EL BLOG DE CALLES

Los 25 errores de programación más peligrosos

2011-07-09T10:21:00.001+02:00

Buenas a todos, al igual que ha ocurrido en los últimos años, SANS y MITRE han realizado un estudio que han plasmado en un documento en el que resumen cuales han sido los 25 errores de programación más peligrosos del año.
El pasado año esta lista era encabezada por los habituales XSS, pero este año han sido desbancados por las Inyecciones SQL, desplazando a los XSS al cuarto lugar.

A continuación os dejamos el listado completo de errores:

1 – Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)
2 – Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’)
3 – Buffer Copy without Checking Size of Input (‘Classic Buffer Overflow’)
4 – Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)
5 – Missing Authentication for Critical Function
6 – Missing Authorization
7 – Use of Hard-coded Credentials
8 – Missing Encryption of Sensitive Data
9 – Unrestricted Upload of File with Dangerous Type
10 – Reliance on Untrusted Inputs in a Security Decision
11 – Execution with Unnecessary Privileges
12 – Cross-Site Request Forgery (CSRF)
13 – Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)
14 – Download of Code Without Integrity Check
15 – Incorrect Authorization
16 – Inclusion of Functionality from Untrusted Control Sphere
17 – Incorrect Permission Assignment for Critical Resource
18 – Use of Potentially Dangerous Function
19 – Use of a Broken or Risky Cryptographic Algorithm
20.- Incorrect Calculation of Buffer Size
21 – Improper Restriction of Excessive Authentication Attempts
22 – URL Redirection to Untrusted Site (‘Open Redirect’)
23 – Uncontrolled Format String
24 – Integer Overflow or Wraparound
25 – Use of a One-Way Hash without a Salt

Podéis descargar el documento desde el siguiente enlace: http://cwe.mitre.org/top25/

Saludos!

Publicada nueva versión de Anubis, V1.3

2011-07-04T19:18:00.000+02:00

Buenas a todos, como recordaréis el pasado martes publicamos la versión 1.2 de Anubis que resolvía algunos problemas que tenía al realizar las búsquedas de dominios y subdominios a través de Google debido a que ésta había realizado algunos cambios en su API hacía algunos meses.

Pues bien, como la vida está poblada de casualidades, y como ya os habréis dado cuenta, el pasado jueves Google decidió cambiar de nuevo su API así que el algoritmo de búsqueda de Anubis dejó de funcionar como debía.

Así que nos pusimos rápidamente manos a la obra para sacar una nueva versión que solucionase este problema, y aquí la tenéis :)

Como habitualmente, podéis descargar Anubis V1.3 desde aquí.

saludos!

Lanzamiento Oficial de Anubis v1.2

2011-06-28T00:01:00.001+02:00

Buenas a todos, tras la buena aceptación que parece que ha tenido y sigue teniendo la cadena de artículos y el libro que publicamos desde Flu Project sobre "La Biblia del Footprinting", por cierto, libro del que ya se han superado las 600 descargas (¡gracias!), se nos había quedado en el tintero publicar una nueva versión de Anubis que resolviese unos problemas de funcionamiento que tenía debido al último cambio de API realizado por Google.

Pero como lo prometido es deuda..., aquí tenéis la nueva versión de Anubis, vamos por la 1.2. Esta versión posee de nuevo todas las herramientas operativas y algunas mejoras gráficas para hacer la herramienta más intuitiva, además de mejoras de estabilidad :-)

Para los que sea la primera vez que habéis oído hablar de Anubis, es una herramienta que publicamos hace algo más de un año desde mi blog y que permite automatizar la recolección y tratamiento de datos (footprinting y fingerprinting) durante los Test de Intrusión. Entre otras funcionalidades permite buscar dominios mediante Google Hacking, Bing Hacking, ataques de fuerza bruta contra el DNS, transferencias de zona, etc. Además, permite identificar el sistema operativo de las máquinas que hay tras los dominios mediante análisis del banner, búsqueda de errores y la integración de la herramienta nmap. Por otro lado contiene otras herramientas útiles como un fuzzer Web, la búsqueda del registrador de un dominio mediante consultas Whois, o la identificación de software utilizado en la organización y personal existente en la misma mediante el análisis de metadatos en los ficheros PDF.

La herramienta la podéis descargar desde AQUÍ.

Ya hay más de 1500 usuarios que han probado la herramienta. A continuación os dejamos algunas capturas de pantalla:

Disfrutadla, saludos!

¿Quieres una entrada para No cON Name 2011?

2011-06-07T00:09:00.001+02:00

Si señor un título bueno no tiene que ser muy explicado, pero si quieres una entrada para asistir a la No cON Name 2011 solo tenéis que participar en el concurso creado entre la Asociación No cON Name y Flu Project. Flu Project junto con No cON Name sortearán 3 entradas mediante un concurso. El objetivo es que los usuarios/seguidores de Flu Project puedan asistir los días 16 y 17 de Septiembre, los cuales tendrá lugar uno de los congresos más importantes de seguridad informática a nivel Europeo, y podemos decir que hasta mundial, la No cON Name, que se realizará en la ciudad de Barcelona.

¿Cómo puedo conseguir mi entrada?

El concurso es bastante sencillo. Los usuarios interesados necesitan de un Twitter para poder twittear mensajes sobre el evento. Pueden poner cualquier comentario, aunque es aconsejable algo sobre seguridad, lo típico soy un fan security o tuenti tiene más agujeros que un queso de gruyere, eso sí, no se os olvide ponerle el hashtag #ncn2k11 para que se pueda contabilizar el tweet como válido. Otra de las cosas que no debéis olvidar antes de empezar a enviar tweets es hacerse follower de Flu Project (@fluproject) y de la No cON Name (@noconname), esto es un requisito necesario ya que si no, no se podrán contabilizar correctamente los tweets.

Por último comentaros que los mensajes de los tweets deben tener el siguiente patrón:

@noconname @fluproject <mensaje> #ncn2k11

Es importante que se mantenga el patrón anterior ya que facilitará contabilizar el número de tweets. Los tweets que no lleven el patrón no serán contados como válidos.

¿Quién ganará las entradas?

Son 3 entradas las que hay en juego y serán otorgadas a los usuarios que manden mas tweets con el patrón anterior. Es decir, el usuario que más tweets mande ganará la primera entrada en juego, el segundo la segunda y el tercero la tercera.

No dejes para mañana lo que puedas hacer hoy, no dejes de twittear para conseguir tu entrada para la No cON Name.

Plazos

El concurso empieza el día 8 de Junio de 2011, es decir, este miércoles a las 00:00. A partir de este día podréis estar twitteando para conseguir vuestra entrada. El concurso finaliza a las 23:59 del día 30 de Junio de 2011.

Una vez tengamos ganadores los chicos de la No cON Name se pondrá en contacto con vosotros, daremos la lista oficial de ganadores en Flu Project, no dejéis para mañana lo que podéis twittear hoy.

¡Ánimo!

Pablo González, Flu Project

Nuevas camisetas de Flu, 3era hornada

2011-05-07T00:01:00.000+02:00

Buenas a todos, hoy es la primera KDD oficial de Flu Project y en la que nos reuniremos algunos miembros de la Comunidad que han venido de toda España (una pena que falten muchos amigos de América Latina, ya propondremos algo internacional!) para tomarnos unas cervezas, conocernos y hablar sobre lo que más nos gusta, la~~el futbol~~ seguridad :).

Lugar: El oso y el madroño, en la Puerta del Sol de Madrid

Hora: 17:00 GMT+1

Día: ¡HOY!

Para conmemorar este día tan especial, hemos sacado la tercera temporada de camisetas de Flu Project. Hemos escuchado las sugerencias que nos habéis hecho: fuera URL de la Web, el muñeco de Flu más pequeño, camisetas solo negras, etc. y esta es la camiseta que os presentamos, ¡esperamos que os guste!

Todavía no hemos cerrado precio con nuestro proveedor, si estáis varios interesados en ellas comentárnoslo lo antes posible para poder comprar un lote más amplio de camisetas para que os salgan más baratillas ;-)

un abrazo, nos vemos esta tarde!

Quedada de los miembros de la Comunidad Flu Project en Madrid

2011-04-30T15:36:00.004+02:00

Buenas a todos, estamos organizando desde la Comunidad Flu Project una quedada de todos los miembros que se quieran pasar para conocernos todos, tomarnos unas cervezas y charlar sobre la comunidad, seguridad, y sobre todo lo que os apetezca.

Estáis todos invitados. El lugar será el centro de Madrid (queda por elegir el sitio específico, aunque algunos miembros nos han pedido ya un lugar con WIFI y sitio para extender los portátiles...¡miedo me dais! :P). Los días y horas que se barajan son ~~el viernes 6 o~~ el sábado 7 por la tarde.

Hemos abierto un hilo en el foro de la comunidad para que podáis apuntaros a la quedada:

http://www.flu-project.com/forum?mingleforumaction=viewtopic&t=202.0#postid-1023

Y si queréis una camiseta de Flu Project, nos quedan algunas camisetas sueltas (poquitas) de las tallas XL y XXL de color blanco y una XXL de color negra . Si os dais prisa probablemente pilléis alguna todavía.

Os esperamos, un abrazo a todos!

Publicamos un nuevo libro gratuito, La Biblia del Footprinting

2011-04-21T00:30:00.000+02:00

Buenas a todos, como os comenté a muchos de vosotros en los comentarios que habéis ido poniendonos en el blog de Flu Project, hemos recogido todos los posts sobre la Biblia del Footprinting que realizamos para la comunidad en un pequeño libro (gratuito), que no llega a las 50 páginas, muy cortito de leer, para que lo podáis imprimir y utilizar más cómodamente en vuestras auditorías.

Por el momento hemos publicado una primera versión, que iremos ampliando posteriormente con más datos, nuevas herramientas y análisis más exhaustivos.

Si queréis realizar aportaciones técnicas para futuras versiones del libro (con vuestro reconocimiento) serán bienvenidas. Para ello podéis hacérnoslas llegar en formato docx, doc, odt, etc. (algo legible sin quebrarnos la cabeza por favor =) ) a la dirección de correo info@flu-project.com y las estudiaremos.

El libro lo podéis descargar desde AQUÍ. ¡Esperamos que os guste!

Saludos!

Samsung instala un keylogger en sus ordenadores portátiles

2011-03-31T08:22:00.004+02:00

"FUUUUUUUU" es la única palabra que me sale tras enterarme de la noticia. ¿Cómo puede ser que una empresa tan seria como Samsung se dedique, supuestamente, a instalar Keyloggers? ¿Acaso tenía envidia de Sony o Vodafone?

Al parecer Mohamed Hassan, experto en seguridad de la empresa NetSec Consulting ha sido el que ha descubierto el keylogger, tras analizar varios equipos Samsung adquiridos en tiendas diferentes, para descartar que la instalación del malware se la hubiesen realizado en alguna de las tiendas.

El keylogger encontrado se denomina StarKeylogger y tenéis más información en el siguiente enlace:

http://antivirus.about.com/od/virusdescriptions/p/Starlogger-Keylogger.htm

Lo peor de esto es que tras contactar con el SAT de Samsung, le confirmaron que ese programa era suyo y que lo utilizaban para analizar el comportamiento de sus clientes.

¿Y vosotros tenéis un portatil Samsung?

Editado 03/04/2011 - 22:20

Como comentaba Christian Hernández en los comentarios, finalmente se ha confirmado que se trataba de un falso positivo.

¡Nuevo Flu b0.3.1! Ahora con generador de bots

2011-03-24T00:05:00.001+01:00

Buenas a todos, hoy tengo el placer de presentaros la nueva versión de Flu, a la que hemos denominado Flu b0.3.1. Esta nueva versión se caracteriza principalmente porque por fín (como muchos ya nos habíais pedido) contiene un generador de bots, por lo que ya no hará falta tener Visual Studio para compilar el código.

Nos gustaría agradecer en especial a "Gasdejava", ya que ha sido el compañero de la comunidad TroyanosyHacks.net que se ha currado el código, y nosotros no hemos tenido nada más que adaptarlo a la nueva versión de Flu b0.3. ¡Gracias!

Además del generador de bots, esta nueva versión soluciona algunos bugs y problemas de estabilidad que nos habéis ido reportando en las últimas semanas.

Os dejamos con el vídeo de presentación de Flu b0.3.1:

[

Como siempre, podéis descargar la nueva versión de Flu desde el siguiente enlace:

http://www.flu-project.com/downloadflu

Saludos!

P.D. ninguna gallina ha sido maltratada durante la grabación del anuncio

Concurso: Cultura Anti-Depredadores

2011-03-14T08:17:00.002+01:00

Buenas a todos, hoy os presento el concurso "Cultura Anti-Depredadores" de nuestra comunidad amiga Anti-Depredadores.

A continuación os dejo el comunicado oficial:

1. Comunicado

El proyecto Anti-depredadores convoca a las comunidades y profesionales que trabajan en arte, comunicación, diseño, marketing, publicidad, psicología, desarrollo de software y áreas afines a participar en el concurso “Cultura Anti-depredadores”.

El concurso busca la generación de materiales didácticos enfocados al buen uso de las TICs por parte de la población infantil y juvenil, con el objetivo de educar en su correcto uso (o utilización), además de informar, prevenir y culturizar frente a los peligros existentes en la red.

Los participantes podrán elegir entre las siguientes categorías:

Multimedia (videos, podcasts, animaciones)
Fondos de escritorio y protectores de pantalla.
Cartillas y afiches.
Banners y material publicitario para sitios web.
Juegos o software interactivo.

Anti-depredadores se reservará el derecho de usar o no el material creado por los participantes respetando los derechos de autor correspondientes, además aclara que el concurso se realiza sin ánimo de lucro y que por tal motivo no se obtendrá ningún beneficio económico de los materiales seleccionados para publicar.

2. Fechas

Convocatorias: 12 de Marzo de 2011 al 2 de Abril de 2011
Evaluación de trabajos participantes: 3 de Abril de 2011 al 9 de Abril de 2011
Publicación de participantes aprobados: 10 de Abril de 2011
Votaciones y valoraciones de la comunidad: 10 de Abril de 2011 al 16 de Abril de 2011
Publicación de ganadores: 17 de Abril de 2011 a través de www.anti-depredadores.org

3. Entrega de participaciones

Los creadores se comprometen a entregar en medios digitales al proyecto Anti-depredadores el material final y sus fuentes.
Se entregarán los nombres de los creadores, sitios web, cuentas de twitter, facebook y demás redes sociales de referencia con el consentimiento de los participantes.
Todos los materiales deberán tener una descripción del problema abordado, el objetivo, las palabras claves del tema y una corta explicación en la que el(los) participante(s) den a conocer las motivaciones de su selección y trabajo.
La entrega se realizará a través del sitio www.anti-depredadores.org. El participante o lider del grupo debe registrarse en el sitio y enviar un mensaje a través de http://anti-depredadores.org/contacto.aspx solicitando le sea asignada la zona donde puede publicar su trabajo, luego de esto le serán enviadas las instrucciones vía correo electrónico.

6. Premios

Primer puesto un iPad + Camiseta del proyecto Anti-depredadores
Segundo y tercer puesto Amazon Kindle + Camiseta del proyecto Anti-depredadores.
Para leer los puntos que faltan en el comunicado pincha aquí.

El proyecto Anti-depredadores se compromete a publicar a través de sus medios virtuales y algunas de sus comunidades colaboradoras a los ganadores del concurso durante el transcurso del año 2011.

¡Lanzamos Flu b0.3!

2011-03-10T14:32:00.002+01:00

Buenas a todos, hoy hemos lanzado la nueva beta 0.3 de Flu para Windows, esta nueva versión comparte gran parte de su arquitectura con su hermano Flu-AD, que ya habéis podido ir viendo hace unos días a través del vídeo que publicamos sobre Flu-AD y el robo de datos de MSN.

A continuación os presentamos el listado de mejoras para esta nueva versión:

Integración con Base de Datos: a partir de esta versión, todos los datos recolectados por Flu serán almacenados en una BBDD MySql. Así ganamos en eficiencia y simplicidad.

Sesión de usuario: ahora para acceder al panel de control de Flu vía Web, será necesario contar con un usuario y contraseña. Podrán modificarse desde la BBDD.

Cambios significativos en la Interfaz Visual: hemos intentado que el panel de control de Flu sea más intuitivo, y le hemos dado más peso para visualizar los datos. Por ejemplo, ahora podremos ver en todo momento las máquinas infectadas que están conectadas o desconectadas, la hora a la que se le envió el último comando y el comando enviado, etc.

También os hemos preparado un vídeo en el que os explicamos como se instala y configura Flu b0.3:

Como habitualmente, podéis descargar Flu b0.3 desde aquí:

http://www.flu-project.com/downloadflu

Aprovechamos el post para comentaros que somos ya muchos los desarrolladores (pero siempre se necesitan más ) que estamos trabajando en Flu y en Flu-AD, por lo que pronto veremos alguna versión diferente de Flu, con más funcionalidades (se están analizando cosas muy chulas), para otros sistemas operativos o en otros lenguajes, tiempo al tiempo. Iremos revelando más datos en cuanto vayamos teniendo alphas estables.

Disfrutad de Flu b0.3, ¡saludos!

