Punto NET Soluciones SRL

Punto NET Soluciones SRL
Servicios Corporativos de Ciberseguridad - IT - DBA

miércoles, 27 de diciembre de 2006

CAPA 8 no toma respiro

Estimados
Ya se ha confeccionado la agenda del 2007, en donde a partir del 5 de enero continúan las actividades dentro de la casa del big brother. Aquellos que aún no salen de vacaciones, no dejen de acceder al sitio en donde encontrarán las actividades programadas para estas vacaciones.
La agenda final, estará disponible en unos días en http://www.microsoft.com/conosur/technet/realityit/sesiones.aspx

Actualizaciones de seguridad de Microsoft de diciembre de 2006

Recuerden que este mes, ya se publicó las actualizaciones de los S.O.Microsoft.

Como parte del habitual ciclo de actualizaciones de seguridad mensual de Microsoft, se publican las siguientes actualizaciones de seguridad el 12 de diciembre de 2006:

• MS06-072: trata una vulnerabilidad en Microsoft Internet Explorer (KB925454)

• MS06-073: trata una vulnerabilidad en Microsoft Visual Studio (KB925674)

• MS06-074: trata una vulnerabilidad en Microsoft Windows (KB926247)

• MS06-075: trata una vulnerabilidad en Microsoft Windows (KB926255)

• MS06-076: trata una vulnerabilidad en Microsoft Windows (KB923694)

• MS06-077: trata una vulnerabilidad en Microsoft Windows (KB926121)

• MS06-078: trata una vulnerabilidad en Microsoft Windows Media Player (KB923689 y KB925398)

• MS06-059 (segunda publicación): trata una vulnerabilidad en Microsoft Office (KB924164)


Fuente: Microsoft

McAfee Avert Labs - Vulnerabilidades para el 2007

De acuerdo con datos proporcionados por el McAfee Avert Labs, existen más de 217 mil tipos de amenazas conocidas y hay miles que aún no se han identificado. Asimismo, se comunicaron las diez principales amenazas de seguridad previstas por dicho laboratorio para 2007.

1. Aumentará la cantidad de sitios Web para robar contraseñas mediante el uso de páginas de inicio falsas para servicios en línea populares como eBay.

2. Seguirá creciendo el volumen de spam, en particular el que contiene imágenes, que consume gran ancho de banda.

3. La popularidad del uso compartido del video en la Web hace inevitable que los hackers comiencen a usar archivos MPEG como un medio de distribuir código malicioso.

4. Los ataques a teléfonos móviles se harán más frecuentes, a medida que los dispositivos móviles se hagan más "inteligentes" y cuenten con mayor conexión.

5. Los programas publicitarios fortalecerán su dominio, siguiendo el aumento de los posibles programas no deseados (PUP, Potentially Unwanted Programs) comerciales.

6. Los robos de identidad y la pérdida de datos seguirán siendo un problema público: el origen de estos crímenes a menudo se encuentra en el robo de computadores, la pérdida de respaldos y el compromiso de sistemas de información.

7. Se incrementará el uso de bots (programas computacionales que realizan tareas automatizadas) como una herramienta favorita para los hackers.

8. Reaparecerá el malware parasitario o virus que modifican los archivos existentes en un disco.

9. Se registrará un aumento en la cantidad de rootkits en plataformas de 32 bits. Sin embargo, las capacidades de protección y reparación también se potenciarán.

10. Las vulnerabilidades seguirán causando preocupaciones, fomentadas por el mercado clandestino de vulnerabilidades.

Fuente:McAffe

jueves, 26 de octubre de 2006

PRIMER REALITY DE IT !!!

Se viene el primer reality de Ms, el primer reality de IT. CAPA 8

NO PODES DEJAR DE PARTICIPAR !!!!!

¿Qué es CAPA 8?

Capa 8 es una empresa creada especialmente para que los expertos vayan trabajando para mejorar su infraestructura tecnológica y tú puedas capacitarte a medida que ellos trabajan sobre ella. Capa 8 enfrentará los desafíos tecnológicos que tienen las empresas hoy en día.

Capa 8 hoy cuenta con dos dominios NT4 con relación de confianza completa entre ellos, clientes Windows NT4 Workstation y Windows 98, Exchange 5.5 y SQL 7 y 2000. Además cuenta con un Linux que hace de firewall SMTP relay y File Server.

Alejandro Ponicke y Christian Linacre están convencidos de que esta infraestructura es la correcta y necesaria para su empresa y que les permite ahorrar dinero, aún cuando tienen previsto un importante crecimiento en el volumen de su negocio.

Aunque ellos no lo saben, esto les genera ciertas limitaciones e inconvenientes en su trabajo diario.


