Weblog de JaCkSecurity

“Seguridad para Smartphones”

Consejo #9: ACTÚE VIGILANTE
Sonría! Ud. está siendo -potencialmente- filmado, por no decir ¿hackeado?.
Mantenga una actitud conciente acerca de los riesgos que implica la telefonía móvil actual y del manejo de información a través de este medio.
Sería mucho mejor, si a pesar del potencial del smartphone, Ud. procura limitar el tipo de información que este produce, aloja o transmite, especialmente si es información que Ud. o su organización considera sensible.

Explicación:
Por ejemplo, no apunte y/o cargue enlaces ocultos (con QR Code) en paredes y boulevares, o general en lugares o fuentes de poca confianza. Si cargó este enlace desde un QR Code nuestro, sepa que siempre alguien podría esperarlo con fines malévolos, en el supuesto que aproveche alguna vulnerabilidad o debilidad en su smartphone.
Otro ejemplo, es el falso sentido de seguridad que nos puede dar las contraseñas, como la citada en la primera recomendación. Muchos de las app que manejan el bloqueo con contraseña o seña, son burladas hoy en día.

Actualización:
En la finanzas existen variadas app disponibles. Si Uds. pica una publicidad impresa con el logo de su banco, y esta vía QR Code dice llevarle a la app, tenga cuidado “quien sabe podría ser falsa” y llevarlo un lugar o app malévolo.

JACKSECURITY es una compañía peruana de seguridad de la información que provee servicios al mercado corporativo local y extranjero. Somos el “staff” de seguridad de compañías responsables como la suya. Atendemos en las áreas de incident detection, consulting, awareness, response, y penetration testing. Si desea más información de ayuda, escríbanos a través de su jefe de seguridad de la información o CISO (Chief Information Security Officer). Haga click aquí para servicios de JaCkSecurity.

“Seguridad para Smartphones”

Consejo #7: DESTRUYA LA DATA
¿Alguna vez escuchaste de alguien que donó un libro viejo, sin notar que alguien en la familia había guardado uno de esos billetes de a 100? De igual forma, al dar de baja a su smartphone elimine toda la información que pudiera ser considerada sensible. Usted no puede determinar en qué manos podría terminar su equipo, luego de que su empleador o Ud. mismo lo dona o simplemente le da de abaja.

JACKSECURITY es una compañía peruana de seguridad de la información que provee servicios al mercado corporativo local y extranjero. Somos el “staff” de seguridad de compañías responsables como la suya. Atendemos en las áreas de incident detection, consulting, awareness, response, y penetration testing. Si desea más información de ayuda, escríbanos a través de su jefe de seguridad de la información o CISO (Chief Information Security Officer). Haga click aquí para servicios de JaCkSecurity.

“Seguridad para Smartphones”

Consejo #7: RESPALDE FUERA
Recuerde, muchas de las mejores bóvedas del XXI “son gratuitas”.
Realice copias de seguridad de su información de manera periódica. El software para realizarlo es ofrecido de manera gratuita desde el portal del fabricante. Recuerde guardar su copia de seguridad en un lugar al cual sólo usted podrá tener acceso.

Explicación:
Siempre existe la posibilidad de perder el dispositivo. Y -por suerte- las estadísticas de pérdida de datos, se dan por ese motivo: extravío de portátiles y demás móviles, y no por espionaje industrial. Con algo de esa estadística a su favor, lo único que podría perder son datos, lo que significa un riesgo directo -al menos- a la DISPONIBILIDAD de sus datos.
Pero, claro no pierda de vista el detalle que mucha de la vida privada de terceros podría estar alojadas en su smartphone, así, que mejor, no pierda de vista su smartphone, será por el bien de los suyos, de cuyos datos -quizás- le sean más importante para otros, que sus propios datos.

JACKSECURITY es una compañía peruana de seguridad de la información que provee servicios al mercado corporativo local y extranjero. Somos el “staff” de seguridad de compañías responsables como la suya. Atendemos en las áreas de incident detection, consulting, awareness, response, y penetration testing. Si desea más información de ayuda, escríbanos a través de su jefe de seguridad de la información o CISO (Chief Information Security Officer). Haga click aquí para servicios de JaCkSecurity.

“Seguridad para Smartphones”

Consejo #: EVITE PERROGATIVAS
Evalúe siempre las prerrogativas (permisos elevados que asigna) solicitadas por las próximas aplicaciones que piensa instalar en su smartphone, y considere sobre todo si este software va a interactuar con otras aplicaciones residentes.

