Al mercado de la seguridad no le afecta la situación económica

A nivel mundial el mercado de software de seguridad alcanzó los 13.500 millones de dólares en 2008, casi un 19% más respecto al año anterior, según Gartner.

Por Rosalía Arroyo [24-06-2009]

Aunque muchas industrias están sufriendo lo que algunos han denominado la mayor depresión desde la Segunda Guerra Mundial, la del software de seguridad parece mantenerse al margen de la actual situación económica, según la empresa de investigación de mercado Gartner.

A nivel mundial el mercado de software de seguridad alcanzó los 13.500 millones de dólares en 2008, casi un 19% más respecto al año anterior. La creciente demanda de productos basados en aplicaciones, particularmente en el segmento de seguridad de correo electrónico y gateways securizados son los responsables de ese crecimiento, dice Gartner. La economía, sin embargo, ha hecho que sea más difícil cerrar las ventas.

“Durante las épocas de incertidumbre económica y restricción de presupuestos se incrementa el valor de la efectividad de los costes y las medidas de seguridad, y esto impacta en ciclos de venta más lentos”, afirma Ruggero Contu, analista de Gartner. La ventaja, según Contu, son los nuevos métodos como las ofertas basadas en Software as a Service (SaaS), que incrementarán el interés de las pymes y que mantendrán el crecimiento en 2009.

Las cinco principales compañías de seguridad han incrementado sus ingresos en 2008, pero sólo McAfee incrementó su cuota de mercado, y sólo un 0,1%. Symantec perdió algo de cuota de mercado, desde el 24,4% de 2007 al 22% de 2008. Por regiones Europa del Este es la de mayor crecimiento, un 35%, aunque Norteamérica y Europa Occidental siguen contabilizando más del 76% del mercado.

Gartner prevé que el mercado de software de seguridad continuará creciendo en 2009, aunque menos, probablemente un 9%.

Venezuela Inaugura Diplomado en Defensa y Delitos Informáticos

Escrito por vencert.gob.ve

Jueves 29 de Enero de 2009 09:51

vencert.gob.ve

Inaugurado Diplomado en Defensa y Delitos Informáticos que será dictado conjuntamente por SUSCERTE con el IUMCOELFA

Martes, 27 de Enero de 2009 11:34

Caracas, 26/01/09. Prensa/SUSCERTE. Con el objeto de capacitar a los participantes en los principios técnicos, estrategias y práctica de la defensa electrónica y los delitos informáticos, se dio por inaugurado el Diplomado en Defensa y Delitos Informáticos, el cual tendrá una duración de 230 horas académicas y será dictado de manera conjunta por la Superintendencia de Servicios de Certificación Electrónica (SUSCERTE) y el Instituto Universitario Militar de Comunicaciones y Electrónica de la Fuerza Armada Nacional (IUMCOELFA).

El Acto de inauguración tuvo lugar en las instalaciones del Complejo Cultural Simón Bolívar, ubicado en el Fuerte Tiuna, y fue presidido por el General de Brigada (EJ) Enrique José Díaz Nieves, Director del IUMCOELFA, la Lic. Niurka Hernández, Superintendente de SUSCERTE, Jefes de División del Instituto y personalidades Militares.

En sus palabras de apertura. Niurka Hernández destacó los alcances que tendrá este diplomado en la formación, capacitación y sensibilización del talento humano en materia de seguridad de la información y guerra electrónica al servicio de la nación, lo cual le permitirá a los egresados la detección, el análisis y el desarrollo de estrategias ante los incidentes de seguridad telemática.


Hernández enfatizó acerca de la necesidad de mejorar los esquemas de seguridad de la nación a través de la implementación de recomendaciones, normas y estándares. Finalmente, concluyó sus palabras, invitando a los presentes a realizar el Diplomado para “convertirse en un instrumento multiplicador del conocimiento que coadyuve en el desarrollo y transformación tecnológica del estado venezolano”.

Por su parte, el General de Brigada (EJ) Enrique José Díaz Nieves, Director del IUMCOELFA, recalcó que el Diplomado cubrirá los objetivos propuestos en la formación y dotación de conocimientos al personal que tiene la responsabilidad de atender las necesidades del estado y de la institución armada en materia de seguridad de la información.

“SUSCERTE, emerge como punta de lanza en América Latina, basada en sus leyes, para luchar en un mundo de guerras sin restricciones”, resaltó el General Díaz Nieves. Concluyó sus palabras, exhortando a los presentes a “unirnos como civiles y militares, hacer un tejido electrónico y estar preparados para formar fuerzas de coalición y tareas combinadas”.

El acto culminó con la imposición de medalla y barra de honor a altos oficiales de la Fuerza Armada.

Ofrecen herramientas para esconder malware en .Net

Net-sploit puede esconder rootkits en un marco de trabajo, intocable por el software de seguridad pero desde donde puede afectar a la mayoría de las aplicaciones.

