viernes, 9 de julio de 2010

Dispositivos USB podrían ser utilizados como troyanos de hardware

Una investigación realizada por ingenieros del Royal Military College de Canadá, ha logrado demostrar que puede robarse información de un ordenador y trasmitirla de manera remota, aprovechando una vulnerabilidad del sistema plug & play del protocolo USB. Dicho protocolo es el que permite que los dispositivos USB puedan ser instalados y aceptados por el ordenador sin necesidad de software de instalación.

Durante la investigación se demostró que se puede crear un exploit que puede robar y enviar información del disco duro -utilizando Flash Led, datos de audio imperceptibles o incluso, a través de correo electrónico- convirtiéndose en una verdadera amenaza potencial para nuestros ordenadores y datos.

Según este estudio, es recomendable ser cautelosos con el uso de gadgets USB, ya que éstos en un futuro bastante cercano podrían ser utilizados como troyanos de hardware para ingresar a nuestros sistemas y robar información vital.
--
Fredy Paternina Matos
Publicado por Fredy Paternina Matos en 7/09/2010 05:07:00 a. m. 0 comentarios

martes, 6 de julio de 2010

Rumores sobre Windows 8


Tras la aparición de Windows 7 los rumores acerca de la próxima versión ya están circulando. Según trascendidos, Windows 8 se centrará en la capacidad táctil, en minimizar los tiempos de arranque, y dispondrá de una Windows Store.

El sistema operativo contaría con reconocimiento facial y soporte a conectividad USB 3.0 y Bluetooth.

La llamada “Windows Store” permitiría al usuario buscar software específico para su PC, que sería servido por los fabricantes, con lo que éstos seguirían ingresando dinero tras la venta del producto. Esta tienda online se basa en App Store y otros mercados de aplicaciones disponibles para dispositivos móviles.

El documento filtrado donde se mencionan tales datos también habla de que Microsoft estudia de cerca a sus rivales Apple y Google, a la hora de diseñar una estrategia. Pese a estos trascendidos, la multinacional ha rechazado confirmar si las informaciones son reales o no.
--
Fredy Paternina Matos
Publicado por Fredy Paternina Matos en 7/06/2010 03:41:00 p. m. 1 comentarios

IBM obtiene las certificaciones ISO 20000 e ISO 27001

BM ha recibido la certificación ISO 20000:2005, de Gestión de Servicios en Nuevas Tecnologías, e ISO 27001:2005, de Seguridad de la información, de manos de Bureau Veritas Certification.


La norma ISO 20000:2005 es un estándar internacional, compuesto por trece procesos, cuyo cumplimiento garantiza la calidad en la gestión de los servicios de Tecnologías de la Información.
Por su parte, la certificación ISO 27001:2005 garantiza la puesta en marcha del SGSI (Sistema de Gestión de Seguridad de la Información), que incluye una serie de políticas que aseguran la confidencialidad, la integridad y la disponibilidad de los activos de información. Ambas normas están basadas en el tradicional ciclo PDCA o círculo de Deming: Plan (Planificar) - Do (Actuar)– Check (Verificar) – Act (Corregir) y tienen en cuenta ciclos de mejora continua.

Más...
Publicado por Fredy Paternina Matos en 7/06/2010 01:55:00 p. m. 0 comentarios

sábado, 3 de julio de 2010

Más de 10.000 PC afectados por un ataque de día cero contra XP

Casi un mes después de que un ingeniero de Google revelara los detalles de un nuevo agujero de seguridad en Windows XP, los ciberdelincuentes han aumentado enormemente la cantidad de ataques online dirigidos contra él.

Microsoft informó ayer de haber contabilizado ya más de 10.000 ataques contra esta vulnerabilidad. “En un primer momento sólo detectamos la existencia de investigadores legítimos que realizaban pruebas inocuas con software de prueba de concepto. Pero el 15 de junio aparecieron los primeros exploits públicos reales”, señala la compañía.

Los ataques, que están siendo lanzados desde diversas páginas Web maliciosas, están concentrados en Estados Unidos, Rusia, Portugal, Alemania y Brasil, según la compañía. En particular, los PC de Rusia y Portugal son los que más concentración de ataques están sufriendo.

Por su parte, Symantec ha advertido que la cantidad de estos ataques ha aumentado preocupantemente la semana pasada. En ellos, los delincuentes utilizan el código de ataque para descargar diferentes programas maliciosos, incluidos virus, troyanos y un software denominado Obitel, que actúa como medio para descargar más malware.

La vulnerabilidad está relacionada con el software Windows Help and Support Center incluido en Windows XP. En un aviso de seguridad, Microsoft informa sobre diferentes medios de desactivar Windows Help Center Protocol a fin de proteger los PC de esta amenaza.
Publicado por Fredy Paternina Matos en 7/03/2010 01:40:00 p. m. 0 comentarios

DESCUBIERTOS MILES DE AGUJEROS DE SEGURIDAD EN WINDOWS XP

Cualquiera puede acceder como administrador:

I.- Desde la pc:
A.- Presiona Ctrl+Alt+Supr y entras como administrador (generalmente no tiene password)
B.- Programa cia comander: Te permite entrar, cambiar el password y volver al password anterior (desde disket y dos), una vez hecho esto vuelves a windows normalmente y entras tranquilamente. Cuando quieras puedes volver al password

II.- Desde internet:
Al entrar a una página cualquiera de internet los virus y spyware se instalan solos sin pedir permiso. Se te arruina la pc y puedes pierdes todo, o peor, los extraños pueden:
* Ver tus passwords
* Contraseñas de tarjetas de crédito,
* La información personal en tu computadora,
* hacerse pasar por ti en tus pláticas en messenger (pleitos empresariales y familiares)
Etc, y miles de veces etc.

Quienes promueven esto:
CIA, FBI, las sectas, las iglesias, los hackers, etc.

--------------------------

Los problemas críticos en microsoft son todos los programas:
* MS office,
* Windows
* Internet explorer,
* MS Outlook.

Por eso digo "Windows es un virus"

Aunque tengas panda virus, zone alarm, y todos los antivius y antispiware juntos siempre los virus entran por dos razones:
* 60 mil virus existentes para windows, tan solo 50 para linux
* Windows en un sistema con millones de agujeros de seguridad, la mitad del sistema son parches (sp2), y los virus se cuelan tanto por windows como por sp2.

---------------------------------------------

Si quieres evitar todo eso, usa linux, un sistema operativo gratuito y seguro (mandriva 2006, ubuntu, red hate fedora, etc.). Fáciles de instalar y de usar.

Solo, descarga la iso del sistema linux que prefieras y quema la iso como iso con el programa burn4free.

_______________________________________________________________________________________

Pagarias por windows xp?
Respuesta: Ni regalado!
jajaja saludos!
--
Atte.: Fredy Paternina Matos
Publicado por Fredy Paternina Matos en 7/03/2010 01:19:00 p. m. 0 comentarios

viernes, 2 de julio de 2010

Sobre la ISO 27001

Fundamentos de la seguridad de la información

La norma ISO 27001 define cómo organizar la seguridad de la información en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Es posible afirmar que esta norma constituye la base para la gestión de la seguridad de la información. La ISO 27001 es para la seguridad de la información lo mismo que la ISO 9001 es para la calidad: es una norma redactada por los mejores especialistas del mundo en el campo de seguridad de la información y su objetivo es proporcionar una metodología para la implementación de la seguridad de la información en una organización. También permite que una organización sea certificada, lo cual significa que una entidad de certificación independiente ha confirmado que la seguridad de la información se ha implementado en esa organización de la mejor forma posible.

A raíz de la importancia de la norma ISO 27001, muchas legislaturas han tomado esta norma como base para confeccionar las diferentes normativas en el campo de la protección de datos personales, protección de información confidencial, protección de sistemas de información, gestión de riesgos operativos en instituciones financieras, etc.

Cuatro fases del sistema de gestión de seguridad de la información

La norma ISO 27001 determina cómo gestionar la seguridad de la información a través de un sistema de gestión de seguridad de la información. Un sistema de gestión de este tipo, igual que las normas ISO 9001 o ISO 14001, está formado por cuatro fases que se deben implementar en forma constante para reducir al mínimo los riesgos sobre confidencialidad, integridad y disponibilidad de la información.

Las fases son las siguientes:

  • La Fase de planificación: esta fase sirve para planificar la organización básica y establecer los objetivos de la seguridad de la información y para escoger los controles adecuados de seguridad (la norma contiene un catálogo de 133 posibles controles).
  • La Fase de implementación: esta fase implica la realización de todo lo planificado en la fase anterior.
  • La Fase de revisión: el objetivo de esta fase es supervisar el funcionamiento del SGSI mediante diversos "canales" y verificar si los resultados cumplen los objetivos establecidos.
  • La Fase de mantenimiento y mejora: el objetivo de esta fase es mejorar todos los incumplimientos detectados en la fase anterior.

El ciclo de estas cuatro fases nunca termina, todas las actividades deben ser implementadas cíclicamente para mantener la eficacia del SGSI.

La Fase de planificación

Esta fase está formada por los siguientes pasos:

  • determinación del alcance del SGSI;
  • redacción de una Política de SGSI;
  • identificación de la metodología para evaluar los riesgos y determinar los criterios para la aceptabilidad de riesgos;
  • identificación de activos, vulnerabilidades y amenazas;
  • evaluación de la magnitud de los riesgos;
  • identificación y evaluación de opciones para el tratamiento de riesgos;
  • selección de controles para el tratamiento de riesgos;
  • obtención de la aprobación de la gerencia para los riesgos residuales;
  • obtención de la aprobación de la gerencia para la implementación del SGSI;
  • redacción de una declaración de aplicabilidad que detalle todos los controles aplicables, determine cuáles ya han sido implementados y cuáles no son aplicables.

