Archivo

Archive for agosto 12, 2012

SUBE: la seguridad informática en duda

agosto 12, 2012 Deja un comentario

SUBE: la seguridad informática en duda

Expertos en protección de datos cuestionan las falencias del sistema; denuncian robo de identidad y demoras en el trámite online

Miércoles 14 de marzo de 2012

Por Cynthia Palacios  | LA NACION

 

“Es una solución ágil y sencilla diseñada para el transporte público de pasajeros”, rezaba el eslogan. Pero hacerse de una tarjeta SUBE resultó poco ágil y menos sencillo para miles de usuarios del transporte público. Y para muchos, más que una solución, obtener la tarjeta más nombrada de los últimos tiempos resultó un dolor de cabeza.

Con la disminución de los puestos de entrega del plástico del Sistema Unico de Boleto Electrónico (SUBE), de 600 a 10, el eje de la polémica pasó de las visibles -e interminables- colas a un terreno casi invisible: el virtual. Los pasajeros denuncian robo de identidad, pérdida del crédito, problemas para seguir el trámite por Internet y escasas medidas de protección de sus datos personales.

La Secretaría de Transporte asegura que se entregaron más de 11 millones de tarjetas, y la falta de plásticos en los puestos callejeros hizo que colapsara la página web oficial luego de que se tramitaron 12.000 en dos horas.

La falta de un usuario registrado con su correspondiente contraseña es la primera alarma que detectan los especialistas en seguridad informática consultados por LA NACION.

“La falencia más grande es que no tiene ningún paso de seguridad”, opinó Cristian Borghello, licenciado en sistemas y director del sitio segu-info.com.ar.

“Los datos de los recorridos que figuran en la SUBE son personales y están amparados por la ley 25.326, de protección de datos personales. Esa norma dice que toda base de datos tiene que contar con medidas de seguridad adecuadas para evitar su acceso remoto o no autorizado”, explicó el abogado especialista en derecho informático y director de informaticalegal.com , Miguel Sumer Elías.

La vulnerabilidad informática del sistema inquietó a los integrantes del Centro de Protección de Datos Personales de la Defensoría del Pueblo de la Ciudad, que libraron un oficio a la Secretaría de Transporte, cuya respuesta están esperando. “Queremos que el sistema ofrezca garantías personalizadas y se pueda constatar que el usuario está averiguando sobre sí mismo. Sabemos que hay bases de datos públicas con más elementos que la SUBE y esta tarjeta no será un sistema de información de primera línea, pero es vulnerable”, consideró Eduardo Peduto, a cargo del centro.

“La disposición 11/2006 de la Dirección Nacional de Protección de Datos Personales establece tres medidas de seguridad. La SUBE no cumple ni siquiera con las medidas de seguridad mínimas”, destacó Elías.

Peduto contó que la defensoría porteña recibió varios casos de ciudadanos que pidieron su tarjeta a través de la página web. “Después de algunos días recibieron como respuesta que había sido rechazado porque ese peticionario ya tenía una tarjeta SUBE otorgada”, relató.

“El robo de identidad de las tarjetas es notable, porque no hay controles”, lamentó Elías. En el sitio que dirige recibieron más denuncias de usuarios que fueron a tramitar su tarjeta y se encontraron con la sorpresa de que ya había sido pedida por otra persona. “En esos casos la carga de la prueba corresponde al afectado. La denuncia debe hacerse por un teléfono que jamás te atienden”, agregó.

“Cualquiera que llame al número del SUBE y diga que cree que le robaron la tarjeta, al informar un número de documento le dan el número de la tarjeta -señaló Borghello-. Si pensamos en los más chicos y en la cantidad de robos que hay, nos preocupa que con tanta facilidad se pueda planificar un delito contra un menor.”

