Noticias de Insecure.cl

Si el mes pasado fue complicado en temas relacionados con la seguridad de los sistemas Windows, debido principalmente a la vulnerabilidad en el manejo de los archivos .lnk, no parece que hayan mejorado mucho las cosas tras hacerse público un fallo grave de seguridad en la carga dinámica de librerías en Windows. Esta nueva vulnerabilidad fue descubierta recientemente por el investigador HD Moore, cuando se encontraba investigando sobre la mencionada vulnerabilidad .lnk, y Microsoft ya ha publicado su correspondiente Aviso de seguridad, donde explica los detalles de esta nueva vulnerabilidad.

Esta vulnerabilidad se aprovecha de fallos en la carga de librerías dinámicas por parte de varias aplicaciones para Windows (ver listado no oficial). Inicialmente se pensó que estas aplicaciones podrían rondar las 40, pero análisis más recientes afirman que el número de aplicaciones afectadas es más elevado, aunque aún no se han proporcionado muchos detalles sobre cuales son las aplicaciones con este problema. Aprovechándose de este fallo, un atacante podría hacer que se ejecutase código malicioso en el sistema y poner en jaque la seguridad del mismo.

leer más

El próximo Miércoles 8 de Septiembre a las 19:00 horas, ISSA Chile dará el seminario: "Como Prevenir los Ataques Informáticos" con 2 destacados expositores nacionales e internacionales (Manuel Moreno y Ezequiel Sallis).

El Seminario sera en Isidora Goyenechea 3520, Piso 1 (Metro el Golf)

El Seminario va dirigido principalmente para Gerentes responsables de tecnología, Oficiales de Seguridad, Auditores, Consultores en Seguridad, Arquitectos de Infraestructura TI, Ingenieros de Sistemas y Redes.
Para asistir al evento se pueden registrar aquí directamente o enviando un correo a comunicaciones@issachile.org el evento es totalmente Gratuito, pero los cupos son limitados por lo que sugerimos nos puedan confirmar su asistencia con anticipación.

leer más

Este articulo va diriguido a quienes tienen Sintonisador ATSC (Norma Americana) para ver algunos Canales en HD de VTR y VOD (Video on Demand).

Pero debo comenzar diciendo que lamentablemente hay varios canales que fueron cerrados y codificados, pero aun hay algunos disponibles para ver, hace 1 año atras era otra cosa estaban todos los canales disponibles.

Partimos... debes tener la conexion coaxial normal conectada directo a tu televisor (Sin D-box) u debes ir a tu televisor y en el menu seleccionar "auto-programacion" o "agregar canales digitales", luego que termine el proceso (unos 15 minutos o mas) vas a poder mirar los siguientes canales adicionales en los siguientes canales especiales.

Aqui va la lista estimados:

leer más

Si señores...aunque Steve Jobs no quiera... ahora es posible visualizar en el navegador del iPhone sitios en Flash!! :D si bien es recomendado para Iphone 4 por su nuevo CPU A4, es igual de viable para equipos 3GS (solo lo he probado en 3GS y anda 100 puntos)

Los resultados son los siguientes:

Cuando aparece un contenido Flash, este lo destaca.. hacemos clic sobre la imagen y vemos el resultado:

leer más

Hace poco en EEUU se volvio completamente legal hacer el proceso de "Jailbroken" habilitando la posibilidad de instalar software de terceros no aprobados por Apple :)

Si bien hace poco no habia un buen proceso de Jailbroken para IOS4, esto quedo en el pasado gracias a JailbreakME. JailbreakME hacer este proceso, al igual que otros procesos de Jailbroken, usa vulnerabilidades del iPhone para poder acceder a secciones de sistema del telefono y realizar modificaciones. En este caso se hace uso de 2 vulnerabilidades, la primera es la de ejecuccion de codigo visualizando un archivo PDF y segundo es la vulnerabilidad de realizar una elevacion de privilegios para acceder con permisos de root.

El proceso es bastante simple, para esto deben hacer lo siguiente:

leer más

Durante la novena edición del Congreso Interamericano SEGURINFO® Chile 2010, los asistentes tendrán la oportunidad de participar en debates y temas como Gestión de la continuidad del negocio, Seguridad en la nube, Virtualización de servidores, Fraudes y evidencia digital y Documentación electrónica, entre otros.

Esta actividad se efectuará gracias a un acuerdo entre la academia, la sociedad civil y la ONG USUARIA, que congrega a los CIOS más importantes de la región.

La iniciativa de unir a representantes de distintas áreas nació con el espíritu de dar una visión global y difundir la importancia de la seguridad de la información para todas las organizaciones. La toma de decisión en esta área recae en la alta dirección, por lo tanto, es un pilar estratégico dentro del gobierno empresarial.

La convocatoria de SEGURINFO® Chile 2010 está orientada a directivos del sector público, gerentes de empresas (CEOs), ejecutivos con decisión en temas afines (CFOs, CIOs, CISOs) académicos, políticos y miembros de cámaras empresariales del sector TICs.

leer más

Al contrario que Mozilla y Google, Microsoft no se plantea recompensar a los investigadores de seguridad por informarle de vulnerabilidades. Además, la compañía propone eliminar el término “responsable” del nombre establecido para este tipo de aportaciones de la comunidad técnica.

“No creemos que las recompensas por encontrar errores sean el mejor modo de compensar a los investigadores”, opina Mike Reavey, director del Centro de Respuesta de Seguridad de Microsoft (MSRC), acerca de los recientes anuncios de Google y Mozilla de aumentar la cantidad de dinero que pagan a los investigadores externos que les informan de fallos en sus aplicaciones. “No todos los investigadores están motivados por cuestiones financieras”, apostilla diciendo que Microsoft les compensa de otro modo, como las conferencias que patrocina o las oportunidades de empleo que les brinda como proveedores o empleados de su equipo de seguridad.

leer más

Todos los días, trabajadores y las trabajadoras del sector electrónico en todo el mundo se enfrentan a largas jornadas y peligrosas condiciones laborales para producir los equipos y aparatos que han mejorado nuestras vidas de modos tan distintos. Los trabajadores del sector están continuamente expuestos a peligrosos productos químicos y no ganan lo suficiente como para vivir una vida digna. Además, frecuentemente son víctimas de engaños y abusos respecto a sus sueldos y a las prestaciones sociales.

leer más

Estimados, aqui quiero destacar un interesante articulo de un colega (Enrique Rando) que me parece justo de destacar. por lo que aqui va:

Estaba el otro día oyendo hablar sobre cómo los gobiernos pueden interceptar y descifrar el tráfico SSL y, en particular, el Http-S. Resumiendo, todo se trata de que llega el gobierno de turno a una Autoridad Emisora Raíz de Confianza y le dice "o me das un Certificado de Entidad Intermedia Emisora de Certificados o se te va a caer el pelo". Y, claro, cuando tu gobierno te pide las cosas con educación, hay que ser muy poco patriota para negarse.

Al final, ese gobierno podría emitir certificados a nombre de cualquier sitio web que se le ocurra. Y los navegadores aceptarían dichos certificados como válidos. El resto del ataque sería un MITM de los de toda la vida.

leer más

Como es costumbre y como lo habiamos anunciado, mañana martes Microsoft liberara sus parches para las vulnerabilidades de Windows XP-2003  (http://www.insecure.cl/0-day-en-XP) y Office.

En su actualización mensual de seguridad, Microsoft incluirá mañana cuatro boletines de seguridad para cubrir vulnerabilidades críticas tanto en Windows como en Office. El total de brechas cubiertas mediante esta actualización son cinco, entre ellas el agujero crítico de Windows Help Center hecho público el mes pasado por un investigador de Google.

De los dos boletines para Windows que Microsoft emitirá mañana, uno ha sido clasificado por el fabricante como crítico en Windows XP. El otro afecta a la versión de 64 bits de Windows 7.

En cuanto a Office, un boletín está relacionado con la base de datos Access y, según Microsoft, resulta crítico para las versiones 2003 y 2007 del producto, mientras que el otro afecta a Outlook. Este último ha sido valorado como importante para Outlook 2002, 2003 y 2007.
 

Informacion en: http://www.pcactual.com/Actualidad/Noticias/Microsoft-parcheara-manana-fallos-criticos-en-Windows-y-Office-63538 

leer más

Es increible lo rapido que pasa el tiempo, Hoy se cumplen 3 años desde los inicios de INsecure (10 de Julio de 2007) donde se registro el dominio y que comenzaron los primeros trabajos de colaboración.

