"Hace falta saber obedecer para saber mandar."

[ Solón - Legislador y político ateniense - 638-559 a.C. ]


Boletín 110 - Uso seguro de la banca electrónica - 20/04/2008



1. Uso seguro de la banca electrónica
2. El Rol del Oficial de Seguridad (ISO o CSO)
3. Blind SQL Injection mediante el uso de Consultas Pesadas
4. Noticias de esta semana
5. Desafío de la semana



1. Uso seguro de la banca electrónica


El uso de la banca y otros servicios electrónicos se está transformando en normal al evolucionar los recursos disponibles en Internet.

En 2004 algunos informes [1] afirmaban que gran cantidad de usuarios utilizan el servicios de Home-Banking si bien muchos de estos sitios facilitaban los ataques de Phishing [2].

Actualmente otros informes [3] aseguran que si bien la cantidad de usuarios de estos servicios crece constantemente, casi la mitad de ellos sólo realiza consultas pero no se anima a hacer transacciones.
Sin dudas, la sensación de inseguridad generalizada es una traba para el crecimiento en el uso de las herramientas virtuales [4]. Por supuesto la inseguridad que se vive en la red es la principal fuente de rechazo, si bien todas los usuarios y las industrias ven beneficios inmediatos en su utilización [5].

Este rechazo es normal al analizar el nivel de desconocimiento sobre las tecnologías empleadas y de las amenazas que pueden afectar a cualquier usuario. Con el nivel de educación y buenas costumbres apropiado, el sistema virtual puede ser utilizado con el mismo nivel (e incluso mayor) de seguridad que el sistema tradicional.

Para ello y, si bien el sistema bancario y financiero virtual se encuentra en pleno crecimiento y, algunos procedimientos, opiniones y legislaciones varían de país en país [6], la paranoia [7] típica de cualquier usuario puede ser controlada cuando se conocen las herramientas para prevenir cualquier tipo de fraude o estafa.

A continuación entregamos una serie de cursos y lecturas que ayudan a comprender como funciona el sistema de transacciones virtuales y los requisitos necesarios para hacer uso seguro del mismo:

[1] Más de un millón de argentinos ya usa el Home Banking
http://www.clarin.com/diario/2004/09/16/um/m-832701.htm
http://seguinfo.blogspot.com/2007/10/la-argentina-entre-los-lderes-de-banca.html

[2] Implicaciones de seguridad ante ataques Phishing en el diseño de páginas web bancarias españolas
http://www.hispasec.com/directorio/laboratorio/articulos/EstudioBancaPhishing/estudio_banca_y_phishing.pdf

[3] Uso de Internet: contenidos y transacciones 2008
http://seguinfo.blogspot.com/2008/04/los-argentinos-les-temen-las.html
http://seguinfo.blogspot.com/2007/09/hay-siete-millones-de-usuarios-de.html

[4] La sensación de inseguridad es la principal traba para el crecimiento del Home-Banking y las compras online
http://www.certisur.com/docs/EncSeguridadInternet_2006.pdf
http://www.certisur.com/docs/SeguridadInternet_200507.pdf

[5] El auge de la banca por Internet propicia que se multipliquen por cinco sus beneficios
http://www.lasprovincias.es/valencia/prensa/20061203/economia/auge-banca-internet-propicia_20061203.html

[6] Opiniones de países, bancos y legislaciones sobre la seguridad
http://seguinfo.blogspot.com/2008/04/los-bancos-britnicos-se-aseguran-contra.html
http://seguinfo.blogspot.com/2007/12/seguridad-de-transacciones-en-internet.html
http://seguinfo.blogspot.com/2007/11/la-banca-tambin-ser-responsable-de-los.html

[7] ¿Sirve la Paranoia?
http://www.segu-info.com.ar/articulos/64-sirve-paranoia.htm



2. El Rol del Oficial de Seguridad


El presente artículo ha sido desarrollado por Lic. Marcelo F. Rodríguez quien es MBA/CISA/PMO y actualmente se desarrolla como Director de Root-Secure. Marcelo puede ser contactado en mrodriguez at root-secure.com

El Rol del Oficial de Seguridad (Information Security Officer, ISO, Chief Security Officer ó CSO para los amigos).

