Geeks Chapines

Copy & Paste del artículo, perdonen, pero me pareció interesante y no tengo suficiente tiempo para hacer mis propias observaciones. (dragonjar.org)

CWE (Common Weakness Enumeration) y la SANS han publicado un estudio donde enumeran los 25 errores de programación mas peligrosos en el desarrollo de software para el año 2011, en la lista encontraremos errores que mucha gente toma como inofensivos pero que realmente abren una brecha de seguridad en sus aplicaciones.

El TOP 25 errores más peligrosos en el software es:

• No filtrar propiamente las sentencias SQL (Inyección SQL) (Puntaje 93.8) (ID CWE-89)
• No filtrar las llamadas al sistema de forma adecuada (Inyección en comandos del SO) (Puntaje 83.3) (ID CWE-78)
• No chequear el tamaño de la memoria reservada a la hora de copiar datos (desbordamiento de memoria) (Puntaje 79.0) (ID CWE-120)
• No detectar la inyección de scripting (XSS) (Puntaje 77.7) (ID CWE-79)
• No autentificar en llamada a funciones críticas (Puntaje 76.9) (ID CWE-306)
• No autorización (Puntaje 76.8) (ID CWE-862)
• Usar credenciales estáticos en el código (Puntaje 75.0) (ID CWE-798)
• No cifrado de datos sensibles (Puntaje 75.0) (ID CWE-311)
• No restringir la subida de ficheros a ciertos formatos (Puntaje 74.0) (ID CWE-434)
• Confiar en una fuente de datos no confiable a la hora de tomar una decisión de seguridad (Puntaje 73.8) (ID CWE-807)
• Ejecución con privilegios innecesarios (Puntaje 73.1) (ID CWE-250)
• Cross-Site Request Forgery (CSRF) (Puntaje 70.1) (ID CWE-352)
• No limitar el acceso al sistema de ficheros a directorios restringidos (Puntaje 69.3) (ID CWE-22)
• Descarga de código sin chequear la integridad del mismo (Puntaje 68.5) (ID CWE-494)
• Autorización incorrecta (Puntaje 67.8) (ID CWE-863)
• Permitir la integración de funcionalidades de fuentes no confiables (Puntaje 66.0) (ID CWE-829)
• Asignación de permisos incorrecta a recursos críticos (Puntaje 65.5) (ID CWE-732)
• Uso de funciones potencialmente peligrosas (Puntaje 64.6) (ID CWE-676)
• User un algoritmo de cifrado que ha sido comprometido o roto (Puntaje 64.1) (ID CWE-327)
• Cálculo incorrecto del tamaño de memoria (Puntaje 62.4) (ID CWE-131)
• No restricción a un número de intentos fallidos de acceso (Puntaje 61.5) (ID CWE-307)
• Redirección URL a sitios no confiables (‘Open Redirect’) (Puntaje 61.1) (ID CWE-601)
• Formato de cadena no controlado (Puntaje 61.0) (ID CWE-134)
• Desbordamiento de enterios (Puntaje 60.3) (ID CWE-190)
• Aplicar una función hash sin usar la sal (Puntaje 59.9) (ID CWE-759)

Si cometes por lo menos uno de estos errores en el desarrollo de tus aplicaciones, no dudes en hacer click en su respectivo ID, donde encontraras toda la información necesaria para entender mejor el problema y corregirlo.

Puedes descargar todo el informe en PDF o verla online en la pagina oficial de la Common Weakness Enumeration.

Publicación original: http://cwe.mitre.org/top25/?2011

El colectivo de ciberactivistas Anonymous ha efectuado hoy 21 de julio de 2011 una demostración de fuerza y según ha informado en su página web, se ha infiltrado en los servidores de la OTAN y ha robado de sus redes un gigabyte de información que no publicará, ha dicho, por sentido de la responsabilidad. Es la primera gran operación tras el arresto, el martes, por parte del FBI, de 14 norteamericanos relacionados con el colectivo que defiende el libre flujo de información y la transparencia gubernamental.

“Disponemos de cerca de un gigabyte de datos de la OTAN en este momento”, señala Anonymous en su perfil de Twitter. “No publicaremos la mayoría de esos documentos porque sería una irresponsabilidad”. De momento, ha publicado en la Red solo algunos de esos documentos, no clasificados y relativos a las misiones en los Balcanes y Afganistán. Responde así el colectivo de a un informe de la Alianza Atlántica, elaborado por el relator general lord Michael Jopling, que alertaba a los miembros del organismo contra Anonymous.

“Los observadores señalan que Anonymous es cada vez más sofisticado y podría introducirse en redes sensibles gubernamentales, militares, y empresariales”, escribió lord Jopling. “En la actualidad, ese grupo internacional de hackers y activistas cuenta con miles de operativos y no tiene normas establecidas de afiliación. Queda aún por ver cuánto tiempo le queda a Anonymous para seguir recorriendo esos caminos. Cuanto más se repitan esos ataques más suscitará eso las represalias y la persecución de sus autores”.

Anonymous se ha esforzado esta semana por advertir a las autoridades de que no tolerará más actos de amenaza o acoso a sus operativos. En un comunicado difundido en Internet, no firmado por nadie, responde a las detenciones del FBI advirtiendo que no tolerará que “los Gobiernos mientan a sus ciudadanos y usen el miedo y terror para mantenerse en el poder mediante el desmantelamiento de las libertades civiles pieza por pieza” y que “las empresas conspiren con los Gobiernos solo para acumular miles de millones por medio de contratas públicas”.

Les dejo un video realizado por los amigos de Hispasec que ilustra muy bien el “modus operandi” de los falsos antivirus, para que estén alerta.

La última semana de diciembre cerró con una noticia realmente preocupante, el motivo, la asociación de WhiteHat Hackers “Chaos Computer Club”, presentó en su 27º congreso en Berlín, Alemania, la técnica llamada “SMS-o-Death” o como dice el título de este post “SMS de la muerte.

La presentación fue llevada a cabo por 2 especialistas de la universidad Tecnológica de Berlín (Collin Mulliner y Nico Golde), especialistas en seguridad de plataformas móviles.

Anteriormente, Mulliner ha demostrado procedimientos que permiten distribuir virus mediante MMS y la forma en que los SMS pueden ser usados para desactivar un iPhone.

DiatioTI destaca que la presentación no ha sido publicada en las páginas de Chaos Computer.

Se informa que los teléfonos móviles corrientes, no del tipo smartphone, como iPhone, terminales Android y similares, procesan los SMS de una forma que les hace vulnerables. Dichos teléfonos que representan el 85% del total mundial, son usados varios miles de millones a diario en el planeta.

La demostración se realizó utilizando un programa de código abierto OpenBTS para crear una red GSM cerrada, en el experimento demostraron lo que sucede cuando algunos populares modelos de Nokia, Sony Ericsson, LG, Samsung, Motorola, Micromax(fabricante indio) reciben mensajes de texto especialmente diseñados (exploit)

Mulliner y Golde precisan que a pesar de haber hasta ahora experimentado con los modelos más populares, los resultados sugieren que un gran número de teléfonos móviles corrientes presentan vulnerabilidades similares.

Los teléfonos más vulnerables entre los estudiados por Mulliner y Golde son los modelos Nokia S40 y Sony Ericsson w800. Cuando estos terminales reciben un mensaje de texto especialmente diseñado, reaccionan apagándose y luego encendiéndose nuevamente. Los teléfonos no notifican a la red que el mensaje ha sido recibido, por lo que este vuelve a ser transmitido, con lo que el proceso de apagado y encendido se replica continuamente. La única forma de solucionar el problema es extrayendo la tarjeta SIM y colocarla en un teléfono inmune a la vulnerabilidad.

El procedimiento permite, en teoría, crear SMS especialmente adaptado a otros modelos, haciendo que sus pantallas se apaguen o que se desconecten de la red.

El problema no afectaría únicamente al usuario individual, sino podría ser usado para atacar a los suscriptores de un operador determinado. Así, un atacante puede extorsionar a un operador, amenazándole con suspender la conexión de un gran número de sus clientes.

El elemento central del procedimiento demostrado por Mulliner y Golde es que hay vulnerabilidades explotables en teléfonos móviles desprovistos de sistemas operativos avanzados, y que los fabricantes y operadores han descuidado los procedimientos de seguridad que les permitirían distribuir de manera coordinada actualizaciones y parches de seguridad para los terminales afectados.

Fuentes: DiarioTI, Heise.de, Wired, Tom´s Hardware Guide, H-Security y ConceivablyTech.

Imagen: Nokia S40 (representado en la imagen por el modelo 6270), Sony Ericsson w800, Samsung S5230 Star, Samsung S3250 y LG 320 figuran entre los populares teléfonos móviles que pueden ser desactivados mediante un SMS maligno)

Adobe Flash Player 10.1.85.3 es la nueva versión del reproductor multi-plataforma para visualizar contenidos Flash y que soluciona un problema que fue dado a conocer hace aproximadamente una semana.

Esta actualización resuelve un agujero de seguridad de carácter crítico que afecta a Adobe Flash Player 10.1.82.76 y anteriores para Windows, Mac, Linux y Solaris, y a Adobe Flash Player 10.1.92.10 para Android. También afecta a Adobe Reader 9.3.4 y anteriores versiones para Windows, Mac y UNIX, así como a Adobe Acrobat 9.3.4 y versiones anteriores para Windows y Mac.

Se tiene constancia que esta vulnerabilidad, que llega a permitir a un atacante tomar el control del sistema, está siendo activamente aprovechada por atacantes contra usuarios de Adobe Flash Player en sistemas Windows.

Debido a la importancia de la vulnerabilidad solucionada el equipo de Adobe recomienda a los usuarios de Flash Player la actualización inmediata a esta última versión.

Usuarios que lo deseen pueden acceder a más información de Adobe Flash Player 10.1.85.3 desdehttp://www.adobe.comy descarga desde get.adobe.com.

Después de algún tiempo recibiendo la notificación sobre la “Actualización de seguridad para Windows Server 2008 x64 Edition (KB967723)” y después de revisar en la página de Microsoft sobre la solución a dicho problema, encontrándome con una biblia de procedimientos, decidí navegar un poco más y encontrar otra solución así fue, no tengo a la mano la fuente, pronto la publicaré y el parche para x86, solo consiste en descargar el paquete e instalarlo manualmente, saludos.

Descarga para 64bit

Descarga para 32bit