"No creas en el llanto de un heredero, muy a menudo no es más que
una risa disimulada"

[ Proverbio chino ]


Boletín 176 - Método de creación de Contraseñas Robustas "deThi4-go" - 21/08/2011



Últimas vacantes para el primer curso teórico y práctico de prevención de malware y cibercrimen, que comienza el próximo 24 de agosto.

¡En este Boletín más becas y sorteos para cursos de seguridad!



1. Método de creación de Contraseñas Robustas "deThi4-go"
2. Informe sobre CeCOS V – APWG (Anti-Phishing Working Group)
3. Sorteos de cursos de seguridad
4. Segu-Info busca autores
5. Apoya a Segu-Kids, Juntos en la Red
6. Desafío de la semana



1. Método de creación de Contraseñas Robustas "deThi4-go"

El presente artículo ha sido desarrollo por Ing. Damián Ienco quien se desarrolla como Jefe del área de Seguridad Informática de SENASA, una importante organización gubernamental argentina.

Este método para crear contraseñas, es muy simple y la complejidad de la contraseña irá variando -haciéndose más compleja- a medida que vayamos avanzando en la creación y variedad de diseño de la password.

Nuestro método aplica al procedimiento de autentificación "Single-Sign-On" (SSO), más un agregado, que en este caso lo llamaremos 'FACTOR deThi4-go'.

Recordamos que Single-Sign-On es un procedimiento de autentificación de usuarios, en el cual una misma contraseña se utiliza para ingresar o loguearse ante varios sistemas, aplicaciones, correos electrónicos, etc.

Siempre debemos tener en cuenta que crear una contraseña robusta nos hace menos vulnerables a recibir cualquier tipo de ataque a la misma.

Esta forma de crear contraseñas – el método "deThi4-go", es recomendable de implementar cuando tenemos que recordar muchas de ellas (se supone que una persona común no tiene menos de 8 (ocho) contraseñas). No obstante, no hay reparo en que se utilicen para uno, dos o pocos sitios en los cuales tengamos que autentificarnos con una password.

Dependiendo del rebuscamiento al momento de crear o modificar la contraseña, el método "deThi4-go", clasifica de la siguiente manera sus distintos niveles de realización:

A todos estos niveles, le podremos agregar una variación adicional llamada precisamente AVANZADA y VARIABLE, de manera de robustecer cualquiera de las cuatro alternativas del método presentado. Esta explicación se desarrolla al final del presente documento.

El artículo completo puede ser descargado de nuestra sección de terceros.


¡Gracias Damián!



2. Informe sobre CeCOS V – APWG (Anti-Phishing Working Group)

El presente artículo ha sido desarrollo por Ing. Damián Ienco quien se desarrolla como Jefe del área de Seguridad Informática de SENASA, una importante organización gubernamental argentina.

Del 26 al 28 de abril pasado se llevó a cabo la quinta Counter-eCrime Operations Summit (CeCOS) organizada por la APWG (Anti-Phishing Working Group) [1], el evento más importante contra el cibercrimen. El evento se llevó a cabo en la ciudad de Kulua Lumpur, Malasia.

La reunión de este año se centró en el desarrollo de respuestas y recursos para la lucha contra el cibercrimen. Los presentadores ofrecieron casos de estudios de las economías nacionales y regionales bajo ataque y relatos de cooperación transnacional que llevaron al éxito de las investigaciones.

El artículo completo puede ser descargado de nuestra sección de terceros.


¡Gracias Damián!



3. Sorteos de cursos de seguridad


Segu-Info a través de la gentileza de las empresas mencionadas a continuación sortea becas completas para cursos de seguridad de la información. Es importante destacar el esfuerzo de estas empresas ya que, debido al costo de los cursos, las becas son una ayuda muy importante para las personas que, de otra forma, no podrían realizarlo.

ISM Global entrega una beca completa para el Curso Sistema de Gestión de la Continuidad del Negocio SGCN/BCMS (Business Continuity) basado en la BS-25999 a realizarse el 08 y 09 de Septiembre de 2011 en las oficinas de ISM GLOBAL S.A. en la Ciudad de Buenos Aires (Argentina). El curso se realiza en forma presencial y quienes deseen participar de la beca pueden ver las bases y condiciones.

