En el día de mañana estaré presente en el Microsoft CodeCamp 2010 presentando 10 formas de escribir código (in)seguro y una de mis tareas en los últimos días fue buscar errores tontos y predecibles en sitios altamente visitados. Es así que me crucé con un XSS tonto (muy tonto, aunque hubo errores peores) en el sitio de Bit.ly. Parece que a esta gente no le alcanza con tener vulnerabilidades que permiten redireccionar dominios y que son utilizadas para propagar malware , las cuales hemos denunciado hace 3 meses y aún están en revisión (vota para que lo solucionen!).Ahora también tienen XSS que permiten robar cookies o crear dominios de phishing para robar credenciales

Hace unos días Symantec y F- Secure detectaron una aplicación maliciosa para la plataforma Android. Un troyano que recolecta datos sobre nuestra posición GPS y que se presenta disfrazado del conocido y antiguo juego de la serpiente

La Cámara de Diputados dio ayer un paso importante para la aprobación de una ley de acceso a la información pública, una norma que tiene como finalidad facilitar la obtención por parte de los ciudadanos de los datos en poder del Estado. En una reunión de las comisiones de Asuntos Constitucionales, de Justicia y de Presupuesto, la mayor parte de la oposición logró emitir un dictamen de mayoría, que habilita el tratamiento del tema en el recinto. El libre acceso a la información pública es un derecho constitucional vinculado con la libertad de expresión, reconocido por varios tratados internacionales

Control de la integridad Cuando un servidor a sido “pirateado” el atacante suele enmascarar su paso borrando las huellas en los diarios de actividad, los ficheros log. Además puede instalar un serie de herramientas que le permiten crear una puerta trasera para poder volver a entrar sin dejar ningún tipo de huellas. Algunos, rizando el rizo, piensan en corregir la vulnerabilidad que les ha permitido entrar para evitar que cualquier otro pirata informático pueda entrar

India exigió a gigantes de Internet como Google y Skype acceso a datos clave de sus usuarios, al tiempo que comenzó a controlar el tráfico entre algunos teléfonos BlackBerry, como parte de su campaña para reforzar la seguridad. El secretario del Interior, G.K. Pillai, dijo que el Gobierno comenzó a enviar notificaciones a Google y Skype para que instalen servidores en India y permitan el acceso a datos de Internet que las autoridades temen podrían ser aprovechados por extremistas.

Como ya indicamos en entradas anteriores, Ruben Santamarta investigador de seguridad, ha sacado a la luz un 0day que afecta a las últimas versiones de QuickTime en todas las versiones de Windows. La noticia ha cogido tanta expectación, que los desarrolladores de metasploit han tardado apenas un día en liberar un módulo para su framework.

Twitter ha anunciado que almacenará y podrá analizar todos los enlaces que se incluyan en los mensajes de la red social.

Para ser lo más seguro posible un sistema de información debe disponer de medidas que le permitan detectar los incidentes. Existen unas soluciones llamadas sistemas de detección de intrusiones o IDS en inglés (Intrusion Detection Systems).