Explicación:
Por ejemplo: De instalar un aplicativo de entretenimiento ¿Este va a interactuar con redes sociales? La pregunta que cabe hacerse, ¿está su smartphone haciendo lo mismo? Verifíquelo.

Actualización (12/01/25):
Recientemente, usuarios de la red O2 en el Reino Unido, descubrieron que su número móvil estaba siendo revelado en cada respuesta HTTP, durante las visitas a cualquier sitio web en el globo. En l

JACKSECURITY es una compañía peruana de seguridad de la información que provee servicios al mercado corporativo local y extranjero. Somos el “staff” de seguridad de compañías responsables como la suya. Atendemos en las áreas de incident detection, consulting, awareness, response, y penetration testing. Si desea más información de ayuda, escríbanos a través de su jefe de seguridad de la información o CISO (Chief Information Security Officer). Haga click aquí para servicios de JaCkSecurity.

“Seguridad para Smartphones”

Consejo #5: VERIFICA FÁBRICA
Evita instalar software de repositorios de dudosa procedencia, es como consumir brebajes de chamanes. Muchas veces, estos son fuentes de software malicioso. Use los repositorios de software del fabricante, y mejor si él o su área de seguridad informática de su corporación lo recomienda.

También, verifique que el fabricante del sistema operativo realiza un chequeo de las aplicaciones que son desarrolladas y compartidas por los usuarios. A la fecha, se ha retirado un importante número de aplicaciones, debido a que fueron creadas con fines delictivos.

Explicación:
No se trata del viejo y tan poco respetado adagio de instalar software licenciado. En realidad, como usuario ejecutivo Ud. debe tener claro que un smartphone tiene todo el potencial de una computadora doméstica, y hasta incluso posee la innata virtud de dejarse trasladar con facilidad. Un buen día podría instalar un sotware que además de beneficiarle en alguna labor, termine siendo un grabador remoto creado por algún espía. Imagine, una sesión extremadamente secreta del directorio de su compañía revelada gracias a las bondades de su smartphone, por la gracia del software que Ud. mismo instaló, y jamás notó.

Pensar en que la industria del software de smartphones esté controlada, es casi imposible. Pero, algunos fabricantes “procuran” hacerlo. Si un antivirus pudiera ayudar, poco podría lograr por lo inmaduro de dicha mezcla tecnológica. Así, que deje esta tarea al área de tecnología de su compañía, quienes se harán cargo de homologar corporativamente qué fabricante atienden esta recomendación de seguridad. Si ellos no hicieron esta tarea, poco es lo que Ud. como usuario final puede hacer.

JACKSECURITY es una compañía peruana de seguridad de la información que provee servicios al mercado corporativo local y extranjero. Somos el “staff” de seguridad de compañías responsables como la suya. Atendemos en las áreas de incident detection, consulting, awareness, response, y penetration testing. Si desea más información de ayuda, escríbanos a través de su jefe de seguridad de la información o CISO (Chief Information Security Officer). Haga click aquí para servicios de JaCkSecurity.

“Seguridad para Smartphones”

Consejo #4: PARCHE SOFTWARE
Consulte y mantenga el sistema operativo de su dispositivo móvil actualizado, así como de sus aplicaciones. El software malicioso explota sistemas no actualizados o con opciones activadas por defecto.

JACKSECURITY es una compañía peruana de seguridad de la información que provee servicios al mercado corporativo local y extranjero. Somos el “staff” de seguridad de compañías responsables como la suya. Atendemos en las áreas de incident detection, consulting, awareness, response, y penetration testing. Si desea más información de ayuda, escríbanos a través de su jefe de seguridad de la información o CISO (Chief Information Security Officer). Haga click aquí para servicios de JaCkSecurity.

“Seguridad para Smartphones”

Consejo #3: Use peajes
De la misma forma que es mejor viajar por la autopista con peaje del FLORIDA TURNPIKE, es mejor usar redes Wi-Fi a pago, si perdió su señal GSM. Evite emplear redes Wi-Fi de dudosa reputación desde su Smartphone. Otros smartphones cerca suyo podrían estar funcionando como hotspots, sólo para interceptar a víctimas como Ud.

