Archivo

Archive for the ‘Seguridad’ Category

Seguridad en IPv6

Con la ya realidad de la puesta en marcha de IPv6 son muy comunes las dudas sobre los distintos fallos de seguridad que puedan ir surgiendo debido a que es un sistema que aunque ofrece muchas posibilidades, cierto es que muchas de las aplicaciones y sistemas actuales todavía no se encuentran preparados para soportar dicho protocolo.

Hoy he podido leer que uno de los IDS (Sistema de detección de Intrusos) más utilizados, el Snort ( utilizado de base para Juniper, Checkpoint, etc.) puede no detectar un ataque modificando el paquete de IPv6 en su cabecera.

Desde la web de Iniqua han desarrollado un sistema de detección de puertos de IPv6 (Topera) que pasa inadvertido para Snort y que nos invitan a testearlo para seguir investigando las implicaciones de este nuevo protocolo en cuanto a seguridad se refiere.

Aquí os paso el link: http://www.iniqua.com/labs/topera-invisible-tcp-scanner/.

Anuncios
Categorías:IPv6, Seguridad, Servicios Etiquetas: , , ,

Cifrar carpetas y ficheros en discos externos.

Con el auge de las memorias externas cada vez con mayor capacidad y menor tamaño, a todos se nos ha pasado alguna vez por la cabeza (a otros nos ha pasado realmente) que pasaría si perdiésemos nuestros pequeños dispositivos. Como podríamos proteger dicha información para que en el caso comentado quede inutilizada.

Tras mirar muchas opciones creo que una de las más simples es TrueCrypt.

TrueCrypt es una aplicación gratuita (http://www.truecrypt.org/downloads) que nos permite crear volúmenes cifrados de forma muy sencilla tanto en nuestros discos internos como externos simplemente instalando la aplicación tal y como indicamos más abajo:

TrueCrypt1

Para el caso que tengamos que instalarlo en una memoria externa le damos a la opción Extract y nos creará una carpeta en nuestro disco externo donde podremos ejecutar la aplicación.

En la siguiente pantalla le diremos donde queremos que nos instale la aplicación. Es importante resaltar que es en este paso donde le diremos en que unidad se instala sea interna o externa.

TrueCrypt2

Una vez instalado ya podemos ejecutarlo y la primera pantalla sería la siguiente:


TrueCrypt3

Le damos a Create Volume:

TrueCrypt4

Creamos el fichero que queremos encriptar:

TrueCrypt5

Elegimos el tipo de encriptación:

TrueCrypt6

Por ultimo le decimos el tamaño que queremos que tenga el fichero:

TrueCrypt7

En la siguiente pantalla le diremos la contraseña que utilizaremos para encriptar el fichero y después procederá a formatearse el volumen elegido.

A partir de ese momento ya tendremos en nuestra unidad un fichero con el nombre elegido y sin formato reconocible. Para abrirlo deberemos ejecutar el TrueCrypt y darle a la opción de Select File, nos pedirá la contraseña y ya tendremos nuestro volumen disponible.

Categorías:Seguridad Etiquetas: , , ,

Freedom on the net

Después de bastante tiempo sin escribir ningún post he decidido volver a hacerlo con una noticia que dado los tiempos que corren me ha preocupado bastante.

La noticia (fuente 20minutos.es) viene encabezada con el título: “Cada vez más países limitan el acceso a Internet para reprimir a sus críticos”. Y la verdad es que no tiene desperdicio:

“Las restricciones gubernamentales sobre Internet han aumentado progresivamente en todo el mundo, en el último año. Los regímenes usan la violencia contra blogueros junto con la censura y el arresto para sofocar las peticiones de reformas, según ha concluido un nuevo informe de un grupo activista estadounidense.

El informe se divulgó el mismo día en que Vietnam envió a prisión a tres reconocidos blogueros por sus críticas hacia el Gobierno. Las quejas tocaron temas de propiedad de tierras y corrupción.”

