Archive for junio, 2011


Desarrolladores de software preocupados por la protección frente a los ataques informáticos tienen ahora una nueva herramienta para identificar errores comunes.

El Gobierno estadounidense actualizó recientemente una lista de los 25 errores de software más peligrosos y guías para ayudar a los programadores a identificarlos y evitarlos.

El sistema busca eliminar brechas de seguridad comunes que los piratas han utilizado para atacar a empresas como Lockheed Martin y Sony Corp. Los consumidores de software ahora pueden pedir a los desarrolladores una puntuación de seguridad en función de un sistema estándar que pretende que los programadores estén más atentos a evitar fallos.

“El desarrollador de software no va a mostrar una puntuación baja”, indicó Alan Paller, director de investigación en el Instituto SANS, una compañía de formación en seguridad informática. “Va a arreglar el problema. Porque cómo vas a decir ‘¿Voy a venderte algo que es peligroso?’, agregó.

La lista de vulnerabilidades de software realizada por el Departamento de Seguridad Nacional y el MITRE, un organismo de investigación con financiamiento estatal, se publica cada año desde el 2009. En el primer lugar de la última lista aparece un agujero de seguridad llamado inyección SQL que permitió al grupo de hackers LulzSec acceder a los sistemas de Sony e InfraGard, un centro utilizado por el FBIpara establecer relaciones con negocios privados.

Dar un nombre común a los errores de software fue un paso crucial para crear un sistema de puntuación estandarizado. Anteriormente, muchas firmas que analizan software en busca de fallas describían los mismos errores con diferentes nombres, haciendo casi imposible crear un sistema de evaluación de seguridad.

Ahora, el MITRE presiona a las empresas para que adopten un lenguaje común, llamado enumeración de debilidades comunes, y el nuevo sistema de puntuación. La firma de análisis de software Fortify, propiedad de Hewlett-Packard, y la compañía Cenzic, han anunciado que adoptarán ambos criterios.

> Falta de educación

Muchos de los errores de software que explotan los hackers ya deben considerarse como blancos fáciles. La inyección SQL, por ejemplo, lleva años siendo un problema conocido en la industria.

Pero la existencia de agujeros de seguridad aparentemente sencillos se explica, en parte, porque no hay estándares reales para enseñar programación de software seguro. Los programadores provienen de campos muy diversos, desde autodidactas hasta profesionales con títulos de Harvard. Paller señaló que a la mayoría de los desarrolladores nunca se les enseñó cómo escribir códigos seguros. “Si nunca se les ha enseñado a hacerlo, y nadie se los pide y nadie lo comprueba, entonces no lo hacen porque no saben cómo”, explicó Paller a Reuters.

Paller afirmó que despertó un cierto malestar en la industria cuando ofreció premios en efectivo a los estudiantes que encontraran errores de seguridad en los libros que les enseñaban a escribir código. Joe Jarzombek, responsable del programa en el Departamento de Seguridad Nacional, señaló que la lista de los 25 primeros errores es como una guía sobre la que pueden basarse los programadores para certificar que su software está libre de esos problemas.

“Es un gran servicio para gente que de otro modo piensa: ‘Soy una víctima. No puedo hacer nada con el software’”, indicó en una entrevista. (Reuters)

Fuente

Después de anunciar su alianza con Lulzsec, Anonymous convoca un ataque a Telefónica

Tan solo han pasado seis días desde que Anonymous anunciase que aceptaba la invitación de su homólogo Lulz Security (Lulzsec) para formar una coalición de piratas digitales que “abriese fuego” contra todo lo que se “interponga en el camino del progreso y la libertad” en Internet. Y de pronto Lulzsec ha anunciado que se disolvía. Ha tomado la decisión justo el día en que distintos grupos de ciberactivistas para algunos, ciberterroristas para otros, podrían añadir a sus trofeos de caza la ‘cabeza’ de Telefónica.

El pasado jueves varias plataformas en la red se hacían eco de la convocatoria para abordar durante este domingo la web del gigante de las telecomunicaciones por “su política de despedidos” y “la censura de la información”. Que la compañía presidida por César Alierta hincase la rodilla ante este ataque masivo supondría el epílogo a una semana especialmente significativa en el escenario ‘hacker’. El lunes, Lulzsec anunciaba avances de Anonymous en la operación bautizada como ‘Antisec’. Horas antes, el mismo grupo había conseguido bloquear la página de la Soca -el FBI británico- mediante un ataque de denegación de servicio. Scotland Yard respondía el martes con la detención de Ryan Cleari, un joven de 19 años, acusado de orquestar este y otros sabotajes que han afectado a la CIA, el Congreso de Estados Unidos o Sony.

Como contrarréplica, Lulzsec conseguía el miércoles bloquear los servidores de dos páginas del Ejecutivo brasileño. En España la única operación policial contra Anonymous se saldó con tres detenciones, a los que la Policía identificó como “la cúpula” en el país. Los arrestados no se conocían. Solo habían contactado por Internet como hacen todos los que quieren sumar a estas organizaciones. Sus miembros son islotes inconexos que han formado en la red un archipiélago difícil de contar debido a la sencillez de reclutamiento. Para afiliarse a estos movimientos solo hace falta acceder a un chat IRC y un servidor concreto que es fácil de encontrar en cientos de foros. En definitiva que hay que olvidarse de esos piratasinformáticos con cerebros privilegiados capaces de teclear kilométricos comandos en el tiempo que un humano normal acertaría a escribir un puñado de líneas.

> Entente de ‘hackers’

Sin embargo, la sociedad entre estas dos organizaciones no se ha gestado en un ambiente de cordialidad. Durante los días precedentes, la tensión entre ambos fue algo más que latente. Lulzsec publicó unos mensajes un tanto crípticos en los que insinuaba que miembros de ‘/b/’ y de ‘4chan’ -una plataforma bastante utilizada por Anonymous- están detrás de las filtraciones a las Fuerzas de Seguridad. Tras atacar este reducto, los propios miembros de Lulzsec salieron a la palestra para desmentir una guerra dentro del mundo pirata: “Decir que estamos en guerra con Anonymous porque hemos atacado ‘/b/’ es como decir que estamos en guerra con Estados Unidos porque hemos pisoteado una hamburguesa”.

Otra de las razones por las que sorprende esta unión es la distinta naturaleza de ambas formaciones: “Quien quiera ética que le vaya a llorar a Anonymous, los verdaderos lulzfans esperamos al día siguiente para reírnos”. Lulzsec ha mostrado un tono burlesco en sus acciones, como si su único fin sería deambular por servidores de gobiernos, bancos y empresas para reírse de las grietas de seguridad. Por su parte Anonymous, que saltó a primera línea bajo el paraguas de Wikileaks, ha enarbolado la bandera de las libertades en Internet y ya ha puesto en el disparadero a organismos como la OTAN o el FMI.

Una vez rubricada la entente de ‘hackers’ ha aparecido un tercer sujeto, el grupo MNinja, que ha puesto en la picota a Lulzsec, asegurando que ha conseguido recopilar datos personales de sus miembros y haberlos proporcionado al FBI y a la Interpol entre otros, jactándose de haber desencadenado la detención del adolescente británico. “Parece que el glorioso jefe de Lulzsec ha sido detenido… Todo ha terminado ahora… esperen, ¡seguimos aquí! ¿A qué pobre desgraciado habrán cogido?”, respondía el movimiento en tono burlesco. Además, aprovechó para negar las acusaciones que le señalan como los autores del robo de datos del censo británico ocurrido estas semanas.

Fuente

“Durante los últimos días hemos obstaculizado y puesto al descubierto el funcionamiento de empresas, gobiernos, la población en general”, dicen

El grupo de piratas informáticos LulzSec, responsable de ataques contra el Senado de Estados Unidos, la CIA, o las compañías Sony y Nintendo, entre otras, ha anunciado este domingo su disolución a través de un comunicado y tras publicar, como despedida, información confidencial de los archivos de la Policía del estado norteamericano de Arizona y del gigante de las telecomunicaciones AT&T.

“Esta es nuestra última publicación, ya que hoy se celebra un acontecimiento significativo. Hace cincuenta días, partimos en nuestro humilde barco para navegar en un océano incómodo y brutal: internet. La máquina del amor, la máquina del odio, la máquina impulsada por muchas máquinas”, hicieron saber en el comunicado colgado en Pastebin.

La mayor parte de su paquete de despedida consta de un grupo de 338 archivos que parecen haber sido extraídos de las bases de datos de AT&T, y en los que se detallan planes de desarrollo de su nueva red de banda ancha sin cable en Estados Unidos, y cuya entrada en funcionamiento estaba inicialmente prevista para este verano.

“Durante los últimos 50 días hemos obstaculizado y puesto al descubierto el funcionamiento de empresas, gobiernos, la población en general y todo entre medias, y lo hicimos porque pudimos. Para entretener a otros. La vanidad, la fama, el reconocimiento… todo ello queda supeditado nuestro deseo hacia todo lo que amamos: la emoción cruda, ininterrumpida del entretenimiento y de la anarquía”, manifestó el grupo en su comunicado final.

Fuente

A %d blogueros les gusta esto: