SEGURIDAD
Novedades en Útiles Gratuitos: TextSecure para Android y Eraser para Windows
TextSecure se presenta como un reemplazo a la mensajería de texto estándar, permitiendo enviar y recibir mensajes de texto de forma segura…
Eraser, es una herramienta que sirve para borrar datos de forma segura….
Inyección SQL en Joomla 1.6
Se ha publicado una vulnerabilidad de inyección SQL que afecta a la rama 1.6.0 del popular gestor de contenidos Joomla. El fallo ha sido descubierto por Aung Khant que forma parte de ‘YGN Ethical Hacker Group’.
Comprometen la seguridad de RSA y roban información sobre el producto SecurID
(…) es posible que los ladrones hayan tenido acceso a información que permita deducir de qué forma se calculan las contraseñas de un solo uso y, por tanto, permitir a un atacante acceder a recursos ajenos sin necesidad de disponer del token físico…
Pwn2Own: vulneran iOS 4.2.1, iOS 4.3 resiste pero iOS 4.3.1 podría ser inminente
Segunda jornada de la competición anual de hacking Pwn2Own donde por unos días, compañías y algunos de los mayores expertos técnicos en seguridad, capaces de comprometer cualquier sistema, se convierten en los mejores amigos.
HPP: Http Parameter Pollution
Recientemente hemos visto una vulnerabilidad de HTTP Parameter Pollution afectando al sistema de Blogs de Blogger que permitía convertirse en administrador de cualquier blog. Las tecnicas HPP son mucho más peligrosas de lo que la gente está evaluando, y debido a la poca cantidad de herramientas que las buscan, hoy en día hay muchas aplicaciones web vulnerables ahí fuera.
Conoce tus procesos con Process Explorer 14.1
(…) Eso puede ser mismamente porque el nombre llame la atención, tenga un alto consumo de CPU en un instante de tiempo o alguna característica distinta, como no tener activados DEP o ASLR en los tiempos que corren, como en este ejemplo con el proceso de Gtalk de Google…
Los registros de servicios
(…) Al final, si tienes catalogados qué aplicaciones o protocolos usan qué registros de servicios, basta con hacer consultas de tipo SRV y descubrir más información de la organización, algunos ejemplos…
El filtro SafeSearch, la DigiFOCA y el Google Hacking
(…) Primero probé en Microsoft.com con el filtro desactivado y activado. Tal y como se puede ver en las siguientes imágenes, hay unos 100 documentos PDF que están catalogados con contendio que no sale en los resultados de búsqueda…
Obtención de líneas temporales para análisis forense. Un ejemplo práctico con Google Chrome
(…) La gran ventaja de log2timeline es que es posible obtener la línea temporal en una sola ejecución (sin tener que crear los ficheros mactime y los posteriores body) para una enorme variedad de escenarios…
Wireshark. Analizando eventos SMB / CIFS – NetBIOS. Parte 6. Comandos Tans2
En este sexto capítulo veremos los paquetes del tipo Tree Connect Andx Request, Response. Es decir, una vez culminada la negociación de autentificación con el servidor del recurso, se procede a conectar con el recurso.
Smooth-Sec. Sistema IDS / IPS con motor Suricata e interface Snorby
Smooth-Sec es un sistema de detección de intrusiones IDS / IPS cuyo motor está basado en Suricata y con una interface web Snorby.
Está montado sobre Linux UBUNTU 10.04 LTS. Se trada de un sistema completamente configurado y listo para usarse. Creado por Phillip Bailey.
Monitorizando un entorno ofimático con Integria IMS
(…) El agente es capaz de obtener los datos de la aplicación que se está empleando en cada momento (nótese que abrir una aplicación y usar otra implica que queda registrado el uso unicamente de la aplicación sobre la que se interactua no la que esta en background). Adicionalmente también detecta cuando hay interacción humana en ese equipo y cuando no (periodos de inactividad)…
Entrevista a Ivan Ristic, creador de ModSecurity
(…) El rol estratégico del WAF es proveer visibilidad y servir de dispositivo de auditoría. Entonces, cuando tus sistemas han sido comprometidos (que lo serán inevitablemente), el WAF puede proveerte de un registro de ese evento y ayudarte a entender cómo se llevó a cabo…
WhatsApp y su seguridad, ¿pwn3d?
