Sin embargo, no es allí donde está el eslabón más débil de la cadena de seguridad en el entorno de las tecnologías de la información y la comunicación (TIC). En este sentido, el talón de Aquíles sigue estando adentro de las organizaciones.

Por un lado, están los trabajadores, profesionales y ejecutivos que no son concientes de la necesidad de aplicar normas y precauciones. Y por el otro, los empleados “infieles” o vengativos con sus patrones o jefes directos.

“El riesgo lo tengo en mi propia gente. Hoy te robas una compañía en un pen drive”, afirmó hace casi dos años (en un foro nacional sobre seguridad informática que coordinó el autor de esta nota) Jorge Linskens, entonces subdirector general de Sistemas y Telecomunicaciones de la AFIP y hoy director ejecutivo de la Agencia de Sistemas de Información (ASINF) del Gobierno porteño, al ilustrar la facilidad con la que se puede acceder y robar información crítica de una organización o de sus miembros.

¿Cómo se puede descubrir a los “hackers” o ladrones internos en las empresas? ¿Cuáles son los datos más sensibles que buscan? ¿Qué métodos emplean?

iProfesional.com entrevistó a Dmitry Bestuzhev, investigador senior regional y miembro del equipo de análisis e investigación global de la empresa de seguridad informática Kaspersky, y a Joel Bo, gerente de Operaciones de la compañía Trend Argentina.

¿Cómo roban información confidencial los empleados “infieles”? ¿Qué medios emplean? Para Bo, los mecanismos son “exactamente los mismos que son usados a diario para las actividades legítimas”, es decir, no requieren de métodos especiales, adicionales o complejos.“Las personas, de por sí, necesitan tener acceso a determinado tipo de información para poder trabajar con ella, por lo que no hay desafíos técnicos involucrados en cuanto a cómo ‘hacerse de’ esos datos. Sólo basta con transferirlos por los medios habituales, aprovechando que aún muchas compañías no disponen de tecnologías que ayudan a reforzar las políticas de confidencialidad”, señaló.

De acuerdo a estadísticas de Trend Argentina:

• El 60% utiliza el puerto USB de su computadora para copiar datos al “pendrive”.
• El 30% usa el webmail (correo electrónico basado en la web, como el Windows Live Hotmail, el Gmail o el Yahoo Mail) o mensajería instantánea personal.
• El resto se divide entre el correo corporativo de la empresa y la impresión de los documentos.

Para Bestuzhev, el método varía dependiendo del nivel de conocimiento técnico de la persona. “Generalmente, las fugas se dan a través del correo electrónico o de los programas de mensajería instantánea, aunque también suelen emplearse los métodos de almacenamiento en los dispositivos tipo USB o CD/DVD”.

Sin embargo, apuntó que “aquellos empleados desleales que tienen algún conocido de la seguridad informática o que tienden a ser paranoicos usan otros métodos, como tomar fotos de la pantalla de la computadora u otros documentos”. De todos modos, aunque aclaró que este método “es el menos usado entre todos los mencionados”.

Datos y actividades bajo la mira
¿Cuáles son los datos que sufren robos con mayor frecuencia? Bo enumeró los siguientes:

• Planos.
• Datos personales de clientes y prospectos para ser vendidos para campañas de mercado.
• Números de tarjetas de crédito.
• Estados financieros de organizaciones.
• Proyectos de trabajo.
• Números de costos de materias primas.
• Procedimientos de la organización.
• Fórmulas.

“Todo representa dinero, más aún en las organizaciones cuyo foco de negocio es la investigación y desarrollo de algún tipo de servicio o producto. En la era actual del conocimiento, esto incluye a cualquier empresa”, apuntó.

Bestuzhev agregó que “los datos que son robados con mayor frecuencia son aquellos que son de interés para la competencia o significarán una ganancia financiera para el que los posea. Suelen ser cuestiones como planes de negocios, carteras de clientes actuales o información financiera de la compañía, como sus inversiones, gastos, pagos, etc.”.

Si bien todos los mercados se ven expuestos a esta problemática, el ejecutivo de Trend Argentina notó “mayor preocupación en el sector financiero debido a la criticidad de la información que manejan y a las exigencias de cumplimiento de normas de seguridad a nivel mundial”.

