

Enlaces de interés:

El Consejo de Ministros aprueba los Esquemas Nacionales de Interoperabilidad y Seguridad

En el Consejo de Ministros del pasado día 8 de enero, se aprobaron (!por fin!) los dos Reales Decretos que regulan los Esquemas Nacionales de Interoperabilidad y de Seguridad, que se constituyen dos herramientas esenciales para el desarrollo de una e-Administración segura y eficaz.

Ambos Reales Decretos constituyen el segundo desarrollo de la Ley 11/2007, de acceso electrónico de los ciudadanos a los Servicios Públicos de 2007, tras la aprobación del Real Decreto 1671/2009.

Estos Esquemas establecen los requisitos mínimos que cada Administración deberá aplicar para poder ofrecer al ciudadano un servicio unificado. Es decir, un ciudadano podrá realizar su gestión sin necesidad de conocer la administración competente.

A continuación un resumen de las características de cada uno de estos Esquemas:

Esquema Nacional de Interoperabilidad:

  • Es el conjunto de criterios y recomendaciones tecnológicas en materia de conservación y normalización de la información, así como de los formatos y aplicaciones que deben tener en cuenta las Administraciones Públicas cuando tomen decisiones que afecten a la interoperabilidad de los sistemas.
  • Establece las condiciones necesarias para asegurar un adecuado nivel de interacción tecnológica entre administraciones.
  • Aborda algunas cuestiones esenciales para el avance de la Administración Electrónica como las dimensiones de la interoperabilidad, las comunicaciones interadministrativas, la reutilización y transferencia de la tecnología, la interoperabilidad en la política de firma electrónica, la recuperación y conservación del documento electrónico y la propia actualización permanente del Esquema.

Esquema Nacional de Seguridad:

  • Fija la política de seguridad en la utilización de medios electrónicos. Supone los principios básicos y requisitos mínimos que permiten una protección adecuada de la información a través de medidas para garantizar la seguridad de los sistemas, de los datos, de las comunicaciones y de los servicios electrónicos.
  • Concede especial atención a la protección de la información que se maneja y de los servicios que se prestan, de forma proporcionada a través de la categorización de los sistemas de información, y a la seguridad de las comunicaciones electrónicas y a la necesidad de efectuar auditorías de seguridad periódicas al menos cada dos años.
  • Define la metodología para afrontar la respuesta a incidentes que afecten a la seguridad, y el importante papel que juega el Centro Criptológico Nacional, tanto como redactor de Guías de seguridad para la Administración, como protagonista principal en la articulación de respuesta ante incidentes que afecten a la seguridad.

Enlace:

Fuente:  XperimentoS

Blog bajo licencia Creative Commons Attribution 3.0 License
Creative Commons License

Aportar contraseñas en un juicio es ilegal

El artículo 11.3 del derogado Real Decreto 994/1999 establecía:

“Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible.”

En idéntico sentido informa el vigente Real Decreto 1720/2007 en su artículo 93.4:

“El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.”

¿Qué significa “ininteligible”?, pues según el Diccionario de la Real Academia: “No inteligible”, así que con el concepto aclarado podemos continuar.

En el caso de hoy tenemos a  Fleurop Interflora España (Interflora), que ante la presunta estafa llevada a cabo por un cliente al pagar uno de sus productos vía web con una tarjeta de crédito de la que no era titular, presentó denuncia ante el Juzgado correspondiente.
Entre la documentación presentada al órgano jurisdiccional aportó una hoja en la que, entre otros datos, se indicaba el nombre de usuario y la contraseña de acceso utilizados por el presunto estafador en la web de clientes de Interflora.

Este hecho lo puso en conocimiento de la Agencia Española de Protección de Datos mediante la correspondiente denuncia.

Interflora declaró a la AEPD en un primer momento que las contraseñas en efecto se almacenan de forma ininteligible (no inteligible) pero que el Administrador de la web, mediante unas herramientas, puede descifrarlas para que, en casos como este, se pueda acompañar la contraseña en la denuncia.

