AutorMargarita Gil

Inicio/Artículos Publicados por Margarita Gil (Page 2)

La histórica sentencia que ganó Microsoft para no tener que entregar tus datos privados a las autoridades

Un tribunal de apelaciones en Estados Unidos determinó que las autoridades nacionales no pueden forzar al gigante de la informática Microsoft a entregarles información contenida en servidores alojados en otros países.

La decisión sienta un precedente histórico en materia de protección de la privacidad para servicios de computación en la nube.

“Deja claro que el gobierno de Estados Unidos no puede utilizar órdenesjudiciales en forma unilateral para llegar a otros países y obtener los correos electrónicos que pertenecen a personas de otras nacionalidades“, le dijo a la BBC Brad Smith, presidente y jefe legal de la compañía.

“Le dice a la gente que puede, de verdad, confiar en la tecnología, cuando optan por mover su información a la nube”, añadió.

Derechos digitales

El caso llegó a los tribunales después de que Microsoft se negara a otorgarle acceso al Departamento de Justicia a un servidor en Irlanda, como parte de una investigación en un expediente relacionado con drogas. Un tribunal en Manhattan le dio luz verde al Departamento de Justicia en 2014. Pero la corte de apelaciones deshizo esa decisión.

Le dice a la gente que puede, de verdad, confiar en la tecnología, cuando optan por mover su información a la nube” – Brad Smith, portavoz de Microsoft

El Departamento de Justicia rechazó el fallo e indicó que estaba evaluando el siguiente paso.

Si resuelve apelar, el caso caería en manos de la Corte Suprema de Justicia.

Varias empresas, como Amazon, Apple y Cisco, respaldaron a Microsoft en el caso.

Otra de las organizaciones que estuvo de su lado fue el Open Rigths Group, una ONG en Reino Unido que defiende los derechos digitales.

“La decisión del tribunal estadounidense mantiene el derecho a la privacidad individual frente la intrusión del Estado estadounidense en la libertad personal”, declaró el director legal del grupo, Myles Jackman.

“La decisión del tribunal estadounidense mantiene el derecho a la privacidad individual frente la intrusión del Estado estadounidense en la libertad personal” Myles Jackman, Open Rights Group

“En consecuencia, los organismos de seguridad de Estados Unidos deben respetar el derecho a la privacidad digital de los ciudadanos europeos y la protección de sus datos personales“.

“Los Estados no deberían ir más allá de sus fronteras simplemente porque creen que, al hacerlo, pueden amedrentar a las compañías”, añadió.

Juego abierto a todos

Microsoft había advertido que permitir que se ejecutara la orden de judicial desataría un “juego abierto”, en el que otros países podían tratar de implementar órdenes similares para acceder a servidores ubicados en Estados Unidos.

Haciéndose eco de preocupaciones ampliamente extendidas en la industria tecnológica, la empresa sostuvo que, simplemente, las leyes estaban demasiado desactualizadas como para resultar efectivas.

Satya Nadella en una aparición pública en San FranciscoEl jefe de Microsoft, Satya Nadella, ha hecho de la computación en la nube y su seguridad el gran foco de la compañía.

La protección de la privacidad y las necesidades de las autoridades a cargo de hacer cumplir la ley requieren de nuevas soluciones que reflejen el mundo que existe hoy, en vez de tecnologías que existían hace tres décadas, cuando se aprobaron las leyes que están vigentes”, señaló la empresa.

Entre los organismos a cargo de velar por la seguridad, el orden y la legalidad hay una preocupación importante acerca de la posibilidad de que el almacenamiento en la red, junto a la encriptación, esté ofreciendo un espacio en el que los criminales pueden actuar a sus anchas.

Los límites de la cooperación

La juez Susan Carney, a cargo del expediente, falló en contra del Departamento de Justicia sobre la base de que la Ley de Comunicaciones Almacenadas (SAC, por sus siglas en inglés) de 1986 limitaba el alcance de las órdenes judiciales aplicables fuera de Estados Unidos.

La juez señaló que esas restricciones son vitales para mantener buenas relaciones con otros países.

Aun más, dijo que hay mecanismos para la cooperación entre naciones el curso de las investigaciones, aunque las autoridades con frecuencia se quejan de que tomar ese camino es más costoso y consume más tiempo.

Una persona usando una computadora
A las autoridades les preocupa que la nube le proporcione un “espacio seguro” a los criminales para operar.

“Ir a tribunales para pedir una orden bajo la SCA normalmente es más rápido que recurrir a los canales internacionales de resolución”, dijo Daniel Stoller, editor legal senior de la firma Bloomberg Law Privacy & Security News.

Stoller señaló que la sentencia original de 2014 interpretó la SCA de manera que favoreciera la visión del Departamento de Justicia. Pero la apelación le dio prioridad a la legislación internacional.

Otro juez involucrado en el juicio, Gerard Lynch, afirmó que la ley de 1986 necesitaba una actualización urgentemente.

“Estoy de acuerdo con el resultado”, escribió.

“Pero no creo de ninguna manera que el resultado debe ser tomado como algo que se convertirá en política racional, ni mucho menos celebrado como un hito en materia de protección de la privacidad“.

Fuente: BBC

Ethical Hacking Consultores en “El InkaHack 2016 – Cusco, Perú”

gonzalo

Tuvimos el agrado de participar en el Evento InkaHack 2016 el cual se llevo a cabo los días 08 y 09 de Julio en la Ciudad de Cusco de Perú. Nuestro delegado especial fue Gonzalo Nina; Especialista en Seguridad Informática y miembro de la familia de EHC.

Gonzalo fue aclamado durante el evento al ganar el Primer Lugar del CTF de Null-life, un reconocido grupo de seguridad en Latinoamérica.

Gonzalo Nina, tuvo el honor de dictar una charla durante el evento la cual se llamo “Pentesting” let the game begin”.

Acá les dejamos un pequeño resumen del contenido de la charla:

Muchos tipos de empresas necesitan realizar una evaluación de seguridad técnica (pentesting), esta charla esta enfocada en los pasos que se realizan así como el uso de técnicas y herramientas para cumplir con el objetivo. Así también se enfocó en presentar una herramienta para realizar ciertas tareas relacionadas al pentesting como la extracción de metadatos de una web y el de scanning de puertos de una IP, estas tareas mediante un bot de telegram que pronto estará disponible.

 

ponentes

Ponentes del InkaHack 2016 (Gonzalo Nina: Segundo de Izq. a Derecha)

palestra

Palestra del InkaHack 2016

Ataques web DDoS “Slow HTTP” mediante SlowHTTPTest

Los ataques “Slow HTTP” en aplicaciones web se basan en que el protocolo HTTP, por diseño, requiere que las peticiones que le llegan sean completas antes de que puedan ser procesadas. Si una petición HTTP no es completa o si el ratio de transferencia es muy bajo el servidor mantiene sus recursos ocupados esperando a que lleguen el resto de datos. Si el servidor mantiene muchos recursos en uso podría producirse una denegación de servicio (DoS).

Estos tipos de ataque son fáciles de ejecutar debido a que una sola máquina es capaz de establecer miles de conexiones a un servidor y generar miles de peticiones HTTP sin terminar en un período muy corto de tiempo utilizando un ancho de banda mínimo.

Podemos dividirlos en cuatro tipos distintos según la técnica utilizada y lo bueno es que desde hace años podemos probarlos todos mediante la herramienta Open-Source SlowHTTPTest que podemos instalar fácilmente en nuestro Kali Linux y también en otras distros de Linux, OSX y en Windows con Cygwin. Además se puede descargar desde el repositorio de Github.

apt-get install slowhttptest

Veamos entonces estos cuatro tipos de técnicas/ataques y un ejemplo del uso de SlowHTTPTest para probarlos:

  • Slow Headers (Slowloris): consiste en enviar las cabeceras HTTP incompletas (sin el CRLF final que indica el final del header) de tal forma que el servidor no considera las sesiones establecidas y las deja abiertas afectando al número de conexiones máximas configuradas o maxclients.
  • Slow HTTP Post body (R-U-Dead-Yet): se envían peticiones POST con la cabecera HTTP completa e incluyendo un “Content-Length” con el tamaño en bytes del POST DATA a enviar. Luego se envían menos bytes que los indicados haciendo al servidor esperar sin rechazar la conexión.
  • Basado en Range (Apache killer): se crean numerosas peticiones superponiendo rangos de bytes en la cabecera (HTTP ranges) agotando los recursos de memoria y CPU del servidor.
  • Slow Read: en este caso se envían peticiones HTTP legítimas pero se ralentiza el proceso de lectura de la respuesta retrasando el envío de ACK (HTTP es TCP).

Fuente: Segu Info

De esta manera culmina el “Certified Professional Pentester 2016”

Todo el Equipo de EHC le da las gracias a las personas que asistieron a nuestra certificación, la cual tuvo lugar en el Hotel Sortis de la Ciudad de Panamá durante los días 23, 24 y 25 de Junio del presente año.

Los expositores encargados de darle vida a dicha certificación fueron:

  • Alvaro Andrade, Especialista en Seguridad Informática y CEO de EHC Global Group
  • Cristhian Lima, Certified Professional Pentester y Auditor de Seguridad en EHC Global Group

La certificación fue bastante amena con muchas demostraciones y laboratorios en vivo que brindaron mayor énfasis en la parte práctica del curso apoyando a los cursantes en la áreas que más les interesaba, quienes expresaron sus comentarios de agradecimiento al final del programa.

Nuestro agradecimiento a las instituciones que nos visitaron desde México, Puerto Rico y Panamá, entidades gubernamentales, bancarias y privadas que apoyaron esta certificación con su participación.

Acá les dejamos un recuento de lo que fue la certificación, la cual supero nuestras expectativas.

Muy pronto tendrán noticias de nuestra próxima certificación.

CPP CUADRO FOTO 2 CPPFOTO 3 CPP

La compañía Acer sufrió el robo de 34.500 números de tarjetas de crédito de sus usuarios

En los primeros años en los que se internet se estaba popularizando entre los usuarios y los sistemas de seguridad no eran tan fiables como los actuales, con navegar un poco por internet encontrabas un gran número de aplicaciones que nos permitían generar números de tarjetas de crédito, para poder así acceder a los servicios que requerían una suscripción de pago, modelo de suscripción que cayó por su propio peso aunque en los últimos años parece que está volviendo nuevamente a estar de moda, sobre todo en los medios de comunicación, donde los periódicos tradicionales están cambiado la forma de acceder a su información.

Personalmente nunca me atreví a intentar probar si funcionaban o no, y después de la película Juegos de Guerra nunca se sabía… A lo que voy es que las tarjetas de crédito están a la orden del día y es uno de los tesoros más preciados por todos los amigos de lo ajeno. La compañía Acer ha anunciado que ha sufrido un ataque informático en el que los hackers han conseguido acceder a la información más importante que la compañía tiene de sus clientes: las tarjetas de crédito. Pero para hacerlo realmente mal, la compañía almacenada en la misma base de datos el vencimiento y los dígitos de seguridad que se muestran en la parte trasera. Tengo entendido que esa información no la pueden almacenar las empresas, pero eso es otro tema.

Al parecer los datos sustraídos afectan a los usuarios de Estados Unidos, Canadá y Puerto Rico, usuarios que hayan realizado alguna operación de económica con la compañía entre el 12 de mayo de 2015 y el 28 de abril de 2016. El número total de afectados supera los 34.500 y la compañía se está poniendo en contacto personalmente con todos ellos para que anulen las tarjetas lo más pronto posible. De momento no se sabe nada acerca de este ataque, tan solo que la compañía ha informado casi dos meses tarde desde que sucedió el ataque, algo que no verán con buenos ojos los clientes de la compañía.

Fuenteactualidad gadget