2/9/2014

Cross-site scripting en múltiples productos F5

La firma SEC Consult ha anunciado una vulnerabilidad de cross-site scripting en múltiples productos F5.

F5 Networks es una compañía americana, con sede en en Seattle (Washington, EE.UU.), conocida por soluciones de alto nivel, con múltiples productos y soluciones de red que incluyen desde Application Delivery Controllers, hasta soluciones de seguridad y protección de centros de datos y de las aplicaciones de esos CPD.

El problema, con CVE-2014-4023, reside en que las entradas pasadas a tmui/dashboard/echo.jsp de la utilidad de configuración ("Configuration Utility") no son debidamente limpiadas antes de ser mostradas. Esto permite a usuarios remotos la ejecución arbitraria de código script en el navegador del usuario. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Los productos afectados pertenecen principalmente a la gama de productos BIG-IP, junto con el Enterprise Manager. Concretamente se han confirmado como vulnerables los productos y versiones siguientes:
  • BIG-IP LTM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
  • BIG-IP AAM 11.4.0 a 11.5.1
  • BIG-IP AFM 11.3.0 a 11.5.1
  • BIG-IP Analytics 11.0.0 a 11.5.1
  • BIG-IP APM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
  • BIG-IP ASM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
  • BIG-IP Edge Gateway 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
  • BIG-IP GTM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
  • BIG-IP Link Controller 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
  • BIG-IP PEM 11.3.0 a 11.5.1
  • BIG-IP PSM 11.0.0 a 11.4.1 y 10.1.0 a 10.2.4
  • BIG-IP WebAccelerator 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
  • BIG-IP WOM 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
  • Enterprise Manager 3.0.0 a 3.1.1 y 2.1.0 a 2.3.0
F5 Networks ha publicado versiones actualizadas para la mayoría de los productos afectados.

Fuente: Hispasec

¿El hack a las famosas está relacionado con I Find my iPhone?

Durante este fin de semana se han filtrado cientos de imágenes de celebridades desnudas. Ahora, según informa The Next Web, parte de la culpa de la filtración la ha tenido un fallo en iCloud y una vulnerabilidad en "Find My Phone".

Un script Python llamado iBrute apareció en Github y "aparentemente permitía de forma maliciosa a los usuarios usar 'fuerza bruta' para obtener la contraseña de iCloud de una cuenta", han dicho.

El script utilizaba una vulnerabilidad de Find My Phone, la aplicación que permite localizar el móvil de forma remota, que adivina contraseñas de forma repetida hasta que logra dar con la correcta. Por lo general, cuando una cuenta en iCloud detecta dos visitantes, se bloquea. Pero la vulnerabilidad de Find My Phone podría haber dado carta blanca. En teoría, el bug en la API de la aplicación permitía todo el proceso. TNW señala que el script estuvo dos días en Github antes de que fuese descubierto. Ya Apple ha "parcheado" este lunes el bug.

Lo que estamos viendo en la imagen de la derecha es un iPhone que ha sido bloqueado remotamente por "Oleg Pliss",  un Ransomware ejecutado mediante iCloud y que afecta a dispositivos iPhone de Apple y que usan la función de "Buscar mi iPhone".

Este tipo de malware está impactando a los usuarios de iCloud australiano y hasta la fecha, no hay ninguna razón clara y sólo hay especulación general en el sitio web de Apple.

¿Cómo funciona I Find my iPhone?

Cuando el dispositivo ejecuta la aplicación y se denuncia el teléfono para colocarlo en modo "perdido" se puede ver el estado durante las últimas 24 horas.

Una vez "perdido", se puede enviar un mensaje al propietario o se puede reproducir un sonido y/o borrar remotamente todos los datos. Si el dispositivo está desaparecido, lo recomendable es colocarlo en "modo perdido" para que el mismo se bloquee inmediatamente e ingresar un código de cuatro dígitos para evitar que nadie puedan acceder a us información.
Y eso es todo. Si una persona honesta encuentra el teléfono no será capaz de acceder a sus datos, tendrá un mensaje y un medio de contacto para devolverlo.

