Estudio sobre seguridad de aplicaciones [Ponemon]

El equipo de seccion9 seguridad ha encontrado un estudio de seguridad bastante complet, avisamos que esta en ingles.

El Instituto Ponemon se dedica a promover la gestión responsable de la información, la protección de datos y la privacidad en los negocios y el gobierno.

Recientemente ha llevado a cabo una investigación independiente para educar a los líderes y responsables en el desarrollo de aplicaciones y para comprender las percepciones acerca de la madurez de seguridad de aplicaciones. Los temas clave incluyen:

    -Que procesos que son considerados más eficaces
    -La adopción y uso de las tecnologías que afectan el estado de la seguridad en las aplicaciones
    -Los relación entre las personas, procesos y tecnología y el efecto que tienen en la empresa
    -Diferentes percepciones de los profesionales de la seguridad, el desarrollo de aplicaciones y su madurez
    -Las amenazas en la capa de aplicación, incluyendo las plataformas emergentes
    -Las brechas de seguridad en la capa de aplicación


El estudio publicado por ISACA puede descargarse desde aquí [PDF].

Leer más »

Posted in: seguridad en la red,virus

Twitter vende tus tweets

Según informa The Mail Online, DataSift, una empresa que asesora a organizaciones sobre como tener éxito en las redes sociales, le ha venido comprando tweets antiguos a la red social de microblogging más grande del mundo, Twitter. Según DataSift la información  se usará con fines netamente de marketing.

Según Mashable, vender los tweets antiguos es una forma de obtener beneficios monetarios, que estarían cerca de los 259.9 millones de dólares para el 2012. Toda la información (los mensajes privados no entran en esta categoría) de los últimos dos años estará disponible para que esta empresa monitoree a los usuarios y, según ellos, se usará para predecir el comportamiento de los "twitteros" en cuanto al mercado.
¿Tomarías acciones como bloquear y borrar tweets para evitar que empresas monitoricen lo que escribes?

DataSift en su servicio asegura que los tweets que sean borrados y las cuentas protegidas no serán parte de sus bases de datos, por lo que no podrán ser utilizados por ellos. Información sobre tendencias relacionadas con las marcas, empresas, mercados financieros y noticias será lo que DataSift analice y le venda a cerca de 1.000 organizaciones que están a la espera de obtener estos datos.

Leer más »

Posted in: estafas,redes sociales

Troyano con polimorfismo, la nueva preocupación para Android

Symantec ha descubierto una especie de troyano bastante sofisticado diseñado para atacar el sistema operativo móvil Android, el cual es capaz de modificar su código cada vez que es descargado con el fin de superar las detecciones antivirus.

Este troyano, Android.Opfake, se basa en un mecanismo que modifica algunas de sus partes con el fin de asegurar que cada aplicación maliciosa que descarga es única. Symantec ha identificado numerosas variantes, todas ellas distribuidas desde páginas webs rusas. El malware tiene instrucciones de enviar mensajes SMS a números premium desde varios países europeos y otros que antes pertenecían a Rusia.

Detectar esta clase de malware que utilizan polimorfismo, puede no ser una tarea sencilla para algunos productos de seguridad, especialmente si basan su capacidad de detección en firmas estáticas.

En el caso de Android.Opfake el nivel de polimorfismo no es muy alto y sólo algunos de los archivos de datos del troyano son modificados por el servidor de distribución.

Leer más »

Posted in: virus

Google bloquea miles de cuenas google +

El equipo de seccion9 seguridad ha encontrado la última informació referente:
Google está suspendiendo de forma masiva miles de perfiles en los últimos días. Aunque la compañía no se pronunció al respecto, un número indeterminado de usuarios declaró que su perfil fue suspendido. Si bien las causas pueden ser diversas, como lo indican los estándares de la comunidad, varios coincidieron en inconvenientes con la política que obliga a usar nombres reales. Para recuperar el acceso, deben enviar algún tipo de documento o enlace a página web (¡incluso perfiles de Facebook!) que compruebe su identidad.

Uno de los afectados fue Kirrily “Skud” Robert, un ex-empleado de Google que, irónicamente, estuvo de acuerdo con esa política. En estos momentos, está recopilando datos de otras personas que hayan sufrido el mismo trastorno, a los efectos de generar estadísticas y efectuar un seguimiento de los casos.
¿Os habéis encontrado con vuestra cuenta suspendida?

Pero a otros les ha ido peor, porque recibieron una notificación automática avisándoles sobre el bloqueo total de su cuenta. Esto, para más de uno, puede significar la pérdida del acceso a sus correos electrónicos, blogs, contactos de mail sincronizados con su móvil basado en Android, estadísticas… en fin, todo lo que almacenan en Google.

Y eso es lo grave: a diferencia de otras redes sociales donde apenas se pierde la posibilidad de acceder únicamente a ese servicio, aquí está en riesgo la totalidad de la cuenta, de acuerdo a cómo aplique la compañía los términos de servicio. Por ello, los mismos deben ser explicados detalladamente y con claridad, para evitar importantes dolores de cabeza a los usuarios.

