Noticias de Seguridad Informática

El gobierno Federal usa PS3 para romper claves de pedófilos

noreply@blogger.com (- Raúl -) — Sat, 21 Nov 2009 17:00:00 PST

Agentes federales han puesto la PS3 a trabajar en romper contraseñas de equipos de computación confiscados de sospechosos de pornografía infantil según una historia publicada en un cable dela Fundación Scripps Howard

Aunque no están usando la nueva PS3 Slim (ya que no se puede instalar Linuex en los modelos nuevos) comprar 20 unidades de PS3 modelo antiguo sigue siendo u$s 8.000 más barato que comprar los servidores Dell C3 que usaban antes. El enfoque no otrodoxo con consolas ha sido tan efectivo que los agentes están "peinando" eBay para encontrar las mejores oferta por otras 40 consolas para redondear su colección.

"Los chicos malos ahora están cifrando sus cosas, así que necesitamos una metodología de hacking en eso para intentar romper sus contraseñas," le dijo Claude E. Davenport, un agente en el Centro de Ciber Crímenes de Inmigracion y Aduanas, al reportero de Scripps. " La Playstation 3 - su componente procesador - es perfecto para ataques de diccionario de gran escala."

Los agentes necesitan potencia de cómputos para quebrar esos códigos porque mientras que una orden de confiscación les permite tomar documentos incriminadores o evidencia digital, la Cuarta Enmienda les garantiza a los sospechosos el derecho a retener la información de sus contraseñas. Para quebrar el código (hay más de 280 trillones de cadenas posibles en una contraseña alfanumérica de seis caracteres) C3 necesita la potencia de procesamiento de computadoras de unos u$s11.000, que ahora es provista por una red de consolas PS3 a un cuarto del costo.

Desafortunamente para los investigadores federales, las consolas son usadas estrictamente sólo para trabajo. "No tienen controladores conectados," dijo Davenport. Suponemos que eso significa que al final de cuentas no hay Uncharted 2 después de trabajar.

Traducción: Raúl Batista - Segu-info
Autor: Alex Wawro
Fuente: Networkworld

Dos detenidos en Londres en relación al virus troyano 'Zeus'

noreply@blogger.com (- Raúl -) — Sat, 21 Nov 2009 12:02:00 PST

La Policía Metropolitana de Londres ha efectuado las primeras detenciones en Europa en relación con la propagación a través de Internet del popular virus troyano 'Zeus', que se cree que ha infectado a decenas de miles de ordenadores de todo el mundo, informaron este miércoles fuentes de la investigación. Los detenidos son un hombre y una mujer, ambos de 20 años, arrestados el 3 de noviembre en la ciudad de Manchester.

El 'Zeus', también conocido como Zbot, es un sofisticado programa informático que ha sido utilizado para recopilar millones de datos, permitiendo a sus creadores obtener información de interés de miles de personas.

La Policía Metropolitana detalló que este troyano estaba configurado para que, una vez se introducía en el sistema operativo, grabara los números de pasaportes, cuentas bancarias y tarjetas de crédito, entre otros datos de relevancia. Los detectives sostienen que de esta forma los piratas informáticos obtuvieron cuantiosos beneficios a costa de provocar importantes pérdidas a las personas afectadas.

El inspector, de la unidad de crímenes en Internet Colin Wetherill añadió que el 'Zeus' es cada vez más utilizado por criminales para dicho fin. "Los arrestos significan un avance considerable en nuestros crecientes esfuerzos para combatir el crimen online", afirmó. Los detenidos han sido puestos en libertad bajo fianza en espera de nuevas averiguaciones.

Fuente: DigitaldeInternet.com

Videos de Privacidad de Google

noreply@blogger.com (- Raúl -) — Sat, 21 Nov 2009 11:03:00 PST

Google tiene varios videos cortos que explican como usar las características de privacidad de varios de sus productos.
Preparamos una selección de 8 videos que seguramente les serán de utilidad.

Privacidad Google Docs

Privacidad Google Calendar

Privacidad Google Gmail

Privacidad Google Picasa

Privacidad Búsquedas en Google

Privacidad Búsquedas en Google (otro)

Google Dashboard (español)

Google Chrome Modo Incógnito

Fuente: Canal Google Latinoamerica en Youtube

Raúl de la Redacción de Segu-info

Metasploit Framework 3.3

noreply@blogger.com (www.segu-info.com.ar) — Sat, 21 Nov 2009 09:22:00 PST

En Noviembre del año pasado, que casualidad, anunciábamos por aquí el lanzamiento de Metasploit 3.2, plataforma de exploiting por excelencia. Curioso lo que ha supuesto este año para el proyecto de HD Moore, y no sólo por la herramienta en si, si no por todo lo que la rodea. De momento, la noticia más reciente es que se acaba de hacer pública la versión de Metasploit 3.3.

Pero una de las noticias más ¿sorprendentes? de estas últimas semanas fue la compra de Metasploit por parte de la empresa Rapid7, que no supuso cambio alguno en el proyecto (seguirá Open Source...), si no simplemente que HD cumpliría con el puesto de Chief Security Officer pudiendo así trabajar a tiempo completo en el desarrollo de la herramienta. De momento seguimos respirando tranquilos si siguen definiendo a Metasploit dentro de la compañía como "A Rapid7 Open Source Project" y sigan a rajatabla el listado de preguntas y respuestas sobre la adquisición.

Volviendo a la actualidad, la nueva versión 3.3 aporta varios cambios, además de los típicos de optimización en el entorno, con mejoras en los procesos de instalación para cada sistema, ampliación de información y ayuda sobre los exploits, inclusión de nuevas técnicas de explotación y un amplio etc, todo ello detallado ampliamente tanto en el propio post del anuncio en el blog del proyecto como en el Changelog (más de 180 bugs corregidos...).

Fuente: Security by Default

¿Qué es IPSec?

noreply@blogger.com (www.segu-info.com.ar) — Sat, 21 Nov 2009 08:42:00 PST

Según Wikipedia, IPSec (Internet Protocol Security) es "un conjunto de protocolos cuya función es asegurar las comunicaciones sobre la suite de protocolos TCP/IP autenticando y/o cifrando cada paquete IP en un flujo de datos."

IPSec funciona encriptando la información contenida en los datagramas IP mediante encapsulamiento. Esto a su vez proporciona integridad, confidencialidad, autenticación y protección ante repetición. También se puede utilizar para proteger conexiones remotas.

Algunas de las funcionalidades que provee son:

Autenticación: una firma digital es utilizada para verificar la identidad del remitente. IPSec puede utilizar certificados digitales, Kerberos o una clave compartida previamente.
Integridad: un algoritmo de hash es utilizado para garantizar que la información no ha sido modificada en transito. A partir del paquete original, se calcula un HMAC (Hash Message Authentication Code).

Confidencialidad: se utilizan algoritmos de cifrado para asegurar que la información
transmitida, aunque interceptada, no pueda ser descifrada.
Anti-repetición: previene que un atacante reenvíe paquetes en un intento de acceder a la red.
No repudio: se utilizan firmas digitales para garantizar que el remitente no pueda negar el envío.
Claves dinámicas: las claves pueden ser creadas durante la sesión en forma dinámica, protegiendo distintos segmentos de la información con diferentes claves.
Regeneración de claves: el algoritmo de intercambio de claves Diffie-Hellman se utiliza para habilitar que dos equipos intercambien una clave de cifrado.
Filtrado de paquetes IP: es posible filtrar e incluso bloquear tipos de tráficos específicos, basado en cualquier combinación de dirección IP, protocolo y puerto.

