miércoles, 16 de abril de 2014

OWASP Latam Tour 2014





OWASP_Latam_Tour_Logo_2014.png

he OWASP Latam Tour objective is to raise awareness about application security in the Latin America region, so that people and organizations can make informed decisions about true application security risks. Everyone is free to participate in OWASP and all of our materials are available under a free and open software license.
We are proposing a chapters training driven model in which the courses are free for OWASP members and students, the contents are OWASP projects focused and the costs are supported by a mix of funding i.e. local chapter budget, external sponsorship, trainers sponsorship i.e. trip and/or accommodation paid by themselves and local chapter members’ sponsorship i.e. taking trainers in as guests.


Who Should Attend the Latam Tour?
  • Application Developers
  • Application Testers and Quality Assurance
  • Application Project Management and Staff
  • Chief Information Officers, Chief Information Security Officers, Chief Technology Officers, Deputies, Associates and Staff
  • Chief Financial Officers, Auditors, and Staff Responsible for IT Security Oversight and Compliance
  • Security Managers and Staff
  • Executives, Managers, and Staff Responsible for IT Security Governance
  • IT Professionals Interesting in Improving IT Security
  • Anyone interested in learning about or promoting Web Application Security

Registration is now open

  1. April, 22-23: Santiago, Chile
  2. April, 23-24: Quito, Ecuador
  3. April, 25: Guayaquil, Ecuador
  4. April, 25-26: Lima, Peru
  5. April, 29-30: Montevideo, Uruguay
  6. April, 28-29: Guatemala, Guatemala
  7. May, 6-7: Bogota, Colombia
  8. May, 8-9: Buenos Aires, Argentina

Reparar falla "Heartbleed" podría hacer más lento el funcionamiento de Internet

WASHINGTON, 15 Abr 2014 (AFP) - Reparar la falla "Heartbleed", descubierta la semana pasada, podrá perturbar y enlentecer el funcionamiento de Internet, informaron este martes expertos estadounidenses en seguridad informática.

La buena noticia es que ya actualizaron sus sistemas la mayoría de los grandes sitios web que eran vulnerables a la falla, que afecta ciertas versiones de OpenSSL, un programa libre usado para lograr conexiones seguras en Internet.   

El problema ahora es que los navegadores como Chrome, Firefox e Internet Explorer podrían verse recargados por la renovación necesaria de los certificados de seguridad, que podría generar el despliegue de mensajes de error y enlentecer el acceso a ciertos sitios, explicó a la AFP Johannes Ullrich, del SANS Internet Storm Center.

La solución de la falla pasa por la obtención de nuevos certificados de seguridad. Pero esto requiere que los navegadores actualicen su lista de claves o certificados no seguros, que desencadenan una alerta cuando un internauta pretende acceder a esos sitios.

Los navegadores habitualmente pueden actualizar algunas decenas de claves por día, pero a causa de "Heartbleed" la lista podría aumentar a varias decenas de miles. Si las verificaciones duran largo tiempo, los navegadores simplemente podrían declarar los sitios inválidos o desplegar mensajes de error.

Veo Zhang, especialista en seguridad informática en Trend Micro, explicó que los teléfonos inteligentes también son potencialmente vulnerables, porque se conectan a servidores afectados por la falla y porque esta también podría perjudicar a ciertas aplicaciones.

"Encontramos 273 (aplicaciones) en  Google   Play" que son vulnerables, escribió en su blog Zhang.

Fuente:nacion.com




martes, 15 de abril de 2014


What is OpenWISP?

OpenWISP is a software platform that can be used to implement a complete Wi-Fi service.
The OpenWISP software suite includes five main applications, derived from tools used in the Provinciawifi project that are currently powering the following Wi-Fi public and free connectivity projects.

 OpenWISP is a free and open source project.



OpenWISP Logo


HeatMapper - Free Wi-Fi Coverage and Mapping Tool

The World's Most Popular Wi-Fi Mapping Tool. For Free.

Map Wi-Fi coverage.
Discover and locate Wi-Fi radios.
Optimize your Wi-Fi.


Features

  • See Wi-Fi coverage on a map
  • Locate all access points
  • Detect security settings and finds open networks
  • Free of charge, one-minute install
  • Supports 802.11n, as well as a/b/g



lunes, 14 de abril de 2014

Heartbleed, ¿error accidental o ataque gubernamental?

heartbleed

Internet, un “canal inseguro” por definición, es desde el pasado 7 de abril un poco inseguro. Diseñada sin un concepto de seguridad “por defecto”, para soportar su uso en entornos críticos o entornos transaccionales, como los que sustentan el comercio electrónico, se desarrollaron protocolos criptográficos que permitiesen garantizar la confidencialidad de la información intercambiada. Dicho de otra forma, sin criptografía, no tendríamos mecanismos para garantizar la confidencialidad en Internet.