¿El ISO debe Administrar Seguridad? ¿Debe controlar que se implementen las medidas recomendadas? ¿O simplemente debe decir qué hacer? ¿O ninguna de las anteriores...?

Pareciera que no hay Norma, Ley, Disposición o Circular que dé luz sobre el tema. Y las interpretaciones nos pueden llevar a tomar como válida cualquiera de las respuestas anteriormente dadas.

El hecho es que tampoco hay una respuesta lineal y única para todas las empresas. Cada una tiene su realidad y, por lo tanto, sus propias necesidades. Con lo cual el problema es aún mayor.

Entonces, ¿qué rol debe cumplir el ISO? Evidentemente, el que la Empresa demande.

No es la intención dar una respuesta universal al problema planteado.

La propuesta es desafiar a cada modelo y así poder decidir conscientemente con cuál de los esquemas podemos salir a combatir más dignamente. Hacia allá vamos.

El artículo completo puede descargarse de nuestra sección de Terceros:
http://www.segu-info.com.ar/terceros/?titulo=cso


Gracias Marcelo !



3. Blind SQL Injection Basado en Tiempos mediante el uso de Consultas Pesadas


El presente documento ha sido desarrollado por Chema Alonso, Antonio Guzmán, Rodolfo Bordón, Daniel Kachakil.

En el mismo se recoge una forma de explotar vulnerabilidades SQL Injection mediante Blind SQL Injection (Inyección ciega de comandos SQL) basado en tiempos mediante el uso de consultas pesadas.

El objetivo es alertar de la necesidad de desarrollar aplicaciones web siguiendo las buenas prácticas de seguridad y evitar confiar en medidas perimetrales que son fácilmente evitables. El presente documento muestra ejemplos de explotación para un conjunto de motores de bases de datos como son Microsoft SQL Server, Microsoft Access,
MySQL y Oracle con diferentes versiones. Este método de explotación es totalmente exportable a cualquier otro motor de base de datos.

El artículo completo puede descargarse de nuestra sección de Terceros:
http://www.segu-info.com.ar/terceros/?autor=chema


Gracias Chema !



4. Noticias de esta semana


Estas noticias pueden ser consultadas directamente desde nuestro sitio web.

Además puede realizar comentarios a cada noticia.

También pueden ser recibidas por correo una vez al día al suscribirse a nuestro blogger en nuestro sitio en la parte superior derecha donde se lee "Blog en tu Mail (mail diario)".

Ud. recibirá un resumen diario de todas las noticias publicadas por Segu-Info y que tienen importancia en Seguridad de la Información y temas relacionados.

Si desea enterarse de cada noticia publicada por Segu-Info también le recomendamos suscribirse a nuestro Feed.



5. Desafío de la semana

Solución al desafío del Boletín anterior:
En el cuadrado mágico de Renato, elaborado por Jorge Egúsquiza Loayza, se dispone de una matriz de 20 x 20 y se rellena con números de 1 al 400. Al sumar filas, columnas y diagonales se obtiene el resultado 4010.

http://es.wikipedia.org/wiki/Cuadrado_m%C3%A1gico

http://www.articuloweb.com/articles.php?art_id=460

Curiosamente, la descripción a este cuadrado mágico ha sido eliminado de la Wikipedia recientemente:
http://tinyurl.com/5cd2t3


Respondieron correctamente:

[email protected], [email protected], [email protected]


Desafío de esta semana:
¿Cuál es el número más grande que se puede obtener con sólo 3 cifras y ningún signo de operación.



Actualidad

Virus-Antivirus