IPSec posee dos modos de operación, túnel y transporte.

Modo Transporte
En este modo de trabajo, solamente la información del paquete es cifrada y/o autenticada. La información de enrutamiento, o encabezamiento no es alterada.

Modo Túnel
En este modo, todo el paquete es cifrado, lo cual incluye la información de encabezamiento.
Considerando todas las facilidades que provee IPSec, es sensato primeramente determinar cuales métodos de seguridad son necesarios implementar.

El algoritmo de cifrado
Como dijimos anteriormente, IPSec brinda servicios de confidencialidad mediante el cifrado de la
información antes de que esta sea enviada. Si los paquetes son interceptados, el cifrado asegura que el intruso no podrá interpretar la información.

Advanced Encryption Standard (AES)
También conocido como Rijndael, es un esquema de cifrado por bloques adoptado como un estándar de cifrado por el gobierno de los Estados Unidos. Se espera que sea usado en el mundo entero y analizado exhaustivamente, como fue el caso de su predecesor, el Data Encryption Standard (DES).

Data Encryption Standard (DES)
Este es el algoritmo de cifrado utilizado en forma nativa por Windows Server 2003, el cual utiliza un cifrado de 56-bit. Actualmente no se recomienda su utilización por considerarlo poco robusto.

Triple DES (3DES)
Ante las vulnerabilidades presentes en DES, se necesito una forma de garantizar mayor robustes, reutilizando este algoritmo altamente implementado. La opción fue utilizar tres rondas de DES sobre cada bloque de texto plano (plaintext).

Existen 3 modos de operación en 3DES, los cuales en algunos artículos se mencionan como "keying":

Keying 1: Se utilizan 3 claves distintas. Esto hace que sea la modalidad mas robusta. Genera un largo de clave de 168 bits
Keying 2: se utilizan 2 claves distintas (K1 = K3). El largo de clave es de 112 bits
Keying 3: las tres claves son idénticas, por lo que el largo es de 56 bits.
AES, DES y 3DES son considerados “block ciphers”. Esto significa que trabajan en bloques de un largo fijo, es decir, un bloque de texto plano (plaintext), sin cifrar, de un determinado tamaño origina un bloque de texto cifrado (ciphertext) del mismo tamaño.

El intercambio de claves
Los algoritmos de intercambio de clave son utilizados para permitir que dos equipos intercambien una clave compartida en forma segura sobre un canal inseguro.
Los equipos intercambian información que al ser procesada por el algoritmo de intercambio, genera un clave compartida que luego puede utilizarse como clave de sesión, o para generar una clave de sesión que luego se utilizará para para cifrar la información.

Diffie-Hellman (D-H)
El Intercambio de Claves Diffie-Hellman permite a dos equipos crear una clave privada compartida para autenticar la información y cifrar los datagramas IP.
Los distintos grupos D-H son:

Grupo 1: largo de clave de 768 bits.
Grupo 2: largo de clave de 1024-bits.
Grupo 3 (o 14): largo de clave de 2048-bits.

El Grupo 3, el cual es referenciado como Grupo 14 en algunos artículos, es considerado mucho mas robusto y complejo que el Grupo 2. Pero si es necesario garantizar compatibilidad con sistemas operativos anteriores a Windows XP, deberá ser utilizado el Grupo 2.

Elliptic Curve Diffie-Hellman (ECDH)
ECDH es una variante de D-H utilizando criptografía de curva elíptica.
Al igual que D-H, permite el intercambio de una clave secreta entre dos equipos sobre un canal inseguro.
Cada uno de los equipos debe poseer un par de claves (privada/publica) de curva elíptica.
Esta clave secreta puede ser utilizada como clave de sesión o para generar una nueva clave de sesión la cual puede ser luego utilizada para cifrar la información, utilizando un algoritmo simétrico.
Posee largos de clave de 256 y 384 bits. En plataformas Windows, es soportada en equipos con Windows Vista (SP1) y Windows Server 2008.

El método de autenticación
Por autenticación se entiende la verificación de la identidad del equipo que envía la información (remitente), o la identidad del equipo que la recibe (destinatario).

Certificados digitales
Son el método mas robusto de autenticación.

Kerberos (v5)
Una de las desventajas de este método es que la identidad del equipo permanece en claro hasta que todo el paquete se haya cifrado durante la autenticación.

Claves compartidas
Se debería evitar el uso de este método siempre que sea posible utilizar uno de los anteriores.
Debido a que las Claves compartidas son consideradas menos seguras que los demás mecanismos, solo deberán utilizarse cuando estos no sean factibles.

NTLMv2
Se trata de un mecanismo de autenticación de tipo “challenge/response” propietario de Microsoft interoperable con Active Directory. Esta disponible en Windows Vista y Windows Server 2008.

Certificados digitales + ECDSA
Este método esta disponible en equipos Windows Vista en adelante. Se trata de autenticación mediante certificados digitales, firmados con el algoritmo Elliptic Curve Digital Signature Algorithm.

Es posible definir mas de un método de autenticación, estableciendo el orden en el cual se desea que se apliquen.

El algoritmo de integridad
Aplicando un algoritmo a la información que se transmitirá, el remitente genera un hash del mismo, el cual se adjunta al paquete.
Cuando el destinatario recibe el paquete, procede a separar el hash calculado por el remitente y a calcular el propio, a partir de la información del paquete recibido.
Luego compara su hash con el del remitente, si son iguales, entonces se comprueba que el paquete no fue alterado en transito.

Message Digest 5 (MD5)
MD5 es un algoritmo que genera un hash de 128 bits. Es considerado inadecuado para su utilización por el US-CERT desde Diciembre de 2008.

Secure Hash Algorithm (SHA)
SHA-1 genera un hash de 160 bits, actualmente se utilizan SHA-256 y SHA-384, con largos de 256 y 384 bits respectivamente.

Cuanto mayor el largo de clave, se considera mas robusto, debido complejidad de los cálculos criptográficos. Sin embargo eso también significa un mayor consumo de recursos por parte de los equipos, principalmente ciclos de CPU.
SHA-1 esta disponible en las versiones de Windows 2000 en adelante.
SHA-256 y SHA-384 están disponibles en las versiones de Windows Vista (SP1) y Windows Server 2008.
IPSec brinda un muy buen nivel de seguridad siempre que este correctamente implementado, sin embargo, es importante evaluar bien el alcance del despliegue en la organización.

Gracias Americo por el artículo

El SIC organiza actividades por la Semana Internacional de la Seguridad Informática

noreply@blogger.com (- Raúl -) — Sat, 21 Nov 2009 06:29:00 PST

Se trata de un evento mundial que se instauró en 1988. Este año se realizará del 23 al 30 de noviembre y el CAB, a través de su Servicio de Informática, adhirió a la iniciativa. Por ese motivo lanzará una campaña y organizará charlas brindadas por un especialista.

