Una de cada cinco aplicaciones instaladas son inseguras

Una de cada cinco aplicaciones de software instalada en los ordenadores son inseguras o no están actualizadas, de acuerdo con los datos del servicio de inspección de seguridad online de la firma Secunia.

El dato se basa en el escaneo de 14,5 millones de aplicaciones de usuario final instaladas en las computadoras analizadas por la herramienta de inspección que ofrece la firma.

Thomas Kristensen, CTO de la compañía de seguridad danesa aseguró que las estadísticas de su PSI (Personal Software Inspector) muestran ese 20% de aplicaciones inseguras instaladas por el usuario final de computadoras.

Autores de phishing, son víctimas de phishing

Existen en Internet kits completos para que un novato monte su propio sitio falso y de ese modo obtenga réditos a costa de las víctimas que dejen allí sus datos. Pero entre ladrones no hay honor.

El phishing es un tipo de ataque ampliamente utilizado hoy día en Internet, y básicamente consiste en el envío de mensajes electrónicos engañosos que llevan a servidores fraudulentos, los que generalmente simulan pertenecer a conocidas instituciones financieras y bancarias.

El objetivo en este caso, es intentar obtener datos de los usuarios, tales como número de tarjeta de crédito o sus claves de acceso PIN.

Según reporta Netcraft, existe al menos un kit de phishing que permite a cualquier novato construir su propio sitio de fraudes dirigido a clientes del Bank of America, el cuál brinda una interesante visión sobre la jerarquía intelectual de quienes están implicados en los fraudes vía Internet.

A simple vista, el kit resulta atractivo para cualquier estafador. Es fácil de implantar en cualquier servidor web que soporte PHP, y un único archivo de configuración, simplifica al delincuente novato, especificar una cuenta de correo electrónico para recibir los detalles de la información capturada.

En adición a la solicitud de números de tarjetas de crédito y detalles de cuentas bancarias, un segundo formulario en el sitio phishing, solicita a las víctimas un desafío de preguntas y respuestas que puede ayudar al defraudador a tener acceso a los servicios financieros de la víctima.

Sin embargo, mientras que el kit de phishing es fácil de utilizar, un componente de cifrado dentro de la carpeta, es utilizado para enviar una copia de los datos capturados a una dirección adicional de GMail, la cuál pertenece al autor del “paquete”.

Esto no será evidente para la mayoría de los defraudadores que utilicen el kit, ya que el código en cuestión está hábilmente ofuscado, y no resulta sencillo de descodificar.

Este tipo de engaño, es una táctica útil para cualquier defraudador que desee maximizar el número de ataques exitosos, dejando que otros sean los que hagan el trabajo de crear nuevos sitios de phishing, y de enviar los correos electrónicos falsos para capturar nuevas víctimas.

Esto alivia al autor la carga de tener que dedicarle más tiempo a todos los aspectos de este tipo de ataques, o sea, encontrar sitios para alojar las páginas falsas, y el envío de cientos de miles de mensajes.

Los novatos defraudadores, son quienes hacen el trabajo duro, beneficiando sin saberlo, al autor del kit.

El honor entre ladrones, en este caso, es puro cuento.

Microsoft: Resumen de Boletines de Seguridad para el mes de enero de 2008

La empresa Microsoft ha publicado 2 boletines de seguridad correspondientes al mes de enero, uno de ellos calificado como “crítico” y el otro como “importante”.

Resumen
A continuación se presenta un resumen de los boletines publicados:

MS08-001: CRÍTICA Una vulnerabilidad en la implementación del protocolo TCP/IP de Windows podría permitir la ejecución de código arbitrario en forma remota.

MS08-002: IMPORTANTE Una vulnerabilidad en LSASS podría permitir la elevación de privilegios en forma local.

Versiones Afectadas

Para cada uno de los boletines mencionados, se ven afectados los siguientes productos:

MS08-001:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Edición x64 Profesional y Windows XP Edición x64 Profesional Service Pack 2
Microsoft Windows Server 2003 SP1 y SP2
Microsoft Windows Server 2003, SP1 y SP2 para sistemas Itanium
Microsoft Windows Server 2003 y SP2 Edición x64
Microsoft Windows Vista
Microsoft Windows Vista Edición X64

MS08-002:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Edición x64 Profesional y Windows XP Edición x64 Profesional Service Pack 2
Microsoft Windows Server 2003 SP1 y SP2
Microsoft Windows Server 2003, SP1 y SP2 para sistemas Itanium
Microsoft Windows Server 2003 y SP2 Edición x64

Detalle
MS08-001: Una vulnerabilidad en la forma en la que el kernel de Windows procesa paquetes de red de tipo multicast IGMPv3 y MLDv2 (este último solamente soportado en Windows Vista), podría ser utilizada para ejecutar código arbitrario de forma remota. Esta falla no afecta a Windows 2000.
Adicionalmente, esta actualización corrige un problema que podría permitir denegación de servicio mediante paquetes IRDP (ICMP Router Discovery Protocol).

MS08-002: Una vulnerabilidad en la forma en la cual el servicio LSASS procesa ciertos pedidos LPC, podría ser explotada por un usuario local autenticado para elevar privilegios, ejecutar código arbitrario y tomar control completo del equipo afectado.

Impacto
El impacto de las vulnerabilidades presentadas en cada boletín se incluye en los resúmenes precedentes.

Recomendaciones
Se recomienda aplicar los parches correspondientes al boletín en los sistemas afectados. El proveedor de los sistemas afectados ofrece además diversas herramientas para la automatización del proceso de actualización. Para más información, consulte la información suministrada por el proveedor.

Referencias
Para más información sobre este boletín consultar el siguiente sitio:

http://www.microsoft.com/technet/security/bulletin/ms08-jan.mspx

Denegación de servicio y cross-site scripting en Apache 1.3.x, 2.0.x y 2.2.x

La Fundación Apache ha publicado varias vulnerabilidades en el servidor web Apache que podrían ser aprovechadas por atacantes remotos para provocar una denegación de servicio o perpetrar ataques de cross-site scripting. Los problemas se dan en algunos módulos y afectan a todas las ramas.

Apache es un servidor HTTP de código abierto, eficiente y extensible, para sistemas operativos UNIX y derivados, así como plataformas Microsoft Windows, que goza de gran popularidad.

La primera vulnerabilidad está causada por un error de validación de entrada en el módulo mod_status al mostrar las páginas de estatus, lo que podría ser explotado por un atacante remoto para ejecutar código HTML o JavaScript arbitrario en el contexto de seguridad del usuario que visita la página afectada. La opción no está activada por defecto.

La segunda vulnerabilidad está causada por otro error de validación de entrada en el módulo mod_proxy_balancer al procesar y mostrar los datos introducidos, con el mismo efecto que la anterior.

La tercera vulnerabilidad se debe a un error también en el módulo mod_proxy_balancer, pero ésta vez al manejar peticiones especialmente manipuladas que hacen uso de un módulo multiproceso con threads. Esto podría ser explotado por un atacante remoto para hacer que el proceso hijo afectado dejara de responder, causando así una denegación de servicio.

En las versiones en desarrollo publicadas, además se han subsanado otros problemas reconocidos con anterioridad por la Fundación Apache, que afectan a módulos como mod_imagemap y mod_imap.

Los fallos están corregidos en las versiones de las ramas en desarrollo 1.3.40-dev, 2.0.62-dev y 2.2.7-dev, disponibles desde:

http://httpd.apache.org/download.cgi

Más Información:

Apache httpd 1.3 vulnerabilities
http://httpd.apache.org/security/vulnerabilities_13.html

Apache httpd 2.0 vulnerabilities
http://httpd.apache.org/security/vulnerabilities_20.html

Apache httpd 2.2 vulnerabilities
http://httpd.apache.org/security/vulnerabilities_22.html

Google procesa 20 PetaBytes al día

Si alguien trataba de imaginar la cantidad de datos que pasan por las manos de Google, seguramente no llegaría a suponer que la cifra asciende a nada menos que 20 PB, una cantidad dantesca.

Este dato proviene de un informe publicado en ACM por parte de dos de los miembros de Google, que han realizado un estudio en el que han determinado la cantidad de información que se maneja diariamente, y que pasa a través de una media de 100.000 procesos denominados MapReduce y que se gestionan en sus clusters. Este proceso es que el convierte las búsquedas en datos ‘analizables’ a partir de los cuales Google es capaz, por ejemplo, de implementar de forma exitosa su programa AdSense.

Los datos se procesan en nodos que constan de Xeon a 2 GHz con HyperThreading, 4 Gbytes de memoria, dos discos duros de 160 Gbytes y conectividad Gigabit Ethernet. No son malas máquinas, pero parece sorprendente comprobar que Google no haya hecho uso ya de micros más nuevos de Intel – e incluso de AMD, más potentes y que sobre todo consumen menos.

¿Cuánto sabes de seguridad?

Symantec ha creado un sitio web en el que se desarrolla un concurso con preguntas de ciber-seguridad, una iniciativa original e interesante que te permite comprobar tus conocimientos al respecto.

own online quiz es el nuevo concurso en el que tus conocimientos sobre temas de seguridad se pondrán a prueba con una serie de preguntas. La iniciativa de Symantec es original, sin duda, pero su ejecución no ha sido del todo acertada inicialmente: hay tan sólo 12 preguntas y todas se acaban repitiendo demasiado a menudo.

Por lo visto, el nivel de las preguntas tampoco es demasiado elevado, pero Symantec ha comentado que este juego online es una versión previa para el CES que luego se actualizará : en la versión final habrá 120 preguntas, un número mucho más coherente, y seguramente muchas de ellas no sean tan fáciles de contestar.

Microsoft no fabricará ningún rival para el iPhone

En una entrevista concedida a un diario alemán, Bill Gates confirmó que la compañía no piensa competir directamente con Apple sacando un teléfono similar al iPhone.

“No, no haremos eso. En el llamado negocio de los teléfonos inteligentes sólo nos vamos a concentrar en software a través de nuestro programa Windows Mobile”, comentó Gates en la entrevista publicada por el Frankfurter Allgemeine Zeitung.“Tenemos acuerdos con una gran cantidad de fabricantes de dispositivos desde Samsung a Motorola y esta variedad nos parece mucho más interesante que ponernos a hacer un teléfono propio”, añadió.

Hace unos meses, se empezó a especular sobre la posibilidad de que los de Redmond estuviesen pensando en hacer la competencia a Apple con un nuevo teléfono, como ya hiciera con iPod y el lanzamiento de su rival Zune. Así, incluso patentaron un mecanismo para pantalla táctil muy parecido al que utiliza el iPhone de Apple.

Comcast inaugura sitio de vídeo gratuito abierto a todo el mundo

Series como Héroes, CSI o House estarán disponibles a través de Fancast, el nuevo servicio para emisión de vídeos de Comcast que reúne en Internet contenidos de la televisión y el cine a gran escala.

Lanzado en el CES de Las Vegas, Fancast ya tiene colgados episodios completos de programas de la CBS, NBC, Fox o MTV. La página ofrece 3.000 horas de programas de televisión, trailers de películas y vídeos cortos, permite ver las listas de programas y navegar por una base de datos de actores.Una de las funciones únicas de Fancast es “Six Degrees” que permite a los usuarios explorar las conexiones entre los programas de televisión, las películas y los personajes. Es posible también que a finales de este año, el sitio incorpore una función para que los usuarios puedan programar sus grabadores de vídeo digital.

CBS, NBC y Fox ya ofrecen sus contenidos a través de Hulu, un sitio similar pero que se encuentra en fase beta y sólo disponible para usuarios de Estados Unidos. Fancast está abierto a toda la Web.

Intel dice que “nunca ha hecho daño” a OLPC

Intel ha negado vehementemente que quisiese acabar con el proyecto OLPC, como aseguró Negroponte ayer en una entrevista después de la ruptura de la fabricante de chips con el proyecto “solidario”.

Nicolas Negroponte aseguró que los equipos de venta de Intel estaban tratando de boicotear el proyecto para que los gobiernos del Tercer Mundo eligiesen sus Classmate PC en vez de los portátiles XO que promociona el One Laptop Per Child. Citó los casos de Uruguay, Perú, Brasil y Nigeria.Hoy, el representante de Intel, Chuck Mulloy, dice que ellos nunca han incumplido ningún acuerdo con el OLPC.

Negroponte dijo también que Intel no había aportado ni una sola línea de código al proyecto. Mulloy ha replicado que Intel ha contribuido en las áreas de firmware y hardware y que había un prototipo de XO basado en arquitectura Intel que estaba preparado para su presentación en el CES.

Alienware presenta un prototipo increíble de pantalla DLP curva