julio | 2007 | Seguridad Informática

Entrevista con Linus Torvalds (en castellano)

julio 23, 2007 § Deja un comentario

No podemos empezar sin una pregunta: Linux infringe patentes Microsoft?

Hasta donde sabemos, la respuesta es un rotundo “no”, y todo se trata de MS tratando de contraactuar el hecho de que tienen problemas compitiendo con Linux en un lado técnico, tratando de dispersar FUD.

Según Mark Shuttleworth, la condición más importante para las distribuciones Linux es que deben mantenerse gratis (gratis como en cerveza gratis). Dijo: “Será una falla si el mundo sale de pagar por el envoltorio Windows a pagar por el envoltorio Linux”. ¿Qué piensa usted al respecto?

Oh, absolutamente. Y no veo que vaya a ocurrir. Sí creo que tener compañías que trabajan juntas (y eso incluye a MS) es una buena idea, pero no, Linux por sí mismo no es sobre pagar dinero de extorsión de patentes. De hecho, la GPLv2 ya requiere que lo puedas distribuír sin limitaciones de patentes.

¿Y qué piensa sobre GPL 3?

Creo que es simplemente otra licencia de código abiero, junto a aproximadamente otras cincuenta licencias código abierto que hay ahí afuera (BSD, Mozilla, etc etc). Ya no es una realmente mala como lo eran algunos de los primeros borradores, pero en mi opinión la GPLv2 es simplemente mejor.

Versiones más nuevas no significan necesariamente “mejor”, especialmente cuando las nuevas versiones son más complejas, y limitan más el uso.

Ahora usted está en la Linux Foundation. James Zemlin, el Director de la Fundación dijo en el New York Times: “Hay cosas que Microsoft hace bien en términos de promocionar Windows, proveyendo protección legal y estandarizando Windows” y “las cosas que Microsoft hace bien son cosas que nosotros necesitamos hacer bien – promocionar, proteger y estandarizar Linux”. ¿Que más es posible aprender de Microsoft?

Bueno, históricamente, la lección más importante de Microsoft – y una que ellos mismos parecen haber olvidado – es simplemente “Dale a tus clientes lo que quieren”.

Creo que la razón por la cual Microsoft fue tan exitoso fue que llenaron un lugar con algo de tecnología muy básica (y en este caso, al principio, esa tecnología básica era literalmente el lenguaje BASIC – así es como a grandes razgos empezaron), y lo vendieron barato y lo hicieron “lo suficientemente bueno”. No jugaron juegos con sus clientes.

Por supuesto, eso parece haber cambiado. Mucho de los últimos años de Microsoft parece ser bastante sobre jugar juegos con clientes: sus licencias y eso, siete “versiones” diferentes de Vista, y toda esa porquería DRM que están intentando imponerle a sus clientes no son en verdad lo que nadie quiere.

Así que Microsoft siempre ha sido bueno en marketing y ventas, y su fuerte presencia en el mercado ha causado que se vuelvan una plataforma estandarizada. Eso es generalmente bueno para los clientes. Han dejado algo de eso atrás (ahora intentan astillar su mercado de gusto con Vista, e imponiendo DirectX 10 solamente en la nueva plataforma, por ejemplo), pero creo que sus logros históricos valen la pena verse.

¿Qué piensa sobre el acuerdo entre Novell y Microsoft? ¿Qué desarrollos futuros producirá? ¿Y qué hay de los eventos de Red Hat?

Realmente no me importa. Estás pregutnándome todas estas preguntas de marketing y compañías, y el tema es, que no estoy para nada en eso. Estoy totalmente desinteresado. En lo que estoy es la tecnología, y trabajar junto con las personas.

Con la Web 2.0 estamos viendo una mayor adopción de los modelos de desarrollo de código abierdo, el Modelo Linux: Pensamos en Adobe y en parte en Microsoft y Sun. ¿Qué significa ésto para usted?, y ¿qué es según usted código abierto ahora?

