Archive for the ‘Seguridad Informática’ Category

Un dólar por tus datos

enero 30, 2013
 La información personal que se toma de Internet es gratis, pero una nueva serie de emprendedores quiere que la gente obtenga un beneficio por permitir el acceso a su información.

A menos que su nombre sea Oprah Winfrey o Warren Buffett, sería difícil encontrar a alguien dispuesto a pagar U$S 1.000 por sus hábitos de compra. Quien quiera esta información puede recopilarla del comportamiento en Internet. Las compañías que siguen y engloban nuestros clics, golpecitos con los dedos o barridos están ganando fortunas. Los individuos no.

Pero un startup llamado Personal (no confundir con la empresa de telefonía Telecom Personal) cree que puede cambiar esto. Su punto de inicio es una idea que podría parecerle extraña a la generación de Facebook: una red online en la que los usuarios pueden controlar a qué información pueden acceder los anunciantes. Personal, basada en Washington DC, se encuentra entre un número de start ups que quieren ayudar a las personas a “recolectar, curar y derivar valor” de sus propios datos online, según el Personal Data Ecosystem Consortium, un grupo formado en 2010 para alentar esos esfuerzos; lista a unas 30 empresas como miembros.

El cofundador de Personal, Shane Green, cree que muchos usuarios de Internet están preparados para compartir información más detallada y reveladora que lo que comúnmente hacen hoy —mientras tengan el control y, posiblemente, ganen dinero de ello—.

Los usuarios de la red, lanzada el último noviembre, son alentados a subir información de todo tipo, trivial (pedidos de pizza) o sensible (registros de préstamos educativos, recetas médicas). Ponen los datos en una “bóveda” y pueden darle a otras personas o programas web acceso a porciones relevantes de información. Uno puede entrar el código de la alarma hogareña y compartirla sólo con los invitados, o darle acceso a un consultor financiero a los detalles sobre la cuenta de retiro.

Este año, la compañía planea agregar un mercado en el que las personas serán capaces de vender acceso a su información personal —por ejemplo, la intención de comprar un auto en las próximas cuatro semanas—. Las concesionarias locales, cree Green, querrían pagar por la posibilidad de publicitar u ofrecer incentivos para ese tipo de usuarios porque la estrategia ofrece mayores posibilidades de retorno que, por ejemplo, publicidades dirigidas a través de Google. Green dice que una persona podría ganar U$S 1.000 al año de esta manera; Personal se quedaría con un porcentaje de los fees de los anunciantes.

Green creó Personal en 2009 y juntó cerca de U$S 11 millones de inversores. Previamente había fundado una compañía online que ayudó a los dueños de estadios y otros lugares a crear mapas de edificios o eventos privados como el Super Bowl. Sus clientes no le hubieran permitido revender los datos, pero eso es exactamente lo que los individuos hacen cuando simplemente revelan su ubicación y mucho más. Es un fenómeno que Green considera una “inestabilidad fundamental” en su mercado. Los economistas, sin embargo, encontraron grandes problemas con la idea de mercados de datos personales. Los individuos luchan por ponerles valor a sus datos. Y en la estructura de mercado de hoy, el valor puede cambiar dramáticamente según cómo se mida; pero en general la información se intercambia por meros centavos, dice Alessandro Acquisti, co-director del Centro de Investigación de Decisión de Comportamiento de Carnegie Mellon University.

“Querría que estos servicios tuvieran éxito”, señala Acquisti. “Por lo menos proveen un poco más de transparencia. Pero tengo miedo de que no.” No está claro cuántos usuarios tiene Personal; la compañía se negó a revelarlo. Por lo pronto, la idea del start up de Green parece haber ganado más atención de los analistas y vigilantes de privacidad que de los consumidores.

Al final, las personas tendrán que ver el beneficio que se obtiene de ese tipo de aparatos para invertir tiempo en mantener una cuenta, que puede involucrar ingresar información manualmente como los números asociados con cuentas de bancos o garantías. Pero Green cree que hay grandes beneficios de productividad para almacenar la información valiosa de uno en una sola locación. Los usuarios tendrán acceso a una caja de búsqueda de datos personal, y se sumará una característica que les permitirá completar con seguridad formularios online con un solo clic.

Según Green, el cambio final para las redes de datos privados será mantener la seguridad. Como en un banco, si uno pone mucho valor en una bóveda, los ladrones intentarán entrar.

