La NASA vendió PCs sin borrado seguro de datos sensibles

La NASA reveló que 10 computadoras usadas en el programa de transbordadores se vendieron al público sin haber borrado en forma segura los datos sensibles.

Una otra computadora que fue confiscada antes que fuera vendida, contenía información relacionada a tecnología del programa de transbordadores, que está sujeta a control de exportación por Regulaciones Internacionales de Tráfico de Armas.

Además, computadoras que se preparaban para la venta fueron encontradas en el Centro Espacial Kennedy en su depósito de desechos conteniendo información de Protocolos de Internet de la NASA, la cual según dijeron los investigadores podría proporcionar a los hackers detalles necesarios para explotar las vulnerabilidades de la red de la NASA.

La NASA estaba vendiendo las computadoras al prepararse para retirar el programa de transbordadores después de 38 años con el lanzamiento del transbordador espacial progrmado para Junio 2011.

En una revisión interna, la agencia espacial encontró que los Centros Espaciales Kennedy y Johnson y el Centro de Investigación Ames utilizan software para borrado seguro (wipe) del equipamiento antes de disponer de ellos. El Centro de investigación Langley no requiere esta tecnología debido a que remueve los discos duros (hard drives) en forma previa a su disposición final. Aunque el centro Kenedy era el único que tenía un procedimiento de prueba implementado para verificar que los discos fueron realmente sometidos al proceso de borrado seguro (wiped) tal como los requieren las políticas de la NASA.

No obstante se identificaron debilidades en los cuatro centros sobre políticas de "sanitización".

Por ejemplo, Kennedy, Johnson y Ames utilizaban software de borrado seguro no aprobado, Langley no registraba o dejaba pista sobre los discos duros removidos, y en Kennedy no se notificaba a los administradores cuando la prueba de verificación de sanitización de las computadoras fallaba.

Se encontraron fallas en el proceso de verificación del centro Kennedy que resultó en la venta (y casi venta) de computadoras que contenían todavía datos sensibles.

"Esto ocurre porque los administradores de la NASA no supervisan adecuadamente el proceso de sanitización y disposición," dijo en su informe el inspector general de la oficina de la agencia espacial, el informe se denomina 'Preparación para el retiro del programa espacial de transbordadores: Una revisión de la disposición de equipos de tecnología de información de la NASA'

"Las políticas de sanitización de la NASA están incompletos y el personal responsable no sigue consistentemente las políticas aplicables o no eran conscientes de ellas"

Los investigadores independientes recomendaron al CIO (Chief Information Officer) de la NASA llevar a cabo futuras revisiones, tomar acciones correctivas y seguir la mejores prácticas.

Traducción por: frauditor
Fuente: www.networkworld.com

Hacking de ATMs

Barnaby Jack en el Black Hat 2010 hizo una demostración de como insertar código no autorizado en un cajero automático (ATM) y luego sacar el efectivo del mismo.


Fuente: http://www.youtube.com/user/SecurityWeek

Entrevista a Barnaby Jack respondiendo a preguntas sobre cómo atacó el ATM.

Fuente: http://www.youtube.com/user/SCMagazineUS

Ahora "Infectan todos los cajeros automáticos de la ciudad":
"...los delincuentes infectaban directamente el cajero automático, y no solo uno, sino todos los de la ciudad rusa de Yakutsk, de 250.000 habitantes aproximadamente. Esta banda estaba bien organizada y cada componente de la misma conocía bien su función. Según informaron las autoridades rusas mientras uno de los componentes de la banda conseguía el acceso a los caeros automáticos, otro se encargaba de infectarlos mientras que el tercero se encargaba de recoger el dinero. También se identificó una cuarta persona que sería la que programó el código malicioso por encargo."
Fuente: http://blogs.protegerse.com/laboratorio

CURSO IDEA 8

CURSO IDEA 8

Buenos Aires - Argentina

(Curso de 8 horas)

Objetivo: El participante aplicará los conceptos, componentes y estructura del software IDEA, así como la definición de sus funciones para poder aplicarlos en condiciones reales dentro de su organización.

Dirigido a: Contadores Públicos, Auditores de Sistemas, profesionales encargados de realizar actividades de control posterior, y otros profesionales que utilizan el análisis de datos para el desarrollo de su trabajo.

Tipo de curso: In Company

Es un curso de aplicación práctica de las funcionalidades del software.

Nivel: Introductorio - Intermedio

Precio y Duración:

Precio Consultar a

El precio incluye: Tutorial Interactivo, Texto, Presentaciones y Material adicional en formato digital.

- Curso 8 horas

Fechas disponibles: Del 20/12/2010 al 30/12/2010

CONTENIDO DEL CURSO

PLANIFICACIÓN DE LA DESCARGA DE DATOS

OBTENCIÓN DE DATOS

• Definir la carpeta de trabajo
• Importación de Datos a IDEA
• Navegar a través de la Base de Datos

CRITERIOS DE BÚSQUEDA / EXTRACCIÓN

• Editor de ecuaciones
• Operadores y Funciones
• Extracciones Top, Clave, Directa

RESUMIR DATOS

• Sumarización
• Estratificación Numérica y por Fecha
• Antigüedad de Fechas
• Tablas Pivot

ORDENAMIENTO Y DUPLICADOS

• Índices: ordenamiento de registros
• Detección de claves duplicadas
• Detección de Omisiones

CAMPOS Y FUNCIONES AVANZADAS

• Manejo de campos virtuales
• Funciones condicionales
• Funciones fecha/hora – conversiones

CRUCE DE DATOS

• Totales de Control
• Agregar, unir
• Conector Visual
• Campos de Acción
• Comparar BD
• Días Feriados y Vacaciones

ESTADÍSTICA Y MUESTREO

• Estadísticas de Campos
• Muestreo por Atributos
• Selección de muestra: Aleatorio, Sistemático

LA LEY DE BENFORD Y DETECCIÓN DE FRAUDES

• Aspectos Teóricos
• Análisis Digital
• Interpretación de Resultados

EXPORTACIÓN DATOS Y REPORTES

• Exportar datos
• Reportes
• Gráficos
• Impresión
• Revisión del Historial

PRÁCTICAS DE APLICACIÓN:

• Asientos de Diario
• Logs de Auditoria
• Transacciones de Caja
• Tamaño y Selección de la Muestra