HACK HiSPANO - NOTICIAS

HACK HiSPANO - NOTICIAS http://foro.hackhispano.com El dia a dia de internet, seguridad informática y las nuevas tecnologías. es Thu, 17 May 2012 12:47:51 GMT vBulletin 60 http://foro.hackhispano.com/images/bluesaint/misc/rss.jpg HACK HiSPANO - NOTICIAS http://foro.hackhispano.com Nace la Agencia de Certificaciones de Ciberseguridad (ICSF y S21sec) http://foro.hackhispano.com/showthread.php?t=41425&goto=newpost Wed, 09 May 2012 07:54:31 GMT *En colaboración con el Instituto de Ciencias Forenses y Seguridad, vinculado a la Escuela Politécnica Superior de la Universidad Autónoma de Madrid, hemos creado la **Agencia de Certificaciones de Ciberseguridad.* (http://acc.icfs.uam.es/)* Pionera en nuestro país, su misión es gestionar las... En colaboración con el Instituto de Ciencias Forenses y Seguridad, vinculado a la Escuela Politécnica Superior de la Universidad Autónoma de Madrid, hemos creado la Agencia de Certificaciones de Ciberseguridad. Pionera en nuestro país, su misión es gestionar las Certificaciones de Ciberseguridad (CCS) para particulares, y las Acreditaciones de Ciberseguridad (ACS) para organizaciones.

La Agencia de Certificaciones de Ciberseguridad, nace con la vocación de velar por la fiabilidad, así como de dar fe documental de la superación de los criterios de evaluación y aceptación de la normativa de certificación en materia de seguridad digital.

El nuevo escenario de globalización y de gestión de riesgos en las Infraestructuras Críticas exige que los gobiernos y las empresas se preparen para garantizar su correcto funcionamiento. Esto supone para España situarse entre los líderes en este sector. Está pensada para dar servicio, tanto a aquellas personas cuya labor tenga que ver con tareas de seguridad del ciberespacio, como a cualquier organización que tenga que proteger datos confidenciales de clientes, personal, alumnos o productos.

Entre sus funciones principales se encuentra la de garantizar que las evaluaciones de conocimientos y destrezas se realizan mediante procedimientos rigurosos, fiables y contrastables. Asimismo, se encargará de dar fe documental de que las personas u organizaciones certificadas cumplen los requisitos contemplados en los criterios de certificación en cuanto a la capacitación idónea, actualización de conocimientos, y compromiso de buenas prácticas para el desempeño de tareas de ciberseguridad.

También, velará por el cumplimiento de la normativa de certificación y del Código de Conducta Ético-Profesional, así como de la aplicación del régimen disciplinario que contemplan. Además, se encargará de la concesión de la Certificación de Ciberseguridad (CSS), un sello de calidad que acredita la competencia de una persona u organización (organismo oficial, empresa o centro educativo) para desempeñar este tipo de labores.

La creación de las Certificaciones de Ciberseguridad del ICFS de la UAM supone un acontecimiento sin precedentes en este campo no sólo en España sino en Europa, ya que son las primeras surgidas de una institución pública española.

El próximo 14 de mayo tendrá lugar el acto de inauguración oficial de la Agencia en el salón de actos de la Facultad de Psicología de la UAM con la presencia del Rector de la UAM, D. José María Sanz, del Secretario de Estado de Seguridad, D. Ignacio Ulloa, y del Presidente del Consejo Social, D. Manuel Pizarro. Además, presentarán el proyecto los Directores de la Agencia de Certificaciones de Ciberseguridad D. Ricardo Vea de S21sec y D. Álvaro Ortigosa de la Escuela Politécnica Superior de la UAM.

Más información sobre la Agencia de Certificaciones en Ciberseguridad en http://acc.icfs.uam.es/. ]]> NOTICIAS LUK http://foro.hackhispano.com/showthread.php?t=41425 El Fraude Online tiene un Modelo de Negocio Sostenible http://foro.hackhispano.com/showthread.php?t=41413&goto=newpost Tue, 08 May 2012 10:07:28 GMT Hace poco tras una conferencia me hicieron una pregunta que a mí también me asaltó en el pasado, cuando aún era menos consciente de cómo funcionan las cosas en las empresas:

"¿Por qué muchas empresas no arreglan los fallos de seguridad?"

Al principio me asaltó un poco del sentido común pasado en el que compartía esa confusión inexplicable con el inquisitor, y que me llevaba a no comprender cómo un SQLi podía perdurar 2 años en una web de la ONU sin solucionar, pero lo cierto es que tras años de ver muchas empresas, de hablar con muchos CEO, CIO, CSOs, - y de verlos rotar en las empresas - la respuesta a esa pregunta me salió fluida, desde el interior, con una tranquilidad que incluso a mí me sorprendió:

"Porque es lo más rentable."

Aunque pueda sonar extraño a priori, los especialistas en SGSI y los directivos saben que, las empresas como ente, premian a los individuos más rentables de la organización, y si alguien es un problema para obtener esa rentabilidad, la organización lo fagocitará para escupirlo a posteriori fuera de su estructura. Y si no sólo hay que ver la salida de Steve Jobs de Apple en 1985.

Rentabilidad económica es la base del sistema capitalista, éste que hemos montado, y es la que hace que sólo los modelos sostenibles sobre esa premisa perduren - con raras excepciones empujadas con el esfuerzo de individuos o pequeños colectivos; no crean que caí en la desesperanza -. Y por supuesto, en todas las facetas de la seguridad informática, a una escala macroeconómica, acaba por ser la Piedra Rosetta de todo hecho.

En el mundo del malware, lejos han quedado los esquemas en los que se creaba por notoriedad o ego como Elk Cloner, por mero arte conceptual como LoseLose o por simple diversión maligna, aglutinando hoy en día porcentajes de mercado dentro de este negocio inferiores a nada. No son modelos sostenibles, no son rentables económicamente, no son perdurables en esta sociedad.

Por otro lado, esquemas como el del robo de dinero de cuentas bancarias tiene tal éxito, que con el número de ofertas de muleros que se emiten diariamente por medio de campañas de Spam se podría acabar con el paro de mundial... y hasta con el de España. Las mafias hacen su dinero y campan en tiendas online, como iTunes o Amazon, donde los robos van desde lo más profesional a lo más amateur, comprando sus propios discos con tarjetas robadas.

En el mundo del malware, botnets como la de los elegantes Mac OS X infectados con FlashBlack Trojan arrojan cálculos en los que se estima que han podido haber generado hasta 10.000 USD diarios sólo con el robo de clics en la publicidad en Internet. Tras una campaña de más de seis meses, la cantidad de dinero que se puede generar justifica la rentabilidad económica de otras especialidades. Es un negocio en auge.

Con la cantidad de dinero que genera el malware, aparecen los trabajos especializados como la de los creadores de kits de exploits profesionales, al estilo de Black Hole o Eleonore II, el hackeo de miles y miles de servidores con WordPress - siento poner a este de ejemplo por haber sido el último masacrado - o páginas webs con vulnerabilidades SQLi que llevan a grandes empresas como la propia Apple y webs legítimas a ser parte cómplice en la distribución del malware.

También justifican la creación de un modelo de partners, en el cual los miembros cobran dinero por cada instalación que se realiza el malware, ya sea un rogue AV, un bot al uso o un simple crapware o adware que se encargue de generar dinero con publicidad, robo de clics o venta de placebos ilusorios en forma de falsas vacunas para virus inexistentes.

Es un negocio rentable, y crea un modelo sostenible en esta sociedad capitalista, que lleva años instaurado en el mundo de Windows, y desde hace poco en otros jardines de flores, como en Mac OS X o Android, pero que mientras genere dinero, los entes llamados empresas - ya sean legítimas o criminales - seguirán premiando a los individuos que más las hagan conseguir su objetivo de lucro.

Saludos Malignos! @ http://www.elladodelmal.com/2012/05/...modelo-de.html

PD: De todo esto y mucho más, con mucho más detalles técnicos, organizativos y ejemplos reales, Mikel Gastesi y Daniel Creus, expertos en e-crime, hablan en su libro Fraude Online: Abierto 24 horas. ]]> NOTICIAS LUK http://foro.hackhispano.com/showthread.php?t=41413