26 de octubre de 2008

Decálogo de normas de seguridad para redes sociales

La gente de Sonico ha publicado un decálogo de normas de seguridad para redes sociales, a fines de tomar ciertas precauciones a la hora de usar este tipo de sitios.

Si bien las medidas son enfocadas en la propia red social de Sonico, también es posible llevarlas a cabo en otras redes como Facebook, LinkedIn, MySpace.

A continuación listamos las medidas, con algunos comentarios propios:
  1. Distinguir entre los integrantes de la red.-Organizar tus contactos por grupos, y a la hora de publicar información, hacerla accesible de la forma más prudente. Por ejemplo, si es una foto personal, quizás no te convenga que la vean tus clientes.
  2. No publicar información personal delicada.-Datos como nuestro número de teléfono o dirección personal, deberían mantenerse fuera de este tipo de redes. Aún así, existen herramientas dentro de estas, que permiten delimitar quien ve los datos publicados, por lo que es una buena idea (en base al punto anterior) dar acceso de forma ‘limitada’ y según quien sea.
  3. No colocar fotos de terceros, imágenes o caricaturas en el perfil personal.-Esta medida apunta más que nada a los requisitos de Sonico, aunque bien vale recordar que las imágenes publicadas no deberían ser de desnudos ni con gestos obscenos (esta imágen la verán todos los que vean nuestro perfil!).
  4. No contactar o ser contactado con el fin exclusivo de encuentro personal.-Varias redes permiten agregar en nuestro perfil si estamos buscando pareja… algo que puede llegar a ser suficiente señuelo para llamar la atención de alguna persona con malas intenciones. En el caso de Sonico, han decidido borrar este dato, pero otras redes aún lo mantienen. No es aconsejable buscar gente por medio de Internet para conocer en la vida real… aunque dado el caso de que deba ser así, se recomienda fijar un lugar público y concurrido, a fines de tener asistencia ante un inconveniente desagradable.
  5. Pensar que en Internet todo es volátil.-A la hora de emitir una opinión en Internet, es necesario tomar en cuenta de que lo publicado podrá ser visto por muchas personas, y pese a que a futuro cambiemos nuestra opinión sobre un tema en particular, siempre existirá la posibilidad de que alguien recuerde lo que en su momento habíamos dicho.
  6. No suscribirse a todo sin darle importancia al correo.-Las redes sociales han hecho muy fácil el proceso de aceptar una invitación a grupo/aplicación, por lo que suele ser común que la gente ‘pruebe’ y luego se olvide de que está inscripto en varios lugares. Lo mejor es tomar control de la situación, midiendo la necesidad de suscribirnos a tal o cual aplicación/grupo, y en el caso de no seguir interesados, darnos de baja. Esto nos ahorrará dolores de cabeza a la hora de recibir correos de ‘avisos’ de dichos grupos/aplicaciones que ya no visitamos…
  7. No tolerar comportamientos criminales o incorrectos.-Suele suceder que muchas personas no comprenden las bondades de las redes sociales, y prefieren usarlas para desquitarse con una persona (usurpando su identidad), o bien crear una persona de fantasía, para hacernos pasar un mal rato. Estas personas pueden ser reportadas por medio de las herramientas de cada red social, aunque en primera instancia deberíamos mínimamente nuestras sospechas… ya que cada reporte lleva a una investigación, y nadie quiere hacerle perder tiempo a los administradores de las redes (sino, luego seremos como el pastorcito que grita lobo y nadie lo escucha).
  8. No abusar verbalmente de otros usuarios.-Del mismo modo que nosotros podremos reportar abusos de otros usuarios, otros podrán hacer lo mismo con nosotros. Por eso, para crear un clima de cero-hostilidad, deberíamos dejar todo tipo de problemas que lleven a insultos/agresiones, para la vida real… y evitar hacerlos público por medio de la red. Además, pensemos que todo lo que publiquemos podrán verlos otras personas… y la verdad es que no queda muy bien que nos vean insultando por allí.
  9. No añadir contenidos pornográficos o de mal gusto.-En la mayoría de las redes (salvo las enfocadas en adultos), está prohibido publicar contenido pornográfico, por lo que la mera sugerencia es evitar hacerlo. La primera vez recibirán una advertencia, la segunda seguramente serán sancionados del sitio en cuestión (y es muy difícil volver atrás en estos temas).
  10. No enviar SPAM.-Si tenemos intenciones de promocionar una marca, un producto o algo que podría ser considerado como un mensaje no solicitado, debemos evitar hacerlo de forma directa con nuestros contactos. En todo caso, crear un grupo y que cada interesado se una, para saber más del tema. Si el usuario se cansa de recibir mensajes del grupo, simplemente se irá.

Fuente: Sonico

22 de octubre de 2008

Cifrado óptico en conexiones de 100 GBps

Un grupo de investigadores han creado un chip para redes ópticas que que puede aplicar cifrado a conexiones rápidas para lograr protegerlas incluso cuando esos datos viajan a velocidades de 100 Gbytes por segundo.

  • Este descubrimiento podría permitir a las operadoras y grandes empresas asegurar sus comunicaciones con una capa más de cifrado en el caso de uso de conexiones WAN.
  • La empresa Telcordia está ya buscando partners para poner en marcha este “codificador óptico” que permitiría ser programado remotamente para cambiar la clave de cifrado.
  • Las comunicaciones ópticas tenían la limitación precisamente de ese cifrado, que podía limitar la velocidad a 10 GBps
  • Pero según Telcordia, su nuevo chip es capaz de soportar diez veces ese ancho de banda en comunicaciones cifradas, algo que podría ser tremendamente útil para todo tipo de redes.

Fuente: PCWORD

20 de octubre de 2008

Nueva macroactualización de seguridad para Mac OS X

Apple ha publicado un nuevo paquete de actualizaciones para Mac OS X, que solventa un mínimo de 40 vulnerabilidades.
  • Con este último paquete de actualizaciones, Apple ha rebasando la barrera de los 250 problemas de seguridad parcheados en lo que va de año, y eso sin contar los parches específicos de Safari o Quicktime.
  • Los problemas de seguridad solucionados podrían ser aprovechados por un atacante local o remoto para conducir ataques de cross-site scripting, revelar información sensible, saltarse restricciones de seguridad, causar denegaciones de servicio, y más de la mitad de ellos, podrían permitir la ejecución de código arbitrario en un sistema vulnerable.
  • Dentro del paquete Security Update 2008-007, disponible para Tiger y Leopard, se incluyen parches para Finder, QuickLook, ColorSync, además de para múltiples componentes de código abierto integrados por Apple, como pueden ser ClamAV, MySQL o Apache Tomcat.

Fuente: Hispaset

17 de octubre de 2008

Los Botnets pretenden atacar a los teléfonos móviles


El informe de los investigadores de Georgia Tech alerta de la extensión de los botnets desde los PCs hasta los terminales móviles, por el aumento de la potencia de cálculo y conectividad a Internet. Y también por las vulnerabilidades de los celulares y sistemas operativos de aplicaciones web.
  • Los investigadores de Georgia Tech dicen que los teléfonos móviles son atractivos para los delincuentes informáticos, porque suelen tener sistemas de seguridad de bajo nivel.
  • Comentan, que si los botnets son capaces de entrar en las redes móviles, nuevos tipos de estafas se pondrán en marcha, como utilizar los móviles para realizar llamadas a servicios de pago o cualquier actividad fraudulenta, convirtiendolos en zombies que extiendan la infección.
  • Así mismo, afirman que los operadores de telefonía celular tienen un control más estricto de sus redes que los proveedores de banda ancha fija, lo que significa que podrían cerrar las líneas de comunicación entre celelares infectados de forma más sencilla, aunque podrían llegar a ser superados advierten desde Georgia Tech.

Fuente: AP

12 de octubre de 2008

El cifrado WiFi en riesgo por culpa de CUDA

Los métodos de cifrado de las redes inalámbricas actuales no son suficientemente seguros.

  • En los casos particulares de cifrado WPA el ataque más habitual viene siendo el uso de ataque por fuerza bruta y CUDA "ayuda" a conseguirlo.
  • La tecnología NVIDIA CUDA es el único entorno de programación en C que aprovecha la gran capacidad de procesamiento de las GPU para resolver los problemas de cálculo más complejos y de mayor carga computacional.
  • Global Secure Systems ha afirmado que un equipo ruso de hackers hacen uso de las tarjetas gráficas NVIDIA para acelerar la “recuperación de la clave” WPA y WPA2 del cifrado de una red inalámbrica.
  • Sus resultados pueden llegar a ser de hasta un 10.000% superior al uso de sólo CPU.
  • Como resultado se aconseja que los clientes que usen WiFi en sus oficinas actualicen sus sistemas con un cifrado VPN también“.

