"Si no se modera tu orgullo, él será tu mayor castigo"
[ Dante Alighieri - Poeta florentino Italiano - 1265-1321 ]
En este Boletín analizamos las nuevas medidas legales que desean incorporar España y EE.UU. para instalar troyanos en los sistemas para controlar la piratería o la posible comisión de delitos informáticos por parte de los usuarios.
Además, mostramos cómo un equipo de tres investigadores pudo crackear contraseñas de hasta 16 caracteres utilizando diversas técnicas y herramientas.
Finalmente, nos realizamos diez preguntas de diligencia debida que debería hacerse una organización antes de contratar servicios de Cloud Computing y Housing para su centro de procesamiento de datos.
Este artículo fue desarrollado por Marcelo Temperini.
Marcelo es
Abogado (UNL) y actualmente se encuentra realizando un Doctorando
CONICET con especialización en Delitos Informáticos. Es Co-director de
la Red El Derecho Informático y Analista de Seguridad y Director de
AsegurarTe – Consultora en Seguridad de la Información.
Marcelo puede ser contactado en su Blog.
Hace pocos días, el diario El País de España publicó una noticia que afirmaba que "La policía podrá usar troyanos para investigar ordenadores y tabletas". La nota se basa en el borrador del anteproyecto de Código Procesal Penal del Ministerio de Justicia, el cual permitiría a los jueces que autoricen a la policía la instalación de troyanos en las computadoras de los investigados para obtener la información que contienen o a la que se puede acceder a través de ellos.
El texto (no está aprobado aún) prevé el acceso remoto de equipos informáticos para delitos con penas máximas superiores a 3 años, para el cibercrimen y para el terrorismo y el crimen organizado siempre que el juez justifique la proporcionalidad de la intervención. Hasta el momento, solo Alemania ha aprobado una regulación similar, aunque solo para casos de terrorismo, ante la invasión de la intimidad que supone.
Se puede acceder al documento completo en formato PDF desde nuestra sección Artículos de Terceros.
¡Gracias Marcelo!
Este artículo ha sido desarrollado por Mauro Gioino.
Mauro es
Ingeniero en Sistemas de Información por UTN y puede ser contactado
en maurogioino[ARROBA]gmail.com.
Este artículo es una traducción y adaptación de su homólogo en inglés publicado originalmente por Arstechnica: Anatomy of a hack: How crackers ransack passwords like "qeadzcwrsfxv1331".
En marzo de este año, lectores inspirados en Nate Anderson, el subdirector de Ars y un novato en el arte del password cracking, han descargado una lista de más de 16 mil hashes. A las pocas horas, habían descifrado casi la mitad de ellos. Moraleja de la historia: si un reportero con cero entrenamiento en password cracking puede lograr semejantes resultados, imaginen lo que pueden hacer atacantes más experimentados.
Sin imaginar más, le preguntaron a tres expertos del cracking si atacarían la misma lista que utilizó Anderson para hacer el recuento de los resultados en todos sus colores y detalles técnicos. Los resultados eran para abrir los ojos ya que demostraron como rápidamente incluso largos passwords con letras, números y símbolos pueden ser descubiertos.
La lista contenía 16.449 contraseñas convertidas en hashes utilizando la función criptográfica MD5 (sin SALT). Sitios web con un poco de conciencia en seguridad, nunca almacenan passwords en texto plano. En cambio, ellos trabajaron solo con estos hashes conocidos como de una sola vía, los cuales son incapaces de ser convertidos matemáticamente nuevamente a letras, números y letras como los eligió originalmente el usuario. En caso de un fallo de seguridad que exponga los datos de los passwords, un atacante todavía debería adivinar cuidadosamente cada texto plano por hash.
Mientras que la tasa de éxito de Anderson fue del 47%, es minúsculo en comparación a lo que pueden hacer realmente los crackers, como el mismísimo Anderson aclaró. Para comprobar el punto, les dimos la misma lista y vimos por encima del hombro como la rompían.
El cracker menos exitoso del trio, quien utilizó la menor cantidad de hardware, dedicó sólo una hora, utilizó una pequeña lista de palabras y realizó una entrevista durante todo el proceso (fue capaz de descifrar el 62% de los passwords). El cracker más exitoso obtuvo el 90% de las contraseñas de la lista.
Se puede acceder al documento completo en formato PDF desde nuestra sección Artículos de Terceros.
¡Gracias Mauro!
Este artículo ha sido traducido por Raúl Batista, quien es Administrador de sistemas y es uno de los moderadores de Segu-Info.
El artículo es una traducción y adaptación de su homólogo en inglés publicado originalmente por Tech Republic: 10 due diligence questions to ask before co-locating your data center.
Muchas organizaciones están descubriendo los beneficios del housing de sus centros de procesamientos de datos. Pero si no se investiga a fondo a los posible proveedores, uno podría quemarse.
Una de las tendencias más fuertes en 2013 es el housing. La idea de mandar afuera todo o parte del centro de procesamiento de datos, está poniéndose de moda a medida que las compañías buscan ser más ágiles y formas de evitar los costos de la expansión del centro de procesamiento de datos. El housing puede ser fantástico. Pero antes de dar el salto, aquí hay 10 cosas que debe incluir en su diligencia debida para el housing.
¡Gracias Raúl!
Segu-Info siempre está abierto a la publicación de documentos de interés desarrollados por la comunidad por lo que;
Esta propuesta es para tí.
Segu-Info busca autores/escritores/redactores independientes que deseen compartir sus escritos/pensamientos/experiencias con la comunidad.
Para que Segu-Info siga siendo un lugar en donde la información es de todos y para todos, te invitamos a que seas parte. Si quieres compartir tus creaciones, contáctate con nosotros.
Segu-Kids, pone a disposición de todos información en forma libre y gratuita y, es el primer sitio pensado con el objetivo de apoyar y acompañar a la familia y a los educadores.
El nacimiento de Segu-Kids se debe a la gran cantidad de riesgos existentes en Internet y a la necesidad de crear concientización y educación sobre las formas de prevención y protección, haciendo uso responsable de las tecnologías existentes.
Segu-Kids busca la colaboración de todas las organizaciones a quienes les importa los menores y la seguridad en línea. Por eso, si formas parte de una de estas organizaciones o conoces a alguien vinculado, no dudes en ponerte en contacto con nosotros.
Te invitamos a conocer Segu-Kids y a dejarnos tus experiencias, para que sigamos creciendo juntos en la red.
Solución al desafío del Boletín anterior
El número buscado es el "2518".
Respondieron correctamente: [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected]
Desafío de esta semana:
¿Qué dice el siguiente mensaje y dónde puede ser encontrado?