Arrayexception.com Tecnología y Desarrollo

Conferencia de Chema Alonso sobre la seguridad en Internet y lo expuesto que se puede estar si no se es consciente de lo que se está haciendo.

Links de interés:

• Web de Chema Alonso
• Conferencias de Chema

Tweet

Finalmente se ha publicado la guía OpenSAMM traducida en su totalidad al castellano. Según anunciaba el coordinador de esta traducción, Juan Carlos Calderón, en las listas de correo de OWASP, de habla hispana (owasp-spanish, owasp-argentina, owasp-chile, entre otras) esta guía llevaba casi dos años traducida sin ser publicada, pero por fin ha llegado el día.

Para quienes no conozcan este proyecto, está liderado por Pravir Chandra de Fortify Software, compañía especialista en software de seguridad y comprada por HP hace ya casi un año. Sobre su definición, cito textualmente (traduciendo al castellano) su definición directamente sacada de la página web oficial de OpenSAMM:

“El modelo de madurez de seguridad de software (en inglés Software Assurance Maturity Model – SAMM) es un marco abierto para ayudar a las organizaciones a formular e implementar una estrategia a seguir para la seguridad en el software, encajando en los diferentes riesgos a los que se enfrenta una organización. Los recursos proporcionados por el SAMM ayudarán en lo siguiente:

• Evaluación de las prácticas de seguridad en software de la organización.
• Construcción de un programa de seguridad en software balanceado en iteraciones bien definidas.
• Demostración de mejoras concretas en un programa de garantía de la seguridad.
• Definición y medida de actividades relacionadas con la seguridad dentro de una organización.
• SAMM fue definido con la flexibilidad en mente y así poder ser utilizada en pequeñas, medianas y grandes empresas, independientemente del estilo de desarrollo. Además, este modelo puede ser aplicado en toda la organización, para una única línea de negocio, o incluso para un proyecto en concreto.

Como proyecto libre, el contenido de SAMM siempre permanecerá neutral a fabricante y queda disponible libremente para que todo el mundo pueda utilizarlo.”

(más…)

Tweet

Si hace unos días fueron los servidores del proyecto Fedora los que fueron atacados por hackers, ahora son los de SourceForge los que han debido hacer frente a un ataque similar contra su infraestructura.

Los problemas para esta “central de desarrollos de software” comenzaron el pasado día 27, cuando sus administradores detectaron que varios de sus servidores estaban siendo atacados. Con la finalidad de limitar los posibles daños causados por los ataques, optaron por apagar una serie de servidores.
(más…)

Tweet

Las bases de datos de las redes Gawker (Kotaku, Lifehacker, Gizmodo, Gawker, Jezebel, io9, Jalopnik, Deadspin y Fleshbot) han sido hackeadas y sus datos comprometidos.

Así lo desvela la propia web de Gawker mostrando su disculpa con los usuarios yrecomendando un cambio de password en las cuentas de sus usuarios, pese a que las claves van siempre encriptadas.

Así que si alguno de vosotros, habituales seguidores de páginas en inglés, contáis con cuenta en alguna de esas webs, harías bien en seguir el consejo de Gawker y cambiaros la contraseña.

Via: xboxgo.es

Tweet

En una red social, como facebook, cuyo funcionamiento básico implicar depositar abundar información personal y otorgar un nivel bastante serio de confianza la privacidad y el respeto por el usuario deberían ser las máximas principales en lugar de unos protocolos tan débiles que reventarlos da risa. Reventarlos precisamente es lo que ha hecho Michael Arrington, blogger y cofundador de TechCrunch, que se ha hecho pasar nada más y nada menos que por el mismísimo CEO de Google utilizando únicamente una dirección de email falsa y en el proceso se hizo amigo con Chad Hurley (cofundador de YouTube) y el jefe de relaciones públicas de Facebook, Elliot Schrage.

Ahora que está en boca de todos, The Social Network, la película sobre la creación de Facebook, bastante crítica con su creador, Mark Zuckerberg no están las cosas como para que se vaya demostrando lo frágil que es quebrar el sistema de seguridad de la red. Lo que hizo Arrington, a raíz de un email que le envió uno de los lectores de TechCrunch fue usar una cuenta de Eric Schmidt no usada con anterioridad en Facebook para crear una cuenta. Gracias a que el sistema no implica necesariamente verificar tu cuenta de email, gracias a los datos que otros usuarios habían introducido con sus cuentas de correo y en los que aparecía la cuenta de Schmidt para empezar a sugerir amigos, entre los que se encontraban los que ya he mencionado antes, Chad Hurley y Elliot Schrage que no sospecharon y llegaron a agregarlo como amigo. Lamentable.

El auténtico Eric Shmidt lejos de tomárselo como algo personal lo afrontó con humor y comentó en su cuenta de Twitter (verificada, aquí sí) que le gustaría ver como se desenvuelve siendo él en Facebook. Para suplantar a alguien está claro que hace falta conocer al menos una dirección sin usar de la otra persona, pero aún y con todo es relativamente fácil suplantar a alguien, hacer creer a otras personas que eres alguien que no eres y utilizar ese poder para difamar, manipular y crear problemas bastante gordos. Al respecto de todo este tema de la privacidad y Facbebook, sino lo habéis hecho ya por favor leed esta completísima guía que escribió Eduardo para configurar al máximo nuestras privacidad en dicha red social, diría que es casi un manual que debería venir por defecto y que cualquier persona debería leer antes de crearse una cuenta.

Fuente: alt1040.com

Tweet

El lector de archivos PDF de Adobe sigue siendo vulnerable, en esta ocasión se ha encontrado un bug que podría ser explotado para llegar a tomar el control de la máquina en la que está instalado, es decir un exploit tipo Zero Day. Este tipo de vulnerabilidades son críticas y no es la primera vez que vemos a Adobe Reader con una de ellas. En esta ocasión afecta a las versiones 8 y 9 para Windows, Mac OS y Linux. Se recomienda deshabilitar javascript en Reader de momento, o utilizar alternativas.

El aviso de seguridad dado por comenta que la vulnerabilidad está causada debido a un error límite con el parcheo de fuentes en CoolType.dll y puede ser explotado para causar un stack-based buffer overflow.

(más…)

Tweet

Como salido de Swordfish, la película estelarizada por John Travolta y Hugh Jackman, un banco británico (cuyo nombre no ha sido revelado) ha sido objeto de ataques sobre su sistema, con la ayuda de un virus llamado Zeus.

Los hackers han obtenido poco más de 1 millón de dólares de las cuentas de los usuarios del banco desde principios de julio de este año. Esto nos hace preguntarnos si la institución protegerá a los cuentahabientes afectados si la situación persiste.

La información fue revelada por M86 Security, una empresa de seguridad informática. Aparentemente, ya encontraron uno de los puntos desde donde se está originando el ataque en Europa del Este, así que esperaremos a ver cuándo terminan por capturarlos, por rendirse en la búsqueda o por la inevitable adaptación cinematográfica hecha en Hollywood.

Fuente: fayerwayer.com

Tweet

El grupo anarquista cibernético turco INCI se ha atribuido el hackeo del Facebook en español, que afectó a numerosos usuarios de esta red social, especialmente en Latinoamérica, y que sustituía frases como “hoy cumple años” por la expresión malsonante en inglés “fuck you bitches”.

“Un grupo de usuarios decidió sabotear la aplicación Facebook Translations, introduciendo ofensivas traducciones para algunas de las frases y juegos en lugar de las traducciones legítimas”, ha explicado Facebook en un comunicado.

Inci, que “opera” desde su foro http://inci.sozlukspot.com, ha rematado una “semana negra” para la red social, que recientemente superó los 500 millones de usuarios pero que en los últimos días también vio cómo otro pirata informático abría al público 100 millones de perfiles para denunciar sus fallos de seguridad.

Un monitor muestra una página de Facebook. Foto: Les Stockton

(más…)

Tweet

La protección de una compu en red es un desafío interminable que nunca termina, ni siquiera en Linux a pesar de que sea más seguro que Windows. Estas simples medidas que nos recomiendan en ZDNet te ayudarán a proteger tu sistema Linux.

¿Preciso un guardaespaldas? ¿Mi Linux es inseguro? Bueno, no exactamente, pero gran parte de la seguridad de un sistema depende de los usuarios. Un sistema seguro no es aquel en el que el usuario se despreocupa por su seguridad. Los consejos que aquí comparto tienen que ver con éstas prácticas que los usuarios y/o el administrador del sistema deberían tener en cuenta para mejorar su seguridad.

(más…)

Tweet

La Guardia Civil ha detenido a tres hackers, dos de ellos menores de edad, por atacar las páginas web del Partido Socialista de Madrid, del Partido Popular, del programa Sálvame de Telecinco y del Defensor del Menor de la Comunidad de Madrid.

El grupo desmantelado, que se hacía llamar en la Red KA0 Team y que reivindicaba sus ataques con la imagen de un puño rojo, modificaba las páginas originales y, en ocasiones, insultaba a los responsables de las páginas, según ha informado el Cuerpo.

(más…)

Tweet