SEGURIDAD
Actualización de seguridad para Google Chrome
Google ha publicado la versión 13.0.782.215 de su navegador Chrome para todas las plataformas. En esta ocasión se han corregido once vulnerabilidades, una considerada crítica, nueve de carácter alto y una como moderada.
La ciberguerrilla revela filtración de información privilegiada respecto a la rebaja de calificación del fabricante de drones asesinos
(…) Esta «visión única» sin embargo, no impidió que AntiSec secuestrara secretamente miles de correos electrónicos del vicepresidente sénior de VDI, Richard T. García, un ex director adjunto del FBI en Los Angeles, quien recientemente abandonó un puesto bien remunerado como Gerente Global de Seguridad en la destructora del medio ambiente Shell Oil Corporation (¿se puede hablar del Delta del Níger?) para cambiar de aires…
Actualización del kernel de Ubuntu Linux
(…) Concretamente se trataba de vulnerabilidades en el sistema de archivos /proc, en Bluetooth, el filtrado de red, la pila de red DCCP, dispositivos TPM, el subsistema IRDA y redes X.25, que con la versión 2.6.24-29.93 han pasado a la historia…
¿Contra quién estamos luchando?
(…) El atacante ni siquiera tiene que ser especialmente hábil, es suficiente con que sea perseverante. Es cuestión de tiempo que encuentre una brecha en la seguridad perimetral o que aprenda lo suficiente para abrir una…
El cifrado AES, ¿está roto o no?
(…) En el sentido estrictamente académico, en algoritmo está «roto» puesto que se ha reducido (aunque sea en 2 bits) el espacio de claves necesario para calcular la clave por fuerza bruta. Sin embargo, «roto» no significa que no pueda ser usado con seguridad todavía…
Vulnerabilidad en HP Easy Printer Care
Se ha anunciado una vulnerabilidad en el software HP Easy Printer Care 2.5 (y anteriores) que podría permitir a un atacante tomar el control de los sistemas afectados.
Top 5 errores de seguridad en el mundo IT
(…) Es difícil aportar algo nuevo a esta clase de ‘rankings’, no obstante he encontrado este artículo de Network World en el que se aborda la problemática desde un punto de vista de enfoque que me ha gustado bastante…
Utilizar la nube (Amazon) para crackear contraseñas y hashes
(…) Roth fue capaz de descifrar 14 contraseñas en 49 minutos, pagando sólo U$S 2,10 por una hora de tiempo de cómputo de 2 procesadores NVIDIA Tesla «Fermi» M2050 GPUs…
Vulnerabilidad “0-day” y ataques DoS en Apache 2.0, 2.2 y 1.3. Medidas para paliarlos
(…) Como prueba de concepto, está el script escrito en Perl denominado”killapache“. Para comprobar si vuestro servidor es susceptible de recibir este tipo de ataques, os recomendamos leer la entrada sobre el tema de Jordi Prats en”systemadmin.es”..
Denegación de servicio en Apache
(…) Para ejecutarlo únicamente hay que indicarle la IP como opción. Todo sea dicho, el argumento de los forks en “numforks” no está bien implementado y hay que modificarlo a fuego en el script, en nuestro caso hemos modificado 50 por 250…
Vulnerabilidad seria en phpMyAdmin (XSS en versiones de la 3.3.0 a la 3.4.3.2)
(…) Para paliarlo, se recomienda encarecidamente actualizar el software a las versiones 3.3.10.4 or 3.4.4 o aplicar los parches que se han puesto a disposición de los usuarios…
Black Hole Exploit Kit 1.1.0 Inside
(…) Black Hole Exploits Kit centra su estrategia de explotación basada principalmente en Java y PDF, pero siempre (al igual que TODOS los Exploit Pack) sin dejar de lado el clásico MDAC…
Crean técnica para evitar MitM en redes inalámbricas
(…) Bautizado como Tamper-evident pairing o TEP [PDF], la técnica se basa en la comprensión de cómo se manipulan los mensajes inalámbricos en un ataque MitM, luego detectar y, en algunos casos, bloquear dicha manipulación…
informe: Una ventana a la seguridad de los dispositivos móviles
Analizando los Enfoques de Seguridad en las Plataformas iOS de Apple y Android de Google (Symantec)
ISM – Information Security Manual – June 2011 (Australian Government)
The Defence Signals Directorate (DSD) produces the Australian Government Information Security Manual (ISM). The manual is the standard which governs the security of government ICT systems. It complements the Protective Security Policy Framework.
Tools: Automated HTTPS Vulnerability Testing
The SSL server test is an online service that enables you to inspect the configuration of any public SSL web server.
Actualizar BackTrack 5 a Backtrack 5 R1 sin reinstalar
Introducción al análisis de Malware
Gracias a hackplayers me entero sobre un video realizado por Lenny Zeltser quien hace parte del SANS Institute donde nos muestra todo el proceso de ingeniería inversa realizado a un malware para conocer su funcionamiento.
Plantas carnívoras vs. nuevos bichos (I)
(…) Dionaea, según mencionan en su página web, tiene el propósito de identificar malware, centrándose en detectar nuevos especímenes que circulan en la red. El sistema está desarrollado en C y Python y almacena la información en una base de datos SQLite…
Deficiencias más comunes en los SGSI basados en ISO27001
En este artículo se comparte con los lectores algunas de las deficiencias más frecuentes que se encuentran al momento de llevar a cabo revisiones del estilo “Análisis de brechas sobre ISO/IEC 27001:2005”.
Convergence ¿El futuro de SSL?
(…) Además no olvidemos que a partir de Windows Vista, Microsoft ha convertido la gestión de los certificados digitales en algo oscuro en el que es difícil intervenir…
Como suprimir el router de Telefónica en FTTH
(…) Se trata de un fichero XML que, permite ver que, para empezar, la clave de administración del router se encuentra en claro, para que el que tenga acceso a un fichero de backup, pueda además acceder al router después, además con un tag facilito <AdminPassword$gt; (un bonito detalle oye)…
¡Mamá, quiero ser pentester!
El trabajo de un Penetration Tester (pentester a partir de ahora) es posiblemente uno de los más mitificados en el mundo de la seguridad.
Cómo putear a un usuario de Mac OS X con la WiFi
(…) Como sabéis yo estoy trabajando durante los últimos 10 días solo y exclusivamente con Mac OS X Lion, y precisamente, el sistema de WiFi tiene unas cosas muy graciosas en Mac OS X dignas de contar, que vamos a resumir en Como putear a un usuario de Mac OS X con las redes WiFi. ..
Manipulando metadatos para engañar a la FOCA
Los metadatos de un documento se pueden modificar, al igual que el banner de un servidor web o la versión de un servidor DNS (como hacen los chicos de RedHat). De hecho, para ocultar la información a las técnicas de fingerprinting básicas, esos datos se modifican para intentar engañar a los usuarios menos experimentados. Sin embargo, cuando se hace un pentesting, los datos importantes se revisan y confirman manualmente para detectar las técnicas de deception y sacar la información correcta.
Un problema de licencia: Error 500 en Coldfusion
Después de hacer las pruebas con los mensajes de error 404 de JSP para incorporarlos a FOCA 3, se me ocurrió que un buen entorno para buscar servidores JSP serían los sitios con Coldfusion. Este servidor, primero de la empresa Allaire, luego de Macromedia y por último de Adobe, hace tiempo que está desarrollado en Java, y tiene soporte para aplicaciones JSP.
HUMOR
¿Por qué los hombres mueren antes que las mujeres?
SABER
Pensar en grupo nos vuelve más radicales o cómo 100 cabezas no siempre son mejor que 1
(…) comparados con los individuos, los grupos suelen ser más dogmáticos, más capaces de justificar acciones irracionales, más inclinados a ver sus acciones como morales y más proclives a desarrollar visiones estereotípicas de los otros…
Curso gratuito de Stanford University sobre Aprendizaje de las máquinas
Disponible para alumnos de todo el mundo, de forma gratuita, este curso comenzará en otoño ofreciendo material relacionado con Aprendizaje de las Máquinas (Machine Learning).
TENDENCIAS
Business Impact: El futuro de la oficina en Internet
El futurólogo jefe de Cisco predice la aparición de ayudantes personales en forma de avatares digitales y más.
… Y VERGÜENZAS
Usuario destapa las políticas de EA Origin: monitorizar tu equipo a cambio de entrar
(…) Es decir, que para poder entrar en Origin, el usuario debe aceptar, de manera generalizada, una vigilancia y rastreo de sus ordenadores. Desde su IP hasta los programas, pueden ser almacenados y utilizados para “identificar a los equipos”. No sólo eso, la información obtenida puede ser utilizada como medio publicitario y por terceros sin explicar para qué fines…
La guerra de las patentes alcanza a los pequeños programadores
(…) Una demanda podría alcanzar decenas de miles de dólares; o más, sobre todo si se tienen en cuenta los costos legales; y Lodsys ya ha iniciado demandas en EE.UU, así que no son solo amenazas…
DESARROLLO / BASES DE DATOS / SYSADMIN
Lazarus
En pocas palabras, podríamos decir que Lazarus es un clon opensource de Delphi, pero usando la infraestructura también de código abierto de Freepascal.
Clojure: Hacia la Esencia de la Programación
Howard Lewis Ship, creador de Apache Tapestry, habla sobre Clojure, «un lenguaje más conciso, testeable y legible que Java, le permite al desarrollador enfocarse en su trabajo y no en una excesiva sintaxis».
Hack Manso: Mejorar la velocidad de SQLite en Google App Engine SDK
Create tu propio Infobel
Hace unos años se vendía «Infobel», un CD con una base de datos que contenía los nombres, apellidos, dirección postal y teléfono fijo de todos los usuarios de telefonía fija de España y otras ediciones para otros paises de Europa. Esta base de datos se solía utilizar para automatizar contestadores con publicidad y otros fines similares de marketing, además se podían hacer búsquedas inversas. Es decir, dado un número de teléfono fijo, averiguar quién te estaba llamando.
Descubrimientos del 27 agosto 2011
Descubrimientos del 26 agosto 2011
Descubrimientos del 25 agosto 2011
Descubrimientos del 24 agosto 2011
Descubrimientos del 23 agosto 2011
LINUX
Ciencia en GNU/linux (II): BLAST (2/3)
(…) La tercera parte de la interfaz es la denominada Program selection y permite optimizar la búsqueda según si vas a analizar secuencias muy similares, muy diferentes o más o menos similares…
COMUNICACIONES
Presentando el proyecto Kune, redes sociales y colaboración libre para grupos
(…) Kune es una plataforma web centrada en la edición colaborativa en tiempo real de contenidos libres, enfocada al trabajo colaborativo de colectivos y organizaciones; su publicación en la web; y la comunicación en red social entre movimientos sociales, grupos académicos, e iniciativas…
Participación del Centro de Software Libre de CLM en el estudio de Gestores de Contenidos
(…) Con la divulgación de los resultados del estudio y la ‘Guía de Selección’ elaborada, se pretende contribuir a favorecer el conocimiento y fomentar el uso de las herramientas de Gestión de Contenidos entre el tejido empresarial PYME, con la seguridad de que les permitirá aumentar su competitividad y capacidad para incrementar su negocio…
[enlace a la guía]
Guía Google+ para periodistas
En Clases de Periodismo han elaborado un documento PDF al que han llamado Guía de Google+ para periodistas, pero que en realidad sirve para cualquier tipo de usuario pues detalla tanto primeros pasos como trucos para usar mejor esta red social del gigante Google.
Evitar el proxy con JAP
(…) JAP es un proyecto dedicado a la evasión de la censura y a la defensa del anonimato en la red. Se trata de un servicio de tunelización del tráfico por medio de un proxy, para lo cual deberemos descargarnos la aplicación desde el sitio web de JAP, no es un proxy como los habituales, y el programa que nos descargamos evita o intenta evitar más bien, que nuestra identidad sea revelada desde que sale del PC…
Crea cuentas con datos falsos para proteger tu privacidad con TmpAccount
(…) La web se puede usar con registro o sin él y nos crea un perfil automáticamente, el cual podemos copiar inmediatamente en el formulario correspondiente (incluye una cuenta de e-mail trash-mail.com)…
Cómo crear un proxy para navegar en el trabajo con SSH
(…) Una alternativa es utilizar otro PC que esté bajo nuestro control, puede ser un VPS u otra máquina de nuestro alcance (por ejemplo, si necesitamos saltarnos el filtro de nuestra oficina, nos basta con el PC de casa) y ayudarnos con SSH. Crearemos un proxy al que solamente tendremos acceso nosotros y que cifrará el contenido, dándonos un cierto nivel de anonimato…
¿Un “dropbox” open source para instalar en tu servidor? Derpbox
(…) El ocurrente informático Leo Peltier ha creado un pequeño proyecto libre llamado Derpbox y consiste en una aplicación que se instala en el pc local y que a través de un servidor SSH sincroniza nuestros archivos con nuestro servidor remoto…
Descargar archivos en Megaupload o Rapidshare sin esperas
PRODUCTIVIDAD
Como hacer Cuadros de Mando, documento descargable
SALUD
Radiación electromagnética
(…) No existen aumentos significativos de aparición de cánceres entre usuarios con menos de 10 años de uso, pero se hacen estadísticamente signifcativos, los aumentos, con más de 10 años. (neuroma, glioma, sobre todo del lado de la cabeza en que se usa el celu)…
El consumo de alimentos que reducen el colesterol es más eficaz que las dietas bajas en grasas saturadas
(…) La dieta de control hizo hincapié en la ingesta de fibra y granos enteros, mientras que la dieta llevada a estudio lo hizo en la toma de esteroles vegetales, proteína de soja, fibras viscosas y nueces…
Casi la mitad de los pacientes con depresión mejora con ejercicio considerablemente
(…) Al final de la investigación, casi el 30 por ciento de los pacientes de ambos grupos alcanzó una remisión completa de su depresión, y otro 20 por ciento mostró una mejoría significativa, según la base de mediciones psiquiátricas estandarizadas…
Los gases emitidos por lavadoras y secadoras contienen químicos cancerígenos
(…) Los investigadores de la Universidad de Washington han usado detectores químicos que contienen los productos perfumados ha fijado su atención en los productos perfumados que emanan de las lavadoras y secadoras de las casas…
AMENAZAS
Nanotecnología: bombas y cortinas de humo
(…) El informe «Global Risks» del Foro Económico Mundial (que no se basa precisamente en documentos de ETC) catalogó, desde el año 2006, a la nanotecnología como uno de los tres principales riesgos tecnológicos que enfrenta el planeta. Razón por la cual las mayores aseguradoras globales se niegan a incluir riesgos relacionados a nanotecnología en sus pólizas…
DE TODO
Descarga «The Tomorrow Project», el libro de ciencia ficción de Intel
The Tomorrow Project (“El Proyecto del Mañana”) es un libro que contiene cuatros historias de ciencia ficción escritas por igual número de destacadas plumas, casi un equipo de ensueño…
[relatos en inglés]
Servo motores para Arduino
La plataforma open source Arduino, es muy amplia y además de la placa con el micro-controlador, necesitamos diferentes componentes con los que jugar y los más interesantes (en mi opinión) son los motores y los servos, aunque suelen ser caros en las tiendas habituales.
Calentador solar gratis con botellas PET
Hace ocho años José Alano, un mécanico brasileño retirado, tuvo la inspiración de recoger botellas de plástico (PET) y cartones de leche usados para desarrollar un sistema de calentamiento de agua por energía solar simple, barato y que pudiera construir cualquier persona.
Sanitarios secos, como no gastar agua y ayudar al Medio Ambiente
(…) Hay una amplia variedad de diseños y propuestas sobre sanitarios «secos» o «composteros», todos tienen en común, que no se emplea una taza convencional de excusado, que dependiendo del tipo, consumen entre 3 y 20 litros de agua en cada uso…
Krita, o lo que GIMP deberia ser
(…) Krita es el programa de edición gráfica del proyecto KDE junto a su hermano de gráficos vectoriales Karbon, ellos mismos se han curado en salud apartándose de la rivalidad con GIMP diciendo que Krita esta pensado para la creación artística mientras que GIMP esta pensado para el retoque, pero vamos a ver que no es para nada cierto y Krita esta mucho mejor preparado para el retoque fotográfico que GIMP..
VirtualFiles, organización múltiple de nuestros archivos
(…) VirtualFiles crea una unidad virtual en nuestro sistema operativo, a la cual podemos acceder mediante el explorador de Windows o desde cualquier otro servicio del sistema…
Drive-Thru, puesta a punto para nuestras unidades de disco
(…) Se trata de una aplicación portable que no requiere instalación, lo que la hace ideal para llevarla en nuestra unidad USB con el fin de tener bajo control, por ejemplo, opciones como conversión entre FAT y NTFS, ocultar o mostrar letras de unidad, desactivar el molesto autoarranque o incluso bloquear el acceso, protegiendo nuestros archivos contra intrusiones no deseadas…
Svchost Process Analyzer, echando el lazo a procesos no deseados
(…) Svchost Process Analyzer es una utilidad que sencillamente nos ayudará a identificar que servicios y aplicaciones están corriendo mediante svchost.exe. Tras la descarga, basta con lanzar la aplicación y a los pocos segundos se nos presentará una lista con todos los procesos encontrados. Mediante iconos podremos identificar cuales son sospechosos, cuales han producido algún error y cuales son totalmente fiables…
Hombre tuerto convierte su prótesis en un ojo biónico
Rob Spence es un documentalista de Toronto que perdió un ojo hace cinco años. Pero como sabía de cámaras, decidió convertir su prótesis estética en una minicámara para llevar en lugar donde tenía su ojo, grabar lo que se ve desde esa perspectiva y transmitirlo por un dispositivo portátil.
La electrónica en 10 aplicaciones para Android
(…) Desde diseñar y simular un sencillo y elemental circuito electrónico hasta solicitar las partes necesarias a un proveedor líder o investigar en la hoja de datos de cualquier microcontrolador para saber si será útil en nuestra aplicación. ¿Decodificar código Morse o buscar satélites en órbita gracias a la Realidad Aumentada?..
DIY: Herramientas para electrónicos (Esenciales)
(…) Sin embargo, entre todos podemos armar una pequeña lista de las cosas necesarias, elementales y esenciales que todo “experimentador urbano de la electrónica” debe tener…
INVESTIGACIÓN
Acelerando el diseño de materiales
Un nuevo programa de ordenador predice con precisión el comportamiento de materiales propuestos, lo que implica un desarrollo más rápido de nuevos aparatos electrónicos y células fotoeléctricas.
La placa de Petri se reinventa
Una membrana con nanoporos crea cultivos más rápidos y fiables para todo tipo de uso
desde análisis hospitalarios hasta controles de calidad del agua.
Investigación revela problemas de fiabilidad de los nanotubos de carbono
(…) Los resultados de las pruebas del NIST muestran que los nanotubos pueden soportar densidades de corriente extremadamente altas (decenas o cientos de veces más grandes que en un circuito típico semiconductor) durante varias horas, pero poco a poco se degradan bajo corriente constante…
Recubrimientos resistentes a rasguños
Una nueva forma de analizar cómo los revestimientos de partículas diminutas alteran las propiedades del plástico transparente podría ayudar a los investigadores a crear ventanas ligeras con casi la fortaleza del vidrio.
Supercondensador a base de paquetes de nanotubos de carbono
(…) Pero los EDLC tradicionales dependen de electrolitos líquidos o tipo gel que se pueden descomponer en condiciones muy frías o calientes. En el supercondensador de Rice, una capa sólida, a nanoescala de material dieléctrico de óxido reemplaza los electrolitos completamente…
Notas tecnológicas 