Google dejará de dar soporte para Microsoft Explorer 6 tras sus "fallos de seguridad"

enero 31, 2010 § Deja un comentario

  • Microsoft recomienda actualizar su navegador con las versiones 7 y 8.
  • Google ha tomado la decisión tras los ciberataques sufridos en China, que presuntamente aprovecharon un punto débil del Explorer 6.
  • El anuncio de Google afectará a herramientas como ‘Docs’ o ‘Sites’, que a partir de marzo podrían dejar de “funcionar correctamente”.

Google dejará de proporcionar soporte para Internet Explorer 6. La compañía ha anunciado que desde el próximo 1 de marzo algunas de sus herramientas, como Google Doc, podrían no funcionar “correctamente” con dicho navegador. Microsoft por su parte ha recomendado a particulares y empresas que “cuanto antes” busquen las actualizaciones en forma de parches u otras versiones más seguras (7 y 8).

Durante los recientes ciberataques sufridos por Google, presuntamente provinientes de China, los hackers se aprovecharon de un punto vulnerable de Explorer 6 para acceder las cuentas de correo electrónico de activistas políticos chinos.

 
A consecuencia de estos hechos, los gobiernos alemán y francés aconsejaron a sus ciudadanos el uso de un navegador diferente hasta que el problema de seguridad de Explorer fuera solventado, informa la cadena de noticias BBC.

Microsfot ha reaccionado rápidamente blindando las nuevas versiones de su navegador. A pesar de ello, Google se mantiene en el anuncio de dejar de prestar algunos servicios en Explorer 6. Según la compañía, esto se traduce en que algunas “funciones clave” de aplicaciones como ‘Docs‘ o ‘Sites’ no funcionarán con IE6.

Campaña ‘anti Explorer

Aproximadamente un 20% de los internautas navegan con Explorer 6 en Reino Unido, incluidas algunas secretarías oficiales del Gobierno. En el mismo país se puso en marcha hace unos meses una campaña con el título de ie6nomore para denunciar “el retroceso” que supone el uso de Explorer 6 para el “desarrollo de la web”.

Para paliar el descontento y disminuir la vulnerabilidad de su producto, Microsoft ha desarrollado parches y recomendado a los usuarios que instalen las actualizaciones para mejorar la seguridad.

Fuente: 20minutos.es

Alternativas a Chrome más seguras

enero 31, 2010 § Deja un comentario

A pesar de que lleva relativamente poco tiempo entre nosotros, Google Chrome ya se considera uno de los navegadores más importantes del sector, cuyo número de usuarios va creciendo mes a mes. A pesar de ello este navegador es considerado como “demasiado invasivo” a la hora de manipular información sobre el usuario y su ordenador. Esto tal vez se debe a la falta de explicaciones por parte de la compañía sobre algunos de los comportamientos de Chrome.
El caso es que a partir del código Chromium se han desarrollados navegadores basados en Chrome pero más seguros que este. Uno de ellos es SRWare Iron, que se basa en el recién lanzado código Chrome 4.0.280. Iron comparte las mismas funciones, capacidades y limitaciones que Chrome, pero con la diferencia de que fueron desactivadas todas las funciones consideradas peligrosas, hablando en términos de privacidad. Además las extensiones y la sincronización de los favoritos son totalmente compatibles.

Otro de ellos es Chrome Plus, A este navegador se le han añadido interesantes funciones. Por ejemplo podemos visualizar sitios web usando el motor de renderizado de Internet Explorer, al puro estilo IE Tab y característica ideal para los desarrolladores web. También podremos abrir enlaces en nuevas pestañas con tan solo arrastrarlos a cualquier punto de la pantalla, cerrar pestañas haciendo doble clic sobre ellas e incorporan interpretación de gestos del ratón para mandar órdenes (por ejemplo si trazamos un círculo sobre la pantalla la página se actualizará).

Por último hablaremos de Dragon de la compañía Comodo. Un programa que se centra en reconstruir la privacidad de Chrome, aunque utiliza actualmente el código base 3.0. Hay disponible también una versión portable con arreglos, como la mejora en la comprobación de los certificados de validación. Para descargar Dragon es necesario registrarse aquí.