Por Rosalía Arroyo [20-04-2009]

Según recoge Infoworld, unos investigadores ha lanzado una herramienta actualizada que puede simplificar la localización, difícil de detectar, de un software malicioso en Microsoft .Net de los ordenadores basados en Windows.

La herramienta, llamada .Net-sploit 1.0, permite hacer modificaciones en .Net, una pieza de software instalada en la mayoría de las máquinas Windows que permite a los ordenadores ejecutar ciertos tipos de aplicaciones. Microsoft tiene una suite de herramientas de desarrollo para que los programadores puedan escribir aplicaciones compatibles con el marco de trabajo .Net.

Estas herramientas les ofrece la ventaja de escribir programas en varios lenguajes de programación de diferentes niveles que funcionarán en un ordenador.

Los que hace .Net-Sploit, es permitir a un hacker modificar el marco de trabajo .Net e insertar un software malicioso del tipo rootkit en un lugar intocable por el software de seguridad y donde muy pocos pensarían en mirar, ha dicho Erez Metula, un ingeniero de seguridad de software.

Un rootkit es “una herramienta, o grupo de herramientas, cuya finalidad es la de esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, claves de registro y puertos que permiten al intruso mantener el acceso a un sistema”, según definen en Wikipedia.

Esencialmente .Net-Sploit permite a un atacante reemplazar una pieza legítima de código dentro de .Net por otra maliciosa. Ya que hay algunas aplicaciones que dependen de partes de .Net para poder funcionar, significa que el malware puede afectar a la función de muchas aplicaciones.

Por ejemplo, una aplicación que tiene un mecanismo de autenticación podría ser atacada si el .Net manipulado intercepta el nombre de usuario y contraseñas y las envía a un servidor remoto.

La ventaja de corromper el marco de trabajo .Net es que un atacante podrían mantener el controla de la máquina clandestinamente durante largo tiempo.
Según recogen en Infoworld, a Microsoft Security Response Center se le notificó este tema en septiembre de 2008. La posición de la compañía es que no hay ninguna vulnerabilidad en .Net.

Cree su propia Super Password.

El sitio donde usted vive tiene puertas y ventanas, y quizás la mayoría del tiempo encuentren cerradas. Por cada cerradura que posea se tiene una llave, y lógicamente, sabe que todas las llaves son diferentes.

También sabe que no debe compartir sus llaves con desconocidos, y probablemente no con la mayoría de sus amigos o conocidos. Tampoco debe ocurrírsele esconderlas en el matero ni debajo de la alfombra del porche.

Los password de computadoras funcionan de manera muy parecida, por cada computadora y servicio que use (como las compras en línea, por ejemplo), usted debe tener un password.

Cada password debe ser única y no debe estar relacionada con ninguna de las otras, no debe dejar registro escrito de ellas, y mucho menos, compartirlas con su mejor amigo.

Tómese un momento y observe la cerradura de su puerta principal, internamente tiene muchos agujeros y surcos, ¿luce complicada verdad?, pero las cerraduras tienen variaciones, y si no tuviesen esas variaciones un ladrón podría hacer una llave para cada posible combinación y al final lograría entrar a su casa por cualquiera de las puertas.

A este método de prueba y error que utiliza el ladrón hasta lograr abrir alguna puerta, en sistemas informáticos se le conoce como Ataque de Fuerza Bruta. Este sistema le será efectivo de alguna u otra forma, la pregunta es ¿cuánto tardará? Sin embargo, no importa cuán complicado le resulte, si el ladrón logra apoderarse de sus llaves, el o ella le sacará copias y las usará para abrir sus puertas, y este método le será más expedito que el otro.

Una clave o password fuerte puede también ser complicada, muchos esquemas le permiten elegir entre una combinación de letras mayúsculas y minúsculas, igualmente consiguen agregárseles números y signos de puntuación intercalados, de esta manera se les hace fuerte, tanto para el intruso como para el propio usuario.

Usted puede crear una password tan sólida como lo considere, pero todo girará en cuán fácil sea recordarla cuando la necesite, sin presiones, y sin tener que escribirla en papel.

Como un ladrón en su puerta, los intrusos cibernéticos usan el ensayo y error o las técnicas de fuerza bruta para descubrir las claves. Mediante un bombardeo a los esquemas de claves y utilizando todas las palabras de un diccionario, (Aunque parezca irónico, estos ataques son bastante sencillos usando software especializado) se puede descifrar el password y desbloquearla.

Si el intruso conoce algo sobre usted, tal como el nombre de su esposo/a, el tipo de vehículo que conduce, fechas de nacimiento o aniversarios, el amplio abanico de posibilidades puede reducirse a sólo un estrecho camino.

Tal como la llave de su puerta principal, esta puede ser copiada e incluso reusada, suponga que a usted le toma algo de tiempo crear su propia password fuerte, una que contenga al menos 14 caracteres, seis de ellos letras, 4 números y los restantes son signos de puntuación, todos en orden aleatorio. Al conectarse a Internet cualquier intruso listo estará habilitado para; verla, salvarla, y usarla. A este tipo de intrusión se le conoce con el nombre de Sniffing y es una práctica de intrusión muy común de los hackers avanzados.

