lunes, 30 de enero de 2006

Cómo cuidarse de los piratas electrónicos

Eran cifras pequeñas. A lo sumo, 150 euros cada vez. En varios meses ni se notaría. Pero a largo plazo, se convertiría en un botín atractivo, sin necesidad de excavar túneles para llegar a la bóveda de ningún banco. Esa era la estrategia de un grupo de piratas informáticos que se hizo con algo más de 22 millones de euros del Ministerio de Hacienda británico. El robo se hizo a través de la captura ilegal de datos personales de trabajadores ferroviarios, quienes sin saberlo obtenían micropréstamos que terminaron en manos de los timadores.

Esta estafa, la más importante de esas características realizada en el Reino Unido, es un ejemplo extremo del poder que se esconde detrás de los delitos y fraudes electrónicos.

Estos episodios pueden evitarse “protegiendo adecuadamente los datos, auditando a quienes acceden a ellos y definiendo que sólo algunas personas pueden autorizar su acceso”, explica Enrique Dutra, consultor de seguridad informática.

“En la Argentina, con la ley 25.326 se encuentra el marco legal para evitar este tipo de problemas”, agregó el especialista cordobés. La norma establece la protección de las bases de datos, y fija parámetros de seguridad que sus propietarios deben observar para evitar acciones legales en caso de sustracción de datos.

La punta del iceberg

Sin embargo, el robo de datos es sólo una de las estrategias delictivas de los hackers, o piratas informáticos. Y eso afecta a empresas y usuarios domésticos por igual.

Según un informe de la Comisión Federal de Comercio de Estados Unidos, entre los 10 engaños más frecuentes en 2005, figuraron: la compra de objetos en subastas o sitios on line, que luego resultan ser distintos a lo esperado; el engaño a través de productos para la salud; el cargo desmesurado y las penalizaciones luego de contratar servicios de Internet temporales, y el robo de datos de tarjetas de créditos, con excusas falsas.

Además, se mencionan los “excesivos gastos” en cuentas telefónicas derivados de sitios que conectan silenciosamente el módem a números internacionales, y el engaño de webs que prometen hacerse millonario a cambio de una mínima inversión que luego resulta una farsa.

De acuerdo al informe “Global Business Security Index 2005” brindado por IBM días atrás, si bien el gusano Zotob “captó la atención internacional al impactar a organizaciones de medios reconocidas”, se constató que existieron “menos brotes globales de malware (código malicioso) que el año anterior”. No obstante, el pronóstico para este año es desalentador: habrá un aumento de los ataques cibernéticos con motivos delictivos.

Todos los expertos consultados por este diario coincidieron en señalar que el usuario sólo podrá protegerse si conoce la amenazas a las que está expuesto, para luego prevenirlas.

Cuento del tío “virtual”

En el caso de los usuarios hogareños, gran parte de las amenazas se ejecutan a través de complejas técnicas de “ingeniería social” que apelan a maniobras y engaños para obtener información o acceso a datos, por ejemplo haciéndose pasar por otra persona, para luego inducir al receptor a ejecutar acciones que pueden dañarlo.

Los ataques conocidos como “phising” responden a esta metodología.

Un caso usual: el usuario recibe un correo de su banco que le indica que debe introducir datos para chequear su cuenta, y le hace cliquear en un vínculo ficticio. A veces, se trata de un sitio con la apariencia exactamente igual a la del banco, pero con un dominio falso.

“Es como si alguien en la calle pusiera un local con los logos y uniformes de un banco, y uno hace un depósito, creyendo que se trata de un lugar confiable, cuando en realidad no lo es”, explicó a este diario Tomás Bob, líder de Proyectos de la compañía antivirus Trend Argentina.

Asimismo, según Bob en los últimos tiempos se ha masificado la transmisión de spyware (espías). “Son programas que se instalan en las computadoras y recopilan datos con el fin de hacer llegar publicidad dirigida, a través del correo o de la navegación”.

“Todo aquello que al usuario le genere sospecha, debe preguntarlo o asesorarse. A nivel hogareño, la capacitación es importante ya que muchos usuarios son víctimas de artimañas por desconocimiento”, apunta Dutra.

Empresas alerta

Según un estudio realizado por Kaagan Research Associates, y patrocinado por Cisco Systems e IBM, el 71 por ciento de las gerencias de las compañías coloca prioridad “muy alta”o “alta”a la seguridad informática. Sin embargo, el diagnóstico es que falta concientización sobre políticas de seguridad, y que el tema es dejado de lado porque “no hace al negocio”.

“Es importante la confección de las políticas, pero también verificar su cumplimiento. Las empresas que de alguna manera han certificado ISO o están en algún proceso de calidad, han encarado el uso de las políticas”, asegura Dutra.

En el mismo tono, desde Trend señalan que, además de la sistematización de normas estándar, es necesario una “política de parches”, es decir, la actualización continua de las vulnerabilidades de los sistemas operativos.

El personal de la empresa es el primer factor a tener en cuenta, y la capacitación es clave: una inversión tecnológica sin su correlato humano no tiene éxito ya que en la mayor parte de los casos las amenazas provienen desde el mismo interior de las empresas.

“Hay empresas que no exigen la firma de un contrato de confidencialidad y eso es fundamental”, apunta Dutra. Otro factor de riesgo es la falta de control sobre los dispositivos de la empresa que los trabajadores llevan a sus casas, tales como notebooks.

Teléfono seguro

“Los ataques a teléfonos móviles en Argentina han sido casi nulos, porque recién el año pasado las compañías incorporaron estos teléfonos a la venta masiva”, reseña Bob.

La transmisión de virus entre ellos se produce generalmente vía Bluetooth, es decir, con conexiones inalámbricas de bajo alcance. “La forma que llega un virus por primera vez es a través de una computadora, y luego se transmite a otros dispositivos. Lo que hacen es enviar spam, simplemente distribuirse, o trabar algunas funcionalidades del teléfono”.

Cuidado con el Wi Fi

Otro punto débil pueden ser las conexiones inalámbricas, a través de notebooks o pocket PC. “Si caminamos con una portátil en la zona de la avenida Irigoyen, vamos a encontrar más de 30 conexiones wireless que en su mayoría no poseen parámetros de seguridad adecuados”, explica Dutra a modo de ejemplo. En algunos casos, el uso de estas redes no está restringido por usuario o contraseña, y los equipos toman la red como si estuvieran conectados en el hogar. El peligro radica en que otras personas pueden estar navegando con la misma red, aunque con malas intenciones.

“En Nueva Córdoba, la conexión de un estudiante puede no importarle a un hacker, pero la que emana de una empresa conocida, probablemente sí, por todo lo que puede respaldar detrás”, indicó Dutra.

Por Cecilia Bazán
cbazan@lavozdelinterior.com.ar

lunes, 16 de enero de 2006

Norma ISO 17799 Vs. ISO 27001

En el mes de Noviembre se ha publicado la norma ISO 27001:2005 denominada "Requisitos para la especificación de sistemas de gestión de la seguridad de la información (SGSI)".
Tiene como base la norma BS 7799-2 que a principios del 2005 también sufrió ajustes. En cuanto a ISO, la ISO 17799-1 no se podía certificar y las compañías debían hacerlo sobre la British Standard.
La serie ISO 27000 comprende un conjunto de normas relacionadas con la seguridad de la información y permite a las compañías certificar ISO y no la BS.

El resumen de normas es:
- ISO 27000, vocabulario y definiciones (terminología para el resto de estándares de la serie).
- ISO 27001, especificación del sistema de gestión de la seguridad de la información (SGSI). Esta norma será certificable bajo los esquemas nacionales de cada país.
- ISO 27002, actualmente la ISO 17799, que describe el Código de buenas prácticas para la gestión de la seguridad de la información.
- ISO 27003, que contendrá una guía de implementación.
- ISO 27004, estándar relacionado con las métricas y medidas en materia de seguridad para evaluar la efectividad del sistema de gestión de la seguridad de la información.
- ISO 27005, que proporcionará el estándar base para la gestión del riesgo de la seguridad en sistemas de información.


A su vez, la norma ISO 17799:2000 sufrió modificaciones, teniendo ahora una nueva versión, la ISO 17799:2005 compuesta por:
a) Security Policy;
b) Organizing Information Security;
c) Asset Management;
d) Human Resources Security;
e) Physical and Environmental Security;
f) Communications and Operations Management;
g) Access Control;
h) Information Systems Acquisition, Development and Maintenance;
i) Information Security Incident Management;
j) Business Continuity Management;
k) Compliance.
En próximos boletines, les iremos informando de las nuevas modificaciones.
Saludos...

sábado, 14 de enero de 2006

Technet Argentina Interior


La idea de ese portal es que entre todos los profesionales de IT puedan intercambiar experiencias, estar informados y sea un punto en común entre todos.
Este segundo año queremos que nos ayude para hacerlo crecer. Contamos con el apoyo de Culminis, que tiene por mision englobar ideas, aspiraciones y necesidades de los profesionales TI.
Al crear una relación entre profesionales TI y proveedores de soluciones de la tecnología de la información, Culminis se esfuerza para mejorar las habilidades, capacidades y conocimiento de nuestros miembros en conjunto con las tecnologías de las cuales dependenCulminis es una organización internacional que engloba ideas, aspiraciones y necesidades de los profesionales TI.
Los invitamos a unirse al Grupo de Usuario.
Saludos
Quique Dutra

jueves, 12 de enero de 2006

Actualizaciones de Seguridad

Actualizaciones del mes de enero

Microsoft el 10 de enero publicó a través de sus boletines las actualizaciones de seguridad correspondiente al mes.
Ellas son:
- MS06-001 - Vulnerability in Graphics Rendering Engine Could AllowRemote Code Execution (912919) (Nos referimos a esta actualización el día 8/01 en este site).
- MS06-002 - Vulnerability in Embedded Web Fonts Could Allow RemoteCode Execution (908519).
- MS06-003 - Vulnerability in TNEF Decoding in Microsoft Outlook andMicrosoft Exchange Could Allow Remote Code Execution (902412).

Si bien debido a la criticidad es importante actualizar los servidores de la compañía, muchas veces por la operatoria, el día a día y el no contar con recursos humanos para realizar la actualización, las mismas son dejadas de lado y todos se acuerdan cuando el servidor sufrió algún problema.

Para ello recuerden que :
Microsoft los ayuda con herramientas como el WSUS que automatiza el despliegue de las actualizaciones.
- Mantener el antivirus actualizado hoy en día es primordial. Las soluciones de gateway o frontera son recomendadas para estos casos.
- Verificar si realmente en los servidores hay herramientas que sean vulnerables. En los casos que hemos analizado, solo en los servidores que poseen el rol de "Terminal Server" pueden llegar a ser vulnerables debido a que los usuarios abran algún archivo infectado.
- Capacitar a los usuarios sobre los problemas de seguridad.
- Usen el MSBA para saber que servidores poseen vulnerabilidades y que fixes y parches son realmente necesarios instalar.

Nos vemos en la próxima !!

domingo, 8 de enero de 2006

Falla de Seguridad de Ms corregido (MS06-001)

Microsoft lanzó el jueves 5 de enero un parche critico para corregir la reciente falla que pone en peligro a los Windows, debido a una vulnerabilidad en el tratamiento de las imagens WMF.

Para bajar el y actualizar el sistema operativo, acceder a

http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx.

Manos a la obra !!

MVP - Most Valuable Professional


Estimado/a Enrique Dutra:
¡Felicidades y bienvenido al Microsoft® MVP Program!
En su condición de receptor de la designación Most Valuable Professional (MVP) de este año, usted se incorpora a un grupo excepcional de personas pertenecientes a comunidades técnicas en línea y fuera de línea de todo el mundo que comparten con otros su pasión por los productos y las tecnologías de Microsoft.
Microsoft felicita a todos los MVP por promover el espíritu comunitario y ayudar a otras personas a desarrollar su pleno potencial a través de la tecnología.
Para obtener más información sobre el MVP Program, visite:
www.microsoft.com/mvp.
Apreciamos enormemente sus esfuerzos extraordinarios orientando a sus colegas de las comunidades técnicas de Windows - Security a lo largo del pasado año.

En nombre de todo el personal de Microsoft, le agradecemos sus continuas contribuciones a las comunidades técnicas de Windows - Security.

Atentamente,
Anthony Russell, MVP Program Manager
Leonardo Tolomelli, su MVP Lead
------------------------------------------------------------------------------------------------

Por mi parte agradezco a la gente de MS y a todos los MVP que me han apoyado para obtener este logro.
Un abrazo

Enrique Dutra
MVP