El siguiente post es una traducción (con algunas adaptaciones idiomáticas) del texto, realizado por Aryeh Goretsky publicado en el blog de ESET en inglés donde explica lo sucedido la semana pasada en relación al catálogo de actualizaciones de Micrsoft. La semana pasada, recibimos un reporte de un cliente quien reporto que ESET NOD32 Antivirus previno que un Troyano infecte la computadora portátil de un usuario. Mientras que esto no es inusual en si mismo, lo que fue notable fue la fuente de infección: el propio Catalogo de actualizaciones de Microsoft. Como ya sabrán, Microsoft no solo provee actualizaciones para su propio sistema operativo y aplicaciones,…
Actualización a WordPress 3.0.5
WordPress 3.0.5 ya está disponible y es una actualización de seguridad para todas las versiones anteriores de WordPress. Esta versión de seguridad es necesaria si tiene algunas cuentas de usuario que no son de confianza. También viene con mejoras de seguridad importantes. A todos los usuarios de WordPress se les recomienda actualizar. La versión soluciona una serie de cuestiones y proporciona otras dos mejoras:
Hardening PHP mediante php.ini
En algunas ocasiones una buena configuración nos puede salvar de un fallo de programación que pueda desembocar en una brecha de seguridad. Es el caso de PHP, cuya configuración tiene algunas medidas de seguridad que pueden ser útiles. Vamos a ver estas opciones centrándonos en las versiones actuales de PHP5 y con PHP6 ya en mente.
Mitigación de vulnerabilidades en Internet Explorer con EMET
Desde el RSS de Hispasec recibimos las posibles soluciones a la última vulnerabilidad reportada que afecta a todas las versiones de Internet Explorer. La vulnerabilidad (que recibió el nombre de Aurora), consiste en un exploit (hecho público por Metasploit) que se aprovechaba de un fallo en el procesamiento de las hojas de estilo en cascada (Cascading Style Sheets, CSS) dando como resultado una denegación de servicio, y dejando que Internet Explorer dejara de funcionar. A los pocos días de hacerse pública la vulnerabilidad, Nephi Johnson publicaba el código necesario para explotarla en un post denominado When A DoS Isn’t A DoS. Nephi hablaba…
Crackear WPA: rotura de WLAN_XXXX
Hace pocas semanas se publicó en Internet el ‘algoritmo’ de rotura de claves WPA del estilo WLAN_XXXX y Jazztel_ZZZZ. Es sabido por todos o por casi todos que este tipo de compañías generan sus claves Wifi en función de los propios parámetros del dispositivo. Ya ocurría con las claves WEP, las cuales podían ser ‘rotas’ en apenas segundos, ya que la variedad estaba en 3 o 4 alfanuméricos que había que sacar por fuerza bruta. Computacionalmente esto no es nada para una máquina de hoy en día, por lo que como se dijo anteriormente, en 3 o 4 segundos se dispone de…
Para evitar riesgos en internet se necesitan usuarios jóvenes inteligentes
El mayor riesgo para los menores «es no usar Internet en una forma inteligente«, afirma Xavier Bringués, de la Universidad de Navarra, en España. Los especialistas aseguran que internet ofrece a los menores posibilidades «infinitas». «Estamos hablando de una tecnología inteligente del siglo XXI que necesita usuarios inteligentes«, le dijo Bringués a BBC Mundo en ocasión de celebrarse este martes el Día Internacional de Internet Segura, una fecha que pretende llamar la atención sobre cómo cuidar a los menores de 18 años cuando usan internet.
Windows Live Hotmail: La seguridad SÍ importa
Autor: Chema Alonso, Microsoft MVP en Enterprise Security – Consultor de seguridad en Informatica64 Chema@informatica64.com http://www.elladodelmal.com http://twitter.com/chemaalonso El presente artículo es un largo recorrido por las principales opciones de seguridad que ofrece Windows Live Hotmail para sus usuarios con el objetivo de ayudarles a protegerse contra las amenazas de seguridad más importantes: Spam, robo de contraseñas, acceso a los mensajes de correo por medio de analizar la red, ataques de denegación de servicio por bloqueo de cuentas, suplantación de identidad y estafa. Las amenazas son muchas, así que hacen falta muchas herramientas para luchar en esta guerra.
2 actualizaciones 0day será lo más importante (Febrero 2011)
Microsoft planea liberar una docena de boletines este martes – tres de los cuales resuelven problemas críticos. El conjunto de actualizaciones de los martes para este febrero incluyen una actualización para un problema critico que había aparecido anteriormente, y también resuelve un problema igual de serio sobre cómo Internet Explorer maneja Cascading Style Sheets (CSS). Cada una de estas vulnerabilidades de día cero ha sido explotada en ataques limitados.
Diez consejos para evitar la fuga de información
Como venimos planteando desde hace un tiempo en este mismo blog, la fuga de información es uno de los temas que más preocupa a las organizaciones en la actualidad, especialmente luego del escándalo provocado por el caso Wikileaks, que motivó a la opinión pública a colocarse de algún lugar de una delgada línea difícil de reconocer y comprender en profundidad. En esta ocasión, y de una manera bastante pragmática, brindamos algunos consejos a tener en cuenta ante este escenario, de tal modo que sea posible evitar las principales causas de fuga de información, principalmente en el ámbito corporativo:
Cyber Security Evaluation Tool
Información general: Las infraestructuras críticas dependen de los sistemas de tecnología de la información y redes de computadoras para las operaciones esenciales. Se hace especial hincapié en la fiabilidad y flexibilidad de los sistemas que la integran y la interconexión de estas infraestructuras. CNDS colabora con socios de todo público, comunidades privadas e internacionales para lograr este objetivo mediante el desarrollo y la aplicación de medidas coordinadas de seguridad para proteger contra las amenazas cibernéticas.