Del 02 al 07 de Agosto se estará realizando en la ciudad de LIMA – PERÚ el Congreso Nacional de Estudiantes de Ingeniería de Sistemas y Computación.

Estará abarcando temas de mucho interés dentro de los campos de:

• Ingeniería de Software
• Ciencias de la Computación
• Sistemas de Información
• Ingeniería de la Computación
• Tecnologías de la Información
• Ingeniería de Sistemas – Sistémica
• Emprendimiento

ENHACKE participará en este evento mediante 2 presentaciones: una ponencia y un taller práctico.

Esperamos verlos ahí!!!!

Para mas información porfavor visiten http://www.coneisc.org

• Lugar: AUDITORIO MADRE DE DIOS – UTP “Sede principal de UTP” Av. 28 de julio c/n Petit Thouars

• Hora: Jueves, 15 de julio de 2010 18:00

• Ingreso Libre, Los esperamos

El encuentro detallará tendencias actuales en la seguridad de la información en empresas y organizaciones. Expondrá la relevancia del gobierno de la seguridad orientado al cumplimiento de normas internacionales y su justificación por parte de la gerencia IT. Se expondrán temas y protocolos de actuación que afectan de manera directa o indirecta a los departamentos de dirección TIC.

Se realizará un seguimiento de la evolución día a día del delito electrónico y ataques a empresas tanto interno (realizado por personal descontento con la organización) como externo y como afecta a la marcha de empresas.  Se aprenderá a como mitigar riesgos y que soluciones pueden aportar valor IT en términos de seguridad. Los participantes descubrirán paso a paso como se realizó el ataque denominado Aurora que afectó a empresas tan importantes como Google.

Queremos agradecer a nuestro auspicios, por el gran apoyo que están brindando para la realización del evento, el cual estamos seguros será de su agrado.

El evento está siendo auspiciado por:

• Technopark IDi
• Universidad Tecnológica del Perú (UTP) – Facultad de Ingenieria de Telecomunicaciones y Telemática

Recuerden que para mayor información del evento o para inscribirse, pueden entrar a:

MAS INFORMACIÓN DEL EVENTO AQUI

Saludos!

ENHACKE

Según las mejores prácticas del grupo Yankee, las organizaciones deberían realizar la gestión de vulnerabilidades día a día o semanalmente. La gestión de las vulnerabilidades es un ciclo de vida de procesos que consiste en 6 pasos:

1. Descubrir

• Descubrir todos los activos en la red, identificar los detalles del host incluyendo el sistema operativo y servicios abiertos.

2. Priorizar activos

• Administrar tu red por categorías de activos en grupos o unidades de negocio.
• Asignar valor de negocio a los grupos de activos de acuerdo a la criticidad de la operación del negocio.

3. Evaluar

• Determinar una línea base del perfil del riesgo para que se pueda enfocar en eliminar el riesgo basado en la criticidad del activo.
• Identificar las vulnerabilidades de seguridad en un itinerario automatizado.

4. Reporte

• Medir los niveles de riesgo asociados con tus activos de acuerdo a tus políticas de seguridad.
• Tendencias sobre la postura de seguridad en el tiempo.

5. Remediar

• Priorizar y corregir vulnerabilidades por riesgo de negocio.

6. Verificar

• Verificar la eliminación de amenazas a través de las siguientes auditorías.

El encuentro detallará tendencias actuales en la seguridad de la información en empresas y organizaciones. Expondrá la relevancia del gobierno de la seguridad orientado al cumplimiento de normas internacionales y su justificación por parte de la gerencia IT. Se expondrán temas y protocolos de actuación que afectan de manera directa o indirecta a los departamentos de dirección TIC.

Se realizará un seguimiento de la evolución día a día del delito electrónico y ataques a empresas tanto interno (realizado por personal descontentos con la organización) como externo y como afecta a la marcha de empresas.  Se aprenderá a como mitigar riesgos y que soluciones pueden aportar valor IT en términos de seguridad. Los participantes descubrirán paso a paso como se realizó el ataque denominado Aurora que afectó a empresas tan importantes como Google.

Mayor información, Hacer click aquí:  INFORMACIÓN EVENTO DE SEGURIDAD DE LA INFORMACION PARA LOS NEGOCIOS

Cloud Computing o Computación en la nube es un paradigma que permite ofrecer servicios de computación a través de Internet. Según Gartner, dada la exposición de estos servicios, este paradigma está lleno de riesgos de seguridad. Los clientes con mayor criterio harán las preguntas más minuciosas sobre el servicio e inclusive harían una evaluación de seguridad de la protección del servicio mediante un tercero antes de elegir al proveedor, según el informe de Gartner “Assessing the Security Risks of Cloud Computing.”

La computación en la nube tiene “características únicas que requieren una evaluación de riesgos en campos como la integridad, recuperación, y la privacidad de los datos, así como una evaluación de las cuestiones jurídicas en áreas tales como descubrimiento electrónico, cumplimiento normativo y auditoría”, según Gartner. (Comparar productos de seguridad.)