Creo que el verdadero tema sobre la adopción del código abierto es que nadie puede realmente “diseñar” un sistema complejo. Eso no es simplemente cómo funcionan las cosas: la gente no es tan inteligente – nadie lo es. Y lo que permite el código abierto es no actualmente “diseñar” cosas, sino dejarlas evolucionar, a través de diferentes presiones en el mercado, y teniendo el resultado final mejorando continuamente.

Y haciendo eso abierto, y permitiendo que todas estas entidades diferentes polinizen cruzadas sus ideas con cada uno, y no teniendo límites arbitrarios con NDA´s y “no puedes ver cómo hicimos ésto”, es simplemente una manera mejor.

Lo comparo con la ciencia y la brujería (o alquimia). La ciencia puede tomar unos pocos cientos de años en descifrar cómo funciona el mundo, pero sí llega a eso, exactamente porque la gente puede construír en base a los conocimientos de otros, y evoluciona con el tiempo. En contraste, la brujería/alquimia puede ser sobre gente inteligente, pero el cuerpo del conocimiento nunca se “acumula” en ningún lado. Puede ser pasado a un aprendíz, pero el esconder la información básicamente significa que nunca se hará realmente mejor de lo que una única persona/compañía pueda entender.

Y eso es exactamente el mismo tema con el código abierto vs productos propietarios. La gente propietaria puede diseñar algo que es inteligente, pero eventualmente se vuelve muy complicado para que una sola entidad (inclusive una compañía grande) pueda entenderlo y conducirlo, y las políticas y metas de esa compañía siempre la limitarán.

En contraste, el código abierto trabaja bien en ambientes complejos. Tal vez nadie entiende el panorama general, pero la evolución no necesita el entendimiento global, simplemente necesita pequeñas mejoras locales y un mercado abierto (”supervivencia del más fuerte”).

Así que pienso que muchas compañías están lentamente comenzando a adoptar más código abierto, simplemente porque ven que éstas cosas funcionan, y se dan cuenta que se les complicaría duplicarlo por su cuenta. ¿Realmente compran mi perspectiva del mundo? Probablemente no. Pero pueden verlo funcionar para proyectos invividuales.

Linux es un sistema versátil. Sirve para PC, servidores enormes, móviles y diez o más dispositivos más. Desde tu posición privilegiada, ¿qué sector será en el cual Linux expresará el potencial más alto?

Creo que el verdadero poder de Linux es exactamente que no es sobre un lugar. Todos pueden venir a jugar, y personas diferentes y compañías diferentes tienen motivaciones totalmente diferentes y creencias en lo que es importante para ellos. Así que no estoy interesado en ningún sector en particular.

Dicho eso, personalmente tiendo a pensar más en el escritorio, no porque esté en ningún “lugar primario”, pero simplemente porque el escritorio tiende a tener un comportamiento mucho más variado y complejo que la mayor parte de otras áreas, así que el uso del escritorio muestra temas que esas otras tantas – más específicas – áreas de uso no mostrarán.

En otras palabras, simplemente tienes que estar más “bien centrado” en el escritorio de lo que tiene que estar en muchas otras áreas. En servidores, el hardware y el software está generalmente mucho mas obligado (menores variacios en ambos hardware y los tipos de cargas puestas en la máquina), y en varias áreas empotradas el sistema realmente necesita hacer uno a dos cosas realmente bien.

En contraste, en el espacio del escritorio, gente diferente hace cosas muy diferentes, así que tienes que hacer un montón de cosas diferentes, y tienes que hacerlo con hardware locamente variante.

La gente está todavía esperando la gran entrada de estilo de Linux a los escritorios. Las distribuciones amigables para el usuario, como Ubuntu, y la decisión de Dell de vender computadoras basadas en linux son dos grandes pasos. Pero parece que aún necesita algo, ¿qué es según su opinión?

Oh, yo creo que simplemente necesita más tiempo. Básicamente tenemos todas las piezas, pero podemos mejorarlas, y hay simplemente mucha inercia con la mayoría de la gente y las personas que simplemente no están tan interesadas en cambiar su ambiente.

Así que no me preocupo en nada en particular, solamente me aseguro que mejoremos lentamente, y el tiempo se ocupará del resto.

Eben Moglen pidió de Google más cooperación con el mundo del código abierto. ¿Cómo se pone usted respecto a Google?

Muchos de los desarrolladores del kernel están trabajando para google actualmente, así que no me preocuparía al respecto. Mi mano derecha (Andrew Morton) trabaja para ellos, por ejemplo, exactamente para mejorar el kernel. Y eso es lo que realmente importa al final: hasta las compañías grandes no son nada más que la acumulación de individuos, y lo que importa no es si “google” ayuda, pero si la gente como Andrew Morton están ahí – y al contratarlos, google termina ayudando a mejorar Linux.

Eso no es específico para google de ninguna forma, por supuesto. Es verdad de cualquier compañía que esté involucrada con Linux, o incluso si no está involucrada, permite a sus empleados hacer software código abierto por un lado.

Una pregunta técnica: ¿Alguna noticia grande en el Kernel de Linux para el futuro? ¿Talvez 2.8?

No es probable que tengamos un nuevo sistema de versionamiento: hemos tenido mucho éxito con el nuevo modelo de desarrollo donde lanzamos un kernel 2.6.x nuevo cada 10 semanas mas o menos (2-3 meses), y hemos podido hacer relativos cambios radicales sin ser una gran línea divisoria para el usuario que requiera un gran número de versión nuevo.

Y así deberían ser las cosas realmente. Mejoras lisas y contínuas. Hemos tenido muchas reorganizaciones relativamente grandes y dolorosas del código fuente a través de los años, pero a medida que el kernel ha madurado (y que hemos aprendido mejor cómo mantenerlo), ha habido menos y menos razón para ver las cosas como “enormes nuevos asuntos”, y más y más razón para verlo como un mejoramiento contínuo que la mayoría de los usuarios ni siquiera necesitan estar al tanto.

Desde la perspectiva de un usuario, lo que tiendes a querer no es “oh, necesito actualizarme a la versión X.Y porque hace tal y tal cosa”, pero más algo en la línea de “Hey, puedo solo actualizar, sabiendo que va a hacer las cosas que siempre hizo, pero capaz que algunas de ellas hasta mejor”.

Y eso puede no sonar muy excitante, pero es tecnología sólida, y al final, la emoción para los ingenieros del kernel son todos los detalles de los que la mayoría de los usuarios nunca se preocuparían (y no deberían preocuparse: después de todo, el punto de un Sistema Operativo es actuar como una capa de abstracción entre los recursos del sistema y las varias aplicaciones que quieras ejecutar sobre esos recursos).

Una curiosidad: ¿Cuál es su distribución favorita?, y ¿cuál considera la más segura?

Realmente no tiendo a preocuparme mucho, he cambiado de distribuciones a través de los años, y para mí las cosas más importantes tienden a ser que sean fáciles de instalar y actualizar, y me permitan hacer la única parte que realmente me interesa – el kernell.

Así que la única distribución grande que nunca he utilizado es actualmente Debian, exactamente porque tradicionalmente ha sido más difícil de instalar. Lo que suena medio raro, ya que Debian es también considerada la distribución “técnica hardcore”, pero eso es literalmente exacto lo que yo personalmente no quiero en una distro. Tomaré las lindas con instaladores simples etc, porque para mí, ese es el punto único y completo de usar una distribución en primer lugar.

Así que he usado SuSE, Red Hat, Ubuntu, YDL(Corría mi setup principal en una máquina basada en PowerPc por un tiempo, y YDL – Yellow Dog Linux – terminó siendo la opción más fácil). Ahora mismo, la mayoría de mis máquinas parecen tener Fedora 7 en ellas, pero eso es solo una declaración de hecho, no quiere decir que piense que es necesariamente “mejor” que las otras distros.

En un libro famoso, usted definió el desarrollo de Linux como una actividad “simplemente por diversión”. ¿Aún lo disfruta?

