JaCkNews Vol. 1, Nro.12
JaCkSecurity.com
jacknews en jacksecurity.com
Lun Abr 16 12:25:26 EDT 2007
El tiempo ha demostrado que muchas de las buenas prácticas de seguridad, a
todo nivel, creadas en países más desarrollados, terminan implementándose
en un país, como el Perú, con cada vez más requerimientos en seguridad.
Ejemplo tenemos con las cámaras de CCTV de alta definición y a color con
que cuenta San Isidro Totalmente Vigilado, en contraste con lo que ahora
busca la ciudad de Lóndres, o la necesidad de un observatorio criminal
para la policía peruana con una naturaleza informática. De igual manera,
sólo es cuestión de tiempo para empezar a ver a las primeras empresas
peruanas envueltas en auditorías SAP, o en revisiones del estándar PCI
para VISA/Mastercard. Vea en ésta edición, los comentarios de Aldo Romero
y Winston Lewis.
/Javier Romero/
JaCkSecurity JaCkNews Vol. 1, Nro.12
========================================================================
1. Ataque a los gigantes que usan sistemas SAP.
2. Desfalcan 1,700 millones a una corporación colombiana en Semana Santa.
3. Intrusos chinos roban información a oficiales militares de Taiwán.
4. La policia inglesa solicitará migrar sus cámaras de CCTV a calidad
comercial.
5. FTC aprueba la respuesta final de la compañía Guidance.
6. Policía nacional peruana contará con Observatorio del Crimen.
7. Consumidores culpan a los minoristas, dice estudio de tarjetas robadas.
========================================================================
... JaCkSecurity.com ...
========================================================================
1. Ataque a los gigantes que usan sistemas SAP.
por JaCkSecurity.com
En la reciente conferencia de 'Black Hat Europe 2007', el señor Mariano
Nuñez Di Groce, hizo pública una herramienta de prueba de intrusión para
explotar vulnerabilidades en una interfase de comunicación del sistema
SAP. El código del programa, diseñado en su compañía, se llama SAPYTO, un
nombre bastante ilustrativo, sin duda. Por supuesto, SAPYTO no es un
exhaustivo programa de revisión de seguridad en los accesos de un sistema
SAP, no obstante, es un buen inicio para aquellas recientes compañías que
acaban de culminar sus implementaciones SAP. Mas informaciçon:
http://www.cybsec.com/EN/research/default.php#3 , Download SAPYTO
Comentarios:
a. Un excelente contraste de lo que realmente significa una auditoría
SAP, puede ser hallado en la revista Journal 2007 vol.2, bajo el título
"ERP Security and Segregation of Duties Audit: A Framework for Building an
Automated Solution". /Javier Romero/
b. Muy interesante artículo para analizar las vulnerabilidad del SAP,
especialmente las de las conexiones RCF que son bastante usadas pero no
adecuadamente protegidas, muchas empresas suelen invertir tiempo y dinero
en asegurar el sistema SAP en diseñar adecuados perfiles de seguridad con
separación de funciones, pero no se le suele dar mucha importancia a la
conexión RFC. /Aldo Romero/
2. Desfalcan 1,700 millones a una corporación colombiana en Semana Santa.
Extractor del original
Expertos en computación trasladaron el dinero a 18 cuentas de ahorro en
Barranquilla y Valledupar, desde las cuentas corrientes de la entidad.
Miguel Rodríguez, director de la Corporación, dijo que el martes pasado
fue informado por la gerente del Banco de Bogotá del sur de Tunja del
traslado millonario de recursos que Corpoboyacá (Corporación Autónoma de
Boyacá)mantiene en esa entidad desde hace más de diez años. "Como no tenía
información sobre el particular, llamé al Tesorero de la Corporación, pero
no lo conseguí porque él estaba pasando la Semana Santa en Soatá. Unas
horas después fui informado nuevamente que se continuaban realizando
transacciones electrónicas con dinero de Corpoboyacá y de inmediato di la
orden de que las cuentas corrientes fueran bloqueadas, así como las
cuentas de ahorro a las que se estaban haciendo las transferencias", dijo
Rodríguez. Más Información:
http://www.eltiempo.com/nacion/boyaca/2007-04-10/ARTICULO-WEB-NOTA_INTERIOR-3508058.html
3. Intrusos chinos roban información a oficiales militares de Taiwán.
Extracto del original
Piratas informáticos chinos penetraron en las computadoras personales de
oficiales militares taiwaneses y copiaron información secreta sobre las
maniobras anuales Han Kuang, que simulan la defensa de Taiwán ante un
ataque chino, según informaron ayer fuentes militares isleñas. Los
legisladores de la oposición taiwanesa, al conocer por los medios de
comunicación que los secretos militares habían sido sustraídos, criticaron
duramente la falta de medidas de seguridad en el Ejército de Taiwán. "Es
impensable que los oficiales se llevaran los secretos militares a
computadoras en sus hogares conectadas a Internet", criticó la legisladora
Liao Wan-ju del opositor Kuomintang (Partido Nacionalista).Más
Información:
http://www.elcomercioperu.com.pe/EdicionImpresa/Html/2007-04-10/ImEcVidayFuturo0705089.html
Comentarios:
a. Es realmente difícil saber, cuando un incidente de seguridad
"reportado o denunciado", es en realidad una brecha y no una carga
política. Ambos argumentos, sostienen puntos, sin duda, muy creibles.