Las nuevas camisetas de Flu Project para la Rooted Con

2011-03-04T00:08:00.000+01:00

Buenas a todos!, hoy es el segundo día de la Rooted Con 2011. Haciendo un balance rápido del día de ayer, decir que el día fue impresionante, disfrutamos de ponencias de mucho nivel donde se publicaron herramientas muy chulas, algunos 0 days, mucho malware y muchos regalitos, pendrives, lectores de DNI electrónico, camisetas, ¡conchas codan! y mucha gente maja y nuevas amistades, que es lo más importante =)

Para conmemorar la Rooted Con, hemos llegado a un acuerdo desde Flu Project con los coordinadores de la Rooted Con para distribuir allí en exclusiva una línea nueva de camisetas de Flu =) Por lo que podréis comprarlas en el stand de la Rooted Con desde ayer hasta el próximo sábado. Los beneficios son destinados al mantenimiento del proyecto.

A continuación os dejamos unas fotillos para que las veais. Tenéis disponibles tallas S, M, L, XL y XXL y dos colores de camiseta, negra y blanca:

Un pequeño error de Google resetea 150.000 cuentas de Gmail

2011-02-28T20:32:00.001+01:00

Buenas a todos, como ya ocurrió a Microsoft hace un tiempo cuando por un error reinició 17.000 cuentas de Hotmail, esta vez el turno le ha tocado a Google, la que por un pequeño accidente ha reseteado más de 150.000 cuentas de Gmail, un 0,08% del total. Se nota que Google cuando hace las cosas, las hace a lo grande =)

Los usuarios que se han visto afectados por este problema mostraban en sus correos mensajes de "bienvenida", como si hubieran sido creados recientemente.

Mientras Google soluciona el problema, informará al respecto desde la web 'Google Apps Status Dashboard', habilitada por la compañía para dar información sobre el rendimiento de los servicios de Google Apps.

Resumen ponencia de Flu Project en la JITICE 2011

2011-02-24T23:43:00.004+01:00

Buenas a todos, ayer estuvimos Pablo y yo en la JITICE 2011 donde tuvimos una ponencia sobre Flu Project. Las JITICE son unas jornadas educativas que se realizan de manera anual y en las que numerosos investigadores publican sus trabajos sobre proyectos de educación, en nuestro caso, quisimos aprovechar las jornadas para mostrar a los asistentes como se puede enseñar seguridad a partir del proyecto Flu.

Las jornadas han sido muy interesantes, se han tratado proyectos de muchas temáticas y de gran calidad. Nuestra ponencia tuvo una gran acogida, comenzó Pablo la charla poniendo en antecedentes al público, hablando sobre el estado de la seguridad en la actualidad, y explicando como funciona Flu Project, y el troyano Flu. Tras la parte de Pablo continúe haciendo una demo de Flu, con la que robamos unas credenciales de autenticación de un banco con el keylogger (no mostrado en el vídeo que os dejamos a continuación) entre otras cosas.

La charla finalizó con una batería de preguntas donde se analizaron diversos aspectos del proyecto y donde nos propusieron ideas bastante interesantes sobre difusión que estudiaremos próximamente.

Tras la ponencia estuvimos charlando con algunos asistentes, sentimos si asustamos a algunos demasiado con la demo }=)

La gente se lo pasó bastante bien, la charla fue divertida y como siempre pasa, se nos hizo corta, teníamos charla para más, pero el tiempo era limitado. Para el próximo año pediremos el espacio de dos charlas si nos lo permiten :P

A continuación os dejamos las diapositivas de la charla, y un vídeo que resume la demo que realizamos:

Diapositivas ponencia Flu Project en la JITICE 2011

View more presentations from Juanan Bronx.

Kaspersky:Cuando Obama propuso un carné para Internet dejaron de reirse de mí

2011-02-22T00:11:00.000+01:00

Buenas a todos, Eugene Kaspersky, el fundador de Kaspersky Lab, ha estado en Barcelona en el Congreso Mundial de Móviles, con el objetivo de concienciar sobre los peligros que acechan a los terminales móviles.

En una entrevista para la Agencia Efe, Kaspersky dijo que hace unos seis años él ya empezó a abogar por la creación de una especie de "pasaporte" para acceder a Internet con el fin de que "fuera más fácil perseguir a los ciberdelincuentes", idea por la que muchos "se rieron de mí" si bien, tras los planes del gobierno de EEUU, "han dejado de reirse".

Estuvimos hablando en el foro de Flu Project del tema hace unos días, podéis ver el hilo aquí.

La verdad que este supuesto DNI para Internet podría ser un atraco contra nuestras libertades, miedo me da pensar que el gobierno de EEUU puede conocer todos nuestros pasos (más de lo que ya hacen).

¿Qué opináis? ¿Veis al igual que yo más contras que pros a esta idea de EEUU y Karpersky?

Saludos!

Leches entre EEUU, Anonymous y Wikileaks

2011-02-18T00:15:00.002+01:00

Buenas a todos, como una película al más puro estilo Holywood estamos viviendo una guerra sucia entre gente de poder. Por un lado tenemos a EEUU, queriendo taparle la boca a Wikileaks y por otro al grupo de hacktivistas Anonymous, que sin un origen claro, defienden con toda su artillería la libertad de expresión de Wikileaks (y de algunos otros).

El caso es que Anonymous ha asestado otro duro golpe a EEUU, en este caso a la organización HBGary, vinculada con el gobierno de EEUU y famosa por ser una empresa de seguridad informática, aunque la calidad de su seguridad ha quedado en el aire.

Según revela el grupo Anonymous al diario The Guardian, el gobierno de EEUU, con HBGary y Bank of América, supuestamente tenían pensado realizar una jugada sucia para quitar del terreno de juego a Wikileaks, a través de un power point en la que se muestran documentos falsificados para intentar hacer parecer que Wikileaks es una farsa dañando así su imagen y 2 millones de dolares para gastos y algunas "compras".

Por el momento hay una gran derrotada, HBGary, que ha visto todo su prestigio camino del inodoro. ¿Será verdad toda esta trama contada por Anonymous? ¿Se revelará algún día la identidad de este grupo de hacktivistas? Algún día lo sabremos.

saludos!

El software malicioso para móviles creció un 46% en 2010

2011-02-16T05:16:00.000+01:00

Buenas a todos, tras un periodo vacacional vuelvo al blog con más noticias sobre seguridad.

McAfee ha realizado el estudio del cuarto trimestre del pasado año 2010, en el que ha concluido que el software malicioso que se ha diseminado en nuestros terminales móviles aumentó un 46% con respecto a 2009.

Además, en el estudio se reveló que durante 2010 habían sido encontrados 55 millones de programas tipo malware, de los cuales unos 20 millones eran de nueva creación.

Un dato curioso es el de las búsquedas por Internet. Según McAfee, “entre los 100 resultados principales de términos de búsqueda diarios, el 51% llevaba a sitios maliciosos”. Y cada página sospechosa tiene de media cinco enlaces maliciosos.

En 2011 los números aumentarán, sobretodo en el caso de las botnets y del malware para terminales móviles. Así que mantened vuestros antivirus, antispyware, etc. actualizados, ejecutad los ficheros extraños en máquinas virtuales, intentad no utilizar cuentas con permisos de administrador y sobretodo mucha prudencia.

Saludos!

Google ofrece 20.000 dólares al primero en hackear Chrome

2011-02-08T05:59:00.000+01:00

Buenas a todos, en el post de hoy os voy a hablar sobre Google y una forma barata que se les ha ocurrido para conseguir detectar vulnerabilidades en su navegador Chrome.

Aprovechando el concurso Pwn2Own, el departamento de seguridad de Google va a premiar con 20.000 dólares al primer participante que consiga vulnerar su navegador web. Gran cantidad de usuarios intentando petarse a Chrome y reportando vulnerabilidades por solo 20.000 dolares, yo lo veo barato, no se a cuanto estará ahora el kilo de 0 days =P

El caso es que el año pasado, todos los grandes navegadores web, desde Firefox, a Safari, fueron hackeados, a excepción de Google Chrome. Caso curioso contando que Google Chrome ha sido el navegador que mas problemas de seguridad ha tenido en los últimos tiempos.

El evento se desarrollará los días 9, 10 y 11 de marzo, justo después de la Rooted de este año, asi que si os interesa el concurso, no tenéis escusa, ¡a por Chrome! }=P.

saludos!

Hoy es el 3er Security Blogger Summit que organiza Panda Security

2011-02-03T00:21:00.003+01:00

Buenas a todos, hoy es el 3er Security Blogger Summit que organiza Panda Security. Tercera vez que se realiza este evento que se ha convertido en lugar de peregrinación para los bloggers que hablamos de seguridad de la información.

En esta edición habrá algunos nombres de interés como Enrique Dans o Chema Alonso.

Yo estaré por allí con algún otro miembro de Flu Project, por lo que si vas allí nos veremos =)

Os dejo a continuación el horario previsto del evento:

18:00 horas: Apertura de puertas. Acreditación.
18:30 – 18:45: Introducción del SBS e invitados. Keynote de Enrique Dans
18:45 – 19:45: Mesa Redonda. Temas:
Ciberactivismo: Una nueva moda en Internet

¿Derecho o delito?

19:45 – 20:00: Coffee Break & networking
20:00 – 21:00: Mesa Redonda. Temas:
Ciberterrorismo y ciberguerra: ¿realidad o ficción?

¿Estamos realmente seguros?

Turno de preguntas

21:00: Cocktail/cena & networking

Saludos!

Detectada vulnerabilidad en Android 2.3 Gingerbread

2011-02-01T00:19:00.001+01:00

Una investigadora de seguridad informática de la Universidad de North Carolina ha descubierto una vulnerabilidad en Android 2.3, Gingerbread. El agujero de seguridad permite que los datos de las tarjetas microSD del smartphone puedan ser escaneados y subidos a un servidor de manera remota.

Para explotar la vulnerabilidad, el terminal con Android debe haber sido previamente infectado por un malware que se distribuye navegando por Internet.

Al parecer Google está trabajando para solucionar el problema, pero todavía no se ha pronunciado sobre si sacará una nueva actualización para solventarlo y cuando.

Saludos!

Los sitios web de pornografía y el malware. Estudio de BitDefender

2011-01-28T01:13:00.000+01:00

Buenas a todos, el porno, ese es el verdadero tirón, ¿quieres sacar un producto en Internet y sacar dinero? pon una foto de una chica guapa ligera de ropa y crecerán tus visitas.

Según el último estudio realizado por BitDefender a 2.017 usuarios de Internet, se ha revelado que un 78% de los hombres encuestados ha buscado pornografía en Internet alguna vez. Las mujeres, ven algo menos de pornografía, y solo un 22% lo ha admitido..., ya serán más =)

De los porcentajes de usuarios que han visitado páginas con contenido pornográfico un 63% han admitido que la visita de estas páginas ha comprometido la seguridad de sus ordenadores alguna vez, y es que el malware tiene tirón, se camufla en cualquier lugar, y las páginas con contenido pornográfico son ideales.

“La parte más interesante de este estudio resultó ser la relacionada con la ciberdelincuencia. Un 63% de los encuestados admitieron que han tenido problemas relacionados con el malware más de una vez como consecuencia directa de acceder a webs con contenido pornográfico. Por lo tanto, los usuarios probablemente deben pensarse bien si realmente vale la pena poner en peligro sus sistemas, sus datos y su puesto de trabajo por acceder a este tipo de webs”, comenta Jocelyn Otero, Responsable de Marketing de BitDefender en la Península Ibérica y América Latina.

Así que tened cuidado, que Flu puede estar alojado en cualquier foto de Megan Fox que encontréis por Internet =P.

Saludos!

Las 20 contraseñas más peligrosas

2011-01-26T00:00:00.001+01:00

Buenas a todos, en el post de hoy os traigo una imagen bastante reveladora que ha creado la gente de ZoneAlarm, con las 20 contraseñas más peligrosas de todos los tiempos por su sencillez y fácil ocurrencia.

Entre las contraseñas más peligrosas se encuentran algunas como "123456", "abc123" o nombres ingleses de personas:

Seguro que más de uno ya estará añadiendo un nuevo diccionario a su fuzzer preferido =).

Saludos!

Imagen perteneciente a ZoneAlarm

Passware Kit ahora desencripta volúmenes TrueCrypt

2011-01-22T11:45:00.008+01:00

Buenas a todos, los tiempos en los que pensábamos que un volumen cifrado con TrueCrypt o con BitLocker eran impenetrables han terminado, la culpa la tiene el "Passware Kit", en sus versiones Enterprise y Forensic, que por un módico precio de 795 dólares, permite desencriptar cualquier volumen cifrado con estas herramientas mediante ataques de fuerza bruta.

Podéis encontrar información sobre la herramienta en el siguiente enlace:

http://www.lostpassword.com/hdd-decryption.htm

A continuación os dejo algunas capturas sobre el Passware Kit:

Imágenes obtenidas de: http://www.lostpassword.com/hdd-decryption.htm

Los usuarios de iPhone tienen más riesgo que los de Android en sufrir phising

2011-01-19T00:09:00.001+01:00

Buenas a todos, un estudio realizado por Trusteer revela que los usuarios de terminales móviles iPhone tienen ocho veces más posibilidades de sufrir phising que los que utilizan, por ejemplo, BlackBerry. Para el estudio Trusteer ha analizado los registros de numerosos sitios de phishing.

El popular móvil de Apple cuenta con un 26% del mercado de smartphone en EEUU. Entre ellos se reparte el 65% de los ataques exitosos de phishing.

Android, ocupa el 24% del mercado en EEUU y representa el 9% de los ataques. Blackberry por su parte que ocupa el 36%, representa sólo el 8% de los ataques.

El estudio también revela que los usuarios de teléfonos móviles son hasta tres veces más propensos a proporcionar datos privados en sitios de phising que los usuarios de PC. Probablemente este hecho es ayudado por las pequeñas pantallas de los móviles que impiden ver la URL entera, etc.

Así que cuidado con las páginas extrañas que visitáis desde el móvil y desconfiad de las alertas.

Saludos!

¡Acabamos de lanzar la beta 0.2 de Flu, con muchas funcionalidades nuevas!

2011-01-17T00:01:00.000+01:00

Buenas a todos, hoy hemos lanzado la beta 0.2 de Flu, en la que hemos añadido muchas novedades y mejoras. Muchas de ellas propuestas por muchos de vosotros que estáis colaborando activamente en el proyecto, ¡gracias!

A continuación os presento el listado de mejoras:

Se han reconstruido varias partes del código fuente para mejorar la estabilidad de Flu y solucionar los problemas que presentaban algunos usuarios de Windows XP a la hora de ejecutar a Flu.

Ahora los envíos de información desde las máquinas infectadas al servidor web se realizan cifrados con AES.

Se ha procedido a cifrar con AES el fichero "_debug_err_win_32.txt" que contiene las pulsaciones de teclado recogidas por el keylogger, y se ha dejado preparado para en próximas versiones de Flu traernoslo hasta el servidor web donde será descifrado.

Hemos añadido un manual de usuario en el que se explica el funcionamiento y configuración de Flu.

El código fuente se ha comentado con más profundidad para ayudaros a entender todas sus funcionalidades.

Se han añadido nuevos ataques preconfigurados:

Apagar sistema
Cerrar sesión
Detener el servicio Centro de seguridad
Mostrar versión de Windows
Mostrar listado de drivers instalados
Mostrar información completa del sistema
Mostrar direcciones MAC de los adaptadores de red
Mostrar configuraciones de las interfaces de red
Mostrar listado de conexiones de red realizadas
Mostrar listado de procesos en ejecución
Mostrar servicios del sistema
Mostrar mensaje de infección por pantalla
Crear usuario nuevoAdmin con contraseña 123456
Convertir usuario nuevoAdmin en administrador

Y la mejor de todas las novedades, ¡hemos añadido el ataque David Hasselhoff! Ahora con un simple clic podrás cambiar el fondo de escritorio de todas las máquinas infectadas por Flu por el fondo de pantalla super sexy de nuestro amigo David. ¿Quien se puede resistir =P?:

Como es habitual, podréis descargar esta nueva versión de Flu con todos los códigos fuente, vacuna, manual de usuario, etc. desde el siguiente enlace:

http://www.flu-project.com/downloadflu

¡Disfrutarlo! Para cualquier cosa no dudéis en contactar conmigo o con Pablo en info@flu-project.com.

Saludos!

Encuesta: ¿Usáis antivirus en Linux?

2011-01-15T12:32:00.002+01:00

Buenas a todos, a partir de ahora, las encuestas que tenía por costumbre realizar en el blog para medir la seguridad informática se van a unir a las encuestas de www.flu-project.com para que puedan llegar a muchos más usuarios.

En la encuesta de hoy os lanzo la siguiente pregunta:

¿Vosotros usáis Antivirus en GNU/Linux?

Podéis contestar desde aquí.

Saludos!

España regresa a la lista de principales productores de spam a nivel mundial

2011-01-13T00:25:00.001+01:00

Buenas a todos, hace unos días os comentaba que había habido una disminución muy grande del spam en el mundo, hoy continuamos la información sobre el spam con un ranking que ha elaborado la empresa de seguridad informática Sophos, que ha proporcionado una lista de los 12 países que emiten más spam, la Dirty Doze.

Y como no, España está en ese peculiar ranking, en el puesto 12 y ocupando un 2.24% del spam emitido en el mundo.

Estados Unidos sigue en cabeza con el 18,6%. En el segundo y tercer puesto se encuentran la India y Brasil, con un 6.88% y 5.04% respectivamente. Continúan Rusia con un 4.64% y Reino Unido, con un 4.54%.

La mayor parte del spam proviene de botnets de máquinas zombies infectadas, lo que nos hace pensar que en España es de los países en el que los usuarios ignoran más la seguridad de sus equipos. Por lo que he visto, los últimos años parece que la gente (al menos aquí en España) se ha habituado a los virus e ignoran su potencial, los ven como "un ente" que les hace que el ordenador vaya más lento nada más.

