Luego de la presentación pública en EKO Party de la vulnerabilidad en todas las versiones de ASP.NET por parte de Juliano Rizzo y Thai Duong, de la publicación del exploit (ver video) y que permite la revelación de información sensible del usuario, Microsoft ha lanzado Security Advisory 2416728 (CVE-2010-3332). POET (Padding Oracle Exploit Tool), la herramienta creada por los investigadores, fue arrojada al público al final de la conferencia en tres pendrives, si bien para acceder al exploit, se debe superar un desafío. Según los autores del exploit esta vulnerabilidad alcanzaría al 25% de los sitios web actuales y Microsoft…
Se descubre otro 0 day en Adobe Acrobat muy sofisticado, como protegerse.
A estas alturas, ya no es noticia que se descubra un problema de seguridad en los gestores de PDF de Adobe previamente desconocido y siendo aprovechado por los atacantes. Últimamente, es el día a día de esta compañía. Este último fallo de seguridad destaca porque es muy sofisticado, elude las protecciones de los últimos Windows, y además está firmado digitalmente. Se ha descubierto un nuevo ataque contra las últimas versiones de Adobe Reader y Adobe Acrobat. Se trata de un desbordamiento de memoria intermedia al realizar una llamada a la función strcat en la libraría CoolType.dll y permite a un…
Concurso de Seguridad: Web challenges from RootedCON’2010 CTF
Los amantes de los wargames están de suerte porque esta vez, aparte de pasárselo bien aprendiendo y jugando, se podrán llevar a casa el nuevo iPod touch (4G) de Apple. ¿No te lo crees? Además el iPod vendrá con dedicatoria incluida grabada a láser. Te lo crees menos aún, ¿verdad? ¡Pues créetelo! He organizado, con el beneplácito de Dreyer y el apoyo de Hispasec Sistemas, un nuevo concurso de seguridad informática. ¿Te animas a participar? Seguro que muchos todavían recuerdan el mítico concurso de seguridad web “Boinas Negras”, que marcó historia en España, allá por el año 2003. Se trataba…
Tareas para revisar la seguridad en proyectos PHP
Como complemento a asegurando sitios PHP, la siguiente es una lista de tareas o “cosas a revisar” para garantizar que nuestro proyecto web en php, cumpla con todos los requisitos necesarios para que sea seguro, fue creada por sk89q para ayudar a los desarrolladores web a desarrollar de forma segura sus aplicaciones. Esta pequeña pero útil guía, es la versión imprimible del articulo completo titulado Definitive PHP security checklist donde paso a paso nos dan a conocer los puntos que todo desarrollador web debe tener en cuenta para garantizar la seguridad de sus proyectos. Esta pequeña lista de tareas, puede…
¿Qué es el Penetration Testing?
El Penetration Testing, traducido generalmente como Test de Intrusión (otras traducciones suenan un poco jocosas en Español), es un tipo de auditoría de seguridad en la que un especialista en técnicas de hacking se situa en la posición de un atacante, empleando las mismas técnicas utilizadas por los atacantes, para comprobar no solo los parches de software que faltan por ser aplicados (que sería el resultado de un análisis de vulnerabilidades y que muchos venden como si fuera un test de intrusión) sino cómo de complicado son estas de explotar, cómo varias vulnerabilidades leves combinadas pueden acabar comprometiendo un sistema,…
Protección de Laptops ante robos
Debido a algunas consultas en relación a este tipo de incidentes realicé un pequeño lab asociado a la evaluación de 2 productos opensource referidos a la protección/recupero de laptops: 1. PreyProject @ www.preyproject.com 2. The Laptop Lock @ www.thelaptoplock.com El primero dentro de todo es una solución nueva y el segundo ya tiene un tiempo. En ambos productos es necesario registrarse, y a través de la instalación de un agente, dar de alta los equipos que quieren monitorearse. En este sentido PreyProject provee muchas más opciones de monitoreo que The Laptop Lock, sin embargo este último provee acciones al denunciar…
El riesgo de los PenDrives
Ya hace más de 2 años que se publicaba un estudio alertando sobre la peligrosidad de los PenDrives (memorias USB, memory sticks, unidades flash USB o como se quieran llamar). En él, se ponían de manifiesto la gran cantidad de datos “sensibles” que se almacenaban en pendrives, así como la gran predisposición de las personas a “curiosear” el contenido de cualquier pen-drive que se encontrasen. En definitiva, ya en 2008 eran uno de los principales focos de riesgo en las organizaciones. A día de hoy creo que la situación ha cambiado más bien poco. Las memorias USB son uno de…
Microsoft solucionará 13 fallos en Windows, IIS y Office
La próxima semana Microsoft lanzará nueve boletines de seguridad calificados de “importantes” y “críticos”, que solucionan 13 vulnerabilidades. La próxima semana, coincidiendo con la actualización periódica de Microsoft los segundos martes de cada mes, la compañía publicará nueve boletines que solucionan 13 vulnerabilidades que afectan a Windows, Internet Information Services y Microsoft Office. Cuatro de los boletines están calificados de “críticos” y es resto se consideran “importantes”, según han informado desde el Microsoft Security Response Center. Los programas afectados por las vulnerabilidades incluyen a Windows XP, Vista y Windows 7; Windows Server 2003 y 2008; y Office XP, 2003 y…
Security Software Downloader, para mantener seguro tu equipo
Una de las primeras cosas que hacemos cuando adquirimos un equipo o instalamos uno desde cero y utilizamos Windows es instalar el antivirus. Pero además, muchas veces queremos instalar más programas de seguridad que nos ayuden a proteger nuestro equipo. Un programa contra espías o herramientas específicas contra el malware que nos ayuden a mejorar la seguridad del equipo. En este caso seguro que os gusta Security Software Downloader, todo lo que necesitas para mantener seguro tu equipo. Se trata de una aplicación que nos permite el acceso directo a la descarga de un completo grupo de aplicaciones de seguridad…
Libro: El Atacante Informático (Capítulo 1 a 4)
Jhon César Arango publicará de forma gratuita y de manera bimestral los capítulos que conforman el libro electrónico “El Atacante Informático”. Primera entrega: Capítulo 1: Conociendo al Enemigo. Capítulo 2: Protocolos de comunicación. Capítulo 3: Ambientes operativos. Resumen: Se explica los diferentes tipos de individuos que amenazan la información, se deja claro el papel del Hacker y además se profundiza en los pasos realizados por los diferentes personajes para llegar a su objetivo final. Introducción.Conociendo al enemigo y cómo trabaja.Métodos y herramientas de ataque.Los tipos de ataque.Procedimiento que usan los atacantes para comprometer un sistema.Metas a alcanzar por los atacantes.Resumen.Bibliografía.…