international institute of cyber security

En la BMV, desprotegidas las firmas ante ciberataques

Posted on

los hackers consiguen hasta US600,000 millones al año por invasiones, según especialistas en el tema de ciberseguridad. Desprotegidas y sensibles ante un ataque cibernético. Así se encuentran las emisoras de la Bolsa Mexicana de Valores (BMV). Especialistas coincidieron en que un ataque a sus computadoras, redes e información podría mermar notablemente sus operaciones y afectar sus finanzas. Sin embargo, no se protegen adecuadamente.

Expertos en ataques cibernéticos coincidieron en que las empresas en general y en específico las que cotizan en Bolsa destinan bajo presupuesto a su protección cibernética.

Los sectores que más ataques cibernéticos reciben son el financiero y de comercio electrónico.

Datos del International Institute of Cyber Security indican que en el 2016 cerca de 78% de las empresas en México han sido blanco de un ataque por medio de Internet.

cyber

A pesar de que ha ido en incremento el presupuesto para dicha área, firmas que cotizan en la BMV destinan solamente entre 5 y 8% de su presupuesto a ciberseguridad, porcentaje menor al de las empresas que cotizan en Nasdaq, que destinan entre 7 y 11% de su presupuesto para protegerse de ciberataques.

Dicha institución recomienda a una empresa en Bolsa una inversión anual contra ataques cibernéticos de entre 700,000 a 30 millones de dólares.

Compromiso bajo “El nivel de compromiso para implementar ciberseguridad es bajo ya que sólo 45% de las empresas tiene una estrategia robusta de ciberseguridad y sólo 40% realiza evaluaciones regulares de ciberseguridad”, aseguró German Ruiz, consultor de Seguridad Cibernética-Ethical Hacking en International Institute of Cyber Security.

Marco DeMello, CEO de PSafe, aplicación de defensa contra ataques cibernéticos para teléfonos celulares, dijo que “todavía no están protegidas suficientemente las empresas contra un ciberataque. Son muy vulnerables. Y es que muy pocas empresas que son invadidas lo reportan, entonces no hay una legislación en América Latina para que las empresas que son comprometidas lo reporten al gobierno, no hay obligación legal, más que en Estados Unidos”.

Ruiz agregó que una empresa del tamaño de las que cotizan en Bolsa o internacionales recibe anualmente entre 2 a 10 millones de ataques cibernéticos, de los cuales, entre 2 y 5% son consumados.

Pérdidas millonarias

Sin embargo, a pesar de que el porcentaje es bajo, las pérdidas son cuantiosas a nivel mundial.

“El mercado de ataques cibernéticos en el mundo asciende a 600,000 millones de dólares, aunque dependen del tamaño de la empresa y tipo de negocio.

El costo por la reparación de daños es de entre 10,000 a 50,000 dólares para las pequeñas empresas y entre 50,000 a 150 millones de dólares, para las grandes”, consideró el consultor de Seguridad Cibernética.

 

Advertisements

Sin anzuelo. Policía cibernética no puede cazar bajacalzones

Posted on

En la CDMX hay más de 3 mil denuncias por ciberdelitos como acoso y pornografía, pero las autoridades no tienen la facultad para cerrar sitios que suben materiales, como lo comprobó un colaborador de EL UNIVERSAL al iniciar una denuncia.
shark2-02_32509813

La Policía de Ciberdelincuencia Preventiva de la Ciudad de México, creada para vigilar y castigar los delitos cometidos en la red, no tiene la capacidad de cerrar sitios en internet que contengan videos tomados por debajo de las faldas de mujeres en lugares públicos sin su consentimiento, o que registren el momento en el que se les agrede al bajar su ropa interior al ir caminando por la calle, como sucedió con la periodista Andrea Noel en marzo pasado.

Esta es la respuesta que da a EL UNIVERSAL la institución que depende de la Secretaría de Seguridad Pública capitalina, en seguimiento a la nota publicada por este diario el pasado 30 de mayo, advirtiendo sobre la proliferación de clubes bajacalzones en la CDMX.

Francisco González, encargado de la Unidad de Denuncias de la Policía Cibernética de la CDMX, dice a este diario que la dependencia está imposibilitada para actuar contra sitios que contengan sharking (ataque tiburón: bajar la ropa interior de las mujeres) o upskirt (grabar por debajo de sus faldas sin su consentimiento).

