de la red – 1/05/2011

SEGURIDAD

Actualizaciones de Mozilla Firefox y Thunderbird solucionan vulnerabilidades críticas
Se encuentran disponibles para su descarga e instalación la versión 4.0.1 y la versión 3.6.17 de Mozilla Firefox, que solventan varios problemas críticos de seguridad de versiones anteriores de este navegador web.

Más de 60.000 infectados en Facebook por querer saber quién visitó su perfil
(…) Lo vamos a decir más claro, por si alguno todavía no lo pilla: No es posible saber quien visita tu perfil de Facebook…

Ataques de phishing a través de Xbox Live
(…) Según ha explicado la compañía, detectaron un problema de seguridad en Xbox Live que ha sido aprovechado para distribuir mensajes maliciosos con el fin de robar información personal de los usuarios…

Novedades en Útiles Gratuitos: Bacula y Microsoft Safety Scanner
    Bacula
    Se trata de una suite de programas basados en una arquitectura cliente/servidor que permiten al administrador de sistemas gestionar copias de seguridad a través de la red.
    Microsoft Safety Scanner
    Es un software antimalware portable autocontenido desde el punto de vista que al descargarlo, ya incluye la base de datos de firmas del malware, no necesita conectarse a Internet para descargarse la actualización.

Fallo de seguridad en Webmin
Se ha detectado un fallo de seguridad que permitiría una escalada de privilegios en el popular sistema de administración a través del navegador Webmin

Práctico: Cómo funciona el almacenamiento de datos de localización del iPhone
(…) Existen, como hemos mencionado, herramientas que reconstruyen itinerarios con esta información (iPhoneTracker), pero en esta entrada he querido reflejar cómo se realiza esto a bajo nivel. Por ejemplo, como curiosidad (resulta incluso adictivo) he podido reconstruir viajes personales con mucha precisión (duración, momento exacto, etc) que apenas recordaba.

Monitorizando nuestra reputación
(…) Entendiendo a nuestros nombres de dominios y direcciones IP publicas cómo lo que son, activos al servicio de nuestro negocio, es importante llevar a cabo una constante monitorización de la información con la cual éstos están relacionados. La presencia de nuestros nombres de dominios y direcciones IP publicas en una blacklist pública, malograría muchísimo nuestra imagen corporativa, y esto ya sabemos que finalmente puede materializarse en una pérdida de la oportunidad de negocio, y por ende de potenciales beneficios…

FortiClient, una desconocida pero eficiente solución antivirus
FortiClient es una solución antivirus no tan conocida con un conjunto de herramientas integradas para proteger los equipos que ejecutan Windows. Incluye protección contra malware y virus, además de firewall para la protección de intrusiones y filtrado de contenido web. La suite ha sido optimizada tanto para uso doméstico como para proteger los equipos en redes abiertas en lugares públicos.

Ejecución de código en Qemu
Existe un fallo de validación en las funciones ‘virtio_blk_handle_write’ y ‘virtio_blk_handle_read’ del driver virtio-blk de Quemu que podría ser aprovechado por un atacante local en la máquina huésped (virtual) para acceder a la maquina host (física) causando una denegación de servicio y, posiblemente, ejecución de código.

Debilidad en el cifrado de IBM WebSphere
Se ha anunciado una vulnerabilidad en IBM WebSphere Application Server (versiones 5.0.x, 5.1.x, 6.0.x, 6.1.x y 7.0.x) y WebSphere Commerce (versiones 6.0.x y 7.0.x), que podría permitir a un atacante conseguir acceso a información sensible.

Grupo de parches de abril para múltiples productos Oracle
Oracle ha publicado un conjunto de parches para diversos productos de la casa que solventan un total de 73 nuevas vulnerabilidades.

Desbordamiento de enteros en PHP 5.x
Alexander Gavrun ha publicado en su blog personal un fallo de seguridad que ha descubierto en la función ‘phar_parse_tarfile’ de PHP 5.

Vulnerabilidad en eyeOS 1.x
eyeOS es, para el que no lo conozca, un escritorio virtual accesible desde navegadores web basado en la nube en el cual podemos realizar infinidad de tareas, entre las que se encuentran almacenamiento de ficheros, ejecución de aplicaciones, gestión de usuarios y permisos y un largo etcétera. Al ser software libre podemos descargarlo para instalar nuestro propio servidor independiente.

Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (1 de 4)
(…) Las dos principales soluciones empleadas para este tipo de servicios son las basadas en los Terminal Services de Microsoft y Citrix XenAPP o Metaframe. Cada una de ellas se basa en protocolos propietarios que ofrecen características, en algunos casos similares y en otros disitintos, a la hora de publicar algún tipo de aplicación o escritorio…

La FOCA antes y después de un ataque
Aprovechando que han publicado una referencia en H-Online sobre cómo se puede utilizar FOCA para preparar un ataque como el HBGary o RSA, voy a aprovechar para enseñaros algunas capturas que un informante anónimo nos envió.

Creepy data
(…) La utilidad, que tiene ya unos meses, es de esas que, al estilo de Firesheep o iPhoneTracker vienen a simplificar, y poner en una herramienta de botón gordo, algo que ya se sabía hace bastante tiempo: que es posible seguir los pasos de una persona que tenga una exposición social descuidada en twitter…

Shodan y agentes SNMP: Administrando el mundo
(…) Con el objeto de explicar el uso en detalle y avanzado de Shodan, ha optado por el clásico ejemplo del descubrimiento de dispositivos y equipos con agentes SNMP públicos. Así que nada, todo comienza con una sencilla query a Shodan por el puerto 161…

Centro IDS / IPS con Prelude SIEM. Parte 7. Instalación y puesta en marcha de prelude-correlator
En esta ocasión vamos a tratar la correlación de eventos, qué es y la instalación de prelude-correlator, registro, puesta en marcha y algunos ejemplos.

Sniffer para windows RawCap
(…) Solo soporta dos argumentos, la dirección IP del interfaz y el fichero destino. Una de las características más importantes es que permite sniffar loopback, conexiones PPP o Wireless…

Binarios para desayunar
(…) Llevamos tiempo prometiendo que liberaríamos algunas de las pruebas para aquellos que en su momento no pudieron participar y hoy ha llegado ese día…

Android+Skype – All your data are belong to us
(…) El objetivo de esta entrada es analizar cómo está desarrollado el exploit para vulnerar la privacidad de los usuarios y hacer un pequeño repaso al tema de análisis forenses a dispositivos android para dejar entrever algunas de sus deficiencias…

Romper contraseñas WPA con Beini
Un grupo de distros de Linux se han especializado en lo que se denomina “auditoría de redes“, éstas en realidad se utilizan muy a menudo para romper contraseñas de Wifi y obtener acceso gratuito, generalmente no autorizado.

Browser Cleaner, borrando nuestro rastro en ordenadores ajenos
El jueves os proponía cinco medidas de seguridad a aplicar durante el pasado puente —o cuando tengamos un rato, por supuesto— y entre ellas mencionaba algo muy importante cuando nos encontramos trabajando en un ordenador que no es el nuestro
borrar nuestro rastro.

El diodo de red
(…) El diodo de red (también conocida como pasarela unidireccional) es un dispositivo de red que permite que los datos viajen exclusivamente en una sola dirección, se utiliza para garantizar la seguridad de que la información puede entrar en un determinado entorno pero es imposible que pueda salir del mismo…

DataBase o DataBattlefield
(…) Sin embargo a la hora de tratarlas desde el punto de vista de la ciber-guerra pocos autores las sitúan claramente en el mapa de operaciones como un elemento clave que requiere de técnicas y tácticas diferentes a las del resto de "unidades" enemigas..

New Password Method Encrypts Like No Other
(…) Now how did they do that? The researchers combined what’s called "nonlinear dynamics" and chaos to create encrypted p-CAPTCHAs (the ‘p’ stands for password). Sounds complex on the surface, doesn’t it? What’s even more fascinating is that all you would have to remember is part of the password, and a Java applet will remember the rest for you…

Enlaces de la SECmana – 68
    * Recordamos que todavía puedes ayudarnos con el nuevo diseño de SecurityByDefault ¡hay premios para los ganadores!
    * Artículo de Rubén Santamarta en Reversemode sobre el posible HOAX del hack a Florida Power & Light que apareció esta semana.
    * Cambios en la política de Microsoft sobre la publicación de vulnerabilidades de terceros
    * Una de las páginas de terceros que mostraba la web del Santader, con Javascripts "sospechosos"
    * La noticia de la secmana sin duda, la polémica con la información que deja el iPhone sobre la localización del usuario
    * Nueva versión de la herramienta Windows Credentials Editor 1.2 de Hernan Ochoa.
    * Esta SECmana han tenido lugar las BSides de Londres, y al parecer, han sido todo un éxito. Algunos resúmenes de charlas [1] [2] [3] [4]
    * En CiberPais, atacada la web que reúne firmas para liberar al disidente chino Ai Weiwei mediante una denegación de servicio.
    * Se pierde un pendrive con más de 4.500 informes de menores con información sensible de la Middlesex London Health Unit en una conferencia.

Enlaces de la SECmana – 69
    * Actualizaciones de seguridad para Mozilla Firefox, Mozilla Thunderbird y SeaMonkey.
    * Número 12 de la revista electrónica Hack This Zine, Tools from Beyond the Electronic Frontier
    * El enlace de humor geek de la SECmana
Escribe como un hacker en las películas con Hacker Typer
    * Chema Alonso en El Lado Del Mal analiza la herramienta Creepy, para la obtención de todos los datos de localización…
    * En pastebin aparecen más de 15000 e-mails y contraseñas de usuarios del servicio social buddie.me
    * Carta de Sony a los usuarios afectados (TODOS) por la intrusión en su servicio PlayStation Network y Qriocity
    * Artículo de Martín Obiols
"Detecting document leaks using whitespace honeytokens"
    * Agenda y trainings de la AppSec EU de OWASP que tendrá lugar en Irlanda, del 7 al 10 de Junio.
    * Que os empiece a sonar el siguiente nombre: virus Stars. ¿Es hora de dar la bienvenida al nuevo Stuxnet?
    * Publicada la Ley de protección de Infraestructuras críticas (España)
    * Archivos/Mirrors con los retos del Plaid CTF 2011, organizado por el grupo PPP…
          o Ficheros en la página stalkr.net
          o Repositorio en Shell-Storm.org

Comprehensive Framework for Secure Virtualized Data Centers – Business white paper (HP)

Free Netsparker Community Edition – Web Application Security Scanner
It’s a free edition of our False Positive free scanner Netsparker for the community so you can start securing your website now. It’s user friendly, fast, smart and as always False Positive Free.

State of Software Security Report Volume 3 (VERACODE)
Check out our semi-annual report representing the anonymized data from billions of lines of code submitted for analysis by large enterprises, commercial software providers, open source projects, and software outsourcers in Veracode’s cloud-based application risk management services platform. 

Report: PCI DSS Compliance Trends Study, 2011
Imperva and The Ponemon Institute have completed a second study on the impact of the Payment Card Industry’s (PCI) Data Security Standards (DSS).

2011 Blue Coat Web Secuity Report
Blue Coat Systems, Inc. (Nasdaq: BCSI), a leading provider of Web security and WAN optimization solutions, today unveiled the 2011 Blue Coat Web Security Report that examines Web behavior and the malware to which users are most frequently exposed.

… Y VERGÜENZAS

Policía holandesa compró datos de TomTom para elegir dónde controlar velocidad
(…) Pero el GPS no sólo nos da información, sino que también la recolecta (para poder predecir el tráfico, por ejemplo), y empresas de navegación como TomTom, venden esos datos (anónimos) a organismos como la policía, por ejemplo, como sucedió ahora en Holanda…

India prepara software contra las P2P: hack a las webcams para fotografiar a los “piratas”
El “no va más” del sinsentido y un atropello a la privacidad difícil de catalogar. India, en su cruzada contra la mal llamada piratería, lanzará próximamente un software que detecta las palabras claves de búsqueda de torrents en los buscadores como Google, lo que activaría las cámaras webs de los usuarios (de tenerlas) y les sacaría una foto con el fin de “desenmascararlos”.

