Seguridad informática

Los compañeros de Genbeta dieron la voz de alarma: Apple está rechazando las aplicaciones de la App Store que hacen uso del UDID. Como programadores, nos interesa saber el motivo de este cambio de política y qué podemos hacer para seguir identificando a los dispositivos ahora que no se puede usar UDID.

En agosto pasado, poco después de la salida de iOS 5, ya se informó de que el UDID pasaba a estar desfasado (deprecated) y que sería mejor que los desarrolladores de aplicaciones fueran buscándose otro método para identificar unívocamente a sus usuarios/dispositivos. Sin embargo, el paso de desfasado a obsoleto suele ser medianamente largo, y lo normal es contar con al menos un año para modificar tus llamadas a métodos, pero éste no ha sido el caso. Apenas medio año después, Apple se ha puesto tajante y ha empezado a rechazar en la App Store a las aplicaciones que aún lo usaban.

Leer más

Pwn2Own es el mayor concurso de hackers que hay en el mundo y se celebra cada año en el marco de la conferencia CanSecWeb (este año celebrada en Vancouver). Sin embargo este año ha tenido una dura competencia con Pwnium, el concurso organizado por Google para hackear Chrome con muy jugosos premios y del que ya te hablamos hace un par de semanas. Pues bien, en los dos concursos, el hasta ahora invulnerable Chrome ha sido derrotado.

Leer más

Google está ofreciendo premios en metálico que suman hasta un total de un millón de dólares además de un Chromebook a todos aquellos que sean capaces de explotar con éxito una vulnerabilidad no conocida del navegador en la conferencia CanSecWeb la semana que viene.

Según un post en el blog de la compañía escrito por el equipo de seguridad el pasado lunes, los premios se fijarán según la severidad del exploit:

Leer más

La Python Software Foundation ha anunciado hoy la disponibilidad inmediata de las nuevas versiones candidatas para Python 2.6.8, Python 2.7.3, Python 3.1.5 y Python 3.2.3, todas ellas, con parches de seguridad.

El motivo principal del lanzamiento se debe al fix de un problema de seguridad que afecta a todas las versiones actualmente soportadas de Python que se da en todos los tipo de base “hash”, los diccionarios y los objetos de tipo set.

Las nuevas versiones de Python 2.7.3 y Python 3.2.3 incluyen el parche de seguridad como parte normal del set de bug fixes de sus respectivas ramas mientras que los parches de las versiones 2.6 y 3.1 se añaden como mantenimiento solo por motivos de seguridad.

Leer más

HijackThis, o también conocido como HJT, es una herramienta muy conocida que permite detectar software malicioso en sistemas operativos Windows. Gracias a este es posible detectar métodos de Browser Hijacking como alternativa al uso de bases de datos de virus o spyware. HijackThis no elimina el spyware, sino que ayuda a los técnicos a detectarlos.

La reciente noticia sobre esta herramienta es que ha sido publicado bajo licencia GPLv2 por lo que ya es posible acceder al código fuente en un repositorio ubicado en sourceforge: http://sourceforge.net/projects/hjt/. Como curiosidad, el código está escrito en Visual Basic.

Leer más

Scapy es un manipulador de paquetes interactivo realmente potente y flexible escrito en Python que permite esnifar, generar paquetes mangled, enviar paquetes de red, probar equpamiento, descubrir y escanear redes, y desarrollar nuevos protocolos de forma trivial.

Scapy puede ser ejecutado como utilidad standalone o bien puede ser incluida como librería en nuestros propios proyectos mediante import. Scapy está disponible en Linux y otros sistemas POSIX como Mac OS X. También existe un port a Windows que podéis encontar en secdev.

Para ejecutar Scapy necesitamos tener privilegios de superusuario en el sistema ya que es necesario el control de las interfaces de red. Esta herramienta puede ser realmente útil para testear la seguridad de nuestras aplicaciones y de sus protocolos, yo la he encontrado muy útil para testear protocolos creados con Twisted.

Leer más

Hoy se celebra el Día Europeo de la Protección de Datos. Este es el sexto año que se celebra y fue creado a iniciativa de la Comisión Europa, el Consejo de Europa y las diferentes autoridades de proyección de datos de los estados miembros.

El objetivo de esta iniciativa es conciencia la importancia del peligro que supone que los datos personales puedan utilizarse, obtenerse y distribuirse sin que se pudiese hacer algo al respecto si no existiesen normativas y reglamentos al respecto.

Leer más

Genbeta Dev somos un blog de desarrollo pero también nos gusta estar al tanto de lo que se cuece en otros ámbitos como puede ser la seguridad informática. Hace un tiempo os comentamos la noticia de que la empresa española Tractis sacaba Tractis Webservices, un conjunto de servicios de certificación en la nube. Esta semana, por su parte, hemos conocido que otra empresa española y poderosa como Tuenti ha empezado a usar estos Tractis Webservices para verificación de identidad en su plataforma.

En concreto, el servicio que ha utilizado Tuenti ha sido el de Atributte Authority y lo ha utilizado para el sistema de activación de tarjetas prepago de su operadora de telefonía virtual Tu. Queda por ver si se trata de algo puntual o Tuenti lo empieza a utilizar en otros ámbitos (ej: verificar que la edad del usuario es de 14 años o superior). También estará interesante comprobar si otras empresas importantes de la dospuntocero española se suman al carro de Tuenti (la web con más tráfico de España), ya que hasta ahora los Tractis Webservices no habían conseguido ningún usuario de tamaña importancia. Puede ser un buen espaldarazo, desde luego.

Más info | Blog de Tuenti, Negonation Blog
En Genbeta | Tuenti integra el DNI electrónico en su plataforma

No podemos pasar por alto una inquietante alerta de Apache Tomcat sobre varias ramas de su servidor de aplicaciones web correspondientes a la 7.0.x, 6.0.x y 5.5.x. Investigaciones recientes del equipo de seguridad de Apache Tomcat han revelado que el uso ineficiente que hacer Tomcat al procesar un gran número de parámetros y valores de las peticiones HTTP podría causar una saturación de los servidores al consumir una gran cantidad de CPU:

Esta vulnerabilidad podría ser explotada con fines maliciosos y provocar un ataque DoS (denegación de servicio) sobre las páginas y aplicaciones web que usen dichas versiones de Tomcat.

Leer más