gEEK tHE pLANET

Personalmente nunca pensé leer y comentar una noticia de este estilo.

“Julián” era la pieza clave de una banda criminal de Medellín que hurtó de manera virtual arcas de entidades del Valle.

Le hurtó al Estado en ocho meses la gruesa suma de $4.500 millones. Nunca ha pasado por una universidad, pero su habilidad para la informática lo convirtió en el “hacker” con mayor prontuario delictivo del país.

Édison Alexánder Bustamante, bachiller de 23 años, es señalado por las autoridades como la pieza clave de una organización criminal, con sede en Medellín, que estaba dedicada al fraude a entidades del Gobierno y a la clonación de tarjetas bancarias.

Leer Más: Un “hacker” que asaltaba al Estado

“Las intenciones de la Unión Europea de contrarrestar la piratería en Internet podría tener efectos colaterales inesperados.”

España posee actualmente un índice de piratería informática del 47%, según fuentes de la BSA (Business Software Alliance). Es el segundo país con el índice más alto de Europa Occidental, sólo superado por Grecia y a más de 12 puntos de la media europea.

El estudio global sobre el impacto de la piratería del software en la economía, “Expanding Global Economies: The benefits of Reducting Software Piracy”, de IDC, evalúa el peso de la industria tecnológica en 57 países de todo el mundo, así como los beneficios económicos que se experimentarían en esas naciones si se reforzaran sus leyes de defensa de la propiedad intelectual. Los países analizados en dicho estudio representan el 98 por ciento del mercado mundial de Tecnologías de la Información.

Según una información hecha pública por BSA e IDC, si el índice de piratería de software se redujera en diez puntos porcentuales hasta el año 2006, las economías de los países de Europa Occidental y Oriental podrían alcanzar un valor adicional de 100.000 millones de dólares, podrían crearse 250.000 puestos de trabajo y las distintas administraciones recaudarían 23.300 millones de dólares adicionales en concepto de impuestos.

Las cosas se empiezan a poner color de hormiga, debido a un nuevo proyecto de ley comunitaria antipiratería el desarrollo del mundo digítal, podria verse seriamente afectado; la ley denominada Three-Strike dificultaria la vida a los mal llamados piratas, ya que debido a esta ley los ISP se verian obligados a bloquear el acceso a internet a personas que compartan material ilegal mediante P2P, la Three Strike Law, es nada más y nada menos que Advertencia, Suspensión y Exclusión, es una estrategia bastante agresiva, pero se piensa que podria reducir en un 70% el intercambio de material.

Lo anterior por el lado de los piratas, ahora el tema que a mi modo de ver es en realidad preocupante, la ley asigna a cada país la responsabilidad de decidir qué programas pueden funcionar en Internet.

“Skype, e incluso Firefox podrían ser declarados ilegales en Europa a menos que sean aprobados por un organismo administrativo”, explica Benjamín Henrion, de la organización FFII (Fundación para una Estructura Libre de la Información).

Esperemos que los elementos de estas leyes sean bien estudiados y analizados, porque personalmente aun no entiendo porque Mozilla Firefox y Skype serian considerados ilegales.

Leer Más: Skype y Firefox podrían ser declarados productos ilegales
La lucha contra la piratería como motor de crecimiento económico

Pues esto no es nada nuevo, hace ya un par de dias habia escrito un pequeño “artículo” donde mostraba como facebook y myspace podrían acabar con tu pc, es un poco exagerado hacer esta afirmación, pero lo que si es cierto es que estos sitios representarn un alto peligro para nuestra seguridad, en este caso hablare solamente de facebook, como todos sabemos facebook permite a los usuarios crean sus propias aplicaciones y montarlas en su web, estas aplicaciones pueden ser potencialmente muy peligrosas, ya sea porque contienen código malicioso o porque son vulnerables y terceros podrían aprovecharse de esto.

Gracias a un enlace de cronopio, me doy cuenta que alrededor de 70millones de personas corren peligro gracias a vulnerabilidades del tipo XSS provenientes de facebook, pongo el enlace ya que he probado y efectivamente la vulnerabilidad ha sido corregida, asi que no hay problema. Lo peligroso con esto que dia a dia la cantidad de aplicaciones en facebook aumenta, es casi que imposible para los webmaster del site revisar código por código verificando que esten limpios o que no se vulnerables.

