Ingresan en la web del parlamento británico

agosto 31, 2009 § Deja un comentario

Un rumano conocido como Unu, descubre grandes deficiencias en la seguridad de la página de la institución.

Unu ha conseguido entrar en la base de datos de la página electrónica del parlamento británico, dejando en entredicho sus medidas de seguridad, según ha informado el portal Softpedia en su apartado de noticias.

Un rumano, conocido en la web como Unu, ha logrado burlar los sistemas de protección de parliament.uk, la dirección del organismo con sede en Londres. Ha dejado al descubierto varios errores de los responsables de la seguridad, entre ellos que las claves secretas están escritas en texto plano -una imprudencia- y que muchas de estas claves son idénticas al nombre de usuario al que están asociadas.

Cabe destacar que el autor de la intromisión no ha causado ningún daño a la página. Un hacker, a diferencia de un cracker, tiene unos fines éticos y no destructivos, que sí tiene el cracker.

Al parecer, a Unu le gusta probar la resistencia de páginas supuestamente duras de pelar. Entre sus víctimas figuran las web de algunos conocidos periódicos como The International Herald Tribune y The Telegraph o las páginas de conocidas compañías de antivirus como Kaspersky, BitDefender, F-Secure y Symantec.

Fuente: El País

No disparen al webmaster

agosto 31, 2009 § Deja un comentario

La seguridad informática es indispensable en cualquier pagina web. No basta el pensar que a nadie le va a interesar mi contenido. Los robots primero disparan, ya que buscan sistemáticamente cualquier puerta de acceso abierta, y luego preguntan.

Hace años que vengo oyendo una máxima entre responsables y propietarios de páginas web, cuando se les menciona la posibilidad de añadir seguridad intrínseca a su sitio web. La respuesta es unánime: «No somos importantes, no somos una gran empresa para que un hacker ponga su vista en nosotros». Cabe encogerse de hombros y suspirar al cielo. Pobres de aquellos que basan su seguridad en la trascendencia de su empresa.

Recuerdo el caso, hace años, de una empresa española de hosting que fue atacada. Su propietario me llamaba desesperado, con la voz todavía temblándole. Al parecer la web de uno de sus clientes había sido craqueada. El hacker en cuestión no sólo había accedido al espacio web, sino que había conseguido ampliarse los permisos de usuario hasta convertirse en «root». Es decir, desde ese instante, era el propietario de todas las páginas web de todos los clientes albergados en esa máquina.

Como uno puede imaginar, el desastre fue total. El hacker se hizo con información privilegiada de muchos clientes, borró y destruyó bases de datos, consultó buzones de correo electrónicos, destrozó el código fuente de las páginas… Aquella escalada de privilegios, como se conoce en el argot informático, le costó un sinfín de demandas jurídicas al propietario de la empresa de hosting. Es más, algunas bases de datos nunca se pudieron recuperar, pues no existían copias de seguridad o eran demasiado antiguas.

Aquellas empresas no pudieron volver a reconstruir sus webs, tal como eran; y siempre anduvieron con el miedo de que sus datos estuvieran siendo compartidos en círculos piratas. Y todo ello fue debido a un ridículo fallo en un sencillo CMS o generador de páginas web open source. A partir de éste, el hacker obtuvo su escalada de privilegios en una sola noche.
Por ello insisto en lo mismo. ¿Seguridad informática por ofuscación? Algunos parecen no entender algo. Que los hackers no buscan una página web concreta. Realizan búsquedas en Google de blogs o CMS con versiones vulnerables, basándose en la etiqueta interna «meta generador» que identifica la versión. Cuando obtienen resultados, simplemente aplican un «exploit» concreto y una vulnerabilidad sencilla de ejecutar, y si lo logran, desfiguran la web con alguna pantalla de su grupo. Es lo que se entiende como «deface». Este juego les sirve para competir contra otros grupos de hackers, publicando sus resultados en sitios como Zone-h.org.

Si además el fallo es grave, alguno de los miembros del grupo volverá para divertirse a solas, alcanzando el estatus de «root». Da pánico pensar en las consecuencias. Por eso es altamente recomendable adoptar medidas de seguridad informática. No es que sea necesario, es que es indispensable.

Es cierto que ya no vivimos en los tiempos de los hackers experimentados, que se pasaban horas examinando un código para conquistar sus objetivos. Pero es peor que los actuales vándalos o grupos de hackers simplemente se dediquen a examinar la Red a la búsqueda de los elementos 2.0 susceptibles de ser craqueados por su sencillez. Y siempre les toca a los mismos gestores. Por algo vivimos en la Web 2.0.