El otro día por ejemplo tuve que hacer unas copias en una copisteria y llevé un documento para imprimir en un pendrive, y cuando lo metí en mi ordenador venía cargadito de regalos. A esto llevamos acostumbrados todos los usuarios desde que usamos pendrives, y Windows XP como sistema operativo (y antes porque no había pendrives que si no...), situado en más del 58% de las máquinas del mundo, y que casi nadie desactiva el autorun.

Hace un tiempo administraba una red de muchos ordenadores. cuando digo muchos me refiero a unos cuantos miles de ellos con el AV Trend Micro centralizado, y lo que había ahí de malware, sobre todo gusanos, troyanos y virus de pendrive era brutal, no daré más datos porque tampoco es relevante. Y ya visto que el usuario básico adopta posición de ignorancia (y no tan básico, porque me he encontrado con algún informático/teleco que otro que por no molestarse en abrir una regla en el firewall para poder hacer una conexión directamente lo desactivaba, y no miro a nadie...) y orejas cerradas, lógico por otra parte, porque no tienen por que tener conocimientos en informática, nos toca a nosotros bloquear las puertas de los demás para que no les infecten, así que espero que no sigan quejandose la gente del UAC y otras técnicas utilizadas para paliar su propia ignorancia.

Saludos!

P.D. ¿A que tiene que estar bueno "el Spam" =P?

Nuevo chat en www.flu-project.com

2011-01-11T02:02:00.000+01:00

Buenas a todos, ya tenemos Chat en la comunidad www.flu-project.com para hablar en tiempo real entre los miembros de la comunidad y debatir temas sobre el proyecto. Gracias Drknzz.

Ayer, el primer día, estuvo bastante activo, nos conocimos varios miembros de la comunidad. Decir que hay gente de mucho nivel por el portal de todo el mundo, un verdadero placer =) y que seguro servirá para hacer de la comunidad un sitio de referencia en seguridad de la información, y de Flu un referente para aprender técnicas anti-malware.

Podéis acceder al Chat desde aquí. Daos una vuelta, presentaros y ya veréis como os quedáis ;)

Saludos!

La misteriosa disminución del spam en el mundo

2011-01-10T04:53:00.001+01:00

Buenas a todos, hoy os traigo una gran noticia para vuestros buzones de correo electrónico, el Spam está disminuyendo.

Al contrario de lo que se pensaba, el volumen de mensajes de spam se ha reducido considerablemente desde el pasado mes de agosto.

La empresa Symantec detectó que cada día del mes de Agosto se enviaron 200.000 millones de mensajes de spam y en Diciembre únicamente 50.000 millones, una cuarta parte.

Al parecer estas navidades tres de los productores más grandes de spam disminuyeron su actividad, según comentó Paul Wood, analista de Symantec, a la BBC.

Se piensa que los productores de spam pueden estar cambiando la estrategia, y comenzar una nueva campaña de spam más fuerte contra las redes sociales.

Las botnets más importantes de spam son Rustock, Lethic y Xarvester, en la actualidad no están operando, pero siguen existiendo y pueden volver a comenzar su actividad en cualquier momento. Todo depende, de los ingresos que prevean sus propietarios que les puedan generar.

Las botnets son peligrosas y desde www.flu-project.com os queremos enseñar como funcionan desde la fase de infección con el troyano Flu, para que podáis entender como podéis protegeros y no convertir vuestras máquinas en zombies operadas por ellas. Si queréis uniros al proyecto no dudéis en hacer una visita al portal.

Saludos!

Posts de la semana en EbdC (3/1/2011-7/1/2011)

2011-01-08T11:00:00.002+01:00

Buenas a todos, esta semana ha sido algo escasa de posts porque he estado algo corto de tiempo por el lanzamiento de www.flu-project.com, pero en cuanto consigamos encaminar el proyecto y pasemos los primeros días que siempre son los más duros volveré a estar al 100% en el blog =)

Lunes 3 de diciembre de 2010

¡La Playstation 3 OWNED! Ha sido pirateada difinitivamente en el mayor bug de la historia de las PS

Martes 4 de diciembre de 2010

POC: Windows Phone 7 Marketplace hackeado

Miércoles 5 de diciembre de 2010

Resumen de la primera semana de Flu Project

Resumen de la primera semana de Flu Project

2011-01-05T12:21:00.004+01:00

Buenas a todos, hoy se ha cumplido ya la primera semana desde el lanzamiento de Flu Project. Ha sido una semana bastante movida, ¡nos habéis dado mucho trabajo! y eso nos alegra =)

El proyecto parece que está gustando mucho a la gente, que se está volcando de una manera bastante notable, ya tenemos 115 usuarios registrados en el portal, de los cuales ya hay alguno que ha pasado a ser blogger oficial, algún otro moderador del foro y otros ya están desarrollando nuevas funcionalidades para Flu y que serán presentadas próximamente.

Dando unas cifras globales del portal, el foro tiene ya 122 mensajes, con hilos muy interesantes en los que estamos debatiendo actualmente las próximas funcionalidades de Flu y en los que muchos de vosotros estáis aportando ideas muy interesantes. Os invito a pasaros por aquí.

En temas de visitas, varios días hemos superado las 1000 páginas visualizadas, y hemos sido referenciados en varias web y portales sobre Seguridad, a los que agradezco desde aquí su apoyo.

También algunos de vosotros nos habéis comentado fallas y posibles mejoras en alguno de los módulos de Flu. Ya hemos resuelto alguna, y el resto irán llegando en las próximas versiones de Flu.

Si todavía no os habéis pasado por el portal, recordad: www.flu-project.com. Hay mucha gente muy maja por el portal, y muy buena en sus correspondientes campos, tenemos expertos en C#, en PHP, otros que dominan más la arquitectura de software, otros con más experiencia en malware, otros que dominan la esteganografía, y un largo etc. Todos unidos hacen el equipo de desarrollo perfecto para evolucionar este proyecto Open Source que esperamos que poco a poco se haga cada vez más grande.

Gracias a todos, sois la hostia! =)

POC: Windows Phone 7 Marketplace hackeado

2011-01-04T00:22:00.000+01:00

Buenas a todos, Windows Phone Marketplace, la tienda virtual de aplicaciones de Windows Phone 7 ha sido hackeada.

Daniel Rubino ha desarrollado una aplicación que permite descargar cualquier contenido de Marketplace, eliminar la seguridad DRM e instalarla en un terminal Windows Phone (desbloqueado).

La aplicación se llama FreeMarketplace y ha nacido como una POC (Proof Of Concept) para avisar sobre la inseguridad de la tienda de Microsoft. No será liberada para uso malicioso:

A continuación os dejo un vídeo de la POC:

Saludos!

¡La Playstation 3 OWNED! Ha sido pirateada difinitivamente en el mayor bug de la historia de las PS

2011-01-03T01:12:00.001+01:00

La verdad que mucho se estaba haciendo esperar Sony, y parecía que su PS3 sería la única que no iba a poder ser vulnerada. Pero todo cerdo tiene su San Martín, ¡y qué San Martín!

En otras consolas de última generación, como la Xbox 360, cada cierto tiempo Microsoft publica nuevas actualizaciones que dificultan el uso de software pirata en su consola. Pero Sony no va a tener esta posibilidad ya que la vulnerabilidad detectada será de por vida.

Estos días se ha celebrado en Berlín, el Chaos Communication Congress, y en la conferencia PS3: Epic Fail, se han revelado todas las claves (literalmente...).

Durante esta conferencia, Marcan, ha anunciado que tiene los códigos de seguridad de la PS3. Marcan comentó que se ha hecho con ellos gracias a un error en el proceso de encriptación de la PS3, producido con toda probabilidad en su última actualización. Estos códigos protegen los contenidos de todas las consolas.

La publicación de estos códigos supone que Sony no podría solucionar el pirateo de su consola, a menos que cambiase los códigos de encripción. Pero si cambiase los códigos, al encontrarse ya en todos los juegos y aplicaciones de la consola vendidos, ¡todos estos dejarían de funcionar!

Así que pocas posibilidades tendría Sony para solucionar el problema.

Saludos!

Posts de la semana en EbdC (27/12/2010-31/12/2010)

2011-01-02T02:48:00.000+01:00

Lunes 27 de diciembre de 2010

Un exploit cuela Spam a Google

Martes 28 de diciembre de 2010

Los blogger de Google se fusionarán con Joomla para combatir a Wordpress tras su unión con Microsoft Live Spaces

Miércoles 29 de diciembre de 2010

Hoy lanzamos mundialmente el troyano Flu, Open Source y la comunidad www.flu-project.com

Jueves 30 de diciembre de 2010

Valoraciones del primer día de flu-project.com

Viernes 31 de diciembre de 2010

¡Resumen del año 2010!

¡Resumen del año 2010!

2010-12-31T11:07:00.002+01:00

Buenas a todos! hoy se acaba el presente año 2010, un año cargado de grandes noticias para este blog.

Tras perder a un familiar el día 2 de Enero y un tiempo de paréntesis y reflexión, lancé al mercado Anubis, que ya tenía medio preparado desde hacía algún tiempo. El éxito de Anubis fue la verdad que inesperado para mí, más de 1000 descargas lleva ya, y con nombres muy importantes entre la gente que la ha utilizado y se ha puesto en contacto conmigo, quizás el que más me sorprendió fue la del creador de una de las metodologías de seguridad más importantes, más que nada por las diferencias idiomáticas.

Según pasaban los meses y tras cumplirse el 5 de Mayo el primer año del blog, las visitas comenzaron a aumentar, hasta llegar a conseguir quedar en el puesto 15 de los Bitácoras de Seguridad 2010, otra sorpresa y que os agradezco a todos los que me habéis votado.

¡Ya hemos superado los 300 posts en el blog! Y seguiremos posteando mientras la salud y el tiempo me lo permita.

El año la verdad que no podía acabar mejor, lanzando con mi amigo Pablo González el portal www.flu-project.com, con el que nos hemos visto desbordados literalmente, más de 2000 visitas en los dos primeros días en activo, casi 60 usuarios nuevos registrados que se han descargado nuestro troyano Open Source, y numerosa gente que se ha animado a colaborar en el proyecto. Deciros que el proyecto acaba de comenzar, y lo interesante está por venir, aunque tendrá que esperar a que finalicen las fiestas de navidad.

Me despido desde El Blog de Calles deseando que paséis una feliz entrada de año. ¡No os empachéis con los turrones!

A continuación os dejo un vídeo de la verdad sobre los Trols de Internet, que ha hecho la revista ElJueves, no tiene desperdicio!:

Valoraciones del primer día de flu-project.com.

2010-12-30T11:21:00.004+01:00

Buenas a todos, la verdad que no hay otra palabra para catalogar el primer día de andadura del proyecto Flu, que no sea la de éxito.

Nos hemos visto desbordados, literalmente:

Casi 800 visitas únicas al portal web www.flu-project.com
35 usuarios registrados en el portal
57 amigos en Facebook

El Twitter ha arrancado más lento, con 15 seguidores, pero estoy seguro que arrancará ya que es nuestro principal canal de comunicación con vosotros.

Pero sobretodo lo que nos ha parecido muy importante, es que os habéis involucrado mucha gente y tenemos ya muchos (¡muchísimos!) correos vuestros con ideas para mejorar a Flu. Aprovecho para recordaros que todas las propuestas os recomendamos hacerlas desde este subforo: http://www.flu-project.com/forum?mingleforumaction=viewforum&f=4.0, ya que así otros usuarios pueden verlas, estudiarlas, comentarlas y aprender de ellas. Recordad que el proyecto tiene unos fines didácticos como pilar principal.

Aprovecho también la entrada para agradecer a toda la gente que desde otras comunidades como dragonjar, elhacker.net o indetectables nos han dado mensajes de apoyo, sois unos cracks!

saludos a todos, me voy a contestar todos vuestros correos!

Hoy lanzamos mundialmente el troyano Flu, Open Source y la comunidad www.flu-project.com

2010-12-29T10:22:00.003+01:00

Buenas a todos, el gran día ha llegado, muchos de vosotros, los que me conocéis más en profundidad, sabéis que no puedo estar sin cacharrear con nuevos proyectos, y tras la publicación de la versión 1.1 de Anubis me planté realizar un proyecto Open Source con mi amigo Pablo, del i64 Team. Nuestra afición por la seguridad de la información nos llevó a realizar los que eran unos pequeños pasos de un troyano ideado para utilizar en nuestros respectivos trabajos de consultores y formadores en seguridad a la hora de dar cursos y realizar auditorías y consultorías.

¿Qué es Flu?

Hoy Flu se ha convertido en un troyano muy potente, capaz de generar botnets de máquinas zombis y controlarlas de manera remota gracias a la tecnología HaaS, basada en una arquitectura cliente-servidor.

Para dar a conocer la herramienta hemos publicado un portal web. El portal es en realidad una comunidad, esperemos que muy activa, donde podréis hacer comentarios, dar ideas, enviarnos nuevos desarrollos de Flu, ya que al ser Open Source podréis descargaros el código fuente, y un largo etcétera.

Podéis encontrar toda la información en la web: www.flu-project.com

Para dar a conocer el proyecto hemos montado un webcast de 9 minutos donde os explicamos todo sobre el proyecto, desde como está distribuido el portal, hasta una demo de Flu en funcionamiento, ¡¡disfrutarlo!!. Cuento con todos vosotros:

Los blogger de Google se fusionarán con Joomla para combatir a Wordpress tras su unión con Microsoft Live Spaces

2010-12-28T11:18:00.004+01:00

Buenas a todos, el pasado mes de Septiembre Microsoft anunció que sus "Spaces", los populares blogs, iban a ser eliminados, recomendando su migración a Wordpress.

Tras este anuncio y como era de esperar, Wordpress ha ganado una gran parte del pastel adjudicándose la mayor cuota de mercado. Hecho que ha perjudicado principalmente a Google, la otra gran rival en el mundo blogger..., hasta ahora.

Ayer a última hora de la noche Vinton G. Cerf, vicepresidente y jefe de evangelización de Internet, anunciaba que Google adquirirá en el primer trimestre de 2011 al otro "grande y libre" y más fuerte en el mundo de los blogs y los gestores de contenidos, Joomla. La noticia ha dado la vuelta al mundo generando gran controversia. En mi opinión, es una jugada muy astuta ya que Google tendría un poder de mercado muy similar al de Wordpress en el mundo de los blogs y además pondría su granito de arena a la hora de desarrollar nuevos plugin para el popular CMS.

Un hurra por Google, feliz día de los Santos Inocentes

Saludos!

Un exploit cuela Spam a Google

2010-12-27T10:50:00.002+01:00

Buenas a todos, vía Dr T, he leído la noticia de que Google ha tenido un pequeño percance con un exploit que ha conseguido incluir Spam en sus búsquedas.

El problema ha sido detectado por la empresa de seguridad Sucuri.net, que ha confirmado que circula por los buscadores un nuevo exploit que agrega un modulo nuevo a varios servidores webs Apache, y que podría retornar enlaces que contengan spam.

Al parecer la mayor parte de las páginas web son dominios acabados en .edu, campo educativo, quizás porque los Hackers hayan pensado que son sitios web que reciben pocas actualizaciones y que podrían no eliminar el nuevo módulo en poco tiempo.

A continuación os dejo un listado de algunas webs que se han visto afectadas por el exploit.

www.jchs.edu
www.jmkac.org
www.legal-library.co.uk
www.thedigest.com
www.tumenprogram.org
www.uinteramericana.edu
www.umoncton.ca
www.unionsportsmen.org
www.uwest.edu
www.wcwonline.org

Posts de la semana en EbdC (20/12/2010-24/12/2010)

2010-12-26T00:04:00.000+01:00

Lunes 20 de diciembre de 2010

Un empleado abandona Google para crear Disconnect, extensión para navegadores que cura el malware "Facebook Connect"

Martes 21 de diciembre de 2010

Vídeos del DISI 2010

Miércoles 22 de diciembre de 2010

Las doce estafas tecnológicas de la navidad 2010-2011

Jueves 23 de diciembre de 2010

Recopilación y ranking de herramientas de seguridad en el desarrollo software

Viernes 24 de diciembre de 2010

Esta noche es Nochebuena y mañana Navidad...

Esta noche es Nochebuena y mañana Navidad...

2010-12-24T00:13:00.003+01:00

Esta noche es Nochebuena y mañana Navidad, dame las botas María que me voy a trabajar...!

Buenas a todos, sí, en estos momentos estoy trabajando, pero esta tarde comienzo mis vacaciones. Me quedaré por Madrid con la familia y aprovecharé para descansar y recargar pilas, que hace falta.

Estos últimos meses han sido de locos para mí, con muchos proyectos, imagino que al igual que muchos de vosotros, así que no nos viene mal un pequeño paréntesis.

La semana que viene, si todo sigue su curso y no acabamos muy perjudicados tras este fin de semana festivo =), os tengo preparada una sorpresa en forma de lanzamiento de un proyecto de seguridad, que llevo preparando los últimos meses con mi amigo Pablo, del i64 Team.

Os adelanto que el proyecto no tiene nada que ver ni con Anubis, ni con ningún otro proyecto de los que os he hablado hasta ahora. Lo hemos decidido mantener en secreto para haceros a toda la comunidad de Internet un regalo por navidad, ¿a que somos majos?

Así que nada, hasta entonces os mantengo con la intriga y os deseo que paséis unas FELICES NAVIDADES A TODOS.

Saludos!

P.D. Y aquí el villancico que esperabais en versión 2.0:

Recopilación y ranking de herramientas de seguridad en el desarrollo software

2010-12-23T00:12:00.000+01:00

Buenas a todos, en el post de hoy quería hablaros de una recopilación y ranking de herramientas que estamos realizando desde el portal www.fabricasdesoftware.es sobre distintas categorías referentes al desarrollo de software. La más interesante, de acuerdo a la temática de éste blog, es sin duda la categoría de seguridad en el desarrollo de software:

En esta sección podréis enviar herramientas que conozcáis o que hayáis utilizado referentes a la seguridad en el desarrollo de software. Encontraréis herramientas que hayan enviado otros usuarios y que podréis votar y comentar, para ir generando un ranking con las herramientas más votadas por los usuarios y del que iremos realizando diferentes publicaciones según vayan avanzando las votaciones.

Con éste ranking pretendemos focalizar en una única fuente de información todas las herramientas que puedan ser de utilizad a la hora de realizar algún tipo de desarrollo software.

En el ranking entran tanto herramientas Open Source como propietarias, lo que si os agradeceríamos es que cuando nos enviéis una herramienta, redactéis en una a dos líneas los objetivos y funcionalidades de esa herramienta, junto con un enlace a su página web oficial (si dispone de ella).

Esperamos que os sea de utilidad la información compartida desde este portal.

Aprovecho también el post para comentaros que he actualizado la página de herramientas de auditoría de seguridad de mi blog y he añadido algunas secciones nuevas. Disfrutarlas!

Saludos!

Las doce estafas tecnológicas de la navidad 2010-2011

2010-12-22T00:05:00.001+01:00

Vía ABC leo un artículo bastante interesante sobre un informe realizado McAfee para mostrar cuales son las estafas tecnológicas que están más de moda estas navidades.

Os dejo a continuación los puntos mas importantes:

1. Ofertas de iPad gratis. Sin duda es el gadget de moda y objeto de deseo de muchos de nosotros. Así que no es de extrañar que algunas páginas de dudosa credibilidad que venden on line equipos informáticos, ofrezcan un iPad como regalo a la compra, -previa solicitud del número de tarjeta de crédito-. Lógicamente el estafado nunca recibe el iPad.

2. Pedido de auxilio. Consiste en un mensaje de socorro de un supuesto familiar o amigo que se encuentra de "vacaciones" y al cual han robado; nuestro conocido solicita que le enviemos dinero por giro postal o transferencia electrónica para poder regresar a casa.

3. Tarjetas de regalo falsas. Suele ser habitual en estas fechas, que las grandes cadenas de distribución pongan a la venta tarjetas de regalo por una cantidad determinada de euros para que el regalado pueda canjearlos en sus centros. Aprovechándose de esto, los criminales cibernéticos están comenzando a ofrecer a través de las redes sociales tarjetas de regalo falsas con el fin de robar la información y el dinero de los consumidores.

4. Ofertas laborales. Las típicas ofertas laborales para "ganar mucho dinero" trabajando desde el hogar, aumentan en épocas de crisis y en fechas como la navidad. La mayoría solicitan información personal como la dirección de correo electrónico, dirección postal y número de seguridad social para acceder al trabajo falso.

5. Mensajes de texto. El “smishing”, es una variedad del pishing que consiste en el envío de mensajes de texto (SMS) fraudulentos. Estos mensajes parecen provenir de su banco o de un comerciante minorista en línea y afirman que hay un problema con su cuenta y el usuario debe llamar a un número para confirmar su información de cuenta.

6. Alquileres sospechosos. Muy habitual en Estados Unidos, durante las temporadas de mayor demanda de viajes, cuando los consumidores buscan en línea alquileres navideños convenientes, los cibercriminales publican sitios de alquiler falsos que solicitan pagos iniciales con tarjeta de crédito o giro postal.

7. Préstamos pre aprobados. Otra modalidad frecuente de estafa online es la oferta de préstamos preaprobados y con bajo interés si el destinatario paga una tarifa de procesamiento, que lógicamante va directamente a los bolsillos del estafador.

8. Saludos falsos. No tardarán en llegar a nuestro correo decenas de felicitaciones navideñas de amigos, familiares y compañeros de trabajo. Cuidado, porque algunas de ellas utilizan servicios de dudosa credibilidad, que en muchos casoscargan versiones falsas con enlaces a virus troyanos y otro tipo de malware en lugar de la felicitación.

9. Subastas falsas. Nadie ofrece duros a cuatro pesetas. No lo olvides. Por eso, cuando encuentres sitios de subastas que ofrecen negocios demasiado buenos para ser reales, desconfía, y mucho, pues su objetivo principal será el robo de dinero e información.

10. Donaciones. Aprovechando que en Navidad los sentimientos están a flor de piel, muchas organizaciones criminales que operan en internet, envían correos electrónicos que solicitan realizar donaciones de caridad de diverso tipo, como aquellas a favor de la infancia, adultos mayores o para ayudar a supuestos damnificados de una catástrofe ocurrida recientemente. Es importante saber detectar si estamos ante fuentes fehacientes o no.

11. Protectores de pantalla. Al igual que ocurre con las tarjetas de felicitación, los protectores de pantalla, canciones y animaciones de temática navideña son una manera fácil para que los estafadores propaguen virus y otras amenazas cuando los enlaces vienen en un correo electrónico o un mensaje que parecen ser de un amigo.

12. Wi-Fi en hoteles y aeropuertos. Para terminar, no olvidemos que durante la temporada navideña, muchas personas viajan y usan wi-fi gratuito en lugares como hoteles y aeropuertos. Esta es una ocasión para que los delincuentes “hackeen” las redes en busca de oportunidades para robar información del usuario desprevenido.

Vídeos del DISI 2010

2010-12-21T00:16:00.002+01:00

Buenas a todos, ya se encuentran disponibles los vídeos de las distintas charlas del DISI 2010 que se celebró en la Universidad Politécnica de Madrid el pasado día 30 de Noviembre y del que os hice un resumen que podéis encontrar aquí.

Podéis ver los vídeos a continuación:

Vídeo 1: Inauguración

D. José Manuel Perales, D. Taher Elgamal, D. César Benavente, D. Jorge Ramió

Duración 06:05 minutos. Vídeo producido por el GATE-UPM. Disponible en el Canal YouTube UPM.

Video 2: eCommerce and Internet Security: the last 15 years and the next 15 years

Mr. Taher Elgamal (Axway - USA)

01:41:36 hours. Video produced by UPM GATE, YouTube UPM Channel.

Vídeo 3: Coloquio Esquema Nacional de Seguridad ENS y centros de respuesta a incidentes de seguridad

Participan D. Eduardo Carozo del CSIRT ANTEL, Uruguay, Dña. Chelo Malagón de RedIRIS, D. Javier Candau del Centro Criptológico Nacional y D. Marcos Gómez de INTECO. Modera Dña. Gemma Déler, Directora Adjunta Unidad TI de Applus+.

Duración 01:07:16 horas. Vídeo producido por el GATE-UPM. Disponible en el Canal YouTube UPM.

Vídeo 4: Coloquio Atacando las Infraestructuras Críticas

Participan D. José Parada de Microsoft Ibérica, D. Juan Luis Rambla de Informática64 y D. Rubén Santamarta de Wintercore. Modera: D. Justo Carracedo, Catedrático EUITT - Cátedra UPM Applus+.

Duración 01:17:38 horas. Vídeo producido por el GATE-UPM. Disponible en el Canal YouTube UPM.

Vídeo 5: Clausura

D. César Sanz, D. Taher Elgamal, Dña. Gemma Déler, D. Jorge Ramió

Duración 06:33 minutos. Vídeo producido por el GATE-UPM. Disponible en el Canal YouTube UPM.

Un empleado abandona Google para crear Disconnect, extensión para navegadores que cura el malware "Facebook Connect"

2010-12-20T00:09:00.000+01:00

Buenas a todos, últimamente ando inmerso en un par de proyectos bastante interesantes y que pronto compartiré con todos vosotros. En ambos, estoy desarrollando sendos portales web, con el gestor de contenidos WordPress. Para evitar los engorros que producen los registros de los usuarios en los portales me pareció interesante agregar conectores desde Twitter y Facebook, para que los usuarios pudiesen registrarse en el portal con sus cuentas en las redes sociales. Hasta aquí todo bien.

Buscando plugins dí con uno de los mas utilizados en WordPress, "Facebook Connect", tras hacer diversas pruebas me di cuenta de que era malware puro, sin saber porque, si estaba logado en el navegador con mi cuenta de Facebook me auto-registraba en el portal y se logaba, ¿hola privacidad? No se si habrá gente que le ha ocurrido esto mismo, o habrá sido un problema puntual, pero por si acaso decidí eliminarlo inmediatamente, si hay algo que me parece realmente mal es obtener datos de gente que no los proporcione de manera voluntaria y con total conocimiento de ello.

Por ello, tras ver lo que podrían estar haciendo conmigo mientras navego por internet, me pareció interesante buscar plugins para navegadores que bloqueen este tipo de conectores y fue cuando descubrí la extensión "Facebook Disconnect".

Brian Kennish, ex empleado de Google (desde hace 3 semanas), tras darse cuenta de este mismo hecho que os acabo de contar se puso manos a la obra para proteger los datos de las personas mientras navegan, y creó "Facebook Disconnect".

Facebook Disconnect es una extensión para navegadores que elimina el servicio Facebook Connect y su botón de todos los sitios web, evitando que pueda obtener información privada de los usuarios al navegar a través de sus cookies.

Este plugin alcanzó un gran éxito, con más de 50.000 descargas en la versión para Google Chrome. Y es por ello por lo que Brian decidió seguir adelante con el proyecto y abandonar Google hace 3 semanas.

En el nuevo proyecto Brian Kennish ha desarrollado esta herramienta para bloquear la recolección de información hecha por empresas interesadas en saber información privada de los usuarios, como las redes sociales Facebook y Twitter o la gran Google, bloqueandoles las cookies del navegador. Podéis descargarla desde la web: http://www.disconnectere.com/

Disconnect está disponible para Google Chrome y RockMelt, pero pronto se lanzarán las versiones de Safari y Firefox.

A continuación os dejo un ejemplo sobre su funcionamiento contra mi blog (promesa que yo voluntariamente no obtengo datos de nadie =) ):

Si os fijáis bloquea también los botones de compartir en Facebook y Twitter que tengo en la parte superior de cada post.

Descargas:

Posts de la semana en EbdC (14/12/2010-18/12/2010)

2010-12-19T13:47:00.002+01:00

Lunes 14 de diciembre de 2010

Anuncio ESET NOD32 Smart Security 4

Martes 15 de diciembre de 2010

¿Vas a participar en la Hacker Cup?s

Miércoles 8 de diciembre de 2010

Y ahora le toca el turno de los DDoS a los fax de las compañías en contra de Wikileaks

Jueves 16 de diciembre de 2010

La Ley "Sinde" será publicada antes de fin de año

Viernes 17 de diciembre de 2010

Publicada la versión 3.0 de la metodología OSSTMM

Sábado 18 de diciembre de 2010

Una Honey Pot rubia de 21 años, demuestra que el 94% de los usuarios son vulnerables en las redes sociales

Una Honey Pot rubia de 21 años, demuestra que el 94% de los usuarios son vulnerables en las redes sociales

2010-12-18T11:15:00.003+01:00

Buenas a todos, la empresa Bit Defender lleva un tiempo realizando un peculiar estudio sobre las redes sociales, en este caso sobre Facebook, para demostrar la ingenuidad de sus usuarios que podrían caer en distintos ataques de Ingeniería Social de una manera bastante sencilla.

En el estudio se creó un perfil falso en Facebook, de una joven y atractiva rubia de 21 años, un pequeño pero potente Honey Pot, que envió 2000 solicitudes "al azar" a 1000 hombres y 1000 mujeres, para comprobar si los usuarios aceptarían a una extraña como amiga. La verdad y siendo sinceros, no se cuanto ha habido de azar ya que el 86% de los usuarios crédulos que aceptaron ser amigos del perfil falso provienen de la industria tecnológica, y el 31% de ellos trabajan en seguridad informática (y conozco a algunos, yo no tranquilos =P)

En la muestra de usuarios se incluyeron edades que oscilaron entre 17 y 65 años, con una edad media de 27,3 años.

Tras una semana en funcionamiento, la joven rubia tuvo un rotundo éxito con 1.872 solicitudes aceptadas de las 2000.

Los usuarios que aceptaron las solicitudes se podrían categorizar de la siguiente manera:

Nivel 1: usuarios muy crédulos: aceptan la amistad sin preguntas.
Nivel 2: Los usuarios crédulos: aceptan la amistad después de una o dos conversaciones online.
Nivel 3: usuarios escépticos: aceptan la amistad después de entre 3 y 5 conversaciones online.
Nivel 4: Los usuarios que no aceptan desconocidos.

Tras el estudio se le preguntó a los usuarios su motivación para aceptar a la chica y aquí están las respuestas:

53%: "un hermoso rostro"
17%: "una cara conocida aunque no recuerdo donde la he conocido"
24%: "una persona que trabaja en la misma industria"
6%: "un perfil interesante".

Para rematar la faena se seleccionaron 20 personas de las que aceptaron la solicitud para mantener una conversación "privada" con la joven rubia por escrito. Curiosamente tras una media hora alrededor de un 10%, es decir, 2 personas, ya habían revelado datos sensibles como su dirección, número de teléfono, nombre de la madre y el padre, información utilizable para los servicios de "¿olvidó su contraseña?".

Tras 2 horas de conversación el 73% de los usuarios había revelado información privada de su empresa como su lugar de trabajo, planes estratégicos, tecnologías que utilizaban y un largo etcétera.

La conclusión del estudio es clara, la ingenuidad de los usuarios les podría hacer vulnerables a ataques de Ingeniería Social, cuya eficiencia es directamente proporcional a la belleza de su foto de perfil =), que nos haría bajar el nivel de seguridad de "nuestro firewall" y de ahí podrían colarnos ciertos correos con malware, utilizar toda la información que nos han sacado para intentar recuperar nuestras contraseñas, etc.

Así que ya sabéis el dicho, no os fieis de las rubias =). Saludos!

Publicada la versión 3.0 de la metodología OSSTMM

2010-12-17T00:08:00.000+01:00

Buenas a todos, recientemente ha sido publicada la versión 3.0 de la metodología OSSTMM, Open Source Security Testing Methodology Manual, que junto con OWASP es uno de los estándares más completos utilizados en Auditorías de Seguridad.

Creada por Pete Herzog y realizada con el trabajo de 150 profesionales, OSSTMM describe las fases que deben seguirse en una auditoría de seguridad de la información.

Puedes descargar la última versión de la metodología OSSTMM desde aquí.

Recordaros también que en el apartado "Normas y Modelos" del blog encontraréis información en detalle de las metodologías nombradas en el post y de la serie de normas ISO/IEC 27000.

Saludos!

La Ley "Sinde" será publicada antes de fin de año

2010-12-16T00:13:00.000+01:00

Buenas a todos, como sabéis hace unos meses el gobierno español "lanzó" la disposición final primera en el marco de la Ley de Economía Sostenible, "La Ley Sinde", para poder cerrar webs de forma administrativa, es decir, las que les parecen. La ley generó un gran rechazo entre la comunidad de Internet, que llevó a muchos importantes bloggers y dueños de webs a intervenir en telediarios y programas de debate.

Tras unos meses en el olvido, parece ser según cuentan en lainformacion.com, que la ley va a ser aprobada de manera EXPRÉS, para no dar tiempo a debates. Probablemente antes de fin de año (y quedan únicamente 15 días).

Las enmiendas presentadas a esta ley serían presuntamente debatidas en una única sesión de la Comisión de Economía y de ahí la ley iría al Senado sin pasar por Pleno.

Wikileaks evidenció que el gobierno español había sido presionado por EEUU para que acelerase la generación de una ley "anti-descargas" y parece ser que con cierto éxito. Hecho que se vió ayudado por la falta de enmiendas para mejorar la Ley Sinde.

Al gobierno español no le interesa la libertad en la red y harán todo lo posible por censurar todo lo que moleste a sus amistades.

Y ahora le toca el turno de los DDoS a los fax de las compañías en contra de Wikileaks

2010-12-15T00:10:00.000+01:00

El grupo Anonymous, encabezado por 4Chan (¿o Alex Tapanaris...?), y que dirigen la ya conocida como Operación Payback (en la que actualmente se ha atacado a Visa, MasterCard International y PayPal) han encontrado una nueva manera de fastidiar a las corporaciones que han rechazado prestar sus servicios a WikiLeaks, los ataques de DDos a sus faxes.

Para ello, Anonymous ha publicado los números de fax de media docena de corporaciones, para que voluntarios envíen documentos de forma masiva a través de servicios online gratuitos de envío de fax como MyFax.com o FaxZero.com.

Nada parece parar al grupo Anonymous, aunque de momento parece ser que ya han detenido a uno de sus miembros.

¿Vas a participar en la Hacker Cup?

2010-12-14T00:13:00.000+01:00

Buenas a todos, Facebook ha anunciado una nueva competición para el próximo año 2011 llamada Hacker Cup para encontrar al mejor "hacker" del mundo.

El torneo consistirá en una serie de problemas de programación, que deberán resolverse contrareloj. El concurso tendrá tres rondas y los 25 hackers más destacados se trasladarán a la sede de Facebook para la final.

El ganador obtendrá el título de "campeón del mundo" y 5.000 dólares, el segundo recibirá 2.000 dólares y el tercero 1.000 dólares. El resto de los 25 finalistas tendrán un premio de 100 dólares.