“Catastrófica” es la palabra correcta que define el golpe que ha supuesto para la ciberseguridad la publicación del grave error de software en las librerías de cifrado de OpenSSL, que ha comprometido seriamente desde finales de 2011 la seguridad de dos tercios de las páginas web existentes, y al que se ha bautizado como Heartbleed (corazón sangrante, en español). En la escala de gravedad del 1 al 10, podríamos valorarla como 11.
El fallo de seguridad permite a un atacante espiar las comunicaciones, robar los datos directamente de los servicios web y sus servidores. Aún desconociéndose a ciencia cierta si fue un fallo accidental de algún desarrollador o fue introducido voluntariamente, lo vivido en los últimos días ha puesto en la palestra la altísima importancia y dependencia de la criptografía como base sustantiva para garantizar la seguridad en las comunicaciones digitales.


La importancia de la criptografía y el control gubernamental

La evolución de la criptografía o el arte de ocultar la información; así como del criptoanálisis o la capacidad de acceder a la información cifrada sin conocer las claves correspondientes, ha estado íntimamente ligada con todas las formas de poder desde hace miles de años.

Más...


Fuente: seguridad.ticbeat.com 




 

Unas 1.300 aplicaciones de Android podrían ser vulnerables a Heartbleed, el gran fallo de Internet

Heartbleed, la vulnerabilidad que afecta a cientos de miles de servidores de Internetpodría hacer que unas 1.300 aplicaciones de Android estuvieran indefensas, según un análisis que ha hecho la empresa software de seguridad Trend Micro entre más de 390.000 aplicaciones de Google Play. Y es que las aplicaciones móviles -desde el navegador hasta las apps de banca o compra online-, como las páginas web, también alojan la información en un servidor. La empresa ha anunciado que ya ha informado a Google de esta incidencia.
Trend Micro incide en que, ante la posibilidad de comprar desde una aplicación móvil, a la hora de introducir los datos de la tarjeta de crédito y finalizarse la transacción, los datos bancarios se almacenan en un servidor y pueden permanecer allí por un periodo de tiempo indeterminado.
"Basta que los ciberdelincuentes aprovechen el error Heartbleed y se dirijan a ese servidor para extraer la información que almacena, entre la que se encuentra su número de tarjeta de crédito", explican.


Aplicaciones no bancarias

En cuanto a las apps que no ofrecen comprar, según la compañía de software de seguridad, tampoco están seguras, ya que si se conectan online a un servidor siguen siendo vulnerables, por ejemplo, al clicar "me gusta" en una red social o “seguir” a una persona para conseguir premios.
Lo más probable, señalan, es que la aplicación abra el sitio web por su cuenta en una ventana de navegador y el usuario tenga que iniciar la sesión en la red social desde allí. Aunque las redes sociales a las que accede el usuario no tienen por qué ser vulnerables al fallo Heartbleed, podrían serlo y existir riesgos.


Aplicaciones y dominios analizados

Entre las 1.300 aplicaciones analizadas por Trend Micro hay 15 relacionadas con bancos, 39 con servicios de pago online y 10 están relacionadas con tiendas online. Asimismo, la compañía ha encontrado varias apps populares que muchos usuarios utilizan a diario, como aplicaciones de mensajería instantánea, de salud y apps de configuración de teclado. Estas aplicaciones utilizan minería de datos de información sensible tanto personal como financiera, y podría estar expuesta a acciones de cibercriminales. 
Al intentar medir el impacto de la vulnerabilidad Heartbleed, la empresa ha escaneado los principales nombres de dominios (TLD, por Top Level Domain ) de ciertos países extraídos de entre más de un millón de dominios por Alexa. Tras separar los sitios que utilizan SSL, los investigadores los han clasificado como 'vulnerables' o 'seguros'. Alrededor de un 5% de los dominios están afectados por el fallo, con .kr y .jp a la cabeza, seguidos por .ru, .cn y .gov, según ha explicado el investigador de amenazas de Trend Micro, Maxim Goncharov.

¿Cómo protegerse de Heartbleed en el móvil?

El analista de amenazas móviles de Trend Micro, Veo Zhang, apunta que no se puede hacer gran cosa para proteger el móvil de Heartbleed. Le diríamos que cambiara su contraseña, pero eso no ayudará a los desarrolladores de aplicaciones ni tampoco a los proveedores de servicios web. No solucionaría totalmente el problema. Esto supone la actualización de la versión parcheada de OpenSSL, o al menos una de las versiones no vulnerables", ha apuntado. Aunque Trend Micro aconseja dejar de realizar compras desde la aplicación o cualquier transacción financiera durante un tiempo, al menos hasta que el desarrollador de la aplicación emita un parche que elimine la vulnerabilidad, también se puede preguntar a la entidad bancaria si está presente en su servidor la librería OpenSSL.
En este sentido, la empresa ha anunciado que continuará analizando y escaneando el listado de los principales dominios seleccionados durante unos días con el fin de detectar posibles alteraciones y aconsejan a los administradores de sitios web actualizar OpenSSL para proteger a sus usuarios.

Fuente:  rtve.es