Vandalismo en la Wikipedia

Hace poco, recibía un correo con un artículo de la Wikipedia sobre el Nuevo Estadio Municipal José Zorilla (para los que no seáis nada futboleros, deciros que se trata del estadio de fútbol del Real Valladolid):


Como véis en la imagen, aparecen expresiones como Sporting de Pichón, que el estadio contaba con 70.000 localidades y que tiene palcos privados pensados especialmente para las empresas y puticlubs.

Se trata de vandalismo, cualquier adición, eliminación, o modificación de contenido realizada de manera deliberada para comprometer la integridad de Wikipedia y en la mayoría de las ocasiones realizado por pura diversión. Bastan unos pocos ejemplos para darse cuenta que no se tratan de cosas puntuales:



La Wikipedia está hecha por todos y para todos y queremos que siga siendo una enciclopedia libre y fidedigna.
Por ello, os animamos a que si encontráis algún artículo vandalizado, lo modifiquéis o intentéis revertirlo a una versión anterior (buscando en el historial una versión sin vandalizar) y advirtáis al usuario en cuestión que se detenga.

En caso de vandalismo reiterado aún a pesar de los avisos, podéis denunciar al vándalo en Wikipedia:Vandalismo en curso, en cuyo caso un bibliotecario podría bloquear dicha cuenta.

Libro: Professional Penetration Testing de Thomas Wilhelm

Os presentamos otro buen libro para pruebas de intrusión: Professional Penetration Testing de Thomas Wilhelm.

A diferencia de otros libros que se centran exclusivamente en los aspectos técnicos de un pentest, en este nos encontraremos bastante bien explicado todos los pasos implicados en la elaboración de un pentest profesional.

Más que enseñar cómo utilizar las herramientas existentes, se trata de un trabajo que muestra excepcionalmente el ciclo de vida que lleva a cabo un pentester, desde el aprendizaje del inicio hasta las pruebas de laboratorio, el pentesting real y el informe entregable final.

A continuación mostramos las tabla de contenidos de esta (sin duda) una lectura recomendada:

PART I - Setting Up
Chapter 1: Introduction
Chapter 2: Ethics and Hacking
Chapter 3: Hacking as a Career
Chapter 4: Setting up Your Lab
Chapter 5: Creating and Using PenTest Targets in Your Lab
Chapter 6: Methodologies
Chapter 7: PenTest Metrics
Chapter 8: Management of a PenTest

PART II - Running a PenTest
Chapter 9: Information Gathering
Chapter 10: Vulnerability Identification
Chapter 11: Vulnerability Verification
Chapter 12: Compromising a System and Privilege Escalation
Chapter 13: Maintaining Access
Chapter 14: Covering Your Tracks

PART III - Wrapping Everything Up
Chapter 15: Reporting Results
Chapter 16: Archiving Data
Chapter 17: Cleaning Up Your Lab
Chapter 18: Planning for Your Next PenTest

Appendix A - Acronyms
Appendix B - Definitions

Día internacional de la protección de datos personales

El próximo 28 de enero se celebra por cuarto año consecutivo el Día Internacional de la Protección de Datos. Promovido por el Consejo de Europa, esta celebración tiene como objetivo principal impulsar el conocimiento de los derechos en materia de protección de datos y privacidad entre los ciudadanos.

La celebración del Día de Protección de Datos se remonta a 2006, año en que el Comité de Ministros del Consejo de Europa estableció la celebración anual del Día de la Protección de Datos en Europa el día 28 de enero, en conmemoración del aniversario de la firma del Convenio 108 del Consejo de Europa para la protección de personas con respecto al tratamiento automatizado de datos de carácter personal.

Se trata de una jornada en la que la Agencia de Protección de Datos se ha propuesto acercar e impulsar el conocimiento de los derechos en materia de protección de datos y privacidad entre los ciudadanos, divulgar el buen uso de la información personal y fomentar las prácticas respetuosas con los derechos de los ciudadanos.

Aprendiendo seguridad desde pequeños

El INTECO (Instituto Nacional de Tecnologías de la Comunicación) y PantallasAmigas nos sorprenden gratamente con un juego en línea de preguntas y respuestas sobre seguridad informática, dirigido a niños de entre 9 y 15 años.

