| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
domingo, 19 de febrero de 2012
Configuración de equipo
martes, 7 de febrero de 2012
Facebook explicará qué información guarda sobre sus usuarios
Y ya esta bien...
Ni siquiera la salida a bolsa de Facebook logra calmar las aguas sobre un tema que siempre inquieta a los usuarios: la privacidad . Justo en épocas donde se comprobó que la red social continúa almacenando las fotos pese a haberlas eliminado de nuestros perfiles, ahora nos enteramos que la compañía se comprometió a explicar de manera detallada qué tipo de información almacena sobre cada uno de sus usuarios.
Esto surgió de una reunión de seis horas que mantuvieron en Viena representantes del sitio con el grupo Europe versus Facebook , el cual es liderado por el estudiante de abogacía Max Schrems y se convirtió en uno de los más críticos respecto de las normas de privacidad del servicio. Hasta el momento, lleva realizadas 22 denuncias por guardar información sin la debida autorización de sus miembros e, incluso, luego de solicitar su remoción.
Algunos de los casos más resonantes están relacionados con la identificación de usuarios desconectados o incluso guardar datos sobre personas que no están registradas en el servicio. Tras las constantes críticas, Facebook se ofreció a someterse a controles de privacidad , así como renovar sus políticas para simplificarlas y aumentar la transparencia, algo que empezó a notarse tras el avance de Google+.
Si bien Schrems se lamenta porque fue un encuentro a puertas cerradas y hubiera sido más productivo con funcionarios europeos, destaca que este compromiso permitirá saber, a ciencia cierta, qué clase de contenidos se guardan en los servidores de la empresa cada vez que alguien hace un clic, lo cual representa un cambio de paradigma sobre las actitudes de Mark Zuckerberg y compañía al respecto. Seguramente, será un informe más que interesante para todo el que se preocupa cada vez que comparte material con sus amigos.
Fuente: http://hipertextual.feedsportal.com/c/33160/f/538987/s/1c799b9d/l/0Lbitelia0N0C20A120C0A20Cfacebook0Eexplicara0Einformacion0Eguarda0Eusuarios/story01.htm
Ni siquiera la salida a bolsa de Facebook logra calmar las aguas sobre un tema que siempre inquieta a los usuarios: la privacidad . Justo en épocas donde se comprobó que la red social continúa almacenando las fotos pese a haberlas eliminado de nuestros perfiles, ahora nos enteramos que la compañía se comprometió a explicar de manera detallada qué tipo de información almacena sobre cada uno de sus usuarios.
Esto surgió de una reunión de seis horas que mantuvieron en Viena representantes del sitio con el grupo Europe versus Facebook , el cual es liderado por el estudiante de abogacía Max Schrems y se convirtió en uno de los más críticos respecto de las normas de privacidad del servicio. Hasta el momento, lleva realizadas 22 denuncias por guardar información sin la debida autorización de sus miembros e, incluso, luego de solicitar su remoción.
Algunos de los casos más resonantes están relacionados con la identificación de usuarios desconectados o incluso guardar datos sobre personas que no están registradas en el servicio. Tras las constantes críticas, Facebook se ofreció a someterse a controles de privacidad , así como renovar sus políticas para simplificarlas y aumentar la transparencia, algo que empezó a notarse tras el avance de Google+.
Si bien Schrems se lamenta porque fue un encuentro a puertas cerradas y hubiera sido más productivo con funcionarios europeos, destaca que este compromiso permitirá saber, a ciencia cierta, qué clase de contenidos se guardan en los servidores de la empresa cada vez que alguien hace un clic, lo cual representa un cambio de paradigma sobre las actitudes de Mark Zuckerberg y compañía al respecto. Seguramente, será un informe más que interesante para todo el que se preocupa cada vez que comparte material con sus amigos.
Fuente: http://hipertextual.feedsportal.com/c/33160/f/538987/s/1c799b9d/l/0Lbitelia0N0C20A120C0A20Cfacebook0Eexplicara0Einformacion0Eguarda0Eusuarios/story01.htm
lunes, 6 de febrero de 2012
Fallo de seguridad en SUDO - Elevación de provilegios
El 24 de enero se publicó un fallo de seguridad aue afecta en local en el comando SUDO, descubierto por joernchen del Phenoelit Groupoernchen.
Dicho fallo se encuentra en la cadena sudo_debug de sudo.c el cual afects a multitud de sistemas linux, BSD y mac con las versiones 1.8.X.
Enlazando la aplicacion sudo con (ln) a un enlace modificado con ciertos caracteres hace que puedas ejecutar a traves de este enlace comandos con privilegios de root, este fallo viene de nombre del programa que se le pasa por parametro al comando sudo.
No obstante el dia 30 fue parcheado, en la version 1.8.3.p2, pero de cara al futuro y en vista al sistema de smartphone android podria conllevar tambien este fallo de seguridad.
Vulnerabilidad:
http://seclists.org/fulldisclosure/2012/Jan/att-590/advisory_sudo.txt
Fuente:
Laboratorio Hispasec
laboratorio@hispasec.com
Dicho fallo se encuentra en la cadena sudo_debug de sudo.c el cual afects a multitud de sistemas linux, BSD y mac con las versiones 1.8.X.
Enlazando la aplicacion sudo con (ln) a un enlace modificado con ciertos caracteres hace que puedas ejecutar a traves de este enlace comandos con privilegios de root, este fallo viene de nombre del programa que se le pasa por parametro al comando sudo.
No obstante el dia 30 fue parcheado, en la version 1.8.3.p2, pero de cara al futuro y en vista al sistema de smartphone android podria conllevar tambien este fallo de seguridad.
Vulnerabilidad:
http://seclists.org/fulldisclosure/2012/Jan/att-590/advisory_sudo.txt
Fuente:
Laboratorio Hispasec
laboratorio@hispasec.com
sábado, 4 de febrero de 2012
Pack 10 + 1. Oferta en la Biblioteca de Libros de Informática 64.
Tras el tiempo siguiendo a informatica64,uno de los mejores grupos que considero serios en lo que hacen, y sobre todo profesionales cómo no hacer una mención comercial a la oferta que hoy nos proponen para la adquisición de todo el pack editado de sus libros....
Todavía estás a tiempo de conseguir el libro Una al Día, de Sergio de los Santos, a través de un Pack de libros con descuento que hemos generado para pasar esta cuesta de enero.
Puedes beneficiarte de esta promoción llevándote la Biblioteca completa de Informática 64, que consta de 11 libros, solo por el precio de 190 €, gastos de envío incluidos en España (para envíos fuera de España, consultar con Informática 64).
Por el momento no se van a editar nuevas ediciones de este libro, por lo que si estás interesado, solo tienes que realizar la reserva a través de la Web: Pedido Libros Informática 64. No te olvides indicar en el pedido que se trata de una Oferta de la Biblioteca de Informática 64, marcando el código: Pack 10 + 1.
Date prisa y sé el primero en realizar tu reserva, ya que solo es válida para los 11 primeros pedidos.
Este es el listado de libros que puedes adquirir. Atención!! se incluye la nueva publicación que acabamos de sacar a la venta Aplicación del Esquema Nacional de Seguridad con Tecnología Microsoft:
Aplicación de medidas para la implantación de la L.O.P.D. en las empresas . Autor: Juan Luis G. Rambla.
Análisis Forense Digital en Entornos Windows . Autor: Juan Garrido Caballero.
Microsoft Forefront-Threat-Management Gateway TMG 2010 . Autor: Juan Luis García Rambla.
Microsoft SharePoint 2010: Seguridad. Autor: Rubén Alonso Cebrián.
DNI-e Tecnología y Usos . Autor: Rames Sarwat.
Una al día 1998-2010 . Autor: Sergio de los Santos.
Hacking con buscadores: Google, Bing & Shodan . Autor: Enrique Rando.
Fraude online. Abierto 24 horas. Autores: Mikel Gastesi y Daniel Creus.
Máxima Seguridad en Windows. Autores: Sergio de los Santos.
Hacking y seguridad en comunicaciones móviles GSM/GPRS/UMTS/LTE. Autores: José Picó García y David Pérez Conde.
Esquema Nacional de Seguridad con Microsoft . Autores: Juan Luis García Rambla, Julián Blázquez García y Chema Alonso.
Para solicitar información o realizar cualquier consulta, puedes ponerte en contacto con nosotros a través del número de teléfono 91 665 99 98, o bien a través de i64@informatica64.com
Fuente:
www.windowstecnico.com
Todavía estás a tiempo de conseguir el libro Una al Día, de Sergio de los Santos, a través de un Pack de libros con descuento que hemos generado para pasar esta cuesta de enero.
Puedes beneficiarte de esta promoción llevándote la Biblioteca completa de Informática 64, que consta de 11 libros, solo por el precio de 190 €, gastos de envío incluidos en España (para envíos fuera de España, consultar con Informática 64).
Por el momento no se van a editar nuevas ediciones de este libro, por lo que si estás interesado, solo tienes que realizar la reserva a través de la Web: Pedido Libros Informática 64. No te olvides indicar en el pedido que se trata de una Oferta de la Biblioteca de Informática 64, marcando el código: Pack 10 + 1.
Date prisa y sé el primero en realizar tu reserva, ya que solo es válida para los 11 primeros pedidos.
Este es el listado de libros que puedes adquirir. Atención!! se incluye la nueva publicación que acabamos de sacar a la venta Aplicación del Esquema Nacional de Seguridad con Tecnología Microsoft:
Aplicación de medidas para la implantación de la L.O.P.D. en las empresas . Autor: Juan Luis G. Rambla.
Análisis Forense Digital en Entornos Windows . Autor: Juan Garrido Caballero.
Microsoft Forefront-Threat-Management Gateway TMG 2010 . Autor: Juan Luis García Rambla.
Microsoft SharePoint 2010: Seguridad. Autor: Rubén Alonso Cebrián.
DNI-e Tecnología y Usos . Autor: Rames Sarwat.
Una al día 1998-2010 . Autor: Sergio de los Santos.
Hacking con buscadores: Google, Bing & Shodan . Autor: Enrique Rando.
Fraude online. Abierto 24 horas. Autores: Mikel Gastesi y Daniel Creus.
Máxima Seguridad en Windows. Autores: Sergio de los Santos.
Hacking y seguridad en comunicaciones móviles GSM/GPRS/UMTS/LTE. Autores: José Picó García y David Pérez Conde.
Esquema Nacional de Seguridad con Microsoft . Autores: Juan Luis García Rambla, Julián Blázquez García y Chema Alonso.
Para solicitar información o realizar cualquier consulta, puedes ponerte en contacto con nosotros a través del número de teléfono 91 665 99 98, o bien a través de i64@informatica64.com
Fuente:
www.windowstecnico.com
Algunos telefonos android permiten enviar la clave wi-fi en texto visible a un servidor remoto
Según afirma el programador Chris Hessing (que participa en el Open1X Group), y el investigador Bret Jordan, existiría una vulnerabilidad crítica (CVE-2011-4872) en los terminales móviles de HTC con Android. El fallo facilitaría la revelación de información sensible tal como datos de configuración y credenciales de las redes WIFIs (802.1X) guardadas en el móvil.
El HTC Desire HD es uno de los
terminales afectados por este
problema
La vulnerabilidad afectaría a nueve terminales de la marca taiwanesa HTC:
· Desire HD - Versiones FRG83D, GRI40
· Desire S - Versión GRI40
· Sensation Z710e - Versión GRI40
· Glacier - Versión FRG83
· EVO 3D - Versión GRI40
· Droid Incredible - Versión FRF91
· Thunderbolt 4G - Versión FRG83D
· Sensation 4G - Versión GRI40
· EVO 4G - Versión GRI40
El error se debe a los permisos asociados a "android.permission.ACCESS_WIFI_STATE" en las versiones afectadas y al uso del miembro .toString() de la clase WifiConfiguration. Esto daría acceso a todas las configuraciones almacenadas y las contraseñas en texto claro (otra característica de la vulnerabilidad presente), a través de aplicaciones especialmente manipuladas para transmitir estos datos de manera remota. Se necesitarían los permisos "android.permission.INTERNET". Este es bastante habitual a la hora de instalar ciertas aplicaciones en Android que necesitan acceso a Internet.
Por ejemplo, un atacante podría obtener la siguiente información en un servidor remoto, si la víctima ejecutara una aplicación especialmente diseñada para aprovechar este fallo:
ID: 0 SSID: "wpa2eap" BSSID: null PRIO: 21
KeyMgmt: WPA_EAP IEEE8021X Protocols: WPA RSN
AuthAlgorithms:
PairwiseCiphers: CCMP
GroupCiphers: WEP40 WEP104 TKIP CCMP
PSK:
eap: TTLS
phase2: auth=PAP
identity: test
anonymous_identity:
password: test
client_cert:
private_key:
ca_cert: keystore://CACERT_wpa2eap
Google y HTC (que fueron notificados de manera privada en septiembre de 2011) están trabajando coordinadamente para solucionar la vulnerabilidad y actualmente no se conocen aplicaciones en el Market que la aprovechen, siempre según fuentes oficiales.
Las posibles actualizaciones estarán disponibles a través de los canales oficiales de cada operador o mediante HTC: http://www.htc.com/europe/help/
Fuente:
José Mesa Orihuela
jmesa@hispasec.com
El HTC Desire HD es uno de los
terminales afectados por este
problema
La vulnerabilidad afectaría a nueve terminales de la marca taiwanesa HTC:
· Desire HD - Versiones FRG83D, GRI40
· Desire S - Versión GRI40
· Sensation Z710e - Versión GRI40
· Glacier - Versión FRG83
· EVO 3D - Versión GRI40
· Droid Incredible - Versión FRF91
· Thunderbolt 4G - Versión FRG83D
· Sensation 4G - Versión GRI40
· EVO 4G - Versión GRI40
El error se debe a los permisos asociados a "android.permission.ACCESS_WIFI_STATE" en las versiones afectadas y al uso del miembro .toString() de la clase WifiConfiguration. Esto daría acceso a todas las configuraciones almacenadas y las contraseñas en texto claro (otra característica de la vulnerabilidad presente), a través de aplicaciones especialmente manipuladas para transmitir estos datos de manera remota. Se necesitarían los permisos "android.permission.INTERNET". Este es bastante habitual a la hora de instalar ciertas aplicaciones en Android que necesitan acceso a Internet.
Por ejemplo, un atacante podría obtener la siguiente información en un servidor remoto, si la víctima ejecutara una aplicación especialmente diseñada para aprovechar este fallo:
ID: 0 SSID: "wpa2eap" BSSID: null PRIO: 21
KeyMgmt: WPA_EAP IEEE8021X Protocols: WPA RSN
AuthAlgorithms:
PairwiseCiphers: CCMP
GroupCiphers: WEP40 WEP104 TKIP CCMP
PSK:
eap: TTLS
phase2: auth=PAP
identity: test
anonymous_identity:
password: test
client_cert:
private_key:
ca_cert: keystore://CACERT_wpa2eap
Google y HTC (que fueron notificados de manera privada en septiembre de 2011) están trabajando coordinadamente para solucionar la vulnerabilidad y actualmente no se conocen aplicaciones en el Market que la aprovechen, siempre según fuentes oficiales.
Las posibles actualizaciones estarán disponibles a través de los canales oficiales de cada operador o mediante HTC: http://www.htc.com/europe/help/
Fuente:
José Mesa Orihuela
jmesa@hispasec.com
Suscribirse a:
Entradas (Atom)