Los responsables del sitio Segu-Info se pusieron en contacto con la página oficial para que mejoren este sistema de control de las tarjetas y les explicaron que los datos son almacenados porque “si la tarjeta es perdida o robada, ellos la bloquean y el usuario recupera el dinero que tenía cargado al momento de la pérdida”. “Lo que no explican es por qué esa información se encuentra publicada casi sin control”, afirmó Borghello.

“Creo que el sistema se implementó muy rápido, sin pensar en el daño que podía ocasionar”, reveló el especialista en Derecho de las Nuevas Tecnologías y Protección de Datos Personales Daniel Monastersky, director del sitio identidadrobada.com. “El alta se debería dar con un nombre de usuario y contraseña. Lo comparo con el home banking : tienen datos que son mucho más sensibles, pero cumplen con medidas de seguridad y uno confía en el banco”, destacó.

“La preocupación es exagerada. No creo que se pongan a hacer inteligencia ni que el Estado esté armando un Gran Hermano de la tarjeta SUBE”, dijo el fiscal general Ricardo Sáenz, especialista en delincuencia informática. Y objetó. “Está bien que junten nuestros datos, pero no que sean accesibles para cualquiera”.

Complicaciones

 

  • Robo de identidad: los usuarios se quejan de que, al tramitar la tarjeta, el proceso es rechazado porque ese beneficiario ya tenía una tarjeta otorgada. Comienza allí una batalla legal donde deben demostrar que no la han solicitado.

 

  • Carga misteriosa: algunos pasajeros se quejan porque desaparece el dinero de su tarjeta y el trámite para recuperarlo puede demorar más de un mes .

 

  • Dinero en el ciberespacio: otros usuarios explican que, al renovar la tarjeta, el crédito que tenían cargado no aparece en la nueva tarjeta. ¿Cómo recuperarlo? En las mismas oficinas que expiden la tarjeta, donde las colas son larguísimas.

 

  • Virtual, pero en persona: algunas personas que tramitaron la tarjeta a través de la página web reciben luego una respuesta de que no pudo identificarse su domicilio y deben retirarla personalmente en una oficina de la Anses. Otra vez colas interminables. Una vecina de Munro que tuvo este problema contó que a su marido, ante un trámite igual, le llegó al domicilio sin problemas.

 

  • Al alcance de todos: los especialistas en seguridad informática señalan que sabiendo el número de documento de una persona se puede conocer, vía telefónica, el número de la tarjeta SUBE y así conocer sus recorridos.

Fuente: LANACION

Anuncios

Cómo evitar los ciber-robos

agosto 12, 2012 Deja un comentario

29/04/11

La violación a la seguridad del servicio para jugar por Internet de la PlayStation hizo que 77 millones de consumidores quedaran expuestos al riesgo de fraude de identidad con el robo de información personal de los usuarios, incluidos detalles de sus tarjetas de crédito. La información robada puede luego ser usada para abrir cuentas de servicio de celulares por ejemplo, en nombre de la víctima, o para solicitar un crédito. Los estafadores pueden también abrir cuentas bancarias, solicitar beneficios sociales y obtener documentos como pasaportes o registros de conducir.

¿Cómo hay que cuidarse? Los especialistas en seguridad por Internet aconsejan a la gente controlar los resúmenes de sus tarjetas de crédito y tener precaución con el intento de estafas por teléfono o e-mail.

Y los especialistas en fraudes sostienen que los consumidores deben tener especial cuidado con quienes les ofrezcan negocios o transacciones comerciales de la noche a la mañana . Si una oferta parece demasiado buena como para ser cierta, muy probablemente se trate de un engaño.

¿Se puede usar la tarjeta de débito o crédito si uno es víctima de este fraude? El robo de identidad puede llevar a un bloqueo de las finanzas personales y volver luego difícil la obtención de préstamos, tarjetas de crédito o una hipoteca, hasta tanto esté resuelto el problema.

