Mas consejos de Seguridad para usar las Redes Sociales (II)

Hace unos cuantos dias recopilabamos una serie de consejos para poder hacer mas segura la navegacion cuando estamos dentro del mundo de las redes sociales; aqui les dejamos unos cuantos mas ya que nunca esta de mas estar precavidos ya que aunque parezca inofensivo colgar alguna foto o escribir informacion personal siempre hay quien busca el lado opuesto para hacer el mal.

Consejos:

• No creas todo lo que lees en Internet, puesto que se puede publicar información falsa o engañosa acerca de diversos temas, incluida la identidad de una persona que conozcas por Internet. Por lo que es recomendable tomar las precauciones adecuadas, y tratar de verificar la autenticidad de cualquier información antes de nada.
• Configurar la privacidad en la red social, muchas de las redes sociales ofrecen que puedas configurar la privacidad del sitio, que por defecto suele ser que tu perfil sea visto por todo el mundo. Una buena opción es configurar tu perfil para restringir el acceso sólo a determinadas personas.
• Sin embargo, existe el riesgo de que incluso esta información privada pueda estar expuesto, así que no publiques nada que no desees que el público vea. Además, de ser cauteloso al decidir que las personas quieres que vean tu perfil.
• Protege tu cuenta con contraseñas que no puedan ser fácilmente adivinadas, (os aconsejamos leer “Buenos hábitos cuando elijamos una contraseña” , si tu contraseña es comprometida alguien puede ser capaz de acceder a su cuenta y hacerse pasar por ti, por lo que es muy recomendable usar contraseñas fuertes.
• Mantener el antivirus, por lo que podrás ser capaz de detectar y eliminar los virus antes de que puedan hacer cualquier daño en tu equipo, y también mantener el sistema operativo actualizados así podrás evitar que los ciberdelincuentes aprovechen las vulnerabilidades de tu ordenador para introducir malware en él.

Recuerda que los niños son especialmente susceptibles a las amenazas en las redes sociales, y aunque muchos de estos sitios tienen restricciones de edad, los niños pueden tergiversar sus edades para poder unirse a ellas.

Y recuerda que el sentido común es una de las mejores defensas para navegar seguros por Internet, aunque no siempre es suficiente.

VER Mas consejos de Seguridad a la hora de usar las Redes Sociales (I)

by komz (websecurity.es / us-cert.org)

Protección de dispositivos portátiles: Seguridad física

Muchos usuarios de computadoras, especialmente aquellos que viajan por negocios, se basan en ordenadores portátiles y PDAs porque son pequeños y fáciles de transportar. Pero mientras Estas características los hacen populares y convenientes, también los hacen un objetivo ideal para los ladrones. Asegúrese de de proteger sus dispositivos portátiles protegiendo tanto la máquina como la información que contiene.

Cual es el riesgo?

Sólo usted puede determinar lo que realmente está en peligro. Si un ladrón roba su ordenador portátil o PDA, la pérdida más obvia es la propia máquina. Sin embargo, si el ladrón es capaz de acceder a la información en el ordenador o PDA, toda la información almacenada en el dispositivo está en riesgo, así como cualquier informacion adicional que puede acceder como resultado de los datos almacenados en el propio dispositivo.

Probablemente ha escuchado historias pánico, debido al robe de ordenadores portátiles. Inclusive auqnue no exista informacion sensible de la empresa en su portátil o PDA, piense en la otra información que pueda tener y puede estar en riesgo: información ejecutiva, contraseñas, direcciones de correo electrónico y otra información de contactos, información personal de cuentas bancarias, etc

MAS SOBRE ESTE ARTICULO

Consejos para realizar compras “online” de forma Segura.

Ha llegado Navidad…epoca de alegrias, fiestas, regalos y compras…muchas compras; compras que crean aglomeracion de multitudes en las calles, en los centros comerciales, en las colas para pagar, en todos lados…pero es Navidad asi que todo se aguanta… pero existe una solucion para los que no quieran pasar por estas molestias…”online shopping“

Online Shopping o compras online se ha convertido en una forma popular de  comprar todo tipo de artículos evitando esas molestias que mencionabamos. Sin embargo, comprar por Internet tiene riesgos únicos, por lo que es importante tomar medidas para protegerse cuando realizas una compra online.

¿Por qué los compradores online tienen que tomar precauciones especiales?

Internet ofrece una comodidad que no está disponible en cualquier otro centro comercial. Desde la comodidad del hogar, usted puede buscar artículos de cientos de vendedores, comparar los precios con unos pocos clics del ratón, y hacer compras sin tener que esperar en la fila. Sin embargo, Internet también es conveniente para los atacantes, dándoles múltiples maneras de acceder a la información personal y financiera de los compradores desprevenidos. Los atacantes que son capaces de obtener esta información podrián utilizarla para su propio beneficio económico, ya sea por sí mismos o haciendo compras para ellos mismos o poniendo en venta la información personal robada a otra persona.

MAS SOBRE ESTE ARTICULO

Consejos para proteger a los jóvenes del ciberbullying

El término de Ciberbullying o ciber-acoso se define como el uso de las tecnologías de la información y de las comunicaciones (especialmente de teléfonos móviles e Internet) para molestar, intimidar, excluir o maltratar de forma deliberada a otros. Este fenómeno se da especialmente en las escuelas.

Trend Micro subraya en que el uso de Internet y la tecnología debería ser una experiencia positiva para la gente joven, y de hecho, lo es para la mayoría de ellos. No obstante, también existen personas que utilizan la tecnología con fines negativos. Cuanto un joven es “bullied”, es decir, intimidado o acosado por Internet o a través del teléfono móvil por sus compañeros, la Red deja de ser un lugar seguro o divertido para ellos pasando a convertirse en una fuente de temor y miedo.

