Inicio

Gestión Infosec

Entrevista

Las leyes

Palabras de ciso

Tips para un ciso

Puntos de vista

Actualización Técnica

Hacking bajo la lupa

Estadísticas

Productos

Toolbox

Capacitaciones

Links de interés

¿lo sabias?

Hot vulnerabilities

Comunidad Infosec

Efraude

Noticias

Bolsa de trabajo

Agenda y eventos

Lectores

Libro de pases

El chiste del mes

Ver Anteriores

Envíenos su Comentario

Conferencias 2013, 2012, 2011 aquí

 

ULTIMAS CONFERENCIAS:

 

AÑO 9 - Nº 11 - NOV 13

HACKING BAJO LA LUPA

Java... o cuando la seguridad no determina lo que debemos proteger

Por Gaspar M. Howard

Director del Laboratorio ARGUS - Panamá


Hablando de seguridad, el lenguaje de programación Java (y su correspondiente máquina virtual) ha estado por años en el ojo de la tormenta, con un incremento sustancial en el número de vulnerabilidades reportadas, así como aquellas consideradas de alto riesgo (que reportan un puntaje de 7.0 o mayor, según el sistema CVSS).

Bajo este escenario, dos preguntas saltan a la mente de un investigador/especialista de seguridad:

(1) es seguro utilizar este lenguaje de programación al desarrollar aplicaciones, especialmente para aquellas que son utilizadas a través de una red o el Internet?

(2) es el incremento en vulnerabilidades el resultado del creciente interes de atacantes, debido a la popularidad de Java?

ESTADÍSTICAS

Veamos las estadísticas. Desde 2008, se han encontrado 384 vulnerabilidades al lenguaje Java. En comparación, sólo se reportaron 51 de 2001 a 2007. Aún más preocupante, el número de vulnerabilidades de alto riesgo pasó de 22 (2001 a 2007) a 213 (desde 2008). La situación se ha tornado tan preocupante que US CERT, la entidad de los EEUU encargada de diseminar información sobre problemas de seguridad entre organizaciones no militares, ha recomendado deshabilitar Java en los navegadores web, incluso después de haber instalado la versión más reciente del lenguaje. Y empresas como Apple incluso decidieron deshabilitar Java de forma remota entre todos sus usuarios.

RESPUESTAS

Las respuestas a las dos preguntas del primer párrafo ciertamente están relacionadas. El incremento en vulnerabilidades reportadas puede atribuirse parcialmente a la creciente popularidad de Java. Y esta situación podría claramente alejar a muchas organizaciones a utilizar el lenguaje, al considerarlo peligroso ...pero la situación es otra.

La popularidad de Java parece estar tan fuerte como nunca. El sitio web langpop.com que estudia diversos sitios relacionados con lenguajes de programación (como portales de anuncios de trabajo para programadores y repositorios de programas/código fuente), coloca a Java como el segundo lenguaje de programación más popular, detras tan sólo del lenguaje C. Curiosamente este último lenguaje también es conocido por sus problemas de seguridad, particularmente por el tema de desbordamiento de pilas o búfers.

JAVA EN LA ERA WEB

En la era del web, redes sociales, miles de millones de usuarios y 'Big Data', Java se ha convertido en un fuerte candidato a la hora de seleccionar un lenguaje de programación. Su capacidad para producir aplicaciones que cumplan con los requisitos de escalabilidad y rendimiento necesarios en esta era, es difícil de alcanzar con otros lenguajes. La flexibilidad que ofrece por medio de su máquina virtual (JVM) para ejecutar los programas Java en múltiples plataformas y el hecho de que existen versiones código libre de la plataforma Java, hace la decisión aún más sencilla para los programadores a la hora de seleccionar.

Grandes compañías como Google, Facebook, LinkedIn, Twitter y Square, utilizan Java como parte de su estrategia para producir aplicaciones y servicios que les permita crecer y ajustarse a las demandas del creciente mercado que encuentran en Internet. Un reciente artículo de la revista de tecnología Wired, incluso habla de la segunda llegada o advenimiento de Java en la era del web. Aunque esto nos parece un poco exagerado, Java nunca desapareció, si es cierto que el lenguaje está ayudando a que empresas puedan cumplir con los exigentes requisitos de esta era.

CONCLUSIONES

Entonces, volviendo al tema de seguridad, que hacer con un lenguaje extremadamente popular y ventajoso pero que se encuentra en el ojo de la tormenta, por sus inherentes problemas de seguridad? La situación con Java es un ejemplo más de las limitaciones con las que contamos los especialistas de seguridad. Es iluso pensar que sólo nosotros debemos definir los requisitos y restricciones sobre las cuales diseñar y construir aplicaciones y sistemas. Somos parte de un conjunto de actores que definen estos requisitos, lo que produce un escenario usualmente complicado y no siempre claro para nuestros objetivos de seguridad. Sin embargo, y es de esperarse, que debemos actuar y ser efectivos bajo este escenario. Porque si algo es claro, es que parte de nuestro trabajo es manejar y asegurar aplicaciones escritas en Java.

Fuente: http://iobses.blogspot.com.ar/

 

 

| Ediciones Anteriores |


Smartphone vs SmartTV

Por Oscar Leonardo Banchiero
Instructor Ethical Hacking
ISEC Information Security Inc


Objetivo hacker: centrales energéticas

Centrales eléctricas, hidráulicas, oleoductos, gasoductos y todo tipo de infraestructuras energéticas están en el punto de mira de los hackers. Así ha quedado expuesto en las últimas ediciones de BlackHat y Def Con, las dos conferencias de ciberseguridad que han tenido lugar esta semana pasada en Las Vegas (EEUU).


Las tarjetas SIM expuestas

Unos 750 millones de teléfonos móviles en todo el mundo están afectados, sin que sus usuarios lo sepan, por un fallo de seguridad que permite a potenciales ciberdelincuentes tomar el control total de las tarjetas SIM de los celulares.


Diez Consejos para implementar una primera línea de defensa

Por Alain Karioty

Corero Network Security


Ataques DDoS y Trafico no deseado: Quien y como atacan a las Empresas y Organizaciones hoy en día

Por Alain Karioty & Álvaro Villalba

Corero Network Security


Advance Security Solutions for Battle Against Cyber-warfare

Por José Flores

Gerente Regional
Nicksun Inc.

Extracto de la Conferencia para Infosecurity VIP 2013


Negocios en Internet Si, pero con Seguridad

Por Edgard Salazar

Owasp - Capitulo Venezuela

Extracto de la Conferencia para Infosecurity VIP 2013


Click Jacking a ciegas

Por Camilo Galdos

Seguridad Blanca - Perú


El problema de Microsoft Windows

Por Christian Vila / ISEC +
Senior Security Consultant
ISEC Information Security Inc.


Nunca fué tan fácil hacer ingeniería social: Social Engineering Framework

(Kit de herramientas de la ingeniería social) es una de las herramientas mas novedosas que encontramos para realizar ataques automatizados por medio de ingeniería social.


Como en los viejos tiempos: SECUESTRO DE SESIONES VÍA DROIDSHEEP

Droidsheep es una aplicación para sistemas operativos Android que captura las cookies e identificadores de sesión mediante la técnica de hombre en el medio, luego las selecciona, procesa y te muestra un listado simple de las sesiones secuestradas, es muy similar a lo que alguna vez fue el famoso plugin de Firefox: FIRESHEEP


EnCase® Como Nunca Has Visto

Por Tony Grey
Ingeniero de Ventas, Latinoamérica
Guidance Software - Quito, Ecuador


Esteganografía vs Criptografía: mitos y realidades

Por Christian Javier Vila Toscano
Senior Security Consultant
ISEC Information Security Inc


ANÁLISIS DE ATAQUES EN DIFERENTES CAPAS

Por Nelo Belda
S 2 GROUP
ESPAÑA


Tips de Seguridad para Android

Por Oscar Leonardo Banchiero
Instructor Ethical Hacking
ISEC Information Security Inc


¿Teclados inseguros y candados rotos?

Por Oscar Leonardo Banchiero
Instructor Ethical Hacking
ISEC Information Security Inc


Anonymous vs LulzSec

Por Rafael Núñez
Clean Perception Internacional
Caracas - Venezuela


"Verisign Trusted"  NO TAN CREIBLE!
Freedom, el hacker de sombrero gris que ha identificado muchas vulnerabilidades de cross-site scripting (XSS) en algunos sitios importantes, regresa con otros hallazgos interesantes. Descubrió una serie de 25 tiendas en línea del Reino Unido que contienen agujeros de seguridad XSS.


¿Cómo funciona el nuevo standard para reducir phishing?
Por Christian Javier Vila Toscano
Senior Security Consultant
ISec Information Security


TOR MAIL: SERVICIO SEGURO DE EMAIL
En un mundo donde la actividad en Internet es cada vez más vigilada y censurada por parte de gobiernos y/o miembros del crimen organizado, redes como Tor se han hecho cada vez más populares; tanto por razones de privacidad y confidencialidad, como por razones de anonimato. Con este mismo impulso con el que han crecido esta clase de redes, se han desarrollados también numerosos servicios que permiten a los usuarios transmitir sus comunicaciones de la más diversa índole a través de estas redes; un buen ejemplo de ello son todas las posibilidades que ofrece la conexión a las redes I2P.


Ataques al protocolo SSL
Por D. Luciano Bello (Chalmers University)

Dr. Alfonso Muñoz (grupo de investigación T SIC UPM).

Intypedia - España


Amenaza de Anonymous en Chile y Perú
Por Frano Capeta Mondoñedo
Country Manager Perú
ISEC Information Security Inc.


Vectores de ataque HTML 5
Por Guillermo Mir

Security Art Work


Introducción al protocolo SSL
Por Alfonso Muñoz Muñoz

Grupo de investigación T SIC UPMC


CIBERLOCADEMIA de Policías, la excusa Hacker
Por Christian Javier Vila Toscano
Senior Security Consultant
ISec Information Security


EE.UU. quiere atacar militarmente a 'hackers' estén donde estén
Juegos de guerra (WarGames), la célebre película de 1983 protagonizada por un adolescente Matthew Broderick, narra la historia de un joven hacker que se infiltra en ordenadores del Pentágono y por error está a punto de iniciar un conflicto nuclear entre Estados Unidos y la URSS en plena Guerra Fría.


Autenticación Online

Por Alberto González

Panda ID Soluciones


La Red es el Campo de Batalla

Por Harry N Mesa P

System Engineer - Watchguard

Medellín - Colombia


Drive by pharming

Por Christian Javier Vila Toscano
Senior Security Consultant
ISEC Information Security


Con menos de u$s8.000 hasta usted ya puede comprarse "el kit" para convertirse en un hacker


Ataque y Detección del Hacker
Por Rafa Núñez

Enfoque Seguro - Venezuela

 

 

 

 

 

 

 

Copyright © 2013 ISEC. Todos los derechos reservados
Política de privacidad