InForenseS - Enlaces

Según publica el RSA Consumer Solutions Anti-Fraud Command Center (AFCC) en su Online Fraud Intelligence Report de Septiembre de 2006, España ocupa el tercer lugar (5%) entre los países que mas ataques de phishing sufren, a muy poca distancia del nº 2, el Reino Unido (8%), pero por suerte a años luz del indiscutible nº1, Estados Unidos (75%).

Estas cifras de septiembre no hacen mas que confirmar informes anteriores, en los que España aparece de forma consistente en el top-3:

• Septiembre; USA 75%, UK 8%, España 5%
• Agosto: USA 73%, UK 9%, España 6%
• Julio: USA 76%, UK 5%, España 4%, Canada 4%, Alemania 4%

Este tercer puesto tiene mucho que ver con la gran difusión de la banca electrónica en nuestro país, lo que le hace blanco fácil de los electrocacos.

Y en el top-10 mundial de bancos atacados está uno de los bancos españoles (en el informe no se cita cual). Esta es una lista en la que ninguno querría aparecer.

Informe de vulnerabilidades anuales actualizado a Septiembre de 2006.

Nota: El Informe de Vulnerabilidades de Septiembre incluye datos que se habían incluído erróneamente en el informe de Agosto. Para corregirlo, se ha modificado adecuadamente el Informe de Vulnerabilidad de Agosto de 2006.

Final del Verano
La primera quincena ha sido bastante tranquila.
Se nota el final del verano y la resaca de los parches de MSFT del mes pasado.

Sin embargo, la segunda quincena de septiembre se ha animado con graves vulnerabilidades, algunas de ellas críticas, en productos de Adobe, Apple, Mozilla y, de nuevo, Microsoft, que con la vulnerabilidad VML Buffer Overflow de Intenet Explorer ha sido la estrella del mes.

De nuevo, lo peor está en la Web
Pero como ya viene siendo habitual la mayor fuente de problemas sigue estando en las apliciones Web, que con las 252 nuevas vulnerabilidades detectadas este mes ya suponen el 62% de todas las detectadas hasta la fecha este año.

Artículo publicado originalmente en el Blog de AI2, la Asociación de Ingenieros en Informática.

Informe de vulnerabilidades anuales actualizado a Agosto de 2006.

Nota: El Informe de Vulnerabilidades de Agosto que se publicó anteriormente incorporaba datos que erróneos que en realidad pertenecen al mes de Septiembre. Para corregirlo, se ha modificado adecuadamente este Informe de Vulnerabilidad de Agosto de 2006.

Mal mes para Windows
Este mes el Entorno Microsoft no nos ha dejado dormir tranquilos con 60 nuevos problemas descubiertos, para un total de 359 en lo que va de año, lo que representa un 13% del total de las vulnerabilidades anuales.

La Web: de nuevo lo más vulnerable
Pero quién de nuevo se lleva la palma son los nuevos agujeros descubiertos en el Entorno Web, que este més han sido 228, y que representan el 59% de los 2.841 problemas descubiertos en lo que va de año.

A este ritmo el Entorno Web superará cómodamente las 2.500 vulnerabilidades anuales.

Tengo el placer de presentar el "Informe sobre Vulnerabilidades 2006", que estoy realizando desde hace tiempo, basado en los boletines semanales @RISK de SANS.

El informe que aquí se presenta recoge esos datos que se publican semanalmente y los presenta agregados y de forma gráfica, agrupándolos por "familias" de plataformas (Windows, Linux-Unix, etc), de forma que se puede constatar rápidamente donde están los mayores problemas de seguridad.

Así, podemos responder a las preguntas clásicas:

• ¿Qué plataforma es la más vulnerable?
• ¿Y la menos?
• ¿Qué S.O. tiene más "agujeros" de seguridad: Windows o Linux?

Este informe se irá actualizando mensualmente, por lo que servirá de comparativa para medir la evolución de la robustez de las diferentes plataformas.

Archivo Histórico de Informes
Desde aquí se puede acceder tanto al gráfico resumen de cada mes (pulsando sobre la imágen del mes correspondiente), como al comentario resumen del mismo (pulsando sobre el enlace que hay debajo de la imágen).

Enero 2006	Febrero 2006
Marzo 2006	Abril 2006
Mayo 2006	Junio 2006
Julio 2006	Agosto 2006
Septiembre 2006

Sobre SANS @RISK
Muchos de vosotros ya conoceis los boletines de alertas sobre vulnerabilidad "@RISK: The Consensus Security Alert" que publica semanalmente el prestigioso SANS Institute.

