Los Molestos SPAM

Cómo protegerse contra el spam

Resumen El spam, la versión electrónica del correo basura, puede reducirse siguiendo unos pocos consejos clave. Así, instalar software y contar con nombres de correo electrónico seguros, desocuparán espacio de su bandeja de entrada para mensajes importantes y de mayor relevancia.

Introducción

El spam es la versión electrónica del correo basura. A diferencia del correo electrónico comercial legítimo, el spam no es correo solicitado y suele tener fines publicitarios. Aunque el gobierno federal y los diferentes estados estén elaborando leyes contra el spam y sus creadores, estos mensajes no solicitados continúan constituyendo un problema para las empresas y los usuarios de todas partes.

Consejos para detener el spam

Los siguientes consejos pueden ayudarlo a reducir significativamente el ingreso de spam en su cuenta, desocupando espacio en su bandeja de entrada para mensajes importantes.

· Instale software para el filtrado/bloqueo de spam. El software antispam examina el correo electrónico entrante y separa el spam de los mensajes legítimos. Norton 360 identifica y detecta automáticamente el spam y el correo electrónico ofensivo, impidiendo que esos mensajes lleguen a su bandeja de entrada.

· No responda a correos electrónicos sospechosos. Si sospecha que un correo electrónico es spam, no responda, elimínelo. No haga clic en los enlaces de correo electrónico que solicitan ser eliminados de la lista del remitente. A veces, los enlaces para salir de listados no funcionan.

Además, cualquier tipo de respuesta no hace más que confirmar la dirección de su correo electrónico, lo que puede ocasionar más mensajes no deseados.

· Cree una dirección de correo electrónico desechable. Disponga de una dirección secundaria para uso público, es decir, para registros en línea y sitios de comercio electrónico. Cree una dirección secundaria para reenviar correos electrónicos a su cuenta primaria.

· Cree un nombre de correo electrónico que sea difícil de descubrir. Algunos creadores de spam utilizan programas informáticos para adivinar direcciones de correo electrónico. Las investigaciones demuestran que las direcciones de correo electrónico con números, letras y guiones bajos son más difíciles de adivinar y suelen recibir menos spam.

· Visualice correos electrónicos como texto sin formato. Los mensajes de spam escritos en HTML pueden contener programas que redirigen el navegador Web del usuario hacia una página de publicidad. Los creadores de spam utilizan imágenes en correo electrónico para localizar direcciones de correo activas que utilizarán para seguir enviando spam. Considere desactivar la función de vista previa en el programa de correo electrónico y lea los mensajes como texto sin formato.

· Cree un filtro de spam para su correo electrónico. La mayoría de los programas de correo electrónico ya cuenta con una sólida protección ante el spam. Si su programa de correo electrónico no tiene un filtro, créelo. Cree un filtro de spam que busque mensajes que no incluyan su dirección de correo electrónico en los campos "PARA": o CC: . Éste es un claro indicio de spam. Haga que el filtro transfiera los posibles mensajes de spam a una carpeta para tal fin. Los filtros de correo electrónico no son 100 % eficaces, por lo tanto, revise la carpeta para spam de vez en cuando antes de eliminarlos.

· No cree vínculos a direcciones de correo electrónico en sitios Web. Los creadores de spam utilizan spambots o arañas Web para captar direcciones de correo electrónico ubicadas en páginas Web, así que considere mostrar sus direcciones de correo electrónico de forma que los spambots no puedan reconocerlas. Por ejemplo, en lugar de escribir Juan_Doria@empresa.com, publique su dirección de correo electrónico como Juan_Doria[signo arroba]empresa.com. Otra posibilidad es mostrar sus direcciones de correo electrónico como imágenes en lugar de texto o proporcionarlas en formularios para contactos. Los formularios para contactos permiten a los visitantes del sitio Web enviar correos electrónicos completando un formulario en el navegador Web. El servidor reenvía el formulario a una dirección de correo electrónico sin darla a conocer.

· Tenga cuidado con esas casillas de verificación. Antes de inscribirse en servicios o boletines informativos en la Web, lea todo cuidadosamente. Tenga cuidado con el texto al final de los formularios de registro, donde puede haber frases como: "SÍ, deseo que terceras partes se comuniquen conmigo para informarme de productos que podrían interesarme". A veces la casilla de verificación junto al texto ya aparece seleccionada, por lo que debe desactivarla.

