sábado, 31 de mayo de 2008

Actualización del rootkit de Cisco.

Hace unas semanas se comentó que habría una demostración de rootkit en ruteadores Cisco durante la conferencia llamada EuSecWest el 22 de mayo de 2008 (sería el primer rootkit documentado de la historia para esta plataforma). Sebastian Muniz, el autor de esta investigación, confirmó que es posible crear rootkits para ruteadores Cisco, que es una marca muy usada en la infraestructura de Internet. No reveló muchos detalles de la investigación, pero demostró al parecer lo suficiente para comprobar que esto es posible. La razón de no ofrecer detalles es para evitar que los chicos malos aprovechen esta información y también, pienso yo, para evitar una demanda de Cisco.

¿Debemos de preocuparnos? Sí, porque si un investigador logró esta “hazaña”, bien podrían llevarla a cabo otros personajes menos éticos. Tan es posible hacerlo, que la propia compañía Cisco aceptó que existe un riesgo. Lo mejor de todo esto, es que la compañía ofreció consejos y buenas prácticas que los administradores pueden llevar a cabo para evitar en lo posible este tipo de situaciones. Ya cada administrador será responsable de leerlas, analizarlas y en su caso, configurarlas. Les ofrezco ligas que serán de utilidad:

Antecedentes.

Preguntas y respuestas con Sebastian Muniz.

Consejos y buenas prácticas de Cisco
.

miércoles, 28 de mayo de 2008

Antiphising de Google.

En esta ocasión me gustaría atraer la atención del lector hacia una herramienta (hasta el momento gratuita) para verificar la "honorabilidad" de sitios en Internet. La herramienta la ofrece Google en versión beta para variar (su servicio de correo sigue diciendo "beta" despúes de varios años en el mercado, cuándo piensan quitarle lo de "beta?). En fin, uno puede ingresar cualquier sitio en la siguiente dirección:

www.google.com/safebrowsing/diagnostic?site=
Después de "site", uno deberá escribir el sitio a ser verificado, como por ejemplo:
www.google.com/safebrowsing/diagnostic?site=www.microsoft.com

El sitio ofrece un análisis diciéndonos:
a).- Cuál es el estado actual del sitio (¿es un sitio que contiene un sitio falso que intenta hacer phising?)
b).- Qué ha pasado cuando Google visitó ese sitio (¿se intentó bajar código malicioso?).
c).- Cómo ha actuado el sitio en cuestión (¿ha servido como distribuidor de malware?)


Este servicio se basa en listados que mantiene la compañía y que son actualizados regularmente. Es relativamente nuevo y no tengo datos de si realmente es efectivo al momento de detectar sitios maliciosos. Como con otras herramientas, su sefectividad depende de que se actualicen sus datos y por otro lado, pienso que como en otros casos, sitios de phising mexicanos tal vez no lleguen a ingresar a la lista de Google; ya saben, los sitios de EUA y Europeos son los "relevantes". No está de más usarla como una medida adicional de protección.

jueves, 22 de mayo de 2008

Abraxas compra Anonymizer

Anonymizer es una compañía de EUA que se dedica a ofrecer "privacía y seguridad" al navegar en Internet. Básicamente lo que hace es crear un enlace seguro entre nuestro navegador y los servidores de Anonymizer y es entonces cuando nosotros empezamos a navegar en nuestros sitios favoritos, ya sean financieros o de cualquier tipo. Todas las peticiones de nuestro navegador pasan por esta compañía y si intentamos ingresar a un sitio de phising o bajar un troyano, aparecerá un mensaje de advertencia y prevendrá que ingresemos a un sitio malicioso o que bajemos un programa mal intencionado. Asimismo, como nuestro navegador no es que está directamente navegando sino que lo hace a través a Anonymizer, para el "resto del mundo" aparentemente el que ingresa a todos estos sitios es Anonymizer.

En fin, el punto es que esta empresa fue adquirida por Abraxas (www.abraxascorp.com/), y esto no resultaría realmente una gran noticia si no fuera por el hecho de que Abraxas es un proveedor de varias agencias de seguridad de los EUA, entre ellas la NSA y CIA; de hecho su fundador trabajó en la CIA y la empresa ha jugado un papel importante desde los atentados del 11 de septiembre, ya que ofrece "tecnología de mitigación de riesgos para la comunidad de seguridad nacional".

La crítica es que una empresa tan ligada al gobierno ahora sea dueña de una compañía que básicamente se encarga de recibir miles de peticiones para ingresar a sitios y la duda surge de si de alguna manera el gobierno de EUA estaría revisando esas peticiones. No me extrañaría.¿Es cuestión de seguridad nacional estar vigilando a gente que trata de resguardar su privacía y que desea permanecer con cierto anonimato al estar navegando? ¿El servicio de Anonymizer podría ser usado por personas mal intencionadas que desean anonimato? Tal vez las autoridades piensen que sí y así se evitarían permisos judiciales para tener acceso a los registros de navegación de los clientes.

Si entre los lectores hay usuarios de este servicio de Anonymizer, ahora saben de la adquisición ya mencionada y deberán decidir si es algo de lo cual deben de preocuparse o no. Si yo ingreso a sitios financieros, de noticias y otros similares, debo de preocuparme? ¿Si ingreso a sitios "inapropiados" y bajo música sin pagar por ella, debo preocuparme sobre todo si estoy fuera de los EUA? Tal vez no; juzguen ustedes mismos.

La noticia en:

www.socaltech.com/anonymizer_acquired_by_abraxas/s-0015106.html
http://newsblaze.com/story/2008050106330700005.pnw/topstory.html


martes, 20 de mayo de 2008

(In)seguridad en portones automatizados.

Sabemos que varias compañías automatizan nuestras puertas del garaje. Esto nos permite abrir y cerrar sus puertas cómodamente con un mando a distancia. ¿Es posible vulnerar el mecanismo electrónico y que alguien no autorizado abra las puertas? Alumnos del ITESM demostraron cómo se puede interceptar la señal enviada inalámbricamente por el mando a distancia y en base a esto usarla para enviar una señal "falsa" y lograr así abrir las puertas.

Existe un podcast donde entrevisto a Felipe de Castro y José Luis García, autores de este trabajo de investigación.

También existe un documento que describe detalladamente el trabajo de investigación, donde podrán encontrar información técnica interesante.

¿Vale la pena el SP3 de Windows XP?

La respuesta corta: para usuarios finales no; para organizaciones tal vez.

El Service Pack 3 para Windows XP es la última "gran" actualización para este sistema operativo y al parecer no va a haber más en el futuro dado que ahora Vista es el preferido de Microsoft. Esencialmente debemos de ver a SP3 como un ahorrador de tiempo y de banda ancha ya que incluye el SP1, el SP2 y los parches que han salido desde el SP2; esto significa que si instalamos SP3 en una computadora, la tendremos ya muy actualizada y sólo restará bajar un par de parches más. Para organizaciones que tengan parchado automático de equipos, esto pudiera no ser una gran ventaja.

Ahora bien, hablando de nuevas características y funcionalidades de seguridad, realmente no son muchas y no veo La Caracterísitica que marcará la diferencia. Al final enlisto las nuevas características con una pequeña opinión y unas ligas útiles.

¿Si tenemos equipos con SP2 actualizados al día de hoy vale la pena el SP3? Desde el punto de vista de seguridad no lo veo realmente necesario y podemos tomarnos nuestro tiempo para analizar si realmente lo requerimos; en los siguientes meses los foros de seguridad y tecnología seguramente tratarán mucho más este tema y tendremos la oportunidad de analizar sus ventajas/desventajas. Por cierto, he escuchado por ahí que el SP3 da algunos problemas con procesadores AMD donde el sistema empieza a "rebootear" sin parar (http://www.theregister.co.uk/2008/05/09/windows_xp_sp3_reboots_crashes/) o por ejemplo que de plano se impide la instalación del SP3 a causa de "extraños" errores, sin mencionar ventanas de advertencias sin sentido después de aplicar el parche. Al parecer son errores aislados y ya sacaron un parche para el "rebooteo" en AMD, pero con un Service Pack nunca se sabe.

Conclusión: el SP3 no es un parte aguas como lo fue en su momento el SP2 desde el punto de vista de seguridad y por cierto, no ofrece ningún cambio real en la interacción del usuario con la interfaz gráfica.

Ligas útiles:
Opiniones generales: http://www.informationweek.com/blog/main/archives/2008/04/windows_xp_serv_1.html
Sitio oficial: www.microsoft.com/downloads/details.aspx?FamilyID=68c48dad-bc34-40be-8d85-6bb4f56f5110


Las siete nuevas características de SP3:
1.- NAP (Network Access Protection): funcionalidad empresarial inicialmente presente en Windows Server 2008 que restringe el acceso a la red basándose en:
a).- La identidad de la computadora cliente que desea tener acceso a la red y,
b).- El cumplimiento de políticas de seguridad por parte del cliente (actualización de software, de antivirus, configuraciones de la política de seguridad, etc.)
http://www.microsoft.com/technet/network/nap/napfaq.mspx

2.- Módulo criptográfico: pone a disposición del sistema operativo (también aplicaciones y librerías) varios algoritmos (DES, 3DES, SHA256, etc.) y ofrece compatibilidad de los mismos de acuerdo al FIPS 140-1.

3.- Detección de ruteadores descarta-paquetes: detecta ruteadores que rechazan paquetes sin avisar. Desde el punto de vista de administración puede ser una característica útil.

4.- Protocolo CredSSP (Credential Security Support Provider): permite una autenticación robusta cliente-servidor al crear un canal cifrado usando TLS; simplemente es una nueva forma de autenticación que está disponible para ser usada con SP3 (Vista ya lo tiene integrado).
http://msdn.microsoft.com/en-us/library/bb931352(VS.85).aspx

5.- Opciones de seguridad con mejores descripciones: la ayuda que ofrecen las Directivas de Seguridad es mejor (según Microsoft).

6.- Seguridad mejorada para las entradas de directiva Administrador y Servicio: por lo que entiendo cuando se genera una nueva política se le agregan permisos previamente establecidos por "default". No encontré una buena descripción que me permitiera entender mejor esta característica.

7.- Activación de producto: nada qué ver con seguridad; simplemente el SP3 no pedirá la clave del producto para validar que sea una copia "legal".



lunes, 19 de mayo de 2008

Entrar a los EUA ya no es como antes.

Según varios sitios de Internet en EUA es ahora legal que en las aduanas le soliciten a uno que prenda la laptop (u otros dispositivos electrónicos) y se le debe permitir al oficial husmear en su contenido. El oficial tiene el derecho de "bajar" todo el contenido del equipo (laptop, iPod, celular, etc.) o pueden quedárselo por algunos días.

Al parecer no hay regulación al respecto y no están claras las condiciones para que esto suceda. ¿Si tengo mi disco cifrado o porciones del mismo qué procede? ¿Me pedirían mi contraseña? No soy yo quien puede responder a esto, pero sí es una cuestión muy seria que viaje con datos personales o empresariales y que simplemente puedan meterse con esos datos y quién sabe a dónde vayan a parar y quién vaya a tener acceso a los mismos. Vaya, estamos hablando de lo que tengo en mi equipo PERSONAL, que desde el momento en que tienen el derecho de ver su contenido y de quedárselo obviamente deja de ser personal y se convierte en equipo PÚBLICO.

De nada serviría quejarnos y resistirnos al "esculque digital", ya saben que nos pueden hacer la vida difícil en ese tipo de circunstancias ya que estamos en una situación de desventaja ante las autoridades aduanales. ¿La solución? Cifrar la información pero esconderla. Por ejemplo, cifro la información y la dejo en c:\windows\system32\, seguro que con cientos de archivos en ese directorio el oficial no será tan minucioso de revisar todo el contenido de ese directorio en ese preciso momento. También sería importante cambiarle la extensión al archivo cifrado en caso de que sea una extensión conocida usada por aplicaciones que cifran (como podría ser "gpg").

Si el oficial decide copiar todo el contenido, puede ser que tiempo después alguien se percate de que teníamos ahí datos cifrados…es probable que para entonces ya estemos de regreso en México.Espero que de alguna manera todo esto se elimine o se especifiquen mejor las condiciones de esta medida. Puede haber otros métodos para burlar lo mejor posible a esta disposición…alguna idea?

