Software de evaluación de seguridad para entornos SAP
Cybsec-Labs, el laboratorio de investigación de Cybsec Security Systems ha anunciado el lanzamiento de SAFE Free, un software libre para evaluar el nivel de seguridad de entornos SAP R/3.
Con SAFE Free podrá conocer en forma automática y sencilla si una instalación SAP cumple con los principales requerimientos de seguridad que exigen las auditorias y las regulaciones internacionales (Sarbanes Oxley Act, HIPAA, PCI, CobIT, etc.).
SAFE Free está orientada a facilitar y agilizar las actividades de mantenimiento y verificación de seguridad que llevan adelante las personas involucradas en el mantenimiento y control de seguridad de los entornos SAP.
Contenido completo en Cybsec
Fuente: Cybsec
Sugerencias para no ser víctimas de atacantes
Resumen a mostrar
Las vacaciones no sólo son tiempos felices para nosotros, sino también para los piratas informáticos. Lejos de casa, usamos los puntos de acceso Wi-Fi y cibercafés para leer noticias, ver el mail y pagar facturas. Los riesgos de robo de datos y suplantación de identidad son serios y concretos, si no se toman en cuenta algunas reglas de seguridad básicas.
Si se requiere bastante esfuerzo para mantener nuestra PC a salvo de invasores, ¿qué puede esperarse de un equipo que usan varios cientos de personas por mes?
Contenido completo en
Fuente:http://www.lanacion.com.ar/nota.asp?nota_id=1231121
Presentarán proyecto de ley para regular el e-commerce y contenidos de Internet
Cámaras del sector del comercio electrónico, de las telecomunicaciones y proveedores de acceso a la red ultiman los detalles de una noma que busca dar un marco legal a estas actividades. La propuesta, que será presentada ante los legisladores, promete encender la polémica. En exclusiva, los detalles.
Cámaras que integran empresas de Internet y telecomunicaciones trabajan en un proyecto de ley que busca regular el comercio electrónico y los contenidos en la red en la Argentina.
La iniciativa, que será presentada en marzo próximo a los legisladores, es impulsada por las entidades CACE (comercio electrónico), Cabase (proveedores de Internet) y Cicomra (telcos y fabricantes de equipos de comunicaciones), entre otras.
En la propuesta trabajan abogados de Google y Yahoo, los dos principales buscadores de contenido en el mundo, y de MercadoLibre.com, el principal portal de subastas en línea de la Argentina.
“El proyecto ya está escrito y finalizado y lo están revisando los abogados”, dijo a iProfesional.com Gastón Funes, gerente general de la filial argentina de BuscaPé, un comparador de precios de comercio electrónico de origen brasileño y miembro de la CACE.
Una vez que esté concluido el texto de la norma, las cámaras buscarán al o los legisladores que se animen a llevarlo adelante.
Las cámaras trabajan en el texto desde mucho antes que se conociera la semana pasada que la Administración Federal de Ingresos Públicos (AFIP) implementará mayores controles en el comercio electrónico para incrementar el nivel de facturación del sector.
Marco legal
La iniciativa conjuga dos aspectos críticos de la actividad basada en Internet en la Argentina: el e-commerce y los contenidos.
En el primer caso, se busca con esta norma precisar los requisitos legales para realizar transacciones “online”.
En el segundo, deslindar las responsabilidades ante la Justicia de los buscadores, que deben enfrentar acciones judiciales de personajes de la farándula o de otras personas que reclaman la eliminación de menciones que consideran injuriosas en los resultados de consultas de estas compañías, como Google y Yahoo.
Se busca seguir el camino iniciado en 2008 con la reforma del Código Penal conocida como "ley de delitos informáticos" (ley 26.388), que establece castigos para la violación del e-mail y la publicación de pornografía en la red.
Trámite legislativo
Según Funes, hay esperanza entre las cámaras que este proyecto, que consideran estratégico para sus actividades, pueda avanzar en el Congreso.
Desde hace más de un año las entidades trabajan en borradores del texto, pero no los elevaron a los parlamentarios, debido a que éstos estaban abocados a otras cuestiones, como la resolución 125/09 de las retenciones agropecuarias, las elecciones legislativas del 2009 y la ley de medios de comunicación. “Esperemos que ahora lo de (el titular del banco Central, Martín) Redrado no nos frene”, confió el ejecutivo.
Si se sanciona la norma, se establecerá un marco legal similar al que existe en otras naciones, como Brasil, en cuanto a comercio electrónico.
En el país vecino, todas las tiendas de comercio electrónico deben exhibir en la web su registro fiscal (en el caso de la Argentina será el CUIT) y se hacen responsables de ofrecer una garantía de un año por los productos que venden. Además deberá constar en la web el domicilio real y un teléfono fijo. “En los mercados donde el e-commerce explotó existen este tipo de regulaciones”, apuntó el ejecutivo.
En cambio en la Argentina predomina, según Funes, una “zona gris”, donde no quedan claros estas responsabilidades y deberes por el lado de los vendedores.
La semana pasada, representantes de la CACE se reunieron con autoridades de la Administración Federal de Ingresos Públicos, a la que pusieron al tanto de este proyecto de ley.
La fragua de un proyecto
El texto de la iniciativa fue elaborado por una comisión específica en la CACE, que dirige el abogado Jacobo Cohen Imach, de MercadoLibre, secundado por sus colegas Pedro Less Andrade (Google), Jacqueline Berzón (Yahoo), Leandro González Frea (Estudio Gonzalez Frea - Naudim & asociados), José Fernández Escudero (Estudio Zang, Bergel & Viñes), y Clara Maria Costamagna.
La comisión identificó posibles obstáculos al desarrollo del e-commerce e Internet en el país, y trabajó en el análisis y propuestas de adecuación, armonización, actualización e implementación de los marcos jurídicos necesarios persiguiendo los siguientes objetivos:
- El resguardo del "acceso libre e irrestricto a la información y al conocimiento y que asegure los valores de la justicia, la libertad, la equidad y el respeto de los demás derechos inherentes a las personas".
- La no generación de "interferencias en el desarrollo de la industria, ni hagan más onerosa la actividad, ni impongan cargas en detrimento a la industria por llevarse a cabo por medios telemáticos, ni costos innecesarios y que ayuden a fomentar la inversión en el sector".
- El abarcado de "temas relacionados con comercio electrónico; Internet como un nuevo marco social; el rol, responsabilidad, derechos y obligaciones de los distintos prestadores de servicios de la sociedad de la información; defensa del consumidor digital procurando que otorgue a los consumidores que participen del comercio electrónico una protección transparente y efectiva; los contratos virtuales, derechos intelectuales en Internet, entre otros".
- El impulso del "desarrollo de Internet como una red libre y abierta".
- El fomento de "la innovación, inversión, la investigación y el desarrollo de las TIC en el país”.
En cuanto a los contenidos, la norma tratará de limitar la responsabilidad de los buscadores y de los sitios donde se publican comentarios de los “internautas”.
Con este proyecto, se buscará poner coto a los reclamos de personas (muchas de ellas vedettes) que, en los últimos años, consiguieron fallos favorables en la Justicia para que sus nombres no aparezcan en resultados de búsquedas “online” donde se las relaciona con pornografía.
Otros obstáculos
Pero además de la existencia de estas zonas grises legislativas, el comercio electrónico, según Funes, enfrenta otros problemas. Por ejemplo, la falta de oferta de las principales cadenas de ventas de electrodomésticos.
Recién a mediados de 2009 Garbarino empezó con la venta “online”, entendiéndose como tal aquella que se inicia y finaliza exclusivamente por Internet. Y Frávega, otro jugador de importancia, hará lo propio este año.
Otros obstáculos son la baja bancarización de la población y el escaso uso de herramientas de pagos electrónicos, si se lo compara con lo que sucede en Brasil. Se trata de trabas de índole cultural más que tecnológicas o legales.
Crecimiento
Según un informe de la consultora Prince & Cooke, el comercio electrónico en la Argentina tendrá un crecimiento estimado de 25 a 30% este año en comparación con los $5.240 millones que movió el año pasado.
Entre los factores que lo potenciarán se encuentra la creciente cantidad de usuarios de Internet y la penetración cada vez mayor de servicios de comercio electrónico dentro de las grandes y medianas empresas.
De acuerdo con Prince & Cooke, cerca del 26% de los usuarios de Internet en el país compra a través de canales de comercio electrónico. Hacia fines de año, habrá cerca de 26 millones de usuarios en la Argentina.
César Dergarabedian
Fuente: iProfesional
Día por la Seguridad en Internet: Piensa antes de publica
Hoy 9 de febrero, organizado por INSAFE, se celebra simultáneamente en más de 60 países la séptima edición del "Día Internacional por la Seguridad en Internet". Este año el lema escogido es "Piensa antes de publicar (Think B4 U Post!)".
INSAFE es una iniciativa Europea cuyo objetivo principal es concienciar a instituciones, educadores y padres con el fin de promover el uso seguro y responsable de las Tecnologías de la Información entre menores y adolescentes.
En el portal de INSAFE, existe un repositorio en el que contribuyen los portales asociados y donde se publican tanto materiales descargables como referencias en forma de enlaces web.
En INTECO-CERT se va a cumplir el primer aniversario de la aparición de la sección dedicada a los menores y desde la fecha de su publicación, no se ha dejado de trabajar en todos los temas relacionados con la protección de los más pequeños frente a Internet. Se puede decir que INTECO-CERT tiene un alto grado de compromiso en este ámbito y somos conscientes que la seguridad de los menores es una de las líneas de actuación sobre las que debemos trabajar y potenciar.
Actualmente existen referencias clasificadas en dos grupos con unas orientaciones de contenidos específicas, y accesibles tanto desde INTECO-CERT como el portal de la OSI :
- Padres y educadores : esta sección está compuesta de una serie de conceptos básicos de seguridad a la que le siguen toda una serie de guías, estudios, herramientas y referencias que tratan de ofrecer a padres y educadores toda la información necesaria para conocer y afrontar las amenazas a las que están expuestas los menores.
- Menores : de un modo mucho más distendido y con un lenguaje adaptado a los más pequeños, esta sección ofrece contenidos para dar a conocer las amenazas a las que está expuesto un menor u adolescente sin renunciar a las ventajas que ofrece Internet.
Fuente: INTECO
La biblioteca digital de Google deberá esperar
Mediante un dictamen, el Departamento de Justicia de Estados Unidos sostuvo que el proyecto de Google Books no respeta los “derechos de autor”. La iniciativa, lanzada hace más de 5 años, fue duramente cuestionada por ser “monopólica”.
El Departamento de Justicia de Estados Unidos aseguró este viernes que en el acuerdo entre Google y autores y editores de ese país incurre en prácticas monopólicas y añadió que se respetan “poco” los derechos de autor. Sin embargo, la cartera tuvo en cuenta el “progreso” en las negociaciones entre las partes para implementar una biblioteca digital.
El dictamen de Washington indicó que el texto del acuerdo “sigue confiriendo a Google, como entidad única, ventajas significativas y posiblemente anticompetitivas y, por ello, permite a la compañía ser el único competidor en el mercado digital con derechos para distribuir y explotar un gran abanico de obras en múltiples formatos”.
Asimismo, afirmó que la unión entre Google y editores se podría convertir en un “cártel literario” con demasiado poder para imponer los precios de los libros.
En 2005, el buscador online recibió la primera demanda. Tiempo antes, había lanzado Google Books, un proyecto que buscaba digitalizar y explotar online millones de libros.
Tras una orden judicial, Google modificó su idea original y decidió limitar el alcance de su proyecto al ámbito anglosajón. Sin embargo pese al avance de las negociaciones, para el Departamento de Justicia éstas aún no son suficientes.
El texto que se dio a conocer este viernes señaló que el arreglo no protege de manera adecuada los derechos de autor ni los intereses financieros de las “obras huérfanas”, libros que ya no se imprimen y de cuyos autores se desconoce su paradero.
Sin embargo, Washington resaltó que Google haya eliminado la “cláusula de la nación más favorecida”, un artículo que garantizaba que el buscador online gozaría de cualquier mejora que pudiera contener un hipotético nuevo acuerdo firmado entre un competidor y los autores y editores de Estados Unidos.
En un comunicado el portavoz de Google Gabriel Stricker señaló que el dictamen del Departamento de Justicia “reconocen el progreso realizado con el acuerdo enmendado y refuerza una vez más el valor que el acuerdo puede suponer al desbloquear el acceso a millones de libros en Estados Unidos” pero omitió mencionar si la empresa y las partes implicadas están dispuestas a hacer más cambios al acuerdo comercial.
Fuente: Diario Judicial
Firefox avisa sobre dos extensiones con código malicioso
Desde el blog de Firefox han publicado un aviso de seguridad relacionado con dos complementos de su navegador que contiene código malicioso, las extensiones afectadas son Sothink Web Video Downloader 4.0 (en este momento la última versión es la 5.7) y todas las versiones de Master Filer.
En Sothink Web Video Downloader se ha encontrado el archivo malicioso Win32.LdPinch.gen, mientras que en Master Filer se ha descubierto el troyano Win32.Bifrose.32.Bifrose.
Actualmente ambos complementos se han deshabilitado.
Fuente: WebSecurity
Nueva versión 2.1.1 de Nikto
Hoy les dejo un post mas bien corto pero importante. El 30 de Enero pasado los muchachos de CIRT liberaron la versión 2.1.1 de Nikto. Esta es una excelente herramienta de auditoría, por lo que les recomiendo a todos aquellos interesados en la auditora de seguridad que lo descarguen, y para aquellos que ya lo tienen que lo actualicen.
Les dejo los links de descarga:
Descarga: Version 2.1.1 .gz o .bz2
Leer más: http://insegar.blogspot.com/2010/02/nueva-version-211-de-nikto.html#ixzz0ewqZahQ4
Y a continuación les dejo el changelog (registro de cambios):
2010-02-01 Nikto 2.1.1
* Ticket 117: Fixed SKIPPORTS
* Ticket 116: Moved User-Agent string to nikto.conf
* Ticket 116: Added dynamic variables to User-Agent (Testid, Evasion methods)
* Ticket 95: Added support for OSVDB, now the fun bit of filling it in
* Ticket 111: Basic syntax checks for all databases
* Ticket 109: Added an extra optional element to xml output to contain the SSL date. Need to do similar for html, txt and csv
* Ticket 106: Shorts authentication being successful if an error is returned
* Ticket 107: Support for short reads in LW2.5
* Ticket 98: If -Format is missed guess the format based on file extension in -output. Default is none if -output is omitted.
* Ticket 96: Multiple index file enhancements for groups and better unique file identification
* Ticket 103: content in xml report is now wrapped in CDATA
* Ticket 110: Mutate now respects db variables
* Ticket 97: Fix for response caching
* Ticket 99: Spelling disagreements between Brits and Americans
* Added @RFIURL to nikto.conf for a remote file include location, and supporting code.
* Added ~2300 RFI tests from the combined RSnake/OSVDB list
* Removed NMAP and NMAPOPTS from nikto.conf as it is no longer used/supported
* Reporting: simplify xml/html code, fix a bug when a space is in the uri, and load ony needed templates
* Upgrade to LibWhisker 2.5
* Enable 2 new LW evasion tacticts (carriage return or binary value as request spacer)
* Added support to select plugins via -Plugins and -list-plugins option to list current plugins
* Major bug fix for proxy usage
* Don't report p3p header as unusual
* Various changes to aid future binary db usage for mutates
* Various changes to aid future multi-threading
* Fix for multiple index files
Leer más: http://insegar.blogspot.com/2010/02/nueva-version-211-de-nikto.html#ixzz0ewqkVpsJ
Fuente: In-Seguridad Argentina
Legislación en seguridad e intolerancia a la estupidez
Muy interesante resolución han tomado en España, multando con 601 euros a un individuo por enviar un correo electrónico a 42 personas sin utilizar la copia oculta (CCO). Como bien se indica en el post fuente de Samuel Parra , la denuncia fue realizada de un particular a otro particular.
En resumen, se entiende que la denunciada ha infringido el deber de secreto que establece el Artículo 10 - LOPD - Deber de Secreto al enviar un correo electrónico a 42 destinatarios distintos e incluir las direcciones de e-mail en el campo “Copia Carbón(CC)” dejando, por tanto, visibles a todos los destinatarios las direcciones de correo electrónico de los receptores. A juicio de la AEPD, ha supuesto una vulneración del deber de sigilo, pues no debería haber dado a conocer las direcciones de correo electrónico al resto de destinatarios; es decir, debería haber utilizado la opción “Copia de Carbón Oculta” (CCO).
Quiero que hagamos un análisis hasta acá, que seguro será el mismo que hice yo al leer el título de la noticia: qué excelente decisión, ¿no? Digo, tantos años venimos pidiendo a los usuarios que utilicen la copia oculta, que no sean tontos, que escuchen a los que concientizan en seguridad, que seguro nos da algo de alivio ver que alguien por fin tiene cordura y castiga al que expone la información de otro. Después podemos discutir si la sanción es desmedida (a mi criterio lo parece) pero al menos para mí me resultó gratificante. Pensé: qué bueno, por fin se combate la estupidez.
Si seguimos leyendo la nota, nos enteramos que el acusado alegó que la dirección de correo que utilizó se podía obtener en Internet, por lo que él no había brindado a nadie información que no pudiera obtenerse por otro medio público. Sin embargo, se resolvió la culpabilidad y multa de más de 600 euros. ¿Por qué? ¿No se tuvo en cuenta esta información brindada por la defensa?
Sí se tuvo en cuenta lo que dijo la defensa, pero el artículo 3.a de la LOPD (Ley Orgánica de Protección de Datos) define que la dirección de correo electrónico es un dato personal. Es decir, es LA LEY la que por encima de toda lógica o análisis nuestro termina definiendo en la justicia.
Esto remarca algo que en materia de seguridad se viene hablando hace mucho: la falta de legislación (o la existencia de ella en mala calidad) es uno de los problemas más importantes que enfrenta la comunidad de la seguridad de la información.
Si no hay legislación, no hay forma de ajusticiar los incidentes en seguridad, y de eso se trata. Lamentablemente (sí!), nuestro sentido común no nos permite hacer justicia, sino que necesitamos legislación. Y en materia de seguridad falta. Y mucho. El camino parece ir funcionando, de a poco, pero la realidad es que la mayoría de los paises todavía carecen de legislación y a muchos otros les falta aún madurarlas en la materia.
Sin ir más lejos, en países como el nuestro todavía es imposible culpar a alguien por enviar spam. Estamos hablando de cosas banales (spam, copia oculta), imaginemos lo difícil que puede ser ajusticiar por un grave incidente en seguridad, un fraude informático o un robo de información.
La realidad es que en legislación en seguridad todavía estamos reprobados, particularmente en América Latina, y creo que la comunidad debería preocuparse con especial atención en este punto.
Fuente: Un Mundo Binario y Samuel Parra
Seguridad en redes sociales
2009 vio a Facebook, Twitter y otros sitios de redes sociales consolidando su posición en el corazón de las actividades de muchos usuarios de Internet a diario, y vio a estos sitios web convertidos en un objetivo principal para los delincuentes. Debido a esto, las redes sociales se han convertido en uno de los vectores más importantes de pérdida de datos y el robo de identidad.
Por eso, este informe de Sophos muestra distintas estadísticas del estado actual de la seguridad en las redes sociales.
Cristian de la Redacción de Segu-Info
Las nuevas tendencias en TI para el año 2010
Los directivos de BMC Software analizan cómo afrontar la nueva situación económica para el sector TI ante los nuevos síntomas de recuperación.
La mayoría de las organizaciones de TI han comenzado a preparar sus presupuestos y tanto los CIOs como los responsables del departamento de TI tienen la tarea de planificar un nuevo período que exige mantener los mismos niveles de servicio que en 2009, pero con recortes presupuestarios realmente drásticos.
BMC Software ha detectado las siguiente tendencias tecnológicas para 2010 que son indicadoras de la previsible lentitud en la recuperación de las inversiones en TI durante el próximo año. Estas tendencias son:
Tendencia #1
El gasto de capital en TI se convierte en gasto operativo. La automatización de TI, la virtualización y el cloud computing lideran esta nueva orientación.
La automatización de TI seguirá siendo la solución preferida por los CIOs debido a que permite ahorrar dinero. Además, les da la posibilidad a los responsables de personal de los departamentos de TI de realizar el trabajo que más beneficios genera, aquel relacionado con la estrategia y la generación de negocios.
La tecnología sirve además como fundamento para muchas iniciativas de TI de alta prioridad, como son la virtualización o el cloud computing, que aportan muchas ventajas en términos de nivel de utilización de los recursos, menores costos y mayor escalabilidad.
Tendencia #2
La crisis presupuestaria de ayer es la realidad de hoy.
Los CIOs, siguiendo la teoría de que una recuperación a largo plazo puede suponer la consolidación de una nueva norma basada en un menor gasto en TI, seguirán consolidando sus infraestructuras y agrupando tareas para mantener este nuevo criterio para sus presupuestos y lograr descongelarlos finalmente.
Ciertas soluciones, como la planificación de la capacidad, serán una ayuda para que los CIOs sigan atentos a la detección de recursos infrautilizados y a cómo conseguir hacer funcionar a plena capacidad sus sistemas distribuidos y de mainframe.
Tendencia #3
Los ciclos de renovación de equipos e infraestructuras requieren un proceso riguroso de control de su instalación así como de la decisión de su abandono.
La automatización de TI y la gestión de servicios de TI van a ser elementos cruciales a la hora de conocer el rendimiento en tiempo real de la infraestructura actual
Además, serán de utilidad para obtener métricas de Retornos de Inversión (ROI), cuya importancia se verá incrementada cuando haya que volver a planificar los presupuestos, en 2011.
Ciertos activos, como las PCs retiradas de servicio y las nuevas, los servidores y elementos de red deberán someterse también a un estrecho control para evitar gastos innecesarios.
Tendencia #4
El interés de los CIOs seguirá centrado en encontrar un punto de equilibrio entre costes, riesgos y crecimiento.
Los directivos de TI deberán prepararse para un aumento del ritmo de crecimiento, y tener listas aquellas capacidades que se demanden en el momento en que surja la necesidad. Para ello, las tecnologías de inteligencia predictiva van a ser muy útiles para analizar estos escenarios. Los CIOs pondrán sus esperanzas en el uso de ciertas plataformas de estandarización, como es el caso de Business Service Management (BSM), para reducir sus costos de TI, gestionar sus riesgos y estar preparados para el crecimiento.
Fuente: CXO
