Mostrando entradas con la etiqueta seguridad. Mostrar todas las entradas
Mostrando entradas con la etiqueta seguridad. Mostrar todas las entradas

lunes, 21 de febrero de 2011

[RECORDATORIO] Congreso Nacional de Interoperabilidad y Seguridad mañana 22 y pasado 23

'La sede de la Fábrica Nacional de Moneda y Timbre (FNMT) acogerá, los días 22 y 23 de febrero, el Congreso Nacional de Interoperabilidad y Seguridad-CNIS, el principal foro de debate sobre los Esquemas Nacionales de Interoperabilidad y Seguridad al cumplirse ahora un año de su aprobación.

CNIS está organizado por el Club de Innovación, empresa especializada en la difusión y fomento de la innovación y la modernización en las AA.PP. a través de su portal www.clubdeinnovacion.es, con el apoyo del Ministerio de Política Territorial y Administración Pública y de la Federación Española de Municipios y Provincias (FEMP).'

[...] 'Bajo el lema 'Aplicando los Esquemas Nacionales en las AA.PP.', tratará la aplicación práctica por parte de las diferentes administraciones de las exigencias en materia de Interoperabilidad y Seguridad impuestas por la normativa reciente a las Administraciones Públicas.

En dicha cita participarán ponentes de todos los niveles de la administración (central autonómica y local) con el objetivo de presentar sus experiencias y propuestas. Con el fin de ampliar el alcance del congreso se ha abierto un plazo de presentación de comunicaciones para difundir experiencias y buenas prácticas que se estén realizando en estos momentos, al cumplirse ahora un año de su publicación.

Los Esquemas Nacionales son una novedosa fórmula normativa que buscan asegurar la interoperabilidad entre las administraciones y su relación con los ciudadanos y conseguir, de esta manera, que la relación sea multicanal, segura y sostenible en el tiempo.' [...]

Fuente y noticia completa: Gaceta Tecnologica. 9/02/2011


'Consulte el programa y los listados de ponentes y administraciones asistentes'

Fuente, información completa e inscripción : Página web del Congreso

ADDENDUM 21/02/2011 : ¡Cerrado plazo de inscripción. Aforo completo!

Todo listo para arrancar el Congreso CNIS

Seguimiento del congreso on line en

http://twitter.com/congresoCNIS

¡Cerrado plazo de inscripción. Aforo completo!

Congreso CNIS ha superado todas sus expectativas de convocatoria

Gracias a los más de 450 inscritos procedentes de más de medio centenar de ayuntamientos, una quincena de diputaciones, la práctica totalidad de los Ministerios y de las comunidades autónomas, así como numerosos organismos públicos de muy diferentes administraciones.

El martes 22 a las 9,45 horas se procederá al acto de inauguración del Congreso CNIS

Fuente e información completa: Página web del Congreso


Entradas relacionadas:

No hay comentarios:
Etiquetas: , , ,

sábado, 12 de febrero de 2011

Se acerca el Congreso Nacional de Interoperabilidad y Seguridad

'La sede de la Fábrica Nacional de Moneda y Timbre (FNMT) acogerá, los días 22 y 23 de febrero, el Congreso Nacional de Interoperabilidad y Seguridad-CNIS, el principal foro de debate sobre los Esquemas Nacionales de Interoperabilidad y Seguridad al cumplirse ahora un año de su aprobación.

CNIS está organizado por el Club de Innovación, empresa especializada en la difusión y fomento de la innovación y la modernización en las AA.PP. a través de su portal www.clubdeinnovacion.es, con el apoyo del Ministerio de Política Territorial y Administración Pública y de la Federación Española de Municipios y Provincias (FEMP).'

[...] 'Bajo el lema 'Aplicando los Esquemas Nacionales en las AA.PP.', tratará la aplicación práctica por parte de las diferentes administraciones de las exigencias en materia de Interoperabilidad y Seguridad impuestas por la normativa reciente a las Administraciones Públicas.

En dicha cita participarán ponentes de todos los niveles de la administración (central autonómica y local) con el objetivo de presentar sus experiencias y propuestas. Con el fin de ampliar el alcance del congreso se ha abierto un plazo de presentación de comunicaciones para difundir experiencias y buenas prácticas que se estén realizando en estos momentos, al cumplirse ahora un año de su publicación.

Los Esquemas Nacionales son una novedosa fórmula normativa que buscan asegurar la interoperabilidad entre las administraciones y su relación con los ciudadanos y conseguir, de esta manera, que la relación sea multicanal, segura y sostenible en el tiempo.' [...]