“Lo que hacemos es que, luego de recibir material y recopilar denuncias, les enviamos un correo (si aparece en el sitio web) con la información que juntamos para recomendarles que eliminen dicho material”, dice González.

Explica que además debe existir un número vasto de denuncias para que proceda la recomendación, y que en caso de ser testigo de uno de estos abusos, se acuda a un Ministerio Público a presentar una denuncia.

“Necesitamos que sean varias denuncias para que tengan peso y se pueda hacer algo. Como tal, nosotros no podemos cerrar un sitio, pero sí hacer la recomendación. Además, este sitio tiene que tener antecedentes”, dijo.

Según datos de la propia dependencia, hasta este año se han recibido más de 3 mil denuncias, en su mayoría por acoso, fraudes, pornografía infantil, robo de información, venta de armas, drogas y animales exóticos. Sin embargo, ni una sola por sitios voyeur.

Octavio Campos Ortiz, ex titular de Comunicación Social de la Secretaría de Seguridad Pública de la CDMX, confirmó a EL UNIVERSAL que “no existen denuncias por este tema específico [sharking]”.

Como se publicó el 30 de mayo, los clubes bajacalzones, es decir, de personas que se dedican a abusar de mujeres en las calles para levantar sus faldas y bajar sus calzoncillos para luego subir el video a sitios pornográficos en internet, están al alza.

Una de las víctimas más notorias es la periodista estadounidense Andrea Noel, quien en entrevista confirmó la posibilidad de que el video de su ataque circule en sitios pornográficos.

En foros públicos como VoyeurAzteca se comparten fotografías y videos tomados por debajo de la falda de niñas y mujeres usuarias del Metro de la Ciudad de México, en vestidores, baños y avenidas, sin su consentimiento.

Quien escribe este reportaje intentó levantar una denuncia en contra de este sitio web y de otros que fueron detectados con cientos de materiales de este tipo.

La denuncia: ¿misión imposible?

El gobierno mexicano creó una unidad especializada en delitos cibernéticos en octubre de 2015, pero sólo sirve como “orientación”, según declaraciones de funcionarios de dicha dependencia luego de dos llamadas de este diario para levantar una denuncia.

La querella se inicia con una llamada al número (55) 5242-5068, perteneciente a la Policía Cibernética de la Ciudad de México. Se pidió levantar una denuncia contra el sitio denominado voyeurazteca.com por contenido ilegal, como grabaciones sin consentimiento de mujeres por debajo de sus faldas, además de contenidos de pornografía infantil, ambos delitos penados por la ley.

En el primer intento, el funcionario pide nombre, domicilio, edad y correo electrónico del denunciante. Luego un relato sobre la denuncia, y al final solicita enviar un mail con “la evidencia” recopilada a la direcciónpolicia.cibernetica@ssp.df.gob.mx.

Durante la segunda llamada se solicitan de igual manera los datos personales, un relato, y al final que el denunciante acuda a la oficina del Ministerio Público más próxima “con todas las evidencias” para levantar la denuncia.

“Nosotros sólo lo orientamos, no tomamos denuncias. Acuda al MP llevando toda la evidencia de esto que me está diciendo y el MP le pedirá a la Policía Cibernética que dé seguimiento”, explica el funcionario.

La denuncia en el MP se puede iniciar en línea con una solicitud de cita. Entonces me envían un correo con los requisitos y la fecha de la cita en las oficinas de la colonia Escandón. Al presentar las pruebas, que consistían en pantallazos del sitio, me enviaron al correo el folio de denuncia. El funcionario de la oficina explica que “hay una probabilidad muy amplia” de que mi denuncia “no llegue a nada”, pues se requiere de varias quejas que sustenten el delito.

“Si usted tiene más testigos, o puede traer a dos o tres personas más a que denuncien este sitio, nosotros lo pasamos a la Policía Cibernética para que procedan”, dice el agente del MP.

Pero al consultar nuevamente al encargado de la Policía Cibernética, regresamos al inicio: la dependencia no tiene poder para cerrar el sitio, sino para hacerle una recomendación.