Varios estudios realizados en todo el mundo revelan que más de la tercera parte de la gente joven ha experimentado o ha sido víctima de ciberbullying. Los jóvenes pueden ser participantes, así como víctimas del cyberbullying, y hay riesgos para cualquiera que incurra en esta conducta.

Si alguien ha tenido una experiencia de acoso escolar, entonces puede imaginar lo que un usuario siente al ser acosado por un cyberbully que envía mensajes intimidatorios a su móvil o al email, y que deja mensajes hirientes e intimidatorios en sites de redes sociales para hacerle daño.

El ciberbullying o acoso por Internet se ha convertido en una herramienta tecnológica de moda, así como en una pesadilla para las víctimas que la padecen. Por tanto, el envío de mensajes amenazadores o imágenes humillantes, la difusión de secretos o información errónea en chats, la distribución de contenidos hirientes por email o “postear” datos falsos y acosar en redes sociales como Facebook, puede ser considerado como un delito penal.

Para ayudar a navegar en este “lado oscuro” de las tecnologías de la comunicación, Trend Micro ofrece a continuación unos consejos que los padres podrán dar a los jóvenes para mantenerse a salvo de ciberbullying:

1.- Piensa en lo que vas a postear. Sé precavido o cuidadoso con cualquier información personal que compartas online, incluso con aquellos que conoces, con los emails privados, las conversaciones y los mensajes de texto. Recuerda que la información podría ser publicada por cualquiera con quién la compartas.

2.- Sé agradable online. Esto puede sonar simple, pero si haces comentarios irrespetuosos en la Red existe mayor probabilidad de que te conviertas en víctima de ciberbullying. Trata a la gente como a ti te gustaría que te trataran.

3.- No participes. Aunque tú no seas el agresor no te conviertas en su cómplice, es decir, no permanezcas indiferente ante un acosador. Defiende a la víctima y comenta la situación a tus padres, profesores u otros adultos que tengan capacidad para informar y actuar ante el mal comportamiento.

4.- No seas vengativo. Si alguien dice o hace algo online que te incomoda, es mejor que lo ignores o bien bloquees su contacto. Tomar represalias puede servir únicamente para que el acoso continúe.

5.- Informa de las malas conductas a un conocido. Si alguien continúa haciéndote cyberbullying (online o por teléfono móvil), díselo a tus padres, profesores o a otros adultos en los que confíes.

6.- Comunica la existencia de malas conductas al proveedor de servicio de email, telefonía, mensajería instantánea, redes sociales o cualquier otro servicio online. Es importante que estos estén informados del uso que las personas hacen de sus servicios. Si el contenido es ilegal o no cumple con los términos del servicio, pueden eliminar el contenido denigrante de Internet. Si la actitud es bastante extrema, también puede proporcionar la información de la cuenta y el contenido a las fuerzas de seguridad para cumplir con los procesos legales.

7.- Guarda las pruebas. Si la actitud acosadora persiste, pide ayuda a tus padres u otros adultos para recuperar los mensajes ofensivos, fotos o copias de las conversaciones online. Las formas más graves de ciberbullying deben ser comunicadas a la policía.

DATOS IMPACTANTES.

• * El 7,7% ha sufrido burlas mediante el móvil.
• * El 10,5% ha visto su identidad suplantada en chats.
• * El 7,3% ha sido amenazado mediante el MSN messenger.
• * El 1,2% ha sufrido la divulgación por email de vídeos comprometidos suyos.
• * El 6,6% se ha encontrado con fotos indiscretas suyas publicadas en la WWW sin su permiso.
• * El 7,4% ha sufrido rumores y falsedades difundidas sobre él en las redes sociales online.

OTRAS REFERENCIAS

fuente: laflecha.net

Mas consejos de Seguridad para usar las Redes Sociales (I)

No es la primera vez que tocamos el tema sobre las redes sociales en especial sobre la seguridad, un tema muy de moda en los ultimos tiempos, pero que a su vez esta causando mas de un dolor de cabeza a todos los que de forma ingenua o por desconocimiento  que nada puede pasarnospor colgar fotos, videos o poner informacion personal….pues estan muy equivocados todos los que piensan asi…las redes sociales traen consigo riesgos de seguridad, por lo que es importante tomar ciertas precauciones al momento de navegar entre ellas.

Aunque las características de las distintas redes sociales son diferentes, todas te permiten proporcionar información personal, tambien  ofrecen algún tipo de mecanismo de comunicación (foros, chats, correo electrónico, mensajería instantánea) que permiten conectarse con otros usuarios, por lo que disponen de cierta cantidad de información personal.

Si bien la mayoría de las personas que utilizan estos sitios no suponen una amenaza, personas malintencionadas pueden extraer información de usuarios debido a la cantidad de información personal que está disponible, y cuanta más información tengan sobre un usuario más fácil lo tendrán para aprovechar está información personal en contra de uno.

La información personal también puede ser utilizada para llevar a cabo ataques de ingeniería social, utilizando la información proporcionada para suplantar a un amigo o acceder a sus datos personales o financieros.

Además, debido a la popularidad de estos sitios, los atacantes pueden utilizar para distribuir código malicioso, puesto que muchas redes sociales ofrecen aplicaciones desarrolladas por terceros, por lo que son particularmente susceptibles de que infecten su equipo sin tu conocimiento.

Mas consejos para protegernos:

• Limitar la cantidad de información personal que publiques; no publiques información que te haga vulnerable, como tu dirección, información sobre tu horario o tus rutinas. También es importante no publicar fotografías coprometedoras, acerca de tus amigos.
• Recuerde que Internet es un recurso público, y que la información puede ser vista por todo el mundo, esto incluye información, fotos en tu perfil, en los blogs y en otros foros. Además, una vez publicada no es seguro que puedas retractarte de ella. Incluso si quitas la información de un sitio, puede estar guardada en la caché de los ordenadores de otras personas.
• Ten cuidado de los extraños, Internet hace que sea fácil para las personas introducir información falsa sobre sus identidades, así como sus intereses hacía ti, por lo que ten precaución con las personas que puedan ponerse en contacto contigo en las redes sociales, y si interactúas con gente que no conoces, ser cauto acerca de la cantidad de información que revelas con ellos.

