Facebook: Van $40,000 dólares en pagos por reportes de vulnerabilidades

Facebook  ya ha tenido que desembolsar la friolera de $40,000 dólares  a investigadores en seguridad IT como pagos por sus  reportes de vulnerabilidades en el sistema.  Esto a poco menos de 20 días de que haber  lanzado el programa de recompensas por fallas de seguridad (bug bounty program).

El programa, en el que ofrecía $500 dólares a quien lograra encontrar algún tipo de vulnerabilidad en el sitio web,  ha resultado todo un éxito para Facebook según explicó en el blog de seguridad, Joe Sullivan, jefe de seguridad de la red social. “El programa ha sido magnífico, ya que ha hecho que nuestro sitio sea más seguro – sacando a la superficie vulnerabilidades grandes y pequeñas, nos ha dado a conocer nuevos vectores de ataque y de esta forma nos ayuda a mejorar algunos ángulos de nuestro código”.

Nuevo certificado SSL fraudulento de Google renueva las dudas sobre los certificados

Hace algunos meses, un hacker iraní se infiltró en los servidores de la empresa Comodo, dedicada a vender certificados SSL, creándose una serie de certificados fraudulentos que le permitían hacerse pasar por sitios como Gmail, Hotmail, Yahoo y otros, e infiltrarse en las cuentas de correo de los usuarios, por ejemplo.

El SSL, o Secure Sockets Layer, es un sistema ampliamente usado en internet para garantizar la identidad de un servicio, de modo que el usuario pueda confiar en que están visitando un sitio que pertenece a quien dice que pertenece. La garantía de identidad se realiza usando una clave digital conocida como certificado. Un certificado falso permite a un atacante engañar fácilmente a los usuarios.

Empresas sufren cada vez más ataques cibernéticos

A mayor cantidad de usuarios, más atrayente se vuelve un sitio web para los piratas informáticos.

 Los cibercriminales están penetrando las plataformas corporativas a través del flujo y las aplicaciones de los dispositivos móviles.

Las empresas cada vez son más atacadas por cibercriminales, según reveló un reciente informe de SonicWall, el proveedor de soluciones de seguridad para redes inteligentes y protección de datos.
De acuerdo con el boletín sobre ciberamenazas, que tradicionalmente emite la firma tecnológica a mediados de año, los ciberdelincuentes se enfocan en los empleados que se conectan a las redes corporativas por medio de dispositivos móviles y acceden a sitios sociales en la oficina.

La privacidad de las fotos personales en iPad

Muchas son las voces que corren hoy en día sorprendidas de cómo iPad, un dispositivo pensado inicialmente para el salón de casa, ha conseguido meterse en el mundo profesional, siendo usado por militares estrategas y soldados, jueces, ministros o empresarios. Algo con lo que no se había contado inicialmente. De hecho, una de las características más curiosas de iPad es que podía "disimularse" en casa como si fuera un marco de fotos digital.

Así, aunque muchos usuarios de iPad no se fijan, en la pantalla de inicio, cuando está bloqueado el dispositivo, aparece un icono abajo a la derecha que permite convertirlo en un marco de fotos, sin ningún código ni contraseña, con el consiguiente volcado de imágenes almacenadas.

Figura 1: El botón que da acceso a ver las fotos

Por supuesto, muchos de los compradores no han hecho el desenvolso económico para convertir su iPad en un marco de fotos. Es probable que la mayoría desconozca este comportamiento que viene activado por defecto. Si a esto le añadimos que iPad 2 viene con una cámara de fotos y que muchos tiran fotos personales "privadas", esto puede ser un riesgo para los cotillas de la oficina.

Para deshabilitar este comportamiento hay que ir a los Ajustes, General, y dentro de las opciones de Bloqueo con código, se podrá deshabilitar esta opción. Una vez deshabilitada, en la pantalla de inicio no se podrá acceder a este comportamiento nunca más, ya que el icono de acceso a las fotos desaparecerá.

Figura 2: Opciones de activar o no el acceso a las fotos desde la pantalla de bloqueo

Esta opción, configurada por defecto, puede ser una utilidad más o un serio riesgo para la privacidad de una persona, y ya son muchas las personas que cuando ven un iPad abandonado unos segundos, buscan ese icono y le dan... a ver que sale. 