En cambio, el investigador de Kaspersky opinó que “no existe un sector que no esté afectado por dicha actividad ilegal”, aunque admitió que se podría decir que, con mayor frecuencia, los segmentos que más sufren estos hechos delictivos son los gubernamentales y, propiamente, los comerciales.

“Es decir, empresas cuya actividad está estrechamente relacionada con brindar servicios o vender artículos que ofrecen otras empresas. Por ejemplo, firmas de tecnología de información, venta de autos, seguros de viaje o de asistencia, etc. La lista realmente es muy grande”, advirtió.

Motivos
Las motivaciones que tienen los ladrones internos pueden ir desde las económicas hasta la de revancha personal. “Algunos lo harán sólo como un desafío técnico propio, sin conocer las consecuencias. La mayoría simplemente lo hará como venganza, esperando generar algún perjuicio a la organización debido a la difamación o pérdida de reputación que le producirá al publicitarse los datos robados”, resaltó Bo, quien señaló que “incluso, a veces, sólo la noticia de que determinados datos se fugaron alcanza para generarle problemas a la compañía”.

El ejecutivo de Trend Argentina apuntó que otro motivo, “menos habitual en la Argentina, pero cada vez más común en los países desarrollados, es la busqueda un rédito económico”. ¿Por qué? “Los cibercriminales son una realidad y los mercados negros de compra y venta de datos llegaron para quedarse: hoy mueven millones”, respondió. Y los empleados internos son los que tienen acceso a la información, “lo que hace que la tentación externa esté a la orden del día, si se trata de empleados infieles”.

“Depende de cada caso particular”, opinó Bestuzhev. “A veces hay ladrones que roban por pura avaricia. Es decir, porque la competencia les ha ofrecido un dinero extra, y lo hacen a pesar de estar recibiendo un salario que satisface sus necesidades”, puntualizó.

El investigador de Kaspersky afirmó que los casos basados en la venganza “no suelen durar mucho tiempo. Están limitados hasta que la persona que está saliendo de la empresa pierda por completo todo acceso a la información”.

Prevenciones
Las organizaciones pueden implementar políticas y tecnologías para prevenir estas pérdidas de datos sensibles. “En teoría todas las compañías deberían tener sistemas íntegros llamados DLP o ‘Data Leak Prevention’”, señaló Bestuzhev.

Estos sistemas, según explicó el ejecutivo de Kaspersky, se integran a la infraestructura tecnológica de una empresa y permiten monitorear el tipo y el destino del tráfico. Realizan una especie de filtrado de contenido en base a una lista de palabras, expresiones, tipos de archivos, direcciones a enviar, etc.

Si un DLP detecta un envío de documentos adjuntos con datos confidenciales hacia una dirección de e-mail pública, éste procede a ser bloqueado e inmediatamente el oficial de seguridad de la empresa recibe una notificación del caso en la que se especifica quién pretendió mandar el mensaje, qué tipo de información contenía y a quién estaba destinado.

Este control se lleva a cabo tanto a nivel de los dispositivos de almacenamiento como de los protocolos de comunicación.

Además de dichas medidas, las compañías también deben implementar un sistema de control visual a través de los circuitos cerrados y otros mecanismos de vigilancia con video.

“Esto es necesario ya que existe la posibilidad de que un empleado deshonesto delinquir de una manera un poco ‘anticuada’ pero muy eficaz: simplemente tomando fotos de la pantalla de su computadora”, explicó.

“Gracias a la tecnología de hoy, empleados, socios, consultores, trabajadores de compañías externas y muchas otras personas pueden acceder y compartir los archivos con facilidad, en cualquier momento y desde cualquier lugar”, advirtió Bo.

En este sentido, el ejecutivo de Trend Argentina reiteró la importancia de utilizar la tecnología existente para detectar los movimientos riesgosos. Además, destacó que estas soluciones “pueden ayudar a los usuarios que no tienen malas intenciones a hacer un mejor uso de la información confidencial. Por ejemplo, forzándolos a cifrar los datos que copian a un pendrive que accidentalmente podrían perder o que podrían robarselo”.

En ese sentido, apuntó que la capacitación “juega un rol fundamental ya que muchas fugas son accidentales. Los empleados pueden no conocer que determinados datos son confidenciales o no ser conscientes de los riesgos que implica manejarlos de determinada manera o por determinados medios”.

Bo repreguntó: “¿Cuántas personas saben que todo lo que se transmite por e-mail sin cifrar podría ser leído por terceros en el tránsito entre origen y destino? ¿O que el informe en Excel que acaba de copiar al pendrive puede tener consecuencias no deseadas si lo pierde en el camino a su casa?”.

Castigos
¿Cuáles son las sanciones previstas contra el empleado infiel en la legislación penal y laboral argentina?

A partir de la vigencia de la llamada “ley de delitos informáticos (26.388, que fue una reforma del Código Penal) y la existencia anterior de la Ley de Protección de Datos Personales (25.326), se prevén sanciones cada vez mayores para los delitos en los que se utilicen medios digitales.

Por ejemplo, hoy se reconocen figuras tales como “violación al correo electrónico”, “acceso ilegítimo a sistemas informáticos”, “daño informático y distribución de virus”, “daño informático agravado”, “interrupción de comunicaciones”.

En este sentido, Bo destacó que las penas hoy previstas son tanto civiles o administrativas (inhabilitaciones, clausuras y multas -aproximadamente estimadas en un rango de $1.000 a $100.000-) como penales (el castigo presupone la privación de la libertad, es decir, la prisión).

Fuente:  César Dergarabedian © iProfesional.com

Talsoft TS S.R.L. está en búsqueda de partners para reventa de nuestros servicios o soluciones para empresas.

Nuestra misión es proveer servicios y soluciones tecnológicas en el ámbito local e internacional. Damos respuesta a las crecientes demandas del mercado en seguridad informática con dos claras premisas: satisfacer las necesidades en forma ética y profesional, y contribuir a la mejora del estado de la seguridad de nuestros clientes.

Obtenga un 15% de comisión por la reventa de nuestros servicios o productos:

- Administración remota de servidores.
- Testeos de seguridad interna/externa.
- Testeos de seguridad en sistemas Web.
- Consultorías en seguridad informática.
- Monitoreo de Servidores y Servicios.
- Capacitación.
- Soluciones free software.

Nuestros servicios: http://www.talsoft.com.ar/weblog/?p=716

Nuestro sitio: http://www.talsoft.com.ar/

Para mas información o consulta: consultas@talsoft.com.ar

Staff TalSoft SRL

Digamos que si alguien quiere hacer software privativo, está en toda su libertad de hacerlo, no hay ningún inconveniente con eso. El problema grave y legal viene cuando se utiliza código abierto para hacer algo cerrado, por lo menos en el caso de la licencia GPL, ya que existen licencias como Apache y BSD que sí permiten hacerlo.

Como compensación, Westinghouse deberá dejar de vender los productos, deberá abonar a la SFC aproximadamente 150 mil dólares por daños y donará los productos restantes (HDTV) a caridad. Como no podía ser de modo, aquí viene el aspecto negativo: Westinghouse Digital Electronics no está pasando por un buen momento económico y se ha declarado en bancarrota en el Estado de California. En consecuencia, la SFC deberá esperar tranquilo hasta cobrar el dinero. Claro que a pesar de esto, sienta un gran precedente, pues la Software Freedom Conservancy tiene activos otros 13 juicios por violación a la licencia GPL.

Fuente: Bitelia y Segu-Info

Según un proyecto de investigación criptográfica realizado por la Universidad de Stanford, de California, EEUU, los navegadores suelen dejar huellas de los sitios navegados, a pesar de anunciar lo contrario. Los fabricantes de Internet Explorer, Firefox, Chrome y Safari describen una función que permite navegar con privacidad en PC compartidos; como por ejemplo aquellos usados por varios integrantes de una misma familia.

Uno de los errores detectados se encuentra en IE, Firefox y Safari. Cuando los usuarios almacenan certificados SSL (Secure Socket Layer), el navegador guarda una lista de tales acciones en un archivo que permite a cualquier persona con acceso físico al PC ver qué sitios ha visitado un usuario anterior. Lo mismo ocurre con IE y Safari, que almacenan certificados personales en una caja que conserva la información incluso después que el usuario ha cerrado la sesión de navegación.