“Lamentablemente es una zona gris, aún no hay fundamentos suficientes, pero se encuentra al responsable, al administrador de la página, y se le exhorta a eliminar ese contenido o el sitio completo”, explica el funcionario.

La otra policía: redes sociales

Juan Carlos Solís, experto en ciberseguridad y redes, asegura que en México la legislación respecto a lo que sucede en la red está atrasada. “No existe, por ejemplo, el derecho de eliminación como en Europa, donde tú tienes el derecho de pedir a una compañía que elimine contenido sobre tu persona que no hayas autorizado, y por ley lo tienen que hacer”, explica.

Solís considera que la única solución “por ahora” es la de apelar a la comunidad.

“Hay que interponer una denuncia porque es un paso muy importante, pero las compañías no son obligadas a eliminar contenido como upskirt o sharking. La opción por ahora es la de apelar a la comunidad a que comenten, a que denuncien en Facebook o Twitter, para que la página sea bloqueada o el contenido eliminado”, dice el experto.

Esa fue la única opción de la periodista Andrea Noel: volcarse a Twitter a pedir que el ataque del que fue víctima fuera compartido. Sólo así, explicó, logró atraer la atención de las autoridades en México.

“Si alguien reconoce a este imbécil, favor de identificarlo.Women should be able to walk safely. #FelizDiaDeLaMujer”, escribió Noel el 8 de marzo pasado, minutos después de haber sido víctima de sharking.

Luego de intentar con distintas autoridades, esa fue su única opción: apelar a las redes sociales, al trending, a lo viral. Aunque después sufrió las consecuencias: el acoso cibernético en su contra fue tal que tuvo que dejar el país.

La firma internacional en ciberseguridad, International Institute of Cyber Security, con oficinas en la Ciudad de México, ha estado al tanto de los casos de sharking.

David Thomas, especialista de la empresa, dijo en entrevista con EL UNIVERSAL que existen medidas personales que una víctima puede tomar en contra de este tipo de sitios.

“La víctima debe seguir cuatro o cinco pasos: primero, guardar el sitio web que contiene su imagen/video y anotar la dirección completa de la página; segundo, tomar una captura de pantalla, eso servirá como evidencia en caso de que presente una denuncia más tarde con la policía; tercero, buscar en el sitio a reportar el enlace/sección de Reportar Abuso (Report Abuse). La víctima debe presentar un informe en esa sección, adjuntando su foto e identificación válida. El segundo requisito es muy importante, ya que ayuda a las empresas a verificar su solicitud y a tomar acción inmediatamente”, explica Thomas.

El experto agrega que de no encontrar la sección Reportar Abuso, se intente comunicar con el sitio web a través de la sección Contacto y pedirles que eliminen el contenido.

Del dicho al hecho

México ocupa el tercer lugar en el mundo en delitos cibernéticos, de acuerdo con un informe de la Organización para la Cooperación y el Desarrollo Económicos (OCDE). Ante esto se creó la Policía Cibernética. Durante el anuncio oficial de dicha dependencia, el entonces titular de la Secretaría de Seguridad Pública capitalina, Jesús Rodríguez Almeida, anunció que este tipo de sitios podrían ser bloqueados.

“Este nuevo modelo podrá bloquear y cancelar todas aquellas páginas que pongan en riesgo y promuevan la comisión de algún delito”, dijo entonces el funcionario. Esto, según se explicó, debido al trabajo conjunto de la dependencia con la Unidad de Investigación Cibernética de la Procuraduría capitalina.

En 2014, a un año de instaurada la dependencia, se cerraron 15 sitios, en su mayoría fraudulentos y de pornografía infantil. En 2015, de acuerdo con el informe anual de la policía capitalina, la Unidad de Ciberdelincuencia Preventiva cerró 44 sitios por las mismas razones.

No obstante, foros como VoyeurAzteca y otros sitios pornográficos no han sido bloqueados, unos por estar fuera de México y otros por un vacío legal como estar conformados como “foros” y no como sitios pornográficos.

Además, de acuerdo con el funcionario de la Policía Cibernética, las denuncias por sharking y upskirt son difíciles de definir a la hora de saber a qué dependencia acudir.

Ambos ataques sexuales tienen dos vertientes: el físico, en elsharking sucede cuando la mujer es atacada para bajar sus calzoncillos; en el upskirt ocurre mientras un individuo graba por debajo de su falda, y el cibernético, que en ambos casos sucede cuando alguien publica videos del ataque en internet.

Para evitar ser víctima de sharking o de upskirt, expertos recomiendan asegurarse de que la configuración de privacidad en redes sociales como Facebook e Instagram esté siempre activa para evitar que los contenidos sean accesible a cualquier persona.

Ser cuidadoso en la manera en que se comparten datos personales a través de Facebook o WhatsApp; evitar revisar correo personal en cibercafés o con wifi público, y estar atento en tiendas de ropa sobre cámaras ocultas.

Fuente:http://www.eluniversal.com.mx/

Drupal Core – Vulnerability – SA-CORE-2014-006

Posted on Updated on

Drupal Core – Vulnerabilities – SA-CORE-2014-006

  • Advisory ID: DRUPAL-SA-CORE-2014-006
  • Project: Drupal core
  • Version: 6.x, 7.x
  • Date: 2014-November-19
  • Security risk: 14/25 (Moderately Critical) AC:Basic/A:None/CI:Some/II:Some/E:Theoretical/TD:Uncommon
  • Vulnerability: Multiple vulnerabilities

Description

Session hijacking (Drupal 6 and 7)

A specially crafted request can give a user access to another user’s session, allowing an attacker to hijack a random session.

This attack is known to be possible on certain Drupal 7 sites which serve both HTTP and HTTPS content (“mixed-mode”), but it is possible there are other attack vectors for both Drupal 6 and Drupal 7.

Denial of service (Drupal 7 only)

Drupal 7 includes a password hashing API to ensure that user supplied passwords are not stored in plain text.

A vulnerability in this API allows an attacker to send specially crafted requests resulting in CPU and memory exhaustion. This may lead to the site becoming unavailable or unresponsive (denial of service).

This vulnerability can be exploited by anonymous users.

 

CVE identifier(s) issued

  • A CVE identifier will be requested, and added upon issuance, in accordance
    with Drupal Security Team processes.

Versions affected

  • Drupal core 6.x versions prior to 6.34.
  • Drupal core 7.x versions prior to 7.34.

Solution

Install the latest version:

  • If you use Drupal 6.x, upgrade to Drupal core 6.34.
  • If you use Drupal 7.x, upgrade to Drupal core 7.34.

If you have configured a custom session.inc file for your Drupal 6 or Drupal 7 site you also need to make sure that it is not prone to the same session hijacking vulnerability disclosed in this security advisory.

If you have configured a custom password.inc file for your Drupal 7 site you also need to make sure that it is not prone to the same denial of service vulnerability disclosed in this security advisory. See also the similar security advisory for the Drupal 6 contributed Secure Password Hashes module: SA-CONTRIB-2014-113

 

source:https://www.drupal.org/SA-CORE-2014-006

download (11)

international institute of cyber security

Backdoors by way of Ichitaro exploit

Posted on

esearchers at Symantec have uncovered the exploits of a cyberespionage group targeting organizations in Japan.

According to a Thursday blog post by the firm, malicious emails were used to spread backdoors Emdivi, Korplug and ZXshell to victims. Instead of simply including a link to compromised websites in phishing ruses, attackers used booby-trapped Ichitaro document files to spread malware.

That attack leverages a remote code execution vulnerability, CVE-2014-7247, in the widely-used Ichitaro word processor, so that users running vulnerable versions of the software are exploited. The backdoors are all designed to “steal confidential information from the compromised computer,” Symantec said.

The cyberespionage campaign,“Operation CloudyOmega,” has been active since 2011 and its perpetrators have “communication channels with other notorious attacks groups,” like Hidden Lynx, the firm noted.  A patch for the zero-day vulnerability is now available.

curso seguridad informatica online

source:http://www.scmagazine.com/backdoors-delivered-to-japanese-orgs-by-way-of-ichitaro-exploit/article/383472/

 

International institute of cyber security

Windows 15 years old vulnerability (CVE-2014-6332)

Posted on

The IBM X-Force Research team has identified a significant data manipulation vulnerability (CVE-2014-6332) with a CVSS score of 9.3 in every version of Microsoft Windows from Windows 95 onward.

