Links de interés:

• Web de Chema Alonso
• Conferencias de Chema

Para quienes no conozcan este proyecto, está liderado por Pravir Chandra de Fortify Software, compañía especialista en software de seguridad y comprada por HP hace ya casi un año. Sobre su definición, cito textualmente (traduciendo al castellano) su definición directamente sacada de la página web oficial de OpenSAMM:

“El modelo de madurez de seguridad de software (en inglés Software Assurance Maturity Model – SAMM) es un marco abierto para ayudar a las organizaciones a formular e implementar una estrategia a seguir para la seguridad en el software, encajando en los diferentes riesgos a los que se enfrenta una organización. Los recursos proporcionados por el SAMM ayudarán en lo siguiente:

• Evaluación de las prácticas de seguridad en software de la organización.
• Construcción de un programa de seguridad en software balanceado en iteraciones bien definidas.
• Demostración de mejoras concretas en un programa de garantía de la seguridad.
• Definición y medida de actividades relacionadas con la seguridad dentro de una organización.
• SAMM fue definido con la flexibilidad en mente y así poder ser utilizada en pequeñas, medianas y grandes empresas, independientemente del estilo de desarrollo. Además, este modelo puede ser aplicado en toda la organización, para una única línea de negocio, o incluso para un proyecto en concreto.

Como proyecto libre, el contenido de SAMM siempre permanecerá neutral a fabricante y queda disponible libremente para que todo el mundo pueda utilizarlo.”

Desde su primera versión publicada, este proyecto formó parte de la comunidad OWASP, con lo que ello conlleva: que toda la comunidad pueda contribuir y en esta ocasión, traducir el documento a otros idiomas. Además de la propia guía, en la sección de descargas (parte de Tools) de la página de OpenSAMM, se dispone de una serie de herramientas para apoyar las fases propuestas, como por ejemplo plantillas de entrevistas, hojas de ruta, planes de trabajo, planes de proyecto, gestor de vulnerabilidades…

¿Tienes en cuenta la seguridad en tu proceso de desarrollo? Si tienes dudas o directamente es una respuesta negativa, ya tienes por dónde empezar, además de forma totalmente gratuita y en tu idioma.

La versión original en inglés puede descargarse desde este enlace PDF [inglés], y su versión recién traducida al castellano, puede descargarse aquí.

Fuente: securitybydefault.com

Los problemas para esta “central de desarrollos de software” comenzaron el pasado día 27, cuando sus administradores detectaron que varios de sus servidores estaban siendo atacados. Con la finalidad de limitar los posibles daños causados por los ataques, optaron por apagar una serie de servidores.

Al parecer el ataque inicialmente provocó un fallo en los sistemas donde se aloja el repositorio CVS, aunque otras máquinas también se vieron comprometidas sin que hasta el momento se haya podido determinar el verdadero alcance del ataque.

Como una manera de responder a los ataques y que estos no terminaran afectando otros servidores, los administradores decidieron apagar los servidores responsables de los CVS, los ViewVC, los servicios interactivos de shell y la opción de subir nuevas versiones de programas.

Sumado a lo anterior y como una manera de resguardar la integridad de las cuentas de los usuarios, se procedió a restablecer todas las contraseñas de la base de datos sf.net.

Mientras tanto se sigue trabajando en detectar la forma como los atacantes lograron tener acceso a los servidores, en la restauración de los servicios y en la comprobación del nivel de daños causado.

Fuente: fayerwayer.com

Así lo desvela la propia web de Gawker mostrando su disculpa con los usuarios yrecomendando un cambio de password en las cuentas de sus usuarios, pese a que las claves van siempre encriptadas.

Así que si alguno de vosotros, habituales seguidores de páginas en inglés, contáis con cuenta en alguna de esas webs, harías bien en seguir el consejo de Gawker y cambiaros la contraseña.

Via: xboxgo.es

Ahora que está en boca de todos, The Social Network, la película sobre la creación de Facebook, bastante crítica con su creador, Mark Zuckerberg no están las cosas como para que se vaya demostrando lo frágil que es quebrar el sistema de seguridad de la red. Lo que hizo Arrington, a raíz de un email que le envió uno de los lectores de TechCrunch fue usar una cuenta de Eric Schmidt no usada con anterioridad en Facebook para crear una cuenta. Gracias a que el sistema no implica necesariamente verificar tu cuenta de email, gracias a los datos que otros usuarios habían introducido con sus cuentas de correo y en los que aparecía la cuenta de Schmidt para empezar a sugerir amigos, entre los que se encontraban los que ya he mencionado antes, Chad Hurley y Elliot Schrage que no sospecharon y llegaron a agregarlo como amigo. Lamentable.

El auténtico Eric Shmidt lejos de tomárselo como algo personal lo afrontó con humor y comentó en su cuenta de Twitter (verificada, aquí sí) que le gustaría ver como se desenvuelve siendo él en Facebook. Para suplantar a alguien está claro que hace falta conocer al menos una dirección sin usar de la otra persona, pero aún y con todo es relativamente fácil suplantar a alguien, hacer creer a otras personas que eres alguien que no eres y utilizar ese poder para difamar, manipular y crear problemas bastante gordos. Al respecto de todo este tema de la privacidad y Facbebook, sino lo habéis hecho ya por favor leed esta completísima guía que escribió Eduardo para configurar al máximo nuestras privacidad en dicha red social, diría que es casi un manual que debería venir por defecto y que cualquier persona debería leer antes de crearse una cuenta.

Fuente: alt1040.com

El aviso de seguridad dado por comenta que la vulnerabilidad está causada debido a un error límite con el parcheo de fuentes en CoolType.dll y puede ser explotado para causar un stack-based buffer overflow.

La vulnerabilidad emplea un PDF con código malicioso que llega como adjunto mediante correo electrónico. Ejecutar el PDF lanza una variedad notable de actividades como son dejar un ejecutable en un directorio temporal e intentar ejecutarlo. El archivo dispone de firma digital de Vantage Credit Union in St. Louis. Aunque el exploit es básico hace un uso interesante de return-oriented programming (ROP) para saltarse las técnicas de mitigación de vulnerabilidades de Windows Vista y Windows 7.

De momento no hay una respuesta por parte de Adobe ni en forma de solución temporal, por lo que desde MuyComputer os recomendamos que, o bien desactivéis el soporte JavaScript en Adobe Reader desde las opciones del programa, o bien utilicéis alguna alternativa como Google Docs -online- o bien utilizar programas como NitroPDF o Foxit Reader entre otros.

Fuente: muycomputer.com

Los hackers han obtenido poco más de 1 millón de dólares de las cuentas de los usuarios del banco desde principios de julio de este año. Esto nos hace preguntarnos si la institución protegerá a los cuentahabientes afectados si la situación persiste.

La información fue revelada por M86 Security, una empresa de seguridad informática. Aparentemente, ya encontraron uno de los puntos desde donde se está originando el ataque en Europa del Este, así que esperaremos a ver cuándo terminan por capturarlos, por rendirse en la búsqueda o por la inevitable adaptación cinematográfica hecha en Hollywood.

Fuente: fayerwayer.com

“Un grupo de usuarios decidió sabotear la aplicación Facebook Translations, introduciendo ofensivas traducciones para algunas de las frases y juegos en lugar de las traducciones legítimas”, ha explicado Facebook en un comunicado.

Inci, que “opera” desde su foro http://inci.sozlukspot.com, ha rematado una “semana negra” para la red social, que recientemente superó los 500 millones de usuarios pero que en los últimos días también vio cómo otro pirata informático abría al público 100 millones de perfiles para denunciar sus fallos de seguridad.

Un monitor muestra una página de Facebook. Foto: Les Stockton

“Ahora (expresiones como “ha follado una foto de” en vez de “ha etiquetado una foto de” han sido eliminadas en todas las lenguas y pedimos perdón a todo aquél que haya sido molestado por estas acciones inmaduras e irresponsables de este pequeño grupo de usuarios”, responden desde Facebook, que solventaron la situación en menos de 24 horas.

El grupo anarquista Inci (que significa perla en turco) parece, en cambio, encantado con el protagonismo que les ha dado la gesta, porque el humor sigue por encima de la vulneración de la intimidad en esta red social y se propagan los grupos que rememoran la, para muchos, hilarante jornada del miércoles.

Los usuarios, durante unas horas, en vez de “acudirá a” leían “va a follar con Inci”. “Inci minakor” -expresión que aparecía en vez de “Ya no me gusta”- ya tiene grupo de Facebook con 500 fans, mientras que “Yo tb vi como hackearon facebook con el ‘fuck you bitches’” cuenta con 5.300 seguidores.

En este último grupo, otros usuarios turcos han seguido boicoteando las publicaciones e incluyendo links que dirigen al usuario a un vídeo de un perro montando a un muñeco Pokemon del que sólo se puede escapar reiniciando el ordenador.

Facebook, ante el rubor por el enésimo fallo de seguridad, se ha decidido controlar su política de gestión democrática, ya que este fallo entró por la aplicación de traducción abierta a la mejora por parte de los usuarios.

“Nuestros técnicos están trabajando para prevenir casos como este en el futuro y, a partir de ahora, sólo lingüistas profesionales trabajaran en las traducciones. Los usuarios responsables hasta ahora han visto sus cuentas deshabilitadas”, informaron.

Fuente: 20minutos.es

¿Preciso un guardaespaldas? ¿Mi Linux es inseguro? Bueno, no exactamente, pero gran parte de la seguridad de un sistema depende de los usuarios. Un sistema seguro no es aquel en el que el usuario se despreocupa por su seguridad. Los consejos que aquí comparto tienen que ver con éstas prácticas que los usuarios y/o el administrador del sistema deberían tener en cuenta para mejorar su seguridad.

1: Usar las claves de cifrado

Para muchos, esto es una molestia. Al iniciar sesión, que tu máquina realice peticiones para conectarse a una red (o un servidor LDAP, etc), el sistema te pide introducir la clave de cifrado de tu “llavero de claves” (o keyring). Existe una enorme tentación para desactivar esta función, dándole una contraseña en blanco y despedir así a la advertencia de que la información se transmitirá sin encriptar (¡incluidas las propias contraseñas!). Esto no es una buena idea. Aunque es realmente una molestia, esta función está ahí por una razón – para cifrar las contraseñas sensibles cuando se envían a través de nuestra red.

2: Obligar a los usuarios a que modifiquen sus contraseñas

En cualquier entorno multi-usuario (como Linux), tenés que asegurarte de que sus usuarios cambien sus contraseñas cada cierto tiempo. Para ello se utiliza el comando chage. Podés comprobar el vencimiento de la contraseña de un usuario con el comando sudo chage-l NOMBRE DE USUARIO (donde NOMBRE DE USUARIO es el nombre del usuario que querés comprobar). Ahora, supongamos que querés que la constraseña de ese usuario y obligar a que la cambie en la siguiente sesión. Para ello, podés ejecutar el comando sudo-E FECHA_EXPIRACION chage-m-M EDAD_MINIMA EDAD_MAXIMA-I-W PERIODO_INACTIVIDAD DIAS_ANTES_DE_EXPIRAR (donde todas las opciones en mayúsculas tienen que ser definidas por el usuario). Para obtener más información sobre este comando, consultá la página de manual (escribí el comando man chage).

