"La prosperidad hace amistades y la adversidad las prueba"

[ Anónimo ]


Boletín 116 - Concientización de Seguridad Informática en 7 pasos - 20/07/2008



1. Concientización de Seguridad Informática en 7 pasos
2. Diez tecnologías que explotan los delincuentes cibernéticos
3. Los Peligros de las Redes Sociales en Internet
4. Vulnerabilidad en DNS ¿Quién es Dan Kaminsky?
5. Actualización Feed y Buscador de Segu-Info
6. Ganadores Sorteo Entradas Conferencia de Ley de Delitos
7. Desafío de la semana



1. Concientización de Seguridad Informática en 7 pasos


Este artículo ha sido originalmente publicado por Gary Hinson Editor de Notice Bored y traducido en exclusiva para Segu-Info por Alejandra Stolk y Fernando Spettoli.

Si Ud. está pensando en realizar un programa de concientización pero no está seguro por dónde empezar, este artículo le ofrece algunas claves y tips pragmáticos de cómo aplicar siete pasos claves en un proceso típico de tecnología de información desde el proceso de selección y el lanzamiento de un programa de concientización.

Está basado en la experiencia y se ha tratado de generalizar lo más posible para hacerlo de utilidad y evitar que el mismo quede como artículo para una cartelera y dejar al juicio del lector cómo adaptarlo a circunstancias específicas.

  1. Especifica tus requerimientos
  2. Prepara un plan y evalúa una lista de producto
  3. Asegurar el financiamiento y el apoyo de la gerencia
  4. Identifica y genera listas de posibles soluciones
  5. Evalúa soluciones potenciales
  6. Selecciona y compra la solución escogida
  7. . Implementa y lanza la campaña de concientización

El artículo completo puede descargado de nuestra sección de Terceros.


Gracias Ale y Fernando!



2. Diez tecnologías que explotan los delincuentes cibernéticos


Este artículo ha sido originalmente publicado por Debra Littlejohn Shinder y traducido en exclusiva para Segu-Info por Raúl Batista.

Los delincuentes cibernéticos pueden perseguir a sus usuarios de muchas formas, y los resultados pueden ser devastadores. Comparta esta lista con ellos para ayudarlos a que se mantengan alertas en este mundo en línea cada vez más riesgoso.

Las nuevas tecnologías hacen más fácil para todos nosotros hacer nuestro trabajo en línea, comunicarse con otros, y aprovechar las ventajas de todo el entretenimiento basado en Internet que hoy está disponible. Pero muchas de esas mismas tecnologías han hecho más fácil a los delincuentes cibernéticos -los chicos malos que usan la red para propósitos ilegales- poder hacer sus malas acciones. Estamos hablando de hackers, atacantes, spammers, scammers, phishers y otros tipos de criminales.

En este artículo, daremos un vistazo a las 10 tecnologías principales que ellos adoran explotar y veremos cómo se puede proteger, tanto en casa como en su empresa, cuando usa estas tecnologías.

El artículo completo puede descargado de nuestra sección de Terceros.


Gracias Raul!



3. Los Peligros de las Redes Sociales en Internet


El presente documento ha sido desarrollado por Raymond Orta Martínez, Abogado, experto en Informática Forense y Seguridad Informática y Director Legal de de Informática Forense.

Uno de los fenómenos que más se destaca en la revolución tecnológica de Internet, es la utilización de las redes sociales. Existen más de doscientas páginas web dedicadas a la formación de establecimiento combinado de contactos (blended networking); Facebook, Hi5, My Space, Orbuk y Neurona, se destacan por su capacidad de construir redes de contactos.

La nueva moda de navegación se centra en la búsqueda e inclusión de amigos y contactos; compañeros de estudio, colegas, equipos deportivos y hasta agrupaciones políticas en la web. Se trata de una nueva dimensión expansiva de las relaciones personales, que antes solo podía ser alcanzada por técnicas de mercadeo profesional.

El artículo completo puede descargado de nuestra sección de Terceros.



4. Vulnerabilidad en DNS ¿Quién es Dan Kaminsky?


Dan Kaminsky [1], a quien muchos le atribuyen haber "salvado Internet" de la catástrofe más grande desde su nacimiento [2], es un jóven de 29 años, actual Director de Penetration Testing de IOActive [3] y ha trabajado como investigador y consultor en empresas de Fortune 500.

Dan ha hallado recientemente una vulnerabilidad en el diseño del protocolo DNS [4] que permite el envenenamiento de caché DNS. Los detalles de la vulnerabilidad serán expuestos a través de un Webcast, en la próxima Conferencia Black Hat el 24 de agosto [5].

El fallo permite a cualquier atacante engañar al DNS y redirigir cualquier dirección de Internet a un sitio falso permitiendo ataques de phishing.

Más allá de los detalles técnicos (aún no conocidos) de la vulnerabilidad, lo realmente destacable del caso es que, por primera vez en la historia y debido a la gravedad del problema, importantes compañías de desarrollo de hardware y software, han coordinado sus esfuerzos durante meses para solucionar el problema en el mismo momento [6].

"Ninguna otra operación de seguridad ha sido nunca realizada a esta escala" según ha comentado Kaminsky, que ha puesto a disposición un sitio que permite a testear la vulnerabilidad [7].

Luego de estas declaraciones Kaminsky ha sido tratado de irresponsable por la forma en que manejó la publicación [8] de la vulnerabilidad pero, es evidente la responsabilidad con la que se ha tratado este tema debido a la colaboración entre vendors, ya comentado y que él prefirió solucionar el problema en vez de hacer dinero con él como expresa Jeff Moss, fundador Black Hat [5].

Iñaki Úcar ha desarrollado un excelente resumen de la forma de funcionamiento de los DNS y de cuan grave es la vulnerabilidad hallada en el tratamiento de peticiones [9]. El documento puede ser encontrado en su Blog Enchufa2 [9] o en nuestra sección de Terceros [10].

Sin detalles, el aviso más completo fue realizado el 8 de julio por el CERT/CC en su boletín número VU#800113 [11] y en él se destaca que todos (de la A a la Z) los vendors actuales son vulnerables y se debía proceder a la actualización inmediata de los sistemas, con todo lo que ello implica para toda las organizaciones de Internet.

[1]Dan Kaminsky
http://www.doxpara.com/?page_id=1159

[2] El hombre que salvó Internet, Dan Kaminsky
http://seguinfo.blogspot.com/2008/07/el-hombre-que-salv-internet.html

[3]IOActive
http://www.ioactive.com/

[4] DNS, una introducción
http://www.segu-info.com.ar/boletin/boletin_061209.htm
http://es.wikipedia.org/wiki/Domain_Name_System

[5] Black Hat
http://www.blackhat.com/

[6] Los grandes de la red colaboran contra un grave fallo de seguridad
http://seguinfo.blogspot.com/2008/07/los-grandes-de-la-red-colaboran-contra.html

[7] Check DNS
http://www.doxpara.com/

[8] Declaraciones de Paul Vixie
http://www.circleid.com/posts/87143_dns_not_a_guessing_game/
http://tech.slashdot.org/tech/08/07/15/0032227.shtml
Traducido por Yaco para Segu-Info
http://www.segu-info.com.ar/foro/?q=vulnerabilidad%20DNS
Podcast de Dan Kaminski
http://media.libsyn.com/media/mckeay/nsp-070808-ep111.mp3

[9] Cómo de crítico era el fallo en los servidores DNS
http://www.enchufa2.es/archives/como-de-critico-era-el-fallo-en-los-servidores-dns-i.html
http://www.enchufa2.es/archives/como-de-critico-era-el-fallo-en-los-servidores-dns-ii.html
http://www.enchufa2.es/archives/como-de-critico-era-el-fallo-en-los-servidores-dns-iii.html

[10] Cómo de crítico era el fallo en los servidores DNS (PDF)
http://www.segu-info.com.ar/terceros/?titulo=dns

[11] Vulnerability Note VU#800113
http://www.kb.cert.org/vuls/id/800113
http://securosis.com/publications/CERT%20Advisory.doc
http://www.isc.org/index.pl?/sw/bind/bind-security.php
http://isc.dshield.org/diary.html?storyid=4687



5. Actualización Feed y Buscador de Segu-Info


Hemos actualizado nuestros contenidos de sitios de seguridad de la información en el archivo OPML correspondiente. Ustedes pueden agregar este archivo a sus lectores de Feed favoritos para tener acceso a más de 300 fuentes sobre de seguridad.

Hemos actualizado el Buscador de Segu-Info en el cual se puede buscar información de Seguridad en más de 13.000 sitios relacionados.

Para agregar este Gadget a iGoogle simplemente debemos seguir el siguiente enlace. El Gadget se agrega automáticamente a su página de inicio de iGoogle.

Si desea colocar el Gadget en su sitio web, puede utilizar el siguiente enlace para configurar la apariencia del mismo y obtener el código a agregar en su sitio.



6. Ganadores Sorteo Entradas Conferencia de Ley de Delitos

Se ha llevado a cabo el sorteo de las 5 entradas para la Conferencia de Ley de Delitos Informáticos a a realizarse el próximo jueves 24 de Julio de 2008, de 8:30 a 12:30 hs.

FELICITACIONES!!!

Los ganadores ya han sido contactos a sus correos personales.

Segu-Info agradece a la Organización de Infobae por este sorteo.

PD: Aquellas organizaciones (de cualquier país) que deseen sortear o promocionar sus eventos por favor ponerse en contacto.



7. Desafío de la semana

Solución al desafío del Boletín anterior:
Las posibles combinaciones son: 1-2-10, 1-3-9, 1-4-8, 1-5-7, 2-3-8, 2-4-7, 2-5-6, 3-4-6. Si A no lo sabe, no puede ser 3, si C no lo sabe, no puede ser 9, 10 ni la combinación que queda en 6 (2-5-6). Sólo queda 1-5-7, 2-3-8 y si B no lo sabe es porque queda el doblete 1-4-8, 2-4-7 y no saben cual de las dos es, luego la respuesta es 4.


Respondieron correctamente y explicaron el procedimiento: nuflaco@, hscholtus@, gageorgi@, jquintev@, cd_troya@, ebringas2004@.

Una mención para andrescamilo1415@ que notó un error gramatical en el enunciado (se confunden Pesos con Euros).


Desafío de esta semana:
¿Qué números deben asignarse a cada letra para que se dé la igualdad?
U+N+O + C+A+T+O+R+C+E = C+U+A+T+R+O + O+N+C+E


Extras

Virus-Antivirus

Hosting by