¿Cómo puedo hacer un uso seguro del e mail? ¿Por qué los adjuntos de un e-mail pueden ser peligrosos? ¿Cómo se puede saber si el correo es una broma o leyenda urbana? ¿Cómo puedo evitar ser víctima de un mensaje anzuelo, cuyo propósito es que yo revele datos personales?

Las respuestas a éstas y otras preguntas son el objetivo principal de la Semana Internacional de la Seguridad Informática, una iniciativa establecida en 1988 por la ACM (Association for Computing Machinery) que se organiza con el fin de promover acciones conjuntas entre el sector público y el privado, en materia de concientización en el uso responsable de las Tecnologías de la Información y las Comunicaciones.

Este año, el evento se desarrollará en todo el mundo entre el 24 de noviembre y el 1º de diciembre y aquí, en el Centro Atómico Bariloche, también habrá actividades especiales. Las propuestas llegarán de la mano de nuestro Servicio de Informática y Comunicación (SIC), que con el apoyo de la Gerencia de Coordinación lanzará una campaña y organizará charlas.

Adhesión CAB

Ya en 2008, este Centro Atómico trabajó en el marco de la Semana Internacional de la Seguridad Informática. Esas tareas sirvieron para gestar el portal de Seguridad elaborado por el SIC. El sitio se puede visitar en sic.cab.cnea.gov.ar, donde los usuarios también encontrarán información vinculada a esta Semana Internacional de Seguridad 2009.

“El año pasado, el SIC comenzó a realizar campañas en el marco de esta Semana. Lo hicimos través de la difusión de consejos útiles que se fueron enviando a través de la red de noticias internas”, explicó a EL NÚCLEO Janis Bistevins, miembro del SIC y uno de los impulsores de las actividades. Por su parte, la Lic. Alejandra González, también integrante del SIC, agregó: “En 2009 quisimos redoblar la apuesta, por eso pensamos en reforzar la campaña que habíamos hecho el año pasado con un soporte gráfico, sumando afiches y pósters que implementaremos este año, gracias a la colaboración que también estamos teniendo del grupo de Relaciones Públicas del CAB. Con esto complementaremos la información que digitalmente enviaremos a todo el personal”.

Además de la campaña y la difusión de consejos, este año se agregarán charlas. En este sentido, Janis y Alejandra confirmaron que se realizaron gestiones para que uno de los especialistas argentinos en seguridad informática pueda presentarse en Bariloche. Se trata del Lic. Cristian Borghello, quien disertará los días 24 y 27 de noviembre en el Salón de Actos del CAB-IB. “Brindará dos charlas: una dirigida a usuarios con conocimientos técnicos y otra, orientada a público en general que esté interesado en el tema”, informó Bistevins.

“Nosotros comenzamos a desarrollar esta iniciativa como una campaña educativa. El objetivo es generar conciencia en la gente en cuanto a los riesgos que puede tener el mundo informático”, destacó la Lic. González y concluyó: “Nuestra intención es colaborar para educar a la gente en este aspecto, para que sepan protegerse en el trabajo, en sus casas y, sobre todo, proteger a los más chicos.”

Agenda de las Charlas sobre Seguridad Informática

Fuente: el Núcleo - Noticias y novedades del Centro Atómico Bariloche

Microsoft encuentra agujero de seguridad en Google Chrome Frame

noreply@blogger.com (- Raúl -) — Fri, 20 Nov 2009 18:44:00 PST

Allá por septiembre, cuando Google lanzó el plugin Google Chrome Frame para los usuarios de Internet Explorer, Microsoft advirtió inmediatamente que la movida incrementaría la superficie de ataque y haría menos seguros a los usuarios de IE.

Ahora viene el dato que un investigador de seguridad del equipo de Investigación de Vulnerabilidades de Microsoft (MSVR) que ha descubierto una vulnerabilidad de "alto riesgo" que podría permitir a un atacante eludir las protecciones cross-origin.

VEA: Microsoft dice que Google Chrome Frame duplica la superficie de ataque a IE

Severidad: Alta. Un atacante podría haber eludido las protecciones cross-origin. Aunque importante, los problems de severidad “Alta” no permiten que malware persistente infecte la máquina del usuario. Estamos en desconocimiento de cualquier explotación de este problema.

La compañia de tecnología de busquedas ha liberado una nueva versión de Google Chrome Frame (versión 4.0.245.1) con un parche para la vulnerabilidad.

La actualización del plug-in tambien soluciona varias fallas:

Solicitudes de red que fallan aleatoriamente (Issue 27401).
Solución de problemas con CFInstall.js para detectar mejor el SO compatible y las versiones de navegador, permitir a los usuarios cancelar la instalación del Frame, y no almacenar en cache el resultado de isAvailable (Issues 22738, 23057, y 23132).
No usar Google Chrome Frame para frames o iframes (Issue 22989).
Seguir apropiadamente las redirecciones (Issue 25643).
IE8 se congela intermitentemente (Issue 24007).
Eliminar carpetas de datos en la desinstalación (Issue 27483).

“Todos los usuarios se actualizarán automáticmante,” dijo Mark Larson, un miembro del equipo de Google Chrome.

Traducción: Raúl Batista - Segu-info
Autor: Ryan Naraine
Fuente: Blogs ZDNet

Actualización de seguridad para PHP

noreply@blogger.com (- Raúl -) — Fri, 20 Nov 2009 18:04:00 PST

Se ha publicado la versión 5.3.1 de PHP, que corrige seis vulnerabilidades de seguridad en el popular lenguaje, que podrían ser aprovechadas por un atacante remoto para saltarse restricciones de seguridad o provocar denegaciones de servicio.

El primero de los problemas solucionados se debe a que PHP no limitaba el número máximo de subidas de archivo por petición, con la actualización queda limitado a 20 por defecto. Un atacante podría explotar este problema para provocar una denegación de servicio mediante el consumo de archivos temporales.

Un segundo problema está provocado por la ausencia de controles de seguridad en el tratamiento de exif.
Un atacante podría emplear otro de los errores en "tempnam()" para evitar el modo "safe_mode".

Otra de las vulnerabilidades reside en un error en "posix_mkfifo()", que podría permitir evitar las restricciones "open_basedir". También se ha corregido un problema en "safe_mode_include_dir".

El último de los problemas corregidos se debe a un error en popen al manejar un modo no válido, lo que podría provocar una denegación de servicio.

Se recomienda actualizar a PHP versión 5.3.1 disponible en:
http://www.php.net/downloads.php

Más información:
PHP 5.3.1 Release Announcement
http://www.php.net/releases/5_3_1.php

Autor: Antonio Ropero
Fuente: Hispasec

La Justicia falló a favor de un empleado despedido por jugar a la Playstation en su trabajo

noreply@blogger.com (www.segu-info.com.ar) — Fri, 20 Nov 2009 08:28:00 PST

La Cámara Laboral condenó a una agencia de venta de automóviles a indemnizar con más de $ 225.000 pesos a uno de sus vendedores.

La Cámara Laboral condenó a una agencia de venta de automóviles a indemnizar con más de 225.000 pesos a uno de sus vendedores, al que despidió porque fue sorprendido mientras jugaba con una Playstation en horario de trabajo.

