Archivo de la etiqueta: seguridad

White paper para la seguridad en la nube

Todos conocemos del cloud y sabemos que suele estar fuera de nuestras infraestructuras por lo que nos vemos limitados en la supervisión de dichos procesos los cuales debemos de asegurarnos de su fiabilidad y seguridad para nuestras empresas.

Por ello es importante que los administradores IT, posean el conocimiento necesario para poder evaluar a los proveedores de servicios y aplicar un conjunto de buenas practicas en  seguridad.

Huddle nos ha facilita para su descarga, de manera gratuita una guía sobre seguridad física, recuperación de desastres, seguridad operacional, seguridad en la red y la seguridad de la aplicación.

Os dejo el enlace del  documento para su descarga, desde aquí. Un saludo

Deja un comentario

Archivado bajo Seguridad, Virtualización

Filtrados cientos de nombres de usuarios y contraseñas de Dropbox

dropbox-security

¿Es el momento de cambiar tu password de Dropbox? Cientos de supuestos nombres de usuarios y contraseñas del sitio para compartir documentos en Internet Dropbox fueron publicados el lunes en Pastebin, un sitio web para compartir información anónima. El usuario anónimo, que dice haber pirateado cerca de 7 millones de cuentas, pide donaciones de bitcoines para financiar la operación.

La filtración se dio a través de un post en Reddit que contenía links a los archivos con los datos de los usuarios, algunos usuarios  han probado algunos de los datos filtrados y han confirmado que son cuentas reales.

No se sabe claramente como fue que los hackers obtuvieron esta información, sin embargo Dropbox señaló que el servicio no ha sido victima de hackers.

“Estos nombres de usuario y contraseñas fueron robados de otros servicios y usados para intentar acceder a cuentas de Dropbox. Hemos detectado previamente estos ataques y la gran mayoría de los passwords posteados han expirado desde hace algún tiempo. Las contraseñas restantes han expirado también.”

Curiosamente hace un par de días el propio Edward Snowden daba una serie de consejos para proteger nuestra privacidad en la red y uno de ellos era precisamente deshacerse de servicios como Dropbox, Google y Facebook. “Estamos hablando de encriptación. Estamos hablando de deshacerse de programas que son hostiles con nuestra privacidad, por ejemplo Dropbox. Deshazte de Dropbox, si no admite el cifrado, no protege tus archivos privados.”

Aunque las contraseñas puedan resultar falsas, de momento no se sabe cuantos usuarios podrían ser potencialmente afectados por esta amenaza. Mientras se publica más información al respecto, lo mejor es tomar precauciones y cambiar tu contraseña de inmediato.

Deja un comentario

Archivado bajo Seguridad

WatchGuard presento Dimension

WatchGuard presento una innovadora solución que no necesita instalación y que ofrece visibilidad de la seguridad de la red en nubes públicas y privadas.

Esta herramienta viene de serie con los UTM y proporciona un conjunto de herramientas de visibilidad y de reporting que aísla y concentra de forma instantánea los problemas y tendencias de seguridad, agilizando e incrementando la capacidad de los administradores de redes para configurar y manejar las principales políticas de seguridad al instante.

ext.jpg
Podemos probarlo de forma gratuita  en www.watchguard.com/dimension.

Deja un comentario

Archivado bajo Seguridad

Informe SplashData sobre seguridad, las 25 contraseñas más usadas

Gracias David por enviarme este articulo.

Después de años y años escuchando las mismas recomendaciones sobre cómo no escoger las contraseñas online, cabría pensar que ya hemos aprendido. Pero no, la firma de software SplashData ha recopilado la lista de contraseñas más utilizadas de 2013 en base a millones de passwords filtrados y publicados online, el resultado es un top-25 donde se muestra que no tenemos remedio, ni perdón.

Gran parte de las contraseñas obtenidas en la lista provienen de fallos de seguridad como el que se produjo con Adobe el pasado Octubre, que acabó con 38 millones de passwords filtrados online. Eso explica por qué vemos nuevas entradas como “adobe123” o “photoshop”.

Esta es la lista completa, entre paréntesis esta la variación respecto al año anterior:

  1. 123456 (Sube 1) 
  2. password (Baja 1)
  3. 12345678 (Sin cambios)
  4. qwerty (Sube 1)
  5. abc123 (Baja 1)
  6. 123456789 (Nuevo)
  7. 111111 (Sube 2)
  8. 1234567 (Sube 5)
  9. iloveyou (Sube 2)
  10. adobe123 (Nuevo)
  11. 123123 (Sube 5)
  12. Admin (Nuevo)
  13. 1234567890 (Nuevo)
  14. letmein (Baja 7)
  15. photoshop (Nuevo)
  16. 1234 (Nuevo)
  17. monkey (Baja 11)
  18. shadow (Sin cambios)
  19. sunshine (Baja 5)
  20. 12345 (Nuevo)
  21. password1 (Sube 4)
  22. princess (Nuevo)
  23. azerty (Nuevo)
  24. trustno1 (Baja 12)
  25. 000000 (Nuevo)

Es muy recomendable que si tenemos alguna contraseña que coincida con alguna de la lista procedamos a  cambiarla inmediatamente.

Para escoger una contraseña segura es bueno seguir una serie de reglas básicas, como utilizar contraseñas de ocho caracteres o más, con tipos mixtos de caracteres (mayúsculas, minúsculas y números). Pero incluso las contraseñas con sustituciones comunes como “dr4mat1c” pueden ser vulnerables a las tecnologías actuales, y las combinaciones aleatorias como “j% 7K y YPX $” son difíciles de recordar. Una forma de crear contraseñas más seguras que sean fáciles de recordar es utilizar frases de acceso, palabras cortas con espacios u otros caracteres que los separan. Lo mejor es utilizar palabras al azar en lugar de frases comunes. Por ejemplo, “tortas de cumpleaños años” o “smiles_light_skip?”
Así mismo no se debe de utilizar las misma combinación de nombre de usuario y contraseña para varios sitios web. Especialmente si utilizamos la misma en sitios de entretenimiento, redes sociales, servicios financieros o de compras, es muy recomendable utilizar diferentes contraseñas para cada sitio web nuevo o servicio que usted se inscribe para.
Si tenemos dificultad en recordar todas las contraseñas seguras? Podemos apoyarnos en un gestor de contraseñas que nos permitirá organizarlas y nos las protegerán, permitiendo a su vez iniciar sesión automáticamente en sitios web, para ello existen numerosas aplicaciones disponibles.

Podéis ver el articulo original, aquí

Deja un comentario

Archivado bajo Seguridad

Cómo saber si nos están robando WIFI con: Nast

Hoy trataremos de averiguar si tenemos algun intruso en nuestra wifi, para ello utilizaremos Nast, el cual está disponible en los repositorios de la familia Debian, también en los de Gentoo

Nast nos permite:

  • Hacer una lista de hosts conectados en tu LAN, utilizando el protocolo ARP.
  • Seguir flujos de datos TCP, para imprimir los datos contenidos en una conexión definida por la tupla (IP origen, puerto origen, IP destino, puerto destino).
  • Encontrar los equipos que nos dan paso a internet (gateways).
  • Conocer el tipo de enlace (hub o switch), usando el protocolo ICMP.
  • Escanear puertos parcialmente. Es decir, sin realizar la conexión completa, pero suficiente para saber de qué puerto se trata.

Instalación:

Nast depende principalmente de la biblioteca libnet. En Debian y similares:

$ sudo apt-get install nast

¿Cómo comprobamos quién está en mi LAN?:

$ nast -m

¿Dónde hay un gateway?

Nast muestra los nodos candidatos para ser gateway, luego te avisa con un Yep! cuando ha sido capaz de alcanzar el otro lado de la red por ese equipo (alguno de los nodos candidatos anteriormente citados).

hacemos: $ nast -g

Deja un comentario

Archivado bajo Linux, Seguridad

Powerdata organiza en Madrid un evento sobre Calidad de los Datos

Powerdata, proveedor de TI y de servicios especializados en herramientas de gestión de datos, tiene previsto para el próximo día 4 de octubre en el Hotel Intercontinental de Madrid el PowerQuality Day, un evento dedicado a la Calidad de los Datos Empresariales.

El objetivo de este evento es sensibilizar sobre la importancia del tratamiento de la calidad de los datos y sobre los inconvenientes de una mala gestión de esta calidad. La jornada está dirigida a los directores informáticos enfrentados a proyectos relacionados  con la gestión y calidad de datos, tales como la construcción de su propio data warehouse, la explotación de un sistema de CRM, así como a todo responsable de marketing y call center que quiera optimizar el ahorro en costes operacionales en sus envíos de marketing directo, teniendo una buena calidad en sus datos de dirección.

Los asistentes podrán conocer casos concretos de implementación de estrategias de calidad de la información en tres empresas españolas, así como distintos escenarios de obtención de retorno de la inversión en este ámbito. Además, podrán participar en la elección de los contenidos que más se adecuen a sus problemáticas.

Nos encontraremos como ponentes a: Juan Oñate, Director General de Powerdata;  Carlos  Villar, Director de Servicios Profesionales de Powerdata;  y Francisco Cesteros, Director de Operaciones Zona Centro de la compañía.

Para más información sobre este evento pulsar aquí

Deja un comentario

Archivado bajo Gestión de proyectos, Noticias, Sistemas

Ranking de los engaños más habituales del 2012

Finalizando el año los especialistas de la Policía Nacional en la seguridad tecnológica han realizado un breve ránking sobre los principales intentos de engaño que han sido más repetidos y peligrosos para los internautas a lo largo de 2012.

