¡La Informática al límite!
Noticias
Descuido en Telefónica, acceso a redes Wi-Fi
28 ene
Bueno, realmente no sé cómo calificar esto, pero lo que realizan los de Telefónica es -coloquialmente- una ‘metida de pata’.
Resulta que en mi pueblo hay gran abundancia de redes WiFi de esta empresa (Telefónica, Movistar)…Hasta acá vamos bien. Al existir tan fuerte demanda, es común encontrar redes con nombre del tipo:
telefonica_2190000 telecom_2190000 movistar_2190000
Siendo 2190000 el número de la línea telefónica. …Acá todo está NORMAL
¡Pero! Mi sorpresa viene cuando me entero que el patrón que usan sus ‘técnicos’ para asignar las contraseñas de la red inalámbrica, es simplemente agregar el prefijo 009 al número de documento de identidad (cédula de ciudadanía) del titular de la cuenta.
009 + No. Documento Identidad
Quizá esto no suena a un ‘gran dato’, pero realmente es algo que puede acarrear algún que otro inconveniente al propietario de la red, ya que no le otorga la seguridad de la cual, en su ignorancia, cree tener.
Cualquier persona que sepa de este patético patrón usado por los empleados de esta ISP puede obtener acceso de una manera relativamente fácil…Pero ¿Cómo se puede obtener acceso si no sabemos el No. del documento de identidad?
Ok, es algo difícil saber el número de cédula al que esté asignada la línea telefónica con un: así porque sí, pero acá radica otro gran error de Más >
IntyPedia: Enciclopedia visual de la seguridad de la información
6 dic
Intypedia es una enciclopedia visual de la seguridad de la información. El proyecto persigue difundir conocimientos sobre esta temática mediante lecciones en vídeo desarrolladas por destacados expertos usando un lenguaje accesible por un amplio público. La enciclopedia abarca temas como la criptografía, la seguridad en redes, el malware, la seguridad web, entre otros.
Las lecciones publicadas hasta el momento son:
- Lección 1. Historia de la criptografía y su desarrollo en Europa
- Lección 2. Sistemas de cifra con clave secreta
- Lección 3. Sistemas de cifra con clave pública
- Lección 4. Introducción a la seguridad en redes telemáticas
- Lección 5. Seguridad perimetral
- Lección 6. Introducción malware
- Lección 7. Seguridad en aplicaciones web
- Lección 8. Protocolo de reparto de secretos
- Lección 9. Introducción al protocolo SSL
- Lección 10. Ataques al protocolo SSL
- Lección 11. Análisis y gestión de riesgos
- Lección 12. Seguridad en redes WiFi
Fallece Dennis Ritchie, creador del lenguaje C y del sistema operativo Unix
14 oct
Este miércoles se ha sabido que el pasado domingo 9 de octubre, pocos días después del fallecimiento de Steve Jobs, el mundo perdió a otra importante figura de la tecnología, el estadounidense Dennis Ritchie, creador del lenguaje C y del sistema operativo Unix, quien murió a la edad de 70 años.
La noticia no se ha dado a conocer de forma oficial sino que se ha hecho pública a raíz de un comentario de su excompañero Robert Pike en Google +. “Acabo de enterarme que, tras una larga enfermedad, Dennis Ritchie murió en su hogar este fin de semana. No tengo mayores detalles, sin embargo confío en que habrá gente que apreciará el alcance de sus contribuciones y sentirá su partida apropiadamente”, dijo Pike.
“Él era un hombre tranquilo y celoso de su privacidad, pero era también mi amigo, colega y colaborador. El mundo ha perdido a una mente realmente grandiosa”, explicó.
Quizás la mayor contribución de Ritchie a la era de la informática fue la creación del lenguaje C, un lenguaje de programación ampliamente utilizado para crear software de sistemas y aplicaciones que además ha sido de gran influencia para lenguajes posteriores como el Java.
Por otro lado, este pionero de la informática también Más >
Murió Steve Jobs, el genio de Apple
5 oct
El co fundador del imperio de la tecnología falleció hoy tras una larga enfermedad. La página oficial de la empresa confirmó su deceso. Además publicó su pesar frente a la partida de su principal mentor. Notas Asociadas
Steve Jobs, ex fundador de la compañía informática Apple, falleció a los 56 años, según confirmó la firma. Desde el 2003, padecía un cáncer pancreático, lo que lo obligó a abandonar su trabajo. También había sido sometido a un transplante de hígado.
“Siempre dije que si llegaba el día en el que no pudiera cumplir con mis deberes y las expectativas como CEO de Apple sería el primero en hacérselos saber. Lamentablemente ese día ha llegado”, indicó Jobs entonces en la misiva.