El punto es que usted necesita seguir la práctica de crear un password fuerte para cada cuenta de usuario que tenga, a continuación se le presenta una serie de pasos que debe tomar en cuenta a la hora de crear una clave para cada cuenta, hágale las siguientes preguntas:

· El test fuerte, si el password es fuerte, ¿sigue las reglas anteriores?
· El test único, si el password es único, ¿esta correlacionado a algún otro password?
· El test práctico, ¿puede recordar la clave sin escribirla?
· El test reciente, ¿la ha cambiado recientemente, es una clave repetida?
· Y por supuesto, el test de supresión, debe estar consiente de que el Sniffing sucede, incluso la mejor de los password puede ser capturada y usada por intrusos, usted debe estar dispuesto a borrar y crear una clave nueva tan rápido como pueda para con ello dificultarle el trabajo a los intrusos.

Muchas palabras utilizadas por los usuarios son fácilmente reconocibles, por lo que los computadores se han vuelto vulnerables a los ataques con solo conocer algo de la psicología del dueño.

Los piratas informáticos disfrutan cada vez que un desprevenido navegante asigna a su correo electrónico y demás servicios en la Web contraseñas fáciles de vulnerar como el nombre del usuario en diminutivo, secuencias sencillas de números o fechas obvias como la de su nacimiento.

Los dolores de cabeza llegan cuando la persona quiere entrar a sus cuentas y la clave de siempre no funciona, con tristes consecuencias como la pérdida de información y que los contactos ya no encuentren su rastro en la Red.

Cuándo cambiar la contraseña

Cuando no cumple con los criterios explicados en las técnicas mencionadas.
Cuando tiene más de 6 meses en uso.
Cuando el usuario le ha dado su contraseña a otras personas.
Cuando ha ingresado su contraseña en equipos que no son de su propiedad.

Pasos para crear las claves

· Frases de cuentos para niños como 'Mambrú se fue a la Guerra'.
Contraseña: msfalAguer

· Trabalenguas
· 3 tristes tigres fueron a comer trigo en 3 tristes trastos

Contraseña: 3ttFacen3tt

· Expresiones inspiradas en el nombre de una ciudadExpresión: Colombia tierra querida himno de fe y alegría

Contraseña: CtqHdefyA

· Comidas aborrecidas durante su infanciaCebolla, ajos y pimienta

Contraseña: Ceb&ajo&Pim

· Dichos y refranesDicho: Averígüelo, Vargas

Contraseña: ave%Var

· Técnica: Transliteración Expresión: Fotográfica

Contraseña: pHot-o-Grafik

· Técnica: SinónimosExpresión: Está lloviendo

Contraseña: Ke-H2o

· Técnica: AntónimosExpresión: chica rubia

Contraseña: moreNo%eL

Cuáles son las malas contraseñas

Palabras que aparezcan en un diccionario.

Palabras en idiomas extranjeros: today, happy, obrigado.

Transformaciones simples de palabras: Venezuela2009, maria2005, amor!.

Nombres propios, nombres de ciudades e iníciales: juanpablo, mariapaola, alvaroandrade.

Palabras solo en mayúsculas o solo en minúsculas.

Secuencias alfabéticas o de teclado: qwerty, 12345.

Contraseñas de menos de 4 caracteres.

Contraseñas que incluyan números telefónicos, números de identificación del usuario, nombre de los hijos, de su mascota o de su madre, nombre de su cantante o grupo musical favorito, nombre o sobrenombre de su pareja, fecha de nacimiento y nombres de productos.

Según Manuel Francisco Bustos, director general de la compañía de seguridad Etek, elegir una contraseña es un ejercicio de psicología y, según estudios, la palabra elegida para la clave en la mayoría de los casos revela ciertos aspectos de la personalidad del usuario.


Escrito por: Ing.Roiman Valbuena.

Primer Extranjero Condenado por Phishing en EE.UU.

Ovidiu-Ionut Nicola-Roman, ciudadano de nacionalidad rumana, fue sentenciado el lunes a cuatro años y dos meses de prisión por un tribunal estadounidense tras considerarse demostrada su participación en una operación de Phishing internacional.

La parte acusadora ha demostrado la implicación del acusado en la creación de sitios Web de banca ficticios y enviar después decenas de miles de mensajes de spam fraudulentos con el fin de engañar a las víctimas para que facilitaran información sobre sus cuentas bancarias.

Nicola-Roman fue arrestado en Bulgaria y extraditado a Estados Unidos en noviembre de 2007. Se le declaró culpable el pasado julio de fraude y se ha enfrentado a una posible pena de cinco años de prisión.

Algunos cargos adicionales contra él han sido finalmente retirados por no estar incluidos en el documento de solicitud de extradición original.

Su acusación formaba parte de un proceso de mayor alcance relacionado con prácticas de Phishing en el que también se nombraba a otras seis personas de nacionalidad rumana, ninguna de las cuales ha sido arrestada hasta el momento.