En cambio si eres un delincuente con acceso a alguien con datos en iCloud, puede pasar lo siguiente.

¿Cómo se ejecutan los ataques sobre iCloud?

La evidencia en este momento sugiere que los atacantes están utilizado el proceso anterior para bloquear remotamente los dispositivos y luego exigir dinero a cambio para desbloquear el dispositivo (por supuesto, como la víctima tiene el dispositivo bloqueado, tendría que utilizar la máquina de otra persona para enviar el pago).

Troy Hunter hizo una demostración del ataque utilizando un iPhone 5 simulando al atacante y un iPhone 4 de la víctima. El ataque podría ser más sofisticado y automatizado, pero sirve para entender el proceso usando la función prevista de iCloud para encontrar el iPhone.

El atacante compromete primero la cuenta de iCloud de la víctima, generalmente a través del uso de contraseñas débiles y compartidas con otras aplicaciones. Una vez que se tiene acceso, se ejecuta la aplicación "I Find My iPhone" en el dispositivo y se inicia la sesión en nombre de la víctima. Desde aquí se pueden ver todos los dispositivos de la víctima incluyendo dónde están físicamente localizado (suponiendo que están encendidos y que tienen comunicación a Internet).

¿Existe una vulnerabilidad en iCloud?

La primera cosa que se asume una vez que el dispositivo es bloqueado es que de alguna manera, Apple es el culpable. ¿Es una vulnerabilidad en iCloud?.

La declaración de Apple es que se "toman la seguridad seriamente" y ha negando cualquier compromiso de iCloud, dando a entender que las credenciales de los usuarios son débiles y ellos son los culpables.
 
Personalmente creo que es menos probable que iCloud tenga una vulnerabilidad, pero la respuesta es desdeñosa y no hace mucho por tranquilizar a sus clientes. Sin duda están investigando el caso a puertas cerradas y quizás en algún momento deseen responder con más detalle.

Algunas personas han especulado que este "hack a iCloud" está relacionada con los eventos de las famosas de esta semana pero este ataque brinda la posibilidad de bloquear los teléfonos pero no necesariamente robar información del mismo. Tal vez haya una conexión en alguna parte, pero por ahora estos dos incidentes parecen no estar relacionados.

Cristian de la Redacción de Segu-Info

Venta de tarjetas de crédito VISA y cuentas Mercado Libre

En las últimas horas hemos recibido una gran cantidad de denuncias de un nuevo sitio de VISA falso, alojado en servidores de Chile y que según hemos podido constatar son utilizados para robar información personal y financiera que posteriormente es vendida en el mercado negro argentino.

El correo electrónico que dice provenir de VISA es el siguiente:
Como puede verse, el campo Asunto no ha sido modificado correctamente por el delincuente y en el mismo aparece el correo electrónico que utiliza generalmente para este tipo de maniobras.

De todos modos, analizando la cabecera de los correos electrónicos se puede ver que los mismos han sido enviados desde un servidor vulnerado en Chile y enviados a través de un script PHP alojado en dicho servidor.
Si la víctima hace clic en el enlace de correo, primero ingresará a http://[ELIMINADO]galvez.cl/seguridadinfo.php y desde allí será redirigido a http://[ELIMINADO]salad.cl/visa/promociones.html, donde verá la siguiente página web:
Si la víctima completa los campos, pasará a engrosar la lista de posibles estafados en el corto plazo ya que los datos son enviados en el siguiente formato al delincuente:
Aquí se puede observar cómo una persona confiada puede entregar toda su información sin ningún tipo de límite, incluyendo su tarjeta de crédito, PIN verificador y fecha de vencimiento de la misma.

Pero, ¿Qué hace el delincuente con la información robada?

Sencillo, la vende al mejor postor en el mercado negro en foros especializados para tal fin.
A continuación se puede ver uno de estos foros en donde se ofrece la información recolectada por este mismo delincuente, que vende tarjetas de crédito, cuentas de distintos bancos y cuentas activas de Mercado Libre. A continuación algunos ejemplos de cada caso:

Oferta de tarjeta de crédito recién robada

Oferta de cuenta de Banco BBVA FFrancés

Oferta de cuenta de Mercado Libre

Oferta de cuenta de Banco Patagonia

Compra por parte de un usuario


Esto demuestra dos cosas: (a) ahí afuera hay demasiadas víctimas; (b) los delincuentes tienen un negocio perfectamente funcional basado en esas víctimas.

Cristian de la Redacción de Segu-Info

1/9/2014

Herramienta que identifica los rostros de los niños víctimas pedofilia

El Instituto Nacional de las Tecnologías de la Comunicación (INTECO), con sede en León, ha elaborado un programa informático de reconocimiento de rostros en imágenes digitales en las que aparecen menores víctimas de pornografía infantil o pederastia para favorecer su identificación.

El proceso implica un trabajo para "mejorar herramientas" que permitan el tratamiento automatizado de imágenes pedófilas para "agilizar" la identificación de menores en la investigación policial, según ha explicado en una entrevista con Efe el director del INTECO, Miguel Rego.

Además, desde el pasado mes de junio, dos agentes de Policía se han incorporado a la plantilla, en el marco de un convenio con el Ministerio del Interior, para la investigación de este tipo de casos de abusos a menores.

Rego ha señalado que el trabajo de INTECO se circunscribe en este sentido en el desarrollo de esas herramientas que permitan confeccionar "grandes volúmenes de información", algo también llamado "minería de datos", como información útil para que pueda ser utilizada por la Policía en sus investigaciones.
Se trata de programas informáticos que también pretenden prestar apoyo en el análisis forense o en la recolección de evidencias que puedan servir como pruebas en un proceso de investigación.
Sin embargo, ha indicado que el instituto público trabaja en este sentido “en una doble vertiente” que, además, pasa por la colaboración para contribuir a la "concienciación y formación" de los menores en un programa liderado por el Ministerio del Interior, que toma forma física en León en la Oficina de Seguridad del Internauta.

"Estamos concienciados en alertar sobre los riesgos y trasladar a los menores buenas prácticas", asegura el director del Instituto Nacional de las Tecnologías de la Comunicación.

Fuente: EFE

Fotos de famosas filtradas: ¡que no te pase lo mismo!

A estas alturas, todo el mundo estará al tanto de la noticia de la filtración de fotos con poca ropa de Jennifer Lawrence. Como esta actriz, muchas otras famosas han pasado por lo mismo anteriormente, entre ellas Ariana Grande, Rihanna, Kate Upton o Kim Kardashian. Tal como cuando Camus Hacker obtuvo fotos y videos de famosos para luego publicarlas en redes sociales, este es otro incidente más en la larga lista de celebridades que han visto su privacidad comprometida debido a unas malas prácticas en la protección de sus datos privados.

Crónica del incidente

Por si alguien aún no se ha enterado, todo empezó hace aproximadamente 48 horas cuando empezaron a aparecer fotos de Jennifer Lawrence un tanto comprometidas, así como de muchas otras famosas, en varias webs y redes sociales. Al parecer, el origen se encuentra, cómo no, en un hilo del foro 4chan, y aunque los medios se han centrado en las más famosas, el atacante parece contar con muchas más fotos de otras tantas celebridades, además de videos con contenido sexual que ya ha empezado a ofrecer a cambio de dinero.
Según distintos medios, las fotografías se habrían obtenido al ingresar a las cuentas de iCloud (nube de Apple) de las famosas. Según recogen algunos de ellos, las imágenes habrían sido compartidas a través de webs de intercambio de material gráfico como Imgur o 4chan.

