Via iblnews leo que, Internet es tierra fértil para la piratería informática y los delitos galopantes debido a serios defectos en la defensa de los ordenadores, advirtieron esta semana especialistas a expertos en seguridad informática de todo el mundo.

Los navegadores de internet pueden ser usados por los piratas informáticos para entrar a ordenadores y controlarlos, revelaron expertos reunidos en la undécima conferencia Black Hat (sombrero negro) en Las Vegas.

Además, los ‘hackers’ usan cada vez más los programas utilizados habitualmente cuando se comparten archivos de texto, video y música para esconder y diseminar códigos maliciosos que infectan las máquinas.

Los asistentes también escucharon al ex ‘zar’ estadounidense contra el terrorismo Richard Clarke, que arremetió contra lo que describió como falta de interés del presidente estadounidense, George W. Bush, en mejorar la seguridad informática del país.

Desde su punto de vista, la administración Bush, las instituciones financieras y gran parte de Estados Unidos no se dan cuenta de la importancia de la seguridad informática.

Un oscuro secreto es que las compañías dedicadas a defender los sistemas informáticos tienen “enormes problemas de seguridad” propios y la mayoría reacciona a los ataques en vez de predecirlos y prevenirlos, estimó Dinis Cruz de Ounce Labs, con sede en Londres.

Un asistente a la conferencia comparó el nuevo sistema operativo de Vista con una fortaleza con gruesas paredes de cemento y puertas de acero, y un programa de defensa que consiste en “un guardia de seguridad estúpido que entrega las llaves” a cualquier atacante astuto.

Clarke, que trabajó para los presidentes Bill Clinton y George W. Bush, indicó que la economía global podría ser paralizada por ‘hackers’.

“Estamos construyendo la economía mundial en un cimiento de ciberespacio 1.0 con una estructura que no ha cambiado desde su creación”, advirtió Clarke.

Clarke indicó que Bush recortó el financiamiento destinado a la investigación en seguridad en internet y que ignoró un plan de seguridad informático.

Apenas finalizada la conferencia Black Hat, Las Vegas será desde este viernes la sede del decimoquinto congreso internacional de ‘hackers’, cuyos temas de estudio serán los mismos que los tratados en Black Hat, representando una señal de esta guerra sin piedad entre ambos bandos.

Veo en vsantivirus que,  Mozilla Firefox (incluido la última versión 2.0.0.6), es propenso a una debilidad que puede permitir a un atacante remoto ofuscar un enlace malicioso.

Eleytt Corporation
http://www.eleytt.com/

SubiteYa.com es el nombre del nuevo sitio de videos compartidos por usuarios que pretende abarcar el mercado latinoamericano, permitiéndole a los internautas de esta región subir todos sus clips mediante pasos muy sencillos.

Esta modalidad de sitio web, muy similar al exitoso modelo de YouTube, la página adquirida por Google, permite al usuario ingresar su video y categorizarlo mediante “tags” que facilitarán su hallazgo por parte de los interesados.

En la medida en que reciba la calificación de los visitantes, entrará a formar parte del “Top ten según el voto de la gente”, el cual figura en la página principal con videos como “Hombre orquesta”, “McLaren F1″ y “Chicas FX!”, entre otros, que actualmente ocupan las casillas de privilegio.

Asimismo, los internautas podrán ver los videos más recientes, más comentados y más guardados, gracias a respectivas pestañas en la página principal que ayudan a discriminar el contenido según su popularidad y utilidad entre los usuarios del sitio.

SubiteYa.com incluye además diferentes secciones según el tema del video, diferenciando entre “automóviles”, “entretenimiento”, “mascotas”, “deportes” y “bizarro”, entre otras 12 categorías.

El sitio, que promete además una gran capacidad de almacenamiento, brinda la posibilidad de añadir un clip al propio espacio en internet o blog, poniendo a disposición de los usuarios el link de acceso.

