En el mes de junio, estos son los boletines de seguridad publicados:
1) MS12-036: Una vulnerabilidad en el Escritorio remoto podría permitir la ejecución remota de código (2685939). Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en el protocolo de Escritorio remoto. La vulnerabilidad podría permitir la ejecución remota de código si un atacante envía una secuencia de paquetes RDP a un sistema afectado. De forma predeterminada, el protocolo de Escritorio remoto (RDP) no está habilitado en ningún sistema operativo Windows. Los sistemas que no tienen RDP habilitado no están expuestos. CLASIFICACION:CRITICA
2) MS12-037: Actualización de seguridad acumulativa para Internet Explorer (2699988). Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y doce vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un intruso que aprovechara cualquiera de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. CLASIFICACION:CRITICA
3) MS12-038: Una vulnerabilidad en .NET Framework podría permitir la ejecución remota de código (2706726).Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft .NET Framework. La vulnerabilidad podría permitir la ejecución remota de código en un sistema cliente si un usuario visita una página web especialmente diseñada mediante un explorador web que pueda ejecutar aplicaciones XAML del explorador (XBAP). CLASIFICACION:CRITICA
4) MS12-039: Vulnerabilidades en Lync podrían permitir la ejecución remota de código (2707956). Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y tres vulnerabilidades de las que se ha informado de forma privada en Microsoft Lync. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario consulta contenido compartido que contiene fuentes TrueType especialmente diseñadas.CLASIFICACION:CRITICA
5) MS12-040: Una vulnerabilidad en Microsoft Dynamics AX Enterprise Portal podría permitir la elevación de privilegios (2709100).Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Dynamics AX Enterprise Portal. La vulnerabilidad podría permitir la elevación de privilegios si un usuario hace clic en una dirección URL especialmente diseñada o visita un sitio web especialmente diseñado. En un ataque por correo electrónico, el atacante puede aprovechar la vulnerabilidad si envía un mensaje de correo electrónico con una dirección URL especialmente diseñada al usuario del sitio de Microsoft Dynamics AX Enterprise Portal afectado y lo convence para que haga clic en la dirección URL especialmente diseñada. Los usuarios de Internet Explorer 8 e Internet Explorer 9 que exploran un sitio de Microsoft Dynamics AX Enterprise Portal en la zona Internet están menos expuestos. De forma predeterminada, el filtro XSS en Internet Explorer 8 e Internet Explorer 9 evita este ataque en la zona Internet. No obstante, el filtro XSS en Internet Explorer 8 e Internet Explorer 9 no está habilitado de forma predeterminada en la zona Intranet. CLASIFICACION:IMPORTANTE
6) MS12-041: Vulnerabilidades en los controladores en modo kernel de Windows podrían permitir la elevación de privilegios (2709162). Esta actualización de seguridad resuelve cinco vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows. Las vulnerabilidades podrían permitir la elevación de privilegios si un atacante inicia sesión en un sistema y ejecuta una aplicación especialmente diseñada. Para aprovechar estas vulnerabilidades, un atacante debe tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar sesión de forma local en el sistema. CLASIFICACION:IMPORTANTE
7) MS12-042: Vulnerabilidades del kernel de Windows podrían permitir la elevación de privilegios (2711167).Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada y una vulnerabilidad de la que se ha informado de forma pública en Microsoft Windows. Las vulnerabilidades podrían permitir la elevación de privilegios si un atacante inicia sesión en un sistema afectado y ejecuta una aplicación especialmente diseñada que aprovecha la vulnerabilidad. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local. Los usuarios anónimos o los usuarios remotos no pueden aprovechar esta vulnerabilidad. CLASIFICACION:IMPORTANTE
Windows Server Update Services
Windows Server Update Services (WSUS) permite a los administradores implementar de un modo rápido y confiable las actualizaciones críticas y de seguridad más recientes en sistemas operativos Microsoft Windows 2000 y versiones posteriores, Office XP y versiones posteriores, Exchange Server 2003 y SQL Server 2000 hasta Windows 2000 y sistemas operativos posteriores.
Hasta la próxima.
Fuente: Microsoft
Este portal está diseñado con el fin de difundir conceptos de seguridad informática y seguridad de la información. Hoy en día es necesario crear conciencia de lo que es realmente la seguridad, por ello estamos intentando con este portal, dar a conocer todas las novedades y nuevas tecnologías. Todos aquellos que quieran participar, deben hacerlo respetando las normas de Netiquette.
martes, 12 de junio de 2012
martes, 5 de junio de 2012
Si se te infecta tu Windows estarás en llamas (Gusano Flame)
Introducción
El CERT de Irán, en el constante análisis luego de Stuxnet, Duqu, y en la búsqueda de códigos maliciosos, detectaron un nuevo malware que denominaron llama debido a uno de los módulos de ataque, que se encuentra en varios lugares en el código de malware descifrado. De hecho, este malware es una plataforma que es capaz de recibir e instalar varios módulos para diferentes objetivos. Al día de hoy, el Cert Irán reporta , que ninguno de los 43 antivirus probados podría detectar cualquiera de los componentes maliciosos.
Características:
Según el CERT Irán, algunas de las características del gusano son:
1) Distribución a través de medios extraíbles.
2) Distribución a través de redes locales.
3) Sniffeo de la red, detectando los recursos de la red y la recolección de listas de contraseñas vulnerables.
4) Exploración del disco del sistema infectado en busca de contenidos y extensiones específicas.
5) Creación de la serie de la pantalla del usuario cuando se capta algunos procesos específicos o ventanas activas
6) El uso del micrófono conectado al sistema infectado para grabar los sonidos del medio ambiente.
7) La transferencia de los datos guardados para el control de los servidores
8) Establecimiento de una conexión segura con los servidores C & C a través de SSH y HTTPS
9) Anulación de los antivirus conocidos, anti malware y otro software de seguridad.
10) Es capaz de infectar sistemas operativos Windows XP, Vista y 7.
11) Infección de las grandes redes a escala local.
Según Websense el malware tiene un tamaño total de casi 20MB, es una archivo muy grande para un gusano, ya que normalmente es menor a 1MB. Una de las principales razones para su tamaño mucho mayor es su amplia funcionalidad integrada. Consiste de varios módulos, como bibliotecas de descompresión, una base de datos SQL y una máquina virtual LUA. Hasta ahora las vulnerabilidades conocidas utilizadas en este malware son: MS10-046 y MS10-061. Estas fueron usadas en Stuxnet y Duqu.
El código también es conocido como Skywiper.