Permítame el lector destacar un par de opciones muy recomendables de cara a aumentar la seguridad de su blog WordPress o su CMS Joomla, a cambio de una inversión mínima. Somos la primera red social sobre seguridad informática, y si quieres saber si tu página web actual o el servidor que la aloja son vulnerables, ponemos a disposición nuestro servicio de auditorías. Por cien euros elaboramos un informe, previo escáner del sitio, donde detallamos los puertos abiertos, los posibles agujeros de seguridad que pudieran encontrarse, y cuál es la solución o parche a aplicar.

Por Carlos Mesa

Fuente: PC Actual

Ofrecen en código abierto sistema de escucha de Skype

agosto 31, 2009 § Deja un comentario

Ruben Unteregger, quien durante años trabajó como programador en ERA IT Solutions, ha publicado el código fuente de un programa que puede ser usado para interceptar y escuchar conversaciones vía Skype. El programa puede ser propagado como un troyano.

El troyano se cuelga de distintos procesos de Skype y realiza grabaciones ocultas de las conversaciones realizadas por telefonía IP, transmitiéndolas a un servidor externo como archivos MP3.

En una conversación con el sitio Gulli.com, trasciende que el trabajo de Unteregger en ERA IT Solutions era crear malware que pudiera invadir los PC de usuarios corrientes. La compañía habría dedicado especial atención a la creación de troyanos para escuchar secretamente conversaciones de telefonía IP.

En diversos foros sobre el tema se especula que ERA IT Solutions habría creado tales soluciones por encargo de la policía federal alemana, Bundeskriminalamt, y las autoridades suizas. El propio Unteregger declaró que no está autorizado a hablar sobre el tema.

Con todo, por largo tiempo se ha sabido que la policía alemana y el organismo Eurojust, de la UE, han estudiado posibilidades de escuchar Skype, de la misma forma que pueden hacerlo con las conversaciones telefónicas ordinarias.

Fuente: Diario TI y ZDNET

Facebook cambia sus políticas de privacidad a pedido de Canadá

agosto 31, 2009 § Deja un comentario

La red social Facebook aceptó realizar cambios en su plataforma para proteger mejor la información personal de sus usuarios de todo el mundo. La decisión fue resultado de sus negociaciones de la compañía estadounidense con la comisaria canadiense de privacidad Jennifer Stoddart .

Los cambios darán a los usuarios más transparencia y control sobre la información que ofrecen a los creadores de aplicaciones como juegos y cuestionarios, dijo Stoddart. Por su parte, Facebook también aclarará a los usuarios que tienen la opción de eliminar su cuenta y no sólo desactivarla. Además, la información de los no usuarios será protegida de mejor manera.

“Estos cambios implican que la privacidad de 200 millones de usuarios de Facebook en Canadá y alrededor del mundo estarán mejor protegidos”, dijo Stoddart en un comunicado .

Hace un tiempo, la comisaria había dicho que la política de Facebook de mantener la información personal de gente que había cerrado su cuenta violaba las leyes canadienses de privacidad.

Asimismo, comentó que la respuesta de la compañía era “aceptable, porque permitiría a los usuarios tomar decisiones y estar informados sobre cómo era tratada su información personal. Este es un cambio a nivel global”, afirmó.

Facebook, una página web que permite a los usuarios compartir fotos, videos, noticias, opiniones y mensajes públicos y privados, cuenta con unos 12 millones de usuarios en Canadá, el primer país en realizar una investigación a fondo sobre las prácticas de privacidad del sitio.

El resultado de la investigación canadiense podría influir en las prácticas de la compañía en otros países, al igual que en las de otras redes sociales como MySpace . “Creemos que estos cambios no sólo son buenos para nuestros usuarios y responde a todas las preocupaciones de la comisaria, sino que sienta un precedente para la industria”, aseveró Elliot Schrage, vicepresidente de comunicaciones globales y relaciones públicas de Facebook.

El regulador empezó su investigación a Facebook como respuesta a una serie de quejas de la Universidad de Ottawa.

Fuente: La Nación

Condenan a hacker chileno por denunciar falla crítica en portal ChileCompra

agosto 31, 2009 § 3 comentarios

El portal ChileCompra nació como una forma de transparentar las adquisiciones que realiza el estado chileno, en el que todas las empresas proveedoras pudieran participar en las licitaciones del Estado de forma transparente y sin que existiera algún tipo de corrupción en el proceso.

El sistema funciona de una manera muy simple: el Estado publica una licitación para la adquisición de un determinado producto, las empresas proveedoras envían sus ofertas (sin que puedan conocer las ofertas de los otros) para, finalmente, el Estado adjudicar aquella que le resultaba más conveniente.

Hasta ahí todo bien pero el Ingeniero Informático Gino Rojas Tilleman descubrió un importante error en el portal, bastaba con cambiar la ID de una licitación en curso (por lo tanto confidencial), por una correspondiente a una licitación cerrada. Con esto se lograba acceder a toda la información de las distintas ofertas presentadas en una licitación, por lo que cualquier proveedor que conociera de esta falla podía presentar una oferta mucho mejor a la de sus competidores.

Rojas se puso en contacto con los encargados del portal para denunciar este hecho, advirtiendo que si el problema no era corregido lo haría público.

Como suele suceder en estos casos los encargados del portal no tomaron muy en cuenta la denuncia, por lo que Rojas decidió hacerla pública por medio de un video que colgó en la red.

Fue en ese momento que el ministerio público decidió entrar en acción, claro que no investigando el problema que originó toda esta teleserie sino que enjuiciando a Rojas por el supuesto hecho de que se estaba beneficiando del error y que, además, pretendía chantajear al estado.

En Octubre de 2008 se inició el juicio respectivo y esta semana la jueza Claudia Brugueño anunció su veredicto, en el cual se liberó a Rojas de los cargos relacionados con el chantaje pero encontrándolo culpable de violar Ley de Delitos Informáticos (bajo el argumento que Rojas se apoderó o accedió a información confidencial mediante la explotación de errores de un sistema).

Con esto queda claro que si cualquier persona en Chile encuentra un error en los sistemas informáticos del Estado, debe quedarse callado y aguantarse las ganas de hacerlo público. De lo contrario podría llegar a pasar hasta cinco años tras las rejas, el mismo castigo que podría recibir Rojas una vez que se haga pública su condena.

Actualización Segu-Info 13:00 hs: en 2005 en Argentina se falló sobreseyó a los imputados.

Actualización Segu-Info 15:00 hs: desde el Foro de Segu-Info se están siguiendo las aristas de este tema. ¿Denuncias y vas preso?.

Fuente: Fayerwayer

La defensa de Snow Leopard es muy básica

agosto 31, 2009 § Deja un comentario

Por Rosalía Arroyo

La opción antimalware de la última versión del sistema operativo de Apple lanzada el viernes se defiende contra dos troyanos.

Se ha estado hablando de que la versión más reciente de Mac OS X, Snow Leopard, podría incluir una funcionalidad antivirus, pero la realidad es que la función antimalware Apple Xprotect sólo defiende contra dos troyanos. Al menos eso es lo que afirma la empresa de seguridad Sophos.

Para Chet Wisniewski, analista de Sophos, esta opción está pensada para mejorar la seguridad y no como un antivirus. El problema es que la defensa contra el ataque a dos troyanos pudiera llevar al usuario a no utilizar software antivirus.

Aunque Snow Leopard tiene la capacidad de actualizar esta característica para defenderse contra más tipos de malware, Apple ha informado a los vendedores de antivirus que no realizará una competencia directa, de forma que finalmente la opción antimalware de Snow Leopard, lanzada el pasado viernes, es básica.

Por otra parte, también hay que reconocer que históricamente Apple ha tenido menos problemas con los ataques de malware que Windows. Y es que mientras que Apple tiene a su favor varios cientos de virus, el sistema operativo de Microsoft cuenta con más de 22 millones.

Fuente: ITEspresso

Comienza la era del refugiado digital

agosto 31, 2009 § Deja un comentario

Los ataques cibernéticos son cada vez más sofisticados – No existe una legislación clara que proteja al cibernauta de los censores

Hasta hace un mes, pocos habían escuchado hablar de Cyxymu. El nombre se refiere a Sujumi, la capital de Abjazia, una de las regiones autónomas de Georgia y es también el nickname utilizado por Georgy, un profesor de Economía de 34 años, que vive en Tbilisi, la capital georgiana. Su blog está escrito en georgiano y en ruso y la mayoría de los mensajes se refieren a recetas de cocina típicas de la región, fotografías antiguas de sus ciudades o vídeos de bailes tradicionales. Pero también habla de algo más: aborda temas de política interior de la región en los que muestra una postura crítica frente a los Gobiernos ruso y georgiano por igual. Y ahí es donde comenzaron sus problemas.

