Category Archives: Wireless security

Encrypt cardholder data in transit. PCI-DSS Requirement 4 recommendations.

credit cards

On Internet, when protecting sensitive data, in transit you must use the security protocols you’ve heard of, like HTTPS, SSH, SFTP, FTP/S, TLS, VPN, IPSec and more, however, using only these protocols is not enough when following methodologies like “defense at depth”, where you need more security layers to tackle most of the threats and risks regarding data exposure when sending or receiving data.

In this post I will talk about recommendations you can follow to increase the level of security of critical and sensitive data while transmiting data anywhere, from internal networks to public or insecure networks.

Read more »

iPhone, Android, Win 7 y el almacenamiento de datos tan polémico

Desde hace unas semanas se ha hablado mucho de que los móviles iPhone, el OS Android y el Windows 7 para móviles almacenan ciertos datos de los usuarios sin su consentimiento. El tipo de datos que almacena de esta forma son las ubicaciones de redes inalámbricas, antenas 3G,GSM y otros tipos de enlaces a los que el dispositivo se pudiera conectar de forma inalámbrica.

Pueden ver un poco de cómo surgió la noticia en los siguientes enlaces:

  • http://www.infosecurity-magazine.com/view/17562/apple-and-android-smartphones-silently-track-their-users/
  • http://www.infosecurity-magazine.com/view/17658/apple-responds-to-user-location-controversy/
  • http://www.techradar.com/news/phone-and-communications/mobile-phones/jobs-responds-to-iphone-tracking-fears-we-don-t-track-anyone–947661
  • http://www.infosecurity-magazine.com/view/17609/now-windows-7-smartphones-collect-your-location-data/
  • Como pueden ver es una funcionalidad común entre estos dispositivos. Aparentemente el motivo de que almacenen estos datos es para poder reconectarse a estos puntos de acceso de forma más rápida.

    Si tienes un iPhone, existe una aplicación que te permite leer esa información almacenada en tu dispositivo y mostrarte, en forma gráfica y bastante conveniente, lo que realmente contiene esa base de datos.
    Una imagen de como te muestra esa información la aplicación y el link de descarga los puedes encontrar aquí: http://petewarden.github.com/iPhoneTracker/.

    Uno de los principales problemas del almacenamiento de esta información es que el archivo donde se encuentran los registros no se encuentra cifrado, es decir, cualquier persona podría leerlo facilmente. Pudiendo así extraer ese archivo sin que el usuario se pueda percatar de eso y poder rastrear su actividad. Si bien, como dice Apple, no lleva un “tracking” de los movimientos del usuario, pero sí lleva un registro de las conexiones que ha hecho o que el dispositivo ha detectado. Con lo cual uno fácilmente se puede dar una idea de los movimientos de dicha persona.

    Si quieren conocer más a detalle como funciona y los datos exactos que almacenan estas bases de datos pueden consultar el siguiente enlace: http://www.hispasec.com/unaaldia/4570.