martes, 27 de agosto de 2013

Cómo evitar el robo de información clave de una empresa


martes, 27 de agosto de 2013
07:33:00

Los casos del soldado Bradley Manning, quien realizó la mayor filtración de documentos militares secretos en la historia de los Estados Unidos, y de Edward Snowden, quien reveló cómo la Casa Blanca y sus organismos espían las comunicaciones en Internet, constituyen los ejemplos más famosos de fuga de información de una organización a través de soportes tecnológicos.

Mientras Manning, condenado el 21 de agosto a 35 años de prisión, realizó la filtración a través de discos compactos, Snowden, asilado político en Rusia, filtró documentos sobre las prácticas de espionaje del Gobierno empleando unidades de memoria USB ("pendrives").

Sin embargo, las principales fugas de información en las organizaciones gubernamentales, empresarias y educativas en la Argentina no son por acción de un empleado o ejecutivo infiel o por el ataque de un delincuente informático sino por "desconocimiento y negligencia" de los propios directivos y dependientes, según aseguró a iProfesional Cristian Borghello, Director de Segu-Info.

Este especialista advirtió que en las empresas impera “un nivel de inconsciencia alto sobre la información que manejan y sobre su jerarquización y criticidad”.

"No saben lo que tienen y, por lo tanto, no saben lo que hay que proteger, y se desconoce también la información privada de sus usuarios, en especial en cuanto a su salud y sus finanzas", alertó.

"Gran parte se fuga por los empleados, pero sin que ellos se den cuenta o lo sepan. Por ejemplo, el correo electrónico sin cifrar, o el envío de un correo a una dirección equivocada o el almacenamiento de archivos en servicios basados en la nube, como Dropbox", explicó.

Luego de las fugas por negligencia o desconocimiento, siguen las que se producen por "ataques internos", como se define en la jerga, de empleados infieles, que actúan motivados por diferentes intereses: represalia, venganza, conciencia cívica, robo de información y otros motivos económicos.

Al final, y en mucha menor medida que las dos anteriores, se encuentran los delincuentes informáticos.

¿Por qué se difunde entonces tanto la idea del ataque externo a la organización, como el que sucedió este mes -según denunció el Gobierno nacional- a la cuenta de Twitter de la Casa Rosada? “Muchas organizaciones atacadas niegan el incidente y cuando lo admiten, prefieren adjudicarlo a alguien externo”, dijo Borghello.

MediosLa información crítica de una empresa puede salir por varios medios. Además de los discos compactos y DVD y "pendrives" empleados por Manning y Snowden, existen otras vías.

Por ejemplo, los e-mails que se envían los empleados a cuentas propias de correo, con archivos adjuntos valiosos como planillas de cálculo, planes de negocio, prototipos, etc.

Ariel Bruch y Rodolfo Dietz, de la firma de seguridad informática canadiense Messaging Architecs, pusieron la mira en el correo electrónico, la aplicación más utilizada en Internet, basada desde hace 40 años en el mismo protocolo de la red, por su facilidad y universalidad para implementar, además de soportar archivos adjuntos.

Para estos dos ejecutivos, el "e-mail está roto" por el "crecimiento de almacenamiento sin control", con una “gestión de infraestructura desordenada” y un aumento en los robos y la preocupación sobre su privacidad.

Bruch y Dietz señalaron, por ejemplo, que el 40 por ciento de los archivos adjuntos en un e-mail poseen virus.

El otro principal medio, además del e-mail, es el almacenamiento de archivos en la nube, en servicios como Dropbox o el desaparecido Megaupload.

Sin embargo, el perímetro de la compañía no está dado sólo por sus paredes y puertas, sino que también cuentan los teléfonos móviles inteligentes y las tabletas que trabajan e interactúan con los sistemas de la empresa desde cualquier punto del mundo, conectados a Internet.

Esta extensión de la frontera se amplía por la tendencia de "traiga su propio dispositivo" (BYOD, sigla en inglés), donde los ejecutivos y empleados reclaman utilizar sus propios “smartphones” o tabletas con los sistemas de la empresa.

"No se usan contraseñas ni se cifra la información" que está en los teléfonos y tabletas, advirtió Borghello.

