Y por que digo esto pues bueno por que me acabo de enterar que la SCT (secretaria de Telecomunicaciones) ha decidido que próximamente podremos hablar mientras volamos en un avión.

Textualmente dice :

“Con fecha 2 de julio de 2009 el Secretario Técnico del Comité Consultivo Nacional de Normalización de Transporte Aéreo notificó la cancelación de la Norma Oficial Mexicana NOM-019- SCT3-2001 a la Dirección General de Normas en su carácter de Secretariado Técnico de la Comisión Nacional de Normalización, de conformidad con lo establecido en el artículo 51 de la Ley Federal sobre Metrología y Normalización”.

A primera instancia podemos decir ¡¡ vaya hasta que por fin, casi seremos como en Europa!!, pero no es tan sencillo de pronunciarnos a favor o en contra de esta decisión, ya que esto se nota desde lejos que es mas por intereses políticos o de compañías celulares($) que por ser una buena decisión.

Yo que estoy viendo un poco de este tema, la verdad me siento confuso, ya que si bien nada ha demostrado que sean peligrosos los celulares, tampoco nada lo ha desmentido, pero de que causan interferencia eso si estoy seguro, inclusive si mal no recuerdo en aerolíneas que tiene ese servicio en otros paises, es por decisión de la propia aerolínea en donde perfeccionaron sus instrumentos de navegación y ellos dijeron si es posible, pero fue por decisión de las aerolíneas y posteriormente el gobierno.

Si ha esto ponemos que vuelan en México con poco mantenimiento, pues preparense para lo que pueda, suceder, y tomen sus precauciones.

Ojala y no pase nada malo, pero aun así hay que ser excepticos, como dice mi esposa, es mejor ser precavido

SCT autoriza el uso de celulares en los vuelos

Y en este post, les voy a platicar algo que me vengo enterando hoy, después de haber leido Theinquirer.es, y la noticia es básicamente que, resulta que ahora las redes p2p, se ha vuelto blanco del spam,  si bien esto es sabido hasta cierto punto, pues lo curioso ahora es la forma en la cual lo están enviando, y dejenme decirles que, caigo en la conclusión que los spammers son muy, pero muy creativos.

Resulta que, se están enviando correos (SPAM), a usuarios 2p2, que dicen proceder de MediaDefender, la cual es como dicen en theinquirer, “la que ejecuta las acciones de la  ” RIAA, y lo que mandan es un mensaje como el de la imagen siguiente.

spam bittorrent

Cada día, los spammers, tratan de engañarnos de una u otra forma, y en usuarios pocos experimentados, si hacemos caso al mensaje anterior, que se supone es, un informe de las infracciones de derechos de autor, en realidad se estarán descargando un troyano que puede ser muy peligroso.

Así que mucho cuidado, internautas poco experimentados.

Vía | El spam ataca a los usuarios de BitTorrent con mensajes anti-piratería

Hackers

El presidente de Taiwan Ma Ying-Jeou, fue hackeado, y aunque ya han arrestado a las 6 personas, las que presumiblemente habrían echo la intromisión, se sabe que dichos hackers podrían haberse hecho dueños de mas de 50 millones de datos de agencias gubernamentales, empresas estatales, compañías de telecomunicaciones y hasta  redes de tiendas televisivas.

Elm paradero de dichos datos no lo comentan, así que tal vez ya puedan estar en alguna red P2P.

A veces creemos que nuestros datos podrían y debería estar muy seguros en algunas instancias de gobierno, pero como les comente, parece no ser así, recordemos también que la seguridad total, no existe, y que en seguridad informática, uno nunca sabe y igual y sucede como lo que pasa en México (seguridad civil).

Ademas de todos esos datos también los hackerss, al parecer tuvieron también acceso a los datos del presidente de taiwan Ma Ying-Jeou y de su predecesor, Chen Shui-bian.

Sin duda una buena noticia que nos hace pensar que tan vulnerables somos.

Vía | El presidente de Taiwán, hackeado

Esto se los digo por que me acabo de encontrar con un vídeo conde podemos ver como se ejecuta un hacking a una cuenta de Gmail usando cookies, la verdad no se ve que este complicado, habría que probarlo y ver si es posible, por que de ser así Gmail, podría estar en un grave fallo de seguridad, dejándonos expuestos a todos.