Sí. Es todavía el porqué lo hago. Las partes que hago que terminan siendo divertidas han sido diferentes a través de los años – solía ser puramente por el codeado, éstos días no escribo tanto código yo mismo, y ahora es más que nada sobre el lado organizativo: mezclar código, comunicarme con gente, guiar gente en la dirección correcta, y luego el arreglo de bugs ocasional por mi cuenta.

Thanks to Fernando Briano for the translation.

La entrevista en inglés
La entrevista en italiano

Fuentes:
http://picandocodigo.linuxuruguay.org/index.php/2007/07/23/entrevista-con-linus-torvalds/
http://www.oneopensource.it/17/07/2007/intervista-a-linus-torvalds/
http://www.oneopensource.it/autore/2/

Spam, listas negras y "SpamCops". Conoce si tu e-mail o IP están "marcadas"

julio 23, 2007 § Deja un comentario

Por Dabo

Hoy os quería hablar sobre los Spamcops”, las “blacklist” (listas negras de spammers), etc.

Aproximadamente, entre un 80 y un 90% de los correos que llegan a nuestros buzones son basura electrónica de todo tipo, hay un gran negocio montado detrás de ello y aunque os pueda parecer mentira, el negocio funciona y es lucrativo.

En la parte inferior del post podréis acceder a un recurso online para saber si tu IP, la de tu web o e-mail está incluido en alguna “blacklist” o considerada como “spammer”

Quizás penséis que a nadie se le ocurriría comprar Viagra a través del típico mensaje de turno que quiere solucionarte tus problemas de erección ;D pero es así, aquí uno por ejemplo que está la carpeta correo basura de mi Thunderbird;

>We Present you a US Licensed Online Pharm4cy St0re.
Huge >Disc0unts for next five days!!!

~~Phenterm1ne~~ – as low as $6.30
~~Cial1s S0f~~t Tabs – as low as $7.30
~~Amb1en~~ – as low as $3.60
~~V1agra S0ft~~ Tabs – as low as $4.10
~~Val1um~~ – as low as $3.30
~~Cial1s~~ – as low as $6.00
~~V1agra~~ 100mg – as low as $4.00
Xan4x – as low as $3.80
~~Mer1dia – as low as~~ $4.40
~~Prov1gil/Modaf1nil~~ – as low as $5.30
~~Zol0f~~t – as low as $1.70

(lo tacho para que Google no se “coma” las palabritas y llegue basura vía web al blog…)

Os podéis fijar en que, para poner Viagra y saltarse los filtros de spam, ponen V1agra cambiando la “i” por un «1″, es sólo un ejemplo. También fijaros en Pharm4cy St0re o «Disc0unts»…(puede que el cambio del cero por la letra “o” no sea visible según el tipo de navegador o fuentes que tengáis por defecto).

Pues si, hay gente que compra y “pica”, de ahí que como el negocio funciona, se sigue enviando spam y más spam.

Da igual que quienes entren en el juego sean pocos, a más mensajes basura enviados, más posibilides de negocio ¿Qué pican poco? se manda un número mayor…

También dentro del término “basura electrónica” podemos incluir un mensaje de phising, o virus que, hablando de spam, una vez sean ejecutados, intentarán abrirte un puerto de tu sistema (muy posible que sea UDP y de los de arriba-;) recopilando información sobre tus hábitos de navegación, lugares que visitas etc etc, para, a través de ese “sigiloso” puerto (no tanto si te pones a buscar un poco o si tu firewall está bien configurado) enviar todos esos datos a auténticos centros de recopilación de información.

¿Cuál es el siguiente paso? enviarte correo basura muy segmentado y si da la casualidad de que eres aficionado al juego y te mandan algo del “Casino online” de turno o si estás enganchado a algún medicamento que no puedes comprar por las vías legales de tu país, es posible que caigas en la trampa electrónica. Podemos hablar del porno, el típico “trabaje desde casa”, tarots, etc, etc.

Esa es una manera más de recopilar destinatarios para luego bombardear al buzón de tu correo, pero hay muchas formas de hacerlo, robots que buscan mails en webs o foros, extraidos del mensaje en cadena de turno con insensatos que no ponen el campo “CCO” o “BCC” (con copia oculta), ataques a bases de datos de servidores webs buscando correos electrónicos y un largo etc.