¿Qué se debe hacer en caso de ser víctima? Lo primero es actuar con rapidez . Si las tarjetas de crédito se vieron afectadas, hay que contactarse con el banco o con la empresa de tarjetas de crédito lo antes posible.

¿Cómo evitar que esto vuelva a ocurrir? La violación al servicio de la PlayStation no es culpa de los consumidores. De todos modos, todos debieran cambiar sus contraseñas regularmente; formarlas con letras mayúsculas, minúsculas y números; y asegurarse de no usar la misma en distintos sitios de Internet .

TRADUCCION: Silvia S. Simonetti

Fuente: Clarín

Categorías:Ciberdelitos, Noticias Etiquetas: ,

Google eliminó 21 aplicaciones de Android que infectaban a los celulares

agosto 12, 2012 Deja un comentario

03/03/11 – 13:21

Imitaban softwares populares como juegos de ajedrez o editores de fotos. Los hackers buscaban acceder a la red de telefonía para, desde ahí, llegar a los datos privados en los teléfonos. Los programas “maliciosos” fueron descargados unas 50 mil veces.

Google ha eliminado 21 aplicaciones de su tienda para Android después de comprobar que en realidad eran ‘malware’ o software malicioso destinado a vulnerar las medidas de seguridad de los móviles de los usuarios. Se estima que los programas maliciosos pueden haber sido descargados unas 50.000 veces antes de ser retirados.

El objetivo de los hackers que habían puesto en circulación estas aplicaciones fraudulentas era acceder a los nodos de la red de telefonía móvil y, desde ellos, llegar a los terminales y a sus datos privados.

El crecimiento de las aplicaciones en los teléfonos móviles también ha supuesto un aumento en el número de virus y ‘malware’ que se distribuye para las plataformas móviles. En este caso, la detección se ha producido gracias al foro Android Police y se ha podido proceder a su retirada.

Los contenidos retirados imitaban a aplicaciones populares como juegos de ajedrez o editores de fotografía. Todas las aplicaciones eran gratuitas y, según el portal Mashable, han sido descargadas más de 50.000 veces antes de su retirada.

El objetivo del ‘malware’ distribuido era que los hackers pudieran a acceder a los terminales. En una parte de las aplicaciones los piratas pretendían tener acceso a los datos personales de los usuarios alojados en sus teléfonos. Y en otros programas se trataba de facilitar acceso ‘root’ a los dispositivos para que los hackers se hiciesen con el control del terminal.

Google ha atendido a la denuncia efectuada por el portal Android Police y ha retirado de forma inmediata las 21 aplicaciones identificadas. En Mashable se recomienda a las personas afectadas que se pongan en contacto con su compañía para informarse sobre cómo proceder y si se debe cambiar de terminal.

Las aplicaciones retiradas son Falling Down, Super Guitar Solo, Super History Eraser, Photo Editor, Super Ringtone Maker, Super Sex Positions, Hot Sexy Videos, Chess Ajedrez, Falldown, Hilton Sex Sound, Screaming Sexy Japanese Girls, Falling Ball Dodge, Scientific Calculador, Dice Soller, Advanced Currency Converter, APP Uninstaller, PewPew, Funny Paint y Spider Man.

La Vanguardia

Fuente: Clarín

Categorías:Malware, Mobiles, Noticias Etiquetas: , ,

Un “tweet” desencadenó el ataque de hoy a la red Twitter

agosto 12, 2012 Deja un comentario

21/09/10 – 17:54

Los hackers escribieron código informático y lo introdujeron en el sistema a través de un breve mensaje de menos de 140 caracteres. Demostraron, de este modo, que los filtros de la red social pueden fallar.

Los hackers escribieron código informático y lo introdujeron en el sistema a través de un breve mensaje de menos de 140 caracteres. Demostraron, de este modo, que los filtros de la red social pueden fallar.

Un breve tweet, un mensaje de menos de 140 caracteres. Sólo eso necesitaron los hackers hoy para poner en vilo a Twitter, una de las redes sociales del momento.