Bueno este es el vídeo en cuestión(creo que esta en ingles , ya que como no escuche el audio no se en que idioma este, pero es bastante ilustrativo).

[vimeo]http://www.vimeo.com/clip:1507697[/vimeo]

Vía | Video de robo de cookies en Gmail

Esto ha sido dado a conocer en el Black Hat, y al parecer ahora si es bastante grave, ya que permite que un atacante se pueda hacer con el control del equipo atacado, sin que este puede hacer casi nada, esto si es algo grave para el sistema de bill.

Al parecer investigadores de IBM y VMWare acaban de desvelar durante la conferencia Black Hat de Las Vegas, una técnica que permite obtener control total de Windows Vista y lo hacen, de una manera que puede que sea prácticamente imposible de solucionar por Microsoft, a menos que cambie por completo. o sustancialmente, la arquitectura de seguridad de Windows Vista(…)

El problema nace en la forma en la que algunos programas de Windows Vista, como el navegador Internet Explorer, cargan las DLLs (librerías dinámicas) en la memoria de la máquina. El error se basa en que Microsoft asumió para la arquitectura de seguridad de su sistema operativo Windows Vista, que cualquiera de los archivos de DLLs que se cargasen a través de su tecnología .NET, eran seguros por definición. Apuesta, que sin duda, es arriesgada para la seguridad del sistema, pero que parecía conveniente por motivos comerciales.

Fernando Acero(kriptopolis).

A ver si ahora si muchas companias se deciden a darle un vistazo mas profundo a GNU/Linux y tomarlo en serio como alternativa a Windows, por que con tantos agujeros, ya parece coladera!!.

¿Y tu sigues usando Windows Vista(BUGS!!)?

Vía |Un nuevo problema de seguridad en Windows Vista que parece más grave que todos los anteriores juntos

Kriptopolis | ¿La puntilla para Vista?.

Y a muchos nos daría ganas de hacer una aplicación y subirla a AppEngine(pero no se python), por su robustez que creemos o que nos da la idea que tiene, y esto es cierto, hasta cierto punto (valga la redundancia).

Resulta que en una conferencia de BLACK HAT(conferencia de hackerss), han asegurado que los Gadgets de Google, son un fuerte agujero de seguridad, Robert Hansen, aka RSnake, comenta lo siguiente

“El atacante puede instalar Google Gadgets; puede leer el historial de la víctima después de instalar un gadget malicioso en ciertas circunstancias; puede atacar a otros Google Gadgets; robar los nombres de usuario y contraseñas y mucho más

De verdad que no hay límite cuando el navegador es controlado por el atacante. Y este hecho se magnifica porque la gente confía en Google como en un dominio seguro, haciendo que los ataques sean aún más fáciles”.

Y es que como el comenta que los gadgets donde se utiliza, Google y Gmail para acceder a los mismos, ya que el usuario puede agregar un gadget creado mailintencionadamente sin darse cuenta.

Esto debemos de tomarlo con cautela, ya que en si no es directamente Google, el creador de el agujero si no los usuarios con los gadgets, aunque hasta la fecha no he sabido de algun hackeo de las cuentas de Gmail mediante los gadgets, esperemos que tanto Google como los de BLACK HAT, nos ofrezcan mas pruebas de seguridad o inseguridad sobre los gadgets y asi andarnos con mas cuidado.

Vía | Google Gadgets es un coladero para los ataques

Les platico como estuvo la cosa.

El evento se realizo en el hotel Sherathon Maria Isabel el que esta por el ángel de la independencia , aquí en México D.F., les digo esto para que no se equivoquen como “el primo de un amigo”, que se equivoco y se había ido a buscar en el sheraton centro historio, jaja, pero bueno.

Como llegue algo tarde no pude pedir a tiempo mi traductor entonces toda la primera platica me la hecha en ingles, estas fueron las conferencias a las que asistí.

1.-Las claves para el futuro de la seguridad, por Marcus Ramun.