Explicación:
Los ejecutivos que viajan sin contar con roaming internacional, sufren del beneficio de conectividad permanente. Igualmente, cuando la señal GSM se ha perdido, muchos optan por activar la capacidad Wi-Fi de su smartphone para conectarse a alguna red inalámbrica próxima, ej. en un hotel o paraje remoto fuera de la cobertura GSM de su proveedor. Hacerlo, sin tomar medidas de seguridad adicional, es un riesgo. En los aeropuertos, lo descrito sucede con frecuencia. Por lo tanto, estos lugares son los preferidos para interceptar las comunicaciones Wi-Fi de smartphones como el suyo. Sería mucho mejor si su compañía lo abastece de roaming GSM y/o Ud. procura no usar las redes Wi-Fi, tanto las abiertas, como incluso las pagadas en los aeropuertos (por ser lugares ideales para el espionaje industrial internacional). Alguna forma más avanzada sería asegurar el canal sobre el que transitará sus datos, mediante un túnel VPN, si su equipo lo permite.

Esta recomendación debe tomarla muy en serio. Hemos descubierto casos donde los servicios de correo corporativo (vía web) viajan sin ningún cifrado especial. Así, si se conecta a una red Wi-Fi, mientras su buzón de correo web se actualiza, ya sabé lo que puede pasarle a su correo, si alguien llega a engañarlo con un hostspot malicioso.

JACKSECURITY es una compañía peruana de seguridad de la información que provee servicios al mercado corporativo local y extranjero. Somos el “staff” de seguridad de compañías responsables como la suya. Atendemos en las áreas de incident detection, consulting, awareness, response, y penetration testing. Si desea más información de ayuda, escríbanos a través de su jefe de seguridad de la información o CISO (Chief Information Security Officer). Haga click aquí para servicios de JaCkSecurity.

“Seguridad para Smartphones”

Consejo #2: CIERRE LAS PUERTAS
Desactive los canales de comunicación sin uso, como Bluetooth, Wi-Fi, infrarojo. Ud puede abrir inadvertidamente puertas de acceso a intrusos, por más seguras que luzcan.

JACKSECURITY es una compañía peruana de seguridad de la información que provee servicios al mercado corporativo local y extranjero. Somos el “staff” de seguridad de compañías responsables como la suya. Atendemos en las áreas de incident detection, consulting, awareness, response, y penetration testing. Si desea más información de ayuda, escríbanos a través de su jefe de seguridad de la información o CISO (Chief Information Security Officer). Haga click aquí para servicios de JaCkSecurity.

“Seguridad para Smartphones”

Consejo #1: ACTIVA CONTRASEÑA

Demuestra que es tuyo. Debes dificultar el acceso lógico a la información alojada en tu dispositivo, de personas ajenas a éste. La “contraseña” es una medida básica, y junto con ella, no dejar desatendido tu dispositivo.

JACKSECURITY es una compañía peruana de seguridad de la información que provee servicios al mercado corporativo local y extranjero. Somos el “staff” de seguridad de compañías responsables como la suya. Atendemos en las áreas de incident detection, consulting, awareness, response, y penetration testing. Si desea más información de ayuda, escríbanos a través de su jefe de seguridad de la información o CISO (Chief Information Security Officer). Haga click aquí para servicios de JaCkSecurity.

Nuevo pendiente (en privacidad) para instituciones bajo la G-140

El pasado 2 de julio (2011), se promulgó la ley de la protección de datos personales del Perú. Esta ley, que a pesar de abarcar todos los ámbitos del mover económico, tiene -en la práctica- como principal afectado a las actividades financieras del Perú (ciertamente el sector más maduro cuando de seguridad de la información se trata).

¿la razón? Una pequeña cláusula en la vigente circular G-140, misma que rige los sistemas de gestión de la seguridad de la información en la empresas del sector financiero, bajo la supervisión de la SBS (Superintendencia de Banca y Seguros). Esta señala a la letra:

5.10. Privacidad de la información
Las empresas deben adoptar medidas que aseguren razonablemente la privacidad de la información que reciben de sus clientes y usuarios de servicios, conforme a la normatividad vigente sobre la materia.

Como se puede entender entonces, la razonabilidad ya no es más un tema de libre criterio, o al menos no sin la normatividad ya promulgada.

Así, la siguiente vez que una nueva compañía local o extranjera decida iniciar operaciones en Perú, tendrá que tener gran cuidado de no asumir las prácticas aglosajonas que respecto a la privacidad pudieran estar habituados, especialmente cuando busque atender la numeral 5.1 en su reporte de cumplimiento con la G-140.

De igual modo, para las compañías financieras ya existentes, la aprobación de esta ley marca el reloj de la prudencia para los oficiales de seguridad, quienes buscarán añadir a sus agendas esta nueva exigencia en sus SGSI.

