"Hace falta saber obedecer para saber mandar."
[ Solón - Legislador y político ateniense - 638-559 a.C. ]
Boletín 110 - Uso seguro de la banca electrónica - 20/04/2008
1. Uso seguro de la banca electrónica
2. El Rol del Oficial de Seguridad (ISO o CSO)
3. Blind SQL Injection mediante el uso de Consultas Pesadas
4. Noticias de esta semana
5. Desafío de la semana
1. Uso seguro de la banca electrónica
El uso de la banca y otros servicios electrónicos se está transformando en normal al evolucionar los recursos disponibles en Internet.
En 2004 algunos informes [1] afirmaban que gran cantidad de usuarios utilizan el servicios de Home-Banking si bien muchos de estos sitios facilitaban los ataques de Phishing [2].
Actualmente otros informes [3] aseguran que si bien la cantidad de
usuarios de estos servicios crece constantemente, casi la mitad de
ellos sólo realiza consultas pero no se anima a hacer transacciones.
Sin dudas, la sensación de inseguridad generalizada es una traba para
el crecimiento en el uso de las herramientas virtuales [4]. Por
supuesto la inseguridad que se vive en la red es la principal fuente
de rechazo, si bien todas los usuarios y las industrias ven beneficios
inmediatos en su utilización [5].
Este rechazo es normal al analizar el nivel de desconocimiento sobre las tecnologías empleadas y de las amenazas que pueden afectar a cualquier usuario. Con el nivel de educación y buenas costumbres apropiado, el sistema virtual puede ser utilizado con el mismo nivel (e incluso mayor) de seguridad que el sistema tradicional.
Para ello y, si bien el sistema bancario y financiero virtual se encuentra en pleno crecimiento y, algunos procedimientos, opiniones y legislaciones varían de país en país [6], la paranoia [7] típica de cualquier usuario puede ser controlada cuando se conocen las herramientas para prevenir cualquier tipo de fraude o estafa.
A continuación entregamos una serie de cursos y lecturas que ayudan a comprender como funciona el sistema de transacciones virtuales y los requisitos necesarios para hacer uso seguro del mismo:
- Curso Seguridad en las transacciones comerciales en línea
- Seguridad en banca electrónica por Omar Alejandro Herrera Reyna
- Cuáles son los principales agujeros de seguridad de la banca electrónica
- La seguridad de las transacciones bancarias en Internet
- Banca Electrónica. Nuevos vectores de ataque
- El E-Banking: Una Realidad Financiera
[1] Más de un millón de argentinos ya usa el Home Banking
http://www.clarin.com/diario/2004/09/16/um/m-832701.htm
http://seguinfo.blogspot.com/2007/10/la-argentina-entre-los-lderes-de-banca.html
[2] Implicaciones de seguridad ante ataques Phishing en el diseño de
páginas web bancarias españolas
http://www.hispasec.com/directorio/laboratorio/articulos/EstudioBancaPhishing/estudio_banca_y_phishing.pdf
[3] Uso de Internet: contenidos y transacciones 2008
http://seguinfo.blogspot.com/2008/04/los-argentinos-les-temen-las.html
http://seguinfo.blogspot.com/2007/09/hay-siete-millones-de-usuarios-de.html
[4] La sensación de inseguridad es la principal traba para el
crecimiento del Home-Banking y las compras online
http://www.certisur.com/docs/EncSeguridadInternet_2006.pdf
http://www.certisur.com/docs/SeguridadInternet_200507.pdf
[5] El auge de la banca por Internet propicia que se multipliquen por
cinco sus beneficios
http://www.lasprovincias.es/valencia/prensa/20061203/economia/auge-banca-internet-propicia_20061203.html
[6] Opiniones de países, bancos y legislaciones sobre la seguridad
http://seguinfo.blogspot.com/2008/04/los-bancos-britnicos-se-aseguran-contra.html
http://seguinfo.blogspot.com/2007/12/seguridad-de-transacciones-en-internet.html
http://seguinfo.blogspot.com/2007/11/la-banca-tambin-ser-responsable-de-los.html
[7] ¿Sirve la Paranoia?
http://www.segu-info.com.ar/articulos/64-sirve-paranoia.htm
2. El Rol del Oficial de Seguridad
El presente artículo ha sido desarrollado por Lic. Marcelo F. Rodríguez quien es MBA/CISA/PMO y actualmente se desarrolla como Director de Root-Secure. Marcelo puede ser contactado en mrodriguez at root-secure.com
El Rol del Oficial de Seguridad (Information Security Officer, ISO, Chief Security Officer ó CSO para los amigos).