Sin embargo, luego afirmó que las contraseñas se almacenan generando un hash con el criptosistema SHA-1 y luego aplicando una codificación Base64, y que no es posible descifrarlas, sino que la clave que introduce el cliente en la autentificación se encripta y se compara con la que hay almacenada. Declaraciones contradictorias.

Se consigue probar que las contraseñas estaban en texto claro en la base de datos de Interflora, y la Agencia advierte que “no es que se aporte en abierto (la contraseña) para que el Juzgado pueda visualizarla, que también es sancionable, sino que previamente se hallaba visible“.

Ninguna de las alegaciones de Interflora prosperan y finalmente, aunque la infracción constituye una sanción mínima de 60.000 euros, la Agencia se lo deja en 1.000 euros.

Este caso también ha puesto de manifiesto las diferencias entre lo que se indica en el Documento de Seguridad de la empresa y lo que ocurre realmente. Según el Documento de Seguridad de Interflora, respecto a las contraseñas de afirma que “en el caso de aplicaciones de gestión definidas en el presente documento de seguridad, el cifrado de contraseñas será realizado por el sistema gestor de bases de datos o por la propia aplicación”, lo cual no era cierto. Así como tampoco los Avisos Legales que afirman algo parecido en su página web.

La Resolución sancionadora es de fecha 4 de junio de 2009. Descargar.

Fuente:  Samuel Parra

__________________

Enlaces relcionados:

Nuevas amenazas a la seguridad en la Web 2.0

Actualidad informática. Protección datos

Nuevos servicios del Centro de Alerta Temprana sobre Virus y Seguridad Informática

El Centro de Alerta Temprana sobre Virus y Seguridad Informática ha estrenado dos nuevos servicios para ayudar a empresas y ciudadanos en el uso seguro de las nuevas tecnoloías e internet.

Se trata de un servicio de boletín y unos foros. Con ellos se pretende que el usuario vaya aumentando sus conocimientos y su cultura respecto a los virus y la seguridad informática. En ellos los usuarios podrán solucionar sus consultas y dudas respecto a estas materias.

Los nuevos servicios son los siguientes:

Boletín de Alertas y Avisos de seguridad: nos avisa sobre los virus más activos en internet. Existen dos tipos de avisos en función del tipo de usuario. Uno para usuarios comunes y otro para usuarios avanzados o expertos en la materia. El primero va dirigido a los usuarios cotidianos que desarrollan actividades en la red, el segundo a expertos desarrolladores de software o páginas web.

Boletín de Actualidad: con una periodicidad diaria nos informa de todas las noticias referentes a la seguridad informática, virus, noticias de seguridad para empresas, etc.

Boletín de Vulnerabilidades: nos informa de las vulnerabilidades que se hayan descubierto en los sistemas operativos. También ofrecerá los parches necesarios para subsanarlos. Esá¡ más enfocado a usuarios más avanzados.

Y porúºltimo un foro de seguridad: se trata de un foro centrado en la temática de la seguridad informática donde podremos compartir con otros usuarios nuestras dudas y problemas que tengamos.

Fuente:  Seguridad Info

Bajo licencia Creative Commons

___________________

Enlaces relacionados:

–  Apuntes Informática Aplicada a la Gestión Pública

–  Nuevas amenazas a la seguridad en la Web 2.0

–  Hoax. Los mitos más difundidos en Internet

ZTIC, la propuesta de IBM para realizar transacciones en línea seguras

IBM es una de las empresas informáticas más antiguas e importantes de todo el mundo, así que es normal que apueste firmemente por la investigación y el desarrollo de nuevos productos. Sólo el año pasado, dedicó más de 4.000 millones de Euros a su departamento de I+D, llegando a realizar 3.125 patentes nuevas. Al parecer, en Estados Unidos no hay nadie que registre más patentes que IBM.