Autor: Arantxa Asián
Fuente: Muy Internet

Google pagará por los errores y fallos de su navegador Chrome.

enero 31, 2010 § Deja un comentario

Google quiere que su navegador sea el más seguro y por eso ha hecho un llamamiento a la comunidad para que encuentre errores y fallos de seguridad, tanto en el navegador Google Chrome, como en el código fuente de Chromium. Lo mejor de todo es que pagará por error encontrado. De este modo el gigante de Internet copia la idea que ya tuvo, allá por el año 2004, la fundación Mozilla y que aún continúa hoy en día.
Google, por tanto, pagará 500 dólares por fallo encontrado, o bien 1.337 dolares por cada fallo particularmente crítico, o para estudios de vulnerabilidades descritos con detalle. La compañía no dará bonificación si se descubre algún bug en alguna extensión o add-on.

Un comité de expertos será quien dictamine si se encuentran esos errores o no y de qué tipo son. Aparentemente parece un buen negocio, después de todo la compañía se puede ahorrar una cantidad bastante jugosa destinada a consultores de seguridad y además permite que la comunidad se involucre más a la hora de utilizar el navegador. Un navegador que compite duramente con rivales de la talla de Internet Explorer o Firefox, el cual acaba de lanzar recientemente la versión 3.6 con importantes mejoras.

Autor: Arantxa Asián
Fuente: Muy Internet

Usuarios de Facebook plagados por aplicación engañosa

enero 30, 2010 § Deja un comentario

Facebook fue plagado por problemas de seguridad y privacidad tanto reales como imaginarios durante la semana pasada, cuando un gusano verdadero batalló contra uno imaginario en una competencia para ver cual podía dejar más petrificado a los usuarios del servicio.

Facebook fue sacudido por un gusano que se replicó rápidamente por las cuentas de los usuarios, al mismo tiempo que un error de desarrollo en el sistema asustó a los usuarios haciéndoles pensar que habían sido infectados por malware. El gusano auténtico se mostró como una actualización de estado de un contacto infectado, con el mensaje “Mi ex-novia me engañó… He aquí mi venganza!! (“My ex-girlfriend cheated on me…Here is my revenge!“). El desarrollador (del gusano) usó CSS para disparar automáticamente el evento ‘share‘ (compartir) cuando se hace clic en el mensaje, según el blog de Facebook allfacebook.com. Cualquiera que hay hecho clic en el mensaje se lo copió automáticamente a su propia actualización de estado.

Se aconseja a los usuarios cambiar su nombre de usuario y contraseña, si fueron tan desafortunados de haber hecho clic en el enlace.

“Este es un ejemplo de clickjacking, donde un sitio web contiene código incrustado que provoca una acción a tomara mediante el navegador sin el conocimiento del usuario y su permiso”, le dijo Facebook a Infosecurity.  Este problema no es específico de Facebook, pero siempre estamos trabajando para mejorar nuestros sistemas y estamos construyendo protecciones contra este tipo de comportamiento.”

“Hemos bloqueado la URL asociada con este sitio, y estamos limpiando los relativamente pocos casos donde fue publicado (algo que los proveedores de correo electrónico, por ejemplo, no pueden hacer)”, agregaron de Facebook. “En general, un porcentaje extremadamente pequeño de usuarios fueron afectados.”

El gusano apareció apenas después de que una ‘aplicación engañosa’ surgiera, preocupando a los usuarios de Facebook. La aplicación, que no tiene nombre, pareció agregarse por si misma a las cuentas de los usuarios sin su consentimiento, según informes de los usuarios de Facebook preocupados.

“Tengo una aplicación llamada Unnamed App (aplicación sin nombre) que fue agregada a mi perfil sin mi consentimiento,” publicó un usuario. “¿Es esto algo que agregó Facebook automáticamente? leí en la actualización de estado de mis amigos que podría ser spyware.. ¿es eso cierto?”

“Este fue un fallo, que ahora hemos reparado”, dice Facebook en su página de seguridad. “No provoca ningún daño en ninguna cuenta. Sea cuidadoso de cualquier sitio que diga que es capaz de solucionar esto, ya que podría contener software malicioso.”

La falla en la interfaz de usuario de Facebook hace que una solapa del sistema, normalmente oculta, sea visible en el navegador. La solapa del sistema tiene Cajas de las aplicaciones que los usuarios de Facebook no quieren que aparezcan en su página normal del perfil.