En esta platica la verdad le entendí poco, pero lo que pude captar fue, que nos platico que hay muchas formas en las cuales podemos tener sitios/equipos/etc vulnerables, nos comentaba que, en muchos casos muchas pcs están infectadas con virus y/o spyware pero también para la mayoría de personas es difícil saber si tienen, un spyware o si están siendo vigilados, por así decirlo, y a la vez es difícil que muchos usuarios hagan conciencia de este punto, además de que muy difícil configurar la mayoría de antivirus, antispyware; Entonces la gran preocupación también viene hacer, como poder trabajar con lo usuarios para que sean responsables y a la vez no se les complique esto de la seguridad.

Básicamente la plática fue una introducción a la seguridad, lo que no me gusto mucho fue que, todo el tiempo hablo sobre vista (WTF!!), y windows server y de los virus que a estos afectan, y ¿donde esta linux?, si no quieren problemas con el puto Windows pasense a Debian , digo a Linux.

2.-La identidad digital ya es portátil, por Andrew Jaquith.

“Compren un Iphone”, bueno con estas palabras resumo toda la segunda platica, y bueno se preguntaran por que, pues es simple, si bien es cierto que el Iphone ha marcado una diferencia para muchos en la telefonía celular, no debemos olvidar que no tiene cosas que en otros nos la ofrecen desde hace años, como una simple cámara de vídeo, o fotos con mayor pixeles, etc, y yo creo que hablar de la seguridad para moviles, como fue este caso, es necesario hablar de seguridad para Windows Mobile, Symbyan, OSX, Linux(Open moko), Android, ose para todos, no solo Iphone señor Andrew, el mundo debe de dejar ser monopolista, osea es como hablar exclusivamente para windows, como el anterior.

No señores, esta bien que su Iphone este bonito y que se yo, pero existe android, existe symbyan, y mas como lo comente arriba, entonces si aplicamos seguridad a un 1% de los telefonos celulares que hay en el mundo, ¿que pasaría con el 99% restante?, en fin.

Resumido de otra forma, nos hizo ver la diferencias entre teléfonos, y como al darnos mas servicios, nos da también mas posibilidad de que se vuelvan vulnerables.

3.-Tendencias tecnologicas y los retos para la seguridad, por Francisco Gil Diaz.

“Usen telefonica movistar” y “No me hablen de Tecnologia que no se nada”, así queda resumida la tercera platica, en primer lugar el señor, nos empezó a platicar sobre como esta la tecnología en México, que hacia donde vamos, bueno mas o menos, eso trataba de decir y cuando llevaba hablando como 10 minutos empezó la promoción de telefónica, la cual no paro hasta el final, hasta ahí todo estaba pues mas o menos.

Pero lo que si estuvo bastante mal fue cuando vinieron las preguntas, ya que antes de empezar con los cuestionamientos el señor dijo “No me hablen de Tecnologia que no se nada“, un momento este es un gran gran gran WTF, osea la platica  se llama “Tendencias tecnologicas….” y no sabe nada, entonces de que hablo?!?!?!, esto si es molesto es como si yo fuera a dar un platica de contabilidad (verdad suly?!), osea hubo personas que pagaron por ver una platica de hacia donde va telefónica y nada mas, por que no sabe de tecnología.

En fin ya no hagamos corajes.

4.- Comida

Esto fue lo que mas me gusto, la comida simplemente estuvo excelente, no fueron tacos desafortunadamente, fue comida completa con su entrada y su plato fuerte, muy rica y hasta postre y meseros (ya oyeron Google developer day) que te servían café y un mini-regalo(un reloj).

Bravo la comida estuvo muy chida, sigamos.

5.- E-Discovery, por Brent Botta.

En este caso, nos platico sobre un servicio que ofrecen la cual te permite hacer una recuperación de archivos de una forma muy rápida, al igual que la búsqueda de los mismos.

Esta platica estuvo algo aburrida como se darán cuenta, la verdad fue mas que nada, de una pequeña promoción de ciertos servicios.

6.-Security Compliance, por Israel Cortes.

La platica fue bastante amena y hasta interesante, les digo que estuvo bastante bien ya que por la temática que manejo era para dormirse en 5 minutos, pero no fue así, ya que muy a pesar de habernos estado hablando de estándares y entiendanse como estándares lo que se refiere a ISO 27001(El estándar para la seguridad de la información ISO/IEC 27001),ITIL, SOX, Etc, no estándares Web como CSS o XHTML.

Nos platico que Compliance viene ha ser, como una serie de tecnicas para mejorar nuestro trabajo, logrando así un mejor desarrollo laboral para posteriormente revisar que falta para certificarse y de esta forma certificarse (valga la redundancia )sin tener que estar presionado por cumplir primero los requisitos de dicha certificación.

7.-Riegos y amenazas de la Era Digital en Latinoamerica, por Martin Trabucco.

Esta platica al igual que la anterior como que pintaba a ser bastante aburrida, pero esta si se lleva mi mas grande reconocimiento, ya que estuvo muy interesante.

Ellos, lo digo así por que en la platica estuvo alguien llamado Christian,  junto con Martín dando la platica, una vez corregido este punto  continuo, tienen una empresa que se dedica al Hackin etico, el cual es hacer pruebas a cierta empresa que los contrate, en sus sistemas para tratar de vulnerar su sistema y de esta forma ver en que aspecto están fallando.

Se ve que son bastante expertos por que mencionaron 2 casos sobre importantes empresas del gobierno de Panamá que los contrato para hacer eso y se tardaron tan solo un par de dias en lograr tener control de dicho sistema.

A pesar de que fue una especie de autopromocion, cabe señalar que en este caso, nos demostró lo fácil que es vulnerar un sistema que se pueda creer que esta seguro.

Nota: no me gusto en esta platica la definición que le dieron a los hackerss, ya que un hacker no es malo (como en el cine) si no el que sabe de informática sea para bien o mal

Definicion de Hacker vía Wikipedia

Hacker es el neologismo utilizado para referirse a un experto (véase gurú) en varias o alguna rama técnica relacionada con la informática: programación, redes de computadoras, sistemas operativos, hardware de red/voz, etc. Se suele llamar hackeo y hackear a las obras propias de un hacker.

El término “hacker” trasciende a los expertos relacionados con la informática, para también referirse a cualquier profesional que está en la cúspide de la excelencia en su profesión, ya que en la descripción más pura, un hacker es aquella persona que le apasiona el conocimiento, descubrir o aprender nuevas cosas y entender el funcionamiento de éstas.

En resumen.

Las platicas estuvieron mas o menos, pero fue enfocada hacia otro tipo de profesiones (CEO’s, Gerentes, Directores) y no ha la parte tecnica como esperaba, al rato al parecer voy a ir a un taller haber que tal me va.

Y una disculpa po no haberles avisado antes, por cierto para que no se queden con la duda, los precios estaban entre, 280 por medio dia y 680 por todo el curso completo claro esto en dolares, osea entre 3000 pesos y 7 mil pesos mexicanos (jaja), muy caro para mi gusto.

GpCode

Lo peligroso de este virus el la forma en la que funciona lo que hace es encriptar tus archivos,mediante el un algoritmo de encriptación RSA de 1024 bits indescifrable hasta el momento, y nos extorsiona para que nos desencripte nuestros documentos.

La clave utilizada en el virus es tan poderosa y potente, que según los ingenieros de Kaspersky Labs, serian necesarios 15 millones de computadoras modernas trabajando durante aproximadamente un año para romperla.

El troyano GpCode ya había aparecido anteriormente con unos niveles de encriptación más débiles, que los especialistas lograron romper , pero ahora a vuelto a la carga reforzado. El virus de tipo troyano, nos encripta 143 tipos diferentes de archivos añadiendo el sufijo “_CRYPT” al nombre del archivo y eliminando el original.

La informatica se esta poniendo peligrosa con este virus, imaginense si encripta información de alta importancia y/o confidencialidad el dinero que habría que pagar!!!.

Lo que nos recomiendan es hacer respaldos de nuestra información para evitar este tipo de ataque y sobre todo tener un antivirus actualizado.

Pero mejor pasense a Linux a si se evitan tantos problemas, y aunque a mi el compiz fusion me esta dando dolores de cabeza con mi debian Etch, me quedo de preferencia con GNU/Linux

Vía | Kaspersky en apuros, y puede que todos

Como es costumbre no fui a todo el evento, aquí va la crónica del evento.

En primer lugar no tenia ni idea de donde quedaba UPIICSA, fui con mi novia, asi que tome un taxi desde el metro Bulevard Puerto Aéreo y el taxista se equivoco y me estaba llevando para el auditorio pero bueno, llegamos casi a las 10:40 mas o menos luego, en serio que no se como estén en UPIICSA ya que le pregunte a todos donde estaba el BUGCON y nadie sabia nada , hasta pensé que me había equivocado, pero la verdad nadie tenia idea de nada.

Resulta pues que después de preguntarle a muchos por fin pudimos dar con dicho lugar.

Entramos y pues había muy poca gente, había “como ya sabíamos” dos auditorios uno de Black Hat y otro de White Hack,entre al de BlackHat.

La ponencia la estaba dando “Sandino Araico Sánchez“, dando la conferencia de “Tu peor enemigo”.

Aqui nos hablo un poco del Spam, las maquinas Zoombies, el phishing y las politicas de seguridad de los “Sysamdin’s”.

Durante su participacion hablo sobre algunos software’s que destacan por x o y detalles como son:

• Tomcat, Sandino nos recalco que el principal problema de Tomcat era que muestra demasiada información al generar errores, como paths, entre otras cosas.
• Apache, que por problemas de max_clients y pipe_live puede darnos dolores de cabeza con los usuarios y el ancho de banda, respectivamente
• Oracle, Por su posibilidad de escalar privilegios, y de tener por default una cuenta SYSTEM además de poder permitir ejecución de código(creo que son los PL/SQL’s)
• Hubo también algunos mas que no recuerdo bien, como debian jaja, pero mejora hasta ahí le dejamos…….

Después nos fuimos a Google Hacking impartido por “Jesus Antonio Alvárez Cedillo” que sinceramente estuvo muy aburrida, ya que yo esperaba mas cosas, y simplemente nos “enseño” como usar las variables “site” con “index Of”, algo que creo, para los de Black Hat esperaban algo mas interesante.

Pero como la platica anterior duro tan poco tiempo, nos cambiamos a WhiteHat, donde estaba muy chido, lastima que solo pude ver el final y si no me equivoco esa conferencia fue “One Shot phishing on local area networks” impartida por “Héctor Leal Morales”, donde vimos(bueno casi no vi mucho) como se accede a una pc con windows hackeandola desde un Linux, usando ARP, estuvo interesante, lastima que solo llegue alfinal, creo que aqui como que se equivocaron creo que esta conferencia debio de ser al reves, pero bueno.

Luego les paso mas información de ese hackeo, lo realizo usando ethercap, para manipular ARP, o algo asi, luego les paso mas informacion.

Posteriormente vimos “Linux en consolas de video juegos” por Rolando Cedillo, esta platica realmente me impresiono, nos mostró básicamente los requerimientos para poder montar linux, y nos comento rápidamente como lo hizo, inclusive nos platico como están estructurados los sistemas internos de algunas consolas como Xbox, Wii y Playstation 3, también nos platico sobre las cualidades de las VPU’s(CPUS de Vectores o algo asi!!!), lastima que no pude escribir todo pero sin duda fue una de las que mas me gusto.

Y por ultimo asistí a ver la demostración de “Tlalokes Framework. Desarrollando en PHP5 de forma rápida y segura” por Basilio Briceño donde nos mostró las ventajas de dicho FrameWork, pero lo que no me gusto fue que a pesar de ser un producto que lleva siendo desarrollado durante 4 años, aun no existe aplicaciones reales creadas con este Framework, como que falta un paso mas en este desarrollo.

Y bueno creo que no me falto nada, las fotos casi no se ven es que no había luz en ningún auditorio, lo siento, ademas no muestran nada interesante.

Un saludo a todo el equipo que organizo todo esto, y muchas gracias a todos los ponentes por compartir su tiempo y conocimientos, hasta el BUGCON 2009

Aqui lo tienen.

Que es XSS

Sobre XSS, no hay mucho que decir que no se haya dicho antes. Yo definiría a XSS como un ataque que se basa en explotar métodos poco correctos de programación para ejecutar script malicioso de cliente (comunmente JavaScript) al momento que un usuario desprevenido ingresa al sitio víctima del ataque. Que yo, atacante, pueda hacer que en el sitio víctima se ejecute un script JavaScript arbitrario, aunque a algunos les pueda parecer inofensivo, resulta realmente peligroso. Un código JavaScript puede redireccionar usuarios a otras URL’s, puede cambiar la información que se muestra en el sitio y, quizá lo más interesante, puede obtener los valores de las cookies que el navegador del usuario posea en ese momento. Obtener el valor de las cookies equivale a obtener el Session ID (SID a partir de ahora), el cual se utiliza para que el servidor reconozca al usuario “Pepe” como “Pepe” y no como ningún otro. Suponiendo que se utiliza sistema de sesiones nativas de PHP (session_start() y sus secuaces), si yo tengo el SID de “Pepe” que se almacena en sus cookies, puedo ingresar como “Pepe” aunque no lo sea.

Tipos de vulnerabilidades y sus consecuencias

Lo que voy a mostrar aquí es uno de los tipos de vulnerabilidad XSS el cual es llamado “Tipo 1″ o “No persistente”. Una vulnerabilidad no persistente será aquella en la que el script malicioso debe ser enviado explícitamente mediante el navegador del usuario víctima cada vez que el atacante desea ejecutar código maligno en ese navegador. Para enviar script maligno se utilizan las variables $_GET, $_POST y $_COOKIES. Leyendo lo antedicho pueden que estén pensando en que un usuario nunca será tan inocente como para enviar código malicioso desde su navegador existiendo la posibilidad que sus cookies sean vulneradas… el problema es que el atacante puede inducir mediante Ingeniería Social al usuario víctima a hacer click en una URL del tipo index.php?titulo=%3Cscript%3Ealert%28%22XSS%22%29%3B%3C%2Fscript%3E con lo que ya se estaría logrando la inyección de código malicioso codificado e imperceptible para la visión de un usuario con poco conocimiento.
Por otra parte les comento solo a modo informativo que existen vulnerabilidades XSS “Tipo 2″ o “Persistentes” en las cuales el código malicioso no necesita ser inyectado cada vez mediante el navegador del usuario víctima, sino que este código ha sido previamente guardado por el atacante en la base de datos que utiliza el sitio víctima. De esta forma cada vez que el sitio recupere y muestre registros de su base de datos, el script maligno estará allí y será ejecutado para cualquier usuario visitante. Es sencillo deducir que este tipo de vulnerabilidad puede resultar muchísimo más peligrosa debido a la persistencia del código maligno, pero en este artículo centraremos nuestra atención en el tipo anterior.

Entrando en tema: algunos ataques “inocentes”

Supongamos algo simple: una página que, para mostrar su título se vale de un parámetro recibido por la URL (via $_GET). Su código se vería algó así:

test.php

[source:php]
< ? php '.echo $_GET["title"]; ?>
[/source]

Pues bien, esto no parece demasiado peligroso y puede que sea algo que comunmente hacemos en nuestros scripts. Pero que tal si nuestro tan odiado atacante mediante Ingeniería Social induce a un pobre usuario víctima a ingresar con:

[source:javascript]
test.php?title=
[/source]

Para quien no tenga ganas de probar le comento el resultado: en el sitio víctima saldrá un “cartelito” con el mensaje “Este Sitio es un peligro”. Pueden argumentar con cierta razón que la URL anterior se me medio sospechosa, y que nadie en su sano juicio ingresaria al sitio clickeandola, pero siempre el atacante puede codificarla un poco para que se vea algo más inocente:

[source:php]
// Codificación realizada mediante urlencode() de PHP
test.php?title=%3C%2Ftitle%3E%3Cscript%3Ealert%28%22%A1Este+Sitio+es+un+peligro%21%22%29%3C%2Fscript%3E
[/source]

Ahora ya no se ve tan peligrosa… quizá un usuario ingrese inocentemente llevándose la sorpresa del molesto cartelito.
Hasta ahora los ataques XSS no se ven tan dañinos; al fin y al cabo mostrar un alert() no daña demasiado a nadie. La realidad es que cuando en nuestro sitio dejamos abierta la posibilidad que nos ataquen mediante esta técnica, la gravedad del ataque está limitada únicamente a la imaginación del atacante y las posibilidades que nos brinda JavaScript. Cualquier cosa que JS permita hacer, puede ser realizada en un ataque XSS. Por ejemplo ¿qué pasaría si test.php fuera llamado de la esta manera?:

[source:php]
test.php?title=
[/source]

Pueden leer el contenido del articulo completo en Formatoweb XSS

Modificado a petición del autor