En el siguiente artículo continuaremos viendo mas consejos de como mantenernos mas seguros en las redes sociales.

ARTICULOS RELACIONADOS:

La seguridad de las REDES SOCIALES, en entredicho

fuente: websecurity.es | us-cert.org

OWASP Top10 2010 RC1 (the ten most critical web application SECURITY RISK)

Durante la conferencia OWASP AppSec DC celebrada el 13 de noviembre se ha hecho público el primer borrador del famoso proyecto OWASP Top10 2010, que enumera los riesgos de seguridad más críticos en aplicaciones web. Espera ser finalizado el primer cuatrimestre del nuevo año.

La versión anterior es del año 2007 y sufrirá las siguientes modificaciones:

• Añadido punto A6: “Security Misconfiguration”, que aparecía en el 2004 en décimo puesto (como Insecurity Configuration), recupera sitio el próximo año.
• Añadido punto A8: “Unvalidated Redirects and Forwards”, es nuevo este año y hace referencia a las aplicaciones web que se valen de un parámetro web para redirigir el sitio a otra zona de la página web.
• Eliminado punto A3: “Malicious File Execution” es eliminado de la lista ya que era algo que se da mucho en aplicaciones PHP, pero con las nuevas opciones de ejecución de este lenguaje su número ha disminuido.
• Eliminado punto A6: “Information Leakage and Improper Error Handling” es eliminado pese a que su existencia es muy alta por su bajo impacto.

Referencias:

1.- Presentación OWASP AppSec DC – Top10 2010

2.- Documento OWASP Top 10 – 2010 (RC1)

fuente: securitybydefault.com

Criterios para la Evaluación de los Escaners de Seguridad Web

La Web Application Security Consortium, grupo internacional de expertos en seguridad de aplicaciones web, ha publicado un su web, un documento titulado “Web Application Security Scanner Evaluation Criteria” en el que nos presentan los criterios que debe tener en cuenta un escaner de seguridad para aplicaciones web la hora de probar de forma efectiva las aplicaciones web y de identificar las vulnerabilidades que en ellas se encuentran.

Este documento proporciona una lista completa de características que deben ser considerados cuando se realiza una evaluación de la seguridad en aplicaciones web y su objetivo es proporciona las herramientas y documentación para permitir que cualquiera persona pueda evaluar los escáneres de seguridad web y elegir el producto que mejor se adapte a sus necesidades.

El documento Web Application Security Scanner Evaluation Criteria puede ser leído de forma online directamente desde la pagina de La Web Application Security Consortium o puede ser descargado en formato PDF

fuente: dragonjar.org

Up or Down de la Nube…Cloud Computing

Es el término de moda en el sector de tecnologías de la información. El que más debate genera, con defensores y detractores enfrentados en dos bandos que parecen irreconciliables. Es lo que los anglosajones han bautizado como cloud computing o informática en la nube.

Ante la variedad de definiciones sobre el cloud computing, la avalancha de noticias y de proveedores que se han puesto a volar por las nubes, y las incertidumbres que genera, se ha elaborado una pequeña guía para aclarar conceptos sobre esta tecnología.

1. ¿Qué es el ‘cloud computing’?
Es un modelo que permite proveer, vía Internet y en tiempo real, servicios y productos tecnológicos, tanto a los consumidores como a las empresas. Un ejemplo sencillo: en vez de utilizar un procesador de textos que resida en el ordenador, el usuario se conecta vía web a una aplicación con la que redacta su documento, que luego se guarda en la nube de Internet.

2. ¿Acabará todo en la nube?
Algunos son muy críticos con el cloud computing, y lo ven como otra moda más de una industria muy dada a “inventar” términos reciclando tecnologías existentes (articulo relacionado). En el otro extremo, están quienes creen que es una revolución de tal calibre que, en el futuro, la informática se consumirá en pago por uso como ahora hacemos con el agua o la luz. “No es una moda, es la tendencia natural. No hay marcha atrás”, opina Carlos Gracia, director de Google Enterprise.

“Será difícil que se dé el caso extremo de que todo se base en entornos cloud computing”, aun asi se  prevé que el mercado potencial de cloud computing se duplique en los próximos cuatro años, hasta sobrepasar los 135.000 millones de dólares, 91.748 millones de euros.

3. ¿Dónde se puede aplicar?
Hay tres grandes ámbitos de actuación. El primero es el que se conoce como el software como servicio (SaaS en su acrónimo en inglés): las empresas no instalan aplicaciones en sus centros de datos, porque un proveedor se las suministra a través de Internet.

También existe la infraestructura como servicio (IaaS): las compañías, en un modelo de autoaprovisionamiento, pagan por el consumo que realicen de capacidad de almacenamiento o de computación en los centros de proveedores externos. Por último, se encuentra lo que se conoce como plataforma como servicio (PaaS), donde se provisiona, por ejemplo, una plataforma para programar aplicaciones. De los tres, es el primero el que más recorrido tiene a sus espaldas: en España, lo han adoptado un 27% de las empresas, según IDC.

4. ¿Me ahorro dinero?
Una empresa puede empezar a utilizar una tecnología sin necesidad de hacer una inversión inicial en infraestructura informática y software, puesto que se sigue el modelo de pago por uso. “Se paga únicamente por aquello que se necesita y se ahorra en costes de mantenimiento, tanto de hardware como de software necesario”.

Por ejemplo, Google Apps, las aplicaciones en la nube del gigante de Internet para empresas, que incluyen el correo electrónico Gmail. Los clientes pagan 40 euros anuales por cada usuario. “Estamos hablando de una solución entre 4 y 5 veces más barata que una tradicional”.

