Security Distros

. BackTrack is a distribution based off of what used to be WHAX and Auditor . It is a full size distro built off of SLAX. BackTrack Main Discuss Download Status: Active

. Damn Vulnerable Linux ( DVL ) is a Linux-based tool for IT-Security. It was initiated for training tasks during university lessons by the IITAC (International Institute for Training, Assessment, and Certification) and S²e - Secure Software Engineering in cooperation with the French Reverse Engineering Team. Web:DamnVulnerableLinux.org Damn Vulnerable Linux ( DVL ) Main Discuss Download Status: Active

. DEFT (acronym of Digital Evidence & Forensic Toolkit) is a customized distribution of the Kubuntu live Linux CD. It is a very easy to use system that includes an excellent hardware detection and the best open source applications dedicated to incident response and computer forensics. Web:Deft.yourside. it DEFT Main Discuss Download Status: Active

. FCCU: The Gnu/Linux boot CD-Rom is made by the Belgian Federal Computer Crime Unit (FCCU)It's based on the KNOPPIX Live CD version 4.02 by Klaus Knopper.The main purpose of the CD : help the forensic analyze of computersAll scripts made by the FCCU begin with the "fccu" prefix. Web:lnx4n6.be FCCU Main Download Status: Active

. Frenzy is a "portable system administrator toolkit," LiveCD based on FreeBSD. It generally contains software for hardware tests, file system check, security check and network setup and analysis. Size of ISO-image is 200 MBytes (3" CD)"- Web: frenzy.org.ua/eng/ Frenzy Main Discuss Download Status: Active

. grml is a bootable CD (Live-CD) based on Knoppix and Debian. grml includes a collection of GNU/Linux software especially for users of texttools and system administrators. grml provides automatic hardware detection. You can use grml for example as a rescue system, for analyzing systems/networks or as a working environment. Web: grml.org/ grml Main Discuss Download Status: Active

. Hakin9 a bootable distribution containing all the tools and materials needed for practising methods and techniques described in the hackin9 magazine. Web: www.hakin9.org/en/index.php?page=hakin9_live - Hakin9 Main Discuss Download Status: Active

. Helix is a customized distribution of the Knoppix Live Linux CD. Helix is more than just a bootable live CD. You can still boot into a customized Linux environment that includes customized linux kernels, excellent hardware detection and many applications dedicated to Incident Response and Forensics. Web: www.e-fense.com/helix/ Discuss Download Status: Active

. HeX is a live security distribution that focuses on security monitoring and forensics. HeX Main Discuss Download Status: Active

. KCPentrix Project was founded in May 2005 , KCPentrix 1.0 was liveCD designed to be a standalone Penetration testing toolkit for pentesters, security analysts and System administrators. Web:KCPentrix.com KCPentrix Main Discuss Download Status: Active

. Knoppix-NSM is dedicated to providing a framework for individuals wanting to learn about Network Security Monitoring or who want to qucikly and reliably deploy NSM in their network. Our goal is to provide an introduction to NSM and a distribution that can be used as a launch pad to bigger things. Web: www.securixlive.com Knoppix-NSM Main Discuss Download Status: Active

. Network Security Toolkit ( NST ): This bootable ISO live CD is based on Fedora. The toolkit was designed to provide easy access to best-of-breed Open Source Network Security Applications and should run on most x86 platforms. Web: networksecuritytoolkit.org Network Security Toolkit ( NST ) Main Discuss Download Status: Active

. nUbuntu: The main goal of nUbuntu is to create a distribution which is derived from the Ubuntu distribution, and add packages related to security testing, and remove unneeded packages, such as Gnome, Openoffice.org, and Evolution. Web:nubuntu.org nUbuntu Main Discuss Download Status: Active

. Ophcrack LiveCD contains a small linux system (SLAX6), ophcrack for linux and rainbow tables for alphanumerical passwords.The liveCD cracks passwords automatically, no installation necessary, no admin password necessary (as long as you can boot from CD). Windows Vista SAM can also be cracked. Web:Ophcrack.sourceforge.net Ophcrack Main Discuss Download Status: Active

. OWASP Labrat: The OWASP Live CD (LabRat) is a bootable CD akin to knoppix but dedicated to Application Security. It shall serve as a vehicle and distrubition medium for OWASP tools and guides. Web:OWASP.org OWASP Labrat Main Discuss Download Status: Active

. Protech is a specially designed Linux distribution for security technicians and programmers. It's imcomparable usability and stability makes this a unique product. Web:Techm4sters Protech Main Discuss Download Status: Active

. Stagos FSE aims to be a computer forensic framework based on FLOSS operating system. Builds from Ubuntu, it has many feature to do forensics stuff. It supports read variant filesystem, include ntfs. It also support read some forensic imaging file from another forensic software such like ENCASE. Web:linuxforums.org Stagos FSE Main Download Status: Active

. Arudius is a Linux live CD with tools that try to address the network security aspect (penetration testing and vulnerability analysis) of information assurance. It is based on Slackware (Zenwalk) for i386 systems and targets the information security audience. Arudius Main Discuss Download Status: Inactive

. Auditor is a Live-System based on KNOPPIX. With no installation whatsoever, the analysis platform is started directly from the CD-Rom and is fully accessible within minutes. Independent of the hardware in use, the Auditor security collection offers a standardised working environment, so that the build-up of know-how and remote support is made easier. Web:www.remote-exploit.org/index.php Auditor Main Discuss Download Status: Inactive

. FIRE is a portable bootable cdrom based distribution with the goal of providing an immediate environment to perform forensic analysis, incident response, data recovery, virus scanning and vulnerability assessment. Web:fire.dmzs.com FIRE Main Discuss Download Status: Inactive

. INSERT is a complete, bootable linux system. It comes with a graphical user interface running the fluxbox window manager while still being sufficiently small to fit on a credit card-sized CD-ROM. Web:www.inside-security.de/insert_en.html - INSERT Main Discuss Download Status: Inactive

. Knoppix-STD is a Linux-based Security Tool. Actually, it is a collection of hundreds if not thousands of open source security tools. It's a Live Linux Distro, which means it runs from a bootable CD in memory without changing the native operating system of the host computer. Web:www.knoppix-std.org/- Knoppix-STD Main Discuss Download Status: Inactive

. Local Area Security ( LAS ) Main Discuss Download Status: Inactive

. NavynOS is a gnu/linux distribution based on Gentoo. Gentoo isn't a typical distribution like Debian or Slackware, it doesn't even have an installer, it is similar to making your own distribution. The main part of Gentoo is portage, a set of scripts for installing and removing programs. Web:navynos.linux.pl/ NavynOS Main Discuss Download Status: Inactive

. Operator is a complete Linux (Debian) distribution that runs from a single bootable CD and run s entirely in RAM. Web:www.ussysadmin.com/operator/ Operator Main Discuss Download Status: Inactive

. Pentoo is a penetration testing LiveCD distribution based on Gentoo. It features a lot of tools for auditing and testing a network, from scanning and discovering to exploiting vulnerabilities. Web:www.pentoo.ch/-PENTOO-.html - Pentoo Main Discuss Download Status: Inactive

. PHLAK is a modular live security Linux distribution (a.k.a LiveCD). PHLAK comes with two light gui's (fluxbox and XFCE4), many security tools, and a spiral notebook full of security documentation. PHLAK is a derivative of Morphix, created by Alex de Landgraaf. Web:www.phlak.org/modules/news/- PHLAK Main Discuss Download Status: Inactive

. PLAC is a business card sized bootable cdrom running linux. It has network auditing, disk recovery, and forensic analysis tools. ISO will be avialable and scripts to roll you own cd." web:sourceforge.net/projects/plac/ PLAC Main Discuss Download Status: Inactive

. Plan-B is a bootable Linux environment without the need for a hard drive, it runs entirely in ram or from the cd, based on a basic, stripped installation of Red Hat Linux and the fundamental workings of the SuperRescue CD. web:www.projectplanb.org/ Plan-B Main Discuss Download Status: Inactive

. SENTINIX is a GNU/Linux distribution designed for monitoring, intrusion detection, vulnerability assessment, statistics/graphing and anti-spam. It's completely free; free to use, free to modify and free to distribute. SENTINIX includes the following software, installed and pre-configured; Nagios, Nagat, Snort, SnortCenter, ACID, Cacti, RRDTool, Nessus, Postfix, MailScanner, SpamAssassin, openMosix, MySQL, Apache, PHP, Perl, Python and lots more. Web:sentinix.tigerteam.se/ SENTINIX Main Discuss Download Status: Inactive

. SNARL is a bootable forensics ISO based on FreeBSD and using @stake's autopsy and task as well as scmoo's list of known good checksums. Web:snarl.eecue.com SNARL Main Download Status: Inactive

. Talos is a security LiveCD, based on SLAX 5.1.0 with over 90 security tools preinstalled. It runs directly from the CD without the need to install on the harddisk. Talos is currently on BETA version 0.1 and its available to download. Web:ISafe.gr Talos Main Discuss Download Status: Inactive

. ThePacketMaster - Mission-Specific Live-CD Linux Distributions Web:thepacketmaster.com ThePacketMaster Main Discuss Download Status: Inactive

. Trinux: Minimal ramdisk linux distribution meant for network monitoring. Trinux Main Discuss Download Status: Inactive

. WarLinux A linux distribution for WarDrivers. WarLinux Main Discuss Download Status: Inactive

. WHAX Updated project from Whoppix. Currently discontinued and merged with BackTrack. WHAX Main Discuss Download Status: Inactive

. Whoppix is a stand-alone penetration-testing live CD based on KNOPPIX. With the latest tools and exploits, it is a must for every penetration tester and security auditor. Whoppix includes several exploit archives, such as Securityfocus, Packetstorm, SecurityForest and Milw0rm, as well as a wide variety of updated security tools. Whoppix Main Discuss Download Status: Inactive

Fuente: Security Distro .com

Otras Distros de Seguridad:

. BOSS Live CD - BSI OSS Security Suite, LiveCD. Boss Main y Download

. TPM Security Server: I've just completed the final touches on version 1.2.1. This version incorporates all the packages I had been working on in January until the problem with the Linux kernel mremap function came around and I decided to put out a fix first. TPM Security Server Main and Download

. ELE is a bootable Live CD Linux distribution with focus on privacy related software. It is based on Damn Small Linux and aims to be (obviously) as small as possible. The first release was 65M, the current one 61M. ELE Main and Download

. Anonym.OS is an OpenBSD 3.8 Live CD with strong tools for anonymizing and encrypting connections. Standard network applications are provided and configured to take advantage of the tor onion routing network. Anonym.OS Main and Download

. Samurai - Web Testing Framework Live CD

Tools: NetworkMiner - Análisis de red con sniffer pasivo

Utilizando la herramienta NetworkMiner es un sniffer pasivo para Windows, con un interfaz fácil de utilizar. Puede detectar: los sistemas operativos, las sesiones, los nombres de equipo, los puertos abiertos…

NetworkMiner hace uso de bases de datos de la huellas del sistema operativo para identificarlos y también utiliza la listas de Mac fabricantes para identificar dispositivos de red.

Esta herramienta puede extraer los archivos que fluyen a través de una red, excepto los archivos multimedia (tales como archivos audios o video) almacenándolos en carpetas clasificadas por IP de las que provienen. Otra característica muy útil es que el usuario puede buscar los datos interceptados o almacenados por palabras claves.

También utiliza métodos estadísticos para la identificación de una sesión de TCP o UDP, identificando el protocolo correcto basado en el contenido del paquete de TCP/UDP. De esta manera NetworkMiner puede identificar protocolos incluso si el servicio funciona en un puerto no estándar.Con esta herramienta se puede hacer un sencillo análisis forense de las capturas de trafico guardadas en archivos PCAP.

Más información y descarga de la ultima version de NetworkMiner

Visto en Guru de la informática

Link relacionados:
- NetworkMiner - Analizador de trafico de red
- Networkminer... Un Excelente Sniffer.:!

Cursos on-line: Diseño, Construcción y operación de Centros de Datos

Data Center University

Presentamos los cursos on-line de APC que tratan las mejores prácticas sobre el diseño, construcción y operación de Infraestructuras Físicas para Redes Críticas (NCPI) de los Centros de Datos (incluyendo energía, enfriamiento, racks, cableado, protección contra incendio, administración, y seguridad física)

Gratis por tiempo limitado!

Regístrese ahora en www.datacenteruniversity.com/?lid=home_dcu.
(No hace falta completar los 2 últimos campos del formulario)

Start now! Register for free and try our courses.
Fuente: APS.com Argentina

I Torneo de Seguridad Informática BlindSec

Blind Security presentará, este próximo 1 de Julio, su "I Torneo de Seguridad Informática BlindSec".

Una vez abierto el plazo de inscripción y registro, los participantes deberán poner a prueba sus conocimientos en informática y seguridad para superar, secuencialmente, una serie de 10 pruebas propuestas. Estas pruebas irán aumentando en dificultad a medida que se vaya avanzando en el torneo.

Los participantes se enfrentarán a problemas de programación, deberán auditar el código de ciertas aplicaciones en busca de fallos o "bugs" de seguridad, "explotar" vulnerabilidades clásicas, resolver problemas lógicos, etc. de esta forma se intenta cubrir el espectro de habilidades que un hacker o experto en seguridad debería tener.

Más información en Yoire.com

Windows Vista hackeado usando un Live-CD

Offensive-Security publico un vídeo una pequeña demostración mediante la cual reinician un Windows Vista con un Backtrack Live-CD y copiando el cmd.exe como utilman.exe permite reiniciar el sistema operativo e ingresar sin realizar autenticación de usuario y posteriormente tomar privilegios de SYSTEM (usuario de máximos privilegios del sistema).

Esto se logra porque cuando aparece la pantalla de inicio de sesión, debemos presionar la combinacion de teclas WINDOWS+U, lo que arrancara una consola que en condiciones normales seria Utilman.exe y nos debería pedir contraseña de administrador, pero en este caso esta cmd.exe que no solicita ninguna autenticación.