Fuente y noticia completa: Gaceta Tecnologica. 9/02/2011


'Consulte el programa y los listados de ponentes y administraciones asistentes'

Fuente, información completa e inscripción : Página web del Congreso

ADDENDUM 21/02/2011 : ¡Cerrado plazo de inscripción. Aforo completo! Fuente : Página web del Congreso


Entradas relacionadas:

No hay comentarios:
Etiquetas: , , , ,

viernes, 11 de febrero de 2011

Windows dice adiós a la función de “AutoRun” después de una década

'Tras más de diez años en las diferentes versiones de Windows (comenzó con Windows 95), Microsoft finalmente desactiva la función de autoarranque en Windows Server 2008 y las versiones anteriores de Windows 7, las únicas que aún permanecían sin opción a desactivarla. La razón no es otra que acabar con la propagación de los gusanos a través de los dispositivos USB.

Autorun se había convertido con la llegada de los dispositivos USB en un nicho de malware, ya que ejecutaba automáticamente el código embebido de los archivos autorun.inf sin antes preguntar al usuario, por lo que famosos gusanos como Conficker, llegaban fácilmente al interior de los ordenadores. Esta actualización que se realizó durante el día de ayer no afectará a la función de Autoplay, la herramienta dirigida a los soportes en CD y DVD.'

Fuente y noticia completa: Bitelia 9/02/2011

Visto en Barrapunto 10/02/2011

No hay comentarios:
Etiquetas: , , ,

miércoles, 9 de febrero de 2011

[RECORDATORIO] Primer Encuentro Nacional sobre los Esquemas Nacionales de Interoperabilidad y Seguridad HOY

Hoy 9 de Febrero tendrá lugar en Madrid "ENI-ENS y sus normas técnicas derivadas", el 1er Encuentro Nacional sobre los Esquemas Nacionales de Interoperabilidad y Seguridad , organizado por IIR España con el lema "Claves y medidas necesarias para su correcta aplicación y planificación, evaluando las fases a acometer, problemática, costes y beneficiosAhorre costes e incremente productividad y eficiencia operativa".

Recordemos que en el BOE de 29 de enero de 2010 se publicaban el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica, ambos de obligado cumplimiento en las Administraciones Públicas.

Según los organizadores este encuentro permitirá a los asistentes "aprender de experiencias prácticas pioneras en su aplicación" en diversas administraciones como, entre otras, Red.es, los Ministerios de la Presidencia, Justicia , Industria y Trabajo, las CCAA de Andalucía, Cataluña y Madrid, que deberán responder a
  • Qué ha supuesto para su organización la entrada en vigor de ENI y ESI
  • Qué servicios dispone que cumplan los criterios de nteroperabilidad y seguridad
  • Qué servicios están pendientes de adaptación y sus planes de adecuación
  • Cómo fomentar el intercambio de experiencias en la AA.PP.
tratándose además los siguientes puntos:
  • Nodos de interoperabilidad
  • Software de fuentes abiertas
  • Autoevaluación y elaboración del Plan de Adecuación
  • Licencias SFA recomendadas para las Administraciones Públicas
  • Planes de formación

Entre los ponentes se contará por parte de la Comunidad de Madrid con Fernando Ledrado Gómez, Director de Seguridad Corporativa de la AGENCIA DE INFORMATICA Y COMUNICACIONES de la COMUNIDAD DE MADRID (ICM), que participará en la Mesa Interactiva "Administración electrónica y seguridad"


Entradas relacionadas:


No hay comentarios:
Etiquetas: , , , ,

miércoles, 2 de febrero de 2011

[RECORDATORIO] Encuentro Nacional sobre los Esquemas Nacionales de Interoperabilidad y Seguridad el 9 de Febrero

El próximo 9 de Febrero tendrá lugar en Madrid "ENI-ENS y sus normas técnicas derivadas", el 1er Encuentro Nacional sobre los Esquemas Nacionales de Interoperabilidad y Seguridad , organizado por IIR España con el lema "Claves y medidas necesarias para su correcta aplicación y planificación, evaluando las fases a acometer, problemática, costes y beneficiosAhorre costes e incremente productividad y eficiencia operativa".

Recordemos que en el BOE de 29 de enero de 2010 se publicaban el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica, ambos de obligado cumplimiento en las Administraciones Públicas.

Según los organizadores este encuentro permitirá a los asistentes "aprender de experiencias prácticas pioneras en su aplicación" en diversas administraciones como, entre otras, Red.es, los Ministerios de la Presidencia, Justicia , Industria y Trabajo, las CCAA de Andalucía, Cataluña y Madrid, que deberán responder a
  • Qué ha supuesto para su organización la entrada en vigor de ENI y ESI
  • Qué servicios dispone que cumplan los criterios de nteroperabilidad y seguridad
  • Qué servicios están pendientes de adaptación y sus planes de adecuación
  • Cómo fomentar el intercambio de experiencias en la AA.PP.
tratándose además los siguientes puntos:
  • Nodos de interoperabilidad
  • Software de fuentes abiertas
  • Autoevaluación y elaboración del Plan de Adecuación
  • Licencias SFA recomendadas para las Administraciones Públicas
  • Planes de formación

