Bienvenido a AltoSec Blog!

Bienvenido al blog de AltoSec. En este espacio encontrara artículos dedicados a la seguridad de la información y nuestras actividades. Es importante conocer sus sugerencias y consultas. Para ello tenemos disponible un espacio donde podrá contactar directamente a personal de AltoSec Ingrese al enlace "Contáctenos" en nuestro sitio web para dejar sus comentarios.

  • Links

  • Categories

  • Archives

  • SHOW / HIDE NAVIGATION

    En Argentina y en muchos países de América Latina hay un vicio particular al momento de invertir en tecnología. Solo se compra el hardware y se deja al área sistemas o a la empresa contratada para brindar servicio de asistencia la instalación del software necesario sin preocuparse de donde lo obtienen. En muchos casos hasta se les exige que sea de esa forma la implementación.

    Lo que esto redunda es en una implementación de soluciones de software de dudosa procedencia cuando se trata de iplementaciones que requiere el pago de licencia.

    Read More

    CommentsComments Off

    OWASP (Open Web Application Security Project, en inglés) es un proyecto de seguridad de aplicaciones web abiertas’) es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro.

    La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo. Juntos constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera.

    OSWASP prepara todos los años un informe donde se pueden ver los 10 mayores peligros durante el año. Esta información es muy útil y sirve de guía para poder brindar un mayor grado de seguridad a las aplicaciones.

    La siguiente es la lista de las 10 mayores amenazas del año 2010:

    Read More

    CommentsComments Off

    Microsoft ha comunicado, a través del blog del equipo del centro de respuesta de seguridad, de una vulnerabilidad en Internet Explorer que podría permitir la ejecución de código arbitrario visitando una página web especialmente manipulada. Es necesario además para completar el ataque, que el atacante incite a la víctima a pulsar el botón F1 para lanzar la función de ayuda.

    Tanto la vulnerabilidad como la prueba de concepto fueron originalmente publicadas el día 26 de febrero por Maurycy Prodeus, del grupo polaco iSEC, en la lista de Full Disclosure. En el aviso detalla cómo la función “MsgBox” proporciona un parámetro en el que se puede indicar la ruta hacia un archivo .hlp. Si la víctima presiona F1, el archivo con formato win32hlp será procesado.

    Read More

    CommentsComments Off
    Seguridad Física

    Seguridad Física

    Al momento de hablar de seguridad se piensa principalmente en que afuera hay personas que quieren entrar, por lo que se enfatiza en las medidas perimetrales de seguridad. El problema es que existe una alta probabilidad de que un ataque provenga desde dentro de la organización ya sea intencionado o accidental y en formas que ni siquiera se han contemplado.

    En una nota anterior habíamos hecho referencia a las laborares del CISO (Chief- Information- Security-Officer). Entre una de ellas esta tener en cuenta la seguridad física de centros de cómputos.

    Este aspecto muchas veces olvidado, bien por desconocimiento o por simple simple exceso de confianza, tendría que atenderse no solo si se tiene una gran cantidad de servidores, también tendría que ser tomado en cuenta para cualquier tipo de sistema que requiera brindar las premisas básicas de la seguridad:

    • Integridad: La información sólo puede ser modificada por quien está autorizado y de manera controlada.
    • Confidencialidad: La información sólo debe ser legible para los autorizados.
    • Disponibilidad: Debe estar disponible cuando se necesita.
    • Irrefutabilidad (No repudio): El uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.

    Uno de los puntos más afectados en cuanto a la seguridad física es el de la Disponibilidad. Un simple error de cálculos y el servidor de producción que está encima del escritorio de la secretaria puede terminar en el suelo. O bien, una persona mal intencionada puede realizar una Denegación de Servicio (ataque DoS) simplemente con un martillo o llevándose el servidor. De igual forma puede hacerse un DoS simplemente desconectando el cable de red o electricidad los cuales están al alcance.

    De acuerdo a las a las posibilidades y teniendo en mente la importancia de la información que se maneja, se debería contar con control de ciertos aspectos de seguridad física.

    Existen diversos peligros físicos que pueden comprometer la seguridad de la información. Entre ellos se encuentran los peligros del entorno: Fuego, humo, polvo, terremotos, humedad, agua, etc. También se podrán encontrar los peligros por vandalismo o robo al contar del acceso físico al lugar donde están los servidores que contienen los datos.

    Read More

    CommentsComments Off
    Recomendaciones Anti-Phishing

    Recomendaciones Anti-Phishing

    Las siguientes medidas publicadas por ArCERT (Coordinación de Emergencias en Redes Teleinformáticas) buscan asistirlo para minimizar los efectos negativos de un ataque de “phishing” y de ser posible, impedirlo:

    Si recibe un correo electrónico que le pide información personal o financiera, no responda.
    Si el mensaje lo invita a acceder a un sitio Web a través de un enlace incluido en su contenido, no lo haga. Las organizaciones que trabajan seriamente están al tanto de este tipo de fraudes y por consiguiente, no solicitan información por medio del correo electrónico. Tampoco lo contactan telefónicamente, ni mediante mensajes SMS o por fax. Si le preocupa el estado de la cuenta que posee en la organización que dice haber enviado el correo, o que lo ha contactado, comuníquese directamente utilizando un número telefónico conocido y provisto por la entidad u obtenido a través de medios confiables, como por ejemplo de su último resumen de cuenta. Alternativamente, puede ingresar en la página oficial de la organización, ingresando usted mismo la dirección de Internet correspondiente en el navegador.

    No envíe información personal usando mensajes de correo electrónico.
    El correo electrónico, si no se utilizan técnicas de cifrado y/o firma digital, no es un medio seguro para enviar información personal o confidencial.

    No acceda desde lugares públicos.
    En la medida de lo posible, evite ingresar al sitio Web de una entidad financiera o de comercio electrónico desde un cybercafé, locutorio u otro lugar público. Las PCs instaladas en estos lugares podrían contener software o hardware malicioso destinado a capturar sus datos personales.

    Verifique los indicadores de seguridad del sitio Web en el cuál ingresará información personal.
    Si es indispensable realizar un trámite o proveer información personal a una organización por medio de su sitio Web, escriba la dirección Web usted mismo en el navegador y busque los indicadores de seguridad del sitio. Al acceder al sitio Web, usted deberá notar que la dirección Web comienza con “https://”, donde la “s” indica que la transmisión de información es “segura”. Verifique también que en la parte inferior de su navegador aparezca un candado cerrado. Haciendo clic sobre ese candado, podrá comprobar la validez del certificado digital y obtener información sobre la identidad del sitio Web al que está accediendo.

    Read More

    CommentsComments Off
    « Previous Entries

    Follow me on Twitter

    Soluciones Integrales

    En AltoSec estamos convencidos que la mejor solución a las problemáticas de seguridad, redes o conectividad que afrontan las empresas, es compenetrarse con las mismas, llevando a cabo un delicado relevamiento para derivar en un detallado análisis. Con este proceso se obtienen efectivas soluciones a medida de la organización
    Vea nuestros servicios profesionales.

    Tecnología Innovadora

    Brindamos soluciones utilizando tecnologías de vanguardia, utilizando las últimas técnicas y productos de las marcas líderes del mercado. También contamos con expertos en soluciones basadas en Software Libre, las cuales permiten una excelente relación costo/beneficio para el cliente ya que se ven reducidas en costos de licencias.
    Contactenos para hacernos saber sus inquietudes.

    Red de Partners

    Contamos con una red de partners que nos permite ofrecer un amplio abanico de soluciones a nuestros clientes, lo cual permite brindar un servicio completamente integral y profesional.