JaCkNews Vol. 2, Nro.6
JaCkSecurity.com
jacknews en jacksecurity.com
Lun Feb 4 09:30:08 EST 2008
JaCkSecurity JaCkNews Vol. 2, Nro.6
========================================================================
Impacto global
1. Las 11 verdades que la industria de seguridad odia admitir
2. El peligro de la Web 2.0
3. Accenture: Abrace la Web 2.0 con cautela
4. Top Tep Web Hacks of 2007
5. Producción de virus pone a prueba a las firmas de seguridad
6. Troyanos bancarios rusos, marcando la diferencia
7. Firma declara que amenazas IM se han vuelto más sofisticadas
Impacto local
8. Creyó que la despedirían – borró todo (USA)
9. Multan a estudiante que generó ataques a Estonia
10. Hacking primitivo provocaría el fraude de $7.2bn en banco SocGen
(Francia)
11. Policía detiene a cómplice del cracker Cyberalexis (Perú)
12. Legistas NY anuncia ley para proteger redes-sociales (USA)
13. Autoridades rusas protegen al Storm Worm (USA)
(Más) noticias locales
14. España, líder en descargas ilegales de música en Internet
15. El gobierno chino promete luchar contra la piratería en Internet
16. Congreso extiende ley de vigilancia otros quince días (USA)
17. Jueces prohiben la venta no autorizada de registros telefónicos (USA)
18. Capturan a sospechoso veterano por hackear la defensa francesa
(Grecia)
19. Beneficiarios del spam afrontarán el listado de ISC (China)
20. Cuestionan el plan de ciberseguridad de $6 de Bush (USA)
21. Ponen en discusión la privacidad de las direcciones IP (UE)
(Más) Weblog de JaCkSecurity
========================================================================
... JaCkSecurity ...
========================================================================
1. Las 11 verdades que la industria de seguridad odia admitir
http://www.jacksecurity.com/jacknews/2008/01/31/las-11-verdades-que-la-industria-de-seguridad-odia-admitir/
Kees Leune comenta acerca del artículo “Las 11 verdades que la industria
de seguridad odia admitir” preparado por Rich Mogull en la revista Dark
Reading.
2. El peligro de la Web 2.0
http://www.jacksecurity.com/jacknews/2008/02/01/el-peligro-de-la-web-20/
Fran Howarth, escribe acerca de los beneficios comerciales y tecnológicos
de la Web 2.0 en los negocios y organizaciones con presencia en la web, y
los contrasta con los peligros de esta nueva tecnología (en realidad no
tan nueva).
3. Accenture: Abrace la Web 2.0 con cautela
http://news.zdnet.co.uk/software/0,1000000121,39292467,00.htm
La consultora TI Accenture ha aconsejado a los empresarios a aceptar las
prácticas de trabajo del Web 2.0, pero también a ser cuidados del impacto
posible en el departamento de TI.
4. Top Tep Web Hacks of 2007
http://www.jacksecurity.com/jacknews/2008/01/31/top-tep-web-hacks-of-2007/
Luego un trabajo entusiasta, Jeremías Grossman hace público las 10 más
populares web hacking techniques del 2007.
5. Producción de virus pone a prueba a las firmas de seguridad
http://www.theregister.co.uk/2008/01/25/malware_surge/
El crecimiento del malware es exponencial. Sólo en el 2007 se registraron
5,490,960 muestra con respecto a 972,606 del 2006. Aunque, las casas de
antivirus usan las sandbox para coletar este código, ellas dicen que los
ingenieros siguen siendo cruciales, a fin de ir un poco más allá. Por esa
razón, varias compañías de anti-virus han decido aunar esfuerzos al formar
AMTSO, el Anti-malware testing standards organization, del cual ya se verá
los resultados.
6. Troyanos bancarios rusos, marcando la diferencia
http://www.hispasec.com/unaaldia/3383/troyanos-bancarios-rusos-marcando-diferencia
En Rusia y países del Este se producen los troyanos bancarios más
profesionales, alcanzando las estafas más importantes cuantitativamente
hablando, tanto por importes económicos como por número de usuarios
afectados.
[Juan comenta: El reporte indica que las técnicas de la "escuela"
brasileña, si bien son más elementales (ingeniería social, entre otros),
logran resultados similares. En cualquier caso, volvemos a la necesidad de
fortalecer los programas de culturización de la seguridad de la
información a través de las empresas.]
7. Firma declara que amenazas IM se han vuelto más sofisticadas
http://www.akonix.com/im-security-center/
Akonix Systems, Inc., un fabricante de productos de políticas, compliance
y gestión de riesgo para comunicaciones en tiempo real, anunció que sus
investigadores del Centro de Seguridad IM han rastreado 14 nuevos códigos
maliciosos sobre mensajería instantánea, en lo que va de enero, además de
mostrar un incremento en sus sofisticación.