Se trata de un trivial precisamente bautizado con el nombre TriviRal y combina un triple objetivo:

. Didáctico: que los niños identifiquen algunos de los riesgos a los que se enfrentan en el uso de Internet
. Lúdico: aprender jugando sobre medidas preventivas a adoptar
. Informativo: dar a conocer la existencia de recursos y servicios de ayuda y respuesta así como sensibilización sobre la seguridad y la econfianza en el uso de las TIC por los menores.


Los temas tratados son el código malicioso o malware (virus, troyanos y espías), el ciberbullying (acoso entre menores) y el grooming (acoso sexual por adultos). Para cada uno de estos ejes temáticos se abordan cuestiones sobre la naturaleza, los efectos y las prácticas preventivas. Por otro lado, enfatiza la importancia de adoptar una actitud proactiva en cuestiones de seguridad del ordenador y pone de relieve la importancia de unos hábitos seguros, prudentes y responsables en la utilización de las tecnologías de la información y la comunicación.

El juego ya está disponible en http://www.navegacionsegura.com/:

Sin duda, se trata de una iniciativa que seguro agrada a los padres y a los que pronto lo seremos ;-)

17 años pudiendo escalar privilegios

Si recientemente comentábamos que Microsoft tenía que estar en estado de alerta máxima para solucionar el pasado 0-day de Internet Explorer, ayer mismo aparecía una nueva vulnerabilidad que afecta a todos los sistemas operativos del 'gigante'.

Tavis Ormandy, un conocido investigador (cuyos gustos irónicamente se declinan más por Linux) avisó de la vulnerabilidad a Microsoft en junio de 2009. Harto de que no publicasen una solución (que considera no muy compleja), ha decidido hacer público el fallo.


En esta ocasión, se trata de un fallo en el soporte heredado de aplicaciones de 16 bits, es decir, un fallo que estaba presente en los sistemas operativos de Microsoft desde 1993, ¡hace 17 años!.

Concretamente, Windows comete algunos errores y asume incorrectamente que:

* Se requiere el privilegio SeTcbPrivilege para configurar un contexto VDM (Virtual DOS Machine) .
* Código en ring3 no puede instalar selectores de segmento de código arbitrarios. Usando el modo Virtual-8086, es posible.
* Código alojado en el ring3 (espacio de usuario) no puede falsificar un "trap frame".

Ormandy consigue eludir estas cuestiones, y el resultado es que un usuario puede realizar un cambio de contexto en el núcleo y ejecutar código como SYSTEM, el máximo privilegio en el sistema.

Para eludir el tercer punto, se necesita acceder a una dirección de memoria, que es siempre la misma en todos los Windows menos Vista y Windows 7 que realizan una "aleatorización" de la carga en memoria. Se supone que esto protege de este tipo de ataques. Sin embargo, usando NtQuerySystemInformation(), se puede llegar a calcular dónde está esa dirección aunque sea diferente en cada inicio, con lo que la protección ASLR (Address space layout randomization) también se ve eludida.

El exploit ya es público y funciona a las mil maravillas. La buena noticia es que esta vez si es sencillo solucionar el problema: bastaría con deshabilitar temporalmente el soporte para aplicaciones de 16 bits.


Para ello, hay que habilitar “Impedir el acceso a aplicaciones de 16 bits” en la Consola de Políticas (gpedit.msc), dentro de “Configuración de equipo – Plantillas administrativas – Componentes de Windows – Compatibilidad de aplicación”. Y hay que forzar una actualización de las políticas en los sistemas que dependan del controlador de dominio para que se aplique el cambio.


La avalancha Aurora

Deben ser tiempos difíciles en los laboratorios de seguridad de Microsoft: ya se está explotando abiertamente el reciente 0-day de Internet Explorer que permite la ejecución remota de código a través de una página web especialmente manipulada. Urge un parche…

Tras el ataque de origen chino contra Google y (al menos) a otras 33 empresas, los investigadores comenzaban a estudiar las técnicas que se utilizaron para el mismo. Es entonces cuando McAfee quién, analizando los binarios, descubría (y notificaba a Microsoft) la nueva vulnerabilidad de IE y encontraba el nombre Aurora en una de las rutas del código malicioso: el exploit era bautizado como Aurora.