Binarios
Los binarios detectados son:
Windows\system32\mssecmgr.ocx
Windows\System32\ccalc32.sys
Windows\System32\msglu32.ocx
Windows\System32\boot32drv.sys
Windows\System32\nteps32.ocx
Windows\System32\advnetcfg.ocx
Windows\System32\soapr32.ocx
El laboratorio CrySyS ha publicado un documento muy completo que recomendamos su lectura, para bajarlo presione AQUI.
Referencias y fuentes
http://technet.microsoft.com/en-us/security/advisory/2718704
http://certcc.ir/index.php?name=news&file=article&sid=1894
http://nakedsecurity.sophos.com/2012/05/28/flamer-iran-malware/
http://www.crysys.hu/skywiper/skywiper.pdf
http://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers
Recomendamos actualizar las plataformas y leer el artículo del laboratorio CrySyS.
Hasta la próxima!
El CERT de Irán, en el constante análisis luego de Stuxnet, Duqu, y en la búsqueda de códigos maliciosos, detectaron un nuevo malware que denominaron llama debido a uno de los módulos de ataque, que se encuentra en varios lugares en el código de malware descifrado. De hecho, este malware es una plataforma que es capaz de recibir e instalar varios módulos para diferentes objetivos. Al día de hoy, el Cert Irán reporta , que ninguno de los 43 antivirus probados podría detectar cualquiera de los componentes maliciosos.
Características:
Según el CERT Irán, algunas de las características del gusano son:
1) Distribución a través de medios extraíbles.
2) Distribución a través de redes locales.
3) Sniffeo de la red, detectando los recursos de la red y la recolección de listas de contraseñas vulnerables.
4) Exploración del disco del sistema infectado en busca de contenidos y extensiones específicas.
5) Creación de la serie de la pantalla del usuario cuando se capta algunos procesos específicos o ventanas activas
6) El uso del micrófono conectado al sistema infectado para grabar los sonidos del medio ambiente.
7) La transferencia de los datos guardados para el control de los servidores
8) Establecimiento de una conexión segura con los servidores C & C a través de SSH y HTTPS
9) Anulación de los antivirus conocidos, anti malware y otro software de seguridad.
10) Es capaz de infectar sistemas operativos Windows XP, Vista y 7.
11) Infección de las grandes redes a escala local.
Según Websense el malware tiene un tamaño total de casi 20MB, es una archivo muy grande para un gusano, ya que normalmente es menor a 1MB. Una de las principales razones para su tamaño mucho mayor es su amplia funcionalidad integrada. Consiste de varios módulos, como bibliotecas de descompresión, una base de datos SQL y una máquina virtual LUA. Hasta ahora las vulnerabilidades conocidas utilizadas en este malware son: MS10-046 y MS10-061. Estas fueron usadas en Stuxnet y Duqu.
El código también es conocido como Skywiper.
Binarios
Los binarios detectados son:
Windows\system32\mssecmgr.ocx
Windows\System32\ccalc32.sys
Windows\System32\msglu32.ocx
Windows\System32\boot32drv.sys
Windows\System32\nteps32.ocx
Windows\System32\advnetcfg.ocx
Windows\System32\soapr32.ocx
El laboratorio CrySyS ha publicado un documento muy completo que recomendamos su lectura, para bajarlo presione AQUI.
Referencias y fuentes
http://technet.microsoft.com/en-us/security/advisory/2718704
http://certcc.ir/index.php?name=news&file=article&sid=1894
http://nakedsecurity.sophos.com/2012/05/28/flamer-iran-malware/
http://www.crysys.hu/skywiper/skywiper.pdf
http://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers
Recomendamos actualizar las plataformas y leer el artículo del laboratorio CrySyS.
Hasta la próxima!
BOLETIN DE SEGURIDAD - Certificados digitales no autorizados podría permitir la suplantación
En el día de hoy Microsoft ha publicado un boletín de seguridad, el KB 2718704, debido a que existen ataques activos que utilizan certificados digitales no autorizados procedentes de una autoridad de certificación de Microsoft. Un certificado no autorizado podría ser utilizado para suplantar contenido, realizar ataques de phishing, o llevar a cabo el ataque de man-in-the-middle o del hombre del medio. Este problema afecta a todas las versiones compatibles de Microsoft Windows.
Microsoft está revocando los certificados fraudulentos utilizados por los autores del malware FLAME.
Los certificados fraudulentos fueron descubiertos durante una investigación sobre las vulnerabilidades explotadas para permitir la propagación del malware FLAME,según el Microsoft Security Response Center.FLAME ha infectados al menos de 200 sistemas de Windows en Irán y algunas máquinas menos en otros países de Oriente Medio y África del Norte.
El 3 de junio Microsoft, en el MSRC ha descubierto que algunos componentes del malware han sido firmados por los certificados de software que permiten aparecer como si hubieran sido producido por Microsoft. Se identificó que un algoritmo de cifrado podría ser explotado y, a continuación se utilizaría para firmar el código como si procediese de Microsoft. En concreto, el servicio de licencias de Terminal Server, en donde se utiliza el algoritmo y los certificados previstos con la posibilidad de firmar el código, lo que pareciera que se firmó como si viniera de Microsoft.Para bajar la actualizacion, visite este sitio de MICROSOFT.
Fuentes: Microsoft, MSRC de Microsoft.
Microsoft está revocando los certificados fraudulentos utilizados por los autores del malware FLAME.
Los certificados fraudulentos fueron descubiertos durante una investigación sobre las vulnerabilidades explotadas para permitir la propagación del malware FLAME,según el Microsoft Security Response Center.FLAME ha infectados al menos de 200 sistemas de Windows en Irán y algunas máquinas menos en otros países de Oriente Medio y África del Norte.
El 3 de junio Microsoft, en el MSRC ha descubierto que algunos componentes del malware han sido firmados por los certificados de software que permiten aparecer como si hubieran sido producido por Microsoft. Se identificó que un algoritmo de cifrado podría ser explotado y, a continuación se utilizaría para firmar el código como si procediese de Microsoft. En concreto, el servicio de licencias de Terminal Server, en donde se utiliza el algoritmo y los certificados previstos con la posibilidad de firmar el código, lo que pareciera que se firmó como si viniera de Microsoft.Para bajar la actualizacion, visite este sitio de MICROSOFT.
Fuentes: Microsoft, MSRC de Microsoft.