Ver Vídeo

Herramientas y Métodos de Borrado Seguro

Un estudio realizado hace un tiempo por dos estudiantes del MIT (Instituto de Tecnología de Massachussets) realizado a partir de discos duros procedentes de subastas en Internet y tiendas de segunda mano reveló que:

• De los 158 discos duros que adquirieron más de un 80% estaban operativos.
• Recuperaron información de más del 43% de los discos duros.
• En más de un 70% esta información era privada o confidencial (datos del personal de una empresa, datos médicos, números de tarjetas de crédito, correo electrónico, imágenes pornográficas…)
• Sólo un 7,59% de los discos duros, habían pasado por un proceso de borrado seguro de datos.

En su mayoría, estos dispositivos habían sido formateados.Fuente: www.recoverylabs.com

En la actualidad la mayoría de la información digital puede ser recuperada con la ayuda de software de recuperación de datos, incluso mucho tiempo después de haber realizado una operación de eliminación de los archivos o tras una operación de formateo normal de disco.

Para asegurar el “Borrado Seguro de los Datos” a nivel lógico, se debe utilizar herramientas informáticas específicas para evitar la recuperación de datos.

Dichas herramientas deben cumplir con los principales estándares y métodos de “borrado seguro de datos”:

American DoD 5220-22.M Standard Wipe
Este método fue introducido por el Departamento de Defensa de los EE.UU. basado en el NISPOM (National Industrial Security Program Operating Manual) y consiste en la sobre escritura del soporte con un valor fijo determinado una vez (por ejemplo 0x00), seguidamente se escribe su valor complementario (0xff) una vez, y finalmente se repasa con valores aleatorios una vez. El disco se verifica para comprobar la escritura correcta de los valores. Generalmente se lo utiliza con tres sobre escrituras con tres verificaciones. Se encuentra clasificado como grado 10, con nivel de seguridad: Medio.

Referencia: http://www.dss.mil/isec/nispom.htm

Canadian RCMP TSSIT OPS-II Standard WipeEste estándar realiza siete sobre escrituras con verificación, donde RCMP corresponde con “Royal Canadian Mounted Police” y TSSIT con “Technical Security Standard for Information Technology”.

Referencia: www.rcmp-grc.gc.ca/tsb/pubs/it_sec/g2-003_e.pdf

Pseudorandom DataEmplea el algoritmo ISAAC (Indirection, Shift, Accumulate, Add and Count) de Bob Jenkins, que da el nombre al generador ISAAC, este estándar se caracteriza porque permite al usuario seleccionar el numero de pasadas para sobre escritura con un máximo de 65535.
Debido a que los datos aleatorios son altamente incomprimibles, es uno de los métodos que debe ser usado en unidades comprimidas.

Referencia: http://burtleburtle.net/bob/rand/isaacafa.html

North Atlantic Treaty Organization - NATO standardEstándar de borrado de la OTAN (North Atlantic Treaty Organization). Sobreescribe el soporte siete veces. Las primeras seis pasadas son de sobre escritura con valores fijos alternativos entre cada pasada (0x00) y (0xff). La séptima pasada sobre escribe con un valor aleatorio. Se encuentra clasificado como grado 12, con nivel de seguridad: Alto.

Método Gutmann Wipe:El método fue ideado en 1996, consiste en un algoritmo que se utiliza el método de Peter Gutmann de 27 pasadas, al que se le añadió algunas mejoras, como usar el generador ISAAC del cuarto método para pasadas adicionales con datos aleatorios antes y después de escribir las propias del método del Dr. Gutmann, es decir la sobre escritura del soporte se realiza grabando valores aleatorios cuatro veces (4 patrones) sobre cada sector. Seguidamente se sobrescribe todo el soporte con valores pseudo aleatorios sobre cada sector durante veintisiete pasadas (patrones 5-31). Para terminar, se escriben valores aleatorios durante cuatro pasadas sobre cada sector (4 patrones). En total, se realizan treinta y cinco pasadas de sobre escritura (Total 35 patrones). Se encuentra clasificado como grado 13, con nivel de Seguridad: Alto.
Referencia:

www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html
www.usenix.org/publications/library/proceedings/sec96/full_papers/gutmann

También se encuentra la variante del método en la cual se combina este método con “DoD 5220.22-M, lo que genera un método de alta seguridad consistente en 35 pasadas, complementados con iteraciones de Mersenne, para agilizar los procesos de borrado seguro mediante la generación de números pseudo aleatorios. Se encuentra clasificado con nivel de seguridad: Muy Alto, ya que combina métodos de grado 13 y 10.
Los métodos de Gutmann y DoD 5220-22.M no son métodos apropiados para deshacernos de datos en unidades comprimidas, porque algunos de sus pases contienen datos altamente comprimibles, por lo que para estos casos se aconseja usar estándares del tipo “Pseudorandom Data”

Herramientas de Borrado Seguro (Software) - ACTUALIZADO (enero 2011) !
Este tipo de borrado, puede hacerse de numerosas maneras, unas más fiables que otras.

La duración del proceso depende de la técnica aplicada. El borrado de los datos se hace, en la mayoria de los casos mediante sobre escritura de los mismos con diversos valores. Algunos ejemplo de herramientas de este tipo:

• - ERASER o Eraser Portable
• - Darik’s Boot and Nuke SE
• - Zilla Data Nuker
• - Smart Data Scrubber
• - Mareew Free Eraser
• - SuperShredder
• - Clean Disk Security
• - Absolute Shield File Shredder
• - AHHB Power Delete
• - Simple File Shredder
• - Disk Redactor
• - EZ Wipe
• - UBCD4Win: Ultimate Boot CD for Windows (bootable recovery CD)
• - Secure RM (SRM) (Linux)
• - Clonar disco duro, con borrado seguro de disco origen - CopyWipe
• - Darik's Boot and Nuke
• - HDD Low Level Format Tool Free
• - Disk Wipe
• - Dflabs DIM
• - CCleaner 
• - SDelete

Link relacionado:
- Best Free Secure Erase Utility
- Precaución con los datos borrados de nuestros discos duros y unidades de almacenamiento. Borrado seguro

Vulnerabilidad en Snort que permite saltarse las reglas de filtrado

La empresa de seguridad iDefense ha informado de una vulnerabilidad en la nueva versión 2.8.1 que fue publicada de Snort, en la cual se suponía que dicha vulnerabilidad estaba corregida.
Dicha vulnerabilidad permite a un atacante saltarse las reglas de filtrado de detección de intrusos que tiene la herramienta Snort.
Aún no esta muy claro porque iDefense ha revelado los detalles del descubrimiento de este fallo de seguridad y porque Sourcefire no menciono la vulnerabilidad en las notas que se publicaron sobre la nueva versión el 1 de Abril.
iDefense comenta que la vulnerabilidad se debe por el método que se procesa el valor del TTL(Time To Live) de los paquetes IP. Según el aviso de seguridad, Snort no estaba evaluando la diferencia entre los últimos fragmentos entrantes y los paquetes iniciales cuando eran superiores a un valor definido.
Esto permitiría a un atacante usar un TTL con un valor erróneo que causarí en Snort que no aplicará las reglas de detección sobre ese paquete. Según iDefense, sólo las versiones de Snort 2.8 y 2.6 estan afectadas.
Una de las alternativas que se puede hacer a la hora de realizar la instalación de la actualización, es incrementar el número a 255 en el fichero de configuración de snort(snort.conf), más concretamente en :

preprocessor frag3_engine: ttl_limit 255

Sin embargo los usuarios que aún no han realizado la actualización a la versión actual estan siendo avisados de que realicen dichos cambios en el fichero de configuración.

