SEGURIDAD
Nueva versión de Google Chrome solventa varias vulnerabilidades
Actualización de VLC corrige un grave fallo al reproducir archivos de video .MKV
Novedades semanales de Útiles Gratuitos a 04/02/2011
* USB Safeguard. Herramienta que sirve para codificar el contenido de un pendrive (la versión gratuita permite hasta 2 Gigabytes)
* Watobo. Herramienta bajo licencia GNU que permite realizar auditorías de seguridad en entornos Web de forma semi-automática
Las claves por defecto de los routers de Movistar y Jazztel, al descubierto
Se ha hecho público el algoritmo que genera las contraseñas de los routers Comtrend. Estos son los que ofrecen MoviStar (Telefónica) y Jazztel a sus clientes para dar acceso a Internet. A efectos prácticos, significa que si los clientes de Telefónica o Jazztel no han cambiado su contraseña Wi-Fi desde que recibieron el router, su cifrado es inútil. Actualmente, esto es más sencillo incluso que romper una clave WEP.
Tip de seguridad 1: cómo imprimir documentos confidenciales de forma segura
(…) La opción más profesional sería comprobar si la impresora compartida que utilizamos admite la posibilidad de enviar los documentos a una cola o buzón personalizado por usuario de manera que los trabajos queden retenidos en el buzón de la impresora hasta que el usuario que envió el trabajo “libere” su buzón (mediante el uso de un “PIN” o contraseña)…
Enlaces de seguridad en PDFs de 2010: análisis y herramientas
Después de un año repleto de incidentes relacionados con el Portable Document Format (PDF) está bien mirar atrás y recordar algunos de los más importantes. A continuación se enumeran los enlaces de análisis de documentos PDF maliciosos y/o ofuscados, así como algunas herramientas que han hecho aparición en 2010.
Google empieza a implementar las búsquedas SSL por defecto en EE.UU.
(…) Aunque este cambio no afecte de manera notable a un usuario de Google, el servicio de búsqueda se convierte de manera instantánea en un servicio más seguro gracias a que las peticiones que se realizan a los servidores de Google son gestionadas de manera cifrada…
Hackers penetran en los sistemas Nasdaq
(…) Las autoridades consideran a las bolsas de valores como de alta prioridad, junto a compañías de energía y centros de control de tráfico aéreo, partes críticas de la infraestructura básica de Estados Unidos…
Ejecución de código en PostgreSQL
Descubierta una vulnerabilidad en este popular y utilizado sistema gestor de bases de datos, localizada concretamente en en el módulo ‘intarray’, que afecta a las versiones 9.0.x y 8.x de PostgreSQL, la cual permite a un atacante remoto no autenticado, ejecutar código arbitrario con los permisos que esté corriendo la base de datos, lo que convierte este fallo en potencialmente peligroso para la estabilidad y seguridad del sistema.
¡Waledac is alive!
La botnet Waledac, también conocida como SLM o la sucesora del gusano Storm, se creía cerrada desde el 22 de Febrero del año pasado cuando Microsoft logro el cierre de sus 277 servidores.
El P2P como herramienta de recolección de inteligencia
(…) Contra lo que pudiera pensarse este caso no es aislado y a lo largo de los años han estado expuestos en diversas redes P2P decenas de Manuales del Ejército de Tierra Español y de Infantería de Marina, además de Informes y Circulares de Guardia Civil, Policía Nacional así como Policías Locales en este último caso incluso Atestados conteniendo datos personales de ciudadanos…
Patriot NG 2.0 is out !
(…) A nivel técnico las dos grandes mejoras que trae la versión 2.0 es que, empieza a hacer cosas con la red, en concreto hemos añadido una parte ‘ARPWatch’ que permite monitorizar (y bloquear) nuevos equipos que se conecten a la red en la que te encuentras…
Lección 4 de intypedia
Introducción a la seguridad en redes telemáticas
…
1. Redes telemáticas. Definiciones.
2. Riesgos y protecciones en las redes telemáticas.
3. Conociendo a tu enemigo.
4. Protegiendo la red.
Vídeo: Kit de creación de phishing "especial"
No es nada noticiosa la existencia de kits de creación de phishings y troyanos. Existen muchos. Este que presentamos se caracteriza por tener una interfaz "especial" que facilita la creación de páginas falsas de distintas entidades.
DigiFOCA parte 1
(…) Para solventar el problema de los Huge Domains, la FOCA ahora tiene, por cada dominio, la opción de buscar documentos. Con esto, por cada dominio se pueden buscar todos los ficheros, que automáticamente se añadirían a la parte de descarga de documentos…
Jugando con un XSS en Squirrelmail 1.4.21
En un servicio hosting gratuito que proporciona servicio webmail con SquirrelMail se abrió una cuenta y se creó un usuario de correo. Se han realizado pruebas sobre otros sistemas con SquirrelMail en distintas versiones y se han obtenido los mismos resultados.
Windump / Tshark. Captura de red de forma remota en Linux
(…) En esta ocasión, y siguiendo con el ejemplo anterior, el host A será un sistema Windows y host B Linux…
Certificación gratuita de Hurricane Electric en IPv6
(…) Una forma muy entretenida de aprender es obteniendo la certificación que ofrece gratuitamente Hurricane Electric, que mediante distintas pruebas a modo de reto, nos genera un certificado con distintos niveles…
Clases de CEH ahora en video
(…) a disposición gratuita, en su página web http://www.logicalsecurity.com, una serie de videos con una duración total de unas 25 horas, con temática para la certificación CEH (Certified Ethical Hacker) del EC-Council…
Cinco aspectos para mejorar la seguridad en las empresas
En este post se presentan 5 aspectos sobre los cuales se debe trabajar si se quiere mejorar la seguridad en las empresas. Los mismos se han identificado en distintas empresas e industrias sobre las cuales he desarrollado tareas profesionales en materia de seguridad.
Mercado negro del cibercrimen
Entre toda la información que recopilamos diariamente, podemos encontrar un interesante artículo publicado por la empresa de seguridad Panda Labs en una nota de prensa que trata sobre el mercado negro de la compra/venta de información robada.
21/tcp open ftp
(…) Entre las diferentes pruebas me encuentro con algo inesperad
el puerto 21/tcp —puerto por defecto del servicio FTP— estaba abierto en uno de los equipos víctima de mis escaneos. Era un equipo que ni mucho menos tenía controlado que ahí pudiera estar ese servicio abierto…
Generador de claves WPA para WLAN_XXXX y JAZZTEL_XXXX
Recientemente ha sido publicado en el foro de lampiweb un algoritmo que genera la contraseña de los routers Comtrend que despliega Movistar y Jazztel a sus clientes de ADSL. Esta vulnerabilidad es más grave si cabe que los famosos cifrados WEP con ssid WLAN_XX, puesto que este último usaba claves de 13 letras con 4 dígitos hexadecimales aleatorios, y era necesario generar un diccionario con las 65536 posibles combinaciones.
IP Fragmentation Overlapping v2.0
(…) Mi charla, titulada "IP Fragmentation Overlapping v2.0" fue un remake de la charla que ya di en la No cON Name en Barcelona hace unos meses, pero prestando menos atención en el ataque en sí y más en el análisis, poniéndome en la piel de un analista de intrusiones o forense…
Acceso a webs gubernamentales, de ejércitos y universidades a la venta
(…) Por un precio que va desde 55 dólares hasta los 499 dólares, un hacker ofrece acceso total a importantes dominios, entre los que se incluye la web oficial del gobierno de Italia, el sitio web del Ejército de EE.UU. y páginas de universidades de Europa. Hablamos de webs con dominios .MIL, .EDU y, .GOV…
AppSec tutoriales, seguridad aplicaciones web, capítulo 1
OWASP ha comenzado la serie de vídeos OWASP Appsec Tutorial sobre seguridad de aplicaciones web. El primer episodio describe todo lo que va a cubrir la serie y lo que se puede esperar en los próximos episodios.
Seguridad en el protocolo SSL
(…) Existe una herramienta llamada LittleBlackBox que contiene una base de datos donde se correlacionan llaves privadas de SLL, con sus respectivos certificados públicos, que corresponden a determinado hardware…
Enlaces de la SECmana – 56
* Nueva página de seguridad en la sección "Sobre Nosotros" de la web de Twitter
* Entrevista de Chema Alonso a nuestro compañero Lorenzo en El Lado Del Mal
* Nueva versión de la herramienta Cain&Abel 4.9.37
* Interesante serie de artículos por Cesar Cerrudo sobre el estado actual de la Seguridad
* Vaya semanita para Facebook… En SecurityArtWork, soporte HTTPS para Facebook
* Presentación para la Schmoocon 2011 de IronGeek Plug and Prey
* Ataque a SourceForge confirmado, se insta a los usuarios han recibido instrucciones
* Graves vulnerabilidades en el navegador Opera solucionadas con la última versión 11.01.
* Tras los rumores que apuntaban a que en ciertos entornos se había filtrado el código fuente
* Publicado NMAP 5.50, tras un año desde la última versión estable
* Cross-Site Scripting en la web de la Academia de Cine, y algunos medios vuelven a picar
[Cine de Hackers] Los fisgones (Sneakers)
Como ya hicimos con la película 23 Nada es lo que parece, hoy volvemos a recomendar una de las películas más populares de temática hacker.
Global Report
2010 Information Management Survey (Symantec)Global Report
2010 Information Management Survey
2010 Computer Crime and Security Survey (New Zealand)
TENDENCIAS
El ITGI presenta el informe GEIT
Este fin de semana el IT Governance Institute (ITGI) ha presentado su cuarto informe global sobre la situación del Gobierno de las TIC. Está basado en una encuesta realizada sobre 854 directivos tanto de unidades de negocio como de IT de 21 países y en 10 sectores diferentes con lo que la amplitud y globalidad del informe están garantizados.
… Y VERGÜENZAS
Oficinas de patentes sudamericanas avanzan a favor de los intereses de multinacionales farmacéuticas y alimenticias
(…) Aunque un tema ya está decidido
la interconexión de las bases de datos será realizada por una plataforma desarrollada en OMPI, conocida como "WIPO-Case", para que la información pueda circular “soberanamente” a los examinadores de patentes latinoamericanos…
Indexando Indexadores
(…) Ahora la historia es que Google acusa a Microsoft de copiar los resultados de su buscador y el experimento tiene mucha gracia. Google eligió varias palabras para las que no había resultados ni en Google ni en Bing y creo una página de resultados falsos en Google…
Cómo el Departamento de Seguridad Nacional de EEUU se ha apropiado del dominio ‘rojadirecta.org’
(…) Es decir, ni han accedido al hosting de Roja Directa, ni han borrado su web… nada de eso. Tan sólo han hecho que su dominio apunte a otro sitio…
Dans – Rojadirecta y la “justicia universal”
(…) ¿debe la intrínseca ubicuidad de la red ser la excusa para que un país como los Estados Unidos se arrogue el derecho de implantar sus leyes de manera universal? ¿Significa el caso Rojadirecta que ahora cualquiera, por el hecho de aparecer en la red, debe plegarse a la justicia de los Estados Unidos?…
DESARROLLO / BASES DE DATOS / SYSADMIN
WebGrid en MVC 3, paso a paso
(…) La última versión de ASP.NET MVC, de la mano de la tecnología WebPages, nos trae un nuevo conjunto de helpers de productividad bastante interesantes en el espacio de nombres System.Web.Helpers…
Enlaces interesantes 28
* ASP.NET MVC 3 Razor Syntax – RenderBody, RenderPage and RenderSection
* Integrating the jQuery UI date picker…
* Más sobre Razor templates… Ahora un helper Repeater reutilizable 😉
* Razor templates en ASP.NET MVC 3. Simple, pero una pasada!
* Comparación detallada de SQL Server Compact 4 y SQL Server Express 2008 R2.
* Debugging, Tracing and Instrumentation in .NET and ASP.NET (14 FAQ).
* Dependency Injection with ASP.NET MVC 3 distilled and simplified.
* “Client-Side Validation in MVC 3" by Jaco Pretorius
* 10 plugins jQuery para mostrar imágenes. Algunos son espectaculares.
* Cómo usar StructureMap con ASP.NET MVC 3.
* How to Add Mobile Pages to Your Webforms / ASP.NET MVC application.