El grupo turístico Serhs tiene más de 1.000 cuentas activas en Google Apps, con las que se ha gastado un 70% menos respecto a otras soluciones. Los ahorros anuales, al contabilizar también ancho de banda, servidores, licencias de antivirus, etc., se han cuantificado en 50.000 euros.

Sin embargo, los ahorros no son siempre evidentes. “Es importante que, antes de mover cargas de trabajo a estos entornos, se haga un estudio de viabilidad técnica y de rentabilidad, para que la empresa vea si le sale a cuenta la inversión”.

5. ¿Es más flexible?
Es uno de los grandes atractivos del cloud computing. Éste fue uno de los motivos por los que la empresa española de seguridad Panda Security optó por utilizar una solución de gestión de relaciones con los clientes (CRM) de Salesforce.com, uno de los grandes proveedores de la nube.

“Con 12 filiales y 44 franquicias, el tiempo de implantación era el mejor. La decisión no se basó tanto en los costes como en el ahorro de tiempo en el despliegue. Además, la plataforma es flexible, lo que permite adaptar la aplicación estándar a nuestros procesos de negocio”.

6. ¿Es seguro?
Muchas empresas recelan de tener que alojar los datos en un entorno que comparten otras empresas y está controlado por un tercero. Además, ¿qué pasa si el servicio se interrumpe? “Se ha abierto un debate acerca de si las redes de provisionamiento van a ser públicas (Internet), o si se van a crear centros privados, en los que varias empresas compartan infraestructura para proveer servicios en la nube”.

Las empresas deberían evaluar las credenciales de seguridad del proveedor, conocer qué estándares sigue, a qué revisiones externas se somete y qué capacidades de recuperación dispone en caso de alguna contingencia.

Los proveedores deben ofrecer acuerdos de nivel de servicio. Pero, dado que el consumo se realiza a través de la nube, también el proveedor de comunicaciones tiene que ofrecer ese mismo nivel. “Esto puede ser realmente caro, disminuyendo el peso de uno de los principales factores de compra, como es la reducción de costes e inversión”, explica Alonso.

7. ¿Qué proveedores hay?
“El mercado está por definir y la cadena de valor no está clara”. Figuran los jugadores de Internet como Google o Amazon, las empresas de hosting, los operadores de telecomunicaciones como Telefónica, las empresas de tecnología como IBM o HP, y los proveedores de software como Salesforce.com o Microsoft.

El debate tecnológico del año

A favor

• Permite utilizar un servicio tecnológico sin tener que hacer una inversión inicial.
• Se paga únicamente por aquello que se necesita.
• Flexibilidad a la hora de realizar actualizaciones.
• Más facilidad para escalar la infraestructura.

En contra

• Falta de cultura sobre qué supone el ‘cloud computing’.
• Bajo nivel de confianza en la privacidad de los datos.
• Dudas acerca de la seguridad de los sistemas.
• Sensación de pérdida de control y gran dependencia del proveedor.-

“Hardening” o fortificacion de sistemas (I)

En informática, la palabra o frase conocida en ingles como “hardening” podria traducirse como endureciendo o fortificacion y por lo general se utiliza para referirse al proceso de asegurar un sistema reduciendo su entorno de vulnerabilidades, en otras palabras fortificar un sistema en contra de vulnerabilidades; un sistema totalmente seguro es aquél que se encuentra desconectado y aislado del exterior. Una situación así se antoja irreal.

El proceso de fortificación o hardening tiene como objetivo mejorar las medidas de seguridad del sistema en cuestion. Dicho proceso de seguridad debe proteger la confidencialidad, la integridad y la disponibilidad de los datos que se manejan, los cuales no caer en manos de personas no autorizadas. La reducción de los vectores de ataque disponibles normalmente incluyen la eliminación de programas innecesarios, cuentas de nombres de usuario innecesarias o inicios de sesión y la desactivación o eliminación de servicios innecesarios. Todo esto con la intencion de mantener nuestros sistemas lo menos vulnerable posible.

Con este paper tratamos de darle al lector una vision sencilla y clara sobre lo que se conoce como “hardening” o fortificacion, ademas de algunas pautas a tomar en consideracion en sistemas bajo windows en general (clientes / servidores Windows 2003) , pero que NO pretende ser esto, una guia paso a paso.

MAS SOBRE ESTE ARTICULO (en construcción)

Sec-Track.com… Proyecto Colaborativo de Entrenamiento en Seguridad Informática

¿Qué es Sec-Track?

Sec-Track es un proyecto colaborativo que ofrece un repositorio de recursos relacionados con la implementación y el desarrollo de laboratorios  de entrenamiento e investigación sobre Seguridad Informática. Estos recursos son distribuidos por  medio de entornos virtualizados que asemejan entornos reales, dichos entornos pueden ser implementados en diferentes ambientes de capacitación e investigación.

Sec-Track ofrece también un amplio repertorio de instrucciones para la implementación de entornos de virtualización, con la finalidad de que cada interesado en implementar uno de los laboratorios y/o entornos disponibles pueda hacerlo simplemente siguiendo dichas instrucciones.
Sec-Track pone a disposición la documentación base para el desarrollo de entornos virtualizados por parte de los usuarios inscritos. Estos serán publicados en Sec-Track y cualquier persona, organización o entidad podrá descargarlos y tratar de cumplir con los objetivos propuestos por sus desarrolladores o proponer nuevas metas.

Otro de los objetivos de Sec-Track es ofrecer un espacio colaborativo en el cual, las diferentes comunidades, grupos de investigación, empresas y usuarios puedan publicar sus propios entornos de entrenamiento, retos y pruebas, wargames, CTF, Crackmes en cualquiera de las diferentes temáticas, con la finalidad de que las demás comunidades puedan descargarlos e implementarlos para buscar una solución al mismo, pero aun más importante generar la respectiva documentación de dicho proceso.