Jobs es considerado el autor intelectual de exitosos productos de Apple como el teléfono móvil Iphone y el reproductor de música Ipod, según reportaron las agencias Ansa y DPA. En 1976 fundó la compañía junto a Steve Wozniak y Ronald Wayne, y jugó un papel fundamental en la revolución de las computadoras personales. En 1985 fue expulsado de la empresa, lo que provocó una caída en los ingresos de Apple, que se revirtió sólo con su regreso en 1996.
En su sitio web, la empresa Más >
Delphi XE2…¡Windows (32 & 64 bit), MacOS e iOS!
18 sep
Hola a todos,
Delphi XE2 es el nuevo producto de la cadena de “Delphi” de Embarcadero.
Ahora este RAD incluye el framework FireMonkey. Esto nos permite hacer aplicaciones nativas para Windows ( 32-bit & 64-bit ), MacOS e iOS ( iPad, iPhone, iPod Touch), asimismo, se espera que próximamente se incluya Linux y Android.
Esta nueva versión realmente promete mucho, y espero que en un futuro ( XE3, quizá ) se puedan realizar aplicaciones nativas para Linux, lo cual le daría una gran cuota al desarrollo de aplicaciones en ObjectPascal.
Capturas Vídeo de demostración
Más información ( + Descarga del free trial ) http://edn.embarcadero.com/article/41593
Cross Site Scripting en jQuery 1.6
10 sep
Se ha arreglado una vulnerabilidad que permitía realizar ataques Cross Site Scripting (XSS) en jQuery 1.6. La vulnerabilidad podía ser explotada en ciertos sitios que utilizaran la variable ‘location.hash’ en un contexto que no fuera el de Cascading Style Sheets (CSS).
jQuery es una biblioteca o framework javascript de software libre y código abierto. Es compatible con la mayoría de navegadores actuales y ofrece una serie de funcionalidades basadas en javascript que de otra manera requerirían muchas líneas de código. Así, permite simplificar la manera de interactuar con los documentos HTML, manipular el árbol DOM, manejar eventos, desarrollar animaciones y agregar interacción con la técnica AJAX a páginas web.
El error se produce cuando se introduce el símbolo ‘#’ en la URL seguido del código que se desee inyectar, puesto que jQuery espera (erróneamente) que la cadena que se va a encontrar a continuación sea código CSS. Debido a esto no realizan las comprobaciones necesarias para limpiar el contenido de la variable ‘location.hash’. Al parecer es una costumbre bastante extendida en algunas webs, utilizar el contenido de esta variable para fines diferentes a los originales (para ser insertada en código CSS). Es el caso de evernote.com o skype.com, entre otras. Por esto, se ha optado en la Más >
Anonymous lanza una herramienta para secuestrar los trending topics de Twitter
9 sep
El colectivo de “hacktivistas” Anonymous lanzó una nueva herramienta diseñada para secuestrar los trending topics de Twitter, llenándolos de mensajes que tengan que ver con ellos. Llamada URGE (Universal Rapid Gamma Emitter), el software – en beta – está disponible para descargar en PCs con Windows y requiere .Net Framework 4 para funcionar.
“Esta no es una herramienta de hackeo ni de exploit. Fue creada para que sea más fácil para nosotros twittear más rápido sin tener que estar copiando y pegando constantemente”, señaló el grupo en un comunicado.
Anonymous dijo también estar frustrado de que salgan puros temas triviales y de la “cultura pop” en los trending topics y no cosas que “sirvan a la causa”.
“Sólo destacan temas que ‘atraen’ a la gente y que puedan hacer que la gente twittee más. Esto es patético a nuestros ojos, y no podíamos soportarlo más”, agrega el comunicado.
No se explica mucho cómo funciona URGE, fuera de señalar que “secuestra los trending topics de nuestra elección y nos permite twittear mensajes con ellos”.
Fuente: FayerWayer.com
Fallo en facebook que permite apropiación de páginas creadas
8 sep
El portal Naked Security ha detectado un fallo en el sistema de administración de las páginas de facebook, que podría comprometer la autoridad de los creadores originales.
Según el portal especializado en seguridad de Sophos, se ha demostrado un fallo en el sistema que permitiría a los usuarios elevados a administradores eliminar a los creadores originales de las páginas, contrariamente a lo que Facebook afirma en sus condiciones del servicio.
De esta forma, si el responsable de una página de Facebook decide ascender a un contacto para que sea administrador, podría ver como su contacto elimina sus privilegios.
El portal Naked Security asegura que esta práctica es posible y contradice las normas del servicio de Facebook. Citando una respuesta de Facebook FAQ, el portal asegura que en las condiciones de Facebook figura la cláusula: “El creador original de una página no podrá ser eliminado por otros administradores”.
