XeKur

Vishing y Smishing

septiembre 7, 2010 baloxs Deja un comentario

Conceptos:

Vishing: Esquema de robo de identidad parecido al phishing, solo que en esta modalidad se utiliza la voz (por ello la V de Voice en la palabra)

Smishing: Esquema de robo de identidad parecido al phishing, solo que en esta modalidad se utilizan los mensajes cortos de texto vía celular SMS.

El modus operandi es el siguiente, el cliente de la entidad financiera (banco, mutual, cooperativa, etc), recibe una llamada (en el caso de vishing) o un mensaje de texto en su celular (en el caso de smishing), pidiendo se contacte a u numero especifico para regularizar los datos que se tienen registrados.

Si el cliente llama o mensajea al numero entregado con intenciones fraudulentas, una maquina contestadora, luego de identificarse como un servicio de voz o SMS, le pedirá ingrese sus datos de acceso ya sea a banca por internet o banca móvil.

Listo, el delincuente tiene los datos con los que puede realizar transferencias entre cuentas y vaciar la cuenta del cliente.

Tendencias y enfoques de contención de ataques:

Lo complicado en este caso, es que algunos bancos, realmente utilizan contestadores que llaman para promociones, o envían SMS’s instándote a llamar para algún tema (en un intento precisamente de evitar el pishing).

En todo caso, las recomendaciones son las habituales para este tipo de cosas:

Desconfía en todo caso si en el correo te piden alguna información, o si el mensaje no es claro.
Colgemos y llamemos nosotros. Utilizar siempre números de teléfono de nuestra confianza, los habituales en nuestra relación con la compañía. Si el banco dispone de un teléfono de atención, llamemos nosotros siempre a ese número y confirmemos la llamada recibida. En la web del banco o de la compañía (por supuesto, la web que conocemos, no la que ponga el correo) suele aparecer un número de teléfono de atención al cliente.

En estos casos la educación del cliente sigue siendo el mejor remedio. Sin embargo nuestra responsabilidad como profesionales de seguridad esta en la adecuada protección de las bases de datos de clientes, pues estos ataques son mucho menos efectivos si son genéricos.

Alvaro Cuadros

Certified Information Systems Security Professional

Categorías: Fraude Etiquetas: banco, bolivia, cooperativa, fraude, mutual, phishing, seguridad, smishing, vishing

5 consejos para evitar la clonación de tarjetas (Skimming)

septiembre 3, 2010 baloxs Deja un comentario

1. Definir estándares para toda terminal

Incluya siempre estándares visuales en los ATMs y terminales de punto de venta (POS), y mantenga los mismos en todas las sucursales. Tome fotografias del equipo, por dentro y fuera. Muestre a todos los empleados como deben verse los equipos que no han sido violados, de tal manera que cuando se examine un ATM o POS sea para el empleado una tarea muy fácil y rápida el detectar problemas.

2. Use un enfoque de seguridad por capas.

Los bancos deben instalar una serie de capas de seguridad para proteger la información de las tarjetas, si esta debe ser almacenada esta debe estar encriptada, tanto en su almacenamiento como en transito. Una segmentación adecuada de la red también ayuda de manera importante en la reducción del riesgo.

3. Responda RÁPIDAMENTE a incidentes de skimming

El skimming en ATMs es cada vez mas comun en Bolivia, por lo que los bancos deben estar listos para enfrentar este delito. En primer lugar los bancos deben diseñar esquemas de respuesta ante incidentes para reaccionar rapidamente. Estos esquemas deben incluir desde los contactos que deben tomar acciones al respecto, hasta las tareas especificas que deben realizarse. Si se encuentra un dispositivo de skimming TODOS los emplados deben saber que hacer y como reaccionar, Educar a lso empleados de agencias y sucursales es fundamental.

Asegurese que lso empleados monitoreen los ATMs en busca de dispositivos o residuos de estos. Usualmente encontraran al menos la goma que fue utilizada en la boca del tarjetero.

4. Use CCTV

En Bolivia el uso de camaras es un requerimiento de la Autoridad de Supervision (ASFI), sin embargo, la tarea para el personal de seguridad no termina en la instalacion de estos equipos. Debe asegurarse en todo momento la calidad de las imagenes asi como el resguardo adecuado de los respaldos de las imagenes que estas camaras entregan.

5. Asegurese de cumplir con el estandar PCI.

Lea el estandar en detalle, y asegurese que su institución cumpla con el mismo en su totalidad. Ahorrara mas dinero y tiempo del que invierte en lograrlo.

Saludos,

Alvaro Cuadros
Certified Information Security Professional

Categorías: Fraude Etiquetas: asfi, bancos, bolivia, credito, seguridad, skimming, tarjetas debito

A partir del 13 de Julio, Microsoft detiene todo tipo de soporte a las versiones de Windows 2000 y Windows XP SP2

julio 19, 2010 baloxs Deja un comentario

Microsoft, en su continuo avance entre versiones deja de soportar los Sistemas Operativos Windows 2000 y Windows XP hasta el Service Pack 2.

Traducción: Microsoft no saca mas parches de seguridad para aquellos Sistemas Operativos que ya no soporta.

Efecto directo: Equipos con Sistemas Operativos anteriores son dejados a su suerte en lo que a seguridad se refiere, pudiendo ser los mismos ALTAMENTE vulnerables en un periodo de tiempo muy corto.

Lo que esto implica es digno de analizarse pues en Bolivia aun vemos cientos de equipos, no solo personales sino también corporativos, con Sistemas Operativos inclusive anteriores a los que Microsoft deja atrás.

Desde un punto de vista de seguridad estricto, las soluciones para seguir trabajando de manera segura son:

1) Migrar al menos a Windows Service Pack 3 , esto te dará soporte de seguridad hasta al menos el año 2014.

2) Tener u permanente seguimiento a las vulnerabilidades que se vayan publicando, cerrando accesos a nuestra red y al los sistemas en ella mediante firewalls y firewall aplicativos. (Tediosa tarea)

3) Migrar de Sistema Operativo.

La solución número 1 es definitivamente la que recomiendo, y que llevada a cabo de manera estructurada y ordenada dentro del ambiente tecnológico de una empresa no debería significar mayores problemas. Sin embargo, esta no es una solución definitiva sino solo un parche, por lo que el camino a seguir es el de iniciar a la brevedad un proyecto de upgrade de Sistemas Operativos personales, que contemple un ciclo de pruebas de nuestras aplicaciones actuales, solicitando a los proveedores de las mismas la actualización a la brevedad.

Es un tema delicado que sin duda tiene facetas económicas y técnicas muy interesantes……….

Alvaro Cuadros

CISSP CISM

Categorías: Uncategorized

FTP???

julio 26, 2008 baloxs Deja un comentario

Aun me sorprende ver que en algunas empresas se siga utilizando el protoclo FTP en vez de reemplazarlo por SFTP, el uso de el primero muestra una inmadurez absoluta de temas de seguridad en las areas de Tecnología.

Una buena pista para los auditores de sistemas: Si encuentras sistemas que aun usan el protocolo de transferencia de archivos FTP, empieza a cavar profundo, pues es seguro que te encontraras con vulnerabilidades muchisimo mas serias en el fondo.

-A

Categorías: Seguridad de Sistemas

Auditoria de Bases de Datos Relacionales – Parte 1

noviembre 20, 2007 baloxs 5 comentarios

Donde estan las «joyas de la corona» de la empresa? Estamos de acuerdo que en las Bases de Datos, es por eso que todo auditor de sistemas asi como profesional de seguridad está interesado en la implementación de una buena auditoria a nivel bases de datos, sin embargo, los problemas con los que se tropiezan el camino son comunes para todos nosotros. Basicamente estos estan referidos a:

1. Procesamiento. Toda activación de logs en las RDBMS implica uso de recursos del gestor mismo, asi como de capacidad de procesamiento del equipo mismo.

2. Almacenamiento. Toda activación de auditoria requerirá tambien la retención de la información capturada en un medio de almacenamiento , sea este magnetico u optico.

Por estas dos caracteristicas la resistencia de los administradores de Bases de Datos (DBAs) a la implementación de la auditoria es considerable. Y es que, al implementar la auditoria de esta manera (Directamente sobre la Base de Datos) afectamos tambien directamente el rendimiento de la DB misma. Y para que contratamos un DBA? Para mantener la base de datos en un rendimiento optimo SIEMPRE.

En la segunda parte veremos algunas opciones de implementación de auditoria que no enoje a nuestros amigos DBAs y nos permita un control lo suficientemente granular sobre cambios y consultas a la base de datos corporativa.

ALVARO CUADROS

Categorías: Seguridad de Sistemas, Uncategorized

Certificados en site?

agosto 27, 2007 baloxs Deja un comentario

Consulta.

Cual es la importancia de que un Certificado Digital s encuentre en un servidor, si ya puedo controlar con otros modos de encriptación el acceso a información del mismo? (Sergio Tudela – Sysmart – Colombia)

Respuesta.

El uso de un certificado digital en un site es de extrema importancia pues mediante la revisión del mismo nuestros usuarios pueden asegurase de que el site corresponde realmente a la institución que desea acceder. En pocas palabras, esto te ayudará a evitar el phishing.

Saludos

Alvaro

Categorías: Seguridad de Sistemas

Forense: Como mantenerte un paso delante de los hackers parte 1.

agosto 16, 2007 baloxs Deja un comentario

Un paso fundamental dentro de la gestion de seguridad de sistemas es prestar atención al tratamiento de los logs de sistemas. Sean estos Windows, Syslog o W3C.

El primer y último paso luego de ingresar a un sistema de manera no-autorizada es el borrado definitivo de los logs de sistema y seguridad, o por lo menos de parte de los mismos, por lo que es de suma importancia el crear una disciplina de almacenamiento y control de logs para los servidores considerados criticos dentro de la empresa.

Entonces, el paso 1 es el activar los logs dentro de ls sistemas criticos en un nivel y tiempo que satisfagan ;las necesidades particulares del caso, asi, el tener un nivel debug dentro de un servidor de procesamiento y acceso masivo pierde sentido, fuera de la etapa de pruebas.

Una vez activados los logs debemos asumir que si un intruso ingresa al sistema estos me serán completamente inútiles, si no los almaceno en un lugar redundante, en caso de intrusión.

En la segunda parte veremos el concepto de «Servidor de logs»

-Alvaro Cuadros S.

Categorías: Forense

Posición de Seguridad dentro de la infraestructura empresarial

agosto 9, 2007 baloxs Deja un comentario

Pregunta:

Acabo de crear una area de Seguridad de Sistemas en mi empresa, cual es el lugar ideal dentro de la estructura organizacional? (Chris Mateus, Desarrollos Empresariales)

Respuesta:

Chris, para dar respuesta a tu pregunta es necesario entender el rol de Seguridad de Sistemas dentro de una organizacion, para luego poder ubicar el area adecuadamente dentro de su estructura.

El area de Seguridad de Sistemas es en escencia una contraparte del area de Tecnología de Informacion, y está encargada de la definición de políticas que ayuden a garantizar la integridad, confidencialidad y disponibilidad de la información.

En tal sentido, la mejor posición dentro de la organización para Seguridad de Sistemas es una dependencia directa del Directorio de la institución, ya sea a traves de un comité o a traves del area de Riesgos.

Espero te sea útil

Alvaro Cuadros

CRO

Banco Mercantil Santa Cruz S.A

Categorías: Seguridad de Sistemas

Newer Entries