Homeland Security: ACTA es una amenaza
(…) Además Homeland Security, advirtió que ACTA no debería de llevar a sus socios a dedicar recursos a la protección de propiedad intelectual en vez de los esfuerzos contra el terrorismo…

DESARROLLO / BASES DE DATOS / SYSADMIN

Tutorial de C/C++, programar paso a paso, para Linux, Windows y Mac
ProgramaciónLinuxParty se complace en compartir con vosotros este extraordinario Tutorial de C/C++ que hemos tardado más de un año en terminar, este tutorial nació a partir de una sugerencia realizada en una encuesta, y este es el fruto de un año largo de trabajo.

Indexando la web con Apache Nutch (I)
(…) Nutch es una solución de web crawling e indexación open source hecha en Java. Gracias a su arquitectura basada en plugins, nos permite escoger qué funcionalidades queremos incorporar al proceso y cuales no…

Glassfishhosting.net, hosting para aplicaciones Java EE basadas en Glassfish
(…) Ahora mismo sólo soportan dos bases de datos: MySQL y Apache Derby. La compañía ofrece cuatro planes de hosting diferentes, comenzando desde 25 $ al mes…

Efficient Java Matrix Library (EJML): librería para trabajar con matrices
Efficient Java Matrix Library (EJML) es una librería 100% Java para trabajar con matrices. Soporta las operaciones básicas de suma, multiplicación, trasposición… además de solución de sistemas de ecuaciones, descomposiciones (LU, QR, Cholesky, SVD, Eigenvalue entre otras), generación de matrices aleatorias, y otras muchas operaciones.

Balance de carga con HAProxy: Instalación
Siguiendo con la serie de artículos sobre el Balance de carga con HAProxy y Sesiones en el Balance de carga con HAProxy en este tercer capítulo veremos la instalación del sistema base, configuraciones y el problema.

Balance de carga con HAProxy: Configuración
Siguiendo con la serie de artículos sobre
el Balance de carga con HAProxy, Sesiones en el Balance de carga con HAProxy, Balance de carga con HAProxy: Instalación en este cuarto capítulo veremos cómo realizar la configuración.

Haciendo un cliente de chat XMPP (II)
Siguiendo con el post anterior, dos días de trabajo después, creo que he conseguido solucionar todos los problemas que tenía. Debo una o más entradas en la Chuwiki contando todos los detalles…

Make Web Not War: materiales y vídeos
(…) A lo que iba, unos días atrás se han publicado los materiales y los vídeos de todas las ponencias del evento de Madrid, la última ciudad de la gira, y a los que podéis acceder desde los siguientes enlaces…

Enlaces interesantes 37

¿Testeo o especificaciones?
¿Cómo se determina el comportamiento de un sistema? ¿Testeo o leyes, estándares, especificaciones…? Como siempre, es mi postura, las dos.

Descubrimientos del 30 abril 2011

Descubrimientos del 29 abril 2011

Descubrimientos del 28 abril 2011

Descubrimientos del 27 abril 2011

Descubrimientos del 26 abril 2011

LINUX

Lo mejor del blogroll del 17/04 al 23/04

COMUNICACIONES

Hacktivistas publica y difunde masivamente una contra-guía para el buen uso de Internet entre los jóvenes
(…) Esta guía ha sido pensada para que los jóvenes crezcan aprendiendo sin miedo, desarrollando su espíritu crítico y sus intereses; para que compartan y aprendan los unos de los otros; para que sus habilidades sean comprendidas y apreciadas, no criminalizadas; para que sepan que ayudar a la difusión de la cultura compartiendo es fundamental y para que sepan que los artistas deben recibir un justo sueldo por las industrias culturales que utilizan su talento; para que conozcan la tecnología y sepan utilizarla a su criterio y en su beneficio…

Producción y edición de vídeo
El mundo de la vídeo producción es amplio. Los comunicadores que se han dedicado por años a la producción de productos televisivos o de cine se mantienen actualizados sobre las tendencias del medio. La producción y edición al igual que los otros formatos comunicativos adquiere algunos cambios al publicarse en la web. Revisemos algunos factores que pueden ayudarnos a comprender las tendencias en la video producción para al web.