Microsoft Security Development Lifecycle (SDL) Process Guidance - Version 5.2
En enero de este año hicimos un artículo sobre SDL. (Acceder Aqui para leerlo). Para aquellos que no conocen, SDL se define como el ciclo de vida de desarrollo de seguridad. Es un proceso de control de seguridad orientado al desarrollo de software. Siendo una iniciativa corporativa y una directiva obligatoria desde el año 2004, SDL ha desempeñado un papel muy importante en la integración de la seguridad y de la privacidad en el software y la cultura de Microsoft. Con un enfoque tanto holístico como práctico, SDL tiene como objetivo reducir el número y la gravedad de las vulnerabilidades en el software.
EL 23 de mayo Microsoft liberó una nueva versión, la 5.2. Dentro de la snuevas características, observaremos como trabajar sobre las especificaciones de diseño que se han completado, definido y documentado, y como reducir la superficie de ataque.
En próximas entregas estaremos analizando la nueva versión. Para aquellos que desean obtener una copia, pueden hacerlo desde aquí.
Hasta la próxima.
EL 23 de mayo Microsoft liberó una nueva versión, la 5.2. Dentro de la snuevas características, observaremos como trabajar sobre las especificaciones de diseño que se han completado, definido y documentado, y como reducir la superficie de ataque.
En próximas entregas estaremos analizando la nueva versión. Para aquellos que desean obtener una copia, pueden hacerlo desde aquí.
Hasta la próxima.
Actualizaciones plataforma Microsoft - MAYO 2012
Buenas, con un poco de atraso, en el mes de mayo tuvimos los siguientes boletines de seguridad:
1) MS12-029: Una vulnerabilidad en Microsoft Word podría permitir la ejecución remota de código (2680352) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo RTF especialmente diseñado. Un atacante que aprovechara la vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.CLASIFICACION:CRITICA
2) MS12-034: Actualización de seguridad combinada para Microsoft Office, Windows, .NET Framework y Silverlight (2681578) . Esta actualización de seguridad resuelve tres vulnerabilidades de las que se ha informado de forma pública y siete vulnerabilidades de las que se ha informado de forma privada en Microsoft Office, Microsoft Windows, Microsoft .NET Framework y Microsoft Silverlight. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario abre un documento especialmente diseñado o visita una página web malintencionada que inserta archivos de fuentes TrueType. El atacante no podría obligar a los usuarios a visitar un sitio web malintencionado. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.CLASIFICACION:CRITICA
3) MS12-035: Vulnerabilidades en .NET Framework podrían permitir la ejecución remota de código (2693777) .Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en .NET Framework. Las vulnerabilidades podrían permitir la ejecución remota de código en un sistema cliente si un usuario visita una página web especialmente diseñada mediante un explorador web que pueda ejecutar aplicaciones XAML del explorador (XBAP). Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.CLASIFICACION:CRITICA
4) MS12-030: Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código (2663830). Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y cinco vulnerabilidades de las que se ha informado de forma privada en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo de Office especialmente diseñado. Un intruso que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.CLASIFICACION:IMPORTANTE
5) MS12-031: Una vulnerabilidad en Microsoft Visio Viewer 2010 podría permitir la ejecución remota de código (2597981). Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de Visio especialmente diseñado. Un atacante que aprovechara la vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.CLASIFICACION:IMPORTANTE
6) MS12-032: Una vulnerabilidad en TCP/IP podría permitir la elevación de privilegios (2688338).Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada y otra de la que se ha informado de forma pública en Microsoft Windows. La más grave de estas vulnerabilidades podría permitir la elevación de privilegios si un atacante inicia sesión en el sistema de un usuario y ejecuta una aplicación especialmente diseñada.CLASIFICACION:IMPORTANTE
7) MS12-033: Una vulnerabilidad en el Administrador de partición de Windows podría permitir la elevación de privilegios (2690533). Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema y ejecuta una aplicación especialmente diseñada. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local.CLASIFICACION:IMPORTANTE
Las actualizaciones de seguridad están disponibles en Microsoft Update y Windows Update. También hay actualizaciones de seguridad disponibles en el Centro de descarga de Microsoft.
Recuerden que los boletines de Microsoft son publicados el segundo martes de cada mes, a menos que sea un boletín de urgencia.
Hasta la próxima...
Fuente: Microsoft.
1) MS12-029: Una vulnerabilidad en Microsoft Word podría permitir la ejecución remota de código (2680352) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo RTF especialmente diseñado. Un atacante que aprovechara la vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.CLASIFICACION:CRITICA
2) MS12-034: Actualización de seguridad combinada para Microsoft Office, Windows, .NET Framework y Silverlight (2681578) . Esta actualización de seguridad resuelve tres vulnerabilidades de las que se ha informado de forma pública y siete vulnerabilidades de las que se ha informado de forma privada en Microsoft Office, Microsoft Windows, Microsoft .NET Framework y Microsoft Silverlight. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario abre un documento especialmente diseñado o visita una página web malintencionada que inserta archivos de fuentes TrueType. El atacante no podría obligar a los usuarios a visitar un sitio web malintencionado. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.CLASIFICACION:CRITICA
3) MS12-035: Vulnerabilidades en .NET Framework podrían permitir la ejecución remota de código (2693777) .Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en .NET Framework. Las vulnerabilidades podrían permitir la ejecución remota de código en un sistema cliente si un usuario visita una página web especialmente diseñada mediante un explorador web que pueda ejecutar aplicaciones XAML del explorador (XBAP). Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.CLASIFICACION:CRITICA
4) MS12-030: Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código (2663830). Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y cinco vulnerabilidades de las que se ha informado de forma privada en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo de Office especialmente diseñado. Un intruso que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.CLASIFICACION:IMPORTANTE
5) MS12-031: Una vulnerabilidad en Microsoft Visio Viewer 2010 podría permitir la ejecución remota de código (2597981). Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de Visio especialmente diseñado. Un atacante que aprovechara la vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.CLASIFICACION:IMPORTANTE
6) MS12-032: Una vulnerabilidad en TCP/IP podría permitir la elevación de privilegios (2688338).Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada y otra de la que se ha informado de forma pública en Microsoft Windows. La más grave de estas vulnerabilidades podría permitir la elevación de privilegios si un atacante inicia sesión en el sistema de un usuario y ejecuta una aplicación especialmente diseñada.CLASIFICACION:IMPORTANTE
7) MS12-033: Una vulnerabilidad en el Administrador de partición de Windows podría permitir la elevación de privilegios (2690533). Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema y ejecuta una aplicación especialmente diseñada. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local.CLASIFICACION:IMPORTANTE
Las actualizaciones de seguridad están disponibles en Microsoft Update y Windows Update. También hay actualizaciones de seguridad disponibles en el Centro de descarga de Microsoft.
Recuerden que los boletines de Microsoft son publicados el segundo martes de cada mes, a menos que sea un boletín de urgencia.
Hasta la próxima...
Fuente: Microsoft.
Crisis de Identidad (Gestión) (Parte 5): El Futuro de la Gestión de la Identidad - La identidad en la nube
Introducción
De la 1ra a la 4ta parte de esta serie, echamos un vistazo a la evolución del concepto de "identidad", conceptos erróneos acerca de la identidad en el mundo de las TI, y algunas soluciones de identidad actuales, con un enfoque sobre la firma digital. También nos fijamos en los criterios para la elección de una solución integral de gestión de la identidad de una organización o una solución de gestión de identidad federada. En este sentido, en esta 5 parte, vamos a discutir el futuro de la gestión de identidades con un enfoque especial sobre el efecto de la nube en el IDM.
Identificadores ID en linea
Allá en la pimera parte, se discutió el problema de credibilidad a la hora de credenciales de identificación. A menos que la parte que emite las credenciales sea digno de confianza, esas credenciales no tienen sentido. Hoy en día la identidad en línea se verifica principalmente por certificados emitidos por las organizaciones del sector privado comercial, tales como VeriSign, Comodo, y muchos otros. Pero, ¿quién vigila a los vigilantes? Los nuevos proveedores de certificados SSL para sitios web deben someterse a auditorías de seguridad anual, como las que se realizan de acuerdo con el programa WebTrust para Autoridades de Certificación. El mercado de los certificados digitales personales es mucho más fragmentado.
La mera existencia de un certificado digital no garantiza que las credenciales de identidad sean válidos. Algunos certificados son auto-firmado o auto-gestionados, lo que significa que la persona que emitió el certificado también garantiza su legitimidad - obviamente allí no hay controles y equilibrios en el sistema. Por otro lado, la auto-firma de certificados no disminuye la superficie de ataque, ya que no confían en su clave privada a un tercero (autoridad de certificación). Los certificados autofirmados se pueden crear con las herramientas de software, incluidas makecert.exe de Microsoft, Adobe Reader, Llavero de Apple y otros.
En el mundo real, la mayor parte del crédito se da generalmente a los identificadores que son emitidos por el gobierno. Así, algunos ven un documento oficial de identidad en línea, como los medios más confiables de verificación de la identidad en línea, y el año pasado la Casa Blanca emitió un informe en su estrategia para lograr un sistema de identidades de confianza en el ciberespacio. Hay muchas cuestiones prácticas y políticas relativas a la creación de lo que efectivamente sería un documento nacional de identidad digital. Sin embargo, parece que el gobierno se mueve inexorablemente en esa dirección.
Es probable que tal sistema sería voluntario - en un primer momento. La historia indica que esto eventualmente iba a cambiar. En la década de 1800, los conductores no estaban obligados a tener licencia. En la década de 1970, los niños no estaban obligados a tener número de seguro social. Hoy ambos están dispuestos por el gobierno.
Pero hay algunas dudas en cuanto a exactamente un sistema de identificación del gobierno en línea iba a funcionar. ¿Estaría vinculada a su licencia de conducir o tarjeta de identificación del estado? Sin embargo, el gobierno federal no emitirá esos documentos (aunque con la Ley de Identificación Real, que ha tomado más autoridad sobre los estándares de procesos, con el fin de establecer que los estados lo requieran para su cumplimiento en el 2013). ¿Estaría ligado a su pasaporte, entonces? Pero ¿qué pasa con esas personas que no tienen pasaporte? Según las estadísticas a partir de enero del año pasado, menos del 40% de los estadounidenses tienen pasaporte. ¿Sería estar atado a su número de seguro social? Este es probablemente el número de identificación de mayor número de estadounidenses.
Aunque el número de seguro social fue originalmente diseñado sólo para el propósito de seguir las cuentas de los individuos dentro del programa de Seguridad Social las cartas estaban marcadas, incluso "Por motivos de seguridad social - no para la identificación," las fuerzas armadas lo han utilizado en el lugar de números de servicio desde los años 60 (del Ejército y Fuerza Aérea) y 70 (Armada y los Marines). El número ahora es utilizado por algunos estados en lugar de número de la licencia de conducir. Los bancos, acreedores y empresas de servicios (tales como compañías de cable, teléfono y electricidad) requieren que los clientes proporcionen sus números de seguro social. El número de seguro social es utilizado por las agencias de crédito, compañías de seguros, agencias de aplicación de la ley y casi cualquier otra entidad que requiera la identidad de la persona.
Estas preguntas son importantes porque, si el identificador de línea es un "independiente" forma de identificación, será mucho más difícil asegurar que un individuo no obtienga múltiples identificaciones en línea, o una identificación fraudulenta en línea que se asocia con otra persona o con un seudónimo. Eso sería negar el propósito para el cual están diseñados las identificaciones oficiales.
Si y cuando la multitud de cuestiones relacionadas con la forma de emitir identificaciones oficiales en línea se han resuelto, la siguiente pregunta es cómo, tecnológicamente, se llevará a cabo. ¿Una entidad de certificación administrado por el gobierno para validar la identidad de cada persona y emitir certificados digitales basados en claves de pares público / privados? ¿Sería ilegal utilizar cualquier certificado, si no es el emitido oficialmente por el gobierno-para firmar los documentos, enviar correo electrónico o hacer negocios en línea? ¿Se convierten en ilegales para enviar mensajes, acceder a sitios web o de ejercer el comercio en línea sin un certificado? La naturaleza del gobierno es mantener la expansión de su autoridad, por lo que a pesar de que estos escenarios, podría parecer descabellada ahora, no es razonable suponer que un día todos puedan reflejar la realidad.
La batalla por el espacio de la identidad
A pesar de inclinación del gobierno por el poder, debido a los engranajes de una enorme y lenta burocracia, probablemente no veremos un omnipresente obligatoria identificación oficial en línea (o tal vez cualquier tipo de documento oficial de identidad en línea), por un largo tiempo. Mientras tanto, las empresas de tecnología que han luchando durante años para convertirse en los principales proveedores de identidad, y están aumentando constantemente el alcance de sus sistemas de identidad propios mediante la aplicación de inicio de sesión único a través de diversos sitios y servicios.z
Microsoft reinventa periódicamente su servicio, que originalmente fue llamado Microsoft Wallet, luego se convirtió en pasaporte y ahora va por el nombre de Windows Live ID. La compañía prevé Passport como un servicio que con el tiempo abarcaría todos los sitios de comercio electrónico, así como lugares propios Web de Microsoft, pero fue criticado por quienes temían su acceso a la información del cliente, y crearía problemas de privacidad. Hubo un tiempo una serie de sitios No-Microsoft, tales como eBay, utilizaba el servicio de Microsoft Passport para iniciar la sesión, pero ahora se utiliza para iniciar sesión en sitios de servicios de Microsoft como MSDN / TechNet, Hotmail, Xbox Live, Zune Marketplace, Messenger y otros servicios de Windows Live.