En dichos boletines se hace un informe de las vulnerabilidades detectadas a lo largo de la semana anterior agrupándolos por plataformas. Además, se ofrece una detallada descripción de dichas vulnerabilidades.

Aunque esta información es de incalculable valor, siempre he echado en falta un resumen gráfico de las vulnerabilidades detectadas a lo largo del año. Y he tratado de solucionarlo.

Y si no los conoceis aún, podeis solucionarlo fácilmente y acceder a todos los publicados desde el año 2003, o los podeis recibir directamente tanto vía email como vía RSS.
Mas información en http://www.sans.org/newsletters/risk/

Divertido post de CrimGirl.com, sobre las 10 "verdades" de la criminalística que se enseñan en la serie de TV CSI, que os traduzco libremente:

1. Las víctimas de un asesino son principalmente preciosas bailarinas rubias
2. Los tiroteos entre bandas y los asaltos domésticos no suelen ocurrir porque son aburridos
3. No te molestes en llevar mascarilla, guantes o red para el pelo. Un poco de contaminación cruzada es un coste ridículo para estar guapo
4. Iluminar el laboratorio criminalístico con una luz indirecta de fondo ahorra dinero de los contribuyentes. Con eso podemos comprar una TV de plasma de 50" para la sala de descanso
5. Los técnicos de laboratorio suelen llevar armas y detienen criminales
6. Cuando se recogen evidencias, las investigadoras femeninas deben llevar tacones extralargos para tener una vista de pájaro de la escena del crimen.
7. Las huellas dactilares se pueden obtener de los órganos internos del cuerpo
8. Los detectives de la policia suelen invitar a los criminalistas a que participen en los interogatorios de los sospechosos, dado que los científicos son astutos y ladinos
9. Llevar siempre ropa interior sexy por si te van a asesinar
10. Si tu superior en la comisaría piensa que tu y tus colegas no sois más que una pandilla de capullos perfeccionistas, no te preocupes. Él no es más que un recurso literario

Como corolario, y haciendo referencia a nuestras propias series policíacas, como "El Comisario", podemos concluir:

En España:

• nos basta con tener un único criminalista. Somos así de buenos.
• a ser posible le sentaremos en medio de una sala llena de otros ¿policías? ¿administrativos?. Nada de laboratorio propio. Eso es un lujo asiático
• el/ella se encargará de todo: desde hacer autópsias a sacar huellas, hacer perfiles psicológicos, retratos robot, analizar la voz en grabaciones, romper contraseñas, recuperar datos borrados del disco duro, analizar correos electrónicos, hacer una correlación de eventos en los logs, trazar la navegación por internet, pasar el polvo, sacar brillo al monitor CRT 14" (que aquí no da para la TV de plasma de 50"), etc, etc, etc.
• Y por supuesto, no perdemos el tiempo con la chorrada esa de ver como crecen los coleópteros. Eso SI ques es un recurso literario.

La Universidad Autónoma de México (UNAM) y el Grupo de Seguridad de RedIRIS, IRIS-CERT, dependiente de Red.es, convocan el III Reto de Análisis Forense.

Leer mas!

The Anti-Phishing Working Group (APWG) is the global pan-industrial and law enforcement association focused on eliminating the fraud and identity theft that result from phishing, pharming and email spoofing of all types.

APWG Members
- 2300+ members
- 1500+ companies & agencies worldwide
- 8 of the top 10 US banks
- 4 of the top 5 US ISPs
- Hundreds of technology vendors
- National & provincial law enforcement worldwide

APWG Working Groups
- Best Practices
- Education
- Future Threat Models & Forensics
- Phishing Data Repository
- Sizing the Problem
- Solution Evaluation & Deployment Education
- Working with Law Enforcement and Legislatures

Se acaba de abrir un nuevo blog, esta vez el de AI2, la Asociación de Ingenieros en Informática a la cual pertenezco, y en cuyo blog tengo "algo" de culpa.

Acaba de publicarse en Wired News un interesante artículo del gurú Bruce Schneier (autor del libro "Beyond Fear: Thinking Sensibly About Security in an Uncertain World"), acerca de la necesidad de que los fabricantes de software sean responsables de los errores que tengan sus productos, al igual que ocurre en cualquier otro ámbito empresarial.

Leer mas!