(…) Si finalmente la password es la misma para todos los usuarios, están siguiendo una filosofía de seguridad por oscuridad que puede ser rota cualquier día. Si alguien obtiene la password que se usa, o consigue implementar el algoritmo para generar el challenge teóricamente podría iniciar sesión en el servicio con la cuenta de cualquiera, sabiendo únicamente su número de teléfono…
Resumen del IX Foro de Seguridad de RedIris en Valencia
La seguridad de las cosas
(…) Cuando la conversación tiene lugar entre dispositivos o servicios hablamos de una comunicación “Machine to Machine”, M2M, en la que dispositivos en cualquier parte del mundo, haciendo uso de redes alámbricas o inalámbricas, intercambian información con múltiples propósitos…
Otros usos de Barnyard2
Ya hemos hablado anteriormente de Barnyard2, una herramienta para procesar ficheros Unified2 y que permite múltiples configuraciones de salida; la más utilizada, la escritura en Base de datos.
Tsunami en la cadena logística
El 17 de marzo de 2000 (hoy hace 11 años) un incendio causado por un rayo en una planta de fabricación de semiconductores de Royal Philips Electronics en Albuquerque, Nuevo México, provocó, según The Wall Street Journal, “una crisis corporativa que cambió el equilibrio de poder entre dos de los mayores fabricantes de productos electrónicos de Europa”…
Las 11 mejores aplicaciones de hacking y seguridad para Linux
Verizon Enterprise Risk and Incident Sharing (VERIS) framework and application
The VERIS framework provides a common language for describing security incidents in a structured and repeatable manner.
nullcon 2011 – Presentaciones
Presentaciones del congreso de seguridad informática Nullcon realizado el pasado 25 y 26 de febrero.
OPSEC en los tiempos de la web 2.0
(…) Un perfecto ejemplo sería el caso de Dozerf22 , apodo usado en un foro de aviación por un teniente coronel y piloto de F22 , el más moderno caza furtivo de la USAF. Este militar fue investigado por haber realizado más de 300 post, respondiendo a preguntas de todo tipo sobre capacidades y funcionamiento del avión…
Visitamos HOMSEC 2011
(…) Para quien no lo conozca Homsec es como describen sus organizadores “un salón específicamente dedicado a la aplicación de las tecnologías para la Defensa, Homeland Security y la Seguridad Publica”…
DESARROLLO / BASES DE DATOS / SYSADMIN
Sculptor 2.0
Sculptor es un framework que combina conceptos de diseño "Domain-Driven" y DSL para intentar incrementar la productividad de los desarrolladores Java. Está construido sobre frameworks Java como JPA, Hibernate y Spring Framework y han construido un plugin que integra el framework con Eclipse.
Java Easy Persistent Layer – JEPLayer
JEPLayer es una sencilla pero poderosa API encima de JDBC basada en listeners que controlan opcionalmente el ciclo de vida de un proceso JDBC en múltiples puntos.
JavaHispano Podcast – 110- Creación de documentación
Publicado un nuevo número del podcast de javaHispano. En esta ocasión Jorge Ruiz, Roberto Montero y Jorge Rubira hablaremos del proceso de creación de tutoriales y documentos técnicos.
Descubrimientos del 18 marzo 2011
Descubrimientos del 16 marzo 2011
Descubrimientos del 15 marzo 2011
Descubrimientos del 14 marzo 2011
Descubrimientos desde 12 marzo 2011 hasta 13 marzo 2011
FLOSS / SISTEMAS OPERATIVOS / VIRTUALIZACIÓN
Coreboot: BIOS de código abierto
(…) Así es como aparece Coreboot, una opción que busca reemplazar a los BIOS propietarios de múltiples modelos de placas base. Trabaja de forma tal que inicializa el hardware con lo mínimo y necesario, y después ejecuta “paquetes” que pueden expandir en gran medida su funcionalidad…
SourceForge.net libera su código fuente
SourceForge liberó Allura, el software que permite entregar su servicio, bajo una licencia open source Apache 2.0.
