Archivos de la categoría ‘05.Seg INFORMATICA’

Ya nos puedes seguir TWITTER y asi podras mantenerte informado y actualizado sobre todo lo que a informatica y seguridad se refiere.

Premios Bitacora 2010

Publicado: septiembre 17, 2010 de komz en 00.by Komz, 05.Seg INFORMATICA
Etiquetas:

Una vez mas se celebran los ‘Premios Bitacoras.com edición 2010′ en los que este año como novedad traen una categoría exclusiva para Seguridad Informatica, ademas de las ya conocidas categorias anteriores.

Si te gusta lo que ves y lo que lees de nuestro blog,  nos puedes apoyar con tu voto de manera muy sencilla, ya sea usando el boton inicial que hemos incluido en la barra de la izquierda o desde tu cuenta de facebook. (adjuntamos guia para realizar la votacion desde facebook)

Este año estamos participando en dos categorias, en la de Seguridad Informatica y en la de Tecnologia.

Gracias a todos por su apoyo!!!

by komz

Nuevas variantes de vulnerabilidades que afectan al Linux de Kernel

Variantes en vulnerabilidades que afectan a Oracle Java SE y Java for Business

NUEVA VULNERABILIDAD, HP OpenView Network Node Manager CVE-2010-1964 Remote Buffer Overflow Vulnerability

Un troyano de Linux hace saltar todas las alarmas

La pornografía online, riesgo de malware

NUEVA VULNERABILIDAD, Microsoft Windows Help And Support Center Trusted Document Whitelist Bypass Vulnerability

Abode lanza su boletin de seguridad, antes de lo previsto

Llega la copa mundial de futbol 2010 y tambien llegan los problemas!!!

SIGUENOS EN vulnerabilityteam.blogspot.com

Los niños de hoy están fascinados por Internet y son extremadamente hábiles cuando se trata de usar un ordenador. Es por esta razón que los padres y los profesores deben ser conscientes de los peligros que puede conllevar la mala utilización de la Red -depredadores en línea, ciber-matones, timadores e incluso compañeros, entre otros- y deben hablar con sus hijos / alumnos acerca de cómo evitar esos problemas en el caso de que se den.

“Los niños son un objetivo muy fácil para los individuos con malas intenciones que pretenden utilizarlos con fines ilegales y deshonestos”, advierte Catalin Cosoi, investigador senior de BitDefender. “Afortunadamente, estas repercusiones negativas se pueden evitar mediante la educación y manteniendo conversaciones abiertas con los menores acerca del uso de Internet y de las prácticas de seguridad.”

La buena comunicación es la clave para la seguridad online. Los padres y los maestros deben convertirse en aliados y discutir abiertamente los diversos aspectos relativos a la seguridad con los menores, ya que estos pasan mucho tiempo en la Red tanto en casa como en la escuela.

BitDefender ofrece algunos puntos que los padres y profesores pueden tener en cuenta a la hora de supervisar la seguridad de los más jóvenes en la Red y que posteriormente pueden utilizar para entablar con ellos un diálogo sobre navegación segura:

  1. Los programas y módulos de Control Parental son una parte importante para mantener la seguridad en línea de los más pequeños. Padres y profesores deben entender cómo funcionan estos servicios para, así, poder proteger a toda la familia de los peligros Web. Sobre todo, deben evitar que los niños se sientan “espiados”.
  2. El ordenador debe ser colocado en un área común, en la que un adulto puede “echar un ojo” al monitor de vez en cuando; por ejemplo, en la sala de estar.
  3. Cuando los menores se creen una cuenta en redes sociales como Facebook ®, los padres o profesores deben estudiar el grado de privacidad de cada sitio y compilar listas de personas de confianza con las cuales los niños puedan comunicarse sin problema.
  4. Hay que ser muy conscientes del peligro que puede conllevar que los menores queden físicamente con personas que han conocido a través de estas redes, y si es necesario, un padre o un profesor deben acompañarlos por motivos de seguridad.
  5. Hay que enseñar a los niños a poner fin a conversaciones que les incomoden. Si alguien en la web – incluso un amigo – los hacen sentir temor, confusión, ofendidos o amenazados, asegúrese de que sepan encontrar un adulto con quien hablar sobre el tema, y finalizar la conversación a tiempo.
  6. Se debe ayudar a los niños a identificar correos electrónicos que contengan spam o con contenido inapropiado y asegurarse de que sepan abstenerse de abrir y reenviar este tipo de mensajes.
  7. Los padres o los maestros deben buscar, con cierta regularidad, el nombre de sus protegidos en los motores de búsqueda para ver la información que aparece sobre ellos en blogs, comunidades en las que estén activos, etc.
  8. Conozca la jerga de los chat, como acrónimos, emoticonos, etc., para saber exactamente de qué están hablando con los niños en la Red.
  9. Durante las actividades que requieran el uso de Internet en clase, los estudiantes deben ser supervisados de cerca.
  10. Y, por último, hacer entender a los estudiantes y los niños que no todo lo que ven o escuchan en Internet es verdad. Los desconocidos pueden dar con mucha facilidad Información falsa sobre sí mismos, con el fin de atraer la atención de los más pequeños de la casa.

fuemte: dragonjar.org

NSS Labs acaba de dar a conocer los resultados de su informe sobre la seguridad de los navegadores. ¿La principal conclusión? Internet Explorer es mucho más seguro que Chrome, Firefox, Opera y Safari.

NSS Labs ha realizado un estudio en el que analiza la seguridad de los principales navegadores del mercado. Así, la firma destaca de Google Chrome, por ejemplo, “las pocas opciones de configuración que ofrece para los usuarios empresariales, dejando poca o ninguna posibilidad de configuración de seguridad” Además, el informe también destaca que Google Chrome “no permite configurar las opciones de JavaScript, no admite diferentes zonas de seguridad, ni es administrable en remoto por un Active Directory. Saca una nueva versión cada poco tiempo, haciendo difícil la construcción de aplicaciones empresariales sobre ella.. Tiene pocos plug-ins pero, como rasgo positivo en seguridad, no existe mucho malware especialmente diseñado para él, salvo el basado directamente en ataques XSS”.

En lo que respecta a Firefox, el estudio resalta que “el número de vulnerabilidades que muestra durante este año duplica a las de cualquier navegador, lo que obliga a la generación de un gran número de parches que deben ser aplicados con diligencia, ya que la que mayoría son de nivel crítico. Firefox tiene una arquitectura que no saca provecho de las ventajas arquitectónicas que ofrecen los sistemas operativos Windows Vista y Windows 7. Como rasgo positivo hay que destacar que todas las vulnerabilidades son parcheadas aunque ha sufrido bastantes críticas sobre cómo se realiza este proceso debido al gran número de fallos de regresión que generan y que resultan en nuevas vulnerabilidades”.

El navegador de Opera, a pesar de que no se han encontrado muchas vulnerabilidades, “presenta muy pocas opciones empresariales de administración y configuración. No tiene filtro Anti XSS ni en el propio código ni como plug-in añadido y sus opciones de seguridad son las menos robustas en esta área. Tampoco hace uso de arquitecturas modulares ni saca provecho de las tecnologías MIC y UIPI en Windows Vista y Windows 7”.

En cuanto al Apple Safari, el estudio afirma que “este navegador no viene pensado para ser administrado de forma centralizada en una empresa con lo que no tiene buenas herramientas”, aunque “sí que existe mucho interés en la industria de la seguridad con este navegador, haciendo que sus vulnerabilidades sean altas dejando bastante sin parchear”.

Internet Explorer 8, el más seguro

Por último, NSS Labs afirma que a pesar de la cantidad de vulnerabilidades que se han encontrado para Internet Explorer 8, “ha demostrado tener las mejores medidas de seguridad aplicadas para fortificar la solución, desde las técnicas de engaño a usuarios, las protecciones Anti XSS, las opciones de fortificación en tecnologías Windows Vista y Windows 7 y, por supuesto, las mejores herramientas de configuración y ajuste de la seguridad, tales como las zonas de seguridad, las listas de permisos en componentes ActiveX por sitio y por usuario, la posibilidad de administrar de forma centralizada da, a los administradores, herramientas eficientes para fortificar sus implantaciones”. No obstante, no todo es positivo, ya que “Internet Explorer, al igual que Firefox, está hoy en día en el punto de mira de la industria del malware y los buscadores de vulnerabilidades”, finaliza el estudio.

DESCARGAR REPORTE

fuente: csospain.es


La OWASP (Open Web Application Security Project) ha publicado una actualización del ranking de los riesgos más importantes que afectan a las aplicaciones web.  Su misión es concienciar a la industria sobre los riesgos de seguridad, en el ámbito de las aplicaciones web, identificando y remarcando las diez amenazas más serias a las que se expone.