AGENDA

Si desean ver la agenda pueden hacerlos desde

http://www.microsoft.com/conosur/technet/realityit/sesiones.aspx

Saludos

Quique

lunes, 2 de octubre de 2006

Wi-Fi no significa WI-SEC

Seguridad en redes Wireless

La semana pasada hicimos un evento sobre seguridad WLan. En el tratamos sobre los diferentes tipos de redes WLAN, niveles de seguridad y aspectos de configuración.
Se ha hizo incapié en la nueva definición Wi-Fi. La misma NO significa Alta Fidelidad o Fidelidad inalámbrica, si no que es una marca registrada de Wi-FI Alliance, que certifica que los dispositivos de redes wireless soportan WPE, TKIP, WPA y WPA2.
Hoy en día es muy simple romper un cifrado WEP. Requiere de paciencia, ya que en el envío de los paquetes de TCP/IP viaja la semilla que se origina a través de la palabra compartida por ámbos dispositivos. Decimos que requiere paciencia, por que se requiere al menos 100.000 paquetes con el vector de inicialización para que las herramientas de "cracking" (por ejemplo el Aircrack) obtengan el hash.
Que sucede, WPA y WPA2 permiten configurar los dispositivos de manera segura, como por ejemplo TKIP, certificados digitales y servidores de RADIUS que validen al usuario.
Haciendo un análisis en la city (barrido con la portatil en la Ciudad de Córdoba) hemos detectado muchos dispositivos con caracteristicas de wi-fi que están mal configurados, ya que no están usando las caracteristicas de seguridad de los mismos, y los terminan configurando con WEP o WPA con PSK.
Dijimos que WEP es inseguro y más aún WPA con PSK (Pre.Shared.Key) ya que es más simple de violar que el WEP.
Los dispositivos que soporten Wi-Fi deben ser configurados con TKIP (esto permite usar WEP dinámico, cambia solo cada 10000 paquetes), Radius (Un servidor valida al usuario para que este ingrese a la red) o con certificados digitales (Usando AES y Certificados digitales, armamos una VPN entre los dispositivos WLAN).
A parte tengan en cuenta:
1) Desactivar el FRAME BEACON (este hace anuncio y permite que encuentren el dispositivo.
2) El nombre del SSID no debe identificar la empresa o a que se dedica.
3) Utilizar WPA2 como lo comentamos anteriormente.
4) Monitorear el acceso de los recursos.
5) Tratar de filtrar las MCAdress de las placa de red.
6) Tratar de no otorgar un IP dinámico.

Bueno gente, esta son algunas de las recomendaciones. Configurar seguro un dispositivo es muy simple.

Quique Dutra

miércoles, 13 de septiembre de 2006

Actualizaciones de Septiembre

Se han publicado los boletines MS06-052 al MS06-054 y las
actualizaciones distribuidas, según la propia clasificación de
Microsoft, una es de gravedad "crítica", otra está calificada
como "importante" y la última queda clasificada como "moderada".

* MS06-052: Evita una vulnerabilidad en el protocolo PGM (Reliable Multicast Program) que podría permitir la ejecución de código arbitrario si un atacante envía un mensaje multidifusión especialmente manipulado a un sistema afectado. Las comunicaciones PGM necesitan del servicio MSMQ (Microsoft Message Queuing) 3.0 para que sean permitidas.
Este servicio no se instala por defecto. Está calificado como
"importante".

* MS06-053: Destinado a evitar una vulnerabilidad de revelación de información en el servicio de indexación debido a la forma en la que se tratan las validaciones de consultas. Afecta a Windows 2000, Windows XP y Windows Server 2003. Según la calificación de Microsoft tiene un nivel "moderado".

* MS06-054: Se trata de una actualización de seguridad para evitar una vulnerabilidad en Publisher que podría permitir la ejecución remota de código. Afecta a Office 2000, 2002 y 2003. Recibe una calificación de "crítico".

Las actualizaciones publicadas pueden descargarse a través de Windows
Update y Office Update o consultando los boletines de Microsoft donde
se incluyen las direcciones de descarga directa de cada parche.

Fuente Ms e Hispasec

martes, 12 de septiembre de 2006

LA INFORMACIÓN: UN CAPITAL CADA VEZ MÁS PRECIADO

Para la gente de su compañía, la información y los datos poseen una importancia decisiva en materia de negocios y gestión empresaria. A su vez, la circulación ilimitada de información a través de las redes locales y de Internet permite compartir datos y realizar operaciones en forma remota, potenciando la productividad de las personas.

Los riesgos: La otra cara de la moneda

Las ventajas de este flujo dinámico de la información presentan como contrapartida la aparición de nuevos riesgos como el spyware y el phishing, que dificultan mantener la confidencialidad y la privacidad.

La necesidad de proteger un activo tan valioso es evidente, descuidar la información es exponerse a grandes pérdidas en su negocio.

Lo esencial: Enfrentar la realidad de los riesgos

¿Qué sucedería si la competencia tuviera acceso a la información de un nuevo producto que va a lanzar al mercado? ¿Qué consecuencias traería la destrucción, adulteración o robo de una base de datos? ¿Qué ocurriría si el acceso a su información le fuera denegado en el momento de concretar un negocio?

La importancia de contar con políticas de seguridad claras y firmes es innegable. Y para esto, es necesario tomar conciencia de la cantidad de factores que atentan contra el buen funcionamiento de sus sistemas, y la confidencialidad, integridad y disponibilidad de sus datos.

Sorprendentemente, en la mayoría de los casos, los factores de riesgo no siempre están relacionados con la tecnología.

Fuente: MS

jueves, 20 de julio de 2006

Virus en la red - Trojan.PPDropper.B

Cuidado con los ppt....

El día 17 de Julio, Microsoft como todos los meses publicó las vulnerabilidades y los fixes que solucionan las mismas. Ni lentos ni perezosos, los "intrusos" o hackers, como quieran llamarle, han confeccionado un virus que aprovecha una de las vulnerabilidades en menos de tres días. Las empresas de antivirus están trabajando en el troyano para detectarlo y removerlo.
Una vez más queda demostrado que los virus surgen cuando se da a conocer algún problema de seguridad o vulnerabilidad por parte del fabricante y no antes.

El boletín de Ms : Microsoft Security Advisory (922970)


Vulnerability in PowerPoint Could Allow Remote Code Execution
Published: July 17, 2006


Microsoft is investigating new public reports of limited “zero-day” attacks using a vulnerability in Microsoft PowerPoint 2000, Microsoft PowerPoint 2002 and Microsoft PowerPoint 2003. In order for this attack to be carried out, a user must first open a malicious PowerPoint document attached to an e-mail or otherwise provided to them by an attacker. Microsoft will continue to investigate the public reports to help provide additional guidance for customers as necessary.
Microsoft is completing development of a security update for Microsoft PowerPoint that addresses this vulnerability. The security update is now being finalized through testing to ensure quality and application compatibility and is on schedule to be released as part of the August security updates on August 8, 2006, or sooner as warranted.
Microsoft is concerned that new reports of a vulnerability in PowerPoint were not disclosed responsibly, potentially putting computer users at risk. We continue to encourage responsible disclosure of vulnerabilities. We believe the commonly accepted practice of reporting vulnerabilities directly to a vendor serves everyone's best interests. This practice helps to ensure that customers receive comprehensive, high-quality updates for security vulnerabilities without exposure to malicious attackers while the update is being developed.