 

Fuente:  http://www.seguridadapple.com/2011/08/la-privacidad-de-las-fotos-personales.html

Hacker de 10 años CyFi revela su primer zero-day en un juego en la #Defcon 19

Otro día increíble en DefCon 19. Hoy, una niña hacker de 10 años de edad con el seudónimo CyFi reveló su día cero explotar en los juegos en IOS y dispositivos Android que los investigadores independientes han confirmado como una nueva clase de vulnerabilidad. La niña de 10 años de California descubrió por primera vez el fallo en torno a enero 2011, debido a que "comenzó a aburrirse" con el ritmo de los juegos del estilo de la granja.

Biometría: identificación y seguridad en empresas

Su aplicación es indispensable en cualquier sector, afirman expertos

Lo que en el pasado sólo se veía en películas de ciencia ficción hoy es una realidad en gobierno y empresas de todo el mundo, el escaneo de iris, reconocimiento de cara o de venas en un dedo, son algunos de los modelos que utilizan biometría.

La biometría se basa en el estudio de las características biológicas inmutables con el fin de lograr el reconocimiento único de una persona con base en uno o más rasgos conductuales o físicos, como huellas dactilares, retina, iris, oído, voz, rostro, venas de la mano o incluso la geometría de la palma.

Anonymous, un negocio redondo para Warner

Si hay algo que ha definido al colectivo Anonymous desde que comenzarán a tomar protagonismo en la red es esa máscara representativa. La imagen de Guy Fawkes es la imagen de Anonymous y detrás de cada una de las protestas masivas que han realizado siempre se encontraba la misma foto, la de cientos de individuos portando la cara de este personaje revolucionario. Pues bien, el New York Times destapa que detrás de toda la parafernalia se encuentra una empresa que ha elevado sus ingresos gracias a cada una de las protestas y acciones del colectivo. Time Warner tiene los derechos y propiedad de las máscaras y los ingresos en el ultimo año por la venta masiva de estas podrían ser millonarias.

"Botnet" Alerta de seguridad: Oleada de spam malicioso marca la reconstrucción de botnets.

Un fuerte incremento en el spam malicioso ha sido detectado durante las últimas dos semanas, marcando lo que algunos expertos creen que es un intento por parte de piratas informáticos para reconstruir sus agotados ejércitos botnet.

Creemos que [los spammers] está montando una campaña de verano grande, donde van a ...  tener sus grandes ejércitos botnet listos para su ofensiva de otoño. - Ed Rowley, Senior Product Manager, M86 Security

El Glider: Un emblema hacker universal

La gente de Linux tiene su pingüino y los de BSD su demonio. Los de Perl tienen su camello, los fans de FSF tienen su gnu, y los de OSI tienen un logotipo de código abierto. Lo que no hemos tenido, historicamente, es un emblema que represente la comunidad entera de hackers de la cual todos esos grupos son parte. Esta es una propuesta de que nosotros adoptemos uno - el patrón de planeador (Glider) de el Juego de la Vida (Game of Life).

Ataques Informáticos: Debilidades de seguridad comúnmente explotadas

Un ataque informático es explotar cualquier debilidad o falla (vulnerabilidad) existente en un programa (sistemas operativos y aplicaciones en este), en los componentes físicos que conforman el entorno de la información, e incluso en personas que utilizan estos recursos.

El objetivo es, de alguna manera, obtener información que luego pueden ser utilizados con fines fraudulentos para beneficiarse ellos del delincuente. En general, el beneficio buscado es de naturaleza económica, causando un efecto negativo sobre el sistema de seguridad crítica, que a su vez afecta directamente a los activos de la organización y el resultado en la pérdida de dinero.

Este documento proporciona una visión rápida de estas debilidades, junto con las posibles medidas en las que se puede invocar para prevenir eficazmente los diferentes tipos de ataques que un sistema recibe diariamente.

 

Recomendado

PDF - Documento en español

PDF - Documento en inglés

Fuente: http://securityint.blogspot.com/2010/08/computer-attacks-security-weaknesses.html

10 hackers que se pasaron al bando de la empresa

Los agujeros de seguridad son algo con lo que nos estamos acostumbrando a vivir diariamente en Internet. Cada cierto tiempo aparece un nuevo anuncio que nos avisa de que cierta aplicación, o tal sistema operativo ha detectado un nuevo fallo de seguridad al que hay que aplicar una actualización importantísima.

Por suerte o por desgracia, hay gente que dedica su tiempo libre a buscar esos agujeros de seguridad. Cuando trabajan para una gran empresa suelen llamarse “consultores de seguridad”, pero cuando van por libre, los llamamos Hackers. Algunos son tan jóvenes que ni siquiera podrían estar contratados legalmente, pero hay empresas que, pese a que hackear no esté muy bien visto por todos, se apresuran a ficharlos. He aquí algunos ejemplos:

Las motivaciones del hacker

 

La palabra hacker debe ser una de las que más diversas interpretaciones/definiciones posee en el ámbito tecnológico-social; asimismo discusiones tanto entre conocedores como si no. Miremos una arista más, la del hacker legendario que es Kevin Mitnick, quien habla de sus motivaciones en interesante entrevista para NPR. Atención a estas palabras:

Mi motivación para hackear fue siempre el reto intelectual, la seducción de la aventura y, lo más importante , la búsqueda del conocimiento […] Yo simplemente quería aprenderlo todo.

Desde mi punto de vista, pequeño si lo quieren ver así, esas palabras encierran la defición del verdadero hacker. Nada tienen que ver con conocer las combinaciones de todos los comandos Unix, ni la programación de un módulo superespecializado del kernel Linux, por supuesto, tampoco el diseño del virus informático más esquivo y contagioso; vamos, que ser hacker va más allá de ser criptógrafo, doctor en ciencias, niño genio, o estereotipo vivo de ropa negra, ojeras, anti social que consigue un Access Granted cada que le viene en gana. El hacking es actitud. Ésa actitud.

En ese sentido, creo que Leonardo da Vinci tenía las mismas motivaciones: aprenderlo todo. Su trabajo refleja genialdad artística e ingenieril, una voluntad inquebrantable para conseguir la perfección al tiempo que satisfacía una curiosidad incomparable. Ésta fue su lucha diaria; su aliciente para existir. Es más, si hay que nombrar un hacker máximo, me parece que ese debe ser da Vinci.

Volviendo con Mitnick, sabemos que disfruta de una vida tranquila y exitosa, alegrada por una fama que los años han vuelto romántica, lejos de los caminos subterráneos de sus inicios, pero feliz de recibir un buen sueldo por hacer exactamente lo mismo: vulnerar sistemas —sólo que esta vez a petición de sus dueños.
Mi recomendación es tomar las palabras de Mitnick como catalizadores para crecer en el trabajo, la escuela, el auto aprendizaje. Ya sea porque eres programador, profesor, político, hacktivista, estudiante, periodista, diseñador, escritor, cómico, padre o madre, lo que sea que eres o quieras llegar ser, hacker o no, el nombre es lo de menos:

• busca el reto intelectual;
• déjate seducir por la experimentación, como si de una aventura se tratara, porque lo es;
• disfruta de equivocarte y volver a empezar;
• busca el conocimiento, el placentero y socrático acto de querer aprenderlo todo aceptando que no sabes nada;
• sorpresa: no esperes nada a cambio, que de por sí el camino merece mucho la pena ser andado.

Foto: Tor Håkon
Fuente: http://alt1040.com/2011/08/las-motivaciones-del-hacker

Jeff Moss: de pirata informático a 'hacker blanco' reconocido en el sector

(CNNMéxico) — El pirata informático Jeff Moss descubrió hace dos décadas cómo hackear las redes telefónicas con un simple aparato. Pasados los años, se le conoce en el mundo de la tecnología por el ser el impulsor de las conferencias más famosas para hackers, como DEF CON y Black Hat. Sin embargo, no es el único hacker popular.
John Parker es otro de ellos. Su popularidad inció al crear la página de Napster, donde se podían realizar descargas gratuitas de música. Ahora es la mano derecha de Mark Zuckerberg, como presidente de la red social Facebook.
George Hotz, es otro de los hackers que logró la fama al desbloquear el primer iPhone para poder usuarlo en cualquier ompañía móvil y ahora trabaja para Apple.
Como la mayoría de los piratas, Moss descubrió en la década de los años 90 que podía ayudar a las nacientes compañías de internet a proteger sus redes al descubrir sus brechas de seguridad, según explica en entrevista con CNN.
Este es el trabajo de los hackers buenos: se especializan en corregir brechas de seguridad, es decir defender. Sin embargo, para poder defender también se debe saber cómo atacar.
Moss recuerda que tuvo su primer computadora a los 11 años y antes del nacimiento de internet, como muchos de los primeros hackers, usaba las redes telefónicas para realizar llamadas gratis, bajo el seudónimo Dark Tangent.
Este hacker también trabajó con el Departamento de Seguridad Interior de Estados Unidos y asegura que no todos los hackers son malos, sino personas inteligentes que investigan para entender la tecnología y que cuentan habilidades específicas.

Fuente: http://mexico.cnn.com/tecnologia/2011/08/22/jeff-moss-de-pirata-informatico-a-hacker-blanco-reconocido-en-el-sector