3: No desactivar SELinux

Al igual que el llavero de claves (keyring), SELinux está ahí por una razón. SE stands for Security Enhanced and it provides the mechanism that controls access to applications. SE significa Seguridad Mejorada (Enhanced Security) y proporciona el mecanismo que controla el acceso a las aplicaciones. He leído de una serie de “soluciones” a distintos problemas en los que se recomienda desactivar SELinux. En realidad, más que una solución, esta medida termina generando más problemas. Si un programa en particular no está funcionando correctamente, es recomendable estudiar una modificación de las políticas de SELinux que se adapten mejor a tus necesidades en lugar de deshabilitar SELinux por completo. Si te parece engorroso hacerlo a través de la línea de comandos, es posible que quieras jugar con una interfaz llamada polgengui.

4: No inicies sesión como root por defecto

If you need to do administration on a machine, log in as your regular user and either su to the root user or take advantage of sudo. Si tenés que administrar en un equipo, conectate como tu usuario normal y usá su o sudo para realizar esa tarea específica con privilegio de root. Al iniciar sesión como usuario root, efectivamente estarías evitándole a los posibles intrusos uno de los mayores obstáculos de seguridad al permitirles el acceso a los sistemas y subsistemas que normalmente no serían accesibles al iniciar sesión como un usuario estándar. Inicia sesión con tu cuenta regular. Siempre. No importa que ingresar la bendita contraseña del root cada vez que necesites hacer algo te esté colmando la paciencia.

5: Instalá las actualizaciones de seguridad rápidamente

Existe una diferencia enorme entre la forma en Linux y Windows manejar las actualizaciones. Mientras que Windows normalmente realiza una actualización masiva una vez cada tanto, Linux hace frecuentes actualizaciones más pequeñas. Hacer caso omiso de estas actualizaciones pueden ser desastroso si el agujero de seguridad adecuado no es parcheado en su sistema. Nunca olvides que algunas de esas actualizaciones son parches de seguridad que deben ser aplicados de inmediato. Por esa razón, no ignores nunca el ícono que indica la disponibilidad de nuevas actualizaciones. Mantenete al día y, al final del día, vas a tener un sistema más seguro.

Para subir una montaña hay que dar pequeños pasos

Siguiendo al pie de la letra estos consejos tu sistema será mucho más seguro. Eso sí, esta no es una completa lista de cosas que podés hacer para mejorar tu seguridad. Es sólo el principio, una suerte de lista que contiene aquellas cosas “tontas” que muchos usuarios se ven tentados a hacer y que empeoran significativamente la seguridad del sistema que utilizan.

Fuente: Usemos Linux

Vía: revistalinux.net

El grupo desmantelado, que se hacía llamar en la Red KA0 Team y que reivindicaba sus ataques con la imagen de un puño rojo, modificaba las páginas originales y, en ocasiones, insultaba a los responsables de las páginas, según ha informado el Cuerpo.

Robo de una base de datos

Uno de los jóvenes había conseguido robar una base de datos con más de ciento veinte mil usuarios de una popular web televisiva, lo que obligó al Grupo de Delitos Telemáticos (GDT) a acelerar la operación Pirulín ante el peligro de que el hacker pusiera a la venta el archivo.

La red fue creada el pasado mes de junio por cuatro jóvenes autodidactas de Valencia, La Coruña, Madrid y León -tres detenidos y un imputado-, conocidos por los nicks de xassiz, kr0no, Ca0s y K41S3R. Nunca llegaron a conocerse personalmente.

Tres de los miembros de la organización han sido detenidos por la Guardia Civil y un cuarto se encuentra imputado por los delitos de daños en sistemas informáticos y descubrimiento y revelación de secretos.

Divulgaban sus hazañas

La banda actuaba mediante la técnica denominada Defacement, que consiste en acceder a servidores de Internet, aprovechando errores de configuración o de sistema de las mismas, para alterar su contenido. La investigación comenzó tras las denuncias interpuestas por los representantes del PP y los administradores de la página web de Sálvame.

Durante su actividad, los jóvenes divulgaban sus hazañas en un conocido portal de Internet utilizado por hackers, donde se atribuían el ataque de veintinueve páginas webs en tan sólo quince días.

Fuente: 20minutos.es