Dicho ranking nace del consenso y debate entre expertos en la materia de la seguridad en aplicaciones web. El proyecto Top Ten comenzó a gestarse en 2003, cuando se publicó el primer ranking. En 2004, se efectuaron cambios menores de aquella primera edición y en 2007 se liberó la segunda.

Tal y como refleja la organización, y se hace cada vez más evidente, no se han de limitar los esfuerzos en la erradicación o el tratamiento de las amenazas señaladas (El número de riesgos o vulnerabilidades identificadas es de varios ordenes mayor), sino de un plan de seguridad que comience y se alargue durante todo el ciclo de desarrollo de una aplicación, desde su diseño inicial hasta la fase de mantenimiento.

En esta edición de 2010 han efectuado un cambio significativo en la metodología usada para la elaboración del top. En vez de estimar una amenaza por su frecuencia (las más comunes) se han tenido en cuenta múltiples factores para el cálculo de cada una de ellas, dando lugar a un ranking de riesgos evaluados por su vector, predominio, detectabilidad e impacto.

La edición del 2010 presenta las siguientes categorías:

1- Inyecciones.
Vulnerabilidades de inyección de código, desde SQL hasta comandos del sistema.

2- Cross-site Scripting.
El anterior número uno. Una de las vulnerabilidades más extendidas y a la par subestimada.

3- Gestión defectuosa de sesiones y autenticación.
Comprende los errores y fallos en las funciones de gestión de sesiones y autenticación.

4- Referencias directas a objetos inseguras.
Errores al exponer partes privadas o internas de una aplicación sin control y accesibles públicamente.

5- Cross-site Request Forgery.
Se mantiene en el mismo puesto anterior. Vulnerabilidad consistente en el desencadenamiento de acciones legitimas por parte un usuario autenticado, de manera inadvertida por este último y bajo el control de un atacante.

6- Ausencia de, o mala, configuración de seguridad.
Más que un error en el código se trata de la falta o mala configuración de seguridad de todo el conjunto de elementos que comprende el despliegue de una aplicación web, desde la misma aplicación hasta la configuración del sistema operativo o el servidor web.

7- Almacenamiento con cifrado inseguro.
Referida a la ausencia o mal uso de los sistemas de cifrado en relación a los datos almacenados o manejados por la aplicación.

8- Falta de restricciones en accesos por URL.
Falta de validación en el procesamiento de URLs que podrían ser usadas para invocar recursos sin los derechos apropiados o páginas ocultas.

9- Protección insuficiente de la capa de transporte.
Relacionada con A7 pero orientada a la protección del tráfico de red. Elección de un cifrado débil o mala gestión de certificados.

10- Datos de redirecciones y destinos no validados.
Errores en el tratamiento de redirecciones y uso de datos no confiables como destino.

OWASP Top 10 for 2010 [PDF]

fuente: hispasec.com





Los hackers han logrado derribar a iPhone y al navegador Safari de Apple, Internet Explorer 8 (IE8) de Microsoft y Firefox de Mozilla en tan sólo unos minutos en el concurso de seguridad Pwn2Own. Sólo Chrome consiguió “sobrevivir” al primer día del encuentro.

Un equipo formado por Vicenzo Iozzo y Ralf-Philipp Weinmann consiguió acabar con iPhone en unos cinco minutos, según ha informado un portavoz de 3Com TippingPoint, la compañía de seguridad que patrocina el concurso Pwn2Own. Estos dos hombres fueron además los ganadores de un premio de 15.000 dólares en efectivo.

Por lo que respecta a Safari, fue derribado por Charlie Miller, analista de la firma Independent Security Evaluators, quien ha recibido 10.000 dólares en efectivo como reconocimiento. Miller ganó además dos premios en 2008 y 2009 por hackear un Mac. En 2009 consiguió acabar con Safari en 10 segundos. Ningún otro experto ha conseguido ganar tres veces el concurso Pwn2Own.

IE8 corriendo sobre Windows 7 ha sido vencido por Peter Vreugdenhil con un código de ataque basado en puentear el sistema Data Execution Prevention (DEP) del sistema operativo de Microsoft. Finalmente, un estudiante alemán consiguió abatir Firefox sobre Windows 7.

TippingPoint no revela detalles de las vulnerabilidades explotadas en Pwn2Own y compra los derechos sobre los fallos y códigos de explotación como parte del concurso. Después hace llegar tal información a los fabricantes afectados, y, sólo una vez han sido parcheadas las vulnerabilidades, descubre los detalles al respecto.

blog http://dvlabs.tippingpoint.com/blog/2010/02/15/pwn2own-2010

fuente: csospain.es