"No puede haber pasión en jugar a lo pequeño, en conformarse con una vida que es menos de aquella que podrías vivir"

[ Nelson Mandela - Político sudafricano - 1918 - ]


Boletín 133 - NIC.ar habilita el uso multilingüe (la vergüenza Argentina) - 28/03/2009


La "tercera variante de Conficker" que se "publicará el próximo primero de abril" no es la tercera... es la número 56.789 o algún número aproximado o mayor a ese. Todos los día se lanzan nuevas variantes de Conficker y el mismo actualiza los sistemas ya infectados. Los antivirus están preparados para detectar estas variantes por diversos medios proactivos.

La "tercera variante" con fecha de lanzamiento incluida es parte de la prensa amarilla que nos toca vivir como profesionales de seguridad y de la cual no deberíamos preocuparnos si hemos actualizado nuestro sistema operativo.

¡Por favor actualice INMEDIATAMENTE!

Más información sobre Conficker.


1. NIC.ar habilita el uso multilingüe (la vergüenza Argentina)
2. Sorteo para Bootcamp CISSP
3. Serialized SQL Injection
4. Segu-Kids y su presentación en la comunidad
5. Desafío de la semana



1. NIC.ar habilita el uso multilingüe (la vergüenza Argentina)


En agosto de 2008 NIC Argentina habilitó la reserva (no la delegación) de los caracteres multilingües en los Nombres de Dominio Internacionalizado (IDN) según las reglas de los idiomas castellano y portugués. En ese momento se puso a disposición de los usuarios el registro escalonado: se podían registrar dominios con caracteres multilingües sólo aquellas entidades que ya tenían registrado un dominio equivalente. Este 23 de marzo se habilitó para todos los usuarios el uso de estos caracteres multilingüe en el registro y se publicó un listado de los dominios registrados, así como su entidad registrante.

La Resolución Ministerial 616/2008 publicada indica que los caracteres incorporados son á, â, ã, à, é, ê, í, ó, ô, õ, ú, ü, ñ y ç. Con estos caracteres se podría registrar por ejemplo el dominio "vergüenza.com.ar", que al momento de escribir el presente tiene 3 solicitudes pendientes de autorización.

Este tema ha sido ampliamente discutido desde hace tiempo debido a las ventajas que son obvias para los que hablamos español y portugués [1] y, por los inconvenientes que esto puede acarrear sobre todo en el caso de duplicación de sitios para realizar ataques de phishing o Cybersquatting.

Por ejemplo "bancoinocente.com.ar" podría ser duplicado y suplantado por "bancoínocente.com.ar" (notar el acento en la letra I) ya que los dominios y la entidad registrante serán distintos, dando una posibilidad mayor de éxito al atacante.

Estas consideraciones han sido tenidas en cuenta al momento de habilitar el registro en agosto del año pasado, dando prioridad a quien tuviera el registro original. Por ejemplo quien tuviera registrado el dominio "ene.com.ar" tendrá prioridad sobre "eñe.com.ar".

Si bien hubo muchos registrantes que se quejaron del sistema, que parecía funcionar "a veces", hasta aquí había que felicitar a NIC por poner a disposición de todos los usuarios de habla hispana el uso de los caracteres especiales.
Pero (porque en Argentina todo parece tener un pero) lamentablemente este registro da pena y una vez más NIC Argentina comete un error de principiantes y permite el registro masivo de sitios a cualquiera, al parecer mediante la utilización de métodos automáticos, como es fácil ver en los nombres de dominios registrado.

Algunos casos curiosos son:

En este contexto de vergüenza pública a la que estamos acostumbrados los argentinos, los domainers se hacen la América: personas que registran dominios masivamente sin importar si los utilizarán o no, y para lucrar con ellos a través de publicidad en el sitio o a través de la venta del dominio, si el mismo es lo suficientemente interesante como para importarle a alguien.

Algunos sostienen que la solución vendrá de la mano del cobro de los dominios ".com.ar" y, debido a que justamente estos dominios deberían ser COMerciales. Si bien para algunos esto es injusto, la verdad es que estos dominios son unos de los pocos en el mundo que aún permanecen gratuitos.

En toda esta desagradable situación, aparecen algunas preguntas:

Algunas preguntas de esas se contestan solas ya que parece que no es tan difícil crear un listado de lo que sucede con los dominios [8].

Como siempre, el estado argentino no parece darse cuenta de esta situación, duerme en los laureles y sigue auspiciando actividades que no son ilegales (porque la ley ni siquiera las considera) pero son injustas y abusivas para el resto de los ciudadanos.

¡Gracias Argentina por esta vergüenza... una vez más!


[1] Nic Argentina prepara un panel de control para 2009
http://www.martinaberastegue.com/dominios/cambios-en-nic-argentina.html
http://www.relecturas.com.ar/index.php?page=contenidos.php&id=20643
http://badd.com.ar/2008/09/29/nicar-novedades-para-el-2009/



2. Sorteo para Bootcamp CISSP


Los martes y jueves a partir del 14 hasta el 28 de abril de 2009 se desarrollará una nueva edición del curso BootCamp de CISSP. El mismo es organizado por EZ Group S.A. y Segu-Info.