Actualmente, cuenta con más de 25.000 investigadores en laboratorios diseminados por varios países. Uno de ellos está ubicado en Zurich, un centro financiero de gran importancia, quizás debido a ello su última invención tiene que ver precisamente con las finanzas.

ZTIC

Foto: IBM

Este nuevo invento de IBM, denominado ZTIC, es un sistema de seguridad pensado para proteger las transacciones bancarias online. Las siglas ZTIC significan Zone Trusted Information Channel (Canal de Información a Zona Segura en castellano), y se afirma que el dispositivo aporta una seguridad máxima frente a cualquier tipo de ataque posible a la entidad bancaria.

Click to learn more...

A simple vista, el ZTIC se parece a una memoria USB, tanto por su diseño como por su tamaño. De hecho, funciona a través de una conexión USB. Al conectarlo, habilita un canal seguro y directo hasta el servidor de la entidad bancaria, dejando el ordenador del usuario al margen y minimizando el riesgo de sufrir tanto infecciones de virus como ataques de piratas informáticos.

ZTIC

Foto: IBM

Una vez conectado el ZTIC, puedes ir validando de una en una las transacciones que realices a través del propio interfaz de este, que incorpora una pequeña pantalla. Si tienes la desgracia de sufrir un ataque informático mientras se esté realizando alguna transacción, podrás cancelarla. Todo el proceso es mucho más seguro que si se realiza de la manera habitual, directamente a través de la página web del banco.

Peter Buhler, director de Ciencias de Computación del Laboratorio de Investigación de IBM en Zurich, explicaba en la conferencia de prensa que “lo que el usuario está visualizando a través de la pantalla es exactamente lo mismo que está ‘leyendo’ el servidor de la entidad bancaria, por tanto el dispositivo ZTIC actúa como una auténtica ventana de seguridad hacia el servidor”.

Para usar el ZTIC no hace falta ningún tipo de driver ni instalación, ni si quiera ningún software. Sólo tienes que enchufarlo a alguna de las conexiones USB de tu ordenador, y funciona con la mayoría de sistemas operativos.

Actualmente no está a la venta, pero existen unos prototipos iniciales que pueden ser probados por todas las entidades bancarias que lo deseen.

Fuente: uberpc.es

Seguridad en portátiles: introducción

El uso de los portátiles se generaliza cada día más, ya no solo como un complemento al ordenador de sobremesa, sino también como el ordenador único, donde están todos nuestros datos, aplicaciones,… y con el que podemos trabajar en cualquier lado.

Esto provoca que su pérdida o robo tenga serias consecuencias para nosotros y para nuestros datos. Es por ello, que queremos hacer un repaso a algunas de las soluciones que existen para evitar el robo de portátiles y, en caso de que este se produzca, intentar recuperarlos, además de proteger los datos que haya en su interior.

Nos centraremos, por ello, en los tres sistemas operativos mayoritarios, ofreciendo opciones para cada uno de ellos, pero queremos empezar dando unas claves básicas de uso general. Desde Xataka, complementaremos a las aplicaciones con las opciones hardware existentes para este mismo proposito.

Empezamos con una serie de consejos válidos, sea cual sea nuestro sistema operativo.

Copias de seguridad

En caso de que se produzca el robo de nuestro portátil, el disponer de copias de seguridad de los datos nos permitirá reconstruir nuestro entorno de trabajo de forma muy sencilla en otro ordenador. Las opciones para realizar copias de seguridad son muy variadas, y con el precio que tienen hoy en día discos externos, DVDs,… no hay excusa para no realizarlas.

Cifrado de datos

No solo es importante que nosotros conservemos nuestros datos, sino que el ladrón no pueda apoderarse de ellos. El cifrado de los datos impedirá el acceso a estos datos sin la contraseña pertinente. La mayoría de sistemas operativos incluyen de serie la opción de cifrar parte del disco o, incluso, particiones completas, un proceso que resultará sencillo.

No nos vale simplemente con disponer de usuarios con contraseña, puesto que el disco se puede sacar y acceder a él con otro ordenador, donde se podrán leer los datos sin problemas. Solo el cifrado evitará esto.

No dejar el ordenador desatendido

La norma más básica: no perder de vista nuestro portátil en ningún momento. Cualquier distracción puede ser aprovechada por un caco para dejarnos sin ordenador. Desde Xataka os propondremos algunas soluciones para evitarlo, la mayoría de ellas basadas en los conectores de seguridad Kensington que incorporan casi todos los portátiles.

No solo cuando lo estemos usando debemos tener cuidado con él. Cuando lo guardamos en la bolsa y nos lo llevamos con nosotros es importante no dejarlo en cualquier lado y vigilar posibles tirones de esta.

Utilizar software de seguimiento

De esto es de lo que os vamos a hablar en esta serie de entradas especiales: aplicaciones que permiten realizar un seguimiento del portátil una vez robado, con lo que aumentan las posibilidades de recuperación de este.

También veremos algunas herramientas que funcionan como alarmas, activándose mediante los sensores de movimiento de los portátiles y lanzando mensajes sonoros que indican que el portátil está siendo robado.

Reconoce a tu equipo

Si finalmente nuestro portátil es robado, aparte del software de seguimiento, lo pertinente es realizar una denuncia a la policía. Para ello, es muy indicado disponer de los datos de nuestro portátil, como su número de serie y, si puede ser, la factura original. De este modo, su recuperación puede facilitarse.

La opción de contratar un seguro también nos permitirá minimizar los daños económicos en caso de robo.

Fuente: Genbeta

Alerta máxima si eres usuario de Windows Vista

Un par de investigadores de IBM y VMWare acaba de revelar en la conderencia Black Hat en Las Vegas una técnica que permite obtener control total de Windows Vista, pero hacerlo de una manera que es prácticamente imposible de Microsoft detener al menos que cambie por completo la arquitectura de Windows Vista.

La técnica toma ventaja de como programas como el navegador Internet Explorer de Microsoft cargan DLLs (librerías dinámicas de funciones) en la memoria de la máquina. Sucede que Microsoft asumió en la arquitectura de seguridad de Vista, que los DLLs cargados a través de su tecnología .NET estaban seguros en el sistema, y simplemente obedece a sus comandos.

Esta fue una decisión que sorprendió a muchos (inclusive a mi) cuando Microsoft anunció a .Net hace unos años atrás, pues por mas seguro que .NET sea (.NET funciona en un entorno «manejado» de manera de máquina virtual, como Java), en el momento que a uno le permitan mezclar código seguro de .NET con código nativo de DLLs, cosas feas sabíamos que iban a suceder tarde o temprano, como esta.

Lo mas atemorizante del caso es que esta técnica no solo es sencilla, sino que reutilizable. Es decir, cualquier hacker maligno puede tomar este código, agregarle su «carga» de código maligno, y entrar a cualquier computadora, de cualquier usuario, de cualquier versión de Windows Vista, de la manera mas sencilla que uno se pueda imaginar.

Bastaría abrir cualquier archivo que mezcle DLLs y .NET para entrar al sistema y obtener control absoluto, o peor aun, con solo visitar cualquier página web se puede ejecutar el ataque.

Pero si creen que todo eso es malo, lo peor aun es el hecho de que esto ataca a la arquitectura misma de Vista, y no a ninguna falla per-se, es decir, que desde el punto de vista de la seguridad de Vista uno no está haciendo absolutamente nada malo. Esto tiene como consecuencia que Microsoft no puede arreglar este problema con un simple parche o actualización, pues el problema radica en el diseño mismo de Vista, por lo que arreglar esto tomaría que Microsoft rearquitecte todo el modelo de seguridad de Windows Vista, y ofrezca una nueva versión para que los usuarios descarguen.

Por ahora, por mas asombroso que parezca, la única solución para protegerte de esto es simplemente no abrir ningún archivo y no acceder a Internet por ningún medio (ni navegador de Internet, ni emails, ni chat, etc).

Veamos ahora cómo reacciona Microsoft contra esto, pues está contra el reloj, ya que sin duda este exploit se pondrá en funcionamiento en cuestión de días.

Mi recomendación: Si eres una empresa desde cuyas terminales de Windows Vista se puedan acceder a datos u operaciones de índole crítico en la red LAN de tu empresa, te recomiendo que literalmente desconectes físicamente tales máquinas de la red, o les instales Windows XP u otro sistema operativo. Nota que un firewall o antivirus no tiene uso contra este ataque, ya que no es un ataque al sistema «ilegal». La misma recomendación para usuarios hogareños.

Y noten que esto no es ser sensacionalista, esta es la vulnerabilidad más crítica jamás encontrada en Windows, y le abre las puertas al 100% a cualquier hacker que quiera hacer de tu PC lo que le de la gana, desde copiar tus sesiones de chat hasta copiar tus números de tarjetas de crédito o monitorerar y acceder a tus cuentas bancarias. Es así de serio el problema.

Fuente de la noticia

Mitos y leyendas: «Compruebe el candadito del navegador para estar seguro» I (Phishing)

Esta frase es una de las recomendaciones de seguridad básicas que todo sistema de banca online ofrece a sus usuarios. Ha sido uno de los consejos estrella para intentar evitar el phishing en los últimos años. En realidad, SSL podría ser un arma poderosa contra le phishing pero no ha sido así. En parte porque no se entiende la tecnología, en parte porque se ha vuelto tan popular y barata que ha dejado de tener el efecto deseado. El SSL y «el candadito del navegador» simplemente ya no significan nada. Tanto, que se ha tenido que crear un nuevo concepto de certificado. Un consejo obsoleto que ofrece una falsa sensación de seguridad de la que se están aprovechando los phishers.

¿Para qué sirve el SSL?

Incluso entre los profesionales de la informática existe cierta confusión al entender el SSL y qué significa que se navegue bajo el protocolo HTTPS. Se sabe que es un «canal seguro», pero ¿seguro por qué? Sin entrar en tecnicismos, hay que decir que SSL debería cumplir dos funciones. Primero es una conexión cifrada sobre un canal público. Cifra la conexión de forma que en teoría sólo el servidor y el navegador pueden acceder al flujo de datos entre ellos. Lo que olvidan muchos es que SSL también autentica al servidor. Nos ayuda a estar seguros de que el servidor es quien dice ser y también que pertenece a la empresa a la que debería pertenecer. Esto lo hace gracias a la criptografía de clave pública, que garantiza que el servidor al que nos conectamos tiene la clave privada que corresponde con la pública que dice tener.

Para la parte de autenticación, los servidores con SSL activo ofrecen al navegador un certificado para que lo compruebe, que es como una especie de DNI. En él, una autoridad (Verisign, Godaddy….) certifica con su firma que la clave pública realmente pertenece al sitio. Para conseguir un certificado, el dueño del servidor ha generado dos claves, y la pública la ha enviado a estas autoridades certificadoras para que la firmen, junto con otras pruebas de identidad como pueden ser documentos de empresa u otros, dependiendo del criterio del certificador (y de lo que se quiera pagar). Cuando un usuario se conecta a la página, de forma transparente el navegador comprueba que el certificado es correcto. Siguiendo con la analogía del DNI, sólo el Estado (las autoridades certificadoras) puede certificar (firmar critográficamente) que la fotografía y los datos (la clave pública) pertenecen a una persona (servidor web de esa empresa).

¿Es efectivo contra el phishing?

Idealmente, autenticar al servidor es la solución contra el phishing, pero no es así. El usuario medio a veces comprueba que hay un candadito, o una conexión HTTPS al visitar una web. Con esta mínima comprobación, comprende que está sobre un sitio seguro (se le ha repetido hasta la saciedad) y confía en la página en la que va a introducir sus datos. Muy pocos confirman que el certificado es válido. Para ello habría que hacer doble click sobre el candado y comprobar la ruta de certificación, que debe culminar en una autoridad certificadora que ha firmado el certificado. Pero, hoy en día, incluso si el certificado es válido, es posible que no se esté sobre la página que se desea. Para evitar esto, el usuario debería interpretar además qué información está ofreciendo esa cadena de certificación y a qué datos está asociado. El conjunto de usuarios que llega a este punto es mínimo.

Lo que los phishers están haciendo cada vez con más frecuencia, es comprar certificados que sólo certifican que el dominio pertenece a quien lo compró. La autoridad certificadora no pide más documentos ni pruebas, sólo que el dominio te pertenece. Los hay por 20 euros. Empresas como Godaddy certifican que el dominio te pertenece, y con ello el navegador aparecerá con el candadito y bajo el protocolo HTTPS. Efectivamente, la información irá sobre un canal seguro, y el servidor será el del auténtico phisher, que ha podido comprar un dominio con un nombre parecido al legítimo, o añadir en la URL dominios de tercer nivel para confundir.

Existen certificados de hasta 300 euros al año, y estas autoridades certifican el dominio, los datos… es un proceso caro y costoso que se paga. Pero como se ha dicho también los hay «light» en los que toda la gestión se hace online y con una mínima comprobación. Esto es legítimo y válido, pero llevado al contexto del phishing, resulta ventajoso para los atacantes. Los phishers pagan 20 euros (con tarjetas que a su vez han robado) y tendrán un candadito y una conexión HTTPS en su phishing. El nivel de credibilidad aumenta con respecto a sus víctimas.

El SSL se ha convertido en algo tan popular y accesible que ya no es exclusivo de los sitios seguros, y lo que con tanto esfuerzo se ha conseguido inculcar en el subconsciente del usuario: «si tiene candadito, es seguro», se ha vuelto en contra. Por tanto, los phishings bajo conexión segura siguen aumentando con éxito.

Extended Validation Certificates al rescate

Los nuevos EVCerts, Extended Validation Certificates, han venido al rescate, supliendo las deficiencias de los certificados baratos y comunes. Para empezar certificarse es bastante más caro. Esto resulta en una primera criba que puede resultar incómoda para empresas pequeñas. Técnicamente los certificados que cumplan el Extended Validation SSL autentican al servidor (como los certificados tradicionales), pero a efectos prácticos permiten que el navegador que visita la página que tiene estos certificados, muestre de forma mucho más clara que la página es efectivamente la que se quiere visitar, haciendo hincapié en la vertiente de autenticación del SSL. Sería como si el navegador hiciera por nosotros la operación de pulsar sobre el candado cuando nos conectamos por SSL a una página, y verificara la ruta de certificación, el domino válido… todo de forma automática y visual. Si el servidor es seguro, se muestra en la barra de direcciones un color verde. Un usuario puede así de un solo vistazo dar por seguro que el servidor al que se está conectando es el correcto, y que no se está usando un certificado válido, pero falso.

Por ahora, sólo Internet Explorer 7 soporta de serie la correcta interpretación de certificados EV SSL (para que funcione la comprobación de estos certificados, debe estar activada la tecnología antiphishing, van de la mano y hay que usarlas juntas). Para que Firefox 2 lo soporte necesita un plugin y Opera ya lo implementa en su versión 9.50.

Fuente: Hispasec


Cajeros automáticos y Windows, una combinación peligrosa

Seguramente no es ninguna novedad ver la imagen de un cajero automático con la bsod (blue screen of death). Sin embargo eso es una cosa, y otra es que estos aparatos venerados por su contenido sean “fácilmente hackeados” si tienen el sistema operativo Windows controlándolo todo. En un artículo de Sillicon se comparan las opiniones de distintas compañías de seguridad, y han puesto a prueba a los cajeros para demostrar lo vulnerables que son. En el Reino Unido, por ejemplo, el 90% de los cajeros están basados en tecnologías propias de escritorio, es decir Intel y Windows, y son susceptibles a los tipos de ataque descritos, DoS Denial Of Service, troyanos, etc.