Claro, no era un mensaje cualquiera. Se trataba de código de informática (conocido en la jerga como “exploit”) con el que buscaron demostrar la vulnerabilidad del sistema, informó a Clarín Ignacio Sbampato, de la empresa de seguridad informática Eset Latinoamérica. En este caso, aprovecharon un error en la programación de Twitter y lograron que la “infección” se propagara viralmente, a la velocidad que adquiere el mundo interconectado.

“El error estaba en el acortador de URL t.co, que es de Twitter. Es uno de los tantos servicios que acortan las direcciones electrónicas largas para que entren en un mensaje de solo 140 caracteres. Esto usaron para generar el exploit. El usuario veía el mensaje con link, pero allí estaba escondido el exploit que modificaba la programación del sitio”, agrega Francisco Amato, de Infobyte Security Research.

“Se trató de un ataque XSS (Cross-site scripting). Los atacantes no ingresaron al sitio de Twitter pero pudieron introducir código en la parte pública del servidor, que es lo que todos vemos –explica Sbampato–. Pudieron vencer los filtros de Twitter e introducir ese código a través de un exploit de menos de 140 caracteres. Tuvieron que aprovechar al máximo ese breve espacio”.

 

Tres versiones

El exploit afectó sólo al servicio de Twitter en la Web y no a las aplicaciones relacionadas que corren tanto en la computadora como en los teléfonos celulares.

En rigor, se trató de tres versiones del exploit que lograron distintos efectos. Uno de ellos lograba que, con solo situar el mouse sobre cualquier mensaje, éste se retuiteara automáticamente. Otro era una especie de spam, que redirigía al usuario a un sitio pornográfico. Y el tercero cambiaba los colores de la plataforma.

Los especialistas creen que el de los colores fue el primero, y que con ese exploit los hackers estaban probando su efectividad. Y que los otros dos vinieron después, como una forma de darle visibilidad a su creación.

Los hackers suelen hacer este tipo de ataques con frecuencia con el objetivo de mostrar las vulnerabilidades de los sistemas y, eventualmente, ofrecer las soluciones. “Así funciona el mercado de las vulnerabilidades. Están probando todo el tiempo. Y acá mostraron un error en Twitter. La opinión general es que esto nació como algo inofensivo, pero luego tomó viralidad”, dice Sbampato.

Amato cree que pudo haber existido la intención de tomar computadoras para armar “redes zombies” (conocidas en la jerga como “botnets”). “Cuando el enlace te enviaba a un sitio pornográfico, en realidad podría tratarse de un sitio que explota la vulnerabilidad del navegador y toma control de tu PC. El final podría haber sido una botnet, pero no lo sabemos”, dice.

Para Sbampato problemas de este tipo van a seguir ocurriendo, a medida que los hackers consigan vulnerar el filtro de Twitter, como el de cualquier otro servicio web. “Siempre que tenés un sitio que acepta usuarios estás propenso a que esto suceda. Lo mismo con los formularios web”.

Sbampato cuenta que Twitter tomó la decisión de arreglar la cuestión sin “apagar” el sitio, y ese fue el motivo por el cual el problema demoró más de dos horas en solucionarse. “Desde el punto de vista de la seguridad, tenían que haber dado de baja el servicio. Nosotros siempre decimos, que servicio que anda mal se para. Pero en este caso, decidieron seguir adelante”.

 

Recomendaciones

Aunque sin dudas fue muy molesto para los usuarios, el ataque de hoy a Twitter no significó un peligro para la privacidad de los datos que se manejan en esa red social. Por eso, los especialistas no creen que sea necesario cambiar la contraseña de Twitter. “Aunque siempre es bueno ir cambiandola, te quedás más tranquilo”, puntualiza Sbampato.

Claudio Avin, de la Cámara Argentina de Internet (CABASE) dice que esta es una buena ocasión para que la gente recuerde que “nunca la contraseña en redes sociales y otros servicios web debe ser la misma que la que se usa en cuentas bancarias o cajeros automáticos, porque nunca estarán bien protegidas”.

Amato, por su parte, recomienda a los usuarios de Firefox que instalen el plug in No Script, que detecta y avisa cuando hay un ataque XSS.

Mientras que Sbampato aconseja darle un vistazo a la cuenta de Twitter @safety, que –dice—tiene buena información sobre seguridad y en un lenguaje accesible a las personas no especializadas. Aunque, claro, en inglés.

 

En Twitter: @RickyBraginski

Fuente: Clarín

 

Uno de cada cuatro sitios web está expuesto a ciberataques

agosto 12, 2012 Deja un comentario

Lo anunciaron dos jóvenes expertos en seguridad informática, uno de ellos argentino. Son los sitios desarrollados con un sistema de Microsoft, entre ellos de home banking. Los programadores tienen herramientas para protegerlos.

Lo anunciaron dos jóvenes expertos en seguridad informática, uno de ellos argentino. Son los sitios desarrollados con un sistema de Microsoft, entre ellos de home banking. Los programadores tienen herramientas para protegerlos.

Por RICARDO BRAGINSKI

El 25 por ciento de los sitios web de todo el mundo están expuestos a ataques, robos de datos y sabotaje anunciaron dos jóvenes expertos en seguridad informática –un argentino y un vietnamita– que participan de la cumbre de expertos en ciberdelitos Ekoparty que se realiza esta semana en Buenos Aires.

Juliano Rizzo y Thai Duong presentarán pasado mañana los detalles de su investigación, en la que exhiben las vulnerabilidades que tiene el sistema ASP.NET, de Microsoft, con el que están desarrollados el 25 por ciento de las páginas web, según el sitio BuiltWith. El error afecta a más porcentaje aún en el caso de las grandes empresas y los bancos, que usan mucho más los sistemas de Microsoft..

Los investigadores detectaron la falla en la forma en que ese sistema encripta los mensajes que le envían a los usuarios. “Cada vez que una persona se conecta con un servidor que usa ASP.NET, éste le deja en su navegador ciertos datos con la historia de esa sesión. Sería el equivalente a si uno va a un banco y le dan un ticket con la historia del trámite para que se pueda seguir más adelante . El ticket puede ser una serie de números que nadie entiende, sólo el cajero el día que uno vuelva –explica Rizzo a Clarín–. La comunicación entre el navegador y el sitio con ASP.NET es similar. El servidor deja un código que, supuestamente nadie entiende. Pero nosotros descubrimos que se puede vulnerar“.

Los detalles de la investigación y cómo se puede atacar estos sitios serán revelados por los dos jóvenes pasado mañana, en el cierre de la conferencia Ekoparty. Sin embargo, Rizzo adelantó a Clarín que la técnica que ellos utilizaron consiste, básicamente, en enviarle “tickets” falsos al servidor uno tras otro y estudiar la respuesta que reciben. “En función de esta respuesta podemos construir un “ticket” verdadero y hacernos pasar por administrador, por ejemplo”, explica Rizzo.

Como todo problema tiene su solución, los programadores de estos sitios ya cuentas con herramientas para proteger a sus usuarios, antes de que Microsoft termine de solucionar la vulnerabilidad. “Hay posibilidades de bloquear el agujero a través de herramientas conocidas como Web Application Firewall. Los detalles que vamos a presentar les van a permitir protegerse aún más”, dice Rizzo.

Juliano Rizzo y Thai Duong se conocieron el año pasado cuando participaban en una competencia online coreana. Debían resolver problemas matemáticos en equipos. “En cierto momento mi equipo estaba cabeza a cabeza con el de él y empezamos a chatear. El me preguntaba cosas y yo le decía que si te ayudo pierdo. Después nos seguimos mandando desafíos, y entre ellos estuvo el origen de esta investigación”, cuenta Rizzo.