Pese a que diez meses antes el mismo empleado había sido apercibido por estar jugando a las cargas en horario laboral, para la Sala Cuarta de la Cámara la conducta "no revestía -en el caso- gravedad tal como para impedir la prosecución del vínculo".

"El hecho de realizar una actividad lúdica en horario de trabajo importó ciertamente un incumplimiento contractual susceptible de un correctivo disciplinario, pero no revistió entidad suficiente como para justificar la ruptura del vínculo", insistieron los jueces Oscar Zas y Héctor Guisado.

Para arribar a esa conclusión, tuvieron en cuenta que "de la prueba rendida no se desprende que en el salón hubiese habido clientes que no fueran atendidos por los vendedores, o que hubiesen manifestado alguna queja por algún motivo, o que el incumplimiento hubiese causado algún perjuicio concreto a la empleadora".

"La aplicación de las sanciones debe adecuarse a criterios racionales, evitando pasar bruscamente de la indulgencia al rigor, de la benignidad a la exigencia estricta, lo que hace necesaria, a veces, una progresión en las sanciones", explicaron los camaristas.

El trabajador cesanteado, quien trabajaba en la agencia de venta de autos desde mediados de 2001 y percibía salario y comisiones por las ventas, recibirá una indemnización de 225.681,45 pesos más intereses a contar desde la fecha del despido.

Fuente: La Nación

¿Cómo pueden las empresas evitar la fuga de información?

noreply@blogger.com (www.segu-info.com.ar) — Fri, 20 Nov 2009 03:16:00 PST

Por Horacio Bruera del Estudio Carranza Torres

Una de las principales preocupaciones del mundo corporativo es proteger sus secretos comerciales de la apropiación indebida por parte de sus competidores. Una de las posibles vías de fuga son los propios empleados de cada firma.

Sin dudas, una de las principales preocupaciones de los empresarios del sector TI estriba en la manera en que pueden proteger sus secretos comerciales de la apropiación indebida por parte de terceros competidores. Es que, muchas veces, la información confidencial de una empresa de tecnología es su principal activo y su protección adecuada es una cuestión de supervivencia en el mercado.

Y entre las posibles vías de fuga de este tipo de información aparecen los empleados de la empresa, que en la mayoría de los casos tienen acceso a una porción significativa de información; no sólo los secretos técnicos, como el código fuente, sino los aspectos comerciales: listado de clientes, estrategias comerciales, información financiera, por mencionar algunos ejemplos concretos.

El marco legal para la protección de la información confidencial en el ámbito de las relaciones laborales está conformado por la Ley de Contrato de Trabajo y la Ley de Confidencialidad de la Información.

La primera dispone que “el trabajador debe observar todos aquellos deberes de fidelidad que deriven de la índole de las tareas que tenga asignadas, guardando reserva o secreto de las informaciones a que tenga acceso y que exijan tal comportamiento de su parte”, lo que se conoce como el deber de fidelidad que pesa sobre todos los empleados.

Por su parte, la Ley de Confidencialidad aclara qué debe entenderse por información confidencial o secretos comerciales al establecer que cualquier persona puede impedir que la información que esté legítimamente bajo su control se divulgue a terceros o sea adquirida o utilizada por terceros sin su consentimiento de manera contraria a los usos comerciales honestos, siempre y cuando se cumplan tres requisitos:

i) que la información sea secreta;
ii) que tenga valor comercial por ser secreta;
iii) que se hayan adoptado medidas razonables para mantenerla en secreto.

Complementando la disposición de la Ley de Contrato de Trabajo, agrega que toda persona que, con motivo de su trabajo o empleo, tenga acceso a información confidencial sobre cuya confidencialidad se la haya prevenido, deberá abstenerse de usarla y de revelarla sin causa justificada o sin consentimiento de quien legítimamente la tiene bajo su control.

La violación del deber de fidelidad en su modalidad de guarda o reserva de la información secreta o confidencial de la empresa constituye una injuria grave que no consiente la prosecución del vínculo laboral, habilitando al empleador a despedir con justa causa al empleado infiel.

No obstante, las aristas que presentan la aplicación e interpretación de este marco legal en los casos concretos son muchas, siendo de vital importancia conocerlas a los efectos de tomar los recaudos adecuados y prevenir costosas indemnizaciones producto de despidos incausados.

Finalmente, destacamos especialmente dos tópicos que habitualmente las empresas no tienen en cuenta a la hora de proteger sus secretos comerciales.

El primero, que las medidas adoptadas deben ser puestas en práctica. Esto no significa que no deben adoptarse, por ejemplo, que no deben adoptarse reglamentos de seguridad de la información ni hacerse capacitaciones. Todo lo contrario. Sólo quiere decir que es necesario un plus: además de eso, hay que ponerlas en práctica y velar para que su observancia se mantenga en el tiempo.

El segundo, que hay un amplio campo abierto para reglar muchas cuestiones vinculadas con la seguridad de la información en los contratos de trabajo. Hay que ser precavidos en este sentido, aprovechar este instrumento y contemplar adecuadamente los pormenores que implica el manejo de información valiosa para la empresa. Un buen asesoramiento profesional puede ayudar a prevenir situaciones conflictivas y ulteriores responsabilidades.

Fuente: Canal-Ar

Datos personales a la venta por parte de empleados de T-Mobile

noreply@blogger.com (www.segu-info.com.ar) — Thu, 19 Nov 2009 17:09:00 PST

Parte de la plantilla de la operadora T-Mobile fue responsable de la venta de registros de miles de sus clientes a brokers de terceras partes, algo que ya ha sido confirmado oficialmente por responsables de esa empresa.

Los detalles se han revelado tras los informes que la empresa ha pasado a la comisión de información, que indicó que estaba preparando una investigación y persecución de los responsables de esta venta de datos privados.

Cristopher Graham, de esa comisión, indicó que varios brokers de T-Mobile habían vendido esos datos a otras operadoras, que gracias a ellos les llamaban para tratar de convencerles de cambiar a sus compañías cuando los contratos con T-Mobile estaban a punto de expirar

Fuente: The Inquierer y BBC

Microsoft: Windows de 64-bit es más seguro

noreply@blogger.com (www.segu-info.com.ar) — Thu, 19 Nov 2009 17:08:00 PST

El malware que afecta a los sistemas de 64-bit basados en Windows es raro, y no se espera un cambio en la tendencia.

Los usuarios de Windows que ejecutan versiones de 64-bit del sistema operativo son menos propensos a los ataques de código, según Microsoft. Joe Faulhaber, del centro de protección de malware de Microsoft, ha hecho referencia a las estadísticas obtenidas por la Malicious Software Removal Tool (MSRT) de la compañía, una utilidad gratuita de detección y eliminación de malware que la compañía actualiza cada mes.

Según los datos de Microsoft, la versión de 64-bit de Windows XP ha tenido un 48% menos de probabilidades de ser infectada que la edición de 32-bit durante la primera mitad de 2009; si nos centramos en Windows Vista, el porcentaje se reduce hasta el 35%. Windows 7 no se ha incluido en los datos porque fue lanzado hace tan sólo un mes, aunque también está disponible en versiones de 32-bit y de 64-bit.

