Azlan D-Link Academy

sábado, 30 de enero de 2010 · 0 comentarios

Hemos estado en la Azlan D-Link Academy, celebrada en Microsoft Ibérica en Madrid e impartida por Informática 64.

Pocos asistentes, lo que me obliga a caer en un tópico: Se nota la crisis. Üna penam ya que siempre se aprende mucho de los compañeros de curso.

Aún así hemos aprendido mucho sobre redes y sobre los productos de D-Link: Diseño de Rdes, Switching, Tenconologçia Wi-Fi y Videovigilancia Ip han sido los temas desarrollados.

Pronto hablaré más sobre ello.

Identificación en los pagos con tarjeta

miércoles, 20 de enero de 2010 · 0 comentarios

Un buen artículo sobre la identificación en el pago con tarjeta en Security By Default que copio a continuación:

--------------------------------------------------------

Si digo que el fraude con tarjetas de crédito está a la orden del día, no creo que le cuente a alguien nada nuevo. Sin embargo, muchas veces nos resulta molesto cierto tipo de medidas que se toman para evitar que den lugar a efectos colaterales. Existe la creencia popular de que las únicas personas con autoridad para pedirnos nuestra identificación son los miembros de los Cuerpos y Fuerzas de Seguridad del Estado. Esto es 100% cierto; sin embargo, cuando queremos efectuar un pago con tarjeta físicamente, se nos exige una identificación mediante un documento oficial (en general, sólo es válido el DNI) argumentando que es por nuestra propia seguridad (en realidad si un pago se realiza en un establecimiento y el dueño de la tarjeta denuncia el mismo, quien asume el coste es el establecimiento).

Una de las cosas que realmente sí son por mi seguridad, y que sí que me debería preocupar, es el saber qué hace el camarero con mi tarjeta cuando desaparece y vuelve con un papelito enrrollado para que lo firme. Es decir, el DNI me lo pides para cubrirte tú, pero, ¿quién me cubre a mí que no clonas mi tarjeta cuando la pierdo de vista? Quizá la medida de las tarjetas con chip EMV que obligan al camarero a traer un lector especial que requieran un PIN para poder efectuar el pago solucionen el problema en algunas ocasiones, pero mientras siga siendo híbrida (teniendo banda magnética y chip) de poco valdrá. Esto lo comprobé esta semana en una conocida cadena de restaurantes de comida rápida: el camarero (que apenas entendía español) pidió mi DNI, hizo como que comprobaba que coincidían los nombres de ambos plásticos, se llevó la tarjeta y la pasó por el lector (esta vez se veía más o menos desde mi posición), me trajo el recibo a firmar, yo lo firmé con una firma que era la primera vez que hacía, no comprobó que la firma coincidía ni con la de la tarjeta (que no la tengo firmada) ni con la del DNI y se fue más que contento.

Entonces ¿Cuánto hay de cierto en la obligación de presentar el DNI? He buscado en google un contrato de solicitud de tarjeta de crédito (por ejemplo éste). Buscando en las condiciones que uno mismo firma en el contrato se indica claramente:

5.1 - El usuario deberá firmar la Tarjeta en el espacio destinado a tal fin, tan pronto como la reciba así como acreditar su identidad cuando sea requerido para ello por el tercero ante quien pretenda hacer uso de la Tarjeta mediante exhibición del Documento Nacional de Identidad, cuando así se solicite, o mediante otros sistemas de identificación o claves que previamente le haya notificado Iberia Cards.


Parece claro entonces que cuando queramos realizar un pago con tarjeta, si nos piden que nos identifiquemos, hemos aceptado y firmado en un contrato de solicitud que lo haremos.

Pero, ¿qué sucede con las compras online? Nadie nos exige nada. Se pueden hacer cargos a una tarjeta de crédito robada desde Internet de una forma libre, de manera que nuestro único amparo sea la ley (y los seguros anti-fraude de las entidades de las tarjetas de crédito), siempre y cuando el fraude se cometa desde un país con relativos medios.

Cuando la compra online involucra unos billetes de avión o la reserva de un hotel por ejemplo, se nos exige además que introduzcamos la fecha de caducidad y el código CVV de la tarjeta. Si alguien comprometiera el servidor de transacciones de la tienda online, se contaría con el conjunto de datos completo para llevar a cabo cuantas compras se deseen (o al menos cargos indebidos).

Pongamos un ejemplo práctico de NO autenticación en servicios online y SÍ en compras físicas. Como tantos viernes, se nos ocurre a Yago y a mí quedar para ir al cine. Al llegar a la taquilla, y pagar con tarjeta, se nos exigirá presentar el DNI del titular. ¿Qué potestad tiene la alegre taquillera para exigirme la identificación? En cambio, si Yago o yo fuéramos previsores y las compráramos/reserváramos a través de Internet, llegaríamos con toda tranquilidad al cajero automático de reservas que está a la vuelta de la taquilla y, al insertar la misma, las entradas se imprimirán sin necesidad de identificaciones previas. En ninguno de los dos casos hemos cometido fraude, sino que hemos realizado una compra usando nuestra tarjeta, en un caso siendo requerida una autenticación con un documento oficial, y en el otro caso, simplemente la posesión de la tarjeta (que podía haber sido robada y no denunciada perfectamente).

Supongo que la integración de una identificación electrónica (en España el DNI-E) aún no ha calado lo suficiente en el comercio, y sus capacidades y usos actuales están aún muy verdes de implementar. La utilización de este tipo de autenticación podría llevar asociada un mecanismo de pago a una cuenta bancaria que realmente permita asegurar que la persona que realiza la reserva, compra, o recepción de un pedido es quien dice ser (o al menos de pistas claras y no repudiables de ello). El problema es la internacionalidad de este tipo de pagos; y es que crear una PKI o una identidad digital única y válida en todo el Mundo sería demasiado complicado e inmantenible al menos para esta década. Veremos en la siguiente!

-------------------------------------------------------------------------

VirusTotal Uploader 2.0

sábado, 9 de enero de 2010 · 0 comentarios

Ya está disponible la nueva versión de la herramienta VirusTotal Uploader para subir de forma cómoda ficheros a VirusTotal.com (utilidad web de la que ya habíamos hablado aqui).

Entre las novedades, destacan, antes de enviar un archivo para que sea analizado por 41 motores, se calcula el hash y se consulta a VirusTotal por si ya existe un análisis anterior, tal y como ocurre cuando se envía de forma "tradicional" a través de la web. Permite tener un informe inmediato y ahorrar tiempo y recursos en la subida.

Otra mejora es que el programa añadirá durante la instalación un enlace directo al escritorio para que pueda ser ejecutado sin necesidad de tener que apuntar sobre un archivo. De esta forma, ahora permite listar los procesos en memoria, seleccionar cualquiera y enviar su ejecutable asociado a VirusTotal. Así, es posible analizar el binario asociado a un proceso en memoria sin necesidad de conocer su ubicación exacta en el sistema.

Además, ahora soporta la introducción de URLs directamente. Se indica una dirección que apunte a un fichero, realiza la descarga, y se analiza con VirusTotal. Permite eludir el paso intermedio de descarga en disco duro. A su vez VirusTotal Uploader es configurable en este aspecto: se puede elegir si el fichero es efectivamente descargado en el disco duro, en qué directorio, o incluso, si se prefiere mantener en memoria, de forma que en ningún momento se aloje en el sistema. Esto permite usar la herramienta como una especie de gestor de descargas seguro. Por defecto la descarga y subida se hace sin escribir el fichero en disco, para evitar "interferencias" con el antivirus residente que se pueda tener instalado.

Otra mejora es que permite seleccionar y subir cinco ficheros de hasta 20 MBs cada uno.

Fuente: ElHacker.net

 

Copyright © 2011 Mixx Blogger Template - Blogger Templates by BloggerReflex

Sponsored by: Trucks | SUV | Cheap Concert Tickets