Si eso es como digo un gran negocio, luego esta el otro, los que nos “protegen” del spam. llamados policías del spam o “Spamcops” y las famosas listas negras “blacklist“. En muchos casos empresas que venden sus servicios a terceros y que se alimentan día a día de nuevas Ips o direcciones de e-mail calificadas como spam con las que nutrir a sus filtros o soluciones para servidores, empresas, etc.

También podemos hablar del conocido SpamAssassin, el más popular y efectivo producto Open Source para combatir la basura electrónica y que es usado en cientos de miles de sistemas en todo el mundo dando igual que sean impulsados por GNU/Linux, BSD, Windows, Mac OS X, etc.

Más o menos intento, para quienes no conozcáis el tema, poneros en escena para explicar la otra parte de la que os quería hablar, como digo, el asunto daría para mucho y este post sería eterno, pero creo que con esta introducción os hacéis una idea de como funciona más o menos todo este submundo.

Quería hacer una reflexión sobre la injusticia que conlleva en ocasiones recibir una catalogación como “spammer” a veces de un modo “cuasi automático”. Está claro que tiene que haber sistemas o métodos de control sobre esta lacra que día a día llena nuestras redes de porquería electrónica, pero hay veces en las que sin comerlo ni beberlo, acabas en una “blacklist” (tu ip o la de tu servidor) y entrar es relativamente fácil, salir no tanto.

Por poneros un ejemplo, imaginad el caso de una web que está alojada en un servidor compartido, el admin del server no tiene bien configurado el servicio de correo y es un “Open Relay” (permitiendo el envío de correo masivo a través de ese servidor sin autentificación), al final puede resultar que esa cantidad de spam vaya desde tu host o IP y acabas dentro de una lista negra donde por ejemplo, puedes ver como todo el mail que envías viene devuelto por los filtros anti-spam de los destinatarios…

Puede servir como ejemplo el anterior caso, pero no os podéis hacer una idea de los miles de servidores que ahora mismo actúan como “zombies” , auténticas redes de máquinas troyanizadas que se pasan las 24 h al día enviando cantidades ingentes de spam por todo el planeta. Si te toca estar compartiendo alojamiento en una de esas máquinas, estás arreglado -;).

Lo más grave del asunto, es que se sabe cuales son muchas de esos servers, hay decenas de lugares en la red que se encargan de recopilar estos datos y públicamente se pueden consultar las listas.

Pero la problemática de las diferentes leyes internacionales, tratamiento de estos casos y una política no unificada a este respecto, hacen difícil que se pueda poner freno un tema molesto, peligroso y que además genera unos costes en forma de consumo de ancho de banda, medidas paliativas, etc, que como casi siempre, repercuten directamente en el usuario final.

Al final todo es un negocio como dije antes y se mueven muchos intereses del lado de los spammers y del de los “caza spammers”, siendo actividades más lícitas lógicamente las de los segundos pero…¿podría subsistir toda esta industria sin los primeros?

No quiero caer en la demagogia ni en comparaciones con los virus y las compañías de productos antivirus y a quien le puede interesar todo esto, porque no se ajustaría a la realidad, únicamente quería poner el contrapunto y hacer un poco de “abogado del diablo” buscando otro enfoque menos evidente a simple vista sobre el tema.

Sobra decir que todos nosotros podemos ayudar en parte a que el correo basura vea reducida su magnitud, pero mientras no haya leyes más estrictas para combatirlo y se tome realmente en serio, por mucho que nosotros queramos ayudar a mitigarlo, será muy difícil acabar con ello.

Leyes tan incompletas e injustas como la LSSI en España tienen en consideración los envíos de correo no deseado, pero el spam es un problema global y en mi caso, de donde menos me llega es de España, además, como dice el refran “Quien hizo la ley, hizo la trampa”.

Si quieres comprobar que tu IP, la de tu servidor o tu dirección de correo electrónico está incluida en alguna lista negra o como dicen en el enunciado “comprobar tu reputación electrónica“, puedes hacerlo desde este enlace o pinchando en la imagen de arriba.