Entre los ponentes se contará por parte de la Comunidad de Madrid con Fernando Ledrado Gómez, Director de Seguridad Corporativa de la AGENCIA DE INFORMATICA Y COMUNICACIONES de la COMUNIDAD DE MADRID (ICM), que participará en la Mesa Interactiva "Administración electrónica y seguridad"

Entradas relacionadas:

No hay comentarios:
Etiquetas: , , , ,

martes, 11 de enero de 2011

Tendencias en seguridad y privacidad de la información sanitaria

'Para comenzar la temporada 2011 de este blog, qué mejor que comentar un artículo de Healthcare IT News sobre las tendencias que un grupo de expertos ha identificado en el ámbito de la privacidad de la información sanitaria
para 2011.

Parafraseando a Larry Ponemon, la incapacidad endémica de la industria sanitaria para mantener el ritmo de las mejores prácticas y avances tecnológicos ha resultado en una segurdidad de la información, gobernanza y políticas anticuadas.

Comentemos algunas de las predicciones:

Muchos de los intercambios de información sanitaria serán realizados por organizaciones sin experiencia y con poco personal. Esto obligará a prestar más atención a la seguridad y privacidad. A este respecto he tenido alguna experiencia reciente. Muchas veces detrás de una empresa grande (que sólo pone el nombre), en realidad hay una subcontrata con personal sin experiencia previa en el ámbito sanitario.'

Fuente y noticia completa: Blog de Fran Sánchez Laguna 10/01/2010

No hay comentarios:
Etiquetas: ,

jueves, 6 de enero de 2011

Nuevo 0 day en Windows. Microsoft acumula al menos cinco vulnerabilidades graves sin solucionar

[...] 'Aunque se tenían indicios (sin muchas pruebas) sobre el fallo desde el día 23 de
diciembre, finalmente el día 4 de enero Microsoft ha declarado que existe una grave vulnerabilidad en su intérprete de gráficos, concretamente en la librería shimgvw.dll. Y lo ha declarado porque finalmente ha salido a la luz (una vez más a través de Metasploit) un exploit para aprovechar el fallo. El problema se da en todos los
sistemas operativos vigentes excepto Windows 7 y 2008 R2 y permite que
un atacante ejecute código con solo enviar a la víctima un archivo thumbnail, o hacer que lo visualice de alguna forma.

Microsoft recomienda renombrar o eliminar los permisos a todos los usuarios para acceder a %WINDIR%\SYSTEM32\shimgvw.dll. Esto tendrá un impacto indeterminado sobre las aplicaciones que utilicen esta librería.

Con este fallo, Microsoft acumula al menos cinco vulnerabilidades graves y recientes en sus sistemas operativos que todavía no han sido solucionadas. En concreto:'
[...]
* Un fallo al procesar los CSS de Internet Explorer permite la ejecución de código.' [...] 'redescubierto como vulnerabilidad de ejecución de código el 14 de diciembre. Existe exploit público.
[...]
* Un problema de elevación de privilegios en el kernel desde finales de noviembre. Existe exploit público.
[...]

'El 11 de enero se esperan nuevos boletines de seguridad de Microsoft, pero muy probablemente sólo se corrijan algunos de estos problemas en ellos.'

Fuente y noticia completa: Una al día de Hispasec de 5/1/2010
Enlaces dentro del texto nuestros

Entradas relacionadas:
No hay comentarios:
Etiquetas: , , , ,

martes, 28 de diciembre de 2010

Primer Encuentro Nacional sobre los Esquemas Nacionales de Interoperabilidad y Seguridad el 9 de Febrero

El próximo 9 de Febrero tendrá lugar en Madrid "ENI-ENS y sus normas técnicas derivadas", el 1er Encuentro Nacional sobre los Esquemas Nacionales de Interoperabilidad y Seguridad , organizado por IIR España con el lema "Claves y medidas necesarias para su correcta aplicación y planificación, evaluando las fases a acometer, problemática, costes y beneficiosAhorre costes e incremente productividad y eficiencia operativa".

Recordemos que en el BOE de 29 de enero de 2010 se publicaban el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica, ambos de obligado cumplimiento en las Administraciones Públicas.