Fuente: Multiple Vendor Snort IP Fragment TTL Evasion Vulnerability

Via websecurity.es

Seguridad en las aplicaciones Web, enfocada en los usuarios

Les presento un interesante post de Federico Almada:

Hace unos días, comentaba sobre un detalle que no me gustó (el envío de la clave cuando me registré) al hacer la revisión de un sitio, y uno de nuestros lectores (llamado Pablo) me consultaba el porqué de mi desagrado ante tal aspecto.
Gracias a dicha consulta, se me vino a la cabeza la idea de hacer un listado con distintas formas de proveer seguridad en las aplicaciones Web, pero no enfocada en la aplicación en sí, sino más bien en sus usuarios.

Introducción
La idea de este artículo no es, para nada, proveer formas de asegurar un sitio o aplicación web contra ataques de terceros, sino más bien de repasar consejos básicos sobre que (no) hacer, para mantener la confianza de nuestros usuarios.
Aquellos que no sean desarrolladores, podrán utilizar la información vertida en este artículo para evaluar cuanta seguridad les proveen los sitios vía web que utilizan a diario (desde redes sociales, webmail, y demás).

Paranoia
Para poder hablar de seguridad, muchas veces es necesario adoptar una mirada paranoica… es decir, desconfiar de todo. Ojo, esto no quiere decir que desconfíen de mí cuando doy estos consejos, pero tampoco les digo que apliquen plena confianza en lo que les recomiendo… sino más bien que lo tomen como un dato, para que luego ustedes amplíen la información, y puedan hacer comentarios acorde a lo aprendido.
Si pienso en lo que he vivido por Internet, desde el momento que empecé a navegar (en conexiones a pedales por dial-up), tengo que admitir que muchas prácticas que listaré en el artículo… no se daban al comienzo, pero que si fueron apareciendo con el pasar de los años.
Aún así, muchas aplicaciones que tienen registro de usuarios, todavía no toman las medidas necesarias para proteger a estos, y peor aún, a veces los mismos dueños de dichas aplicaciones suelen abusar de dicha escasez de seguridad.

Registro de usuarios
Normalmente, cuando nos damos de alta en un sitio web, solemos recibir un correo de confirmación en donde nos invitan, o bien a ingresar en un enlace… o en todo caso, a probar nuestro recién creado usuario.
En el caso de que recibamos una confirmación, estas suelen ser para validar nuestra aceptación de dicho registro, lo cual ya nos demuestra cierto compromiso por parte del sitio en cuanto a sus usuarios. Si bien puede parecer de poca importancia, esto nos demuestra -a grandes rasgos- que el sitio no aceptará a miembros que no confirmen una asociación correo=usuario.
En el caso de que no recibamos una confirmación, ya tenemos un problema, dado que cualquier persona que lo desee podría dar de alta un usuario en dicho sitio, sin que tenga consentimiento del dueño de la cuenta de correo (o sea, nosotros). La prueba de esto no está muy lejos de nosotros, simplemente encontrar un sitio que cumpla con esta condición, y luego tratar de suscribir algún conocido sin que este sepa.
Aún así, este aspecto a veces se pasa por alto (y se justifica), por el simple hecho de facilitar el registro de usuarios (algunos dicen que es para minimizar el problema del nuevo usuario, otros piensan que es para maximizar la base de usuarios…).
Otro aspecto a tener en cuenta (y el que llevó a la creación de este artículo), es el envío de usuario y clave a nuestro correo, ni bien nos registramos. Este aspecto lo podríamos discutir como ser de baja (in)seguridad, pero si pensamos en la posibilidad de que nuestra cuenta de correo es accedida desde una máquina pública, esto nos deja con la posibilidad de que alguien logre acceder al correo si nos olvidamos de borrarlo. Dicha clave, a su vez, podría haber sido usada en uno o más servicios distintos al problemático, lo que amplía la gravedad del asunto, dejando una de nuestras claves… a la deriva.
Reitero lo que dijo Pablo, “…por algo las claves no se muestran ni en los campos de formularios que llenamos…“, en relación a que si la clave es personal y secreta, entonces no debería ser revelada en ninguna instancia.
Consejo: El registro debería ser de forma rápida y fácil, con envío de confirmación para validar que dicho usuario tiene dicha cuenta de correo en su posesión, y en dicho correo se debe enviar solo información sobre el usuario (no la clave, ni siquiera características de esta [longitud, primera letra, etc], ya que cualquier dato hace más vulnerable a la misma).

Registro de usuario con seguridad ampliada
Si bien esta forma de protección no la he visto en muchos sitios, hay que resaltarla porque siempre será bienvenida en aplicaciones que manejan datos muy importantes (por ejemplo, sitios como PayPal).
La idea es bien básica, en el registro de usuario, se listan dos posibles casillas de correo:

• Casilla Principal: Esta casilla será utilizada para todas las operaciones de importancia, y será la necesaria para confirmar el registro del usuario, cambios en la cuenta, información sobre transacciones, etc.
• Casilla Secundaria: Esta casilla será utilizada para enviar información sobre novedades del sitio, o bien publicidades (si el usuario acepta recibirlas).

La casilla principal vendría a ser la casilla segura, y tendría como limitación, la imposibilidad de cambiarla mediante un trámite fácil. Es decir, solo se podrá cambiar la misma, mediante algún trámite que requiera contacto con la empresa (sea por teléfono, por Fax, de forma presencial), de modo que ellos puedan garantizar que nosotros somos -realmente- quienes solicitamos dicho cambio. Como verán, esto incrementa la seguridad para ambas partes, ya que será muy complicado que alguien altere dicha casilla si no es el usuario mismo, y la empresa garantiza que la información le llega a la persona indicada. Si el usuario presta su casilla de correo… eso ya es problema de él.
La casilla secundaria, en cambio, será la que se pueda cambiar fácil… y se debería dejar la posibilidad abierta que el usuario ponga la misma casilla que la principal (maximizando el factor aleatorio en caso de que alguien intente vulnerar a este).
Consejo: No cuesta nada agregar un campo al formulario, aunque si cuesta explicarle el porqué al usuario… pero, podrían necesitarlo para sitios en donde el usuario busque seguridad ante todo.

