NOTICIAS SEGURIDAD INFORMÁTICA

Las últimas noticias sobre SEGURIDAD INFORMÁTICA procedentes de los más prestigiosos medios.

20 vulnerabilidades críticas de Apple están por ser reveladas
Charlie Miller, el investigador de seguridad reconocido por vulnerar los productos de Apple, hará pública (en la conferencia de seguridad CanSecWest a finales de este mes) su más reciente investigación a través de la cual, según él, fue capaz de encontrar cerca de 30 defectos críticos en software de uso común.

Después de haber "hackeado" anteriormente la MacBook Air y el navegador Safari, parecería que se inclina por hacer quedar mal a Apple, pero su investigación abarcó pruebas a diferentes proveedores de software: Adobe Reader, Apple Preview, Microsoft PowerPoint y OpenOffice Oracle.

Utilizando un sencillo script en Python, a fin de probar completamente las aplicaciones, descubrió más de 1000 formas de hacerlas fallar. De ese número, 30 errores le permitieron apropiarse de los programas. Y de esos 30, 20 fueron encontrados en el programa Preview de Apple.

Fuente: ThreatPost

XSS en Mercado Libre (solucionado)
Al igual que hace un tiempo, hemos hallado (y denunciado) un caso de XSS en el sitio de Mercado Libre.

En esta oportunidad se trata(ba) de un error en el manejo de la variable "isMot" que se envía al script profile:
http://www.mercadolibre.com.ar/jm/profile?id=XXXX&isMot=SCRIPT

De esta forma un atacante podría enviar un enlace especialmente construído y efectuar desde robo de credenciales hasta la construcción de una página de phishing. Al tratarse del sitio real de Mercado Libre, las víctimas difícilmente sospecharían:

Es notable como este tipo de error lamentablemente abundan en diversos sitios web "confiables" y todo debido a que no se capacita a los desarrolladores y evidentemente tampoco se realiza una auditoría seguridad sobre código fuente.

Cuando lo denunciamos, nuevamente la empresa respondió solucionado el error pero de forma reactiva. La solución definitiva sería una revisión completa de todo el sitio para evitar más casos similares (desde Segu-Info hemos encontrado y denunciado un par, pero ¿cuantos habrá?) y de esta forma dar mayor transparencia a sus usuarios.

Luego de nuestra denuncia a la empresa, el problema ha sido solucionado.

Cristian de la Redacción de Segu-Info

Ocultación XSS/CSRF en Short URL
En los últimos tiempos se ha puesto muy de moda Twitter, que como todos sabreis es una manera cómoda de compartir mensajes cortos, reenviar los mensajes de otros a nuestros otros contactos, etc. Con la aparición de Twitter y la limitación de 140 caracteres por mensaje surgieron los primeros problemas: ¿cómo pongo una URL? Si es del tipo http://www.pentester.es no hay ningún problema, es corta y podemos incluirlo en nuestro mensaje. Sin embargo las limitaciones del Twitter se pegan de morros con la longitud actual de las URL, sobretodo cuando referenciamos a posts o artículos concretos de un periódico: http://www.pentester.es/2009/09/conferencias-source-barcelona-21-y-22.html.
Esta última son, por si sola, 77 caracteres.

Como respuesta, han aparecido muchísimos servicios para hacer "Short URL Redirection", es decir, tú le das a la web la URL más larga que un día sin pan y él te lo convierte en algo mucho menos legible, pero mucho más corta y no nos va a dar ningún problema. Cuando el usuario pinche sobre esa URL será redireccionado inmediatamente a la URL larga, y todo funcionará sin mayor problema.

¿Sin mayor problema? Va a ser que no...

Cada vez está todo el mundo más acostumbrado a pinchar en este tipo de enlaces sin pensar que no tenemos ni idea de sobre que estamos pinchando.

Así que... vamos al grano, vamos a suponer que tenemos una web vulnerable a XSS o CSRF y que la URL con la que conseguimos explotarla.

Contenido completo en Pentester

Auditar seguridad de SSL
Existen dos herramientas muy completas para auditar la seguridad de SSL:SSLScan y SSL Audit.

SSLScan

Sirve para comprobar el tipo de cifrado SSL que utiliza un servicio. Es una herramienta para Linux que necesita el compilador GNU para C y la libreria OpenSSL.