¿Cómo puedo participar en Sec-Track?

Todos son bienvenidos a Sec-Track (Y).

Sec-Track pone a disposición una serie de recursos para la implementación de laboratorios de entrenamiento en seguridad (entornos, retos, wargames, pruebas, CTF, documentación, etc) cada usuario puede descargar y poner a prueba sus conocimientos o adquirirlos siguiendo los video tutoriales y documentación publicada.

Los usuarios más avanzados pueden proponer nuevas formas de cumplir dichos objetivos, nuevos retos o mejorar los ya existentes.

¿Cuáles son las temáticas que abarca Sec-Track?

Sec-Track tratará de cubrir cada una de las temáticas relacionadas con la seguridad informática. Por ahora ofrece los siguientes campos de acción:

* Test de Penetración
* Análisis de Malware
* Criptografía
* Aseguramiento (Hardening)
* Ingeniería Inversa
* Informática Forense
* Gobierno IT

Video introductorio al proyecto >>

Más información >>

Web Oficial del Proyecto Colaborativo Sec-Track

fuente: dragonjar.org

MIS NOTAS

MIS NOTAS es un apartado en donde se trata de abarcar, por medio de posts, los temas mas sobresalientes e interesantes a lo que Seguridad informatica se refiere.

Estos “post” o NOTAS son recopilación de información de artículos, blogs, e-magazines, etc  añadidos a la experiencia profesional, dentro del mundo de la SegIngo, así como la experiencia personal del autor que trata de enfocar de forma sencilla y rápida la mejor manera de vincular la vida cotidiana con la tecnología pasando por la seguridad informática, haciendo la experiencia del lector mas amena.

Listado de NOTAS publicadas:

• Mejores practicas para el manejo de Vulnerabilidades
• Protector de Pantalla con consejos de Seguridad v2.0
• Seguridad en la Red: fundamentos
• Buenos hábitos en Seguridad Informática
• Consejos sencillos para crear una contraseña menos inSEGURA.
• Navegadores, seguridad y otras cosas.
• SEGURIDAD en Tarjetas de Credito (I)
• SEGURIDAD en Tarjetas de Credito (II)
• BACKUP…necesidad o perdidad de tiempo, espacio y dinero
• Tendencias en despliegues de Redes Wi-Fi corporativas
• Guia para proteger las redes WIFI DOMESTICAS
• Teletrabajo y la Seguridad
• La seguridad de las REDES SOCIALES, en entredicho
• “The Cloud” o “Cloud Computing”… negocio, tendencia o nuevo estilo de usar el internet.
• NEW Mas consejos de Seguridad a la hora de usar las Redes Sociales (I)
• NEW Consejos para realizar compras “online”de forma segura
• NEW Protección de dispositivos portátiles: Seguridad física
• “Hardening” o fortificacion de sistemas (I)
• NEW Mas consejos de Seguridad a la hora de usar las Redes Sociales (II)

Próximas NOTAS relacionadas con:

• Politicas de Seguridad
• Informatica Forense
  
• Planes de Continuidad de Negocio
• Recuperacion de Desastres
• Seguridad en casas de apuestas online
• Seguridad en la virtualizacion
• y otros…
  

by komz

¿Cuál es la contraseña más robusta?

La noticia sobre el robo de claves que afectó a unos 10.000 usuarios de Hotmail y que también ha salpicado a los usuarios de Gmail y Yahoo Mail, ha animado a Google a explicar las pautas básicas que debe tener el usuario cuando escoge una contraseña para sus cuentas de Internet.

Michael Santerre, responsable de las operaciones de consumo de Google, recomienda que se use una clave única para cada sitio web, evitando las contraseñas clásicas de series como abcd1234 o palabras como password. El directivo ha explicado que lo mejor es seleccionar una frase y utilizar la primera letra de cada palabra o alguna variación de ella como contraseña.

Santerre indica que las claves deberían ser una mezcla de caracteres de números, símbolos y letras combinadas en mayúsculas y minúsculas para minimizar el riesgo. Hay que tener en cuenta que los cibercriminales en su filtrado para averiguar las contraseñas suelen utilizar todas las palabras recogidas en los diccionarios como bases de datos potenciales para claves.

Google cree que utilizar información personal para las claves es una práctica inadecuada pues estos datos podrían recogerse de la información que escribimos en las redes sociales. Finalmente, hay que tener en cuenta el mismo consejo cuando escojamos la pregunta de seguridad para recuperar nuestra password. En ese caso hay que elegir una pregunta de seguridad de la que tengamos certeza que sólo nosotros sabremos la respuesta o hacer modificaciones en la misma siguiendo las recomendaciones expuestas para las claves (combinando números y letras en mayúsculas y minúsculas).

Aprovechando estos ultimos ataques de phising, en donde se han llegado a comprometer miles de cuentas de hotmail, yahoo y gmail, volvemos a facilitarles unos faciles y rapidos consejos para hacer la creacion de una contraseña mas dificil de adivinar ademas de consejos para que puedan navegar por internet mas confiados y evitar caer en las manos de ciberdelincuentes.

Consejos sencillos para crear una contraseña menos inSEGURA.

GUIA para protegerse del Phishing

NAVEGACION SEGURA POR INTERNET

by komz

La empresa First Cyber Security reta a los phishers

Una nueva tecnología podría ayudar a las empresas a redirigir a sus clientes de las páginas web falsas a las auténticas.

La empresa de autenticación web First Cyber Security ha lanzado una versión extendida de su servicio de autenticación SOLID (Secure online identity) con nuevas capacidades que ayudan a las empresas a proteger a sus clientes de las estafas de phishing.

