"El destino es el que baraja las cartas, pero nosotros somos los que jugamos"
[ William Shakespeare - Escritor británico - 1564-1616 ]
Boletín 128 - Ataques informáticos, debilidades y contramedidas - 17/01/2009
I. La NSA le quitarán su BlackBerry al "pobre" Obama por los riesgos que implica para la seguridad nacional y la confidencialidad de la información
¿Qué piensan los usuarios de esta decisión? Siga el debate en nuestro Foro.
II. Nota publicada en el diario Infobae Profesional con una entrevista a mi persona, donde también se hace referencia al Boletín 125 de Segu-Info (Gracias Cesar).
1. Ataques informáticos, debilidades y contramedidas
2. Análisis de Riesgos, ¿para qué?
3. Evaluación de riesgos en las tecnologías en Cuba
4. Conficker y una nueva Botnet creciendo
5. Los 25 errores más comunes en programación
6. Apoya a Segu-Kids, Juntos en la Red
7. Desafío de la semana
1. Ataques informáticos, debilidades y contramedidas
El presente documento ha sido desarrollado por Jorge Mieres y en el mismo se describen las debilidades más comunes en los sistemas informáticos así como las formas de explotación utilizadas por los atacantes,
Además se abordan las contramedidas que deben ser tenidas en cuenta
por los usuarios y las organizaciones para proteger sus recursos.
El documento "Ataques informáticos, debilidades y contramedidas" puede ser descargado de nuestra sección de Terceros.
Jorge puede ser contactado a través de su Blog Mipistus.
¡Gracias Jorge!
2. Análisis de Riesgos, ¿para qué?
Días pasados nacía en nuestro Foro un nutrido debate sobre la necesidad de los análisis de riesgos y la forma en que las organizaciones responden a esta necesidad. En este debate surge la diferencia que existe entre la necesidad teórica y la puesta en funcionamiento práctica de un análisis de riesgos en cualquier organización.
El interesante debate surge de un artículo originalmente desarrollado por Adrían Palma en bSecure y posteriormente discutido por Joseba Enjuto, Javier Cao y Samuel Linares en sus respectivos Blogs.
Esta discusión puede verse nutrida por interesantes artículos publicados en nuestro Boletín y en nuestro Blog.
A continuación se detallan los puntos más importantes de la conversación llevada a cabo en nuestro Foro.
Samuel Linares inicia la discusión mencionando que:
"...ya que siempre me gusta hacer analogías, haga una con algo parecido en medicina. Un análisis de riesgos no deja de ser una especie de diagnóstico médico de un paciente para conocer qué necesidades o problemas tiene y cómo tratarlos de la forma más adecuada. Ante un paciente, probablemente cualquier médico asegure que es totalmente necesario realizar un diagnóstico para poder afrontar un proceso de mejora adecuado.
... ¿Existe algún colectivo de organizaciones con carencias comunes y muy identificadas?. Sí, yo creo que sí: las PYMES y algunas organizaciones con niveles de madurez similares..."
Rodney López en cambio agrega que:
"No creo que todas las PYMES tengan carencias comunes, al menos no tan comunes como para poder dar un "diagnostico" basándose en una o un grupo de ellas, ya que cada sistema es implementado de acuerdo a la experiencia de sus gestores y esta experiencia varia demasiado..."
Rodney aporta además un interesante Artículo de la Gestión de Riesgo y su puesta en marcha en empresas cubanas (ver punto 3 de este mismo Boletín).
Tirso Hernandez agrega:
"...si bien es posible generalizar, también es necesario conocer bien el o los sectores a los que pertenecen nuestros clientes [porque] un análisis de riesgos contempla factores que son muy particulares como la situación geográfica y los riesgos ambientales, sociales, etc., por lo que la generalización total sería, desde mi punto de vista, peligrosa y poco práctica."
Samuel agrega y aclara:
"Cuando me refiero a la aproximación 'sin' análisis de riesgos en PYMES, no lo digo de forma general, sino en grupo de PYMES con parámetros comunes... [con esto] habrás elevado el nivel de su seguridad y suponiendo que te llevase hacer un análisis de riesgos de una hora, habrías ahorrado 1000 horas de trabajo (unos 6 meses de trabajo de una persona). Estoy hablando de elevar niveles GLOBALES de madurez y medidas de seguridad."