La inscripción comienza el próximo lunes 20 de diciembre y la primera fase a principios de 2011.

¿Vas a participar en la Hacker Cup?

Saludos!

Anuncio ESET NOD32 Smart Security 4

2010-12-13T00:04:00.003+01:00

Como aficionado al desarrollo de videojuegos y películas 3D, con unas cuantas horas de 3ds max y XNA a la espalda, me ha encantado el nuevo anuncio del antivirus de ESET, NOD32 Smart Security 4. Os lo dejo a continuación para que lo disfrutéis. No se los antivirus, pero desde luego en publicidad se lo curran y mucho:

Posts de la semana en EbdC (6/12/2010-12/12/2010)

2010-12-12T13:41:00.002+01:00

Lunes 6 de diciembre de 2010

Las vulnerabilidades más destacadas de 2010

Martes 7 de diciembre de 2010

Wikileaks, especial multimedia sobre las filtraciones

Miércoles 8 de diciembre de 2010

¿Te fías de tu equipo de desarrollo de software?

Jueves 9 de diciembre de 2010

Encuesta: ¿Cuando desarrolláis software seguís buenas prácticas de seguridad?

Viernes 10 de diciembre de 2010

Las empresas españolas líderes en medidas de seguridad informática

Sábado 11 de diciembre de 2010

Wikileaks y las acciones contra Julian Assange explicadas en un divertido vídeo en 3D al estilo Sims

Domingo 12 de diciembre de 2010

¿4Chan, el autor de los ataques DDoS a SGAE, MasterCard, Visa y PayPal podría llamarse Alex Tapanaris?

¿4Chan, el autor de los ataques DDoS a SGAE, MasterCard, Visa y PayPal podría llamarse Alex Tapanaris?

2010-12-12T10:47:00.008+01:00

Buenas a todos, hace unas horas comenzó a correr el rumor de que la última nota de prensa publicada por 4Chan y el grupo an0nymous, autor de los ataques DDoS a SGAE, y a MasterCard, Visa y PayPal "en apoyo a Wikileaks", podrían contener metadatos.

¿Qué significa esto? Qué por un descuido podrían haber dejado las huellas necesarias en el documento como para poder encontrarle.

He realizado un escaneo al documento con Anubis v1.1 y esto es lo que ha aparecido:

4Chan podría llamarse Alex Tapanaris y haber escrito el documento con Open Office.

Ahora llegan las cuatro preguntas del millón.

¿Habrá puesto estos datos para despistar?¿un cebo?

¿Erán sus datos reales?

¿Es 4Chan o es otro miembro de An0nymous?

O... ¿Era el PC de otro?

¿Vosotros que opináis? Saludos

Wikileaks y las acciones contra Julian Assange explicadas en un divertido vídeo en 3D al estilo Sims

2010-12-11T01:23:00.001+01:00

Buenas a todos, a continuación os dejo un interesante vídeo sobre las acciones tomadas contra Julian Assange resumidas en una simulación al más puro estilo Sims. Disfrutarla:

Las empresas españolas líderes en medidas de seguridad informática

2010-12-10T00:07:00.000+01:00

Buenas a todos, ayer publicó eleconomista.es una noticia sobre el estado de las medidas de seguridad en las empresas españolas de un estudio realizado por la oficina de estadística de la Unión Europea, Eurostat

Según el estudio España ocuparía el cuarto puesto dentro del ranking en el uso de sistemas de seguridad, entre los que se incluyen contraseñas fuertes y dispositivos de identificación de usuarios.

El 63% de las empresas españolas emplearon en 2009 este tipo de soluciones, lo que nos sitúa por encima de la media del 50% del resto de Europa y en un interesante cuarto puesto, superados únicamente por Italia, a la cabeza con un 66%, e Irlanda y Eslovenia, con un 64%, respectivamente.

La cola de esta lista la ocupan Eslovaquia (20%), Hungría (24%) y Rumanía (29%).

Encuesta: ¿Cuando desarrolláis software seguís buenas prácticas de seguridad?

2010-12-09T01:00:00.002+01:00

Continuando con las encuestas para comprobar la seguridad de las organizaciones, y que comenzamos hace un par de semanas con la encuestra sobre Firecall ID. Hoy me gustaría haceros la siguiente pregunta, ¿Cuando desarrolláis software seguís buenas prácticas de seguridad?:

¿Te fías de tu equipo de desarrollo de software?

2010-12-08T01:13:00.000+01:00

Buenas a todos, el otro día oía, no recuerdo donde, la experiencia de un jefe de proyectos con su equipo de desarrollo. El jefe de equipo, comentaba que no se fiaba mucho de sus desarrolladores, y pensaba que podrían estar implementando puertas traseras en el software que desarrollaban.

El tema es serio, ¿que intereses puede haber detrás de los desarrolladores para hacer estas modificaciones al software que no formaban parte de los requisitos iniciales del proyecto?

En este caso se abren una gran cantidad de caminos, empleados contratados/sobornados por empresas de la competencia para obtener información del software de nuestra empresa, empleados enfadados por sus malas condiciones laborales y/o bajos sueldos, que quieren tener un clavo al que agarrarse para realizar un posible chantaje, también puede darse la posibilidad de que se utilicen para piratear el software y distribuirlo ilegalmente por Internet y un largo etcétera.

Ante estos casos, mi recomendación es que se analice el código fuente de todas las aplicaciones. Probablemente los desarrolladores no nos facilitarán el código fuente "maligno" para que no podamos pillarles, por lo que no nos quedará otra que hacer reversing, y decompilar los ejecutables finales llevados a producción para intentar averiguar que hacen.

Por ejemplo, para decompilar programas desarrollados en .Net yo suelo usar Remotesoft .Net Explorer. En caso de que el código no haya sido ofuscado, nos mostrará de una manera muy clara el contenido del programa.

Remotesoft .Net Explorer también permite ofuscar el código fuente y visualizar metadatos a bajo nivel.

Para Java se puede usar Java Decompiler.

Al hilo de los ofuscadores, aunque nuestra labor en este post sea la contraria, comentaros otro ofuscador de código fuente para .Net, Eazfuscator, es muy sencillo de utilizar y efectivo.

Otros ofuscadores interesantes:

Se que muchos se estarán preguntando si existen herramientas automáticas que puedan analizar si un software contiene código peligroso, pero a menos que contenga en su código fuente una parte de algún código que sean capaces de reconocer antivirus y similares, porque haya sido previamente estudiado y recogido en una base de datos (basados en firma), esto será casi imposible. Lo que si es posible utilizar, aunque no abundan mucho, son herramientas que midan la seguridad de nuestros desarrollos software, en busca de posibles vulnerabilidades por Buffer Overflow, inyecciones de código SQL, etc. Por ejemplo, algunas herramientas que pueden ser útiles para analizar este tipo de vulnerabilidades son FindBugs, Lapse o PMD pero de ellas os hablaré en próximos posts.

Saludos!

Wikileaks, especial multimedia sobre las filtraciones

2010-12-07T00:32:00.000+01:00

Buenas a todos, hoy os traigo una animación multimedia muy ilustrativa que he visto en lanacion.com.ar sobre las filtraciones de Wikileaks. La podéis encontrar a continuación:

Las vulnerabilidades más destacadas de 2010

2010-12-06T01:01:00.001+01:00

Buenas a todos, ahora que se va acercando el fin de año es hora de recapitular que ha sido lo más destacado del año. La revista SC Magazine ha publicado un artículo en el que recopila cuales han sido las vulnerabilidades más destacadas en el campo de la seguridad informática y que procedo a resumiros a continuación:

Vulnerabilidades de Stuxnet: cuatro 0-day en Windows explotados por Stuxnet.

Operación Aurora: vulnerabilidad en Internet Explorer que permitió troyanizar a Google, entre otras organizaciones y que detectó McAfee.

XSS en Twitter: Medio millón de usuarios infectados por un gusano gracias a esta vulnerabilidad en Twitter.

Vulnerabilidad en el Centro de Ayuda de Microsoft: permitió ejecutar comandos arbitrarios en un equipo vulnerable.

Fallo en Adobe PDF Reader: permitió expandir el troyano Zeus.

Defectos en VxWorks: dos vulnerabilidades críticas en VxWorks, el sistema operativo basado en UNIX para sistemas embebidos que llevan los aviones C-130 Hercules, los vehículos de exploración enviados a Marte, equipos de telecomunicaciones, etc.

Fallo en Autocompletar: afectó a Safari e Internet Explorer.

0-day en Firefox: con el que se distribuyó malware a la web del Nobel de la Paz.

'Jailbreak' a iPhone e iPad: El Dev-Team se encargó de que los usuarios de los dispositivos de Apple jailbreakeasen sus iPhone, iPad e iPod Touch.

Fallos en ATM: Barnaby Jack mediante una vulnerabilidad en el sistema operativo Windows CE, que llevan los cajeros automáticos, consiguió que escupieran dinero.

Saludos!

Posts de la semana en EbdC (29/11/2010-04/12/2010)

2010-12-05T02:46:00.001+01:00

Lunes 29 de noviembre de 2010

Mañana, V Día Internacional de la Seguridad de la Información DISI 2010

Martes 30 de noviembre de 2010

Opera, el navegador más seguro frente a errores, seguido de Internet Explorer. Chrome, el peor

Miércoles 1 de diciembre de 2010

Resumen DISI 2010

Jueves 2 de diciembre de 2010

Ontología de seguridad para resolver vulnerabilidades

Viernes 3 de diciembre de 2010

Vota las mejores herramientas software en www.fabricasdesoftware.es

Sábado 4 de diciembre de 2010

Manifiesto por una red neutral

Manifiesto por una red neutral

2010-12-04T01:52:00.000+01:00

(Si te sientes cómodo y representado por este texto, dale toda la difusión que puedas y quieras: reprodúcelo, enlázalo, tradúcelo, compártelo, vótalo… todas esas cosas que puedes hacer con total tranquilidad y libertad gracias, precisamente, al hecho de que tenemos todavía una red neutral. Hagamos posible el seguir teniéndola)

Los ciudadanos y las empresas usuarias de Internet adheridas a este texto manifestamos:

1. Que Internet es una Red Neutral por diseño, desde su creación hasta su actual implementación, en la que la información fluye de manera libre, sin discriminación alguna en función de origen, destino, protocolo o contenido.

2. Que las empresas, emprendedores y usuarios de Internet han podido crear servicios y productos en esa Red Neutral sin necesidad de autorizaciones ni acuerdos previos, dando lugar a una barrera de entrada prácticamente inexistente que ha permitido la explosión creativa, de innovación y de servicios que define el estado de la red actual.

3. Que todos los usuarios, emprendedores y empresas de Internet han podido definir y ofrecer sus servicios en condiciones de igualdad llevando el concepto de la libre competencia hasta extremos nunca antes conocidos.

4. Que Internet es el vehículo de libre expresión, libre información y desarrollo social más importante con el que cuentan ciudadanos y empresas. Su naturaleza no debe ser puesta en riesgo bajo ningún concepto.

5. Que para posibilitar esa Red Neutral las operadoras deben transportar paquetes de datos de manera neutral sin erigirse en “aduaneros” del tráfico y sin favorecer o perjudicar a unos contenidos por encima de otros.

6. Que la gestión del tráfico en situaciones puntuales y excepcionales de saturación de las redes debe acometerse de forma transparente, de acuerdo a criterios homogéneos de interés público y no discriminatorios ni comerciales.

7. Que dicha restricción excepcional del tráfico por parte de las operadoras no puede convertirse en una alternativa sostenida a la inversión en redes.

8. Que dicha Red Neutral se ve amenazada por operadoras interesadas en llegar a acuerdos comerciales por los que se privilegie o degrade el contenido según su relación comercial con la operadora.

9. Que algunos operadores del mercado quieren “redefinir” la Red Neutral para manejarla de acuerdo con sus intereses, y esa pretensión debe ser evitada; la definición de las reglas fundamentales del funcionamiento de Internet debe basarse en el interés de quienes la usan, no de quienes la proveen.

10. Que la respuesta ante esta amenaza para la red no puede ser la inacción: no hacer nada equivale a permitir que intereses privados puedan de facto llevar a cabo prácticas que afectan a las libertades fundamentales de los ciudadanos y la capacidad de las empresas para competir en igualdad de condiciones.

11. Que es preciso y urgente instar al Gobierno a proteger de manera clara e inequívoca la Red Neutral, con el fin de proteger el valor de Internet de cara al desarrollo de una economía más productiva, moderna, eficiente y libre de injerencias e intromisiones indebidas. Para ello es preciso que cualquier moción que se apruebe vincule de manera indisoluble la definición de Red Neutral en el contenido de la futura ley que se promueve, y no condicione su aplicación a cuestiones que poco tienen que ver con ésta.

La Red Neutral es un concepto claro y definido en el ámbito académico, donde no suscita debate: los ciudadanos y las empresas tienen derecho a que el tráfico de datos recibido o generado no sea manipulado, tergiversado, impedido, desviado, priorizado o retrasado en función del tipo de contenido, del protocolo o aplicación utilizado, del origen o destino de la comunicación ni de cualquier otra consideración ajena a la de su propia voluntad. Ese tráfico se tratará como una comunicación privada y exclusivamente bajo mandato judicial podrá ser espiado, trazado, archivado o analizado en su contenido, como correspondencia privada que es en realidad.

Europa, y España en particular, se encuentran en medio de una crisis económica tan importante que obligará al cambio radical de su modelo productivo, y a un mejor aprovechamiento de la creatividad de sus ciudadanos. La Red Neutral es crucial a la hora de preservar un ecosistema que favorezca la competencia e innovación para la creación de los innumerables productos y servicios que quedan por inventar y descubrir. La capacidad de trabajar en red, de manera colaborativa, y en mercados conectados, afectará a todos los sectores y todas las empresas de nuestro país, lo que convierte a Internet en un factor clave actual y futuro en nuestro desarrollo económico y social, determinando en gran medida el nivel de competitividad del país. De ahí nuestra profunda preocupación por la preservación de la Red Neutral. Por eso instamos con urgencia al Gobierno español a ser proactivo en el contexto europeo y a legislar de manera clara e inequívoca en ese sentido.

Te recomiendo visitar: http://redneutral.org/

Vota las mejores herramientas software en www.fabricasdesoftware.es

2010-12-03T01:28:00.002+01:00

Buenas a todos, hoy os traigo información actualizada sobre el portal www.fabricasdesoftware.es.

Hace unos días se ha publicado en el portal una sección de preguntas – respuestas, donde podréis realizar todo tipo de debates y preguntas relacionadas con la temática de la Fábricas/Factorías de Software.

Además. la semana pasada se ha publicado una interesante sección de herramientas, en la que se están votando y recopilando las mejores herramientas software, para que a partir de las experiencias de todos, podamos disponer de un catálogo unificado, valorado, y en castellano, de herramientas de apoyo al desarrollo software.

Portal oficial: www.fabricasdesoftware.es

Ontología de seguridad para resolver vulnerabilidades

2010-12-02T01:05:00.000+01:00

Buenas a todos, el otro día @ariel me comentaba en un post que publiqué el año pasado que estaba interesado en saber más sobre un proyecto que desarrollé durante mi postgrado en Tecnologías de la Información, en el que mediante una Ontología y una base de datos del conocimiento, podía ayudar a resolver un gran número de problemas de seguridad.

Pues bien, con el siguiente post pretendo explicaros como funciona mi idea y como siempre digo, si hay algún interesado podemos tratar de evolucionarla.

Para empezar os contaré rápidamente, para quienes no estén familiarizados con el término, qué es una Ontología y para que puede servir. Una ontología es una forma de representar el conocimiento de un determinado dominio con la finalidad de facilitar la comunicación y el intercambio de información entre diferentes sistemas y entidades. Es aplicado sobretodo en Inteligencia Artificial.

Si estáis interesados en la rama de Inteligencia Artificial y Ontologías os recomiendo el paper que presenté junto con unos compañeros el pasado mes de Septiembre en el congreso HetRec con el título Ontology-based web service to recommend spare time activities.

¿Y que tiene que ver la inteligencia artificial y una ontología con la seguridad?. Bien, como os he contado la finalidad primordial de una ontología es representar el conocimiento, para ello ha sido utilizada en numerosos campos de tipos tan dispares como la medicina, la aeronática, la robótica, el turismo y un largo etcétera con la idea de facilitar el acceso a la información en sus respectivos campos. Por ejemplo, hace más de 20 años que se está desarrollando una ontología de medicina que almacena información sobre distintas patologías y problemas que padecen los seres humanos y sus posibles curas, de manera que, en vez de realizar una compleja búsqueda en una enciclopedia médica para buscar información sobre medicamentos que curen la enfermedad que creemos que tiene un paciente por la evaluación que nuestro conocimiento de médico experto determine, podremos acceder a ella desde esta ontología preguntándole simplemente que medicamento curaría

a esta persona si presenta estos problemas de salud, algo más fácil de evaluar por una persona sin muchos conocimientos en medicina (¿veis por donde voy verdad?).

Resumiendo, la idea de la ontología es darle de input, una serie de problemas de salud que nosotros vemos que una persona tiene, y la ontología debería de ser capaz con su base de datos de conocimiento darnos una cura, como si fuese un médico experto. Aclararos que la ontología solo representa el conocimiento y es necesario otro sistema que haga la búsqueda de la información dentro de ese conocimiento, como la herramienta Protégé que más adelante en el post os explico.

Esta idea es la que he querido aplicar a mi proyecto, ya que los sistemas de información son como los seres humanos, tienen una serie de problemas de salud (vulnerabilidades) que pueden ser curadas con la medicación adecuada (parches, actualizaciones, filtros en el código fuente, antivirus, firewall, etc.)

Para una primera aproximación de lo que sería la ontología perfecta he decidido incluir conocimiento sobre vulnerabilidades web, fugas de información, malware y exploits.

La implementación de la ontología la he llevado a cabo con la herramienta Protégé, desarrollada por el Stanford Medical Informatics de la Universidad de Stanford. Ésta herramienta permite construir ontologías fácilmente, crear clases y jerarquías, declarar propiedades para las clases, instancias e introducir valores, todo al estilo .Net, sencillo.

Vamos a ver como funciona, imaginaros que somos auditores y hemos detectado que tenemos una vulnerabilidad web Remote File Inclusion (1er conocimiento), por otro lado sabemos que el error proviene de un servidor Apache que ejecuta código PHP (2º conocimiento), ya tenemos todo lo necesario, ahora iríamos a Protégé e introduciríamos como input nuestros dos conocimientos. En este caso, protégé recorrerá su base de datos de conocimiento (que previamente un experto habrá alimentado) y nos devolverá la solución: Comprobar que el fichero solicitado en la URL tiene la extensión .PHP y que se encuentra dentro del directorio donde está alojado el sitio web y sino se deberá rechazar la petición web.

Otro ejemplo, imaginaros que hemos detectado que en el fichero host de un Windows hay una redirección DNS para llevarnos a una web determinada, quizás para un intento de Phising. Si le proporcionamos estos datos, Protégé nos diría que podría tratarse de un malware tipo Pharming y nos recomendaría utilizar la herramienta AntiPharming.

A continuación os dejo una imagen con otro ejemplo:

Toda esta inteligencia es posible, si previamente un grupo de expertos ha alimentado la base de datos de conocimiento de la ontología con información adecuada, actualizada y sobretodo bien escogida. Como veis, conseguir una base de datos así es un proceso largo y complejo pero que al igual que se está realizando en medicina podría aplicarse a nuestro campo, ¿no creéis?

Saludos!

Resumen del DISI 2010

2010-12-01T01:10:00.002+01:00

Buenas a todos, ayer estuve por el DISI 2010 disfrutando en el día Internacional de la Seguridad de unas cuantas ponencias muy interesantes.

Empezó el día con una charla del Dr. Taher Elgamal, sí, el creador del algoritmo criptográfico "Elgamal", uno de los creadores de SSL y de la norma SET y un largo etcétera, que impartió una charla de más de una hora sobre la historia del eCommerce en los últimos 15 años y su futuro en los próximos 15 años, que derivó en interesantes preguntas sobre temas como la computación cuántica. Comentaron los organizadores que colgarían el vídeo de la exposición de Taher en el canal de youtube de la UPM, así que estad atentos ;)

Tras la charla de Elgamal prosiguieron "los CERT", Chelo Malagón, de IRIS CERT, Eduardo Carozo, de CSIRT ANTEL, Javier Candau, de CCN CERT y Marcos Gómez Hidalgo, de CERT INTECO para hablar sobre el ENS.

Las charlas de los Cert fueron encaminadas a aclarar ciertas dudas sobre el ENS que todavía quedan encima de la mesa de muchas organizaciones, como la aclaración de Chelo sobre la aplicación del ENS a todas las universidades públicas. También trataron temas durante el posterior debate como la posibilidad de en un futuro extrapolar el ENS a organizaciones privadas (recordemos que el ENS solo afecta a organizaciones del estado), por ejemplo, obligando a obtener la certificación ISO 27001 (salvando las distancias), lo que podría suponer un gran problema para muchas organizaciones debido a la poca preocupación que tienen muchas de nuestras PYMES por estos quehaceres, además de la repercusión que esto tendría en materia económica, ya que con la crisis actual muchas de estas empresas ya se las ven bastante mal para sobrevivir tal como están las cosas, como para ponerle mas trabas y obligarles a invertir más en seguridad. Éste tema generó un gran debate, que continuó en la siguiente charla.

Eduardo Carozo, ponente de Uruguay invitado, aprovechó su intervención para hablarnos del Proyecto Amparo, un interesante manual diseñado para aumentar la capacidad de prevención y de respuesta a incidentes de seguridad informática, que podéis descargar desde aquí.

A continuación, tras el cocktail, donde tuve la oportunidad de charlar con algunos de los ponentes, prosiguió el DISI con las charlas de Rubén Santamarta (Wintercore), El padre Parada (Microsoft) y Juan Luis Rambla (Informática 64). Faltó David Barroso por enfermedad.

En ésta charla Juan Luis nos estuvo contando sus experiencias como auditor de infraestructuras críticas y se centró también en aclarar algunas dudas sobre el ENS que habían quedado tras la anterior charla. Tras Juan Luis, continuó Rubén hablando de la seguridad en los sistemas SCADA, y que tanto miedo están produciendo en la sociedad en los últimos meses por el poder que entrega a los hackers al permitir a través de estos sistemas controlar sensores, válvulas, etc. de centrales nucleares, plataformas petrolíferas y cualquier sistema de producción y control prácticamente. Al hilo de la charla de Rubén, continuó Parada hablando sobre Stuxnet, un gusano diseñado para atacar a estos sistemas y que descubrieron hace apenas 5 meses, aunque se cree que puede llevar en funcionamiento desde hace un año. El objetivo de este gusano, aunque todavía no ha sido esclarecido, se piensa que es atacar sistemas industriales como las plantas eléctricas y los reactores nucleares de Irán. Miedo da pensar que se pueda lograr acceso a estos sistemas, porque la cosa ya no es que logren vulnerar un sistema para hacer un deface en una web, aquí corren riesgo vidas humanas y se hizo mucho hincapié en los esfuerzos por paliar las vulnerabilidades en estos sistemas.

Para que veáis un ejemplo del poder de Stuxnet, en Agosto de este año ya llevaba infectadas según Symantec los siguientes equipos:

Tras el intenso debate producido tras esta charla, volvió Taher para concluir el acto y despedir el evento hasta el próximo DISI 2011.

Saludos!

Opera, el navegador más seguro frente a errores, seguido de Internet Explorer. Chrome, el peor.

2010-11-30T01:22:00.003+01:00

Buenas a todos, hace algunas semanas os hablaba en el blog de un estudio realizado por Hispasec en el que confirmaban que Firefox era el navegador más seguro contra el fraude.

Hoy os traigo otro estudio, esta vez sobre las aplicaciones más seguras frente a errores, que ha realizado la empresa especializada en seguridad Bit9.

En el listado que han realizado con las aplicaciones más seguras se encuentran cinco navegadores web. El más seguro según Bit9 es Opera con solo seis fallos, seguido de Internet Explorer con 32, Mozilla con 51, Safari con 60 y Chrome con 76.

A continuación podéis ver el listado completo de las aplicaciones probadas en el estudio con sus correspondientes errores:

Google Chrome (76 reported vulnerabilities)
Apple Safari (60)
Microsoft Office (57)
Adobe Reader and Acrobat (54)
Mozilla Firefox (51)
Sun Java Development Kit (36)
Adobe Shockwave Player (35)
Microsoft Internet Explorer (32)
RealNetworks RealPlayer (14)
Apple WebKit (9)
Adobe Flash Player (8)
Apple QuickTime (6) and Opera (6) - TIE

Como veis Google Chrome se lleva la palma, seguido de Safari y Microsoft Office.

Saludos!

Mañana, V Día Internacional de la Seguridad de la Información DISI 2010

2010-11-29T02:03:00.004+01:00

Buenas a todos, mañana es el V Día Internacional de la Seguridad de la Información, DISI, y se celebra en la Universidad Politécnica de Madrid un congreso muy interesante sobre seguridad en el que intervendrán, entre otros, personajes destacados del mundo de la seguridad como Juan Luis Rambla, David Barroso o Rubén Santamarta.

Se tratarán temas de actualidad como el ENS, seguridad en el comercio electrónico y ataques hacker.

A continuación os dejo la agenda del evento:

09:00 - 09:30
Inauguración
Sr. Director de la EUITT
Sr. Director de Applus+
Sr. Rector de la UPM
Dr. Taher Elgamal
Sr. Director de la Cátedra UPM Applus+

09:30 - 10:45
Conferencia inaugural:
Invitado: Dr. Taher Elgamal, Axway - Estados Unidos
Conferencia: eCommerce and Internet Security: the last 15 years and the next 15 years
Modera:
D. Jorge Ramió, Cátedra UPM Applus+

10:45 - 12:00
Coloquio: Esquema Nacional de Seguridad ENS y Centros de Respuesta a Incidentes de Seguridad
Invitados:
Dña. Chelo Malagón, IRIS CERT - España
D. Eduardo Carozo, CSIRT ANTEL, proyecto AMPARO - Uruguay
D. Javier Candau, CCN CERT - España
D. Marcos Gómez Hidalgo, CERT INTECO - España
Intervención previa de 5 minutos por ponente
Modera:
Dña. Gemma Déler, Applus+

12:00 - 12:30
DESCANSO CAFÉ

12:30 - 13:45
Coloquio: Atacando las Infraestructuras Críticas
Invitados:
D. Rubén Santamarta, Wintercore - España
D. David Barroso, S21sec - España
D. José Parada Gimeno, Microsoft - España
D. Juan Luis Rambla, Informática64 - España
Intervención previa de 5 minutos por ponente
Modera:
D. Justo Carracedo, Cátedra UPM Applus+

13:45 - 14:00
Clausura
Dña. Gemma Deler, Applus+
D. Jorge Ramió, Cátedra UPM Applus+
D. Justo Carracedo, Cátedra UPM Applus+

Al finalizar el evento proporcionarán a cada asistente un certificado de asistencia con 5 créditos CPE -Continuing Professional Education.

Yo estaré por el evento por si alguien quiere tomarse un café conmigo ;)

saludos!

Posts de la semana en EbdC (21/11/2010-26/11/2010)

2010-11-28T02:12:00.000+01:00

Domingo 21 - Lunes 22 de noviembre de 2010

Encuesta: ¿En vuestra organización se aplica Firecall ID?

Martes 23 de noviembre de 2010

El nuevo troyano "Ares" llega para rivalizar con "Zeus", ¡duelo en el Olimpo!

Miércoles 24 de noviembre de 2010

Si das positivo a los verdes camino a tu casa, olvídate también de abrir el Facebook

Jueves 25 de noviembre de 2010

¡El primer Rootkit en una tarjeta de red!

Viernes 26 de noviembre de 2010

Exploit para un 0-day y escalada de privilegios en Windows Vista y 7

Exploit para un 0-day y escalada de privilegios en Windows Vista y 7

2010-11-26T01:01:00.001+01:00

Buenas a todos, ha sido pubicado una POC (prueba de concepto) de un 0-day sobre una vulnerabilidad que permite la escalada de privilegios en Windows Vista y Windows 7.

El exploit aprovecha la forma en la que win32k.sys procesa los valores del registro, manipula el valor SystemDefaultUEDCFont y activa el soporte para EUDC con la función EnableEUDC.

El usuario creará una clave en el registro (sin privilegios) para después leerla, provocando un fallo en el driver y obteniendo los privilegios.

Microsoft ya ha confirmado vía Twitter que está investigando el problema para resolverlo lo antes posible.

A continuación os dejo un video explicativo del exploit:

Saludos!

¡El primer Rootkit en una tarjeta de red!

2010-11-25T02:05:00.000+01:00

Buenas a todos, hace unos años ya desde que se consiguieran instalar los primeros rootkits en hardware como grabadoras LG, Bios, tarjetas de red, etc. pero creo que ésta es la primera vez que se ha conseguido introducir un rootkit en una tarjeta de red.

Esta curiosa azaña ha sido conseguida por Guillaume Delugré de la empresa de seguridad Sogeti ESEC, mediante el desarrollo de su propio firmware para una tarjeta de red NetXtreme de Broadcom:

Podéis ver un vídeo sobre el funcionamiento de este rootkit aquí.

saludos!

Si das positivo a los verdes camino a tu casa, olvídate también de abrir el Facebook

2010-11-24T01:59:00.001+01:00

Buenas a todos, nunca nos cansamos de sorprendernos de la imaginación que tiene la gente, y desde luego para desarrollar el software que hoy os vengo a contar hay que tener mucha.

Con la idea de «nada bueno ocurre después de la una de la madrugada», la empresa Webroot, ha desarrollado el 'Test de sobriedad para redes sociales', con la que pretende que los usuarios de redes sociales no hagan cosas mientras están bebidos de las que se puedan arrepentir al día siguiente.

La herramienta es gratuita para los usuarios de Firefox. Su uso es muy sencillo, para poder acceder a las redes sociales nos someterá a un pequeño test de coordinación, y si detecta que no estamos en las condiciones adecuadas, no nos deja acceder a la red social.

En el siguiente vídeo podéis ver la herramienta en acción:

Saludos!

El nuevo troyano "Ares" llega para rivalizar con "Zeus", ¡duelo en el Olimpo!

2010-11-23T02:53:00.002+01:00

En la mitología griega Zeus es el «padre de los dioses y los hombres», que gobernaba a los dioses del monte Olimpo como un padre a una familia, de forma que incluso los que no eran sus hijos naturales se dirigían a él como tal. Era el Rey de los Dioses que supervisaba el universo.

En la mitología griega, Ares se considera el dios olímpico de la guerra, aunque es más bien la personificación de la fuerza bruta y la violencia, así como del tumulto, confusión y horrores de las batallas.

Extracto obtenido de wikipedia.

La semana pasada hablamos en el blog del kit de troyanización SpyEye, en el que supuestamente iban a colaborar los creadores del que hasta ahora era el kit de troyanos bancarios mas popular, Zeus, y que llegaba para convertirse en "el kit" por excelencia.

Pues bien, parece que en los rincones más oscuros del hacking en internet ha surgido otro kit, al que han denominado con el nombre de Ares (imaginad por qué) que destaca sobre SpyEye y Zeus en que no se trata de un kit únicamente diseñado para generar troyanos bancarios sino que está planteado para un abanico mas amplio de posibilidades y que los desarrolladores adaptarán a gusto del consumidor.

El malware es gratuito para desarrolladores de confianza que se muevan por los foros underground, pero para el resto de mortales puede alcanzar un precio de 6.000 dólares. También se puede adquirir un “paquete de inicio” con funciones reducidas por 850 dólares.

Ralf Benzmüler, responsable de G Data SecurityLabs, ha explicado que “Ares ofrece a los recién llegados al mundo del cibercrimen amplias posibilidades de distribución a través de cualquier página web y, como tiene muchas variantes, puede ser utilizado para prácticamente cualquier tipo de ataque, por lo que actuará no sólo en forma de troyano bancario”. El troyano se multiplicará vía web.

Cuando consiga mas noticias sobre Ares haré un post dando detalles sobre su funcionamiento, estad atentos.

Saludos!

Encuesta: ¿En vuestra organización se aplica Firecall ID?

2010-11-21T19:01:00.004+01:00

Buenas a todos, a partir de hoy voy a comenzar a realizar algunas encuestas en el blog que pueden ser de interés si cuentan con una participación amplia para medir el estado actual de la seguridad en las distintas organizaciones. Para ello, el primer tema que he elegido ha sido el Firecall ID.

Las buenas prácticas de seguridad recomiendan que un único administrador de las organizaciones sepa la contraseña de administración. El resto de usuarios que requieran permisos especiales le deberán ser concedidos por el administrador de manera limitada a las funciones requeridas y durante el tiempo necesario para desempeñar sus labores.

Para evitar que si le pasa algo al administrador nadie posea la contraseña de administración, ésta deberá ser guardada en un sobre sellado y almacenado bajo llave por los gerentes principales de la organización, pudiendo ser recuperada cuando se requieran los permisos del rol del administrador y este se encuentre ausente. Ésta segregación de funciones es conocida como Firecall ID.

La pregunta de la encuesta de hoy es:

Free bingo | titan casino | encuesta | PARTY POKER | Best Online Casino Bonuses

Posts de la semana en EbdC (15/11/2010-19/11/2010)

2010-11-20T15:53:00.003+01:00

Lunes 15 de noviembre de 2010

Listado de extensiones de Firefox para auditoría de seguridad

Martes 16 de noviembre de 2010

TinKode "hackea" la Web de la Marina Británica

Miércoles 17 de noviembre de 2010

La venta de información personal en el mercado negro: nº tarjeta crédito 1,5€, DDoS 35€, Troyanos 2800€

Jueves 18 de noviembre de 2010

Spy Eye, el kit para generar troyanos que sustituirá al popular Zeus

Viernes 19 de noviembre de 2010

CaaS, Crimeware as a Service. La computación en la nube beneficia la distribución de malware

CaaS, Crimeware as a Service. La computación en la nube beneficia la distribución de malware

2010-11-19T01:18:00.005+01:00

Buenas a todos, recientemente ha sido publicado un estudio por CA Technologies sobre el panorama actual de las amenazas de seguridad en Internet, titulado "State of the Internet 2010: A Report on the Ever-Changing Threat Landscape".

Según el estudio el 73% del malware procesado en el primer semestre de 2010 eran caballos de troya, de los cuales, un 96% formaba parte de un mecanismo a gran escala de Crimeware-as-a-Service, distribuido mediante ingeniería social y descargas dirigidas. Un 29% de los nuevos troyanos detectados iban dirigidos a banca y compras online y un 47% a robo de datos.