La nueva funcionalidad redirige automáticamente a los usuarios que, median engaños, han llevado a páginas web falsas, a las auténticas. Desde la empresa afirman que es difícil estar en guardia constantemente y que el nuevo servicio ofrecerá mayor seguridad a los clientes de bancos y otras organizaciones que se suscriban a su servicio. De manera transparente los usuarios que hayan pinchando sobre un enlace que les llevaría a una página web falsa acaban en la verdadera, “impidiéndoles perder dinero, datos personales, o descargando malware en sus máquinas”.

En el siguiente VIDEO se explica en qué consiste y cómo funciona el servicio de autenticación SOLID.

fuente: itespresso.es

Mejores practicas para el manejo de Vulnerabilidades

La mayoría de las intrusiones y agujeros de seguridad pueden ser resueltas si se toman las acciones preventivas apropiadas. Desafortunadamente, los administradores de seguridad no cuentan (al 100%) con todos los recursos necesarios para corregir cada una de las vulnerabilidades  encontradas en sus sistemas.

De tal manera y para asegurar los niveles más elevados de seguridad  con el menor grado de interrupción, se recomienda aplicar luna serie de medidas, denominadas Las mejores prácticas de Seguridad, descrita a continuacion:

A través de la utilización de las últimas tecnologías, Las Mejores Prácticas de Seguridad para Análisis de Vulnerabilidades y Prevención pueden conseguirse en 5 pasos:

1. Identificación de Dispositivos: Con el conocimiento necesario, los administradores (o personas encargadas)  por medio de herramientas de análisis o de mapeo de redes deben escanear las redes (y subredes) para determinar las direcciones TCP/IP y los dispositivos (equipos a escanear) asociados a dichas direcciones. Adicionalmente se deben determinar que sistemas son los más críticos y priorizarlos. (Recordar la importancia de tener respaldo de aquellos sistemas criticos para la empresa)

2. Escaneo de Vulnerabilidades: el descubrimiento de vulnerabilidades es generalmente ejecutado usando herramientas llamadas scanner de vulnerabilidades, necesarias para este tipo de actividad, algunas gratuitas otras comerciales. Se debe ser muy cuidadoso en la selección de dicha herramienta ya que de ello dependerá lo efectivo del proceso y la veracidad de los resultados obtenidos. Entre los aspectos a considerar  debe tener en cuenta:

• la cantidad de firmas que pueda generar el fabricante del scanner para mantenerlo actualizado segun las vulnerabilidades que van surgiendo,
• las plataformas sobre las cual puede operar,
• impacto sobre el ancho de banda y  sobre equipos escaneados (para no provocar DoS en equipos escaneados),
• rapidez con la que pueda escanear
• cantidad y calidad de eventos detectados,
• facilidad de manejo de los eventos detectados
• configuracion y facilidad de la interfaz para el manejo de la informacion
• y por supuesto el coste del mismo.

3. Analizar Vulnerabilidades: luego de la detección de vulnerabilidades, toda la información capturada debe ser analizada de forma cuidadosa para asi poder para establecer los pasos necesarios a la hora de desplegar los parches necesarios para tapar los agujeros de seguridad encontrados.

4. Parcheo de Vulnerabilidades: Una vez que han sido analizadas las vulnerabilidades se debe programar la ejecución del parcheo el cual podría realizarse de forma manual (en caso de muy pocos equipos o equipos que requieran mayor importancia) o de forma automatizada; el proceso manual puede ser extremadamente engorroso y costoso (tiempo/recurso) haciéndose al final inmanejable por parte de los administradores, es por ello que se recomienda soluciones automatizadas (bien planeadas)

5. Mantenimiento y Monitoreo Proactivo: En vista de que nuevas vulnerabilidades son detectadas e identificadas diariamente, y por tanto las vulnerabilidades aparecen nuevamente en los sistemas, es importante aplicar el ciclo de manera recurrente.

Para terminar se adjunta un documento en donde se habla, de forma distendida, como se debe gestionar todo un sistema encargado de  las vulnerabilidades dentro de un entorno informatico.

[RS] VULNERABILITY MANAGEMENT FOR DUMMIES

by komz

5 lecciones sobre Cloud Security by Microsoft

Cuando se habla de Cloud Computing se suelen generar vivos debates sobre si el paradigma es o no revolucionario, si realmente aporta tanto como dice o si se trata de una moda pasajera (muy recomendable, para todos los interesados en Cloud Computing seguir Nubeblog). Independientemente de estas disquisiciones, uno de los aspectos que generalmente se obvian es la seguridad asociada a este tipo de servicios.

Hace poco cayó en mis manos un artículo en la que se hablaba sobre el punto de vista de la seguridad que ha aplicado Microsoft a sus servicios Cloud llamados Azure, tal vez el hecho de haber sido un jugador tardío le ha permitido diseñar con mas tino aspectos relacionados con la seguridad.

Haciendo un resumen libre sobre el artículo, en el se destacan los cinco planteamientos en los que Microsoft ha diseñado la seguridad de sus productos:

• Entender los riesgos asociados al Cloud Computing y explicarlos sin tapujos: En vez de optar por una estrategia de venta tipo ‘mercado de coche usado’ haciendo hincapié en las bondades del producto, Microsoft se ha tomado en serio el hecho de que un escenario cloud tiene sus implicaciones de seguridad y que el cliente debe ser consciente de ello
• Cumplir estándares: Aunque suene un poco extraño leer eso de Microsoft, parece que en la compañía entienden que los estándares y las métricas de seguridad están diseñadas y escritas por un motivo y cumplirlas, es beneficioso para todos
• Estandarización de plataformas: Aquí Microsoft afronta sin tapujos uno de los problemas del Cloud Computing, la ausencia de interoperabilidad de plataformas, trabajar con Amazon o Google probablemente te convierta en el temido ‘cliente cautivo’ debido a que no existe interoperabilidad mutua.
• Privacidad y Seguridad al mismo nivel: Cuando se habla de seguridad muchas estrategias se centran en la fortificación y la implementación de controles de acceso, pero se obvia un aspecto bastante critico: la privacidad. Parece que Microsoft se ha tomado en serio ambas cosas
• Modelos de seguridad diferentes para escenarios diferentes: Es lógico que un servicio de correo electrónico tenga un modelo de seguridad parametrizado para su función y otro de tipo Office Online tenga otras consideraciones. Múltiples políticas para múltiples servicios.