I-PROT entrega una beca completa para el Curso Gestión de Riesgos ISO 27005 a realizarse el 23 y 25 de agosto de 2011 en las oficinas de I-PROT en la Ciudad de Buenos Aires (Argentina). El curso se realiza en forma presencial y quienes deseen participar de la beca pueden ver las bases y condiciones.

Segu-Info agradece a ISM Global y I-PROT y solicita a los participantes que por favor, si resultan ganadores, asistan a los cursos o dejen el lugar a otra persona interesada.



4. Segu-Info busca autores


Segu-Info siempre está abierto a la publicación de documentos de interés desarrollados por la comunidad por lo que;

Esta propuesta es para tí.

Segu-Info busca autores/escritores/redactores independientes que deseen compartir sus escritos/pensamientos/experiencias con la comunidad.

Para que Segu-Info siga siendo un lugar en donde la información es de todos y para todos, te invitamos a que seas parte. Si quieres compartir tus creaciones, contáctate con nosotros.



5. Apoya a Segu-Kids, Juntos en la Red


Segu-Kids, pone a disposición de todos información en forma libre y gratuita y, es el primer sitio pensado con el objetivo de apoyar y acompañar a la familia y a los educadores.

El nacimiento de Segu-Kids se debe a la gran cantidad de riesgos existentes en Internet y a la necesidad de crear concientización y educación sobre las formas de prevención y protección, haciendo uso responsable de las tecnologías existentes.

Segu-Kids busca la colaboración de todas las organizaciones a quienes les importa los menores y la seguridad en línea. Por eso, si formas parte de una de estas organizaciones o conoces a alguien vinculado, no dudes en ponerte en contacto con nosotros.

Te invitamos a conocer Segu-Kids y a dejarnos tus experiencias, para que sigamos creciendo juntos en la red.



6. Desafío de la semana


Solución al desafío del Boletín anterior:

El desafío constaba simplemente de descubrir que el "código" que figuraba en pantalla era el resultado de aplicar el algoritmo de hashing SHA256 a una cadena o archivo.

Para ello había que observar que la cadena constaba de 64 bytes en hexadecimal y, justamente los algoritmos de hashing más conocidos generan resúmenes de las siguientes longitudes:

Conociendo este dato y tratándose de un desafío relacionado a un curso de malware, se podía intuir que el hash correspondía a un archivo "dañino". Para hallarlo se lo debía buscar en la base de datos de VirusTotal que permite la búsqueda por hashing y, donde dicho archivo había sido subido para su análisis. Inicialmente al comenzar el desafío la cadena fue la siguiente:

e4d3d638cb7e199d07dd76e77db3fc196400091db25d135463825ec5219f07b4

Al buscarla correspondía al archivo "calc.exe" (renombrado a "e79ca20aa5ff13a9e6f3fcd0c7c83782") comprimido al máximo nivel con UPX y que, erroneamente es detectado por dos antivirus.

Al segundo día del desafío la cadena fue indexada por Google y, para que todos los participante tuvieran las mismas posibilidades, la cadena fue cambiada por la siguiente:

60645e777f9151fddd81e07923df675115cae915e8ee44dd105edcc9258c76c3

Al buscarla correspondía al archivo "upx.exe" (renombrado a "calc.exe") comprimido al máximo nivel con UPX y que no era detectado por ningún antivirus.


Desde Segu-Info felicitamos a quienes han resuelto el desafío: sir_el_98_@, joni2back@, m.febres@, centurionm@, rodrigocamp...@, lggroup@, fernandome...@, hdc@

Entre todos ellos, el GANADOR DEL SORTEO ES HERNAN C. (hdc@), con quien ya nos hemos puesto en contacto para que haga efectivo su premio.


Desafío de esta semana:

Un cubo de madera sólido, de cuatro centímetros fue pintado de rojo en sus seis lados. Luego, es dividido en cubos de un centímetro.

¿Cuantos cubos pequeños habrá que tengan...

Actualidad

Virus-Antivirus

Hosting by