8. Creyó que la despedirían – borró todo (USA)
http://www.diarioti.com/gate/n.php?id=16501
Marie Lupe Cooley, de 41 años de edad y proveniente de Jacksonville,
Florida, EE.UU., leyó una oferta de empleo en el periódico local. En el
anuncio aparecía el número telefónico de su jefe, y todo indicaba que era
el propio cargo de Cooley que estaba siendo ofertado.
[Juan comenta: Caso ilustrativo. Si bien borró hasta los backups, la
información pudo recuperarse a tavés de software especializado. Tal vez
sea
hora de supervisar nuestros mecanismos de respuesta rápida a emergencias de
TI.]
9. Multan a estudiante que generó ataques a Estonia
http://www.scmagazineus.com/Student-fined-1100-euro-for-DoS-attack-on-key-sites-in-Estonia/article/104624/
Un estudiante de 20 años de edad ha sido multado con 1,100 euros por
lanzar una ola de ataques DoS contra los sitios web claves de Estonia, que
incluyó el sitio del partido político del primer ministro de Estonia, en
abril y mayo del 2007.
10. Hacking primitivo provocaría el fraude de $7.2bn en banco SocGen
(Francia)
http://www.jacksecurity.com/jacknews/2008/01/31/hacking-primitivo-provocaria-el-fraude-de-72bn-en-banco-socgen-francia/
El desarrollador de software francés convertido en el truhán trader que le
costó unos €4.9bn ($7.2bn) al banco francés Société Générale, usó los
códigos de acceso de sus compañeros de trabajo para armar sus
transacciones fraudulentas.
[Juan comenta: Esta noticia la debemos compartir intensivamente en nuestras
empresas, como parte de las campañas de "awareness" de seguridad de la
información.]
11. Policía detiene a cómplice del cracker Cyberalexis (Perú)
http://www.rpp.com.pe/portada/nacional/111930_1.php
Capturan a un joven estudiante de computación e informática, que estaría
involucrado en la modificación de páginas de internet en agravio de medios
de comunicación y otras entidades.
12. Legistas NY anuncia ley para proteger redes-sociales (USA)
http://www.news.com/8301-13577_3-9860413-36.html
Los legistas de Nueva York han introducido E-Stop (Electronic Security and
Targeting of Online Predators Act), una ley para mantener alejados a los
delincuentes sexuales profesos de sitios de la clase de Facebook and
MySpace.
13. Autoridades rusas protegen al Storm Worm (USA)
http://www.theregister.co.uk/2008/01/31/storm_worm_protection/
De acuerdo a las declaraciones de autoridades de los EE.UU., sus
contrapartes en St. Petersburgo, Rusia, estarían poniendo obstáculos para
la investigación trasfronteriza e internacional que el FBI viene buscando
para la localización y captura de los creadores de Storm Worm. Un
interesante antecedente recuerda que la RBN (Russian Business Network) con
alguna relación política, estuvo operando coincidentemente en dicha ciudad
rusa.
[Juan comenta: Si fuera real, resulta inquietante la postura
proteccionista de las autoridades rusas respecto del malware. Cabe pensar
en acciones futuras coordinadas? De ambos lados?]
14. España, líder en descargas ilegales de música en Internet
http://www.elcomercioperu.com.pe/ediciononline/HTML/2008-01-30/espana-lider-descargas-ilegales-musica-internet.html
Las descargas ilegales de música en Internet crecieron en un 566% en los
últimos cinco años en España, según datos difundidos este miércoles por la
Sociedad General de Autores y Editores (SGAE), que colocan al país ibérico
como líder mundial de la piratería en la red en el 2007, con más de 1.200
millones de archivos musicales.
15. El gobierno chino promete luchar contra la piratería en Internet
http://www.elcomercioperu.com/ediciononline/HTML/2008-01-27/el-gobierno-chino-promete-luchar-contra-pirateria-internet.html
Un informe difundido el mes pasado por la Federación Internacional de la
Industria Fonográfica (IFPI, por sus siglas en inglés) reveló que la
piratería copaba el 99 por ciento del mercado chino.
16. Congreso extiende ley de vigilancia otros quince días (USA)
http://www.jacksecurity.com/jacknews/2008/01/30/congreso-extiende-ley-de-vigilancia-otros-quince-dias-usa/
El congreso de los Estados Unidos extendió la ley de vigilancia otros 15
días más. Luego de un pedido emitido por el presidente George W. Busch, el
Congreso ha autorizado la extensión temporal para la controversial ley que
permite al gobierno de EE.UU. conducir vigilancia telefónica en
sospechosos de terrorismo.
17. Jueces prohiben la venta no autorizada de registros telefónicos (USA)
http://www.theregister.co.uk/2008/01/29/phone_pretexting_ruling/
Un juez federal ha ordenado a la compañía americana que se dedicó a vender
los registros telefónicos de diversas personas, sin su consentimiento, el
pago de casi $200,000. El juez alega que el acto de conseguir información
de ese tipo requiere de medios ilegales, y la práctica de violar la
privacidad es igualmente ilegal.
[Juan comenta: Excelente ejemplo de la aplicación de la protección de la
privacidad de los datos personales.]
18. Capturan a sospechoso veterano por hackear la defensa francesa (Grecia)
http://www.theregister.co.uk/2008/01/28/defence_hack_suspect_cuffed/
Arresta a un veterano acusado de emplear técnicas de hacking para robar
secretos corporativos de un contratista de la defensa aérea francesa, en
Grecia. La policia venía buscándolo desde el 2002, y aún sigue tras la
búsqueda de su cómplice. Se sabe que el robo en el que estuvo implicado,
se fugó información de dicho contratista a más de 250 compradores en todo
el mundo.
19. Beneficiarios del spam afrontarán el listado de ISC (China)
http://www.chinatechnews.com/2008/01/28/6341-isc-spam-email-beneficiaries-face-chinese-blacklisting/
Huang Chengqing, secretario general de la Internet Society of China, dijo
que ISC castigará a las partes que comisiones a otros a enviar spam. Huang
dijo en un conferencia de prensa que los que envían spam son amenudos
consignados por otros, así que ellos se enfocarán en aquellos que
consignan, mediante una software de blacklisting.
[Juan comenta: Suena razonable extender las penalidades a los ejecutores y
a los autores intelectuales.]
20. Cuestionan el plan de ciberseguridad de $6 de Bush (USA)
http://www.govexec.com/story_page.cfm?articleid=39150
Un sistema que se enfoca en la protección de la red hará muy poco para
esquivar a los intrusos, argumente la industria experta en respuesta al
reporte del presidente Bush en asignar $6 mil millones en su presupuesto
del 2009 a un proyecto de ciberseguridad dirigido a proteger las redes de
comunicación de terroristas y hackers.
21. Ponen en discusión la privacidad de las direcciones IP (UE)
http://www.pcworld.com/article/id,141760-c,onlineprivacy/article.html Los
oficiales de protección de datos de la Unión Europea están trabajando en
clarificar un área gris en las leyes de Internet: el estado lega de una
dirección del Internet Protocol (IP) . La cuestión de si una dirección IP
debería ser considerada un dato privado ocupó mucho tiempo en una
audiencia la última semana en el Parlamento Europeo respecto a la
adquisición planeada de DoubleClick por parte de Google. Si una persona
puede ser identificada por una dirección IP, entonces la dirección es
privada, dijo Peter Schaar, el comisionado y jefe alemán del grupo de
privacidad.
[Juan comenta: Interesante cuestión. Como dicen las compañías de búsqueda
en Internet, incluida Google, la dirección IP simplemente localiza un
computador pero no identifica a la persona que lo está utilizando,
incluyendo variantes (Cybercafés, cabinas, etc.) Además, existen ISP que
proveen direcciones IP variables. Por otro lado, la dirección IP es un
dato
valioso para identificar a ciberdelincuentes. Falta bastante análisis para
dilucidar el tema. Particularmente, creo que debería protegerse tal y como
sucede con los datos personales, en la misma línea de la noticia que
figura
en esta misma entrega "Jueces prohiben la venta no autorizada de registros
telefónicos (USA)"]
Weblog de JaCkSecurity
http://www.jacksecurity.com/blog/2008/02/01/analisis-de-pharming-av-speedy/
http://www.jacksecurity.com/blog/2008/01/31/for-security-people-traveling-to-washington-dc/
http://www.jacksecurity.com/blog/2008/01/29/hacker-techniques-exploits-incident-handling/
http://www.jacksecurity.com/blog/2008/01/29/anti-security-awareness-es/
=======================================================================
Editores JaCkNews:
=======================================================================
Aldo Romero, CISSP ha liderado diversas jefaturas de seguridad de
información en el sector bancario y de telecomunicaciones, por más de 10
años.
Claudia Prada es certificada en continuidad de negocios CBCP y en ITIL, y
se desempeña en el área de ingenieria en una importante telco
internacional.
Juan Dávila, CISA, BS 7799 LA actual jefe de auditoria de TI de una
importante compañía de telecomunicaciones.
Luis Mendoza, CISSP, MCSE se desempeña como gerente de tecnología de una
compañía de infraestructura crítica nacional.
Martin Valdivia, CISA, CNA ha sido auditor y consultor de sistemas por 15
años en industrias de retail y banca. Actualmente, es administrador de
seguridad de una importante corporación agroindustrial.
=======================================================================
Más información sobre la lista de distribución News