El estudio destaca el beneficioso lugar que proporciona la computación en la nube al crimeware, que se vale de servicios tan extendidos como los populares "conviértete en fan de algo en una red social", "comprueba tu contraseña", "invitaciones de añadir a un amigo" y un largo etcétera, para propagar troyanos como Zeus y SpyEye, de los que os hablaba ayer mismo en el blog.

En el estudio también se trata como una modalidad actual y efectiva para distribuir malware la de los falsos antivirus, como el curioso Byte-Defender, clon malo (aunque gracioso) del BitDefender.

El informe destaca como el porcentaje de malware para Windows va disminuyendo, bajando del 92% al 87% con respecto al 2009 en las versiones Windows de 32bits.

A continuación os dejo una gráfica donde se muestra el ranking de las nuevas amenazas descubiertas:

Saludos!

Spy Eye, el kit para generar troyanos que sustituirá al popular Zeus

2010-11-18T01:00:00.006+01:00

Buenas a todos, ayer hablábamos en el blog sobre la venta de malware en internet, y tratabamos el caso, entre otros, del kit para generar troyanos Zeus.

Hoy os voy a hablar del que se está convirtiendo en el sustituto de Zeus y que empieza a gozar de bastante éxito por su poder y extremada sencillez de uso.

El nuevo kit de troyanización se llama SpyEye y se trata de un troyano bancario "2.0". SpyEye permite generar mediante una interface gráfica un troyano de manera sencilla en formato ejecutable. El troyano se comunicará con una base de datos MySql, cuyas tablas son proporcionada también en el kit donde se almacenarán los datos sustraidos de las víctimas. Y desde una interface web PHP (también proporcionada) se podrán accesar los datos de una manera sencilla, así como enviar instrucciones al troyano. Este troyano como imaginais está diseñado especialmente para generar botnet y sustraer datos en masa.

Según se rumorea los creadores de Zeus podrían comenzar a colaborar pronto en el proyecto de SpyEye.

Como curiosidad "freak", decir que la interface web de SpyEye no se puede visualizar desde Internet Explorer, parece ser que no cae muy bien MS a los desarrolladores y han bloqueado la posibilidad de usar este navegador como centro de control, de hecho sugieren usar los navegadores Firefox, Opera o Safari.

A continuación os dejo un interesante vídeo que han grabado desde Hispasec sobre SpyEye:

La venta de información personal en el mercado negro: nº tarjeta crédito 1,5€, DDoS 35€, Troyanos 2800€

2010-11-17T02:01:00.001+01:00

Buenas a todos, me encontraba hoy leyendo el número de noviembre de la revista SIC, cuando vi un interesante artículo sobre un informe que ha realizado la compañía RSA sobre la creciente oferta en la venta de información personal en el mercado negro de Internet.

En el informe se publican los costes medios de los artículos y servicios que se venden en el mercado negro.

Informan de que los datos personales mas demandados por los falsificadores son los números de tarjetas de crédito, nombres y apellidos del titular, fecha de nacimiento y datos de la banda magenética, cada uno de ellos vendido entre 1,5€ y 3€ (ni un kg de kiwis en la frutería).

Trabajos mas laboriosos como los ataques de denegación de servicio (DDoS) se cobran a unos 35€ las 24 horas de ataque continuado.

Y los kits de troyanos bancarios (troyano Zeus) se ofertan a unos 2800€.

En el informe concluyen con que en los últimos años está aumentando el crecimiento de los foros ilegales de venta de datos personales, así como la sencillez en el acceso a los mismos, creando una gran alarma en el sector.

La verdad que adquirir por ejemplo un troyano por Internet es tan sencillo como hacer una búsqueda en Google/Bing:

Aún así se pueden descargar gran cantidad de troyanos gratuitos por Internet, e incluso el desarrollo de troyanos es bastante sencillo y mas con la cantidad de manuales que hay en los foros de seguridad (dentro de poco tendréis alguna que otra noticia en este blog sobre el tema). Pero lo que de verdad importa mas que la venta y su desarrollo es, ¿existe de verdad conciencia sobre los usuarios que utilizan estas herramientas de forma maliciosa de que están cometiendo un delito penado por la ley?, creo que hace falta mano dura para demostrar a los ciberdelincuentes que los delitos por Internet son delitos al fin y al cabo, y aunque no haya daños personales, todos estos hechos pueden tener una gran repercusión, recordemos los 13 millones de ordenadores infectados por la Botnet Mariposa de hace unos meses, y la información que consiguieron de mas de 80,000 personas en todo el mundo, incluyendo datos bancarios personales de 40 de los mayores bancos internacionales. Lo más curioso de este hecho es que, encima que los que cometieron el delito compraron el troyano causante de todo por unos $2000, ni fueron capaces de desarrollarlo ellos mismos, uno de ellos fue a pedirle trabajo a Panda.

Saludos!

TinKode "hackea" la Web de la Marina Británica

2010-11-16T03:02:00.001+01:00

La semana pasada el sitio web de la Marina Real británica fue hackeada a través de una vulnerabilidad de Inyección de código SQL, con la que se consiguieron nombres de usuario y contraseñas de los administradores del sitio.

La Marina tuvo que suspender su página para evitar mas filtraciones, según explicó el Ministerio de Defensa británico.

Como podéis ver en la imagen, la web mostraba el siguiente mensaje mientras solucionaban el problema: "desgraciadamente, la web de la Marina Real está siendo sometida a mantenimiento esencial. Por favor vuelva a visitarnos pronto".

Lo curioso, es que unas semanas antes el Gobierno Británico anunció que había invertido la friolera de 650 millones de libras esterlinas (unos 754 millones de euros) en un nuevo programa de seguridad informática, que ha sido puesto en entredicho por "TinKode".

Saludos!

Listado de extensiones de Firefox para auditoría de seguridad

2010-11-15T03:43:00.005+01:00

Buenas a todos, ayer buscando información sobre la última versión de la extensión Hackbar para Firefox, que ha modificado Pedro Laguna, di con un catálogo de extensiones de auditoría para Firefox muy interesante llamado Firecat.

Firecat, reune entre otras las siguientes extensiones para Firefox:

Information Gathering

Whois

Location Info

Enumeration and Fingerprint

Data Mining

Googling and Spidering

All in one

Bibirmer toolbar

Proxying / Web Utilities

Editors

Jsview

Security auditing

ChickenFoot

Commands

Could be used with InspectThis

Network tools

Intrusion Detection System

FireKeeper

Sniffer

ffsniff

Wi-Fi

Hotspots

JiWire

Passwords

Unhide Passwords

Protocols / Application

Client and Server

CrossFTP

Client

FireFTP

DNS Unpinning

ORACLE

SQL Connection

SQLite

SQLite Manager

MySQL

MySQL Client

Misc

Hacks for fun

Greasemonkey

Scripts

Technika

Encryption / Hashing

Malware Scanner

Anti Spoof

Refspoof

Anti-phishing / Pharming / Jacking

Automation

iMacros

Logs / History

IT Security Related

Todas ellas ya están incluidas en la sección "Herramientas de auditoría" de mi blog, junto con otras extensiones de las que ya os he ido hablando en los días pasados.

saludos!

¡Lavado de cara al blog!

2010-11-12T03:06:00.001+01:00

Buenas a todos, como habréis visto éstos últimos días he estado haciendo un lavado de cara al blog.

El objetivo principal ha sido juntar en un mismo sitio web este blog con mi otra web (elblogdecalles.es) donde tenía hasta ahora contenidos como herramientas, normas y metodologías, libros, encuestas, etc., para así facilitaros tanto a vosotros como a mi mismo el acceso a toda la información, concentrándola en un único lugar.

Los próximos días desaparecerá la web www.elblogdecalles.es para dar lugar a un ftp (con otro dominio) donde iré linkando todo el material en el que me vaya apoyando en el blog y que os iré linkando en las diferentes secciones.

En la parte de arriba del blog encontraréis una sección llamada "Mis Herramientas" donde os iré linkando todas las herramientas que vaya desarrollando, al lado encontraréis un listado que irá creciendo continuamente con herramientas relacionadas con las auditorías de seguridad. Tras ella encontraréis una sección donde os iré colgando normas, modelos y metodologías orientadas a las TIC y en especial al campo de la seguridad. A continuación en la sección "Libros y Manuales", iré colgando libros libres y manuales y finalmente encontraréis un poco de mi vida en la parte derecha por si hay algún curioso =).

Cualquier idea de mejora será bienvenida. Deciros también que este cambio no afecta al RSS, por lo que no hará falta ninguna modificación.

Disfrutarlo, saludos!

El watermarking, dotando de propiedad intelectual a nuestras imágenes

2010-11-11T03:45:00.001+01:00

El watermarking es una técnica que consiste en agregar marcas de agua a documentos, imágenes o vídeos mayoritariamente, para proteger su autenticidad, de cara a que cuando sean copiados se sepa a quien pertenece la propiedad intelectual.

Hoy he encontrado una interesante página del Inteco en la que comentan que una simple marca de agua ya tiene aplicaciones legales de cara a reclamar la autenticidad, por ejemplo, de una imagen.

Cito textualmente desde Inteco: "La técnica del watermarking dota de autenticación a las obras en soporte digital bien sean imágenes, documentos, audio, etc, evitando así que los derechos de propiedad intelectual del autor de dicha obra sean vulnerados por una distribución o adquisición ilegal de la misma". Aplica el artículo 10 del Real Decreto 1/1996 de la Ley de Propiedad Intelectual.

En la sección "Mis herramientas" de éste blog encontraréis la herramienta "Watermarks Generator", que desarrollé hace unos meses precisamente para esta labor. Os dejo una captura a continuación:

Más información aquí.

Blacksheep, ya existe vacuna para Firesheep

2010-11-10T03:59:00.001+01:00

Buenas a todos, hace un par de semanas os comentaba en éste post del blog que en la Toorcon celebrada los pasados días 20, 21 y 22 de Octubre en San Diego, se presentó una nueva extensión para Firefox, llamada Firesheep, que permitía hacer Session Sidejacking de manera automática, abriéndonos en las pestañas de firefox todas las sesiones abiertas de los usuarios que haya conectados en nuestra red.

Pues bien, tanto revuelo a montado éste plugin que la compañía de seguridad Zscaler se ha apresurado en sacar una vacuna en forma de plugin también a la que han denominado Blacksheep.

El objetivo de Blacksheep es difundir credenciales falsas por la red para confundir todos los análisis que realice Firesheep. Además si se detecta un análisis de Firesheep, mostrará una alerta en el navegador con la IP del espía.

A continuación os dejo un vídeo sobre el plugin:

Además de Blacksheep también ha surgido otra herramienta para intentar inutilizar a Firesheep, se llama Fireshepherd, y su objetivo es inundar la red con paquetes sin sentido

Inteco ha publicado una guía para ayudar a implantar un Plan de Continuidad del Negocio

2010-11-09T10:39:00.005+01:00

Hace unos días escribí en el blog una entrada sobre la importancia de los procesos de continuidad del negocio en las organizaciones para poder aminorar las pérdidas tras un incidente de seguridad y poder continuar con las actividades habituales de la empresa.

Es muy normal encontrarse con organizaciones que no tienen en cuenta procedimientos de continuidad del negocio, como por ejemplo, conservar backups de una base de datos que podría perderse tras un incendio o un ataque de un hacker ,o tener un servidor web preparado en un hot site con el sitio web de la organización actualizado, para redirigir inmediatamente el tráfico en caso de caída prolongada del servidor.

El Instituto Nacional de Tecnologías de la Comunicación, INTECO, ha publicado una guía muy interesante para ayudar a implantar un Plan de Continuidad de Negocio en las organizaciones, parecido al que se presenta en la norma ISO 20000 o en la biblioteca de ITIL.

Podéis descargar la guía en el siguiente enlace:

http://www.inteco.es/Seguridad/Observatorio/manuales_es/guia_continuidad

Javier Garzás es entrevistado por El País, para hablar sobre fábricas software

2010-11-08T08:10:00.005+01:00

Fernando Barciela, de El País, ha entrevistado a mi compañero Javier Garzás, director de Kybele Consulting y profesor de la Universidad Rey Juan Carlos, sobre la situación de las fábricas software en España, y ha incluido algunos de sus comentarios en su artículo “Inmunes a la crisis“ (web), publicado ayer en el suplemento “Negocios” que acompaña los domingos a El País.

En el artículo también aparecen los comentarios de otras personas como José Antonio Ortega de Tecnocom, Santiago Escribano de Indra, José de Rafael de la AEC o Antonio Cimorra de AETIC e información extraída del portal www.fabricasdesoftware.es.

Una de las principales conclusiones del artículo es que la crisis apenas ha afectado a las fábricas de software, ya que la necesidad de ahorrar ha llevado a las grandes empresas a externalizarles el desarrollo y mantenimiento de software. Aunque aquello de convertir a España en un centro de nearshore para Europa, hasta la fecha, no ha tenido éxito (en 2008, solo el 5,5% de las ventas provenía del extranjero).

El que las fábricas compitan por ofrecer servicios lo más económicos posibles hace que necesiten un gran número de rrhh al menor coste posible; y por ello migraron desde Madrid y Barcelona a otras regiones con alguna Escuela de Informática. Estrategia sobre la que es un riesgo a medio largo plazo, más si se quiere competir internacionalmente. Y es un riesgo porque, además de cargarse la profesión y quedarnos sin ingenieros en informática, si sólo se piensa en ser competitivo reduciendo costes salariales, en vez de mejorando el cómo se desarrolla el software, siempre habrá otros países que lo harán más barato e, incluso, con iguales o mayores niveles de calidad software.

Podéis leer el artículo aquí.

Si queréis además saber más sobre las fábricas de software, los listados de todas ellas en España y América Latina, herramientas utilizadas en la externalización y queréis estar al día de todos los acontecimientos en el mundo de las fábricas de software. os recomiendo el portal www.fabricasdesoftware.es, donde además los propios usuarios podéis colaborar enviando noticias o información sobre las fábricas de software.

Firefox el navegador más seguro contra el fraude según un estudio de Hispasec

2010-11-05T03:43:00.000+01:00

Buenas a todos, continuando con la temática de post de los últimos días sobre la seguridad en Internet, hoy os traigo un estudio que ha realizado el laboratorio especializado en Seguridad y Tecnologías de la Información, Hispasec, sobre la seguridad de los navegadores contra los intentos de fraude a través de páginas web.

Los navegadores web incluyen filtros que impiden que ciertas páginas catalogadas como fraudulentas y almacenadas en una "black list" puedan ser visualizadas y por tanto puedan ejecutar código malicioso en los equipos de las víctimas.

Las black list son generadas mediante distintas fuentes que clasifican las páginas que contienen contenidos cómo phishing, malware, exploits, etc.

Hispasec ha navegado por 20.263 web que contienen código malicioso con los navegadores principales del mercado y ha generado la siguiente lista con los resultados de las páginas maliciosas que ha logrado bloquear cada navegador:

Firefox: 7.108 (35,08%)
Chrome: 6.639 (32,76%)
Internet Explorer: 5.114 (25,39%)
Opera: 1.690 (8,34%)

Según el estudio el navegador web que mas páginas fraudulentas logró bloquear fue Firefox, seguido de cerca por Chrome y un poco mas lejos por Internet Explorer. Opera se quedó bastante rezagado.

Lo sorprendente del estudio es que incluso con Firefox, el 65% de las páginas con contenido malicioso se ejecutarían sin problemas, por lo que como os comenté ayer, es recomendable navegar con el modo seguro de los navegadores activado si desconfiamos de una fuente.

saludos!

Estudio de McAfee sobre los dominios más peligrosos de Internet

2010-11-04T03:14:00.001+01:00

McAfee, empresa especializada en el desarrollo de aplicaciones de seguridad informática ha realizado un informe que revela los dominios más peligrosos de Internet.

En el estudio McAfee destaca que los dominios más utilizados son a su vez los más inseguros.

Para este estudio ha utilizado la tecnología Trustedforce centrada en la protección de las empresas, con una base de datos que aúna datos de más de 150 sensores localizados en 120 países.

El estudio comprendió el análisis de más de 27 millones de sitios web, comprobando la existencia de focos de malware, spam, afiliaciones sospechosas o pop ups agresivos.

La lista que generó con los 5 dominios más peligrosos es la siguiente:

.COM (Commercial) 31.3%
.INFO (Information) 30.7%
.VN (Vietnam) 29.4%
.CM (Cameroon) 22.2%
.AM (Armenia) 12.1%

Como véis el dominio .com es el más peligroso de todos los dominios de Internet, seguido inmediatamente a poca distancia por el dominio .info.

McAfee también reveló cuales eran los dominios mas seguros:

.TRAVEL (Travel and Tourism Industry) .02%
.EDU (Educational) .05%
.JP (Japan) .08%
.CAT (Catalán) .09%
.GG (Guernsey) .10%

Con respecto a otros años la situación ha empeorado, tal y como demuestra la siguiente gráfica:

¿Cómo podemos protegernos de todos estos peligros de la red?, pues como siempre recomiendo, hay que utilizar la última versión de los navegadores web, procurando que se encuentren siempre actualizados. Además, debemos navegar con el modo seguro de los navegadores activado si desconfiamos de una web y muy importante, si puede ser, deberíamos navegar desde una cuenta de usuario sin privilegios de administrador, para evitar que se puedan instalar en el equipo todo tipo de malware, como los virus de Active X.

Saludos!

El Farmville de Facebook padece problemas de privacidad

2010-11-03T03:55:00.003+01:00

Buenas a todos, los que somos usuarios de Facebook, estamos cansados de sufrir las decenas de invitaciones de juegos y de aplicaciones como el Farmville, que inundan cada día nuestra bandeja de entrada en la red social.

Pues bien, como era de suponerse, varias de estas aplicaciones padecen distintos problemas de privacidad, violando los términos y condiciones de uso del sitio al compartir con empresas de publicidad y de análisis, datos que identifican a sus usuarios, según reveló hace un par de semanas The Wall Street Journal.

Los datos de interés que podrían filtrarse serían:

La edad
La residencia
Y fotografías

The Wall Street Journal citó 10 aplicaciones de Facebook que padecen estos problemas de privacidad:

Farmville
Phrases
Texas HoldEm
Frontier Ville
Cause
Café World
Mafia wars
Quiz Planet
Treasure Isle
IHeart

Facebook ya ha comunicado que está trabajando para solucionar el problema, pero aún así a confirmado que los datos filtrados "no permiten identificar al usuario". ¿Vosotros pensáis igual sabiendo que las fotografías se pueden estar filtrando? Yo NO.

saludos!

Lanzamiento de www.fabricasdesoftware.es

2010-10-31T04:20:00.003+01:00

Hace apenas unas semanas lanzamos un nuevo portal que trata sobre las fábricas de software: www.fabricasdesoftware.es. Su objetivo es cubrir la necesidad que hay de tener un lugar en castellano que reúna y unifique toda la información relativa a las fábricas de software, principalmente de España y Latinoamérica, conteniendo información útil para las empresas que externalizan software a las fábricas, aquellos que buscan información sobre fábricas, datos para elegir, buenas prácticas, herramientas, etc.

En www.fabricasdesoftware.es se puede encontrar, entre otros:

Un listado de las fábricas de software en España y Latinoamérica, con sus certificaciones, las fábricas por region de España, etc.
Un listado, que irá creciendo, de herramientas principalmente utilizadas en el desarrollo de software y en el control de la externalización. También está previsto incorporar diversas comparativas entre ellas, informes, etc.
Material de apoyo.
Consejos y buenas prácticas para la externalización a fábricas software.
Un activo blog donde se comentan noticias del sector y que podremos debatir entre todos.

Y en los próximos días se añadirá información sobre metodologías, prácticas ágiles aplicadas a las fábricas, medición, etc.

Aún es un portal joven pero que seguro centralizará la información en la Web sobre la temática. Y desde aquí esperamos que se convierta en una ayuda referente en esta área del desarrollo software.

En este portal podréis colaborar todos los usuarios aportando información sobre las fábricas de software, herramientas, bibliografía de interés, etc., para ello deberéis poneros en contacto en la cuenta de correo: contacto@fabricasdesoftware.es.

Además, por cada fábrica de software se creará una página individual (bajo demanda) donde se expliquen todos los detalles sobre la factoría, certificaciones, especialidades, imágenes, etc., para ello deberéis poneros en contacto en la misma dirección de correo electrónico.

Saludos!

II Congreso Internacional Menores en las TIC: Reclaman mas seguridad en Internet en el currículum escolar

2010-10-29T03:12:00.001+02:00

Buenas a todos, los pasados días 26 y 27 de Octubre se celebró en el Palacio de Congresos – Recinto Ferial Luis Adaro de Gijón el II Congreso Internacional Menores en las TIC.

En este congreso estuvo mi gran amigo Juan Luis Rambla, nombrado MVP de Seguridad de Microsoft de manera consecutiva durante los últimos 5 años, hablando sobre el negocio del malware en Internet. Su charla fue acompañada de una interesante demo en la que mostró como funciona un troyano reverso. A continuación os dejo las diapositivas de su charla para que podáis descargarlas:

Radiografía de Riesgos (Informática64)

View more presentations from Congreso Internacional Menores en las TIC.

El resto de las presentaciones podéis encontrarlas en la página oficial del evento: http://menoresenlastic.fundacionctic.org/

En el evento intervino también José Luis Zatarain, director de proyectos de la asociación de protección del menor en el uso de Internet y las nuevas tecnologías 'Protegeles', que explicó a la agencia EFE que numerosas organizaciones desarrollan labores didácticas a través del voluntariado en los centros escolares, aunque ha lamentado que la amplia demanda impide llegar a todos.

Zatarain comentaba que los menores se han convertido en esta nueva era un uno de los “grandes creadores de contenidos en la red” y ha remarcado el peligro que las conductas lúdicas de los menores conllevan, que en numerosas ocasiones se convierten en "dañinas", incluso sin mala intención.

Continúo afirmando que hay que concienciar a los jóvenes con que respeten a sus compañeros en internet. Además, recordó que la Ley no permite colgar una foto de una persona sin su consentimiento por lo que los jóvenes tienen derecho a denunciar

Finalizó con una gran verdad comentando que en su opinión, es fundamental que los niños "se lo piensen dos veces" antes de colgar una foto porque quizás "dentro de veinte años" o en un plazo menor se arrepientan.

Como comentario personal me gustaría añadir a las palabras de José Luis Zatarain, que cuando subimos algo a Internet, va a estar ahí por siempre y siempre. Ya sea una foto, un texto, etc. aunque creamos que podremos borrarlo en un futuro y olvidarnos de su existencia, ¡esto no ocurrirá jamás! Recordaros que los crawlers de Google, por poner un ejemplo, peinan la red y cachean toda la información que encuentran, sitios web como el de archive.org almacenan históricos de las páginas web y un largo etc. Por lo que antes de subir contenido a internet, pensároslo dos veces, porque como dice Zatarain, quizás en unos meses no, pero en unos años podréis arrepentiros.

Saludos!

Firesheep, plugin para firefox posibilita el “hacking de un clic”

2010-10-28T03:47:00.001+02:00

Buenas a todos, en la Toorcon celebrada los pasados días 20, 21 y 22 de Octubre en San Diego, se presentó un nuevo juguete en forma de extensión para Firefox llamado Firesheep. Esta nueva extensión permite hacer Session Sidejacking de manera automática, abriéndonos en las pestañas de firefox todas las sesiones abiertas de los usuarios que haya conectados en nuestra red. Es decir, imaginaros por ejemplo que estamos conectados a la Wifi de un vecino y tenemos instalado tanto Firesheep como Winpcap (en el caso de Windows, al igual que haríamos con Caín, Wireshark, etc. para poner nuestra tarjeta de red en modo promiscuo y recibir paquetes de red) y nuestro vecino tiene el Facebook, Twitter, Tuenti, Gmail, Hotmail y un largo etc. abiertos, con un solo clic estaremos viendo casi toda su vida a través de nuestro navegador sin necesidad de tener ningún conocimiento de seguridad.

Para los que no conozcan en que consiste el Sidejacking, se puede resumir como una técnica que permite esnifar cookies y reemplazarlas en los sitios web suplantando la identidad de la victima.

Una solución podría ser conectarse a los sitios web por https, por ejemplo usando otra extensión de Firefox, Force-TLS, que fuerza la conexión de manera segura.

A continuación os dejo algunas capturas de Firesheep:

Saludos!

Curso online en castellano sobre CMMI v1.3 (la nueva versión de CMMI) y otras actividades formativas

2010-10-27T03:30:00.000+02:00

Buenas a todos, aprovechando la inminente aparición el próximo mes de noviembre de la nueva versión de CMMI (la 1.3) desde el departamento de formación de Kybele Consulting hemos lanzado un nuevo curso online: “Mejora de Procesos Software con CMMI-DEV v1.3”.

Esta primera edición del curso se impartirá del 9 al 22 de diciembre de 2010. Y el temario del curso es:

Introducción a la mejora y evaluación de la calidad los procesos software.
El modelo CMMI.
Las representaciones del modelo CMMI.
Los niveles de madurez.
La institucionalización.
CMMI y su implantación con metodologías ágiles.
Herramientas de software libre para apoyar una implantación de CMMI
La auditoría y el SCAMPI.

Y como en cursos online anteriores: al ser online no tendrás problemas con el horario, puedes apuntarte independiente de la zona horaria donde se encuentre tu país y si superas el examen te enviaremos un diploma acreditativo. Y ahora, además de las lecciones, exámenes, videos y foros, hemos añadido el uso del chat para mejorar la comunicación y las tutorías.

Si vais a inscribiros hacerlo pronto, que luego se agotan las plazas (aquí podéis encontrar toda la información relativa a la inscripción).

También os comento el resto de actividades formativas online de aquí a fin de año:

Introducción a los Procesos Software y a los Modelos de Calidad Asociados (GRATUITO), del 12 al 22 de noviembre (apúntate rápido que ya van más de 40 inscritos).
Mejora de la Calidad de los Procesos Software con ISO/IEC 15504, del 26 al 13 de diciembre, cuyo temario se ha ampliado cubriendo también el modelo Pathfinder (el anexo A de la norma)

Toda la información la podéis encontrar aquí.

Saludos!

Proceso de Continuidad del Negocio: ¿Qué hacer tras un incidente de seguridad en nuestra organización?

2010-10-26T03:47:00.001+02:00

El proceso de continuidad del negocio es el proceso clave para continuar con las actividades de una organización tras sufrir un incidente, permitiendo recuperarse de los problemas y logrando mantener los procesos de negocio con normalidad de la manera mas eficiente posible.

Algunos de los incidentes que impidan poder continuar con el negocio pueden ser ataques de hackers, terrorismo, malware o simplemente errores humanos, también pueden producirse desastres naturales como terremotos, incendios, inundaciones, fallas del suministro eléctrico (las mas comunes), cortes en la red de telefonía, etc. Cualquiera de estos incidentes producirán algún tipo de impedimento en las labores de negocio de una organización y será necesario contar con planes de contingencia para protegerse cuando alguno de ellos ocurra.

Cada tipo de incidente deberá poseer un tipo de acción diferente para ponerle solución de la manera mas óptima posible, es por ello necesario realizar una clasificación por niveles en función de su gravedad:

Crisis: incidentes que impiden continuar con las tareas normales de una organización durante un largo periodo de tiempo, produciendo graves pérdidas económicas.
Mayores: incidentes que producen un impacto negativo sobre algunos procesos de negocio.
Menores: incidentes que no producen impactos materiales.
Sin importancia: incidentes que no producen daños significativos.

Además, deberemos clasificar los sistemas de nuestra organización al igual que hemos hecho con los tipos de incidentes, por niveles de criticidad:

Crítico: Sin ésta función no pueden continuar determinados procesos en la organización.
Vital: Ésta función se podría realizar de manera manual por un período corto de tiempo.
Sensitivo: Ésta función se podría realizar de manera manual por un período largo de tiempo a un coste bajo.
No sensitivo: Ésta función podría ser prescindible por un largo periodo de tiempo.

Como intuiréis tras producirse un incidente, cuanto mas tiempo pase nos costará menos dinero el proceso de recuperación, pero perderemos mas dinero por la ausencia de determinados servicios, tal y como representa la siguiente figura:

Por ello es recomendable adelantarse a estos acontecimientos y contar con instalaciones de respaldo que permitan poder continuar con las actividades de la organización mientras se solucionan los problemas. Los tipos de instalaciones de respaldo de hardware son los siguientes:

Hot site: lugar donde contaremos con los elementos necesarios para ejecutar todas las actividades que se hayan definido como necesarias para continuar con el negocio. Los equipos y los elementos de red deben ser completamente compatibles y deben estar bien configurados para evitar errores a la hora de migrar las actividades de la organización original. Este tipo de servicios es caro.
Warm site: parecido al Hot site, pero no suelen contar con equipos configurados, por lo que requerirán mas horas para poder migrar las actividades de la organización, a cambio, son mas económicos que los Hot site:
Cold site: cuentan únicamente con el ambiente básico, luz, agua, conexión a internet, etc. Será necesario transportar equipos y montar el sistema completo. Es el mas económico.
Instalaciones duplicadas: cuentan exactamente con los mismos elementos que el sistema original y obligatoriamente deben encontrarse en un lugar diferente, para evitar que los mismos incidentes puedan haberle afectado. Son el sistema mas caro, pero el mas efectivo. Es el utilizado por las grandes organizaciones.
Acuerdos recíprocos: en ocasiones, algunas organización firman contratos para usar los sistemas de otra organización cuando sufren algún tipo de incidente. Suelen tener problemas de configuración, ya que no todas las organizaciones trabajan de la misma manera y con los mismos elementos SW y HW.

Hay que tener muy en cuenta que si nuestra organización sufre un incidente y no tenemos un buen proceso de continuidad del negocio, no contaremos ni con el entrenamiento suficiente, ni con los elementos necesarios para minimizar el daño y recuperarnos en el menor tiempo posible, pudiendo sufrir una pérdida larga en alguno de nuestros servicios y dañando así nuestra imagen ante clientes, perdiendo dinero al no continuar con nuestros procesos habituales e incluso perdiendo dinero en indemnizaciones a los clientes por no cumplir con los requisitos mínimos de entrega de servicio firmados en los contratos, como ha pasado por ejemplo con algunos ISPs.

Este proceso, es uno de los mas importantes en la norma ISO 20000, de gestión de los servicios TI y en ITIL, la biblioteca de infraestructuras TI, en ellas encontraréis mas información sobre el proceso de continuidad del negocio.

Hasta el próximo post, saludos!

El Blog de Calles queda en el puesto 15 a mejor blog de seguridad en español

2010-10-25T22:14:00.002+02:00

Buenas a todos, hoy ha sido publicada la clasificación final en los premios bitácoras 2010, donde he quedado en el puesto 15 en la categoría a mejor blog de seguridad.

Para mí es un placer haber formado parte de este concurso y haber quedado en posiciones tan altas en la lista, rodeado de tantos genios de la seguridad en ese TOP25 como los chicos de Security By Default, los de Informática 64 y antiguos compañeros de trabajo y con los que colaboro habitualmente, representados por “el gran maligno”, y entre los que se rifará con toda seguridad (espero, porque así lo merecen) el primer puesto, la gran Hispasec o Pedro Sánchez de Conexión Inversa:

En este TOP25 se echan en falta algunos blogs muy importantes como por ejemplo El Diario de Junito con su windowstips.wordpress.com, uno de los mayores cracks en forense o el de legalidadinformatica.blogspot.com de Juan Luis Rambla, experto en leyes, LOPD, análisis forense, auditorías y mil cosas mas, además de mi mentor personal desde que empecé a llegar a la silla para ponerme enfrente de un ordenador con apenas 4 añitos.

Gracias a todos los que habéis votado pensando que debería estar en esta privilegiada lista y prometo seguir actualizando este blog día a día con contenidos cada vez mas interesantes. De momento para ésta semana y la siguiente tengo algunos lanzamientos pendientes de contaros

saludos!!

Listado de herramientas para auditoría de seguridad

2010-10-25T03:36:00.000+02:00

Buenas a todos, a lo largo de los últimos años he ido haciendo una lista con las herramientas, utilidades web y distribuciones de Linux que mas suelo utilizar en las auditorías de seguridad, a continuación os listo algunas de las principales clasificadas según su utilidad:

Distribuciones de Linux orientas a auditoría

Wifislax (Página oficial: www.wifislax.com)
Wifiway (Página oficial: www.wifiway.org)
Backtrack (Página oficial: www.backtrack-linux.org)
Samurai (Página oficial: http://sourceforge.net/projects/samurai/)

¿Qué mas herramientas para auditoría de seguridad conocéis?

En posteriores post iré aumentando la lista con las nuevas herramientas que vaya utilizando.

saludos!

Hackeada la web de Kaspersky y modificada para habilitar la descarga de malware

2010-10-21T22:55:00.001+02:00

Increíble, pero cierto. El pasado domingo 17 de octubre la web de la empresa de seguridad TOP1 en soluciones antivirus, Karpersky, fue hackeada.

La web afectada fue la versión estadounidense, y estuvo secuestrada durante unas tres horas y media. A lo largo de este tiempo, los hackers modificaron el código fuente de la página para que los usuarios que descargasen el antivirus de la compañía descargasen un falso antivirus, al estilo “Byte-defender”.

Kaspersky ha explicado que los hackers se aprovecharon de una vulnerabilidad en un complemento web. Y han confirmado que realizarán una auditoria completa de su presencia online.

Fuente: http://countermeasures.trendmicro.eu/kaspersky-download-site-spread-fake-av/

Estamos al borde del TOP30 en los premios bitácoras de seguridad 2010

2010-10-19T15:17:00.001+02:00

Buenas a todos, como algunos ya sabréis y los que no, por el botón de la parte superior del blog lo intuiréis, este blog está nominado a los premios bitácoras 2010 en la categoría a mejor blog de seguridad.

Me enteré tres semanas después de que comenzasen las votaciones de que estaba nominado el blog y puse el botón de voto bastante tiempo después, pero aún así en la clasificación parcial de la semana pasada nos situábamos en el puesto 29 de la lista y hoy en la última clasificación parcial nos situamos en un interesante puesto 31.

Para mí, es un honor estar tan arriba en la lista, compartiéndola con blogs de numerosos amigos, compañeros de trabajo, compañeros del sector e incluso de algún familiar que se dedica a este oficio. Y a pesar de que por internet se diga que este premio es solo un “sube-egos”, la verdad es que salir tan siquiera en la lista anima a continuar escribiendo todas las semanas, aportando una opinión más en internet sobre el estado del sector e intentando enseñar los conocimientos que se van adquiriendo año tras año con la experiencia, aprendiendo a la vez de los blogs de otros compañeros.

Ahora sí, como hacen los políticos, pido el voto a cambio de recalific…., es broma =), si creéis que este blog merece estar en posiciones altas de la lista, podéis votarme pulsando el botón de la parte superior.

saludos y gracias a todos los que habéis usado parte de vuestro tiempo en votarme!