de la red – 28/05/2011

SEGURIDAD

Nueva vulnerabilidad en Internet Explorer facilita la obtención de datos del usuario
Un experto en seguridad informática advirtió sobre una vulnerabilidad que afecta a todas las versiones de Internet Explorer, por medio de la cual un atacante puede obtener de manera fácil acceso a las “cookies” que almacena el navegador.

Drupal 7.1, 7.2, 6.21 y 6.22 festival de las actualizaciones
Han sido liberadas cuatro actualizaciones nuevas de las dos ramas de desarrollo de Drupal. Las versiones 7.1 y 6.21 solo solucionan los problemas de seguridad mientras que las versiones 7.2 y 6.22 incluyen además corrección de errores.

WordPress 3.1.3 actualización de seguridad
Incluye diferentes mejoras y soluciona problemas de seguridad que podemos ver en el changelog. Además se ha anunciado también el lanzamiento del segunda beta de WordPress 3.2, una versión de pruebas que no debemos poner en un sitio en producción.

Un estudiante recopila 35 millones de perfiles de Google para alertar sobre la facilidad de acceso
Matthijs R. Koot, estudiante de la Universidad de Amsterdam, ha llevado a cabo un curioso experimento con el fin de demostrar los peligros a los que está expuesto el usuario con la información que queda indexada en las páginas de Google.

Sandbox I. Sandboxie. Aislamiento de procesos mediante control de acceso a objetos en kernel
(…) Hablaré un poco del diseño de la sandbox, las técnicas que usa para “construir la celda”, y lo fiable o no que, bajo mi punto de vista, pueden llegar a ser este tipo de sandbox…

Ojo con Java 6u25; parece que está dando bastante problemas
Están comenzando a aparecer voces (1, 2) en Internet quejándose de que tras una actualización de Java 6 a la última versión publicada por Oracle (la update 25) algunas aplicaciones experimentan errores OutOfMemory que hacen que pete la máquina virtual.

Vulnerabilidad en el servidor de nombres Bind
(…) Cuando el servidor DNS Bind9 está configurado como "caching resolver", un usuario podría realizar una consulta a un dominio con un registro de recursos muy grande (RRSets)…

phpMyAdmin 3.4.1 soluciona dos fallos de seguridad
(…) El primero está identificado como CVE-2011-1940, y se trata de un fallo de Cross Site Scripting a través del nombre de una tabla. Al mostrar el nombre de la tabla en la aplicación, no se filtra correctamente el texto, lo que permite inyectar código HTML y/o JavaScript…

Vulnerabilidad de Cross-Site Scripting en IBM WebSphere Portal
Se ha anunciado una vulnerabilidad en IBM WebSphere Portal, que podría permitir a usuarios maliciosos construir ataques de cross-site scripting.

Consiguen romper CAPTCHAS de audio con un 89% de tasa de acierto
Investigadores de la Universidad de Stanford, Tulane y el INRIA han descubierto la manera de obtener un alto porcentaje de acierto al intentar averiguar el contenido de los CAPTCHA auditivos.

Novedades en Útiles Gratuitos: Luks y Passpack
    Luks: (…) LUKS (Linux Unified Key Setup) es una especificación para el cifrado de dispositivos de bloques en plataformas Linux…
    PassPack: Servicio de gestor de contraseñas online. Sirve para poder almacenar todas las contraseñas (en la versión gratuita hasta 100) que utilizamos, pudiendo acceder a ellas desde cualquier equipo que tenga acceso a Internet.

Usan lingüística para interceptar conversaciones de Skype
(…) Aplican técnicas de lingüistica computacional y síntesis del habla (codificadores de predicción lineal) para reconstruir partes de la conversación…

Analizando a las personas
(…) Por este motivo, como ya hemos dicho en alguna ocasión en este mismo blog, se hace cada vez más importante en nuestras organizaciones la monitorización de las personas, de sus actividades, de sus actitudes y, en definitiva, de todo aquello que pueda repercutir negativamente en nuestra seguridad, así como la aplicación de modelos clásicos de inteligencia para obtener, a partir de datos aislados, información vital para la seguridad corporativa…

Continuidad de Negocio: UNE 71599 / BS 25999
Como seguramente recuerden, el pasado 12 de mayo tuvo lugar una jornada en la que participamos junto con AENOR y Tecnofor, titulada El papel de los Sistemas de Gestión en las TIC.

ENS practico
Hoy sólo quiero poner en común con todos vosotros un par de documentos que seguro que os sirven de ayuda si queréis acercaros a la parte práctica de una implantación de las medidas de seguridad que indica el Esquema Nacional de Seguridad

Argus. Auditando el tráfico de red. Parte 6. Argus y Geolocalización con GeoIP
(…) En esta ocasión vamos a usar ralabel y ra para extraer y mostrar datos de Geolocalización mediante GeoIP…

Snort. Geolocalización GeoIP de alertas con Snort, snoge y Google Earth
(…) En esta ocasión vamos a generar un archivo .klm con información de geolocalización IP de las alertas de Snort para visualizar con Google Earth…

Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (2 de 4)
Los servicios de Citrix también pueden ser ofertados vía Web mediante la creación de portales que publican las aplicaciones o el escritorio completo.

Saltándose el filtro Anti XSS de Google Chrome 11
(…) Rodol y Manu dieron con cómo saltarse el filtro AntiXSS de Chrome aprovechando una funcionalidad muy divertida que trae ese navegador, la de completar el código fuente HTML mal escrito…

El archivo de localización "cells.plist" de IOS3
Pese a que el tema de la localización que se publicó hace unos meses en IOS4 ya está un poco trillado. He querido portar el script de juanito para las versiones anteriores y de las que no se ha hablado tanto, además creo que no hay ninguna aplicación que lo haga hasta la fecha.

crackpkcs12 (2): Fuerza bruta
Como comenté en la primera entrada sobre crackpkcs12, he añadido la posibilidad de realizar ataques de fuerza bruta al programa. En esta entrada explico las nuevas opciones…

Artículo sobre criptografía en New Scientist
Hay esta semana en New Scientist un artículo curioso sobre códigos criptográficos que no se han roto aún.

Disponible BlackHole Exploit kit gratis
(…) El kit en cuestión es relativamente nuevo, habiendo hecho su primera aparición en septiembre de 2010. Se utiliza de manera principal para realizar ataques drive-by durante descargas en Internet…

Tools: Mysql Password Auditor
MysqlPasswordAuditor is the FREE Mysql password recovery and auditing software.

Arachni v0.2.3 has been released [Open Source Web Application Security Scanner Framework]
(…) Main additions include the update of the HTML report to include false positive reporting functionality and an updated WebUI with support for multiple Dispatchers…

Software Integrity Risk Report (Forrester Consulting)
Forrester Consulting realizó un sondeo bajo el patrocinio de la firma de seguridad de software Coverity para conocer lass prácticas en relación con la administración de la calidad y seguridad del código. Este sondeo expone que tal gestión deja bastante que desear.

Microsoft Security Intelligence Report versión 10 (Mayo 2011)
Blog corporativo de Microsoft Ibérica:En los últimos días, desde Microsoft hemos dado a conocer la décima edición de Microsoft Security Intelligence Report  el informe semestral que analiza las últimas tendencias en seguridad de la información de forma exhaustiva.

SABER

Chomsky tenía razón
(…) Estaba claro que el cerebro de los aprendices sabía que el orden de las palabras en verblog era extremadamente raro, justo como Chomsky había predicho hace medio siglo…

… Y VERGÜENZAS

e-G8: La vieja europa quiere la regulación de Internet
(…) En su apertura, Sarkozy pidió una Web más moral y civilizada, y un mínimo de control en Internet, con una insistencia especial en el asunto de la defensa de la propiedad intelectual…

DESARROLLO / BASES DE DATOS / SYSADMIN

Jabaco: compilar código fuente Visual Basic a Java
(…) Su utilidad más interesante es la posibilidad de importar en este IDE proyectos de VB6 ya existentes y convertirlos en un ejecutable Java multiplataforma…

Glimpse: cómo crear plugins, paso a paso
GlimpseYa estuvimos viendo hace unos días la herramienta Glimpse, un interesantísimo complemento que nos puede ayudar bastante a depurar nuestras aplicaciones, ofreciéndonos una visión muy completa de lo que ocurre en el servidor desde que recibe una petición hasta que la responde.

Enlaces interesantes 41

Un equipo ágil necesita 3 sprints para aprender a estimar, pero es lo menos importante
Las estimaciones de esfuerzo y velocidad no suelen ser fiables en los equipos novatos de scrum hasta el tercer sprint, pero de todas formas la precisión al estimar es la habilidad menos relevante de las analizadas para un equipo ágil.

La mayoría de los errores de programación en Linux y PostgreSQL se han cometido de madrugada
(…) El estudio también ha demostrado que los programadores que desarrollan código todos los días cometen menos errores que los que programan de forma más esporádica…

Descubrimientos del 27 mayo 2011

Descubrimientos del 26 mayo 2011

Descubrimientos desde 24 mayo 2011 hasta 25 mayo 2011

Descubrimientos desde 21 mayo 2011 hasta 23 mayo 2011

COMUNICACIONES

Tor en Android con Orbot, proxy incluido y sin root
Ya vimos como hacerlo en iPhone, y ahora es el turno de Android. Hay muchos, muchos artículos en Internet que dan la noticia "Orbot, por fin Tor en Android", pero no he encontrado ninguno en el que se recoja de forma convincente la configuración necesaria.

DE TODO

Hackerspaces: refugios de creatividad y conocimiento
(…) Los hackerspaces dan nacimiento a muchas ideas y son semilleros de cientos de invenciones sólo por el gusto de hacerlas (o por los lulz). Se organizan talleres, charlas y mesas de trabajo, así como algunas reuniones más animadas como jam sessions…

Secret Disk, Crear un disco virtual oculto
Secret Disk es una herramienta que nos ayudara a crear en nuestro sistema una unidad de disco oculta.

Free Vimeo Downloader, Descargar videos de Vimeo
(…) Ademas de poder descargar videos también podremos convertirlos a muchos formatos en el momento, los formatos de videos que admiten son los populares AVI o MP4 aunque también se puede convertir para los dispositivos iPhone, iPad o PSP…

INVESTIGACIÓN

Puertas lógicas implementadas mediante espintrónica
(…) Khajetoorians et al. publican en Science un método para implementar operaciones lógicas utilizando el espín de los electrones en átomos individuales sin que haya que mover dichos electrones entre átomos vecinos, basta aplicar un campo magnético externo controlable…

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s


A %d blogueros les gusta esto: