83 - Resumen de Seguridad de 2007 - 30/12/2007


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar


Ver Resumen de julio a diciembre de 2007


Nuestro Blog ofrece una inmensa cantidad de información actualizada y que mejor manera de terminar el año que con un reconto sobre lo más importante que nos ha deparado la Seguridad en 2007.

Debido a la gran cantidad de noticias publicadas, hemos decidido dividir el año en dos y para facilitar la lectura, hemos categorizado las noticias en los siguientes temas (semejante a las categorías mismas del Blog).


Ataques y vulnerabilidades

Durante el año Google y Gmail ha sido vulnerable a una serie de ataques de XSS que han permitido diversos ataques que permiten la obtención de las credenciales privadas del usuario:

http://seguinfo.blogspot.com/2007/01/google-vulnerable-al-robo-de-la-lista.html
http://seguinfo.blogspot.com/2007/01/agujero-de-seguridad-en-las.html
http://seguinfo.blogspot.com/2007/01/detalles-sobre-el-agujero-de-seguridad.html

Con respecto a las vulnerabilidades sin duda los navegadores web y el reproductor QuickTime se llevan los laureles por la gran cantidad de agujeros encontrados, siendo muchos de ellos críticos y utilizados masivamente por los atacantes para principalmente propagar malware:

http://seguinfo.blogspot.com/2007/01/vulnerabilidad-xss-en-blogspot-con.html
http://seguinfo.blogspot.com/2007/03/myspace-propaga-troyano-va-pelcula.html

También se deben destacar las vulnerabilidades en el manejo de archivos PDF y FDF. Estos abrieron la caja de Pandora a un nuevo tipo de ataques en estos tipos de documentos:

http://seguinfo.blogspot.com/2007/01/vulnerabilidades-crticas-en-adobe.html
http://seguinfo.blogspot.com/2007/01/ataque-pdf-ii-y-en-tu-propia.html
http://seguinfo.blogspot.com/2007/01/nueva-vulnerabilidad-afecta-mltiples.html
http://seguinfo.blogspot.com/2007/01/adobe-reader-nuevo-bug-y-nueva-versin.html

En estos meses Zalewski no tiene piedad de Firefox y publica innumerables fallos en este navegador. Más tarde, en agosto, sería contratado por Google:

¿Quién es Michal Zalewski?
http://seguinfo.blogspot.com/2007/08/zalewski-las-filas-de-google.html

En marzo aparece el bug crítico en los cursores animados de Windows, lo que dió lugar a un amplio abanico de nuevos ataques via web, todavía hoy vigentes:

http://seguinfo.blogspot.com/2007/03/ojo-con-los-cursores-animados.html

Han ocurrido diversos ataques de Defacement importantes como los de Venezuela enero, los realizados por los turco iskorpitx y otros o los realizados (paradójicamente) a Zone-H y Kevin Mitnick (2 veces) a la ONU en agosto:

http://seguinfo.blogspot.com/2007/01/entrevista-j4iber-y-hanowar-los-latin.html
http://seguinfo.blogspot.com/2007/01/polica-detuvo-hacker-que-vulner-pginas.html
http://seguinfo.blogspot.com/2007/01/zone-h-hacked.html
http://seguinfo.blogspot.com/2006/08/kevin-mitnick-hackeado-por-un.html
http://seguinfo.blogspot.com/2007/10/el-sitio-de-mitnick-defaceado-otra-vez.html
http://seguinfo.blogspot.com/2007/05/volvio-el-turco-el-de-los-defacing.html
http://seguinfo.blogspot.com/2007/08/defacement-al-sitio-web-de-la-onu.html

El Phishing se lleva una mención especial este año por la gran cantidad de ataques realizados y que indican que seguirán creciendo y perfeccionando. Por ejemplo en enero ya se encontraban Kit de ataques de phishing para permitir que principiantes hicieran de las suyas. Luego se encontraron ataques dirigidos a ciertas entidades orientados a vulnerar los métodos de One Time Password:

http://seguinfo.blogspot.com/2007/01/aparece-un-sofisticado-kit-para.html

En mayo el grupo Rock Phish lanza ataques masivos de phishing eludiendo las contramedidas técnicas gracias a los sofisticados métodos utilizados:

http://seguinfo.blogspot.com/2007/05/l-grupo-rock-phish-dispara-el-nmero-de.html
http://seguinfo.blogspot.com/search/label/phishing