· Informe de la presencia de spam. La mayoría de los proveedores de servicios de Internet (ISP) prohíbe que sus usuarios envíen spam. Averigüe el ISP del creador del spam y denúncielo. Si el ISP determina que el usuario ha enviado spam, cancelará su servicio. Otra opción es denunciar el spam que haya recibido a la Comisión Federal de Comercio (FTC). Visite la página de la FTC en línea para hacer la denuncia o reenvíe el correo electrónico a la FTC para que lo investigue. También puede informar de la presencia de correo no deseado a Symantec Antispam Center.

Fuente: Sito Web de Symantec.





http://www.symantec.com/es/es/norton/index.jsp





Publicado por: Roiman Valbuena.

Nuevos Tipos de Ataques Web

"Nuevos" tipos de ataque web

Si bien muchos (¿la mayoría?) de los desarrolladores, webmaster y administradores no le prestan atención, los ataques de Cross Site Scripting (XSS) ya se han transformado en uno de los ataques más comunes y frecuentes contra los sitios web (y sus usuarios), estando desde hace tiempo en el primer puesto de la lista creada por OWASP.

Este tipo de ataque involucra la ejecución de cualquier tipo código (generalmente scripts) en una aplicación (generalmente el navegador web) y en un entorno o dominio distinto del que fue creado, permitiendo al atacante secuestrar sesiones de usuario (la víctima), modificar sitios web, infectarlo, obtener credenciales, realizar ataques de phishing, etc.

Pero, si XSS hace tiempo que se conoce y no se le presta la atención ni el respeto necesarios, ¿qué sucede con los nuevos tipos de ataques?

Los ataques XSS se ven propiciados por la incorrecta validación de los datos de entrada o, directamente por la completa ausencia de validación. Por eso este error es atribuido, con razón, a los desarrolladores, beta testers y departamento de QA (si existiera). Si no lo cree puede ver los 25 errores más comunes de programación en nuestro Boletín 128.

Este tipo de ataques se transforman en peligrosos cuando los datos "hostiles" son almacenados por el atacante en un archivo, cabecera, base de datos (SQL Injection), o cualquier otro sistema de back-end de la aplicación vulnerable y, posteriormente son volcados sin validar ni filtrar hacia el navegador (u otra aplicación) del usuario, ejecut y transformando al usuario en víctima del ataque.

Por otro lado, los "nuevos" tipos de ataques en realidad son variantes, perfeccionamientos o nuevas formas de explotación sobre los mismos ataques XSS ya existentes previamente y, la mayoría de ellos, se pueden prevenir con las mismas técnicas.

Cross-Site Request Forgery (CSRF)

CSRF [1] también conocido como Session Riding es un tipo de script malicioso en un sitio web en el que, comandos no autorizados, son transmitidos por un usuario en el cual el sitio web confía.

Se trata de una técnica prácticamente desconocida pero extremadamente peligrosa que permite aprovechar una sesión abierta en el navegador con un sitio fiable (un banco, correo, etc.) para que, desde el código HTML de una página (atacante) que se esté visitando, se cree una petición hacia la aplicación web del sitio fiable, realizando una operación sin que el usuario se percate.

Su funcionamiento es bastante sencillo, lo que lo hace aún más peligroso. Supongamos que un usuario se encuentra logueado (con sus credenciales) en una aplicación web que permite dar de alta usuarios con el siguiente formato de URL (para simplificar el escenario):

https://[sitio-empresa]/alta/?id=X&u=usuario&p=contraseña

Supongamos ahora que el usuario deja su sesión iniciada y procede a verificar su correo personal, en donde una imagen le llama la atención en un interesante anuncio. Al hacer clic sobre la imagen se visualiza la misma de la siguiente manera:

(Sí, este ataque también se puede basarse en las facilidades que brinda la Ingeniería Social) La primera línea mostrará la imagen deseada pero la segunda "imagen" (de tamaño 0 por 0) en realidad ejecutará el script de alta de usuario en la aplicación, generando un usuario 999, "MALO" y con contraseña "CAISTEUHHH".

El usuario nunca se percatará del engaño, ya que la ejecución del script se realiza porque no se había realizado el log-out de la aplicación lo tanto no se solicitan credenciales de ingreso.

Conocidos los principios básicos, este tipo de ataque se puede perfeccionar tanto como se desee y podría dar lugar a otros más novedosos e ingeniosos, como Ataques de Phishing "In-session".