El virus : Trojan.PPDropper.B

Los correos vienen con el formato siguiente:

De: [nombre]@gmail.comPara:
Undisclosed-Recipient:;
Asunto: [caracteres chinos]Datos adjuntos: [caracteres chinos].ppt

Symantec bautizó este troyano como troyano Trojan.PPDropper.B y al abrirlo viene un archivo con extensión ppt con situaciones cómicas sobre hombres y mujeres. Mientras el ppt está abierto instala un troyano que es el Backdoor.Bifrose.E.
Este troyano es un keylogger que luego envía info a los atacantes.

Qué Hacer:
1) Usuario final u hogareño : Si conoce de tecnología, actualizar el antivirus y el S.O. instalando el Fix correspondiente. En el caso de desconocer, evitar abrir o bajar cualquier ppt que desconozca u cuyo remitente no sea válido y verificar que el antivirus esté instalado y actualizado.
2) Empresas: Filtrar a nivel de gateway el ingreso de ppt y chequear que los antivirus estén actualizados. Armar un plan para realizar un deploy adecuado de la actualización de Ms en las máquinas que crea conveniente. Le recordamos que las GPO son herramientas muy útiles para estos casos.

Esten atentos...
Saludos
Quique

viernes, 7 de julio de 2006

WireShark


Un programa muy ameno para leer el tráfico de red, era nuestro sniffer amigo Ethereal.
Este soft en los últimos años se comportó muy bien en la plataforma MS (siendo un soft original para plataforma Linux).
Ahora este soft no se denomina más Ethereal, si no WIRESHARK. Gerald Combs, el creador de Ethereal network protocol analyzer ha aceptado una alianza con CACE (http://www.cacetech.com/) que es más conocido como el popular WinPcap.
Ahora el proyecto denominado WIRESHARK posee mejoras interesantes e incluso una nueva interfaz.
El sitio oficial es http://www.wireshark.org/ y de allí podrán bajar las versiones para las plataformas Microsoft y Linux.
Estamos hace veinte días probando el producto sobre Ms Windows 2003 y anda muy bien.
Saludos

Quique

A Virtualizar se ha dicho !!!!

Microsoft Virtual Server 2005 R2 ya está disponible como descarga gratuita. Se podrá descargar de la misma manera el próximo Service Pack 1 de Virtual Server 2005 R2. También están disponibles complementos de máquina virtual para Linux (en inglés) y un modelo de soporte técnico adecuado para Linux como sistema operativo ejecutado sobre Virtual Server 2005 R2.
La gestión de recursos ha formado parte del Sistema Operativo, y a lo largo de estos años, los clientes han podido acceder a esta funcionalidad como parte de su plataforma de sistema operativo. Al publicar Microsoft su tecnología hipervisor de Windows en la familia de Servidores Windows "Longhorn", los clientes podrán acceder a los beneficios de la virtualización como funcionalidad integrada dentro del sistema operativo Windows Server. Los cambios de política de precios llevados a cabo facilitan el acceso de los clientes a las ventajas que ofrece la tecnología de virtualización.
Con Windows Server 2003 R2 Enterprise Edition (en inglés), los clientes pueden ejecutar hasta cuatro sistemas operativos virtuales sobre un mismo servidor físico sin cargo. El anuncio de hoy permite a los clientes ejecutar Windows Server 2003 R2 Enterprise Edition con Virtual Server 2005 R2 de forma sencilla y económica, para fines de consolidación de servidores, reubicación de aplicaciones, planificación de la recuperación frente a desastres, y creación de entornos de test y desarrollo de software.

Para descargar virtual server ingresar a
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=6DBA2278-B022-4F56-AF96-7B95975DB13B

Saludos
Quique
Fuente : Microsoft

lunes, 26 de junio de 2006

Primer curso de Ms Windows Vista

Gente
Ya está disponible el primer curso de Windows Vista. Se un adelantado, antes que nadie, capacitate sobre la nueva versión de Windows.
El curso de Windows Vista está basado en las Build 5308 y 5342. El contenido de esta capacitación abarca su instalación, las mejoras en seguridad, y las nuevas funciones y actualizaciones ya conocidas.
Para accederlo debes ir a

http://www.mslatam.com/latam/technet/learning/Html-ES/home.asp

No dejen de participar.
Saludos

Quique Dutra

No todos dan dos oportunidades

Ahora, puede obtener una segunda oportunidad gratuita para cualquiera de los exámenes de Microsft: Microsoft Learning IT Professional, Developer o Microsoft Dynamics (anteriormente, Microsoft Business Solutions).
A fin de participar, regístrese para esta oferta antes de realizar cualquier examen. Recibirá un código de promoción que sirve para una segunda oportunidad gratuita para el mismo examen, en caso de desaprobar en el primer intento. No hay límite por cliente, de manera que después de registrarse, estará autorizado para volver a realizar cualquier examen para el que se haya inscrito.
Puede programar su examen inicial mediante cualquiera de nuestros EDP (proveedores de exámenes): Thomson Prometric o Pearson VUE a través de sus sitios Web, centrales telefónicas o centros de pruebas. Asegúrese de tener su código de promoción antes de registrarse para el primer examen. Si desaprueba el primer examen, aguarde un día hábil para registrarse para el segundo, de modo que podamos ingresar los resultados de su examen en el sistema. Luego, póngase en contacto con la central telefónica de Thomson Prometric o Pearson VUE para programar el segundo examen. Hágale saber a un agente que se ha registrado para esta oferta, de esta manera el agente lo inscribirá para dar el segundo examen en forma gratuita.
Su examen inicial debe ser programado y realizado entre el 15 de febrero de 2006 y el 30 de junio de 2006. El segundo examen debe ser programado y realizado con el mismo EDP del primer examen para el 31 de julio de 2006.

Fuente : Microsoft

Quique Dutra

viernes, 19 de mayo de 2006

¿Se acabará el SPAM?

El dia 23 de abril se hizo público la sentencia de primera instancia en un caso judicial por SPAM. En este caso dos personas habían pedido que se les removiera de una lista y el emisor haciendo caso omiso siguió enviando los correos.
Ante tal actitud, las víctimas iniciaron una acción judicial en noviembre del 2003.
Más allá de la medida, y que el caso de alguna manera genera jurisprudencia ante el vacío legal, se imaginan Ud. siendo víctimas del SPAM, iniciar una acción legal que concluye prácticamente tres años después. El desgaste de hacer seguimiento, perseguir a los abogados y el costo que tiene esta actividad, seguramente va a terminar con que aceptemos el SPAM y usemos más frecuentemente la tecla DEL.
En este caso, ayudó mucho que unas de las personas que demandaba, era el Dr. Gustavo Tanus, una eminencia en los aspectos legales informáticos.
Los spammer deberán pagar $ 8000.- más los honorarios de los abogados interviniente. Esperemos que esto haga pensar a los spammer y emitan menos correos spam, ya que a la mayoría no le interesa ni comprar viagra, cabañas, cámaras dde fotos, etc,etc.


Enrique Dutra

lunes, 17 de abril de 2006

Actualizacion de Abril

Estimados

Ya esta disponible las actualizaicones de abril, para ello les adjunto las url de cada actualización publicada en este mes :

http://www.microsoft.com/latam/technet/seguridad/boletines/ms06-013.mspx Actualización de seguridad acumulativa para Internet Explorer (912812)

http://www.microsoft.com/latam/technet/seguridad/boletines/ms06-014.mspx vulnerabilidad en la función de Microsoft Data Access Components (MDAC) puede permitir la ejecución de código (911562)

http://www.microsoft.com/latam/technet/seguridad/boletines/ms06-015.mspx vulnerabilidad en el Explorador de Windows podría permitir la ejecución remota de código (908531)

http://www.microsoft.com/latam/technet/seguridad/boletines/ms06-016.mspx Actualización de seguridad acumulativa para Outlook Express (911567)

http://www.microsoft.com/latam/technet/seguridad/boletines/ms06-017.mspx vulnerabilidad en las Extensiones de servidor de Microsoft FrontPage podría permitir secuencias de comandos que implican a varios sitios (917627)


Por favor publiquen y referencien al Boletín de Seguridad de TechNet.
Saludos

Quique Dutra

El Soporte Técnico de Windows 98, Windows 98 Segunda Edición, y Windows Millennium Edition finalizará el 11de Julio de 2006

Notificación final acerca de la finalización de la ampliación del soporte técnico de Windows 98, Windows 98 Segunda Edición, y Windows Millennium Edition

El soporte técnico para Windows 98, Windows 98 Segunda Edición, y Windows Millennium Edition (Me) finalizará el 11 de Julio de 2006. Microsoft dejará de dar soporte técnico de estos productos a partir de esta fecha. Esto incluirá las actualizaciones de seguridad. Microsoft esta proporcionando a sus clientes notificaciones de finalización del soporte técnico ampliado para actualizaciones de seguridad de estos productos.

Microsoft esta finalizando el soporte técnico de estos productos porque están anticuados y estos sistemas operativos antiguos pueden exponer a los clientes a riesgos de seguridad. Recomendamos a aquellos clientes que esta ejecutando actualmente Windows 98 o Windows Me que actualicen a un sistema a un sistema operativo Microsoft nuevo, más seguro, como Windows XP, tan pronto como sea posible.

Fecha clave:

El pago por incidente de soporte y las actualizaciones crítica de seguridad para Windows 98, Windows 98 Segunda Edición, y Windows Me finalizará el will end el 11 de Julio de 2006. No seguiran otras actualizaciones de seguridad después de esta fecha.
El soporte técnico online en modalidad de autoayuda seguirá estando disponible en el sitio web de soporte técnico de Microsoft hasta al menos el 11 de Julio de 2007.
La fecha de finalización del soporte técnico de Windows 98 y Windows 98 Segunda Edición fue cambiada desde el 16 de Enero de 2004 al 30 de Junio de 2006.
En Enero de 2006, Microsoft anunció un ajuste de las fechas de finalización del la directiva del ciclo de vida de soporte técnico, moviendo las fecha de finalización del soporte técnico ampliado de Windows 98, Windows 98 Segunda Edición, y Windows Me al 11 de Julio de 2006. Para más detalles acerca de este anuncio consulte http://support.microsoft.com/gp/lifean17/es-es.
El Soporte Técnico para incidentes sin cargo y la ampliación del soporte técnico para hotfixes para Windows Me finalizará el 31 de Diciembre de 2003, y para Windows 98 y Windows 98 Segunda Edición finalizará el 30 de Junio de 2003.
Microsoft anunció la Directiva del Ciclo de Vida el 15 de Octubre de 2002.

Fuente: Microsoft

jueves, 30 de marzo de 2006

Registro de Base de Datos en Argentina - LEY 25326

Atentamente
Tengo una noticia que les va a interesar y mucho. La DNRBDP ha prologando la fecha del registro por última vez, siendo el 30 de abril la fecha limite final.
Les recomiendo que más allá de registrar la base y de cumplir con este proceso burocrático, deban verificar que los procedimientos de ALTA, RETIFICACION, CERTIFICACION, CONSULTA y BAJA estén dentro de los lineamientos de la ley.
En caso contrario la registración ha sido un paso anecdótico para la Dirección.

Hemos recibido preguntas como las siguientes:
- La base de personal se debe registrar?. RESPUESTA : SI . La ley establece que debe registrarse toda base de datos que contenga datos sensibles. Se define a dato sensible si la base posee datos sobre afiliación política, religiosa o de salud. En el caso de los empleados de una compañía, los datos de salud son relevantes sobre todo que figura : La obra social, el seguro de trabajo, hijos , etc. Estos datos son de alto grado de sensibilidad y muy buscados por empresas que por efectos del marketing desean que cambien sus datos afiliatorios.

- La base de stock debe registrarse ?: RESPUESTA: NO. No hay datos personales.

- La base de datos de proveedores ? : RESPUESTA : NO siempre y cuando no se tenga datos sensibles de los mismos.

Hasta la próxima...

Actualizaciones de seguridad

Amigos:
En los últimos webcast no han preguntado mucho sobre las actualizaciones. Microsoft provee varias herramientas gratuitas de monitoreo y distribucion de paquetes. Es decir, que ya contamos con herramientas para asegurar nuestros escenarios, es cuestión de dedicarles un poco de tiempo y hacer algunas pruebas, según el escenario de nuestra compañía.
En este sitio http://www.microsoft.com/latam/technet/seguridad/technet-tools.asp van a encontrar mucha información sobre el uso de las herramientas, incluso algunos "papers" muy utiles.
Recordemos las herramientas:

- MSBA : Ms Security Baseline Analizer :Analiza el equipo o la red informándonos sobre la falta de actualizaciones sobre los equipos e incluso (sobre todo en la nueva versión) nos dá información muy util sobre los niveles de configuración adecuados y como deberían configurarse nuestros equipo de la compañía.
- WSUS : Permite realizar un deploy de actualizaciones mediante la aprobación de las mismas.
- MSAT : Microsoft Security Assessment Tool: Esta herramienta está muy poco difundida por Ms. NO sirve para que evalue automaticamente la red, si no más bien, para realizar una encuesta al personal de IT y que de manera correcta responda las preguntas. Al final vamos a tener un reporte de como esta nuestra red y que deberíamos mejorar. Está basado en el modelo de Defensa en Profundidad. (Pueden encontrar mas información de este modelo en los webcast de seguridad de marzo). Reemplaza al consultor de seguridad externo en una primera instancia.

Espero que les sea de utilidad y puedan avanzar con estas herramientas.
Recuerden que son gratuitas, por lo tanto no hay excusa de no armar escenarios seguros !!

Saludos

Quique Dutra

miércoles, 15 de marzo de 2006

Actualizaciones de seguridad de Microsoft - Marzo/06

Gente
Esta disponible el boletin de seguridad de Ms del mes de marzo/06 y con ella las actualizaciones que se publican son:

1) MS06-012 - Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (905413)
Impact: Remote Code Execution.
Version Number: 1.0

2) MS06-011 - Permissive Windows Services DACLs Could Allow Elevation of Privilege (914798)
Impact: Remote Elevation of Privilege
Version Number: 1.0

Recuerden que cada actualizaci'on hace referencia a un número de artículo técnico, al cual pueden acceder desde el sitio de Microsoft y obtener toda la información del mismo.
Para aquellos que tienen dudas aún de como realizar el deploy de estas actualizaciones, les recomendamos que visualicen dos webcast que pueden encontrar en el sitio de Microsoft (http://www.microsoft.com/latam/technet/video/seguridad.mspx).
Recuerden de leer los documentos técnicos antes de aplicar los boletines.
Saludos

Quique

viernes, 24 de febrero de 2006

Mas Sobre ISO 17799/27001

Actualización de la Norma ISO 17799:2005 y Creación de la ISO 27001:2005

En seguridad de la información la referencia obligada a nivel internacional es la norma ISO 17799:2000, que incluye la seguridad informática. Originariamente el primer estándar en seguridad de la información fue desarrollado en los años 1990, en Inglaterra, como respuesta a las necesidades de la industria, el gobierno y las empresas para fomentar un entendimiento común sobre el tema y establecer lineamientos generales. En 1995, el estándar BS 7799 es oficialmente presentado. En 1998 se establecen las características de un Sistema de Gestión de la Seguridad de la Información (SGSI) que permita un proceso de certificación, conocida como BS 7799 parte 2.




Recién en diciembre del 2000 la organización de estándares internacionales (ISO) incorpora la primera parte de la norma BS 7799, rebautizada como ISO 17799, la cual se presenta bajo la forma de notas de orientación y recomendaciones en el área de Seguridad de la información.
En el año 2005 hubo cambios interesantes a nivel de ISO 17799 y de COBIT (con su nueva versión 4.0). En cuanto a la norma ISO, las novedades son más que interesantes. Hasta ahora muchas compañías se alineaban a la 17799:2000 y luego tenían que certificar la norma BS 7799:2002 dado que ISO no había reglamentado las características de un Sistema de Gestión de Seguridad de la Información.
La buena noticia es que a partir de ahora se podrá certificar con la nueva norma ISO/IEC 27001.
Entonces, hoy el marco teórico es la ISO/IEC 17799:2005 y el marco práctico paso a ser la ISO/IEC 27001:2005. Esta última define el Sistema de Gestión de la Seguridad de la Información (SGSI). Con estos cambios la ISO 17799:2005 que con el tiempo deberá ser reemplazada por la ISO 27001 marco teórico, se incluyen novedades importantes:

1. Se agrega un nuevo dominio (“Administración de incidentes de la seguridad de la información”), es decir que ahora son 11 dominios.
2. Un marco teórico más fácil de aplicar, ya que cada dominio incluye el objetivo de control específico, el marco de implementación y un anexo de información adicional. Esto permite establecer un tablero de control más simple e incluso auditarlo con COBIT.
3. Se han realizado actualizaciones tecnológicas, ya que la última revisión era del año 2002, y recordemos que un año la tecnología cambia bastante. Por ejemplo en el dominio que hace referencia al control de acceso (Dominio 7), se incluye los controles sobre redes inalámbricas y tecnologías similares que deben estar incluidas como controles en las políticas de seguridad.
4. Se ha incluido un control sobre la entrega de servicios por terceras partes (Service Delivery). Si bien algo se mencionaba en la versión anterior, se han reformulado las definiciones.
5. Se ha incluido un apartado sobre el aceptable uso de los activos. Recordemos que muchas veces por implementar escenarios muy seguros, hacemos imposible el uso del recurso para el usuario que debe accederlo.
6. Se agrega un apartado sobre la gestión de riesgo. No olvidemos, que si bien toda compañía debe tener un nivel de riesgo aceptado, la idea de la NORMA ISO 27001:2005 es definir el manejo de riesgo de la compañía. La seguridad total no existe, por lo tanto debemos tener definido como actuar ante una situación especial.
7. Incluye referencias importantes con el manejo de contraseña.
8. En COBIT figuraba el manejo de código fuente dentro los controles. Esta vez ISO ha incluido ese manejo dentro de los dominios.
9. Se ha agregado un apartado para el manejo de vulnerabilidades.