Cyxymu fue señalado como el objetivo de los ataques que colapsaron el popular servicio de micromensajes Twitter y la red social Facebook el 6 de agosto pasado, apenas unos días antes de que se cumpliera un año de la guerra entre Rusia y Georgia. “Nunca me imaginé que el objetivo sería yo”, explica por teléfono desde Tbilisi. “Los ataques a mi sitio han sido constantes, pero la sofisticación de este último me ha convencido de que lo ha perpetrado una organización mayor, como el Gobierno ruso”. Fueron precisamente estos ataques los que llevaron su nombre a los titulares, pero no era la primera vez que su mensaje había sido atacado. Su blog en Livejournal, uno de los sitios web más populares de Rusia, ya había recibido ataques. Cuando abrió una cuenta en la web WordPress, el recibimiento fue similar. Los ciberataques fueron lo suficientemente efectivos como para obligar a los dos sitios a cerrar su cuenta.

El mecanismo es sencillo. Los atacantes bombardean a los sitios objetivo con correos basura (spam) a nombre del usuario víctima, hasta causar el colapso de la página web entera.

Tras haber recibido varios de estos ataques y haberse visto obligado a migrar de un sitio web a otro, Cyxymu se ha convertido en el primer “refugiado digital”, según describe el especialista en el uso de la web para fines políticos, Evgeny Morozov. “Los ciberataques han resultado una herramienta poderosa para evitar que un mensaje sea difundido sin causar una acusación directa de censura”, explica. “La Red es, en teoría, el sitio idóneo para ejercer la libertad de expresión, pero si alguien es silenciado es muy difícil que se le defienda”.

La repercusión del caso de Cyxymu ha iniciado un debate en la Red. “Cada vez es más fácil atacar a un blog o sitio en concreto y obligarlos a que cambien de dirección una y otra vez”, reconoce Rick Klau, director de blogger.com, el sitio web de bitácoras virtuales de Google. “Mientras las técnicas de censura se vuelven cada vez más sofisticadas, está claro que la libertad de expresión en Internet está en riesgo”, explica. “Los ataques que ha recibido Cyxymu reflejan que el poder de los hackers son capaces de colapsar sitios enteros para silenciar a un solo usuario”, añade. “Los Gobiernos y las compañías deben comenzar a darse cuenta de las amenazas reales a las que pueden estar sujetos millones de usuarios”.

El avance de los controles de censura en la Red han causado que blogueros y autoridades jueguen al gato y al ratón en el ciberespacio. Internet jugó un papel preponderante en las protestas generadas después de las elecciones presidenciales de Irán en junio: desde la organización de los mítines hasta la difusión de la represión de las autoridades. Las primeras imágenes de la joven Neda, abatida a tiros en las calles de Teherán durante uno de los actos, se difundieron por Internet. Y fue precisamente en esta ocasión en que las libertades de la Red quedaron expuestas. El intercambio de ataques entre los disidentes y los censores iraníes causaron el cierre de varios sitios de Internet: desde las redes sociales hasta las páginas oficiales del régimen de Mahmoud Ahmadineyad.

Los participantes en las protestas podían entrar a Internet a través de servidores proxy: un acceso que cambia el identificador (IP) del ordenador por uno distinto para evadir los controles. Algunos blogueros extranjeros prestaron sus propios servidores para ayudar a los usuarios iraníes. “Nunca he estado en Irán, pero se convirtió en un tema muy importante para mí. Quería ayudar”, recuerda Austin Heap, informático estadounidense de 27 años. Su participación a distancia en las protestas iraníes le dejó una huella. Ahora, tres meses después, ha creado Haystack, un programa diseñado especialmente para evadir los controles desarrollados en Teherán. “Los mecanismos de censura son distintos en cada país, un programa específico es más efectivo para acceder a la Red”, comenta Heap. Haystack está inspirado en Freegate, un programa que persigue el mismo fin que el de Austin Heap, que se desarrolló para evadir el “Gran Firewall chino”, quizá el censor más efectivo de Internet. Un usuario iraní opina en la página oficial de Freegate (www.internetfreedom.org) que el programa “salvó vidas en Irán” porque “nos brindó la única forma en que nos podíamos comunicar”. El programa Freegate fue desarrollado por informáticos chinos para evadir la censura sobre los sitios del movimiento neobudista Falun Gong. El software es lo suficientemente ligero como para enviarse como un documento adjunto en un correo electrónico. Freegate cambia la dirección IP del usuario cada segundo, lo que lo hace prácticamente imposible de hallar para un censor. La particularidad del servicio causó que, en un primer momento, fuera identificado como un virus, lo que hizo que la ONG que lo desarrolla (el Consorcio por la Libertad en Internet) se reuniera con los fabricantes de antivirus para evitar que fuera considerado como un programa dañino. Su éxito ha sido tal que, pese a que el servicio fue ideado para los utilizaran los usuarios chinos, su popularidad ha llegado a internautas en Myanmar y en Irán. El programa, antes disponible solamente en inglés y mandarín, ahora cuenta también con una versión en farsi.