Desde la compañía de Redmond aseguran que Windows 7 de 64-bit es la opción dominante de la recientemente lanzada versión del sistema operativo. También afirman que Windows de 64-bit es más seguro, sobre todo porque la mayor parte del malware está escrito para las versiones de Windows de 32-bit, mucho más utilizados.

No estánde acuerdo, sin embargo, algunos expertos en seguridad, que afirman que también hay mucho malware para los sistemas de 64-bits y recuerdan que el software, y el malware, se puede ejecutar en modo compatible, o incluso puede compilarse para los 64-bit.

Fuente: ITEspresso

Cuando veas las barbas del router de tu vecino cortar...

noreply@blogger.com (- Raúl -) — Thu, 19 Nov 2009 04:28:00 PST

Pues sí, tenemos que poner las de nuestros routers a remojar. Aunque esto al usuario de a pie no le tiene por qué afectar, siempre y cuando se le respete el ancho de banda contratado, hay para remojar. Me refiero al mediocre plataformado con que la mayoría de las operadores preparan los routers de banda ancha para el mercado residencial, tomando como referencia los últimos casos comentados por mis compañeros de Mexico.

Pero me temo que no se trata de un caso aislado. En España el problema es bastante acuciante, sobre todo en routers ADSL. Por ejemplo, leo atónito en Bandaancha que ahora es posible hacer ataques DDoS sin necesidad de troyanizar los equipos de los usuarios. Ahora los zombies son también los routers ADSL que, incorrectamente configurados, contestan a las peticiones de resolución de DNS desde el lado WAN. No hablamos de beneficio económico directo, al menos de momento, pero con la gestión remota en manos del atacante, ¿qué les impide modificar el firmware y así meter un sniffer que reporte a la botnet de forma periódica? No digo que esto sea más sencillo que el método clásico, pero la posibilidad existe.

Y aunque lo lea preocupado, no me extraña para nada. Tenemos un problema que llevamos arrastrando desde los albores de las líneas ADSL, donde las telcos no daban a basto con los pedidos, no tenían el know-how ni la visión de futuro necesaria. Como es lógico el parque de usuarios ha ido creciendo año tras año, e increíblemente los plataformados de los equipos autoinstalables continúan siendo deficientes.

Cabe recordar el tipo de cosas que se dejan al aire en los routers ADSL cuando son entregados al cliente doméstico:

Configuración de la red inalámbrica deficiente
Usuarios por defecto
Ausencia de una gestión remota eficiente
Ausencia de actualizaciones automáticas del firmware de los routers

Y es que de momento parece que la mayor preocupación está en los ordenadores, sin tener en cuenta que los routers actuales no dejan de tener la arquitectura propia de un ordenador (CPU, ROM, RAM) ejecutando normalmente un sistema GNU/Linux embebido. Las operadoras de cable han sabido organizarse mejor, partiendo de la base de que el usuario no tiene por qué tocar el router, que es autoconfigurado mediante DHCP desde la telco a la que está conectada.

Creo que este problema debería preocupar mucho más a las operadoras que ofrecen servicios de banda ancha a sus usuarios por el par telefónico. Los usuarios pueden también, por desconocimiento, degradar la configuración base de sus routers, pero creo que son casos mucho más aislados, y problemas como el del DNS Amplification deberían simplemente de no existir, gracias a un correcto plataformado y gestión remota de los routers. Por ejemplo, hoy en día se considera inepto al administrador que permite que la MTA de su compañía tenga el relay abierto.

¿Será posible arreglar el problema remotamente, o el sistema estará herido de muerte y requerirá de un "reciclado" masivo de routers al más puro estilo SECA/NAGRA? Me temo que la cosa va encaminada por lo segundo, y claro, la solución tiene un coste sensiblemente superior a la de expedir unos millones de tarjetas inteligentes con los "agujeros" cerrados. ¿Para qué poner memorias flash en los routers? Si eso volvemos a las memorias ROM de máscara que salen más baratas y tienen un airecillo retro.

Autor: Álvaro Ramón
Fuente: S21sec labs

Firma Digital en Republica Dominicana y Colombia

noreply@blogger.com (Soloe) — Thu, 19 Nov 2009 03:27:00 PST

Previo a la entrada en operación del nuevo sistema, Aduanas realizó un acto en el que certificó la raíz de las aplicación de Republica Dominicana. La plataforma del nuevo sistema es el inicio del proceso de uso de la firma digital en las operaciones electrónicas de Aduanas a través del SIGA, por lo que este sistema ha sido denominado Aduanas sin papeles.

Por otro lado el Sistema de Impuestos en Línea para el Impuesto de Industria y Comercio ICA (Simplifica) es la herramienta que presentó la Secretaría Distrital de Hacienda para que grandes contribuyentes de Colombia puedan hacer la declaración y pago electrónico a través de un portal web.

Fuente: PKI.gov.ar

Firefox 3.6 prevendrá agregados dañinos

noreply@blogger.com (- Raúl -) — Wed, 18 Nov 2009 18:58:00 PST

La versión 3.6 del navegador Firefox, de pronta aparición, tendrá una nueva característica que lo hará más estable. Se denomina Directorio de Componentes Cerrado, e impide que aplicaciones de terceros (agregados y plugins) almacenen su propio código dentro del directorio de "componentes", en donde se almacena la mayor parte del propio código de Firefox.

El cambio fue anunciado por Johnathan Nightingale del equipo de desarrollo de Firefox, en su blog oficial. Dice que no debería representar mayor problema para el desarrollador de agregados. "Si uno ya está empaquetando sus agregados como un XPI, instalado como un agregado, el asunto sigue como siempre. Si uno está descargado directamente los componentes, sin embargo, necesitará cambiar al enfoque XPI," escribe, y los dirige a las instrucciones de migración

Este parece un cambio muy positivo, y uno se pregunta porque no habia sido pensado antes, ya que como establece Nightingale, no se requieren de habilidades especiales que sean ganadas al instalar los agregados su código en el mencionado directorio, y eso sólo le trae probelmas a Firefox y a los desarrolladores de esos agregados.

Traducción: Raúl Batista . Segu-info
Autor: Zeijka Zorz
Fuente: Help Net Security

En Noruega no es secreto el sueldo de los ciudadanos

noreply@blogger.com (www.segu-info.com.ar) — Wed, 18 Nov 2009 16:40:00 PST

Jorn Madslien, BBC Mundo

Las autoridades económicas del país nórdico publican de forma anual en Internet los datos sobre la riqueza y las ganancias de sus habitantes; algunos consideran que es una apertura desproporcionada de información personal.

Cada año, las autoridades económicas noruegas publican los detalles sobre la riqueza y las ganancias de los ciudadanos, y cada año, husmear en los datos ajenos es más fácil.

En lo que ya se convirtió en un ritual anual, los periódicos noruegos llenan sus páginas con artículos sobre las personas que más ganan en el país, sean políticos, industriales o gentes del mundo del espectáculo. Por su parte, muchos se preocupan por comparar su "fortuna personal" con la de sus vecinos, amigos y familia. Nada es secreto.
Investigar y obtener datos de la base de datos de las autoridades es fácil. El sitio en Internet de toda organización mediática que se precie tiene un buscador en el que, simplemente con escribir el nombre y apellidos de cualquier persona, mostrará información detallada sobre su estado financiero.
De esta manera, Aftenposten , el principal periódico del país, tiene un sistema en el que los curiosos pueden rastrear la situación económica de cualquier vecino.

Espectáculo contra política
Por ejemplo, de Morten Harket , miembro del grupo de música A-ha, muy conocido en Noruega. La búsqueda nos indicará cuántos impuestos paga el músico, y en cuánto están valoradas sus inversiones. También se dispone de datos como su código postal y el nombre de la autoridad local a la que paga sus impuestos.
Pero además, el diario desarrolló un sistema de gráficos que compara las ganancias de cada ciudadano con la media de ingresos nacional y regional. El año pasado, Harket, por continuar con el mismo ejemplo, ganó 1,75 millones de coronas (alrededor de 315.000 dólares), cerca de un 658 por ciento más que la media noruega.

Si escribiéramos otro nombre -por ejemplo, el del primer ministro el país Jens Stoltenberg - aparecerá una comparación entre ambos en un gráfico de barras. De esta manera podemos saber que un músico gana más dinero que un funcionario gubernamental, aunque paga menos impuestos.

Fuente: La Nación

Concienciar a los empleados, clave para evitar el robo de identidad

noreply@blogger.com (www.segu-info.com.ar) — Wed, 18 Nov 2009 13:54:00 PST

l robo de identidad personal consiste en el robo de datos confidenciales (nº de DNI, números de cuentas bancarias, etc.) por parte de criminales, para solicitar créditos, abrir cuentas paralelas y un sinfín de actividades fraudulentas en nombre de la víctima.

Según Fellowes Ibérica, la tasa de robo de identidad personal sigue en crecimiento, aunque la mayoría de la población sigue desconociendo en qué consiste este fraude y cómo puede llegar a cometerse. De hecho, son muchos los que desconocen por completo dos cuestiones clave para prevenir el Robo de Identidad: cómo acceden los ladrones a sus datos personales (a través de documentos personales como extractos bancarios o introduciéndose en páginas web que contengan información confidencial de los usuarios) y cuáles son las medidas que se podrían adoptar para evitar este robo.

Aumentar la concienciación de los empleados

Por ello, el nivel de concienciación y la aplicación de las medidas preventivas adecuadas son las claves para combatir este delito. El primer lugar para fomentar esta concienciación y políticas de seguridad de la información es en las organizaciones y empresas (de carácter público o privado), ya que a menudo los empleados manejan datos de carácter privado de clientes o proveedores, sin tener en cuenta las consecuencias que puede acarrear una mala gestión de los mismos. Ejemplo de ello, ha sido la noticia de un hospital catalán, en el que se tiraron a un contenedor información privada de 173 pacientes a los que se les había practicado un transplante.

“Gracias a las múltiples campañas de información sobre el peligro de Robo de Identidad, ha habido un aumento en lo que respecta a la concienciación sobre este delito. Sin embargo, el descuidar sencillas medidas de seguridad, hace que todavía haya un gran número de personas que se convierten en víctimas”, señala Héctor Barak, director general de Fellowes Ibérica.

Destrucción segura de documentos con información sensible

Para evitar ser víctimas de un robo de identidad, los empleados y usuarios tienen a su disposición una gran cantidad de máquinas destructoras que se adaptan a sus necesidades. Estos equipos ofrecen máximas garantías de seguridad en la eliminación de todo tipo de documentos, al disponer de varios tipos de cortes para la destrucción de información en papel, CDs o tarjetas de crédito, incorporando tecnologías innovadoras como Microcorte, que incrementa la seguridad proporcionada por sus destructoras al nivel 4, la tecnología SafeSense, dirigida a garantizar la seguridad del usuario del equipo, o el sistema 100% anti-atasco, que asegura una destrucción eficaz sin atascos.

Fuente: RRHH Digital

"Unfriend" y otros términos en las redes sociales

noreply@blogger.com (www.segu-info.com.ar) — Wed, 18 Nov 2009 10:43:00 PST

"Unfriend" fue nombrada la palabra del año por el New Oxford American Dictionary, seleccionada de una lista de finalistas con una marcada inclinación tecnológica.

"Unfriend" (por las palabras "un" -des- y "friend" -amigo-) fue definido como un verbo que indica la remoción de alguien como "amigo" en un sitio de redes sociales como Facebook.

Contenido completo en Ambito

Sólo un 1% de los menores acudiría a sus padres ante una situación de riesgo en Internet

noreply@blogger.com (www.segu-info.com.ar) — Wed, 18 Nov 2009 10:42:00 PST

Sólo un 1% de los niños acudiría a sus padres en una situación de riesgo en Internet. Sin embargo, un tercio de los padres cree que su hijo sí lo haría. Un desfase importante y peligroso, ya que los menores no saben evaluar los riesgos de lo que encuentran en la Red, pese a que son muy conscientes (más que sus padres) de los peligros que esconde Internet. Esta es una de las principales conclusiones del I Congreso Internacional de Menores en las TIC (Tecnologías de la Información y la Comunicación), celebrado esta semana en Gijón.

Pablo Pérez San-José, Gerente del Observatorio de la Seguridad de la Información (INTECO), ofrecía los datos de arriba y resaltaba la gran cantidad de horas (14,5 semanales) que los niños pasan en Internet, sobre todo desde su casa. Por eso los participantes del Congreso han querido destacar la necesidad de que se difundan medidas a adoptar en situaciones problemáticas, tanto para padres como para menores. Porque es precisamente el ámbito familiar aquél que más debe implicarse, siempre apoyado por el educativo.

El colegio, por supuesto, debe apoyar la educación. Y aquí dos ideas: disminuir la edad, hasta la educación infantil incluso, para comenzar la incorporación al uso de la Red y hacer una labor preventiva en el ámbito de la adecuación legal.

En el Congreso se ha llamado a la participación de la industria, que debe observar esta problemática. Porque, desde los "navegantes seguros", resaltan las conclusiones, hay que pasar a "ciudadanos digitales". Este es un concepto nuevo que debe apoyarse en la alfabetización: digital, de los medios audiovisuales, social y cultural.

El Congreso, que ha reunido a alrededor de 500 especialistas, también ha redundado en la importancia de la privacidad y de la identidad digital para seguir desarrollando un Internet seguro para los menores.

Fuente: El Pais

Camino hacia la "seguridad concienciada"

noreply@blogger.com (www.segu-info.com.ar) — Wed, 18 Nov 2009 10:37:00 PST

SafeNet propone a las organizaciones un camino, estructurado en tres etapas diferenciadas, que les permitirán obtener la "seguridad concienciada".

Frente a las metodologías de seguridad del pasado, la ‘seguridad concienciada’ se caracteriza por una mayor sofisticación, inteligencia y buen juicio aplicados a la seguridad de la información.

Los pasos a seguir por las empresas para alcanzar la ‘seguridad concienciada’ son los siguientes:

Paso 1: Ser consciente de su ceguera en materia de seguridad
Al concebir un enfoque de seguridad concienciada, es esencial comenzar por echar un vistazo inflexible y franco a los mecanismos de seguridad existentes y entender qué pueden hacer y qué no.