Los expertos en seguridad aseguran que países como Rumanía, Rusia y Ucrania se han convertido en fértiles cunas de la ciberdelincuencia, en parte debido a la lentitud de los gobiernos locales para perseguir a los autores de fraudes por Internet que roban el dinero de víctimas de otros países, como Estados Unidos.

El FBI presentó precisamente el lunes algunos datos según los cuales las denuncias por fraudes vía Internet han aumentado un 33% en 2008 respecto al año anterior.

01/04/2009 Marta Cabanillas

Conficker causa pocos incidentes en el mundo

Hoy, 1 de abril, estaba marcado en el calendario como el Día D para el gusano Conficker.

Sin embargo, y peses a que, tal y como se esperaba, se ha registrado la activación del virus, lo cierto es que los incidentes que está causando son, por el momento, escasos. Algo que, no obstante, no debería hacer bajar la guardia, según los expertos en seguridad.

Conficker se ha activado a las 00.00 horas del 1 de abril, tal y como estaba previsto, aunque lo cierto es que en estas horas los incidentes registrados no son, afortunadamente, ni numerosos ni graves, según algunos expertos de seguridad.

“Sus creadores no querían tirar abajo las infraestructuras, porque eso les distanciaría de sus victimas”, opina Paul Ferguson, de Trend Micro.

Cabe recordar que esta versión del gusano estaba programada para establecer un enlace desde los ordenadores infectados con los servidores controlados a partir de medianoche del 1 de abril. Para controlar esos servidores, Conficker genera una lista de 50.000 nombres de dominios y selecciona los 500 con los que contactar. Un proceso que ya ha comenzado, según los expertos de seguridad.

No se sabe con seguridad cuántos ordenadores están infectados por esta versión de Conficker, pero se calcula que, en total, podríamos estar hablando de unos 10 millones de máquinas, lo que le permitiría crear una de las mayores red zombi conocidas hasta la fecha.

Pese a que los PC infectados han empezado a comunicarse con los servidores controlados por Conficker, lo cierto es que tampoco se ha registrado ningún incidente excepcional.

“Hemos observado que Conficker se está activando, pero ninguno de sus servidores está intentando propagar ningún tipo de malware”, sentencia Toralv Dirro, de McAfee.

Y es ahí donde puede radicar otro de sus peligros, pues este comportamiento podría conllevar que se está esperando a que los administradores de sistemas, usuarios y fabricantes de antivirus se relajen, pensando que el peligro ya ha pasado, para iniciar su ataque.

“Sería un poco estúpido por parte de los creadores de Conficker utilizar esta primera oportunidad, cuando todo el mundo está alerta y vigilando”, explica Dirro. “Si tiene que pasar algo, seguramente ocurrirá dentro de un par de días”, vaticina este experto.

Por tanto, estas mismas fuentes recomiendan tener tanto el sistema operativo Windows como el antivirus completamente actualizado y revisar, con cualquiera de las herramientas gratuitas, que no hay rastro de Conficker en nuestro ordenador.

01/04/2009 Arantxa Herranz

Los expertos informáticos se preparan contra el virus Conficker

BOSTON 01 de abril 2009. - -

Un virus informático que ha infectado a millones de ordenadores podría entrar el miércoles en una fase más amenazadora, desde un ataque inmediato a una mutación silenciosa para extenderse más.

Los expertos en seguridad informática que han analizado el código del "gusano" Conficker creen que está diseñado para comenzar una nueva fase el 1 de abril, y aunque no está claro si desatará daños o si seguirá durmiente, su presencia contumaz está llevando a que las empresas gasten presupuestos multimillonarios para combatir el ciberdelito.

Conficker, que se cree que está en entre 2 y 12 millones de ordenadores en todo el mundo, está diseñado para convertir un ordenador infectado en un esclavo que responda a las órdenes enviadas desde un servidor remoto que controla un ejército de ordenadores esclavos, unas redes conocidas como 'botnets'.

"Puede usarse para atacar, además de para espiar. Puede destruir archivos, puede conectarse a direcciones en Internet y puede reenviar tus correos electrónicos", dijo Gadi Evron, experto en 'botnets' y que ayuda a los gobiernos a protegerse contra el ciberdelito.

Pero como muchos expertos en seguridad, duda de que el miércoles se produzca un ataque masivo.

El virus ha sido lo suficientemente potente para atacar a ordenadores infectados durante meses explotando los puntos débiles del sistema operativo Windows de Microsoft. Evron y otros varios analistas dijeron que el cambio del miércoles simplemente daría a Conficker una operatividad mejorada, posiblemente haciéndolo más peligroso.

"Es el equivalente electrónico de que te digan que hay una tormenta importante que tiene una posibilidad de producirse del 20 por ciento", dijo Mark Rasch, ejecutivo de Secure IT Experts, que pasó 25 años tratando delitos informáticos en el Departamento de Justicia de Estados Unidos.