Para demostrar el fallo del sistema, en Naked Security han publicado un vídeo en el que se puede ver todo el proceso y se comprueba el fallo descrito.
Presentaciones de la Defcon19 (2011)
19 ago
Fueron publicadas las presentaciones de la DefCon19. Están en inglés, obviamente, y algunas son bastante complejas si no estás en la explicación, pero de igual forma, encontrarás varias entretenidas.
¡Échale un vistazo!
File or Directory Name Size (Units) dc-19-program.pdf (19.01 MiB) DEFCON-19-Abstrct-The-Schemaverse-Guide.pdf (592.27 KiB) DEFCON-19-Abstrct-The-Schemaverse.pdf (993.54 KiB) DEFCON-19-Almeida-Workshop-ESD.pdf (1.85 MiB) DEFCON-19-Alonso-Garrido-DUST.pdf (1.78 MiB) DEFCON-19-Alonso-Garrido-Excel.pdf (458.22 KiB) DEFCON-19-Arlen-Nano-Seconds-WP.pdf (177.42 KiB) DEFCON-19-Arlen-Nano-Seconds.pdf (5.40 MiB) DEFCON-19-Arpaia-Reed-Beat-to-1337.pdf (99.74 KiB) DEFCON-19-Baldwin-DVCS-WP.pdf (102.23 KiB) DEFCON-19-Baldwin-DVCS.pdf (2.69 MiB) DEFCON-19-Barisani-Bianco-Laurie-Franken.pdf (2.01 MiB) DEFCON-19-Barnett-Deceptive-Hacking-WP.pdf (822.13 KiB) DEFCON-19-Barnett-Deceptive-Hacking.pdf (717.56 KiB) DEFCON-19-Bilodeau-FingerBank.pdf (214.22 KiB) DEFCON-19-Bilodeau-PacketFence.pdf (1005.30 KiB) DEFCON-19-Bouillon-Federation-and-Empire.pdf (19.63 MiB) DEFCON-19-Bowne-Three-Generations-of-DoS-Attacks.pdf (2.38 MiB) DEFCON-19-Brooks-Wilson-Traps-of-Gold.pdf (4.89 MiB) DEFCON-19-Bryner-Kinectasploit.pdf (1.07 MiB) DEFCON-19-Carey-Metasploit-vSploit-Modules.pdf (1.08 MiB) DEFCON-19-Chamales-Securing-Crisis-Maps.pdf (24.78 MiB) DEFCON-19-Chow-Abusing-HTML5.pdf (124.22 KiB) DEFCON-19-Conti-Security-Research.pdf (8.53 MiB) DEFCON-19-Cook-Kernel-Exploitation.pdf (564.81 KiB) DEFCON-19-Craig-Internet-Kiosk-Terminals.pdf (1.56 MiB) DEFCON-19-Crenshaw-Cipherspaces-Darknets.pdf (5.12 MiB) DEFCON-19-Crowley-Cryptographic-Oracles.pdf (5.49 MiB) DEFCON-19-Cryer-Taking-Your-Ball-and-Going-Home.pdf (5.58 MiB) DEFCON-19-DC-Groups-Panel.pdf (19.67 MiB) DEFCON-19-Devarajan-LeBert-VDLDS.pptx.pdf (298.56 KiB) DEFCON-19-Dinaburg-Bit-Squatting.pdf (11.86 MiB) DEFCON-19-Duckwall-Bridge-Too-Far.pdf (1.28 MiB) DEFCON-19-Elhage-Virtualization-Under-Attack.pdf (422.68 KiB) DEFCON-19-Elrod-Morris-Not-a-Doctor.pdf (297.53 KiB) DEFCON-19-Engebretson-Pauli-Pen-Testing.pdf (759.48 KiB) DEFCON-19-Fail-Panel.pdf (347.34 KiB) DEFCON-19-Feinstein-Jarmoc-Get-Off-of-My-Cloud.pdf (1.41 MiB) DEFCON-19-Foofus-Forceful-Browsing-WP.pdf (417.46 KiB) DEFCON-19-Fritschie-Witmer-F-On-the-River.pdf (2.76 MiB) DEFCON-19-Garcia-UPnP-Mapping-WP.pdf (252.99 KiB) DEFCON-19-Garcia-UPnP-Mapping.pdf (204.41 KiB) DEFCON-19-Gavin-OpenDLP.pdf (61.34 KiB) DEFCON-19-Geers-Strategic-Cyber-Security-WP.pdf (6.35 MiB) DEFCON-19-Geers-Strategic-Cyber-Security.pdf (1.57 MiB) DEFCON-19-Gomez-Bulletproofing-The-Cloud.pdf (17.52 MiB) DEFCON-19-Hamiel-Smartfuzzing_the_Web_DC.pdf (744.91 KiB) DEFCON-19-Havelt-Henrique.pdf (3.22 MiB) DEFCON-19-Heiland-Printer-To-Pwnd.pdf (2.09 MiB) DEFCON-19-Holt-Kilger-Assessing-Civilian-Willingness.pdf (248.35 KiB) DEFCON-19-Howard-Cyber-Security-Trends-WP.pdf (456.41 KiB) DEFCON-19-Howard-Cyber-Security-Trends.pdf (2.69 MiB) DEFCON-19-Imhoff-Password-Cracking.pdf (574.54 KiB) DEFCON-19-JackDaniel-PCI-2-PANEL.pdf (875.54 KiB) DEFCON-19-Jakhar-Jugaad-Linux-Thread-Injection.pdf (168.53 KiB) DEFCON-19-Kennedy-Pentesting-Over-Powerlines-2.pdf (1.17 MiB) DEFCON-19-Kennish-Tracking-the-Trackers.pdf (3.83 MiB) DEFCON-19-Kornbrust-Hacking-and-Securing-DB2.pdf (664.58 KiB) DEFCON-19-Kotler-Amit-Sounds-Like-Botnet.pdf (586.40 KiB) DEFCON-19-Krick-License-to-Transmit.pdf (11.74 MiB) DEFCON-19-Lai-Wu-Chiu-PK-APT-Secrets-2.pdf (12.48 MiB) DEFCON-19-Lenik-MAC(b)Daddy.pdf (753.41 KiB) DEFCON-19-Linn-PIG-Finding-Truffles.pdf (3.36 MiB) DEFCON-19-Maresca-FIPS-140.pdf (294.20 KiB) DEFCON-19-Marpet-Gostom-Smile-for-the-Grenade.pdf (7.68 MiB) DEFCON-19-McCoy-Hacking-Net.pdf (3.98 MiB) DEFCON-19-McGrew-Covert-WP.pdf (542.33 KiB) DEFCON-19-McGrew-Covert.pdf (2.44 MiB) DEFCON-19-McNabb-Vulns-Wireless-Water-Meter-Networks.pdf (2.62 MiB) DEFCON-19-Miller-Battery-Firmware-Hacking.pdf (43.52 MiB) DEFCON-19-O’Neil-Chin-Google-Android.pdf (4.85 MiB) DEFCON-19-Ocepek-Blinkie-Lights-Arduino.pdf (11.74 MiB) DEFCON-19-Ollam-Gun-Safes.pdf (27.28 MiB) DEFCON-19-Osborn-Johansen-Hacking-Google-Chrome-OS.pdf (9.45 KiB) DEFCON-19-Percoco-Spiderlabs-Droid.pdf (5.62 MiB) DEFCON-19-Percoco-Spiderlabs-Malware-Freakshow-3.pdf (3.81 MiB) DEFCON-19-Percoco-Spiderlabs-SSLizzard.pdf (4.45 MiB) DEFCON-19-Phillips-Hacking-MMORPGs.pdf (870.61 KiB) DEFCON-19-Pickett-Port-Scanning-Without-Packets.pdf (8.22 MiB) DEFCON-19-Pickett-Resources.pdf (24.66 KiB) DEFCON-19-Pittman-Password-Fail.pdf (2.52 MiB) DEFCON-19-Rezchikov-Wang-Engelman-Airport-Security-WP.pdf (344.67 KiB) DEFCON-19-Robinson-Time.pdf (1.36 MiB) Más >
Inyección masiva de iframes a sitios de e-commerce
31 jul
Un grupo de investigadores publicó en su blog, una nueva alerta de un ataque masivo a páginas con inyección de iframe activo, que estuvo particularmente focalizado en sitios de e-commerce. El ataque fue reportado con más de 90 mil páginas afectadas. El iframe permite la ejecución de contenido externo en la página que se está visitando. De esta forma, los visitantes de todos los sitios afectados podían infectarse con malware por el solo hecho de visitar un sitio web de confianza.
A través de diversas vulnerabilidades, todas las páginas afectadas se encuentran con la siguiente inyección de iframe:
Una vez que el usuario visita alguna de las web infectadas, se ejecuta en la maquina del usuario, a través de un ataque multi-stage, código javascript que explota las siguientes vulnerabilidades que afectan al explorador web:
CVE-2010-0840 – Java Trust CVE-2010-0188 – PDF LibTiff CVE-2010-0886 – Java SMB CVE-2006-0003 – IE MDAC CVE-2010-1885 – HCP
Los dominios donde se alojan los exploit se encuentran en Rusia y son bloqueadas por nuestro software de seguridad. Analizando los sitios donde se encontraba presente este iframe, pudimos encontrar que estos son sensibles a inyecciones de SQL.
Fuente: ESET