Parece que Microsoft sigue sumando security-points

fuente: securitybydefault.com

Algunos consejos para securizar smartphones corporativos

Los teléfonos inteligentes o smartphones comparten muchos de los riesgos típicos de los ordenadores de mano y son más fáciles de perder. Ajit Arya, CIO de Arlington County (Virginia, Estados Unidos), soporta BlackBerrys e iPhones y está trabajando para endurecer las políticas de gestión de estos dispositivos.

“Hemos tomado algunas medidas básicas”, explica Arya. Por ejemplo, una de las mejores prácticas recomendadas es el uso de contraseñas. Hasta el momento, la organización ofrecía a los usuarios la posibilidad de utilizarlas, pero no lo exigía.

La capacidad de almacenamiento de los smartphones está creciendo y eso hace más vulnerable la información corporativa. “Los secretos corporativos están en peligro y lo estarán por mucho tiempo”, señala Jonathan Zdziarski, autor de iPhone Forensics. Zdziarski dice que este tipo de teléfonos generalmente conserva la información borrada en un estado de posible recuperación. Y algunos ofrecen ya gigabytes de almacenamiento. Para evitar el problema que esto puede ocasionar, Arya ha introducido la posibilidad de borrar completamente los terminales por control remoto en caso de robo o pérdida.

Sin embargo, según Zdziarski, eliminar los datos remotamente puede no ser suficiente. Un ladrón de información puede deshabilitar el comando de borrado de datos simplemente extrayendo la tarjeta SIM (Subscriber Information Module) que los móviles necesitan para acceder a la red. Por eso, este experto aconseja eliminar los datos almacenados rutinariamente con iErase (para los iPhone) o Data Wipe (para los BlackBerry) para evitar así que en caso de robo, el ladrón consiga meses de información de correos y otros datos corporativos acumulados en el smarphone.

Gestionados como PC o laptops
Los smartphones deben ser gestionados como PC o laptops, como advierte repetidamente John Girard, analista de Gartner, en su lista “Diez fallos de seguridad en los smartphones que deben evitarse”. Las empresas que no aplican un proceso de gestión de configuración a estos sistemas no podrán asegurar que sus teléfonos cuentan con las adecuadas actualizaciones de seguridad a nivel de sistema operativo y aplicaciones, por ejemplo.

Debe considerarse además imprescindible disponer de un plan para gestionar la diversidad de smartphones. Girard recomienda establecer uno o dos dispositivos como estándar para el uso corporativo sin restricciones, y, quizá, un segundo nivel para un acceso mínimo, como puede ser el acceso al correo electrónico. En muchas organizaciones se concede al CEO o a otros altos ejecutivos la posibilidad de utilizar un dispositivo no estándar dentro de la compañía. Si este es el caso, el responsable de seguridad TI deberá asegurarse de que tales ejecutivos están dispuestos a asumir los costes adicionales que este uso tendrá en términos de networking y soporte, según Girard.

fuente: csospain.es

Defcon 17, presentaciones de lo que fue la convecion de este año.

Todo persona que le guste la seguridad informática conoce una de las más viejas convenciones de hackers de todo el mundo, la DEFCON, para todos aquellos que no pudimos asistir, ahora ya es posible descargar las presentaciones y charlas que se presentaron en su edición del año pasado.

Que DEFCON permitan descargar este tipo de información es my buena noticia para los amantes de la seguridad informática, puesto que además de las presentaciones podemos descargar también el código fuente que han utilizado. Sin duda, unos artículos que no pueden faltar en nuestras bibliotecas personales.

Según comentan dentro de poco estarán disponibles también los videos de las charlas, habrá que estar atento, pero mientras tanto para los que no conozcan DEFCON o quieran saber un poco más sobre está convención de hackers podéis ver este Documental sobre DEFCON.

Descargar las presentaciones y el código fuente desde su página DEFCON 17 Archive.

fuente: websecurity.es

Alertan de un incremento de delitos informaticos en las cuentas de juegos online

Desde hace muchos años las comunidades de juegos online han venido creciendo de forma constante. Y, por supuesto, los cibercriminales descubrieron hace mucho tiempo que no sólo la industria de los juegos de ordenador era capaz de hacer dinero con juegos como World of Warcraft. Los ataques de malware están fijando su objetivo en los jugadores en red mediante el robo de datos de acceso y su posterior venta.
Según el último informe sobre malware de G Data:

• Los tipos de malware más frecuentes son los troyanos, los “backdoor” y los robos de cuentas en los juegos online. También han aumentado considerablemente los ataques de la familia de gusanos “Autorun”. Las cifras se han quintuplicado en comparación con la primera mitad de 2008 y cuentan ya con 9.689 variantes.

• El 99,3% de todo el malware descubierto en la segunda mitad del año ataca a Windows. El foco sigue siendo el líder del mercado en sistemas operativos, Microsoft.

• Dos programas de software malicioso centrados en las cuentas de juegos se han metido en el top 10 del malware en los seis primeros meses del año 2009.

• Son especialmente populares entre las plataformas de negocio clandestinas, según el análisis de G Data, las cuentas de Steam y World of Warcraft. Hay un largo abanico de precios en función de distintos descuentos y de la capacidad que cada uno tenga para negociar. En este aspecto, las plataformas comerciales clandestinas son similares a las tiendas online legales.

¿Por qué se están convirtiendo los jugadores en objetivo de los cibercriminales?

