Solicito mediante estas líneas el apoyo decidido de los lectores de Kriptópolis a la Asociación de Internautas y su manifiesto "POR LOS DERECHOS CIVILES, LA UNIVERSALIDAD Y NEUTRALIDAD DE LA RED", que sirve de sustrato a una campaña que finalizará con un acto público el próximo domingo 24 de mayo, frente a la sede del Ministerio de Cultura en Madrid.
Muchas gracias a tod@s.
J.M. Gómez
Admin
KRIPTÓPOLIS
The rest is here:
Los internautas salen a la calle |
Nuevamente han surgido problemas de seguridad alrededor del manejo de protocolo y navegadores Web esta vez con Google Chrome y con Internet Explorer de Microsoft.
Según un boletin de advertencia del equipo de Google Chrome, hay un error en el manejo de URLs con el protocolo chromehtml: que podría permitir a un atacante ejecutar scripts de su elección en cualquier página o listar los archivos del disco local bajo ciertas condiciones.
[ Vea: Hallan falla de inyección de comantos en IE: O ¿es en Firefox? ] La falla: La vulnerabilidad de “alta severidad” afecta a Google Chrome versiones 1.0.154.55 y anteriores. Puede ser explotada por hackers maliciosos para lanzar un ataque UXSS (XSS universal) sin la interacción del usuario bajo ciertas condiciones. [ Vea: Sorpenden a Mozilla dormido con falla de manejo de protocolo de URL ] El investigador de IBM Roi Saltzman, al quien se atribuye el hallazgo ye inform de la falla a Google, ha publicado un boletin (word .doc) para explicar los vectores de ataque y el impacto. Advierte que la falla abre una puerta a dos vectores de ataque principales: “Es importante notar que la forma en que Internet Explorer procesa los manejadores de protocolo URL es un conocido talón de Aquiles y ha sido ampliamente usado en ataque anteriores a otras aplicaciones varias,” dijo Saltzman. El código de prueba de concepto de esta falla está disponible públicamente. Microsoft sostiene que los problemas no están relacionados con vulnerabilidades en su código. Traducción exclusiva de Segu-info: Raúl Batista
Autor: Ryan Naraine
Fuente: Blogs ZDNet
Read more here:
Internet Explorer + Google Chrome = security problem |
Cuando infosniper me comunicó que se había embarcado en la ardua tarea de realizar una recopilación cronológica explicada de sus famosos "criptogramas de la botifarra" (que mantuvieron en armas a los más aguerridos lectores de este sitio durante muchos meses), creí que se trataba de un ejercicio voluntarioso con pocos visos de éxito. Por mi parte tampoco pude prestarle ningún apoyo en su titánica labor, debido a mi archiconocida etapa de hibernación, que tanto afecta a todo lo relacionado con mi actividad en Internet y en este sitio.
Por eso hoy, cuando infosniper me ha presentado de improviso el resultado (un pdf de casi 500 páginas, junto a varias docenas de ficheros complementarios), me he quedado alucinado. Ya conocía su entrega a estos retos en base a los muchos mensajes que hemos intercambiado al respecto y a sus múltiples comentarios en el sitio, pero a la vista de esta obra parece claro que su capacidad de trabajo excede con mucho lo visto hasta ahora.
Imprescindible para todos los que participastéis en sus retos. Recomendable para los que deseáis conocer en profundidad la mecánica interna de un reto de criptoanálisis.
Se titula "Criptogramas de la Botifarra. Cronología de un criptoanálisis", e infosniper invita a la libre descarga y redistribución de su memorable trabajo.