Como veis, lo de la “reputación” lo pongo entre comillas porque habría mucho que decir sobre el tema pero igual alguno se lleva una sorpresa…
Lleva al sitio web de “Senderbase”, alguna vez os he hablado de este recurso y allí podréis comprobar también como va la escena spammer mundial en mapas o un lamentable ranking de “los más Spammers”

Por daros un dato, mi mail sale como “Web Reputation Score: Neutral” así que ya veis, yo ni bueno ni malo, siempre por el medio -;)

¿Será que en otra vida electrónica he sido un spammer?

Desde aquí, enlazo a un post de la semana pasada en el que comentaba como vaciar la cola de qmail ante una inyección de spam.

Fuente: http://www.daboblog.com/2007/07/24/spam-listas-negras-y-spamcops-conoce-si-tu-e-mail-o-ip-estan-marcadas/

Protección de la información: ¿Inseguridad por falta de buenas prácticas?

julio 23, 2007 § Deja un comentario

Reciente revisando un documento publicado por el responsable del gobierno electrónico de los Estados Unidos, se establecen los 10 riesgos más relevantes que no permiten una adecuada protección de la información. Podríamos decir que estas 10 declaraciones establecen como un decálogo de «pecados» que potencian la inseguridad informática en las organizaciones.

Esto quiere decir que si se atacan estas 10 afirmaciones expuestas en el documento sólo se avanzará en la batalla contra la inseguridad de la información, pues siempre existe la variable o contexto no contemplado que permite nuevamente una situación que nos exige pensar en alternativas para mantener un nivel de inseguridad informática aceptable. Dicho de otra manera un nivel de exposición al riesgo que podemos aceptar y manejar, teniendo en cuenta que si se materializa dicho riesgo, las consecuencias son claras y previstas por la organización (hasta donde sea posible).

El documento de la Oficina de Gobierno Electrónico de USA, es la muestra evidente de que en el gobierno existe la preocupación por el tema de la inseguridad de la información y que ésta hace parte de los planes estratégicos de la nación, como una ruta crítica para mantener la funcionalidad y operatividad de la nación. Aunque frecuentemente las brechas de seguridad de datos y sistemas son objeto de noticias internacionales.

Si bien Colombia no es una nación de primer mundo, poco a poco a venido desarrollando una infraestructura importante de computación (y telecomunicaciones) y operación donde participan los bancos, las empresas de telecomunicaciones, el mismo gobierno, la academia y la empresa privada. En este sentido, pensar en un ejercicio de evaluación sobre lo que llamaríamos infraestructura crítica de la nación, basado en
un análsis sistémico de los diferentes sectores productivos serían útil para dimensionar los esfuerzos de continuidad que requiere la nación ante un incidente que afecte la infraestructura mencionada.

Finalmente y para mantener el foco de esta reflexión, los riesgos sugeridos por el informe de la oficina de gobierno electrónico de USA, debería ser materia de análisis de nuestra Agenda de Conectividad, quien se encuentra a cargo de este tema, para que se inicie la reflexión requerida alrededor del tema con todos los actores involucrados en esta problemática.

Los 10 riesgos propuestos por el documento son estos:

1. Security and privacy training is inadequate and poorly aligned with the different roles and responsibilities of various personnel.
2. Contracts and data sharing agreements between agencies and entities operating on behalf of the agency do not describe the procedures for appropriately processing and adequately safeguarding information.
3. Information inventories inaccurately describe the types and uses of government information, and the locations where it is stored, processed or transmitted, including personally identifiable information.
4. Information is not appropriately scheduled, archived, or destroyed.
5. Suspicious activities and incidents are not identified and reported in a timely manner.
6. Audit trails documenting how information is processed are not appropriately created or reviewed.
7. Inadequate physical security controls where information is collected, created, processed or maintained.
8. Information security controls are not adequate.
9. Inadequate protection of information accessed or processed remotely.
10. Agencies acquire information technology and information security products without incorporating appropriate security and privacy standards and guidelines.

Fuente: http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=300001663

Publicado el Boletín 93 de Segu-Info

julio 23, 2007 § Deja un comentario

Boletín 93 – 23/07/2007

Los temas tratados son:

1. Funcionamiento de un Sniffer (Cain & Abel)
2. Éxito del 3er Seminario Segu-Info
3. La familia ISO 27000

Leer Boletín

cfb

Publicado el Boletín 93 de Segu-Info

julio 23, 2007 § Deja un comentario

Boletín 93 – 23/07/2007

Los temas tratados son:

1. Funcionamiento de un Sniffer (Cain & Abel)
2. Éxito del 3er Seminario Segu-Info
3. La familia ISO 27000

Leer Boletín

cfb

Publicado el Boletín 93 de Segu-Info

julio 23, 2007 § Deja un comentario

Boletín 93 – 23/07/2007

Los temas tratados son:

1. Funcionamiento de un Sniffer (Cain & Abel)
2. Éxito del 3er Seminario Segu-Info
3. La familia ISO 27000

Leer Boletín

cfb

Primera vulnerabilidad seria en el iPhone

julio 23, 2007 § Deja un comentario

Mientras en el popular iPhone Dev Wiki comienza a hablarse del primer programa no autorizado por Apple que puede ser ejecutado en el iPhone, The New York Times acaba de hacerse eco de la que puede ser la primera vulnerabilidad grave descubierta en el iPhone, que permite apoderarse por completo del aparato a partir de una simple visita a una web maliciosa.

El compromiso del iPhone puede partir también de la apertura de un enlace en un correo electrónico o un SMS, o de la conexión a un punto de acceso inalámbrico controlado por el atacante. En cualquier caso, a través del navegador Safari se produce la ejecución del código malicioso con privilegios de administrador…

En la prueba de concepto realizada, el fallo permite al atacante leer los mensajes de texto, la agenda de direcciones, el historial de llamadas y acceder a datos del buzón de voz. A continuación el iPhone transmite toda esa información al atacante. No obstante, cualquier cosa que el iPhone pueda hacer puede ser explotada también por un atacante: grabar conversaciones y enviarlas, robar contraseñas de correo, etc.

Además, los descubridores afirman que la vulnerabilidad explotada está también presente en las versiones de Safari para Windows y Mac, si bien no han verificado su explotabilidad en esas plataformas.

El descubrimiento procede de la empresa norteamericana ISE (Independent Security Evaluators), cuyo principal analista es Charles Miller, un doctor en informática que ha trabajado anteriormente para la NSA.

El hallazgo ha sido remitido a Apple y parece totalmente creíble, aunque los detalles se revelarán la semana próxima en BlackHat.

Ver Video

Fuentes:
http://www.kriptopolis.org/primera-vulnerabilidad-seria-iphone
http://xataka.com/2007/07/23-vulnerabilidad-en-el-iphone
http://www.exploitingiphone.com/
http://www.securityevaluators.com/
http://news.yahoo.com/s/pcworld/20070723/tc_pcworld/134933
http://www.applesfera.com/2007/07/23-vulnerabilidad-de-safari-que-daria-un-control-completo-sobre-el-iphone

Primera vulnerabilidad seria en el iPhone

julio 23, 2007 § Deja un comentario

El hallazgo ha sido remitido a Apple y parece totalmente creíble, aunque los detalles se revelarán la semana próxima en BlackHat.

Ver Video

Errores en motores antivirus

julio 23, 2007 § Deja un comentario

nRuns aclara en su sitio que no es el «Month of the Parsing bugs» pero de todos recolecta una gran cantidad de errores en distintos motores antivirus.

Muchos de estos errores ya se han corregido en versiones posteriores de los productos mencionados y que Ud. tenga este productos (patcheado o no) indica solo una cosa: que los antivirus también son un software desarrollado por humanos y por ende puede tener errores.

cfb

Errores en motores antivirus

julio 23, 2007 § Deja un comentario

nRuns aclara en su sitio que no es el «Month of the Parsing bugs» pero de todos recolecta una gran cantidad de errores en distintos motores antivirus.

cfb

¿Dónde estoy?