I N V I T A C I Ó N
Como ya es de conocimiento, JaCkSecurity brinda servicios en y bajo G-140. No obstante, estimado seguidor, les contamos que puede debatir más acerca del tema en la sesión de inauguración del próximo ISACA Full Day 2011, donde tenemos la oportunidad de contribuir como Silver Sponsor.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Hi [there]

I prefer do not state nothing about if TV is good or not good, but, I can share my personal experience:

I received the same question from the same kind of professional, many months ago. But, I was unable to get something useful the first time.

Many months after, when analyzed by network traffic I unveiled a complete TCP session with another computer in our same broadband
neighborhood, (initiated) from my system, by using the same protocol that TeamViewer use. [I had installed TV to support a customer, and TV was turn on in my computer]

What? I was more than worry (this was a terrific experience), as you can imaging. So, I asked myself: When I connected to this other computer, this IP doesn’t belong to the company’s IP range where I connected before? (As you know TeamViewer doesn’t connect from IP to IP [they use a central as you quoted]).

The packets were very little (but there were completed tcp sessions), to looks like an intrusion. But, It was not so enough to me.

I made a little research on that, and that IP didn’t belong to TeamViewer network. (with some little tricks, I determined) That specific IP address belonged to a company, which didn’t sell TeamViewer software. I made some calls to be sure if this IP address does belong to TeamViewer network.

After, no positive evidence, I wrote to TeamViewer.

And after many emails with one TeamViewer’s security specialist, they never answered me why there were using as a TeamViewer gateway an IP address out of the TeamViewer’s IP block. Actually, she confirmed that the connection was a keep alive with the TeamViewer gateways’ network.

So, I conclude, that if I go to use TV (as a support guy), I must turn off the service after use it, or my computer will send complete tcp
connections with some stranges gateways around you, which, probably are not part of the TeamViewer’s IP block. So, by reading risk between lines: if your Bank customer is in the same IP network block of its competitor (who knows about this little experience) you can be sure that they (the competitor) will enjoy to learn that your customer is using TeamViewer =) [probably as a TV permanently ON]

PD: if you have time, run you own test, and see, if this behaviour still exists and comment on me, please.

JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Extraído de lectura de seguridad:

Too often security is considered a roadblock to progress; responsive and flexible security teams that engage business units can reverse this perception. Andrew Jaquith (Libro: Security Metrics)

JaCkSecurity
Conocimiento, Conciencia y Consultoría

A lo largo del 2010, se ha acusado del oportunismo ganado por compañías fabricantes de productos de seguridad con los acontencimientos mediáticos (Google atacado por gobierno Chino) y no mediáticos (situación real de la red), para lanzar productos cuya descripción aporte a la protección de APT (Advanced Persistent Threats). Sin embargo, para el común de las empresas, si eso es cierto o no, la prensa y las empresas de seguridad no han parado de hablar del tema.

Así, con el advenimiento del malware Stuxnet, las cosas parecen verse aún más claras, y quizás estemos presenciando el dejavu de tanta ficción profetizada (Die Hard 4), o la maduración magistral de tantas brechas del cibercrimen.

Sin embargo, para un ejecutivo de a pie el excepticismo (aunque siempre necesario) ante este tipo de noticias puede dejarlo muy mal parado y ponerlo en el dicho “no hay peor ciego, que el que no quiere ver“.

Por ello conviene hacer la tarea, y preguntar a los expertos. Uno de ellos muy posiblemente sea el Sr. Eric Byres, cuya compañía (Byres Security, hoy comprada por Tofino) ha sido miembro de la RISI (Very cool!). En un blog reciente, Eric afirma que no ha visto ningún gusano que se le parezca a Stuxnet. Como miembro de RISI, Eric no sólo ha tenido acceso a los reportes anuales de esa base de datos (de más de 175 incidentes), sino que fue (hasta el 2006) quien mantenía una de las más primitivas base de datos de esa índole, mientras estaba en la British Columbia Institute of Technology (BCIT) en Canada. Además, al año 2008, Eric conseguió reaperturar esa base de datos (otra más del género de incidentes industriales). Por lo que sin duda, estamos oyendo de alguien con más experiencia y contacto.

Ya con eso, ¿todavía tendríamos razones para menosprecia a Stuxnet?, o ¿podríamos ya estar pensando en añadir una nueva amenaza a los agentes de riesgo (p.e. “estado-nación“) de nuestras empresas, como nos deja entrever el CEO de Kaspersky?

JaCkSecurity
Conocimiento, Conciencia y Consultoría