Network Box, por ejemplo mostró que durante la comunicación entre el cajero y el banco sólo el PIN es encriptado. Otros datos, como el número de la tarjeta, fecha de expiración, o cantidades transferidas viajan en claro. Y sabemos todos que para hacer cualquier compra por internet tan sólo son necesarios el número y fecha de caducidad de la tarjeta.

Investigadores de Information Risk Management descubrieron algo aún más alarmante. Comprando una llave por Internet, fueron capaces de abrir muchos cajeros de los que se encuentran en pubs, tiendas o restaurantes, para instalar a continuación un sofwtare para la monitorización de transacciones, números de cuenta, etc. Esta misma compañía fue capaz de desvalijar tres cajeros usando la clave de seguridad que por defecto traen los cajeros, y que encontraron en un manual en la red (parecido al admin/admin de muchos routers )

Otros consultados hablan de la merma en fiabilidad de los cajeros basados en Windows en comparación, por ejemplo, con los basados en OS/2, que en algunos casos puede llegar al 33% del tiempo caídos. Una alegría vamos.

Fuente: Ami Inteligencia ambiental

El 45% de los españoles perdió todo en un desastre informático

Un disco duro que, de repente, deja de responder. O un portátil robado. ¿Le suena? Probablemente lo haya sufrido en sus carnes. Según datos de Western Digital, el 45 por ciento de los españoles hemos sido víctimas, al menos una vez en la vida, de un desastre informático semejante. En el infortunio han desaparecido todos nuestros datos. Y no por ello escarmentamos. El mismo estudio desvela que el 28 por ciento de los españoles no toma precauciones para conservar sus archivos, el 27 cree además que no es importante y el 26 por ciento ni siquiera sabe cómo hacer una copia de seguridad.

La tragedia suele ser proporcional a la cantidad y calidad de los ficheros almacenados. WD lo ha analizado y ha descubierto que guardamos una media de cinco años y seis meses de recuerdos en nuestro pc. Un español medio conserva en su disco duro 1.608 fotografías, 1.155 archivos de música, 888 documentos importantes, 627 correos electrónicos, 144 documentos financieros y 104 clips de vídeo o películas.

La compañía (el principal fabricante de discos duros externos del mundo) ha hecho un llamamiento a todos los europeos «para que pongan ‘hacer copias de seguridad’ al principio de su lista de buenos propósitos para el 2008«. Además, según los resultados de un estudio que ha realizado Insites Consulting para la compañía entre usuarios informáticos de diferentes países europeos, las mujeres -especialmente las más mayores- muestran niveles de ignorancia más elevados que los hombres en lo referente a las copias de seguridad. El 35 por ciento de las europeas no toma ninguna precaución en absoluto para preservar sus archivos, porque ‘no sabe cómo hacerlo’.

Los resultados del informe han sorprendido a los propios directivos de WD. En palabras de Didier Trassaert, director EMEA del grupo Branded Products de la compañía «sabíamos que era necesario educar a los consumidores, pero no nos habíamos dado cuenta de las dimensiones del problema hasta que no tuvimos delante los resultados del estudio». El asunto toma una importancia crucial debido a que «archivos digitales como fotos, música y vídeos están tomando un protagonismo cada vez mayor en los hogares», comentó el ejecutivo.

Fuente: Soitu.es

Licencia Creative Commons

Related Posts with Thumbnails

Calendario

marzo 2024
L M X J V S D
« Nov    
 123
45678910
11121314151617
18192021222324
25262728293031

Spam

Otros enlaces

  • Enlaces

    Este blog no tiene ninguna relación con ellos, ni los recomienda.


  • Paperblog

    autobus las palmas aeropuerto cetona de frambuesa