Aún así, China, el país con el mayor número de usuarios de Internet del mundo (unos 300 millones), cuenta también con uno de los más sofisticados controles de información de la Red. Sólo en el último año, el Gobierno chino reclutó a 10.000 informáticos para trabajar como controladores de contenido en Internet. La censura es tan efectiva que, sólo durante el pasado mes de febrero, Pekín había conseguido cerrar la entrada a unos 1.900 sitios web y unos 250 blogs. Los controles también se hacen cargo de contenidos más concretos. Si se escribe “Tian an men” en la versión china del buscador Google (www.google.cn) aparecerán imágenes de la plaza dignas de una postal y no se hallará ni una palabra sobre alguna protesta con en 1989. El resultado es similar al intentar buscar información sobre el Dalai Lama o la organización religiosa Falun Gong. Incluso, si la búsqueda se hace fuera de China. El recién lanzado buscador Bing, de Microsoft, causó polémica cuando aplicó el mismo criterio censor en la versión estadounidense de la herramienta. No fue sino hasta la queja de varias ONG que corrigieron lo que llamaron “un desafortunado error involuntario”.

Pero el control del Gobierno chino no ha parado ahí. El Gobierno de Pekín ha encargado a los fabricantes de ordenadores que los equipos que se vendan en su territorio cuenten con el programa Green Dam (la presa verde) que, según las autoridades chinas, servirá para proteger al usuario de “contenidos pornográficos e información dañina”. La ONG Internet Society aseguró que el programa “facilita el espionaje de las actividades cibernéticas” y convierte el Gobierno en el principal vigilante de las actividades del usuario. La Unión Europea ha dicho que el programa estaba claramente diseñado para restringir la libertad de expresión y el Gobierno de EE UU advirtió de que el software podría violar las obligaciones de China en la Organización Mundial de Comercio (OMC). El único fabricante que ha aceptado la iniciativa, la firma japonesa Sony, anunció el pasado julio que instalaría el programa en todos los equipos que vendiera en China para “cumplir con los requisitos del Gobierno”.

Pese a contar con una de las comunidades de cibernautas más dinámicas del mundo (existen al menos 70 millones de blogs creados por usuarios chinos), el uso de la herramienta para difundir mensajes críticos con el Gobierno es más bien limitado. Sólo un 5% de los cibernautas chinos utilizan software para evadir a los censores. “El uso de Internet no ha acercado más a China a la democracia”, comenta la investigadora de la Universidad de Hong Kong, Rebeca McKinnon. “Si el Gobierno permite la existencia efímera de algún sitio web disidente es sólo para calmar alguna tensión sin permitir que ocurra un cambio real”, agrega.

Tanto si provienen de hackers anónimos o de controles gubernamentales, los ataques han demostrado la fragilidad de Internet. “Aún no existen mecanismos sólidos para proteger la libertad de expresión en la Red”, asegura Morozov. “La experiencia de Cyxymu en Twitter le dio una notoriedad tal que su cuenta no fue eliminada para evitar el escarnio público, pero muchos otros blogueros han atravesado situaciones similares sin que pase nada”, reflexiona.

La mayoría de las redes sociales en Internet, como los sitios de blog, Twitter o Facebook, no se han pronunciado claramente sobre la protección de sus usuarios. Su reacción ante este tipo de ataques ha sido, en la mayoría de los casos, pragmática: borrar el perfil “problemático”, especialmente, porque ponerse a resolver esos problemas consume demasiados recursos. “Esa es una decisión errónea. Son precisamente estos usuarios los que necesitan más esa protección. Los blogueros que utilizan la Red para difundir su mensaje son, en muchas ocasiones, los que viven en regímenes con mayor represión”, explica Morozov.

Autor: Verónica Calderón
Fuente: El Pais

¿Dónde estoy?

Actualmente estás viendo los archivos para agosto, 2009 en Seguridad Informática.