Awareness

Durante todo el año hemos publicado diversas guías de educación, concientización y awareness en Seguridad:

http://seguinfo.blogspot.com/search/label/concientizaci%C3%B3n
http://seguinfo.blogspot.com/search/label/educaci%C3%B3n


Censura

Diversas muestras de censura por diferentes países, sitios y blogs se llevaron a cabo durante el año. Esto demuestra la estupidez de algunos seres humanos que todavía no comprenden el poder de la herramienta más importante que ha tenido el ser humano nunca: Internet.

En enero Youtube fue bloqueado en Brasil y Noruega ilegalizó el sitio de venta de canciones de iTune (propiedad de Apple):

http://seguinfo.blogspot.com/2007/01/aumenta-el-bloqueo-de-youtube-en-brasil.html
http://seguinfo.blogspot.com/2007/02/noruega-ilegaliza-la-tienda-en-internet.html

En marzo, Australia y Turquía también prohíben Youtube:

http://seguinfo.blogspot.com/2007/03/un-estado-australiano-prohbe-el-uso-de.html
http://seguinfo.blogspot.com/2007/03/turqua-prohbe-youtube.html

En mayo Youtube también es vedado para los soldados de EE.UU.:

http://seguinfo.blogspot.com/2007/05/youtube-vetado-para-los-soldados-de.html


Comunidades online

Luego de un comienzo de año agitado, SecondLife disminuyo un poco el tamaño de su ola pero sin dudas las comunidades virtuales como Orkut, FaceBook y Myspace marcan el comienzo de una nueva era en Internet y de la privacidad de sus usuarios. Quizás el mayor desafío actual sea comprender la importancia que adquieren los delitos virtuales en un mundo físico (o era al reves):

http://seguinfo.blogspot.com/2007/05/delitos-reales-de-seres-virtuales.html
http://seguinfo.blogspot.com/2007/05/delitos-cometidos-en-second-life-son.html
http://seguinfo.blogspot.com/2007/11/robo-en-un-hotel-virtual.html
http://seguinfo.blogspot.com/2007/12/se-puede-cometer-un-delito-de-robo-en_17.html
http://seguinfo.blogspot.com/2007/12/atacan-con-phishig-mundos-virtuales.html

Todo lo que sucede con estas comunidades puede ser seguido desde:

http://seguinfo.blogspot.com/search/label/comunidad%20online


Criptografía

En abril dos investigadores logran romper (otra vez) una clave WEP de 104 bits en menos de 60 segundos con tan sólo capturar 40.000 paquetes de datos del aire:

http://seguinfo.blogspot.com/2007/04/rompiendo-wep-de-104-bits-en-menos-de.html

Por supuesto la criptografía cuántica también tuvo su espacio este año:

http://seguinfo.blogspot.com/2007/04/ni-la-criptografa-cuntica-es-segura.html


Espionaje y cibertaques

Este tema también dió mucho que hablar durante el año debido a cierta cantidad de ataques que han sufrido distintos países. La mayoría de estos eventos apuntan a China, EE.UU. y Alemania como protagonistas, por lo que se ha comenzado a hablar de una ciberguerra (a modo de guerra fría):

http://seguinfo.blogspot.com/2007/02/intrusos-chinos-atacan-sistemas.html
http://seguinfo.blogspot.com/2007/05/china-prepara-su-ciber-armamento.html
http://seguinfo.blogspot.com/2007/05/falsos-positivos-o-guerra-sucia.html
http://seguinfo.blogspot.com/2007/09/escenas-de-la-guerra-chino.html
http://seguinfo.blogspot.com/2007/09/tensin-por-el-ciberataque-al-pentgono.html
http://seguinfo.blogspot.com/2007/10/la-tercer-guerra-mundial-la.html
http://seguinfo.blogspot.com/2007/12/los-ciberataques-desde-china-algunas.html