Dans – Evita la manipulación de la industria cultural: distribuye esta guía
Hacktivistas publica una guía sobre “Música, cine y televisión legal, libre y gratuita en Internet”, en reacción al burdo intento de lavado de cerebros y diseminación de mentiras interesadas protagonizado por las sociedades de gestión de derechos de autor.

PRODUCTIVIDAD

22 herramientas gratuitas para visualizacion de datos
Gran recopilación realizada por Computerworld, sobre herramientas gratuitas para visualizacion de datos.

Decálogo para el presentador novel
“Coaching para jóvenes tiene hoy un invitado de honor, se trata de Gonzalo Álvarez Marañón. Quiero aprovechar para recomendaros su blog, El Arte de Presentar, donde nos enseña cómo conseguir que nuestras presentaciones sean tan informativas como la Enciclopedia Británica y tan entretenidas como el mejor cine de Hollywood.”

SALUD

El cerebro cubre la falta de sueño con ‘siestas neuronales’
Algunas áreas se quedan ‘apagadas’ aunque el individuo esté despierto, afectando al rendimiento

Por qué un medicamento caro cura más que otro barato
(…) Un estudio posterior realizado por el mismo equipo con medicamentos reales contra el resfriado, llegó a conclusiones parecidas: los enfermos que habían adquirido medicamentos rebajados aseguraron haber tardado más en curarse que aquellos que los compraron a su precio habitual…

AMENAZAS

La hipocresía y la superficialidad de los ecologistas caviar distrae de los verdaderos objetivos del ecologismo
El estilo de vida de algunos sedicentes ecologistas sólo contribuye a perpetuar el consumismo que contribuyó al calentamiento global.

Malaui: Un país africano dependiente de Monsanto
(…) La llegada de Monsanto a Malaui no fue por casualidad, sino que fue efecto de duras concesiones por parte del gobierno. Después de la terrible sequía que afectó al país en 2005, Monsanto Founds (una organización de caridad fundada por la empresa) ofreció 700 toneladas de semillas híbridas a los pequeños agricultores. Como el año pasado a Haití después del terremoto, la compañía americana cumplió el papel de salvador…

Apicultores alemanes protestaran contra los plaguicidas de Bayer, responsables de las muertes de abejas en todo el mundo
Apicultores de toda Alemania han anunciado que van a protestar contra los plaguicidas neonicotinoides con motivo de la asamblea de accionistas BAYER el viernes. Imidacloprid y clotianidina, fabricado por Bayer, se encuentran entre los principales factores responsables de las muertes de abejas en todo el mundo. A pesar de estos pesticidas ya prohibidos en varios países, la compañía se niega a detener su producción. La seguridad alimentaria está en peligro a causa de descenso de la polinización.

DE TODO

Seguidor solar eléctrico
En la primavera de 2003 construimos un seguidor solar con tan sólo dos pequeños paneles solares ETM, de 380mW y 2 voltios, un motor eléctrico RF 500 TB, fabricado por Mabuchi y el correspondiente reductor de engranajes. Funciona sin ningún elemento electrónico.

Necesitaré espacio para recuperarme de este crimen lingüístico
(…) Otro artículo en el mismo periódico se refería a una "trilogía que explora el espacio interno de una sensibilidad post religiosa", lo cual me noqueó. ¿Cuál era el propósito?…

Aerogeneradores no tan malos
Un estudio sugiere que la instalación de aerogeneradores en el mar puede ser incluso beneficioso para la vida submarina.

Trasteando con una alarma de Securitas
(…) El circuito era una chapuza y era inestable como él solo, pero era capaz de activar la maldita alarma con un solo bit del puerto paralelo…

Localiza en Internet las fotos de tu cámara o móvil robados
La información EXIF —Exchangeable Image File Format— es una serie de datos, almacenados en archivos de imagen, y normalmente escritos por el propio firmware del dispositivo con el que se toman las fotografías. Lanzado en 1995, lleva ya más de una década usándose de manera regular en la mayoría de cámaras fotográficas y dispositivos móviles dotados de estas.

Medidor de ESR (ESR Meter)
Dentro de los parámetros fundamentales que debemos considerar al momento de ensayar o seleccionar un capacitor electrolítico es el valor de su Resistencia Serie Equivalente (ESR).

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s


A %d blogueros les gusta esto: