Seguridad Informatica
2 meneos
7 clics

IronWASP 2014: uno de los mejores escáneres de seguridad web se renueva

IronWASP es una herramienta gratuita y de código libre que se encarga de realizar una completa auditoría de seguridad en servicios web. Ahora han lanzado la versión 2014, con múltiples mejoras que os contamos a continuación. Uno de los puntos fuertes de esta herramienta es que incorpora una completa interfaz gráfica muy fácil de usar, no es necesario ser un experto en seguridad para utilizarlo.
2 meneos
13 clics

Burp Suite Free + Professional v1.6

Burp Suite Free Edition contains significant new features added since v1.5, including:Support for WebSockets messages, support for PKCS#11 client SSL certificates contained in smart cards and physical tokens, a new Extender tool, allowing dynamic loading and unloading of multiple extensions,a new powerful extensibility API, enabling extensions to customize Burp's behavior in much more powerful ways, support for extensions written in Python and Ruby, and much more.
7 meneos
20 clics

TAILS, el sistema operativo usado por Edward Snowden

The Amnesic Incognito Live System o quizás más conocido como TAILS, es un sistema operativo de estos que puedes arrancar y usar desde un DVD, lápiz USB, tarjeta de memoria, etc. Más conocido como sistema vivo o Live. La principal característica de este sistema operativo es que está construido con la privacidad como pilar principal. Es un sistema Linux basado en Debian y que integra varias herramientas ya configuradas para usar la red Tor, GPG, OTR (Off The Record), cifrado de discos y particiones (LUKS), etc.
2 meneos
2 clics

Oracle corrige 104 vulnerabilidades en su actualización de seguridad de abril

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica suboletín de seguridad de abril. Contiene parches para 104 vulnerabilidades diferentes en cientos de productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris o MySQL.
2 meneos
4 clics

McAfee lanza una solución gratuita que localiza sitios web afectados por Heartbleed

McAfee ha presentado una herramienta gratuita que ayuda a medir fácilmente su susceptibilidad a los efectos potencialmente peligrosos del bug Heartbleed, una vulnerabilidad en OpenSSL que ha puesto en situación de riesgo la información personal de millones de internautas. Al introducir los nombres de dominio en la herramienta Heartbleed Checker, se puede determinar de inmediato si los sitios web que frecuentan se han visto afectados por Heartbleed, comprobando si éstos se han actualizado a la versión de OpenSSL que no es susceptible al fallo.
2 meneos
34 clics

Seguridad en AJAX (Parte 1)

En este artículo vamos a comenzar a recopilar los problemas de seguridad que presenta la tecnología AJAX. Esta tecnología cada vez más distribuida por la web 2.0. Primero hablaremos lo que es AJAX y después vamos a hablar de los problemas de seguridad que se tiene y posibles soluciones o formas de mitigación.
5 meneos
13 clics

¿TrueCrypt es entonces seguro o no?

Hace unos meses os hablamos de un proyecto que buscaba financiación colectiva para auditar el código de Truecrypt y verificar que no existe ningún backdoor o código malintencionado que pudiera comprometer la seguridad de los datos de los usuarios. El 14 de abril se liberó el informe cuyos resultados muestran un total de 11 vulnerabilidades (4 medias, 4 bajas y 3 informativas).
2 meneos
2 clics

Jailbreak para iOS 7.1 en iPhone 4S, iPhone 5 o iPhone 5S

A menos de tres meses de la presentación oficial de iOS 8, ha llegado a nuestros oídos una noticia sorprendente: ya es posible hacer jailbreak a la versión 7.1. Esto, que hasta hace poco era una utopía, es lo que asegura @iH8sn0w, autor del descubrimiento. Aunque aún no se saben los detalles, ni siquiera si es tethered o untethered, iH8sn0w afirma que es posible hacer jailbreak a un iPhone 4S.
1 meneos
3 clics