Si bien los portales ya estarían eliminado el material en prevención de posibles demandas, aún circulan capturas de pantalla con el listado completo de celebridades (unas 60) que habrían sufrido el robo fotográfico. Entre las víctimas estarían las cantantes Avril Lavigne y Hillary Duff, Jenny McCarthy, Kaley Cuoco, Kate Upton, Kate Bosworth, Ariana Grande, Kirsten Dunst, Teresa Palmer y Kim Kardashian.

Fuente: We Live Security y BuzzFeed

Introducción a la seguridad en redes industriales

Aunque algunos prefieran pensar que el mundo de la seguridad es exclusivo del "underground" y que solo personas muy esmeradas y profesionales están en ello, no podemos negar que en nuestra profesión también existen modas, nombres "cool" y por supuesto, existe el marketing. Nos encanta lo que hacemos pero no deja de ser un negocio y una profesión además de un hobby. Por eso, el hecho de enfrentarse con una nueva moda en seguridad, nos pone frente a una situación muy particular: la necesidad de volver a estudiar. Aunque parezcan conceptos viejos, aunque la seguridad sea cíclica en cuanto a sus errores, cada nueva moda, o cada nueva tecnología o cada nueva implementación supone un nuevo desafío y no podemos darnos el lujo de abordarlo desde la confianza. Al contrario debemos ser muy cautos y volver a nuestras bases. Volver a estudiar.

Por qué explicar la seguridad industrial

Hoy en día, las modas de la seguridad de la información están relacionadas directamente con las redes de sistemas industriales, con drones, con dispositivos médicos, con el internet de las cosas, ciberguerra y algún que otro tema más. En esta serie de entradas, trataremos exclusivamente la relacionada con los sistemas industriales. Los métodos "tradicionales" de abordar esta disciplina (se puede buscar "hacking scada" o "ataques a redes scada" en Google) no ofrecerán más que exploits, sin conocer qué afecta realmente o cuáles son los vectores de ataque en una red industrial. Pero en esta serie veremos por qué se supone que los SCADA son distintos a los demás sistemas.

Parece necesario porque hay mucha información pero no tantos datos concretos, porque el mercado empieza incluso a lanzar carreras relacionadas con este tema; porque se organizan congresos sobre seguridad en las redes industriales; porque está relacionada directamente con la ciber-defensa de un país o una región; porque sus vulnerabilidades afectan a todos de una manera diferente a las que puedan existir en otros ambientes: está en juego incluso la vida y la salud de las personas.


Fuente:

Cómo hacer un Plan de Continuidad de Negocios (BCP) [II]

Este artículo es la continuación de este.

Planes para continuidad del negocio

Esta etapa consiste en la preparación detallada de planes de respuesta o recuperación y todos los acuerdos necesarios para asegurar la continuidad. Estos planes y acuerdos detallan las vías y medios necesarios para garantizar que los productos y servicios de la Organización continúan siendo entregados dentro de tiempos de inactividad tolerables, teniéndose que hacer un plan de continuidad para cada uno de los productos y/o servicios que se hayan categorizado como críticos.

Mitigando riesgos y amenazas

Las amenazas y riesgos son identificadas en el BIA. La mitigación de riesgos en un proceso siempre en ejecución, y tiene que ser ejecutado de manera permanente incluso sin que se haya activado el BCP. Por ejemplo, si una Organización requiere del suministro de energía eléctrica para producir, el riesgo de un corte del servicio puede ser mitigado por la instalación de una planta o estación eléctrica.

Otro ejemplo puede ser una Organización que depende de las comunicaciones internas y externas para funcionar adecuadamente. Una falla en sus sistemas de comunicaciones puede ser minimizada utilizando redes alternas de comunicaciones o instalando sistemas redundantes.

Análisis de la capacidad actual de recuperación

Hay que tener en cuenta las facilidades con las que cuenta actualmente la Organización para garantizar la continuidad del negocio, sin olvidar incluirlas en el BCP.