En un mundo en el que si sales a la calle corres el riesgo de llevarte algún “porrazo” solo falta que nos impidan hablar libremente en nuestros blogs, escribir, leer, debatir….en definitiva PENSAR y tener ideas propias. Creo que eso es lo que no les gusta así que….seguiremos por este camino!!!!

Para acabar con el post copio un párrafo de la misma noticia que me ha parecido muy interesante:

“Estonia tiene una cultura online evolucionada, que incluye la votación por Internet, el acceso a los registros médicos electrónicos y una de las restricciones de contenido más leves del mundo, según determinó el grupo. Estados Unidos se ha quedado atrás en términos de velocidad de navegación y de acceso a la banda ancha.”

 

 

Los beneficios de la Cloud

Desde la web de idg.es han compartido un video en su sección “About the Cloud” muy interesante y que aquí os enlazo:

http://www.idg.es/cloudprivada/VideoCloudComputing.aspx?id=2944

Pagar con dispositivos móviles.

Esta semana hemos sabido que Visa y Vodafone han firmado un acuerdo para permitir a sus usuarios pagar con sus dispositivos móviles.

La nueva propuesta de pago por móvil se lanzará inicialmente en Alemania, los Países Bajos, España, Turquía y el Reino Unido a partir de su próximo ejercicio fiscal aunque el operador quiere incorporar a este proyecto otros países progresivamente.

En cuanto a la tecnología utilizada para realizar el pago, también hemos leído en los últimos días, gracias al MWC (Mobile World Congress) celebrado en Barcelona, que Visa y Samsung dieron a conocer una aplicación para realizar el pago vía móvil:

La aplicación está basada en la tecnología Visa payWave que habilita los pagos sin contacto en el punto de venta. Para efectuar un pago, el cliente simplemente sostiene el teléfono delante de un lector sin contacto o contactless en el punto de compra. Las compras por más de 15 libras requerirán contraseña o PIN para el celular. La aplicación también permite al usuario ver su historial de transacciones, así como el saldo actual de su cuenta. Respaldados por múltiples capas de seguridad y por la fiabilidad de la plataforma de prcesamiento de Visa, los pagos sin contacto con dispositivos móviles están protegidos bajo los mismos términos y condiciones que aplican a las tarjetas Visa. (DiarioTi.com)

Desde hace bastante tiempo muchos de los terminales de última generación con los que trabajamos día a día ya incorporan la tecnología NFC (Near Field Communication), que se basa en una tecnología de comunicación inalámbrica, de corto alcance y alta frecuencia que permite el intercambio de datos entre dispositivos a menos de 10cm.

Personalmente creo que este avance puede inicialmente generar dudas similares a la tecnología Cloud (“en la nube”) en cuanto a seguridad sobretodo, pero al final entiendo que deberán aparecer marcos regulatorios concretos que traten estos avances para poder resolver las dudas de los usuarios o como mínimo darle el respaldo necesario para que se vayan incorporando dichos avances a nuestra vida.

Clonan el sitio web de Microsoft Update

(Fuente DiarioTi.com)

Los ataques a través de falsos antivirus se han convertido en lo últimos tiempos en una de las amenazas más habituales de la red.

Una de las últimas amenazas aparece en el explorador Firefox hace referencia al sitio web de Microsoft Update, y con dicha amenaza se pretende que los usuarios instalen software malicioso haciendose pasar por una de las actualizaciones de Microsoft Update.

Para evitar dicha amenaza hay que tener claro que el sitio oficial de Microsoft Update requiere del explorador de Internet Explorer y NO DE FIREFOX.

Los 10 mandamientos de la seguridad de la información en la empresa

(Fuente diarioti.com)

“La existencia misma del caso Wikileaks determinó un antes y un después en cuanto a lo que a fuga de información se refiere. No es que antes no ocurriera, sino que- en la mayoría de las ocasiones- las fugas no se hacen públicas para salvaguardar la imagen de las empresas e instituciones. Además, el incidente permitió entender que si este tipo de incidentes puede sucederle a organizaciones tan grandes y preparadas, podría ocurrirle también a empresas y organizaciones más pequeñas”, aseguró Federico Pacheco, Gerente de Educación e Investigación de ESET Latinoamérica.

Definirás una política de seguridad: Es el documento que rige toda la seguridad de la información en la compañía. Se recomienda que no sea muy extensa (ningún empleado podrá comprometerse con un documento excesivamente extenso), que sea realista (pedirle a los empleados cosas posibles para mantener la credibilidad) y que se les de valor. Es preferible, además, que las mismas sean entregadas a los empleados por los altos cargos o por el departamento de Recursos Humanos, en lugar del soporte técnico de IT, para que le asignen mayor importancia.

Utilizarás tecnologías de seguridad: Son la base de la seguridad de la información en la empresa. Una red que no cuente con protección antivirus, un firewall o una herramienta antispam estará demasiado expuesta como para cubrir la protección con otros controles. Según lo presentado en el ESET Security Report Latinoamérica, el 38% de las empresas de la región se infectaron con malware el último año.

Educarás a tus usuarios: Los usuarios técnicos o del departamento de IT suelen ser omitidos en este tipo de iniciativas, como si estuviera comprobado que están menos expuestos a las amenazas informáticas. Según las estadísticas de ESET, el 45% de los ataques informáticos detectados en la región utiliza técnicas de Ingeniería Social- es decir, que atentan contra el desconocimiento del usuario para infectarlo. Por ello, es fundamental que toda la empresa forme parte de los procesos de educación y capacitación.

Controlarás el acceso físico a la información: La seguridad de la información no es un problema que deba abarcar sólo la información virtual, sino también los soportes físicos donde ésta es almacenada. ¿Dónde están los servidores? ¿Quién tiene acceso a éstos? Sin lugar a dudas, el acceso físico es fundamental. También deben ser considerados en este aspecto los datos impresos, el acceso físico a oficinas con información confidencial (el gerente, el contador, etc.) o el acceso a las impresoras.

Actualizarás tu software: Las vulnerabilidades de software son la puerta de acceso a muchos ataques que atentan contra la organización. Según el informe sobre el estado del malware en Latinoamérica elaborado por ESET, el 41% de los dispositivos USB están infectados y el 17% del malware utilizan explotación de vulnerabilidades. Mantener tanto el sistema operativo como el resto de las aplicaciones con los últimos parches de seguridad, es una medida de seguridad indispensable.

No utilizarás a IT como tu equipo de Seguridad Informática: Es uno de los errores más frecuentes, por lo que es importante recordar que la seguridad no es un problema meramente tecnológico. Debe existir un área cuyo único objetivo sea la seguridad de la información para que ésta no pueda ser relegada por otros objetivos asociados a la usabilidad, como por ejemplo la instalación y puesta a punto de determinado servicio, según las necesidades comerciales.

No usarás usuarios administrativos: De esta forma, una intrusión al sistema estará limitada en cuánto al daño que pueda causar en el mismo.

No invertirás dinero en seguridad sin un plan adecuado: La seguridad debe ser concebida para proteger la información y, por ende, el negocio. Hacer inversiones en seguridad sin medir el valor de la información que se está protegiendo y la probabilidad de pérdidas por incidentes puede derivar en dinero mal invertido o, básicamente, en dinero perdido.

No terminarás un proyecto en seguridad: La seguridad debe ser concebida como un proceso continuo, no como un proyecto con inicio y fin. Es cierto que pequeñas implementaciones de los controles pueden necesitar de proyectos, pero la protección general de la información es una necesidad permanente del negocio que debe encontrarse en mejora continua.

No subestimarás a la seguridad de la información: Entender el valor que asigna al negocio tener la información protegida es clave. Muchas empresas, especialmente las pequeñas y medianas, no pueden recuperarse de un incidente de gravedad contra la seguridad de la información.

Categorías:Seguridad
A %d blogueros les gusta esto: