Los días 2 y 3 de Octubre del 2008, se realizará en Buenos Aires, Argentina, la (4th edition) del evento Ekoparty 2008, y son muchas las sorpresas que nos tienen preparadas para este evento.
Ekoparty es una conferencia internacional orientada a la investigación y desarrollo en seguridad informática. Cuenta con conferencistas internacionales, extranjeros y locales, donde los temas que se trataran son seleccionados de manera minuciosa para evitar caer en los errores de algunas otras con de seguridad a nivel mundial. Y no todo son charlas y conferencias, también hay actividades muy entretenidas como desafíos de lockpicking, wardriving por la ciudad, talleres y trainings orientados a diferentes tipos de publico.
Programa:
- Keynote: Hacking Has An Economy of Scale – Dave Aitel
- Debian’s OpenSSL random number generator Bug Luciano Bello – Maximiliano Bertacchini
- A domain specific language for static binary analysis – Julien Vanegue
- SAP Security – PenTest It, Secure It! – Mariano Nuñez Di Croce
- Smartphones (in)security – Nicolas Economou – Alfredo Ortega
- Code Injection On Virtual Machines – Nicolas Economou
- In-depth Anti-Forensics – Challenges of Steganography on Discovering Hidden Data – Domingo Montanaro
- Atacando RSA mediante un nuevo método de factorización de enteros – Hugo Scolnik
- Adobe javascript al descubierto – Pablo Solé
La página para la inscripción de asistentes ya está abierto. Los costos referenciales son los siguientes:
U$D 65 aprox. + impuestos (Hasta el 19 de Septiembre)
En la puerta: U$D 116 aprox. + impuestos.
Esperamos poder estar entre los asistentes.
Mayor información en la web oficial del evento.
Referencia: La Comunidad DragonJAR
Filed under eventos, seguridad, seminarios by on Aug 27th, 2008. Comment. 
Gracias a la gente de Diario Expreso por la invitación a opinar sobre el tema “Contraseñas“.
“Toda contraseña es descifrable”
Es director de Inforc Ecuador (www.inforc.ec), empresa que provee soluciones de seguridad informática. Carlos Jumbo dice que aunque se están creando alternativas, la opción más práctica siguen siendo las claves.
¿Qué peligros supone la utilización del sistema de contraseñas?
La suplantación de identidad es muy frecuente en todos los niveles socioeconómicos.En el país periódicamente se denuncian casos de suplantación a raíz de una pérdida de cédula, por ejemplo; en Internet hacerlo es mucho más fácil; solo basta conocer algunas características de la persona a suplantar para cometer el delito.
¿Claves son una buena defensa?
Una contraseña fuerte nos garantiza que nuestros datos en los sitios de Internet no sean revelados, pero siempre existirán vulnerabilidades que en algún momento puedan poner en peligro nuestros datos, por citar; detección de bugs (error de software) que pueden ser aprovechados por hackers para desfases (alteración/modificación de sitios Web).
¿Qué es lo más recomendable al momento de crear una contraseña?
Se debe considerar que la contraseña es la primera barrera de seguridad contra los accesos no autorizados al equipo, así que mientras más fuerte sea más tiempo tardará un atacante en descubrirla, está comprobado que una contraseña que tiene más de siete caracteres incluyendo especiales como: &?!·@s#, mayúsculas y minúsculas, se la puede determinar como lo suficientemente fuerte.
¿Existen claves indescifrables?
En teoría todas son descifrables, es cuestión de tiempo. Si una clave tiene 7 caracteres incluidos los especiales, un atacante tardaría 2,21 años para descifrarla; la misma cantidad de caracteres pero en minúsculas y sin especiales tardaría 2,23 horas, en el caso de 10 caracteres especiales el tiempo para descubrirla sería de 1,899 milenios.
¿Es preferible utilizar una misma clave para varios servicios?
Se puede, pero lo ideal es tener entre 2 ó 3 dependiendo de la cantidad de servicios en la web y su confiabilidad.
¿Qué tan fácil sería cambiar a un nuevo sistema de inicio de sesión?
Existen alternativas, pero hasta el momento la contraseña sigue siendo el sistema más seguro. El proyecto OpenID es el más promocionado, que es un sistema de identificación digital.
¿Cómo se maneja el recordarlas?
Es cuestión de práctica y preocuparnos de la calidad. (AGV)
Filed under consejos, seguridad by on Aug 18th, 2008. 4 Comments.
Jesús Torrecillas, consultor de Seguridad de Cemex, con motivo de la segunda edición del bSecure Conference, ha identificado los 10 errores más frecuentes que cometen los directivos en este terreno.
Primer error: Asignar a gente sin experiencia el mantenimiento de la seguridad informática y no dar formación para aprender en qué consiste la prevención de la fuga de información y los cambios inherentes a la naturaleza del puesto.
Segundo error.- Falta de comprensión entre la relación de seguridad de la información con los problemas del negocio. Informática es un área del negocio, no lo es todo.
Tercer error.- Falta de conocimiento y de compresión sobre los aspectos de la operación de Seguridad de la Información.
Cuarto error.- Confiar la seguridad de la información solamente en los firewalls e IPS, IDS, UTM, etcétera.
Quinto error.- Que el departamento de Seguridad de la Información dependa del departamento de Informática. El departamento de Informática debe contar con herramientas para auto-auditarse para que cuando le toque la auditoría externa resulte más o menos bien.
Sexto error.- Dejar sólo en manos de proveedores externos la operación de la seguridad informática, y la operación crítica de informática.