Crear Planes de Continuidad

Los planes de continuidad de negocio para los servicios y productos están basados en los resultados del BIA. Hay que asegurarse que los planes estén hechos con niveles incrementales de severidad del impacto causado por una interrupción. Por ejemplo, si ocurriera una inundación podrían utilizarse sacos de arena como respuesta a esta dificultad. Ahora, si el nivel del agua cubre el primer piso, se puede pensar en trabajar en un segundo o tercer piso de la edificación. Pensemos ahora que el nivel del agua se mantiene por demasiado tiempo, entonces tendríamos que reubicar la operación en un sitio alterno mientras baja el nivel del agua.

Los riesgos y beneficios de cada posible opción que se va a incluir en el BCP deben ser considerados, manteniendo presente los costos, flexibilidad y escenarios probables de interrupción. Para cada producto o servicio critico, debe escogerse la opción mas realista y efectiva para crear el Plan.

Preparación de respuesta

Una apropiada respuesta a una crisis que se presente requiere de equipos que lideren y respalden las operaciones de respuesta. Los miembros del equipo deben seleccionarse teniendo en cuenta capacitación y experiencia para asignarles tal responsabilidad.

El numero y alcance de los equipos puede variar dependiendo en el tamaño de la organización, funciones y estructura, y pueden existir los siguientes:
  • Equipo de Comand, que incluye al equipo de Respuesta a Crisis, y un equipo de Respuesta, Continuidad o Recuperación según se haya determinado.
  • Equipos de trabajo como el equipo de Coordinación de trabajo en un sitio alterno, Equipo de Compras y Contrataciones, Equipo de Inventario de daños, Equipo financiero y contable, equipo de residuos peligrosos, equipo de aseguramiento, equipo de asuntos legales, equipo de telecomunicaciones, Equipo Mecánico, Equipo de Notificaciones, Equipo de Noticias, o Equipo de Transporte.
Las actividades y responsabilidades de cada equipo deben ser definidas y documentadas, identificando quiénes son sus miembros, niveles de autoridad, tareas a realizar, roles y responsabilidades de los miembros, asi como resulta de utilidad identificar posibles miembros alternos de tales equipos.

Ahora, pensando en la tolerancia de los equipos que se creen en caso de ausencias o perdidas de personal, puede ser necesario suministrar entrenamiento a los miembros de los diferentes equipos en actividades que se desarrollan en equipos afines al que se está inicialmente asignado.

Ubicaciones alternas

Si las instalaciones principales de una organización, o en su defecto activos o información se pierden en un evento, una instalación alterna debe estar disponible. Hay tres tipos de ubicaciones alternas (nombres en ingles):
  1. Cold site: es una ubicación que no esta adecuada para operar. Esto significa que deben conseguirse desde muebles hasta computadores para que la operación pueda iniciar de nuevo. Para este tipo de instalación, debe realizarse un gran esfuerzo para que sea operable, lo cual se traduce también en una cantidad bastante considerable de tiempo. Los Cold sites son la opción mas económica de todas.
  2. Warm site: Es una ubicación que esta tecnológicamente lista y casi completamente equipada para iniciar operaciones, pudiendo estar completamente operacional en cuestión de horas. Como es de esperarse, esta opción es mas costosa que un Cold Site.
  3. Hot site: Ubicación que está completamente lista, pudiendo incluir si se desea hasta personal alterno para que realice las actividades que se suspendieron en el sitio original. Estas instalaciones pueden estar completamente operables en cuestión de segundos o minutos, siendo la opción mas costosa de todas las disponibles.
Cuando se tenga planeado contar con una ubicación alterna, debe considerarse para esa nueva ubicación todos los riesgos y amenazas, tiempo máximo de inoperatividad y claro, costos.

Por razones de seguridad, hay organizaciones que emplean sitios alternos super seguros, que como su nombre lo indica incluyen opciones que dan una mayor tranquilidad a sus clientes, encontrando entre ellas plantas eléctricas, altos niveles de seguridad física y protección contra vigilancia electrónica o intrusiones.