SSL Audit

Es otra herramienta para comprobar el tipo de cifrado SSL. Que incorpora posibilidades de Fingerprint para identificar el motor SLL del servidor, esta última opción es experimental y según el autor reporta falsos positivos.

Contenido completo en Guru de la Informática

Canal para niños transmitió imágenes pornográficas
En la mañana del martes muchos niños estadounidenses estaban esperando su programa favorito, pero para su sorpresa los dibujos animados habían sido cambiados por imágenes de la cadena erótica Playboy.

Esta curiosidad tuvo lugar en Carolina del Norte cuando, al menos por dos horas, los más pequeños de la familia que estuvieron frente a la pantalla pudieron ver a jóvenes mujeres desnudas.

Con respecto a esta situación un portavoz de Time Warner Cable señaló: "debido a un problema técnico, algunos programas para adultos fueron difundidos en cadenas para niños".

Fuente: Ambito

Obama critica en Twitter a las compañías de salud
En su cuenta de esa red social, le dedicó varios duros twitteos a las compañías y aseguró a un congresista: "Me juego la presidencia en esto".

El presidente de los Estados Unidos, Barack Obama, está en una cruzada contra las compañías de seguros de salud de ese país, al punto que reconoció que se juega “la presidencia” en sacar adelante la reforma sanitaria.

En su usuario de Twitter, y bajo la etiqueta “estoyaquípor” (#iamherefor), Obama declaró con dureza: “Estoy aquí por mi madre, y todos los americanos que se ven forzados a perder tiempo discutiendo con las compañías de seguros en vez de enfocarse en curar su salud”.

En otro twitteo, y bajo la misma etiqueta, el mandatario manifestó: "Estoy para las millones de vidas que se verán modificadas, y en algunos casos salvadas, por la reforma en el sistema de salud" y por "la gente mayor que se queda afuera de las compañías por no responder a los requerimientos".

Justamente, el Presidente estadounidense suspendió un viaje a Asia y Australia para asegurarse que el Parlamento norteamericano le apruebe la reforma sanitaria, en la que reconoció que se jugaba su puesto.

“En esencia, nos dijo que el destino de su presidencia dependía del voto de la reforma”, reveló bajo anonimato un congresista de origen hispano al sitio de la revista Político.

Según se prevé, la reforma al sistema de salud de EE.UU. proyectada por Obama daría cobertura médica a unas 32 millones de personas, en un país donde la salud no es de acceso gratuito, sino que todo se debe pagar: desde pedir una ambulancia hasta una operación de urgencia.

Justamente, en los últimos días las compañías de salud norteamericanas aumentaron sus cuotas, lo que dejaría a varias personas fuera de cobertura médica, medida que exasperó al mandatario afroamericano.

“No les molesta que la gente se quede afuera del mercado de seguros de salud por el aumento, porque seguirán ganando más sólo por subir las primas a los clientes que mantendrán”, disparó ofuscado.

Por eso, Obama se transformó en una suerte de lobbysta propio: pasa los últimos días hablando con congresistas por teléfono y recibiéndolos en su despacho. Su principal meta es asegurarse los 216 parlamentarios necesarios para aprobar la reforma, que fue su promesa principal durante la campaña.

Fuente: MinutoUno.com

Hazte rico en Twitter
Tal y como mencionaba ayer con Facebook, hay cientos de formas de engañar al usuario y, en este caso sacarle dinero.

Si se busca apropiadamente en Twitter, se puede llegar a miles de ofertas falsas para hacer dinero a cambio de brindar datos personales o "una pequeña inversión":

En este caso esta usuaria realiza spam a través de la red de microblogging y si se ingresa al enlace se puede ver un llamativo video y se puede descargar un "manual para hacerse rico".

Lo que nunca entiendo de la gente que promociona esta basura es porqué no siguen sus propios consejos, se hacen millonarios y dejan de trabajar porque es obvio que con todo el conocimiento que tienen de marketing podrían hacerse ricos de la noche a la mañana, haciendo dinero mientras duermen.

Además con estas garantías y estas caras, ¿quién podría dudar de que es un negocio serio?

¿Qué esperas? ¡Ordena YA!
O, ¿no será que en realidad están buscando víctimas para estafar?

Cristian de la Redacción de Segu-Info

Escándalo hollywoodense aprovechado para infectar equipos
Tal y como mencionaba ayer con Facebook, hay cientos de formas de engañar al usuario y, en este caso sacarle dinero.

Si se busca apropiadamente en Twitter, se puede llegar a miles de ofertas falsas para hacer dinero a cambio de brindar datos personales o "una pequeña inversión":

En este caso esta usuaria realiza spam a través de la red de microblogging y si se ingresa al enlace se puede ver un llamativo video y se puede descargar un "manual para hacerse rico".

¿Qué esperas? ¡Ordena YA!
O, ¿no será que en realidad están buscando víctimas para estafar?

Cristian de la Redacción de Segu-Info

La seguridad no está reñida con la innovación y las libertades
COMFIA - Virtual Vie 19 Mar 2010 02:28 - "Se han detectado troyanos para BlackBerry que actúan como micrófonos y graban las conversaciones del usuario sin que éste se entere", advierte Bernardo

De un dia para otro la pc se muy volvio lenta porgramas se traban por 15 minutos
Foro de Spyware Vie 19 Mar 2010 02:28 - la pc comenzo a ser muy lenta trabar cada programa tarda hasta 20 min en iniciar y como 10 en abrir un simple programa como mis documentos aqui les dejo

Los hacker malos siempre van a buscar el eslabón más débil de la cadena
La Comunidad DragonJAR Vie 19 Mar 2010 02:27 - Kevin Mitnick, ex-hacker y consultor, asegura que en el mundo no hay ni una sola empresa, ni gobierno con un sistema informático 100% seguro _#_ _#_"Los

Un nuevo fraude en internet afecta a usuarios de Facebook
Yahoo! Mexico - Tecnología Vie 19 Mar 2010 02:26 - WASHINGTON (AFP) - Piratas informáticos atacaron a usuarios de Facebook mediante correos fraudulentos para intentar tener acceso a su clave personal,

Truco para hackear tuenti en 3 minutos.
Tuenti Vie 19 Mar 2010 02:13 - Se ha puesto en internet un video en youtube sobre un hack para tuenti que al parecer el programa ya se puede usar y el que hizo el video solo pide que

Correos maliciosos.
El Blog del Cowboy - Vie 19 Mar 2010 02:02 - "Maliciosos" me da gracia esa palabra! _#_Pero no me da gracia cuando por culpa de ellos mi computadora se infecta de virus, spyware y esas yerbas...

Nuevo ataque contra Facebook
Mundo Contact - Noticias Vie 19 Mar 2010 01:52 - 18/03/2010 17:04:00_#_Facebook_#_Categorías:_#_- Internet / e-Business_#_- Seguridad_#_- Social Media / Web 2.0_#_Piratas informáticos atacaron a usuarios

Missing: Han desaparecido mis últimos tres
Semana Económica - El Nuevo Sol Vie 19 Mar 2010 01:37 - Missing: Han desaparecido mis últimos tres blogs _#_Estimado(a) lector(a): _#_Parece que nada queda escrito con tinta indeleble. Por alguna razón han

Advierten sobre ola de spam en Facebook
TransMedia - Portada Vie 19 Mar 2010 01:22 - Mario Romero Editor de TransMedia.cl _#_ 18.03.10.- No es la primera vez y sin duda no será la última _#_ en que las redes sociales sean víctimas de ataques

Facebook Cracker, no todo es lo que parece
SpamLoco - Vie 19 Mar 2010 00:56 - En el día de hoy la noticia de los correos falsos de Facebook que simulan un supuesto reset del password ha recorrido muchos portales, esto es muy bueno

Kaspersky Lab detecta que el gusano Koobface duplica su número de servidores de comando y control en 48 horas
Comunicae - Ciencia y Tecnología - Informática - Seguridad Vie 19 Mar 2010 00:54 - Kaspersky Lab ha advertido de un repentino aumento en la actividad de Koobface, el famoso gusano que está causando estragos entre los usuarios de redes

Un nuevo virus busca las claves secretas de los usuarios de Facebook
Expansión.com - Tecnología Vie 19 Mar 2010 00:18 - Los piratas informáticos han inundado Internet con correos electrónicos basura plagados de virus que tienen por blanco a los cerca de 400 millones de

.