We reported this issue with a working proof-of-concept exploit back in May 2014, and today, Microsoft is patching it. It can be exploited remotely since Microsoft Internet Explorer (IE) 3.0. This complex vulnerability is a rare, “unicorn-like” bug found in code that IE relies on but doesn’t necessarily belong to. The bug can be used by an attacker for drive-by attacks to reliably run code remotely and take over the user’s machine — even sidestepping the Enhanced Protected Mode (EPM) sandbox in IE 11 as well as the highly regarded Enhanced Mitigation Experience Toolkit (EMET) anti-exploitation tool Microsoft offers for free.

What Does This Mean?

First, this means that significant vulnerabilities can go undetected for some time. In this case, the buggy code is at least 19 years old and has been remotely exploitable for the past 18 years. Looking at the original release code of Windows 95, the problem is present. With the release of IE 3.0, remote exploitation became possible because it introduced Visual Basic Script (VBScript). Other applications over the years may have used the buggy code, though the inclusion of VBScript in IE 3.0 makes it the most likely candidate for an attacker. In some respects, this vulnerability has been sitting in plain sight for a long time despite many other bugs being discovered and patched in the same Windows library (OleAut32).

Second, it indicates that there may be other bugs still to be discovered that relate more to arbitrary data manipulation than more conventional vulnerabilities such as buffer overflows and use-after-free issues. These data manipulation vulnerabilities could lead to substantial exploitation scenarios from the manipulation of data values to remote code execution. In fact, there may be multiple exploitation techniques that lead to possible remote code execution, as is the case with this particular bug. Typically, attackers use remote code execution to install malware, which may have any number of malicious actions, such as keylogging, screen-grabbing and remote access.

IBM X-Force has had product coverage with its network intrusion prevention system (IPS) since reporting this vulnerability back in May 2014, though X-Force hasn’t found any evidence of exploitation of this particular bug in the wild. I have no doubt that it would have fetched six figures on the gray market. The proof of concept IBM X-Force built uses a technique that other people have discovered, too. In fact, it was presented at this year’s

 

iicybersecurity

 

International institute of cyber securityproteccion de datos

 

Source:http://securityintelligence.com/ibm-x-force-researcher-finds-significant-vulnerability-in-microsoft-windows/#.VGOMU1fF-ZS

Enable Your Data Security with International Institute Of Cyber Security

Posted on

In 21st century Cyber Security attacks are the utmost fear to international peace & security. It is very vital to securing cyberspace. In an ideal human world, countries would work together to eradicate the cyber threat. Unfortunately, especially in its social and political and moral aspects our world is no ideal, nor it become one. Cooperation globally may be a reality one day, but unless something changes to force states into changing their behavior, there is no momentum for them to do so. The only way to achieve peace & security in reality is to learn & use active defenses against cyber attacks originating. This will not only allow victim-states to protect themselves from cyber attacks, but it should also put off violence and push countries into taking their international role & duty seriously. After all, no country wants another country using force to protect their borders, even electronically.

International Institute Of Cyber SecurityThe possibility that cyber security attacks will be met with a forceful response is the hammer that can drive some sense. Since countries avoid using active defenses, any decision to use them will be a controversial change to normal practice. Like any other proposal that changes the way countries do business, it is bound to be met with condemnation. Get best training about Information Security Course Mexico with Iicybersecurity.com .However, there is strong legal authority to use active resistance against countries that violate their duty to prevent cyber security attacks. Countries that violate this duty and refuse to revolutionize their practices should be held responsible for all attacks originating from within their borders in accordance with the law of war. At a time when cyber security attacks threaten global security and countries are struggling to find ways to improve their cyber security defenses, there is no reason to guard countries from the lawful use of active defenses by victim-states, and every reason to enhance state defenses to cyber attacks by using them.

Understanding the graffiti left behind on the defaced websites, the most active hackers are Moroccan, Algerian, Saudi Arabian, Turkish, and Palestinian, they may be physically located in other countries. An information security company claims that many hackers are politically driven. Countries recognize that if they cannot control their physical perimeters, they cannot hope to achieve effective information security.

International institute of cyber security want countries to join hands in helping future generations to learn and understand cyber security practices to fight against cyber security attacks. Iicybersecurity.com is helping information security passionate people in contributing to bring international peace & security by training people to the level above.