Charla “Creando un CSIRT” en la Escuela de Ingeniería de Sistemas de la Universidad Señor de Sipán

Tuve el honor de ser invitado a dictar una breve charla y aproveché para tratar de animar a los alumnos presenciales de Ingeniería de Sistemas a que formen, con el apoyo de sus entusiastas profesores, un CSIRT universitario. De hecho, sería el primero de su tipo en el Norte peruano.

CSIRTCuenten con mi apoyo. Por cierto, la presentación y los documentos de la charla están publicados aquí el PPT: PresentacionCSIRT-USS, el documento de Carnegie Mellon en Español: CrearUnCSIRT-final, modelos organizacionales de un CSIRT ModelosOrganizacionalesParaCSIRTs  y otra guía más de CMU también en Inglés ManualParaCSIRTs

Phishing contra clientes del BCP

Una lectora nos informa de un correo de phishing que viene circulando y que ya se procedió a la baja (takedown).

La víctima recibe el siguiente mensaje:

pishing_20062013_bcp_email1Este mensaje  apuntan a http://209.40.193.107/sincronizacion/bcp/bcp.html y a un  y de ahí a bit.ly. Gracias a la gestión de nuestra lectora el enlace bit.ly fue reportado y actualmente está ya fuera de servicio.

 

 

 

Ciberdelito – Los empleados se han vuelto uno de más grandes riesgos para un negocio (en inglés)

(Tomado de hrzone.co.uk) Nothing is infallible – but when it comes to cyber security, it is fast becoming people, not computers, that are the weakest link. There are plenty of horror stories circulating the internet about identity thefts, nations waging cyber warfare against each other, malicious coercion at the hands of fake authority figures and even Nigerian funds waiting to be transferred to the lucky recipient’s bank account.

All of these have a common theme; it’s not the technology that lets us down, it’s ourselves.

A recent survey carried out by YouGov for QA, reveals that over a quarter of those surveyed admitted to transferring work files to and from home – even though it is against many HR policies. And what’s more, half of those said they have had a virus at some point on their machines. It is clear that the blur between an employee’s work and home life may be starting to affect the security of important corporate data.

However, cyber criminals are getting more creative with their tactics via an emerging threat called ‘social engineering’ and it is fast becoming the role of the HR department to help manage this with policies and induction programmes which focus on keeping an organisation secure.

Social engineering targets the company through the individual

‘Social engineering’ – the term given to scammers who use specific personal information in order to extract more sensitive or confidential material – is ever more prevalent. Some attacks are so well-executed that even tech-savvy and senior people can be duped into giving away vital details. I know of a CEO of a large business who liked expensive cars and made no secret of it. When a glossy brochure, addressed to his home, came through the letterbox with pictures of lovely looking new Jaguars in it, he did not hesitate to pick it up. Flicking through, he found inside an innocuous looking CD with concept cars pictured on the front, and his interest was piqued. After putting it into his computer he was still unaware that because he used the same password at home as he did at work, an enormous amount of damage would be done. And it was.

Security is a major problem for businesses and governments alike. Today, serious and organised cyber crime is a far cry from a lone hacker sending out anonymous malware from their bedroom. Nortel, the much maligned multinational communications firm, inadvertently leaked information for ten years before the extent of the breach was fully understood. According to reports, documents including emails, technical papers, research, development reports and business plans were all hacked from foreign IP addresses; malware was left on infected machines even after the company had been broken up and sold to others, meaning the threat was passed on.

But the world has moved on. Today the cost is enormous and growing. Cyber crime costs UK businesses an estimated £21bn a year.

Is your organisation safe?

Most companies do have an IT security policy and are concerned enough to implement it. However, how closely aligned is this with the human resources department? Eighty-six percent of people who said that their organisation did have a policy, felt that they worked in a secure way. Yet this survey revealed that, despite the policy, people were almost as likely to share passwords with other people as those who had no security policy at all. That is to say, they trusted their employer to have a copy of the password.

As for those people in places that have no security policy, one in ten said that they had no password on any device at all. It seems simple, but what’s the point of having upper case, lower case, numbers and characters in the most secure line of code possible, when you’ve instructed Explorer to remember it for you?

The combined role of the IT and HR departments

All IT security policies should make sure that only the right people have the right level of access. In a complex system, files should only be seen or edited by those that have the authority to do so. The risk is too high to allow everyone blanket access: one in 20 office workers have taken company information/data with them when they have left an organisation and joined a new one. Minimising this risk should be high on the top of the IT team’s agenda and it is the role of the HR department to ensure that there are procedures in place to educate staff of the risks and measures that need to be taken to keep the organisation safe.

First steps to ensuring that HR is aligned with IT:

1. Review and update existing policies and guidelines – Establish basic security policies that all staff sign up to in conjunction with IT. For instance, suggest making a ‘strong’ password essential and having Internet use guidelines for all staff
2. Develop a BYOD policy – Staff are bringing their own devices into work and connecting them to the network – and connecting to the network via home devices. Does your organisation have a Bring your own Device (BYOD) policy? If so, how does it address security and is it enough?
3. Training – Train employees on the risks and in security principles. If they don’t understand how criminals are working and how they can be targeted, they can’t be on the lookout for them
4. Employee access – don’t allow any one employee access to all data systems and ensure that installing unauthorised software on a company network or device is seen as a disciplinary issue
5. Penalties – Ensure that the penalties for breach of policies and guidelines are clear and are enforced

The UK government recommends 10 steps to cyber-security, backed by the Centre for the Protection of National Infrastructure (CPNI), the Cabinet Office and GCHQ. The advice is based around organisations implementing an information risk management regime, with other policies relating to security, protection, monitoring and education.
Either way, the message is clear. A fully rounded and complete approach must be taken to prevent damage being done. The talent within a business is the problem, and should be responsible for the security of the technology rather than relying on the IT to do it for them.