El robo y la comercialización de cuentas es lucrativo para quienes lo hacen y conlleva un mínimo riesgo asociado. Cuando sucede el robo, es muy difícil que la víctima pueda comenzar un proceso contra el ladrón. Tratándose de juegos de rol, la víctima debe tener claro que es muy difícil perseguir a los ladrones por robo virtual de piezas de oro u otras características en ese tipo de juegos.

Pero los objetivos de los criminales van más allá. Una vez que han infectado el PC con un código malicioso, los criminales instalan más malware, de modo que el PC pasa a estar bajo su entero control y lo pueden conectar como si fuera un ordenador zombi dentro de una red “botnet” (serie organizada de ordenadores zombi que los criminales controlan remotamente para cometer fraudes en Internet). Estos “PCs Zombi” se utilizan con diferentes propósitos, como por ejemplo para enviar spam y ataques DDoS y son alquilados por otros criminales para sus fines. Los PCs de los jugadores online son especialmente demandados por los atacantes por tener altas prestaciones y un potente ancho de banda.

“Las cuentas de juego son bienes muy preciados demandados por los cibercriminales para comerciar con ellos. La venta de datos robados da mucho dinero y conlleva muy poco riesgo para el malhechor. Según nuestra experiencia, existe un potente mercado de plataformas de comercio clandestinas. Los jugadores online subestiman el valor de la seguridad de sus datos de acceso y, desafortunadamente, no suelen contar con soluciones efectivas de seguridad principalmente por si éstas afectan al rendimiento de sus equipos. G Data es consciente de ello y ofrece con sus soluciones de seguridad una óptima protección para los jugadores en red – sin que ello les haga disminuir el rendimiento de sus equipos,” afirma Jorge de Miguel, responsable de G Data en España.

¿Dónde está el mayor peligro al acecho?

• En los sitios web “hackeados”: el malware está ahí. Un PC se infecta cuando ese sitio web es visitado.

• Páginas falsas donde se pide la introducción de datos.

• Los servicios para compartir archivos: el P2P es otro importante foco de malware. G Data examinó en 2008 cerca de 1.000 trampas, parches, wallhacks y add-ons del top 20 de juegos de PC en línea en los que se comparten archivos. El resultado fue escandaloso: más del 65% de los archivos estaba infectado por malware.

fuente: laflecha.net

Check Point mejora el cifrado en las pymes

El nuevo Zone Alarm de la compañía incorpora la posibilidad de cifrado de disco y protección de descargas.

La empresa de seguridad Check Point prepara una nueva versión de su suite de seguridad diseñada específicamente para llevar la seguridad más sofisticada a las pequeñas empresas y usuarios. ZoneAlarm Extreme Security 2010 incorpora cifrado de disco duro AES de 256-bits, ofreciendo una gran seguridad a los usuarios que pierden sus portátiles o se los roban, según la compañía, que ha dicho que tres cuartas partes del robo de identidades procede de dispositivos perdidos o robados.

La tecnología de cifrado de ZoneAlarm se basa en la solución Endpoint Security Full Disc Encryption de Check Point para el sector empresarial, lo que asegura que todos los datos, incluidos los archivos temporales, escondidos o borrados, y las cookies almacenadas en el dispositivos no los podrá leer un usuario no autorizado. Además, los usuarios tendrán acceso a un servicio de recuperación de contraseñas 24/7.

Otra característica de la nueva suite es una funcionalidad para la protección de descargas, o Advanced Download Protection, que comprueba y analiza automáticamente cualquier programa descargado por el usuario. ZoneAlarm Extreme Security 2010 también acelera su motor de exploraciones un 85%, permitiendo una detección y eliminación del malware más rápida.

Por último destacar que la última versión de la suite de seguridad cuenta con un navegador virtual gracias al cual los usuarios podrán navegar por Internet de una manera más segura.

fuente: itespresso.es

Facebook mejora su privacidad

Tras trabajar con la Oficina del Comisionado de Privacidad de Canadá, Facebook ha anunciado varios cambios en la forma en que se manejan los ajustes de privacidad de los usuarios y del modo de acceder las aplicaciones a datos privados.

Facebook implementará los cambios sugeridos por la Oficina del Comisionado de Privacidad de Canadá durante el próximo año, mejorando así las condiciones de privacidad de los usuarios.

“Nuestro diálogo productivo y constructivo con la oficina del Comisionado nos ha dado la oportunidad de mejorar nuestras políticas y prácticas de forma que proporcionarán una mayor transparencia y control a los usuarios de Facebook”, dijo Elliot Schrage, Vicepresidente de Comunicaciones Internacionales y Políticas Públicas en Facebook. “Creemos que estos cambios, que resuelven las inquietudes pendientes de otros comisionados de privacidad, no son sólo significativos para nuestros usuarios, sino que también establecen un nuevo estándar para la industria”.

En concreto Facebook explicará mejor el motivo de pedir la fecha de nacimiento, la conmemoración en la cuenta para los usuarios de fallecidos, la diferencia entre desactivar la cuenta y el borrarla, y la forma en que funcionan los programas de publicidad. Además tratará de que todos los usuarios revisen su configuración de privacidad y comprendan lo que implica, para que no pueda haber problemas de privacidad por despiste o desconocimiento.

Respecto a las aplicaciones, Facebook cambiará la forma en que acceden a los datos de terceros obligando a que las aplicaciones especifiquen a que categorías de datos quieren acceder y haciendo imprescindible el consentimiento expreso no sólo del usuario que instala la aplicación, sino también de sus amigos a cuyos datos pretende obtener acceso.

“Creemos firmemente que los cambios en el modelo de permisos para las aplicaciones de terceros dará a los usuarios una mayor confianza en las plataforma y, por tanto, ayudará a garantizar la salud y la vitalidad del ecosistema que ha crecido alrededor de la plataforma”, según Ethan Beard, Director of Platform Product Marketing de Facebook.

10 CONSEJOS PARA MEJORAR LA PRIVACIDAD EN FACEBOOK

fuente: idg.es