En abril sucede un hecho curioso y no confirmado: la marina de EE.UU. habría sido infectada con un malware y un submarino podría haber estado involucrado:

http://seguinfo.blogspot.com/2007/04/infeccin-de-malware-en-la-marina-de-los.html

Mencionado también en la sección de Legislación, en abril un extraño proyecto de ley aparece en EE.UU., siendo casi una contradicción el objetivo de la misma (como todo en ese país): la Spy Act, una ley "contra el espionaje" y para espiar:

http://seguinfo.blogspot.com/2007/04/ley-anti-espa-para-espiar.html

Por otro lado en mayo se vivió una grave tensión entre Rusia y Estonia debido a una serie de ataques informáticos a este último. La OTAN y a la UE se vieron obligados a intervenir en el conflicto:

http://seguinfo.blogspot.com/2007/05/conclusiones-de-los-ciberataques.html


Eventos

En marzo en Segu-Info nos animamos a más y por eso realizamos nuestro primer Seminario "Conociendo al enemigo en el interior":

http://www.segu-info.com.ar/prensa/seminario_20070324.htm

Este mismo modelo se repitió en abril con el segundo Seminario de Segu-Info en la ciudad de Pilar, Buenos Aires:

http://www.segu-info.com.ar/prensa/seminario_20070419.htm
Unos de los hechos más destacados en Segu-Info durante mayo de 2007 fue el lanzamiento de nuestra "Cruzada antifraude en Internet": 17 días con 17 consejos para evitar que los usuarios sean estafados en Internet. El éxito de la misma no había tenido precedentes en Segu-Info:

http://www.segu-info.com.ar/cruzada/


Guías y métricas

En el transcurso del año hemos publicados diversas guías y métricas que tienen como objetivo servir de base para la implementación de Seguridad en su organización. Todas ellas pueden ser encontradas en:

http://seguinfo.blogspot.com/search/label/gu%C3%ADas


Incidentes y fugas de información

En esta categoría se encuentran una serie de hechos lamentables ya que en su gran mayoría incluyen pérdidas de datos privados, confidenciales, personales o altamente sensibles.

Los hechos de mayor relevancia en el año se encuentran en nuestro TOP 10 de brechas de seguridad, publicadas en el Boletín 103 de Segu-Info, pero vale la pena hacer un recorrido por ellos:

En enero un banco canadiense:
http://seguinfo.blogspot.com/2007/01/extrava-banco-canadiense-datos.html

En febrero un banco sueco y el mismo FBI:

http://seguinfo.blogspot.com/2007/02/roban-en-linea-un-banco-sueco.html
http://seguinfo.blogspot.com/2007/02/el-fbi-reconoce-perder-alrededor-de-40.html

En febrero Acunetix se despachaba diciendo que 7 de cada 10 sitios webs son vulnerables y en diciembre Secunia hacía lo propio afirmando que 1 de cada 5 aplicaciones instaladas por los usuarios son vulnerables:

http://seguinfo.blogspot.com/2007/02/segn-acunetix-7-de-cada-10-webs-son.html
http://seguinfo.blogspot.com/2007/12/secunia-una-de-cada-cinco-aplicaciones.html

Luego del hecho de agosto de 2006, AOL vuelve a ser noticia en abril de 2007 al recibir la visita de un adolescente en sus bases de datos:

http://seguinfo.blogspot.com/2006/08/aol-pone-al-descubierto-20000000-de.html
http://seguinfo.blogspot.com/2007/04/adolescente-ingresa-aol.html

Estados Unidos no se queda atrás en lo que respecta a pérdida de datos y abril, el Departamento de Agricultura "perdió" 100.000 números de seguridad social:

http://seguinfo.blogspot.com/2007/04/una-base-de-datos-estadounidense-deja.html

En abril también sucedio el que se considera el mayor robo de tarjeta de crédito. Los datos eran custodiados por TJX y fueron robados por via inalámbrica. Este suceso figura primero en el ranking ya mencionado:

http://seguinfo.blogspot.com/2007/04/robo-de-457-millones-de-tarjetas-de.html
http://seguinfo.blogspot.com/2007/05/el-mayor-robo-de-datos-de-la-historia.html