Esta es la sexta edición de Ekoparty, la conferencia anual que reúne a consultores, investigadores, programadores y entusiastas de la tecnología de todo el mundo. La cita esta vez es en la Ciudad Cultural Konex, durante esta semana, y ya están participando más de 600 personas.

La idea de Ekoparty surgió del circuito “underground” de IT. Con el tiempo, fue sumando a más y más especialistas de empresas y estudiantes de sistemas. Discuten cómo ingresar a sistemas ajenos y cómo defenderlos de posibles ataques.
Fuente: Clarín

El 25 por ciento de los sitios web de todo el mundo están expuestos a ataques, robos de datos y sabotaje anunciaron dos jóvenes expertos en seguridad informática –un argentino y un vietnamita– que participan de la cumbre de expertos en ciberdelitos Ekoparty que se realiza esta semana en Buenos Aires.

Juliano Rizzo y Thai Duong presentarán pasado mañana los detalles de su investigación, en la que exhiben las vulnerabilidades que tiene el sistema ASP.NET, de Microsoft, con el que están desarrollados el 25 por ciento de las páginas web, según el sitio BuiltWith. El error afecta a más porcentaje aún en el caso de las grandes empresas y los bancos, que usan mucho más los sistemas de Microsoft..

Los investigadores detectaron la falla en la forma en que ese sistema encripta los mensajes que le envían a los usuarios. “Cada vez que una persona se conecta con un servidor que usa ASP.NET, éste le deja en su navegador ciertos datos con la historia de esa sesión. Sería el equivalente a si uno va a un banco y le dan un ticket con la historia del trámite para que se pueda seguir más adelante . El ticket puede ser una serie de números que nadie entiende, sólo el cajero el día que uno vuelva –explica Rizzo a Clarín–. La comunicación entre el navegador y el sitio con ASP.NET es similar. El servidor deja un código que, supuestamente nadie entiende. Pero nosotros descubrimos que se puede vulnerar“.

Los detalles de la investigación y cómo se puede atacar estos sitios serán revelados por los dos jóvenes pasado mañana, en el cierre de la conferencia Ekoparty. Sin embargo, Rizzo adelantó a Clarín que la técnica que ellos utilizaron consiste, básicamente, en enviarle “tickets” falsos al servidor uno tras otro y estudiar la respuesta que reciben. “En función de esta respuesta podemos construir un “ticket” verdadero y hacernos pasar por administrador, por ejemplo”, explica Rizzo.

Como todo problema tiene su solución, los programadores de estos sitios ya cuentas con herramientas para proteger a sus usuarios, antes de que Microsoft termine de solucionar la vulnerabilidad. “Hay posibilidades de bloquear el agujero a través de herramientas conocidas como Web Application Firewall. Los detalles que vamos a presentar les van a permitir protegerse aún más”, dice Rizzo.

Juliano Rizzo y Thai Duong se conocieron el año pasado cuando participaban en una competencia online coreana. Debían resolver problemas matemáticos en equipos. “En cierto momento mi equipo estaba cabeza a cabeza con el de él y empezamos a chatear. El me preguntaba cosas y yo le decía que si te ayudo pierdo. Después nos seguimos mandando desafíos, y entre ellos estuvo el origen de esta investigación”, cuenta Rizzo.

Esta es la sexta edición de Ekoparty, la conferencia anual que reúne a consultores, investigadores, programadores y entusiastas de la tecnología de todo el mundo. La cita esta vez es en la Ciudad Cultural Konex, durante esta semana, y ya están participando más de 600 personas.

La idea de Ekoparty surgió del circuito “underground” de IT. Con el tiempo, fue sumando a más y más especialistas de empresas y estudiantes de sistemas. Discuten cómo ingresar a sistemas ajenos y cómo defenderlos de posibles ataques.