Twitter también implementará Perfect Forward Secrecy (PFS)

<div style="text-align: justify;"> El protocolo es recomendado por la Electronic Frontier Foundation y en Twitter ya adelantaron que ralentizará un poco el servicio.<br /> <br /> En vista de las recientes revelaciones del espionaje de las agencias de seguridad norteamericanas sobre prácticamente casi toda la industria tecnológica, <a href="https://blog.twitter.com/2013/forward-secrecy-at-twitter-0" rel="nofollow" target="_blank">Twitter anunció que</a> su servicio cambiará sus estándares de cifrado utilizando un nuevo protocolo de seguridad.</div> <div style="text-align: justify;"> <br /></div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_RkWUjwnnZjqda2ToQxuafXn9D6EswrdDBj3Dse9ySV8xCGcLAJLGS9njJrkbanqEoiMhLwj5nGekS0CILoJhRYpW0Am-umgENBiJbkXI-zssXfV9K9JAdobxKolW0LSVd2mqgsSbnifX/s1600/Efecto_Twitter.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="240" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_RkWUjwnnZjqda2ToQxuafXn9D6EswrdDBj3Dse9ySV8xCGcLAJLGS9njJrkbanqEoiMhLwj5nGekS0CILoJhRYpW0Am-umgENBiJbkXI-zssXfV9K9JAdobxKolW0LSVd2mqgsSbnifX/s320/Efecto_Twitter.jpg" width="320" /></a></div> <div style="text-align: justify;"> <br /> <br /> Este protocolo, <a href="https://www.eff.org/deeplinks/2013/08/pushing-perfect-forward-secrecy-important-web-privacy-protection" rel="nofollow" target="_blank">recomendado por muchos expertos en el área como la EFF</a> (Electronic Frontier Foundation), es conocido como <a href="http://es.wikipedia.org/wiki/Perfect_forward_secrecy" rel="nofollow" target="_blank">Perfect Forward Secrecy</a>.<br /> <br /> La EFF explica el funcionamiento de la siguiente forma: Con el cifrado estándar HTTPS la llave (o clave) para desencriptar la información está almacenada en el servidor, lo que significa que una agencia de seguridad como la NSA puede capturar toda la información y simplemente esperar hasta que llegue el día que obtenga la llave para descifrar toda esta información.<br /> <br /> Sin embargo, el protocolo Perfect Forward Secrecy (que se implementaría encima de HTPPS) consistiría en el fondo en <b>generar una llave nueva para cada interacción,</b> esperando así prevenir la captura pasiva de datos de la NSA.<br /> <br /> El nuevo protocolo requerirá una arquitectura de servidores un poco más compleja, lo que dará como resultado un servicio quizá un poco más lento, pero Twitter cree que esta seguridad extra valdrá completamente la pena. Al fin y al cabo, aseguraron que debería ser un estándar y <a href="http://www.theverge.com/2013/6/26/4468050/facebook-follows-google-with-tough-encryption-standard" rel="nofollow" target="_blank">ya fue implementado</a> por <a href="http://blogs.computerworld.com/encryption/22366/can-nsa-see-through-encrypted-web-pages-maybe-so" rel="nofollow" target="_blank">Google</a> y <a href="http://news.cnet.com/8301-13578_3-57591179-38/data-meet-spies-the-unfinished-state-of-web-crypto/" rel="nofollow" target="_blank">Facebook</a>.<br /> <br /> Fuente: <a href="http://www.fayerwayer.com/2013/11/twitter-implementara-perfect-forward-secrecy-para-aumentar-la-seguridad/">FayerWayer</a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

El protocolo es recomendado por la Electronic Frontier Foundation y en Twitter ya adelantaron que ralentizará un poco el servicio. En ...

Leer más »

Facebook permite ver la lista de amigos privada

<div style="text-align: justify;"> Irene Abezgauz, un investigador de seguridad del Centro de investigación de Quotium ha encontrado una <a href="http://www.quotium.com/research/advisories/Facebook_Vulnerability_Discloses_Private_Friends_list.php" rel="nofollow" target="_blank">vulnerabilidad en Facebook que permite ver la lista de amigos de los usuarios</a>, aunque el usuario haya establecido esa información como privada.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> </div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEisHHvEPZNW7_X4SNYnpQ-q9nCxW5gsaJm0ed3QLrkEZA0ekxL2OC_qXnoPnyCfwp8U7n_dvLptprfTCkAuEMvsJuk3-bh9Nrukj1tyfCCk8tpmWUruR085PHm2JrA0DIwqcaRNoxC56QkX/s1600/facebook-logo-hacked.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="226" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEisHHvEPZNW7_X4SNYnpQ-q9nCxW5gsaJm0ed3QLrkEZA0ekxL2OC_qXnoPnyCfwp8U7n_dvLptprfTCkAuEMvsJuk3-bh9Nrukj1tyfCCk8tpmWUruR085PHm2JrA0DIwqcaRNoxC56QkX/s320/facebook-logo-hacked.jpg" width="320" /></a></div> <div style="text-align: justify;"> <br /> <br /> El exploit abusa de la función de "Personas que tal vez conozcas" en Facebook, que sugiere nuevos amigosen base a conexiones mutuas y otros criterios como la educación o el trabajo.</div> <br /> <br /> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi5DoirajLItXEMVCohNvYKnCePIpx4xobuvFJkpExTjeoizKolRtxJNOZPFluVEW4vGGIXVIoJE2xd6vm-SppFVhQZZZTcWOOMvycUiGMrhZMaSumwr164AWktOWhwgW3L22Umso70RoU/s1600/Facebook+hack+reveals+private+friend+list+of+users.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi5DoirajLItXEMVCohNvYKnCePIpx4xobuvFJkpExTjeoizKolRtxJNOZPFluVEW4vGGIXVIoJE2xd6vm-SppFVhQZZZTcWOOMvycUiGMrhZMaSumwr164AWktOWhwgW3L22Umso70RoU/s400/Facebook+hack+reveals+private+friend+list+of+users.png" style="display: inline;" /></a></div> <br /><div style="text-align: justify;"> ¡Este hack es muy sencillo! Lo que se tendría que hacer es crear un perfil falso de Facebook y luego enviar una solicitud de amistad a su objetivo. Incluso si el usuario objetivo nunca acepta la solicitud, el atacante puede ver la lista de amigos de esa persona a través de la función de "<i>gente que tal vez conozcas</i>".<br /><br /> Facebook dice que <i>"un atacante no tienen forma de saber si los amigos sugeridos representan o no la lista completa del usuario. Puede ver cientos de sugerencias y no saber cuales son los reales, sólo es un 80%"</i>.<br /> Por el momento, Facebook no ha reconocido el hallazgo. Entonces, ¿para qué establecer dicha lista como privada?</div> <br /> Fuente: <a href="http://thehackernews.com/2013/11/facebook-vulnerability-allows-to-view.html" rel="nofollow" target="_blank">HackerNews</a><div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

Irene Abezgauz, un investigador de seguridad del Centro de investigación de Quotium ha encontrado una vulnerabilidad en Facebook que permit...

Leer más »