Mientras tanto, Google se ha metido en el juego de la identidad hasta cierto punto, la vinculación de inicio de sesión a través de sus muchos servicios web. Su cuenta de Google se utiliza para conectarse a Gmail, Google Voice, YouTube, Picasa, Google Docs, Google Wallet sistema de pago móvil, la red social de Google + y otros. La compañía ha estado bajo fuego por sus recientes cambios de política que ahora le permiten rastrear a los usuarios a través de sus múltiples productos y servicios y combinar la información del usuario de los diferentes servicios. La Comisión Europea ha propuesto nuevas normas destinadas a dar a los usuarios la posibilidad de optar por este tipo de rastreo.
Facebook, con su característica "Conectar", también se ha convertido en un proveedor de identidad. Esta característica permite a los usuarios iniciar sesión en otros sitios web fuera de Facebook, usando sus cuentas de Facebook.
Un problema con todo esto está, que muchas personas mantienen más de una cuenta de Windows Live o Gmail porque necesitan varias direcciones correo electrónico para fines diferentes (tales como el hogar, el trabajo y "usar y tirar" - una dirección para entrar en los sitios web que requieren una pero que puede vender las direcciones a los spammers). En el caso de Windows Live, puedo configurar varias cuentas porque quería dos blogs independientes en el sitio del blog de Windows Live (aunque Microsoft ha abandonado el esfuerzo y los usuarios se han trasladado a nuestros blogs de Wordpress). Incluso con Facebook, cuyos términos de servicio requieren que los usuarios sólo tengan una cuenta y para usar sus nombres reales, muchas personas violan esta norma y tienen cuentas separadas para trabajar y jugar.
El otro problema es que cada empresa de alta tecnología tiene un servicio de identidad separado propio (y algunos otros selectos sitios y servicios), y nadie tiene "una identidad en línea para gobernarlos a todos." Si bien esto puede ser bueno desde un punto de vista de la privacidad punto, esto resulta en un tiempo más fácil para los terroristas, run-of-the-mill delincuentes cibernéticos, los spammers o estafadores, acechadores y otros que quieran ocultar su identidades y/o hacerse pasar por otra persona en línea.
La revolución móvil y la identidad
El uso de dispositivos móviles en teléfonos inteligentes generales y, en particular, se ha disparado en los últimos años. De acuerdo con la firma de investigación Canalys, 488 millones de smartphones se han vendidos en 2011, más de la cantidad de computadoras y las tablets (alrededor de 415 millones). Sus cifras muestran como esto aumentó del 62,7 por ciento respecto al año anterior. Las ventas de teléfonos inteligentes en base a las ventas del 2011, se espera que crezca otro 32% en 2012, según los analistas. Incluso Intel se está metiendo en el acto, haciendo equipos con Lenovo y Motorola para crear un teléfono basado en el procesador Atom.
Según un estudio de Kantar Worldpanel ComTech, casi la mitad de la población del Reino Unido ahora es dueño de los teléfonos inteligentes. El verano pasado, investigadores de Pew estima que el 35 por ciento de los adultos estadounidenses tenían smartphones propios. Esto es cerca de 42 por ciento de todos los propietarios de teléfonos celulares.
Con los teléfonos inteligentes en las manos de tanta gente, y ese número creciendo tan rápido, es lógico considerar la posibilidad de vincular las identidades de los usuarios de sus dispositivos móviles. Considerando que los números de línea fija fueron compartidos generalmente por familias enteras, los teléfonos móviles tienden a ser más personales, con cada miembro de la familia que tiene a su propio número de teléfono. Y con la portabilidad de números entre los transportistas, los usuarios de teléfonos móviles tienden a mantener el mismo número aunque cambien los equipos y los proveedores.
Además, el teléfono móvil se ha convertido en un elemento que la mayoría de los propietarios llevan con ellos dondequiera que vayan, al igual que sus llaves o billeteras. De hecho, se predice que con el tiempo el teléfono móvil sustituirá a las dos cosas. Con Near Field Communications (NFC), que ya está siendo incorporado en los nuevos teléfonos inteligentes, se puede hacer un pago simplemente sosteniendo el teléfono cerca de un dispositivo de terminal para realizar la transacción de tarjeta de crédito. No hay tarjeta física, no es necesaria. NFC también podría ser utilizado como documento de identidad electrónico (en lugar de licencias de conducir o tarjetas de identificación) y se puede utilizar como tarjetas magnéticas electrónicas para abrir puertas o incluso, con la tecnología adecuada incorporado en vehículos, para iniciar los coches.
El uso de los teléfonos inteligentes para proporcionar pruebas de identidad presentan algunos problemas que tendrían que ser resueltos. Obviamente, debe haber mecanismos de seguridad en el lugar para evitar que los delincuentes utilizan teléfonos robados para robar identidades y hacerse pasar por dueños de los teléfonos. Credenciales de necesitarían una fuerte encriptación y de inicio de sesión de teléfono, que tendrían que ser protegidos por contraseñas o números PIN o (preferiblemente) autenticación de dos factores (tales como escáneres de huellas dactilares).
La identidad en la nube
El movimiento "en la nube" - para todos, desde los usuarios domésticos a las empresas - traen nuevos desafíos para la gestión de identidades. También trae una nueva necesidad y se centran en las mejores soluciones de identificación en línea. En el pasado, la seguridad de red se basaba en los límites de la seguridad, con todo lo que está dentro del perímetro de la red local se define como de confianza y todo lo que está fuera del perímetro considerado sin confianza. Los cortafuegos (firewall) en la red de "borde", fueron designados los centinelas que protegían a los usuarios y los recursos en el interior de aquellos que estaban en el exterior. Con el Cloud Computing, el borde está desapareciendo - o por lo menos se está haciendo extensible y elástico. Los problemas asociados con la identidad en la nube son complejos, tanto es así que hay grupos de trabajo y conferencias dedicados sólo a este tema.
Las dos tecnologías que se establecen para dar forma al futuro de la informática son la nube y la computación móvil, y estos dos confluyen naturalmente ya que los usuarios cada vez tienen más acceso a servicios en la nube a través de dispositivos móviles. Las compañías que utilizan servicios en la nube tendrán que establecer las credenciales de raíz de confianza con el servicio de nube. Las organizaciones todavía quieren tener el control sobre sus políticas de seguridad, y deben ser capaces de asociarlos a los procesos de la nube habilitado para que las identidades y las autenticaciones se conservan cuando se correlacionan las transacciones de las nubes a través de límites de infraestructura. Exigen seguridad de punto final para la autenticación de usuario, así como seguridad en las transacciones de punto final de los servicios móviles.
Soluciones en la nube de identidad se está trabajando por el hardware y las compañías de software, un ejemplo es la autopista de Intel Nube de acceso 360. Cualquier solución de este tipo tiene que ser compatible con las normas existentes Federados (SAML, OAuth, Open ID) y permitir que el cliente-a-nube de inicio de sesión único de los dispositivos móviles y ordenadores conectados a dos redes domésticas y corporativas. Supervisión, auditoría y aplicación de políticas son consideraciones importantes.
Microsoft Windows Identity Foundation (WIF) es un SDK que los desarrolladores pueden utilizar en la construcción de la identidad de las aplicaciones conscientes de que se despliegue en la nube (así como las aplicaciones on-premise). Está construida sobre Active Directory Federation Services y Windows Azure servicios de acceso de control, que apoya OAuth 2.0. No es una extensión de WIF para SAML 2.0, también. WIF se basa en reclamos basados en la identidad - es decir, los tokens de seguridad emitidos por un servicio de token de seguridad (STS), que contiene un conjunto de información sobre el usuario, junto con una firma digital. Basado en notificaciones de identidad se basa en el STS para autenticar al usuario, en lugar de tener que hacerlo la aplicación.
Independientemente de la aplicación particular, autenticación de múltiples factores hacen que el manejo de la identidad en la nube mucho más segura, si la nube se accede desde los teléfonos inteligentes (como se mencionó anteriormente), de los ordenadores portátiles, tabletas, kioscos y computadoras públicas, televisores inteligentes, consolas de entretenimiento, o medios más exóticos (ordenadores portátiles, Internet habilitados para aparatos de cocina, etc). Es probable que conduzca finalmente a la biometría como una forma común de identificación.
Resumiendo
En esta serie de cinco partes, hemos examinado las cuestiones relacionadas con el concepto de identidad, tanto históricamente como en su aplicación a la tecnología moderna y un mundo conectado a Internet. La identidad es un tema complejo, y las soluciones tecnológicas para la gestión de identidades pueden ser aún más. El propósito de este trabajo es señalar las complejidades de tratar con la identidad y para darle al lector una visión general de las soluciones disponibles en la actualidad, y lo que puede venir pronto al mercado en el futuro.
Este artículo es de Deb Shinder, y fue traducido al español previa autorización de TechGenix Ltd. La versión original está en Windows Security y puede accederlo desde aquí.
No dejen de leer toda la serie:
Crisis de Identidad (Gestión) (Parte 1): La evolución de los conceptos de identidad
Crisis de Identidad (Gestión) (Parte 2): Todo lo que (Usted piensa) sabe que está mal
Crisis de Identidad (Gestión) (Parte 3): Resolviendo el problema de Identidad.
Crisis de Identidad (Gestión) (Parte 4): Seleccionando una solución de Administración de Identidad completa.
De la 1ra a la 4ta parte de esta serie, echamos un vistazo a la evolución del concepto de "identidad", conceptos erróneos acerca de la identidad en el mundo de las TI, y algunas soluciones de identidad actuales, con un enfoque sobre la firma digital. También nos fijamos en los criterios para la elección de una solución integral de gestión de la identidad de una organización o una solución de gestión de identidad federada. En este sentido, en esta 5 parte, vamos a discutir el futuro de la gestión de identidades con un enfoque especial sobre el efecto de la nube en el IDM.
Identificadores ID en linea
Allá en la pimera parte, se discutió el problema de credibilidad a la hora de credenciales de identificación. A menos que la parte que emite las credenciales sea digno de confianza, esas credenciales no tienen sentido. Hoy en día la identidad en línea se verifica principalmente por certificados emitidos por las organizaciones del sector privado comercial, tales como VeriSign, Comodo, y muchos otros. Pero, ¿quién vigila a los vigilantes? Los nuevos proveedores de certificados SSL para sitios web deben someterse a auditorías de seguridad anual, como las que se realizan de acuerdo con el programa WebTrust para Autoridades de Certificación. El mercado de los certificados digitales personales es mucho más fragmentado.
La mera existencia de un certificado digital no garantiza que las credenciales de identidad sean válidos. Algunos certificados son auto-firmado o auto-gestionados, lo que significa que la persona que emitió el certificado también garantiza su legitimidad - obviamente allí no hay controles y equilibrios en el sistema. Por otro lado, la auto-firma de certificados no disminuye la superficie de ataque, ya que no confían en su clave privada a un tercero (autoridad de certificación). Los certificados autofirmados se pueden crear con las herramientas de software, incluidas makecert.exe de Microsoft, Adobe Reader, Llavero de Apple y otros.
En el mundo real, la mayor parte del crédito se da generalmente a los identificadores que son emitidos por el gobierno. Así, algunos ven un documento oficial de identidad en línea, como los medios más confiables de verificación de la identidad en línea, y el año pasado la Casa Blanca emitió un informe en su estrategia para lograr un sistema de identidades de confianza en el ciberespacio. Hay muchas cuestiones prácticas y políticas relativas a la creación de lo que efectivamente sería un documento nacional de identidad digital. Sin embargo, parece que el gobierno se mueve inexorablemente en esa dirección.
Es probable que tal sistema sería voluntario - en un primer momento. La historia indica que esto eventualmente iba a cambiar. En la década de 1800, los conductores no estaban obligados a tener licencia. En la década de 1970, los niños no estaban obligados a tener número de seguro social. Hoy ambos están dispuestos por el gobierno.
Pero hay algunas dudas en cuanto a exactamente un sistema de identificación del gobierno en línea iba a funcionar. ¿Estaría vinculada a su licencia de conducir o tarjeta de identificación del estado? Sin embargo, el gobierno federal no emitirá esos documentos (aunque con la Ley de Identificación Real, que ha tomado más autoridad sobre los estándares de procesos, con el fin de establecer que los estados lo requieran para su cumplimiento en el 2013). ¿Estaría ligado a su pasaporte, entonces? Pero ¿qué pasa con esas personas que no tienen pasaporte? Según las estadísticas a partir de enero del año pasado, menos del 40% de los estadounidenses tienen pasaporte. ¿Sería estar atado a su número de seguro social? Este es probablemente el número de identificación de mayor número de estadounidenses.
