Conociendo los vectores de ataque detrás de HTML5 (parte 1)

Por pabl0x el 23/08/2010, en Seguridad

—Introducción—

En la amplitud de sitios webs a los que se puede acceder mediante una conexión a internet, si se tuvieran que buscar aquellos que no presentan ningún interés para el atacante, posiblemente lo que inmediatamente engrosarían la lista serían algunos ejemplos típicos como el sitio oficial de OpenBSD[1]  y sitios webs personales como el de Richard Stallman [2] entre los que se encuentran algunos que se actualizan frecuentemente o que tienen un número no despreciable de visitas. Las características comunes a ellos; paginas estáticas HTML sin ningún aditamento como scripts que se ejecuten en el navegador del cliente, son suficientes para mostrar información y en esencia tan seguras como el servidor web que las sirva.

Por otro lado estan las aplicaciones webs propiamente dichas que brindan un abanico mucho más amplio de posibilidades. Para lograrlo suelen emplear código ejecutado en el servidor y código ejecutado en el software que usa el cliente para acceder al sitio en cuestión. De la programación de una aplicación web se conocen muchas y muy variadas vulnerabilidades a tener en cuenta y muchas premisas sobre como construir aplicaciones seguras, aunque la realidad sentencia que es una tarea constante en la que el atacante suele llevar la ventaja.

Las limitaciones de HTML hasta la  version 4 llevaron desde el inicio a que ciertas tareas que del lado del consumidor pueden parecer triviales se solucionaran con extensiones de distintos proveedores, algunas extensiones restrictivas y todas ellas con sus propios riesgos. Los javascritps en interacción con el cliente, para cuestiones multimedia Flash. Con la evolución de HTML se pretende brindar un estándar mas abarcativo con solución a un gran número de carencias de las versiones anteriores, y es por ello que HTML5 se alimenta de un conjunto no despreciable de características que lo habilitan para ser usado en cuestiones donde antes no era posible. Para más información sobre las características de HTML5 se puede consultar el material de las Jornadas de Software libre (UNT-Tucumán 2010)[3], además como corolario en la misma se mencionan a manera de overview algunos simples cuestiones a tener en cuenta acerca de la seguridad para la aún inconclusa versión del estandar web. Cabe citar: (Leer más…)
Escribi un comentario! más...

Entrevista de Radio… que no fué

Por Luciano Laporta Podazza el 27/07/2010, en Seguridad

Este es un mensaje para Melina, una señorita que trabaja en una radio de Buenos Aires la cuál no recuerdo el nombre,  que el día de la fecha quizo hacerme una entrevista para que hable sobre la seguridad de los cajeros automáticos, pero dado que yo me encontraba trabajando no pude hacerla.

Señorita Melina: me agarró tan desprevenido y desorientado(justo estaba en medio de algo) que creo que no pude darle las gracias por la molestia y recordar de qué radio me llamaba.

Si alguna vez lee este mensaje me gustaría que se identifique porfavor jeje.

Saludos!!!

Escribi un comentario! más...

Falla en internet podría causar su colapso

Por Luciano Laporta Podazza el 26/06/2010, en Seguridad

NUEVA YORK (AP) – En 1998 un ciberpirata dijo ante el Congreso de Estados Unidos que podía derrumbar la internet en 30 minutos aprovechando una debilidad en la red que causa desconexiones al desviar información.

En 2003 el gobierno del presidente George W. Bush concluyó que encontrar una solución a este problema era una de las “prioridades vitales” de Estados Unidos, pero al pasar de los años, muy poco ha cambiado.

Esta falla todavía causa estragos cada año. Aunque la mayoría de los casos son sin malicia y se resuelven rápidamente, el problema puede ser explotado por algún hacker para espiar información o para boicotear páginas de internet. Mientras tanto, nuestra dependencia a la red sigue en aumento y la próxima desconexión podría afectar empresas, al gobierno o a cualquiera que necesita internet para funcionar normalmente.

Las desconexiones son causadas por la forma algo al azar en la que el tráfico pasa entre las compañías que transmiten la información del internet. Este tipo de desconexiones también son llamadas “hijackings” (secuestros en inglés), aunque la mayoría no son causadas por criminales ni buscan la destrucción. En realidad son un problema derivado de la apertura del internet.

“Es horrible cuando miras un poco más allá de la fachada”, dijo Earl Zmijewski, gerente general en Renesys Corp., que da seguimiento al desempeño de las rutas de información del internet. “Me sorprende que cada día cuando llego al trabajo siga funcionando”.

(Leer más…)

1 Comment :, , , más...

Nuevo avance para securizar DNS

Por Luciano Laporta Podazza el 24/06/2010, en Seguridad

Se ha avanzado un paso hacia la meta de hacer más seguro el sistema de nombres de dominio de Internet (DNS- Domain Name System). La pasada semana en Virginia (Estados Unidos) fue celebrada una ceremonia para generar y almacenar la primera clave criptográfica que será utilizada para securizar los servidores raíz de Internet.

Esta iniciativa ha sido uno de los últimos pasos en el despliegue de DNS Security Extensions (DNSSEC) sobre la zona raíz de Internet. DNSSEC es un estándar emergente que previene los ataques de spoofing al permitir a los sitios Web verificar sus nombres de dominio y las correspondientes direcciones IP utilizando firmas digitales y encriptación de clave pública.

En la ceremonia de la semana pasada se generó la clave raíz maestra, la que firmará todas las demás claves, según ha explicado Ken Silva, CTO de VeriSign, compañía que opera dos de los servidores raíces de Internet existentes en el mundo, así como los sistemas de back-end que soportan los dominios de máximo nivel .com y .net.

Fuente: CSO

Leer más: www.segu-info.com.ar

Comments Off :, , , más...

Se viene el Flisol 2010 y estás invitado!

Por Luciano Laporta Podazza el 23/04/2010, en SL en la Empresa, Software Libre

Este sábado, el día 24 de Abril, junto a muchas ciudades de toda América Latina simultáneamente, Tucumán festejará el Festival Latinoamericano de Instalación de Software Libre. El evento, organizado por LUG Tucumán, se realizará en la Facultad Regional Tucumán de la Universidad Tecnológica Nacional (Rivadavia 1050), a partir de las 9 de la mañana.

A diferencias de años anteriores, este año las instalaciones tendrán mucho mayor protagonismo. El evento consistirá en mini-talleres de instalación y una charla de introducción, donde se guiará a los asistentes para que vayan liberando su PC gracias a la instalación de una distro de Linux. El cronograma con los turnos será:

9:00 – Primer Turno de Charlas introductorias e instalación
11:00 – Segundo Turno de Charlas introductorias e instalación
13:00 – Break
15:00 – Tercer Turno de Charlas introductorias e instalación
17:00 – Cuarto Turno de Charlas introductorias e instalación
19:00 – Break
19:30 – Quinto Turno de Charlas introductorias e instalación
21:30 – Cierre del evento

Si desean participar en el evento, llevando su computadora para aprender a instalarle un sistema operativo libre, deben registrarse en el sitio del LUG Tucumán, y preparar la PC teniendo en cuenta estas recomendaciones:

  • Asegurarse de tener al menos unos 4GB de espacio libre.
  • Antes de venir defragmentar la(s) unidad(es) de disco
  • Hacer una copia de seguridad de todos los documentos y datos importantes
Comments Off :, , más...

Pagina 1 de 2412345...Ultima »

  • Richard Stallman en FLISOL 2009


    Video de Richard Stallman para el FLISOL 2009
    Luciano Laporta Podazza

    • Hack-IT apoya el Software Libre

    Libro Blanco

    SpreadBSD

    Archives

    All entries, chronologically...