SEGURIDAD
Novedades en Útiles Gratuitos: Gpg4win
Gpg4win es un paquete de instalación para Windows (2000/XP/2003/Vista) formado por aplicaciones y manuales para el cifrado de ficheros y de correo electrónico. El paquete open-source incluye una serie de herramientas de criptografía desarrollado por la Oficina Federal Alemana para la Seguridad de la Información (BSI).
SARDU:múltiples antivirus en un CD
(…) la unidad creada pueden incluir colecciones completas de Live CD antivirus, distribuciones populares de Linux, herramientas de particionado y discos de recuperación e instalación de distintas versiones de Windows..
Experto acusa a Adobe de ocultar 400 vulnerabilidades en Flash Player
Desafortunadamente, una tecnología como Flash Player de Adobe que tanta vida le ha dado a la web, es pésima en muchos aspectos, desde un rendimiento dudoso a unos constantes agujeros de seguridad que para más inri podrían ser muchos más de los que la compañía admite públicamente.
Descarga software de seguridad
(…) Un selecto grupo de marcadores haría más simple el proceso de visitar cada página oficial, pero SSDownloader te ahorra incluso esa molestia, al ofrecer de forma directa las descargas de las herramientas más importantes de la Web, utilizando una sencilla interfaz…
Cryptocat: Conversaciones encriptadas desde el navegador
(…) Cryptocat se presenta como una de las formas más seguras de hablar por internet al prestar un servicio que pone una encriptación AES256al servicio de tu intimidad al proteger las salas que tú y tus interlocutores crean, siempre con usuarios anónimos y que sólo tú y con quienes hablan conocen…
12 consejos para un smartphone seguro
Como adelanto al informe de seguridad en smartphone que publicaremos en septiembre, os adelantamos 12 sencillos consejos para mantener seguro vuestro smartphone frente a robos de contactos, contraseñas, fotografías o datos personales y accesos ilegítimos a páginas web o compras online.
Seguridad en Instalaciones – Parte 1: Seguridad Física
Toca cambio de tercio. Este artículo está orientado a «abrir» el apetito de los duchos y expertos para que nos muestren, en próximos artículos toda su sabiduría en la materia.
Apaga la WiFi de tu Ay!fon/pad o atente a las consecuencias
(…) Además de estar difundiendo tu dirección BlueTooth por esa curiosa característica que tienen los ay!devices de usarlas consecutivas, resulta que además estás pidiendo a gritos que te roben el tráfico…
Blackhat 2011: Presentación del «battery hack» y su solución
(…) Lo que sí se confirma a través de su PDF es que una posible modificación del firmware podría dejar inutilizada e incluso dañarla (mediante un sobrevoltaje y el posterior calentamiento de la misma) y por ende del equipo..
Ejecución remota de código en BlackBerry Enterprise Server
BlackBerry ha publicado una nueva actualización para corregir cinco graves vulnerabilidades en BlackBerry Enterprise Server. Los problemas podrían permitir a un atacante remoto ejecutar código arbitrario mediante imágenes PNG o TIFF especialmente manipuladas.
Actualización acumulativa para Internet Explorer
Dentro del conjunto de boletines de seguridad de agosto publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS11-057) de una actualización acumulativa para Internet Explorer 6, 7, 8 y 9; que además solventa siete nuevas vulnerabilidades.
Múltiples vulnerabilidades en TYPO3
Según un nuevo reporte oficial de seguridad, se han descubierto 12 vulnerabilidades en TYPO3, relacionadas con Cross-site scripting, revelación de información, denegación de servicio y fallos en las políticas de seguridad en general.
Múltiples vulnerabilidades en Bugzilla
Desde la web de Bugzilla se han anunciado un total de siete vulnerabilidades que han sido solventadas en las nuevas versiones de su software. Entre ellas podemos encontrar ataques de Cross Site Sripting, inyección de cabeceras en correos electrónicos o revelación de información sensible.