Sin dudas, esta versión es más fácil de interpretar y de llevarla a la práctica, ya que son más claros los objetivos de cada uno de los controles de los dominios.
Recuerden, que como toda norma ISO, es una visión holística y toda la compañía deberá acompañar el proceso de certificación. El primer gran logro que deben obtener, es la confirmación por escrito de la gerencia que se desea lograr la alineación del estándar.
Mas allá de los deseos o necesidades de certificar ISO 27001, recomendamos a las compañías, usar estas nuevas versiones como guía y descartar las versiones anteriores. Obtener un buen sistema de gestión de la información no depende de la tecnología que utilicemos en nuestra empresa, sino en mayor medida de los procesos y las personas involucradas, con el objetivo de preservar el valor actual y futuro de nuestras organizaciones.
Finalmente recordemos que será un proyecto de cambio organizacional con múltiples facetas, incluido un alto componente de consideraciones legales.
Autores:
Lic. Enrique Dutra - Punto NET Soluciones
Ing. Jorge Ronchese - SUIVANT

miércoles, 15 de febrero de 2006

Comienzan los eventos !!!

A partir de marzo comienzan las actividades académicas, siendo estas:

- 01/03/06 - Evento de jornada completa sobre Service Desk - ITIL.
Se estará realizando en una sola jornada una capacitación sobre el Service Desk de ITIL. La temática de este curso, es como preparar adecuadamente el área de soporte a usuarios, como tratar a los usuarios, como generar procesos de calidad de atención al cliente y como organizar el área utilizando como marco referencial el estándar internacional ITIL. Este curso se dicta en la UES 21, en calle Rondeau de la Ciudad de Córdoba - Argentina.

- 07/03/06 - Webcast Microsoft : Essentials of Security 2801 Session 1
This session explains key essentials of security for Microsoft® Windows® 2000 Server and Microsoft Windows Server™ 2003 environments. In this topic, we will establish the business case for security. Specifically, we will discuss:The impact of security breaches on an organization. The 2004 CSI/FBI survey, which documents the financial losses to businesses from computer-related attacks. The benefits of investing in security.

- 22/03/06 - Webcast Microsoft : Defense-In-Depth Against Malicious Software 2803 Session 3
The success of recent network virus and worm attacks has demonstrated how advanced malicious software (malware) development has become. The ability for these outbreaks to evade detection and propagate quickly throughout the network has increased the need for a better understanding of how to implement malware defense. You must be able to identify all of the points in your infrastructure that require a malware defense strategy. This defense-in-depth approach to malware is used to help protect various components of the
network, such as client computers, servers, and the network infrastructure. If an attack does take place, an effective outbreak control and recovery plan is required to identify a malware infection, contain it, and then remedy the effects it may have on the infected systems throughout the network environment.

- 30/03/06 - Webcast Microsoft : Securing Services and Critical Accounts 2808 Session 3
Many organizations implement network services or applications that require the use of a service account. Unfortunately, many vendors require service accounts to be configured to run with the highest possible privileges, often resulting in membership within the domain administrators group. If these service accounts are compromised, an attacker may be able to gain full and unrestricted access to the computer, domain, or entire forest. It is important that you understand how to configure service accounts to only the level of privilege necessary to support the application or network service. If the service account does require administrative-level privileges, you must then be aware of steps to take to ensure the security of your network services.
This session describes methods that you can use to increase the security of service and critical accounts.

Les recordamos que para acceder a los webcast, lo pueden hacer desde internet en el sitio
http://www.microsoft.com/latam/technet/video/webcast.asp

jueves, 2 de febrero de 2006

Virus Kamasutra

ALERTA DE SEGURIDAD
En el día de mañana (3 de febrero) se activa el virus Kamasutra. El código malicioso, cuyo nombre técnico es W32/Nyxem-E, llega en correos con encabezados "sugerentes" y un texto que promete referencias al antiguo libro indio del arte erótico”.
Como parte de la propagación, se copia a través de la red e infecta archivos DESKTOP.INI y TEMP.HTT en las carpetas compartidas.
Después de la ejecución el virus copia el SCANREGW.EXE en la carpeta de Windows.
El efecto más común, es al loguearse en la consola, se abren ventanas de Winzip (instancia el WinZip Quick Pick.lnk)
Se recomienda borrar los correos que arriben a su casilla de correo con este contenido y tener actualizado el antivirus.

Saludos

Quique

lunes, 30 de enero de 2006

Cómo cuidarse de los piratas electrónicos

Eran cifras pequeñas. A lo sumo, 150 euros cada vez. En varios meses ni se notaría. Pero a largo plazo, se convertiría en un botín atractivo, sin necesidad de excavar túneles para llegar a la bóveda de ningún banco. Esa era la estrategia de un grupo de piratas informáticos que se hizo con algo más de 22 millones de euros del Ministerio de Hacienda británico. El robo se hizo a través de la captura ilegal de datos personales de trabajadores ferroviarios, quienes sin saberlo obtenían micropréstamos que terminaron en manos de los timadores.

Esta estafa, la más importante de esas características realizada en el Reino Unido, es un ejemplo extremo del poder que se esconde detrás de los delitos y fraudes electrónicos.

Estos episodios pueden evitarse “protegiendo adecuadamente los datos, auditando a quienes acceden a ellos y definiendo que sólo algunas personas pueden autorizar su acceso”, explica Enrique Dutra, consultor de seguridad informática.

“En la Argentina, con la ley 25.326 se encuentra el marco legal para evitar este tipo de problemas”, agregó el especialista cordobés. La norma establece la protección de las bases de datos, y fija parámetros de seguridad que sus propietarios deben observar para evitar acciones legales en caso de sustracción de datos.

La punta del iceberg

Sin embargo, el robo de datos es sólo una de las estrategias delictivas de los hackers, o piratas informáticos. Y eso afecta a empresas y usuarios domésticos por igual.

Según un informe de la Comisión Federal de Comercio de Estados Unidos, entre los 10 engaños más frecuentes en 2005, figuraron: la compra de objetos en subastas o sitios on line, que luego resultan ser distintos a lo esperado; el engaño a través de productos para la salud; el cargo desmesurado y las penalizaciones luego de contratar servicios de Internet temporales, y el robo de datos de tarjetas de créditos, con excusas falsas.

Además, se mencionan los “excesivos gastos” en cuentas telefónicas derivados de sitios que conectan silenciosamente el módem a números internacionales, y el engaño de webs que prometen hacerse millonario a cambio de una mínima inversión que luego resulta una farsa.

De acuerdo al informe “Global Business Security Index 2005” brindado por IBM días atrás, si bien el gusano Zotob “captó la atención internacional al impactar a organizaciones de medios reconocidas”, se constató que existieron “menos brotes globales de malware (código malicioso) que el año anterior”. No obstante, el pronóstico para este año es desalentador: habrá un aumento de los ataques cibernéticos con motivos delictivos.

Todos los expertos consultados por este diario coincidieron en señalar que el usuario sólo podrá protegerse si conoce la amenazas a las que está expuesto, para luego prevenirlas.

Cuento del tío “virtual”

En el caso de los usuarios hogareños, gran parte de las amenazas se ejecutan a través de complejas técnicas de “ingeniería social” que apelan a maniobras y engaños para obtener información o acceso a datos, por ejemplo haciéndose pasar por otra persona, para luego inducir al receptor a ejecutar acciones que pueden dañarlo.

Los ataques conocidos como “phising” responden a esta metodología.

Un caso usual: el usuario recibe un correo de su banco que le indica que debe introducir datos para chequear su cuenta, y le hace cliquear en un vínculo ficticio. A veces, se trata de un sitio con la apariencia exactamente igual a la del banco, pero con un dominio falso.

“Es como si alguien en la calle pusiera un local con los logos y uniformes de un banco, y uno hace un depósito, creyendo que se trata de un lugar confiable, cuando en realidad no lo es”, explicó a este diario Tomás Bob, líder de Proyectos de la compañía antivirus Trend Argentina.

Asimismo, según Bob en los últimos tiempos se ha masificado la transmisión de spyware (espías). “Son programas que se instalan en las computadoras y recopilan datos con el fin de hacer llegar publicidad dirigida, a través del correo o de la navegación”.

“Todo aquello que al usuario le genere sospecha, debe preguntarlo o asesorarse. A nivel hogareño, la capacitación es importante ya que muchos usuarios son víctimas de artimañas por desconocimiento”, apunta Dutra.

Empresas alerta

Según un estudio realizado por Kaagan Research Associates, y patrocinado por Cisco Systems e IBM, el 71 por ciento de las gerencias de las compañías coloca prioridad “muy alta”o “alta”a la seguridad informática. Sin embargo, el diagnóstico es que falta concientización sobre políticas de seguridad, y que el tema es dejado de lado porque “no hace al negocio”.

“Es importante la confección de las políticas, pero también verificar su cumplimiento. Las empresas que de alguna manera han certificado ISO o están en algún proceso de calidad, han encarado el uso de las políticas”, asegura Dutra.

En el mismo tono, desde Trend señalan que, además de la sistematización de normas estándar, es necesario una “política de parches”, es decir, la actualización continua de las vulnerabilidades de los sistemas operativos.

El personal de la empresa es el primer factor a tener en cuenta, y la capacitación es clave: una inversión tecnológica sin su correlato humano no tiene éxito ya que en la mayor parte de los casos las amenazas provienen desde el mismo interior de las empresas.

“Hay empresas que no exigen la firma de un contrato de confidencialidad y eso es fundamental”, apunta Dutra. Otro factor de riesgo es la falta de control sobre los dispositivos de la empresa que los trabajadores llevan a sus casas, tales como notebooks.

Teléfono seguro

“Los ataques a teléfonos móviles en Argentina han sido casi nulos, porque recién el año pasado las compañías incorporaron estos teléfonos a la venta masiva”, reseña Bob.

La transmisión de virus entre ellos se produce generalmente vía Bluetooth, es decir, con conexiones inalámbricas de bajo alcance. “La forma que llega un virus por primera vez es a través de una computadora, y luego se transmite a otros dispositivos. Lo que hacen es enviar spam, simplemente distribuirse, o trabar algunas funcionalidades del teléfono”.

Cuidado con el Wi Fi

Otro punto débil pueden ser las conexiones inalámbricas, a través de notebooks o pocket PC. “Si caminamos con una portátil en la zona de la avenida Irigoyen, vamos a encontrar más de 30 conexiones wireless que en su mayoría no poseen parámetros de seguridad adecuados”, explica Dutra a modo de ejemplo. En algunos casos, el uso de estas redes no está restringido por usuario o contraseña, y los equipos toman la red como si estuvieran conectados en el hogar. El peligro radica en que otras personas pueden estar navegando con la misma red, aunque con malas intenciones.

“En Nueva Córdoba, la conexión de un estudiante puede no importarle a un hacker, pero la que emana de una empresa conocida, probablemente sí, por todo lo que puede respaldar detrás”, indicó Dutra.

Por Cecilia Bazán
cbazan@lavozdelinterior.com.ar

lunes, 16 de enero de 2006

Norma ISO 17799 Vs. ISO 27001

En el mes de Noviembre se ha publicado la norma ISO 27001:2005 denominada "Requisitos para la especificación de sistemas de gestión de la seguridad de la información (SGSI)".
Tiene como base la norma BS 7799-2 que a principios del 2005 también sufrió ajustes. En cuanto a ISO, la ISO 17799-1 no se podía certificar y las compañías debían hacerlo sobre la British Standard.
La serie ISO 27000 comprende un conjunto de normas relacionadas con la seguridad de la información y permite a las compañías certificar ISO y no la BS.

El resumen de normas es:
- ISO 27000, vocabulario y definiciones (terminología para el resto de estándares de la serie).
- ISO 27001, especificación del sistema de gestión de la seguridad de la información (SGSI). Esta norma será certificable bajo los esquemas nacionales de cada país.
- ISO 27002, actualmente la ISO 17799, que describe el Código de buenas prácticas para la gestión de la seguridad de la información.
- ISO 27003, que contendrá una guía de implementación.
- ISO 27004, estándar relacionado con las métricas y medidas en materia de seguridad para evaluar la efectividad del sistema de gestión de la seguridad de la información.
- ISO 27005, que proporcionará el estándar base para la gestión del riesgo de la seguridad en sistemas de información.


A su vez, la norma ISO 17799:2000 sufrió modificaciones, teniendo ahora una nueva versión, la ISO 17799:2005 compuesta por:
a) Security Policy;
b) Organizing Information Security;
c) Asset Management;
d) Human Resources Security;
e) Physical and Environmental Security;
f) Communications and Operations Management;
g) Access Control;
h) Information Systems Acquisition, Development and Maintenance;
i) Information Security Incident Management;
j) Business Continuity Management;
k) Compliance.
En próximos boletines, les iremos informando de las nuevas modificaciones.
Saludos...

sábado, 14 de enero de 2006

Technet Argentina Interior


La idea de ese portal es que entre todos los profesionales de IT puedan intercambiar experiencias, estar informados y sea un punto en común entre todos.
Este segundo año queremos que nos ayude para hacerlo crecer. Contamos con el apoyo de Culminis, que tiene por mision englobar ideas, aspiraciones y necesidades de los profesionales TI.
Al crear una relación entre profesionales TI y proveedores de soluciones de la tecnología de la información, Culminis se esfuerza para mejorar las habilidades, capacidades y conocimiento de nuestros miembros en conjunto con las tecnologías de las cuales dependenCulminis es una organización internacional que engloba ideas, aspiraciones y necesidades de los profesionales TI.
Los invitamos a unirse al Grupo de Usuario.
Saludos
Quique Dutra

jueves, 12 de enero de 2006

Actualizaciones de Seguridad

Actualizaciones del mes de enero

Microsoft el 10 de enero publicó a través de sus boletines las actualizaciones de seguridad correspondiente al mes.
Ellas son:
- MS06-001 - Vulnerability in Graphics Rendering Engine Could AllowRemote Code Execution (912919) (Nos referimos a esta actualización el día 8/01 en este site).
- MS06-002 - Vulnerability in Embedded Web Fonts Could Allow RemoteCode Execution (908519).
- MS06-003 - Vulnerability in TNEF Decoding in Microsoft Outlook andMicrosoft Exchange Could Allow Remote Code Execution (902412).

Si bien debido a la criticidad es importante actualizar los servidores de la compañía, muchas veces por la operatoria, el día a día y el no contar con recursos humanos para realizar la actualización, las mismas son dejadas de lado y todos se acuerdan cuando el servidor sufrió algún problema.

Para ello recuerden que :
Microsoft los ayuda con herramientas como el WSUS que automatiza el despliegue de las actualizaciones.
- Mantener el antivirus actualizado hoy en día es primordial. Las soluciones de gateway o frontera son recomendadas para estos casos.
- Verificar si realmente en los servidores hay herramientas que sean vulnerables. En los casos que hemos analizado, solo en los servidores que poseen el rol de "Terminal Server" pueden llegar a ser vulnerables debido a que los usuarios abran algún archivo infectado.
- Capacitar a los usuarios sobre los problemas de seguridad.
- Usen el MSBA para saber que servidores poseen vulnerabilidades y que fixes y parches son realmente necesarios instalar.

Nos vemos en la próxima !!

domingo, 8 de enero de 2006

Falla de Seguridad de Ms corregido (MS06-001)

Microsoft lanzó el jueves 5 de enero un parche critico para corregir la reciente falla que pone en peligro a los Windows, debido a una vulnerabilidad en el tratamiento de las imagens WMF.

Para bajar el y actualizar el sistema operativo, acceder a

http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx.

Manos a la obra !!

MVP - Most Valuable Professional


Estimado/a Enrique Dutra:
¡Felicidades y bienvenido al Microsoft® MVP Program!
En su condición de receptor de la designación Most Valuable Professional (MVP) de este año, usted se incorpora a un grupo excepcional de personas pertenecientes a comunidades técnicas en línea y fuera de línea de todo el mundo que comparten con otros su pasión por los productos y las tecnologías de Microsoft.
Microsoft felicita a todos los MVP por promover el espíritu comunitario y ayudar a otras personas a desarrollar su pleno potencial a través de la tecnología.
Para obtener más información sobre el MVP Program, visite:
www.microsoft.com/mvp.
Apreciamos enormemente sus esfuerzos extraordinarios orientando a sus colegas de las comunidades técnicas de Windows - Security a lo largo del pasado año.

En nombre de todo el personal de Microsoft, le agradecemos sus continuas contribuciones a las comunidades técnicas de Windows - Security.

Atentamente,
Anthony Russell, MVP Program Manager
Leonardo Tolomelli, su MVP Lead
------------------------------------------------------------------------------------------------

Por mi parte agradezco a la gente de MS y a todos los MVP que me han apoyado para obtener este logro.
Un abrazo

Enrique Dutra
MVP