10 Consejos para proteger los Niños en Internet

Los niños de hoy están fascinados por Internet y son extremadamente hábiles cuando se trata de usar un ordenador. Es por esta razón que los padres y los profesores deben ser conscientes de los peligros que puede conllevar la mala utilización de la Red -depredadores en línea, ciber-matones, timadores e incluso compañeros, entre otros- y deben hablar con sus hijos / alumnos acerca de cómo evitar esos problemas en el caso de que se den.

“Los niños son un objetivo muy fácil para los individuos con malas intenciones que pretenden utilizarlos con fines ilegales y deshonestos”, advierte Catalin Cosoi, investigador senior de BitDefender. “Afortunadamente, estas repercusiones negativas se pueden evitar mediante la educación y manteniendo conversaciones abiertas con los menores acerca del uso de Internet y de las prácticas de seguridad.”

La buena comunicación es la clave para la seguridad online. Los padres y los maestros deben convertirse en aliados y discutir abiertamente los diversos aspectos relativos a la seguridad con los menores, ya que estos pasan mucho tiempo en la Red tanto en casa como en la escuela.

BitDefender ofrece algunos puntos que los padres y profesores pueden tener en cuenta a la hora de supervisar la seguridad de los más jóvenes en la Red y que posteriormente pueden utilizar para entablar con ellos un diálogo sobre navegación segura:

  1. Los programas y módulos de Control Parental son una parte importante para mantener la seguridad en línea de los más pequeños. Padres y profesores deben entender cómo funcionan estos servicios para, así, poder proteger a toda la familia de los peligros Web. Sobre todo, deben evitar que los niños se sientan “espiados”.
  2. El ordenador debe ser colocado en un área común, en la que un adulto puede “echar un ojo” al monitor de vez en cuando; por ejemplo, en la sala de estar.
  3. Cuando los menores se creen una cuenta en redes sociales como Facebook ®, los padres o profesores deben estudiar el grado de privacidad de cada sitio y compilar listas de personas de confianza con las cuales los niños puedan comunicarse sin problema.
  4. Hay que ser muy conscientes del peligro que puede conllevar que los menores queden físicamente con personas que han conocido a través de estas redes, y si es necesario, un padre o un profesor deben acompañarlos por motivos de seguridad.
  5. Hay que enseñar a los niños a poner fin a conversaciones que les incomoden. Si alguien en la web – incluso un amigo – los hacen sentir temor, confusión, ofendidos o amenazados, asegúrese de que sepan encontrar un adulto con quien hablar sobre el tema, y finalizar la conversación a tiempo.
  6. Se debe ayudar a los niños a identificar correos electrónicos que contengan spam o con contenido inapropiado y asegurarse de que sepan abstenerse de abrir y reenviar este tipo de mensajes.
  7. Los padres o los maestros deben buscar, con cierta regularidad, el nombre de sus protegidos en los motores de búsqueda para ver la información que aparece sobre ellos en blogs, comunidades en las que estén activos, etc.
  8. Conozca la jerga de los chat, como acrónimos, emoticonos, etc., para saber exactamente de qué están hablando con los niños en la Red.
  9. Durante las actividades que requieran el uso de Internet en clase, los estudiantes deben ser supervisados de cerca.
  10. Y, por último, hacer entender a los estudiantes y los niños que no todo lo que ven o escuchan en Internet es verdad. Los desconocidos pueden dar con mucha facilidad Información falsa sobre sí mismos, con el fin de atraer la atención de los más pequeños de la casa.

fuemte: dragonjar.org

Anuncios

Explorer es más seguro que Chrome o Firefox

NSS Labs acaba de dar a conocer los resultados de su informe sobre la seguridad de los navegadores. ¿La principal conclusión? Internet Explorer es mucho más seguro que Chrome, Firefox, Opera y Safari.

NSS Labs ha realizado un estudio en el que analiza la seguridad de los principales navegadores del mercado. Así, la firma destaca de Google Chrome, por ejemplo, “las pocas opciones de configuración que ofrece para los usuarios empresariales, dejando poca o ninguna posibilidad de configuración de seguridad” Además, el informe también destaca que Google Chrome “no permite configurar las opciones de JavaScript, no admite diferentes zonas de seguridad, ni es administrable en remoto por un Active Directory. Saca una nueva versión cada poco tiempo, haciendo difícil la construcción de aplicaciones empresariales sobre ella.. Tiene pocos plug-ins pero, como rasgo positivo en seguridad, no existe mucho malware especialmente diseñado para él, salvo el basado directamente en ataques XSS”.

