OWASP (Open Web Application Security Project, en inglés) es un proyecto de seguridad de aplicaciones web abiertas’) es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro.

La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo. Juntos constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera.

OSWASP prepara todos los años un informe donde se pueden ver los 10 mayores peligros durante el año. Esta información es muy útil y sirve de guía para poder brindar un mayor grado de seguridad a las aplicaciones.

La siguiente es la lista de las 10 mayores amenazas del año 2010:

Read More

Microsoft ha comunicado, a través del blog del equipo del centro de respuesta de seguridad, de una vulnerabilidad en Internet Explorer que podría permitir la ejecución de código arbitrario visitando una página web especialmente manipulada. Es necesario además para completar el ataque, que el atacante incite a la víctima a pulsar el botón F1 para lanzar la función de ayuda.

Tanto la vulnerabilidad como la prueba de concepto fueron originalmente publicadas el día 26 de febrero por Maurycy Prodeus, del grupo polaco iSEC, en la lista de Full Disclosure. En el aviso detalla cómo la función “MsgBox” proporciona un parámetro en el que se puede indicar la ruta hacia un archivo .hlp. Si la víctima presiona F1, el archivo con formato win32hlp será procesado.

Read More

El HTTPS o (Protocolo seguro de transferencia de hipertexto) es un protocolo de red que permite que los datos que viajen desde el navegador del usuario hasta el servidor de página web y viceversa, lo hagan cifrados para que no puedan ser vistos por personas ajenas a la conexión.

Para las personas que se dedicaban (o no) al robo de información y a ver conexiones sin permiso en otras épocas se requería de bastante más trabajo que lo que se necesita en muchos casos ahora. El tema es que antes del advenimiento de las redes WiFi se requería poder estar físicamente en contacto en alguno de los puntos donde la información fluía. El WiFi ha permitido que sea mucho más simple capturar información y con las nuevas tecnologías de antenas y transmisores, hasta se puede realizar a considerable distancia.

Es por esto que sorprendía mucho que una empresa como Google siguiera ofreciendo un servicio tan sensible como el correo sin utilizar mecanismos en cifrado. El servicio de Gmail no tenía posibilidad de acceder vía HTTPS, lo cual permitía que se comprometieran los datos que viajan en plano desde el usuario al servidor.
Pasado un tiempo Google comprendió que se requería el servició de HTTPS y lo habilitó como un opcional. Aunque era un paso adelante, la mayoría de los usuarios no tenía consciencia de este servicio y seguían usando el sistema sin cifrado.

A partir de unos días atrás Google esta ofreciendo en forma predeterminada el servicio de HTTPS en GMAIL, con lo cual se cierra un posible compromiso (o se hace más difícil de acceder ) para los mails de los usuarios.
En buena hora. Solo hace falta que los usuarios comprendamos que la seguridad de nuestros datos es un proceso que requiere primero entender que es lo que se necesita proteger y luego implementar las medidas para hacerlo.

El día 21 de Octubre a partir de las 19 horas AltoSec estará colaborando en el Workshop:

Seguridad Informática en Sistemas Operativos y Aplicaciones

en la Universidad Tecnológica Nacional Regional Rosario de calle Zeballos 1331.

Junto a la cátedra de sistemas de dicha facultad e invitados, Ramiro Caire y Sebastián Criado expondrán la problemática de la seguridad tanto en sistemas operativos como en aplicaciones (orientadas a web en este caso), haciendo un repaso por las vulnerabilidades mas comunes y relativamente fáciles de explotar. Se brindará “demo” en vivo para ilustrar mejor cada explicación.

La entrada libre y gratuita.
Los interesados no requieren acreditación previa.

Se ha detectado una familia de troyanos que, además de todas las técnicas habituales que usa el malware 2.0 para pasar desapercibido, falsea el balance del usuario víctima una vez ha sido robado. Así, el afectado no puede detectar la falta de dinero en su cuenta a menos que analice un extracto por algún otro medio que no sea su propio ordenador, o le sea devuelto algún recibo.

Es común hoy en día que los troyanos inyecten campos adicionales en las páginas de los bancos para “capturar” la tarjeta de coordenadas o las contraseñas secundarias que permiten el movimiento del dinero. Es común que se salten restricciones de todo tipo impuestas por los bancos (teclados virtuales, ofuscación, OTP…), destinadas a detener su avance. Casi todos tienen técnicas de ocultación sofisticadas que hacen que a pesar de los esfuerzos de las casas antivirus, no sean detectados en su mayor parte. La mayoría también ofusca su código para dificultar el análisis de los investigadores… Lo que no es tan común es que los troyanos, al robar, falseen el balance de las cuentas del usuario, para que el usuario no detecte que el dinero ha sido traspasado a otro lugar.

Read More