Shellshock es una vulnerabilidad que se ha descubierto en los sistemas derivados de Unix, lo que incluye a OS X y Linux. Es parecida a Heartbleed, la vulnerabilidad de Open/SSL que nos aterró a todos hace unos meses y que a día de hoy, sigue sin haber sido parcheada en miles de sistemas. Sin embargo, según algunos expertos, Shellshock puede ser mucho más peligroso y lo peor de todo, existe desde hace dos décadas. «Este problema es especialmente peligroso, ya que hay múltiples formas de que Bash sea llamada por una aplicación» – Consultoría de seguridad de Red Hat.
Herramienta que identifica los rostros de los niños víctimas pedofilia
El Instituto Nacional de las Tecnologías de la Comunicación (INTECO), con sede en León, ha elaborado un programa informático de reconocimiento de rostros en imágenes digitales en las que aparecen menores víctimas de pornografía infantil o pederastia para favorecer su identificación. El proceso implica un trabajo para «mejorar herramientas» que permitan el tratamiento automatizado de imágenes pedófilas para «agilizar» la identificación de menores en la investigación policial, según ha explicado en una entrevista con Efe el director del INTECO, Miguel Rego.
El derecho al olvido, como borrarse de Internet, Facebook y «Just delete me»
Recientemente se ha podido comprobar lo difícil que es desaparecer sin dejar ni rastro en Internet. Uno de los casos más sonados es el del español Mario Costeja González, que denunció (y venció) a Google frente a los tribunales europeos en Luxemburgo. Tras una larga lucha, consiguió entre otras cosas que se pusiera el foco en el derecho al olvido, y que muchas de las grandes compañías y corporaciones cambiaran el rumbo en sus políticas de negocio y empezaran a poner a disposición de los usuarios la capacidad de poder practicar el «Habeas data«.
Sé donde vive tu gato: lo que dicen de nosotros las fotos de nuestras mascotas
La irresistible fotogenia de los gatos los ha convertido en las estrellas de la web social. Quien tiene un gato parece tener un tesoro online, una imagen tierna, que no ofende y es capaz de batir récords de ‘me gusta’. Sin embargo, las fotos de los felinos podrían no ser tan inocuas como pensamos por la cantidad de información que incluyen. «I know where your cat lives» incluye fotografías enviadas desde Twitpic, Flickr e Instagram que contienen parámetros como la latitud y la longitud exactas en las que fueron tomadas, ya que, como explican en el blog del New York…
Ingeniería Social: los usuarios como víctimas de la falta de atención
“La Ingeniería Social puede ser definida como cualquier acción que influencia una persona a actuar de una forma que puede o no ser de su interés”, define John Trinckes Jr. en el libro The Definitive Guide to Complying with the HIPAA/HITECH Privacy and Security Rules. El objetivo de este post es entender algunas de las prácticas más comunes de ataques a través de Ingeniería Social. Las estadísticas presentadas provienen de la infografía “Social Engineering”.
Protegete, una ‘app’ para ayudar a los menores en casos de ciberacoso
El centro de seguridad para los menores en Internet auspiciado por la Comisión Europea, Protégeles.com, junto con la asociación que agrupa a la principales operadoras de telecomunicaciones, ha presentado una app «anti-acoso» para los menores en España. La aplicación Protégete aprovecha las posibilidades de la conectividad móvil para ofrecer ayuda a los niños y adolescentes en contextos de acoso a través de las nuevas tecnologías como son el «grooming» (acoso sexual hacia menores en Internet), «ciberbullying» (acoso escolar en Internet) o suplantación de identidad en las redes sociales.
Spiderfoot: Herramienta open source para footprinting
Hoy os presentamos una herramienta que nos facilitará la tarea de Footprinting para nuestras fases iniciales de test de intrusión o análisis de visibilidad (o simplemente, para nuestros juegos) Lo primero de todo, expliquemos brevemente en qué consiste el Footprinting. Footprinting se determina al conjunto de actividades que realizamos inicialmente en todo proceso de intrusión sobre los activos tecnológicos de una empresa o entidad. También conocido como Information Gathering, Recopilación de información, OSINT, etc.
AIDE: Detecta automáticamente cambios de archivos en un servidor
En esta entrada veremos un pequeño tutorial para detectar las modificaciones en los ficheros de un sistema Linux mediante AIDE.AIDE (Advanced Intrusion Detection Environment) es un comprobador de integridad de ficheros y directorios para Unix y Linux. Digamos que es la versión GNU de Tripwire y básicamente lo que hace es crear una base de datos con un listado de ficheros a partir de reglas de expresiones regulares. Tiene varios algoritmos de digest y también puede utilizar todos los atributos de archivo habituales para buscar incoherencias.
Escaneo de vulnerabilidades con Skipfish
Skipfish es una herramienta de reconocimiento activo para la seguridad de aplicaciones web. La cual prepara un mapa interactivo del sitio objetivo mediante la recuperación recursiva y pruebas basadas en diccionarios. El mapa resultante es luego anotada con la salida de un número activo (pero sin interferencia) de pruebas de seguridad. El reporte final generado por la herramienta sirve como base para evaluaciones profesionales de seguridad en aplicaciones web.