¿El ISO debe Administrar Seguridad? ¿Debe controlar que se implementen las medidas recomendadas? ¿O simplemente debe decir qué hacer? ¿O ninguna de las anteriores...?
Pareciera que no hay Norma, Ley, Disposición o Circular que dé luz sobre el tema. Y las interpretaciones nos pueden llevar a tomar como válida cualquiera de las respuestas anteriormente dadas.
El hecho es que tampoco hay una respuesta lineal y única para todas las empresas. Cada una tiene su realidad y, por lo tanto, sus propias necesidades. Con lo cual el problema es aún mayor.
Entonces, ¿qué rol debe cumplir el ISO? Evidentemente, el que la Empresa demande.
No es la intención dar una respuesta universal al problema planteado.
La propuesta es desafiar a cada modelo y así poder decidir conscientemente con cuál de los esquemas podemos salir a combatir más dignamente. Hacia allá vamos.
El artículo completo puede descargarse de nuestra sección de Terceros:
http://www.segu-info.com.ar/terceros/?titulo=cso
Gracias Marcelo !
3. Blind SQL Injection Basado en Tiempos mediante el uso de Consultas Pesadas
El presente documento ha sido desarrollado por Chema Alonso, Antonio Guzmán, Rodolfo Bordón, Daniel Kachakil.
En el mismo se recoge una forma de explotar vulnerabilidades SQL Injection mediante Blind SQL Injection (Inyección ciega de comandos SQL) basado en tiempos mediante el uso de consultas pesadas.
El objetivo es alertar de la necesidad de desarrollar aplicaciones
web siguiendo las buenas prácticas de seguridad y evitar confiar en
medidas perimetrales que son fácilmente evitables. El presente
documento muestra ejemplos de explotación para un conjunto de motores
de bases de datos como son Microsoft SQL Server, Microsoft Access,
MySQL y Oracle con diferentes versiones. Este método de explotación
es totalmente exportable a cualquier otro motor de base de datos.
El artículo completo puede descargarse de nuestra sección de Terceros:
http://www.segu-info.com.ar/terceros/?autor=chema
Gracias Chema !
4. Noticias de esta semana
Estas noticias pueden ser consultadas directamente desde nuestro sitio web.
Además puede realizar comentarios a cada noticia.
También pueden ser recibidas por correo una vez al día al suscribirse a nuestro blogger en nuestro sitio en la parte superior derecha donde se lee "Blog en tu Mail (mail diario)".
Ud. recibirá un resumen diario de todas las noticias publicadas por Segu-Info y que tienen importancia en Seguridad de la Información y temas relacionados.
Si desea enterarse de cada noticia publicada por Segu-Info también le recomendamos suscribirse a nuestro Feed.
5. Desafío de la semana
Solución al desafío del Boletín anterior:
En el cuadrado mágico de Renato, elaborado por Jorge Egúsquiza
Loayza, se dispone de una matriz de 20 x 20 y se rellena con números
de 1 al 400. Al sumar filas, columnas y diagonales se obtiene el
resultado 4010.
http://es.wikipedia.org/wiki/Cuadrado_m%C3%A1gico
http://www.articuloweb.com/articles.php?art_id=460
Curiosamente, la descripción a este cuadrado mágico ha sido eliminado de la Wikipedia recientemente:
http://tinyurl.com/5cd2t3
Respondieron correctamente:
guerrero.alado@, jcrelling@, rakamapi@
Desafío de esta semana:
¿Cuál es el número más grande que se puede obtener con sólo 3 cifras
y ningún signo de operación.
Actualidad
- Tesis
- Trivia
- Sorteos
- Bolsa de Trabajo
- Denuncias
- Sitios amigos
- Quién te Admite en MSN
- Listado de Malware
Virus-Antivirus
Hosting by
Todos los contenidos de este sitio se encuentran bajo Licencia Creative Commons