Recuperación de clave
Este es otro aspecto que tocó Pablo, y básicamente es el que nos da un dato muy claro sobre cuan segura está nuestra información dentro de la base de datos de dicho sitio, con una prueba bien simple… la recuperación de clave.
Un dato como la clave del usuario, no debería guardarse en texto plano (es decir, tal cual el usuario la ingresó), sino más bien el resultado que se produce luego de pasarlo por una función hash (como ser MD5 o SHA, por ejemplo). Esto nos dejará una salida que no se relaciona con la clave en sí, y será muy difícil deducir la misma en sentido contrario (descifrarla). Podríamos usar otro tipo de algoritmo que resida en una clave, pero estaríamos ante el mismo problema, ya que si nosotros disponemos de dicha clave (y si o si será así), entonces podemos reconstruir lo que el usuario guardó… (siendo este el principal problema).
Ahora bien, como usuarios, si al momento de pedir una clave, esta nos llega en texto plano… entonces necesariamente la misma fue guardada sin hashear, lo cual… es preocupante. Ojo, que no nos envíen la clave cuando llenamos el formulario para recuperarla, no es signo de que esta haya sido guardada de forma segura… pero al menos, seremos felices ignorantes.
Consejo: Quienes desarrollen aplicaciones web, verán dos beneficios con respecto a hashear las claves (si tienen buenas intenciones, claro), uno es la seguridad de los usuarios (incluso cuando alguien externo acceda a nuestra base de datos), y otro es la posibilidad de delimitar las claves a una longitud fija… lo que nos permitirá administrar mejor el espacio de los campos en la base de datos. Con esto, esta demás decir que la única forma de recuperar la clave, será enviando una nueva generada de forma aleatoria… e invitar al usuario a que la cambie ni bien ingresa nuevamente al sitio…

Consiguiendo usuarios válidos…
Hace un tiempo, intentando entrar en un sitio que no uso muy a menudo, me di cuenta de que no tenía ni el usuario ni la clave. Que mejor momento para probar el formulario de ‘Olvidé mi usuario…’.
Ni bien entré, me puse a pensar con que cuenta de correo me podría haber dado de alta… pero dado que tengo tantas (una por cada sitio que poseo… si, un infierno de usuarios y claves), me puse a probar.
Vaya sorpresa me llevé cuando me empezaron a aparecer estos mensajes:

• Este correo no tiene cuenta asociada a ningún usuario de nuestra base de datos
• Se le ha enviado un correo a su casilla, con los datos de su usuario
  El segundo mensaje fue el definitivo para dejar de probar… pero el primero, me sonó un tanto preocupante.

¿Qué pasa si agarro un listado de correos de personas conocidas y pongo a probar uno por uno, a ver quienes participan en este sitio?. Los resultados en este caso no fueron muy favorables (por lo visto somos pocos los que usamos tal servicio), pero imaginemos que conseguimos asociar un correo de una persona importante, con un servicio…
¿Qué tiene de malo? (y aquí es donde la paranoia toma el mando) Con este mero dato (correo > servicio web), alguien podría mandar tranquilamente correos -personalizados- de scam… los cuales son de mucho más valor que aquellos que se mandan de forma generalizada, sin un objetivo específico (a veces me llegan correos relacionados a MySpace, por ejemplo, en donde no tengo cuenta…).
La cantidad de sitios -afectados- por este tema, es notable… y se sorprenderán de encontrarse con sitios muy conocidos que cometen este pequeño, pero molesto error.
Este mismo error también se puede manifestar a la hora de ingresar el usuario y la contraseña, pero aquí ya entramos en la dificultad de no poder dar un registro con igual nombre de usuario a dos o más personas. Es decir, a la larga… si el que intenta hacer daño prueba registrarse con cierto nombre de usuario, se dará cuenta de que este existe o no. Una solución para esto, es que el usuario sea lo mismo que el correo (ver consejo a continuación).
Consejo: Un mensaje genérico para todos los tipos de errores (es decir, cuando el correo es válido o no), como “En breve le enviaremos un correo, si la casilla ingresada es válida”, limita todo tipo de intentos de uso fraudulentos, ya que si el correo llega a su casilla destino… entonces, el usuario tendrá sus datos (y nadie sabrá si usa o no dicho servicio); mientras que si el usuario en cuestión no existe, no se envía correo tal. De esta forma, la única situación que revelaría datos sobre un usuario que utiliza nuestro servicio, sería si la persona que intenta hacer daño tiene acceso a dicha casilla (y eso ya es problema del usuario, no de nosotros).

Política de seguridad
Otras formas de incrementar la seguridad de los usuarios, es mediante la publicación de una página dedicada a las políticas de seguridad de la aplicación/sitio web.
De este modo, el usuario tiene un lugar en donde fijarse que es lo que la empresa se compromete a hacer, que es lo que nunca hará (por ejemplo, pedir que se cambie la clave o que se cambien determinados datos de nuestro perfil), y también dar la posibilidad de que los usuarios puedan enviar reportes de sucesos extraordinarios (intentos de estafa).
Para complementar todo lo antes mencionado en este punto, una página en donde se informe sobre el estado de seguridad de la aplicación/servicio, será muy bien visto por todo aquel que sea paranoico (como yo), e incrementará la credibilidad de la empresa que esté detrás de dicho sistema.

Recomendar software seguro y actualizaciones
Si bien muchas veces criticamos los intentos de las empresas por imponer cierto software para hacer uso de determinada aplicación web, es importante recalcar que esto se hace con miras a incrementar la seguridad de sus usuarios.
Recomendar software que sabemos que es seguro (o menos inseguro, en todo caso), y promover que los usuarios estén al día con las actualizaciones de las aplicaciones que tienen instaladas (navegador, por ejemplo), será un factor que mejore la seguridad del entorno en general (tanto del usuario, como de la empresa).

Correo seguro y Blog institucional
Otros aspectos a tener en cuenta, es por un lado la posibilidad de que nuestros usuarios nos contacten por correo de forma segura (utilizando criptografía asimétrica), y por otro la posibilidad de que estos puedan recurrir a un blog institucional, en donde se vayan comentando novedades respecto a los servicios ofrecidos (actualizaciones, eventos de mantenimiento, brechas de seguridad, etc).

Conclusión
Tanto el usuario como el desarrollador, deberían velar por la seguridad de los datos que se publican por medio de Internet.El usuario, debería ser consciente de que cada entidad a la que le confía sus datos en la red, debería ser de mínima confianza al menos para él (sea por recomendación, valoración propia, experiencia, etc.).
Desde el otro lado, los que están detrás de los servicios y aplicaciones web, deberían tomarse en serio la seguridad de los datos de sus usuarios, ya que sus sistemas no serían nada sin ellos… y si en algún momento hay una brecha, el usuario será quien tenga el látigo en mano (y más, si es paranoico…).
Agradeceré todo tipo de comentarios en relación al artículo, tanto desde su experiencia con servicios que cuidan o no nuestros datos, al menos para tenerlos en cuenta a futuro.
Espero que los desarrolladores no se enojen por cargarles un peso extra… pero bueno, es algo que en algún momento iban a tener que hacer, a fin de cuentas.

Rational AppScan herramienta de IBM para proteger las aplicaciones de los intrusos en la red.

IBM presenta un nuevo software para ayudar a los clientes a proteger sus empresas de los ataques más complejos a la seguridad de aplicaciones web. La primera versión de IBM Rational AppScan, una tecnología de seguridad de aplicaciones web líder del mercado adquirida por IBM a Watchfire en julio de 2007, es un componente clave de la cartera de software de IBM que ayuda a asegurar la provisión de aplicaciones de alta calidad al mercado.

Las aplicaciones web constituyen objetivos de alto valor para los hackers; sin embargo, muchas organizaciones tienen dificultades para abordar la seguridad debido, en parte, a una falta de conocimiento sobre seguridad de aplicaciones, y el tamaño y la complejidad de los sitios web actuales, que incorporan los últimos avances en tecnología Web 2.0. Las empresas necesitan soluciones automatizadas capaces de identificar y proteger a las aplicaciones de estas debilidades.