Según los organizadores este encuentro permitirá a los asistentes "aprender de experiencias prácticas pioneras en su aplicación" en diversas administraciones como, entre otras, Red.es, los Ministerios de la Presidencia, Justicia , Industria y Trabajo, las CCAA de Andalucía, Cataluña y Madrid, que deberán responder a
  • Qué ha supuesto para su organización la entrada en vigor de ENI y ESI
  • Qué servicios dispone que cumplan los criterios de nteroperabilidad y seguridad
  • Qué servicios están pendientes de adaptación y sus planes de adecuación
  • Cómo fomentar el intercambio de experiencias en la AA.PP.
tratándose además los siguientes puntos:
  • Nodos de interoperabilidad
  • Software de fuentes abiertas
  • Autoevaluación y elaboración del Plan de Adecuación
  • Licencias SFA recomendadas para las Administraciones Públicas
  • Planes de formación

Entre los ponentes se contará por parte de la Comunidad de Madrid con Fernando Ledrado Gómez, Director de Seguridad Corporativa de la AGENCIA DE INFORMATICA Y COMUNICACIONES de la COMUNIDAD DE MADRID (ICM), que participará en la Mesa Interactiva "Administración electrónica y seguridad"

Entradas relacionadas:

No hay comentarios:
Etiquetas: , , , ,

jueves, 23 de diciembre de 2010

Vulnerabilidad 0day en Internet Explorer

'La vulnerabilidad está provocada por un error del tipo "usar después de liberar" (Use-after-free) en la librería "mshtml.dll", cuando se procesa una página web que hace referencia a un fichero CSS que incluye varias reglas "@import".

Hay exploits públicos que explotan esta vulnerabilidad, que evitan las medidas de seguridad DEP y ASLR y no necesitan que se encuentren instalados otros programas o extensiones de terceros.

Impacto:

Al visitar una página web maliciosa, se podrían ejecutar programas en la máquina infectada para, entre otras cosas, controlarla remotamente.'


'Solución

Hasta que salga una actualización de seguridad que solucione el problema, en la medida de lo posible, se aconseja trata de evitar visitar páginas web que no sean de confianza, o utilizar algún otro navegador que no esté afectado por esta vulnerabilidad.'

Fuente y noticia completa: INTECO 22/12/2010

No hay comentarios:
Etiquetas: , , ,

viernes, 17 de diciembre de 2010

Microsoft cierra el año con 17 boletines de seguridad

'Este martes Microsoft ha publicado 17 boletines de seguridad (del MS10-090 al MS10-106) correspondientes a su ciclo habitual de actualizaciones.' [...] 'En total se han resuelto 35 vulnerabilidades.'


'Entre los boletines publicados cabe destacar una actualización acumulativa para Internet Explorer que además corrige siete nuevas vulnerabilidades. También se han corregido todos los problemas que
aprovechaba Stuxnet, el malware que en los últimos meses tanto dio que hablar y del que ya efectuamos un profundo repaso en una-al-dia:
http://www.hispasec.com/unaaldia/4382
http://www.hispasec.com/unaaldia/4383
http://www.hispasec.com/unaaldia/4384

Y también se han centrado en la corrección del fallo de la carga de librerías, anunciado en agosto por HD Moore y que afectaba a múltiples aplicaciones, y que también fue tratado detalladamente por Hispasec:
http://www.hispasec.com/unaaldia/4322 '

[ ...] 'Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible'

Fuente y noticia completa: Una al día de Hispasec de 16/!2/2010

Entradas relacionadas:
No hay comentarios:
Etiquetas: , ,

miércoles, 15 de diciembre de 2010

0day en Internet Explorer, que estaba siendo aprovechado en Internet, con parche ya disponible

'Microsoft está investigando una vulnerabilidad 0day que afecta a todas las versiones de Internet Explorer. El principal impacto de la vulnerabilidad es la ejecución remota de código. Dicha vulnerabilidad existe debido a una referencia no válida de una bandera en Internet Explorer.' [...]

[...] 'Esta vulnerabilidad está siendo utilizada activamente por atacantes para comprometer equipos mediante el envío de correos con URLs dañinas o bien comprometiendo servidores web legítimos (como ha sido el caso de la web de Amnistía Internacional de Hong Kong (se abre en nueva ventana)). El exploit para tal vulnerabilidad ha sido incluido en el Kit comercial de explotación Eleonore Exploit Pack (se abre en nueva ventana) y en el framework Metasploit lo que facilita en gran media su utilización por gente no experimentada. ' [...]

Fuente: INTECO 10/11/2010

[ ...] 'Hemos publicado MS10-090 para resolver esta incidenica. Para más iniformación acerca de la incidencia, incluyendo enlacees de descarga de las actualizaciones de seguridad disponibels, por favor, revise MS10-090. La vulnerabilidad resuelta es la "Uninitialized Memory Corruption Vulnerability" - CVE-2010-3962.'

Fuente y noticia completa: Microsoft Security Advisory (2458511) v2.0 14/11/2010
No hay comentarios:
Etiquetas: , , ,

jueves, 9 de diciembre de 2010

Wikileaks y los ataques del grupo de "hackers" Anonymous

'Hackers han atacado los sitios web de los gigantes de las tarjetas de crédito, Mastercard y Visa. Estos ataques proviene del grupo de hackers Anonymous, decididos a perseguir las empresas que hayan retirado sus servicios a Wikileaks'


'Paul Mutton de la firma de seguridad Netcraft, que está monitorizando los ataques, ha dicho que se considera a Visa un blanco mucho más difícil' [...]


'Pero parece que han tenido éxito, ha dicho, ya que Visa.com ha permanecido inaccesible a muchos usuarios.

BBC contactó anteriormente con una empresa de pagos vinculada con Mastercard que dijo que sus clientes tenían "una completa pérdida de servicio". En concreto, el servicio de autentificación para pago online conocido como Mastercard's SecureCode habría sido interrumpido.'


'PayPal, que ya no procesa donaciones para Wikileaks, también ha sido atacado'


' Otras empresas que han retirado sus servicios han sido también blanco de ataques, incluyendo el banco suizo, PostFinannce, que cerró la cuenta del fundador de Wikileaks, Julian Assange'


[...] 'Un miembro de Anonymous, que se hace llamar a sí mismo Coldblood, contó a BBC que estaban haciendo "muchas cosas" para atacar compañías que habían dejado de trabajar con Wikileaks.'


' "Como organización siempre hemos tomado una postura fuerte sobre la censura y la libertad de expresión en Internet y hemos actuado contra aquellos que quieren destruirla de cualquier manera"

"Sentimos que Wikileaks se ha convertido en algo más que una filtración de documentos, se ha convertido en un campo de una guerra, la gente vs. los gobiernos" dijo'

'Anonymous también está ayudando a crear centenares de sitios espejo de Wikileaks, una vez que su proveedor de nombres de dominios de DNS retiró sus servicios'


'Estos ataques son partes de una guerra informática relacionada con Wikileaks.

El sitio de filtraciones había sido atacado por una serie de ataques DDoS [denegación de servicio distribuida] tras la publicación de un cuarto de millón de cables de la embajada de EEUU'

'Amazon también canceló su contrato de alojamiento del sitio, argumentando que Wikileaks no cumplía los términos de servicio'


'Pero algunos tienen una postura diferente.

El proveedor de servicios de internet OVH dijo que no tenía planes de retirar el servicio que proporciona a Wikileaks

El ministro de industria francés, Eric Besson, requirió que se desconectara el sitio web, argumentando que Francia no puede alojar sitios que "violan la confidencialidad de las relaciones diplomáticas y pone en peligro a personas protegidas por el secreto diplomático".

Pero el 6 de Deciembre, un juez francés declinó forzar a OVH a desconectar Wikileaks, afirmando que el caso necesita más argumentos

El fundador de Wikileaks, Julian Assange, ha sido arrestado en Londres y peremanece bajo custodia, habiéndole sido denegada la fianza. Está acusado de asalto sexual por las autoridades suecas.'


Fuente y noticia completa original en inglés (cambiante con el tiempo): BBC 8/12/2010

Traducción nuestra

Enlaces externos relacionados:
No hay comentarios:
Etiquetas: , ,

viernes, 3 de diciembre de 2010

Lobos con piel de cordero

'Una de tus nuevas amigas nórdicas utiliza Firefox para navegar por internet, y también está usando la red Wifi abierta de la cafetería [del hospital]. No es un experta en informática, pero ha instalado un extensión de Firefox que le recomendó un amigo ingeniero. Este plugin se llama Firesheep, y le permite ver a la izquierda de su pantalla cualquier cuenta de cualquier página a la que se conecte cualquier persona a través de la red Wifi de la cafetería. Cuando tú te conectaste a tu Facebook le apareció tu nombre, y lo mismo sucedió cuando te registraste en Twiter o en Hotmail. Además no sólo le aparece tu nombre y el servicio al que te conectaste, sino que puede aprovechar el rastro que dejaste (cookies) y al pinchar dos veces en tu nombre entrará en cualquiera de estos servicio con tu cuenta personal. Puede leer tu correo, ver tu perfil de Facebook completo e incluso suplantar tu personalidad en Twitter. De hecho mientras le dedicabas miraditas ella leía tu mensaje sobre las Erasmus. Estás triunfando, chaval.

Pensarás que hace falta ser un hacker para hacerte con estos programas, pero la realidad es que sólo necesitas tres clics de ratón para usar Firesheep, el plugin de Firefox que te convierte en el Jack Sparrow de las Wifis públicas.


[...] 'Ahora puedes encontrarte un Hacker en cada cafetería, y hay que estar preparado para ello. La clave está en la forma en al que te conectas a un servidor como los de Facebook o Hotmail. En la página de inicio Facebook te solicita tu nombre de usuario y contraseña a través de un protocolo HHTPS, que crea un canal seguro con un cifrado SSL/TLS, lo que lo hace invisible a Firesheep. El problema está en que el resto de conexiones al servidor de Facebook, es decir, cada vez que pinches en un enlace, será a través del protocolo HTTP (sin la s), que es más rápido pero hace que tus datos queden visibles a cualquiera con acceso a la red local. Lo mismo más o menos sucede en Hotmail, Twitter, Wordpress, Tuenti… Fireheep puede aprovechar estos datos para suplantar tu acceso en cualquiera de estos servicios.

¿Hay alguna solución? Por lo que hemos leído parece que la clave esta en usar permanentemente SSL. Si usas Gmail (creo que en Google fueron los primeros en tomarse en serio la vulnerabilidad y desde hace meses Gmail lo hace por defecto) puedes activar la opción “Conectarse siempre a través de HTTPS” en la ventana de preferencias. Si quieres extender este tipo de protección a todas tus cuentas de servicios web puedes usar la extensión de Firefox HTTPS-Everywhere. Por supuesto, siempre tienes la opción de no conectarte a servicios sensibles en redes no seguras, o la opción más avanzada de conectarte a través de un túnel VPN.'

Fuente y noticia completa: neurObsesion 2/12/2010

No hay comentarios:
Etiquetas: , ,

martes, 9 de noviembre de 2010

No habrá interoperabilidad real hasta que no haya consenso en las regiones

[...] '"La tecnología tiene solución para todo, no es el problema; el problema de la interoperabilidad está en la falta de consenso. Los sistemas de información pueden comunicarse entre sí, pero de poco servirá si no se comunican las Administraciones", sostiene Joan Camps, director de Proyectos y de la Unidad Tecnológica del Consejo General de Colegios Médicos.

De acuerdo con Camps se ha mostrado Anna García Martínez, responsable de los sistemas de información para la evaluación de servicios sanitarios del Servicio Catalán de la Salud. A su juicio, "no sólo debemos garantizar que la interoperabilidad es técnicamente posible, sino lograr que las organizaciones nos comuniquemos y hablemos el mismo lenguaje" '


'Camps y García Martínez han participado en una mesa redonda del III Foro Data Privacy Institute, iniciativa de la Asociación Española para el Fomento de la Seguridad de la Información, organizado en colaboración con la Organización Médica Colegial. Junto a ellos, José Manuel Laperal, responsable de Seguridad e Innovación Tecnológica del Servicio Madrileño de Salud, ha ahondado en la idea de García Martínez: "Ni toda la información es relevante ni resulta necesaria a la hora de prestar asistencia sanitaria".'

Seguridad informática
Lo que sí está claro es que toda la información clínica debe estar escrupulosamente protegida: "Los ficheros en papel no son en ningún modo seguros, pero pueden ser menos peligrosos que una base de datos. En un hospital, cualquiera con una bata blanca puede acceder a uno o unos pocos historiales en papel. Sin embargo, si alguien deja la contraseña escrita en un post-it en el escritorio, cualquiera puede tener acceso a toda la base de datos", alerta Camps.

Registro de accesos
Laperal, por su parte, reconoce estos riesgos pero recuerda que, afortunadamente, "un vistazo a una historia clínica en papel pasa desapercibido, pero una entrada en la base de datos informatizada queda registrada y se puede rastrear".'


Fuente y noticia completa: Diario Médico 5/112/2010
No hay comentarios:
Etiquetas: , ,

viernes, 5 de noviembre de 2010

Nueva vulnerabilidad de Microsoft Internet Explorer explotada activamente y sin parche disponible por el momento

Microsoft ha anunciado un aviso de seguridad en el que informa de una vulnerabilidad descubierta recientemente en el navegador Internet Explorer en todas sus versiones con soporte. Esta vulnerabiliad, que reside en el tratamiento de las hojas de estilo CSS, permite la ejecución remota de código arbitrario mediante el uso de un exploit que no sólo se encuentra disponible (por tanto, se trata de una vulnerabilidad 0-day) sino que ya se está utilizando para alojar en sitios web de Internet páginas maliciosamente preparadas que al ser procesadas por un Internet Explorer vulnerable provocan la ejecución de un programa de intenciones normalmente maliciosas (como por ejempllo la instalación de un malware en el sistema operativo Windows desde el que se navega).

Por poner un ejemplo, se tiene constancia expresa de correos electrónicos que se han enviado intencionadamente con enlaces a páginas web de este tipo, que provocan la instalación de un malware del tipo "troyano" a su vez del tipo "Command and control" [C&C], es decir, de los que se conectan periódicamente a sitios elegidos de internet para recibir instrucciones sobre cómo actuar en cada momento o, lo que es lo mismo, troyanos que permiten en la práctica el control remoto completo del equipo (y su entorno accesible) sin necesidad de tener acceso directo al equipo.

Microsoft está desarrollando las actualizaciones necesarias para corregir este problema. Mientras tanto recomienda como contramedidas: anular el procesamiento de hojas de estilo CSS procedentes de Internet definiendo una de usuario aplicable siempre (alterando por tanto el aspecto de la inmensa mayoría de las páginas de Internet así como en muchos casos su funcionamiento útil ), fijar las zonas de seguridad del navegador a un nivel Alto (con lo que aplicaciones, especialmente las de la Intranet, basadas en tecnología ActiveX pueden dejar de funcionar) habilitar DEP en el caso de IE 7 o desplegar EMET.


Entradas relacionadas:
2 comentarios:
Etiquetas: , , ,

miércoles, 3 de noviembre de 2010

Aviso de Seguridad para Adobe Flash Player, Adobe Reader y Acrobat. "Exploit" "in the wild" en forma de ficheros PDF para Adobe Reader y Acrobat 9.x

'Recursos afectados

  • Adobe Flash Player 10.1.85.3 y anteriores para Windows, Macintosh, Linux y Solaris
  • Adobe Flash Player 10.1.95.2 y versiones anteriores en Android
  • Componente authplay.dll que se incluye con Adobe Reader 9.4 y anteriores versiones 9.x para Windows, Macintosh y UNIX
  • Adobe Acrobat 9.4 y versiones anteriores 9.x para Windows y Macintosh

Descripción

Se ha publicado una vulnerabilidad (CVE-2010-3654 (se abre en nueva ventana)) que podría causar una caída de la aplicación en ciertos productos de Adobe y, potencialmente, permitir a un atacante tomar el control del sistema afectado.'


'Hay informes de que esta vulnerabilidad está siendo explotada activamente en Adobe Reader y Acrobat 9.x. aunque Adobe no está al tanto de los ataques dirigidos contra Adobe Flash Player.

Nota: Adobe Reader y Acrobat 8.x no se han confirmado vulnerables. De la misma forma, Adobe Reader para Android no se ve afectada por este problema.

Adobe actualmente está en proceso de finalización de una solución para dicho problema y espera proporcionar una actualización de Adobe Flash Player 10.x para Windows, Macintosh, Linux y Android el 9 de noviembre de 2010. Se espera que esté disponible una actualización para Adobe Reader y Acrobat 9.4 y versiones anteriores 9.x durante la semana del 15 de noviembre de 2010.'


'Solución

Hasta que Adobe proporcione un parche de seguridad se recomienda seguir los siguientes consejos de seguridad:

Adobe Reader and Acrobat 9.x - Windows

Borrar, renombrar o eliminar el acceso al archivo authplay.dll que se incluye con Adobe Reader y Acrobat 9.x mitiga la amenaza en estos productos aunque el usuario verá un mensaje de error al abrir un archivo PDF que contenga el contenido Flash (SWF).

La librería authplay.dll que se incluye con Adobe Reader y Acrobat 9.x para Windows se encuentra normalmente en C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll para Adobe Reader o C:\Program Files\Adobe\Acrobat 9.0\Acrobat\authplay.dll para Acrobat.'

Fuente y noticia completa: INTECO 28/10/2010



'Parece ser que existe un "exploit"para CVE-2010-3654 "in the wild" (público y extendido). Hasta que Adobe publique las actualizaciones de seguridad, considere las medidas mitigadores publicadas en su boletín APSA10-05.'

Fuente y noticia completa en inglés original: ISC de SANS 1/11/2010
Traducción nuestra


'Se consigue la ejecución arbitaria de código mediante un vídeo Flash malicioso insertado en un documento PDF'

Fuente y texto completoen el inglés original: Módulo de Metasploit correspondiente
Traducción nuestra
No hay comentarios:
Etiquetas: , ,

viernes, 29 de octubre de 2010

0-day en el navegador Mozilla Firefox explotado activamente. Actualización de seguridad que corrige la vulnerabilidad ya disponible

'Se ha detectado la explotación activa de una vulnerabilidad desconocida que afecta al navegador Mozilla Firefox en las versiones 3.5 y 3.6.

El 0-day fue descubierto por el equipo de Trend-Micro, el cual informó que el sitio web oficial de los Premios Nobel había sido comprometido y que los atacantes habrían insertado un script PHP malicioso, denomindo
"JS_NINDYA.A", con objeto de propagar malware.'


'Dicho script explota la mencionada vulnerabilidad y aunque afecta al navegador Firefox en las versiones 3.5 y 3.6, tan solo intenta su explotación en la versión 3.6 sobre Windows en versiones anteriores
a Vista.

Mozilla está trabajando en una solución para esta vulnerabilidad, por lo que en breve podría estar disponible una nueva versión del navegador. Recomiendan, mientras tanto, el uso de la extensión NoScript para mitigar el riesgo de exposición hasta que la solución vea la luz.'

Fuente y noticia completa: Una al día de Hispasec de 28/10/2010

Actualización de seguridad que corrige la vulnerabilidad ya disponible

'Se ha publicado un arreglo para esta vulnerabilidad para los usuarios de Firefox y Thunderbird.