Pentesting a servicos web: WSDL

<div style="text-align: justify;"> <a href="http://es.wikipedia.org/wiki/WSDL%E2%80%8E" rel="nofollow" target="_blank">"Web Services Description Language" (WSDL)</a> es un lenguaje empleado en páginas web para informar a los clientes que el servidor dispone de una aplicación indicándole en que consiste el servicio que ofrece, mostrando cual es su función y como puede un cliente interactuar con ella. Esto lo hace a través de un archivo XML en donde se describe todo lo anterior.<br /> <br /> WSDL esta pensado para facilitar la vida al administrador pudiendo añadir de manera amena nuevos servicios. La información que ofrece este archivo puede llegar a ser un tesoro. Con él se obtiene información sobre appwebs, su ubicación, como trabaja, puntos de entrada a la aplicación, posibles ataques de sql injection, ataques a paneles de autentificacion, ataques al parámetro SessionId, etc...<br /> <br /> Un ejemplo para entenderlo mejor: <a href="http://tinyurl.com/knpx95z" rel="nofollow" target="_blank" title="http://tinyurl.com/knpx95z">http://tinyurl.com/knpx95z</a><br /> Más información: <a href="http://di002.edv.uniovi.es/%7Efalvarez/WSDL.pdf" rel="nofollow" target="_blank" title=" http://di002.edv.uniovi.es/~falvarez/WSDL.pdf ">http://di002.edv.uniovi.es/~falvarez/WSDL.pdf</a><br /> <br /> Para encontrar ficheros WSDL basta con hacer un poco de hacking con buscadores:<br /> </div> <ul style="text-align: justify;"> <li>filetype:”wsdl”</li> <li>indexof:”/wsdl”</li> <li>inurl:wsdl</li> <li>inurl:”?wsdl”</li> <li>inurl:”.wsdl”</li> <li>inurl:”.aspx?wsdl”</li> <li>inurl:”.ascx?wsdl”</li> <li>inurl:”.asmx?wsdl”</li> <li>inurl:”.ashx?wsdl”</li> <li>inurl:”.jws?wsdl”</li> <li>inurl:”.svc?wsdl”</li> <li>filetype:wsdl wsdl</li> </ul> <div style="text-align: justify;"> Y las que se te vayan ocurriendo. Una de las herramientas para este fin que más me ha sorprendido es <a href="http://sourceforge.net/projects/ws-attacker/" rel="nofollow" target="_blank">WS-ATTACKER</a>, actualizada hace unos meses, incorpora una cantidad de plugins muy interesantes.</div> <div style="text-align: justify;">  </div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi3XT9IXCe9dmm0IZHQ9b96x-Uiojv8dqkLDsTE10dL7O58n1RBYKDjOi6emaUJAEYqqb91S14ozaIqjN4uDiqhXT16RjgD6ZpGKUkbHGQRfbNovdDwwHrSz3VEcjexfDCGr5vQcgzzBMZD/s1600/menu3.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="244" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi3XT9IXCe9dmm0IZHQ9b96x-Uiojv8dqkLDsTE10dL7O58n1RBYKDjOi6emaUJAEYqqb91S14ozaIqjN4uDiqhXT16RjgD6ZpGKUkbHGQRfbNovdDwwHrSz3VEcjexfDCGr5vQcgzzBMZD/s320/menu3.jpg" width="320" /></a></div> <div style="text-align: justify;">  </div> <div style="text-align: justify;">  </div> <div style="text-align: justify;"> Basta con indicar la ruta de un wsdl, configurando los parámetros, seleccionar los plugins que convegan y comenzar a testear.<br /> <br /> Fuente: <a href="http://dominiohacker.com/pentesting-a-servicos-web-wsdl-1880/">Dominio Hacker</a><div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>  </div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <div style="text-align: justify;"> <br /></div> </div>

"Web Services Description Language" (WSDL) es un lenguaje empleado en páginas web para informar a los clientes que el servidor...

Leer más »

¿Podría haber un backdoor en un sistema operativo de código abierto?

<div style="text-align: justify;"> Que <a href="http://falkvinge.net/2013/11/17/nsa-asked-linus-torvalds-to-install-backdoors-into-gnulinux/" rel="nofollow" target="_blank">la NSA propuso a Linus Torvalds introducir una puerta trasera en Linux</a> era un rumor que el propio creador del kernel ya reconoció en septiembre durante la conferencia <a href="http://events.linuxfoundation.org/events/archive/2013/linuxcon-north-america" rel="nofollow" target="_blank">LinuxCon</a>. Ahora sin embargo ya es un hecho confirmado porque así se reveló durante la audiencia sobre la vigilancia de masas en el Parlamento Europeo de esta semana.<br /> <br /> Nils Torvalds, padre de Linus y miembro del Parlamento Europeo de Finlandia, comentaba (minuto 3:09:06 del <a href="http://youtu.be/EkpIddQ8m2s" rel="nofollow" target="_blank">vídeo</a>): "<i>Cuando a mi hijo mayor le hicieron la misma pregunta: '¿te ha hecho la NSA alguna propuesta sobre backdoors', dijo 'No' , pero al mismo tiempo él asintió. Era una clase de libertad legal. Le había dado la respuesta correcta, [pero] todos entendieron que la NSA se había acercado a él".</i></div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg3t132rCus2xMg6mPxU3rtamjCbzcb0jMXq8ygQco222Q2nFNgi0Gy9DTU5cw3boVBYKmCW5ONLc_E6MVgL1zEbv95IGj0_9aUxwjAmaRBRGhyphenhyphenZD5xT6Dl_9b48suVRyUwdWC13bW__cxI/s1600/Linux_Nsa.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg3t132rCus2xMg6mPxU3rtamjCbzcb0jMXq8ygQco222Q2nFNgi0Gy9DTU5cw3boVBYKmCW5ONLc_E6MVgL1zEbv95IGj0_9aUxwjAmaRBRGhyphenhyphenZD5xT6Dl_9b48suVRyUwdWC13bW__cxI/s1600/Linux_Nsa.jpg" /></a></div> <div style="text-align: justify;"> <br /> La historia no nos dice todavía qué respondió Linus Torvalds a la NSA, pero supongo que les dijo que n<a href="http://libuntu.wordpress.com/2013/09/10/linus-torvalds-responde-que-el-kernel-linux-no-tiene-backdoors-de-la-nsa/" rel="nofollow" target="_blank">o sería capaz de inyectar puertas traseras</a>, aunque quisiera, ya que <b>el código fuente es abierto y todos los cambios son revisados por muchas personas independientes. </b>Después de todo, esa es una de las ventajas del código fuente abierto y la razón por la que, en teoría, se podría confiar cuando se trata de seguridad.<br /> <br /> Y digo en teoría porque en este mundo ya nadie se ríe y piensa que eres un paranoico si afirmas que, <b>aun así, también podrían haber introducido un backdoor en Linux,</b> aunque sea un sistema operativo de código abierto... <br /> <a href="http://www.blogger.com/null" name="more"></a><br /> Descargar e instalar un paquete firmado de un sitio oficial sólo te garantiza de dónde viene y que no ha sido modificado en tránsito. Pero, ¿se puede confiar en que realmente haya sido compilado sin haberse modificado ningún fichero del repositorio público o se hayan introducido cambios reconocidos pero con funcionalidades adicionales ocultas? <br /> <br /> Realmente la respuesta da un poco igual para la mayoría. Si lo piensas ¿quién descarga y compila el código de una distribución? Sólo algunos profesionales y entusiastas. Es más, aunque recompilen el código ¿cuantos lo han revisado? Seguramente no haya nadie o muy pocos que tengan la capacidad de analizar todos los componentes del sistema operativo. <br /> <br /> Supongamos que alguien decide analizar exhaustivamente el código para verificarlo. Si recordáis hace poco en el blog hablábamos de una <a href="http://www.hackplayers.com/2013/11/podria-truecrypt-esconder-un-backdoor.html" target="_blank">iniciativa de financiación colectiva sólo para auditar el código de Truecrypt</a>. Imaginaros el coste de auditar una distribución Linux cuyo código es más de 10 veces mayor.<br /> <br /> Pero vayamos un poco más allá. Pensemos por un momento que alguien asume la inversión y se lleva a cabo la revisión completa del código del sistema operativo. Lo lógico sería que la revisión se dividiera por partes ¿no sería factible controlar a una empresa o a algunos grupos de desarrolladores? Es más, ¿no sería posible ocultar un backdoor delante de sus narices?. Ya <a href="http://www.securityfocus.com/news/7388" target="_blank">en 2003</a> se cambiaron en el kernel dos líneas de código que parecían un error tipográfico pero que al llamar la función sys_wait4 daban acceso como root...<br /> <br /> Pensarlo por un momento. Yo amo a Linux porque ofrece más libertad y al menos te da la opción de revisar y modificar el código pero creo que sí sería posible introducir una puerta trasera en el sistema operativo, aunque sea de código abierto... ¿por qué si no la NSA se habría dirigido a Linus Torvalds?<br /> <br /> Fuente: <a href="http://www.hackplayers.com/2013/11/podria-haber-un-backdoor-en-un-so-de-codigo-abierto.html" rel="nofollow" target="_blank">Hackplayers</a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

Que la NSA propuso a Linus Torvalds introducir una puerta trasera en Linux era un rumor que el propio creador del kernel ya reconoció en s...

Leer más »

FBStalker y GeoStalker, herramientas para analizar tu vida privada

<div style="text-align: justify;"> Yo sé qué si estáis leyendo esta entrada en este blog teneis en especial consideración la seguridad informática y sois extremadamente cuidadosos con la <b>configuración de la privacidad</b> de vuestras cuentas como la de Facebook... pero has de saber que sólo necesitas tener un amigo "descuidado" para abrir el camino hacia una gran cantidad de información sobre tu vida privada.</div> <div style="text-align: justify;"> <br /></div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgTXsHk6PQz_S2hT_VEe1kAgmQ-eubFIv9B2o_IkYeC3LrQqBpilR3-YKicvnxHat0ryYKcpURsL4NHW-emPMPP8nTE5Q_0Wl5Ng0zoYOoblCKAFi3npquz_qICFXxwVprx6H5R8VTYp6AU/s1600/analisis-forense2.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="68" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgTXsHk6PQz_S2hT_VEe1kAgmQ-eubFIv9B2o_IkYeC3LrQqBpilR3-YKicvnxHat0ryYKcpURsL4NHW-emPMPP8nTE5Q_0Wl5Ng0zoYOoblCKAFi3npquz_qICFXxwVprx6H5R8VTYp6AU/s320/analisis-forense2.jpg" width="320" /></a></div> <div style="text-align: justify;"> <br /> <br /> Con <a href="https://github.com/milo2012/osintstalker" rel="nofollow" target="_blank">FBStalker y GeoStalker</a>, <b>herramientas de inteligencia de código abierto (OSINT) para minería de datos,</b> se facilita mucho este proceso y, como comentamos, es posible aprovecharse de uno sólo de tus amigos imprudentes para conseguir tener mucha información sensible y un auténtico esquema de tu vida personal.<br /> <br /> Estas herramientas fueron presentadas (<a href="http://conference.hitb.org/hitbsecconf2013kul/materials/D2T3%20-%20Keith%20Lee%20and%20Jonathan%20Werrett%20-%20Facebook%20OSINT.pdf" rel="nofollow" target="_blank">PDF</a>) por Keith Lee y Jonathan Werrett de SpidersLabs en la última <a href="http://conference.hitb.org/" target="_blank">conferencia </a><a href="http://www.blogger.com/null" rel="nofollow" target="_blank">Hack in the Box en Kuala Lumpur</a>. Ambos demostraron cómo utilizar Facebook Graph con otras fuentes como LinkedIn, Flickr, Instagram y Twitter para recolectar información sobre una objetivo, como lugares y sitios web visitados con regularidad, el trabajo, la escuela o los amigos on-line y mostrar los datos en Google Maps.<br /> <br /> En nuestro ejemplo lo probaremos en Kali Linux (32 bit). Para ello, empezaremos instalando Chrome y su driver correspondiente:<br /> <code><br /> wget http://95.31.35.30/chrome/pool/main/g/google-chrome-stable/google-chrome-stable_27.0.1453.93-r200836_i386.deb<br /> dpkg -i google-chrome-stable_27.0.1453.93-r200836_i386.deb</code><br /> <br /> <b><a href="http://www.hackplayers.com/2013/11/fbstalker-y-geostalker-dos-herramientas-osint.html">Continuar leyendo en fuente original HackPlayers</a></b></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

Yo sé qué si estáis leyendo esta entrada en este blog teneis en especial consideración la seguridad informática y sois extremadamente c...

Leer más »

Netsh trace, realiza capturas de tráfico de red sin necesidad de instalar nada

<div style="text-align: justify;"> En <a href="http://blogs.technet.com/b/yongrhee/archive/2013/08/16/so-you-want-to-use-wireshark-to-read-the-netsh-trace-output-etl.aspx" rel="nofollow" target="_blank">Windows 7/2008 R2 ya no es necesario instalar WireShark o Netmon</a> para realizar una captura de tráfico, con el <a href="http://msdn.microsoft.com/en-us/library/windows/desktop/dd569142%28v=vs.85%29.aspx" rel="nofollow" target="_blank">comando<i> 'netsh trace'</i></a> <a href="http://www.windowsnetworking.com/articles-tutorials/windows-7/New-Netsh-Commands-Windows-7-Server-2008-R2.html" rel="nofollow" target="_blank">es posible hacerlo directamente</a> desde la línea de comandos:</div> <div style="text-align: justify;"> <br /></div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQFyVGsakHKZZcV0yCE1MsXGDTRBlGFizCSD38mjt4Au00WLANKJuPna3HrAch6J8lvoQ64PJ9hUmeAkzjd1BMWygL6m4bN5A_dMQsaacGEdysiaE5xusSDLHND_3vXxzU1fk_mfjc9j8q/s1600/netsh-sample1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="201" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQFyVGsakHKZZcV0yCE1MsXGDTRBlGFizCSD38mjt4Au00WLANKJuPna3HrAch6J8lvoQ64PJ9hUmeAkzjd1BMWygL6m4bN5A_dMQsaacGEdysiaE5xusSDLHND_3vXxzU1fk_mfjc9j8q/s400/netsh-sample1.png" width="400" /></a></div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Básicamente desde una consola con permisos administrativos <a href="http://chentiangemalc.wordpress.com/2012/02/22/netsh-traceuse-it/">ejecutamos el comando <i>'netsh trace start'</i></a> con los parámetros deseados para iniciar la captura:<br /> <br /> <code>C:\Windows\system32> netsh trace start capture=YES report=YES persistent=YES</code><br /> <br /> Y posteriormente cuando queramos paramos la monitorización con el comando:<br /> <br /> Windows\system32> netsh trace stop<br /> <br /> Una vez finalizada la captura, se generarán dos ficheros por defecto: uno con extensión .ETL (Event Trace Log) que puede ser abierto con herramientas como Netmon, y otro con extensión .CAB que contiene abundante información sobre el software y hardware del sistema, así como la información del adaptador, estructura, sistema operativo y la configuración inalámbrica.<br /> <br /> El uso de netsh para esnifar y analizar tráfico es muy cómodo y tremendamente útil en análisis forenses y en sistemas en los que no es posible o no se permite instalar software. Además con el tracing de netsh obtenemos otras ventajas importantes a considerar:<br /> </div> <ul style="text-align: justify;"> <li>es posible configurar la monitorización para que sea persistente, es decir, que permanezca después de un reinicio.</li> <li>tiene capacidad de registro circular: puedes dejar la monitorización de forma indefinida hasta que un evento determinado ocurra.</li> <li>se puede centrar en el seguimiento de un escenario específico ('netsh show scenarios').</li> <li>permite crear filtros y es muy parametrizable lo que le pone a la altura de otras herramientas y facilita la detección de problemas o troubleshooting de red. Por ej. puedes capturar los paquetes sólo con origen/destino una IP en concreto: 'netsh trace start capture = yes ipv4.address == x.x.x.x'.</li> <li>junto con la captura se pueden generar informes y todo se almacena en un único archivo .CAB</li> <li>las trazas de paquetes se pueden ver en el Monitor de red de Microsoft con el analizador de Windows habilitado. Esto también nos permite ver el tráfico de MS de forma más ordenada</li> </ul> <div style="text-align: justify;"> O si lo prefieres, puedes incluso <a href="http://blogs.technet.com/b/yongrhee/archive/2013/08/16/so-you-want-to-use-wireshark-to-read-the-netsh-trace-output-etl.aspx" rel="nofollow" target="_blank">exportar el fichero ETL a formato CAP</a> con <a href="http://blogs.technet.com/b/yongrhee/archive/2013/08/16/installing-the-microsoft-message-analyzer-beta-3.aspx" rel="nofollow" target="_blank">Microsoft Message Analyzer Beta 3</a> para abrirlo con Wireshark.<br /><br /> Fuente: <a href="http://www.hackplayers.com/2013/11/netsh-trace-realiza-capturas-de-trafico.html">HackPlayers</a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div> <br /> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

En Windows 7/2008 R2 ya no es necesario instalar WireShark o Netmon para realizar una captura de tráfico, con el comando 'netsh trace...

Leer más »

Sony lanza app de Playstation para iOS y Android

<div style="text-align: justify;"> A un par de días de que la esperada consola PlayStation 4 esté disponible en tiendas, leemos en <a href="http://mashable.com/2013/11/13/sony-launches-playstation-app-for-ios-and-android/">Mashable</a> sobre la nueva aplicación disponible en las stores iTunes y GooglePlay, app oficial de Sony que permitirá a los jugadores acceder a su PlayStation Network desde su dispositivo.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Compatible con smartphones y tabletas, la app de Sony nos permitirá acceder a PlayStation Network desde cualquier sitio para chatear con nuestros amigos en dicha red, comparar logros y trofeos, ver las últimas conexiones de nuestros contactos y ver a qué estaban jugando, estar atento a las alertas recibidas, recibir notificaciones o invitaciones para juegos varios, etc.</div> <div style="text-align: justify;"> <br /></div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi7IqPpa5PdwHRsYyHaaKOBE_TOqn4jlXKhYU8sCw1meKpsrIfvDFY_84xSPfk1UV-tfwdEPmnZaLbWUiaPuzYMLNhewy9JjoxcUB_9CC2psSx0X8Dgd5-OqX0X7GDPd7aIIAWbuV5DW58g/s1600/sshot-151.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="205" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi7IqPpa5PdwHRsYyHaaKOBE_TOqn4jlXKhYU8sCw1meKpsrIfvDFY_84xSPfk1UV-tfwdEPmnZaLbWUiaPuzYMLNhewy9JjoxcUB_9CC2psSx0X8Dgd5-OqX0X7GDPd7aIIAWbuV5DW58g/s400/sshot-151.jpg" width="400" /></a></div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Si lo que queremos es una interacción más activa con nuestros juegos y tiendas online, podremos incluso comprar desde la aplicación distintos add-ons y juegos que veremos disponible en nuestra consola al llegar a casa, siendo esto último una buena forma de optimizar el tiempo.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Por último, pero no menos importante, la aplicación de Playstation permitirá que utilicemos nuestro móvil a modo de teclado si lo conectamos a la PS4 y también desde la app podremos leer guías, manuales y material adicional diverso relacionado con la consola.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Recordemos que PlayStation 4 estará disponible en tiendas a partir de pasado mañana en USA, y a partir del 29 de noviembre en Europa y Australia. Será más tarde, en diciembre, cuando estará disponible en países como Arabia Saudí o Corea. Podéis bajar la aplicación de PlayStation en este enlace a iTunes si sois usuarios de <a href="https://itunes.apple.com/us/app/playstation-app/id410896080?mt=8">iOS</a>, y en este enlace a GooglePlay si preferís la versión <a href="https://play.google.com/store/apps/details?id=com.scee.psxandroid&hl=en">Android</a>.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> <a href="http://wwwhatsnew.com/" target="_blank">Enlace </a></div>

A un par de días de que la esperada consola PlayStation 4 esté disponible en tiendas, leemos en Mashable sobre la nueva aplicación dispon...

Leer más »

Vulnerabilidad Zero-Day en Intenet Explorer

<div style="text-align: justify;"> <a href="https://isc.sans.edu/diary/IE+Zero-Day+Vulnerability+Exploiting+msvcrt.dll/16985">FireEye Labs ha descubierto</a> un <a href="http://www.fireeye.com/blog/technical/2013/11/new-ie-zero-day-found-in-watering-hole-attack.html">exploit que aprovecha una vulnerabilidad 0-day en Internet Explorer</a> de acceso a memoria para lograr la ejecución de código. Hasta ahora la vulnerabilidad ha sido confirmada en IE 7, 8, 9 y 10 y según Microsoft, la vulnerabilidad puede ser mitigada utilizando <a href="http://www.microsoft.com/en-us/download/details.aspx?id=39273">EMET 4.0</a>.</div> <div style="text-align: justify;"> </div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLVlaDbd0sy9TGHuQsl6rAVEj8vihsqMALsy55oikkLEUFLfXrdETgFsXzNGQlXmkZLa1SEWx0ewWzY29DXoEQDMIsLstYEN9qBkxplz1LhzG3toomfJ5LMnLVB1uEfukOu5lg2iHLBqtz/s1600/zero-day-internet-explorer.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLVlaDbd0sy9TGHuQsl6rAVEj8vihsqMALsy55oikkLEUFLfXrdETgFsXzNGQlXmkZLa1SEWx0ewWzY29DXoEQDMIsLstYEN9qBkxplz1LhzG3toomfJ5LMnLVB1uEfukOu5lg2iHLBqtz/s1600/zero-day-internet-explorer.jpg" /></a></div> <div style="text-align: justify;"> <br /> <br /> Un 0day en productos de Microsoft es relativamente normal. De hecho, con este, son dos los que han sido encontrados en la última semana (particularmente prolífica en este aspecto). Al margen de la eterna discusión y las soluciones no adoptadas aún (<a href="http://support.microsoft.com/kb/2458544/" target="_blank">con EMET</a>, no hay peligro en ninguno de los dos casos), este 0-day es muy especial no tanto por el fallo, sino por la forma de explotación. Una vez encontrada una vulnerabilidad, el atacante puede explotarla de varias formas. En este caso, han elegido un par de métodos muy interesantes, y <b>nada habituales. </b><br /> <br /> <a href="http://www.fireeye.com/blog/technical/2013/11/new-ie-zero-day-found-in-watering-hole-attack.html" rel="nofollow" target="_blank">FireEye proporcionó información adicional</a> sobre el exploit y sobre el troyano utilizado para infectar los equipos vulnerados <a href="http://www.fireeye.com/blog/technical/cyber-exploits/2013/11/operation-ephemeral-hydra-ie-zero-day-linked-to-deputydog-uses-diskless-method.html" rel="nofollow" target="_blank">Trojan.APT.9002 (o una variante Hydraq/McRAT)</a>, conocido también por la <a href="http://www.fireeye.com/blog/technical/cyber-exploits/2013/09/operation-deputydog-zero-day-cve-2013-3893-attack-against-japanese-targets.html" rel="nofollow" target="_blank">Operation DeputyDog, contra sitios japoneses</a> y también usando en la <a href="http://blog.segu-info.com.ar/search/?q=aurora" target="_blank">Operación Aurora</a> original. Además, han publicado una lista de MD5 y dominios que han estado actuando desde el momento del descubrimiento.<br /> <br /> Fuente: <a href="https://isc.sans.edu/diary/IE+Zero-Day+Vulnerability+Exploiting+msvcrt.dll/16985">ISC</a> y <a href="http://blog.elevenpaths.com/2013/11/el-ultimo-0day-de-internet-explorer-que.html" target="_blank">Hispasec</a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

FireEye Labs ha descubierto un exploit que aprovecha una vulnerabilidad 0-day en Internet Explorer de acceso a memoria para lograr la ej...

Leer más »

Seguridad Lógica y Ataques Recientes en ATM's

<div style="text-align: justify;"> En el mes de Septiembre <a href="http://world-of-dino.blogspot.com.ar/2013/11/seguridad-logica-y-ataques-recientes-en.html" rel="nofollow" target="_blank">Jhon Jairo Hernández Hernández (aka Dinosaurio)</a> ha sido contactado por la Dirección de Operación Bancaria para brindar una conferencia en el marco del "VII CONGRESO DE PREVENCION DEL FRAUDE Y SEGURIDAD" y en este caso se ha explayado sobre sus investigaciones forenses encaminadas a resolver fraudes bancarios.<br /> <br /> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjgYnho9t2HjfUfpt4b3yUgiF-020K1eFQwDD7168F9NuGfvdCwqjl4DQzWfUJLzzbdeal6ETlC0SRL_I0gM2kbwf_MovMobtt9e3-rVrRSw2VkCAyM2Mst6P2s318FPZCdTvixgipGuGtJ/s1600/ATM-comprobantes.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="241" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjgYnho9t2HjfUfpt4b3yUgiF-020K1eFQwDD7168F9NuGfvdCwqjl4DQzWfUJLzzbdeal6ETlC0SRL_I0gM2kbwf_MovMobtt9e3-rVrRSw2VkCAyM2Mst6P2s318FPZCdTvixgipGuGtJ/s320/ATM-comprobantes.jpg" width="320" /></a></div> </div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> <br /></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div> <center> <iframe allowfullscreen="" frameborder="0" height="420" marginheight="0" marginwidth="0" scrolling="no" src="http://www.slideshare.net/slideshow/embed_code/28090671" style="border-width: 1px 1px 0; border: 1px solid #CCC; margin-bottom: 5px;" width="510"> </iframe> <br /> <div style="margin-bottom: 5px;"> <b> <a href="https://www.slideshare.net/d7n0s4ur70/charla-asobancaria" target="_blank" title="Charla asobancaria">Charla asobancaria</a> </b> from <b><a href="http://www.slideshare.net/d7n0s4ur70" target="_blank">Dino Saurio</a></b> </div> </center> <br />

En el mes de Septiembre Jhon Jairo Hernández Hernández (aka Dinosaurio) ha sido contactado por la Dirección de Operación Bancaria para br...

Leer más »

Buscan definir cifra exacta de pérdidas totales por ciberataques

<div style="text-align: justify;"> Los Gobiernos y las <a href="http://www.cbsnews.com/8301-205_162-57611082/world-cybersecurity-leaders-call-for-cooperation/" rel="nofollow" target="_blank">empresas gastan un $1,000 millones de dólares anuales en ciberseguridad</a>, pero al contrario que en los casos de guerras o derrames petroleros, no hay manera de determinar las pérdidas totales porque pocos admiten haber sido afectados.</div> <div style="text-align: justify;"> <br /></div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgtTFioVXZq_yAN7eRgTWH-sjxzNND3z4cehXKVj5hU13hvwTwFLeTu-4lAesIqtUorUR6etP5qjhnksVaPXWjkuLAxsQZlHq2MvLqGijb_ZzpEqPX6vX9TsjkbclldpCQw15fBhBJJG2qz/s1600/ciberataques.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgtTFioVXZq_yAN7eRgTWH-sjxzNND3z4cehXKVj5hU13hvwTwFLeTu-4lAesIqtUorUR6etP5qjhnksVaPXWjkuLAxsQZlHq2MvLqGijb_ZzpEqPX6vX9TsjkbclldpCQw15fBhBJJG2qz/s320/ciberataques.jpg" width="320" /></a></div> <div style="text-align: justify;"> <br /> <br /> Los dirigentes de la ciberseguridad de más de 40 países se reúnen esta semana en la Universidad de Stanford para tratar de zanjar esa brecha informativa creando una sola entidad que lleve la cuenta de cuánto roban los ciberintrusos.<br /> <br /> El ministro chino Cai Mingzhao admitió que hay cuestiones de confianza que superar, ya que algunas firmas estadounidenses de seguridad atribuyen ataques cibernéticos a los militares chinos. Pero agregó que las naciones deben cooperar.<br /> <br /> <i>"En el ciberespacio, todos los países enfrentan el mismo problema y en definitiva comparten la misma situación"</i>, afirmó.<br /> <br /> Mingzhao también exhortó a sus colegas a aprobar nuevas reglas internacionales de conducta en el ciberespacio.<br /> <br /> El profesor de economía John Shoven, director del Instituto Investigación sobre Política Económica de la Universidad de Stanford, advirtió sobre <i>"la tremenda perturbación que representaría para la economía la falta de confianza en la seguridad en la red"</i>.<br /> <br /> <i>"No podemos permitir que ocurra eso"</i>, agregó.<br /> <br /> Sergio Benedetto, presidente del Instituto de la Sociedad de Comunicación de Ingenieros Eléctricos y Electrónicos, señaló que la internet puede resultar misteriosas para los legos.<br /> <br /> <i>"Para muchos diplomáticos y políticos, el mundo del ciberespacio sigue siendo un ambiente de rompecabezas dispersos"</i>, afirmó. Por lo tanto, dijo, los científicos tienen que tener voz en las discusiones mundiales importantes.<br /> <br /> Fuente: <a href="http://www.bsecure.com.mx/featured/buscan-definir-cifra-exacta-de-perdidas-totales-por-ciberataques/">bSecure</a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

Los Gobiernos y las empresas gastan un $1,000 millones de dólares anuales en ciberseguridad , pero al contrario que en los casos de guerra...

Leer más »

Exploit 0-day para Office

<div style="text-align: justify;"> <a href="https://support.microsoft.com/kb/2896666" target="_blank">Microsoft ha emitido una advertencia</a> porque se ha encontrado que atacantes han estado usando una vulnerabilidad 0-day para lanzar ataques contra objetivos determinados. La vulnerabilidad en un componente gráfico de Office permite ejecución remota de código y ha sido identificada como <a href="http://blogs.technet.com/b/srd/archive/2013/11/05/cve-2013-3906-a-graphics-vulnerability-exploited-through-word-documents.aspx" target="_blank">CVE-2013-3906</a>.<br /> <br /> Según la firma, el ataque ha sido distribuido por correo mediante documentos de Microsoft Word y en gran parte ha sido dirigido a equipos pertenecientes a empresas con sede en el Oriente Medio y Asia del sur. </div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> </div> <div style="text-align: justify;"> </div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjpb11yLr8wtwgJAkDmGpeWSreW8GBkoHVJdwO027uLs00e-Cewt__xxuAJdswaS0PkEBdM0IOKBZr6skQX3DGOC59Up4y1dmsjVda_jk_aCDDu7En_xyd2QwOR6bqvSgnCbkKPmu5XKu9e/s1600/0-day.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="231" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjpb11yLr8wtwgJAkDmGpeWSreW8GBkoHVJdwO027uLs00e-Cewt__xxuAJdswaS0PkEBdM0IOKBZr6skQX3DGOC59Up4y1dmsjVda_jk_aCDDu7En_xyd2QwOR6bqvSgnCbkKPmu5XKu9e/s320/0-day.png" width="320" /></a></div> <div style="text-align: justify;"> <br /> <br /> Utilizando ingeniería social se distribuye un email que contiene un adjunto con una imagen TIFF mal formada y que permite explotar la vulnerabilidad.</div> <br /> <br /> <div style="text-align: justify;"> De acuerdo a Microsoft, desde Office 2003 a 2013 podrían ser vulnerables. En la advertencia de seguridad publicada, Microsoft pone a disposición una herramienta tipo <a href="https://support.microsoft.com/kb/2896666" target="_blank">Fix-it</a> como <b>solución temporal para el fallo</b> y además recomiendan <a href="http://www.microsoft.com/emet" target="_blank">instalar EMET</a> para mitigar la explotación del la vulnerabilidad (imagen).</div> <br /> <b><a href="http://www.segu-info.com..ar/" target="_blank">Segu-Info</a></b><div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

Microsoft ha emitido una advertencia porque se ha encontrado que atacantes han estado usando una vulnerabilidad 0-day para lanzar ataque...

Leer más »

Adobe: 130 millones de credenciales en 3DES

Tras reconocer el robo del código fuente de varios de sus productos y la información personal de casi <a href="http://blog.segu-info.com.ar/2013/10/adobe-roban-su-codigo-fuente-y-pierde.html" target="_blank">tres millones de usuarios y clientes</a>, se han ido haciendo públicos varios análisis que ponen en cuestión el procedimiento usado por Adobe para almacenar las credenciales.<br /> <br /> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgs0ylksrLOfusx7Sutohdw5WcFov2BEV-KdPElTxf5GmBzSduQaEzSlOOr5f3mkngSzDkRNMaXuO-lYGZKPbcHVidTP0-mMXgwmYVFC_0FbnJhibG_jhL94SBCTjEDQgFAFSeY-Tkm6IVp/s1600/adobe-170.jpeg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgs0ylksrLOfusx7Sutohdw5WcFov2BEV-KdPElTxf5GmBzSduQaEzSlOOr5f3mkngSzDkRNMaXuO-lYGZKPbcHVidTP0-mMXgwmYVFC_0FbnJhibG_jhL94SBCTjEDQgFAFSeY-Tkm6IVp/s1600/adobe-170.jpeg" /></a></div> <br /> <br /> Los datos extraídos alcanzan casi los 10Gb. Unos <a href="http://anonnews.org/forum/post/64784" rel="nofollow" target="_blank">130 millones de credenciales que Adobe</a> ha ido almacenando a lo largo de varios años. Entre las cuentas robadas pueden observarse algunas que pertenecen a agencias del gobierno norteamericano tales como el FBI.<br /> <br /> El problema hubiera sido "menor" si estas credenciales hubieran estado almacenadas en forma de hash usando una función sólida (sin problemas conocidos de seguridad) y aplicando buenas prácticas. Este tipo de funciones son teóricamente irreversibles, es decir, una vez almacenado el hash debería ser imposible conocer qué cadena (la contraseña) lo originó. Es lo que se conoce como criptografía asimétrica.<br /> <br /> Adobe, sin embargo, no optó por almacenar los hashes de las credenciales. En vez de ello las contraseñas eran cifradas con un algoritmo denominado TripleDES. Este algoritmo simétrico surgió debido a un problema de seguridad en el algoritmo DES relacionado con la longitud de clave (56 bits).<br /> <br /> TripleDES es el resultado de encadenar tres veces el algoritmo DES en cada bloque de datos. Un método simple de prolongar la longitud de clave (168 bits) para reusar el DES y no invertir en el diseño de un nuevo algoritmo. Pero como suele ser habitual en seguridad, era cuestión de tiempo para que surgieran ataques sobre TripleDES, como "Meet-in-the-middle" o a través del cifrado aislado de porciones conocidas de texto claro que se sospechen estén incluidas dentro del texto cifrado. Todos estos ataques tienden a reducir la efectividad de la longitud de clave.<br /> <br /> Además, en el caso de Adobe se usó TripleDES con el método ECB (Electronic CodeBook). Esto quiere decir que el texto claro se separa el bloques de idéntico tamaño y es cifrado de manera independiente. El resultado final es que dos porciones o bloques que tengan el mismo texto claro tendrán la misma apariencia cuando sean cifrados. No es necesario decir que esto representa una ventaja enorme para el atacante.<br /> <br /> Una mala práctica el escoger un cifrado simétrico para almacenar las contraseñas cifradas y otra peor al escoger un algoritmo con problemas conocidos y para terminar de empeorarlo la selección de una configuración débil en la aplicación de la función de cifrado.<br /> <br /> En el lado ético de la cuestión nos queda preguntarnos: ¿Por qué Adobe cifró las credenciales con un cifrado simétrico en vez del hash? Esto, significa que Adobe tenía la llave para conocer las credenciales de sus usuarios y clientes. Algo que por hacer una correspondencia mundana es como si cuando compras una casa el que te la vendió se queda una copia de la llave, por si acaso...<br /> <br /> Por supuesto los <a href="https://twitter.com/Sc00bzT/status/396114231436644352" rel="nofollow" target="_blank">ataques contra el cifrado no se han hecho esperar</a> y ya <a href="http://stricture-group.com/files/adobe-top100.txt" rel="nofollow" target="_blank">hay una lista con el top 100 de las contraseñas</a> más usadas. Sin sorpresa alguna dejamos aquí constancia de las 10 primeras:<br /> <br /> <br /> <table align="center" border="1" cellpadding="0" cellspacing="0"><tbody> <tr> <td style="text-align: center;"><b>Posición</b></td> <td style="text-align: center;"><b>Cantidad</b></td> <td style="text-align: center;"><b>Contraseña 3DES</b></td> <td style="text-align: center;"><b>Contraseña</b></td> </tr> <tr> <td>1.</td> <td>1.911.938</td> <td>EQ7fIpT7i/Q=</td> <td>123456</td> </tr> <tr> <td>2.</td> <td>446.162</td> <td>j9p+HwtWWT86aMjgZFLzYg==</td><td>123456789</td> </tr> <tr> <td>3.</td> <td>345.834</td> <td>L8qbAD3jl3jioxG6CatHBw==</td><td>password</td> </tr> <tr> <td>4.</td> <td>211.659</td> <td>BB4e6X+b2xLioxG6CatHBw==</td><td>adobe123</td> </tr> <tr> <td>5.</td> <td>201.580</td> <td>j9p+HwtWWT/ioxG6CatHBw==</td><td>12345678</td> </tr> <tr> <td>6.</td> <td>130.832</td> <td>5djv7ZCI2ws=</td> <td>qwerty </td> </tr> <tr> <td>7.</td> <td>124.253</td> <td>dQi0asWPYvQ=</td> <td>1234567</td> </tr> <tr> <td>8.</td><td>113.884</td> <td>7LqYzKVeq8I=</td> <td>111111 </td> </tr> <tr> <td>9.</td> <td>83.411</td> <td>PMDTbP0LZxu03SwrFUvYGA==</td><td>photoshop </td> </tr> <tr> <td>10.</td> <td>82.694</td> <td>e6MPXQ5G6a8=</td><td>123123</td> </tr> </tbody></table> <br /> Ahora cabría preguntarse de qué lado está la responsabilidad a la hora de elegir una buena llave para la casa.<br /> <br /> Fuente: <a href="http://unaaldia.hispasec.com/2013/11/adobe-la-tormenta-despues-de-la-tormenta.html" rel="nofollow" target="_blank">Hispasec</a><div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

Tras reconocer el robo del código fuente de varios de sus productos y la información personal de casi tres millones de usuarios y clientes ,...

Leer más »

Ubertesters, nueva plataforma para poner a prueba las aplicaciones móviles

<div style="text-align: justify;"> Cuando los usuarios de dispositivos móviles nos instalamos diferentes aplicaciones en nuestros propios terminales, esperamos que, además de ser funcionales, funcionen correctamente en nuestros dispositivos. Para ello, los desarrolladores tienen que someter sus aplicaciones a una fase de testeo, pudiendo usar las propias herramientas que ofrecen las mismas plataformas móviles o bien plataformas especializadas como Testflight y HockeyApp, y recientemente también <a href="http://ubertesters.com/">Ubertesters</a>, donde comunidades de usuarios ponen a prueba todos los aspectos posibles dichas aplicaciones, informando de aquellos errores que se vayan presentando.</div> <div style="text-align: justify;"> <br /></div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgpnOVSbZ_82uw7j0L_UD8KX0j56Q5ONx5SLnVVXRQPuhjbFf8f1GIH9vesydaluQoyDmJdzbgd9lRoyfC0Nz3nHgEN6Sf1Xer7U61mxf9SyV57PHE1MCVtDxn2jmeUsTcnsqREb4p1wUjO/s1600/Ubertesters.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="209" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgpnOVSbZ_82uw7j0L_UD8KX0j56Q5ONx5SLnVVXRQPuhjbFf8f1GIH9vesydaluQoyDmJdzbgd9lRoyfC0Nz3nHgEN6Sf1Xer7U61mxf9SyV57PHE1MCVtDxn2jmeUsTcnsqREb4p1wUjO/s320/Ubertesters.jpg" width="320" /></a></div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> En este sentido, Ubertesters quiere ir más allá ofreciendo una solución mucho más completa con su amplia gama de herramientas, incluyendo además el componente de <em>crowdsourcing</em>, aunque de momento todavía en fase de pruebas, esperando que su lanzamiento se realice pronto. Este componente, según indica el co-fundador y CEO, Ran Rachlin, <a href="http://techcrunch.com/2013/11/04/ubertesters-makes-beta-testing-mobile-apps-easier-will-offers-crowdsourced-on-demand-testers-soon">a TechCrunch</a>, permite a los usuarios valorar a los probadores de aplicaciones para permitir a los desarrolladores contar con aquellos que están mejor cualificados para poner a prueba sus propios desarrollos. Este servicio se ofrecerá a 15 dólares por hora para acceder a los probadores de aplicaciones profesionales. Ran Rachlin añade además que Ubertesters ofrece dos características que los desarrolladores necesitan, herramientas y recursos.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Ubertesters dispone a los desarrolladores de una herramienta para la elaboración completa de informes de errores, con posibilidad de incorporar capturas, tanto en Android, iOS y Windows Phone, así como una herramienta de gestión de desarrollos, así como la gestión de dispositivos y equipos. Todo ello les permitirá gestionar todos los aspectos posibles que necesitan para optimizar sus aplicaciones en base a las pruebas que someten a las mismas. Cada vez que dispongan de un nuevo desarrollo, podrán arrastrarlo a la interfaz correspondiente para que les llegue al grupo de probadores seleccionado.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> La versión básica de la plataforma permite la distribución a través del aire, identificación de errores, así como la gestión de desarrollos y de equipos, ofreciéndose de forma gratuita. Los extras, como el seguimiento completo de sesiones, soporte para historial de usuarios y soporte por correo, se ofrecen desde 10 dólares al mes.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Fuente : http://wwwhatsnew.com/ </div>

Cuando los usuarios de dispositivos móviles nos instalamos diferentes aplicaciones en nuestros propios terminales, esperamos que, además d...

Leer más »

Ataques desde el interior de la empresa, los más costosos

<div style="text-align: justify;"> El miedo del CEO por inmiscuirse en cuestiones tecnológicas lo han llevado a darle la llave de todos sus accesos al responsable del área de Sistemas, poniendo en riesgo no solo sus sistemas, sino también la información sensible que posee.<br /> <br /> La situación se agrava aún más cuando estos accesos son otorgados por rol, volviéndose compartidos, lo que incrementa la dificultad de control, al tiempo que impide realizar auditorías en el momento en el que se presente algún problema.<br /> <br /> El director de Dell Software México, Rafael Sierra, aseguró que los ataques que se realizan desde el interior de la compañía resultan más costosos, además de poseer menor posibilidad de fallar, sobre todo, cuando son ejecutados por personas que conocen a detalle la infraestructura tecnológica que posee la compañía.<br /> <br /> Por ello, hoy existen Permisos Privilegiados y Cuentas de acceso privilegiadas,que permiten monitorear, auditar y delegar ciertos permisos para realizar actividades específicas en el manejo de información crítica. Mismas que, hoy son utilizadas, sobre todo, por el sector financiero, pero que requiere toda empresa que posee datos sensibles de terceros e incluso información de propiedad industrial.<br /> <br /> Abundó en que este tipo de herramientas deberán ser implementadas por el área de Sistemas o el CIO; sin embargo, la definición de políticas y accesos deberá ser un trabajo que desarrolle el director de Finanzas, en conjunto con el director general. <i>"Se trata de un trabajo en conjunto"</i>.<br /> <br /> Aún así, existen algunas recomendaciones que el usuario deberá seguir para para prevenir este tipo de riesgos<br /> </div> <h3 style="text-align: justify;"> Asignación de responsabilidades individuales</h3> <div style="text-align: justify;"> El acceso administrativo compartido y sin administrar es uno de los principales errores que las compañías cometen, al exponer a la organización, sobre todo cuando la super cuenta tiene acceso a los sistemas operativos, aplicaciones y bases de datos. Mediante cuentas compartidas, cualquier fallo de seguridad o cumplimiento puede rastrearse solamente hasta la cuenta y no a un administrador en particular.<br /><br /> Razón por la que es necesario limitar el derecho de acceso de los administradores. Las credenciales deben emitirse solamente a medida que sean necesarias, acompañadas por un seguimiento de auditoría que registre quién las usó, quién aprobó el uso y qué hizo con ellas, además de cómo y por qué las reciben.</div> <h3 style="text-align: justify;"> Posiciones de seguridad de "menor privilegio"</h3> <div style="text-align: justify;"> Muchas cuentas administrativas, ya sean de Unix, Windows o un mainframe, brindan permisos ilimitados dentro del límite de control y, cuando se comparten, abren la puerta a actividades malintencionadas.<br /><br /> En este sentido, se requiere un enfoque más prudente para establecer una política que defina claramente lo que cada administrador (o rol) puede hacer con su acceso.<br /><br /> A decir de Sierra, <i>"aún existe poca madurez en el mercado por lo que externó la necesidad de mayor evangelización, sobre en empresas medianas. Las grandes empresas y corporativos ya lo entienden, asignando presupuestos para estos rubros</i>". Aún así, el directivo dijo ser un mercado con grandes oportunidades, pues tan solo hoy, 15% de las soluciones de software del fabricante están enfocadas a soluciones de acceso privilegiado.</div> <div style="text-align: justify;"> </div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgH13uxwVZVvrq64VdkQGyzTuNSR7xoj_JwtNUEodxd_jCn0OgCBFJiXywvkOAAo99rbR58J_muGH9Z3NVfI8jUmnMXGeXOCl8BCuwGqzGZcn19J5DJT-nFFl4nFPIZtePE_-mMW2PYm0TW/s1600/Hacker+Inside.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="283" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgH13uxwVZVvrq64VdkQGyzTuNSR7xoj_JwtNUEodxd_jCn0OgCBFJiXywvkOAAo99rbR58J_muGH9Z3NVfI8jUmnMXGeXOCl8BCuwGqzGZcn19J5DJT-nFFl4nFPIZtePE_-mMW2PYm0TW/s320/Hacker+Inside.png" width="320" /></a></div> <div style="text-align: justify;"> <br /><br /><i>"Es indispensable definir políticas para saber quién accede a qué y los permisos que poseen. Para ello existen  herramientas tecnológicas que definen accesos por determinado tiempo, sesiones por funciones, rastreo de acciones mediante bitácoras y análisis detallados, incluso la sesión puede armarse en video. Nuestra propuesta es el appliance Privileged Access Management el cual es colocado en el interior de la red y se conecta a sistemas críticos minimizando el riesgo de la información de la empresa y de los clientes, al tiempo que controla el acceso a cuentas privilegiadas"</i>, concluyó el especialista.</div> <br /> Fuente: <a href="http://www.bsecure.com.mx/featured/ataques-desde-el-interior-de-la-empresa-los-mas-costosos/">bSecure</a><div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

El miedo del CEO por inmiscuirse en cuestiones tecnológicas lo han llevado a darle la llave de todos sus accesos al responsable del área ...

Leer más »

Ciclo de vida de los Sistemas de Información

<div align="JUSTIFY" style="font-weight: normal; margin-bottom: 0cm;"> Implantar un nuevo sistema en una organización es un proceso laborioso y costoso. A veces se realiza sin saber exactamente el impacto que tendrá sobre los usuarios finales o sobre los sistemas con los que tendrá que convivir, añadiendo incertidumbre a la implantación. Mientras que otras veces se impone por Dirección pensando que será “bueno” para la organización, sin previamente analizar si el nuevo sistema se alinea con los objetivos del negocio.</div> <div align="JUSTIFY" style="font-weight: normal; margin-bottom: 0cm;"> </div> <div align="JUSTIFY" style="font-weight: normal; margin-bottom: 0cm;"> En el proceso de implantación podemos encontrar a usuarios que se opongan a aprender a utilizar nuevas herramientas, aunque estas estén diseñadas para automatizar tareas repetitivas y así liberar al personal de realizar dichas tareas para que desarrollen tareas mucho más productivas.</div> <div align="JUSTIFY" style="font-weight: normal; margin-bottom: 0cm;">  </div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiA3kccpfzIXMAxst2AC9EZIydc4O9NJli8H7zRVn2aM0U5LvZlAlx0NJ2vjlnk3en120YPNt3pHdlfLAm6QzMhND5mWRjz5-jScDQUHNjX1gcalcBzT3YQ7oHGVzto2XBpUleWw_lNB_za/s1600/Information+Systems+Life+Cycle.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="193" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiA3kccpfzIXMAxst2AC9EZIydc4O9NJli8H7zRVn2aM0U5LvZlAlx0NJ2vjlnk3en120YPNt3pHdlfLAm6QzMhND5mWRjz5-jScDQUHNjX1gcalcBzT3YQ7oHGVzto2XBpUleWw_lNB_za/s200/Information+Systems+Life+Cycle.png" width="200" /></a></div> <div align="JUSTIFY" style="font-weight: normal; margin-bottom: 0cm;">  </div> <div align="JUSTIFY" style="font-weight: normal; margin-bottom: 0cm;"> </div> <div align="JUSTIFY" style="font-weight: normal; margin-bottom: 0cm;"> Elegir qué sistema implantar es una labor difícil de tomar, siempre debe ir respaldada, apoyada y validada por Dirección ya que ante una auditoría será necesario aportar evidencias de la decisión tomada, es decir, será imprescindible demostrar que se ha realizado una exhaustiva evaluación de necesidades y se ha escogido el producto que mejor se alinea al negocio. Ante la falta de evidencias, Dirección deberá asumir la responsabilidad si se demuestra que ha habido una mala gestión o se ha utilizado el poder de decisión para favorecer un determinado proveedor o fabricante.</div> <div align="JUSTIFY" style="font-weight: normal; margin-bottom: 0cm;"> </div> <div align="JUSTIFY" style="font-weight: normal; margin-bottom: 0cm;"> A la hora de elegir qué sistema implantar, es importante valorar el soporte que recibiremos ante cualquier incidencia o problema, además de qué estándar y certificaciones posee la herramienta. Por ejemplo, estoy acostumbrado a ver cómo se escoge un sistema u otro dependiendo del número de CPU, memoria o conexiones por segundo, sin embargo muy pocas personas se fijan si el producto elegido tiene la certificación ISO 15408 que nos indica que ha pasado rigurosas pruebas de seguridad, siendo esta certificación muy valorada por el gobierno americano. Afortunadamente la mayoría de fabricantes con prestigio tienen dicha certificación, como podemos ver en <b><a href="http://www.fortinet.com/press_releases/2013/fortinet-earns-common-criteria-certification-fortios-vm.html" target="_blank"><span style="color: #3d85c6;">Fortinet</span></a>, <a href="http://www.f5.com/it-management/industry/government/federal/government-certifications/" target="_blank"><span style="color: #3d85c6;">F5</span></a>, <a href="https://www.paloaltonetworks.com/company/press/2013/palo-alto-networks-achieves-rigorous-common-criteria-eal4-plus-certification.html" target="_blank"><span style="color: #3d85c6;">Palo Alto</span></a> o <a href="http://www.radware.com/SiteCode/Templates/PressReleaseDetail.aspx?id=1629717" target="_blank"><span style="color: #3d85c6;">Radware</span></a>.</b></div> <div align="JUSTIFY" style="font-weight: normal; margin-bottom: 0cm;"> </div> <div align="JUSTIFY" style="font-weight: normal; margin-bottom: 0cm;"> Una vez evaluada la calidad del producto a implantar, y tras realizar pruebas en el entorno de pre-producción, desarrollo o demo, es hora de realizar la Gestión de Cambios, es decir, decidir cómo pasamos a producción. Existen dos formas de pasar a producción, la primera sería implantar el nuevo sistema junto con el anterior añadiendo mayor carga de trabajo al tener que mantener los dos sistemas pero menor riesgo ya que volver al estado anterior se realizaría de manera rápida. La otra forma de pasar a producción sería quitar el antiguo sistema y poner el nuevo, esta forma tiene menor carga de trabajo pero mucho mayor riesgos. En cualquier caso es muy importante tener procedimentado y documentado cómo se pasará a producción.</div> <div align="JUSTIFY" style="font-weight: normal; margin-bottom: 0cm;"> </div> <div align="JUSTIFY" style="font-weight: normal; margin-bottom: 0cm;"> Por supuesto, los sistemas no se mantienen solos, hay que actualizarlos y mantenerlos. A lo largo de la vida del sistema aparecerán averías hardware, bugs, vulnerabilidades y nuevas funcionalidades, y este mantenimiento tiene un coste. En cuanto el coste del mantenimiento esté por encima de los beneficios obtenidos será necesario evaluar otro sistema y desmantelar el sistema actual. Antes de desecharlo será necesario seguir el procedimiento de baja del activo donde nos aseguremos del destino de este activo.</div> <div align="JUSTIFY" style="font-weight: normal; margin-bottom: 0cm;"> </div> <div align="JUSTIFY" style="font-weight: normal; margin-bottom: 0cm;"> Apartar un sistema de producción, es decir apagarlo porque ya no se utilice, puede llegar a ser un problema en grandes organizaciones donde existan muchos sistemas y muchos usuarios si no se tiene controlado los acceso a los mismos. Por este motivo a veces se mantienen los sistemas más tiempo de lo necesario consumiendo recursos y por ende aumentando el coste.</div>

Implantar un nuevo sistema en una organización es un proceso laborioso y costoso. A veces se realiza sin saber exactamente el impacto que t...

Leer más »

Alemania busca a Snowden para hablar sobre la NSA

<div style="text-align: justify;"> El máximo funcionario de seguridad de Alemania intentará organizar un encuentro entre investigadores alemanes y el ex analista Edward Snowden si éste está dispuesto a facilitar detalles sobre el presunto espionaje de la Agencia de Seguridad Nacional al teléfono celular de la canciller Ángela Merkel y otros políticos.<br /> <br /> <i>"Encontraremos la forma de hacerlo si el señor Snowden está dispuesto a hablar"</i>, afirmó Hans-Peter Friedrich, según lo citó el viernes el periódico Die Zeit.</div> <div style="text-align: justify;"> <br /></div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEixC_oKHU6AlSkAeTaay2tzkJx7v_tEKrvlUidmPzGKW1zAADLeXnJKodDbpafVcuER0sGczSnu6Ib9kODI7HtsE9j-tpBt32GNa6TVg4_uBi7miRvTkTjtvG2eEh1KqGQlqMVr4rSI4oZa/s1600/AV_Bypass.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEixC_oKHU6AlSkAeTaay2tzkJx7v_tEKrvlUidmPzGKW1zAADLeXnJKodDbpafVcuER0sGczSnu6Ib9kODI7HtsE9j-tpBt32GNa6TVg4_uBi7miRvTkTjtvG2eEh1KqGQlqMVr4rSI4oZa/s320/AV_Bypass.png" width="320" /></a></div> <div style="text-align: justify;"> <br /> <br /> Su vocero Jens Teschke confirmó los comentarios, e indicó que “queremos una aclaración y queremos más información”. Agregó que seguramente ese encuentro tendrá lugar en Rusia.<br /> <br /> Hans-Christian Stroebele, legislador del opositor Partido Verde, dijo que se reunió el jueves en Moscú con Snowden, ex empleado de la NSA (siglas en inglés de la agencia estadounidense), e indicó que el ex analista está dispuesto a viajar a Alemania para declarar.<br /> <br /> Se espera que el Parlamento alemán analice el 18 de noviembre las presuntas actividades de espionaje de la NSA.<br /> <br /> Fuente: <a href="http://www.bsecure.com.mx/ultimosarticulos/alemania-quiere-reunirse-con-snowden-busca-mas-detalles-de-la-nsa/">bSecure</a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

El máximo funcionario de seguridad de Alemania intentará organizar un encuentro entre investigadores alemanes y el ex analista Edward Snow...

Leer más »

La alternativa clandestina a las cookies para rastrear a usuarios de internet

<div style="text-align: justify;"> En un nuevo estudio realizado por especialistas de la Universidad de Lovaina y el Instituto iMinds de Investigación, ambas entidades en Bélgica, se ha descubierto que 145 de los 10.000 sitios web más visitados de internet monitorizan a los usuarios sin el conocimiento o consentimiento de estos.</div> <div style="text-align: justify;"> <br /></div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjN36PCUKe2Pp5HvJNM_TCHMTF2INFFV3YdFFRzsiqifZS3lUYWH7DIyYPT5ZVn6go2DK1or4E24-AdOBPnXCYaKJBIYW4fLmX2_wHoF1exwzN3iCiZkxyJOClba0rO-3NRub1Tq1NthH-y/s1600/cookies.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="239" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjN36PCUKe2Pp5HvJNM_TCHMTF2INFFV3YdFFRzsiqifZS3lUYWH7DIyYPT5ZVn6go2DK1or4E24-AdOBPnXCYaKJBIYW4fLmX2_wHoF1exwzN3iCiZkxyJOClba0rO-3NRub1Tq1NthH-y/s320/cookies.jpg" width="320" /></a></div> <div style="text-align: justify;"> <br /><br />Estas webs utilizan scripts ocultos para extraer del navegador del usuario una "huella dactilar" de dispositivo. Esta práctica se conoce como "device fingerprinting" (toma de "huellas dactilares" de dispositivos) o "browser fingerprinting" (toma de "huellas dactilares" de navegadores). Este método burla restricciones legales impuestas al uso de cookies e ignora el encabezado "Do Not Track". Los hallazgos hechos en la nueva investigación sugieren que la monitorización secreta está más extendida de lo que se pensaba.<br /><br />El método de device fingerprinting se basa en recolectar propiedades de ordenadores, smartphones (teléfonos inteligentes) y tabletas, para identificar y monitorizar a los usuarios. Estas propiedades incluyen el tamaño de la pantalla, las versiones de programas y plugins instalados, y la lista de fuentes instaladas. Un estudio de 2010 realizado por la EFF (Electronic Frontier Foundation) mostró que, para la gran mayoría de los navegadores, la combinación de estas propiedades es única, y por tanto sirve como "huella digital" que se puede usar para monitorizar a los usuarios sin necesidad de las cookies. El método de device fingerprinting centra a menudo su atención en Flash, el popular plugin para navegadores usado para reproducir archivos de vídeo, sonido y animaciones, o en JavaScript, un lenguaje de programación común para aplicaciones web.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Éste es el primer trabajo en profundidad destinado a medir la incidencia del device fingerprinting en internet. El equipo de Gunes Acar, Marc Juarez, Nick Nikiforakis, Claudia Díaz, Seda Gurses, Frank Piessens y Bart Preneel analizó las 10.000 webs más visitadas de internet y descubrió que 145 de ellas (casi el 1,5 por ciento) utilizan el device fingerprinting orientado al citado plugin Flash. Algunos objetos Flash incluían técnicas cuestionables como revelar la dirección IP original de un usuario cuando visitaba una página web a través de un tercero (a través de un "proxy").<br /><br />En el estudio también se encontró que 404 del millón de webs más visitadas utilizan el device fingerprinting orientado a JavaScript, el cual permite a los sitios web monitorizar dispositivos y teléfonos móviles que no usen Flash.<br /><br />En otro hallazgo sorprendente, los investigadores han encontrado que los usuarios son monitorizados por estas tecnologías de device fingerprinting aunque pidan explícitamente no ser monitorizados al habilitar el encabezado HTTP "Do Not Track".</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Los investigadores también evaluaron a Tor Browser y a Firegloves, dos herramientas usadas para mejorar la privacidad que combaten el device fingerprinting. Se identificaron nuevas vulnerabilidades, algunas de las cuales dan acceso a la identidad del usuario.<br /><br />El device fingerprinting puede ser usado para diversas tareas relacionadas con la seguridad, incluyendo detección de fraudes, protección contra el robo de cuentas y servicios Anti-Bot y Anti-WebScraping. Pero también se le está usando para tareas de marketing mediante scripts de device fingerprinting.<br /><br />Para detectar sitios web que utilizan tecnologías de device fingerprinting, los investigadores desarrollaron una herramienta llamada FPDetective. Esta herramienta rastrea y analiza sitios web en busca de scripts sospechosos. A fin de que otros investigadores puedan usarla, esta herramienta estará disponible gratuitamente aquí:<br /><br /><a class="target_blank" href="http://homes.esat.kuleuven.be/%7Egacar/fpdetective/" rel="nofollow" target="_blank">http://homes.esat.kuleuven.be/~gacar/fpdetective/</a><br /><br /><a class="target_blank" href="http://www.kuleuven.be/english/news/several-top-websites-use-device-fingerprinting-to-secretly-track-users" rel="nofollow" target="_blank">Información adicional</a> </div>

En un nuevo estudio realizado por especialistas de la Universidad de Lovaina y el Instituto iMinds de Investigación, ambas entidades en B...

Leer más »

Cómo la NSA extrae datos de las redes de Yahoo! y Google

<div style="text-align: justify;"> La NSA, trabajando con su homólogo británico, el <a href="http://www.gchq.gov.uk/%E2%80%8E" rel="nofollow" target="_blank">Government Communications Headquarters (GCHQ)</a>, aparentemente han obtenido información de las redes internas de Yahoo y Google. La operación intercepta información que fluye entre los enormes centros de datos que mantienen las empresas alrededor del mundo.<br /> En general, Google y Yahoo usan redes y líneas privadas líneas o arrendadas para sincronizar sus centros de datos pero al parecer <b>esta sincronización de servidores se hace sin cifrar</b>, lo que facilita la infiltración por parte de terceros.<br /> <br /> Este <a href="http://www.washingtonpost.com/rw/2010-2019/WashingtonPost/2013/10/30/National-Security/Graphics/NSA_private_Google_1030a.jpg">siguiente gráfico publicado por The Washington Post</a> muestra cómo la NSA pudo entrar en esas redes internas, utilizando Google como ejemplo. Se sabe menos acerca de las redes de Yahoo, pero se crear que las operaciones de la NSA son similares.</div> <div style="text-align: justify;"> <br /></div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEifuxh2Ua-d0Ag6sUZosAh2hND1mX6yMqurhjesTgaFwDqo4KfIxtchUOaFwvR6Eh1PBjdtIP-OADXwfDC0e8t8dsBIW81UtXb0fnVfE2Q_rE_nEXdjEGCv-LQQdKH_tcHcS5dLePUFXdmH/s1600/NSA_private_Google_1030a.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="400" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEifuxh2Ua-d0Ag6sUZosAh2hND1mX6yMqurhjesTgaFwDqo4KfIxtchUOaFwvR6Eh1PBjdtIP-OADXwfDC0e8t8dsBIW81UtXb0fnVfE2Q_rE_nEXdjEGCv-LQQdKH_tcHcS5dLePUFXdmH/s400/NSA_private_Google_1030a.jpg" width="107" /></a></div> <div style="text-align: justify;">  <b><a href="http://www.segu-info.com.ar/">Segu-Info</a></b></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

La NSA, trabajando con su homólogo británico, el Government Communications Headquarters (GCHQ) , aparentemente han obtenido información de...

Leer más »