"Cerebro, ¿Que vamos a hacer esta noche? Lo mismo que hacemos todas las noches Pinky... ¡Tratar de conquistar al mundo!."
[Pinky y Cerebro, Cartoon Network]
Hoy les escribe un interlocutor diferente. Nuestro webmaster ha tenido que ausentarse, pero nosotros seguimos en pie, creando, buscando y publicando información para ustedes. Si bien la gramática puede ser diferente, el espíritu es el mismo: mantenernos actualizados en el ámbito de Seguridad de la Información. En el próximo boletín volveremos a contar con Cristian, como siempre.
Hay DOS NUEVOS SORTEOS de los cuales se puede participar libremente:
Mucho se ha hablado de las mejores prácticas que debemos tener para resguardar nuestra organización con respecto al uso de los recursos informáticos, tales como el correo electrónico. Hay discusiones sobre confidencialidad, propiedad de la información transmitida en los mensajes, códigos de ética y privacidad del correo.
Hemos decidido hacer una pausa en las discusiones, tomarnos unos minutos para analizar, y volver a las fuentes: ¿Cuál es la mejor forma de utilizar el correo electrónico provisto por la empresa (y el personal también, porqué no!)
Escalada de privilegios en SAP R/3
El 18/05/2006 Cybsec detectó una vulnerabilidad a través del comando sapdba en SAP para bases de datos INFORMIX. Esto permitiría que un usuario local pueda escalar privilegios para ejecutar comandos con los permisos de usuario informix.
Para más información:
Actualización Nota SAP 944585:
Nuevo acumulativo iSeries i5 (AS400):
V5R3: Se encuentra disponible desde el 22/05/2006 un nuevo paquete acumulativo de PTFs, con el código C6142530. IBM había retirado en forma anticipada el anterior acumulativo C6101530.
El 18/05/2006, PSP de IBM (Preventive Service Planning) recomendó omitir las PTFs MF34311, MF34457, MF38576, SI14190, SI16519, SI16533, SI16952, SI19058, SI19888 y SI22785 (para V5R3M5 la MF38658) durante la instalación del acumulativo C6101530 ya que pueden producirse resultados impredecibles durante la utilización de los mandatos para trabajar con unidades de disco.
V5R4: El nuevo acumulativo de PTFs para V5R4 es el C6115540.
Fuente: http://www.ajut400.com/blog.html
Nuestra recomendación es probar siempre actualizaciones y parches en un entorno controlado de prueba, antes de impactarlo en ambientes productivos, y mantenerse al tanto de los efectos de dichas actualizaciones en otros clientes.
Vulnerabilidad en MS Word.
Tal como publicamos en el boletín anterior, se descubrió una vulnerabilidad en MS Word 2000 en adelante, que permite ejecución de código remoto. Esta vulnerabilidad está siendo explotada por el backdoor Backdoor.Ginwui (y Backdoor.Ginwui.B), accediendo a las computadoras a través del troyano Trojan.Mdropper.H. El virus, entre otras cosas, intenta acceder a través de HTTP a "localhosts.3322.org".
Sumado a las recomendaciones antes sugeridas, recuerden mantener actualizado el software antivirus, y desactivar todos aquellos servicios que no se necesiten (por ejemplo: FTP Server, telnet, o Web Server).
Hasta el momento, se desconoce si el parche oficial será publicado antes del 13/06/2006 por Microsoft.
Para mas información:
http://www.securityfocus.com/bid/18037/
http://isc.sans.org/diary.php?storyid=1346
Otras vulnerabilidades (Fuente: SANS)
El presente artículo ha sido desarrollado por la Lic. María Solange D'Antuono y ha sido sido Actualizado en Enero de 2007 por el Lic. Cristian F. Borghello
Hemos visto que en nuestra carrera, no hay muchas alternativas de postgrado o master. Por esa razón, todo profesional de seguridad debe recurrir a certificaciones que avalen su conocimiento y experiencia, a nivel nacional e internacional.
Las empresas están empezando a solicitar este aval para sus profesionales de cargos gerenciales. Ya no basta con que sepan diagramar una red o establecer los ACL en un firewall. Un profesional de seguridad que aspire a altos puestos debe estar capacitado para entender las necesidades del negocio, administrar tableros de control y de riesgo, y brindar las mejores alternativas para la continuidad del negocio, protegiendo los activos de la organización.
A continuación detallamos las certificaciones disponibles en el mercado, para que puedan optar por la que mejor se adapte a los conocimientos y necesidades de cada uno:
Generales de Seguridad
Gestión de Seguridad de TI
Por proveedores
Gestión de la Seguridad de la Infraestructura de TI
Auditoria y control de TI
Cabe destacar que en la actualidad, la certificación de mayor renombre es la CISSP, basada en 10 dominios:
Por consultas de colisteros, estaremos buscando información respecto a carreras de grado a nivel nacional.
En nuestra entrega anterior hicimos un repaso general sobre las características principales del i5, objetos, bibliotecas, archivos, programas y subsistemas.
Continuando con nuestra aproximación a Seguridad en iSeries, hoy toca el turno a la definición de usuarios.
Existen 3 tipos de seguridad a establecer para el iSeries:
Para analizar la Seguridad de acceso, establecemos "perfil de usuario": es un objeto que contiene información acerca de un usuario.