* Creación de un vhd para arrancarlo en modo nativo
* Disponible la localización de ASP.NET MVC 3 para nueve idiomas
Green IT
(…) Pasando ya a Green IT, la primera decisión a tomar tiene que ver con la clásica pregunta ¿interno o externo? En el caso externo, podemos optar por colgar la mayor parte de nuestro servidores en la nube o similares…
Estupendo artículo introductorio sobre GC
(…) Así que aprovecho ahora que he encontrado este artículo para hacer una rápida aportación. Sé que éste es un foro hispano y que el artículo está en Inglés, pero es altamente recomendable para todos aquellos que quieran tener una visión global/introductoria a la gestión de memoria en la JVM…
Single Page Interface, Google App Engine y 28Kb
(…) ItsNat también soporta Google App Engine desde la versión 0.7 como se puede ver en ese listado, como se sabe ItsNat es claramente céntrico en el servidor (aunque se puede combinar con librerías cliente como se mostró hace poco)…
Cómo diseñar para el iPad
(…) Cubre temas como la forma en la que se deben abordar la multi-dimensionalidad en el iPad, la simplicidad que debe buscarse, la diferencia con el scrolling tradicional y, desde luego, recomienda que no olvidemos la Ley de Fitts, que sigue siendo válida y debiera aplicarse en prácticamente cualquier tipo de diseño de interacción…
Descubrimientos del 4 febrero 2011
* Más de 45 trucos y tutoriales wordpress de Enero del 2011
* Class PHP para el acortador de URLs de Google
* Fuentes Sans Serif gratuitas
* Top de 35 extensiones y web apps Chrome para diseñadores
* 8 útiles herramientas online para diseñadores
* Las mejores prácticas para el diseño de URLs
* Apps wordpress para Android
* Nueva sintaxis para @font-face
* Un efecto con diferentes transiciones para estados on / hover
* Cozimo – Proyecto, en español, para discutir diseños con clientes
* Máscara circular para imágenes con CSS3
* Cómo utilizar Dropbox para organizar y gestionar tus proyectos
* Menú animados con jQuery (10 opciones distintas)
* 130 iconos deportivos – PuertoPixel.com
Descubrimientos del 3 febrero 2011
* 10 zoomers de imágenes con jQuery
* Colección de herramientas CSS3 para tú próximo desarrollo web
* 50 sets de elementos de interfaces de usuario
* 8 formas de combinar typefaces
* 35 nuevos temas gratuitos para wordpress
* Incrementa el rendimiento de tú blog wordpress usando Google App Engine
* Herramientas de seguridad para wordpress
* Packs PSD de elementos de interfaces de usuario de dispositivos móviles
* Muro con galeria 3D en javascript
* PHP con MySQL
Consultar datos en MySQL
* CeraBox una alternativa a lightbox potenciada por Mootools
* Los mejores sitios para descargar código fuente gratis
Descubrimientos del 2 febrero 2011
* Vías efectivas de aumentar el tráfico en tú web
* Botones con gradientes CSS corss browser
* 50 estupendas fuentes de texto
* CSSLab ? Animaciones y Transformaciones con CSS3
* 25 plantillas HTML / CSS
* Cliente de Twitter open source basado en web
* Colección de íconos inspirados en Apple
* Cómo añadir campos personalizados automáticamente al publicar un post en wordpress
* Algunos usos prácticos de Twitter
* Recursos simples con css
* Crear un slider de fondo completo con jQuery
* Bloques de columnas de igual altura
* AppsGeyser – realiza aplicaciones para Android basadas en contenidos web
* Animación en links con CSS3
* Hacks para mejorar el editor de wordpress
Descubrimientos del 31 enero 2011
* Sistema de cacheo open source de alto rendimiento
* Utilizar la búsqueda personalizada de Google en tú blog
* Quita la barra de admin de WordPress 3.1 a voluntad
* 65 tutoriales jQuery para personalizar tus sitios
* Una vulnerabilidad en Internet Explorer permite obtener información personal
* Camlistore, el nuevo proyecto de los responsables de Pubsubhubbub
* Cómo un blog puede salvar tu tienda on-line
* 21 de los mejores tutoriales jQuery / CSS3
* howweb20 – Cómo es de “Web 2.0? tu sitio web
* Cómo crear un tema personaliado wordpress
* Opciones óptimas para SEO en wordpress
* 9 sets de creativos botones para descargar
* Ha salido CodeIgniter 2.0.0 !!!
* Usar jQuery para mejorar la experiencia de usuario
* Desarrollando una aplicación con la Google App Engine
FLOSS / SISTEMAS OPERATIVOS / VIRTUALIZACIÓN
El software libre tiene la palabra
Cuando OpenOffice.Org corría el riesgo de dejar de ser software libre, sus desarrolladores armaron un proyecto paralelo llamado LibreOffice. El software de “oficina” es usado por cien millones de personas.
Descargar la revista Atix número 18
LINUX
A Practical Guide to Ubuntu Linux [PDF]
COMUNICACIONES
Safe Webnotes, notas protegidas que se autodestruyen con confianza
(…) Uno de ellos es Privnote, una web en la que guardamos un mensaje, se genera un link, y al ser abierto por el receptor se muestra el mensaje a la vez que se destruye y el link es dado de baja…
Hotmail agrega la capacidad de crear un alias de tu cuenta para evitar spam
(…) Los alias se pueden configurar para que los correos lleguen a una carpeta o al inbox. Hotmail va a permitir hasta 5 alias al año, para llegar a un total de 15, que puedes habilitar o cerrar cuando quieras…
[¿por qué 5 y no 22?]