"No es momento de esconderse en el búnker. Pero puede ser prudente mirar por la ventana", añadió.

En febrero, Microsoft anunció que iba a ofrecer una recompensa de 250.000 dólares por información que condujera al arresto y procesamiento del responsable de crear Conficker, alegando que el gusano constituía un "ataque delictivo".

MIEDO AL ROBO DE IDENTIDADES

Las 'botnets' o redes de computadoras conectadas a Internet y controladas a distancia por piratas informáticos son motivo de preocupación porque pueden robar subrepticiamente identidades, información corporativa delicada, números de tarjetas de crédito, contraseñas bancarias online y otros datos del ordenador infectado.La información es a menudo vendida en círculos delictivos.

"La mayoría de los programas malignos que vemos estos días están muy relacionados con el robo de información y con hacer dinero", dijo Dave Marcus, investigador de la firma de seguridad de software Avert Labs, de McAfee.

Los expertos creen que los autores de Conficker pueden cambiar gradualmente la forma en que se comunica para evitar llamar la atención e impedir que las compañías pongan en práctica salvaguardas como las usadas para combatir el gusano desde que surgió el año pasado.

La firma de investigación tecnológica Gartner estima que las empresas gastarán 13.600 millones de dólares (unos 10.300 millones de euros) en software de seguridad este año, excluyendo los costes laborales, de servicios y hardware relacionados. Aunque algunos software antivirus están disponibles de forma gratuita, otros cuestan hasta 80 dólares.

Los expertos en seguridad creen que el Conficker se originó en Ucrania, en función de su código. El FBI está trabajando en ello pero un portavoz no quiso dar detalles sobre la investigación.

Firmas independientes de seguridad como McAfee, Symantec y Trend Micro dicen que seguirán de cerca el ciberespacio el miércoles para ver si el gusano muta, pero también lo vigilarán en las próximas semanas cuando la alerta se esfume."No espero que ocurra mucho el 1 de abril.

Es el día 1 y no pasará. Es el día que todo el mundo está mirando a que surja algo", dijo Joe Stewart, director de investigación de programas malignos en SecureWorks. "Es otro paso pequeño en lo que sea que vaya a ser el fin de juego", añadió.

Fuente:Reuters

Los Molestos SPAM

Cómo protegerse contra el spam

Resumen El spam, la versión electrónica del correo basura, puede reducirse siguiendo unos pocos consejos clave. Así, instalar software y contar con nombres de correo electrónico seguros, desocuparán espacio de su bandeja de entrada para mensajes importantes y de mayor relevancia.

Introducción

El spam es la versión electrónica del correo basura. A diferencia del correo electrónico comercial legítimo, el spam no es correo solicitado y suele tener fines publicitarios. Aunque el gobierno federal y los diferentes estados estén elaborando leyes contra el spam y sus creadores, estos mensajes no solicitados continúan constituyendo un problema para las empresas y los usuarios de todas partes.

Consejos para detener el spam

Los siguientes consejos pueden ayudarlo a reducir significativamente el ingreso de spam en su cuenta, desocupando espacio en su bandeja de entrada para mensajes importantes.

· Instale software para el filtrado/bloqueo de spam. El software antispam examina el correo electrónico entrante y separa el spam de los mensajes legítimos. Norton 360 identifica y detecta automáticamente el spam y el correo electrónico ofensivo, impidiendo que esos mensajes lleguen a su bandeja de entrada.

· No responda a correos electrónicos sospechosos. Si sospecha que un correo electrónico es spam, no responda, elimínelo. No haga clic en los enlaces de correo electrónico que solicitan ser eliminados de la lista del remitente. A veces, los enlaces para salir de listados no funcionan.

Además, cualquier tipo de respuesta no hace más que confirmar la dirección de su correo electrónico, lo que puede ocasionar más mensajes no deseados.

· Cree una dirección de correo electrónico desechable. Disponga de una dirección secundaria para uso público, es decir, para registros en línea y sitios de comercio electrónico. Cree una dirección secundaria para reenviar correos electrónicos a su cuenta primaria.

· Cree un nombre de correo electrónico que sea difícil de descubrir. Algunos creadores de spam utilizan programas informáticos para adivinar direcciones de correo electrónico. Las investigaciones demuestran que las direcciones de correo electrónico con números, letras y guiones bajos son más difíciles de adivinar y suelen recibir menos spam.

· Visualice correos electrónicos como texto sin formato. Los mensajes de spam escritos en HTML pueden contener programas que redirigen el navegador Web del usuario hacia una página de publicidad. Los creadores de spam utilizan imágenes en correo electrónico para localizar direcciones de correo activas que utilizarán para seguir enviando spam. Considere desactivar la función de vista previa en el programa de correo electrónico y lea los mensajes como texto sin formato.

· Cree un filtro de spam para su correo electrónico. La mayoría de los programas de correo electrónico ya cuenta con una sólida protección ante el spam. Si su programa de correo electrónico no tiene un filtro, créelo. Cree un filtro de spam que busque mensajes que no incluyan su dirección de correo electrónico en los campos "PARA": o CC: . Éste es un claro indicio de spam. Haga que el filtro transfiera los posibles mensajes de spam a una carpeta para tal fin. Los filtros de correo electrónico no son 100 % eficaces, por lo tanto, revise la carpeta para spam de vez en cuando antes de eliminarlos.

· No cree vínculos a direcciones de correo electrónico en sitios Web. Los creadores de spam utilizan spambots o arañas Web para captar direcciones de correo electrónico ubicadas en páginas Web, así que considere mostrar sus direcciones de correo electrónico de forma que los spambots no puedan reconocerlas. Por ejemplo, en lugar de escribir Juan_Doria@empresa.com, publique su dirección de correo electrónico como Juan_Doria[signo arroba]empresa.com. Otra posibilidad es mostrar sus direcciones de correo electrónico como imágenes en lugar de texto o proporcionarlas en formularios para contactos. Los formularios para contactos permiten a los visitantes del sitio Web enviar correos electrónicos completando un formulario en el navegador Web. El servidor reenvía el formulario a una dirección de correo electrónico sin darla a conocer.

· Tenga cuidado con esas casillas de verificación. Antes de inscribirse en servicios o boletines informativos en la Web, lea todo cuidadosamente. Tenga cuidado con el texto al final de los formularios de registro, donde puede haber frases como: "SÍ, deseo que terceras partes se comuniquen conmigo para informarme de productos que podrían interesarme". A veces la casilla de verificación junto al texto ya aparece seleccionada, por lo que debe desactivarla.

· Informe de la presencia de spam. La mayoría de los proveedores de servicios de Internet (ISP) prohíbe que sus usuarios envíen spam. Averigüe el ISP del creador del spam y denúncielo. Si el ISP determina que el usuario ha enviado spam, cancelará su servicio. Otra opción es denunciar el spam que haya recibido a la Comisión Federal de Comercio (FTC). Visite la página de la FTC en línea para hacer la denuncia o reenvíe el correo electrónico a la FTC para que lo investigue. También puede informar de la presencia de correo no deseado a Symantec Antispam Center.

Fuente: Sito Web de Symantec.





http://www.symantec.com/es/es/norton/index.jsp





Publicado por: Roiman Valbuena.

Nuevos Tipos de Ataques Web

"Nuevos" tipos de ataque web

Si bien muchos (¿la mayoría?) de los desarrolladores, webmaster y administradores no le prestan atención, los ataques de Cross Site Scripting (XSS) ya se han transformado en uno de los ataques más comunes y frecuentes contra los sitios web (y sus usuarios), estando desde hace tiempo en el primer puesto de la lista creada por OWASP.

Este tipo de ataque involucra la ejecución de cualquier tipo código (generalmente scripts) en una aplicación (generalmente el navegador web) y en un entorno o dominio distinto del que fue creado, permitiendo al atacante secuestrar sesiones de usuario (la víctima), modificar sitios web, infectarlo, obtener credenciales, realizar ataques de phishing, etc.

Pero, si XSS hace tiempo que se conoce y no se le presta la atención ni el respeto necesarios, ¿qué sucede con los nuevos tipos de ataques?

Los ataques XSS se ven propiciados por la incorrecta validación de los datos de entrada o, directamente por la completa ausencia de validación. Por eso este error es atribuido, con razón, a los desarrolladores, beta testers y departamento de QA (si existiera). Si no lo cree puede ver los 25 errores más comunes de programación en nuestro Boletín 128.

Este tipo de ataques se transforman en peligrosos cuando los datos "hostiles" son almacenados por el atacante en un archivo, cabecera, base de datos (SQL Injection), o cualquier otro sistema de back-end de la aplicación vulnerable y, posteriormente son volcados sin validar ni filtrar hacia el navegador (u otra aplicación) del usuario, ejecut y transformando al usuario en víctima del ataque.

Por otro lado, los "nuevos" tipos de ataques en realidad son variantes, perfeccionamientos o nuevas formas de explotación sobre los mismos ataques XSS ya existentes previamente y, la mayoría de ellos, se pueden prevenir con las mismas técnicas.

Cross-Site Request Forgery (CSRF)

CSRF [1] también conocido como Session Riding es un tipo de script malicioso en un sitio web en el que, comandos no autorizados, son transmitidos por un usuario en el cual el sitio web confía.

Se trata de una técnica prácticamente desconocida pero extremadamente peligrosa que permite aprovechar una sesión abierta en el navegador con un sitio fiable (un banco, correo, etc.) para que, desde el código HTML de una página (atacante) que se esté visitando, se cree una petición hacia la aplicación web del sitio fiable, realizando una operación sin que el usuario se percate.