Algunos de los plug-in más populares de WordPress son vulnerables

(Tomado de itespresso.es) Un estudio realizado por Checkmarx, una empresa de seguridad, ha detectado que doce de los 50 plug-ins más utilizados en WordPress son vulnerables a ataques web. Eso significa que hay casi ocho millones de plug-ins descargados que pueden verse afectados por ataques de inyección SQL o de cross-site scripting.

Es más, la investigación recoge que siete de los diez plug-ins de comercio electrónico más utilizados también son vulnerables a los ataques, lo que suponen más de 1,7 millones de descargas.

Para Checkmarx el problema principal es la falta de seguridad de los estándares utilizados por los proveedores de PaaS (Platform-as-a-Service) que han incluido en las aplicaciones que están distribuyendo, además del fallo de los administradores web al no asegurarse de que los plug-ins que están utilizando son seguros. En opinión de Checkmarx, estos administradores asumen que descargar un complemento de una fuente segura supone que el plug-in es seguro.

El primer estudio realizado por la compañía de seguridad fue en enero de 2013, cuando se detectó que 18 de los 50 complementos más populares de WordPress eran vulnerables; el segundo estudio, realizado en junio, ha reducido esa cidra a doce.

Por otra parte, aunque cada línea de código tiene el potencial de introducir una vulnerabilidad, Checkmarx ha detectado que no hay correlación entre el número de líneas de código y el nivel de vulnerabilidad de los plug-ins.

Desde la empresa de seguridad no sólo se recomienda a los administradores de WordPress que descarguen complementos desde sitios fiables, sino que los proveedores de plataformas refuercen sus políticas de seguridad en torno a las aplicaciones que incluyen en sus ‘marketplaces’, autorizando únicamente las aplicaciones que cumplan con sus estándares.

WhatsApp y las aplicaciones de espionaje falsas que lo rodean

(Tomado de http://www.tuexpertoapps.com) Que la fama no sólo trae cosas buenas es algo que el equipo de WhatsApp ya ha descubierto hace mucho tiempo. Y es que, junto al gran número de usuarios de esta herramienta de comunicación, también han llegado cientos de aplicaciones para aprovecharse del éxito de Whatsapp y de la curiosidad de quienes la usan. Herramientas que no siempre cumplen aquello que ofertan y que, en ocasiones, se valen de la ingenuidad del usuario para extender rumores, robar datos o incluso cargar costes a la factura del teléfono. Pero, ¿cómo evitar estos timos? A continuación te damos unas claves.

Lo primero de todo es tener en cuenta qué alcance tiene WhatsApp. Se trata de una aplicación para smartphones y sólo para smartphones, por lo que las ofertas para utilizar o mandar mensajes a través del ordenador deben ser miradas con lupa y mucho escepticismo. Mucho más aquellas que ofrecen conocer las conversaciones de otros usuarios, cuestión que, por otra parte, como recordó hace unos días la cuenta oficial de Twitter de la Policía Nacional, es delito. Por ello, lo principal es utilizar el sentido común y evitar esos servicios fraudulentos que existen alrededor de WhatsApp pero que no están relacionados con ellos.

Uno de los servicios de espionaje de WhatsApp más conocidos actualmente es WhatsApp Spy, que actúa del mismo modo que WhatsApp Hacker, otra de las susodichas. En ambos casos se trata de programas de ordenador de dudosa procedencia. Supuestamente están creados para ser descargados, instalados y ejecutados en el ordenador, desde donde introducir el número de teléfono de la persona a la que se quiere espiar. Tras pulsar el botón y esperar pacientemente, su supuesta lista de contactos aparece en pantalla, pudiendo ojear sus conversaciones con total libertad. O eso es lo que se supone que hacen.

Sin embargo, la realidad es bien distinta. Y es que son herramientas que se encuentran circulando por Internet a través de páginas poco fiables que, no precisamente por casualidad, están repletas de publicidad abusiva. Es más, los usuarios que se atrevan a buscar estas herramientas se encontrarán con numerosas páginas web en las que se solicita ingresar el número de teléfono para acceder a la descarga, logrando así ser suscritos a un servicio de coste que, finalmente no ofrece la descarga del programa de espionaje en cuestión.

Hay que saber que WhatsApp no almacena las conversaciones de los usuarios en sus servidores (Internet). De hecho, los chats quedan almacenados en copias de seguridad en el propio terminal, lo que supone la necesidad de saltarse innumerables barreras de seguridad además de contar con que el usuario espiado se encuentre conectado a Internet para acceder a toda esta información. Cuestiones que los programas y aplicaciones de espionaje no llegan a realizar, ni mucho menos. Su negocio es la publicidad en las páginas web desde donde supuestamente se descargan estos programas, captando al usuario incauto y, con suerte, logrando que pinche en unos cuantos anuncios o introduzca su número de teléfono para poder suscribirlo de forma más o menos voluntaria a algún servicio Premium.

Por todo ello, repetimos: lo principal es utilizar el sentido común. A pesar de los fallos de seguridad de WhatsApp no todo el mundo puede espiar y conocer los historiales de otros usuarios. Basta con alejarse de este tipo de herramientas no oficiales, no utilizar las conexiones WiFi abiertas y demasiado transitadas y, sobre todo, contener la curiosidad.