Aunque el número de seguro social fue originalmente diseñado sólo para el propósito de seguir las cuentas de los individuos dentro del programa de Seguridad Social las cartas estaban marcadas, incluso "Por motivos de seguridad social - no para la identificación," las fuerzas armadas lo han utilizado en el lugar de números de servicio desde los años 60 (del Ejército y Fuerza Aérea) y 70 (Armada y los Marines). El número ahora es utilizado por algunos estados en lugar de número de la licencia de conducir. Los bancos, acreedores y empresas de servicios (tales como compañías de cable, teléfono y electricidad) requieren que los clientes proporcionen sus números de seguro social. El número de seguro social es utilizado por las agencias de crédito, compañías de seguros, agencias de aplicación de la ley y casi cualquier otra entidad que requiera la identidad de la persona.
Estas preguntas son importantes porque, si el identificador de línea es un "independiente" forma de identificación, será mucho más difícil asegurar que un individuo no obtienga múltiples identificaciones en línea, o una identificación fraudulenta en línea que se asocia con otra persona o con un seudónimo. Eso sería negar el propósito para el cual están diseñados las identificaciones oficiales.
Si y cuando la multitud de cuestiones relacionadas con la forma de emitir identificaciones oficiales en línea se han resuelto, la siguiente pregunta es cómo, tecnológicamente, se llevará a cabo. ¿Una entidad de certificación administrado por el gobierno para validar la identidad de cada persona y emitir certificados digitales basados en claves de pares público / privados? ¿Sería ilegal utilizar cualquier certificado, si no es el emitido oficialmente por el gobierno-para firmar los documentos, enviar correo electrónico o hacer negocios en línea? ¿Se convierten en ilegales para enviar mensajes, acceder a sitios web o de ejercer el comercio en línea sin un certificado? La naturaleza del gobierno es mantener la expansión de su autoridad, por lo que a pesar de que estos escenarios, podría parecer descabellada ahora, no es razonable suponer que un día todos puedan reflejar la realidad.
La batalla por el espacio de la identidad
A pesar de inclinación del gobierno por el poder, debido a los engranajes de una enorme y lenta burocracia, probablemente no veremos un omnipresente obligatoria identificación oficial en línea (o tal vez cualquier tipo de documento oficial de identidad en línea), por un largo tiempo. Mientras tanto, las empresas de tecnología que han luchando durante años para convertirse en los principales proveedores de identidad, y están aumentando constantemente el alcance de sus sistemas de identidad propios mediante la aplicación de inicio de sesión único a través de diversos sitios y servicios.z
Microsoft reinventa periódicamente su servicio, que originalmente fue llamado Microsoft Wallet, luego se convirtió en pasaporte y ahora va por el nombre de Windows Live ID. La compañía prevé Passport como un servicio que con el tiempo abarcaría todos los sitios de comercio electrónico, así como lugares propios Web de Microsoft, pero fue criticado por quienes temían su acceso a la información del cliente, y crearía problemas de privacidad. Hubo un tiempo una serie de sitios No-Microsoft, tales como eBay, utilizaba el servicio de Microsoft Passport para iniciar la sesión, pero ahora se utiliza para iniciar sesión en sitios de servicios de Microsoft como MSDN / TechNet, Hotmail, Xbox Live, Zune Marketplace, Messenger y otros servicios de Windows Live.
Mientras tanto, Google se ha metido en el juego de la identidad hasta cierto punto, la vinculación de inicio de sesión a través de sus muchos servicios web. Su cuenta de Google se utiliza para conectarse a Gmail, Google Voice, YouTube, Picasa, Google Docs, Google Wallet sistema de pago móvil, la red social de Google + y otros. La compañía ha estado bajo fuego por sus recientes cambios de política que ahora le permiten rastrear a los usuarios a través de sus múltiples productos y servicios y combinar la información del usuario de los diferentes servicios. La Comisión Europea ha propuesto nuevas normas destinadas a dar a los usuarios la posibilidad de optar por este tipo de rastreo.
Facebook, con su característica "Conectar", también se ha convertido en un proveedor de identidad. Esta característica permite a los usuarios iniciar sesión en otros sitios web fuera de Facebook, usando sus cuentas de Facebook.
Un problema con todo esto está, que muchas personas mantienen más de una cuenta de Windows Live o Gmail porque necesitan varias direcciones correo electrónico para fines diferentes (tales como el hogar, el trabajo y "usar y tirar" - una dirección para entrar en los sitios web que requieren una pero que puede vender las direcciones a los spammers). En el caso de Windows Live, puedo configurar varias cuentas porque quería dos blogs independientes en el sitio del blog de Windows Live (aunque Microsoft ha abandonado el esfuerzo y los usuarios se han trasladado a nuestros blogs de Wordpress). Incluso con Facebook, cuyos términos de servicio requieren que los usuarios sólo tengan una cuenta y para usar sus nombres reales, muchas personas violan esta norma y tienen cuentas separadas para trabajar y jugar.
El otro problema es que cada empresa de alta tecnología tiene un servicio de identidad separado propio (y algunos otros selectos sitios y servicios), y nadie tiene "una identidad en línea para gobernarlos a todos." Si bien esto puede ser bueno desde un punto de vista de la privacidad punto, esto resulta en un tiempo más fácil para los terroristas, run-of-the-mill delincuentes cibernéticos, los spammers o estafadores, acechadores y otros que quieran ocultar su identidades y/o hacerse pasar por otra persona en línea.
La revolución móvil y la identidad
El uso de dispositivos móviles en teléfonos inteligentes generales y, en particular, se ha disparado en los últimos años. De acuerdo con la firma de investigación Canalys, 488 millones de smartphones se han vendidos en 2011, más de la cantidad de computadoras y las tablets (alrededor de 415 millones). Sus cifras muestran como esto aumentó del 62,7 por ciento respecto al año anterior. Las ventas de teléfonos inteligentes en base a las ventas del 2011, se espera que crezca otro 32% en 2012, según los analistas. Incluso Intel se está metiendo en el acto, haciendo equipos con Lenovo y Motorola para crear un teléfono basado en el procesador Atom.
