Inteco, acaba de publicar la Guía de introducción a la web 2.0: aspectos de privacidad y seguridad en las plataformas colaborativas.
Inteco, acaba de publicar la Guía de introducción a la web 2.0: aspectos de privacidad y seguridad en las plataformas colaborativas.
El Observatorio de la Seguridad de la Información de INTECO hace públicos los resultados del Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas.
La experiencia de INTECO en la realización de estudios en los que se contrasta la situación real de los ordenadores con la percepción que los usuarios tienen, ha permitido realizar en esta ocasión un diagnóstico que pretende constituirse en referente nacional al identificar la problemática que tiene este tipo de empresas que representan a 9 de cada 10 entidades españolas.
El objetivo último de este estudio es conocer las necesidades de las empresas en la materia de e-confianza y seguridad de la información y evaluar las acciones necesarias a desarrollar por las organizaciones para contribuir al fomento de la cultura de seguridad de la información en estas entidades.
Asimismo, en el informe se formulan recomendaciones dirigidas a las propias empresas, los fabricantes y las administraciones públicas para ayudarlas a marcar las prioridades, asignar los recursos y focalizar los resultados para obtener la mejor relación coste-impacto que exige la gestión de la seguridad de la información.
Disponible el informe completo, el resumen ejecutivo y la reseña del estudio en castellano.
Via Inteco
El Inteco ha publicado este informe de seguridad sobre Twitter, analizándolo en diferentes ámbitos.
Extenso y completo.
Como resumen apuntan lo siguiente:
Tras analizar las características de seguridad de los clientes de Twitter más utilizados se pueden extraer las siguientes conclusiones:
•El uso de OAuth no está extendido, pero es de esperar que se adopte tarde o temprano, dada la intención de Twitter de eliminar el soporte para la autenticación básica [2]. Este mecanismo tiene ventajas importantes en cuanto a seguridad, y creemos que a pesar de su aparente mayor complejidad, una vez que su uso esté popularizado y existan librerías funcionales para la mayoría de lenguajes, todos los clientes terminarán por migrar a esta solución, para el beneficio de los usuarios.
•Aunque se utilice autenticación básica, la mayoría de clientes utilizan conexiones cifradas de tal forma que el usuario está protegido frente a robo de credenciales y secuestros de sesión.
•No obstante, aunque exista protección ante ataques de terceros, se siguen confiando las credenciales de acceso a una aplicación de la que muchas veces no se puede determinar su nivel de seguridad o su legitimidad.
Teniendo estos puntos en cuenta, desde INTECO sugerimos las siguientes recomendaciones:
•Los usuarios deben comprobar las características de seguridad de los clientes, buscando un compromiso entre funcionalidad y nivel de seguridad deseado, dando preferencia a aquellos clientes que utilicen OAuth y cifren las comunicaciones.
•Los desarrolladores de aplicaciones deben conocer y seguir en la medida de lo posible las recomendaciones de Twitter [2], que se pueden resumir en utilizar OAuth para la autenticación y sobre todo cifrar las comunicaciones para cualquier acceso que requiera autorización.
•Por parte de Twitter existen posibles medidas a tomar para mejorar la seguridad: ofrecer a los usuarios utilizar SSL para todas las peticiones como una opción de configuración de la cuenta (tal y como hace Google en Gmail), de tal forma que si se activa, automáticamente redirige tus peticiones al sitio HTTPS.
INTECO alerta que en los últimos días se han detectado ataques masivos contra sitios web con el objetivo de manipular su funcionalidad y contenido. Una vez comprometidas, las paginas Web manipuladas redirigirán a sus visitantes a sitios web maliciosos expresamente diseñados para descargar e instalar todo tipo de códigos maliciosos en el ordenador que podrán permitir al atacante su control.
INTECO alertó en anteriores ocasiones la existencia de este tipo de ataques para comprometer los sitios web. Se trata de ataques de tipo inyección SQL, aprovechando una errónea programación del código de las páginas en servidores WEB.
