Siguiendo su política de formación en asuntos relacionados con TIC y seguridad, Inteco acaba de presentar un curso de “Introducción al Documento Nacional de Identidad Electrónico”, tanto para identificación como para firma electrónica. Su duración es de 8 horas, es gratuito y no requiere formación previa.
Puedes inscribirte en esta web.
Interesante informe de OWASP (Open Web Application Security Project), referente a problemas de seguridad Web en el año 2010, en el que, de forma sencilla (para principiantes en temas de seguridad) se describe cada uno de ellos, se detallan escenarios de ataque y se explica como prevenirlos. Un “must read” para cualquier persona que se dedique a dirigir o programar proyectos Web.
Parece que Firefox y los complementos de Java no se llevan demasiado bien.
Parece que Oracle acaba de cortar el acceso público a las descargas de los Service Packs para Solaris, de tal forma que los clientes que quieran estar actualizados tendrán que adquirir un contrato de soporte. Nada nuevo en la industria del software, si no fuera porque tampoco pueden acceder de forma gratuita a las actualizaciones de seguridad. Una política difícil de calificar, ya que, o pagas al fabricante para que te facilite los parches que solucionan fallos de seguridad de su producto o tienes un producto inseguro, debido a los fallos de programación debidos al mismo fabricante que trata de venderte la actualización.
Inteco publica un documento introductorio (PDF, 15 páginas) sobre esteganografía, o lo que es lo mismo, la ocultación de información en un canal encubierto con el propósito de prevenir la detección de un mensaje oculto.
Es un documento de fácil lectura, rápida (son 15 hojas que se leen de una tacada) y muy intructivo, ya que introduce al lector en la esteganografía, sus orígenes e historia, sus fundamentos teóricos, muestra ejemplos de cómo funciona el sistema en imágenes (y como se detecta) y muestra aplicaciones curiosas de la esteganografía, que van desde su uso mediante cabeceras del protocolo TCP/IP hasta control del malware, pasando por las marcas de agua digitales.
Es interesante saber que no siempre se aplican a imágenes, ya que cualquier medio es válido (audio, video, ejecutables, etc.) y que su uso no siempre está relacionado con fines poco éticos, ya que puede ayudar en campos como la medicina, la protección de menores,…
Por último, resaltar que suele ir combinado con el uso de criptografía, con el fin de alcanzar un nivel de seguridad razonable: la esteganografía oculta que la conversación se está manteniendo, mientras que la criptografía garantiza la confidencialidad de la conversación.
Un documento interesante y de lectura recomendada.
Interesante aportación, como de costumbre, de fernand0 en su blog más técnico, en el que habla sobre una recopilación de aplicaciones web vulnerables destinadas al aprendizaje y a la práctica con las principales vulnerabilidades en entorno web.
Un par de semanas atrás comentaba en un artículo las razones por las que creía que el sistema de protección “antipirateo” del juego Assassin’s Creed 2 funcionaría. Pronto aparecerían noticias del supuesto compromiso de este sistema, desmentidos, parece ser, por la propia gente de Ubisoft:
La gente de Ubisoft se ha puesto en contacto con nosotros y nos ha comentado que estos rumores son falsos y que las versiones crackeadas que circulan por la red no están completas y el juego no puede acabarse con ellas. Esto me recuerda a lo ocurrido con Batman: AA y lo que pasaba con las versiones de Jack Sparrow. Así que tildamos esta noticia como rumor y, aunque nos alegra que parece ser que no se ha podido piratear el juego, seguimos sin apoyar la política antipirateria de la que ya os hemos hablado anteriormente.
Finalizaba mi artículo con una pregunta vital:
Sólo tengo una duda a todo este sistema: ¿qué pasa si el sistema es atacado mediante DDOS u otro método que tire los servidores, dejando a los jugadores de todo el mundo sin servicio durante el tiempo que dure el ataque? Quiero imaginar que los ingenieros de Ubisoft ya lo habrán tenido en cuenta y que respaldarán su sistema en empresas como Akamai.
Pues mi suposición parece ser que no era del todo correcta, ya que leo que los servidores de autentificación han estado caídos el 7 de marzo. Queda claro que, excepto que respaldes la infraestuctura crítica con una empresa con gran capacidad, del estilo de Akamai, Amazon,…no puedes arriesgar la viabilidad de un servicio cuyo uso impones a tus clienes, en este caso, a los compradores de una copia de tu juego.
Actualización: Parece ser que la caída fue fruto de un ataque.
Acabo de ver una sección que desconocía, pero que me parece interesante, por lo que la comparto aquí. En la web del “Instituto Nacional de Tecnologías de la Comunicación” disponen de un portal de formación online gratuita, con cursos cuya duración va desde 1 hasta 2o horas.
Las áreas temáticas se dividen en 3:
Para inscribirse en algún curso simplemente hay que registrarse en la plataforma de INTECO.
Interesante post, en el que RafalLos, del equipo de seguridad de HP, detalla paso a paso cómo un grupo de clientes pasan de ser totalmente excépticos con los ataques por inyección SQL, una de las principales técnicas de compromiso de aplicaciones web, a ser conscientes del peligro que entraña. Buena técnica comercial.
Vía Slashdot.
Unos días atras saltaba la noticia de que el juego “Assassin’s Creed 2″ dispondrá de un nuevo sistema de protección, que necesitará de una conexión permanente a Internet para poder jugar, ya que al arrancar el juego realizará una conexión a los servidores del fabricante, y, si en un momento determinado se corta la conexión, el juego se bloquea y el jugador pierde todo el progreso del juego. Además, como medida de seguridad extra, el progreso del juego se almacena en los servidores del fabricante, Ubisoft.
El método tiene bastantes desventajas para un usuario legítimo, ya que sufriría las consecuencias de este sistema de protección en caso de disponer de una conexión de baja calidad o si se produce una caída de los servidores del fabricante. Es un método de protección que no va a dejar indiferente a ningún jugador cuando salga al mercado.
Jeff Vogel, desarrollador de juegos, analiza en su blog las razones por las que funcionará este sistema de protección, desde el punto de vista de un cracker que intenta romper la protección.
Los métodos de cracking se basan, de una forma simplificada, en la modificación del archivo binario allí donde éste lleva a cabo la comprobación. Pero estos sistemas son válidos para programas/juegos convencionales, no para aquellos que almacenan datos en un servidor remoto, y que necesitan, por lo tanto, comunicarse con aquél.
Los métodos de ataque que propone para este nuevo tipo de protección son varios:
Los métodos que “podrían” funcionar tardarían meses en ser implantados, con lo que el juego llevaría vendido un número considerable de copias, asegurando su éxito en ventas, siempre y cuando los clientes no respondan demasiado mal a un sistema de seguridad tan agresivo.
Sólo tengo una duda a todo este sistema: ¿qué pasa si el sistema es atacado mediante DDOS u otro método que tire los servidores, dejando a los jugadores de todo el mundo sin servicio durante el tiempo que dure el ataque? Quiero imaginar que los ingenieros de Ubisoft ya lo habrán tenido en cuenta y que respaldarán su sistema en empresas como Akamai.