En lo que respecta a Firefox, el estudio resalta que “el número de vulnerabilidades que muestra durante este año duplica a las de cualquier navegador, lo que obliga a la generación de un gran número de parches que deben ser aplicados con diligencia, ya que la que mayoría son de nivel crítico. Firefox tiene una arquitectura que no saca provecho de las ventajas arquitectónicas que ofrecen los sistemas operativos Windows Vista y Windows 7. Como rasgo positivo hay que destacar que todas las vulnerabilidades son parcheadas aunque ha sufrido bastantes críticas sobre cómo se realiza este proceso debido al gran número de fallos de regresión que generan y que resultan en nuevas vulnerabilidades”.

El navegador de Opera, a pesar de que no se han encontrado muchas vulnerabilidades, “presenta muy pocas opciones empresariales de administración y configuración. No tiene filtro Anti XSS ni en el propio código ni como plug-in añadido y sus opciones de seguridad son las menos robustas en esta área. Tampoco hace uso de arquitecturas modulares ni saca provecho de las tecnologías MIC y UIPI en Windows Vista y Windows 7”.

En cuanto al Apple Safari, el estudio afirma que “este navegador no viene pensado para ser administrado de forma centralizada en una empresa con lo que no tiene buenas herramientas”, aunque “sí que existe mucho interés en la industria de la seguridad con este navegador, haciendo que sus vulnerabilidades sean altas dejando bastante sin parchear”.

Internet Explorer 8, el más seguro

Por último, NSS Labs afirma que a pesar de la cantidad de vulnerabilidades que se han encontrado para Internet Explorer 8, “ha demostrado tener las mejores medidas de seguridad aplicadas para fortificar la solución, desde las técnicas de engaño a usuarios, las protecciones Anti XSS, las opciones de fortificación en tecnologías Windows Vista y Windows 7 y, por supuesto, las mejores herramientas de configuración y ajuste de la seguridad, tales como las zonas de seguridad, las listas de permisos en componentes ActiveX por sitio y por usuario, la posibilidad de administrar de forma centralizada da, a los administradores, herramientas eficientes para fortificar sus implantaciones”. No obstante, no todo es positivo, ya que “Internet Explorer, al igual que Firefox, está hoy en día en el punto de mira de la industria del malware y los buscadores de vulnerabilidades”, finaliza el estudio.

DESCARGAR REPORTE

fuente: csospain.es


Los diez riesgos más importantes en aplicaciones web (2010) by OWASP

La OWASP (Open Web Application Security Project) ha publicado una actualización del ranking de los riesgos más importantes que afectan a las aplicaciones web.  Su misión es concienciar a la industria sobre los riesgos de seguridad, en el ámbito de las aplicaciones web, identificando y remarcando las diez amenazas más serias a las que se expone.

Dicho ranking nace del consenso y debate entre expertos en la materia de la seguridad en aplicaciones web. El proyecto Top Ten comenzó a gestarse en 2003, cuando se publicó el primer ranking. En 2004, se efectuaron cambios menores de aquella primera edición y en 2007 se liberó la segunda.

Tal y como refleja la organización, y se hace cada vez más evidente, no se han de limitar los esfuerzos en la erradicación o el tratamiento de las amenazas señaladas (El número de riesgos o vulnerabilidades identificadas es de varios ordenes mayor), sino de un plan de seguridad que comience y se alargue durante todo el ciclo de desarrollo de una aplicación, desde su diseño inicial hasta la fase de mantenimiento.

En esta edición de 2010 han efectuado un cambio significativo en la metodología usada para la elaboración del top. En vez de estimar una amenaza por su frecuencia (las más comunes) se han tenido en cuenta múltiples factores para el cálculo de cada una de ellas, dando lugar a un ranking de riesgos evaluados por su vector, predominio, detectabilidad e impacto.

La edición del 2010 presenta las siguientes categorías:

1- Inyecciones.
Vulnerabilidades de inyección de código, desde SQL hasta comandos del sistema.

2- Cross-site Scripting.
El anterior número uno. Una de las vulnerabilidades más extendidas y a la par subestimada.

3- Gestión defectuosa de sesiones y autenticación.
Comprende los errores y fallos en las funciones de gestión de sesiones y autenticación.

4- Referencias directas a objetos inseguras.
Errores al exponer partes privadas o internas de una aplicación sin control y accesibles públicamente.

5- Cross-site Request Forgery.
Se mantiene en el mismo puesto anterior. Vulnerabilidad consistente en el desencadenamiento de acciones legitimas por parte un usuario autenticado, de manera inadvertida por este último y bajo el control de un atacante.

6- Ausencia de, o mala, configuración de seguridad.
Más que un error en el código se trata de la falta o mala configuración de seguridad de todo el conjunto de elementos que comprende el despliegue de una aplicación web, desde la misma aplicación hasta la configuración del sistema operativo o el servidor web.

7- Almacenamiento con cifrado inseguro.
Referida a la ausencia o mal uso de los sistemas de cifrado en relación a los datos almacenados o manejados por la aplicación.

8- Falta de restricciones en accesos por URL.
Falta de validación en el procesamiento de URLs que podrían ser usadas para invocar recursos sin los derechos apropiados o páginas ocultas.

9- Protección insuficiente de la capa de transporte.
Relacionada con A7 pero orientada a la protección del tráfico de red. Elección de un cifrado débil o mala gestión de certificados.

10- Datos de redirecciones y destinos no validados.
Errores en el tratamiento de redirecciones y uso de datos no confiables como destino.

OWASP Top 10 for 2010 [PDF]

fuente: hispasec.com





iPhone, Safari, IE8 y Firefox sucumben en el primer día de Pwn2Own

Los hackers han logrado derribar a iPhone y al navegador Safari de Apple, Internet Explorer 8 (IE8) de Microsoft y Firefox de Mozilla en tan sólo unos minutos en el concurso de seguridad Pwn2Own. Sólo Chrome consiguió “sobrevivir” al primer día del encuentro.

Un equipo formado por Vicenzo Iozzo y Ralf-Philipp Weinmann consiguió acabar con iPhone en unos cinco minutos, según ha informado un portavoz de 3Com TippingPoint, la compañía de seguridad que patrocina el concurso Pwn2Own. Estos dos hombres fueron además los ganadores de un premio de 15.000 dólares en efectivo.

Por lo que respecta a Safari, fue derribado por Charlie Miller, analista de la firma Independent Security Evaluators, quien ha recibido 10.000 dólares en efectivo como reconocimiento. Miller ganó además dos premios en 2008 y 2009 por hackear un Mac. En 2009 consiguió acabar con Safari en 10 segundos. Ningún otro experto ha conseguido ganar tres veces el concurso Pwn2Own.

IE8 corriendo sobre Windows 7 ha sido vencido por Peter Vreugdenhil con un código de ataque basado en puentear el sistema Data Execution Prevention (DEP) del sistema operativo de Microsoft. Finalmente, un estudiante alemán consiguió abatir Firefox sobre Windows 7.

TippingPoint no revela detalles de las vulnerabilidades explotadas en Pwn2Own y compra los derechos sobre los fallos y códigos de explotación como parte del concurso. Después hace llegar tal información a los fabricantes afectados, y, sólo una vez han sido parcheadas las vulnerabilidades, descubre los detalles al respecto.

blog http://dvlabs.tippingpoint.com/blog/2010/02/15/pwn2own-2010

fuente: csospain.es


Manual de Metasploit Framework en Español

La traduccion al español del manual de Metasploit Framework, esta publicado en formato WIKI (a diferencia que la original en ingles) y por lo cual se puede colaborar conjuntamente para tener pronto toda la guia “Metasploit Unleashed – Mastering the Framework” en español

Este es el indice del manual de Metasploit Framwork que en su mayoría ya se encuentra traducido al español, gracias a la iniciativa de metasploit-es.com.ar.

Manual de Metasploit Framework en Español

******************************************************

Guia de usuario de Metasploit Framework en Español

fuente: dragonjar.org

Prevenir antes que lamentar: chrome

Google parchea Chrome días antes de un famoso concurso de hackers. El próximo 24 de marzo dará inicio una nueva edición de Pwn2Own, un concurso que ofrece un total de 100.000 dólares a quienes logren explotar las vulnerabilidades de los principales móviles y navegadores web. Chrome intentará sobrevivir a la carga de los hackers con su última actualización.