Procedimientos de Preparación

Entrenamiento

Los planes de continuidad pueden ser implementados fácilmente si:
  • Se informa a los empleados del contenido del BCP y de sus responsabilidades individuales cuando este se llegue a activar.
  • Se entrena a los empleados en el cumplimiento de sus responsabilidades con el BCP, y se les informa sobre las funciones de los equipos que se hayan creado.

Simulacros

Después de la capacitación, viene el entrenamiento con simulacros programados periódicamente con el propósito de mantener altos estándares de preparación y de respuesta. Estos entrenamientos aunque consumen recursos (personas, tiempo, etc) son el mejor método para validar la efectividad de un plan.

Aseguramiento de la calidad

Las revisiones del BCP tienen como objetivo validar la precisión, relevancia y efectividad del plan, asi como también descubrir que aspectos del BCP necesitan ser mejorados. Revisiones permanentes del BCP son esenciales para mantener su efectividad.

¿Qué hacer cuando se presenta una interrupción?

Las interrupciones son manejadas en tres etapas:
  • Respuesta
  • Continuar entregando servicios o productos críticos
  • Recuperación y Restauración

Respuesta

La respuesta a incidentes involucra el despliegue de todos los equipos, planes, medidas y acuerdos. Las siguientes tareas se ejecutan durante la fase de respuesta:

Gestión del Incidente

La gestión del incidente incluye las siguientes actividades:
  • Notificar a la Dirección, empleados y accionistas
  • Asumir el control de la situación
  • Identificar el rango y el alcance del daño
  • Implementar planes de acción
  • Identificación de daños a la infraestructura.
  • Coordinar el apoyo de fuentes externas e internas.

Gestión de Comunicaciones

La Gestión de Comunicaciones es fundamental para evitar la creación de rumores, mantener contacto con la prensa, servicios de emergencia y proveedores, empleados, accionistas y terceros interesados. Los requerimientos de comunicaciones pueden requerir sistemas redundantes, así como la creación de un plan para establecer todos los requerimientos de comunicaciones bajo una situación no deseada.

Gestión de Operaciones

Cuando se presente una interrupción, la Organización puede manejarse desde un Centro de Operaciones de Emergencia, lo cual garantiza que se centraliza la información, se coordinan los recursos y se asegura una respuesta efectiva a la situación.

Continuidad

La continuidad tiene como propósito asegurarse de que los servicios o productos críticos continúan siendo entregados a los clientes, o en caso contrario, que el tiempo de espera no sea mayor a los limites establecidos al hacer el BIA.

Recuperación y Restauración

La meta de la recuperación y restauración es recobrar la operatividad de la organización manteniendo la entrega de productos y servicios críticos. En esta etapa se incluyen las siguientes actividades:
  • Decidir donde reiniciar operaciones: reparar las facilidades estropeadas o ubicarse en un sitio alterno.
  • Regreso del personal a las instalaciones
  • Adquirir los recursos adicionales para restaurar por completo la operación.
  • Restablecer las operaciones normales de la organización.
  • Reanudación de las operaciones en los niveles anteriores a la interrupciónDecidir donde reiniciar operaciones: reparar las facilidades estropeadas o ubicarse en un sitio alterno.
  • Regreso del personal a las instalaciones
  • Adquirir los recursos adicionales para restaurar por completo la operación.
  • Restablecer las operaciones normales de la organización.
  • Reanudación de las operaciones en los niveles anteriores a la interrupción

Conclusión

Cuando una Organización no puede entregar a sus clientes los productos o servicios críticos que produce, las consecuencias pueden ser extremas. Todas las organizaciones están en riesgo, y pueden inclusive desaparecer si no están debidamente preparadas. El BCP es la herramienta que le permite a las organizaciones no solo a gestionar sus riesgos sino también a continuar entregando productos y/o servicios sin importar que se presente un desastre.

Fuente: Leonardo Camelo - Seguridad Información Colombia

31/8/2014

Errores que cometen los padres que cuelgan fotos de sus hijos en redes sociales

Limitar al máximo las imágenes de los menores, no publicar retratos desnudos o evitar dar datos de lugares y horarios, algunas de las claves para proteger la imagen de nuestros niños en las redes sociales.

Nuestros hijos han nacido en la era digital. Asimilan el manejo del móvil o la tablet casi al mismo tiempo que aprenden a caminar. Pero desde el primer momento también se convierten en protagonistas de la tecnología. Sus imágenes están presentes en la Red con total normalidad casi desde la primera ecografía. El álbum familiar, que hasta ahora se disfrutaba en la intimidad del hogar se abre ahora al público general a través de las redes sociales y cada logro de los pequeños, como su primera sonrisa o su primer día en la guardería, se retrata y comparte en Internet.

Pero esta tendencia de los padres a publicar fotos de sus hijos en cada momento, ¿es totalmente inocente? ¿Sabemos dónde está la línea entre lo prudente y el exhibicionismo? ¿Dónde van a parar todas esas instantáneas en el gran universo de información que supone la Red? ¿Pueden los datos que publicamos sobre nuestros hijos influirles negativamente en el futuro?

Ofelia Tejerina, abogada de la Asociación de Internautas, explica que los padres deben tener en cuenta que las imágenes que publican ahora de sus hijos pequeños pueden afectarles cuando sean mayores. "Las fotos van a quedar ahí para siempre y, aunque creamos que solo las están viendo nuestros conocidos en Facebook, por ejemplo, si no tenemos bien ajustado el nivel de privacidad de nuestro perfil, pueden verlas amigos de amigos y de esta forma perdemos por completo el control de las imágenes", señala. Tejerina indica que todos tenemos derecho a gestionar las distintas parcelas de nuestra vida y que nuestros hijos en el futuro pueden no querer que sus compañeros de clase les vean de pequeños bailando o bañándose desnudos. Y no solo eso. "Imagina que todos tuviésemos acceso a cientos de imágenes de infancia de Angela Merkel; seguramente tendrá fotos de su parcela familiar que nada tienen que ver con su imagen política o profesional", dice Tejerina.

En alerta contra los depredadores sexuales

Existe otra cuestión. La foto de un menor bañándose en el mar puede ser totalmente inocente, hasta que llega a un depredador sexual y no sabes qué va a hacer con ella. "Yo les digo a los padres y a los menores que nunca sabrán si hay gente mala en la Red que rastrea las imágenes de los pequeños", indica Tejerina, que aconseja a los padres que recuerden en todo momento que Internet está lleno de depredadores sexuales antes de subir una foto. En este sentido, recuerda que existe una práctica llamada 'morphing' por la que se coge una imagen de un menor totalmente normal y, a través de un programa de edición, se trata y se realiza un montaje pornográfico.

Además, Tejerina recuerda que la actitud que tengan los padres ante Internet será la que enseñen a sus hijos cuando sean mayores. "No podemos radiografiar la vida de un niño publicando 20 fotos al día en las redes sociales y pretender luego que cuando él tenga 13 años no envíe él mismo todas sus fotos", señala, al tiempo que indica que las mismas recomendaciones afectan al WhatsApp. Así, el ejemplo de los padres es fundamental a la hora de que los hijos aprendan buenas conductas en Internet.

