Monthly Archives: June 2008

Una empresa descubre fallas de seguridad en el iPhone

Posted on by
Reply

Internet Security Evaluators (ISE) ha denunciado la existencia de un ‘agujero’ que permitiría a los ‘piratas informáticos’ controlar el aparato a través de una conexión WiFi.

El teléfono de Apple ha comenzado ya a tener problemas. El último ha sido descubierto por una empresa estadounidense encargada de evaluar la seguridad de las páginas en la Red (Internet Security Evaluators, ISE). Según la empresa, en el iPhone “hay serios problemas con el diseño y aplicación de seguridad”, un fallo que permite a los ‘piratas informáticos’ acceder, incluso, a la agenda y el buzón de mensajes del dueño del aparato.

Charles Miller, analista de seguridad de ISE asegura que, por este fallo, cualquier persona con malas intenciones podría estar “en completo control” del teléfono y llegar, incluso, a realizar llamadas desde él.

El gigante informático Apple no ha negado la existencia de este problema y desde ISE se propone un programa para parchear el teléfono y solucionarlo. Aún así, desde la empresa afirman haber avisado a Apple de la existencia de este fallo ya el 17 de julio y que planea publicar todos los detalles técnicos el próximo 2 de agosto.

Fuente: http://www.elmundo.es/navegante/2007/07/24/tecnologia/1185269330.html

Documentación sobre Gestión de Riesgos

Posted on by
Reply

ENISA ha puesto a disposición de todos un amplio catáglogo de información, herramientas y metodologías sobre Gestión de Riesgos.
En el sitio web puede verse el siguiente contenido:

Fuente: http://seguinfo.blogspot.com/2008/06/documentacin-sobre-gestin-de-riesgos.html

Blogsecurify: un test de seguridad para blogs con WordPress

Posted on by
Reply

Basado en el escáner de vulnerabilidades para WordPress de BlogSecurity, acaba de presentarse una fase muy inicial de Blogsecurify, que se supone una versión mejorada y ampliada a otros CMS (aunque yo no he podido encontrar cuáles).

Si algún malintencionado está pensando utilizarlo para escanear blogs indiscriminadamente se encontrará con un problema: hay que introducir un comentario en el código de la portada del sitio para que Blogsecurify pueda analizarlo. También está disponible un plugin para WordPress que se encarga de preparar el sitio para el análisis.

Fuente: http://www.kriptopolis.org/blogsecurify-test-seguridad-blogs-wordpress

Ataque DoS deja sin correos electrónicos a toda una nación

Posted on by
Reply

Un ataque de negación de servicio que afectó al único servidor de Internet de las Islas Marshall ha dejado a los residentes de esta nación sin acceso a correos electrónicos externos.

Un ejército de zombis atacó el servidor, Nacional Telecommunications Authority (NTA), a primeras horas del martes y lo inundó de mensajes spam, bloqueando por completo el tráfico de correo que ingresaba a la nación.

Los sistemas de la NTA recibieron una cantidad de mensajes cuatro veces mayor a la que suelen recibir. De pronto, los sistemas se vieron frente a 500 conexiones SMTP por segundo.

“Esta exagerada cantidad de conexiones en realidad no enviaba ningún correo electrónico, pues las listas de espera de nuestras cuentas de correo estaban vacías” explicó Tony Muller, director general de la NTA.

“Este ataque en particular tiene algunas diferencias con los ataques spam comunes. Por lo general, el spam trata de atestar nuestras cuentas con correos electrónicos, mientras que, en este caso, el ataque fue diseñado para mantener a nuestros servidores conectados a zombis mientras se bloqueaba la entrada de correos legítimos” indicó Tony Muller, director general de NTA.

Aunque los 55.000 ciudadanos de las islas podían intercambiar correos entre sí, no podían recibir correos de sistemas que no fueran parte de la NTA, lo que tuvo graves repercusiones en empresas, bancos, organizaciones gubernamentales e individuos.

Aunque todavía no se sabe con certeza porqué los criminales decidieron llevar a cabo este ataque, algunos creen que es una forma de protestar contra el monopolio de la NTA, empresa controlada por el gobierno.

Fuente: http://www.viruslist.com/sp/news?id=208274173

Vulnerabilidad “cross-domain” en Internet Explorer 6

Posted on by
Reply

Microsoft Explorer 6 es vulnerable a que un sitio web construido maliciosamente, pueda eludir las restricciones para obtener información de ventanas pertenecientes a diferentes dominios (cross-domain). Esto puede permitir que un usuario remoto no autenticado, pueda acceder al contenido de una página web que el usuario esté visitando.

La implementada en Internet Explorer, debería garantizar que las ventanas del navegador que se encuentren bajo el control de diferentes sitios web, no puedan interferir entre ellas ni acceder a los datos relacionados con cada una de las mismas, pero si que pueda existir cierta interactividad entre ellas.

Para diferenciar este tipo de interactividad con la posibilidad de no interferir entre diferentes ventanas abiertas, se ha creado el concepto “dominio“. Un dominio es un límite de seguridad, las ventanas abiertas dentro del mismo dominio pueden interactuar entre sí, pero las ventanas de diferentes dominios no pueden hacerlo.

Internet Explorer 6 no aplica correctamente este modelo de seguridad cuando la ubicación de una página es modificada mediante el uso de un determinado objeto. Una prueba de concepto que demuestra esta vulnerabilidad se ha hecho pública.

Un atacante podría sacar provecho de la misma, por el simple hecho de convencer al usuario a visualizar un determinado documento HTML (una página web o un correo electrónico con formato HTML). Si el ataque es exitoso, el delincuente puede obtener acceso al contenido web de otro dominio (por ejemplo, acceder al contenido de la página de acceso a una institución bancaria, cuenta de correo vía web, etc.)

No se conocen soluciones apropiadas para este problema al momento de publicarse esta alerta. Cómo la misma no afecta a Internet Explorer 7, se aconseja a los usuarios de IE6 actualizarse a IE7.

Fuente: http://www.laflecha.net/canales/seguridad/noticias/vulnerabilidad-cross-domain-en-internet-explorer-6?_xm=rss