Por seguridad es recomendable comprobar los 'hash' del fichero comprimido, que son los siguientes:
MD5
EC84D9CF5E7192B4EAEEE9891E2226A6
SHA1
D327B06787E043330DA988ACE8E77D8E2748B13F
CRC-32
EADA5E8F
See more here:
Criptogramas de la Botifarra: así se hizo |
Esta vez le ha tocado a Digg. Los chicos de Security By Default, dispuestos a hacerse con el premio “semos peligrosos”, han descubierto un bug importante en el sistema de captchas de Digg, y lo han reportado convenientemente (más detalles en su entrada). Tras recibir únicamente un mensaje automatizado, esperar unos días, y comprobar que la vulnerabilidad seguía ahí, han optado por lanzar un ataque, del que no darán detalles, lógicamente, hasta que haya sido corregida. Para lanzar el ataque, escogieron varias noticias a promover, una de las cuales apuntaba a mi blog. No he tenido absolutamente nada que ver en ello, ni sería la entrada que yo habría escogido en caso de que alguien me dijese que una entrada mía podría llegar a la portada de Digg, ni tampoco la manera en que habría escrito el titular, pero mi implicación ha sido completamente inexistente: aunque sabía que en Security By Default estaban jugando con éste tema porque me cruzo mensajes con ellos de vez en cuando, en ningún momento se me ocurrió que fuesen a utilizar para ello una noticia mía. Pero ya que estamos ahí, intentemos aprender del tema: la noticia subió tras 180 diggs y sin ningún comentario, algo que debería haber levantado algunas alarmas: en el caso de Digg, rara es la noticia que llega a portada sin un buen número de comentarios. Tras la llegada a la portada, que se produjo por la mañana en España, pero durante la noche en Estados Unidos (supongo que la ausencia de controles manuales a esa hora puede haber tenido algo que ver), la noticia empezó a recibir algunos votos y comentarios genuinos “por simpatía”: a la hora de publicación de esta nota, llevaba 222 diggs y diez comentarios, empezando con un irónico “It’s quiet in here…” de un usuario perspicaz En cuanto a trafico, realmente no ha sido gran cosa. La noticia estaba escrita en castellano en un sitio en inglés, hablaba de España, y la gente durante la noche suele tener el vicio de dormir: en el pico máximo de tráfico desde Digg, las visitas llegaron a suponer escasamente un 5% de mi tráfico total (como comparativa, alguna portada de Menéame en hora punta ha llegado a representar el 55% de mi tráfico total medido sobre las últimas dos mil visitas). Por supuesto, la cosa es simplemente una “travesura” con buena intención y carece completamente de importancia: todo es completamente falso, votos y votantes, hasta que la noticia subió. Pero como testimonial, como dice Yago Jesús, “para ver in situ como un mega-portal valorado en ‘miles de millones’ puede ser manipulado con un poco de imaginación”, la cosa es más que interesante. Sobre todo si tenemos en cuenta que existen empresas dedicadas a vender la aparición en la portada de Digg como si fuera un producto que realmente pueden controlar… y que posiblemente puedan, al menos hasta cierto punto. Esperemos la reacción de Digg al respecto y el pronto arreglo de la vulnerabilidad para conocer el resto de la historia y el “cómo se hizo”, que me imagino tendrá que ver con esta otra entrada publicada por ellos mismos hace unos días (también en inglés). Fuente: Enrique Dans
Read more here:
Digg, 0wned |
El 26 de abril pasado fue el Día Mundial de la Propiedad Intelectual.
Delitos Informáticos menciona:
El Día Mundial de la Propiedad Intelectual es una oportunidad para animar a las personas a reflexionar acerca del papel que desempeña la Propiedad Intelectual en la vida cotidiana y sobre su importancia en el fomento y la protección de la creatividad como base para el desarrollo económico de las naciones.
El 26 de abril de cada año se celebra el Día Mundial de la Propiedad Intelectual, fecha escogida por la Organización Mundial de la Propiedad Intelectual (OMPI), para fomentar la creatividad y recompensar el talento creativo e innovador del que depende nuestro futuro.
No vamos a entrar en controversia sobre la razón o no de esos enunciados pero no quisimos dejar pasar esa oportunidad sin citar algunos artículos publicados al respecto. Cristian de la Redacción de Segu-Info
See more here:
Sobre Propiedad Intelectual |