Fuente: InfoTechnology

 

Anuncios

Google explica su política respecto a la información privada

enero 30, 2013

La compañía ha realizado una declaración sobre el manejo de pedidos de información privada. Resume su postura en 3 puntos clave: impulso de nuevas y mejores leyes, manejo de requisitos y transparencia.

Google aclaró como maneja los pedidos de información sobre datos privados de sus usuarios. Con motivo del día internacional para la información privada, David Drummond, Vicepresidente y Jefe de Asuntos Legales de la compañía, ha escrito un post en el blog oficial.

El 28 de enero es el día elegido para crear consciencia sobre la importancia y el cuidado de los datos personales en Internet. Y Google, como tantas otras compañías, ha sufrido su cuota de cuestionamientos respecto al manejo de la información privada. El texto publicado en el blog intenta explicar la actual política de la firma resumiéndola en 3 puntos clave.

El primero de estos puntos es el apoyo al impulso de nuevas legislaciones, sobre todos aquellas que garanticen el mismo nivel de protección que tienen los documentos que guardamos en nuestro hogar. En segundo lugar, según Drummond, se mantiene un estricto proceso de evaluación de los pedidos por parte de las agencias gubernamentales. En especial, Google busca que sean pedidos por escrito, firmados por las autoridades competentes y bien enfocados sobre datos pertinentes. Al mismo tiempo la compañía notifica a los afectados sobre el pedido hecho, de forma tal que puedan comunicarse con la entidad que lo efectuó. Según explica la empresa, ha habido casos en las que las agencias intentan evitar estas notificaciones, pero Google siempre impulsa que se informe a los usuarios. En tercer lugar, Google mantiene informados a los usuarios sobre las exigencias legales que realizan los gobiernos. Incluso se ha agregado una nueva sección al reporte de transparencia de la empresa.

Una postura muy diferente a las declaraciones del anterior CEO de Google, Eric Schmidt, que en 2009 había dicho que si alguien hacía algo que no quería que otros supieran, quizás no debería hacerlo. Google basa su negocio en la gran cantidad de información que recoge de todos sus usuarios, por lo que le es indispensable mantener la confianza del público sobre sus acciones.

Alma Whittem, Directora de Privacidad de Google, había señalado hace unos días que el foco estaba puesto en crear nuevas maneras para que el público pueda controlar y proteger sus datos. Sin embargo, hace pocos días una investigación de la Escuela de Negocios de Harvard había señalado que un bug en la barra de herramientas de Google, en el navegador Chrome, violaba la política de seguridad, dado que enviaba datos de la navegación de algunos usuarios a Google. También se han producido rumores y sospechas sobre la relación de la compañía con la agencia estadounidense NSA (National Security Agency).

En todo caso Google explica que la empresa siempre se atiene a la ley, y reconoce la necesidad de los gobiernos de combatir las actividades ilegales. Considerando el primer punto, la postura oficial es que mientras se impulsan mejores regulaciones, no hay forma de evadir las menos adecuadas.

Fuente: Red Users

Buenas prácticas para Data Centers – Norma ANSI/BICSI 002-2011

enero 29, 2013
BICSI 002-2011, establece los requisitos, recomendaciones y cualquier información adicional que deben tenerse en cuenta cuando se trabaja con sistemas críticos, como las redes eléctricas, mecánicas y de telecomunicaciones, así como otras necesidades importantes, como la selección del sitio y la seguridad de los Data Centers.

BICSI 002 integra los conceptos clave y las necesidades de otros documentos y normas como ISO, IEC, TIA, ASHRAE, NFPA y otros, al tiempo que proporciona referencias específicas y consideraciones para el manejo de información. Esta función única de BICSI 002, proporciona un documento completo, que es aplicable en todo el mundo.

Como centros de datos siguen evolucionando, también lo hará esta norma. Ya se encuentra en discusión los medios para mantener la disponibilidad de las instalaciones, la incorporación de tecnología “verde” y la eficiencia del centro de datos más allá de DCiE (Data Center Infrastructure Efficiency) y Power Usage Effectiveness (PUE) (documento “Data Center Energy Efficiency – Looking Beyond PUE” [PDF]).

  1. Introduction
  2. Scope
  3. References
  4. Definitions, Acronyms, Abbreviations, And Units Of Measurement
  5. Space Planning
  6. Site Selection
  7. Architectural
  8. Structural
  9. Electrical Systems
  10. Mechanical
  11. Fire Protection
  12. Security
  13. Building Automation Systems
  14. Telecommunications
  15. Information Technology
  16. Commissioning
  17. Data Center Maintenance
  18. Annex A: Design Process (Informative)
  19. Annex B: Reliability And Availability (Informative)
  20. Annex C: Referenced Documents (Informative)

Se encuentra disponible el primer capítulo BICSI International Standards Supplemental Information 001:Methodology for Selecting Data Center Design Class Utilizing Performance Criteria y un documento de ejemplo BICSI 002-2011

Fuente: BICSI 002-2011

Cold Boot Attack: el peligro de la persistencia en memoria RAM

enero 28, 2013
Compartimos un artículo de nuestro amigo Iván Flores, sobre el peligro de la persistencia en memoria RAM.

El Cold Boot Attack (ataque de arranque en frió) se basa en aprovechar la persistencia en la memoria ram mediante el enfriamiento de la memoria.

¿Que es la persistencia? Es la capacidad de un equipo para mantener la información incluso después de apagar la computadora.

La persistencia en la memoria ram es ocasionada por el material con las que están fabricadas, esta persistencia después de apagar la computadora puede tardar hasta 1 o 2 minutos en borrar por completo la información de la memoria.

El Cold boot attack se realiza enfriando la memoria para extender el tiempo de la persistencia de la información hasta 5 a 10 minutos. Esta información es basada sobre una investigación hecha por la universidad de Princeton https://citp.princeton.edu/research/memory/

Antes los investigadores forenses se llevaban el equipo informático apagado, ahora realizan puentes eléctricos para poderse llevar los equipos al laboratorio sin a pagarlo.

En esta ocasión mostrare un poco de la investigación hecha por Princeston en la cual se basan en obtener las credenciales de los cifrados como de Bitlocker o Truecrypt, el problema es que la clave de cifrado tambien se guarda en la memoria RAM, y es posible extraerla.

Para realizar un dumpeo de una memoria RAM con un Cold Boot Attack se puede hacer la siguiente forma.

1.- Destapar las tapas de la memoria RAM, y sin apagar usar un bote casero de Aire comprimido. Estos tiene una particularidad en que si los usas en una posicion que queden al revez, sueltan un liquido muy frio que se puede aplicar en la memoria directamente para enfriarla. En un caso mucho mas profesional se usa el nitrógeno

2.- Enfriamos la memoria, y cortamos la energía de la computadora o la apagamos bruscamente.

3.- Al volver a encenderla tenemos se tiene que bootear desde una usb o por PXE, podemos usar estas herramientas que brinda la universidad de princeston https://citp.princeton.edu/research/memory/code/

4.- Con la herramienta ya booteada podremos realizar una copia bit stream de la memoria, para poder analizarla. También como parte de la investigación de la universidad de princeston publicaron herramientas para la localización de las Claves (AES o RSA).

Veamos el video de la prueba de concepto hecha por alumnos del Princeton. Las contra medidas son aumentar la seguridad física de tu equipo informático, y apagar la computadora si no esta en uso.

Fuente: Flu-Project

 

El gran Universo Digital: la data crece más rápido de lo que podemos protegerla

enero 28, 2013

EMC Corporation anunció los resultados del estudio sobre el Universo Digital de IDC, patrocinado por EMC: “Big Data, Bigger Digital Shadows, and Biggest Growth in the Far East”. El estudio arrojó que, a pesar de la expansión sin precedentes del Universo Digital debido a el Big Data que se generan a diario por personas y máquinas, IDC estima que solo 0,5% de los datos mundiales se analizan.

La proliferación a nivel mundial de dispositivos, como PC y teléfonos inteligentes, aumentó el acceso a Internet dentro de los mercados emergentes, y el incremento de datos generados por máquinas, como cámaras de vigilancia o contadores inteligentes, ha contribuido a la duplicación del Universo Digital en los últimos dos años solamente, hasta alcanzar un tamaño descomunal de 2,8 ZB. IDC proyecta que, para el 2020, el Universo Digital alcanzará 40 ZB, cifra que supera las proyecciones anteriores por 14%.

