martes, 29 de agosto de 2006 1 comentarios

La contaminación de contenidos como nueva amenaza.

Leo hoy vía la sección de Tecnología de "El País" una noticia titulada "El phishing llega a las bolsas".
Este nuevo fenómeno que han denominado "Pump and Dump" pudiera ser considerado ya como una amenaza que representa la "contaminación de contenidos". Como se indica en el artículo del País, "consiste en identificar una empresa de poca entidad, que tenga poco volumen de negociación, y “atacar” sus valores después de llenar la cartera de ellos, para hacer que su precio suba artificialmente. Terminada la faena se vende de golpe y se recogen beneficios."
En este caso concreto, el fraude previamente requiere de las técnicas del phishing para hacerse con cuentas de brokers online con las que poder comprar valores para que suba su cotización.

Derivaciones de esta amenaza pudieran ser suplantar la identidad de personas con prestigio que informen de tendencias de mercado incorrectas y que generen reacciones de vendedores y compradores "pre-diseñadas" para que el atacante obtenga beneficio.

Este tipo de amenazas ya se veían venir. Lo bueno de publicar un post es que además dejas evidencia de ello, como puede leerse tanto en los pronósticos de in-seguridad que hice para el año 2005 como en el post dedicado a este posible(en aquel tiempo solo era posible) tipo de amenaza

Y es que cuando pensamos en seguridad de la información la mente se nos va o bien hacia la disponibilidad o bien hacia la confidencialidad. Evidentemente ambas propiedades son importantes pero también debemos ser conscientes del "coste" que tiene la información "incorrecta".

Actualmente disponemos de sistemas de información capaces de procesar ingentes cantidades de datos pero, ¿tenemos sistemas de información que garanticen la "calidad de los tratamientos" que realizan.

En Auditoría de Sistemas de Información, y sobre todo en los cursos de preparación del CISA se nos insistía continuamente en la necesidad de establecer procesos de control tanto a la entrada de datos como durante su procesamiento y en la generación de salidas. Este tipo de controles solemos encontrarlos robustos y fuertes sobre los sistemas transaccionales que sufren auditoría o gestionan procesos de la organización que se auditan.

En cualquier empresa normal podemos encontrarnos datos incorrectos, obsoletos o no actualizados. ¿Alguien calcula el coste "oculto" de estos errores"? ¿Alguien establece controles para detectar estas anomalías?

Creo que empieza cada vez más a tener sentido utilizar los esquemas de gestión que ya se aplican a la calidad para garantizar el correcto funcionamiento de las actividades de procesamiento de información. Al final, al cliente se le presta un servicio que depende principalmente de la "calidad" de la información que disponemos sobre el y la gestión de sus necesidades debe traducirse en la correcta manipulación de sus datos. Podemos pensar por ejemplo en servicios de atención telefónica o de banca online como ejemplos de ellos, donde se entiende por calidad "el correcto tratamiento de nuestra información".
lunes, 28 de agosto de 2006 0 comentarios

Cómo funcionan los reventadores de contraseñas...

Debido principalmente al periodo vacacional, el ritmo de publicación se relaja y los contenidos de este último mes están siendo ludico-tecnologicos.

Hoy gracias a la cantidad de material que se está subiendo a Youtube, he podido localizar un video sobre cómo funcionan los reventadores de contraseña, con ejemplos de ejecución.
La charla dura nueve minutos y demuestra como se ataca un fichero de contraseñas con l0phtcrack 5.


Interesante para el periodo vacacional.
sábado, 19 de agosto de 2006 0 comentarios

Sniffing en entornos switcheados

He encontrado vía el SANS Institute un documento técnico bastante interesante relacionado con técnicas de sniffing en entornos cuya arquitectura de red dispone de switch.
En el texto se desarrollan con ejemplos y capturas de pantallas las técnicas a utilizar para realizar el ataque por envenenamiento ARP y utilizar programas para hacer hijacking de la sesión o bien poder averiguar las contraseñas de conexión. El carácter práctico del documento lo hace interesante para hacer las prácticas oportunas y poder comprobar así lo vulnerable que siguen siendo las conexiones de red sin cifrado. El documento puede descargarse en el siguiente enlace.
martes, 15 de agosto de 2006 0 comentarios

Humor gráfico

Como en vacaciones siempre da algo más de pereza escribir y dado que estoy bastante desconectado en la playa (mi pocket no conecta con redes wifi free) voy a poder postear bien poco. Hoy quiero recoger dos imagenes bastante significativas respecto al titulo del blog que se comentan por si mismas.
La primera me la envía Gaona del blog Gaona Sec y la segunda gracias al blog de Jose Manuel Fernandez


sábado, 5 de agosto de 2006 0 comentarios

Guía sobre cómo incrementar la concienciación en seguridad del ENISA

El European Network and Information Security Agency, ENISA, (la agencia europea equivalente a la NSA americana) recientemente ha publicado una excelente guía para abordar el tema de la formación y concienciación de los usuarios. Con unos 64 folios de denso contenido, se ilustran todas las fases para montar un plan de formación e incrementar así la concienciación en materia de seguridad de la organización.

Dado que siempre comentamos la importancia del factor humano, este tipo de guías son muy necesarias para atajar los riesgos generados por el desconocimiento o la falta de precaución del personal.

Analizando el documento muy pormenorizado, cabe destacar lo minuciosamente preparado que debe estar un plan de concienciación. El documento está disponible en el enlace enisa_a_users_guide_how_to_raise_IS_awareness.pdf
 
;