Paso 2: Concienciarse acerca de la información
¿Cómo librarnos de la ceguera de información tipificada por las metodologías de seguridad tradicionales? Actualmente, hay soluciones de cifrado avanzadas que preparan el terreno para proteger los datos concretos, en vez de proteger la información en el sistema, en la red o en un nivel de dispositivo. El cifrado sofisticado, de aplicación o de información son tres mecanismos que determinan una base vital de la que las organizaciones pueden comenzar a obtener la concienciación de información necesaria para satisfacer el doble objetivo de optimizar la seguridad y el rendimiento de la empresa.

Paso 3: Obtener concienciación de información
En un alto nivel, la concienciación de información se caracteriza por mecanismos de seguridad proactivos y no necesariamente reactivos.
En lugar de un sistema de prevención de intrusiones, que requiere actualizaciones constantes para protegerse contra los ataques de ayer, la metodología del mañana será ‘infocéntrica’ y proactiva. Las organizaciones se centrarán en la información necesaria para su protección y a la hora de adoptar las medidas necesarias para asegurar su privacidad, accesibilidad e integridad, sea cual sea la índole de las amenazas planteadas.

Un programa de protección de datos bien diseñado debe basarse en cinco principios y caracterizarse por ser:

Integral: El plan de toda estrategia de protección de datos necesita comenzar por una plataforma universal que se pueda integrar en una amplia gama de servidores de archivos de la empresa, bases de datos, aplicaciones, etc.
Inteligente: La protección de datos debe estar en consonancia con necesidades comerciales y ser definida por ellas.
Persistente: Desde el momento en que se crea un documento y durante su modificación, distribución y borrado, la protección se debe emplear de manera constante, de modo que la información sea autoconsciente. La persistencia encapsula los datos junto con su política y les permite ser accesibles y moverse libremente, de manera que se pueda compartir la información conforme a las necesidades de la empresa y así posibilitar una mayor productividad.
Selectivo: Esto faculta a personas a definir de manera explícita políticas para los datos que se desea proteger.
Proactivo: La protección de datos proactiva es tan transparente y sin contratiempos, que las amenazas se predicen como medio de prevención, debido a un estado de concienciación

Fuente: TechWeek

Informe sobre crimilogía virtual

noreply@blogger.com (www.segu-info.com.ar) — Wed, 18 Nov 2009 04:59:00 PST

Por Luisa Corradini

El planeta ingresó en una "guerra fría cibernética" que se caracteriza por una carrera ciberarmamentista entre las grandes potencias, que espían a otras naciones y prueban redes informáticas con intenciones de utilizar Internet como campo de batalla, afirmó un informe publicado ayer en Estados Unidos por la empresa de seguridad McAfee.

"Muchas naciones están armándose para defenderse en una ciberguerra y alistando sus fuerzas para lanzar sus propios ataques", afirma el quinto informe anual de McAfee, 2009 Virtual Criminology Report .

"Estados Unidos, Rusia, Francia, Israel y China ya están ciberarmados porque, cada vez con más frecuencia, son blanco de ataques cibernéticos por motivos políticos", precisa el documento, compilado por Paul Kurtz, un reconocido experto en protección informática que trabajó como asesor de Seguridad Interior de la Casa Blanca durante las presidencias de Bill Clinton y George W. Bush. El trabajo se basó en entrevistas a más de 20 expertos en relaciones internacionales, seguridad nacional y seguridad en Internet.

"Los rumores de ataques de naturaleza política son cada vez más eficaces", explicó François Paget, investigador de esa empresa estadounidense de informática. La Casa Blanca, el Departamento de Seguridad Interior, los servicios de inteligencia y el Departamento de Defensa de Estados Unidos fueron blanco de ataques informáticos en los últimos 12 meses.

A su vez, "el Reino Unido, Alemania y Corea del Norte también se preparan para un futuro en el cual los conflictos se desarrollarán a través de Internet", agrega el informe. Algunos expertos advierten, sin embargo, sobre la posibilidad de que McAfee, una compañía especializada en programas de seguridad informática y antivirus, haya dado a su informe un tono exageradamente catastrofista por interés comercial.

El gobierno británico anunció recientemente la creación de una Oficina Central de Ciberseguridad (OCS) a fin de luchar contra el nivel creciente de ataques informáticos. La OCS tendrá la tarea de "coordinar capacidades ofensivas" y, en casos extremos, "montar ciberataques en respuesta a intrusiones en las redes informáticas británicas", señala el informe de McAfee.

Un ataque contra un sistema informático gubernamental o infraestructuras críticas puede provocar daños físicos y hasta muertes. "Hoy, las armas letales no son nucleares, sino virtuales. Todos deben adaptarse a esas amenazas", advirtió Dave DeWalt, presidente de McAfee.

En la mayoría de los países, toda la infraestructura crítica (redes de distribución de agua y electricidad, transportes y telecomunicaciones) está conectada a Internet y carece de las funciones de seguridad adecuadas. Ese déficit las coloca en situación de extrema vulnerabilidad, señala el documento.

Precauciones

En los países desarrollados -afirma McAfee-, gran parte de esas infraestructuras vitales está en manos del sector privado. "Sin conocer [previamente] la estrategia de defensa informática adoptada por los gobiernos, ese sector no puede tomar las precauciones necesarias para defenderse", insiste.

"La toma de conciencia mundial [sobre una posible ciberguerra] comenzó después de la experiencia de Estonia en 2007", cuando a la agitación urbana sucedió una serie de ataques contra los sitios de Internet del gobierno, los bancos y los medios, recordó Paget. También citó el ejemplo de la crisis georgiana de agosto de 2008, cuando nacionalistas rusos lanzaron ciberataques contra sitios gubernamentales, y recordó que en los Juegos Olímpicos de Pekín "patriotas chinos" atacaron sitios de países donde hubo incidentes al paso de la llama olímpica.

Si bien el 80% de los ataques informáticos actuales son lanzados para obtener dinero, el 20% restante está pensado para perforar sistemas. Con el desarrollo de las redes sociales como Facebook o Twitter, el cloud computing o el SaaS ( Software as Service ), cada vez existe más peligro de que se repitan ataques como la agresión de DDoS ( Distributed Denial of Service ) perpetrado por botnets (conjunto de máquinas zombis), pronostican los especialistas.

El informe advierte que, si bien el mundo todavía no asistió a una ciberguerra "caliente", no hay dudas de que "se producirá muy pronto". "En los próximos 20 o 30 años, los ataques informáticos se transformarán en componentes de la guerra", dijo William Crowell, ex director adjunto de la Agencia Nacional de Seguridad (NSA) de Estados Unidos. "Lo que no puedo decir -concluyó- es si las redes estarán tan generalizadas y desprotegidas que esos ataques bastarán" para definir un conflicto.

Fuente: La Nación

El padre de internet destacó la importancia de la privacidad

noreply@blogger.com (www.segu-info.com.ar) — Wed, 18 Nov 2009 04:51:00 PST

inton Cerf, también vicepresidente de Google, señaló que la pérdida de privacidad de determinada información personal en internet puede dañar otros derechos críticos, como la libertad de expresión o asociación

Durante su intervención, por videoconferencia, en la XXXI Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, Cerf apuntó que en determinadas situaciones y regímenes políticos derechos como la libertad de expresión o de asociación pueden verse aún más limitados si se desvelan identidades.

Uno de los problemas de la protección de datos en internet, añadió el considerado como creador de esta red, es la interferencia de datos que provienen de fuentes que no los controlan y que dejan así expuesta la privacidad de los usuarios.

El también vicepresidente de Google dijo que para el gigante informático la protección de la privacidad es "algo critico" y que para que funcionen bien los mecanismos y haya confianza debe trabajarse con la máxima transparencia.

Cerf también afirmó que debe trabajarse en los temas de identidad digital y en definir la jurisprudencia a la que deben acogerse los contratos que se firman digitalmente si surgen problemas.

Junto a Vinton Cerf, participaron en la mesa de debate sobre la información personal en internet expertos universitarios como el director del Centro de Investigación Informática de la Universidad belga de Notre-Dame de la Paix Namur, Yves Poullet, o representantes de empresas como Microsoft, Facebook y Google.

La XXXI Conferencia Internacional de Autoridades de Protección de Datos y Privacidad reúne esta semana en Madrid a más de 1.000 expertos de 83 países para debatir sobre los retos a los que se enfrenta la privacidad y la protección de datos.

Fuente: Infobae

Europa le declara la guerra a la piratería: cortará internet sin orden judicial

noreply@blogger.com (www.segu-info.com.ar) — Wed, 18 Nov 2009 04:50:00 PST

El Parlamento y el Consejo de la Unión Europea acordaron que las autoridades podrán cortar el acceso de un usuario sin necesidad de una orden judicial expresa.

En el debate sobre el paquete de medidas reguladoras de las telecomunicaciones cayó la enmienda 138, largamente defendida por las asociaciones de internautas, que impedía las autoridades pudieran cortar la conexión sin permiso judicial.

Ambas instituciones de la Unión Europea (UE), con poder legislativo en este ámbito, concluyeron el 4 de noviembre y tras intensas negociaciones el único capítulo del texto en el que no se ponían de acuerdo, el del acceso a internet, en un momento en que Francia y el Reino Unido preparan leyes para castigar a los internautas que realicen descargas ilegales.

Los eurodiputados querían mantener una enmienda que defendía que sólo una orden judicial previa podía ordenar el corte de internet a un usuario, algo que el Consejo -que representa a los países- no estaba dispuesto a aceptar.

Finalmente, ambas partes hicieron concesiones y cerraron un principio de acuerdo que sostiene que sólo se impondrán restricciones a un usuario de internet si las medidas, "proporcionadas" y "apropiadas", se toman "con el debido respeto al principio de presunción de inocencia y al derecho a la privacidad".

Por su parte, la comisaria europea de Sociedad de la Información, Viviane Reding, subrayó que "Europa está abriendo camino", y recalcó que esta disposición sobre la libertad en internet "no tiene precedentes".

La discusión sobre el acceso a internet, que fue incluida por el Parlamento a través de su "enmienda 138" en la propuesta que presentó la Comisión Europea en 2007, es sólo una parte del amplio paquete legislativo.

La nueva regulación pretende reforzar los derechos de los usuarios, que podrán cambiar de operador en un solo día manteniendo su número de teléfono fijo o celular, recibir de antemano información más clara en sus contratos, ser informados si se violaron sus datos, defenderse mejor contra el spam o acceder de forma más eficaz al número de urgencias.

Fuente: Infobae

España: los ataques informáticos son delito penal

noreply@blogger.com (www.segu-info.com.ar) — Tue, 17 Nov 2009 15:47:00 PST

El Gobierno de España ha aprobado el Proyecto de Reforma del Código Penal. De esta forma, los ataques informáticos pasan a considerarse un delito que está tipificado con hasta penas de cárcel.

Los delitos informáticos han pasado a tener consideración de delito penal tras la aprobación del proyecto de reforma de código penal por parte del Gobierno de España.

Se tipifican como delito los ataques informáticos y se incluyen como conductas punibles las consistentes en:

Borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos o programas informáticos ajenos.
Obstaculizar o interrumpir el funcionamiento de un sistema de información ajeno.
El acceso sin autorización vulnerando las medidas de seguridad a datos o programas informáticos contenidos en un sistema informático o en parte del mismo.

En esta reforma también se incluyen otros nuevos delitos, como la captación de menores para espectáculos pornográficos o el tráfico ilegal de órganos. También se contemplan nuevas penas o la responsabilidad penal de las personas jurídicas. Los delitos relacionados con la propiedad intelectual también han sido modificados, de manera que los “pequeños manteros”, según palabras de Moncloa, podrán no ir a la cárcel.

Según el Consejo de Ministros, esta reforma pretende dar respuesta penal ante “nuevas formas de criminalidad, como las derivadas de las nuevas tecnologías”, entre otros objetivos, como el de someterse a las “obligaciones internacionales que España tiene contraídas, y más específicamente en el ámbito de la armonización jurídica europea, que exigen adaptaciones de nuestras normas penales”. En este caso concreto se inscribe, entre otros, la tipificación penal de los delitos informáticos.

Así, se considera como ataques informáticos acciones tales como “borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos o programas informáticos ajenos”, “obstaculizar o interrumpir el funcionamiento de un sistema de información ajeno” o “el acceso sin autorización vulnerando las medidas de seguridad a datos o programas informáticos contenidos en un sistema informático o en parte del mismo”.

Con esta reforma del Código Penal también se legisla la responsabilidad penal de las empresas, quienes podrán ser multadas, inhabilitadas o, incluso, disueltas.

Fuente: IDG

OWASP Top10 2010 RC1

noreply@blogger.com (www.segu-info.com.ar) — Tue, 17 Nov 2009 15:43:00 PST

Durante la conferencia OWASP AppSec DC celebrada el 13 de noviembre se ha hecho público el primer borrador del famoso proyecto OWASP Top10 2010, que enumera los riesgos de seguridad más críticos en aplicaciones web. Espera ser finalizado el primer cuatrimestre del nuevo año.

La versión anterior es del año 2007 y sufrirá las siguientes modificaciones:

Añadido punto A6: "Security Misconfiguration", que aparecía en el 2004 en décimo puesto (como Insecurity Configuration), recupera sitio el próximo año.
Añadido punto A8: "Unvalidated Redirects and Forwards", es nuevo este año y hace referencia a las aplicaciones web que se valen de un parámetro web para redirigir el sitio a otra zona de la página web.
Eliminado punto A3: "Malicious File Execution" es eliminado de la lista ya que era algo que se da mucho en aplicaciones PHP, pero con las nuevas opciones de ejecución de este lenguaje su número ha disminuido.
Eliminado punto A6: "Information Leakage and Improper Error Handling" es eliminado pese a que su existencia es muy alta por su bajo impacto.

1.- Presentación OWASP AppSec DC - Top10 2010: http://www.owasp.org/images/a/a1/AppSec_DC_2009_-_OWASP_Top_10_-_2010_rc1.pptx
2.- Documento OWASP Top 10 - 2010 (RC1): http://www.owasp.org/index.php/File:OWASP_T10_-_2010_rc1.pdf

Fuente: Security by Default