Fuente: ScMagazine

Un robot detectará y destruirá células de cáncer de mama

Jaydev Desai, profesor de ingeniería mecánica, lleva año y medio desarrollando un robot que puede realizar biopsias y destruir las células tumorales en una sola sesión.
  • El robot efectuará la biopsia con el paciente dentro de una unidad de resonancia magnética y si detecta células cancerosas insertará una sonda hasta que llegue al tumor quemando las células afectadas.
  • De momento está en fase de prototipo y el desarrollo de un modelo funcional tardará cuatro años en completarse y pasar las pruebas correspondientes.

Fuente: diamondbackonline

9 de octubre de 2008

CLEARCLICK, la solución al ClickJacking para usuarios de Firefox

El complemento NOSCRIPT ha sido actualizado a la versión 1.8.2.1, en la cual incorporan una nueva característica llamada ClearClick, cuya finalidad está centrada en impedir que el usuario se convierta en víctima del ClickJacking.
  • La funcionalidad de ClearClick se da del siguiente modo: cada vez que el usuario interactúa con una página, ya sea por medio del ratón o teclado, y esta tiene un elemento que está obstruyendo (ya sea transparente o camuflado), NoScript saldrá al ataque con una ventana que te dirá que acción -realmente- estás por ejecutar.
  • En la ventana emergente que nos brindará ClearClick, podremos ver el texto/imagen con el enlace real, y el enlace que se estaba anteponiendo (ClickJacking), pudiendo bloquear incluso el ataque de forma permanente en ese sitio.

Fuente: NOSCRIPT

8 de octubre de 2008

UCSniff software de ataque a sistemas VoIP

El congreso sobre seguridad informática celebrado en San Diego, Toorcon, tendrá la participación de Jason Ostrom, quien hará públicos los detalles de una herramienta que permite tomar control de las comunicaciones por VoIP.
  • La herramienta recibe el nombre de UCSniff, la cual permitiría en primera instancia entrar en un modo de aprendizaje, en el cual examina todo el tráfico dentro de una red, y arma un mapa general de la misma, en el sentido de identificar ‘quien es quien’ (IP <> Número de teléfono).
  • Una vez que UCSniff tiene un mapa armado, este podrá ser usado para hacer maldades, pudiendo ser utilizado de dos formas:
  1. Modo de usuario: seleccionamos un usuario específico de la red, y monitoreamos todas las llamadas que recibe y realiza.
  2. Modo conversación: seleccionamos dos usuarios específicos de la red, y el sistema nos avisará solo cuando estos se comuniquen.
  • El ataque permite no solo conocer los datos de las conexiones realizadas, sino también permite guardar la conversación en un archivo de audio.


Fuente: Cnet

Aumentan las técnicas como el ciber-bullying o el typo-squatting

La ONG Common Sense Media y Trend Micro Internet Safety for Kids & Families se unen para concienciar e instruir a padres, educadores y jóvenes sobre la elección correcta de las páginas web en función de la edad, así como sobre otras cuestiones relacionadas con la seguridad en Internet.

  • Muchos de los padres conocen la existencia del ciber-bullying o ladrones online, pero el equipo de investigación de Trend Micro ha detectado un aumento de páginas web de confianza que ocultan código malicioso instalado en ellas por los ciber-criminales.
  • Los ciber-criminales también están utilizando la técnica del "typo-squatting" para atraer con engaños a navegantes desprevenidos hacia páginas web maliciosas cuando, por accidente, escriben una URL de forma equivocada o con algún error ortográfico.
  • Hasta hace no mucho los niños y jóvenes eran las principales víctimas de este método, pues eran atrapados sin su consentimiento y dirigidos a sites pornográficos.
Fuente: Trend Micro

5 de octubre de 2008

VULNERABILIDADES EN WINZIP 11.X

Se han encontrado múltiples problemas de seguridad en WinZip 11.x que podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario en sistemas Windows 2000.
  • WinZip es actualmente unos de los compresores más extendidos debido a su modo sencillo de trabajar con los archivos y a que permite el manejo de numerosos formatos de compresión, siendo el .zip el usado por defecto.
  • El pasado 25 de Septiembre WinZip Computing lanzaba WinZip 11.2 SR-1, una actualización de seguridad para los usuarios de las versiones 11.x de WinZip en la que se reemplaza la versión obsoleta de gdiplus.dll por la versión actualizada, no vulnerable a los citados problemas.
  • Para acceder a la URL de descarga de WinZip 11.2 SR-1 (Build 8261) pulsar aquí
  • La versión 12 de WinZip, que tampoco sería vulnerable, se puede obtener aquí
Fuente : Hispaset

4 de octubre de 2008

Sistema operativo Linux que arranca en 5 segundos.

En la reunión Linux Plumbers Conference realizada el pasado jueves, dos desarrolladores de Linux, Arjan van de Ven y Auke Kok han presentado un sistema que arranca en sólo cinco segundos.

  • Utilizaron un Asus EEE PC con disco duro flash, también probaron un disco duro tradicional, aunque en ese caso el tiempo de arranque se vio duplicado.
  • Han desarrollado un kernel a partir de Fedora y Moblin que permite cargar de forma selectiva al máximo ritmo de lectura del SSD, lo cual se resume en una plena optimización.

Fuente: LWN

Presentación de Ubuntu 8.10 Beta

Ubuntu anuncia la versión Beta de su sistema operativo “Intrepid Ibex”, en versiones de servidor y sobremesa en sus diversas variantes según servidor de escritorio.

  • El nuevo sistema operativo incluirá soporte de conectividad 3G, muy demandado hoy en día.
  • Entre otras características incluirá cuenta de usuario invitado que permitirá usar el ordenador sin comprometer la seguridad o privacidad del usuario principal.
  • La versión servidor de Ubuntu 8.10 consolida el soporte de virtualización con máquina virtual integrada y ofrece soporte total Java y cifrado por directorio de usuario.
  • La versión beta reúne una gran colección de software y versiones actualizadas del software habitual en Ubuntu.
  • Advertir que aún es versión Beta y no debe instalarse en máquinas que necesiten una estabilidad plena.
  • La versión final llegará el día 30 de octubre según lo previsto.
Fuente: Ubuntu

3 de octubre de 2008

¿Necesita Internet una puesta a punto?

Supuesta nueva vulnerabilidad en el protocolo IP pone en riesgo a toda la Red.
  • Una empresa finlandesa llamada Outpost 24 dice haber descubierto un fallo en el Internet Protocol (IP) que puede provocar una denegación de servicio en todo dispositivo que lo use.
  • Se trata de la tercera "gran alerta" del año.
  • Teniendo en cuenta que es la base sobre la que se sustenta toda Internet, es equivalente a decir que se puede provocar la caída de cualquier aparato con comunicación en la Red.
  • Los investigadores han conocido este problema desde 2005.
  • Según dicen, no han podido encontrar por el momento una solución válida, pero tampoco quieren difundir los detalles por el peligro que supondría el conocimiento público.
  • Advierten que, incluso con IPv6 el problema podría ser incluso más grave.
  • Darán más detalles sobre el problema el 17 de octubre, durante una conferencia en Helsinki.
Fuente: Vnunet

2 de octubre de 2008

Los navegadores envian cada vez más información

Los navegadores de Internet van dejando huellas electrónicas mientras el usuario navega por la red.
  • Los usuarios preocupados por la información que dejen en su naavegación en Internet no deben visitar el sitio Browserspy.
  • Browserspy revela las huellas digitales exactas que el usuario inconscientemente va dejando por Internet. La tecnología usada por Browserspy fue desarrollada por el programador Henrik Gemal hace varios años.
  • ( Inicialmente los sitios de Internet solo registraban la versión del navegador usada al visitarle) .
  • Por ejemplo, los propietarios de los sitios que el usuario visita están en condiciones de saber, por ejemplo, información como fuentes, sistema operativo, dirección IP, (y por ende la ciudad exacta desde la que se conecta el usuario) etc.
  • Asimismo, existe un CCS exploit, que permite ver los sitios visitados recientemente por el usuario.
  • El navegador también informa los programas instalados en el PC, independientemente de si se trata de Adobe Reader, OpenOffice.org, Google Chrome o Microsoft Silverlight, etc.

Fuente: Browserspy.