Firefox almacena además los datos con el historial de navegación que ha incluido certificados de seguridad en un archivo denominado cert8.db, escriben los autores del informe. La función de navegación privada en Firefox queda aún más reducida cuando el usuario selecciona preferencias específicas o utiliza extensiones autorizadas por Mozilla. La próxima plataforma HTML5 también causaría problemas a Firefox cuando el programa intenta ocultar información de los sitios visitados.

La función InPrivate-surf de Internet Explorer también presenta problemas cuando un sitio recurre al protocolo SMB o Server Message Block, debido a que el navegador comparte código con Windows Explorer, controlado a su vez desde el sistema operativo.

Los investigadores de la Universidad de Stanford constataron además que los administradores pueden determinar si el usuario ha visitado sitios mediante la función de navegación privada.

En su presentación de informe, los investigadores escriben “Hemos estudiado la seguridad y privacidad de los modos de navegación privada incorporada en los principales navegadores. Inicialmente proponemos una clara definición de los objetivos de la navegación privada y estudiamos su implantación en los diferentes navegadores. Debido a que no hay datos disponibles sobre el uso de la navegación privada, hemos realizado un experimento para determinar la frecuencia con que esta función es usada y para qué categoría de sitios. Nuestros resultados sugieren que la navegación privada es usada de manera distinta a la forma en que es presentada por los fabricantes. Luego describimos una técnica automatizada para probar la seguridad de los modos de navegación privada, junto con presentar carencias encontradas en el navegador Firefox. Finalmente, demostramos que muchas extensiones populares de navegadores socavan la seguridad de la navegación privada. Proponemos, y experimentamos, con una política viable que permite a los usuarios ejecutar extensiones con seguridad en el modo de navegación privada”.

El informe completo está disponible en ésta página (enlace a documento PDF).

Ilustración: Demo de 8 segundos sobre navegación privada en YouTube -8 Second Demos – Private Browsing, donde el usuario intenta mantener en secreto su intención de comprar un regalo de aniversario de bodas.

Fuente: DiarioTi

[mysqld]
bind-address=127.0.0.1

Si por el contrario queremos deshabilitar por completo el acceso mediante un socket de red, basta con añadir la directiva skip-network:

[mysqld]
skip-networking

Por último, si se ha de utilizar el servicio en remoto, todos los usuarios de las aplicaciones que conecten deben estar limitados mediante su dirección de origen (host). Desde el prompt de mysql:

mysql> GRANT SELECT, INSERT ON basededatos.* TO 'usuario'@'host';

mysql> SHOW GRANTS FOR 'usuario'@'host';

mysql> REVOKE ALL PRIVILEGES, GRANT OPTION FROM usuario;

[mysqld]
set-variable=local-infile=0

mysql> RENAME USER root TO r00tz

mysql> use mysql;
mysql> update user set user="nuevousuario" where user="root";
mysql> flush privileges;

mysql> use mysql;
mysql> SET PASSWORD FOR 'username'@'%hostname' = PASSWORD('newpass');

mysql> drop database test;

shell> mysqladmin -u username -p drop test�

mysql> select * from mysql.user where user="";

mysql> DROP USER "";

mysql> use mysql;
mysql> DELETE FROM user WHERE user="";
mysql> flush privileges;

El ingeniero de investigación de amenazas de Trend Micro, Benson Sy, encontró dos archivos .MOV (001 Dvdrip Salt.mov y salt dvdrpi [btjunkie][xtrancex].mov) que utilizan la película Salt, protagonizada por Angelina Jolie y estrenada recientemente en Estados Unidos. Estos archivos resultan sospechosos porque tienen un tamaño relativamente pequeño en comparación con el habitual de las películas.

Cuando el usuario carga el archivo de la película a QuickTime, el reproductor no muestra ninguna escena del film, sino que lleva al usuario a descargar malware fingiendo ser un codec de actualización u otra instalación del reproductor. Trend Micro está investigando todavía si el malware está explotando una vulnerabilidad o utilizando una funcionalidad conocida para descargar otro malware.

La respuesta de Apple
Trend Micro se ha contactado con Apple, quien ha señalado que los dos archivos .MOV no utilizan un programa malicioso (exploit), sino que “se apoyan en ingeniería social para engañar al usuario y que se descargue el malware disfrazado de un codec de la película. Esto no tiene relación con la vulnerabilidad comunicada por Secunia”.

Fuente: Trend Micro y DiarioTi

Según la OWASP los ataques XSS son una de las vulnerabilidades más comunes, las cuales han sido ampliamente utilizadas para llevar a cabo diversos tipos de ataques, pero ¿Realmente se les da la importancia que deberían?.

<script>document.write('<img src="http://inteco.com/img.jpg" />')</script>

%3Cscript%3Edocument.write%28%27%3Cimg%20src
%3D%22http%3A%2F%2Finteco.com%2Fimg.jpg%22%20%2F%3E%27%29%3C%2Fscript%3E

“Esta última brecha de seguridad multiplica las posibilidades que tienen los cibercriminales a la hora de infectar un PC. Para conseguirlo, sólo necesitan asegurarse de que un archivo “.Lnk” se muestra en el PC pero no es necesario que éste se encuentre alojado en el propio ordenador (puede estar colgado en Internet, en una memoria USB o en cualquier red corporativa), lo que dispara las alternativas de los creadores de malware”, explica Ralf Benzmüeller, responsable de G Data SecurityLabs. “Incluso el software más habitual, como pueden ser los procesadores de texto o los clientes de correo electrónico ofrecen la posibilidad de mostrar accesos directos. El potencial de abuso es enorme y desafortunadamente esperamos que los ciberdelincuentes aprovechen este agujero de seguridad de forma masiva en breve”.

Cada ordenador con Windows dispone de varios accesos directos en el escritorio. Esto permite llegar a los principales programas de la forma más rápida posible, una función muy útil pero que no deja de estar en el punto de mira de los desarrolladores de malware, como sucede ahora cuando Microsoft ha reconocido un ataque de día cero contra su sistema operativo Windows. En este caso, el usuario sólo necesita hacer clic en un icono de acceso directo habilitado en su escritorio o en cualquier otra ubicación para permitir la descarga de malware.

Los especialistas de G Data han desarrollado este parche después de un detallado análisis del fallo de seguridad de Windows. El programa funciona con independencia de la suite de seguridad instalada en el PC y la completa con una protección adicional contra la ejecución automática de código malicioso mencionado. Después de la instalación, “G Data LNK Checker” supervisará la creación de iconos de acceso directo y alertará sobre aquellos que puedan descargar código malicioso.

Los iconos de escritorio cuyos mecanismos de funcionamiento sean los habituales y no estén infectados se mostrarán como de costumbre. Los detectados como maliciosos se identificarán con un símbolo de prohibido.

Fuente:  G Data. y DiarioTi

Autor: Ing. Leandro Ferrari (Talsoft)

Investigadores de seguridad han descubierto fallos en formatos de archivo comunes, incluidos los .zip, que se pueden utilizar para pasar malware a los ordenadores evitando la detección de los antivirus. Ocho fueron las vulnerabilidades encontradas en el formato .zip, soportado por Microsoft Office, además de otras siete en los formatos de archivo .7zip, .rar, .cab y .gzip. Al menos es lo que confirmó Mario Vuksan, presidente de ReversingLabs durante la conferencia Black Hat que esta semana se celebra en Barcelona.

Las vulnerabilidades podrían utilizarse por parte de los atacantes para esconder malware que podría superar al software antivirus a través de un adjunto de correo electrónico para comprometer un ordenador. Según Mario Vuksan, los archivos pasan a través de Gmail o Hotmail porque son formatos de confianza y los “antivirus no pueden ver el malware escondido, que se adhiere al sistema una vez que el archivo es abierto”.

Vuksan también afirma haber informado a los vendedores de seguridad respecto a los agujeros para que actualicen sus productos y no sean vulnerables a los ataques. Por otra parte, junto con sus colegas en la investigación, presentaron una herramienta llamada NyxEngine que las compañías pueden utilizar para explorar los archivos de la red en busca de atributos sospechosos que pudieran indicar si hay malware escondido.

Fuente: ITEspresso y Segu-Info