Actualización de seguridad del kernel de SuSE Linux Enterprise 10
Filed under: 7gnews, Linux, Seguridad, Sistemas Operativos
SuSE ha publicado la actualización del kernel para SuSE Linux Enterprise Server y Desktop en su versión 10 SP3 en la que se corrigen dos vulnerabilidades de denegación de servicio.
 suse linux enterprise desktop |
 suse linux enterprise server |
Uno de los problemas corregidos en que la pila de procesos puede crecer hasta sobreescribir otras áreas mapeadas, esto podría conllevar la terminación del proceso. Un segundo problema, consiste en una denegación de servicio del servidor NFSv4 ante peticiones específicamente construidas.
Los responsables de la distribución comercial de Novell recomiendan una actualización inmediata. Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST
Aplicaciones malisiosas en Android
Filed under: 7gnews, Android, Seguridad, Sistemas Operativos, Software Libre, Varios
En Android estan apareciendo algunas aplicaciones maliciosas creadas con el objetivo de conseguir información personal o simplemente para dañar o estafar. En este sentido la App Store de Apple es mucho más segura ya que todas las aplicaciones disponibles son supervisadas antes de darle el visto bueno.
El precio que pagas por esta seguridad es el no poder instalar cualquier aplicación sino sólo las que Apple apruebe, en el caso de Android, la libertad que te dan se puede tornar peligrosa si instalas cualquier cosa sin antes tomar alguna que otra precaución.
El principal problema de seguridad de este SO , como de cualquier SO es el propio usuario, si haces algunas cosas que no debes, ni el mejor antivirus podrá salvarte.
Un ejemplo es 3G Adult Movies: esta es una de esas aplicaciones “picantonas” que tientan a mas de uno. Se trata de una aplicación que nos permite visualizar videos de contenido para adultos, de los catalogados X. El caso es que cuando intentas instalarla desde el Apktor, clon del citado Aptoide, nos pide que le demos permiso a dicha aplicación a acceder a algunos parámetros de nuestro móvil y es esa 3gadult una de las pantallas que deberíamos ver con atención.
En el caso de 3G Adult Movies nos pide permiso para modificar el contenido de la SD, algo poco sospechoso ya que en algún sitio tiene que almacenar los vídeos que descargemos, en segundo lugar nos pide paso en la conexión de datos, es de Perogruyo la necesidad de tener este acceso pero… ¿Y el tercero?
Nos pide acceso a las Llamadas de Teléfono, ¿Es realmente necesario que acceda a nuestra identidad y estado del teléfono?
El funcionamiento interno de Android pide permiso para muchas cosas y el usuario opta por dar el OK.
Si alguna vez te topas con una aplicación para descargar fondos de pantalla que te pide acceso a la mensajería por sms o mms por ejemplo, permíteme que te recomiende que no la instales, sobre todo si no está en el Market donde, pese a que no se hace un estudio pormenorizado, si que está un poco más controlado.
Pero Google esta tratando de solucionar este problema notificando la eliminación remota de aplicaciones maliciosas en los terminales Android.
Hace unos dias salió un estudio que aseguraba que una de cada cuatro aplicaciones estaban afectadas por código malicioso que podría afectar severamente a nuestro teléfono si no andábamos con ojo.
Google ha comunicado que a partir de ahora : los usuarios que esten afectados por software malisioso serán notificados con un mensaje en la barra superior, indicándoles que se procederá al borrado de dicho software
Google quiere dejar de manera transparente y clara el asunto de las eliminaciones remota, haciendo ver que están pendientes de la seguridad de su sistema y que no hay ninguno en el mundo que no sea vulnerable a las malas intenciones de algunos.
Norton Antivirus disponible para Android
El famoso Software Antivirus “Norton Antivirus”, ya tiene su versión para los celulares con Android.
Norton Antivirus es uno de los antivirus más conocidos en el mundo , y ahora pretenden ampliar sus horizontes hacia los celulares con Android.
Norton Smartphone Security, en fase beta actualmente, no tiene muchas características que resalten, una de las principales es que podremos, remotamente, bloquear ciertas opciones del terminal que ayudan en caso de perdida, ademas posee un analizador de malware y bloqueo de llamadas no deseadas.
Si esto les parece buena noticia,tambien se lanzó Norton Connect, que permite a los usuarios de Norton 360 o Norton Backup compartir archivos de cualquier tipo desde sus terminales, además de tener su propio espacio en la nube al estilo Dropbox o Wuala, ofreciendo garantías de descargas seguras.
Aparecio spyware en Mac OS X
Intego ha descubierto una aplicación de software espía instalada por diversos programas y salvapantallas de Mac distribuidos de forma gratuita y que se encuentran en distintas webs.
Conocido como OSX/OpinionSpy, el spyware no está contenido dentro de las aplicaciones sospechosas sino que es descargado durante el proceso de instalación de las mismas, por lo que el usuario no tiene por qué enterarse de lo que realmente está ocurriendo.
El “malware”, cuya versión para Windows existe desde 2008, afirma recoger información relativa a la navegación y a las compras para estudios de mercado. No obstante, este programa va mucho más allá, realizando distintas acciones engañosas que han obligado a Intego a clasificarlo como software espía.
La mayoría de estas aplicaciones fueron encontradas en páginas como Softpedia, MacUpdate o VersionTracker y entre los causantes de los problemas se encuentran varios programas de conversión de audio, como el MishInc FLV to MP3 y, sobre todo, protectores de pantalla de la compañía 7art.
Una vez instalada la aplicación, que también puede presentarse como la instalación de un add-on sobre investigaciones de mercado, ésta escanea nuestros archivos y carpetas del sistema y envía regularmente información encriptada a servidores externos con datos concretos que todavía no se conocen. Otro aspecto peligroso de este spyware es que también inyecta código en aplicaciones como Firefox, Safari o iChat (sin la aprobación del usuario) para copiar información contenida en dichos programas y que puede ser bastante sensible.
Lea la noticia Oficial en Intego
Segun la UE :Google, Microsoft y Yahoo! incumplen las normas europeas sobre protección de datos personales
Filed under: 7gnews, Derecho Informatico, Seguridad, Varios
La UE advierte a Google, Microsoft y Yahoo! de que incumplen las normas europeas sobre protección de datos personales. Sus métodos para garantizar el anonimato de las búsquedas de los usuarios continúa sin respetar la directiva comunitaria sobre protección de datos. Los responsables de protección de datos -que se reúnen en el denominado grupo de trabajo del artículo 29- enviaron sendas cartas a los tres buscadores en las que “admiten sus esfuerzos para adaptar sus políticas a la legislación europea de protección de datos”. Pero les piden que recurran a un auditor externo con el objetivo de “verificar su compromiso para que los datos de las búsquedas en Internet de sus usuarios sean absolutamente anónimos”, según informaron en un comunicado.
Proteccion de datos
El grupo de trabajo envió además copias de estas cartas a la vicepresidenta de la Comisión y responsable de Justicia, Viviane Reding, y a la Comisión Federal de Comercio de Estados Unidos. En esta última misiva, los responsables de protección de datos pidieron a las autoridades norteamericanas si la actuación de Google, Microsoft y Yahoo respeta las disposiciones de la normativa de EEUU que prohíbe las prácticas engañosas o injustas.
Estas cartas se envíaron después del llamamiento lanzado a los buscadores por las autoridades europeas para que reduzcan a seis meses el periodo durante el que almacenan los datos de las búsquedas antes de convertirlos en anónimos. El grupo de trabajo alertó de que el historial de búsquedas de un usuario incluye una “huella” de sus intereses y relaciones personales y de que esta información “puede utilizarse mal de muchas maneras”.
Los responsables de protección de datos pidieron además a las compañías que recorten el periodo de retención de datos de los actuales nueve meses a seis meses. El grupo de trabajo consideró “preocupante” la falta de actuación de la compañía para resolver los problemas de retención de datos teniendo en cuenta que su cuota de mercado en los países de la UE llega hasta el 95%.
“El tratamiento legal y justo de los datos personales por parte de los motores de búsqueda es cada vez más importante debido a la explosión y proliferación de datos audiovisuales (imágenes digitales, audio y contenido de vídeo) y el uso cada vez mayor de servicios de localización en Internet”, dijo el grupo de trabajo en un comunicado.
Zeus ataca a los usuarios de Firefox
El troyano bancario , Zeus, ha tomado como blanco a los usuarios de Mozilla Firefox por primera vez en su historia, según la compañía de seguridad Trusteer.
También conocido como Zbot, Zeus está diseñado para robar los datos de entrada en banking de sus víctimas, utilizando para ello un sofisticado método de usurpación, además de keylogging. Hasta el momento, su principal objetivo había sido Internet Explorer debido a los niveles de seguridad propios de Firefox.
Sin embargo, según Trusteer, la versión 2.0 del troyano Zeus ha logrado romper la seguridad de Firefox, y se encuentra ya en uno de cada 3.000 PC escaneados por el servicio Rapport de la compañía.
Trusteer califica la situación de “un nivel de distribución sin precedentes” y su CTO, Amit Klein, asegura que la firma “espera que esta nueva versión de Zeus aumente significativamente las pérdidas por fraude, dado que casi el 30% de los usuarios de Internet realizan sus actividades de banca online con Firefox y el ritmo de infección de este malware aumenta más rápidamente de lo que haya podido verse hasta el momento.
Recordemos que Zeus está diseñado para robar datos bancarios, y actualmente es uno de los “troyanos financieros” más importantes, presente en unos 74.000 ordenadores en todo el mundo. Pero además de que continúa extendiéndose, lo más preocupante es que sigue evolucionado y utilizando técnicas más complejas de ataques.
Esta nueva versión del malware hace uso de técnicas de inyección de HTML y manipulación de transacciones para eludir la restricciones de seguridad más elevadas a la hora de realizar operaciones de banca en línea.
El portavoz de Mozilla declaró que Zeus no explota ninguna vulnerabilidad en Firefox, pero una vez que se ha instalado en el ordenador todas las aplicaciones corren riesgo.
Samsung presenta tarjetas SDHC a prueba de agua, golpes e imanes
Filed under: 7gnews, Hardware, Seguridad, Tecnologia
El mercado esta cada vez mas exigente y una tarjetas SDHC debe ser resistente a todo.
Si eres deportista extremo , surfeas, practicas paracaídismo y cualquier otro deporte de riesgo , la gente de Samsung ahora presentó unas tarjetas que son a prueba de agua, imanes y golpes.
Se tratan de memorias SDHC de 8GB que pueden ser utilizadas en cualquier dispositivo que tenga soporte para este tipo de tarjetas de memoria y la diferencia con las convencionales es que éstas soportarán agua, imanes y golpes.
Samsung-SDHC
Parece que la gente de Samsung quiere que protejas tu información al máximo , obviamente no se informó cuándo estarán disponibles para el público y cuánto costarán.
Sony presenta su primer lector de venas como método de seguridad biométrica
Filed under: 7gnews, Hardware, Seguridad, Tecnologia
Sony anunció un nuevo sistema de seguridad, el primer producto a la venta usando el sistema Mofiria, como modelo se llama FVA-U1, pero simplemente es Sony Mofiria.
Mofiria es una tecnología que se basa en la lectura de la posición de las venas de tu dedo. Concretamente es un sistema compuesto por una pequeña cámara y unos emisores de luz infrarroja, así la cámara es capaz de ver la posición y distancia de tus venas, que como las huellas dactilares, la posición de esas venas es única.
Es un gadget que se conecta mediante USB a tu ordenador y que como todo sistema de seguridad que se precie, permite crear diferentes usuarios y por cada usuario reconocer varias posiciones de venas de diferentes dedos.
Un detalle importante de este sistema de Sony es que no tenemos que tener el dedo colocado siempre de la misma forma, algo que sí es recomendable en los sistemas actuales basado en huella dactilar. El sistema asociado con el sensor CMOS se encarga de modificar el resultado de forma fiable aunque el dedo no lo coloquemos de la manera más adecuada.
Verbatim presentó el primer disco SSD con formato ExpressCard y cifrado AES 256-bits
Filed under: 7gnews, Hardware, Seguridad, Tecnologia
El disco, que viene en versiones de 16GB y 32GB y que más adelante se presentará la versión de 64GB, tiene cifrado AES 256-bits a través de hardware, lo que hará prácticamente imposible (ningún sistema es 100% seguro) de sobrepasar la seguridad.
De hecho, si alguien trata de ingresar y pone el password 10 veces erróneamente toda la información será eliminada.
Siempre hay gente que realmente necesita guardar su información más de la cuenta y este disco SSD de Verbatim, que viene en formato ExpressCard, podría llegar a servirle.
El costo para que tus datos esten seguros es desde US$150.
Tips basicos para generar codigo PHP mas seguro
Filed under: 7gnews, Programacion, Seguridad
Muchos son los errores al crear una aplicación web que pueden costar la filtracion de datos sensibles.Por eso les presentare algunas recomendaciones.
Veamos “Los ataques mas comunes”
En cualquier sistema:
-Obtención de la base de datos completa usando sentencias SELECT
-Modificación o inserción de datos usando INSERT o UPDATE
-Borrado de la base de datos usando DELETE
Solo en servidores Windows:
-Ejecución de comandos del sistema operativo usando EXEC master.dbo.xp_cmdshell por ejemplo, el valor de pass sería pass=hack’ EXEC master.dbo.xp_cmdshell’cmd.exe dir c:’–
-Apagado remoto del servidor pass=hack’ EXEC master.dbo.xp_cmdshell’cmd.exe shutdown’–
-Compartición de ficheros EXEC master.dbo.xp_cmdshell’ NET SHARE x=c:
Mis Recomendaciones
Para el caso de PHP existen 2 recomendaciones que yo creo que son fundamentales para evitar la inyección de SQL, que es uno de los ataques más habituales y sencillos de realizar, normalmente sobre campos de búsqueda ya que implican siempre el uso de la cláusula WHERE y por tanto un camino sencillo para meter código SQL sin errores.
1) Uso de funciones que comprueben los tipos de datos recibidos, para asegurarnos que lo que vamos a usar en la consulta es del tipo que tiene que ser. Esto se puede complementar con control de longitudes en caso de strings, ya que si el campo es de unos 10 caracteres de tipo texto, limitando a eso podemos evitar inserción de consultas por el mero hecho del tamaño del string.
2) Uso de funciones que controlan el escape de caracteres de forma correcta. Hace tiempo en PHP se usaba el addslashes y stripslashes, o las famosas magic_quotes, pero con el tiempo por motivos de eficiencia y efectos secundarios, las funciones recomendadas son las siguientes:
Versiones de PHP inferiores a la 4.3 – mysql_escape_string
Versiones de PHP iguales o superiores a la 4.3 – mysql_real_escape_string
Lo que hace mysql_real_escape string es comprobar un campo y fijarse si hay posibilidad de que puedan hacer un intento de defacing o algo similar, si hay posibilidad modifica el string y lo deja seguro para ser pasado en una consulta a la base de datos.
Otra funcion que puede ser util es strip_tags
Strip Tags lo que hace es quitar todo el codigo html de un string de manera tal que el solo queden en el string carácteres alfanúmericos.
¿Que Hacer?
Siempre realizar Consultas concretas :Una consulta devuelve los datos que se necesitan y en la forma en que se necesitan, nada mas. Terminantemente prohibido utilizar consultas con comodín como SELECT * FROM customers en producción, en su lugar: SELECT name,dni FROM customers.
Comprobar parámetros de entrada : Normalmente componemos una consulta SQL a partir de unos parámetros que llegan de un formulario, mediante los métodos GET o POST del protocolo HTTP. Todos los parámetros provenientes de estos métodos son potencialmente peligrosos y tenemos que desconfiar al máximo.
Evitar parametros por JavaScript : Hay gente que filtra los parámetros en el lado del cliente utilizando Javascript, esto da una falsa sensación de seguridad. Es muy sencillo pasar por alto la comprobación e inyectar los datos que queramos sin ningún problema. La única solución definitiva es filtrar en el lado del servidor.
Casos clasicos de comprobacion de datos:
- Comprobar que el dato no este vacío: Podemos utilizar una serie de sentencias if() pero lo mas rápido y seguro es utilizar la función empty() de PHP que comprueba números, cadenas y lo que le eches.
- Comprobar si el dato es numérico: Si el dato que esperamos es numérico lo mas rápido y sencillo es hacer una conversión de tipo por la fuerza: si el dato es legitimo no pasara nada, en otro caso obtendremos una representación numérica valida que no afectara a la consulta.
$id = (int)$_GET['id'];
O el tipo que toque en cada caso.
- Comprobar si el dato es una cadena de caracteres: Si la cadena que esperamos tiene un formato predefinido podemos utilizar una expresión regular para validarlo con la función grep_match().
En otro caso tenemos que evitar los “caracteres mágicos” que pueden romper la consulta, estos son: comillas simples, comillas dobles y doble guión. Aplicaremos la política de sustituirlos por una cadena de escape si nos encontramos con ellos o mejor, si nuestra base de datos es MySQL, utilizar la función mysql_escape_string() que se encarga de limpiar todos estos caracteres antes de insertarlos.
Entre todos los recursos que he probado y estudiando, estos son los que creo más elaborados, fiables y útiles.
Todo esto se puede reemplazar o complementar, dependiendo del caso, con PEAR Package DB.El inconveniente es que tendrás que depender siempre de sus paquetes. Pero la ventaja es la despreocupación.
Hay metodos de Inyecccion SQL muchos mas avanzados que pueden llegar a saltar la seguridad de una web.Pero generalmente los errores por los cual se logra un acceso son los mas simples.Un ejemplo que puedo nombrar es Blind SQL Injection.
Recomiendo la lectura de :
Documentacion Guia de seguridad en Php(en ingles): http://dev.mysql.com/tech-resources/articles/guide-to-php-security-ch3.pdf
Documentacion de PEAR Package DB: http://pear.php.net/package/DB/Documentacion sobre Inyección SQL: http://es.wikipedia.org/wiki/Inyección_SQL
El video de Dani Kachakil & Pedro Laguna: “Time-Based Blind SQL Injectión”
Siguenos
Promociones