FUENTE 

La compañía lanzará en los próximos días una versión del Messenger que no requiere descarga e instalación previas en el ordenador

Yahoo lanzará en los próximos días una nueva versión del Messenger que no requiere descarga e instalación previas en el ordenador, según ha anunciado en una nota, que destaca las ventajas que esta herramienta proporcionará a los usuarios del servicio citado en relación con la versión ya conocida.

“Messenger para web proporciona a las personas la libertad de comunicarse con sus contactos mediante mensajes instantáneos desde cualquier lugar, tales como la oficina, cibercafés, centros de estudios o aeorpuertos y desde cualquier ordenador que disponga de acceso a Internet”, dice la nota.

Es “la mejor experiencia en mensajería instantánea” posible, destacan los directivos de la compañía. La nueva herramienta suma a las utilidades del actual Messenger para escritorio ventajas como comunicarse con conocidos que estén usando Yahoo! Messenger o Windows Messenger o buscar conversaciones de mensajería instantánea archivadas.

Usando un formato web el nuevo Mesenger permitirá también organizar los mensajes en pestañas, usar avatares, imágenes de pantalla o fotos en la comunicación, al igual que emoticones o colores, personalizar el propio perfil o acceder a un servicio basado en web desde cualquier navegador pudiendo usar diferentes sistemas operativos.

FUENTE 

Leo en hispasec que:

Linchpin Labs presentó hace unos días una herramienta gratuita (Atsiv) que permite saltarse una restricción impuesta en Windows Vista bajo arquitecturas de 64 bits.

Linchpin Labs presentó hace unos días una herramienta gratuita (Atsiv) que permite saltarse una restricción impuesta en Windows Vista bajo arquitecturas de 64 bits: la instalación de controladores que modifiquen de alguna forma el kernel, está limitada a las compañías que firmen criptográficamente esos drivers. Con esta herramienta, en un principio cualquier programa, aun sin estar firmado, podría eludir esta restricción.

Una de las mejoras de seguridad de Vista bajo 64 bits es la limitación de instalación de drivers a nivel de kernel (no de usuario), de forma que solo los firmados podrían instalarse (al menos en modo normal, en modo seguro o a prueba de fallos esta limitación no existe). Con esto se pretende que sólo las empresas en principio “serias” que firmen su software (y tengan dinero para ello) pueden tocar el corazón del sistema y por tanto modificar su comportamiento. Firmar criptográficamente implica que una autoridad de (supuesta) confianza garantiza que el software ha sido creado por una empresa en concreto y que no ha sido modificado desde que fue firmado (integridad). En ningún momento se pueden garantizar las intenciones o funcionalidad de un software firmado.

Cuando se anunció esta medida, hubo cierta controversia en el mercado del software. Las empresas o desarrolladores que no quisieran realizar la inversión necesaria para firmar el código no podrían tocar el kernel de forma sencilla en la arquitectura de 64 bits. ¿Por qué sólo en la de 64 bits? Microsoft pensó que este cambio en Vista bajo una plataforma aún tan popular como la de 32 bits, para la que todavía existe tanto software legado del pasado, supondría una ruptura demasiado radical. Decidió incluir esta modificación en la plataforma de siguiente generación, haciendo más gradual un giro de filosofía que afectaba a muchos fabricantes y podría resultar traumática.

Con esta medida se limita en buena parte que el malware toque las tripas del sistema, típicamente rootkits. Los creadores de rootkits que no firmen su código no podrán instalarlo en Windows Vista de 64 bits, ofreciendo así cierta garantía al menos de la procedencia de los controladores. Esto, además de incómodo para algunos, no ofrece una protección total. Obviamente, los atacantes podrían crear empresas ficticias y tomarse la molestia de enviar sus certificados para ser firmados, o hacerlo a través de autoridades de dudosa confianza… pero no sería la situación típica. También siguen teniendo la oportunidad de firmar e instalar las empresas de “greyware”, en cierta forma legítimas y toleradas.

Como era de esperar (y probablemente ocurrirá con otras medidas de seguridad en Vista) ya han aparecido herramientas capaces de (no saltarse sino) aprovechar esta restricción en “beneficio propio”. Linchpin Labs ha presentado Atsiv, un programa por línea de comandos que permite cargar drivers firmados o no, en cualquier Windows bajo cualquier arquitectura. Para hacerlo se basa en su propia firma, y una vez ejecutado, con su propio cargador lanza los no firmados. Una especie de trampolín para que cualquier software pueda modificar el kernel.

No parece que esta herramienta pueda ayudar al malware a incrustarse en el sistema, porque (por ahora) siempre necesitaría de una primera firma que permitiera lanzar los no firmados. Sí que es posible que ayude a que muchas herramientas no firmadas, creadas por particulares, sean instaladas por los usuarios de forma voluntaria (o no, quién sabe). Con Atsiv, en vez de tener que estar firmadas, el usuario podrá instalarlas sin más, independientemente de quién las haya creado. Esto tendrá sus riesgos, pues al hacerlo �a las bravas� sin comprobar niveles de dependencia, la estabilidad del sistema puede resentirse.

La mala noticia es que quizás esta utilidad proporcione ciertas pistas a los creadores de rootkits y malware en general para desarrollar algo parecido y utilizar programas firmados legítimamente para incrustarse en el sistema cuando sea más popular. Tampoco se sabe si Microsoft revocará el certificado de Atsiv para “inutilizarla”. El tiempo lo dirá.

Veo en Mundo en Linea que Los “magos” de la seguridad informática se reúnen desde hoy en las Vegas (EEUU) para estudiar las nuevas armas utilizadas en la silenciosa guerra que libran en el ciberespacio los hackers y quienes intentan neutralizarlos.

El nuevo aparato musical móvil de Apple, iPhone, el nuevo sistema de Microsoft, Vista, o incluso Leopard, la nueva versión del sistema Mac OS X que Apple espera comercializar pronto, son todos blancos de los piratas de la Red.

Los expertos, reunidos en la undécima conferencia Black Hat (sombrero negro) de Las Vegas, lograron revelar una veintena de nuevas fallas de seguridad en algunos de los programas más usados, y encontrar los medios de resolverlas.

Las conferencias Black Hat reúnen a los expertos de varias agencias gubernamentales estadounidenses y de las industrias del sector informático, así como investigadores independientes. Estos foros tienen lugar regularmente, en Las Vegas, Amsterdam, Tokio y Washington.

Jeff Moss, fundador de Black Hat, indicó que la reunión tratará sobre todo la “evolución de la guerra en el ciberespacio en los últimos cinco años”.

Los expertos se inclinarán principalmente al fenómeno cada vez más difundido de los botnets, mientras que Gadi Evron tratará el tema de los ataques informáticos de los que fue víctima Estonia a comienzos de año, obligando a clausurar temporalmente sus web a varios bancos y administraciones de ese país.

Según los responsables estonios, los ataques provenían en parte de servidores de la administración rusa, incluido el escritorio del presidente del país, Vladimir Putin.

Los ataques comenzaron después del desplazamiento por las autoridades estonias de un monumento en memoria de los soldados soviéticos de la Segunda Guerra Mundial, que estaba instalado en el centro de Tallinn y fue conducido a un cementerio militar en las afueras de la ciudad.

Para Evron, quien formó parte del equipo enviado para ayudar a las autoridades estonias, se trataba de “la primera guerra en Internet”.

Apenas finalizada la conferencia Black Hat, Las Vegas será desde el viernes la sede del décimoquinto congreso internacional de hackers, cuyos temas de estudio serán los mismos que los tratados en Black Hat, representando una señal de esta guerra sin piedad entre ambos bandos.

Mozilla publicó la versión 2.0.0.6 de Firefox, la cuál corrige al menos 2 vulnerabilidades que pueden poner en peligro al usuario. Una de estas vulnerabilidades, está relacionada con el tema del manejo de los URIs, que tanto ha dado que hablar.

http://www.mozilla-europe.org/es/products/firefox/
http://releases.mozilla.org/pub/mozilla.org/firefox/releases/latest/win32/es-ES/

FUENTE