¿Cuidan los usuarios sus contraseñas?

August 20th, 2010 | Posted by in Uncategorized - (0 Comments)

En la actualidad, las contraseñas son la puerta de acceso a la mayoría de los sistemas informáticos. El correo electrónico, el sistema operativo, el chat, el home banking e incluso las redes sociales están generalmente protegidos por un usuario y contraseña.
Estos métodos de protección de datos preservan la confidencialidad de todo tipo de información. Por lo tanto, vulnerar las contraseñas de un usuario es una acción de alto valor para un atacante.

Estas son las primeras lineas de nuestro artículo sobre seguridad en contraseñas, donde como principal consejo de prevención contamos cómo armar contraseñas fuertes y recordables.

En primer lugar, relacionado a la cantidad de contraseñas que se utilizan, uno de cada cuatro usuarios manifestaron usar unas pocas contraseñas para todos los servicios, e incluso un 15% contestó directamente utilizar una única clave, claramente una mala práctica de seguridad: un incidente relacionado al password daría al atacante acceso a todos los servicios que utiliza el usuario. Un porcentaje similar de usuarios se reparte con buenas costumbres en este aspecto: varias contraseñas organizadas según el tipo de servicio (24,9%) y sólo contraseñas distintas para los servicios críticos (15%).

Contenido completo en ESET Latinoamérica


, , , , , , , ,

Cheat Sheets de prevención y protección

August 16th, 2010 | Posted by in Uncategorized - (0 Comments)
El proyecto OWASP no sólo se dedica a sacar una guía de pruebas, tiene a su vez multitud de proyectos diferentes,
tanto de desarrollo, con herramientas, plugins, librerias…como de
documentación en otros ámbitos (siempre relacionados como no, con la
seguridad en aplicaciones web), buenas prácticas, informes, y un
larguísimo etc.

Uno de los apartados o
categorías que parecen pasar desapercibidas en este proyecto, pero que
deberían tenerse muy en cuenta si se es desarrollador, auditor, etc, son las Cheat Sheets, tanto de prevención como de protección, creadas y mantenidas por la comunidad OWASP.

Aunque algunas de ellas todavía sean borradores o primeras versiones, contamos con 6 “chuletas
muy completas y que nos pueden ayudar a la hora de asegurar nuestras
aplicaciones web para tener todos y cada uno de los frentes controlados a
la perfección.
  • Cheat Sheet de Autenticación – En esta hoja veremos reflejadas tanto las buenas prácticas para un proceso de autenticación como gestión de sesiones.
    Puntos como la implementación de un adecuado mecanismo de recuperación
    de contraseña, mensajes de error provocados por una autenticación
    fallida (“si me dices que X usuario no puede registrarse porque ya existe en base de datos…hmm…“), cifrado de las comunicaciones…
  • Cheat Sheet para prevención de ataques CSRF – El famoso Cross-Site Request Forgery,
    que últimamente tanto se usa, pero que suele llevar a equívocos sobre
    su concepto y relación con los Cross-Site Scriptings (XSS). En esta hoja
    además se enumeran aquellas medidas que realmente no consiguen prevenir
    los CSRF.
  • Cheat Sheet sobre almacenamiento criptográfico – Hay que tener cuidado con los datos que almacenamos,
    tanto por la confidencialidad como por la integridad de la información
    sensible que maneje nuestra aplicación. Se proponen una serie de reglas a
    tener en cuenta a la hora de implantar una solución de tratamiento de
    la información. Es un buen resumen, aunque se recomienda en primer lugar
    también la Guía de Criptografía también dentro del proyecto OWASP.
  • Cheat Sheet para prevención de inyecciones SQL – Poco hace falta comentar sobre esta técnica, el juego que da y los resultados que nos puede regalar. No hay que quedarse únicamente
    con la recomendación de validar todos los valores de entrada que
    proporcionen los usuarios, hay otras medidas que se recomienda
    encarecidamente llevar a cabo, como es el uso de procedimientos almacenados y peticiones SQL previamente parametrizadas.
  • Cheat Sheet de protección de la capa de transporte
    – Este documento está bastante ligado también al de almacenamiento
    criptográfico. Las reglas que se nos proponen están enfocadas a las
    comunicaciones de nuestra aplicación web, que partes deben asegurarse y
    cómo, seguridad en los certificados del servidor, etc. Punto muy
    importante, cuando todavía a día de hoy seguimos encontrando formularios
    de login, registro y demás que siguen siendo válidos si los utilizamos mediante HTTP.
  • Cheat Sheet para prevención de Cross-Site Scripting
    – Que decir del Cross-Site Scripting, una vulnerabilidad en muchas
    ocasiones infravalorada, pero con un poco de astucia puede hasta hacerte
    salir en los periódicos. En esta ocasión, a diferencia de las
    inyecciones SQL, aquí lo más importante es validar correctamente los
    parámetros. Documento que si acompañamos de la famosa cheat sheet de RSnake, podremos estar mucho más tranquilos.
Uniendo estas chuletas a las propias de SecurityByDefault y las que os ponemos en bandeja, yo creo que es hora de empezar a empapelar alguna que otra pared.
ACTUALIZACIÓN: Añadida la cheat sheet de XSS, ¡gracias a vierito5 por el aviso!