El perfil del usuario contiene:
a) Información del usuario
b) Objetos de su propiedad
c) Autorizaciones sobre objetos
Autorizaciones especiales: existen varios niveles de autorizaciones especiales, entre las que vamos a destacar:
Las autorizaciones se pueden brindar a través de listas de autorizaciones, o a partir de perfiles de grupo.
Lista de autorización: Contiene una lista de perfiles de usuario con diferentes autorizaciones a objetos.
Grupos: es un tipo especial de perfil de usuarios, que luego será asignado a cada usuario como parte de él. Un usuario puede tener hasta 16 grupos asignados.
Definiciones generales de seguridad en usuarios
A la hora de definir perfiles de usuario, se debe tener en cuenta:
a) Los perfiles de grupo no deben tener contraseña (o sea, no logueables). Los usuarios deben acceder al sistema a través de su perfil y no con el de grupo.
b) Las autorizaciones especiales se deben definir a nivel usuario y no a nivel grupo. Definirlo a nivel de grupo implicaría la herencia a todos los usuarios pertenecientes a dicho grupo, de autorizaciones que posiblemente sólo necesite uno de los integrantes.
c) Los perfiles con autorizaciones especiales potentes (*ALLOBJ, *SERVICE, *SECADM o *SPLCTL) no deben ser utilizados como perfiles de grupo.
d) No se deben utilizar perfiles de usuario Q* (definidos por IBM) como perfil de grupo o como perfil de usuario común, ya que IBM cambia con cierta periodicidad el acceso de los perfiles IBM de usuario en las distintas releases.
e) Los usuarios deben tener definido el período de caducidad de la contraseña
f) El permiso *PUBLIC de los perfiles de usuario debe ser *EXCLUDE.
Vamos a repasar algunas novedades de índole legal:
Confidencialidad de la información
La Cámara Comercial falló en contra del Citibank, en un caso presentado por a través de una acción de amparo de la ONG Unión de Usuarios y Consumidores, ya que el banco suministraba datos de sus clientes para publicidad.
El fallo apeló a la Ley de Protección de Datos Personales (Habeas Data 25326).
http://www.clarin.com/diario/2006/05/24/um/m-01201484.htm
http://www.clarin.com/diario/2006/05/25/sociedad/s-04601.htm
Piratería y derechos de autor
En Octubre del 2005 se inician las demandas de CAPIF (Cámara Argentina de Productores de Fonogramas y Videogramas) contra Speedy por su campaña de bajarse música a través del servicio de banda ancha.
http://www.clarin.com/diario/2005/10/09/elpais/p-01601.htm
http://www.uberbin.net/archivos/opinion/llegaron-los-juicios-a-la-argentina-%C2%BFquien-sigue.php
En noviembre del 2005, se había anunciado que CAPIF había iniciado acciones contra 20 usuarios en Argentina.
http://www.clarin.com/diario/2005/11/15/um/m-01090270.htm
Esta semana se hizo pública la noticia de que varios usuarios serían multados por bajarse música a través de redes P2P.
http://www.lanacion.com.ar/808169
http://www.infobae.com/notas/nota.php?Idx=256127&IdxSeccion=100804
Gran parte de las acciones iniciadas por CAPIF son contra los titulares de los servicios de Internet, mediante solicitud de información a empresas proveedoras ISP.
Confidencialidad en conversaciones telefónicas
El ingeniero Phillip Zimmermann (por si no recuerdan ... PGP) presentó en Estados Unidos un software para proteger conversaciones telefónicas.
http://www.infobae.com/notas/nota.php?Idx=256368&IdxSeccion=100614
Habeas Data
El pasado 30/04/2006 venció el plazo para inscribir las bases de datos en la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES. La Ley 25326 establece en su artículo 21 la obligatoriedad de inscripción, bajo pena de sanciones, las cuales van desde apercibimientos hasta multas (de $1000 en adelante). Adicionalmente, si existe un requerimiento de inscripción de la base, y la misma no se encuentra inscriptas, se considerará como infracción "grave", pudiendo ser plausible de apercibimientos, suspensiones o multas mayores al caso anterior.
Expocomm
Del 3 al 10 de Octubre se estará realizando en La Rural (Predio ferial de Palermo, Buenos Aires, Argentina) una nueva edición de la exposición para la industria de Telecomunicaciones y Tecnología de la Información.
Para más información: http://www.expocomm.com.ar/
Trabajo IT
El día 31/05/2006 se estará realizando una nueva jornada de expositores para trabajo IT. Si bien está organizado por la Facultad de Ciencias Económicas de la UBA, la entrada es libre y gratuita para todas aquellas personas que estén interesadas.
Pueden inscribirse gratuitamente en: http://www.trabajoeconomicas.com.ar/
Próximos eventos
Los próximos eventos pueden ser visualizados en:
http://www.segu-info.com.ar/eventos/
Si conoces eventos y deseas publicarlos comunicate con nosotros.
NOTA: www.segu-info.com.ar no está relacionado con la organización de los eventos mencionados.
Seguramente ya lo conocen, pero para aquellos que no lo saben, en Mercado libre se puede encontrar de todo, hasta un condensador de flujo para hacer una maquina del tiempo.
Como en volver al futuro...
http://articulo.mercadolibre.com.ar/MLA-19723687-condensador-de-flujo-_JM
¿Tendrán un prototipo del motor Warp con el cual se impulsa la USS Enterprise de Star Trek?