IBM Rational AppScan identifica, valida e informa vulnerabilidades de seguridad de aplicaciones y, con esta nueva versión, introduce nuevas funcionalidades y métodos de reporte para los auditores de seguridad, permitiendo que un conjunto más amplio de roles de TI participen e impulsen las pruebas de seguridad de las aplicaciones web críticas.

Tradicionalmente, los testers, desarrolladores y profesionales de TI no contaban con el conocimiento de seguridad específico para correr comprobaciones eficazmente. Las nuevas capacidades de IBM Rational AppScan, tales como Scan Expert y State Inducer, amplían la disponibilidad de esta función crítica para que el personal de TI, los desarrolladores de software y los testers puedan ejecutar scans exitosos y al mismo tiempo agregar nuevas características para asistir a los profesionales de seguridad.

Scan Expert incluye las mejores prácticas de un experto, tales como el perfilado automático de una aplicación, y la provisión de la mejor configuración de prueba para una comprobación exitosa. Esto permite un scanning más satisfactorio para usuarios con poca experiencia en IBM Rational AppScan o en seguridad de aplicaciones web, y al mismo tiempo mejora la eficiencia para expertos en seguridad con un mayor nivel de conocimiento.

Ampliando su liderazgo en el soporte a tecnologías complejas Web 2.0 que incluye soporte para Ajax y Flash, la nueva característica State Inducer introduce una evaluación precisa de procesos multi-paso dentro de aplicaciones, tales como agregar artículos a un carrito de compras y completar la compra, llenar múltiples formularios al solicitar un préstamo, o hacer una reserva de boleto aéreo. Hasta ahora, los usuarios hubieran tenido que probar manualmente cada una de estas áreas de la aplicación. Con State Inducer, IBM Rational AppScan puede aprender estas secuencias, asegurando que sean evaluadas con precisión por cuestiones de seguridad, permitiendo una mayor automatización, ahorro de tiempo y simplificando el proceso de prueba.

Cross-site forgery consiste en un uso malicioso de un sitio web en el cual un atacante puede falsificar una solicitud a un sitio obteniendo acceso a información sensible. IBM Rational AppScan identifica áreas en un sitio web donde las empresas podrían ser susceptibles a solicitudes del tipo cross-site forgery.

IBM Rational AppScan ahora incluye material educativo para ayudar a los usuarios a construir aplicaciones más seguras. El producto agrega avisos de capacitación basada en web (web-based training/WBT) grabados, que incorporan la primera capacitación de seguridad de aplicaciones de la industria directamente a la solución. WBT es una forma ideal de entrenar a los profesionales que no pertenecen al área de seguridad en las nociones básicas de la seguridad de aplicaciones y mejores prácticas de productos.

Con el rápido surgimiento de nueva legislación de cumplimiento normativo, IBM Rational AppScan ayuda a las organizaciones a cumplir con docenas de estándares de industria y ha sido actualizado para incluir 44 informes de cumplimiento estándares líderes, incluso sobre la Ley de Derechos y Privacidad de Educación de Familia (FERPA) y mejores prácticas en aplicaciones de pago (PABP), tal como lo sugiere la industria de las tarjetas de crédito.

“Con IBM Rational AppScan, Standard Chartered Bank está capacitando a sus desarrolladores y personal de TI en la importancia de la seguridad de las aplicaciones web incorporada en todo el ciclo de vida de desarrollo”, comenta John Meakin, líder del grupo de seguridad informática de Standard Chartered Bank. “IBM Rational AppScan nos permite establecer las mejores prácticas en nuestros procesos de codificación y prueba, y de este modo garantizar la seguridad y el cumplimiento de nuestras aplicaciones web. Esto está reduciendo costos, mejorando la seguridad de nuestros productos, y mejorando nuestra productividad de prueba de seguridad”.

Las empresas hoy tienen cientos de aplicaciones críticas que deben ser probadas de manera oportuna. Integrar la seguridad con herramientas de prueba de gestión de calidad simplifica la prueba y remediación de seguridad durante todo el ciclo de vida del software. IBM también ha introducido nuevas mejoras a su cartera de desarrollo de software IBM Rational para facilitar aún más a los clientes la entrega de aplicaciones escalables de mayor calidad.

Por ejemplo, las compañías de telecomunicaciones ahora pueden aprovechar el soporte de IBM Rational Performance Tester para sistemas VoIP, telefonía de Internet y mensajería instantánea a través de SIP (session initiation protocol), un estándar clave en la industria de las telecomunicaciones. Las nuevas capacidades de testeo de palabras clave orientadas a datos de los IBM Rational Manual Testers ahora permiten a los usuarios de negocio y testers manuales automatizar fácilmente y reutilizar los activos de prueba sin incurrir en excesivos costos de automatización e inversiones.

Las soluciones de prueba de seguridad y calidad de primer nivel, integradas por un solo proveedor, permiten a los clientes de IBM incorporar la seguridad eficazmente a su proceso de entrega de aplicaciones.

“Tradicionalmente, la prueba de seguridad de aplicaciones web estaba reservada a los expertos en seguridad, pero eso no basta para mantenerse a tono con los requisitos de procesos dentro de las compañías en la actualidad”, afirma el Dr. Danny Sabbah, gerente general de IBM Rational Software. “El agregado de IBM Rational AppScan ayudará a los usuarios a ahorrar tiempo y dinero incorporando el testeo de aplicaciones web mucho antes en el proceso de ciclo de vida de software”.

Via ebizlatam.com

Link Relacionado:
- IBM - Rational AppScan

¿Quieres saber si una web tiene malware? Pregúntaselo a Google

Google ha ampliado su aplicación Safe Browsing API mediante la cual puedes saber si una web contiene malware, este API busca en una lista negra de Google que contiene las páginas que supuestamente contiene malware o realizn phising y avisa a los usuarios de la peligrosidad de dichas páginas.

Entre las aplicaciones que ya utilizan este API se encuentran Firefox y Google Desktop.

Según Google, con este nuevo API los usuarios ya no encontrarán dificultad en entender porque ciertas págnas se considerán sospechosas de contener malware, ya que el nuevo motor de búsquedas esta dotado de un página de diagnóstico que explica los motivos de dicha consideración.

Para probar si una web contiene es sospechosa de contener malware simplemente hay que introducir la url de la web que queramos comprobar al final de la siguiente dirección web:

http://www.google.com/safebrowsing/diagnostic?site=

Y una vez termine el proceso Google nos mostrará un informe que contiene toda la información sobre la forma en que la página está valorada, cuando Google la visito por última vez y cuáles fueron las anomalías encontradas por el buscador en ese momento, con lo que podemos ver claramente porque han considerado esa página como sospechosa.

Fuente: Safe Browsing Diagnostic To The Rescue, entry in Google's online security blog

Via websecurity.es

Cómo hacer transacciones seguras a través de la Red

Los fraudes a través de la banca en línea y los robos que atacan las compras por la red generaron pérdidas mundiales por más de 105.000 millones de dólares

Con frecuencia se publican informaciones sobre la peligrosidad de los servicios de banca online o de las compras en Internet. De hecho, se calcula que en 2006, los ciberdelincuentes ganaron u$s105.000 millones.
Sin embargo, pensar que cualquier operación que hagamos a través de Internet está siendo observada por ojos malintencionados no responde en absoluto a la realidad. Desde luego que la posibilidad existe, pero de momento no parece implicar un riesgo superior al que corremos cuando usamos nuestra tarjeta de crédito en cualquier comercio tradicional. Bien podría ocurrir que cuando dejemos nuestra tarjeta, alguien anote los datos para realizar operaciones no autorizadas por nosotros o que, simplemente, desaparezca con ella.
En realidad, los delincuentes de la red no suelen atacar directamente a las empresas, sino que dirigen sus esfuerzos contra el eslabón más débil de la cadena: el propio usuario. Así, para un cibercriminal es más fácil obtener datos confidenciales desde una PC particular que intentando "colarse" en un servidor para robar una base de datos o interceptar comunicaciones que en muchos casos se encuentran cifradas.
A continuación, veremos las medidas de seguridad que deben cumplir tanto el negocio online como el usuario, para conseguir la máxima seguridad en las operaciones online.

¿Cómo hacer una página de comercio electrónico segura?
Las páginas web en las que realicemos transacciones online deben cumplir una serie de requisitos técnicos para garantizar la seguridad de los usuarios.
Son los siguientes:

• Tienen que garantizar que los datos introducidos para realizar la transacción sólo sean accesibles a las partes implicadas en la misma, lo cual puede hacerse cifrando esa información.
• Deben mantener la integridad de la información durante toda la operación, de forma que no puedan ser manipulados. Esto se consigue con el empleo de firmas digitales.
• Finalmente, tienen que verificar la identidad tanto de la parte compradora como de la vendedora, lo cual se logra mediante la emisión de certificados digitales.

Para conseguir esto, se han desarrollado protocolos de seguridad para comercio electrónico que cumplen, totalmente o en parte, estos requisitos.

¿Qué es un protocolo de seguridad?
Un protocolo de seguridad no es ni más ni menos que un paquete de especificaciones desarrolladas para conseguir una manera segura de realizar transacciones electrónicas, procurando el cumplimiento de los requisitos antes mencionados.
En ellas están involucrados el usuario final, el comerciante, las entidades financieras, las compañías administradoras de tarjetas y los propietarios de las marcas de tarjetas.
El sistema de transacciones seguras más utilizado en la actualidad se basa, principalmente, en el protocolo de seguridad SSL (Secure Socket Layer).
Éste se encarga de cifrar los datos introducidos y de descifrarlos cuando llegan a su destino. De esta forma, aunque una tercera persona interceptase los datos, no podría acceder a ellos sin una clave capaz de descifrar la información.
En este protocolo, tan sólo el vendedor muestra un certificado digital que verifica su identidad, cosa que no hace el comprador.

Asegurar el servidor
Además de emplear un sistema de transacción seguro, cualquier empresa de comercio electrónico que se precie ha de tener la certificación de seguridad para sus servidores otorgada por alguna autoridad certificadora reconocida. Realmente, en este aspecto, no hay mucha diferencia con el comercio tradicional ya que, al igual que nadie daría sus datos a la primera persona que intentase venderle algo, tampoco debería introducirlos en servidores que no tengan esta certificación.
Por otra parte, la empresa también debe cuidar que sus servidores estén totalmente libres de virus o de troyanos para preservar la integridad de los datos que poseen. De hecho, algunos de estos virus y troyanos son introducidos en los sistemas informáticos con el único objetivo de provocar vulnerabilidades en los servidores de tal forma, que permitan a un hacker realizar distintas acciones, como puede ser la extracción de una base de datos de clientes.
Las autoridades certificadoras se encargan de verificar que el servidor es capaz de soportar el protocolo de seguridad. Asimismo, se ocupan de expedir los certificados digitales a empresas o compradores.
Existen varias autoridades de certificación; de ellas Verisign es la más conocida internacionalmente.

¿Qué medidas de seguridad deben adoptar los usuarios?
Antes de hacer una compra online o de acceder a un servicio bancario de Internet es básico asegurarse de que no existe ningún virus instalado en la computadora que se encuentre activo en ese momento.
En este sentido los más comunes, y también los más peligrosos, son los troyanos bancarios que permanecen a la espera de que el usuario se conecte a determinadas páginas bancarias, sistemas de pago tipo PayPal o tiendas virtuales, para capturar y enviar al delincuente los datos confidenciales que el usuario introduce para realizar la transacción. Según datos de PandaLabs, en estos últimos dos años, el 20% de los troyanos detectados en equipos infectados, contenían troyanos bancarios, lo que da idea de la magnitud de la amenaza.
Por ello, es fundamental disponer de una solución de seguridad perfectamente actualizada. Pero eso no es todo; en la actualidad nos encontramos en una nueva dinámica del malware, en la que los delincuentes tratan de poner en circulación muchos códigos maliciosos que se instalan de forma silenciosa. Con ello, pretenden que las compañías de seguridad no se percaten de su presencia y, por tanto, no puedan elaborar las vacunas necesarias para neutralizarlos. Así, es necesario complementar las soluciones de seguridad tradicionales con tecnologías proactivas capaces de detectar amenazas por sí mismas analizando su comportamiento, y sin necesidad de conocerlos con anterioridad.
Además, es muy conveniente utilizar herramientas de “segunda opinión”. Dado el enorme volumen de nuevas amenazas que aparecen cada día, los laboratorios de seguridad muchas veces no dan abasto, y esto provoca que no todas las soluciones antimalware detecten lo mismo. Debido a ello, es muy recomendable analizar el equipo con una solución capaz de detectar más malware que otras soluciones.
Nunca hay que hacer caso a los mensajes de spam publicitarios. Por muy atractiva que pueda parecer una oferta, el hecho de provenir de una fuente dudosa ya debe despertar recelo. ¿Estamos seguros de que se trata de un auténtico vendedor o se trata de un delincuente que solo trata de estafar a los usuarios vendiendo productos que nunca enviará? O aún peor ¿ese spam no tendrá como objetivo conseguir nuestros datos bancarios para realizar estafas online y vaciarnos la cuenta corriente o el crédito de la tarjeta?
Otra modalidad del spam es el phishing, que por norma general aparenta provenir de comercios online o entidades financieras.
Habitualmente se presentan ante el usuario con la excusa de algún problema informático, y solicitan confirmar sus datos. Según el Grupo Centro de Cooperación Interbancaria CCI-Seguridad Informática, el fraude en banca online mantiene una tendencia al alza que se encuentra entre un 10% a un 20% anual (2).
Para empezar, ninguna entidad se pondrá en contacto con el usuario para pedirle sus datos personales o confidenciales. De todas formas, en caso de duda, antes de introducir ningún dato, póngase en contacto con el banco donde le confirmarán la veracidad del asunto.
Por supuesto, nunca pulse sobre ningún link que aparezca en dichos mensajes, ya que conducen a páginas que, aunque imitan a los originales, no tienen nada que ver con la tienda o banco en cuestión, y su cometido es robar los datos personales que introduzca en ellas.
Antes de comprar en un comercio online, o en una web de subastas, por ejemplo, es muy recomendable investigar un poco en Internet sobre la reputación del vendedor. De esa manera, podrán evitarse desagradables sorpresas en forma de timadores.

Mantener siempre actualizado su sistema
Muchas veces las aplicaciones o el sistema operativo que tenga instalado en su PC tienen vulnerabilidades que pueden servir para instalar códigos maliciosos o introducirse en el ordenador sin que el usuario se de cuenta de ello. No importa cual sea la aplicación: un problema de seguridad en un reproductor de música puede servir.
La mejor manera de estar siempre al día es utilizar la opción de actualizaciones que suelen incluir la mayoría de las aplicaciones o mantenerse informado sobre las noticias de seguridad más recientes.
No ejecutar nunca archivos que no provengan de fuentes fiables, como adjuntos a mensajes de correo electrónico sospechosos, o descargados desde páginas web de contenido dudoso. Piense que con ello puede estar instalando un código malicioso en su ordenador.

No pagar nunca nada sin estar totalmente seguro
El timo en Internet es mucho más frecuente de lo que parece. No sería la primera persona que compra un móvil de última generación y a cambio recibe una caja con piedras en su interior.
Si se trata de un artículo sobre el que está pujando en una web de subastas, desconfíe de las ofertas que algunos delincuentes, haciéndose pasar por el vendedor del producto, puedan hacerle a través de correo electrónico con la excusa de conseguirle un mejor precio, o una mayor rapidez en la transacción.

No enviar nunca datos confidenciales a través de correo electrónico
Existe la creencia de que este es un método más seguro que utilizar el formulario de compra de la propia página, pero es totalmente falsa. Los delincuentes pueden interceptar esos mensajes.
Utilice su instinto. En muchas ocasiones el aspecto de una página web es un indicio de que nos encontramos frente a un comercio online inseguro. Si tiene dudas, busque referencias positivas en Internet. Si no encuentra ninguna, ni buena ni mala, considere que es como si fueran negativas. A veces los cibercriminales crean páginas que duran muy poco tiempo, tan sólo el necesario para que unos cuantos usuarios desprevenidos sean estafados.
Y finalmente piense que esa idea de "¿y por qué alguien va a atacarme a mi, un simple usuario de la red?", es precisamente la que tienen en mente los delincuentes de Internet. Y tenga por seguro que están sacando muy buen provecho de ella.

Consejos básicos para operar con seguridad en Internet

• Compruebe las características de seguridad de la página en la que va a operar (uso de protocolo seguro, sello de certificación de seguridad).
• Antes de hacer una compra online o de acceder a un servicio bancario de Internet asegúrese de que no existe ningún virus activo en el PC.
• Complemente su antivirus tradicional con tecnologías proactivas que detecten amenazas sin necesidad de actualizaciones.
• Utilice herramientas antivirus de "segunda opinión" para descartar la presencia de malware en su PC.
• No haga caso nunca a los mensajes de spam publicitarios ni a aquellos que digan provenir de entidades financieras y soliciten datos confidenciales.
• Antes de comprar en un comercio online es muy recomendable investigar sobre la reputación del vendedor.
• Mantenga siempre actualizado el sistema operativo y las aplicaciones que tenga instaladas en su PC.

Además, no ejecute nunca archivos que provengan de fuentes sospechosas. No pague nunca nada en Internet sin estar totalmente seguro de la honradez del vendedor. Y si está pujando por un artículo en una web de subastas, desconfíe de ofertas que puedan llegarle por otro medio que no sea el del propio portal de subastas. No envíe nunca datos confidenciales a través de correo electrónico. Utilice su instinto. Muchas veces el aspecto de una página web es un indicio de que nos encontramos frente a un comercio online inseguro.

Fuente> infobaeprofesional.com

Hackers: ¿Los malos de la película?

¿Cúal es la diferencia entre hackers y crackers?

Los primeros son aquellos que son expertos en seguridad y los segundos los que usan sus conocimientos para hacer actividades que son tipificadas como delito según recoge Público. El pasado sábado un grupo de jóvenes fueron detenidos "que ostentaba el quinto puesto en el ranking mundial de hackers", según la nota original que envió la Policía a los medios.
La noticia que coincidía con el Día de Internet, empleaba la palabra hacker, lo que para algunas comunidades es considerado como un insulto para todos aquellos apasionados de los sistemas informáticos ya que lo tildan de delincuentes. Es más, la página web de la Brigada de Investigación Tecnológica, la unidad del Cuerpo Nacional de Policía establece el hacking como una de las actividades contra las que luchan, sin tener en cuenta que los actos delictivos son fruto del cracking".
A los llamados hackers, no les gusta ser etiquetados como delincuentes. Antonio Ropero, directivo de la consultora especializada en seguridad Hispasec, asegura que la palabra se ha desvirtualizado ya que debería tratarse como "experto en tecnología que le saca el máximo provecho". Mantiene que los hackers " buscan y encuentran problemas de seguridad en páginas de Internet, programas y redes".

Los malos de la película
Un grupo de hackers han creado una comunidad virtual llamada House of Hackers para promover el hackeo ético. Pretende fomentar la colaboración "entre expertos informáticos y ya ha conseguido más de 3.000 miembros".
Luis Fuertes, director de marketing para empresas de Symantec Ibérica, compañía especializada en seguridad informática, destaca la importancia de diferenciar entre hackers y crackers. "Se habla de hackers para describir a una persona que destaca en su ámbito de actuación de manera sobresaliente, pero se les ha encasillado como los malos de la película".
"Se habla de hackers para describir a una persona que destaca en su ámbito de actuación de manera sobresaliente, pero se les ha encasillado como los malos de la película". Y prosigue: "Generalmente, hablamos de hackers éticos, que son aquellas personas que ayudan a descubrir vulnerabilidades en los sistemas informáticos y que no tienen un fin económico de robo de información o daños a la imagen".

www.20minutos.es/noticia/381310/peligro/hackers/malos

FireCAT 1.4 released

Esta disponible la versión 1.4 de FireCAT (Firefox Catalog of Auditing exTension)

Changes for version 1.4
Information Gathering (Enumeration and Fingerprinting)

• Passive Recon: PassiveRecon allows Information Security professionals the ability to perform "packetless" discovery of target resources utilizing publicly available information (Thanks to Kev Orrey)
  

Security Auditing:

• Selenium IDE : Selenium is a test tool for web applications. Selenium tests run directly in a browser, just like real users do
• RESTTest : Construct custom HTTP requests to directly test requests against a server. RESTTest uses the XmlHttpRequest object and allows you to simulate XHR to quickly prototype requests and test security problems. Designed specifically for working with REST sources, supporting all HTTP methods
• Acunetix Firefox plugin: Read here a good review by Kev Orrey. Extension submitted by Kev Orrey from VulnerabilityAssessment
  IT Security Related Added Milw0rm Exploits Search (Thanks to Kev Orrey)
  Fixed HashMDTool link Fixed OSVB extension link Fixed US Homeland Security Threat link.

Descarga:

• FireCAT 1.4 Source (Zip - 4.6 kb)
• FireCAT 1.4 Browsable HTML (Zip - 37.2 kb)
• FireCAT 1.4 pdf (PDF - 186.3 kb)

Post Relacionado:
- FireCAT version 1.3 released (Firefox Catalog of Auditing exTensions)