Cuatro mitos sobre la seguridad de Cloud Computing

cloud_security

 

Solo porque es difícil entender cómo funciona el Cloud Computing, muchos administradores se sienten paranoicos sobre cuán segura es en realidad la nube. Por eso exponemos cuatro de los mitos que más predominan sobre la seguridad en esta herramienta.

 

  1. Los entornos de la nube son más fáciles de atacar

Dos servidores idénticos comparten las mismas potenciales vulnerabilidades, ya sea que se encuentren en el Data Center privado de tu compañía o dentro de un proveedor de nube pública. El nivel de protección de datos depende menos de las máquinas y más en la postura de seguridad que adopte cada data center. Es por eso que muchas empresas almacenan sus datos más sensibles en nubes privadas que protegen y mantienen. Renegando a los de menor importancia en Datacenter CSP Públicos.

 

  1. No puedes controlar a dónde viaja tus datos en la nube

Cuando estás al mando de una multinacional, tus datos viajan a través del mundo. A menos que quieran construir tu propio datacenter en diferentes países, dependerás de CSPs para operar localmente. Aunque necesites estos proveedores, estás aún en control de donde viajen tus datos. Además, eres responsable por seguir las regulaciones de protección de datos locales.

Saber en dónde se encuentran tus datos requiere de transparencia de tu proveedor, quien debe suministrarte información acerca de cómo son protegidos cuando no son usados cómo viajan por el ciberespacio.

En vez de improvisar una red de proveedores locales, busca un CSP que opere datacenters en diferentes países. Tal proveedor entenderá las regulaciones locales, y cumplirá tus demandas de transparencia.

 

  1. ¿Es fácil espiar a otros?

Una de las características que definen el Cloud Computing es el concepto de recursos compartidos. Si visualizas a la nube como una herramienta porosa, puedes imaginar que es fácil para otro robar tus datos.

En realidad, la virtualización proporciona particiones fuertes entre los inquilinos dentro del datacenter. E incluso, aunque las máquinas virtuales compartan el mismo servidor, están completamente aisladas de las otras. A menos que compartas tu datacenter con un competidor que esté hambriento de tus secretos comerciales, es muy improbable que te conviertas en una víctima.

 

  1. Las nubes aún operan en máquinas.

La virtualización se desarrolló como un método para obtener más eficiencia y efectividad de los servidores y las máquinas virtuales todavía dependen de recursos físicos. Desafortunadamente, a menos que construyas tu propio datacenter y tus propias nubes privadas, debes confiar en alguien más para que cuide tus datos.

Cuando añades una capa extra de vulnerabilidad a la naturaleza confusa de Cloud Computing, puedes entender porque los no asociados a TI desconfían de la seguridad de la nube. Lo bueno es que, luego de desestimar algunos mitos, los beneficios de esta tecnología no deberían ser difíciles de entender.

Fuente: huffingtonpost.com

Google Quita Nombres de Dominios de los Resultados de Búsqueda Móvil.

 

Mientras Google se prepara para su mayor actualización de algoritmo móvil la próxima semana, el gigante de las búsquedas hay hecho un cambio de como los sitios aparecen en búsqueda móvil, utilizando el nombre real del sitio, en vez del nombre del dominio.

URL ConceptEn una publicación en su Blog Central de Webmaster, Google explicó que la estructura URL de los sitios aparecerá en un formato parecido a migajas de pan. El cambio esta destinado a “Ayudar a los buscadores móviles a entender mejor tu sitio cuando lo mostremos en los resultados de búsqueda movil”

Por ahora, el cambio de nombre de sitios en solo en EE.UU, mientras que Google está moviendo la estructura alrededor del mundo.

En un post describiendo la actualización del Nombre de Dominio, Andrew Allemann expresó: “este movimiento devalúa nombres de dominio y coloca más énfasis en lo que sea que alguien quiera poner como nombre del sitio. Espero que Google tenga una buena manera de prevenir que la gente burle los nombres; yo coloco mucha confianza en el resultado de búsqueda, basado en el dominio específico al que esté apuntando.”

La devaluación de los nombres de dominio también podría tener un impacto negativo en la nueva adopción de gTLD. Más de la mitad de búsquedas de Google vienen de la versión móvil y si los nombres de dominio no aparecen en los resultados de las búsquedas, ¿Tiene sentido invertir dinero en un nuevo gTLD? Estoy seguro de que es una pregunta que cualquier compañía se hará una vez que el cambio esté completo.

Por supuesto, ahora que Google se encuentra en el negocio de ofrecer nombres de dominios, esto es seguramente algo en lo cual la compañía mantendrá el ojo puesto.

El inversionista en dominios Elliot Silver expresó: “Desde mi punto de vista de usuario estoy preocupado por la seguridad al entrar en un sitio web. Al leer emails, me he entrenado a mí mismo para analizar bien la estructura del URL antes de darle clic a cualquier link para asegurarme de que no se trata de phishing o una redirección a un sitio web que no planeaba visitar. Quitar el URL podría facilitarle a ciertas personas maliciosamente cambiar el nombre de su sitio web. Confío en que Google hará lo mejor para proteger a sus usuarios, pero imagino que habrá personas esperando aprovecharse de este cambio lo más pronto posible.”

Fuente: thewhir.com

La Corte de Ontario Determina los Pasos a seguir con Datos Desconocidos de Servidores Canadienses de MegaUpload

Más de 3 años después del cierre de MegaUpload, las autoridades aún no han descifrado qué está almacenado en 32 servidores pertenecientes a MegaUpload e incautado de un datacenter Canadiense en Enero de 2012. El Lunes, una corte en Ontario escuchó argumentos sobre cuánto de los datos Canadienses SEIZED pueden ser compartidos con el Departamento de Justicia de los EE.UU .

megaupload_gel_procédure_civile_6_mois

De acuerdo a CBC, El abogado Corona, Moiz Rahman, actuando en honor de los EE.UU, recomienda traer en lo que se conoce en su país como “Clean Team” –Un grupo de investigadores forenses independientes del caso – para que vayan a través de 25 Terabytes de datos en los servidores que fueron incautados de un datacenter Equinix en Toronto. El equipo determinaría cuales archivos almacenados en los servidores serían relevantes, separándolos de la información personal.

Rahman dice que el “Clean Team” Would SKIM los materiales y presentar un índice de qué está contenido en los servidores de la corte de Ontario, lo cual entonces decidiría que será puesto en manos de los EE.UU, reporta CBC

El abogado de Megaupload, Scott Hutchison, dijo que la mayoría de los datos son archivos subidos por usuarios inocentes, dándoles acceso a los oficiales Norteamericanos a “Datos Irrelevantes.” Él sugirió que un examinador Canadiense fuse contratado para revisar el contenido. Rahman dice que el costo de la propuesta de Hutchinson será prohibitiva.

Michael Quigley ordenó a ambos partidos a hacer una comparación de costo entre el “Clean Team “de los EE.UU y el examinador Canadiense.

En 2013, un juez canadiense le preguntó a MegaUpload y a sus fiscales para refinar la orden propuesta al limitar lo que es divulgado a los que es relevante para el caso.

Los abogados de MegaUpload mantuvieron que “Existe un volumen enorme de información en los servidores y que enviando copias de imagines espejo de todas estos datos sería grandemente extenso, particularmente en luz de la escasez de evidencia conectando estos servidores a los crímenes alegados por los fiscales.

Fuente: thewhir.com

Error al Mantener Cumplimiento PCI Expone a los Comerciantes Online a Brechas de Seguridad

data-security-hacker-password-security-breach-mobile-patch-theft

Los comerciantes online están luchando con un número en aumento de brechas de seguridad. De acuerdo al Reporte de conformidad PCI realizado por Verizon en Marzo, 80 por ciento de las empresas fallan la evaluación de conformidad PCI.

El estudio examinó los datos de una evaluación PCI DSS con respecto a las Americas, Europa y APAC con industrias incluyendo servicios financieros, comercio y hospitalidad.

Con un aumento aproximado de 66 por ciento en el volumen de incidentes de seguridad desde 2009, es importante para los comerciantes online que estén atentos a los retos significantes a los que se enfrentan.

El ecommerce móvil también está creciendo muy rápido pero actualmente no sujeto a los mismos estándares PCI como el ecommerce. Los canadienses experimentaron una tasa de crecimiento en el comercio online móvil de 11 por ciento aproximadamente, mientras que en China Alipay reportó un crecimiento de 30 por ciento.

“Las soluciones móviles pueden coleccionar, almacenar y usar datos de pago en diferentes modos y ubicaciones,” Explicó el Reporte de Verizon. “Y aunque las aplicaciones de pago desarrolladas para el uso en dispositivos móviles no están actualmente sujetas a los requerimientos de PCI PA-DSS, aún necesitan cumplir con los controles de desarrollo de aplicaciones seguras en PCI DSS.

De acuerdo al reporte, “Con más de do tercios de todas las compras realizadas con tarjetas de pago y $20 trillones en transacciones de tarjeta de crédito se esperan para 2015, la seguridad se ha convertido en una prioridad para las organizaciones que aceptan tarjetas de crédito.”

Este incremento en las brechas de seguridad es evidenciada por varias casos de alto perfil en el año pasado. Grandes negocios de comercio como Home Depot, Kmart y Dairy Queen experimentaron hacks exponiendo información sensible sobre la tarjeta de crédito de los clientes.

“Otra tendencia problemática del reporte de este año es que la seguridad de los datos aún es inadecuada,” expresó Rodolphe Simonetti, director de gestión, servicios profesionales de Verizon Enterprise Solutions. “El volumen y escala de brechas de datos en los 12 años pasados son prueba de que las técnicas actuales no detienen a los atacantes. En muchos casos ni los frenan. El cumplimiento PCI DSS debe ser visto como una parte de la estrategia de seguridad comprehensiva de información y gestión de riesgos.”

“Las 3 áreas clave en las cuales las organizaciones caen fuera de cumplimiento son: sistemas de prueba regular de seguridad, mantenimiento de sistemas de seguridad y protegiendo datos almacenados,” Dijo Simonetti. “De todos las brechas de datos estimados, los resultados de Verizon claramente muestran que ninguna compañía tenía un cumplimiento complete PCI DAA al momento de la brecha.”

Los requerimientos de la última versión de PCI DSS y PA-DSS se hicieron efectivos el primero de enero de 2015.

Fuente: thewhir.com

4 Características de Hosting que Debes Aspirar a Tener

features2

Cuando estés por adquirir un servicio de Hosting Web, encontrarás que hay cientos de ellos ofreciendo las mismas características. Elegir el que más se adapte a tus necesidades podría convertirse en una difícil tarea a menos que conozcas las características que pueden diferenciar un buen proveedor de entre montón.

Los siguientes son ejemplos de las 4 características que definitivamente debes querer.

-1. Flexibilidad Avanzada – Muchos proveedores de Hosting web te dejarán subir al servidor casi cualquier cosa, pero cuando se trata de desarrollo de aplicaciones web, algunos pueden convertirse en un dolor de cabeza. Disponer de flexibilidad con los límites de memoria PHP, archivos .htaccess y otros ajustes de configuración pueden serte de gran ayuda.

 -2. Escalabilidad Fácil – Puede que existan inconvenientes en caso de que tu sitio web sobrepase su plan actual de Hosting, pero si lo hace, querrás una configuración que permite una escalabilidad fácil. Esto constantemente significa evitar dependencia en sistemas de propietarios que bloquean tus sitios en su modo actual.

-3. Herramientas Extra – Montones de hosts ofrecerán el espacio, ancho de banda, y disponibilidad que deseas, pero no todos te ofrecerán la misma opción de script      libres, herramientas SEO, y ventajas adicionales que hacen que su servicio sea especial

-4. Accesibilidad – La mayoría de los mejores proveedores de Hosting web se ganan su reconocimiento y aceptación al ofrecer un excelente servicio al cliente. Algunos usuarios incluso sacrificarían algunas características o incluso una parte significante de su dinero para un buen servicio.

Una cosa que debes buscar es un personal de servicio al cliente que sea abierto y cordial. En muchas situaciones, es de gran ayuda poder recurrir a la misma persona ante cualquier inconveniente. ¿Se encuentra ausente el personal de servicio al cliente en sus propios foros de soporte? Esto puede ser una señal. Pregunta constantemente e investiga. Esto puede ayudar a ahorrarte futuras complicaciones.

Fuente: thehostingnews.com

Google Pone en la Lista Negra a Certificados Digitales Emitidos por Autoridades Principales de Certificado en China.

Google rechazó los Certificados Digitales emitidos por el Centro de Información de red de Internet en China (CNNIC) a través de Chrome, luego del descubrimiento de que certificados no autorizados para dominios de Google fueron rastreados hasta la Principal Autoridad de Certificados de China, Administradora del dominio “.cn”.

Bar Code ID
El CNNIC había emitido certificados intermedios a una compañía egipcia llamada MCS Holdings, la cual instaló claves privadas en un proxy Man-in-the-middle en vez de en un módulo de seguridad de hardware.

Google descubrió los certificados el 10 de Marzo, e informó a los CNNIC y los Buscadores más populares. También bloqueó el certificado MCS en Chrome con un Push CRLSet.

Advertencia

CNNIC le informó a Google 2 días después que bajo su contrato MCS emitiría certificados solo para los dominios registrados. Google considera esto como una delegación inapropiada de autoridad.

En este caso, Google ha decidido bloquear la raíz y las extensiones de las autoridades de validación de certificado, aunque una “Lista Blanca hecha pública” permitirá a los certificados CNNIC ya existentes ser confiados por Chrome hasta una futura actualización.

“Mientras ninguno de nosotros, ni CNNIC cree que más certificados digitales no autorizados están siendo emitidos, tampoco creemos que los certificados emitidos erroneamente fueron utilizados fuera del límite de alcance de la red de prueba de MCS Holdings, CNNIC seguirá trabajando para prevenir futuros incidentes,” Escribió el Ingeniero de seguridad de Google, Adam Langley. “CNNIC implementará Transparencia de Certificados para todos sus certificados. Aplaudimos a CNNIC por sus instrucciones proactivas, y les damos la bienvenida a restablecerse una vez que sea tomado el correcto control técnico.

Mozilla esta considderando sus opciones cuidadosamente, y podría adquirir un enfoque similar al de Google, reporta Ars Technica.

La confianza continúa siendo un punto importante para Google. Fue revelado el mes pasado que debido a un bug,  Google Apps expuso los datos personales de sus usuarios. La compañía dice que el problema con CNNIC resalta la necesidad de transparencia de certificados.

Certificate Authority Trustwave, La Autoridad de Certificado admitió emitir certificados a una compañía privada para espiar en conexiones protegidas por SSL dentro de su propia red en 2012, por lo que fue cuestionada su confiabilidad. Los comentarios en la publicación en el Blog de Google sugieren que el espionaje es la motivación de los certificados CNNIC No autorizados.

China bloqueó Google como parte de una campaña mayor de censura, frente a que el verano pasado se conmemorara el aniversario 25 de la masacre en Tiananmen Square, y está acusado de bloquear acceso a Gmail a finales 2014.

Fuente: thewhir.com