Estos ataques masivos, que en esta ocasión particular aprovechan una vulnerabilidad provocada por una errónea programación del código ASP (Active Server Pages) en servidores IIS (Internet Information Server), están apoyados en herramientas automáticas con las que logran infectar gran número de sitios web en poco tiempo. El número total de páginas comprometidas a día de hoy ronda los 1’5 millones, aunque muchas de ellas ya han sido o están siendo corregidas.
Recomendamos a todos los webmasters que tengan sus páginas ASP alojadas en servidores IIS comprobar, lo antes posible, si sus páginas web han podido verse afectadas. Un síntoma claro de la infección puede ser la existencia de código javascript externo desconocido y que apunte a alguno de los dominios indicados en el siguiente listado:
–-Listado de los posibles dominios maliciosos-
De cara a los usuarios de Internet, para evitar infecciones, INTECO aconseja seguir las recomendaciones básicas que siempre debemos adoptar para prevenir incidentes de seguridad:
Usuarios con conocimientos técnicos más avanzados pueden optar por deshabilitar el javascript en el navegador de manera temporal o instalar alguna extensión, como NoScript, que permita tener un control más exhaustivo sobre la ejecución de secuencias de comandos.
Inteco está colaborando con los ISPs, Agentes Registradores del «.es» y otras entidades para minimizar el impacto y alcance del incidente.
Actualizado: Microsoft confirma que es una vulnerabilidad que se aprovecha de una mala programación de código ASP, no es una vulnerabilidad propia del IIS. Los usuarios de IIS no tienen por qué verse afectados por la misma si bien deberán comprobar que no se les ha realizado una inyección de código malicioso en su sitio web.
Me entero por Javier Prenafeta del nacimiento de un blog sobre seguridad de la información.
Buena iniciativa que aplaudimos y apoyamos.
INTECO pone a disposición de los usuarios un mapa de incidencias de virus por Comunidades Autónomas.
Este mapa de incidencias, se genera con la información suministrida por los Colaboradores de la Red de Sensores de INTECO dentro de cada Comunidad Autónoma.
Con la información obtenida se realizan estadísticas sobre las incidencias de virus de correo más extendidos en cada comunidad autónoma y porcentajes de infección entre las muestras analizadas.
El Instituto Nacional de Tecnologías de la Comunicación (INTECO), la Asociación de Internautas, Panda Software , Telefónica y ONO lanzan la «II CAMPAÑA CONTRA EL FRAUDE ONLINE Y POR LA SEGURIDAD EN LA RED» (http://www.seguridadenlared.org). La misma se desarrollará desde el 15 de marzo hasta el lunes 9 de mayo de 2007.
Esta Campaña nace como respuesta a las amenazas que existen en Internet, cada día más frecuentes y silenciosas. De hecho, según la 9ª Encuesta a Usuarios de Internet «Navegantes en la Red», realizada por la Asociación para la Investigación de Medios de Comunicación (AIMC), la infección por virus o programas espía siguen siendo uno de los principales problemas con los que se encuentran los internautas a la hora de utilizar Internet.
En el sitio web de la Campaña (http://www.seguridadenlared.org), los internautas tendrán a su disposición consejos y recomendaciones sobre seguridad. Asimismo podrán descargar herramientas de seguridad indispensables para una navegación segura.
Además, la Campaña contará con un servicio de línea abierta por correo electrónico atendido por miembros de la Asociación de Internautas y por expertos en legislación digital, seguridad hardware y software, y comunicación digital.
Entre los objetivos de la presente Campaña pueden mencionarse:
En la primera campaña “no más fraude on-line” se recibieron más de 15.000 denuncias de los usuarios y gracias a la colaboración de los internautas se descubrieron más de 200 intentos de fraude on-line y robos de identidad, así como un gusano capaz de enviar mensajes SMS para infectar teléfonos móviles.Via Asociación de Internautas