El servicio de Amazon EC2 y Google Apps Engine de Google son ejemplos del cloud computing, que Gartner define como un tipo de computación en la que “todo el conjunto de capacidades TI ampliamente escalables son distribuidos como servicio a clientes externos usando las tecnologías de Internet. “

Los clientes deben exigir transparencia, evitando que los proveedores se niegan a proporcionar información detallada sobre los programas de seguridad. Haga preguntas referentes a las calificaciones de los creadores de las políticas, arquitectos, programadores y operadores, los procesos de control de riesgos y mecanismos técnicos, el nivel de pruebas que se ha hecho para verificar que los servicios y procesos de control están funcionando como se pensaba, y que los proveedores pueden identificar anticipadamente las vulnerabilidades.

Aquí detallamos siete de los temas específicos de seguridad que Gartner recomienda que los clientes deben plantear a los proveedores antes de seleccionar un servicio en la nube.

1. Acceso de usuarios privilegiados.

Gartner afirma que los datos sensibles procesados fuera de la empresa traen consigo un nivel de riesgo inherente, ya que los servicios outsource superan “el control físico, lógico y personal” que los departamentos de TI ejercen sobre los programas in-house. Obtenga la mayor información posible de las personas que gestionan sus datos. “Pida a los proveedores que proporcionen información específica sobre la contratación y supervisión de los administradores que tendrán privilegios sobre su data, y los controles sobre su acceso”.

2. Cumplimiento normas.

Los clientes son en última instancia, responsable de la seguridad y la integridad de sus propios datos, incluso cuando están en manos de un proveedor de servicios. Los proveedores tradicionales de servicios están sujetos a auditorías externas y a certificaciones de seguridad. los proveedores de Cloud Computing que se niegan a someterse a este control dan “señales a los clientes para que sólo soliciten su servicio para  las funciones más triviales”, afirma Gartner.

3. Ubicación de los datos.

Cuando se utiliza la nube, es probable que no se conozca exactamente dónde están sus datos. De hecho, usted ni siquiera sabra en qué país esta almacenada. Gartner aconseja que se debe pedir a los proveedores que se comprometan a almacenar y procesar sus datos en determinadas jurisdicciones, y si van a hacer un compromiso contractual deban someterse a las exigencias locales de privacidad en nombre de sus clientes.

4. Segregación de datos.

Los datos en la nube están en un entorno compartido junto con los datos de otros clientes. La encriptación es eficaz, pero no es una panacea. Gartner sugiere que “averigue lo que se hace para separar los datos en reposo”. El proveedor deberá proporcionar pruebas que los sistemas de cifrado han sido diseñados y probados por especialistas experimentados. “Los problemas de cifrado de datos pueden hacer totalmente inutilizables los datos, e incluso el cifrado normal puede complicar la disponibilidad”, según Gartner.

5. Recuperación.

Incluso si usted no sabe dónde están sus datos, un proveedor debe decirle lo que ocurrirá con sus datos y el servicio en caso de un desastre. “Cualquier oferta que no replique los datos y la infraestructura de aplicaciones en múltiples sitios es vulnerable a un desastre total”, según Gartner. Pregunte a su proveedor si tiene “la capacidad de hacer una restauración completa, y cuánto tiempo va a durar.”

6. Soporte de investigación.

La investigación de actividad inapropiada o ilegal puede ser imposible en cloud computing, advierte Gartner. “Los Servicios de Cloud Computing son especialmente difíciles de investigar, porque los registros y datos de múltiples clientes pueden ser almacenado en el mismo lugar y también se pueden almacenar en un cambiante conjunto de máquinas y centros de datos. Si usted no puede conseguir un contrato para dar soporte a los diferentes tipos de investigación, junto con la evidencia de que el proveedor ya ha manejado con éxito esas actividades, entonces su única suposición es que será imposible hacer investigación y descubrimiento.”

7. La viabilidad a largo plazo.

Según Gartner, debemos asegurarnos que nuestro proveedor de computación en la nube nunca vaya quedar en quiebra, sea adquirida o absorbida por una compañía más grande. Usted debe estar seguro que sus datos deberán estar disponible incluso después de tal evento. “Pedir a los proveedores potenciales cómo te recuperar los datos y si sería en un formato que puede importarse a otra  aplicación.”

Fuente: Gartner

Las botnets son redes de computadoras (net) robots (bots) que obedecen las ordenes de un amo o maestro (botmaster) para realizar acciones maliciosas, las bonets también son conocidas como redes zombis. El numero de computadoras esclavizadas pueden ser miles de máquinas infectadas. Las acciones maliciosas más comunes de las botnes son: Poner indisponible el servicio de una organización victima por ejemplo colapsar su servidor de correo, para marketing por medio de spam y aumentar el ranking de un web site en los buscadores como Google. El funcionamiento de las botnets es el siguente.

Primero, se infectan varias PCs para que obedezcan a un maestro (botmaster). Luego, estas maquinas infectadas envian ataques por orden del botmaster. Por último, el botmaster alquila sus máquinas infectadas en todo el mundo a algun interesado para que realize ataques por cierto tiempo a un objetivo de su preferencia.

Las botnets pueden ser alquiladas por 67 dolares por 24 horas para realizar estas acciones maliciosas. Si fuese solo una hora serían 9 dolares según iDefense VeriSign que analizo 25 ofertas del mercado negro. Este negocio se vuelve cada vez más popular en los foros underground inclusive con banners de publicidad.

En marzo la policia española arrestó a los tres presuntos autores intelectuales de la botnet Mariposa, que se propago sin ser detectado durante seis meses, poniendo en peligro más de 12 millones de PCs en muchas empresas de primera línea y bancos.

Zeus, una de las botnets más conocidas y que tiene 3.5 millones de maquinas esclavas solo en Estados Unidos. Zeus se vende como un kit de herramientas cuesta al rededor de $ 3000 – 4000, y es probable que el malware sea más utilizado por los delincuentes en el fraude financiero, según SecureWork.

Personalizar Zeus con numerosos complementos tiene los siguiente precios: por la creación de redes virtuales para hacerse cargo de un PC infectado ($ 10.000), por una actualización para atacar a Windows 7 o Vista ($ 2.000), por recibir los datos robados en tiempo real por mensajería instantania como Jabber IM ($ 500), y por un módulo para realizar transacciones financieras desde el PC infectado ($ 1.500). Curiosamente, la aplicación Zeus también incluye funciones avanzadas de lucha contra la piratería.

En conclusión, estas redes zombis son rentadas por ciberdelincuentes y mafias organizadas para realizar sus acciones ilegales. Un usuario común y corriente puede ser parte de una zombi, es lo más comun, porque son los más fáciles de infectar porque tiene desconocimiento de como proteger su PC.

El ataque se probó en Firefox con varias pestañas abiertas y debería funcionar en otros navegadores. Para que la realización de este ataque el usuario primero debe ir a la página Web maliciosa.

El script de la página maliciosa permanentemente se fija si la pestaña ha perdido el foco, es decir, que el usuario está buscando en otra pestaña. Después de unos segundos este, cambia el favicon (icono de la pestaña) y el contenido de la página por una página de phishing, sin embargo, la dirección no cambia.

Finalmente, se cargo la página falsa, por ejemplo, de Gmail y te roban las credenciales.

Así es! estan leyendo bien…

No, esto no es una simulacion!!!

Si… hackearon a ebay españa, en realidad 3 de sus dominios: ebayanuncios.es , ebaycoches.es , ebaypisos.es

El daño en el que ha incurrido ebay es mas que todo de imagen corporativa ya que de todas formas su credibilidad y confiabilidad se ve puesta en juego. Por parte de la empresa no han habido manifestaciones publicas acerca de perdida de datos de la información de sus clientes, pero tampoco creo que saldrian a la calle a gritarlo…

La vulnerabilidad con la que han realizado el hackeo y con la que han logrado insertar una imagen, muy graciosa en realidad, es CROSS SITE SCRIPTING, tambien conocida como XSS.

¿Que es Cross Site Scripting?

Fuente: Wikipedia

Las vulnerabilidades de XSS originalmente abarcaban cualquier ataque que permitiera ejecutar código de “scripting“, como VBScript o JavaScript, en el contexto de otro sitio web.

El problema está en que usualmente no se validan correctamente los datos de entrada que son usados en cierta aplicación. Esta vulnerabilidad puede estar presente de forma directa (también llamada persistente) o indirecta (también llamada reflejada).

• Directa (Persistente): este tipo de XSS comúnmente filtrado, y consiste en invadir código HTML peligroso en sitios que así lo permiten; incluyendo así etiquetas como lo son <script> o <iframe>.

• Indirecta (Reflejada): este tipo de XSS consiste en modificar valores que la aplicación web utiliza para pasar variables entre dos páginas, sin usar sesiones y sucede cuando hay un mensaje o una ruta en la URL del navegador, en una cookie, o cualquier otra cabecera HTTP (en algunos navegadores y aplicaciones web, esto podría extenderse al DOM del navegador).

Mas informacion acerca de XSS: http://es.wikipedia.org/wiki/Cross-site_scripting

Recordemos que este tipo de vulnerabilidades se encuentran presentes en miles de sitios web.

La razón principal por lo que se cae en este tipo de errores es por no seguir las buenas practicas de programación y por no hacer las debidas pruebas de vulnerabilidad al website.

Esperamos el post sea de su agrado.

enHacke

A inicios de este mes en nuestro país varios de los usuarios de McAfee tuvieron problemas con una actualización del antivirus que detectaba un componente del Windows XP como un falso virus. Después del procedimiento de escaneo del antivirus, el host nos presentaba pantalla azul “blue screen of death”, luego de una o dos horas McAfee alertaba e informaba el procedimiento de recuperación del sistema debido a este problema, sin embargo, en varias organizaciones esto significo pérdida de horas de trabajo. La industria bancaria fue una de las más afectados por este evento.  Aunque no nos detallaron la compensación nos dicen que esta ya ha sido efectiva.