La imagen que les voy a mostrar a continuación es de una vulnerabilidad encontrada el 21 de mayo de 2008, fue publicada el 22 y el 24 ya habia sido corregida. Asi como se inyectó un iframe, también seria posible inyectar otro tipo de código, malware por decir algo.

La única recomendación que les puedo hacer es no instalar tantas apps de facebook y más aún tan desconocidas o mejor aún, no usen facebook.

http://www.facebook.com/jobs/position.php?st=%22%3E%3Ciframe%20src=http://google.com%3E%3C/iframe%3E
%3Cscript%3Ealert(document.cookie);%3C/script%3E

Leer Más: Facebook vulnerable to XSS. Over 70 million users are at risk.

OpenSSL es un proyecto de software desarrollado por los miembros de la comunidad Open Source para libre descarga y está basado en SSLeay desarrollado por Eric Young y Tim Hudson. Consiste en un robusto paquete de herramientas de administración y librerías relacionadas con la criptografía, que suministran funciones criptográficas a otros paquetes como OpenSSH y navegadores web (para acceso seguro a sitios HTTPS). Estas herramientas ayudan al sistema a implementar el Secure Sockets Layer (SSL), así como otros protocolos relacionados con la seguridad , como el Transport Layer Security (TLS). Este paquete de software es importante para cualquiera que esté planeando usar cierto nivel de seguridad en su máquina con un sistema operativo Libre basado en GNU/Linux. OpenSSL también nos permite crear certificados digitales que podremos aplicar a nuestro servidor, por ejemplo Apache.

Según diversos foros dedicados a Linux, un experto identificado como Luciano Bello habría descubierto que el generador de cifras del paquete OpenSSL para la distribución Debian es previsible. Esto implica que las claves criptográficas creadas con este paquete, muy probablemente pueden ser adivinadas.

La vulnerabilidad de todas las conexiones SSH de servidores basados en Debian consiste en que no están cifradas. En la práctica, todos los certificados SSL generados en estos sistemas no están cifrados. En la práctica, los sitios web seguros ejecutados desde tales sistemas no están cifrados. Esto se aplica desde tiendas en línea donde los usuarios proporcionan los datos de sus tarjetas de crédito hasta bancos en línea.

Leer Más: OpenSSL
Detectan vulnerabilidad crítica en distribuciones de Linux

Para nadie es extraño que wordpress se ha convertido en el gestor de blogs mas apatecido del “mercado”, como siempre sucede los ataques van dirigidos hacia lo que más se usa, afortunadamente este gestor cuenta con una buena cantidad de desarrolladores que colaboran continuamente y permiten hacer de esta herramienta algo más sólido, sin embargo no podemos fiarnos completamente de esto y dejar la seguridad de nuestro blog de las manos del equipo de desarrollo, en todo momento debemos estar preparados para potenciales ataques, para los que no somos expertos en esto de la programación debemos apoyarnos de una serie de plugins como los que mostraré a continuación:

1. Akismet
   URL: http://akismet.com/
   Descripción: Este plugin funciona por medio de una sistema centralizado que revisa cada comentario, trackback y pingback que llega a tu blog, lo pasa por una serie de filtros y pruebas los cuales determinan si es spam o no, para activarlo en nuestro blog debemos tener una API Key.
2. Wordpress Database Backup
   URL: http://www.ilfilosofo.com/blog/wp-db-backup/
   Descripción: Este plugin funciona tal cual su nombre indica, permite hacer una copia de seguridad de toda tu instalación de WP, permite guardar la copia de seguridad (backup) en tu disco duro, servidor o dirección de correo especificada, sin pensarlo 2 veces este es uno de los primeros plugins que debemos instalar en nuestro blog.
3. Semisecure Login
   URL: http://jamesmallen.net/2007/09/16/semisecure-login/
   Descripción: Con este plugin incrementamos la seguridad en nuestro inicio de sesion, utiliza del lado del cliente encriptación MD5 para la contraseña, es necesario Javascript para permitir la encriptación, cuando no se dispone de Javascript la contraseña es transmitida en texto plano (como siempre), aún este último caso la autenticación es llevaba a cabo.

[Leer mas]