Falsa actualización de TweetDeck se pasea por Twitter

agosto 31, 2010 § 1 comentario

Cuentas de Twitter comprometidas se han estado utilizando para publicar enlaces a un sitio web de malware que se hace pasar por un sitio de descarga para una actualización de TweetDeck, el popular cliente de escritorio de Twitter.

Los mensajes son del tipo “actualización crítica de tweetdeck! Bank Holiday”, una referencia a un día de fiesta nacional en el Reino Unido, que puede sugerir que los malhechores detrás de este engaño tienen su base en Gran Bretaña, según la red de seguridad Sophos.

Twitter está en el proceso de restablecer las contraseñas de las cuentas presumiblemente comprometidas en distribuir los enlaces peligrosos, que exponen a los visitantes a una posible infección por malware.

Por su parte TweetDeck reiteró su recomendación permanente de que los usuarios visiten su sitio web para los parches y Twitter ya está actualizando las contraseñas robadas.

Fuente: Blog Antivirus

Anuncios

Asegurando sitios PHP

agosto 31, 2010 § Deja un comentario

Devshed ha publicado una guías con pasos para asegurar sitios con PHP, el cual es un resumen del libro Beginning PHP and Oracle (Amazon) de W. Jason Gilmore and Bob Bryla.

Secure PHP Programing y Securing Your PHP Website tienen los siguientes apartados y los mismos son fundamentales para cualquier persona que desee mantener un sitio PHP sanitizado apropiadamente:

  • Configuring PHP Securely
  • Other Security-Related Configuration Parameters
  • Hiding Configuration Details
  • Securing Your PHP Website
  • Hiding Sensitive Data
  • Sanitizing User Data
  • Sanitizing User Input: The Solution

Cristian de la Redacción de Segu-Info

Ataque "invisible" a la criptografía cuántica

agosto 31, 2010 § Deja un comentario

Nadie había conseguido hasta ahora romper un sistema cuántico de encriptación, el más seguro de la historia, y no levantar sospechas.

No hay manera. Ni siquiera la teóricamente inexpugnable seguridad cuántica ha resistido los ataques de un grupo de expertos noruegos que han logrado hackear dos sistemas comerciales de encriptación basada en las últimas tecnologías cuánticas. Pero lo mejor de esto radica en que han logrado reventarlo sin dejar rastro de que han entrado en el sistema. Hasta ahora, se había conseguido descifrar información enviada con este mecanismo pero quedaba constancia del ataque. Gracias al ingenio de estos hackers ya se puede hacer sin despertar sospechas y, para colmo, con material comprado en tiendas de toda la vida. El logro aparece publicado en la edición online de la revista Nature (más info).

El cifrado cuántico se postulaba como el sistema más seguro de la historia, teóricamente inexpugnable y además, imposible asaltarlo sin dejar constancia del ataque, en caso de intentarlo siquiera. Tan felices se las prometían los inventores de esta nueva filosofía de seguridad informática, que se quedaron mudos cuando un grupo de expertos canadienses consiguió reventar el cifrado cuántico. Se consolaron pensando que aunque hubieran podido acceder a la información, al menos no pudieron evitar dejar huella del intento. Sin embargo, los dioses/diablos de la era de la información, han vuelto a dar una vuelta de tuerca y han logrado lo que nadie puede creer: han conseguido reventar un sistema de seguridad cuántico sin dejar el más mínimo rastro de su acción.
El Grupo de Hacking Cuántico de la Universidad de Ciencia y Tecnología de Noruega ha liderado una hazaña que ha dejado sorprendidos a los expertos que se jactaban de la invulnerabilidad de dicha tecnología. Y lo mejor de todo es que se ha conseguido con materiales comprados en una tienda cualquiera. No han hecho falta complejos láseres de ciencia ficción o imposibles reactores termonucleares de fusión. El jefe del grupo, Vadim Makarov, afirma que sólo en un par de meses y armados con material comercial han engañado al sistema introduciéndose por un agujero de seguridad que nadie había descubierto antes.

Mediante fotones
La criptografía cuántica basa su potencial de invulnerabilidad en lanzar el mensaje mediante fotones. Esta luz llega al receptor donde se descodifican sus posibles estados en forma de 0 y 1. Por el principio de incertidumbre enunciado en 1927 por el premio Nobel de Física Werner Heisenberg, en el mundo cuántico la simple observación de un fenómeno produce su perturbación, por tanto, sólo con intentar mirar lo que “dice” el haz de luz, se destruye el mensaje y el receptor se da cuenta de ello, comunicándole al emisor que la clave secreta ha sufrido un intento de violación.

De esta manera, matan dos pájaros de un tiro: por un lado evita que se sepa lo que dice el mensaje y, por otro lado, avisa del intento de hackeo. El grupo canadiense ya logró descifrar el mensaje pero no evitó que saltaran las alarmas. Makarov ha llegado al punto máximo de todo hackeo y ha logrado la perfección: descifrar la clave sin que se enteren de que lo han hecho.

Rehacer el sistema
Su técnica consiste en usar un láser común de 1 milivatio para “cegar” al receptor. Cuando esto sucede el grupo envía una señal clásica, no cuántica, que el receptor acepta sin rechistar. Por tanto, ya no se aplican las reglas cuánticas sino las tradicionales, consiguiendo de esta manera engañar al sistema y apropiarse de la clave secreta sin que se perciban de ello los mecanismos encargados de la tarea.

Makarov y su equipo han demostrado que el hack funciona con dos sistemas disponibles en el mercado: ID Quantique (IDQ), con sede en Ginebra (Suiza) y MagiQ Technologies, con sede en Boston(Massachusetts). Los directivos de ambas empresas se muestran encantados de la hazaña del grupo Makarov porque afirman que gracias a ellos podrán rehacer el sistema y convertirlo en un producto más seguro. De todos modos, Makarov insiste en que los sistemas cuánticos son lo mejor que existe en seguridad. Simplemente hay que actualizarlos un poco (como todos).

Fuente: ABC

El mercado de la identidad: Vales menos que un Azerbajiano

agosto 31, 2010 § Deja un comentario

En el blog de McAfee – ¿o debo decir Intel? – han publicado un sorprendente catálogo con un auténtico mercado de la identidad. Parece el supermercado donde compraba las identidades nuestro amigo Bourne.

En él se puede ver que ser Ruso, Ukraniako o de Arerbajian es lo que menos vale. Hay que suponer que esto es así por uno de los dos siguientes motivos que regimen el libre comercio capitalista:

1) O no hay demanda: Nadie quiere comprar esas identidades.
2) O hay demasidad oferta: Tienen demasiadas identidades que vender.


Como se puede ver en la imagen, ser Frances marca un nivel, no como ser Español, que a pesar de superar los 5.000 USD cotizamos menos que los italianos. Y eso aunque seamos los campeones del mundo de futbol.

Por supuesto, una vez que tienes un pasaporte comprado, nada mejor que tener unas cuantas tarjetas clonadas, a elegir el tipo de tarjeta y el saldo de la misma.


Por último, ya que te pones, una licencia de conducir, pero sin pasar por los pesados exámenes teóricos y prácticos. Si total, con las horas que le has metido al Need For Speed o el GTA … ¿quién necesita ir a la autoescuela?
En fin, que así está el mundo de la gestión de identidades. Por cierto, a principios de Octubre, los días 5 y 6, hay un evento de esta temática en la Universidad de Sevilla, y o yo, o mi compañero Silverhack, estaremos allí, para comentar todas estas bonitas jugadas. Más información : Jornadas sobre identidad digital 2010

Fuente: Un informático en el lado del mal

Cofundador de Microsoft demanda a Apple, Google y facebook

agosto 31, 2010 § Deja un comentario

Interval Licensing, la firma de Paul Allen, demandó a 11 grandes empresas a las que acusa de violar sus patentes tecnológicas sobre búsquedas en internet e innovaciones sobre visualización

Allen está defendiendo cuatro patentes contra un grupo de empresas en el que están también AOL, eBay, facebook, Netflix, Office Depot, OfficeMax, Staples, Yahoo! y YouTube, según el documento de la demanda.

Google, facebook y eBay dijeron que contestarán los cargos.

Allen, que está en el puesto 37 del ranking global de fortunas personales según la revista Forbes, fue uno de los fundadores de Interval Research en 1992 para desarrollar tecnología para comunicaciones y computadoras.

La firma, que llegó a dar empleo a más de 110 científicos e ingenieros, registró varios años atrás patentes sobre búsquedas de internet e innovaciones de visualización, según la demanda.

Contenido completo en Infobae

Microsoft SDL y Creative Commons

agosto 31, 2010 § Deja un comentario

Durante algún tiempo ya, hemos estado recibiendo una serie de requerimientos de distintas organizaciones e individuos que quieren usar el contenido de nuestro Ciclo de Vida de Desarrollo de Seguridad  (Security Development Lifecycle – SDL) para construir así, sus propios procesos de desarrollo seguro. Dentro de Microsoft hemos pensado arduamente sobre cómo dar una respuesta positiva a estos requerimientos.

Hasta el momento, Microsoft ha liberado la información relacionada al SDL usando una licencia que no permite la reproducción, inclusión o transferencia de ninguna parte del proceso o de la documentación asociada, sin consentimiento expreso y por escrito por parte de Microsoft.

Hoy en día estamos orgullosos de anunciar que de ahora en adelante, Microsoft hará públicamente disponible toda la documentación y contenido del SDL existente para la comunidad de desarrolladores, bajo una licencia de Creative Commons. Específicamente estaremos usando los términos la licencia que señala Reconocimiento, No Comercial, Licenciar Igual: El material creado por usted puede ser distribuido, copiado y exhibido por terceros si se muestra en los créditos. No se puede obtener ningún beneficio comercial y las obras derivadas tienen que estar bajo los mismos términos de licencia que el trabajo original.

Al cambiar los términos de licenciamiento, ahora permitimos a personas y organizaciones, copiar, distribuir y transmitir la documentación a otros; esto significa que usted puede incorporar contenido de los documentos del SDL liberados bajo la licencia de Creative Commons, dentro de su proceso interno de documentación – sujeto a los términos señalados por la licencia antes señalada. Para mayor información sobre los detalles específicos de la licencia, por favor consulte aquí.

Es importante destacar, que nosotros no pretendemos cambiar el licenciamiento de ninguna de las Herramientas del SDL, estas continuarán usando licencias existentes de Microsoft.
Los dos primeros documentos a ser liberados bajo la licencia de Creative Commons serán las versiones en inglés de “Simplified Implementation of the Microsoft SDL”Microsoft Security Development Lifecycle (SDL) – Version 5.0,que ilustra como Microsoft aplica el SDL a nuestros productos y servicios. Estos documentos serán liberados en las próximas semanas.

Existe una gran cantidad de información en nuestro portal sobre el SDL tales como: casos de estudios, papeles, y materiales de entrenamiento. Es nuestra intención analizar todo este contenido y aplicarle las licencias Creative Commons también – asumiendo que tiene sentido y que no todavía no se encuentra cubierto bajo nuevos trabajos que se encuentren bajo la licencia de Creative Commons. Tomará algún tiempo para analizar y postear los documentos con la nueva licencia, así que por favor requerimos de su paciencia.

Nosotros esperamos que al publicar la documentación del SDL de forma más accesible y portable, que más personas y organizaciones comiencen a desarrollar de forma segura e incorporar conceptos de privacidad, lo que ayudará al desarrollo general de la industria.

Muchas gracias.

Eduardo Núñez
Director de Seguridad y Privacidad
Microsoft Latinoamérica

Fuente: Blogs Technet – Seguridad Microsoft

Guía para detectar spamers y scammers en Twitter

agosto 31, 2010 § Deja un comentario

Los ataques de scam son aquellos dieñados para realizar un ataque con fines de lucro hacia los usuarios a través de un engaño, generalmente utilizando Ingeniería Social. Últimamente, Twitter ha sido uno de los medios preferidos por los scammer para propagar sus estafas, por ser una de las redes sociales que más ha crecido durante los últimos dos años.

La creación de falsos perfiles es el medio utilizado por los atacantes para enlazar a los usuarios a los sitios con publicidades falsas o promociones extraordinarias, que suelen derivar en la sustracción de dinero de la víctima.

Si usted anda atento, mejor no hacer caso a este perfil, ya que se trata de enlaces de scam, así como también podrían serlo de spam: enlaces publicitarios sin fines maliciosos. Es decir, hay algunos indicios del perfil que permiten determinar que es preferible obviar el perfil. Así que veamos, ¿cómo darse cuenta que un perfil de Twitter es de un spammer o scammer?

  • El nombre del perfil no refiere claramente ni a una persona ni a una organización
  • La foto de perfil es de una mujer atractiva
  • El perfil tiene muchos following y no tantos followers
  • No hay una descripción del perfil
  • Todos los tweets poseen enlaces, a diversos sitios de dominios extraños

Cuando se juntan estas características en un único perfil, mejor hacer caso omiso por más tentadores que sean los enlaces, y preferentemente bloquear al usuario en cuestión, y hasta incluso reportarlo como spam en la red social. Mejor no exponerse a riesgos innecesarios.

Fuente: ESET Latinoamérica

¿Dónde estoy?

Actualmente estás viendo los archivos para agosto, 2010 en Seguridad Informática.