Carlos Suarez menciona que:
"Si el análisis de riesgo es efectivo se traza un plan de ejecución mantenimiento preventivo, justamente para evitar el riesgo... Es por esto a mí entender, el análisis de riesgo, una herramienta muy valorable para toda empresa. Y este a su vez, único según el caso."
Y Javier Hernández le responde que:
"Excelente forma de ver las cosas. Lastima que la alta gerencia y/o el comité de seguridad no aplica casi nunca esta forma."
Mientras, Christian Benitez hace referencia al abismo existente entre las PYMEs y los sectores de tecnología:
"...hay una 'incompatibilidad' entre las PYMEs y el sector de IT. A medids que el tiempo avanza, cada vez más empresas empiezan a apoyarse en las nuevas tecnologías, pero ¿cuantas de ellas luego invierten para asegurar esa infraestructura? ¿Cuantas invierten parte de su presupuesto en mejorar esto?..."
Rodney acuerda que:
"Definitivamente los problemas son mas universales de lo que uno cree, sin embargo el llamado "abismo" entre los especialistas TI y la gerencia o directiva o dirigencia como le quieras llamar es en parte intransigencia de ambas partes pues muchas veces nosotros usamos un lenguaje muy técnico y por otra parte la directiva muchas veces tratan a las TI y mas específicamente a la seguridad como si le pudieran vender 1 Kg de seguridad en rebaja... Para mi envuelve 3 factores, la pericia técnica, el conocimiento organizacional y la capacidad de comunicación, si somos muy capaces técnicamente pero nos faltan los otros dos tenemos una evaluación ineficaz o ineficiente que a la larga significa inefectiva..."
Finalizando el debate (que recién comienza) Christian agrega:
"No creo que sea únicamente un tema de costos, muchas empresas tienen los recursos para mejorar su infraestructura pero lo ven como un 'costo' y no como 'inversion', así que se deja como esta hasta que es inevitable que pongan plata por cierta catástrofe."
Si desea aportar información en este debate, simplemente ingrese a nuestro Foro y puede dar su punto de vista sobre la necesidad de la Gestión de Riesgos y los puntos a tener en cuenta en su implementación.
3. Evaluación de riesgos en las tecnologías en Cuba
El presente documento ha sido desarrollado por Rodney López y en el mismo se realiza la evaluación de riesgos en las tecnologías de la información así como el enfoque dado a su uso en Cuba.
La evaluación de riesgos en las tecnologías de la información así como el enfoque dado a su uso en Cuba está plagado de subjetividad y carece de un enfoque estadístico y de gestión adecuados. Es por eso que en nuestro trabajo basándonos en el estudio del contexto de operaciones, de principios establecidos para la gestión TI y un enfoque estadístico nos planteamos la creación de un marco auditable de subjetividad reducida para la evaluación de los riesgos.
El documento "Evaluación de riesgos en las tecnologías en Cuba" puede ser descargado de nuestra sección de Terceros.
Gracias Rodney!
4. Conficker y una nueva Botnet creciendo
Durante este mes nuestro Blog ha estado siguiendo de cerca la evolución del gusano Conficker, también conocido como Downadup y ha continuación dejo una serie de lecturas recomendadas para su análisis.
Conficker es un gusano muy similar a los utilizados hace años y que causaron grandes epidemias como "Blaster", "Slammer", "I Love you", etc. Al igual que aquellos, este gusano busca infectar el mayor número de usuarios posible.
Existen decenas de variantes Conficker y cada una de ellas explota diferentes formas de infección combinando:
- vulnerabilidades en el sistema operativo (MS08-067)
- replicación vía recursos de red
- explotación de claves débiles
- dispositivos removibles (como USB y reproductores MP3)
Con estas técnicas se ha transformado en la pesadilla de los usuarios y administradores, infectando millones de computadores en todo el mundo.
Las primeras infecciones de este gusano se produjeron a finales de noviembre, aunque ha sido en este años cuando se ha producido un importante aumento en su actividad.
Actualmente el gusano está orientado a construir una botnet a través sitios que son registrados cada cierto tiempo por los atacantes. Estos dominios son aleatorios y el gusano dispone de un algoritmo para determinarlos, intentando conectarse a los mismos.
Si Ud. todavía no ha parcheado, no deje pasar más tiempo porque en este momento podría estar formando parte de la gran botnet de Conficker.
Más información en nuestro Blog:
http://blog.segu-info.com.ar/2008/10/sobre-la-ltima-vulnerabilidad-crtica-de.html
http://blog.segu-info.com.ar/2008/10/algunos-comentarios-sobre-el-ms08-067.html
http://blog.segu-info.com.ar/2008/11/gusanos-ms08-067-se-retuercen-en.html
http://blog.segu-info.com.ar/2008/11/explotacin-activa-de-ms08-067.html
http://blog.segu-info.com.ar/2009/01/gusano-conficker-est-infectando-miles.html
http://blog.segu-info.com.ar/2009/01/conficker-y-problemas-de-seguridad.html
http://blog.segu-info.com.ar/2009/01/microsoft-urge-las-organizaciones.html
http://blog.segu-info.com.ar/2009/01/se-propaga-rpido-potencial-gran-botnet.html
http://blog.segu-info.com.ar/2009/01/conficker-travs-de-autorun.html
Así mismo ofrecemos una serie de herramientas para remover dicho gusano:
http://blog.segu-info.com.ar/2009/01/herramientas-para-combatir-las.html
5. Los 25 errores más comunes en programación
SANS ha publicado el TOP 25 Most Dangerous Programming Errors según más de 30 expertos internacionales en seguridad y ciberdelitos.
El impacto de los errores publicados han afectado a más de 1.5 million de sitios web durante 2008 y a los usuarios que visitaron esos sitios.
Los errores publicados corresponde a los reportados como CWE (Common Weakness Enumeration) y fueron organizadas en tres niveles con distintos errores en cada uno de ellos:
1. Interacción insegura entre componentes
La forma en que los datos son enviados y recibidos entre componentes, módulos, procesos, programas, threads o sistemas es inseguro.
2. Administración riesgos de recursos
El software no administra en forma adecuada la creación, uso, transferencia o destrucción de recursos importantes del sistema.
3. Defensas deficientes ("porosas")
Las técnicas de protección son mal utilizadas, abusadas o ignoradas.
El informe completo "Los 25 errores más comunes en programación" puede ser obtenido desde nuestro Blog.
6. Apoya a Segu-Kids, Juntos en la Red
Segu-Kids, pone a disposición de todos información en forma libre y gratuita y, es el primer sitio pensado con el objetivo de apoyar y acompañar a la familia y a los educadores.
El nacimiento de Segu-Kids se debe a la gran cantidad de riesgos existentes en Internet y a la necesidad de crear concientización y educación sobre las formas de prevención y protección, haciendo uso responsable de las tecnologías existentes.
Segu-Kids busca la colaboración de todas las organizaciones a quienes les importa los menores y la seguridad en línea. Por eso, si formas parte de una de estas organizaciones o conoces a alguien vinculado, no dudes en ponerte en contacto con nosotros.
Te invitamos a conocer Segu-Kids y a dejarnos tus experiencias, para que sigamos creciendo juntos en la red.
7. Desafío de la semana
Solución al desafío del Boletín anterior:
El mensaje estaba en Código Morse. Reemplazando "-" por 1 y "." por 0 el mensaje obtenido es:
..-. . .-.. .. -.-. . ... ...- .- -.-. .- -.-. .. --- -. . ...
.-.. . ... -.. . ... . .- ... . --. ..- -....- .. -. ..-. ---
Luego sabiendo Morse o traduciendo vía un traductor Morse.
Respondieron correctamente:
pablorighi@, boxsys@
Desafío de esta semana:
En este momento son las 10:08 (de la mañana o de la noche) y siempre parece ser la misma hora. ¿A qué se debe?
Actualidad
- Tesis
- Trivia
- Sorteos
- Bolsa de Trabajo
- Denuncias
- Sitios amigos
- Quién te Admite en MSN
- Listado de Malware
Virus-Antivirus
Hosting by
Todos los contenidos de este sitio se encuentran bajo Licencia Creative Commons