Autor: José A. Guasch
Fuente: Security by Default


, , , , , , , , , , , , , , , ,

Google podría cambiar las reglas actuales de Internet

August 6th, 2010 | Posted by in Uncategorized - (0 Comments)

El New York Times adelantó ayer que Google podría cambiar las reglas actuales de tráfico por Internet gracias a un acuerdo con la firma de telecomunicaciones Verizon por el cual el buscador estaría dispuesto a pagar más por una transmisión más rápida de sus servicios.

Hasta el momento, los proveedores de Internet reparten los paquetes de datos entre los participantes en la red de forma igualitaria, de acuerdo con un principio llamado “neutralidad de la red”.

Entre los beneficiados podría encontrarse YouTube, filial de Google y en el que los paquetes de datos son especialmente pesados.

No obstante, desde el buscador salieron a asegurar que la empresa “sigue comprometida” con una “Internet abierta” y desmintió así, el artículo del Times.

“No hemos tenido ninguna conversación con Verizon sobre el pago del tránsito del tráfico de Google”, detalló la portavoz. “Seguimos tan comprometidos como siempre lo estuvimos con una Internet abierta”, añadió.

Tal acuerdo iría en contra de la filosofía que defiende Google, que siempre se proclamó partidario de “la neutralidad de Internet”, es decir del principio de un acceso a las redes con una igualdad de condiciones para todos.

Pero este principio choca con la voluntad de los operadores que desean facturar más a los gigantes de Internet como Google para financiar la modernización de sus redes, condenadas a permitir el tráfico de contenidos cada vez más pesado con la llegada de la televisión por internet.

El gobierno estadounidense también se comprometió a favor de la “neutralidad de Internet”, pero un fallo de la Justicia en abril afirmó que carecía de autoridad en el asunto.

La Comisión Federal de las Comunicaciones (FCC) no se dio por vencida e inició negociaciones para garantizar “un Internet abierto”, antes de poder preparar una nueva reglamentación.

Un supuesto acuerdo entre Google y Verizon podría anonadar todos los intentos realizados hasta ahora hacia una única reglamentación para todos.

El New York Times citó a un portavoz de Verizon, según quien se “trabaja con Google desde hace 10 meses para alcanzar un acuerdo sobre la política de ancho de banda”.

Pero “estamos trabajando en un proceso de negociaciones llevado adelante por la FCC. Estamos convencidos de que este proceso desembocará en un consenso que podrá preservar una internet abierta, y la inversión y la innovación necesarias para mantenerla”, añadió el portavoz.

Fuentes anónimas citadas por el diario afirman que Verizon y Google posiblemente firmen un acuerdo la próxima semana.

Fuente: Ambito


, , , , , , , , , , , , , , ,

Tarifas de Movistar, Vodafone, y Orange para iPhone 4

July 29th, 2010 | Posted by in Uncategorized - (0 Comments)

Para todos aquellos que teneis en mente adquirir un iPhone 4 a
partie de mañana día 30 que salen a la venta en España, os dejamos
las tarifas de cada operador, para así poder elegir cúal os
conviene más.

, , , , ,

Los discapacitados piden publicidad accesible en televisión

July 27th, 2010 | Posted by in Uncategorized - (0 Comments)

El Comité Español de Representantes de Personas con
Discapacidad (Cermi) ha planteado una modificación de la Ley
General de Publicidad para que todos los anuncios que se emitan por
televisión sean accesibles a personas con discapacidad.

,