Google ha parcheado once vulnerabilidades en la versión de Chrome para Windows. Como Apple, que actualizó Safari hace pocos días, Google ha mejorado la seguridad de su navegador antes del 24 de marzo, día en el que empezará el concurso de hacking Pwn2Own en Canadá. Durante tres días, los profesionales de la seguridad ´white hat´ podrán explorar a fondo las vulnerabilidades de los principales navegadores web y teléfonos móviles. Los navegadores objetivo serán las últimas versiones de Explorer, Firefox, Chrome y Safari. De los 100.000 dólares en metálico que ofrece el concurso, 40.000 dólares irán destinados al concurso web, donde cada navegador tendrá un valor individual de 10.000 dólares. Los 60.000 dólares restantes corresponden a la parte móvil del concurso y cada dispositivo tendrá un premio de 15.000 dólares. Los terminales a “explorar” serán 3GS Apple iPhone, RIM Blackberry Bold 9700, un dispositivo Nokia con Symbian S60 y un teléfono Motorola con Android.

La actualización de Chrome 4.1.249.1036 soluciona seis brechas calificadas como “altas” (el segundo nivel en el sistema de amenazas de Google), tres “medias” y dos “bajas”. La firma de seguridad danesa Secunia opina que la actualización es “altamente crítica”.

Un error en WebKit, el motor de código abierto que utilizan tanto Chrome como Safari, ha hecho ganar al investigador Sergey Glazunov un cheque por valor de 1.337 dólares, el máximo que Google paga por descubrir una vulnerabilidad como parte del programa de recompensas que puso en marcha el pasado enero. La mayoría de los agujeros se recompensan con 500 dólares, pero sólo aquellos “particularmente severos o particularmente inteligentes” obtienen 1.337 dólares. En total, por los errores parcheados el pasado miércoles, Google ha pagado 3.337 dólares.

Aaron Portnoy, investigador en seguridad de TippingPoint, empresa que organiza el Pwn2Own, opina que Safari caerá el segundo día de este concurso, mientras que Chrome será el único superviviente. Chrome es actualmente el tercer navegador más utilizado, tras haber superado a Safari en diciembre de 2009. El pasado mes, registró un 6 % de cuota entre los navegadores en uso, según el índice de NetApplications.com.

GOOGLE SUPPORT

fuente: csospain.es


P2P, el peligro latente en las empresas

Casi 100 organizaciones admitieron haber publicado accidentalmente información confidencial sobre sus clientes y empleados.

La Comisión Federal de Comercio (FTC) ha advertido a casi 100 organizaciones de EEUU de los graves riesgos del P2P y las brechas de seguridad, cuestiones que pueden exponer a los consumidores al robo de identidad y al fraude. El uso del P2P en las redes de intercambio para descargar música y películas abre la puerta a la pérdida de datos, tanto en el lugar de trabajo como en el ordenador del hogar, un lugar en el que los usuarios también trabajan habitualmente con documentos de su empresa.

Si no está configurado correctamente, Kazaa, Limewire y otras redes de intercambio P2P pueden recopilar archivos personales que el usuario probablemente preferiría que nadie tuviese acceso a ellos”, explica Graham Cluley, Consultor de Tecnología de Sophos. “Hay bandas de delincuentes cibernéticos que rastrean los archivos en las redes de intercambio y buscan documentos personales y de trabajo tales como registros financieros, permisos de conducir o números de la seguridad social”.

Las advertencias de la FTC deben tomarse como un severo aviso a las empresas sobre los peligros del P2P en el entorno de trabajo, así como la obligación que tienen de controlar el flujo de datos sensibles. Una encuesta realizada por Sophos reveló que el 86,5% de las organizaciones desearía tener capacidad para bloquear archivos provenientes del P2P, y el 79% señalaba que el bloqueo de archivos era esencial en su empresa. Estas cifras muestran la preocupación que tiene la mayoría de organizaciones con respecto a la protección de sus datos.

“Algunas empresas podrán optar por hacer la “vista gorda” y permitir el intercambio de archivos llevado a cabo por sus trabajadores, especialmente en lo referido a descarga de música y de películas piratas. Pero tienen que tener muy en cuenta los riesgos de pérdida de datos sensibles a los que se exponen. Muchas de estas aplicaciones P2P “toman el poder” de todo el disco duro para compartir de forma automática, y pueden recoger datos que nunca deberían ser puestos a disposición de cualquiera en la red”, continua Cluley. “Mediante el uso de aplicaciones de control y protección de datos, las empresas pueden evitar que sus trabajadores ejecuten el programa de intercambio de archivos y prevenir el movimiento de datos importantes en el ordenador doméstico”.

fuente: diarioti.com