Leer más »

Posted in: google

Android vulnerable a robo de fotografías

Ultima información de seguridad de seccion9 seguridad
El sistema operativo móvil de Google, al igual que el iOS de Apple, también tiene abierta de par en par una puerta trasera que permite el acceso a las fotografías personales almacenadas en el equipo.

Un robo acceso sin autorización expresa y sin intervención del usuario, que va más allá de la vulnerabilidad encontrada en el iOS de Apple, ya que forma "parte del diseño original de Android", según dice Google, atendiendo a la flexibilidad y dependencia del sistema original para el acceso al contenido de las tarjetas de memoria microSD fuera del terminal.

Más allá de la vulnerabilidad del iOS de Apple, cualquier aplicación Android que obtenga permisos para conectarse a Internet puede acceder a las fotografías del terminal y subirlas a un servidor remoto sin previo aviso, sin conocimiento del usuario y por supuesto sin permiso expreso del usuario.
¿Teneis fotos en el móvil que si las utilizaran os supondria un problema?

Como en el caso de iOS no se conoce si las aplicaciones en Android están haciendo uso de esta característica pero la capacidad para hacerlo está ahí y supone una nueva vulnerabilidad a la privacidad en productos y servicios de Google, a la que el gigante de Internet debe dar respuesta.

Google dice estar "considerando" una solución, al igual que hará Apple con un parche para iOS que requerirá permiso expreso del usuario para que las aplicaciones puedan acceder a esta función.

Leer más »

Posted in: vulnerabilidades

10 principios de diseño de seguridad para tu nube privada

Estos principios son:

    *Aplicar las mejores prácticas genéricas de seguridad: hay libros y libros sobre estos temas , pero la utilización de mínimos privilegios, defensa en profundidad, uso de firewalls, NICs separados para administración son algunos de los ejemplos en este caso.
   
*Entender que la aislación es clave (isolation): separando recursos entre las distintas unidades de negocio o áreas de la organización.

    *Considerar la seguridad como el “envoltorio”: La seguridad es relevante a todo nivel de tu infraestructura y aplicaciones, tanto en ambientes físicos como virtuales. Si el atacante gana acceso a la infraestructura física, por ejemplo, podría crear una disrupción no sólo en ella sino en todo el servicio.

    *Asumir que los atacantes están autenticados y autorizados: En una nube privada, es posible delegar la seguridad de los accesos a la unidad de negocios para que, a través de un portal de autoservicio, se autoprovisionen los recursos a fin de correr la aplicación o el servicio. Debido a ello, deberás establecer los mecanismos de seguridad necesarios pensando en que el atacante tiene acceso primario a los recursos y agregar esta ruta de ataque a los controles tradicionales.

    *Asumir que todos las locaciones de los datos son accesibles: Este punto está muy relacionado al anterior. Por ello, deberías considerar el cómo y cuándo cifrar datos y cómo almacenar y administrar las llaves de cifrado que te permitan acceder a los datos almacenados en la nube.

    *Utilizar tecnologías fuertes y establecidas de criptografía: Este punto es autoexplicativo. Habiendo algoritmos tan probados, mejor ir por lo seguro.

    *Automatizar la operación de la seguridad: Las respuestas automatizadas de seguridad se basan en herramientas de monitoreo, por lo que tu diseño debe incluir servicios de monitoreo paa identificar y actuar cuanto antes.

    *Reducir la superficie de ataques: No me explayo en esto, ya lo has escuchado miles de veces :-)

   * Limitar el ruteo: Cada vez que tus datos viajan a través de la nube privada, agregas otro posible lugar en el cual el atacante puede aprovecharse. Tu diseño debería limitarse a los nodos indispensables sobre los cuales tu información deba viajar.

    *Auditar en forma extensiva: ¡Tus amigos del área de auditoria te lo agradecerán!

Leer más »

En busca de mejorar su seguridad, Twitter adquirió Dasient

Con el objetivo de brindar una mayor seguridad a las cuentas de sus usuarios, Twitter adquirió las acciones de Dasient, un sitio dedicado a combatir software o códigos malintencionados.

Esta operación es un paso muy importante para la red social basada en el microblogging, ya que se han tenido conocimiento de ataques a más de cincuenta cuentas pertenecientes a personajes famosos y grandes compañías, entre los cuales se cuentan el propio Barack Obama, Lady Gaga y Britney Spears, lo que aumentaba la imagen de inseguridad entre la mayoría de sus más de 200 millones de usuarios.
Os han atacado alguna vez?

Dasient es conocida por el análisis de enlaces maliciosos y su servicio “Anti-Malvertising”, que bloquea e identifica de inmediato los anuncios engañosos.

La operación fue anunciada en el blog de Dasient, pero no se brindaron mayores detalles sobre los números que se manejaron en la negociación.

Leer más »