En mayo el robo de una "simple" portatil pone en riesgo los datos privados de 26.000 empleados de la empresa Marks & Spencer:

http://seguinfo.blogspot.com/2007/05/robo-de-equipo-porttil-pone-en-riesgo.html

Google tampoco es ajeno a estos hechos y en mayo sus datos se vieron expuestos por una vulnerabilidad en sus servidores:

http://seguinfo.blogspot.com/2007/06/contenidos-de-los-servidores-de-google.html

A mediados de junio un importante ISP español también fue víctima del robo de datos de sus clientes y la empresa Pfizer alertaba a sus empleados sobre un ataque similar:

http://seguinfo.blogspot.com/2007/06/robo-de-datos-en-hosting-de-espaa.html
http://seguinfo.blogspot.com/search/label/p2p


Ingeniería Social

En este ámbito deseamos remarcar dos puntos interesantes. El primero de ellos hace referencia a las técnicas utilizadas por el gusano Nuwar para propagarse (ver sección Malware). El segundo es una interesante técnica puesta sobre el tapete por un bulo sobre el libro de Harry Potter, creado en junio por un grupo denominado Luther Blisset:

http://seguinfo.blogspot.com/2007/06/rumor-publican-en-internet-el-captulo.html
http://seguinfo.blogspot.com/2007/06/rumor-el-hackeo-de-harry-potter-es-un.html
http://seguinfo.blogspot.com/2007/07/el-caso-harry-potter-conversaciones-con.html


Legislación

En enero Perú publicaba su ley para luchar contra el spam y España modifica su código penal para incluir los delitos informáticos:

http://seguinfo.blogspot.com/2007/01/per-la-ley-que-regula-el-envo-masivo.html
http://seguinfo.blogspot.com/2007/02/espaa-la-reforma-del-cdigo-penal-ampla.html

Por supuesto es sabido que las lagunas legales facilitan los delitos informáticos:

http://seguinfo.blogspot.com/2007/03/las-lagunas-legales-hacen-que-haya.html

En abril un extraño proyecto de ley aparece en EE.UU., siendo casi una contradicción el objetivo de la misma (como todo en ese país): la Spy Act, una ley "contra el espionaje" y para espiar:

http://seguinfo.blogspot.com/2007/04/ley-anti-espa-para-espiar.html

España ha tenido un año movido con lo que respecta al canon y a su aplicación:

http://seguinfo.blogspot.com/2007/05/estudio-legal-sobre-el-canon.html


Licencias

La publicación de la GPLv3 en junio despertó con grandes controversias entre Stallman y Tordvald y fue la noticia más relevante en este área:

http://seguinfo.blogspot.com/2007/02/gpl2-vs-gpl3-usted-no-puede-hacer-eso.html
http://seguinfo.blogspot.com/2007/11/traduccin-al-espaol-de-la-gpl-v3.html
http://seguinfo.blogspot.com/2007/06/publicacin-de-la-licencia-gnu-gplv3.html
http://seguinfo.blogspot.com/2007/07/los-autores-de-la-gplv3-son-hipcritas.html

En mayo publicamos una guías para comprender las diferencias entre cada licencia, sus ventajas y desventajas a la hora de publicar:

http://seguinfo.blogspot.com/2007/05/licencias-libres-una-gua-rapida.html

Con mucho debate también se vivio la aparición de diversos sistemas DRM y patentes, generalmente asociados a la industria discográfica y sistemas operativos:

http://seguinfo.blogspot.com/2007/02/de-patentes-licencias-y-derechos.html
http://seguinfo.blogspot.com/2007/02/drm-en-windows-vista_15.html
http://seguinfo.blogspot.com/2007/02/crackeado-el-drm-de-vista.html
http://seguinfo.blogspot.com/2007/03/drm-definicin-y-concepto.html

Como novedad podemos citar la aparición Safe Creative en septiembre, un registro pensado para el afrontar el siglo XXI, según sus autores:

http://seguinfo.blogspot.com/2007/10/safe-creative-un-registro-de-la.html


Los meses de...

Enero fue el mes de bugs en Apple:

http://seguinfo.blogspot.com/2007/01/ya-ha-empezado-el-month-of-apple-bugs.html

Marzo por su parte fue el mes de los fallos en PHP:

http://seguinfo.blogspot.com/2007/02/marzo-ser-el-mes-de-los-fallos-en-php.html
http://seguinfo.blogspot.com/2007/03/el-mes-de-los-fallos-en-php-ha.html

En este mes también apareció la semana santa de los fallos en Windows Vista, que luego fue confirmado como un Hoax, sólo comparable a lo de Harry Potter (ver sección Ingeniería Social):

http://seguinfo.blogspot.com/2007/03/la-semana-santa-de-los-fallos-de.html
http://seguinfo.blogspot.com/2007/04/la-semana-de-los-bugs-en-vista-es-un.html

Abril fue el mes de los fallos en Myspace, un proyecto bastante curioso y criticado por sus pares:

http://seguinfo.blogspot.com/2007/03/abril-el-mes-de-los-bugs-en-myspace.html

Mayo fue nombrado el mes de los fallos en ActiveX:

http://seguinfo.blogspot.com/2007/05/moaxb-mayo-declarado-mes-de-los-bugs-en.html

Junio, por su parte, fue el mes de los fallos en los buscadores:

http://seguinfo.blogspot.com/2007/07/mes-de-los-fallos-de-los-motores-de.html


Malware

Los troyanos y gusanos han sido los principales protagonistas de este año. Por supuesto todo este tipo de malware apunta a robar información privada del usuario para luego efectuar algún tipo de ataque (estafas, fraudes, robo de identidad, etc.) con ellos.

Con respecto al malware más propagado del año, Nuwar o el virus de la tormenta como lo han llamado algunos ha sido el más propagado y el que mayor cantidad de técnicas de infección ha utilizado, siempre con el fin de armar botnets:

http://seguinfo.blogspot.com/2007/02/el-gusano-de-la-tormenta-crea-nuevos.html

Por otro lado también debemos destacar a los troyanos que utilizan los nuevos dispositivos como USB o memory stick para su propagación o para controlar el equipo del usuario, monitoreando sus acciones:

http://seguinfo.blogspot.com/2007/03/el-llavero-usb-espa.html

Como ya se mencionó, con respecto a la cantidad de equipos infectados, el principal objetivo de este año ha sido armar inmensas redes de equipos zombies, conformando botnets de distintos tamaños y con diversos motivos como ataques de DDoS, spam, phishing, distribución de cracks, warez, pornografía y pedofilia:

http://seguinfo.blogspot.com/search/label/botnet

La tragedia de Virginia Tech en abril, fue una noticias muy utilizada a la hora de propagar correos con malware. Por supuesto esta también puede ser considerado dentro de la Ingeniería Social:

http://seguinfo.blogspot.com/2007/04/tragedia-de-virginia-tech-usada-por.html
http://seguinfo.blogspot.com/2007/04/registro-de-dominios-relacionados-con.html

En junio Google Online Security publicó un interesante estudio sobre el malware y los servidores web y F-Secure otro sobre los puntos más comunes explotados por el malware:

http://seguinfo.blogspot.com/2007/06/estudio-sobre-servidores-web-y-malware.html
http://seguinfo.blogspot.com/2007/06/malware-y-registro-de-windows-top-10.html

En el mismo mes una importante compañia antivirus crea un revuelo con la publicación de un artículo sobre MPack. Los medios de prensa amarillistas no dudaron en hacer crecer este evento y creer que Internet se terminaba en ese mismo momento. Si bien MPack existe y es ampliamente utilizado, los hechos sucedieron de una forma más real como se cuenta aquí:

http://seguinfo.blogspot.com/2007/06/mpack-el-gran-generador-de-hypes.html
http://seguinfo.blogspot.com/2007/06/todo-lo-que-usted-debera-saber-sobre.html

Una empresa denuncia una carta, supuestamente de la BBB (Better Business Bureau), pero que en realidad contenía archivos dañinos. Este se trató de uno de los mayores casos de infecciones dirigidas a directivos de una organización.
http://seguinfo.blogspot.com/2007/08/spam-estafa-phishing-o-marketing.html


Pasaportes, documentos, facturas y votos electrónicos

Esta "nueva" forma de identificación ha abierto una discusión entre expertos, empresas, países y conveniencias en diversos lugares del mundo. Estos eventos también se relacionan con diversas vulnerabilidades en dispositivos biométricos y RFID (ver sección Tecnología) y con la privacidad de los usuarios.

http://seguinfo.blogspot.com/2007/03/estonia-pionera-mundial-en-el-voto-por.html
http://seguinfo.blogspot.com/2007/03/el-pasaporte-ms-seguro-no-da-la-talla.html
http://seguinfo.blogspot.com/2007/03/la-factura-electrnica-ya-es-obligatoria.html
http://seguinfo.blogspot.com/2007/04/filipinas-invita-jaquear-su-sistema-de.html
http://seguinfo.blogspot.com/2007/12/necesidad-o-conveniencia-de-un-entorno.html


Piratería

El protagonista indiscutible en este area fue durante todo el año PirateBay que incluso intentó comprar una isla para realizar libremente sus acciones:

http://seguinfo.blogspot.com/2007/01/pirate-bay-quiere-comprar-la-isla-de.html

Por supuesto Suecia dejó oír sus críticas y oposiciones:

http://seguinfo.blogspot.com/2007/05/suecia-contra-pirate-bay.html

Por su parte, en mayo en Argentina capturan a un distribuidor de películas piratas:

http://seguinfo.blogspot.com/2007/05/condena-sitio-argentino-por-vender.html


Pornografía y pedofilia

Diversos hechos marcaron la diferencia de este año con otros. En muchos países se realizaron investigaciones con resultados positivos y detenciones. Por supuesto hay mucho que hacer en lo que respecta a la pedofilia y al poder que les brinda Internet a los pedófilos. Por su parte diversas comunidades online comienzan a controlar a sus usuarios para controlar estas actividades. La pregunta es ¿cuánto deben controlar para no invadir su privacidad?

http://seguinfo.blogspot.com/2007/05/myspace-elimina-los-perfiles-de-miles.html

Estos temas pueden ser seguidos desde:

http://seguinfo.blogspot.com/search/label/pedofilia
http://seguinfo.blogspot.com/search/label/pornograf%C3%ADa
http://seguinfo.blogspot.com/search/label/privacidad


Privacidad

Este tópico ha sido uno de los más importantes al año debido al debate que han despertado ciertos sitios y buscadores sobre la información que almacenan sobre sus visitantes.

Diversas organizaciones y estados se han visto involucrados en investigaciones al respecto:

http://seguinfo.blogspot.com/2007/02/noruega-investiga-qu-datos-puede-saber.html
http://seguinfo.blogspot.com/2007/03/un-estudio-de-cine-pide-google-que-le.html

Debido a esto Google anuncia en marzo que comenzará a eliminar información almacenada de los usuarios, aunque en junio un nuevo recibe una nueva acusación:

http://seguinfo.blogspot.com/2007/03/google-comenzar-eliminar-informacin.html
http://seguinfo.blogspot.com/2007/06/google-suspende-en-privacidad.html

A finales de mayo aparece un curioso proyecto que tiene como objetivo indexar a todos los seres humanos en una gran base de datos antes del 2012:

http://seguinfo.blogspot.com/2007/05/la-humanidad-en-una-base-de-datos.html

También en mayo, un interesante video de promoción vírica se hace la siguiente pregunta: ¿y si miles de personas tuvieran tu imagen en su ordenador?:

http://seguinfo.blogspot.com/2007/05/y-si-miles-de-personas-tuvieran-tu-foto.html

En junio, luego del revuelo causado en todo el mundo Google debió retirar las fotos publicadas en su servicio Street View, luego de muchas denuncias:

http://seguinfo.blogspot.com/2007/06/privacidad-google-elimina-una-foto-de.html

Y en el mismo mes Bruselas decide investigar las políticas de privacidad de los buscadores:

http://seguinfo.blogspot.com/2007/06/bruselas-investigar-las-polticas-de.html


Redes P2P

Todo lo referente a este tópico puede ser encontrado en:

http://seguinfo.blogspot.com/search/label/p2p


Seguridad Física

Todo lo referente a este tópico puede ser encontrado en:

http://seguinfo.blogspot.com/search/label/seguridad%20f%C3%ADsica


Sistemas Operativos

Este año diversos países, organismos y ejercitos han migrado sus sistemas operativos a plataformas libres, lo que marca un camino para los que caminan detrás:

http://seguinfo.blogspot.com/2007/01/la-mitad-de-las-empresas-migrar-linux.html
http://seguinfo.blogspot.com/2007/01/riguroso-estudio-acadmico-sobre-el.html
http://seguinfo.blogspot.com/2007/02/el-ejrcito-sueco-migra-linux.html
http://seguinfo.blogspot.com/2007/02/sudfrica-cambia-al-software-libre.html
http://seguinfo.blogspot.com/2007/05/linux-en-japn.html

De enero a agosto, Sergio Hernando nos deleitó con su publicación de "auditora de sistemas Unix", un recorrido por ese sistema operativo que nadie debería dejar de leer:

http://seguinfo.blogspot.com/2007/01/auditora-de-sistemas-unix.html

En enero también publicábamos las primeras fotos del dinosaurio que terminó siendo Windows Vista, al que se le espera el Service Pack 1 (que había sido inicialmente anunciado para julio) y que aún se encuentra en estado Beta cerrado:

http://seguinfo.blogspot.com/2007/01/fotos-del-dinosaurio-digo-windows-vista.html
http://seguinfo.blogspot.com/2007/07/sp1-beta-1-de-vista-para-la-mitad-de.html
http://seguinfo.blogspot.com/2007/10/vista-service-pack-beta-para-unos-pocos.html

En febreto también hicimos un recorrido por las nuevas funcionalidades de Windows Vista:

http://seguinfo.blogspot.com/2007/02/vistazo-windows-vista.html

Para aquellos que le gustan las comparativas en abril publicamos una sobre la cantidad de vulnerabilidades en cada sistema operativo:

http://seguinfo.blogspot.com/2007/04/comparativa-de-seguridad-de-sistemas.html


Spam

Algunas estadísticas ya hablan de que el 98% de los correos son spam, mientras que Google por su parte en noviembre dice que el spam ha descendido. Lo que no deja lugar a dudas es que el spam ha llegado para quedarse un tiempo y que todavía no se encuentran soluciones efectivas e incluso proyectos como ORDB se han visto obligados a cerrar.

http://seguinfo.blogspot.com/2007/01/cierra-el-proyecto-ordb.html

En enero se lograba también la primera condena a un spammer en Los Angeles:

http://seguinfo.blogspot.com/2007/01/primera-condena-por-spam.html

Pero en febrero comenzaban a aparecer los primeros correos que utilizaban imágenes para realizar su publicidad. Esta técnica tuvo su auge para ya se nota la disminución de esta técnica debido a la utilización de filtros antispam:

http://seguinfo.blogspot.com/2007/02/detectando-spam-grfico.html

En mayo en un golpe de suerte, los EE.UU. detienen al rey del spam, de 27 años de edad, pero el spam sigue peor que antes:

http://seguinfo.blogspot.com/2007/05/detuvieron-en-eeuu-al-rey-del-spam.html
http://seguinfo.blogspot.com/2007/06/un-spammer-la-crcel-y-la-misma-basura.html