Otros tipos de ataques

Como estos ataques, sus semejanzas y sus potencialidades pueden resultar confusos, recientemente Petko D. Petkov [pdp], de GNUCITIZEN, publicó una nueva terminología, la cual fue también utilizada en su conferencia en Black Hat 2008 [7]. Ellos son:

Cross-Context Request Forgery (CCRF)
Cross-Context Scripting (XCS)
Command Fixation Attacks (CFA)

Si bien bautizó técnicas que ya existían desde hace tiempo, estos "nuevos ataques" fueron los responsables de gusanos webs (del lado del cliente) que aprovechan la tecnología AJAX y que ya han afectado a Pownce, MySpace, Yahoo! y otras empresas, merced a vulnerabilidades en sus sitios web.

Para verificar que estos ataques no se lleve a cabo "el secreto" radica en verificar, validar la procedencia y codificar toda la información que es entregada al usuario (o a la aplicación) para que el mismo no termine ejecutando código dañino dentro de su entorno.

Como diría Giorgio Maone (autor de NoScript): "Si hoy la mayoría de malware se ejecuta en Windows es porque es la plataforma ejecutable más común, mañana probablemente se ejecutarán en la Web por la misma razón. Guste o no, la web ya es una gran plataforma ejecutable y, desde perspectiva una seguridad, deberíamos comenzar a pensar en ello de esa manera."

Ud. ¿ya verificó su aplicación web?
[1] Cross-Site Request Forgery (CSRF) http://www.owasp.org/index.php/Cross-Site_Request_Forgery http://blog.segu-info.com.ar/2009/01/ataque-que-es-cross-site-request.html

[2] Client-side Security http://www.blackhat.com/html/bh-usa-08/bh-usa-08-speakers.html#Petkov http://lab.gnucitizen.org/presentations/Client-side-Security-BH-Las-Vegas-2008.pdf

Tomado de: www.segu-info.com.ar

Anónimo atribuido a Sebastian Bortnik

Curso de Teoría de la Información

Este curso de teoría de la información ha sido desarrollado por el Profesor:

Dr. Jorge Ramió Aguirre
Universidad Politécnica de Madrid.

Contenido:

• La teoría de la información

• La teoría de los números

• La teoría de la complejidad de los algoritmos

• Codificación con el método de Huffman

http://www.scribd.com/word/full?id=13564224&access_key=key-2kalhgu5my59occlc4ui

Espero que encuentre en él, un soporte para sus clases.....

Publicado por: Ing. Roiman Valbuena.

Criptografia Cuántica. El nuevo paradigma en Seguridad

Criptografía Cuántica: (Quantum Cryptography, Cifrado cuántico).


La física cuántica es una disciplina que nos dice como describir, manipular, y predecir la evolución de distribuciones probabilísticas asociadas a las medidas hechas sobre sistemas microscópicos, usando dispositivos que hacen medidas macroscópicas. De ella se desprende el uso de la mecánica cuántica a sistemas computacionales.

La criptografía cuántica es la criptografía que utiliza principios de la mecánica cuántica para garantizar la absoluta confidencialidad de la información transmitida.

Las actuales técnicas de la criptografía cuántica permiten a dos personas crear, de forma segura, una clave secreta compartida que puede ser usada como llave para cifrar y descifrar mensajes usando métodos de criptografía simétrica.

La seguridad de la criptografía cuántica descansa en las bases de la mecánica cuántica, a diferencia de la criptografía de clave pública tradicional la cual descansa en supuestos de complejidad computacional no demostrada de ciertas funciones matemáticas.

En teoría el cifrado cuántico es imposible de vulnerar porque la información es codificada normalmente en fotones que no pueden ser intervenidos sin destruir el mensaje. En tanto los algoritmos de cifrado usados actualmente están basados en teorías matemáticas y, en principio, pueden ser vulnerados si se tiene la suficiente capacidad de cálculo computacional, [1].

Entre los más sorprendentes descubrimientos de la física cuántica radica que el comportamiento de un sistema microscópico es caótico y, en general, impredecible, pero las distribuciones de probabilidad que se refieren a los sistemas microscópicos, se pueden describir con gran precisión y predecir con exactitud su evolución a través de medios determinísticos usando ecuaciones diferenciales.

Sabemos que la codificación usando claves privadas aleatorias de un solo uso
Permiten llevar a cabo una comunicación segura. Pero presenta la dificultad práctica de la distribución segura de las claves. Afortunadamente, las leyes de la mecánica cuántica proporcionan herramientas para abordar el problema de la distribución segura de claves privadas. La aportación cuántica a la seguridad del proceso consiste esencialmente en que un espía no puede extraer información sin revelar su presencia a los comunicantes, ya que por las leyes de la mecánica cuántica no es posible copiar estados.