Listando ficheros en servidores web con .DS_Store
Uno de los ficheros que la herramienta de búsqueda de backups en FOCA Pro persigue es el .DS_Store. Este fichero se crea cuando el sistema de archivos es manipulado desde un equipo con Mac OS X. Es similar al thumbs.db de los sistemas Windows, pero para los sistemas Apple.
Avance editorial Septiembre 2011
Bosses Love Excel, Hackers Too
Ese es el nombre que al final decidimos poner a la charla sobre cómo saltarse la seguridad de entornos de Terminal Services o Citrix. La verdad es que lo que hicimos con Excel vale también para Power Point, Word o Access, pero nos centramos en Excel por ser quizá uno de los entornos que más tira de VBA para hacer cosas complejas.
Hacking Remote Apps: Descubriendo aplicaciones (3 de 3)
Al igual que vimos en Terminal Services, esto puede ser realizado de manera similar en Citrix, haciendo uso del modificador InitialProgram, tal como vimos en el análisis de parámetros de un fichero ICA.
Vulnerabilidades en SCADA
Stuxnet reemplazaba comandos legítimos del software Siemens Simatic Step7 al PLC (uno tipo de dispositivo de los que se componen los sistemas SCADA). En cambio, las nuevas vulnerabilidades (se abre en nueva ventana) descubiertas por el investigador Dillon Beresford (se abre en nueva ventana) afectan directamente a los dispositivos PLC, sin necesidad del programa Step7.
Anubis: automatización de Footprinting y Fingerprinting
(…) Podréis realizar fuzzing contra el DNS con dos tipos de ataque, el primero de ellos mediante un ataque de fuerza bruta, mediante permutaciones de símbolos y caracteres alfanuméricos, que ya os adelanto que peinará la red de una manera impresionante…
Capacitación gratuita para realizar el CEH de EC-Council
Hace un tiempo en los foros de nuestra comunidad se inició un proyecto para capacitar masivamente y de forma gratuita a nuestros visitantes en una de las certificaciones de seguridad informática mas reconocidas de EC-Council.
Enlaces de la SECmana – 83
La semana queda marcada por los congresos del año, ambos en Las Vegas: BlackHat USA 2011 y Defcon 19.
Tras ganar el último premio de F1 de Hungría, la página web de Jenson Button hackeada.
Subidos nuevos videos de la pasada Rooted CON 2011, esta vez le toca el turno a las charlas de la mañana del Sábado 5 de Marzo
Ya tenemos los ganadores de los Pwnie Awards tras una ceremonia celebrada el 3 de agosto en Las Vegas
Anunciado OllyDbg 2.01 alpha 4, ya se puede descargar desde este enlace, y con varias novedades.
Microsoft lanza el concurso BlueHat Prize, retando a los investigadores de seguridad de todo el mundo a diseñar una tecnología de mitigación
Aunque ya lo hemos comentado en nuestro blog, os dejamos el enlace a la nota de prensa sobre el paso de Mundo Hacker TV a Telecinco
Jim Clausing publica una serie de artículos en el ISC de Sans sobre si nuestras típicas herramientas e infraestructuras están preparadas para IPv6.
El blog de Seguridad Apple cumple un año en la blogosfera, blog recomendado que cuenta con grandes profesionales aportando sus artículos.
Si bien no es un enlace como tal, podríamos definir como imagen de la SECmana la foto de Jake Davis alias Topiary (de Lulzsec) saliendo del juzgado.
Entrevista a comex (Nicholas Allegra) en Forbes, el hacker del jailbreakme que ha aportado grandes investigaciones sobre los dispositivos de Apple.
El software de Cisco, Cisco Telepresence Recording Server, con contraseña de root por defecto. La versión afectada corresponde con la 1.7.2.0.
Llega la versión 4.0 de Metasploit, y en el blog de Rapid7 nos explican cómo actualizar versiones anteriores.
Nueva polémica sobre privacidad y Facebook, «Facebook muestra su número de teléfono sin su permiso».
La vulnerabilidad de ejecución de código mediante el script TimThumb en blogs WordPress, afecta a millones de blogs.
Recordad este nombre «Operation Shady RAT». En estos meses oiremos y veremos estas palabras en multitud de ocasiones y lugares.
SABER
El problema de los líderes narcisistas
(…) Sin embargo, dice, en la vida diaria de una organización, «la comunicación, las perspectivas a y el conocimiento es esencial para tomar buenas decisiones»…
«Curso de Introducción a la Inteligencia Artificial» de Stanford
(…) Los «alumnos online» seguirán las mismas clases, ejercicios e, incluso, podrán preguntar sus dudas a los profesores…
… Y VERGÜENZAS
Se destapa el sistema Copyright Alerts: Estados Unidos monitorizará el BitTorrent
(…) El sistema, bajo el nombre de Copyright Alerts, es un acuerdo alcanzado entre la MPAA y la RIAA (y auspiciado por el gobierno) con los proveedores de Internet en el país…
La denuncia judicial como amenaza y negocio de los abogados y propietarios del copyright
(…) Una vez que esta información está en poder de los abogados del negocio del copyright se le ofrece al presunto infractor la oportunidad de resolver el caso mediante una aportación económica que siempre será menor que la de enfrentarse a un juicio con unos prestigiosos abogados deseando arruinarte la vida…
Cómo funciona PROTECT-IP (y como evitarla)
(…) A nivel técnico, se daría la orden a los servidores de nombres de dominios (DNS) para que pusieran los dominios bajo sospecha en una lista negra, con lo que sería imposible acceder a ellos. También se mandaría la orden a los buscadores para que retirasen de sus resultados los enlaces correspondientes…
DESARROLLO / BASES DE DATOS / SYSADMIN
Gaelyk 1.0
Esta semana Guillaume Laforge anunciaba la disponibilidad de Gaelyk 1.0, la primera versión estable de un toolkit para desarrollar aplicaciones con Groovy en Google App Engine. Gaelyk está construido a partir de los Groovlets y de las Groovy template servlet y proporciona DSL que permiten acceder a los servicios de Google App Engine con una sintaxis más concisa.
Dos VPS muy baratos para alojar tus proyectos
(…) es un PC que está las 24 horas del día encendido a tu servicio y lo puedes usar, no sólo para alojar un sitio web sino para otras cosas, por ejemplo, yo lo usaba como un proxy y tenía una versión de TTytter para tuitear en el trabajo o si quieres lo puedes usar para almacenar cosas que no quieres tener en tu PC o a las que quieras acceder desde la oficina..
Nueva herramienta freeware para la detección de leaks
(…) Con esta herramienta es posible identificar la causa de los leaks antes de obtener un OutOfMemoryException. Esta disponible para su download gratuito en http://ctoblog.lucierna.com/ultimate-weapon-lucierna-kill-memory-leaks/ ..
Aprendiendo NoSQL
La eclosión de twitter, facebook, groupon, amazon, etc… está poniendo muy de moda las nuevas formas de almacenamiento para grandes datos y el rápido acceso a los mismos. Los terminos NoSQL, Big Data, Hadoop… se están haciendo rápidamente populares.
Libro
Professional LAMP: Linux, Apache, MySQL, and PHP 5 Web Development
Descubrimientos del 13 agosto 2011
Descubrimientos del 9 agosto 2011
Descubrimientos del 8 agosto 2011
Descubrimientos del 7 agosto 2011
LINUX
¿Apareció ya la distribución de Linux perfecta?
(…) Contrastando con lo que ocurre en CANONICAL Limited, desde donde se gestan las distribuciones de UBUNTU, en el caso de PCLinuxOS, sucede todo lo contrario, porque la misma ha traído no solamente más eficiencia y seguridad a las máquinas de escritorio, laptops y notebooks, sino que también es fácilmente demostrable que «corre» mucho mejor que UBUNTU 11.04…
Disponible Gentoo 11.2 LiveDVD
Esta disponible la versión 11.2 de este LiveDVD para probar Gentoo con nuevas actualizaciones en las aplicaciones y las mejoras que agregan tanto desarrolladores como usuarios.
COMUNICACIONES
Comparte documentos en las Quedadas de Google+
(…) Esta herramienta para videoconferencias grupales en Google+ ahora adquiere una forma para compartir documentos y editarlos en el momento gracias a Hangout Pad. Que todavía lleno de bugs, tiene un potencial tremendo…
Spam-IP y su honeypot para Spammers
Spam-IP.com es un sitio web dedicado a informar y luchar contra el Spam.
Diglo – Una red para compartir archivos en Internet
Diglo es una red social enfocada en algo más que compartir mensajes de estado, ya que su objetivo es permitir el intercambio de archivos con un límite de 5 Gb de espacio privado y 100 Gb para archivos públicos.
SALUD
Tai Chi Chuan: Una práctica beneficiosa para estar en armonía (+ 2 Videos)
(…) Por ejemplo, las danzas ayudan al desarrollo de la vitalidad, la gimnasia mejora la elasticidad y fortalece las articulaciones y los juegos de manos contribuyen al impulso de la sensibilidad…
Cerveza sin alcohol aumentaría en 30% antioxidantes de leche materna
(…) El estudio se inició en el año 2008 y en el mismo han participado 80 mujeres sanas, con diferente origen y hábitos dietéticos y cuyos bebés han nacido con el peso adecuado para su edad de gestación, explica un comunicado difundido hoy por el Gobierno regional valenciano…
Carne roja aumenta el riesgo de diabetes, según estudio
(…) Además de otros factores de riesgo que deben analizarse en cada caso particular, se comprobó que quienes ingieren 100 gramos de carne roja al día aumentan en un 19% el riesgo de contraer diabetes, mientras que quienes consumen 50 gramos de embutidos incrementan esa posibilidad en 50%…
La caída del Imperio Lactobacilo
(…) Se descubrió que ciertos microorganismos no sobrevivían dentro del alimento probiótico en cuestión durante el periodo de consumo recomendado del mismo, otros bichitos no eran capaces de llegar a la molécula diana donde debían cumplir su objetivo ya que morían por el camino, otros llegaban pero no eran capaces de realizar la misión recomendada…
La levadura protege de las infecciones mortales
(…) El trabajo podría conducir al desarrollo de una vacuna para proteger a personas inmunodeprimidas contra una amplia gama de infecciones por hongos potencialmente mortales…
El rol de la luz en la modulación de la ansiedad y el miedo
(…) Descubrieron que, intensificando la luz ambiental, el ratón experimentaba una mayor reacción de miedo al tono que cuando la luz era más tenue. Esto significa, según Wiltgen, que el ratón, de forma natural, evita ser detectado por los depredadores se quedan paralizados como mecanismo de defensa…
La reducción de la ingesta de sal salvaría millones de vidas cada año en el mundo
(…) Una reducción de sal similar en Estados Unidos se traduciría en 120.000 casos menos de cardiopatía coronaria, unos 66.000 ictus menos y 99.000 ataques al corazón menos cada año. Con ello, también se podrían ahorrar hasta 24 mil millones de dólares anuales en gastos de atención de salud…
Monitorización mediante tatuajes
(…) El conjunto de los tres elementos (receptor, transductor y amplificador) constituye un biosensor. En el caso de los tatuajes, el receptor cambia de color y emite fosforescencia, mientras que el iPhone actúa como transductor…
DE TODO
Detector de Lámparas Quemadas (DIY)
(…) Es decir, podemos controlar el funcionamiento de una resistencia calefactora, un cargador de baterías, un juguete, un relé y por supuesto, una lámpara…
LiveBoot 2012
(…) LiveBoot 2012 es gratis y puedes descargar la suite full para limpiar el disco duro, administrar particiones, realizar Backup y muchas otras funciones para hacer mantenimiento…
Desconectar unidades removibles con seguridad
(…) ProEject en cambio te permite desconectar unidades removibles con seguridad y además borrando todo rastro de tu presencia en ese ordenador. Ideal para misiones secretas…
Kindle Cloud Reader: Servicio de Amazon para leer ebooks en la nube
(…) El resultado es Kindle Cloud Reader, una aplicación basada en HTML5 para leer libros electrónicos en la nube a través de cualquier navegador, tanto de manera online como offline…
Notas tecnológicas 