Este BootCamp tiene como objetivo, ayudar a preparar de manera intensiva, a los profesionales que aspiren a la Certificación Internacional de ISC2 con mayor reconocimiento en el área de Seguridad de la Información.

Qué es la Certificación CISSP: Es una Certificación Internacional para profesionales de Seguridad de la Información (Certified Information System Security Professional)

Cuál es nuestra Metodología: Es un curso Teórico-Práctico, con la particularidad, que las prácticas consisten en exámenes de ejemplo para cada uno de los dominios de la certificación, y un examen final integrador, en simulación a un examen real de 250 preguntas y un workshop final de respuestas.

A Quién está dirigido: Profesionales, Administradores y Responsables de Seguridad de la Información, Profesionales de Sistemas, Consultores de Tecnología y Auditores Internos y Externos de IT.

Quién es el Capacitador: Lic. Cristian Borghello CISSP (Certified Information Systems Security Professional), fundador y director de Segu-Info.

Cuándo y dónde se rinde el exámen CISSP: la certificación se puede rendir en varios países de Latinoamérica y en distintas fechas según el calendario de ISC2.

El sábado 4 de abril se llevará a cabo un sorteo por una MEDIA BECA para quien desee cursar el Bootcamp CISSP.

Para participar del sorteo deben obtener 75% o más en cualquiera de las trivias de Segu-Info y ponerse en contacto con nosotros informando que desean participar de dicho sorteo.


Más información

Ante cualquier consulta, comunicarse con nosotros o con EZGroup



3. Serialized SQL Injection


Desde su Blog "Un Informático en el lado del mal", Chema Alonso, MVP de Windows Security ha desarrollado seis interesantes artículos sobre la serialización de ataques a través de inyección SQL.

Sobre SQL Injection se ha escrito mucho, pero aun así continúan saliendo nuevos entornos, nuevas posibilidades o nuevos riesgos asociados a esta técnica de inyección. El presente artículo va dedicado a la extracción de datos mediante la serialización de datos en la respuesta.

La idea de esta técnica viene determinada por el siguiente entorno: Imaginemos una aplicación vulnerable a SQL injection en la que se puede poner un Union para que imprima un campo, pero sólo un campo.

En Segu-Info los hemos recopilado y pueden ser descargados de nuestra sección de Terceros:

Los artículos originales pueden ser consultados en:


4. Segu-Kids y su presentación en la comunidad


El pasado jueves 26 de marzo, SoloE, resposansable de Segu-Kids estuvo presente en la "Concientización sobre el uso de adecuado de Internet" organizado por Usuaria e ISSARBA, presentando el sitio y escuchando las múltiples ideas que existen en la comunidad sobre la forma en que se debe ayudar a los padres, a los jóvenes y a los docentes en el uso de la tecnología.

Este nuevo acercamiento a la comunidad puede abrir nuevas puertas para que este proyecto, que nació en Segu-Info, siga creciendo y ayudando a cualquiera que desee acercarse a Internet, sin riesgos.

En sus palabras, publicadas en el Foro de Segu-Info: "Ví en esta jornada, muchas opiniones, unas cuantas críticas, pero la mayoría de los proyectos quedan enredados en burocracias que están muy alejadas de la realidad. Las amenazas a las que estamos expuestos al utilizar la Tecnología no tienen los mismos tiempos que aquellos a quienes les pertenece la toma de las decisiones.

Algunas personas me comentaron que estaban trabajando en algunos proyectos, que estaban organizando capacitaciones en sus lugares de trabajo. De corazón deseo que la próxima vez que nos encontremos puedan contarme sus experiencias y conclusiones y no escuchar que siguen planeando hacer algo.

Nuestro principal orgullo es creer en lo que hacemos, sabiendo que siempre vamos a hacer todo lo posible por llevarlos adelante porque ustedes nos respaldan.

La jornada del jueves fue muy productiva para nosotros. Puede ser que dentro de unos meses Segu-Kids pueda llegar a muchas mas escuelas y padres para ayudarles a mantenerse actualizados y a perderle el miedo a Internet.

Mientras tanto, invito a todos los que aún no han visitado el sitio, que lo hagan, y me envíen todas sus observaciones. La idea es hacer que Segu-Kids mejore y en eso solo nos pueden ayudar ustedes".



5. Desafío de la semana


Solución al desafío del Boletín anterior:

Al ser un problema de pensamiento lateral, pueden existir varias respuestas válidas:
- Los soldados ubicaron al condenado del otro lado del paredón.
- Los soldados y el condenado se encontraban demasiado lejos como para que las balas impacten en este último
- El condenado estaba protegido de alguna forma contra las balas
- El paredón en el que pusieron al condenado no era el mismo que contra el que dispararon
- Otras

Respondieron correctamente:
wmeikle@, gomeza@, rafael.gon...@, idb.random@, martin.domo...@, boxsys@, lukas.vs.net@, cesar.sistemas@,

Desafío de esta semana:

¿Cuánta sangre hay en el mundo?


Actualidad

Virus-Antivirus

Hosting by