EN ESTE NÚMERO

La gestión de la seguridad de los puertos USB
leer más »

Novedades en la web
Tres importantes anuncios que contribuirán a cambiar la forma de trabajar en Internet
leer más »

Seguridad en los sistemas biométricos
Ataques a lo largo de los años han intentado burlar la seguridad de los sistemas biométricos
leer más »

¿Los activos digitales de su empresa están seguros?

Mantengase actualizado con las últimas novedades referidas a seguridad informática y prevención de incidentes visitando:

riesgosinformaticos.com.ar

La gestión de la seguridad de los puertos USB

Hoy en día una de las principales entradas de virus y malware indeseado en los sistemas de las empresas se produce a través de los puertos USB, además de importantes fugas de información que en cualquier empresa debe estar controlado.

Si hace un tiempo muchas empresas tenían deshabilitadas sus disqueteras hoy en día deberían recurrir al mismo procedimiento con los puertos USB.

Pero esta opción no la más efectiva porque limitarya las funcionalidades de los equipos de nuestra empresa y si en cambio se debe concientizar a los usuarios para que tomen las debidas precauciones. Si a esto unimos algún pequeño programa de protección específica para dispositivos USB añadimos un plus de seguridad y ponemos otra barrera más para tratar de dificultar la entrada de virus y malware en nuestros sistemas.

De todas formas, respecto a las fugas de información siempre debemos saber que información debemos tratar como sensible y proteger con contraseñas o carpetas encriptadas, etc y que información no nos generaría ningún problema. En este sentido también es más importante convencer y formar a los usuarios que imponer un criterio muy restrictivo.

En definitiva no se le pueden poner puertas al mar y hoy en día con las tendencias al trabajo en la nube y la información fluyendo por internet es muy complicado controlarla. Es más importante que los usuarios de nuestra empresa sepan por qué no debe salir la información del ámbito de la empresa y como manejar la seguridad de la misma que ir deshabilitando puertos USB que al fin y al cabo no es un procedimiento que pueda ser escalable según va creciendo nuestra empresa, por supuesto todo depende de como gestionemos nuestra organización y la formación de los empleados que tenemos.

Si tiene dudas acerca de gestionar la seguridad de los puertos USB no dude en consultar a SCD Servicios Informáticos SRL.

« volver al índice

Novedades en la web

En los últimos días se han producido tres importantes anuncios que probablemente contribuirán a cambiar la forma de trabajar en Internet.

Wolfram Alpha dice tener la fórmula para ganarle a Google. Trata de lograr algo que los informáticos han buscado durante más de 50 años: hacer que los sistemas computacionales ofrezcan respuestas con sentido, y no simplemente datos.

Aunque los medios han llamado "Google Killer" al nuevo buscador, está lejos de competir con el gigante de las búsquedas y con los demás que ofrecen ese servicio en la Web. Wolfram aclara que su buscador no tiene relevancia cuando uno intenta obtener direcciones de sitios manteniendo el control de la investigación, como sucede con el conocimiento enciclopédico de los artículos de Wikipedia.

De hecho, hay muchas cosas que aún no está en condiciones de procesar, pues no hace un análisis semántico del planteo. Si un dato no está en su base, no podrá responder.

Como ellos dicen: Su objetivo a largo plazo es hacer que todos los conocimientos sean inmediatamente computables de forma sistemática y accesible para todos. Tiene como objetivo reunir y evaluar todos los datos, la aplicación de cada modelo conocido, el método y el algoritmo, y hacer posible lo que se pueda calcular calculado sobre cualquier cosa. El objetivo es construir sobre los logros de la ciencia y otras sistematizaciones de los conocimientos para proporcionar una única fuente que puede ser invocada por todo el mundo con respuestas definitivas a las preguntas sobre hechos.

http://www.wolframalpha.com/

Bing, en cambio, es la multimillonaria apuesta de Microsoft por competir con Google.

El gran problema para la competencia de Google se encuentra en que el propio nombre de la marca Google se ha convertido en sinónimo de búsqueda. El término incluso ha llegado a aparecer como vocablo oficial en varios diccionarios como “googlear” (realizar una búsqueda en internet).

Para saltar este inconveniente, Microsoft presenta su servicio Bing como algo distinto: un buscador de decisiones.

La idea es muy sencilla: millones de usuarios buscan a diario cosas muy específicas en Internet. Desde artículos de compra hasta billetes de avión, pasando por hoteles, resultados deportivos o nombres de personalidades famosas. Bing detecta lo que el usuario desea encontrar y presentara los resultados de forma adaptada. (dicen ellos)

Para la empresa, es un buscador "más inteligente que se concentra en la utilidad de la información que encuentra".

La empresa fundada por Bill Gates planea gastar unos 100 millones de dólares en una campaña publicitaria para promocionar su nuevo producto, según informó la revista AdvertisingAge. La campaña incluirá medios online, televisión, prensa escrita y radio. El desafío es muy ambicioso: lograr que la gente deje de vincular la palabra Google a las búsquedas en la Web.

http://www.bing.com/

Google Wave: Una nueva plataforma de comunicación - colaboración en tiempo real que será lanzada “durante 2009″. Los dos lanzamientos anteriores hicieron que Google deba anunciar velozmente su Nuevo producto, aunque aún no está disponible para el público.

Se basa en el “wave”, un mixto entre conversación y documento que incluye texto en formato enriquecido, fotos, videos, mapas, feeds de distintas fuentes, etc...

Funciona de forma similar al actual Gdocs: creamos un wave e invitamos a nuestros colaboradores, dotándoles de permisos, tanto para enviar mensajes simples como para editar el wave.

Combina aspectos de email, mensajería instantánea, wikis, web, chat, redes sociales y gestión de proyectos:

• Tiempo real: Podremos ver lo que alguien está tecleando.
• Embedible: Los Waves podrán ser embebidos en cualquier blog o website.
• Open source, Aplicaciones, extensiones: Con Apis abiertas, los desarrolladores podrán crear aplicaciones concretas para waves.
• Funcionalidad Wiki: Cualquier cosa dentro de Google Wave podrá ser editada por cualquier otro miembro.
• Playback: Podremos reproducir cualquier parte del wave para saber lo que se ha ido haciendo o diciendo.
• Traducción, lenguaje natural: Wave cuenta con capacidad de autocorrección e incluso de traducción en tiempo real, por lo que puede permitir el trabajo colaborativo entre personas que no compartan un mismo idioma.
• Simplicidad, compartir archivos del modo “Drag-and-drop”.

Google Wave promete cambiar el panorama en muchos ámbitos: en educación, en e-learning, para Comunidades de Práctica en empresas o organizaciones, puede ser la herramienta más popular para la creación de entornos personales (Personal Learning Environment) y colaborativos (Personal Learning Network) más o menos generalistas de aprendizaje.

Google Wave parece tener respuesta: las extensiones. Dos tipos de Extensiones serán posibles y permitirán personalizar al máximo la herramienta:

• Gadgets: Aplicaciones creadas por los usuarios, construidas en la plataforma de desarrollo abierta OpenSocial.
• Robots: “Participantes” automáticos que pueden interactuar en distintas formas con los usuarios (ej. proveer de información de twitter, como lo hace Twave) o interactuar con waves. Pueden programarse a medida para que ejecuten acciones según variables predefinidas.

Estos serían algunos otros términos que hay que conocer para utilizarlo de forma productiva:

• Wave: es el nombre que recibe determinada conversación (ahora sí que la conversación puede convertirse en el centro). Puede incluir personas, grupos o incluso robots, lo cual ofrece muchas posibilidades nuevas (¿agentes semánticos?)
• Wave embebido: siguiento la tradicional atención de Google al carácter distribuido de la red, ofrecerá la posibilidad de embeber los Waves, los ámbitos de conociemiento, los proyectos, las conversaciones en cualquier sitio.Desde Mashable se plantean incluso que pueda llegar a reemplazar los comentarios estáticos y a suplir las actuales funciones de las herramientas de lifestreaming y seguimiento de la conversación al uso.

Se puede ver el video del lanzamiento en http://www.youtube.com/watch?v=v_UyVmITiYQ

« volver al índice

Seguridad en los sistemas biométricos

La biometría es la ciencia que usa las características biológicas o de comportamiento para identificar una persona, entre las biometrías más conocidas están: la biometría de la huella digital, facial, de la mano, del iris y retina, de la voz, de la firma, del cráneo, etc. Y otras que están en investigación como el DNA, los olores, ritmos de tecleado etc.

Es bien conocido que nada es perfecto y que ningún sistema es 100% seguro, de esta realidad no escapan los sistemas biométricos.

Hay una serie de fuentes de ataque que a lo largo de los años han intentado burlar la seguridad de los sistemas biométricos.

Tsutomu Matsumoto publico el artículo titulado “dedos de goma” en 2002, en su investigación demostró que dedos falsos de gelatina tuvieron un alto porcentaje de aceptación en los dispositivos biométricos con un porcentaje entre 68 y 100 de aceptación por parte de los sistemas biométricos.

En diciembre de 2005 la universidad de Clarckson presento los resultados de sus investigaciones en laboratorio donde se demostró un 90% de falsas verificaciones en el uso de los dispositivos biométricos a partir de impresiones digitales de cadáveres y huellas sintéticas. Sin embargo cuando se integraron controles de detección en vivo en los dispositivos el porcentaje de falsa verificación se redujo a menos del 10%.

Ataques biométricos

Se han establecido una serie de puntos de ataque en los sistemas biométricos, además del uso de huellas falsas existen otra serie de ataques que requieren el acceso a los sistemas de procesamiento biométrico que tal vez representan una fuente de mayor riesgo.

a) Biometría falsa

Es representada por cualquier huella falsa utilizada para burlar un sistema biométrico. Estos incluyen huellas de cadáveres, y huellas falsas hechas con silicona, gelatina, plástico, arcilla modelada o cualquier otra sustancia. Otras técnicas incluyen la activación a través de la respiración sobre los residuos de una impresión digital dejada por un usuario autorizado, el uso de bolsas con agua tibia sobre los residuos de la impresión digital, o rociando la impresión digital con una sustancia que la haga legible por el dispositivo.

b) Ataques de Reenvio / Introducción de datos falsos

Consiste en la captura y reenvió de datos relacionados con la representación biométrica, se basa en la introducción de tramas de datos biométricos falsos entre el dispositivo biométrico y el sistema de procesamiento.

c) Reutilización de residuos

Algunos sistemas pueden retener en la memoria las imágenes y los modelos de las huellas capturadas, si un atacante puede acceder a memoria puede obtener valiosa información biométrica y re utilizarla. Limpiando la memoria y prohibiendo el uso de modelos iguales de manera consecutiva proporciona una efectiva forma de defensa.

d) Interferencia del proceso de extracción

Consiste en interferir el proceso de extracción de características biométricas para introducir datos falsos y forzar un nuevo procesamiento. Este ataque puede ser usado también para deshabilitar el sistema constituyéndose en una forma de ataque de denegación de servicio.

e) Característica biométrica sintetizada

Una trama de datos representando una característica biométrica falsa es introducida durante la transmisión.

f) Interferencia de la verificación/Verificación falsa

Consiste en interferir o ignorar la decisión del proceso de verificación reemplazándola con una verificación valida. Ajustes en los controles de tolerancia del sistema biométrico en particular el porcentaje de falsa aceptación (FAR: false accept rate) puede dar lugar a que el sistema acepte huellas de baja calidad o huellas incorrectas. Por esta razón el departamento de defensa de los estados unidos recomienda un FAR no mayor a 1 en 100,000 y un porcentaje de false rechazo (FRR: false reject rate) no mayor a 5 en 100.

g) Intercepción del canal de almacenamiento e introducción de datos

Tal vez el ataque que presenta las más significativas consecuencias, ya que puede comprometer el procesamiento del sistema y la base de datos biométrica.

h) Modificación no autorizada de un modelo biométrico

Los modelos biométricos pueden ser alterados, reemplazados o adicionados en el sistema. Adicionando estos modelos se puede burlar el sistema fácilmente presentando una huella real (pero no autorizada) y ser reconocida por el sistema como una característica biométrica valida.

i) Interferencia de la decisión / Falsa aceptación

Este tipo de ataque ignora la decisión del proceso de verificación e introduce un resultado de falsa aceptación entre el sistema biométrico y el dispositivo final (por ejemplo una puerta eléctrica o autorización para acceder a una base de datos con información confidencial, un cajero automático etc.).

Defensas

Existen una serie de controles que permiten mitigar los riesgos de los ataques definidos anteriormente, estos son controles complementarios y la seguridad no debería centrarse en un método simple. Entre los controles más relevantes están:

a) Datos aleatorios

El sistema requiere que el usuario registre múltiples características biométricas, posteriormente el proceso de verificación solicitara múltiples huellas al azar, de esta manera se adiciona complejidad a los intentos de ataque a los dispositivos biométricos, por otro lado reduce el riesgo de los ataques a los residuos dejados en los dispositivos o el uso de huellas sintéticas.

b) Retención de datos

La mayoría de los sistemas biométricos elimina los datos biométricos después de obtener el modelo biométrico, retener la imagen de la huella puede proporcionar información valiosa ante un ataque de spoofing, sin embargo esto constituye un gran reto en la implementación de controles para mantener la privacidad y protección de la base de datos biométrica.

c) Detección en vivo

Un elemento clave para la defensa de un ataque spoofing es la implementación de controles en vivo para verificar que la huella presentada corresponde a una persona viva y no una persona muerta, o una huella falsa. Estos controles pueden estar incorporados en los dispositivos biométricos o ser parte de dispositivos adicionales por ejemplo:

• Patrones de medición respiratoria.
• Oximetría del pulso donde el pulso y la oxigenación de la sangre son medidas.
• Espectroscopia corporal, la cual mide la absorción calorífica de los cuerpos, grasas, pigmentación de la melanina, etc.
• Medición térmica.

d) Biometría múltiple

Al igual que los datos aleatorios este control adiciona un nivel mayor de complejidad a los ataques, este control requiere el uso de más de una tecnología biométrica por ejemplo: biometría de la huella y del iris. Sin embargo este control adiciona también complejidad a los procesos de autenticación.

e) Autenticación Multi-factor

Al igual que con los datos aleatorios y la biometría múltiple, este control usa múltiples fuentes de autenticación, tales como smart cards, tokens, pines, paswords etc. Sin embargo esto puede adicionar tiempo extra de procesamiento y puede reducir la conveniencia en el uso de los sistemas biométricos. De esta forma un intento de burlar el sistema requeriría tanto la biometría como la segunda fuente de autenticación.

f) Criptografía y firmas digitales

La encriptación proporciona un medio efectivo para cifrar y proteger la información que atraviesa la red de ataques de intercepción e introducción de datos falsos, por otro lado las firmas digitales proporcionan un medio para garantizar que los datos no fueron modificados por el atacante.

g) Limpieza de la red

Así como con todas las tecnologías existen un conjunto de buenas prácticas para el buen manejo de la red que son aplicables tanto a la biometría como a otras tecnologías, ejemplos incluyen ITIL, ISO 17799 y/o COBIT.

h) Seguridad Física

La seguridad física es a menudo el sistema más barato y más efectivo sobre todo para proteger el acceso físico a los dispositivos biométricos, al mismo tiempo la presencia de guardias puede proteger a los usuarios autorizados de ataques coercitivos (obligar o convencer al usuario autorizado a colocar su huella para facilitar el acceso a otro usuario no autorizado).

Al mismo tiempo una revisión periódica de los dispositivos permitirá mitigar el riesgo de usar los residuos de las impresiones digitales y también para sanitizarlos a efectos de protección de la salud de los usuarios.

Por último el acceso físico a los dispositivos biométricos constituye el medio más fácil de iniciar un ataque al sistema.

Los sistemas biométricos han sido comúnmente usados en los últimos años como medios de autenticación en muchas culturas, países y jurisdicciones, al mismo tiempo las mejoras tecnológicas, precios más bajos e innovaciones principalmente en la biometría de huella digital va creciendo año a año. Finalmente la seguridad física y las buenas prácticas en la administración de la red permitirán establecer controles adecuados para mitigar el riesgo de ataques a los sistemas biométricos.

Fuente: NOBOSTI

« volver al índice