Están disponibles las actualizaciones de seguridad Firefox 3.6.12 y 3.5.15
* Firefox 3.6.12: http://firefox.com
* Firefox 3.5.15: http://www.mozilla.com/firefox/all-older.html

Están también ya disponibles las actualizaciones de seguridad Thunderbird 3.1.6 y 3.0.10'

Fuente y noticia original completa en inglés: ISC de SANS 28/10/2010
Traducción nuestra

Enlace externo relacionado:

No hay comentarios:
Etiquetas: , , ,

miércoles, 15 de septiembre de 2010

Aviso de Seguridad para Adobe Reader y Acrobat

'Importancia: 5 - Máxima

Recursos afectados: Adobe Reader 9.3.4 y versiones anteriores para Windows, Macintosh y UNIX; Adobe Acrobat 9.3.4 y versiones anteriores para Windows y Macintosh.

'Se ha descubierto una vulnerabilidad crítica en Adobe Reader 9.3.4 y versiones anteriores para Windows, Macintosh y UNIX, y Adobe Acrobat 9.3.4 y versiones anteriores para Windows y Macintosh. Esta vulnerabilidad (CVE-2010-2883) podría causar un caída de la aplicación, potencialmente, permitir a un atacante tomar el control del sistema afectado.

La vulnerabilidad es causada debido a un error de límites en CoolType.dll y puede ser aprovechado para provocar un desbordamiento de búfer al abrir un archivo pdf especialmente diseñado.

Dicha vulnerabilidad está siendo explotada actualmente por lo que se recomienda tomar las medidas adecuadas hasta que Adobe publique la actualización de seguridad correspondiente.'

Fuente y noticia completa: INTECO 9/9/2010


Se descubre otro 0 day en Adobe Acrobat muy sofisticado

'
A estas alturas, ya no es noticia que se descubra un problema de seguridad en los gestores de PDF de Adobe previamente desconocido y siendo aprovechado por los atacantes. Últimamente, es el día a día de esta compañía. Este último fallo de seguridad destaca porque es muy sofisticado, elude las protecciones de los últimos Windows, y además está firmado digitalmente.

Se ha descubierto un nuevo ataque contra las últimas versiones de Adobe
Reader y Adobe Acrobat. Se trata de un desbordamiento de memoria intermedia al realizar una llamada a la función strcat en la librería CoolType.dll y permite a un atacante ejecutar código en el sistema si la víctima abre (con estos programas de Adobe) un fichero PDF que utilice un tipo de letra manipulada. El fallo es público, está siendo aprovechado por atacantes en estos momentos y Adobe ya lo ha reconocido.

La propia compañía confirma que no existe parche ni contramedida propia disponible (habitualmente era suficiente con desactivar JavaScript para, al menos, mitigar el problema, pero no es el caso en esta ocasión). Ha actualizado su alerta para indicar que, gracias a Microsoft's Enhanced Mitigation Evaluation Toolkit (EMET) es posible bloquear el ataque.'

Fuente y noticia completa: Una al día de Hispasec de 14/09/2010
1 comentario:
Etiquetas: , ,

martes, 14 de septiembre de 2010

Adjudicado a Telefónica el concurso del nuevo Centro de Soporte de Seguridad informática externalizado del SERMAS: el CESEAS-CERT

'a)Fecha: 1 de Septiembre de 2010
b) Contratista: Telefónica Soluciones de Informática y Comunicaciones de España, S.A.U.'
d) Importe de la adjudicación provisional ' [...] 'Importe total: 1.266.264.24 euros'

Fuente y noticia completa: Portal de la Contratación de la Comunidad de Madrid

Entradas relacionadas:

2 comentarios:
Etiquetas: , , , ,

jueves, 2 de septiembre de 2010

Adjudicado contrato de mantenimiento de los antivirus en puestos y servidores Windows de la Comunidad de Madrid

NOTA PREVIA DEL EDITOR: La soluciones antivirus referidas en la resolución y para la que se contrata soporte son soluciones de Panda Security


'RESOLUCIÓN de 20 de julio de 2010, del Consejero-Delegado [de la Agencia de Informática y Comunicaciones de la Comunidad de Madrid], por la que se eleva a definitiva la adjudicación provisional del contrato de servicios titulado “Soporte técnico y mantenimiento de las soluciones de seguridad (antivirus), instaladas en puestos y servidores Windows en centros dependientes de la Comunidad de Madrid” por procedimiento negociado.'

'5. Adjudicación definitiva:
a) Fecha: 20 de julio de 2010.
b) Contratista: “Panda Security, Sociedad Limitada”.
c) Nacionalidad: Española.
d) Importe de adjudicación:
— Base imponible: 170.959,68 euros.
— Importe del IVA: 30.772,74 euros.
— Importe total: 201.732,42 euros (IVA incluido).'

Fuente y texto completo: BOCM nº 204 de 26/08/2010
No hay comentarios:
Etiquetas: , , ,
Suscribirse a: Entradas (Atom)