Séptimo error.- No darse cuenta del valor de la posesión de la información y la reputación de la compañía.
Octavo error.- Reaccionar reactivamente, dando soluciones breves o haciendo parches para solucionar problemas que luego se reproducirán periódicamente.
Noveno error.- Pretender que los problemas no aparecerán si son ignorados.
Décimo error.- Ocultamiento de problemas entre los departamentos de tecnología informática y de Seguridad de la Información por desviación de presupuestos. (IT versus Seguridad).
Nota completa: Netmedia
Filed under consejos, seguridad by on Aug 18th, 2008. 1 Comment.
Los directivos de IT no están al tanto de la cantidad de “pendrives” inseguros que son introducidos en sus empresas.
Una encuesta realizada en los EE UU a usuarios finales corporativos y gerentes de IT, demuestra que; el 77% de los usuarios corporativos han utilizado estas unidades personales para propósitos laborales.
Sin embargo, cuando se les pidió estimar el porcentaje de la fuerza laboral que emplea “pendrives” en la empresa, los Directores de Sistemas respondieron que era de un 35%.
Por otra parte los usuarios revelaron que los archivos que más probabilidad tienen de ser copiados a un “pendrive” personal incluyen:
- Registro de clientes (25%).
- Información financiera (17%).
- Planes de negocios (15%).
- Registros de empleados (13%).
- Planes de mercadotecnia (13%).
- Propiedad intelectual (6%) y
- Código fuente (6%).
Por otra parte, los datos de la encuesta indicaron que existe una importante probabilidad de pérdida de “pen drives” con la consiguiente pérdida de información.
Además el 2% de los usuarios corporativos reportó haber encontrado perdido algún “pendrive” en algún lugar con acceso al público.
La mayoría de los CIO es consciente de que la fuga de datos puede derivar en robos de identidad, compromiso con respecto a la propiedad intelectual y pérdida de secretos comerciales, así como daño a las actividades de relaciones públicas y las finanzas de las empresas.
El sondeo demuestra que, si bien hay conciencia de los riesgos potenciales que implica el uso de “pendrives”, los ejecutivos de IT necesitan políticas, educación y soluciones tecnológicas más efectivas para reducir los riesgos.
Sólo un esfuerzo que involucre la administración de dispositivos encriptados, el monitoreo de datos y la aplicación centralizada de políticas, reducirá los riesgos al tiempo que permitirá a las compañías enfatizar la conveniencia de la movilidad o del trabajo fuera de la oficina.
Filed under seguridad by on Aug 9th, 2008. 1 Comment.
- La migración de cintas a discos.
- El cambio en el panorama y los objetivos de los ataques informáticos.
- La gobernabilidad de las TI y,
- La “consumerización” de las tecnologías de información.
Son las cuatro tendencias clave que conformarán los planteamientos futuros encaminados a administrar el creciente volumen de datos, lo afirma Bill Robbins de Symantec Corp.
La información generada en las medianas y grandes empresas tiene en promedio un crecimiento de 50% anual, lo que significa que cada dos años, la cantidad de información que las organizaciones necesitan proteger y administrar, se duplica.
Como resultado del gran crecimiento de datos, las plataformas heterogéneas y múltiples áreas de operaciones, la complejidad de TI, incrementa la exposición a los riesgos, obstaculiza la productividad y hace que puedan producirse pérdidas.
Nota completa: Presentan nuevas tendencias para el manejo y protección de información
Filed under Symantec by on Aug 8th, 2008. 1 Comment.
PandaLabs ha detectado un correo electrónico que utiliza un supuesto espionaje del FBI (Federal Bureau Investigation) sobre Facebook, una de las principales redes sociales, para distribuir el gusano Nuwar.XM.
El asunto del mensaje es “FBI wants instant access to Facebook” (El FBI quiere acceso instantáneo a Facebook) y en el cuerpo del mismo se puede leer: “Facebookk FBI tie´s” (Lazos entre el FBI y Facebook) junto con un link que supuestamente dirige a la información. Si el usuario pincha sobre ese link, será llevado a una página web. En ella encontrará el siguiente texto: “Your download will Star shortly. If your unable to read the article, save it and run on your computer” (Tu descarga comenzará pronto. Si no puedes leer el artículo, guárdalo y ejecútalo en tu ordenador). Las palabras “save it” van vinculadas. Como nunca se muestra el artículo, el usuario se ve tentado a pinchar sobre ese vínculo. En el momento que lo haga, estará descargando en su equipo una copia del gusano.
“La utilización de imágenes eróticas, asuntos noticiosos, etc. para incitar al usuario a ejecutar archivos o seguir vínculos se conoce como ingeniería social. Pese a que este tipo de técnicas se lleva usando desde hace ya bastante tiempo, son mucho los usuarios que siguen cayendo en ellas, razón por la cuál los ciberdelincuentes continúan utilizándolas, actualizando tan sólo los asuntos para hacerlos más atractivos y actuales”, explica Luis Corrons, director técnico de PandaLabs.
Se recomienda desconfiar de noticias, vídeos, imágenes, etc. Que nos lleguen a través del correo electrónico procedentes de usuarios desconocidos, ya que en la mayoría de los casos se tratará de malware.
Fuente: PandaLabs – Boletín Elecrónico
Imagen: Sitio en Flickr de PandaSecurity
Filed under fraudes, ingeniería social by on Aug 2nd, 2008. 2 Comments.
Comentarios Recientes