Acrylic Wi-Fi, auditoría wireless en Windows

Durante la #Rooted2013 del año pasado hubo una interesante charla sobre redes wireless que me llamó la atención. En ella se trataron dos temas principalmente, el primero mostraba al mundo una metodología abierta para el análisis de redes inalámbricas llamada OWISAM, mientras que el segundo presentaba Acrilyc Wi-Fi, una herramienta para auditar este tipo de redes y es la que ocupará la siguiente entrada.
1 meneos
1 clics

EE.UU. persigue a nueve personas por robar dinero con el troyano Zeus

Las autoridades estadounidenses han formulado cargos contra nueve personas que participaron en una serie de robos y ataques en Internet utilizando el malware Zeus. Los acusados se encuentran en diferentes partes del mundo, y Estados Unidos está haciendo las gestiones necesarias para extraditarlos y poder confrontar a sus víctimas en suelo norteamericano.
2 meneos
1 clics

Versión 6.45 de Nmap

Hacía tiempo que Fyodor y compañía no publicaban una nueva versión de la tan conocida herramienta de seguridad llamada Nmap. Casi un año desde que la versión 6.40 viera la luz allá por julio del 2013, ahora sacan la 6.45 con soporte incluso para testear la reciente vulnerabilidad de OpenSSL, más conocida como Heartbleed, que tanto revolucionó Internet la semana pasada. Atrás quedan ya los días en que Nmap era sólo un escáner de puertos y la herramienta, cada vez más, es una solución de seguridad de lo más completa y útil.
1 meneos
2 clics

Creando un entorno vulnerable (Parte 2)

Buenas a todos, continuando con la cadena de artículos sobre la creación de un entorno vulnerable, hoy vamos a construir una página web sencilla vulnerable a SQL Injections. En esta entrega crearemos una BBDD en Mysql, a la que llamaré "cursoseguridad" y una sencilla aplicación en PHP.
1 meneos
1 clics

Serias vulnerabilidades comprometen la información y los servidores de Flickr

El investigador egipcio Ibrahim Raafat ha descubierto dos serias vulnerabilidades en Flickr, la reconocida plataforma de alojamiento de imágenes propiedad de Yahoo. La primera, de inyección SQL, podía ser explotada para luego llevar a cabo un segundo ataque, una ejecución de código remota. Ambas ya han sido solucionadas.
1 meneos
 

Divulgación de contraseñas en IBM SPSS Analytic Server

Se ha confirmado una vulnerabilidad en IBM SPSS Analytic Server que podría permitir a usuarios autenticados obtener todas las contraseñas. El problema reside en que IBM SPSS Analytic Server escribe las contraseñas en texto plano en archivos de "log", de tal forma que cualquier usuario autenticado puede obtener dichas contraseñas.
1 meneos
 

Jornadas X1RedMasSegura: Concurso de Infografías Jóvenes x1RedMasSegura'14

Tras el éxito de las Jornadas X1RedMasSegura 2013, todo el equipo que formamos parte el pasado año más nuevos compañeros de fatigas, nos hemos puesto manos a la obra en la preparación del evento de 2014. Este año ampliaremos las actividades, con nuevos talleres y muchas sorpresas que os iremos revelando según se acerquen las fechas.
1 meneos
1 clics

Heartbleed: las apps también están afectadas

La gravedad de la vulnerabilidad Heartbleed ha provocado que innumerables sitios web y servidores aborden la cuestión. Y con razón: un examen llevado a cabo en Github demostró que más de 600 de los 10.000 sitios (basados en el ranking de Alexa ) eran vulnerables . En el momento de la exploración, algunos de los sitios afectados incluían Yahoo , Flickr, OkCupid , la revista Rolling Stone y Ars Technica. Todo esto plantea la siguiente pregunta: ” ¿Están los dispositivos móviles afectados?” La respuesta es sí.
1 meneos
 

Los cartuchos piratas de Ninendo DS no son ilegales

Al poco de nacer la DS llegaron sus cartuchos pirata, los Super Cars DS One y los R4 entre otros. Su funcionamiento era muy sencillo, el cartucho, no era nada más que un adaptador para la tarjeta de memoria que convertía en legible para la DS cualquier cosa que se almacenara, desde música e imágenes hasta los juegos. Es decir, no era nada más que un contenedor y conversor y esta cualidad es la que ha salvado a los cuatro acusados por Ninendo de una sentencia de piratería.
1 meneos
2 clics

SANS ahora en España de la mano de One eSecurity

SANS Institute es una organización considerada líder mundial en formación y certificación en Seguridad de la Información. Ofrece una amplia gama de cursos diseñados especialmente para que los alumnos acaben dominando, a nivel teórico y práctico, la metodología y herramientas necesarias para la defensa de los sistemas y redes contra las amenazas más peligrosas.
3 meneos
4 clics

Creando un entorno vulnerable (Parte 1)

Buenas a todos, ahora que estamos de vacaciones y tenemos algo más de tiempo, queremos dar comienzo a una cadena de posts en la que construiremos nuestra propia máquina virtual vulnerable, para ayudar a toda la gente que esté aprendiendo seguridad de la información y que tenga un sistema al que poder atacar "sin meterse en lios".
3 meneos
10 clics

Programación segura en Java/Android

El CERT mantiene una lista de reglas y buenas prácticas que recomiendan seguir cuando escribimos código en el lenguaje de programación Java de Oracle. Esta lista se apoya en las versiones 1.6 y 1.7 de Java.
3 meneos
7 clics

Cómo habilitar el modo dios en Windows 7

El modo dios, en ingles God mode, es muy simple de lograr en Windows 7. En pocas palabras, el modo dios puede ser interpretado como un acceso directo, el cual permite al usuario obtener un control simplificado y centralizado del sistema. Más precisamente, casi todas las opciones de control pueden ser encontradas en una sola ventana, por ejemplo; el panel de control, las opciones de personalización de la interfaz de usuario, y más. Por estas razones el modo dios es muy valioso para un usuario que desea tener un control centralizado del sistema.
1 meneos
2 clics

Hacker responde a la OpIsrael desenmascarando a los atacantes

La semana pasada, un grupo de miembros de Anonymous puso en marcha la llamada “OpIsrael”, una serie de ciberataques dirigidos a sitios y servidores israelíes. Como respuesta, un hacker ha publicado los datos personales y fotografías que, según afirma, exponen a las personas que realizaron los ataques. El hacker, que se hace llamar Buddhax, compartió la información que había recolectado de sus víctimas en un documento de Dropbox que publicó en el grupo de Facebook del Israeli Elite Group.
1 meneos
2 clics

Vídeos de la Notacon 11

Desde la web de Irongeek podemos acceder a los vídeos de la Notacon 11, conferencia sobre seguridad informática celebrada del 10 al 13 de abril.
2 meneos
4 clics

Crónica de la “Corelan Live: Win32 Exploit Development Bootcamp” en RootedCon 2014

Como ya es bien conocido en la comunidad de seguridad, los días 6, 7 y 8 de Marzo tiene lugar uno de los mejores congresos de seguridad informática de ámbito nacional, la RootedCon. Este año, la organización hizo un esfuerzo extra para intentar ofrecer una visión más internacional al evento tanto aceptando propuestas de ponentes extranjeros como ofreciendo servicios de traducción simultánea.
1 meneos
9 clics

A vueltas con la seguridad de WhatsApp, Telegram y cia

Durante mucho tiempo WhatsApp no implementaba ningún tipo de cifrado en las comunicaciones, y cuando lo hizo, tampoco fue un portento de diseño. Yo mismo he identificado y publicado dos vulnerabilidades que permitían secuestrar cualquier número de teléfono en la red de WhatsApp.
1 meneos
2 clics

De exploit a Metasploit: Mini HTTPD Server 1.2

En esta entrada voy a intentar explicar como pasar del exploit que desarrollamos en la entrada anterior “Mini HTTPD Server 1.2” a un módulo de Metasploit, el cual nos permitirá tener mucha más flexibilidad a la hora de elegir payloads y otras opciones que iremos incorporando en un futuro.
1 meneos
 

Actualización de seguridad para Wordpress

Se ha publicado la versión 3.8.2 de Wordpress que soluciona dos vulnerabilidades e incluye tres implementaciones de seguridad. Las vulnerabilidades son un fallo que podría permitir a un atacante falsificar la cookie de autenticación y posible elevación de privilegios al permitir a un usuario con el rol de Colaborador publicar entradas de forma indebida.
5 meneos
7 clics

Cloudflare propone el reto de conseguir su llave privada con HeartBleed, y lo superan en horas

En Cloudflare admitieron que la vulnerabilidad conocida como HeartBleed es muy grave, sin embargo, pensaban que conseguir la clave privada del servidor sería muy difícil haciendo uso de esta vulnerabilidad. Conseguir esta clave tendría como consecuencia revocar los certificados SSL y volver a crear unos nuevos ya que de lo contrario el atacante podría descifrar todo el tráfico.
1 meneos
5 clics

Servicios de Microsoft no son afectados por la vulnerabilidad OpenSSL "Heartbleed"

El 8 de abril de 2014, los investigadores de seguridad anunciaron un defecto en la biblioteca OpenSSL software de cifrado utilizado por muchos sitios web para proteger los datos de los clientes. La vulnerabilidad conocida como "Heartbleed", podría permitir potencialmente a un cyberattacker para acceder a un sitio web, de los datos del cliente junto con el tráfico las claves de cifrado. Tras una minuciosa investigación la mayoría de los Servicios de Microsoft no se ven afectados por la vulnerabilidad "Heartbleed".
1 meneos
3 clics

"Intrusion Prevention Systems" y "Modern Malware" for Dummies

Seguramente todos conocemos la serie de libros “For Dummies”, que podemos encontrar en cualquier librería y con temáticas muy variadas. Pasamos mucho tiempo devorando PDFs, y de vez en cuando, me gusta recordar cómo se siente eso de usar libros en papel. Aunque ambos libros no pasan de las 70 hojas, os hago un resumen rápido de cada uno.
1 meneos
10 clics

Curando Heartbleed, la herida de Internet. ¿Qué podemos hacer frente a él?

A principios de semana se destapó al mundo posiblemente una de las vulnerabilidades más graves de la historia de Internet tanto por importancia como por alcance. Heartbleed es un agujero de seguridad encontrado en algunas versiones de OpenSSL, concretamente desde la 1.0.1 y la 1.0.1f, que permitiría a un atacante acceder a parte de la memoria del proceso del mismo; algo que se vuelve aún más delicado al tener en cuenta que OpenSSL juega un papel clave en el cifrado de las comunicaciones en Internet.
2 meneos
6 clics

Vulnerabilidad en Chrome permite que sitios web te escuchen

Con frecuencia escuchamos la frase célebre “las paredes oyen”. Ahora, parece que tu computadora también lo hace: se ha descubierto una vulnerabilidad en Google Chrome que permite a los atacantes escuchar lo que dices sin permiso, incluso si el micrófono está deshabilitado. La falla fue advertida por el investigador de seguridad israelí Guy Aharonovsky, quien escribió en su blog: “Ni siquiera bloqueando el acceso al micrófono a través de chrome://settings/content se solucionará”.
1 meneos
4 clics

Kevin Mitnick en Mundo Hacker Day 2014 (Madrid, 29 de abril)

Como ya sabéis, Mundo Hacker es una serie presentada por Antonio Ramos y Mónica Valle en el que semanalmente se debate sobre los distintos peligros en la red y cómo combatirlos. Ahora han organizado el evento MUNDO HACKER DAY 2014 que tendrá lugar el próximo 29 de abril en el Teatro Goya de Madrid y en el que destaca especialmente la participación de Kevin Mitnick.
1 meneos
5 clics

El Ransomware creció un 300% en 2013

Uno de los ramsonware más conocidos es Cryptolocker, que además es uno de los más sofisticados. Al menos desde que un informe sugiere que en 2013 el número de Ramsonware creció un 300% respecto al año anterior; se detectaron un total de 861.000 infecciones hasta el mes de noviembre, según datos del Symantec Internet Security Report. La empresa de seguridad dice que aunque sólo el 0,2% de correspondían con Cryptolocker, pero es tan sofisticado que hace uso del cifrado de 2048-bit de RSA para impedir que los usuarios accedan a sus archivos.
2 meneos
1 clics

Nueva actualización para Adobe Flash Player

Adobe ha publicado una nueva actualización para Adobe Flash Player, en esta ocasión para evitar cuatro nuevas vulnerabilidades que afectan al popular reproductor. Dos de las vulnerabilidades podrían permitir a un atacante tomar el control de los sistemas afectados.
1 meneos
8 clics

Ethical Hacker Quiz

Desde DragonJAR traemos una aplicación llamada Ethical Hacker Quiz, con esta herramienta para el móvil podremos poner en cualquier lugar a prueba nuestros conocimientos teóricos sobre seguridad informática, no te preparara para la certificación CEH, pero te servirá de entretenimiento. Así somos los que nos dedicamos a este mundo de la seguridad, en vez de esperar los tiempos muertos esperando el metro jugando un triviados..., nosotros preferimos seguir aprendiendo y reforzando los conocimientos ya adquiridos.
1 meneos
27 clics

PoCs para explotar masivamente la vulnerabilidad Heartbleed (OpenSSL CVE-2014-0160)

La vulnerabilidad CVE-2014-0160 es ya considerada como uno de los mayores fallos de seguridad en Internet conocidos hasta la fecha y ya están apareciendo algunos PoC que facilitan su explotación de forma masiva.
3 meneos
14 clics

Heartbleed y el caos de seguridad en Internet

Desde que se publicó el bug de Heartbleed ha sido un día duro en Eleven Paths, como en muchas otras compañías de Internet para conseguir tener los sistemas actualizados sin sufrir interrupciones de servicio, para lo que hubo que tensar los procedimientos de emergencia y trabajar muchas horas y con intensidad. Si no te has enterado aún de qué este fallo, voy a intentar hacerte entender la magnitud del fallo para que tomes tus medidas de seguridad.
2 meneos
16 clics

Cómo comprobar si tu web es vulnerable a HeartBleed, el fallo de OpenSSL

Comprueba si tu servidor web está afectado por el fallo de seguridad HeartBleed en la libreria OpenSSL. Para comprobar si un determinado servicio está afectado, basta con realizar un test online. Sin embargo, si además de comprobar que vuestro servidor es vulnerable queréis ver qué información se podría filtrar a un usuario malicioso, podéis visitar este GitHub donde encontraréis un programa en python que se encarga de descargar esta información.
2 meneos
5 clics

Cómo conseguir anonimato en Internet, o al menos intentarlo

En los últimos años y sobre todo después del caso Wikileaks y de las revelaciones de Edward Snowden se ha hecho evidente que los gobiernos de las principales potencias del mundo, y probablemente todos los demás en función de sus posibilidades, quieren controlar todo lo que pasa en Internet. Resulta obscena la cantidad de recursos , dinero, personal, leyes ad-hoc que se han implantado para conseguir tener ojos y oídos en todo lo que fluye por los cables y las ondas de telecomunicaciones.
1 meneos
7 clics

CERT: El ciberespionaje y los ataques dirigidos seguirán siendo la principal ciberamenaza durante este año

El CCN-CERT, del Centro Criptológico Nacional, ha hecho público su Informe de Amenazas IA-03/14 "Ciberamenazas 2013 y Tendencias 2014" que contiene un análisis internacional y nacional de las ciberamenazas detectadas durante el pasado año y de su evolución prevista. A lo largo de sus más de cien páginas, el Informe contiene diferentes apartados como los ciberataques y los riesgos más significativos de 2013 o las amenazas detectadas.
2 meneos
 

Presentaciones de la SyScan 2014

Las presentaciones de la SyScan 2014 celebrada en Singapur del 31 de marzo al 4 de abril ya están disponible para descarga.
1 meneos
2 clics

Alerta - Nivel 2 (Moderado) - Boletín de seguridad de Microsoft para Abril de 2014

Esta alerta es para proporcionarle una visión general de los nuevos boletines de seguridad que se publicó el 08 de abril de 2014. Los boletines de seguridad se publican mensualmente para resolver las vulnerabilidades de problemas críticos.
1 meneos
2 clics

Acortando los tiempos en ataques por fuerza bruta usando Dumb0

Dumb0 es un script en perl que permite obtener un listado de los usuarios registrados en un gran número de foros y CMS (WordPress, Drupal, moodle, Xen Forums, PHPbb, Simple Machine Forums, vBulletin, IP Board, etc.) de tal forma que podremos obtener un diccionario. Y este diccionario siempre será correcto, únicamente necesitaremos averiguar las contraseñas.
1 meneos
1 clics

Passivedns: investiga un incidente relacionado con un ataque DNS

Passivedns es una herramienta de código abierto que se puede utilizar para investigar un incidente relacionado con un ataque DNS. La herramienta permite que el analista de seguridad pueda recoger el tráfico DNS pasivamente y leerlo en forma de archivo pcap o archivos de registro. Esto ayuda a identificar la respuesta del DNS y averiguar dónde está la redirección o el problema con el servidor.
2 meneos
4 clics

Hackear Apple Passbook para volar gratis por Europa

Passbook es la aplicación que Apple puso en iOS para permiter almacenar “tarjetas virtuales”, tickets, tarjetas de embarque, entradas de cine o tarjetas regalo de cualquier sistema de e-commerce que quiera hacer uso de ellas. Así, no se hace necesario llevar encima un ejemplar del documento, ya que Passbook tiene total validez… en los sitios donde se hace uso. Al parecer ha sido hackeado por un estudiante de Informática de la Universidad de Creta y será contado en próximas fechas en uno de los eventos del año, la Hack In The Box 2014.
1 meneos
2 clics

Nmap: Técnicas utilizadas

En un proceso de fingerprinting se lleva a cabo una recolección de información que consiste en interactuar directamente con los sistemas para aprender más sobre su configuración y comportamiento. Estas técnicas llevarán a cabo un escaneo de puertos para el estudio de los posibles puertos abiertos que se encuentren y determinar qué servicios se están ejecutando, además de la versión del producto que se encuentra detrás del puerto.
3 meneos
7 clics

Lanzado Cuckoo Sandbox 1.1 [ENG]

Esta versión incluye la corrección de numerosos fallos, la mejora de la interfaz web Django, la posibilidad de filtrar las llamadas a la API por categorías, y otras mejoras como la búsqueda por URLs. Debido a la corrección de diversos fallos se recomienda actualizar a esta última versión.
1 meneos
 

Google Chrome aún no alerta de passwords enviadas en URLs

Hace ya tiempo que publiqué un artículo sobre la desprotección que había en ciertos navegadores cuándo se pedía una URL en la que se envían el usuario y la contraseña. Esto es una forma de explotar ataques CSRF que abusen de dispositivos que cuenten con contraseñas por defecto. En aquel entonces os contaba que tanto Microsoft Internet Explorer, como Apple Safari tenían una protección basada en una alerta de seguridad que se muestra al usuario. En aquel entonces ni Google Chrome, ni Mozilla Firefox tenían esa protección.
2 meneos
4 clics

10 años de malware para Mac OS X

El problema del malware en Mac OS X no es ni de lejos tan grave como en Windows. Se descubren alrededor de 200.00 nuevas variantes de malware para Windows cada día. La actividad de los códigos maliciosos en el mundo Mac es mucho menos frenética, pero el hecho es que existe malware que puede infectar nuestros iMacs o MacBooks.

menéame