Los criminales en linea fueron rápidos para crear paginas maliciosas diseñadas para envenenar los resultados de motores de búsquedas destinados a usuarios que intentan encontrar información sobre el asunto.

E incluso otro problema para Facebook, surgen informes de una nueva falla de privacidad aún más seria en el nuevo Panel de Aplicaciones Facebook (Facebook Application Dashboard), que la compañía va a desplegar en su base de usuarios en las próximas semanas. Fue posible para los usuarios ver las últimas aplicaciones que sus amigos estuvieron usando, dice el informe. Los paneles de aplicaciones y juegos han estado disponibles en beta para los usuarios desarrolladores de Facebook para probar sus aplicaciones, previo a un lanzamiento general.

Traducción: Raúl Batista – Segu-info
Fuente: InfoSecurity

Estafadores explotan la fiebre por Apple iPad

enero 30, 2010 § Deja un comentario

Los ciber-estafadores están ganando dinero con todo el bombo que hay alrededor del iPad de Apple.

Firmas de seguridad se han encontrado con intentos de subvertir los motores de búsqueda para agarrar a aquellos que buscan más información sobre la tablet.

Aquellos que siguen enlaces engañosos son redirigidos a páginas que escanean sus computadoras en busca de debilidades y vulnerabilidades.

Algunos estafadores están usando esto para vender software de seguridad y otros intentan robar información valiosa.

Ataque de Apple
Antes y después del lanzamiento de la computadora tablet, términos tales como “Apple” y “iPad” estaban dentro de los más populares en los sitios de búsqueda y servicios de micro-blogging como Twitter.

Symantec dijo que vieron criminales de alta tecnología afinando paginas web con trampas caza-bobos para se exhibidas en los primeros lugares de los resultados de búsquedas cuando la gente va en busca de más información. Aquellos que visitan tales páginas se arriesgan a perder información personal, advirtió el investigador de Symantec Joji Hamada en una nota del blog.

Hacer búsquedas con términos tales como “Apple Ipad rumor” o “Apple Ipad size” lleva a la gente a sitios donde venden software de seguridad falso, dijo. Methusela Ferrer de la firma de software CA dijo que ha visto a los denominados “sitios scraper (peladores)” cambiar para aprovecharse del interés por iPad. Los sitios scraper son páginas automatizadas que se apropia o “pelan” la información de los sitios de noticias y otros recursos y lo combinan para mantener a sus páginas en los primeros resultados de las búsquedas.

Los sitios scraper venden a menudo sus servicios a los ciber-criminales que crean virus y código para explotar vulnerabilidades en navegadores y otros programas. Dijo que ha visto un sitios sofisticado que afino sus ataques dependiendo si los visitante estaban usando una máquina Apple o una PC Windows.

Los usuarios de Mac fueron enviados a un sitio para atraerlos a usar la tarjeta de crédito para pagar películas piratas. En otro sitio los usuarios fueron enviados a un sitio que vende software de seguridad Mac falso.

Otro ataque con la temática de iPad envía a los visitantes a un sitio que se se hace pasar por la página de búsqueda de Google y manipula los resultados que ve la gente.

Para evitar caer como víctima de estafas de alta tecnología, las firmas de seguridad dicen que la gente debe asegurarse que su máquina tenga todos los parches más nuevos del sistema operativo, que tenga el software de seguridad actualizado, que use un firewall y que tenga precaución cuando visita sitios no familiares.

Los eventos que salen en las noticias son utilizados por los ciber-estafadores. Por ejemplo, el terremoto en Haití ha provocado que algunos intenten engañar a la gente a entregar las donaciones a los estafadores en lugar de las instituciones de caridad.

Los grandes eventos también disparan a menudo una ola de correos que viajan con adjuntos con trampas caza-bobos. Aquellos que abren el adjunto a menudo encuentran que su computadora es secuestrada por un virus y  puede significar que sean robados los números de tarjeta de crédito y credenciales de ingreso valiosas.

Traducción: Raúl Batista – Segu-info
Fuente: BBC News

"El uso de nuestros datos se autoriza en la letra pequeña que nadie lee"

enero 29, 2010 § 1 comentario

La situación se repite casi a diario. Un ciudadano recibe una llamada de cualquier compañía que dispone no sólo de su número de móvil sino de otros datos personales que ponen en su conocimiento. Al colgar, la primera pregunta que se le viene a la mente es ¿quién les habrá dado mi teléfono a esta gente?

La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal nació hace una década para impedir que se den estas situaciones y así salvaguardar la intimidad de los ciudadanos. Para celebrar su aniversario, la Asociación de Empresarios de la Seguridad de la Información y de la Protección de Datos de Extremadura (Adatex) ha organizado unas jornadas que se celebrarán mañana en Badajoz. Su presidente, José María Palacino, explica a HOY la importancia de que los ciudadanos conozcan sus derechos y los ejerzan.


¿Cómo consiguen algunas compañías, las telefónicas por ejemplo, los datos de los ciudadanos?
Hay empresas que se dedican a vender listas de clientes. Pero en muchas ocasiones, nosotros mismos autorizamos a muchas compañías a utilizar nuestra información en la letra pequeña que nadie lee.

¿Tenemos herramientas para evitar que lo continúen haciendo?
Los ciudadanos tienen cuatro derechos conocidos como ‘arco’ (acceso, rectificación, cancelación y oposición) que les garantizan el control sobre sus datos personales y que están recogidos en la ley. Si una persona no está de acuerdo con que una determinada empresa tenga y use sus datos, puede dirigirse a ellos y solicitarles que los eliminen de sus ficheros. Y le tienen que hacer caso; de no hacerlo, estarían cometiendo una infracción contra la ley orgánica, que se creó para ampararlos.

Contenido completo en hoy.es

Expertos internacionales abordarán la seguridad y la privacidad en la red

enero 29, 2010 § Deja un comentario

Barcelona será la primera ciudad del mundo en acoger un nuevo acontecimiento que coorganiza la Red Europea de Información y Seguridad (ENISA), la Cloud Security Alliance (CSA) y la ISACA, junto con el centro tecnológico Barcelona Digital: el SecureCloud Barcelona 2010, un encuentro de técnicos y empresarios que debatirán los límites y potencialidades de la tecnología ‘cloud computing’ (“informática nublada”), que permite alojar información y aplicaciones en internet, y acceder desde cualquier equipo informático en una modalidad de pago-por-uso.

Cientos de expertos debatirán el estado actual y los retos de la seguridad informática en Cloud Computing en la primera edición del SecureCloud Barcelona 2010, un encuentro mundial del ámbito de las nuevas tecnologías, que se desarrollará en Barcelona los próximos 16 y 17 de marzo.

El encuentro se centrará en conocer propuestas para promover la seguridad, la privacidad y la confianza en la red y en relación a la tecnología de ‘cloud computing’. Esta iniciativa esta orientada a los llamados decisions makers (“líderes de decisiones”). El programa abordará dos temáticas: la seguridad y la privacidad, que serán analizadas para generar confianza en el uso de esta tecnología y valorar los aspectos jurídicos y de garantías, las certificaciones profesionales, las regulaciones, y los marcos de gestión.

El ‘cloud computing’ es una tecnología que permite alojar infraestructuras, información y aplicaciones en internet, y acceder desde cualquier equipo informático (portátiles, PDAs, etc.) de forma sencilla, en una modalidad de pago-por-uso. Google, Microsoft o Amazon ya han empezado a preparar productos y sistemas para las empresas. El hecho de estar colgado en la red, no obstante, comporta problemas de seguridad y privacidad, entre otros. Estos problemas se abordarán en el encuentro.

Junto con la Red Europea de Información y Seguridad (ENISA), el Cloud Security Alliance (CSA) y la Information Systems Audit and Control Association (ISACA), las tres principales organizaciones del sector, el centro tecnológico Barcelona Digital participa en la coordinación del programa y en la selección de los ponentes, entre los cuales destacan Dave Cullinane, delegado de Información y Seguridad de Ebay y presidente de la Junta del CSA, y Udo Helmbrecht, director ejecutivo de ENISA.

El SecureCloud 2010 es un encuentro gratuito, dirigido al empresariado, a responsables políticos y a profesionales de la seguridad de la información. La organización de la jornada quiere “acercar la seguridad de la red a la ciudadanía, y ser un espacio de networking empresarial, para poner en contacto a líderes políticos con expertos del sector”.

Fuente: El Libre Pensador

¿Dónde estoy?

Actualmente estás viendo los archivos para enero, 2010 en Seguridad Informática.