Fabric, lenguaje de programación seguro: crea seguridad autónoma según se está escribiendo un programa

October 29th, 2010 | Posted by in Uncategorized - (0 Comments)

Hasta el momento la gran mayoría de sistemas de seguridad eran reactivos, es decir, no se implementaban hasta que el sistema o programa había sido vulnerado, como parte de una reacción a dicho ataque. Sin embargo la creación de Fabric, un lenguaje de programación nacido como extensión de Java va a cambiar ese concepto radicalmente

El experto de seguridad Fred Schneider ha confirmado que el desarrollo de investigadores de Cornell conocido como Fabric, extensión al lenguaje de programación Java que crea sistemas de seguridad en un programa según se escribe.

Fabric está diseñado para crear sistemas seguros para computación distribuida donde los nodos interconectados no tienen por qué ser confiables. Estamos hablando de sistemas que mueven dinero, o bien hospedan historiales médicos.

En Fabric, todo es un “objeto” etiquetado con una serie de permisos sobre cómo y quien puede acceder a ello y también qué acciones pueden realizar. Incluso los bloques del código del programa tienen políticas integradas de uso sobre cuando y dónde pueden ejecutarse.

El compilador refuerza sobremanera las políticas de seguridad y no permite al programador escribir código no-seguro (PDF).

Si queréis echar un ojo a Fabric, su versión inicial ha sido liberada en la web de Cornell.

Autor: Jesús Maturana
Fuente: Muy Seguridad.Net


, , , , , , , , , , , ,

Google, a la caza de Facebook

October 29th, 2010 | Posted by in Uncategorized - (0 Comments)

El invierno pasado, Google intentó competir contra Facebook y acabó
fracasando rápidamente. Google Buzz, la red social que trató de
construir basada en su popular servicio Gmail, no estuvo a la
altura de su nombre: sólo llamó la atención de una pequeña fracción
de los más de 100 millones de usuarios de Gmail, y generó problemas
de privacidad y una demanda. Sin embargo Google no se dio por
vencida. En vez de eso, la compañía está intentándolo de nuevo, a
una escala mucho más grande. Se ha gastado cientos de millones de
dólares en la compra de empresas Web y en la contratación de
profesionales de talento con la esperanza de detener, o disminuir
al menos, el dominio de Facebook en las redes sociales en línea.
(El proyecto se ha denominado “Google Me”, de acuerdo
ciertas fuentes en Silicon Valley que aseguran tener conocimientos
a nivel interno.)

, , , , , , , , , , , , , ,

Dj Tiesto presenta el primer vídeo musical creado con imágenes de un videojuego

October 28th, 2010 | Posted by in Uncategorized - (0 Comments)

DJ Hero 2, el nuevo videojuego musical de Activision Publishing,
Inc. (Nasdaq: ATVI) y el DJ más famoso del mundo, Tiësto, se unen
de nuevo para presentar el primer videoclip creado únicamente con
imágenes extraídas de un videojuego. Tras haberse convertido en
personaje de videojuego Tiësto rescata ahora ese personaje para
protagonizar el videoclip de su nuevo éxito “Speed Rail”.
El vídeo puede verse en su web de Facebook: www.facebook.com/tiesto.

, , , , , , , ,

Entrevista con Anonymous (de los ataques a RAE, MPAA y RIAA)

October 24th, 2010 | Posted by in Uncategorized - (0 Comments)

En las últimas semanas he estado investigando el ataque DDoS llevado a cabo por Anonymous contra varios organismos audiovisuales mundiales. Esta pequeña pero ruidosa comunidad de Internet lanzó una campaña de ataques llamada “Operación Payback (Venganza)”, con ataques selectivos de Denegación de Servicio (DDoS) contra empresas e instituciones que apoyan al lobby anti-piratería.
El ataque, provocado por un ataque similar llevado a cabo por una empresa de la India contra sitios Web de intercambio de archivos, provocó que los organizadores de Anonymous se volvieran prácticamente locos de indignación. Tras seguir sus comunicaciones durante las últimas semanas, me vino a la cabeza la escena de la película “Network” (de 1976), en la que Peter Finch hace que todo el mundo se asome a la ventana gritando “¡Estoy muy cabreado y no pienso aguantar esto nunca más!”

Se repartieron panfletos llamando a la acción (como los de las imágenes inferiores) por todo el mundo y en distintos idiomas. Se usaron sitios como Reddit, Digg, 4chan, y Twitter para animar a miles de personas a unirse a la causa, alzarse y atacar al lobby anti-piratería.

Entrevista completa en Panda


, , , , , , , , , , , , , , , , ,

Linux: privilegios de ‘root’ mediante vulnerabilidad en GNU-C loader

October 22nd, 2010 | Posted by in Uncategorized - (0 Comments)

Una vulnerabilidad, CVE-2010-3847, en el cargador de bibliotecas de la  GNU C library puede ser explotada para obtener privilegios de root bajo Linux y otros sistemas. Los atacantes podrían explotar este agujero, por ejemplo, para conseguir acceso completo al sistema escalando sus privilegios después de irrumpir en un servidor web con derechos de acceso restringidos. Varias distribuciones ya están trabajando en las actualizaciones.

La carga de bibliotecas vinculadas dinámicamente cuando se inician con privilegios de Set user ID (SUID) siempre ha sido un potencial problema de seguridad. Por ejemplo, un atacante puede establecer una ruta de acceso a una biblioteca diseñada para la variable de entorno LD_PRELOAD, iniciar un programa SUID y conseguir ejecutar la biblioteca al mismo nivel de privilegio que el programa SUID. Por esta razón, existen varias medidas de seguridad y restricciones para evitar que las aplicaciones carguen otras bibliotecas arbitrarias más, por ejemplo, mediante el agregado de información de ruta.

La raíz de este nuevo problema está en la forma en que el cargador (loader) expande la variable $ORIGIN que se envía a la aplicación. $ORIGIN permite rutas a bibliotecas para que sean declaradas como relativas a la ubicación de una aplicación. Esto permite que las bibliotecas que son usadas infrecuentemente sean ubicadas en el sub-directorio de la aplicación en lugar de la ruta estandar de bibliotecas. Mientras que Tavis Ormandy, quien descubrió el agujero, dijo que la especificación ELF recomienda que el cargador ignore $ORIGIN con los binarios SUID y SGID, parece que los desarrolladores de GLIBC no implementaron esta recomendación.

Usando varios trucos que involucran enlaces absolutos, descriptores de archivos redirigidos y variables de ambiente, Ormandy consiguió explotar la vulnerabilidad y abrir una shell con el nivel de privilegios de root. Según las pruebas del desarrollador, al menos las versiones glibc 2.12.1 en Fedora 13 y 2.5 en Red Hat Enterprise Linux (RHEL) 5, CentOS 5, son vulnerables. Cuando fue probado por los asociados de H en heise Security, sin embargo, una instalación (64-bit) de Ubuntu 10.04 parecía no ser afectada. No obstante, Ormandy escribe en su informe que el agujero puede ser explotado de varias formas.

Traducción: Raúl Batista – Segu-Info
Fuente:  The H Security


, , , , , , , , , ,