Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

viernes, 18 de enero de 2008

SCHNEIER: "EL CIBERCRIMEN ES COMO EL NARCOTRÁFICO"
Por MERCÈ MOLIST

A Bruce Schneier, la revista The Economist le llama "gurú de la seguridad informática". Asesora a empresas a través de la suya, Counterpane, que recientemente adquirió British Telecom. Algunos de sus muchos fans mantienen, con su aquiescencia, la página humorística Los hechos de Bruce Schneier, donde entre otros destacan: "Cuando Dios necesita un nuevo certificado seguro, se lo pide a Schneier".

A partir de sus frecuentes viajes para dar charlas, como la que impartió en la II Jornada Internacional del ISMS Forum Spain en Madrid, Schneier se ha convertido en uno de los mayores críticos de las medidas de seguridad de los aeropuertos del mundo. Ha pasado por el de Barajas: "Nada que objetar. Me ha parecido rápido y fácil; poco que ver con el sinsentido de los aeropuertos americanos".

Sobre la seguridad informática, el mensaje de Schneier es claro: el cibercrimen crece a pasos de gigante porque es rentable. "Podría compararse al narcotráfico, no tenemos datos reales que confirmen su auténtico alcance ya que las víctimas, los bancos y empresas, no informan de los ataques por temor a que la gente pierda confianza", asegura.

Según el experto, aunque las técnicas y tácticas del cibercrimen están en constante evolución, el principal cambio ha sido el paso "del hacker feliz al hacker criminal en grupos organizados que funcionan como un negocio, vendiendo programas para atacar objetivos cada vez más concretos" y denuncia que "un solo grupo es responsable de una tercera parte del correo basura".

Schneier es siempre muy crítico con Microsoft, especialmente con su política de publicar parches de seguridad sólo una vez al mes: "Mientras tanto, todos los sistemas que son vulnerables tienen estos agujeros abiertos, olvidando que la seguridad de mi red depende de la tuya y viceversa, y todas de la de mi madre".

El experto asegura que nada puede hacerse con las personas que no saben mantener sus ordenadores personales seguros: "Dejémosles tranquilos"; pero en cambio ve dos salidas para la empresa: "El mercado, que cada vez vende más productos de seguridad, aunque esto no significa que sean buenos, y la regulación, con leyes o con iniciativas privadas para protegerse".

A pesar de defender las leyes, se muestra contrario a dos directivas europeas: la ilegalización de las herramientas de hacking, porque "pueden servir tanto para el bien como para el mal", y la retención de los datos, porque "no sirve para cazar a los criminales y alguien puede robar estos datos que son privados". Para el experto, "la mejor forma de que la información esté segura es que no exista, que no se guarden los datos".

Según Schneier, la economía es crucial en la lucha contra el cibercrimen. Nombra algunas leyes del mercado tecnológico que inciden en la seguridad: "El efecto red, donde cuánta más gente usa algo, más valor tiene; el que la copia sea muy barata; que el valor de una compañía se mida por lo que costará a la gente dejar otra marca y usar la suya; que el vendedor sepa más sobre el producto que el comprador y la externalización: que yo no tomo la decisión".

Fuente: http://www.elpais.com

Ver más

PRESENTACIONES: DISI 2007

Se encuentran disponibles las presentaciones del Segundo Dí­a Internacional de la Seguridad de la Información - DISI 2007.

Desde la sección Ponencias del menú principal del site de DISI pueden descargarse las presentaciones realizadas en este congreso celebrado el 3 de diciembre de 2007 en la EUITT-UPM.
  • A Fool's Errand: Inventing Public Key Cryptography. Martin Hellman, Universidad de Stanford - Estados Unidos
  • Avances en la Factorización Entera. Hugo Scolnik, Universidad de Buenos Aires - Argentina
  • Evolución del Malware: Malware 2.0. Sergio de los Santos, Hispasec Sistemas - España
  • Antiphising y Antitroyanos. Flujo Malware. Sergio de los Santos, Hispasec Sistemas - España
  • Seguridad en Entornos Linux. Fernando Acero, Hispalinux - España
  • El Fracaso del Software. Juan Carlos Garcia Cuartango, Instituto para la Seguridad en Internet - España.

En fecha próxima se pondrán en este servidor los vídeos de las presentaciones de los ponentes.

Fuente: http://seguridad-informacion.blogspot.com/2008/01/presentaciones-disi-2007.html

Ver más

TOP 5 VULNERABILIDADES DE VOIP EN 2007
Sipera Systems ha recopilado las 5 más importantes vulnerabilidades en VoIP durante este año 2007 , que ya dejamos.

Estas son:
  • Escucha remota (remote eavesdropping) de llamadas VoIP.
  • "VoIP Hopping",es uno de los componentes de las escuchas remotas, pero compromete Vlans, que previamente han podido ser securizadas, permitiendo a los hackers acceders a plataformas VoIP.
  • Vishing, el phising de la VoIP: Permite a los hackers falsear tu caller id (identificación de llamadas) y hacerse pasar por quien no es. Se podría acceder a información sensible en sistema de banca , etc..
  • Fraude en llamadas: Acceso a redes empresariales VoIP y realizar llamadas sobre ellas.
  • El Gusano de Skype, w32/Ramex. Este virus se expande por mensajería instantánea , cambia el estado del usuario Skype a "No molestar" e inhibe a las herramientas de seguridad del acceso al ordenador.

Ver más

LA NUEVA CARA DEL CYBERCRIMEN
Pongo a su disposición el trailer del documental "The New Face of Cybercrime", con este documental (que saldrá pronto a la luz) la empresa de seguridad Fortify pretende mostrar "La Nueva Cara del Cyber Crimen" cómo paso de ser una actividad de algunos jóvenes adolescentes a una verdadera red delincuencial que mueve millones de dolares al año.

Fuente: http://www.dragonjar.us/la-nueva-cara-del-cyber-crimen-the-new-face-of-cybercrime.xhtml

Ver más

CÓMO EL FENÓMENO DE LAS REDES SOCIALES EN LÍNEA AL ESTILO DE FACEBOOK O MYSPACE
El año último ganaron mucha popularidad y son un negocio gigantesco. Se usan para estar en contacto con amigos, pero también para conocer a otras personas. Qué hay que tener en cuenta a la hora de usarlas.

MySpace tiene 110 millones de usuarios activos en el mundo. Hi5 , 70 millones de usuarios registrados. Orkut , 67 millones. Facebook , unos 60 millones. Friendster , 53 millones. Todas son redes sociales en línea; fueron uno de los servicios con más crecimiento en la Red el año último, y se preparan seguir siendo un fenómeno en 2008.

Antes de Internet, el estar conectado significaba contar con una vasta red de amigos y conocidos. Después, la Web y la posibilidad de conectarse en forma instantánea con otros, sin importar su ubicación, dieron pie a servicios que facilitan mantenerse al tanto de su vida, desde el mensajero instantáneo hasta el weblog como un diario personal público. Otros servicios complementan estas herramientas, como el fotolog, el microblog al estilo Twitter o las comunidades virtuales y foros de discusión, donde se puede conocer gente con gustos similares (al estilo de Psicofxp.com , MaximoPC.org o Bsasinsomnio.com.ar , entre otros).

En ese contexto surgieron las redes sociales en línea, sitios que permiten generar un perfil público, donde el usuario ofrece datos personales y accede a diversas herramientas para interactuar en línea con otras personas, mantenerlas al tanto de su quehacer cotidiano, conversar y demás.

"Son como un servicio de blog para no expertos, donde ponés fotos, aplicaciones para jugar o relacionarte, tenés un qué estoy haciendo que es como un Twitter integrado. Y es una forma de ampliar tu red de conocidos, de encontrar grupos de gente con tus mismos intereses", afirma Alejo Zagalsky.

"En 1999 participé de un viaje por el país. Después, durante un tiempo nos encontrábamos para ver fotos y mantenernos en contacto, pero eso se perdió -recuerda Virginia Rivera-. Hace un par de meses encontré en la red a una amiga que tenía en común con otra persona, que a su vez era amiga de una ex compañera de trabajo, y que había participado de ese viaje. Hace dos semanas nos reunimos después de no vernos por años."

Ambos usan Facebook, que nació en 2004 de la mano del estudiante de Harvard Mark Zuckerberg, como un lugar para que los universitarios se mantuvieran al tanto de la vida de sus amigos y ex compañeros de estudios. No fue la primera: en 1999 nació MySpace, que ofrecía un sitio Web para tener una página personal sencilla, especificar intereses y qué clase de gente se quería conocer. Después incorporó funciones multimedia, entre otras, y hoy es muy usada por bandas de música para difundir su obra. LinkedIn , la red social corporativa, nació en 2003: permite tener una versión en línea de nuestro currículum, conectarnos con colegas y seguir el camino laboral de ex compañeros de trabajo. Además, muchos lo usan para llegar a un tercero a través de alguien de la propia red.

"Es una herramienta laboral. Puedo buscar gente que tenga cierto perfil que necesito; recibí ofertas laborales y propuestas de gente que quiere trabajar en mi companía. Reviso los contactos de mis contactos y encuentro gente a la que le había perdido el rastro", explica Natalia Martínez, usuaria de LinkedIn.

Visible para todos

Los usuarios deciden a quién suman a su red, si los conocen o comparten un interés que fomente una nueva amistad. Según Facebook, el promedio tiene 150 contactos, pero varios superan los mil, e incluso llegaron al límite: 5000 contactos para una misma persona. Por lo general es alguien famoso que usa la red para difundir sus actividades.

"Sumar amigos tiene que ver también con una búsqueda de identidad, en un contexto histórico en el que las instituciones tradicionales se debilitan y dejan de funcionar como puntos de referencia para formar identidad -afirma Martín Becerra, profesor de Políticas de Comunicación en la Universidad de Quilmes e investigador del Conicet-. Al sumar y mostrar esos amigos hay algo de exhibicionismo, pero también de acreditar valores, mostrar un vínculo de confianza con otros. Es un remedo de este anclaje identitario que se está perdiendo."

Lo que no todos los usuarios tienen en claro es que una página personal en Facebook, LinkedIn, MySpace u otros es una ventana al mundo. Si las opciones de privacidad no se configuran correctamente, muestra a cualquiera dónde nació ese usuario, dónde trabaja, quiénes son sus amigos, qué música le gusta, qué hizo el fin de semana y con quién, por ejemplo.

"Lo que no es apropiado para lo público no lo publico. Si está ahí es porque no va a generar ningún conflicto; caso contrario, lo levanto -dice Gastón Terrones, usuario de Facebook-. Es común encontrar que otros contactos suben fotos de uno, y a veces uno no está cómodo con ellas, pero la misma red te permite fijar tu posición."

Un dato personal está a un par de clics de distancia de cualquiera. En diciembre último, la estadounidense Sandra Soroka le informó a su novio (y a todo Facebook) que su relación había terminado, y lo contó en su perfil. Su compatriota Kevin Colvin pidió en octubre unos días en el trabajo por problemas familiares y publicó luego unas fotos de una fiesta a la que asistió en los días en los que se suponía que estaba de viaje, y su jefe las vio.

También hay información falsa: cualquiera puede crear un usuario en una red y elegir el nombre que desee. Por ejemplo, un perfil del hijo de Benazir Buttho, denunciado como falso y luego quitado de Facebook, o en esa misma red, de Cristina Fernández de Kirchner y su esposo: no hay manera, con las herramientas del sitio, de comprobar si son verdaderos o no.

Negocios en red

Estos servicios son un imán para los negocios. MySpace fue comprada en 2005 por News Corp., que pagó entonces US$ 580 millones. A mediados de 2007 le tocó el turno a Facebook: Microsoft pagó US$ 240 millones por el 1,6% de esa red social; le dio un valor de mercado teórico que ronda los US$ 15.000 millones. Y según un estudio de la firma eMarketer divulgado en diciembre último, se estima una inversión mundial en redes sociales de US$ 1200 millones, monto que crecería a 4100 millones en 2011.

Para una empresa que quiere vender sus productos son un paraíso: los miembros explicitan sus intereses. Si no, la red los recolecta. En noviembre, Facebook lanzó Beacon, un polémico sistema de seguimiento de actividades comerciales de sus usuarios en otros sitios, que luego tuvo que poner como opcional.

También surgen redes con una orientación específica, como Dorbit ( http://dorbit.net ), que creó Gerardo Gallo en 2006. "El siguiente paso de las redes sociales es la especialización. Ya existen redes especialmente destinadas a deportistas, músicos, profesionales, sólo por nombrar algunas." Dorbit tiene una fuerte orientación hacia el conocimiento de otras personas; no hace falta registrarse para ver los perfiles de los usuarios.

Con otro objetivo surgió TuBlip ( www.tublip.com ), todavía en desarrollo. "La Web 2.0 permite crear un ámbito donde la gente interactúa y produce contenidos -afirma Carlos Cárcano, uno de sus creadores-. La red social es ideal para democratizar la difusión de contenidos hechos por los usuarios. En TuBlip vamos a ofrecer una radio on line al estilo de Last.fm, un lugar donde los músicos puedan publicar y vender sus obras, recomendar cosas a otros usuarios o generar recitales, por ejemplo."

El valor de una red social está en su atractivo y en los amigos que suma; habrá que esperar y ver cuáles captan la atención de los usuarios y triunfan.

Ver más