Por qué no veo pr0n en PDFs

noviembre 24, 2010 § Deja un comentario

En los últimos años multitud de 0days para Adobe Acrobat han visto la luz. Mucha gente comenta que la implementación del “estándar” ISO-32000 de Adobe está llena de vulnerabilidades pero poca gente veo que critique de por sí el formato (aunque también la hay). En este artículo os comento las cosas maravillosas del formato, las cosas también maravillosas de la implementación de Adobe y porqué todos los lectores de PDFs tienen y tendrán vulnerabilidades ya que, en mi opinión, es el formato el que está roto.

El formato PDF
El formato está parcialmente documentado en la especificación ISO-32000 que solo está disponible previo pago (o tras búsqueda avanzada en Google…). De todos modos, Adobe nos deja gratuitamente descargar la especificación del formato PDF 1.7 (standar). Me voy a ceñir, de momento, a las características que vienen solo en este documento para mostrar porqué las propias especificaciones indican que es él formato el que está roto y no la implementación.

¿Qué es un PDF?
Si alguien nos pregunta que es un documento PDF lo más probable es que respondamos: “Un formato para ver documentos como si los hubiésemos impreso”. Vale, pero ¿Es sólo eso? Pues va a ser que no, ya que tienen un montón de características fascinantes que, a título personal, ni de lejos hubiera pensado que estuvieran ahí o que hiciesen falta como por ejemplo:

  • Soporte para múltiples formatos de vídeo no especificando la lista (página 764).
  • Soporte para animaciones Flash (con una versión de Flash siempre anticuada en la implementación de Adobe).
  • Un motor de renderizado 3D (página 789) para insertar, por ejemplo, documentos CAD.
  • Soporte para conexión con bases de datos vía ADBC y ODBC (notas curiosas).
  • Soporte para ejecución de comandos del sistema operativo (página 660).
  • Soporte para JavaScript y FormCalc.

Contenido completo en 48bits

Gestión de la continuidad de negocio

julio 15, 2010 § Deja un comentario

Con el fin de no comprometer la actividad normal de una empresa se desarrollan diseños que constan de varias tareas encaminadas a la obtención de un plan de continuidad eficaz y viable que permita a la organización recuperarse tras un incidente.

La gestión de la continuidad del negocio es una pieza clave dentro de la gestión de la seguridad, ya que no contar con esta herramienta hace que la organización sea extremadamente vulnerable a incidentes graves. Carecer de la capacidad de recuperarse ante un evento de estas características, fuego, ataque terrorista, cortes de suministro, etc., puede tener consecuencias muy graves para la organización, pudiendo llegar a suponer la desaparición de la organización y su salida del mercado.

El vídeo número once publicado en el canal de Youtube de INTECO-CERT (se abre en nueva ventana), explica los distintos pasos y tareas a seguir para la implantación de un sistema que garantice la continuidad del negocio.

Fuente: INTECO-CERT

75% de las organizaciones sufren ataques

febrero 23, 2010 § Deja un comentario

Un nuevo estudio de Symantec encontró que el 42% de las empresas considera la seguridad de sus organizaciones como un riesgo, el 75% de ha tenido experiencias de ataques cibernéticos en los últimos 12 meses y que estos ataques costaron a las empresas un promedio de U$S2 millones por año.

Las organizaciones informaron que la seguridad de la empresa es cada vez más difícil debido a la falta de personal, las nuevas iniciativas que intensifican los problemas de seguridad de TI y las cuestiones de cumplimiento. El estudio se basa en encuestas de 2.100 directores de informática de empresas, CISOs y directores de TI de 27 países en enero de 2010.

Además, la empresa típica explora 19 normas o marcos de referencia por separado y actualmente se emplean ocho de ellos. Las normas de cabecera son la ISO, HIPAA, Sarbanes-Oxley, la CEI, PCI, e ITIL.

Cristian de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás explorando la categoría normas en Seguridad Informática.