Vulnerabilidad de Cross Site Scripting en IBM Lotus Connections

IBM ha confirmado una vulnerabilidad en IBM Lotus Connections 2.5.0.0, que podría permitir a un atacante ejecutar ataques de Cross Site Scripting.

IBM Lotus Connections es un software social específicamente diseñado para el entrono empresarial. Permite utilizar los conocimientos de la organización, socios y clientes al establecer de forma dinámica conexiones entre las personas, la experiencia que éstas tienen y las tareas que ejecutan.

El problema se debe a un error de validación de entradas en las páginas de “Actividades ” para móviles. Un atacante podría explotar este problema para lograr la ejecución de código script arbitrario en el navegador del usuario en el contexto de seguridad del sitio afectado.

Se recomienda aplicar el Interim Fix LO43637 disponible en este link

Más Información:

LO43637 Mobile: Mandatory iFix: XSS fixes for mobile Activities pages

Via Hispasec

Phishing a Banco Galicia (ARG)

phishing-galicia-04062009

Ha llegado un curioso correo, sobre todo era llamaba la atención por pertenecer a una entidad de la que nunca forme parte, igualmente dejando mis lados humanos de lado mire un poquito (no mucho, saltaba a simple vista) y me encontre con un lindo caso de phishing.

Lo que se intentaba era hacerle creer al usuario que se estaban actualizando las DB del Banco y que se debian actualizar los datos de cuenta (típico), obviamente el link “decía” llevarte a http://www.e-galicia.com.ar/homebanking (que dicho sea de paso, no es la URL correcta) pero en lugar de llevarnos ahí nos dirgia a http://www.XXXXXXXXX.de/webnews/modules/include/www.e-galicia.com/portal/ … como el sitio aún está arriba no les paso el link correcto.

Obviamente ha sido reportado y estamos a la espera de que deje de existir.  🙂

Via Sechack

Criptovirología: Del polimorfismo a la kleptografía

La criptografía viene empleándose en el diseño de Malware casi desde antes que se empleara en el diseño de SOFTWARE legitimo 🙂

Inicialmente se utilizó como una protección frente a la ingenieria inversa y contra la detección mediante cadenas y patrones: El virus cifraba su código mediante una clave y una operación sencilla, reversible, como puede ser un simple cifrado XOR con clave aleatoria.

Continuar leyendo “Criptovirología: Del polimorfismo a la kleptografía”

Proceso de implementación de sistemas nuevos

Un proceso para implementación de nuevos sistemas es importante ya que permite que estos arranquen seguros en producción, por lo general las organización que carecen de este proceso cometen el error de llevar a producción sistemas que no están correctamente parchados que tienen aplicaciones, usuario o procesos que no son requeridos, los mismos que se convierten en un riesgo de seguridad muy grande para las organizaciones.

System-Hardening-V1.thumbnailEl proceso
Se propone el mismo con el fin de que en cada sistema nuevo, se pueda seguir una serie de pasos importantes y críticos que permita reducir el riesgo de compromiso, aligeren el proceso de administración de los mismos a futuro y permitan a la organización el cumplimiento de la norma en forma continua.

Se debe recordar que para el cumplimiento con la norma, el proceso deberá estar respaldado con los procedimientos adecuados y se deberá generar la documentación necesaria sin la que el sistema no sera aprobado por un QSA (Estándares de configuración, plantilla de revisión, entregables, etc.)

Endurecimiento
El proceso de endurecimiento se usa para asegurar un sistema reduciendo su potencial de ser vulnerado. Por la naturaleza de operación, los sistemas, mientras más funciones cumplen aumenta su potencial de compromiso y su numero de vulnerabilidades.

Lo que explica que la norma PCI-DSS solicite claramente que los sistemas solo cumplan una función (máximo dos si esto es justificado) y que en el mismo se reduzca los posibles vectores de ataque al remover todas las funciones (Aplicativos, programas, etc.), servicios (Demonios, puertos, etc.) y usuarios (Administradores, super usuarios, regulares, etc) no no sean específicamente requeridos por la función.

Continuar leyendo “Proceso de implementación de sistemas nuevos”

Sec-Track.com Proyecto Colaborativo de Entrenamiento en Seguridad Informática

sec track

¿Qué es Sec-Track?

Sec-Track es un proyecto colaborativo que ofrece un repositorio de recursos relacionados con la implementación y el desarrollo de laboratorios  de entrenamiento e investigación sobre Seguridad Informática. Estos recursos son distribuidos por  medio de entornos virtualizados que asemejan entornos reales, dichos entornos pueden ser implementados en diferentes ambientes de capacitación e investigación.

Continuar leyendo “Sec-Track.com Proyecto Colaborativo de Entrenamiento en Seguridad Informática”

Los 10 Mandamientos de la Seguridad Informática

Los 10 Mandamientos de la Seguridad Informática

1.Cuidaras la seguridad del sistema Operativo:

Elegir el sistema operativo (S.O) adecuado según la importancia y confidencialidad de los datos a almacenar en el equipo es vital. Si la información es crítica, lo ideal es emplear Sistemas Operativos muy seguros (como OpenBSD) o bastante seguros (GNU/Linux) y evitar a toda costa los menos fiables (todos los de la familia Windows, particularmente Vista y los anteriores a Windows 2000).

Continuar leyendo “Los 10 Mandamientos de la Seguridad Informática”

¿Que es Google Wave?

Google Wave es una herramienta que integra todos los productos y aplicaciones que tiene Google e introduce una colaboración en tiempo real que no habíamos experimentado antes, lo que la convierte en una plataforma de comunicación total, pues cuenta con una gran cantidad de funciones y aplicaciones. Además, su uso, como el del resto de productos de Google, será completamente gratuito y disponible para final de este año. Google Wave le permitirá compartir y editar de manera conjunta documentos online (algo que ya hacía Google Docs, pero con enormes mejoras), hablar por mensajería instantánea (al estilo de messenger), tener conversaciones de voz (como Skype), y ver la cara de su interlocutor gracias a su innovador sistema de videochat. Todo al mismo tiempo, lo cual la convierte en una verdadera muestra de la convergencia tecnológica.

Via : hiddekelmorrison

¿Como comprobar la integridad de un PDF?

Los PDFs hoy en dia son muy utilizados, y mas cuando son documentos de alta confidencia que exigen mucha seguridad, y como sabemos PDF guarda un historial de todos los cambios hechos en el mismo, de tal forma que este historial se mantiene de forma oculta en el archivo PDF.

Pdfresurrect, es posible extraer todas las versiones previas y generar un resumen de cambios, producidos entre las distintas versiones del documento.

Muy util para para verificar la autenticidad de un documento, comprobar que no ha sido manipulado por terceras personas y recabar metadatos del mismo.

Via Guru Informatica

La CIA invierte en una empresa que monitoriza blogs, foros y redes sociales

In-Q-Tel, una firma de capital riesgo que invierte en empresas que desarrollan equipos y tecnologías de vanguardia que pueden ser útiles para las agencias de seguridad de Estados Unidos como la DIA, la NGA y, especialmente, la Agencia Central de Inteligencia (CIA), ha entrado en el accionariado Visible Technologies, una compañía que ha creado un software que permite monitorizar páginas webs y comprobar qué hacen sus usuarios.

Visible Technologies inspecciona cada día medio millón de webs 2.0 y disecciona más de un millón de posts y conversaciones que tienen lugar en sitios como Twitter, Flickr, YouTube, Amazon y un sinfín de bitácoras, incluidos sus feeds.

Via abadiadigital

La Seguridad de Nuestros Bancos

Resulta que si visitas la página web de un reconocido banco, pero te da por poner después del dominio, escribes el propio nombre de la empresa .txt ves algo del estilo:

fallo de seguridad

Efectivamente el administrador de sistemas ha dejado los  datos de acceso a su servidor y a su base de datos.

Via 86400.es (Que ni pensarlo se atrevio a acceder a los servidores…)