Dan Molina, director para Mercados Emergentes de la empresa de seguridad informática Kaspersky, apuntó ante iProfesional que el foco también debe ponerse en los puntos de acceso a la nube y en los dispositivos móviles, cuyos usuarios "aún carecen de una cultura de la protección de los datos", lo cual es aprovechado por los delincuentes informáticos, que aumentaron en el último tiempo en siete veces la cantidad de virus que apuntan al sistema operativo Android.

SolucionesBorghello propuso los siguientes pasos para reparar y cerrar los agujeros por donde se puede fugar la información.

Primero, establecer una política de gestión de la misma en la organización, que incluya su clasificación y jerarquización.

Segundo, definir una política de protección, viendo por dónde circula y sale y protegiendo esos archivos. Aquí se incluye el resguardo del almacenamiento y el transporte de esos datos.

En el mercado local se lanzaron en los últimos meses diferentes software que actúan en estos dos pasos descriptos por Borghello.

Fuente: iProfesional



Artículo original en Segu-Info

Atentado oculto contra la base de la Web

Enviado por mhyst en Lun, 26/08/2013 - 5:20am

Se ha dicho que la base de la Web son los enlaces. En realidad la base de la Web es el lenguaje HTML del que los enlaces forman parte. Pues bien, el HTML está en grave peligro de ser alterado de una forma irremediable. La industria del cine ha pedido la inclusión en la próxima versión del HTML (la 5) una extensión que permitiría "proteger" determinados contenidos. Esta extensión se conoce como EME (Encrypted Media Extensions) y su inclusión ha sido aprobada de forma unilateral por el director del Consorcio de la Web (W3C) Tim Berners-Lee. Una vez decidido por este que la protección de contenidos entra dentro del ámbito del grupo de trabajo responsable de generar el estándar HTML5, se pide consenso para decidir la mejor manera de llevarlo a cabo. La controversia se ha desatado, pero parece poco probable que Sir Tim Berners-Lee de un paso atrás...

El borrador proporcionado de EME, desarrollado de antemano por Microsoft, Google, Apple y Netflix propone un modelo según el cual hay un elemento que se comporta como una caja negra del cual sólo podrán decidir los propios distribuidores de contenido arriba mencionados, llamado CDM (Content Decryption Module) el cual será sin lugar a dudas un software privativo y por tanto no tendremos acceso al código fuente para confirmar que en efecto hace lo que dice (supuestamente desencriptar contenido). Este modelo garantiza que todo navegador en el futuro tendrá un hueco donde encajará cualquier módulo CDM desarrollado de forma independiente de la W3C que en teoría será para descifrar contenido cifrado, aunque en realidad podrá hacer lo que les venga en gana a los desarrolladores. Es obvio que empresas como Google que ya nos tienen sometidos a vigilancia por diversos medios, usarán este nicho para crear otras formas de vigilancia. En cualquier caso los CDM serán software que actuará en nuestra contra dentro de nuestro propio ordenador

Tal como se puede ver en el borrador de EME, ya se está trabajando en su estandarización lo cual ocurrirá como muy tarde en diciembre de 2014 de acuerdo a los hitos establecidos en el grupo de trabajo del html. Aunque algunas partes ya se han adelantado y Google ya incluye esta "mejora" en su Chrome OS.

Aunque la palabra DRM (Digital Restrictions Management) sólo se menciona una vez de forma indirecta, está claro que EME está dirigido a introducir un sistema de gestión de restricciones digitales en los navegadores. Se trata de permitir controlar el pago de ciertos contenidos que pueden ser vídeos, música, textos, etc.

EME incluye el evento "onneedkey" que podría tratarse para cualquier tipo de etiqueta (no sólo < video > y < audio >). Desde ese evento, una serie de modificaciones a JavaScript permitirían cargar el CDM correspondiente que se descargará en nuestros sistemas y empezará a controlar el streaming de video o de audio (entre otras cosas, como ya he dicho).

Hasta ahora, cada compañía tenía sus propias plataformas DRM, las cuales eran muy costosas y difíciles de mantener. Con esta operación, si definitivamente logran meter el DRM directamente en el estándar de HTML5, se ahorrarán millones y la tarea de "proteger" contenido será mucho más sencilla.

Todo este asunto no ha trascendido demasiado dada la complejidad técnica del tema. Yo quizá no sea la mejor persona para explicarlo ya que también soy técnico. He conseguido introducirme en el HTML WG (working group) como experto invitado para mantenerme al tanto del tema. A menos que consigamos una gran repercusión social, los técnicos aislados seremos incapaces de parar esto. Hay que tener en cuenta que los miembros del W3C más influyentes son Google, Microsoft, Apple y NetFlix entre otros. Google se destaca por ser el que tiene mayor número de representantes (24 en total). Todas esas compañías no están ahí porque creen navegadores. Está claro que tienen intereses en que EME siga adelante.

Por todo lo dicho solicito ayuda. Urge explicar de una forma más clara todo el asunto y llevarlo a las redes sociales y a los medios.

En change.org hay dos peticiones en contra de EME. Una en inglés existía antes de meterme en esto. La otra la creé yo en castellano. Reunir firmas no está de más.

*https://www.change.org/petitions/block-the-w3c-potential-requirements-of-drm-vendors-into-the-html-standard-a-mission-to-block-implementation-of-eme-and-drm-into-the-html5-standard

*http://www.change.org/es/peticiones/w3c-no-queremos-drm-en-la-www-no-a-la-hollyweb-2#supporters


Más información del tema se puede encontrar aquí:

*http://www.theguardian.com/technology/2013/jun/06/html5-drm-w3c-open-web
*http://www.theguardian.com/technology/blog/2013/mar/12/tim-berners-lee-drm-cory-doctorow
*http://www.defectivebydesign.org/no-drm-in-html5

Artículo original en Kriptópolis

miércoles, 21 de agosto de 2013

Cómo cifrar los archivos que almacenamos en nuestra computadora


Los casos de espionaje en Internet por parte de Estados Unidos han servido para que muchos usuarios tomen conciencia de la necesidad de salvaguardar la privacidad de sus datos. Con la idea de mejorar la seguridad de nuestra información, dedicamos unos minutos a repasar métodos para cifrar archivos en distintos sistemas operativos.


Por JJ Velasco
21 de agosto de 2013, 02:40

Las revelaciones de Edward Snowden sobre los programas de espionaje en Internet de la NSA (PRISM y X-Keyscore), y las presiones que ejerce esta agencia sobre las empresas que operan en la red, han hecho que muchos usuarios tomen conciencia de la necesidad de asegurar sus comunicaciones. A lo largo de varias semanas hemos dedicado tiempo a plantear alternativas a Skype, ideas para implementar nuestra propia nube privada y también a cifrar nuestro correo electrónico; algunas medidas que podemos tomar para mejorar la privacidad de nuestros datos y nuestras comunicaciones.

Evidentemente, si alguien tiene acceso a nuestro PC o nuestro Mac, tomar este tipo de medidas no nos van a servir de mucho si la información que intercambiamos y que intentamos proteger está almacenada "en claro" en nuestro equipo. ¿Qué significa almacenar información en "claro"? Almacenar información en claro en nuestro equipo significa que guardamos datos sin cifrar y, por tanto, si alguien tuviese acceso físico a nuestro ordenador personal podría servirse de toda nuestra información como si estuviese en un buffet libre.

Hace un par de semanas, precisamente, se armó bastante revuelo cuando se puso de manifiesto que Google Chrome almacenaba sin cifrar el archivo de contraseñas guardadas y, por ejemplo, en un sistema Windows no es nada complejo saltarse la protección por contraseña del login de inicio de sesión. De hecho, si no ciframos la información de nuestro disco duro (al menos la información más sensible o personal), arrancar el ordenador con un Live CD de cualquier distribución GNU/Linux o sacar el disco y conectarlo a una caja USB podrían ser dos métodos simples y sencillos para sustraer información del ordenador de un usuario.

¿Y qué podemos hacer para mejorar la seguridad de nuestros datos? ¿Cómo podemos cifrar la información sensible que almacenamos en nuestros equipos? Como nos podemos imaginar, la solución a adoptar dependerá del sistema operativo que estemos usando así que, por intentar cubrir un espectro amplio de opciones, vamos a revisar algunas ideas para Windows, OS X y GNU/Linux.

Cómo cifrar archivos en Windows

Windows nos ofrece la posibilidad de cifrar el contenido de carpetas, de manera nativa, desde el propio sistema operativo. En términos generales, el proceso es bastante simple y no encontraremos demasiada complicación más allá de la precaución de guardar, a buen recaudo, el certificado necesario para descifrar los archivos.

La opción del cifrado que incluye Windows de manera nativa es, en mi opinión, bastante simple y no creo que esté libre de accesos no autorizados. Por tanto, creo que podríamos manejar otras opciones y recurrir a otras utilidades de solvencia reconocida.

Una de las utilidades más conocidas, y usadas también dentro del sector empresarial, es TrueCrypt. Esta aplicación es una herramienta en software libre que nos permite cifrar información tanto en Windows como en OS X y en Linux y nos ofrece varias opciones de cifrado. Entre otras cosas, TrueCrypt permite cifrar el contenido completo del disco duro (incluyendo la partición de arranque), generar una partición real o virtual que esté cifrada o, incluso, crear unidades USB en las que almacenar contenidos cifrados. Además de todas estas opciones de seguridad, una vez tengamos la aplicación configurada, el proceso es transparente al usuario y éste apenas notará interrupciones en su trabajo (con la ventaja de tener sus datos algo más seguros).

AES Crypt es otra opción que está disponible tanto para Windows como para OS X y Linux y nos ofrece cifrado AES de 256-bit. En este caso, el cifrado de archivos y carpetas es algo más selectivo y seremos nosotros los que, manualmente, indicaremos qué queremos almacenar de manera segura. Con la idea de facilitar las cosas, AES Crypt se integra dentro del menú contextual de Windows, así que haciendo clic sobre un archivo con el botón derecho del ratón podremos cifrarlo cómodamente.

Otra opción para cifrar archivos sin demasiadas complicaciones en Windows es AxCrypt que, al igual que AES Crypt, utiliza cifrado AES (Advanced Encryption Standard) aunque, eso sí, de 128 bits.

Cómo cifrar archivos en OS X

OS X también incluye, de manera nativa, la posibilidad de cifrar el contenido completo del disco duro en este sistema operativo. FileVault, que es como se llama esta opción, puede activarse desde las preferencias del sistema (opción seguridad, activar FileVault y fijar una contraseña de seguridad). FileVault ofrece cifrado AES de 128 bits y, evidentemente, al abarcar todo el contenido del disco duro del sistema, en ciertos momentos podemos notar cierta bajada del rendimiento del equipo al tener que trabajar siempre con contenidos cifrados.

Una alternativa algo más selectiva que FileVault es iSafe, una aplicación bastante barata (1,99 euros) que nos ofrece la posibilidad de crear colecciones de archivos cifrados usando cifrado AES de 256 bits. El funcionamiento, realmente, es muy simple; tras establecer una contraseña maestra e introducirla al arrancar la aplicación, veremos la colección de archivos cifrados que tenemos en base a la categorías definidas (algo así como carpetas) y, para cada colección, los archivos almacenados. Con una disposición de esta forma, si queremos almacenar un archivo dentro de una colección (y así cifrarlo), lo único que tendremos que hacer es "arrastrar y soltar".

Scrambler y Espionage son otras dos alternativas de pago que, al igual que iSafe, nos permiten cifrar archivos en OS X sin demasiadas complicaciones y, por supuesto, siendo selectivos en el proceso (es decir, cifrando solamente aquello que nos interesa proteger y no todo el disco duro).

Cómo cifrar archivos en Linux

Finalmente, para los usuarios que estén recién aterrizados en el mundo de Linux o bien no tengan conocimientos avanzados en la materia es importante que sepan que también pueden cifrar sus archivos.

Uno de los métodos más conocidos para cifrar los archivos es GnuPG (GNU Privacy Guard) que, por cierto, es uno de los componentes que requiere Enigmail a la hora de cifrar mensajes de correo electrónico en Thunderbird. Su uso es muy sencillo y, por ejemplo, desde la Terminal podremos llamar a gpg y, desde la línea de comandos, cifrar archivos cómodamente sin más que indicar la contraseña que vamos a usar para el cifrado.

eCryptfs es una opción algo más avanzada a la hora de cifrar archivos, una especie de extensión de GnuPG aplicado al sistema de archivos con el que podremos mejorar la seguridad de nuestro directorio home (nuestros archivos personales). eCryptfs está empaquetado para múltiples distribuciones y podremos instalarla en Debian, Fedora, Gentoo, openSUSE o Ubuntu.

SeaHorse es un proyecto "clásico" de Gnome que nos permite integrar GnuPG en este entorno de escritorio para que podamos cifrar archivos sin tener que recurrir a la consola. Tras instalar este paquete tendremos a nuestra disposición opciones para cifrar/descifrar archivos dentro del menú que aparece al pulsar el botón derecho del ratón sobre un archivo o una carpeta.

Artículo original en Alt1040

D-Wave Two por fin derrota a una PC en cálculos de propósito general

Curiosa prueba enfrenta a un computador cuántico de US$ 10 millones contra a un Servidor basado en Xeon E5-2690.




A seis años del debut de D-Wave One, considerado el primer computador cuántico comercial de la industria, y valorizado en US$ 10 millones, D-Wave Systems lanzó el mes pasado a su sucesor conocido como D-Wave Two.

El nuevo supercomputador cuántico D-Wave Two está basado en el microprocesador Vesuvius 5 (439 qubits), constituye una gran mejora por sobre su antecesor (D-Wave One) basado en un microprocesador de 128 qubits, ofreciendo un poder de cálculo 500000 veces superior al de su predecesor a la vez que mantiene su precio de US$ 10 millones.

Aunque los computadores cuánticos prometen revolucionar la industria del cómputo gracias a su gran poder de cálculo (varios teraflops) para complejas tareas específicas como la inteligencia artificial, solucionadores, reconocimiento de objetos en imágenes,  simulaciones realistas, entre otras; pero son conocidos por no ser la mejor solución para tareas comunes o de cómputo general, donde los microprocesadores tradicionales continúan siendo la mejor opción.

Para demostrarlo, Catherine McGeoch, científica de la Universidad de Amherst, ha realizado la primera comparativa de la historia, en la que se enfrenta a un computador cuántico (D-Wave Two) contra un computador convencional basado en el microprocesador Intel Xeon E5-2690 (ambos ejecutando Ubuntu Linux 12.04), en el cálculo de tres problemas de optimización NP-complejo (CPLEX, METSlib Tabu, Akmaxsat).

D-Wave Two obtuvo en promedio resultados 4000 veces superiores a los de la estación de trabajo Xeon (a pesar de que Vesubius debe repetir cada cálculo cerca de 1000 veces para asegurar su exactitud ante los posibles efectos externos de la radiación electromagnética), resultado que aunque podría sonar muy bien en términos de rendimiento puro, no es tan bueno en términos monetarios, pues D-Wave Two tiene un costo casi 5000 veces el del microprocesador Xeon (US$ 2061) y además debe ser mantenido a temperaturas cercanas al cero absoluto (-273.12 °C), factor que incrementa su costo de mantenimiento.


También se realizaron pruebas a un prototipo del futuro microprocesador cuántico Vesubius 6, el cual mostró un rendimiento 2.5 veces el de Vesubius 5; lo cual es un indicativo de la continua evolución en los microprocesadores cuánticos.


Artículo original en CHW.net

sábado, 10 de agosto de 2013

Fundador de Lavabit: «Si supieran lo que yo se, dejarían de usar el email»

Por Eduardo Arcos
10 de agosto de 2013, 18:43 

Durante una entrevista para Forbes, Ladar Levison revela más pistas de por qué ha tenido que cerrar Lavabit y el aparente acoso que está recibiendo por parte de autoridades estadounidenses, particularmente la NSA, para entregar información que probablemente ha circulado a través de su servicio de email completamente privado.



Recientemente publicamos acerca del cierre de Lavabit, el servicio de correo electrónico seguro que tenía como principal característica el garantizar la privacidad de sus usuarios. Los motivos para dejar de funcionar fueron presiones para entregar datos por parte del gobierno de Estados Unidos.

En una entrevista con Forbes, Ladar Levison, fundador de Lavabit explica los motivos exactos por los cuales decidió echar el cierre al servicio que consiste en, según él, acoso por parte del gobierno estadounidense similar al sufrido por Aaron Swartz, aunque considera que la protección por parte de su abogado ha sido instrumental para protegerse y superar todo el episodio. Aún sin dar detalles exactos pues lo tiene prohibido, lo que aparentemente recibió es una orden de registro secreta emitida por la NSA acompañada de algo conocido en Estados Unidos como gag order que es similar equivalente al secreto de sumario en España o la limitación de información por parte de las personas involucradas en dicha orden de registro. Es ese el probable motivo por el cual Levison no puede dar detalles del caso. Ni siquiera con el único empleado que tenía.

Levison también ha explicado durante la entrevista que no tiene ningún plan de incurrir en actividades ilegales o de hacer más difícil el trabajo de las autoridades, ha recibido «dos docenas» de órdenes judiciales durante los pasados diez años y en caso que técnicamente le es posible acceder a la información, la entrega. Lavabit permite el cifrado de correos electrónicos de tal forma que sólamente aquellas personas que conocen la contraseña pueden leer sus contenidos. Aún cuando Lavabit es quien ofrece el servicio tampoco tiene la posibilidad de des-encriptar mensajes a menos que tengan dicha contraseña. Además, una vez que un email es borrado, desaparece completamente del sistema sin posibilidad alguna a ser recuperado.

Los fines de Lavabit no eran, de ninguna forma, evitar o rodear a la justicia, simplemente ofrecer un servicio verdaderamente seguro de intercambio de información sin miedo a ser espiado por terceros, ya sea un gobierno u otro individuo. Para Levison lo que realmente sorprende son los métodos usados por la NSA para obtener información que, de todas maneras, muy probablemente no tenga.

Finalmente explicó que él mismo está alejado del uso del email. «Si supieran lo que yo se, muy probablemente ustedes tampoco estarían usando el correo electrónico». Da mucho para pensar.

Artículo original en Alt1040

Apuntan a una posible caída de RSA y Diffie-Hellman en pocos años

Enviado por squirrel en Mié, 07/08/2013 - 12:15pm

Por squirrel

Recientes avances en la resolución de logaritmos discretos en tiempos computacionalmente asequibles apuntan a que la esperanza de vida de los actuales algoritmos RSA y Diffie-Hellman, basados en esa función matemática y en su actual dificultad para ser tratada,
podría acortarse significativamente, al orden de cuatro o cinco años según estimaciones.

Si bien la sugerencia ahora mismo parece ser el empleo de curvas elípticas, tema sobre el cual ya se trató en Kriptópolis, y el abandono del uso de RSA por parte del gobierno ruso para usar su propio sistema basado en dichas curvas apuntaría en esa dirección, hay un par de cuestiones que personalmente me llaman la atención y me gustaría comentar, aún a riesgo de parecer conspiranoico...

    Es de sobra conocido que muchos avances en criptología son conocidos en las agencias de seguridad años antes de que lleguen al gran público. De hecho, no recu
erdo si fue en Kriptópolis donde leí que el algoritmo Diffie-Hellman lo habían desarrollado años antes matemáticos ingleses en la agencia británica de inteligencia pero se quedó guardado como información reservada.
    Rusia no ha anunciado ahora esa migración, llevan años haciéndola. ¿Será que ya sabían de este avance, o alguno similar, y fueron adelantándose a los acontecimientos?
    En EEUU se produjo hace algún tiempo (aparentemente de forma innecesaria) un concurso para elegir un nuevo estándar SHA (SHA3, del que dimos cuenta aquí). Curiosamente, se eligió un sistema totalmente diferente. Curiosamente...
    Cuando Snowden dijo que la NSA podía interceptar las comunicaciones de cualquiera no dijo en ningún momento nada en plan "...excepto que se usen conexiones HTTPS o correo cifrado". ¿Seré muy malpensado, o en el fondo lo que ocurre es que ahora mismo dichas tecnologías ya están suficientemente comprometidas para según qué agencias?. Dicho sea de paso, eso explicaría también por qué con Assange se conforman con que esté de huésped permanente en Londres pero a Snowden lo quieren para ellos y lo quieren ya.

Artículo original en Kriptópolis