Si a pesar de todas estas premisas, los padres siguen queriendo publicar las fotos de sus hijos en las redes sociales, Tejerina ofrece una serie de consejos para que lo hagan de una forma segura.
  1. Limitar al máximo las fotos que se suben. Debemos preguntarnos constantemente si es imprescindible colgar las fotos de nuestros hijos a diario.
  2. Si se quiere compartir imágenes con la familia, optar por el correo electrónico.
  3. No publicar fotos de los niños desnudos en ninguna circunstancia, ni en la playa, ni en la piscina ni dentro de casa.
  4. No ofrecer datos del lugar en el que se encuentran los niños, o dar detalles sobre si están solos o los horarios habituales del colegio.
  5. No etiquetar a los menores con sus nombres y apellidos para evitar que sean indexadas en un buscador.
  6. Si el menor sale con otros amigos, preguntar a los padres si quieren que se suban sus imágenes.
  7. Ambos progenitores tienen que estar de acuerdo a la hora de subir las fotografías de los hijos.
  8. Ajustar la privacidad de los perfiles, tanto de las redes sociales como de WhatsApp, para acotar al máximo el público que va a ver esas fotos.
  9. Recordar que también hay que respetar la intimidad de los niños y que puede que no quieran (ahora o en el futuro) que otros vean lo juegos o momentos que, aunque puedan ser divertidos, se circunscriben al seno de la familia o con amigos muy cercanos.
Fuente: Asociación de Internautas

ProxyMe: ataques de Cache Poisoning

ProxyMe es una aplicación proxy desarrollada por nuestro compañero Manuel Fernández de Eleven Paths. Fue presentada durante el evento Arsenal del congreso de seguridad Black Hat, que se celebró entre los días 2 y 7 de agosto del 2014 en Las Vegas. Ya está disponible para su descarga con el código fuente desde https://code.google.com/p/proxyme/.

El plugin "CachePoison.dll" utiliza un ataque conocido como "Cache poisoning". Fundamentalmente, consiste en forzar a un usuario a que su navegador cachee determinado contenido, al que normalmente se le suele añadir código malicioso para que sea ejecutado por el cliente.

Para conseguir que el contenido sea cacheado (y se consiga una permanencia del código malicioso en el equipo cliente) es necesario realizar previamente un ataque de "man-in-the-middle". De esta tarea se encarga ProxyMe.

Contenido completo en fuente original Eleven Path

30/8/2014

Google permite compartir el navegador Chrome con múltiples usuarios

Facilita el pasar de uno a otro; la modalidad invitado permite abrir una nueva sesión sin afectar el uso habitual del browser y sin utilizar una ventana de incógnito.
En la última versión en modo Beta para Windows, Mac y Linux, el navegador web Chrome permite que los usuarios puedan cambiar de usuario de forma fácil y segura para alternar entre múltiples cuentas, de acuerdo a una publicación de Google en el blog oficial del browser.

Así, es posible configurar varios usuarios en un mismo Chrome, una función pensada para computadoras compartidas, y que también está disponible en Firefox y Opera. La versión actual de Chrome primero requiere crear un usuario (un perfil) en el browser para luego asociarle una cuenta de Gmail; se hace desde Configuración - Usuarios.

En la nueva versión se podrán crear varios perfiles en un mismo navegador y pasar de uno a otro con un clic en "Cambiar persona" (Switch person), directamente desde el menú, como se hace con las cuentas de usuario del sistema operativo. También suma una herramienta para cuando prestamos temporalmente el equipo. Esta función, conocida como Guest Mode (Modo Invitado) permite compartir el uso del navegador Chrome con otro usuario, sin interferir en la configuración inicial del dueño de la computadora.

Ubicado en la parte superior derecha del browser, se puede activar una nueva ventana de navegación por incógnito, o iniciar otra cuenta de Google para que el invitado pueda consultar su correo electrónico, realizar cualquier otra tarea en la Web y acceder a su propio historial de navegación.

Una vez instalado el browser, se deberá habilitar esta opción ubicada con el nombre del usuario en la parte superior del navegador. Allí se desplegará una ventana que permitirá elegir la función Switch Person - Browse as Guest. De esta forma, se simplifica el uso compartido, y los usuarios invitados cuentan con una opción más fácil de acceder a los diversos servicios asociados a la cuenta de Google sin tener que abrir una pestaña en Modo Incógnito.

Fuente: La Nación