Existen diversos protocolos para la distribución cuántica de claves privadas.
El más sencillo fue propuesto en 1984 por C.H. Bennett y G. Brassard y se conoce como BB84. Después se propusieron diversas modificaciones que dan lugar a otros protocolos esencialmente equivalentes [2].

En un proceso de distribución cuántica de claves, intervienen un emisor y un receptor y dos canales de comunicación, uno cuántico para enviar fotones y otro clásico para reconciliar y depurar la información. Los dos comunicantes usan un trozo de su clave para detectar la presencia de espías. El posible espía puede acceder al canal clásico, y también puede acceder al canal cuántico y usar todos los medios que desee con la única restricción de que sean compatibles con las leyes de la mecánica cuántica.

Richard Feynman inicia su curso de Mecánica Cuántica con un experimento ideal, basado en la doble rendija de Young, que le permite distinguir entre una situación clásica y una de cuántica. Una máquina lanza partículas (balas o electrones) sobre una pared con una doble rendija, por delante de una pantalla donde impactar.

En un sistema clásico las trayectorias de las balas son distinguibles, es decir, se puede seguir el camino que sigue cada una. Los impactos en la pantalla seguirán una distribución estadística, resultado de sumar los impactos individuales de las distribuciones que se obtendrían separando las balas que han pasado por una rendija o por la otra. Se obtiene, pues, una distribución de probabilidad que es la suma de las distribuciones de probabilidad de las dos rendijas.

En un sistema cuántico las trayectorias individuales no se pueden seguir. Incluso enviando electrones uno a uno, los impactos en la pantalla dibujaran una distribución que mostrará una figura de interferencia, siempre que los dos agujeros estén abiertos.

Podríamos considerar este dispositivo como un canal de comunicación. Por ejemplo, variando la separación de las rendijas, la distribución de los impactos en la pantalla será distinta. Es fácil imaginar un código de comunicación basado en este efecto. ¿Habrá alguna diferencia entre el caso clásico y el caso cuántico?

Si un espía accediera al canal de comunicación (entre las rendijas y la pantalla) podría fácilmente iluminar el camino de las partículas y deducir la figura sobre la pantalla y, por tanto, descifrar el mensaje. Ahora bien, esto seria cierto solamente en el caso clásico. Si se usa la misma técnica de espionaje para una comunicación cuántica, la acción del espía eliminaría la formación de la figura de interferencia.

La imposibilidad de observar un sistema cuántico sin perturbarlo está en la base de la aplicación de los sistemas cuánticos al tratamiento de la información. La criptografía, entendida como el conjunto de técnicas para mantener una comunicación segura entre dos partes, es, por tanto, un campo de aplicación ideal de esta característica de los sistemas cuánticos: observar (espiar) modifica (destruye) el sistema observado. Es como si el espía al leer un documento secreto lo perturbara o incluso destruyera.

¿Es realmente posible implementar un sistema de comunicaciones seguro (inviolable) basándose en sistemas cuánticos? La respuesta es positiva: la mecánica cuántica ha abierto una nueva vía en la historia de la criptografía, pero, paradójicamente, también ha puesto en cuestión la seguridad de los métodos criptográficos más utilizados actualmente.

A modo de resumen:

El uso de la mecánica cuántica a sistemas computacionales se está desarrollando vertiginosamente, y esperemos que para bien de todos. Habría que esperar y observar con qué nuevas artimañas atacarán los hackers en el futuro cuántico, porque de hecho lo intentarán. Debe ser interesante el poder cambiar la energía de un fotón con el simple click de un mouse, pero como dijese Sócrates:

“Daría el 100% de lo que sé, por el 50% de lo que ignoro”.

Escrito por: ING. ROIMAN VALBUENA.

[1] Ing. Roiman Valbuena, Trabajo de grado Maestría titulado:
NUEVAS TECNOLOGÍAS DE TELECOMUNICACIONES COMO AMENAZAS DE SEGURIDAD EN LA INTERNET. Venezuela 2009.

[2] Criptografía y Mecánica Cuántica.
ZDZISLAW MEGLICKI. Quantum Computing Without Magic Devices. Primera Edición. The MIT Press Cambridge, Massachusetts London, England. 2008.