Seguridad

¡Cinco cortes!

Cinco cortes a los cables submarinos en Asia, ¿no será mucho? ¿Cual es la probabilidad de que eso pase? Más del 90% del tráfico mundial de datos viaja a través de los cables submarinos, frente al tráfico que absorben los satélites, menos de un 10%. Fuente: El Mundo

La Seguridad de Linux

Via Kriptópolis: Linux no es un sistema a prueba de balas y su equipo no es seguro sólo por ejecutar Linux. Déjese guiar por el buen sentido. Para la mayoría de nosotros, eso significa situar el equipo detrás de un cortafuegos y aplicar regularmente los parches de seguridad. Para otros, habría que adoptar medidas defensivas adicionales. Con respecto a la seguridad de linux, es muy importante recordarlo, porque no falta el diputado que anda diciendo que en linux no hay virus.

Vigilando la red en busca de terroristas

Bruce Schneier publica en su blog la demostración de porqué el análisis masivo de información, que usa la NSA (Agencia Nacional de Seguridad norteamericana), es inutil para detectar terroristas. El profesor noruego Floyd Rudmin aplica las matemáticas de la probabilidad condicional, conocido como el teorema de Bayes, para demostrar que la vigilancia de la NSA no puede detectar exitósamente terroristas, a menos que el porcentaje de terroristas en la población sea mayor, y la infalibilidad de los métodos sea mayor de lo que realmente es.

Por qué no me gusta ser víctima

A riesgo de meterme en otro tete, tengo que decir que me molesta este movimiento de las victimas de la delincuencia. Hoy en la mañana escuché en las noticias que Gonzalo Fuenzalida, estaba en el Parque Arauco cuando se produjo el asalto a la joyería Barros, y que ante el miedo decidió dejar de comprar y volver a su casa. Resulta que yo también estaba entrando al Parque Arauco a esa hora, y justo frente a la mencionada joyería.

Proteccion contra la ultima vulnerabilidad de Windows

Hay gente que dice que la mejor protección contra las múltilples vulnerabilidades en windows, es no usar windows. Eso es como este viejo chiste: Paciente: Doctor, me duele cuando levanto los brazos. Doctor: entonces no levante los brazos. Como mucha gente usa Windows (la mayoría en realidad) voy a darles una receta contra la última vulnerabilidad de windows. La vulnerabilidad de los archivos WMF Los archivos con extensión WMF son archivos gráficos, en Office se usan mucho en los famosos cliparts.

Linux/lupper

Bueno, el nuevo gusano para linux esta explotando las vulnerabilidades de XML-RPC que se conocen desde hace bastante tiempo. Afecta a sitios con Drupal, WordPress, Xoops y en general casi todo lo que tenga PHP y XML-RPC no actualizado. La mejor forma de comprobar si se está infectado es observar la existencia del fichero /tmp/lupii, así como de un puerto UDP 7222 a la escucha, donde el gusano abre una puerta trasera…

Nuevos papers sobre colisiones MD5

El paper “Collision-Resistant usage of MD5 and SHA-1 via Message Preprocessing," por Szydlo and Yin presentado en el NIST Hash Workshop, es importante por razones prácticas. De acuerdo a Niels Ferguson el gran problema es que MD5 aún se usa en muchas partes y toma mucho tiempo hacer el cambio de un algoritmo. Steve Bellovin apunta que toma un año lograr el cambio a través de la IETF y entre cinco a siete años que este sea adoptado.

Indolencia de Microsoft

Esa parece que es la manera en que Microsoft trata sus problemas de seguridad. Desde junio se conoce una vulnerabilidad descubierta por Secunia, que permite hacer spoofing y phishing usando java script. Este esquema resume la vulnerabilidad. El Usuario Visita un Sitio Malicioso El usuario sigue un enlace confiable Mientras tanto un sitio web malicioso abre una ventana popup delante del browser, haciendose pasar como una ventana del sitio confiable.

La seguridad de SpreadFirefox comprometida de nuevo

El sitio SpreadFirefox ha sido comprometido, por segunda vez, y estará inactivo hasta el 15 de octubre. El problema es que la base de datos de usuarios esta comprometida, de acuerdo al mensaje enviado a los usuarios registrados, el sitio almacena las claves en MD5, supongo que a estas alturas ustedes ya saben que eso es algo que no deben intentar en sus casas, sino lean este post!!. Traducción de parte del mensaje enviado por SpreadFirefox:

Biometría Cancelable

La buenas prácticas de la biometría deben asegurar que: 1.- La muestra sólo puede ser capturada una vez, esto se llama biometría cancelable. Un avance en el area fue desarrollado por la gente de IBM. 2.- La base de datos debe almacenar las características biométricas de una manera segura. Esto se logra usando criptografía y muchas técnicas conocidas para prevenir el tampering (alteración no autorizada). 3.- Asegurar que se está capturando una muestra biométrica viva.