PirateBox, una caja para el que sabe que compartir no es robar
(…) Luego de observar el vídeo, tal vez se pregunten cuáles son sus características, dónde se obtiene, o mejor aún, cómo hacer uno por su cuenta. Veamos los detalles…
GlobaLeaks, concepto de WikiLeaks con alma de BitTorrent
(…) hoy os traigo parte del concepto y origen de WikiLeaks, la fuga de cables, bajo un sistema propio utilizando Tor. GlobaLeaks es un software basado en BitTorrent, un movimiento que como ellos mismo definen se trata de “una red mundial de distribución amplificada de fugas”, una especie de OpenLeaks más distribuida…
BLOG’s
Telecomunismo, una entrevista con el creador de Thimbl
(…) Thimbl es una plataforma distribuída multi-tier, Laconi.ca es una aplicación con federación. Son muy diferentes, pero su punto es el mismo. Federación y descentralización son bastante diferentes. Los sitios que son federados son comunidades independientes que comparten información con otras comunidades independientes. Una plataforma descentralizada no tiene comunidades independientes, todos los usuarios interactúan con todos los usuarios, sin importar dónde estan localizados los servidores del servicio que utiliza…
PRODUCTIVIDAD
Estudiante estadounidense implanta nueva forma de enseñar matemáticas
Mediante simples dibujos y videos, una graduada en música ha logrado que millones de adolescentes se interesen por el frío mundo de los números.
Cómo utilizar Dropbox para organizar y gestionar tus proyectos
(…) Mientras que Dropbox probablemente no sea un gran método para manejar voz o e-mail, hace un gran trabajo en cuanto a compartir documentos se refiere. Cuando miras a través del lente de un proyecto de diseño web , terminas con un montón y montón de documentos al que necesitaremos acceder, modificar y actualizar algunas veces…
Office Web Apps se libera en mas de 150 países
(…) Office Web Apps consiste en 4 aplicaciones (Word, Excel, OneNote, Powerpoint) que se pueden usar de manera gratuita desde el navegador…
¿Alguna buena alternativa libre a Sharepoint?
[ver comentarios]
SALUD
Un medicamento contra el cáncer ayuda a regenerar la médula espinal lesionada
Científicos del Instituto Max Planck de Neurobiología de Munich han demostrado que un medicamento contra el cáncer conocido como Taxol podría reducir los obstáculos que impiden la regeneración de las células nerviosas, tras una lesión de médula espinal.
La resiliencia psicológica individual, clave para superar un desastre
(…) En cuanto a otro tipo de intervenciones, los autores del informe señalan que la capacidad colectiva e individual de vencer las adversidades compartidas radicaría en la sensación de sentirse respaldado, en la cohesión social y en la cooperación…
El sueño ayuda a consolidar los recuerdos "útiles"
Las personas recuerdan mejor la información tras una noche de sueño cuando saben que les va a ser útil en el futuro, según un estudio de la Universidad de Lübeck en Alemania. Los descubrimientos, que se publican en la revista ‘Journal of Neuroscience’, sugieren que el cerebro evalúa recuerdos durante el sueño y retiene aquellos que son más relevantes.
A los hombres los hace más inseguros
El café ayuda a las mujeres a enfrentar el estrés
El café ayuda a las mujeres a actuar en las situaciones de estrés, pero hace que los hombres se vuelvan más inseguros y que tarden más en completar tareas, cuando han tomado varias tazas.
Un componente del ketchup puede ayudar a prevenir distintos tipos de cáncer
(…) Según asegura la doctora Montaña Cámara Hurtado, del Departamento de Nutrición y Bromatología de dicha entidad, el licopeno es un carotenoide presente en los tomates y derivados que reduce la incidencia de distintos tipos de cánceres, especialmente frente al cáncer de próstata…
DE TODO
El ocaso de la mediocracia
Carlo Frabetti
(…) Quienes fotocopian mis libros, o los leen gratis en las bibliotecas, o se los bajan de Internet, no me roban ni me amenazan, sino todo lo contrario: le dan sentido a mi trabajo y me animan a seguir haciéndolo…
Programa gratuito para leer archivos .epub
Importante actualización de los drivers libres de ATI
Ya era hora de actualizar nuestros drivers de la tarjeta gráfica. ATI acaba de liberar una actualización mayor para poder soportar nuevas tarjetas, mejorar el rendimiento de las anteriores y añadir opciones que en entornos de software libre no funcionaban.
Lili, tu distro de Linux en un USB desde Windows
Vamos a probar un programa que nos permitirá trastear con nuevas distros sin tener que instalar nada en nuestro disco duro. Las ventajas que suponen el tener un USB con una distribución de Linux “Live” parten de que podemos probar lo que queramos, incluso guardar los cambios, y el sistema que tenemos instalado en el disco duro no se verá afectado.
Tecnologías y su contexto 
Deja un comentario