Noticias::Artículos
Iván Sánchez (de Null Code Services) ha informado de la existencia de una vulnerabilidad en la utilidad Nslookup de Microsoft Windows, una herramienta de línea de comandos que se utiliza para comprobar los servidores DNS.
La vulnerabilidad (sobre la que aún no se han dado detalles) permitiría la ejecución de código arbitrario en la máquina víctima, incluso si ésta ejecuta Windows XP SP2 totalmente parcheado.
De momento no existe parche. Microsoft asegura estar estudiando la situación, mientras algunos medios afirman que la vulnerabilidad ya está siendo activamente explotada...
A través de un artículo en PC World, llego a las declaraciones de principios sobre seguridad y privacidad en Internet de los dos candidatos a Emperador presidente de los EE.UU.: el republicano John McCain y el demócrata Barack Obama.
De McCain se ha dicho que sabe menos de Nuevas Tecnologías que el tendero de la esquina, mientras Obama pasa por ser un avezado usuario de artefactos tecnológicos, incluida su inseparable BlackBerry.
A mi modo de ver ninguno dice gran cosa, y si le añadimos que este tipo de declaraciones son presumiblemente creadas por sus gabinetes de comunicación a la medida de lo que sus probables electores desean oir, y que llegado el momento cualquier presidente hará lo que le parezca, el asunto completo no puede resultar más intrascendente; un mero entretenimiento para un día festivo.
En varias ocasiones hemos hablado sobre cómo hacer para que nuestras sesiones en Gmail transcurran cifradas. Sin embargo eso no evita el uso de cookies no cifradas, lo que bajo determinadas circunstancias puede permitir a un intruso acceder a nuestras cuentas.
El asunto viene de lejos y a él se atribuye algún robo de cuenta (incluso la de algún reputado experto en seguridad), pero ahora (que el ataque ha sido demostrado en Defcon y se anuncia una herramienta para explotarlo) Google ha reaccionado y ha añadido una opción en la configuración de cada cuenta Gmail que permite garantizar el uso permanente y completo de cifrado en https. Sin embargo, me llama la atención que Google, tan proclive en otras ocasiones a adoptar configuraciones por defecto sin contar con el usuario, no haya marcado ésta como opción por defecto. Supongo que se debe a que el cifrado impone una mayor carga a sus servidores.
Por tanto, si utilizas Gmail, te toca a ti hacerlo cuanto antes desde la opción de configuración de tu cuenta, marcando la casilla que señalo en la imagen y pulsando después "Guardar cambios":
OpenID prometía, pero a mí sólo me producía desconfianza. Por eso rechacé en su día algunas sugerencias sobre su implementación en Kriptópolis.
La idea tras OpenID es sencilla: con el mismo usuario y contraseña puedes acceder a tus cuentas en todos los blogs que soporten el sistema.
Ahora, varios investigadores han descubierto que al menos tres grandes proveedores de OpenID (entre ellos el de Sun Microsystems) han utilizado certificados digitales debilitados por el famoso bug de Debian. La combinación de esto con la vulnerabilidad DNS de Kaminsky forma un cóctel letal, que impide confiar en esos proveedores. En estas condiciones, un atacante puede utilizar ambas vulnerabilidades para dirigir a la víctima a un falso proveedor que, sin embargo, mostraría un certificado válido, obteniendo así, de una sola tacada, sus datos de identificación para cualquiera de los 9.000 sitios que utilizan OpenID...
Actualización (12:52): Afortunadamente Hacienda ha reaccionado. Al menos hora mismo la página afectada ya no está accesible:
ProcL es una herramienta publicada por la empresa Scanit que trata de detectar posibles procesos ocultos en Windows, tratando así de desenmascarar posibles rootkits actuando a nivel del kernel.
Para ello integra en una sola herramienta las diferentes aproximaciones de las utilidades que intentan detectar rootkits. Los diferentes métodos utilizados se explican más detalladamente en un pdf que se incluye en la descarga.
ProcL se utiliza en línea de comandos y admite diversos parámetros.
Se trata de una versión 1.0 Beta que funciona en Windows 2000 y XP, pero no está comprobado si funciona en Vista y Windows 2003, y el código no está disponible, así que allá cada cual.
Recién llegada la democracia, los partidos no se fíaban de los restos del régimen franquista, la amenaza del golpismo y el pucherazo... ni de los otros partidos. Todo ello hizo que se desarrollara una ley electoral fruto de la desconfianza, llena de garantías y procedimientos de comprobación y verificación. Una ley tan buena y efectiva que consigue hacer recuentos en tres horas, y que es ejemplo para muchos otros países.... Lástima que ni los electores ni los elegidos hagan honor a dicha ley, pero ésa es otra historia...
Yo vivo, trabajo y como gracias a internet, pero precisamente por ello soy consciente de que hay cosas y aplicaciones que no se deben hacer en el mundo virtual. Existe una definición para este tipo de programas que no son sino propaganda, proyectos para cobrar la subvención, y autobombo del gobierno de turno: molaware.
El voto electrónico no es una cuestión de nuevas tecnologías. Es una cuestión de Libertad.
Jonsito dixit... y yo no puedo estar más de acuerdo.
Según acaba de informar The Register, la defensa de Gary McKinnon ha logrado que su caso pase a ser considerado por el Tribunal Europeo de Derechos Humanos, sobre la base de que su extradición, y su más que probable sometimiento de McKinnon a la jurisdicción militar norteamericana, podrían vulnerar sus derechos civiles.
En el peor de los casos, esta acción retrasaría su extradición al menos hasta el 28 de agosto.
KeyCzar es un proyecto open source (licencia Apache 2.0) surgido del equipo de seguridad de Google, que intenta proporcionar al programador un "toolkit" que le permita implementar criptografía segura de forma rápida y sencilla.
De momento sólo dispone de implementaciones en Java y Python, con C++ en proyecto.
Los ejemplos disponibles en su página web son un perfecto ejemplo de cómo KeyCzar puede simplificar las cosas, pero también está disponible un documento más detallado.
Es un tema interesante, al que debería prestar atención cualquiera que tenga una empresa con presencia en Internet y algún riesgo especial de ser espiada.
Al parecer algunos indeseables registran dominios similares al de ciertos objetivos, que sólo se diferencian por algún error típico al escribirlos. Para más sospecha, muchos de estos dominios ni siquiera disponen de página web (o disponen de la típica página estándar del alojador del dominio) pero sí disponen de registros MX que les permiten recibir email.
Por tanto -y por poner un ejemplo- si alguien dirige un email importante (y sin cifrar, claro) al editor de kritopolis punto org, ese mensaje podría ser leído por la gente inapropiada.
Conclusión: no está de más que quienes puedan ver en esto un problema serio comprueben si están registradas ligeras variaciones con errores tipográficos de sus dominios...
