Monthly Archives: December 2007

Vulnerability Assessment 2007 (testeo de productos)

Posted on by
Reply

La revista “SC Magazine” publico este año una evaluación de distintos productos especializados en el análisis de vulnerabilidades, para los que les gusta ver las virtudes y comentarios les recomendamos darle una lectura al articulo “Vulnerability assessment 2007″ (Ingles)

This month we looked at vulnerability assessment and penetration test tools. The leading difference between last year’s tests and this year’s is that this year we saw more hybrid products that offered both vulnerability scanning and penetration testing. We also reviewed a passive scanner for the first time and saw a lot more attention to meeting regulatory requirements, especially in the payment card industry

Productos testeados:

* Core Impact 6.0
* eEye REM Security Manager
* ISS Proventia Network
* NetClarity Branch Auditor 5.0
* Rapid7 NeXpose
* Saint Scanner + Exploit
* StillSecure VAM
* Tenable Nessus 3
* Tenable Network Security Passive Vulnerability Scanner

Leer el Articulo completo

Cross-site scripting en Apache 1.3.x y 2.2.x

Posted on by
Reply

Se ha encontrado una vulnerabilidad en Apache que podría ser explotada por un atacante remoto para conducir ataques de cross-site scripting.

* La vulnerabilidad que afecta a las versiones 1.3.x está localizada en la función mod_imap y está causada porque algunas entradas no se limpian de forma adecuada antes de ser devueltas al usuario. Esto podría ser explotado por un atacante remoto para inyectar código JavaScript o HTML arbitrario en el contexto de la sesión del navegador de un usuario que visita una página afectada. Para que la vulnerabilidad pueda ser explotada se requiere que mod_imap esté activado y sus ficheros accesibles de forma pública.

* La vulnerabilidad que afecta a las versiones 2.2.x está localizada en la función mod_imagemap y está causada porque algunas entradas no se limpian de forma adecuada antes de ser devueltas al usuario. Esto podría ser explotado por un atacante remoto para inyectar código JavaScript o HTML arbitrario en el contexto de la sesión del navegador de un usuario que visita una página afectada. Para que la vulnerabilidad pueda ser explotada se requiere que mod_imagemap esté activado y sus ficheros accesibles de forma pública.

La vulnerabilidad está confirmada para las versiones 1.3.39, 1.3.37, 1.3.36, 1.3.35, 1.3.34, 1.3.33, 1.3.32, 1.3.31, 1.3.29, 1.3.28, 1.3.27, 1.3.26, 1.3.24, 1.3.22, 1.3.20, 1.3.19, 1.3.17, 1.3.14, 1.3.12, 1.3.11, 1.3.9, 1.3.6, 1.3.4, 1.3.3, 1.3.2, 1.3.1 y 1.3.02.2.6. También está confirmada para las versiones 2.2.5, 2.2.4, 2.2.3, 2.2.2 y 2.2.0.

Se recomienda actualizar a la versiones de desarrollo 1.3.40-dev o 2.2.7-dev, donde se han subsanado los problemas de seguridad. Están disponibles desde:
http://httpd.apache.org/download.cgi

Más Información:

Apache httpd 1.3 vulnerabilities

http://httpd.apache.org/security/vulnerabilities_13.html

Apache httpd 2.2 vulnerabilities

http://httpd.apache.org/security/vulnerabilities_22.html

Fuente: http://www.hispasec.com/unaaldia/3341/crosssite-scripting-apache

Archivos de Access es un posible vector de ataque

Posted on by
Reply

De acuerdo a una alerta del US-CERT (Computer Emergency Readiness Team), criminales en línea están explotando un fallo en las bases de datos de Microsoft Office Access, para instalar software no solicitado en las computadoras de los usuarios vulnerables.

El US-CERT ofrece pocos detalles del tipo de ataque, comentando simplemente que la organización tiene conocimiento de “una explotación activa” del problema por parte de delincuentes electrónicos, que envían archivos .MDB (las bases de datos de Microsoft Access), a sus víctimas.

Estos archivos están diseñados con el propósito de ejecutar comandos. Microsoft advirtió también su sitio sobre esto, insistiendo en que los usuarios no deben aceptar archivos no solicitados, sin importar quien sea la fuente.

Por las características de este tipo de archivos, los blancos principales parecerían ser las compañías (grandes o pequeñas). Aunque muchas empresas bloquean el uso de archivos .MDB de fuentes desconocidas, los criminales aún pueden sacar provecho de muchas organizaciones que no toman medidas al respecto.

Sin embargo, las características de los ataques no están claras, ya que por defecto, programas como Internet Explorer y Outlook Express suelen bloquear estos archivos. Para algunos es sorprendente que este vector de ataque pueda estar siendo explotado tan activamente, como menciona la alerta del CERT.

Este tipo de alarmas, debe servirnos para recordarnos la importancia de apegarnos estrictamente a las medidas de seguridad más básicas, y a la vez más importantes, las de no aceptar enlaces ni adjuntos no solicitados, y mucho menos abrirlos, aún cuando la fuente parezca conocida.

Según algunos expertos, el problema explotado, estaría relacionado con un desbordamiento de búfer en el motor del Microsoft Jet DataBase, utilizado para interpretar los archivos de bases de datos de Access.

Microsoft Jet DataBase es una implementación de base de datos ampliamente utilizada por las aplicaciones de Microsoft Office.

Relacionados:

Microsoft Jet DataBase Engine MDB File Parsing Remote Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/26468

Información general de los tipos de archivos no seguros de los productos de Microsoft
http://support.microsoft.com/kb/925330/es

Fuente : http://vsantivirus.com/14-12-07.htm

Paypal: “La seguridad cada vez preocupa más”

Posted on by
Reply

ENTREVISTA: RAJIV DUTTA PRESIDENTE DE PAYPAL

La empresa de pagos por Internet propiedad de eBay ya está presente en 190 países.

Desde que ingresó en eBay, el portal de subastas por Internet, en 1998, Rajiv Dutta ha desempeñado varios puestos en el grupo, incluido el de presidente del servicio de telefonía Skype. Neoyorquino de origen indio, Dutta preside ahora la empresa de pago PayPal, adquirida por el grupo en 2002. Desde entonces, PayPal se ha ampliado y ahora está disponible en los portales de empresas como Harrod’s, Lladró o Correos. Presente en 190 países y disponible en más de 70 divisas, la empresa registra 100.000 nuevas cuentas cada día y 16.000 semanales en España.

Pregunta. ¿Cómo ha crecido el mercado de compra online desde que se creó PayPal?

Respuesta. PayPal tiene unos siete años y eBay la adquirió hace cinco, en octubre de 2002. Desde entonces, el comercio online se ha convertido en un negocio bastante grande: el negocio global mueve unos 500.000 millones de dólares. Pero lo cierto es que siempre sospecho un poco de estas cifras.

P. ¿Por qué?

R. Hay muchos pagos que no se incluyen. Por ejemplo, cada vez se utiliza más Internet para pagar servicios gubernamentales o para compras en portales de anuncios clasificados. Curiosamente, estas cifras tampoco incluyen las de eBay. Pero en líneas generales, el comercio online ha crecido de modo significativo, sigue aumentando en torno al 20% anual y el crecimiento es aún mayor aquí en Europa que en Estados Unidos.

P. ¿Por qué es mayor en Europa?

R. Hay dos motivos. Uno es que partimos de una base más pequeña. Otro es que en muchos países el comercio online añade mucho valor para el consumidor, porque las tiendas tienen un horario muy limitado. Por lo tanto, el crecimiento varía un poco por países pero eventualmente, en la mayoría de los países, el comercio online supondrá una gran parte de la economía.

P. ¿Cuándo?

R. Dentro de algún tiempo. Ahora, el ritmo de crecimiento se ralentiza, en algunos casos más rápido de lo que se podría esperar. Eso se debe a que los consumidores cada vez se preocupan más por la seguridad de su información en Internet. Por lo tanto, el mercado se mueve en cifras enormes, pero hay algunas cosas que se podrían hacer para que creciera todavía más rápido.

P. ¿Como qué?

R. Está mal que lo diga, pero creo que PayPal es parte de la solución. Cuando un consumidor abre una cuenta con nosotros, introduce sus datos y la información del instrumento financiero que quiera usar. Para pagar algo en un portal que acepta PayPal, sólo tiene que registrarse en su cuenta PayPal. No tiene que revelar su número de tarjeta ni teclear sus datos una y otra vez. Existe una creciente ansiedad por la seguridad de la que nos beneficiamos.

P. Le iba a preguntar sobre el acuerdo de seguridad que acaba de firmar con el correo de Yahoo…

R. Eso es algo un poco diferente. A principios del año pasado descubrimos que muchos delincuentes mandaban correos electrónicos en nuestro nombre pidiendo información, es lo que llaman phishing. Actuamos y hemos conseguido reducirlo considerablemente. Al mismo tiempo, hemos firmado un acuerdo con Yahoo que firma digitalmente nuestro correo. Así, si alguien pretende hacerse pasar por PayPal a través del correo de Yahoo, Yahoo lo filtra.

P. ¿Y aparte del acuerdo con Yahoo?

R. También hemos estado trabajando con Microsoft para el nuevo explorador de Internet. Hacemos muchas cosas, pero con Yahoo es el primer acuerdo de correo electrónico que hemos hecho y haremos mucho más.

P. PayPal acaba de incluir las transferencias bancarias entre sus opciones de pago. ¿Qué aporta de nuevo?

R. Es algo que acaba de lanzarse en España porque el equipo local ha detectado que los consumidores españoles están acostumbrados a pagar con transferencias bancarias. En cada país, intentamos identificar qué tipo de pagos se utiliza más. Por ejemplo, en Estados Unidos, el mayor método de pago es la tarjeta de crédito, y en Italia es muy común utilizar las tarjetas de prepago.

P. ¿Cuáles son sus principales mercados?

R. Nuestro mercado más amplio es Estados Unidos. El segundo es el Reino Unido y el tercero es Francia. En total, PayPal tiene 164 millones de cuentas. Alrededor de 40 millones de ellas son europeas y la región es nuestro mercado que crece con más rapidez.

P. ¿Y los prioritarios para crecer?

R. Queremos seguir creciendo en Estados Unidos, donde todavía hay muchas oportunidades, y es absolutamente crítico que impulsemos nuestra presencia en Europa. El Reino Unido, Francia, Italia y España son nuestros mercados clave en Europa.

P. ¿Cuáles son las prioridades de la compañía?

R. La prioridad número uno para 2008 es expandir la disponibilidad de PayPal en el mayor número de portales posible. El segundo objetivo es que tenemos que seguir trabajando muy duro para mejorar la experiencia del consumidor de PayPal, aumentando su facilidad de uso y añadiendo modos de pago, como las transferencias bancarias.

P. En cuanto a expandir la disponibilidad, ¿hay sectores que tienen más interés?

R. Hemos decidido estar presentes a través de varias industrias. Tenemos que asegurarnos, por ejemplo, que no estemos sólo en los bienes electrónicos, sino también en las compañías aéreas. Nuestro objetivo es que en los sectores clave de consumo que existan en cada país estemos presentes en las dos o tres empresas más importantes.

P. ¿Es difícil convencer a las empresas?

R. Al principio lo fue porque nadie conocía PayPal. Ahora es mucho más fácil porque tenemos una base de consumidores muy grande. En el Reino Unido, uno de cada dos compradores online tiene una cuenta PayPal. En Francia y en España es uno de cada tres. Es una cifra enorme y constituye un argumento muy potente. Además, podemos probar a las compañías que cuando integran PayPal sus volúmenes de venta crecen.

P. ¿Cómo?

R. Los usuarios de PayPal suelen ser compradores más activos en Internet. Y cuando ven PayPal, al transmitir más tranquilidad con la seguridad, tienen mayor tendencia a comprar. Dependiendo de la compañía, podemos demostrar que entre el 40% y el 50% de los usuarios comprarán cosas que de otro modo no comprarían.

“Estamos viendo un gran desplazamiento hacia la digitalización de la moneda”

Pregunta. Desde julio, PayPal tiene licencia de banco en Luxemburgo. ¿Esto qué supone?

Respuesta. En Europa, empezamos como un transmisor de moneda porque es la licencia que tenemos en Estados Unidos. Obtuvimos la licencia en Londres y la usamos en la Unión Europea. Pero era problemático porque cuando queríamos negociar con algún comercio teníamos que mandar al personal de Londres. Para que los equipos locales pudieran negociar teníamos que cambiar nuestra estructura solicitando una licencia de banco, y es lo que hemos hecho.

P. Pero, ¿cambia el modelo de PayPal?

R. En términos de quiénes somos y qué hacemos no cambia nada. En el sentido tradicional, no somos un banco. Somos un negocio que permite el pago online. Somos un servicio que se sitúa por encima de los bancos. Porque sin los bancos y sus tarjetas de crédito, PayPal no es nada.

P. Últimamente le está creciendo la competencia. Google, por ejemplo, ha lanzado su propio servicio de pago, Checkout. ¿Cómo ve la situación?

R. La industria del pago ha cambiado considerablemente. En Estados Unidos, y es válido para cualquier país industrial, en 1990, el 59% de todos los pagos se hacían con cheques. En 2010 se prevé que baje el 8%. El pago en efectivo caería del 28% al 17%. Lo que lo reemplaza son las tarjetas de crédito, de débito, las transferencias electrónicas y el prepago. Estamos viendo un gran desplazamiento hacia la digitalización de la moneda.

P. ¿Por eso hay más competidores?

R. Hoy existen unas 50 nuevas compañías de pagos y todas han empezado en los últimos tres o cinco años. PayPal es una de las más antiguas. Y sí, se debe a ese desplazamiento masivo. Así que, más que competir con PayPal, cada una intenta crecer y hacerse con parte de lo que antes correspondía al pago en efectivo y en cheque.

P. ¿PayPal juega con ventaja por ser más antigua?

R. Lo que pasa es que es muy difícil que los comercios te acepten si no tienes cuentas de clientes. Y es muy difícil tener cuentas de clientes si los comercios no te aceptan. La diferencia con PayPal es que tuvimos las cuentas de los clientes de eBay como punto de partida, y en eso tuvimos mucha suerte.

Fuente: http://www.elpais.com/articulo/empresas/seguridad/vez/preocupa/elpepueconeg/20071216elpnegemp_5/Tes

Ordenadores de bambú, una opción ecológica

Posted on by
Reply

Asus ha presentado un prototipo de un portátil hecho de bambú, como una alternativa al metal y plástico

En 1976 Steve Jobs y Steve Wozniak construyeron el Apple I, un ordenador consistente en un sencillo circuito en una simple caja de madera. Desde entonces, Apple y otros fabricante de ordenadores siguen haciéndolos en cajas de metal y plástico, pero ahora la compañía de Taiwán Asustek Computer está fabricando ordenadores en otro tipo de material que es atractivo y ecológico: el bambú.

El Asus Eco Book tiene una carcasa hecha de bambú laminado disponible en diferentes tonalidades.

Cosechar bambú – una planta abundante, flexible, duradera y de gran crecimiento – no daña el medio ambiente como los procesos con madera procedente de árboles, según Asustek, aunque los pegamentos y laminados para colorear y fortalecer el material en ocasiones contienen tóxicos.

El producto está aún en la fase de prototipo y los ingenieros están comprobando si el bambú es adecuado para portátiles que tienen que resistir a condiciones extremas y permitir que el calor del microprocesador y del monitor pueda salir.

El Eco Book es una nueva estrategia para una compañía que responde a la demanda de ejecutivos y otros prestigiosos de alto nivel con sus agendas portátiles con fundas de piel y fundas de imitación de piel de cocodrilo.

“Originalmente empezamos con un modelo de diseño de piel” dijo Cher Chornis, directora de marketing y comunicación de Asus Computer, la filial del fabricante en Estados Unidos.

“Fue muy popular”, dijo. “Después de aquello, fue natural para nosotros experimentar con otros tipos de materiales y decidimos acercarnos a algo más ecológico”.

Fuente: ElPais.com