Este ‘Top‘ del fraude lo han elaborado los miembros de la Brigada de Investigación Tecnológica (BIT) en base a las miles de denuncias, consultas y peticiones de ayuda de los internautas a través de e-mail, teléfono y redes sociales.

  1. Fraudes en la compraventa o alquiler. En los últimos años no dejan de crecer los anuncios en webs de compraventa o alquiler entre particulares y los intentos de fraude en supuestas gangas en los productos más demandados: gadgets tecnológicos y smartphones, coches de segunda mano. También destacan los alquileres en supuestas fantásticas viviendas muy céntricas o apartamentos vacacionales muy atractivos.
  2. Ofertas de trabajo falsas. Peticiones de dinero por adelantado para el temario o cursos previos del puesto a desempeñar o para cerrar los trámites de contratación; pedir que se llamen a un teléfono de alto coste o redireccionarle en segunda instancia a ese tipo de números y alargar la supuesta llamada de recopilación de datos o entrevista de trabajo hasta el máximo posible.
  3. Virus haciéndose pasar por la Policía, la SGAE o la AEPD. El virus es muy dañino y bloquea el ordenador, inventándose una supuesta multa de 100 € por haber detectado pornografía infantil en el disco duro o archivos que violan la propiedad intelectual o la Ley Orgánica de Protección de Datos. Se pide el pago a través de medios no rastreables y el usuario, una vez ha abonado, ve que el ordenador no recupera el normal funcionamiento.
  4. ‘Phishing’ bancario. Continúa el ‘phishing’ bancario (obtener las claves de usuario del internauta para luego obtener beneficios fraudulentos) y el engaño más novedoso este año, de enviar SMS para solicitar los datos de la tarjeta de crédito, para desbloquearla, por supuestos motivos de seguridad. También hay intentos de robo de cuentas en redes sociales y correos, para luego utilizarlas.
  5. Fraude sobre SMS y llamadas de alta tarificación. Los ganchos utilizados son varios: desde supuestos paquetes que no se han recogido, a supuestas llamadas de personas que no tienen saldo y requieren contactar con ellos a través de esos medios, falsos premios en concursos en los que no se ha participado o mensajes ambiguos de supuestas personas recién separadas y que quieren tomar un café.

Decálogo de seguridad

Los agentes de la BIT recomiendan a los internautas que en su navegación siempre usen medidas de seguridad básicas.

  • Actúa con ‘desconfianza racional’ ante ofertas de fuente desconocida, a un precio excesivamente barato o demasiado ventajoso respecto a la media del mercado.
  • No des siempre por supuesto que tu interlocutor vía web, correo electrónico o red social es quien dice ser. Ni aunque sea a través de la cuenta reconocida de un amigo tuyo. Puede haber sido ‘secuestrada’.
  • Desconfía de frases breves en perfiles de redes sociales o cuentas de correos y links acortados.
  • Si te hacen llamadas perdidas desde un teléfono de alta tarificación (905… o 80…) no la devuelvas, jamás. Y desconfía absolutamente de los mensajes que te llegan desde un teléfono móvil corto que intenta que interactúes de alguna forma.
  • Aquellas supuestas ofertas de trabajo que requieren un desembolso económico previo no son casi nunca reales y encierran un engaño o afán de recaudar a costa de los que buscan empleo.
  • No compres en webs desconocidas que te lleguen a través de links acortados o fuentes no fiables.
  • Verifica que la dirección de la web con la que interactúaz en la barra de su navegador es absolutamente igual que el nombre de la empresa.
  • Si recibes un SMS o un correo pidiendo que actualices tus datos bancarios, de tarjeta o cuenta, no contestes ni rellenes formularios de ningún tipo.
  • Si ves en Internet algún chollo, indaga sobre él. Tanto por la opinión de otros compradores (votos, confianza, trayectoria, etc.) como en cualquier buscador, introduciendo datos por si otros usuarios alertaran de algo raro en dicha oferta.
  • Si lo comprado a otro particular es de gran valor económico, exige que el envío sea certificado y asegurado y que se declare el valor real del paquete.

Además de estos consejos específicos, la Policía recuerda la necesidad de mantener siempre activas medidas básicas de seguridad en el ordenador, como renovar el antivirus, utilizar programas originales y actualizar el sistema operativo. También recomienda utilizar medios de pago rastreables y consultar con periodicidad los movimientos de la tarjeta y cuenta bancarias.

Así mismo os animo a que visitéis Slideshare y la presentación sobre seguridad que vamos a poner este mes de Enero, ademas encontrareis otros manuales muy interesares.

Deja un comentario

Archivado bajo Seguridad