Su funcionamiento es bastante sencillo, lo que lo hace aún más peligroso. Supongamos que un usuario se encuentra logueado (con sus credenciales) en una aplicación web que permite dar de alta usuarios con el siguiente formato de URL (para simplificar el escenario):

https://[sitio-empresa]/alta/?id=X&u=usuario&p=contraseña

Supongamos ahora que el usuario deja su sesión iniciada y procede a verificar su correo personal, en donde una imagen le llama la atención en un interesante anuncio. Al hacer clic sobre la imagen se visualiza la misma de la siguiente manera:

(Sí, este ataque también se puede basarse en las facilidades que brinda la Ingeniería Social) La primera línea mostrará la imagen deseada pero la segunda "imagen" (de tamaño 0 por 0) en realidad ejecutará el script de alta de usuario en la aplicación, generando un usuario 999, "MALO" y con contraseña "CAISTEUHHH".

El usuario nunca se percatará del engaño, ya que la ejecución del script se realiza porque no se había realizado el log-out de la aplicación lo tanto no se solicitan credenciales de ingreso.

Conocidos los principios básicos, este tipo de ataque se puede perfeccionar tanto como se desee y podría dar lugar a otros más novedosos e ingeniosos, como Ataques de Phishing "In-session".

Otros tipos de ataques

Como estos ataques, sus semejanzas y sus potencialidades pueden resultar confusos, recientemente Petko D. Petkov [pdp], de GNUCITIZEN, publicó una nueva terminología, la cual fue también utilizada en su conferencia en Black Hat 2008 [7]. Ellos son:

Cross-Context Request Forgery (CCRF)
Cross-Context Scripting (XCS)
Command Fixation Attacks (CFA)

Si bien bautizó técnicas que ya existían desde hace tiempo, estos "nuevos ataques" fueron los responsables de gusanos webs (del lado del cliente) que aprovechan la tecnología AJAX y que ya han afectado a Pownce, MySpace, Yahoo! y otras empresas, merced a vulnerabilidades en sus sitios web.

Para verificar que estos ataques no se lleve a cabo "el secreto" radica en verificar, validar la procedencia y codificar toda la información que es entregada al usuario (o a la aplicación) para que el mismo no termine ejecutando código dañino dentro de su entorno.

Como diría Giorgio Maone (autor de NoScript): "Si hoy la mayoría de malware se ejecuta en Windows es porque es la plataforma ejecutable más común, mañana probablemente se ejecutarán en la Web por la misma razón. Guste o no, la web ya es una gran plataforma ejecutable y, desde perspectiva una seguridad, deberíamos comenzar a pensar en ello de esa manera."

Ud. ¿ya verificó su aplicación web?
[1] Cross-Site Request Forgery (CSRF) http://www.owasp.org/index.php/Cross-Site_Request_Forgery http://blog.segu-info.com.ar/2009/01/ataque-que-es-cross-site-request.html

[2] Client-side Security http://www.blackhat.com/html/bh-usa-08/bh-usa-08-speakers.html#Petkov http://lab.gnucitizen.org/presentations/Client-side-Security-BH-Las-Vegas-2008.pdf

Tomado de: www.segu-info.com.ar

Anónimo atribuido a Sebastian Bortnik

Curso de Teoría de la Información

Este curso de teoría de la información ha sido desarrollado por el Profesor:

Dr. Jorge Ramió Aguirre
Universidad Politécnica de Madrid.

Contenido:

• La teoría de la información

• La teoría de los números

• La teoría de la complejidad de los algoritmos

• Codificación con el método de Huffman

http://www.scribd.com/word/full?id=13564224&access_key=key-2kalhgu5my59occlc4ui

Espero que encuentre en él, un soporte para sus clases.....

Publicado por: Ing. Roiman Valbuena.

Criptografia Cuántica. El nuevo paradigma en Seguridad

Criptografía Cuántica: (Quantum Cryptography, Cifrado cuántico).


La física cuántica es una disciplina que nos dice como describir, manipular, y predecir la evolución de distribuciones probabilísticas asociadas a las medidas hechas sobre sistemas microscópicos, usando dispositivos que hacen medidas macroscópicas. De ella se desprende el uso de la mecánica cuántica a sistemas computacionales.

La criptografía cuántica es la criptografía que utiliza principios de la mecánica cuántica para garantizar la absoluta confidencialidad de la información transmitida.

Las actuales técnicas de la criptografía cuántica permiten a dos personas crear, de forma segura, una clave secreta compartida que puede ser usada como llave para cifrar y descifrar mensajes usando métodos de criptografía simétrica.

La seguridad de la criptografía cuántica descansa en las bases de la mecánica cuántica, a diferencia de la criptografía de clave pública tradicional la cual descansa en supuestos de complejidad computacional no demostrada de ciertas funciones matemáticas.

En teoría el cifrado cuántico es imposible de vulnerar porque la información es codificada normalmente en fotones que no pueden ser intervenidos sin destruir el mensaje. En tanto los algoritmos de cifrado usados actualmente están basados en teorías matemáticas y, en principio, pueden ser vulnerados si se tiene la suficiente capacidad de cálculo computacional, [1].