A este tipo de correo lo seguirán el spam en archivos Excel y Word en julio:

http://seguinfo.blogspot.com/2007/07/spammers-aprovechan-ahora-las-hojas-de.html
En octubre tambien apareció el spam audible en archivos MP3, el cual logró mucha publicidad en los medios pero casi nada de repercusión práctica real:

http://seguinfo.blogspot.com/2007/10/utilizan-archivos-de-audio-mp3-para.html

Pero, este año sin duda la técnica más explotada y con mejores resultados para los spammers ha sido el Pump&Dump de la bolsa:

http://seguinfo.blogspot.com/2007/07/pump-and-dump-el-spam-de-los-que-juegan.html
http://seguinfo.blogspot.com/2007/09/son-los-ataques-pump-and-dump-ms.html
http://seguinfo.blogspot.com/2006/11/el-spam-como-mecanismo-de-adulteracin.html


Standares, políticas y gestión de la seguridad

En febrero Microsoft publica su modelo de madurez y ISO publica la ISO 27006, la parte de la familia 27000 que regula el proceso de acreditación:

http://seguinfo.blogspot.com/2007/02/modelo-de-madurez-de-microsoft.html
http://seguinfo.blogspot.com/2007/02/publicada-iso-27006.html

En marzo publicabamos la traducción oficial de COBIT 4.0 y ITIL 3.0 al castellano:

http://seguinfo.blogspot.com/2007/04/cobit-40-en-castellano-y-itil-30.html

En mayo se publica de COBIT 4.1:

http://seguinfo.blogspot.com/2007/01/cobit-41-en-el-horno.html
http://seguinfo.blogspot.com/2007/06/el-marco-de-trabajo-de-cobit.html

En junio se publica la BS-25999-2, orientada a la gestión de la continuidad del negocio y el borrador de la BS 31100, orientada a la gestión del riesgo:

http://seguinfo.blogspot.com/2007/06/se-publica-en-septiembre-la-bs-25999-2.html


Tecnología y Hacking

En enero publicabamos el funcionamiento de los nuevos medios de almacenamiento HD-DVD y sobre su sistema protección AACS:

http://seguinfo.blogspot.com/2007/01/backuphddvd-copiar-discos-hd-dvd-cmo.html
http://seguinfo.blogspot.com/2007/01/backuphddvd-copiar-discos-hd-dvd-cmo_01.html
http://seguinfo.blogspot.com/2007/01/backuphddvd-se-comprueba-su.html

Mientras que en febrero se publicaba la forma de crackearlos:

http://seguinfo.blogspot.com/2007/02/hacking-definitivo-en-los-formatos.html
http://seguinfo.blogspot.com/2007/02/nuevos-avances-en-la-ruptura-de-bluray.html

Los rumores de la primera computadora cuántica y todo lo que ello significa para la criptografía moderna comenzaron en febrero y aún continúan en diciembre:

http://seguinfo.blogspot.com/2007/02/rumor-la-primera-computadora-cuntica.html
http://seguinfo.blogspot.com/2007/02/pero-hay-o-no-hay-ordenador-cuntico-y.html
http://seguinfo.blogspot.com/2007/02/el-primer-computador-cuntico-de-la.html
http://seguinfo.blogspot.com/2007/12/realizan-la-primera-computacin-cuntica.html

En marzo comenzó una extensa discusión sobre los dispositivos RFID y las desventajas aparejadas en los mismos. Estos hechos incluso hicieron que en octubre, el gobernador de California (Arnold Schwarzenegger) prohíba RFID en su estado. Toda la crónica en:

http://seguinfo.blogspot.com/search/label/rfid

A principios de junio un Hacker destapa la hoya y publica la clave que protegía a los discos Blue-Ray y HD-DVD. En un desborde de idiotez y estupidez ciertas empresas pretendieron detener la publicación de esta clave, logrando la masificación de la misma (y de las que caerían después):

http://seguinfo.blogspot.com/2007/06/45-5f-e1-04-22-ca-29-c4-93-3f-95-05-2b.html


Ver Resumen de julio a diciembre de 2007

Buenos Aires, 30 de diciembre de 2007

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto