Seguridad Informática

 Nadie puede decir que usar dispositivos USB de almacenamiento de datos no se ha vuelto algo importantísimo para el trabajo diario hoy en día. Desde los primitivos dispositivos USB de 8MB hasta los actuales de 8 o 16 GB ha habido una evolución impulsada predominantemente por la necesidad de acceder de manera más cómoda a los datos que puedan ser llevados a cualquier lado. Estas unidades de almacenamiento pueden servir tanto para almacenar información sensible e importantísima como también para instalar Keyloggers invisibles en PC destinados a robar contraseñas y cosas por el estilo.

Si se quiere tener una buena seguridad en un dispositivo de almacenamiento portátil hay que tener dos consideraciones como mínimo:

1.- Tener un buen antivirus portable que elimine el molesto problema de ser una fuente de propagación de virus en todos los PC donde se conecta, por ejemplo, el pendrive.

2.- Tener mecanismos de cifrado de datos que permitan almacenar de manera segura la información ahí contenida, de tal manera que si alguien obtiene acceso a dichos datos no sea capaz de leerlos. 

Para el primer punto existen varias soluciones bastante buenas, pero...

leer más

 Dropbox es una herramienta nueva que ha sido desarrollada para tener respaldos sencillos y seguros de todo tipo de archivos en un servidor central, facilitando la tarea de guardar copias de seguridad de documentos importantes que estén alojados en nuestros PC, màs o menos lo mismo que ofrece ADRIVE (que ofrece 50 GB de espacio gratuitamente bajo el mismo concepto de Dropbox). Ya habíamos comentado acerca de esta gran solución pero en ese momento se encontraba en fase beta lo cual permitía solamente loguearse para quedar en una lista de espera de invitaciones a participar de Dropbox.

Hace un par de días se lanzó oficialmente el servicio y aquellas personas que se registraron anteriormente pueden enviar invitaciones para poder utilizarlo. Hasta ahora solamente puede ser instalado en Windows XP/Vista y Mac OS X Tiger/Leopard.

Hay 10 invitaciones que serán entregadas a las primeras 10 personas que publiquen aquí un mensaje de solicitud indicando sus correos electrónicos para poder hacerlas llegar.

Más información: https://www.getdropbox.com

leer más

 Al tutorial de inyección SQL basada en errores publicado en la sección Tutoriales (el cual está principalmente enfocado en MSSQL Server) se suma una nueva guía que tiene como objetivo ayudar a comprender el procedimiento de inyección SQL en aplicaciones Web basadas, por ejemplo, en PHP de tal manera de poder anticiparse a los problemas causados por errores de programación los cuales terminan casi siempre sirviendo de puerta de entrada a hackers y atacantes remotos de toda clase.

Si usted es desarrollador de aplicaciones Web, esta guía le servirá de mucho para poder crear sistemas donde la posibilidad de sufrir ataques de este tipo queden reducida a la mínima expresión. Está escrita en español y orientada a MySQL aunque igual puede utilizarse para comprobar posibles problemas con otros motores de bases de datos que utilicen SQL.

Fue rscrita por ka0x y la pueden visualizar en formato PDF haciendo click en el siguiente enlace:

http://www.milw0rm.com/papers/216

leer más

 Así es. Al nuevo navegador lanzado por Google denominado "Chrome" ya le han encontrado varios bugs que pueden comprometer la seguridad de un usuario. Al parecer los programadores de Google olvidaron algunas reglas básicas del cómo los navegadores (browsers) deben "comportarse" actualmente. Esto recuerda un poco lo ocurrido hace algunos meses atrás cuando Apple liberó una versión de Safari para Windows.

Los que descargaron Chrome tendrán que esperar que la gran "G" decida sacar un parche de seguridad para su producto y así poder estar más tranquilos utilizando este browser cuya versión vulnerable es la 0.2.149.27.

Los dos exploits, publicados en milw0rm.com, son los siguientes:

1.- Descarga automática de archivos maliciosos: Extrañamente Chrome no emite ningún mensaje cuando se está tratando de descargar archivos potencialmente dañinos como es el caso de...

leer más

 Investigación de Sophos

Los usuarios de Facebook facilitan el robo de su información personal. Esta es la principal conclusión de un estudio de la firma de seguridad Sophos sobre los riesgos de hurto de identidad en una de las redes sociales más grandes de Internet.

Las redes sociales son sitios web en los que las personas comparten con sus amigos información, fotos, videos, etc. También permiten que las personas busquen a otros usuarios que tienen gustos o aficiones similares.

En su investigación, Sophos creó un perfil falso –el cual tenía la imagen de una rana de plástico– para hacer invitaciones y enviar mensajes a cerca de 200 usuarios aleatorios de Facebook. La idea era determinar cuántas personas respondían y qué cantidad de información personal podía ser obtenida de ellas.

El resultado: 41 por ciento de los usuarios no tiene inconveniente en suministrar datos personales, como dirección de correo electrónico, fecha de nacimiento o teléfono celular, a cualquier desconocido, incluyendo una rana.

“Con los datos obtenidos, nuestra rana tiene suficiente información para crear correos phishing (que se usan para robar información financiera), adivinar contraseñas de usuarios e incluso hacerse pasar por ellos”, explicó Graham Cluley, consultor de Sophos.

La firma recomendó usar las...

leer más

 52 personas en el estado de California, EE.UU. han sido arrestadas en el transcurso de este año bajo el cargo de almacenamiento de pornografía infantil en sus computadores, material al cual habrían accedido mediante el uso de aplicaciones peer to peer (P2P).

En la investigación, realizada por una brigada del FBI conocida como SAFE (Sexual Assault Felony Enforcement) en conjunto con otras entidades norteamericanas, se utilizaron "sofisticadas aplicaciones computacionales" para identificar pornografía infantil en directorios compartidos de programas de descargas P2P tales como Limewire, Ares, eMule, etc. Hasta ahora, los investigadores habían utilizado software de reconocimiento de patrones, similares a los escáners antivirus para buscar rápidamente imágenes y archivos en los grupos de Usenet (una red de IRC) que coincidan con este tipo de material.

De acuerdo a las palabras del oficial Thomas O'Brien "los criminales utilizan la tecnología para realizar sus crímenes, ya sea... 

leer más

 Una pregunta bastante frecuente de los usuarios que comienzan a acercarse al sistema operativo Linux es si acaso utilizándolo se corre el riesgo de ser infectado por un virus informático y sufrir las incómodas (y a veces terribles) consecuencias de aquello, sin contar los costos que hay que asumir por tener que comprar un software antivirus.

Si bien es cierto Linux no ofrece la barrera definitiva infranqueable contra los virus, sí es un sistema operativo (quizá una de las mejores hoy en día en ese sentido) con el cual los usuarios podrán olvidarse (al menos por un tiempo) del problema de los virus. Ya pasó casi a segundo plano la antigua problemática de la dificultad de utilizar Linux en usuarios domésticos, pues los sistemas de escritorio actuales ofrecen la misma o incluso mayor flexibilidad de uso que el entorno de Windows al cual la mayoría estamos acostumbrados a utilizar.

El siguiente documento escrito por Pablo Garaizar Sagarminaga detalla con bastante acierto esta problemática desde el punto de vista de un usuario avanzado con conocimientos de sistemas operativos. Aquí se exponen las razones técnicas de porqué hay muy pocos virus en Linux (*) y porqué aún no se han masificado al nivel que ha afectado a Windows.

Virus en Linux: http://www.e-ghost.deusto.es/docs/articulo.virus.html

(*) Existen virus para Linux pero han sido creados de manera experimental.

leer más

 No cabe duda de que para Microsoft hace un buen tiempo que la seguridad pasó a ser un elemento importante a tener en cuenta y es por esto que la compañía de Gates nos deja a libre disposición una buena cantidad de eventos realizados mediante Web donde nos hablan de distintos aspectos de seguridad de los productos Microsoft como el mismo Windows Vista,  SQL Server 2005, control de software malicioso, administración de seguridad general, entre otros.

Se puede ver la agenda de eventos para participar en directo de los futuros Webcasts o acceder al material grabado. Para eso solo deben ingresar con su cuenta del servicio Live (la misma que utilizan para MSN Messenger o Hotmail, si tienen) y listo. Algunas presentaciones incluyen el Power Point para ser descargado.

Una buena cantidad de material que vale la pena revisar.

Más información:

http://www.microsoft.com/latam/technet/video/seguridad.aspx

leer más

 Los CMS (Content Managment Systems) se han tomado la mitad de Internet. Hoy en día es posible levantar un sitio web completo, dinámico, modular, flexible y autoadministrable en cosa de minutos, tarea que antiguamente llevaba días, semanas o meses poder programar. La facilidad de instalación, mantención y la posibilidad de personalizar hasta la última coma del sitio web por defecto han hecho de los CMS una opción interesante a la hora de implementar un sitio web de cualquier tipo (desde blogs personales hasta intranets corporativas).

Este tema ya lo habíamos tocado con anterioridad en seguridad-informatica.cl, pero nunca está demás recordarlo y tenerlo presente. Existe una gran variedad de CMS para poder elegir de acuerdo a las necesidades que tengamos con el sitio web. Entre los más populares destacan Joomla, Mambo, Drupal, Wordpress, PHP-Nuke, b2evolution, DotNetNuke, Plone, Typo3, y podríamos incluir también OsCommerce, phpBB, y similares.

El hecho de instalar una aplicación que es desarrollada continuamente por una comunidad externa a la organización donde nos encontramos, nos obliga a estar pendientes de todo tipo de cambios, actualizaciones, modificaciones y cosas por el estilo si queremos que nuestro CMS sea estable y seguro.

El sitio www.cmsmatrix.org ofrece una herramienta de comparación de distintos CMS que le pueden ayudar a elegir entre uno u otro si tiene dudas basándose en parámetros como modularidad, escalabilidad, seguridad, facilidad de uso, plataformas en las que corre, etc. Se pueden comparar hasta 10 CMS al mismo tiempo.

Otra cosa importante es...

leer más

 Si tiene dudas acerca de la seguridad de su sitio Web con respecto a la posibilidad de sufrir ataques de inyección SQL puede probar BSQLHACKER. Esta herramienta, licenciada bajo GPL v2, ha sido publicada en el proyecto Google Code y está disponible para ser descargada e instalada gratuitamente.

BSQLHACKER permite automatizar el proceso de búsqueda de inyecciones SQL e inyecciones SQL ciegas (Blind SQL Inyection) para servidores ORACLE, MSSQL y experimentalmente MySQL. Así, usted podrá tener una mejor referencia del nivel de criticidad de algún script o punto de entrada vulnerable que pueda ser explotado por atacantes remotos y así saltarse las restricciones de acceso a su sistema. Recomendado tanto para usuarios sin experiencia como para avanzados.

Más información:

- Video de demostración de uso de BSQLHACKER

- Manual de uso (En Inglés)

- Descargar BSQLHACKER para Windows

- Sitio Web del proyecto

leer más