Supercookies eliminadas de los sitios Web de Microsoft
Cada vez que visitamos una pagina Web, nuestros ordenadores almacenan códigos de manera automática, ésos códigos llamados “cookies” corresponden a trozos de variedad de información, preferencias, datos de autenticación, etc., que para algunos es considerada una herramienta que facilita la experiencia Web, pero, para otros, es una invasión de de la privacidad.
En las webs: Hulu, Flixter, MSN y otras más, se detectó hace cuestión de horas, una “Supercookie” como variante invasiva, que es capaz de rastrear información que no necesariamente esté contenido en un sitio web que hayamos visitado, es decir, lo hace de forma invisible e imposible de detectar virtualmente hablando, alcanza hasta 1500 webs diferentes luego de abandonar un sitio, recolecta y construye perfiles con dicha información y continúa la actividad de cada una de ellas; no es posible eliminar la Supercookies ni siquiera eliminando el registro, mucho menos con métodos tradicionales.
Microsoft, fue el primero en pronunciarse, afirmó que primeramente siempre respetará la privacidad de sus usuarios, que sus datos no se compartirán de Microsoft y que esta situación es un comportamiento muy raro, que pudo producirse por escenarios ocasionadas por algún código viejo u obsoleto y que sería descontinuado inmediatamente.
Lo cierto es que la aparición de las Supercookies provocó unos planes más apresurados para ésta casa y va a desactivar (las Supercookies) en sus sitios Web.
Audea Seguridad de la Información
Departamento de Comunicación
Fuente:http://www.chw.net
Facebook el siguiente objetivo del ataque de Anonymous
Anonymous prepara un nuevo ataque. Esta vez la víctima será la más popular red social Facebook que, paradojas de la vida, es el medio de comunicación más utilizado por los mismos miembros de la organización. Éste es probablemente el principal motivo de aparición de las primeras grietas en la estructura de la organización. Anonymous acusa a Facebook de vender los datos de sus usuarios a agencias gubernamentales. El ciberataque está previsto para el próximo 5 de noviembre y será mucho mas grave de los perpetrados anteriormente ya que pretende “destruir” la red social, y no simplemente robar sus datos o inutilizar la página durante algunas horas.
Algunos miembros de la organización se apresuran a informar de que “la Operación Facebook” está siendo organizada solo por una parte de sus miembros, pero eso no significa que los demás estén de acuerdo con ella. Otros, acusan a los medios de comunicación de mentir, de que todo lo relacionado con esta operación, es una invención ya que ellos prefieren encararse con el “poder real”, y no contra los medios que utilizan como herramientas de difusión de sus mensajes.
Si esto es cierto o no, pronto lo vamos a saber. No obstante, una cosa queda bastante clara, el grupo de ciberactivistas Anonymous se encuentra dividido y algunos expertos ven en estos mensajes la existencia de diferencias bastante profundas en el seno de la organización.
Tampoco la fecha del ataque fijada en 5 de noviembre, es casual ya que será el aniversario del complot de la pólvora, un evento de gran importancia para Anonymous por su relación con el cómic ‘V de Vendetta’.
Áudea Seguridad de la Información
Departamento Legal
Fuente: www.rtve.es
Broken Thumbs Apps
La FCT (Comisión Federal de Comercio) ha multado a esta compañía creadora de juegos para iPhone, iPod y iPad, con 50.000 dólares por tener en posesión datos privados de jóvenes en sus apps.
La empresa ha reconocido su error en la seguridad y se ha comprometido a eliminar la información.
Han destacado dos vías de incumpliendo; la primera no tenían los permisos paternos obligatorios por la CPPA (ley de protección de privacidad en línea de los niños); y la segunda que a través de aplicaciones permitían que publicasen información personal en foros.
Es la última multa después de la de Disney que la FCT impone por poner en riego datos de carácter privado de menores. Pero la primera vez que multan por una aplicación móvil.
Áudea Seguridad de la Información
Departamento de Marketing y Comunicación
Fuente: abc
Proteger aplicaciones Ruby on Rails de ataques SQL INJECTION
En el siguiente artículo se va a exponer los mecanismos de protección de seguridad de las aplicaciones web Ruby on Rails frente a los ataques de inyección SQL.
La seguridad de las aplicaciones webs depende del conocimiento y experiencia de los programadores, y es el resultado de la seguridad aplicada en cada una de las capas de la aplicación.
Las últimas estadísticas y estudios siguen indicando que aproximadamente el 75% de los ataques realizados tienen como víctimas a las propias aplicaciones webs, y esos mismos estudios indican que casi el 100% de los sitios auditados contenían algún tipo de vulnerabilidad en la capa de aplicación.
Uno de los más famosos y habituales ataques a la capa de aplicación se denomina SQL Injection, tal y como indica el TOP 10 de OWASP (The Open Web Application Security Project). Dicho ataque consiste en modificar los parámetros de entrada de un formulario para obtener al formar la sentencia SQL un resultado no esperado por la aplicación.
En el siguiente ejemplo se muestra código fuente vulnerable
Project.find(:all, :conditions => “name = ‘#{params[:name]}’”)
Si un atacante introduce en el parámetro ‘ OR 1=1′ la sentencia SQL resultante será:
SELECT * FROM projects WHERE name = ” OR 1 –’
Por lo que la sentencia devolverá todos los registros de la tabla Project, ya que la condición es siempre verdadera para todos los registros.
Otro ejemplo se código vulnerable permitiría a un atacante autenticarse en la aplicación sin tener conocimiento previo de ninguna credencial:
User.find(:first, “login = ‘#{params[:name]}’ AND password =
‘#{params[:password]}’”)
Si el atacante introduce ‘ OR ’1′=’1 en el nombre, y ‘ OR ’2′>’1 en la contraseña, la sentencia SQL resultante será:
SELECT * FROM users WHERE login = ” OR ’1′=’1′ AND password = ” OR ’2′>’1′
LIMIT 1
Por lo que se encontrará el primer registro de la tabla users y se permitirá el acceso con dicho usuario.
Ruby on Rails posee un filtro para caracteres SQL especiales. Utilizando Model.find(id) o Model.find_by_something(something) automáticamente aplicará la contramedida frente a ataques de inyección SQL, aunque en fragmentos de condiciones SQL (:conditions => “…”), los métodos connection.execute() o Model.find_by_sql (),tiene que ser aplicado de forma manual.
En lugar de pasar una cadena a la opción de condiciones, se puede pasar una matriz para limpiar las cadenas de la siguiente forma:
Model.find (: en primer lugar,: Condiciones => ["? Login = Y = contraseña", entered_user_name, entered_password]). La primera parte de la matriz es un fragmento de SQL con signos de interrogación.
También se puede pasar un hash para el mismo resultado
Model.find (: first,: Condiciones => {: login => entered_user_name,: password =>entered_password}).
En otros casos se puede emplear sanitize_sql(condition, table_name = self.table_name).
Áudea Seguridad de la Información
Antonio Martínez
Departamento Seguridad TICs
www.audea.com
Twitter: Ya esta disponible el hashtags en Japón, pero..¿son seguras las redes de microblogging?
En Japón, la red social de Twitter es infinitamente más popular que el Facebook y a partir de “ya” se han incluido los hashtags en la red de microblogging, tal parece que habían tardado años en evolucionar, nadie sabe porqué, siendo los japoneses tan fanáticos de twitter.
Ahora, no solo podrán colocar el # antes de cada palabra, sino también tendrán ante sus ojos infinidad de oportunidades, un mundo nuevo por decirlo de alguna manera. En su blog oficial lo han publicado y está disponible en la propia página web de twitter (en japonés); por ahora, su función solo aplica dejando un espacio entre la almohadilla y la palabra, pero, pronto llegará a la App de la pagina oficial para todos los que posean cuenta en redes sociales.
Quizás ésta noticia no sea muy impresionante para muchos, mas si es importante porque la red de microblogging ha tardado años en resolver ésta situación.
Por otro lado, no todo son buenas noticias, según algunas publicaciones, twitter no tiene una seguridad de navegación optima, en la práctica, es decir, que los usuarios al conectarse no utilizan ningún tipo de codificación ni siquiera el cifrado “http” por defecto, cosa que si utilizan otras redes sociales, como por ejemplo Facebook que detecta que el usuario se está conectando desde una ubicación que no es la habitual y requiere usuario, contraseña ó una confirmación que pude ser vía sms o por correo electrónico.
Un profesor de la Kellog School of Management de la Universidad de Northweste, de nombre Daniel Diermeier opina que “Twitter debería revisar sus prácticas de seguridad”, porque si existiese un sistema de doble identificación para las cuentas de personajes famosos e influyentes que posean cuentas en la red de microblogging quizás no sería tan difícil evitar usurpaciones de personalidad.
La defensa de twitter ante esto es que no puede pronosticar lo que se hace fuera de las conexiones seguras y que el propio usuario debe encargarse de velar por la seguridad de sus contraseñas.
Audea Seguridad de la Información
Departamento de Comunicación
Fuente: trecebits.com
