martes, 28 de noviembre de 2006 0 comentarios

Insecure magazine, número 9

La revista (In)secure magazine acaba de publicar su novena edición.
El indice de este número es:
-Effectiveness of security by admonition: a case study of security warnings in a web browser setting
- Web 2.0 defense with AJAX fingerprinting and filtering
- Hack In The Box Security Conference 2006
- Where iSCSI fits in enterprise storage networking
- Recovering user passwords from cached domain records
- Do portable storage solutions compromise business security?
- Enterprise data security - a case study
- Creating business through virtual trust: how to gain and sustain a competitive advantage using information security
lunes, 27 de noviembre de 2006 0 comentarios

La banca electrónica y demás chapuzas...

Fue publicado hace ya un par de meses que existen circulando troyanos que han incorporado capturadores de pantalla para atacar a las plataformas de banca electrónica que utilizan teclados virtuales para la introducción de códigos de acceso.

La noticia bien documentada como siempre por el Laboratorio Hispasec, puede ser consultada en el post Nuevo troyano bancario dirigido a entidades españolas y latinoamericanas publicado el 26 de septiembre de este año.

Lo que hoy leo en SecuriTeam Blogs es todavía mucho más curioso. Resulta que la entidad financiera de mi provincia utiliza para el envio de la información asociada al pin de acceso un sistema realmente patético y así lo han documentado en SecuriTeam Blogs » Defeating Image-Based Virtual Keyboards and Phishing Banks que han conseguido adivinar el algoritmo y son capaces de calcular el pin enviado aunque vaya cifrado.
viernes, 24 de noviembre de 2006 0 comentarios

El eslabón más débil de la seguridad bancaria

Curioso el post que aparece en el blog Iteisa sobre la seguridad bancaria.

Uno espera encontrar novedades sobre nuevas técnicas en relación al robo de identidad o algun tipo de incidente que la tecnología no ha conseguido resolver correctamente y se encuentra con un problema que aunque no sea complejo, no deja de poner los pelos de punta.

Y las reflexiones son, como bien apunta el blog, que la cadena sigue siendo tan fuerte como el más debil de los eslabones, pero también hay que decirle a los eslabones lo importante que es su diligencia para ser una buena cadena.



¿Por qué el personal de oficina no tiene conocimientos BÁSICOS de seguridad de la información?

Acaso no tienen tiempo para informarles de buenas prácticas comerciales, de técnicas de captación de clientes, etc... ¿no es rentable garantizar el buen servicio y que un cliente no se marche por un incidente como este?

No se trata quizás de hacer conocer al usuario como se realiza un borrado seguro de un fichero, pero al menos, que los sistemas de información dispongan de controles al respecto y que siempre que se vayan a volcar datos de un cliente sobre un disco, que haga un borrado seguro del contenido anterior (por si acaso).

En fin, cosas que pasan y que uno no se explica. Si precisamente un banco es capaz de tener todo tipo de controles para evitar la perdida de un solo céntimo, ¿no es eso posible con la información? ¿Es que no tiene, de cara a sus servicios de negocio, la misma importancia el dinero que la información que custodian?

Bueno, recomiendo el post que no tiene desperdicio y felicidades al autor por ilustrar tan limpiamente este curioso incidente en el post Iteisa:Rompiendo el eslabón más débil de la seguridad bancaria
miércoles, 22 de noviembre de 2006 0 comentarios

Valor procesal de la prueba informática

Tenía pendiente de publicar un excelente artículo de José-Ernesto Fernández Pinós,
Fiscal Coordinador del Servei Especial de Noves Tecnologies de la Fiscalia del
Tribunal Superior de Justícia de Catalunya que aparece publicado en la página de la Agencia Catalana de Protección de Datos

Los tecnólogos desconocemos muy a menudo las reglas jurídicas que arbitran nuestras actividades, así como las garantías que nuestro sistema judicial exige de cara a recolectar pruebas.

Este artículo explica con todo tipo de detalles el valor de la prueba informática. El documento puede leerse en Valor procesal de la prueba informática
miércoles, 15 de noviembre de 2006 1 comentarios

Blink Personal, la protección perimetral definitiva

Vía Net-security y Genbeta quiero hoy dar a conocer una excelente aplicación de la gente de eEye para la protección personal del PC.

eEye ya destaca por varias suites de seguridad informática, siendo las mas conocidas Iris y Retina. Ahora se introduce en el mundo freeware para usos no comerciales proporcionando una herramienta completa de protección perimetral. Destaca frente a otras, que contempla muchos más aspectos que otros firewalls gratuitos.Entre ellas, podemos encontrar:

- Firewall de sistema: control del trafico por protocolos y puertos.

- Firewall de aplicación: control del tráfico por programa.

- Detector de intrusos: reconoce los patrones de tráfico entrante e identifica y bloquea el tráfico malicioso.

- Protección frente al robo de identiddad: identifica los intentos de acceso y recolección de información personal del PC.

- Protección del sistema: dispone de varios métodos para proporcionar una protección proactiva contra buffer overflow y ataques "zero-days".

- Escaneo local de vulnerabilidades: identifica las vulnerabilidades presentes en el sistema, indicando su código CVE y los enlaces donde pueden encontrarse los parches y soluciones.


Es gratuito para usos no comerciales. Puede descargarse, previo registro en eEye-Blink Personal.
viernes, 10 de noviembre de 2006 1 comentarios

Vuelta de vacaciones

Por recuperar las entradas con su temática habitual, de China me traigo algunas fotos espectaculares.
Como más significativa e impresionante, su famosa muralla de protección perimetral que a lo largo de una larga extensión les sirvió para protegerse de las constantes invasiones de los pueblos limitrofes.

 
;