Google ha presentado una nueva forma de identificarse en sus cuentas que añade más seguridad a todos sus sistemas basados en la nube: una identificación de dos capas que requiere datos adicionales además de una contraseña para entrar en el servicio, algo que ya conoceréis si por ejemplo gestionáis vuestras cuentas bancarias a través de internet. Con este nuevo sistema de identificación el usuario, tras introducir su contraseña, tendrá que introducir un código que recibirá en su dispositivo móvil mediante una llamada, un SMS, o algún contenido específico para teléfonos avanzados como las blackberry o el iPhone. De este modo,…
Vive ForoS!, ya está en marcha el nuevo evento de Segu-Info
Vive ForoS!, el evento del cual tú formas parte organizado por Segu-Info y auspiciado por TATA Consultancy Services ya está en marcha. Vive ForoS! nace con el objetivo de llevar a los profesionales de tecnología lo último en materia de seguridad de la información con ponencias sobre investigación e innovación en la temática y debates abiertos para enriquecer dichas investigaciones. Segu-Info ha desarrollado un nuevo formato de evento en donde los asistentes se convierten en disertantes. Expertos en seguridad de la información realizan ponencias y luego los asistentes tienen la palabra para discutir y debatir, transformándose en verdaderos generadores de…
GeoTag Security ayuda a proteger nuestra privacidad borrando la geolocalización de las fotos
La llegada de los servicios de geolocalización (como Foursquare y Gowalla) ha vuelto a poner sobre la mesa un problema que ya daba vueltas desde hace un tiempo: ¿hasta dónde es prudente contarle al resto del mundo el lugar en el que nos encontramos? La situación se vuelve más peliaguda si consideramos que, aunque no queramos participar de estas redes, de todos modos la mayoría de las cámaras y móviles vienen con GPS, por lo que es probable que muchas nuestras fotos posean ya datos de geoposicionamiento, nos guste o no. Luego, cuando subimos estas fotos a Flickr o TwitPic,…
Vulnerabilidad en ASP.NET y su alcance
Luego de la presentación pública en EKO Party de la vulnerabilidad en todas las versiones de ASP.NET por parte de Juliano Rizzo y Thai Duong, de la publicación del exploit (ver video) y que permite la revelación de información sensible del usuario, Microsoft ha lanzado Security Advisory 2416728 (CVE-2010-3332). POET (Padding Oracle Exploit Tool), la herramienta creada por los investigadores, fue arrojada al público al final de la conferencia en tres pendrives, si bien para acceder al exploit, se debe superar un desafío. Según los autores del exploit esta vulnerabilidad alcanzaría al 25% de los sitios web actuales y Microsoft…
Se descubre otro 0 day en Adobe Acrobat muy sofisticado, como protegerse.
A estas alturas, ya no es noticia que se descubra un problema de seguridad en los gestores de PDF de Adobe previamente desconocido y siendo aprovechado por los atacantes. Últimamente, es el día a día de esta compañía. Este último fallo de seguridad destaca porque es muy sofisticado, elude las protecciones de los últimos Windows, y además está firmado digitalmente. Se ha descubierto un nuevo ataque contra las últimas versiones de Adobe Reader y Adobe Acrobat. Se trata de un desbordamiento de memoria intermedia al realizar una llamada a la función strcat en la libraría CoolType.dll y permite a un…
Concurso de Seguridad: Web challenges from RootedCON’2010 CTF
Los amantes de los wargames están de suerte porque esta vez, aparte de pasárselo bien aprendiendo y jugando, se podrán llevar a casa el nuevo iPod touch (4G) de Apple. ¿No te lo crees? Además el iPod vendrá con dedicatoria incluida grabada a láser. Te lo crees menos aún, ¿verdad? ¡Pues créetelo! He organizado, con el beneplácito de Dreyer y el apoyo de Hispasec Sistemas, un nuevo concurso de seguridad informática. ¿Te animas a participar? Seguro que muchos todavían recuerdan el mítico concurso de seguridad web «Boinas Negras», que marcó historia en España, allá por el año 2003. Se trataba…
Tareas para revisar la seguridad en proyectos PHP
Como complemento a asegurando sitios PHP, la siguiente es una lista de tareas o «cosas a revisar» para garantizar que nuestro proyecto web en php, cumpla con todos los requisitos necesarios para que sea seguro, fue creada por sk89q para ayudar a los desarrolladores web a desarrollar de forma segura sus aplicaciones. Esta pequeña pero útil guía, es la versión imprimible del articulo completo titulado Definitive PHP security checklist donde paso a paso nos dan a conocer los puntos que todo desarrollador web debe tener en cuenta para garantizar la seguridad de sus proyectos. Esta pequeña lista de tareas, puede…
¿Qué es el Penetration Testing?
El Penetration Testing, traducido generalmente como Test de Intrusión (otras traducciones suenan un poco jocosas en Español), es un tipo de auditoría de seguridad en la que un especialista en técnicas de hacking se situa en la posición de un atacante, empleando las mismas técnicas utilizadas por los atacantes, para comprobar no solo los parches de software que faltan por ser aplicados (que sería el resultado de un análisis de vulnerabilidades y que muchos venden como si fuera un test de intrusión) sino cómo de complicado son estas de explotar, cómo varias vulnerabilidades leves combinadas pueden acabar comprometiendo un sistema,…
Protección de Laptops ante robos
Debido a algunas consultas en relación a este tipo de incidentes realicé un pequeño lab asociado a la evaluación de 2 productos opensource referidos a la protección/recupero de laptops: 1. PreyProject @ www.preyproject.com 2. The Laptop Lock @ www.thelaptoplock.com El primero dentro de todo es una solución nueva y el segundo ya tiene un tiempo. En ambos productos es necesario registrarse, y a través de la instalación de un agente, dar de alta los equipos que quieren monitorearse. En este sentido PreyProject provee muchas más opciones de monitoreo que The Laptop Lock, sin embargo este último provee acciones al denunciar…
El riesgo de los PenDrives
Ya hace más de 2 años que se publicaba un estudio alertando sobre la peligrosidad de los PenDrives (memorias USB, memory sticks, unidades flash USB o como se quieran llamar). En él, se ponían de manifiesto la gran cantidad de datos «sensibles» que se almacenaban en pendrives, así como la gran predisposición de las personas a «curiosear» el contenido de cualquier pen-drive que se encontrasen. En definitiva, ya en 2008 eran uno de los principales focos de riesgo en las organizaciones. A día de hoy creo que la situación ha cambiado más bien poco. Las memorias USB son uno de…