/Javier Romero/
b. Este es otro de los tan sonados casos de ataque por parte del gobierno
Chino a instalaciones militares o computadoras personales de países que
tienen diferencias con el gran país de Asia. Cabe resaltar que de ser
cierto el incidente, hay una total falta de procedimientos y/o cultura de
seguridad por parte de los oficiales del Ejército de Taiwán que usan
equipo oficial fuera del control, que brinda sus instalaciones y aún con
información que debe ser clasificada y manejada de acuerdo a esta
categoría. Se evidencia una total falta de compromiso por parte de los
usuarios al momento de manejar la información que pone en peligro la
integridad de sus ciudadanos. /Winston Lewis/
c. De ser cierta la información pone en evidencia una vez que el eslabón
más débil en la cadena de seguridad es la persona, es necesario que los
usuarios autorizados a acceder a determinada información tomen conciencia
de la importancia de la misma y no la expongan, podemos tener los mejores
sistemas y programas de control pero la seguridad siempre será un asunto
de personas. Igualmente debemos tener presente que los equipos desde los
cuales se ingresa a información altamente reservada no pueden ni deben ser
conectados a redes con un nivel de seguridad menor ó salir de ambientes
seguros y controlados. /Aldo Romero/
4. La policia inglesa solicitará migrar sus cámaras de CCTV a calidad
comercial.
Traducción del extracto
Autoridades inglesas están planeado una actualización mayor a la red de
CCTV, en un movimiento que profundizará la preocupación acerca de un
vuelco hacia una sociedad vigilada. Nuevas leyes requerirán que los
operadores de éstas cámaras aseguren que sus equipos produzcan imágenes,
lo suficientemente buenas, para las investigaciones policiales. Más
Información:
http://www.telegraph.co.uk/news/main.jhtml;jsessionid=3EO1IUQZFRRALQFIQMFSFFOAVCBQ0IV0?xml=/news/2007/03/26/ncctv26.xml
Comentarios:
Nuevamente estamos ante la disyuntiva seguridad vs. Privacidad, es
correcto que toda sociedad ante la violencia actual quiera tomar la
medidas necesarias de seguridad pero esto nunca debe ir contra el derecho
a la privacidad de las personas, si es necesario instalar cámaras estas
deben ser visibles ya que se debe confiar más en su función disuasiva, por
otro lado si se quiere realmente utilizar este mecanismo se debe tener una
buena calidad de imagen para poder utilizar adecuadamente la información
recopilada. /Aldo Romero/
5. FTC aprueba la respuesta final de la compañía Guidance.
por JaCkSecurity.com
Luego de que la compañía de software forense Guidance sufriera una brecha
de seguridad en el 2005, que incluyó el robo de 4,000 cuentas de tarjetas
de crédito, ésta acordó, implementar un exhaustivo programa de seguridad
de la información, con auditoria externa cada año, durante un lapso de 10
años.
El problema de la intervención de la FTC (Comisión Federal de Comercio de
los EE.UU.) nace cuando se descubre que la mencionada firma, no cumplió
con su propia política de privacidad. Más Información:
http://www.esecurityplanet.com/prevention/article.php/3669691
6. Policía nacional peruana contará con Observatorio del Crimen.
Extracto del original
En Perú, la Policía Nacional instalará un Centro de Investigación
Criminológica, un Observatorio del Crimen e implementará la interconexión
de las comisarías. Los nuevos servicios son parte de la reforma
institucional, que tiene al ciudadano como eje central de su quehacer
diario. Más Información:
http://www.elperuano.com.pe/edc/2007/04/11/act6.asp
Comentarios:
a. Sería sumamente útil que éste observatorio cuente con una web similar
a http://www.globalincidentmap.com, donde puedan tener todas las noticas
policiales de los diversos diarios peruanos, de cada día, a fin de
correlacionar eventos de trascendencia o repercursión nacional y/o
estratégica. /Javier Romero/
b. Se espera que se pueda concluir este proyecto en el corto plazo ya
que es necesario tener una Policía que sea capaz de reaccionar de manera
proactiva ante la ola de atentados y la delincuencia en general, pero hay
que tomar en cuenta, que esta reforma venga acompañada de la capacitación
requerida y la tan llamada "Conciencia de Seguridad" y que este
complementada por la ética de nuestros policías y oficiales al momento de
manejar la información. /Winston Lewis/
c. Es una buena noticia, pero esta información debería estar disponible
a los personas ó empresas para poder tomar con tiempo las medidas
preventivas necesarias de ser el caso. /Aldo Romero/
7. Consumidores culpan a los minoristas, dice estudio de tarjetas robadas.
Traducción del extracto
En el despertar de la brecha masiva de las compañías TJX, más de tres
cuartos de los clientes dicen que ellos desearían dejar de comprar en
comercios que sufrieron de fuga de datos, de acuerdo a un estudio
realizado por la firma analista 'Javelin Strategy and Research'. La
encuesta de consumidores encontró que 63% de los comercios y minoritas son
vistos como el enlace menos seguro en la cadena de grupos que manejan
información de tarjetas de crédito. Los procesadores de tarjeta de crédito
siguen en segundo lugar, con un sexto de los clientes que los consideran
procesadores inseguros. Así mismo, cuando se conoce poca información
acerca de una brecha con tarjetas, más de la mitad de los consumidores
consideran que los comercios finales son los culpables. Mas Información:
http://www.securityfocus.com/brief/481?ref=rss
Comentarios:
Es importante remarcar, que el término minoristas refiere, en el contexto
local, a los comercios grandes, tipo almacenes, tiendas por departamentos,
super, hiper-mercados, por citar unos ejemplos. /Javier Romero/
========================================================================
Editores JaCkNews:
========================================================================
Winston Lewis, GCIA y SSD-GHD, es ingeniero especializado en seguridad
con experiencia en el gobierno de los EE.UU. por más de 6 años.
Javier Romero, es instructor de seguridad para JaCkSecurity.com
Aldo Romero, CISSP ha liderado diversas jefaturas de seguridad de
información en el sector bancario y de telecomunicaciones, por más de 9 años.
Más información sobre la lista de distribución News