Aprovecho de agradecer a Andres Sarmiento quien ha apoyado este proyecto desde sus inicios y a Rodrigo Santamaria quien se esta comenzando a unir al equipo!

Quedo a la espera de sus comentarios!  Un Abrazo para todos!  :)

leer más

Siguiendo la buena recepcion de nuestras ultimas charlas, gracias a las gestiones de Microsoft (Gracias Ale ) ahora nos han invitado de Inacap Perez Rosales, a 2 cuadras de la plaza ñuñoa (Ver MAPA)

El evento se llevara a cabo el dia Miercoles 14 de Julio de 2010 a las 18:30-20:00 en Brown Norte #290, Ñuñoa, Santiago de Chile.

En nuestra Charla "Ataques en la Web y como Protegernos" como en otras oportunidades vamos a hacer unos demos de Client-Side Attack, DoS y otras sorpresas. Vamos a conversar sobre los peligros de internet y como poder proteger nuestros equipos. Vamos a hablar también de las nuevas funciones de seguridad de Internet Explorer 8.

Es una excelente oportunidad para los amigos que no han podido asistir a nuestras charlas de Talca y las dictadas en Duoc.

El evento es como siempre GRATUITO y están todos cordialmente invitados.

leer más

Con cerca de 80 personas que llenaron la sala principal de Inacap Talca; el Miercoles 30 de Junio Manuel Moreno de Insecure dicto la charla "Ataques en la Web y como Protegernos".

En la charla se mostraron las formas como los estafadores engañan a las personas para infectar sus equipos, se mostro como las empresas y personas se pueden proteger de estos peligros,Se mostraron las nuevas caracteristicas de seguridad de Internet Explorer 8 y se realizaron  demos en vivo.

Al finalizar se realizaron sorteos a preguntas de la charla donde se regalaron, gorros de Internet Explorer 8, Camisa de Windows 7 y Colgadores de Windows 7. Todos se fueron con algun regalo, pues se repartieron lapices y chapitas para los notebook de Internet Explorer 8. (Cortesia de Microsoft) :)

  

Esperamos continuar con las charlas ahora en las otras sedes de Inacap a nivel nacional... asi que esten atentos a la publicacion de los proximos eventos.  Para los alumnos que me solicitaron por Facebook o Twitter la presentacion, esta se encuentra adjunta a esta noticia y la pueden descargar directamente con su cuenta de insecure.

leer más

Nuestro amigo y colega Sebastian Bortnik nos ha informado de esta oferta laboral para los simpatizantes de Insecure... NOD32 esta en busqueda de gente joven (entre 20 y 30 años), que pueden ser juniors o semi-seniors, estudiantes de carreras relacionadas a la informática con algunos conocimientos en seguridad informática pero mucho interés por ella y por la investigación/educación en la materia.

Aqui van algunos detalles de la oferta publicada:

Las tareas del puesto a cubrir incluyen: • Investigar tendencias en tipos de ataques, tecnologías, mercados y productos relativos a la seguridad antivirus. • Desarrollar material educativo y herramientas para los canales de ventas y usuarios finales. • Investigar nuevas tecnologías de protección. • Realizar capacitaciones a usuarios corporativos y finales.   mas información a continuacion...

leer más

Insecure comienza un nuevo ciclo de charlas, partiendo por Inacap Talca en el cual se dara la charla "Ataques en la Web y como protegernos" ademas de comentar las nuevas caracteristicas de seguridad de Internet Explorer 8. La charla sera realizada el dia Miercoles 30 de Junio de 2010 a las 16:00 horas en Universidad Tecnologia de Chile INACAP, Avenida San Miguel #2641, Talca, Sala N°6.

Estan todos coordialmente invitamos, vamos a mostrar en la charla algunos de los ultimos ataques que se estan utilizando en internet y como evitar caer en ellos, vamos a conversar sobre las herramientas que poseen los administradores de sistemas para proteger sus sistemas y tambien como lo pueden hacer los usuarios domesticos para validar si su software actual es vulnerable y como poder actualizarlo.

Vamos a hacer varios demos de Internet Explorer 8, su navegacion In-private, Aceleradores y varias opciones nuevas de este navegador.