En términos de volumen, 40 ZB de datos son equivalentes a lo siguiente:

Existen 700.500.000.000.000.000.000 granos de arena en todas las playas del mundo (o setecientos trillones quinientos mil billones). Esto significa que 40 ZB equivalen a 57 veces la cantidad de granos de arena de todas las playas del mundo. Si pudiéramos guardar los 40 ZB en los discos Blue-ray de la actualidad, el peso de dichos discos (sin fundas ni estuches) sería equivalente a 424 portaaviones Nimitz. En 2020, 40 ZB serán 5.247 GB por persona a nivel mundial.

En el estudio que se llevó a cabo este año, IDC pudo capturar primera vez dónde se origina, o se capta o se consume primero la información en el Universo Digital, lo que reveló que se están produciendo ciertos cambios drásticos. En la sexta edición del estudio que mide y proyecta la cantidad de información digital que se genera y se copia anualmente, se obtuvieron resultados sobre la “brecha en el Big Data”, que representa la brecha existente entre la cantidad de datos con valor oculto y la cantidad de valor que se obtiene de hecho; el nivel de protección de datos que se necesita en comparación con el nivel de protección que se ofrece; y las repercusiones geográficas de los datos mundiales.

Aspectos destacados del estudio:

  • Rápida expansión del Universo Digital: IDC proyecta que, hacia 2020, el Universo Digital alcanzará 40 ZB, cifra que supera las proyecciones anteriores.
  •  El Universo Digital se duplicará cada dos años entre 2012 y 2020.
  • Existirán aproximadamente 5.247 GB de datos por cada hombre, mujer y niño sobre la faz de la tierra en 2020.
  • Un factor principal que contribuye a la expansión del Universo Digital es el crecimiento de los datos generados por máquinas, que produjo un aumento en el Universo Digital de 11% en 2005 a más de 40% en 2020.
  • En 2012, 23% del Universo Digital (643 exabytes) serían útiles para el Big Data si se etiquetan y se analizan. Sin embargo, en la actualidad, solo 3% de los datos potencialmente útiles están etiquetados y un porcentaje aún menor se analiza. o La cantidad de datos útiles se está expandiendo con el crecimiento del Universo Digital. Hacia el año 2020, 33% del Universo Digital (más de 13,000 exabytes) tendrá valor como Big Data si se etiquetan y se analizan.
  • Gran parte del Universo Digital no está protegido: La cantidad de datos que se deben proteger está creciendo de forma más rápida que el propio Universo Digital.

Fuente: TecnoAmericaEconomia

Control parental en iPad

enero 28, 2013
El iPad en manos de niños y niñas es una ventana abierta a todo tipo de contenido. Esta obviedad tiene un gran valor desde el punto de vista educativo, pero puede suponer también un acceso a contenidos no adecuados a la edad. Por este motivo, y desde el ámbito familiar como escolar, es importante conocer las herramientas de control parental de que dispone el iPad. También se puede ver el video.

Activar el control parental del iPad en 7 pasos:

  1. Acceder al icono de Configuración.
  2. Elegir General de la lista de opciones.
  3. En General elegir la opción de Restricciones.
  4. Activar restricciones. En este punto nos solicita una clave de 4 dígitos.
  5. Después de activar las restricciones, podemos elegir en qué se aplicarán: Safari, Youtube, Cámara, iTunes, intalar/eliminar apps, etc.
  6. En la parte inferior, en la sección de Contenido permitido podemos concretar mejor algunas de las restricciones, especialmente por lo que refiere a los contenidos. Por ejemplo, podemos definir la tipología de apps o películas que se pueden o no instalar en función de la edad.
  7. Para finalizar, pulsar el botón Home y el control parental entrará en acción. Si posteriormente queremos modificarlo o desactivarlo, deberemos introducir la clave de 4 dígitos.

Fuente: iDidacTIC

Carta abierta a Skype por sus irregularidades en temas de seguridad

enero 25, 2013

Así empieza la carta dirigida a Skype.

Varias organizaciones de periodistas, ONG y otras asociaciones que defienden los derechos de los internautas publicaron una carta abierta a Skype. El servicio de mensajería y comunicaciones es uno de los más utilizados en el mundo, y muchos periodistas y activistas de internet lo usan para manejar conversaciones privadas. El problema que denuncian es que están usando el servicio bajo unas condiciones de seguridad y de privacidad inciertas; y le piden a Microsoft, empresa que compró a Skype hace ya un buen tiempo, que revele más detalles sobre la seguridad y la privacidad de su servicio de voz sobre IP.

 

“Es desafortunado que los usuarios y aquellos que aconsejan sobre la seguridad en internet tengan que trabajar en medio de afirmaciones confusas acerca de la confidencialidad de las conversaciones en Skype, y en particular el acceso que tienen las organizaciones gubernamentales y algunos terceros a la información de los usuarios y sus comunicaciones”, dice la carta.

Skype no ha presentado informes de seguridad, pero en en la misma carta afirman que esto puede deberse a que el servicio de mensajería está en un proceso de transición desde de la compra por parte de la empresa liderada por Steve Ballmer, y que podrían estar modificando las jurisdicciones del mismo. Sin embargo, en la carta aseguran que ya es momento en que la empresa de Redmond publique los documentos de seguridad de Skype. Entre los cinco puntos que destacan que debería publicar Skype se destacan tres:

1.“Información cuantitativa sobre como maneja Skype la información de sus usuarios frente a terceros, incluyendo el número de veces que el gobierno ha pedido información, el tipo de información que piden, la cantidad de información y los argumentos con los que rechazan o aceptan las peticiones”. 

2. “Detalles específicos de todos los datos que Microsoft y Skype recoge de sus usuarios y sus políticas de retención”.

3. “Un listado de los terceros e instituciones que Skype autoriza para acceder a información clasificada”.

Los otros dos puntos se refieren a la relación específica de la empresa con otras organizaciones. Por último mencionan que otras empresas como Twitter, Google y Sonic.net han publicado reportes de transparencia en el que mencionan los pedidos de información que terceros han realizado.

Vía | Enter.co

Infección vía USB de centrales de energía

enero 23, 2013

Dos plantas de energía de Estados Unidos se han visto infectadas con software malicioso vía USB. Este hecho ha provocado que se paralice su funcionamiento de manera preventiva.

El caso confirma que el uso de los pendrive siguen siendo la mayor amenaza informática en sistemas industriales y son capaces de infectar incluso infraestructuras críticas como esta sin la debida protección.

Según la información publicada por US-CERT [PDF], el problema se descubrió cuando un trabajador pidió al departamento TI la revisión de un pendrive utilizado para copias de seguridad de los sistemas de control que no funcionaba correctamente.

Un simple análisis del dispositivo descubrió que estaba infectado con tres virus diferentes e incluso tenía la capacidad de robar información de los sistemas.

Otros desarrollos como Stuxnet y Flame, las dos armas cibernéticas más poderosas de la historia, también sembraron el caos en un planta nuclear iraní precisamente utilizando la infección de pendrives USB para su propagación.

Vía| Muy Seguridad

Seguridad en Windows 8, primeras impresiones

enero 23, 2013
En Seguridad para todos han estado “jugueteando” con Windows 8 Profesional y, si bien estos artículo no pretenden hacer un análisis exhaustivo de las medidas de seguridad que trae Windows 8, sí se mencionan las opciones de seguridad fácilmente identificables y que novedades trae esta actualización del sistema de ventanas mas popular.

Fuente: Seguridad para todos

Alerta por la aparición de falsas actualizaciones de Java

enero 22, 2013

TrendMicro acaba de alertar de la aparición de malware que se hace pasar por los parches que Oracle lanzó el pasado domingo para solventar los problemas de Java. Asimismo, recomienda que sólo se descarguen las actualizaciones de Java desde la página de Oracle y, si no es estrictamente necesario, desactiven Java.

Trend Micro informa en su blog que ha sido alertado de la existencia de un falso “Java Update 11” presente, por lo menos, en una página Web. Si se instala la actualización falsa, un virus tipo backdoor (puerta trasera) se descarga en el equipo.
“Una vez ejecutado, este backdoor se conecta a un servidor remoto que permite a un posible atacante tomar el control del sistema infectado”, ha escrito Paul Pajares, analista de fraude de Trend Micro.

“Con la esperanza de confundir al personal de TI, los hackers suelen disfrazar su malware como si fuera una actualización de software legítimo. Curiosamente, en este caso, la actualización falsa no busca aprovechar las vulnerabilidades parcheadas por Oracle el domingo”, continúa Paul Pajares.

Paul Pajares recomienda a los usuarios que sólo se descarguen las actualizaciones de Java desde la página de Oracle. Cabe señalar que Trend Micro es una de las compañías de seguridad que aconseja a los usuarios desinstalar Java si no es estrictamente necesario su uso.

Fuente: CIO América Latina