La Fase de implementación

Esta fase incluye las siguientes actividades:

  • redacción de un plan de tratamiento del riesgo que describe quién, cómo, cuándo y con qué presupuesto se deberían implementar los controles correspondientes;
  • implementación de un plan de tratamiento del riesgo;
  • implementación de los controles de seguridad correspondientes;
  • determinación de cómo medir la eficacia de los controles;
  • realización de programas de concienciación y capacitación de empleados;
  • gestión del funcionamiento normal del SGSI;
  • gestión de los recursos del SGSI;
  • implementación de procedimientos para detectar y gestionar incidentes de seguridad.

La Fase de verificación

Esta fase incluye lo siguiente:

  • implementación de procedimientos y demás controles de supervisión y control para determinar cualquier violación, procesamiento incorrecto de datos, si las actividades de seguridad se desarrollan de acuerdo a lo previsto, etc.;
  • revisiones periódicas de la eficacia del SGSI;
  • medición la eficacia de los controles;
  • revisión periódica de la evaluación de riesgos;
  • auditorías internas
  • revisiones por parte de la dirección para asegurar el funcionamiento del SGSI y para identificar oportunidades de mejoras;
  • actualización de los planes de seguridad para tener en cuenta otras actividades de supervisión y revisión;
  • mantenimiento de registros de actividades e incidentes que puedan afectar la eficacia del SGSI.

La fase de mantenimiento y mejora

Esta fase incluye lo siguiente:

  • implementación en el SGSI de las mejoras identificadas;
  • toma de medidas correctivas y preventivas y aplicación de experiencias de seguridad propias y de terceros;
  • comunicación de actividades y mejoras a todos los grupos de interés;
  • asegurar que las mejoras cumplan los objetivos previstos.

Documentación

La norma ISO 27001 requiere los siguientes documentos:

  • el alcance del SGSI;
  • la política del SGSI;
  • procedimientos para control de documentación, auditorías internas y procedimientos para medidas correctivas y preventivas;
  • todos los demás documentos, según los controles aplicables;
  • metodología de evaluación de riesgos;
  • informe de evaluación de riesgos;
  • declaración de aplicabilidad;
  • plan de tratamiento del riesgo;
  • registros.

La cantidad y exactitud de la documentación depende del tamaño y de las exigencias de seguridad de la organización; esto significa que una docena de documentos serán suficientes para una pequeña organización, mientras que las organizaciones grandes y complejas tendrán varios cientos de documentos en su SGSI.

Otras normas relacionadas con seguridad de la información

Además de la ISO 27001 (antiguamente BS 7799-2), la norma ISO 27002 (antiguamente ISO 17799) es una norma "auxiliar" que proporciona más información sobre cómo implementar los controles de seguridad especificados en la ISO 27001.
Otras normas que también pueden resultar útiles son la ISO 27005, que describe los procedimientos de evaluación de riesgos con mayor profundidad, y la BS 25999-2, que proporciona una descripción detallada de la gestión de la continuidad del negocio.

Fuente: Blog ISO 27000 standard

Publicado por Fredy Paternina Matos en 7/02/2010 02:53:00 p. m. 1 comentarios

Sony alerta de que se deben revisar medio millón de computadoras

Un problema en el control de la temperatura afecta a determinadas series de Vaio.- El fallo puede resolverse con la carga de un programa.

Sony ha anunciado que se deberán reparar unos 535.000 ordenadores portátiles Vaio vendidos en todo el mundo. Según The Wall Street Journal, la empresa ha detectado un defecto en el control de la temperatura que puede recalentar el aparto y causar problemas en su funcionamiento. Las llamadas a revisión afectan a los clientes de algunas unidades de la serie F y C de Vaio vendidas después de enero de 2010. La operación supone revisar 259.000 portátiles en Estados Unidos; 103.000, en Europa; 120.000, en Asia y 52.000 en Japón.

Según Reuters, el problema puede solventarse con la carga de un programa del que ya dispone la compañía y que ofrecerá en línea. La empresa ha detectado el problema después de que una treintena de clientes de fuera de Japón lo comunicaran a la compañía. En ningún caso, el sobrecalentamiento del aparato ha provocado daños físicos en los clientes. En 2008, Sony ya tuvo un problema de exceso de temperatura, debido en aquella ocasión a la batería, en 75.000 miniportátiles.
--
Fredy Paternina Matos
Publicado por Fredy Paternina Matos en 7/02/2010 02:50:00 p. m. 0 comentarios
Suscribirse a: Entradas (Atom)