Según un estudio de Kantar Worldpanel ComTech, casi la mitad de la población del Reino Unido ahora es dueño de los teléfonos inteligentes. El verano pasado, investigadores de Pew estima que el 35 por ciento de los adultos estadounidenses tenían smartphones propios. Esto es cerca de 42 por ciento de todos los propietarios de teléfonos celulares.
Con los teléfonos inteligentes en las manos de tanta gente, y ese número creciendo tan rápido, es lógico considerar la posibilidad de vincular las identidades de los usuarios de sus dispositivos móviles. Considerando que los números de línea fija fueron compartidos generalmente por familias enteras, los teléfonos móviles tienden a ser más personales, con cada miembro de la familia que tiene a su propio número de teléfono. Y con la portabilidad de números entre los transportistas, los usuarios de teléfonos móviles tienden a mantener el mismo número aunque cambien los equipos y los proveedores.
Además, el teléfono móvil se ha convertido en un elemento que la mayoría de los propietarios llevan con ellos dondequiera que vayan, al igual que sus llaves o billeteras. De hecho, se predice que con el tiempo el teléfono móvil sustituirá a las dos cosas. Con Near Field Communications (NFC), que ya está siendo incorporado en los nuevos teléfonos inteligentes, se puede hacer un pago simplemente sosteniendo el teléfono cerca de un dispositivo de terminal para realizar la transacción de tarjeta de crédito. No hay tarjeta física, no es necesaria. NFC también podría ser utilizado como documento de identidad electrónico (en lugar de licencias de conducir o tarjetas de identificación) y se puede utilizar como tarjetas magnéticas electrónicas para abrir puertas o incluso, con la tecnología adecuada incorporado en vehículos, para iniciar los coches.
El uso de los teléfonos inteligentes para proporcionar pruebas de identidad presentan algunos problemas que tendrían que ser resueltos. Obviamente, debe haber mecanismos de seguridad en el lugar para evitar que los delincuentes utilizan teléfonos robados para robar identidades y hacerse pasar por dueños de los teléfonos. Credenciales de necesitarían una fuerte encriptación y de inicio de sesión de teléfono, que tendrían que ser protegidos por contraseñas o números PIN o (preferiblemente) autenticación de dos factores (tales como escáneres de huellas dactilares).
La identidad en la nube
El movimiento "en la nube" - para todos, desde los usuarios domésticos a las empresas - traen nuevos desafíos para la gestión de identidades. También trae una nueva necesidad y se centran en las mejores soluciones de identificación en línea. En el pasado, la seguridad de red se basaba en los límites de la seguridad, con todo lo que está dentro del perímetro de la red local se define como de confianza y todo lo que está fuera del perímetro considerado sin confianza. Los cortafuegos (firewall) en la red de "borde", fueron designados los centinelas que protegían a los usuarios y los recursos en el interior de aquellos que estaban en el exterior. Con el Cloud Computing, el borde está desapareciendo - o por lo menos se está haciendo extensible y elástico. Los problemas asociados con la identidad en la nube son complejos, tanto es así que hay grupos de trabajo y conferencias dedicados sólo a este tema.
Las dos tecnologías que se establecen para dar forma al futuro de la informática son la nube y la computación móvil, y estos dos confluyen naturalmente ya que los usuarios cada vez tienen más acceso a servicios en la nube a través de dispositivos móviles. Las compañías que utilizan servicios en la nube tendrán que establecer las credenciales de raíz de confianza con el servicio de nube. Las organizaciones todavía quieren tener el control sobre sus políticas de seguridad, y deben ser capaces de asociarlos a los procesos de la nube habilitado para que las identidades y las autenticaciones se conservan cuando se correlacionan las transacciones de las nubes a través de límites de infraestructura. Exigen seguridad de punto final para la autenticación de usuario, así como seguridad en las transacciones de punto final de los servicios móviles.
Soluciones en la nube de identidad se está trabajando por el hardware y las compañías de software, un ejemplo es la autopista de Intel Nube de acceso 360. Cualquier solución de este tipo tiene que ser compatible con las normas existentes Federados (SAML, OAuth, Open ID) y permitir que el cliente-a-nube de inicio de sesión único de los dispositivos móviles y ordenadores conectados a dos redes domésticas y corporativas. Supervisión, auditoría y aplicación de políticas son consideraciones importantes.
Microsoft Windows Identity Foundation (WIF) es un SDK que los desarrolladores pueden utilizar en la construcción de la identidad de las aplicaciones conscientes de que se despliegue en la nube (así como las aplicaciones on-premise). Está construida sobre Active Directory Federation Services y Windows Azure servicios de acceso de control, que apoya OAuth 2.0. No es una extensión de WIF para SAML 2.0, también. WIF se basa en reclamos basados en la identidad - es decir, los tokens de seguridad emitidos por un servicio de token de seguridad (STS), que contiene un conjunto de información sobre el usuario, junto con una firma digital. Basado en notificaciones de identidad se basa en el STS para autenticar al usuario, en lugar de tener que hacerlo la aplicación.
Independientemente de la aplicación particular, autenticación de múltiples factores hacen que el manejo de la identidad en la nube mucho más segura, si la nube se accede desde los teléfonos inteligentes (como se mencionó anteriormente), de los ordenadores portátiles, tabletas, kioscos y computadoras públicas, televisores inteligentes, consolas de entretenimiento, o medios más exóticos (ordenadores portátiles, Internet habilitados para aparatos de cocina, etc). Es probable que conduzca finalmente a la biometría como una forma común de identificación.
Resumiendo
En esta serie de cinco partes, hemos examinado las cuestiones relacionadas con el concepto de identidad, tanto históricamente como en su aplicación a la tecnología moderna y un mundo conectado a Internet. La identidad es un tema complejo, y las soluciones tecnológicas para la gestión de identidades pueden ser aún más. El propósito de este trabajo es señalar las complejidades de tratar con la identidad y para darle al lector una visión general de las soluciones disponibles en la actualidad, y lo que puede venir pronto al mercado en el futuro.
Este artículo es de Deb Shinder, y fue traducido al español previa autorización de TechGenix Ltd. La versión original está en Windows Security y puede accederlo desde aquí.
No dejen de leer toda la serie:
Crisis de Identidad (Gestión) (Parte 1): La evolución de los conceptos de identidad
Crisis de Identidad (Gestión) (Parte 2): Todo lo que (Usted piensa) sabe que está mal
Crisis de Identidad (Gestión) (Parte 3): Resolviendo el problema de Identidad.
Crisis de Identidad (Gestión) (Parte 4): Seleccionando una solución de Administración de Identidad completa.
Suscribirse a:
Entradas (Atom)