LINUX
¡Ututo XS 2011 disponible!
(…) UTUTO XS se caracteriza por ser una distribución completamente libre, es decir, que no contiene programas no libres según la definición del Proyecto GNU. Esto le ganó el reconocimiento de Richard Stallman, fundador de GNU y de la "Fundación para el software libre", la cual actualmente aloja a UTUTO XS en sus servidores como una de sus distribuciones oficialmente recomendadas…
Canaima GNU/Linux cuenta con 6.000 aplicaciones disponibles y gratuitas
El el director del Centro Nacional de Tecnologías de Información, indicó que la distribución del software libre en Venezuela, y en especial de Canaima, ha sido sumamente positiva, por lo que esperan una masificación aún mayor en el corto plazo
5to Libro de la Serie de Certificación GNU
Se ha publicado el 5to Libro de la Serie de la propuesta de Certificación para Administradores de Sistemas GNU/Linux por Antonio Perpiñan, presidente de la Fundación Código Libre Dominicano, la cual viene a llenar la última columna de la matriz del conocimiento necesario para convertirse en un Administrador de Sistemas GNU.
Ubuntu for Non-Geeks
Otro libro que puede resultar útil especialmente para los que recién se inician, aunque también le podemos sacar provecho los que ya llevamos algún tiempo con Ubuntu.
LO MEJOR DEL BLOGROLL DEL 6/03 AL 12/03
Seminario gratuito de Linux el miércoles 23 de marzo [Buenos Aires]
Distros Linux para especialistas (parte 3)
DraftSight, software CAD para Linux
(…) DraftSight es un software libre para diseño CAD en 2D para la plataforma del pingüino. En la última versión permite abrir, ver y modificar archivos DWG propios de AutoCAD…
COMUNICACIONES
Anonymous busca respuestas de aplicación militar con la Operación "Metal Gear"
(…) El colectivo activista encontró que en los recientes correos filtrados de HBGary hay un contrato con la compañía Booz Allen Hamilton para desarrollar un software (sin nombre) para la Fuerza Aérea de los Estados Unidos. Su aparente objetivo sería rastrear y detener disidentes anónimos mediante sockpuppets – identidades online utilizadas con fines de engaño dentro de comunidades en la red…
Google te muestra todo: Tus contenidos y conexiones sociales
¿Big Brother? Un poroto, como decimos acá, 
, porque Google con su potente motor de búsqueda ha logrado mediante el Google Social Search , el buscador de conexiones sociales sería, hacernos saber de nuestra presencia en redes como Twitter, YouTube, Facebook, Linkedin, Google Reader, Blogger, WordPress, PicasaWeb, ¿y qué más?, bueno, ¡los sitios que se les ocurra!
12 Observaciones acerca del nuevo sistema de comentarios de Facebook
Recientemente Facebook lanzó oficialmente su renovado sistema de comentarios pensado especialmente para blogs y demás sitios web dinámicos, el cual tiene como característica destacada, la prevalencia que se le da a la relevancia social.
ToneCheck: Analiza el tono de tus correos electrónicos
ToneCheck es una herramienta que analiza el texto en inglés y detecta porciones del mensaje que podrían sonar agresivas, humillantes u ofensivas. Tiene una versión gratis, para el usuario particular, pero ToneCheck apunta a generar dinero con la versión de uso empresarial, que es donde se entiende la verdadera utilidad de esta herramienta.
PRODUCTIVIDAD
Seminario on-line: gestión de proyectos con Microsoft Dynamics
(…) El seminario está dirigido a empresas orientadas a proyectos que deseen obtener una evaluación rápida de Microsoft Dynamics, sectores como: ingenierías, consultorías, empresas biotecnológicas…
Sumando conocimiento: Bussu y los sitios del MIT
Sumando conocimiento es la sección en la que tratamos de seleccionar servicios y páginas que nos ayuden a tener acceso a material con alta calidad educacional que podemos encontrar gratuitamente en Internet, información que cualquiera puede aprovechar y tener cerca si queremos sacarle provecho —de una manera distinta y productiva—- a Internet.
SALUD
Un nuevo enfoque para el tratamiento de la artritis reumatoide
Una nueva proteína diseñada para inhibir las moléculas que causan la inflamación no sólo reduce los síntomas de la artritis reumatoide en ratones, sino que también podría tener el potencial de revertir el curso de la enfermedad.
El consumo de ácidos grasos omega 3 reduce el riesgo de ceguera en mujeres
Comprueban que escuchar música muy alta daña el cerebro
Microrrobots inyectados en los ojos para tratar la degeneración macular
(…) La particularidad de estos microrrobots respecto a otros desarrollos similares que se habían efectuado anteriormente radica en que una vez inyectados en un ojo se pueden controlar haciendo uso del electromagnetismo, lo que elimina la necesidad de que lleven algún tipo de batería que asegure su propulsión y comunicación con el exterior…
AMENAZA
Entrevista con el vicedirector del "Spetsatom", el organismo soviético de lucha contra accidentes nucleares
Andreyev: "En la industria nuclear no hay organismos independientes"
(…) Que se prestan a ceder en seguridad a cambio de consideraciones egoístas. En la URSS por razones de prestigio y el coste del enriquecimiento del uranio, en Japón pura y simplemente por dinero. La localización de las centrales de Japón, junto al mar es la más barata. Los generadores de emergencia no los enterraron y, claro, se inundaron en seguida…
Irán, las centrales nucleares y la izquierda
(…) El experto iraní Kamran Behnia, afirma que el rendimiento de las centrales térmicas en Irán es aproximadamente del 37%, mientras que una central de gas de ciclo combinado, CGCC, (que utiliza como combustible gas natural y genera electricidad a partir de una turbina de gas y otra de vapor) alcanza un rendimiento del 55%. A su juicio, el CGCC es el sistema más eficiente y limpio para producir electricidad a partir de los citados combustibles.
El coste de la construcción de una central nuclear en Irán es de 1.500 millones de dólares, tres veces más que una moderna de gas de igual potencia…
¿Fallo la seguridad en Fukushima? Un desgraciado ejemplo de "cisne negro"
Este proverbio puede ser el eje principal de las reflexiones que quiero compartir en relación al incidente de Fukushima. Parto de la base de que la secuencia de hechos en la que me voy a basar para valorar lo sucedido tiene como fuente lo publicado por Foro Nuclear y sus explicaciones. En concreto por la secuencia que relata este apartado…
DE TODO
Guía básica de overclocking
Llevar a un dispositivo más allá de sus especificaciones originales es algo que como usuarios siempre queremos hacer tarde o temprano, aún si se trata de algo ajeno a la informática.
LM92: Termómetro I2C de 12Bits
LM92 es un sensor de temperatura digital que posee conectividad I2C, una exactitud de hasta 0,33°C en la medición y 12 bits de resolución. Esto representa variaciones de temperatura de tan solo 0,0625°C.
LED Control: PWM, Servo y LED Dimmer
En el artículo de hoy vamos a poder ver varias aplicaciones reunidas para lograr un objetivo común. Un control PWM trabajando a 1Khz, un LED Blinker, un alerta sonoro (BEEP), un servo con el que posicionaremos un potente conjunto de 36 LEDs blancos y un LED Dimmer para ajustar a voluntad la intensidad de iluminación alcanzada por esta fuente luminosa.
Las cáscaras de plátano son mejores para purificar el agua
(…) El estudio concluyó que las cáscaras de banana limpian el agua de metales como el plomo o el cobre de manera tan o más efectiva que las maneras actuales y que además el mismo tratamiento puede ser utilizado hasta 11 veces sin perder sus propiedades de limpieza…