La entrada es liberada, asi que nuestros amigos de Talca, estan coordialmente invitados a la charla.

leer más

Estimados, encontre un video interesante de una herramienta utilizada para Google Hacking, la herramienta escrita por Jhonny Long permite realizar busquedas contra el appliance de google o sobre google directamente. La herramienta es configurable para correr sus propios script usando queries para obtener informacion o fugas de informacion de un sitio web en especifico. esto es usado en la primera fase de un pentesting (enumeracion pasiva).

 

leer más

El presente artículo ha sido desarrollado por Sebastián Bortnik, creador del Blog Un Mundo Binario y uno de los moderadores de la comunidad de Segu-Info.

En los últimos días los medios tecnológicos y especialmente aquellos dedicados a la seguridad de la información han puesto en primera plana, una vez más, una antigua discusión: ¿cuál es el sistema operativo más seguro? Entre tantas opiniones diversas aparecen viejas antinomias, profundos fanatismos y fundamentalmente mucho ruido que al fin y al cabo no tiene como objetivo final más seguridad. Entre tantas lecturas se me ocurrió una pregunta que parece menos interesante, pero que quizás sea de utilidad: ¿cuál es el sentido de esta discusión?

El contexto

La última semana se filtró la noticia de que Google dejaría de utilizar Windows por "cuestiones de seguridad" [1]. Aparentemente como consecuencia del incidente sufrido por la empresa del buscador a principio de año, Operación Aurora, la compañía comenzaría a utilizar en sus computadoras (salvo expresa autorización del CIO) sólo sistemas operativos Linux y MAC OS (según trascendió, a elección del empleado). Esta noticia fue causante de miles de debates y opiniones sobre este tema, especialmente de la comunidad de especialistas en seguridad, técnicos, frikis y otras yerbas. Vale aclarar que Google no emitió un comunicado oficial confirmando estos trascendidos sobre la mencionada decisión, y quienes lo filtraron no se fueron identificados públicamente con su nombre. En prácticamente todos los casos, la supuesta decisión de Google fue reducida a dos opciones: es correcta porque Microsoft Windows es inseguro y es mejor utilizar otros sistemas operativos o; es equivocada Windows es seguro. No mucho más, no mucho menos. Para adentrarnos en la discusión, dejo algunas noticias que justamente dispararon la idea de escribir estas líneas.

leer más

Hoy 21 de Junio se ha liberado la version final de IOS 4.0, el cual es compatible con los antiguos 3G con algunas limitantes y compatible completamente en 3GS. Tras largas semanas de espera, la nueva versión del sistema para iPhone/iPod Touch está disponible vía iTunes para actualizar. La verdad es que desde que Apple ha cogido la costumbre de anunciar a bombo y platillo muchas novedades que serán lanzadas meses después, nos tiene en vilo esperando que llegue el día marcado …

Estamos ante una actualización que te da la impresión de tener un nuevo iPhone, dada la cantidad de mejoras y novedades que ofrece. Empezando por a multitarea, las mejoras en Mail, Safari, iBooks … Un montón de novedades que harán las delicias de los usuarios y aficionados … Poco a poco aparecerán nuevas Apps que aprovecharán todas las ventajas de este nuevo sistema que es gratuito para todos los usuarios.

leer más

Como muchos sabrán, existen varios sitios donde se ofrecen servicios asociados a la verificación de Sitios Webs con contenido malicioso.

En esta oportunidad quiero presentar un servicio FREE URLVoid, desarrollado por la compañía "NoVirusThanks", el cual fue puesto a disposición de los usurios el 21 de Mayo en versión BETA. URLVoid, permite al usuario escanear Sitios Webs con múltiples motores de búsquedas, tales como Google Diagnostic, McAfee Site Advisor, Norton SafeWeb, MyWOT, de manera de facilitar la detección de posibles sitios Sospechosos en un solo lugar.

 

 

Al igual que el servicio Virus Total;

leer más

En la edicion de Abril de [IN]Secure Magazine podremos encontrar:

• PCI: Security's lowest common denominator
• Analyzing Flash-based RIA components and discovering vulnerabilities
• Logs: Can we finally tame the beast?
• Launch arbitrary code from Excel in a restricted environment
• Placing the burden on the bot
• Data breach risks and privacy compliance
• Authenticating Linux users against Microsoft Active Directory
• Hacking under the radar
• iPhone backup, encryption and forensics
• AND MORE!

leer más