Microsoft ha lanzado un aviso importante sobre una vulnerabilidad que afecta a todos sus sistemas, y que podría permitir la ejecución de código arbitrario a través de aplicaciones desarrolladas por terceros que no carguen los archivos DLL de una forma segura.
El problema surge cuando uno de estos programas carga una DLL sin especificar su ruta completa, lo que permite a un atacante cargar un archivo malicioso modificando esa ruta.
Lo más grave de la vulnerabilidad, es que no puede ser solucionada en Windows porque si se establece una solución a nivel de Sistema Operativo, las aplicaciones que no carguen las librerías DLL de forma segura dejarían de funcionar, por lo que la solución correcta es que los desarrolladores actualicen sus programas para solventar la vulnerabilidad.
El número de programas que tienen el problema podría superar los 200, entre las cuales podrían estar incluidas aplicaciones desarrolladas por Microsoft, quien lo está investigando para poder solucionarlo lo más pronto posible.
Fuente: http://www.opensecurity.es/fallo-de-seguridad-permite-ejecutar-codigo-en-programas-de-windows/
La LOPD establece como regla general que los datos de carácter personal sólo podrán ser cedidos o comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente (el centro sanitario) y cesionario con el previo consentimiento del interesado.
Sin embargo, esta regla general no resulta aplicable si existe una Ley autoriza la cesión (o comunicación de datos), es decir, no sería necesario el consentimiento para que los datos clínicos pudieran ser cedidos. Pensemos, por ejemplo, en la cesión o comunicación a los jueces y tribunales. El ejemplo que hemos puesto se concreta en la Ley 41/2002 de 14 de noviembre, Básica Reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación Clínica, que regula el acceso a la historia clínica con fines de investigación judicial.
En relación al archivo de historiales clínicos, los criterios básicos de archivo están contenidos en la citada Ley 41/2002, que establece que cada centro sanitario archiva las historias clínicas de sus pacientes, con independencia de su soporte, de manera que esté garantizada su seguridad, y correcta conservación.
Según esta Ley, cada historia clínica se llevará con criterios de unidad y de integración para facilitar el mejor conocimiento por parte de los profesionales sanitarios de los datos personales de un determinado paciente.
Áudea Seguridad de la Información – www.audea.com
Recientemente Financial Times informaba que las autoridades de la India podrían cerrar por motivos de seguridad, los servicios de mensajería en línea de Blackberry, Google y Skype.
La más amenazada de las tres compañías es la fabricante de Blackberry, la canadiense Research In Motion (RIM), a la que ya se ha dado un ultimátum con suspender su servicio encriptado de correo electrónico y mensajería si la compañía, no respondía a sus preocupaciones sobre seguridad nacional.
De esta forma la India se convirtió en otro país, después de Arabia Saudí y Emiratos Árabes Unidos, que aludiendo los motivos de seguridad pretende interceptar y monitorizar comunicaciones cifradas.
La India estableció el 31 de agosto como fecha final para RIM. El país quiere acceso, en un formato legible, a las comunicaciones encriptadas de BlackBerry, pues asegura que pueden ser utilizadas por terroristas.
La compañía canadiense ofreció su ayuda a la India para seguir los correos electrónicos, pero sin compartir detalles sobre encriptación, lo que fue considerado como insuficiente.
En la última reunión sobre seguridad, las agencias hablaron, además de BlackBerry, sobre declararse fuertemente en contra de Skype y Google, explicó Rajesh Chharia, presidente de la Asociación de Proveedores de Internet india.
No obstante, actualmente existe multitud de diferentes sistemas de cifrado por lo que es difícilmente concebible que estas normas puedan impedir las comunicaciones entre los miembros de las bandas terroristas.
Además, este tipo de organizaciones ilegales normalmente poseen medios suficientes para esquivar estas restricciones, siempre obtendrán programas alternativos de cifrado.
Debemos tener en cuenta, que aunque la situación política en algunos países puede justificar en cierto grado la adopción de las medidas de seguridad reforzadas, éstas siempre suponen una injerencia en la intimidad personal.
Tampoco podemos olvidar que marcan una tendencia en limitar la privacidad de las personas. Cada vez más gobiernos y no sólo los considerados como totalitarios tienen la tentación de controlar el Internet o cualquier otra forma de comunicación entre sus ciudadanos.
www.elmundo.es
Estas acciones online adolecen de serios problemas, tanto en el ámbito de la Protección de Datos, como en el de los Servicios de la Sociedad de la Información:
Protección de Datos
Para todo tratamiento de datos personales se exige información y consentimiento previos al tratamiento. Asimismo, debe informarse y obtener el consentimiento de cualquier afectado cuando sus datos vayan a ser revelados a un tercero.
En las campañas de “envía a un amigo”, se tratan datos del destinatario sin haber informado ni obtenido su consentimiento. Además, se revela al destinatario el nombre del remitente.
Servicios de la Sociedad de la información
Para el envío de comunicaciones comerciales por medios electrónicos, se exige haber obtenido un consentimiento expreso del destinatario.
Sin embargo, no se consideran comunicaciones comerciales electrónicas “los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio”
Solución recomendada
Informar al remitente de que sus datos van a ser comunicados al destinatario y responsabilizarle de consentir en nombre del destinatario. En todo caso, los datos deben ser eliminados tras el envío:
“Sus datos serán comunicados al destinatario. Sus datos y los del destinatario serán procesados y eliminados inmediatamente tras el envío. Usted consiente en nombre del destinatario el envío de este contenido por email”
El contenido del email debe ceñirse a la excepción de la normativa para que no sea una comunicación comercial, sin logos, marcas, ni textos comerciales de ningún tipo. Por ejemplo:
Asunto: Recomendación de [nombre del amigo]
Contenido: [URL recomendada]
Áudea Seguridad de la Información
A través de la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre, se establecen a nivel europeo los usos permitidos y la forma en que se debe solicitar el consentimiento de los usuarios al uso de ‘cookies’.
En particular, el artículo 2.5 modifica el 5.3 de la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas):
Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario.
Sin embargo, nuestra vigente Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico expresa en su artículo 22.2 que:
Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales, informarán de manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de datos mediante un procedimiento sencillo y gratuito.
Por lo tanto, aunque actualmente sólo es necesario informar sobre la existencia de las cookies y sobre cómo pueden evitarse, cuando se trasponga la Directiva 2009/136/CE, deberá informarse y obtener el consentimiento del usuario para la activación de la cookie.
Por último, el considerando 66 de la Directiva incide en el régimen expresado, subrayando que “puede que haya terceros que deseen almacenar información sobre el equipo de un usuario o acceder a información ya almacenada, con distintos fines, que van desde los fines legítimos (como algunos tipos de cookies) hasta aquellos que suponen una intrusión injustificada en la esfera privada (como los programas espía o los virus). Resulta, por tanto, capital que los usuarios reciban una información clara y completa cuando realicen una acción que pueda dar lugar a dicho almacenamiento u obtención de acceso. El modo en que se facilite la información y se ofrezca el derecho de negativa debe ser el más sencillo posible para el usuario. Las excepciones a la obligación de facilitar información y proponer el derecho de negativa deben limitarse a aquellas situaciones en las que el almacenamiento técnico o el acceso sean estrictamente necesarios con el fin legítimo de permitir el uso de un servicio específico solicitado específicamente por el abonado o usuario. Cuando sea técnicamente posible y eficaz, de conformidad con las disposiciones pertinentes de la Directiva 95/46/CE, el consentimiento del usuario para aceptar el tratamiento de los datos puede facilitarse mediante el uso de los parámetros adecuados del navegador o de otra aplicación. La aplicación de estos requisitos debe ganar en eficacia gracias a las competencias reforzadas concedidas a las autoridades nacionales”.
Plazo de transposición
• La transposición de los preceptos de la Directiva 2009/136/CE deberá producirse antes del 25 de mayo de 2011.
Áudea Seguridad de la Información
La grabación de la imagen de un usuario del centro de atención de personas con minusvalías psíquicas y físicas es un dato de carácter personal, siendo éste el criterio seguido por la Agencia Española de Protección de Datos.
La captación y grabación de imágenes con la finalidad de control se encuentra sometida a lo dispuesto en la normativa de protección de datos, en particular a si los “afectados” resultan identificables en pasillos (y zonas de tránsito) dónde se captan las imágenes.
Desde Áudea entendemos que si la captación de imágenes no desborda el ámbito de vigilancia y control de los usuarios, el nivel de seguridad que resulta de aplicación es básico; no obstante, si la captación de las imágenes se emplea con la finalidad de valorar comportamientos, entendemos que el nivel de seguridad aplicable es, al menos, medio.
La instalación de cámaras de video vigilancia en pasillos y zonas de tránsito del centro sólo deberá realizarse si resulta adecuado e implica una mínima afectación de los derechos fundamentales de los usuarios.
Entendemos, siguiendo el propio criterio de la propia AEPD, que si los usuarios o el personal encargado de su cuidado pudiera correr peligro, la medida de instalar cámaras de video vigilancia podría entenderse como necesaria y proporcional, siempre y cuando se limitase estrictamente a ésta (y no a otra) finalidad. No obstante, como señala la AEPD sería necesario atender a las circunstancias particulares.
En Áudea recomendamos que las cámaras de video vigilancia respeten el principio de proporcionalidad, ubicándose éstas en los pasillos (o zonas de tránsito del centro) y orientándose de modo tal que no capten imágenes en dependencias. Por lo tanto, la zona objeto de video vigilancia será la mínima imprescindible y, lógicamente (además de la Ley es preciso aplicar el sentido común) las cámaras de video vigilancia no deben registrar espacios protegidos por el derecho fundamental a la intimidad: vestuarios del personal, baños, vestuarios, etc. prohibición que como recogen recientes noticias en la prensa, no siempre se tiene en consideración.
Áudea Seguridad de la Información
ww.audea.com
Partiendo de la premisa de que la difusión a través de Internet no constituye una transferencia internacional de datos, el objetivo que debiéramos alcanzar es la de publicar datos personales con sistemas que supongan la menor afectación para nuestros datos personales.
En este sentido, la difusión de nuestros datos personales debería ir precedida de una decisión motivada por parte de la entidad que decide su publicación, limitando la publicación a aquellos datos estrictamente necesarios.
Asimismo, sería muy conveniente la inclusión de la fecha de la publicación de los datos, con el fin de realizar cuantas revisiones periódicas del contenido sean oportunas.
Por otro lado, a los datos de carácter personal publicados en Internet debieran acceder los titulares de los mismos y, en su caso, las personas que acrediten un interés legítimo.
Transcurrido el plazo de exposición pública exigida legalmente por alguna norma, debiera limitarse el acceso a los datos.
Áudea Seguridad de la Información
http://www.audea.com/
El Consejo Consultivo de la Agencia Española de Protección de Datos (AEPD) se reunió ayer jueves día 8 de julio para revisar y analizar el resultado de la actividad de la AEPD durante el primer semestre de 2010, dentro de las funciones asignadas al Consejo, como el asesoramiento al Director de la AEPD, la emisión de informes en relación a las cuestiones que el Director le someta a consulta, o la formulación de propuestas sobre temas relacionados con las materias sobre las que es competente la AEPD.
El Consejo Consultivo está compuesto por: Santiago Abascal, director de la Agencia de Protección de Datos de la Comunidad de Madrid; Esther Mitjans, directora de la Agencia Catalana de Protección de Datos; Iñaki Vicuña, director de la Agencia Vasca de Protección de Datos; Juan Luis Rascón, a propuesta del Congreso de los Diputados; María Rosa Vindel, a propuesta del Senado; Monika Serrano (vocal de la Administración Local); José Antonio Escudero, (a propuesta de la Real Academia de la Historia); Antonio Pérez (a propuesta del Consejo de Coordinación Universitaria); Alejandro Perales, (vocal de los consumidores y usuarios), y Belén Veleiro, (vocal del sector de ficheros privados).
Fuente: www.agpd.es
El auge de las redes sociales, impulsado al hilo del éxito social de plataformas como Facebook o Tuenti y, en menor medida My Space, está generando nuevas propuestas que en algunos casos aún están produciendo problemas en relación con la seguridad de la materia prima con la que trabajan: los datos de los usuarios registrados. Entre ellas, destaca el caso de Shtyle.fm.
Shtyle.fm es un sitio web que se presenta como un híbrido de mundo virtual y red social sobre la que todavía escasea la información en la Web. Empleando como dominio de nivel superior geográfico (ccTLD) el .fm, asignado en un principio para los Estados Federados de Micronesia pero que suelen adquirir estaciones o webs de radio, en principio la página parece ser creación de un emprendedor de Tulsa, Oklahoma, y expone una política de privacidad en la que se afirma que “Shtyle no revelará a tercero alguno el nombre o la información de contacto de los miembros”; sin embargo en la práctica esto no está siendo cierto, ya que ya se han producido quejas de que la red emplea los datos de los usuarios registrados para conseguir nuevos registros y expandirse. El envío de e-mails a contactos del correo del registrado estaría produciéndose sin consentimiento de este ni del destinatario, lo que constituiría a la luz de la normativa europea sobre protección de datos un claro caso de spam y de cesión no consentida de datos de carácter personal, además de la gravedad del hecho de enviar una solicitud de amistad simulando que es enviada por el usuario registrado sin que este haya mostrado tal intención.
En Estados Unidos, no obstante, se admite que se pueda emplear la lista de direcciones del correo de un usuario para hacer este tipo de envíos en el caso de que dicho usuario no restrinja su privacidad al darse de alta en el sitio del que se trate. Posibilidad que no cabe de ningún modo en el caso europeo.
María Teresa Nevado García de la Cruz
Áudea Seguridad de la Información
www.audea.com
En los últimos días se ha comenzado a hablar sobre Internet Explorer 9 y sobre todas las mejoras que este nuevo navegador ofrecerá.
Las primeras impresiones son muy positivas, debido a que el nuevo navegador incorporará canvas para mejorar su rendimiento. Muchos programadores afirman, que con canvas, las funciones de audio y video de HTML 5 funcionará correctamente.
Otra mejora propuesta es una sorprendente aceleración por hardware que permitirá renderizar en dos dimensiones a gran velocidad con la ayudadle sistema operativo y de la GPU, y sin necesidad de echar mano de plug-ins o descargas adicionales.
Se puede observar una guía con las categorías que se verán mejoradas por esta funcionalidad llamada IE testdrive.
Se rumorea que, gracias a estas mejoras, la caída de usuarios que migraban a otro navegador podría frenarse.
La llegada de HTML 5 no sentará bien a todos. Al incluir canvas y la aceleración por hardware, las deficiencias de Adobe Flash Player quedan patentes. Se espera que Adobe consiga una notable reducción en el uso de recursos con la versión 10.1.
Esperamos con ganas este nuevo navegador que parece plantear varias mejoras novedosas que mejorarán la experiencia del usuario.
José Francisco Lendínez
www.audea.com
