La mayoría de los sitios web tienen al menos algún problema de seguridad importante que podría ser aprovechar los hackers con fines fraudulentos, según un reciente sondeo de WhiteHat Security.

El 64% de los 1.300 sitios web operados por 250 empresas tienen al menos una vulnerabilidad seria de seguridad, de acuerdo con la investigación de WhiteHat Security, firma especializada en la búsqueda de brechas en aplicaciones web. La compañía extrae estos datos de su base de clientes, los cuales la permiten revisar regularmente sus sitios en busca de problemas.

El fallo más frecuente es el scripting de sitios cruzados (cross-site). Hasta un 66% de los sitios web analizados por la firma padecen este problema, que puede permitir introducir código o datos maliciosos desde otro sitio y ocasionar una brecha de datos. Otros problemas comunes incluyen incidentes de fugas de información, publicación de falsos contenidos, autorizaciones insuficientes e inyecciones SQL.

El peligro de las vulnerabilidades de aplicación de sitios Web generalmente está ocasionado por la excesiva lentitud de las empresas en parchearlas. Por eso, cada vez que WhiteHat encuentra un fallo de seguridad en un sitio informa al cliente, según asegura Jeremiah Grossman, CTO de la firma.

En el caso de los problemas de scripting de sitios cruzados, el parche que los resuelve suele consistir tan sólo en una línea de código. No obstante, generalmente, la demora en la aplicación de los parches se debe a errores o negligencias humanas.

Fuente: IDG

Marsh Ray y Steve Dispensa dicen haber descubierto una vulnerabilidad en el protocolo SSL y TLS que podría permitir inyectar texto en una conversación cifrada si el atacante tiene acceso al tráfico. El fallo se encontraría en el protocolo en sí, y por tanto afectaría a prácticamente todas las implementaciones de todos los sistemas. Sin embargo otras voces indican que quizás el fallo no sea tan grave.

(continue reading…)

En Francia un atacante logró modificar el fondo de pantalla de un gran número de iPhones, gracias a una vulnerabilidad en el protocolo SSH. El mensaje que apareció en los smartphones de las víctimas solicitaba ingresar a una web y pagar $4,95 por PayPal a cambio de las instrucciones para asegurar el sistema y evitar que pasen cosas peores.

Al tener el protocolo SSH activo, por defecto, todos tienen la misma contraseña en los usuarios administradores, de esta forma y mediante el escaneo de IPs, el atacante logró acceder a los iPhones.

Lo curioso del caso es que, al comenzar a aparecer quejas de todo tipo en diversos foros, el atacante publicó la solución comenzando con el siguiente mensaje: “Ok, los planes cambiaron. Esto es lo que tienes que hacer, buena suerte y contáctame si tienes alguna pregunta“.

Fuente: Spamloco.net

Como algunos sabrán hace poco tuve la suerte de asistir a la EkoParty 5ta edición la cual estuvo impresionante. Como hoy estoy perezozo, por el momento les voy a pasar unas fotos y  la entrevista que me hizo un amigo muy querido por todos, Ariel Corgatelli, donde hablo sobre el evento y como “perlita” Ariel concatenó un video mio donde participo en el concurso de Lockpicking =).

Sin más preámbulos solo quiero decir que es un evento más que recomendable, un saludo a todos mis pocos pero fieles lectores .

Luciano Laporta Podazza con Clips de Oficina

Luciano y Deviant Ollam

P.D.: Eko significa “Electronic Knock Out” (alfin me acorde de preguntarle a los organizadores que cuernos significa )