Entre los más sorprendentes descubrimientos de la física cuántica radica que el comportamiento de un sistema microscópico es caótico y, en general, impredecible, pero las distribuciones de probabilidad que se refieren a los sistemas microscópicos, se pueden describir con gran precisión y predecir con exactitud su evolución a través de medios determinísticos usando ecuaciones diferenciales.

Sabemos que la codificación usando claves privadas aleatorias de un solo uso
Permiten llevar a cabo una comunicación segura. Pero presenta la dificultad práctica de la distribución segura de las claves. Afortunadamente, las leyes de la mecánica cuántica proporcionan herramientas para abordar el problema de la distribución segura de claves privadas. La aportación cuántica a la seguridad del proceso consiste esencialmente en que un espía no puede extraer información sin revelar su presencia a los comunicantes, ya que por las leyes de la mecánica cuántica no es posible copiar estados.

Existen diversos protocolos para la distribución cuántica de claves privadas.
El más sencillo fue propuesto en 1984 por C.H. Bennett y G. Brassard y se conoce como BB84. Después se propusieron diversas modificaciones que dan lugar a otros protocolos esencialmente equivalentes [2].

En un proceso de distribución cuántica de claves, intervienen un emisor y un receptor y dos canales de comunicación, uno cuántico para enviar fotones y otro clásico para reconciliar y depurar la información. Los dos comunicantes usan un trozo de su clave para detectar la presencia de espías. El posible espía puede acceder al canal clásico, y también puede acceder al canal cuántico y usar todos los medios que desee con la única restricción de que sean compatibles con las leyes de la mecánica cuántica.

Richard Feynman inicia su curso de Mecánica Cuántica con un experimento ideal, basado en la doble rendija de Young, que le permite distinguir entre una situación clásica y una de cuántica. Una máquina lanza partículas (balas o electrones) sobre una pared con una doble rendija, por delante de una pantalla donde impactar.

En un sistema clásico las trayectorias de las balas son distinguibles, es decir, se puede seguir el camino que sigue cada una. Los impactos en la pantalla seguirán una distribución estadística, resultado de sumar los impactos individuales de las distribuciones que se obtendrían separando las balas que han pasado por una rendija o por la otra. Se obtiene, pues, una distribución de probabilidad que es la suma de las distribuciones de probabilidad de las dos rendijas.

En un sistema cuántico las trayectorias individuales no se pueden seguir. Incluso enviando electrones uno a uno, los impactos en la pantalla dibujaran una distribución que mostrará una figura de interferencia, siempre que los dos agujeros estén abiertos.

Podríamos considerar este dispositivo como un canal de comunicación. Por ejemplo, variando la separación de las rendijas, la distribución de los impactos en la pantalla será distinta. Es fácil imaginar un código de comunicación basado en este efecto. ¿Habrá alguna diferencia entre el caso clásico y el caso cuántico?

Si un espía accediera al canal de comunicación (entre las rendijas y la pantalla) podría fácilmente iluminar el camino de las partículas y deducir la figura sobre la pantalla y, por tanto, descifrar el mensaje. Ahora bien, esto seria cierto solamente en el caso clásico. Si se usa la misma técnica de espionaje para una comunicación cuántica, la acción del espía eliminaría la formación de la figura de interferencia.

La imposibilidad de observar un sistema cuántico sin perturbarlo está en la base de la aplicación de los sistemas cuánticos al tratamiento de la información. La criptografía, entendida como el conjunto de técnicas para mantener una comunicación segura entre dos partes, es, por tanto, un campo de aplicación ideal de esta característica de los sistemas cuánticos: observar (espiar) modifica (destruye) el sistema observado. Es como si el espía al leer un documento secreto lo perturbara o incluso destruyera.

¿Es realmente posible implementar un sistema de comunicaciones seguro (inviolable) basándose en sistemas cuánticos? La respuesta es positiva: la mecánica cuántica ha abierto una nueva vía en la historia de la criptografía, pero, paradójicamente, también ha puesto en cuestión la seguridad de los métodos criptográficos más utilizados actualmente.

A modo de resumen:

El uso de la mecánica cuántica a sistemas computacionales se está desarrollando vertiginosamente, y esperemos que para bien de todos. Habría que esperar y observar con qué nuevas artimañas atacarán los hackers en el futuro cuántico, porque de hecho lo intentarán. Debe ser interesante el poder cambiar la energía de un fotón con el simple click de un mouse, pero como dijese Sócrates:

“Daría el 100% de lo que sé, por el 50% de lo que ignoro”.

Escrito por: ING. ROIMAN VALBUENA.

[1] Ing. Roiman Valbuena, Trabajo de grado Maestría titulado:
NUEVAS TECNOLOGÍAS DE TELECOMUNICACIONES COMO AMENAZAS DE SEGURIDAD EN LA INTERNET. Venezuela 2009.

[2] Criptografía y Mecánica Cuántica.
ZDZISLAW MEGLICKI. Quantum Computing Without Magic Devices. Primera Edición. The MIT Press Cambridge, Massachusetts London, England. 2008.