Archive for Seguridad Informática

noviembre 5th 2010

Las 5 de leyendas urbanas más populares sobre la seguridad informática

Número de lecturas: 3997
{lang: 'es-419'}
La industria de la seguridad tiene sus propias leyendas urbanas: mitos que se hacen populares, perduran en el tiempo y acaban siendo considerados como verdades universales.

Panda Security ha preguntado a su comunidad, a través de Facebook y Twitter principalmente, cuáles son los mitos que les viene a la cabeza cuando se habla de empresas de seguridad antivirus, y éste es el top de leyendas urbanas recibidas junto con sus argumentos:

1. Las compañías antivirus son las que hacen los virus. Este mito ha acompañado a Panda Security durante los 20 años de historia de la compañía, y seguro que a más empresas del sector. Esta afirmación es absurda, sobre todo si tenemos en cuenta que recibimos cada día más de 55.000 virus nuevos y diferentes. Y si fuera verdad, ya habría saltado el escándalo en los más de 20 años que el sector lleva protegiendo a los usuarios.

Uno de los problemas que la industria ha tenido que resolver a lo largo del tiempo es cómo poder asumir la carga de trabajo de procesar la cantidad creciente de amenazas informáticas para mantener protegidos a nuestros usuarios.

2. Las compañías de seguridad contratan a hackers. Lógicamente, no podemos hablar en nombre de toda la industria, pero en Panda Security este tema siempre nos ha preocupado mucho y nunca hemos contratado a sabiendas hackers que hayan estado “en el lado oscuro”.

Sí contratamos (y siempre estamos buscando) a hackers “blancos”. Una variación de este mito es que hay que ser ingeniero informático para dedicarse a la seguridad, que es falso. Los perfiles de los profesionales que trabajan en Panda son muy variados: ingenieros, matemáticos, físicos, formación profesional, autodidactas, etc. Lo que tienen todos en común es que sienten un especial interés, auténtica pasión en muchos casos, por la seguridad informática.

3. No existen virus para Mac, Linux o plataformas móviles. ¡Ya nos gustaría a todos! La percepción que se tiene es que no hay riesgo ni peligro para estos usuarios, ya que los virus se hacen sólo para plataformas Windows.

La realidad es que sí hay virus para todas estas plataformas. La diferencia estriba en la cantidad de amenazas informáticas que circulan si lo comparamos con Windows. Explicarlo es fácil: un hacker busca el beneficio económico. Si lo que quiere es llegar al máximo número de gente posible para conseguir más potenciales víctimas a las que robarles posteriormente, ¿cuál sería el blanco ideal? ¿Una plataforma con 10 millones de usuarios, u otra con 500 millones? La respuesta es obvia.

4. Hace falta saber mucho para ser hacker, desarrollar virus, entrar en los sistemas… En algunos casos, sí; en otros, no. Hace algunos años era bastante costoso desarrollar virus, gusanos, troyanos, etc., y sí hacía falta tener conocimientos técnicos.

De hecho, muchos de los hackers comenzaban “jugando” mientras aprendían, y llegaban a tener realmente mucho dominio de diferentes lenguajes de programación, protocolos de comunicación, etc.

Hoy en día no es necesario, y un caso reciente lo hemos visto con Operación Mariposa, donde los autores tenían conocimientos muy limitados. Y esto sucede porque se venden a través de Internet kits que permiten a “aprendices” generar malware y configurarlo sin necesitar prácticamente experiencia.

No nos atreveríamos a afirmar que cualquiera puede hacerlo, pero con un poco de dedicación e idea, sí, se puede construir –por ejemplo- una red de bots capaz de infectar a 13 millones de ordenadores en todo el mundo.

5. El trabajo tecnológico es para hombres. Esta presunción también es frecuente, y falsa. La realidad en Panda Security es muy distinta: más del 30% son mujeres, muchas de ellas ocupan puestos en áreas técnicas y en dirección. Y tiende a crecer, ya que cada vez más son las féminas que se preparan adecuadamente para sectores como el de la seguridad informática.

Fuente:

http://www.noticiasdot.com/wp2/2010/11/03/las-5-de-leyendas-urbanas-mas-populares-sobre-la-seguridad-informatica/

noviembre 5th 2010

Google ofrece recompensa a quienes descubran fallos de seguridad

Número de lecturas: 3205
{lang: 'es-419'}
El gigante informático Google creó una recompensa para quienes descubran fallos de seguridad en sus aplicaciones web.  Foto: AFP
El gigante informático Google creó una recompensa para quienes descubran fallos de seguridad en sus aplicaciones web, según anunció en su blog.

La división encargada de seguridad pagará entre 500 y 3 133 dólares (357 a 2.238 euros) a quien dé datos que ayuden a identificar problemas. “Esperamos que nuestro nuevo programa atraiga a más investigadores y que produzca el tipo de informes que sirvan para aumentar la seguridad de nuestros usuarios”, señala el texto.

Ya existe un programa similar pero solo para el navegador web Chrome.

Ahora, la recompensa se extendió a “cualquier fallo serio que afecte directamente la confiabilidad o integridad de los datos de los usuarios”. La cantidad de dinero a pagar será decidida por un gremio de expertos.

Esta semana se supo que la firme tecnológica estadounidense Coverity descubrió un fallo de seguridad en el sistema operativo para móviles Android de Google. Debido a ello, es posible espiar los mails y otras informaciones sensibles del smartphone. Para el análisis se tomó un teléfono de la firma taiwanesa HTC con el sistema Android, según el “Financial Times Deutschland”.

Fuente:
elcomercio.com
noviembre 4th 2010

Microsoft publica una alerta por vulnerabilidad 0-day en Internet Explorer

Número de lecturas: 3603
{lang: 'es-419'}
Microsoft acaba de publicar un aviso de seguridad para informar y alertar sobre una nueva vulnerabilidad descubierta recientemente en su navegador y que podría permitir la ejecución remota de código arbitrario.

Se anuncian como vulnerables las versiones de Internet Explorer 6, 7 y 8, mientras que la beta de Internet Explorer 9 se libra de este problema. Según reconoce Microsoft en su aviso, en la actualidad la vulnerabilidad se está explotando de forma activa.

El problema reside en que Internet Explorer al procesar determinadas combinaciones de hojas de estilo asigna la memoria de forma incorrecta. Concretamente en el módulo “mshtml.dll” al procesar el atributo “clip” con una posición determinada de las CSS (Cascading Style Sheets). Esto podría permitir a un atacante remoto la ejecución de código arbitrario a través de una página específicamente manipulada.

Microsoft se encuentra desarrollando las actualizaciones necesarias para corregir este problema, mientras tanto como contramedida se recomienda anular las hojas de estilo con una CSS definida por el usuario, asignar las zonas de seguridad del navegador a un nivel Alto, implementar el Enhanced Mitigation Experience Toolkit (EMET) o habilitar Data Execution Prevention (DEP) para Internet Explorer 7.

Más Información:

Microsoft Security Advisory (2458511)
Vulnerability in Internet Explorer Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/2458511.mspx

DEP, EMET protect against attacks on the latest Internet Explorer vulnerability
http://blogs.technet.com/b/srd/archive/2010/11/03/dep-emet-protect-against-attacks-on-the-latest-internet-explorer-vulnerability.aspx

Antonio Ropero
antonior@hispasec.com

FUENTE :http://www.hispasec.com/unaaldia/4393

octubre 28th 2010

Documental: Hackers Defcon

Número de lecturas: 3168
{lang: 'es-419'}

Un usuario me envió el link de este interesante documental espero les guste y puedan disfrutarlo

YouTube Preview Image