Más información en:
http://www.guardian.co.uk/technology/2008/may/15/computing.security

sábado, 17 de mayo de 2008

Schneier y las tareas del gobierno

Me encontré con una entrevista con el experto en seguridad Bruce Schneier.

Es una entrevista muy pequeña (dura menos de cinco minutos) y eso no me gustó porque obviamente no se pueden abordar muchos temas con su debida profundidad en ese tiempo. En fin, de lo importante que comentó es de lo que debería de hacer el gobierno de EUA (y por qué no, otros como el nuestro) para incrementar la seguridad en la información.

Y lo anterior significa invertir dinero en promover la seguridad en sistemas operativos y otro tipo de software "fundamental" como bases de datos o aplicaciones ofimáticas y por otro lado exigirles a los fabricantes de una vez por todas que implementen productos mucho más confiables.

También menciona una necesidad de invertir en investigación para la seguridad. Y finalmente habla de que el gobierno debería de buscar el beneficio de todos y poner a disposición del público por ejemplo los mismos sistemas operativos que usa el gobierno (en el caso de los EUA, sería el Departamento de Defensa). Si tienen tiempo, vean el video aunque insisto, fue muy corto en duración a mi gusto.

http://www.computerweekly.com/Articles/2008/04/30/230486/video-security-experts-bruce-schneier-and-ray-stanton-on-the-human-side-of.htm

jueves, 15 de mayo de 2008

Bases de datos sectorizadas de México

Hace unos días me llegó un spam donde ofrecían "bases de datos sectorizadas de México" (incluyo extractos del correo al final).

Inmediatamente pensé que eran bases de datos de correos para enviar spam y me di a la tarea de devolver el correo para investigar más.

Me hice pasar por un simple ciudadano "equis" y pedí datos de universidades (distractor) y también de funcionarios de una entidad gubernamental federal de México diciendo como pretexto que "un familiar quiere trabajar ahí"; explícitamente mencioné que quería listas de correos para estar seguro de que eso es lo que vendían.
Me contestaron (abajo pueden leer parte de respuesta) que la lista de correos de funcionarios de esa entidad federal costaba $100 pesos y los datos de las universidades costaban $115. Me mandan cuentas bancarias, nombres y todo tipo de información para que les haga el pago y me envíen la lista de correos; hasta puedo dar mi RFC para que me facturen por la compra.

En fin, restaría ver si realmente es una lista de funcionarios de esas entidades y que estén "actualizadas".

¿A alguno de ustedes en sus empresas/organizaciones les ha tocado recibir spam "dirigido"? ¿Se preguntan cómo consiguieron esas listas válidas de correos de muchos de los empleados? Un método es el que comento aquí y que es precisamente comprando dichas listas.

Por razones obvias, no incluyo toda la información de estos correos ya que sería estar promoviendo a la dichosa empresa que ofrece estas listas. Hasta dónde hemos llegado...


==================================================================================
MENSAJE ORIGINAL DEL VENDEDOR DE LISTAS PARA ENVIAR SPAM:
==================================================================================

-----Mensaje original-----
De: XXXX [mailto:XXXX@yahoo.com.mx]
Enviado el: Martes, 13 de Mayo de 2008 09:12 PM
Asunto: Catalogo de Bases de Datos

Le ofrecemos Bases de Datos sectorizadas de Mexico para promocion y ventas,
algunas de ellas son:

DESCRIPCION ---------------------------------------------------------------------------
- Base de Datos de XXXX
- Base de Datos de XXXX
- Base de Datos de XXX
[...]

Todos son archivos en formato Excel para mejor interaccion con Office

Si desea conocer precios de estas bases de datos, consulte el catalogo en el siguiente
enlace:

http://www.XXXX.com.mx/XXXX/CatalogoBD.xls

o bien responda a este correo con la palabra CATALOGO en el sujeto para enviarselo.

Si desea conocer planes de promocion por medio de correo electronico visite el
siguiente enlace:

http://www.XXXX.mx

Si no desea recibir mas informacion de parte nuestra, responda con la palabra
BORRAR en el sujeto.


==================================================================================
RESPUESTA DEL VENDEDOR DE LISTAS PARA ENVIAR SPAM:
==================================================================================


________________________________________
From: xxxx@yahoo.com.mx
To: xxxx@hotmail.com
Subject: Cotizacion Bases de Datos
Date: Wed, 14 May 2008 18:14:32 -0500
                                                                                                                    
 

P r e s e n t e
 
Anexamos cotización de las bases de datos que le interesan:
[...]
Condiciones Comerciales para DF y Area Metropolitana
* Los precios son en pesos mexicanos, el pago sería en efectivo o cheque a nombre de XXXX.
* Para facturar necesitamos que nos facilite sus datos fiscales. Si NO desea factura el importe a pagar sería Subtotal
* La entrega sería en CD en sus oficinas o el lugar que nos indique dentro del DF o area metropolitana si el pedido es mayor a $500 MN

Condiciones Comerciales para Provincia y pedidos menores a $500 del Area Metropolitana
* El pago sería mediante depósito bancario o transferencia electrónica en alguna de las siguientes cuentas de banco:
 
Banco: BBVA Bancomer
No. de Cuenta: xxxxxxxxxxx
[...]

 

 

Rootkits...en Cisco?

Los rootkits han tomado relevancia en los últimos años y atacan especialmente sistemas operativos Windows. Un rootkit es un "chico malo", ya que según análisis recientes, no siempre son detectados y/o removidos por los productos antivirus. La razón es que se "incrustan" en las entrañas del sistema operativo y así intentan pasar desapercibidos y toman el control del sistema. Probablemente la empresa Sony haya sido la causante de la reciente popularidad de los rootkit, ya que hace unos años esta compañía se atrevió a incorporar un rootkit en un CD de música, que a su vez instalaba el código en el sistema operativo; la empresa dijo que era una medida para evitar que se hicieran copias piratas, pero estudios demostraron que era posible hacer acciones mal intencionadas en los sistemas con el rootkit de Sony.

En fin, el punto es que al parecer y por si no fuera suficiente con las inseguridades del día a día, hay evidencia de que es posible hacer rootkits para los ruteadores Cisco...sí, esos aparatos que "unen" Internet. En una conferencia de seguridad en Londres (www.eusecwest.com), un investigador de seguridad (Sebastian Muniz), dará a conocer lo que pudiera ser la primera prueba de concepto demostrando que es posible hacer rootkits para el sistema operativo de ruteadores Cisco. Según he leído, el autor no desea explicar pormenores en la presentación, debido a la experiencia que vivió otro investigador (Michael Lynn) en el Black Hat de 2005 y que fue demandado por Cisco ya que se "atrevió" a hacer una demostración de cómo explotar una debilidad y así ejecutar código "shell" en estos dispositivos.

Rootkits...en Cisco? La idea no me tranquiliza. Habrá que esperar a que haya más información al respecto pero de entrada si fuera de algún modo posible poner rootkits en la columna vertebral de Internet, habría algo más por lo cual preocuparse.

Más información del "posible" rootkit de Cisco:
http://www.networkworld.com/news/2008/051408-hacker-writes-rootkit-for-ciscos.html?page=1

Entrevista con Michael Lynn (2005): http://www.wired.com/politics/security/news/2005/08/68365

Video de personal de Cisco rompiendo documentos de la presentación de Lynn (2005): http://blog.makezine.com/archive/2005/08/video_of_ciscoi.html


miércoles, 14 de mayo de 2008

martes, 13 de mayo de 2008

Evento de AMIPCI: Seguridad para menores

El viernes 16 habrá un evento patrocinado por la AMIPCI (Asociación Mexicana de Internet) donde su tema central será la "Seguridad para Menores".
 
El lugar es el Polyforum Siqueiros y al parecer la señal del evento podrá ser vista en "vivo" desde Internet. Para mayor información:

Manteniendo al día Nuestro Software

La actualización de nuestro software es muy importante para mitigar los riesgos informáticos. Los invito a leer un artículo que redacté para ustedes y que está disponible en mi página web: http://fausto.cepeda.googlepages.com

lunes, 12 de mayo de 2008

Desgracia en China pudiera ser aprovechada

 Una desgracia lo acontecido en China el día de hoy (http://www.eluniversal.com.mx/notas/505995.html).

Al parecer hay miles de personas muertas a causa del fuerte temblor y no descarto que personas sin escrúpulos empiecen a enviar correos haciendo alusión a este acontecimiento para transmitir código malicioso o inducir a que ingresemos a cierta página web. Mucho cuidado con las ligas que nos ofrezcan en los correos o los videos que nos lleguen al buzón.

Foro sobre Creación de Software Seguro.

Los fabricantes de software nos han acostumbrado a la cultura de parchar aplicaciones. Hacer software seguro (o mejor dicho, confiable) significa darle seguridad al software desde sus inicios en las fases de diseño, análisis e implementación.

Muchas de las metodologías de desarrollo de software ven a la seguridad como un punto más en la arquitectura de software, cuando deberíamos tener a la seguridad como uno de los ejes principales en el desarrollo de software o al menos darle un mayor peso. Mientras sigamos haciendo software funcionalmente correcto pero vulnerable, seguiremos teniendo problemas de debilidades en las aplicaciones y los desbordamientos de memoria serán el pan nuestro de cada día.

Para los interesados en este tema, les comento que se llevó a cabo un Foro que trata sobre estas cuestiones. Desgraciadamente el evento tuvo lugar en EUA (para variar); cuándo podremos ver este tipo de foros especializados en México? Supongo que tendremos que seguir esperando...

http://www.bowheadevents.com/swaforum2008/index.cfm

Lista de vulnerabilidades de F-Secure

Esta empresa de antivirus F-Secure nos presenta un nuevo servicio gratuito donde lista vulnerabilidades de diferentes aplicaciones. Tal vez sea para sustentar su otro servicio HealthCheck que revisa un equipo con el fin de encontrar debilidades, porque de otro modo lo encuentro bastante "sin chiste".

El punto es que este nuevo servicio que lista debilidades, para mi gusto, no agrega ningún valor. Nada que no pueda leer en el CERT o en Secunia. Vienen las mismas descripciones, referencias, soluciones y demás información que puedo encontrar en otros sitios como los ya mencionados. ¿Dónde esta el valor? ¿Por qué revisaría esta página en lugar de otras que resultan mejores? Yo no encuentro una razón para hacerlo y no entiendo por qué necesitamos otro sitio más para listar debilidades si únicamente me limito a "copiar" información que de por sí ya está en otros sitios "especializados".

En fin, ustedes juzguen por sí mismos:

http://www.f-secure.com/vulnerabilities

Datos de seis millones de chilenos expuestos.

Ya es casi una costumbre leer noticias de exposición de datos extraídos de los sistemas de información y la verdad ya hasta me dan flojera ponerlos en este blog porque casi diario podría hacer una entrada de este tema. Pero esta vez decidí comentarles de esta noticia ya que se trata de una exposición de datos en Chile, donde un cracker penetró varios sistemas de información del gobierno chileno y expuso direcciones, número telefónicos, correos electrónicos, calificaciones académicas y otro tipo de información en un blog de tecnología chileno. Puede ser que a partir de esta información se pudieran llevar a cabo ataques de falsificación de identidad.

En fin, el punto relevante para mi, es que esto sucedió en un país latinoamericano y no como es costumbre en países europeos o de EUA. Los latinos tal vez tenemos esta cultura de "eso pasa en otros países, aquí no"...y bueno, ya tuvimos una página hackeada del Senado aquí en México y ahora una exposición de datos en Chile. No debemos de pasar estos sucesos por alto, porque finalmente, siempre podrá haber alguien interesado en nuestra información, aunque nos podamos sentir "insignificantes" en este mundo electrónico (que por cierto, no lo somos).

La noticia en: http://www.sophos.com/pressoffice/news/articles/2008/05/chile.html?_log_from=rss


viernes, 9 de mayo de 2008

Tu celular me dijo dónde estabas.

En Inglaterra se ofrece un servicio de localización vía GSM. Una vez que pago por este servicio, escribo el número celular de un teléfono móvil y esta empresa "usa la red GSM" para localizar el celular y mapearlo a una ubicación física dependiendo dentro de qué célula está el móvil.

Al parecer no da una ubicación totalmente exacta, sino en un radio aproximado. El servicio dice que "puede darle paz al saber dónde están sus hijos, seres amados o colegas en cualquier momento, sin interferir en sus actividades del día a día". En pocas palabras, puedo saber la ubicación de un celular sin que el dueño lo sepa, inclusive sirve para localizar móviles perdidos; mientras el aparato esté prendido puedo saber su ubicación.

¿No es un problema de privacidad? Aunque no quiera ser localizable, a fuerzas me van a localizar si alguien paga a esta empresa? Habría que analizar bien las condiciones de este servicio, espero que al menos a la persona que se desea localizar le pregunten si desea hacerlo, aunque si dicen que localizan móviles perdidos, parece que esto sucede en automático sin ninguna autorización del dueño.

En fin, por el momento es un servicio exclusivo en Inglaterra. Para los que tengan algún amante, será un problema mentirle a la pareja respecto a su ubicación.

Les dejo el URL de la empresa:
www.world-tracker.com

Spam a la agenda de Outlook.

Sí, ahora llega spam directamente al calendario de los usuarios de Outlook. La nueva técnica se trata de enviarnos una cita a nuestra agenda y si uno tiene configurada la opción de "Aceptar las convocatorias y procesar cancelaciones automáticamente", entonces sin preguntar, el spam se insertará en la agenda con la debida notificación 15 minutos antes de la cita, anunciando el spam. No cabe duda que los spammers se las ingenian para poder pasar los filtros y poder así entregar su mensaje-spam.

Revisen sus agendas, tal vez ya tengan una cita programada con su spammer preferido.

¿Recomendación? Deshabilitar la opción en Outlook (2007): Herramientas->Opciones->Opciones del Calendario->Programación de Recursos->

Página del Senado Mexicano “hackeada”.

Estoy entrando en estos momentos (11:51 AM; 09/05/2008) a la página del Senado Mexicano (http://www.senado.gob.mx/) y la página sigue caída. ¿La razón? Simple: la hackearon. La noticia está en:
http://www.eluniversal.com.mx/notas/505467.html
http://www.milenio.com/index.php/2008/05/09/236128/

El hackeo derivó en una foto de la Chilindrina con leyendas en contra de la privatización de Pemex y otras citas políticas. No hay detalles técnicos de cómo se llevó a cabo esta penetración, habrá que esperar aunque tal vez no fluya mucha información al respecto. Y yo que pensé que hackaer páginas web había pasado de moda, pero al parecer vuelve, así que habrá que tener cuidado.

jueves, 8 de mayo de 2008

oCERT

Con el esfuerzo de Google, nace oCERT con el objetivo de "proveer soporte en la administración de la seguridad de proyectos de código libre". La idea es que este sitio sea un centro para las vulnerabilidades de los programas de código libre, ya sea para plataformas Linux, Mac o Windows; siempre y cuando se trate de código libre, sus debilidades tendrán cabida aquí en este sitio. Tradicionalmente, algunos de los sitios por excelencia para consultar debilidades podrían ser www.us-cert.gov, www.cert.org, y otros CERT de otros países como http://www.frsirt.com/english/, www.auscert.org.au/ o www.cert.org.mx.

Ahora viene Google con esta propuesta para hacer un centro de debilidades centrado en código libre, cuál es la diferencia con otros sitios como los que he mencionado? A primera vista, que se tratarán exclusivamente debilidades de código libre; sin embargo dichas debilidades aparecen de alguna u otra forma en otros sitios "autorizados" y del "underground" como www.milw0rm.com, pero uno se tiene que dar a la tarea de buscarlas y el oCERT las tendrá "centralizadas".

En fin, habrá que esperar a que madure más este proyecto porque aún está muy verde, aunque viniendo de Google, supongo que sí va a madurar pero como dije, el tiempo dirá. Visiten el sitio y claro, si alguien está metido en esto del código libre, ya sabe dónde puede enviar sus hallazgos o si alguien es autor de un software libre, tal vez algún día lo contacte personal del oCERT para solucionar una debilidad.

http://www.ocert.org/