Ironías de la vida, un remitente anónimo en la página de Wepawet (un proyecto de análisis de malware de la Universidad de California) publicaba después el código original y, al día siguiente, Metasploit no tardó en incluir el exploit en sus módulos, un exploit que afecta a la versión 6 de Internet Explorer y Windows XP.



A partir de este momento podemos hablar de que la vulnerabilidad puede ser explotada fácilmente por cualquiera y, lo que es peor (o mejor, según se mire), seguramente pronto se publicarán más formas de explotarlo y para todas las versiones de IE, como ya afirma Dino Dai Zovi. Por no hablar de la avalancha de malware y sitios web maliciosos que ahora mismo se deben estar “equipando” con este exploit…

¿Y qué pueden hacer los usuarios de IE hasta que aparezca una solución definitiva?

Pueden activar DEP (Data Execution Prevention) en Internet Explorer aunque, según comentan, esto sólo haría un poco más difícil la consecución del éxito del exploit, o rezar para que surga un fallo inesperado del navegador:


También pueden confiar en una contramedida adicional como un antivirus, aunque ya os avisamos que esto tampoco sería totalmente efectivo. Basta como ejemplo que uno de los principales investigadores como es McAfee probablemente detectaría la introducción de un ‘tercer’ malware, o un desbordamiento al lanzar la shell inversa con meterpreter…


…pero no se percataría de la ejecución de cualquier comando del sistema, como muestra el siguiente ejemplo al lanzar simplemente la calculadora de forma remota:


Entonces, y tal y como aconseja gobierno francés y alemán, ¿deben los usuarios de IE utilizar otro navegador para estar más seguros?.

Demasiado tajante, siempre habrá productos vulnerables.

Lo que parece más coherente es afinar la configuración de seguridad del navegador y utilizar siempre una conjunción de medidas adicionales contra amenazas, como serían firewall personales, HIDS y otros.

Y lo digo como usuario que prefiere Firefox a Internet Explorer.. porque, ¿quién nos dice que en un futuro no aparecerán nuevos "0-days in the wild" contra nuestro navegador favorito?

Reto 1: el muñeco de nieve

Un muñeco de nieve en mi barrio no se ve todos los días. He tenido la fortuna de encontrarme con esta foto y he visto la necesidad de subirla al blog para el recuerdo.

Pero como esto es un blog de seguridad (bueno, sobretodo de seguridad), este muñeco tenía que decir algo al respecto... Si, hablamos de esteganografía, una mezcla de artes y técnicas que se combinan para conformar la práctica de ocultar y enviar información sensible en un portador que pueda pasar desapercibido.

Os propongo entonces un reto muy sencillo de estegoanálisis, ¿qué dirá nuestro muñeco de nieve?

La imágen original...



La imágen modificada con un texto oculto...


Por favor, no añadais la solución en los comentarios. Enviarnos la respuesta y el procedimiento seguido a:
Listaremos todos los ganadores cuando publiquemos la solución. ¡Buena suerte!

Mitos: el caso Tim Lloyd/Omega

Esta semana, La Sexta emitió un capítulo de la serie "Crimenes Imperfectos" que trataba de uno de los grandes mitos del hacking: el caso de la empresa Omega Engineering.

Para quien no lo conozca, decir que se trata, nada más y nada menos, de la primera sentencia de la Corte Federal de EEUU sobre un delito informático de sabotaje.

Nos remontamos al año 1996, Tim Lloyd programador jefe de Omega (empresa
proveedora de la NASA y de la armada estadounidense) es despedido tras 11 años en la compañía.

Sin embargo, anteriormente Tim ya había previsto tal desenlace y, 10 días después de su despido, explota una bomba lógica que destruye los programas y la información de los empleados en el departamento de producción, provocando más de 10 millones de dólares en pérdidas.

Como si de una película se tratara, el agente especial Hoffman, de los Servicios Secretos americanos, comienza una investigación forense que duraría 4 años y que acabaría con los huesos de Tim en la cárcel, gracias sobretodo a la colaboración de la empresa Ontrack Data International Inc.

Pero una de las cosas más increibles de este caso es el análisis técnico de la bomba lógica de Tim, que desvelaba un programa de ¡tan solo 6 líneas de código!:

1. 7/30/96
n Si, la fecha del boom!

2. F:
n La unidad de acceso al servidor

3. F:\LOGIN\LOGIN 12345
n Automáticamente devuelve el usuario 12345, sin contraseña y con privilegios de acceso al servidor de ficheros

4. CD \PUBLIC
n Acceso a un directorio público, un área común de almacenamiento en el servidor de ficheros

5. FIX.EXE /Y F:\*.*
n FIX.EXE es un ejecutable para DOS que realmente es un comando de borrado, pero que muestra en pantalla la palabra 'corregir' en lugar de 'borrar'. Se trata de una versión de Deltree.exe modificada.

n /Y fuerza el borrado de los ficheros (no pregunta)
n F:\*.* borra todos los ficheros y carpetas del volúmen del servidor

6. PURGE F:\ /ALL
n Fuerza el purgado de toda la información eliminada

Para conocer más en profundidad este mítico caso, imprescindible visitar este enlace.

BackTrack 4 final (pwnsauce)!

Probablemente ya habréis visto algunos artículos avisando del lanzamiento de la versión final de Backtrack 4, algo normal dado que, hoy por hoy, se trata de la distribución nº 1 en seguridad informática.

Pues sí, podemos decir que por fin la tenemos y que ya es posible descargarla desde la página oficial: http://www.backtrack-linux.org/downloads/.

Tras abrir boca con la beta, nos volvemos a encontrar con una distribución Linux basada en Ubuntu (Intrepid), con un kernel 2.6.29.4, un sistema de ficheros aufs2.x y un sin fin de herramientas (que hay que degustar) organizadas (metas) en las siguientes categorías:

• BackTrack
‐
Enumeration

• BackTrack
‐
Tunneling

• BackTrack
‐
Bruteforce

• BackTrack
‐
Spoofing

• BackTrack
‐
Passwords

• BackTrack
‐
Wireless

• BackTrack
‐
Discovery

• BackTrack
‐
Cisco

• BackTrack
–
Web
Applications

• BackTrack
‐
Forensics

• BackTrack
‐
Fuzzers

• BackTrack
‐
Bluetooth

• BackTrack
‐
Misc


BackTrack
‐
Sniffers

• BackTrack
‐
VOIP

• BackTrack
‐
Debuggers

• BackTrack
‐
Penetration
• BackTrack
‐
Database

• BackTrack
‐
RFID

• BackTrack
–
Python

• BackTrack
–
Drivers

• BackTrack
‐
GPU


¡Vuelve el ezine de Hack In the Box!

El 2010 ha comenzado de forma prometedora. Ahora le toca el turno a los chicos de Hack In the Box, que acaban de anunciar la publicación de su 'renacido' e-zine, el cual ya podéis descargar en:

https://www.hackinthebox.org/misc/HITB-Ezine-Issue-001.pdf

Y para abrir boca, os dejo también el índice:
  • Detección de excepciones en Windows
  • El arte de la inyección en DLL
  • Inyecciones LDAP - Técnicas de ataque y defensa (tema de portada)
  • Xprobe2-NG: herramienta de red de bajo volúmen para la obtención remota de información
  • Ofuscación de malware: trucos y trampas
  • Reconstruyendo aplicaciones Dalvik usando UNDX

Dejando las puertas abiertas

Hoy en día existen infinidad de aplicaciones de acceso remoto que permiten conectarnos desde el exterior hacia un equipo interno de una forma muy sencilla.

Por supuesto, ya no sólo hablamos de introducir un troyano o backdoor o instalar un servidor de acceso remoto tipo VNC o RAdmin abriendo un puerto y/o usando un DDNS público como no-ip.

Hablamos de aplicaciones públicas de conexión inversa como Logmein, muchas de ellas gratuitas y seguras
(os recomiendo echar un vistazo a este enlace), pero que cualquier usuario de cualquier empresa puede descargar y utilizar fácilmente, dejando una puerta abierta para acceder desde Internet hacia su equipo, y por tanto vulnerar la seguridad perimetral de la compañía.

En los últimos tiempos, estas aplicaciones están siendo un verdadero quebradero de cabeza para los administradores de seguridad,
que no siempre encuentran las contramedidas perfectas que aseguren totalmente el bloqueo de estas aplicaciones.

Normalmente, estas herramientas utilizan puertos de salida abiertos para la navegación, por lo que parece que lo más adecuado es disponer de un firewall o proxy a nivel de aplicación con un filtro HTTP que identifique ciertas cadenas o patrones en las cabeceras (como por ejemplo el user-agent). Esto se complica un poco más dado que normalmente se establecen las conexiones a través de HTTPS.

Otra opción sería tener totalmente controlada la instalación de software y servicios en los equipos de la red local. Aunque hay que reconocer que, en grandes redes, esto se convierte casi en una utopía y además es harto complicado contener la ejecución de algunos portables.

También, otra medida posible sería disponer de una buena base de datos de blacklists para bloquear el acceso a los rangos de IPs y dominios que proveen estos servicios. Pero, ¿tendremos en nuestra lista todos los nombres, IPs y URLs existentes? Parece difícil, pues basta un poco de tiempo para encontrar numerosos productos de estas características…

http://www.teamviewer.com
http://www.crossloop.com

http://www.ntrconnect.com

http://www.netretina.com

http://showmypc.com

http://www.gotomypc.com

http://www.myivo.com

http://skyfex.com

http://www.yuuguu.com/home

http://www.anyplace-control.com

http://uc.att.com

http://www.gogrok.com

http://www.livelook.com

http://www.netviewer.co.uk

http://www.oneeko.com

http://www.pcvisit.de

http://www.proxynetworks.com

http://skyfex.com

http://spreed.com

http://meeting.zoho.com

http://www.nomachine.com

http://www.webex.com

http://www.winton.org.uk/zebedee

http://www.twd-industries.com

En resúmen, podemos decir que este post no es más que una reflexión sobre el peligro que suponen estas aplicaciones/servicios para la seguridad perimetral de una empresa, así como la dificultad latente para contrarrestar su uso...

Desfigurada la página oficial de la ASOBAL

Esta mañana y durante varias horas, los aficionados al balonmano que hayan visitado la página oficial de la ASOBAL se han tenido que encontrar con una curiosa sorpresa:


Se trata de un nuevo deface reivindicativo (anti-Chávez) realizado por Xl1nuX (asiduo de Under Security, MegaUNDER, diosdelared, etc. ) de LatinHackTeaM, un grupo bastante activo en los últimos tiempos.

Los administradores de la web de la ASOBAL ya han retirado el deface, pero deben "ponerse las pilas" y mejorar la seguridad de su portal puesto que no es la primera vez que les sucede:



Dynamique, ¿¿fútbol sala??


Visto también en:
http://balonmano.mforos.com/66177/8874793-un-venezolano-ha-hackeado-la-web-de-la-asobal/
http://forum.sospronostics.com/sospronostics/Blabladiversetpresentationdesnouveauxmembres/hacked-asobal-liga-sujet_3644_1.htm

pd. Recordar que un buen recurso donde podéis encontrar muchos defaces es: http://www.zone-h.org.

Como convertirse en delicuente sin saberlo (SCAM)

¿Quién no ha recibido o recibe prácticamente a diario e-mails con atractivas ofertas de trabajo e ingresos generosos?.

Esas ofertas de trabajo, que también son difundidas en diversos sitios web, pueden convertirse en una peligrosa trampa para quienes las acepten. Las personas que aceptan estos trabajos se convierten en lo que se suele llamar mulas o muleros, es decir, transportan el dinero estafado, proveniente de la víctima, al estafador.

Todo comienza con la realización de una página web simulando ser alguna entidad financiera con el objetivo de conseguir la credenciales bancarias de sus usuarios (phishing). Una vez que los estafadores poseen estos datos, proceden al envió masivo de correos electrónicos de supuestas ofertas de trabajo para la captación de Muleros. En esas ofertas de trabajo se ofrece la posibilidad de trabajar desde casa, con jornadas de trabajo reducidas pero con unos altos ingresos semanales (entre 2000€ y 3000€).

Cuando se cumplimentan los datos para inscribirse a esa supuesta oferta de trabajo, se tiene que facilitar un número de cuenta bancaria. Es aquí donde, sin saberlo, estos usuarios pasan a formar parte de una estafa, tomando el papel de Muleros. Mediante las credenciales robadas, los estafadores acceden a las cuentas bancarias de sus victimas y realizan transferencias de grandes cantidades de dinero a los Muleros.

Posteriormente se ponen en contacto con los Muleros, para certificar la presencia del dinero transferido e informarles del procedimiento a seguir y del porcentaje de comisión por su trabajo, habitualmente entre 5% y 10%, que deben descontar al dinero recibido.

El Mulero enviará el resto del dinero al destino indicado por el estafador, en países extranjeros, a través de entidades de envío de dinero como Western Union o Money Gram, blanqueándolo y dificultando su seguimiento.

Uno de los principales problemas de estas técnicas delictivas es que cualquier usuario de internet, con cualquier tipo de preparación y medios, puede ser víctima de estos fraudes. Las necesidades económicas o la posibilidad de ganar dinero fácilmente pueden ser motivos suficientes para aceptar formar parte de prácticas de este tipo, sin tener en cuenta los problemas legales que pudieran derivarse, u obviándolos. En caso de producirse una investigación, las pruebas iniciales apuntaran al Mulero, la víctima del Scam, siendo muy complejo llegar a los verdaderos responsables del fraude.

Por ello, recomendamos tener en cuenta los siguientes puntos:
  • No confiar en correos electrónicos u otros mensajes electrónicos que soliciten aportaciones de dinero o información personal.
  • Desconfiar de ofertas que garanticen grandes beneficios de manera sencilla y rápida.
  • Evitar acceder a información cuya fuente no sea confiable.
  • No facilitar la cuenta de correo a desconocidos, ni publicitarla en exceso (ej: redes sociales).
  • No responder a mensajes falsos (Hoax) ni a cadenas de correos, para evitar que tu dirección sea recopilada.
  • Utilizar filtro anti-spam para identificar y eliminar el correo no solicitado.
  • No realizar pagos de servicios o productos de los cuales no existan referencias fiables, ni se puedan realizar seguimientos de la transacciones.
  • Tener en cuenta que el ingreso de datos personales debe ser realizado a través de conexiones seguras (https) para preservar su privacidad en la red.
  • Recordar que las entidades no requieren, a través correo electrónico, el ingreso o confirmación de datos personales sin una solicitud previa por parte del cliente.

Mr Bean "ataca" a Zapatero

Buenas a todos/as


Antes de nada, comentaros que este es mi bautismo de fuego en esto de los blogs, y espero no seáis muy duros conmigo. El que me haya animado finalmente, venciendo mi proverbial timidez, a dejar mi modestísima opinión en este rinconcito de Internet, se debe principalmente a 2 razones:

1.- La insistencia del amigo Vicente en que escribamos algo en este fantástico blog.

2.- La noticia que ha sido publicada en diferentes medios sobre el “hackeo”/”ataque” a la página web de la presidencia europea.


Con los datos que a estas horas manejamos, parece ser que el ataque ha sido producido, aprovechando una vulnerabilidad XSS en la funcionalidad de búsquedas de la página web en cuestión. Digamos que es una vulnerabilidad que se ejecuta en el lado del cliente (navegador), y que en este caso no está afectando al servidor en sí. Es decir, no se ha modificado el contenido del servidor web, y la vulnerabilidad afecta a lo que ven los usuarios cuando acceden al servidor “cliqueando” un enlace especialmente modificado, para la ocasión. A este respecto, podéis consultar la entrada en SecurityByDefault, que lo podrán decir más alto, pero en ningún caso más claro.

Posteriormente, se publicaron actualizaciones a esta noticia en distintos medios, unos más afines que otros al gobierno, y que adjunto a continuación para su valoración:


El Mundo

El Pais

ABC


Visto lo visto, me vienen varias preguntas a la cabeza, que os expongo a continuación. Quizás algunas de estas tienen una fácil explicación, a las que yo no he sabido encontrar respuesta, por lo que os ruego, que si es así, no dudéis en comentar lo que consideréis oportuno:

- El alarmismo de la noticia inicial, ¿viene dada por simple desconocimiento de la materia, o por ganas de tocar los huevos al gobierno?

- Restar importancia a la noticia, ¿viene dado igualmente por desconocimiento, o por intereses oscuros?

- ¿No disponen los medios de comunicación anteriormente mencionados, de expertos en seguridad con los que contrastar la noticia antes de publicarla? Si es así, ¿los consultan? Y si es así, ¿tienen en cuenta lo que les responden?

- El proyecto de la web de la presidencia europea ha sido vendido a Telefónica por 11,9 millones de euros, que comprende asistencia técnica y seguridad a la web en cuestión. ¿Cuánto de este montante se habrá asignado a “seguridad”?

- Dentro del apartado de “seguridad”, ¿se habrán hecho auditorias de seguridad de la web en cuestión antes de hacerla pública?

- En caso afirmativo, ¿se habrá detectado la vulnerabilidad XSS? (me resisto a pensar que no….)

- Si se detectó, ¿por qué no se corrigió? ¿Por no afectar al servidor y solo al cliente? ¿Por falta de presupuesto? ¿Por urgencias en la puesta en marcha de la web?...

- ¿Como se debería catalogar este tipo de vulnerabilidades? ¿Riesgo bajo por no afectar al servidor? ¿Riesgo alto por provocar lo que ha provocado?

- ¿No habría valido la pena corregir esta vulnerabilidad y ahorrarse todas esta últimas noticias publicadas?

- ¿Cuánto tiempo se habría “perdido” en corregir la dichosa vulnerabilidad?

- ¿Se podría valorar de alguna manera el prestigio y reputación perdidas por las partes implicadas (Gobierno, Telefónica…)?

- ¿Servirá esto de ejemplo para concienciar a ciertas cabezas pensantes?...


Saludos a todos/as y feliz año



FireCAT 1.6 ahora online

El comienzo de año nos trae la versión 1.6 de FireCAT (Firefox Catalog of Auditing exTension), la famosa colección de las extensiones de Firefox más útiles y eficientes para la auditoría de seguridad y búsqueda de vulnerabilidades.

Esta versión trae como novedades principales:

Descripciones de las extensiones
"Revisión y compatibilidad con Firefox"
Logos embebidos (según disponibilidad)
Muchas extensiones nuevas
Bugs y enlaces rotos corregidos
Preparación para la release 2.0
Y sobretodo, una nueva y bonita versión online:






Fuente: Security-database

Security-Database: las mejores herramientas del 2009


Recientemente Security-Database ha publicado los resultados de una encuesta con el software de seguridad mejor valorado durante el año 2009.


Los criterios seguidos para este informe anual han sido la audiencia de la herramienta, el soporte a la comunidad, la popularidad, la calidad de la documentación disponible, las características funcionales y su compatibilidad, el mantenimiento, la capacidad de generación de informes, los estándars o métricas seguidos y la frecuencia en las actualizaciones.


Podéis descargar el informe completo en pdf en Security-Database_Best IT Tools for 2009.

Ganador de la encuesta: Los hackers españoles más famosos

Con nada más y nada menos que el 88% de los votos, el ganador (y no podía ser otro) de la encuesta realizada en este blog sobre los hackers españoles más famosos es... Chema Alonso.

Chema Alonso (Madrid, 1975) es ingeniero técnico de Informática de Sistemas por la Universidad Politécnica de Madrid. Con 26 añitos, llevaba el pelo corto y corbata para visitar a los clientes.
En 1999 se asoció con Rodol para crear Informática 64 y actualmente es director técnico de la misma.

En el año 2004 comenzó a realizar giras de seguridad para Microsoft y hoy por hoy sigue poseyendo el título de MVP. Por eso y más, muchos le llaman 'el Hacker de Microsoft' algo que toma con humor (de ahí el nombre de su blog Un informático en el lado del mal) y un aliciente más para que sus colegas (y los no tanto) le 'piquen'.

¿Pero por qué un tío pro-Microsoft (y encima del Real y confeso 'Raulista') triunfa? Sencillo. El señor 'Maligno' es un cachondo y tiene grandes dotes de comunicador, lo cual le hacer ser uno de los ponentes más 'enrollaos' y divertidos en conferencias de seguridad informática de medio mundo: Giras de Seguridad de Microsoft, Masters, Technet Security Day, Asegúr@IT, RootedCON, BlackHat, Defcon, ToorCon, ShmooCoon .. y una largo etcétera.

Y es qué aún recuerdo en una de las primeras charlas que ví suyas (creo que en Boecillo), cómo los asistentes (entre los que me incluyo) reían a carcajadas, decían: "joé, qué fácil lo hace" y pensaban para sí mismos: "mamá, de mayor quiero ser un hacker"...


Y ahora a participar en la nueva encuesta: ¿Qué antivirus utilizas?