Inicio

GESTIÓN INFOSEC

ENTREVISTA

LAS LEYES

PALABRAS DE CISO

TIPS PARA UN CISO

PUNTOS DE VISTA

ACTUALIZACIÓN TÉCNICA

HACKING BAJO LA LUPA

ESTADÍSTICAS

PRODUCTOS

TOOLBOX

CAPACITACIONES

LINKS DE INTERES

¿LO SABIAS?

HOT VULNERABILITIES

COMUNIDAD INFOSEC

EFRAUDE

NOTICIAS

BOLSA DE TRABAJO

AGENDA Y EVENTOS

CARTA DE LECTORES

LIBROS DE PASES

CHISTE

 

ediciones anteriores

Envíanos tu comentario

AÑO 8 - Nº 03 - MAR 12

HACKING BAJO LA LUPA

"Verisign Trusted"  NO TAN CREIBLE!
Freedom, el hacker de sombrero gris que ha identificado muchas vulnerabilidades de cross-site scripting (XSS) en algunos sitios importantes, regresa con otros hallazgos interesantes. Descubrió una serie de 25 tiendas en línea del Reino Unido que contienen agujeros de seguridad XSS.


Lo preocupante es que todos los sitios tienen logotipos de Verisign Trusted, Internet Shopping is Safe, Internet Delivery is Safe, Verified by Visa y MasterCard SecureCode.

Dijo Freedom:

"25 de estos grandes sitios ejecutan el mismo script y no fue difícil encontrarlos utilizando un 'Google dork' hecho en casa. Intentan filtrar la búsqueda en las páginas principales pero luego cuando busques algo que está allí te permite buscar de nuevo y esta vez no tienes límite de caracteres y muy poco filtrado"...

"Una persona que haya visto un XSS por 5 minutos podría derrumbar a estos sitios y hacer un montón de daño a la reputación de estos sitios".

Freedom proporcionó imágenes para demostrar que las vulnerabilidades existen en sitios como House of Fraser, Jacamo, Fashion World, Premier Man, Williams and Brown, Marisota, Ambrose Wilson, Viva la Diva, Fifty Plus y High and Mighty.

Fallos XSS similares fueron encontrados en tiendas en línea como JD Williams, House of Fraser, Jacamo, Fashion World, Premier Man, Williams and Brown, Marisota, Ambrose Wilson, Viva la Diva, Fifty Plus, and High and Mighty.

Otro sitio que resultó ser vulnerables es ASDA Direct (direct.asda.com), pero éste está presentado por separado debido a que no muestra ningún logotipo que garantice la seguridad del comprador.

"Es otro ejemplo de cómo están llevando a los usuarios a una siniestra falsa de seguridad. Creo que la secuencia de comandos que utilizan estos sitios fue codificada por niños de 5 años. Nunca en toda mi vida encontré un script tan pobre utilizado por tantas marcas importantes", agregó.

"Pero esto me dice una cosa, todos están copiando y piensan 'pues bueno, si ellos so usan debe ser seguro' y no lo comprueban, simplemente lo incluyen en línea y permiten a los usuarios utilizar código no probado".

Algunos podrán argumentar que estas medidas de seguridad están diseñadas para proteger la información privada de los usuarios al comprar algo desde el sitio, pero los administradores nunca deberían pasar por alto los errores simples que pueden existir en sus dominios.

“Los usuarios deben entender que si van a un sitio que tiene un sello que dice que es seguro y tiene precios muy altos, esto no significa que es de hecho seguro para los clientes".

Fuente: http://news.softpedia.es

¿Cómo funciona el nuevo standard para reducir phishing?
Por Christian Javier Vila Toscano
Senior Security Consultant
ISec Information Security


TOR MAIL: SERVICIO SEGURO DE EMAIL
En un mundo donde la actividad en Internet es cada vez más vigilada y censurada por parte de gobiernos y/o miembros del crimen organizado, redes como Tor se han hecho cada vez más populares; tanto por razones de privacidad y confidencialidad, como por razones de anonimato. Con este mismo impulso con el que han crecido esta clase de redes, se han desarrollados también numerosos servicios que permiten a los usuarios transmitir sus comunicaciones de la más diversa índole a través de estas redes; un buen ejemplo de ello son todas las posibilidades que ofrece la conexión a las redes I2P.


Ataques al protocolo SSL
Por D. Luciano Bello (Chalmers University)

Dr. Alfonso Muñoz (grupo de investigación T SIC UPM).

Intypedia - España


Amenaza de Anonymous en Chile y Perú
Por Frano Capeta Mondoñedo
Country Manager Perú
I-SEC Information Security Inc.


Vectores de ataque HTML 5
Por Guillermo Mir

Security Art Work


Introducción al protocolo SSL
Por Alfonso Muñoz Muñoz

Grupo de investigación T SIC UPMC


CIBERLOCADEMIA de Policías, la excusa Hacker
Por Christian Javier Vila Toscano
Senior Security Consultant
ISec Information Security


EE.UU. quiere atacar militarmente a 'hackers' estén donde estén
Juegos de guerra (WarGames), la célebre película de 1983 protagonizada por un adolescente Matthew Broderick, narra la historia de un joven hacker que se infiltra en ordenadores del Pentágono y por error está a punto de iniciar un conflicto nuclear entre Estados Unidos y la URSS en plena Guerra Fría.


Autenticación Online

Por Alberto González

Panda ID Soluciones


La Red es el Campo de Batalla

Por Harry N Mesa P

System Engineer - Watchguard

Medellín - Colombia


Drive by pharming

Por Christian Javier Vila Toscano
Senior Security Consultant
I-Sec Information Security


Con menos de u$s8.000 hasta usted ya puede comprarse "el kit" para convertirse en un hacker


Ataque y Detección del Hacker
Por Rafa Núñez

Enfoque Seguro - Venezuela



Copyright © 2012 ISEC. Todos los derechos reservados
Política de privacidad