Pen impenetrable e indestructible: Corsair Padlock 2

• February 25, 2010
• okajey

Corsair Padlock 2: impenetrable e indestructible Corsair presenta una memoria USB ultra resistente a los golpes, protegida por una contraseña mediante teclado e información interna encriptada mediante un cifrado de 256 bits. La unidad tiene 8 GB de almacenamiento y no necesita ningún software para la funcionalidad de PIN y el cifrado de trabajo. Precio: 42 €. Visto en gizmotica.com
Leer más

Búsquedas anónimas en Google

• February 25, 2010
• tuxotron

Creo que ha día de hoy a nadie se le escapa el control que tiene Google de nuestros datos. Ya no sólo aquellos que usamos Gmail, sino los que usamos cualquiera de sus servicios. ¿Conoces a alguien que no use ningún servicio de Google? En este post no te voy a decir como dar de baja tu cuenta de Gmail, pero sí voy a hablar de un servicio que nos ayudará a ser un poco más anónimos en nuestras búsquedas en el buscador por excelencia.
Leer más

Los 25 errores de programación más peligrosos

• February 18, 2010
• tuxotron

De la mano de CWE y SANS, nos llega un amplio documento donde documentan, valga la redundancia, los 25 errores de programación más peligrosos del 2010. Dónde peligroso significa, errores ampliamente extendidos y fáciles de encontrar y explotar. La tabla de contenido del documento es la siguiente: Guidance for Using the Top 25 Brief Listing of the Top 25 Category-Based View of the Top 25 Focus Profiles Organization of the Top 25 Detailed CWE Descriptions Monster Mitigations Appendix A: Selection Criteria and Supporting Fields Appendix B: What Changed in the 2010 Top 25 Appendix C: Construction, Selection, and Scoring of the Top 25 Appendix D: Comparison to OWASP Top Ten 2010 RC1 Appendix E: Other Resources for the Top 25 Changes to This Document El listado resumido de los 25 errores: Rank Score ID Name [1] 346 CWE-79 Failure to Preserve Web Page Structure ('Cross-site Scripting') [2] 330 CWE-89 Improper Sanitization of Special Elements used in an SQL Command ('SQL Injection') [3] 273 CWE-120 Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') [4] 261 CWE-352 Cross-Site Request Forgery (CSRF) [5] 219 CWE-285 Improper Access Control (Authorization) [6] 202 CWE-807 Reliance on Untrusted Inputs in a Security Decision [7] 197 CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') [8] 194 CWE-434 Unrestricted Upload of File with Dangerous Type [9] 188 CWE-78 Improper Sanitization of Special Elements used in an OS Command ('OS Command Injection') [10] 188 CWE-311 Missing Encryption of Sensitive Data [11] 176 CWE-798 Use of Hard-coded Credentials [12] 158 CWE-805 Buffer Access with Incorrect Length Value [13] 157 CWE-98 Improper Control of Filename for Include/Require Statement in PHP Program ('PHP File Inclusion') [14] 156 CWE-129 Improper Validation of Array Index [15] 155 CWE-754 Improper Check for Unusual or Exceptional Conditions [16] 154 CWE-209 Information Exposure Through an Error Message [17] 154 CWE-190 Integer Overflow or Wraparound [18] 153 CWE-131 Incorrect Calculation of Buffer Size [19] 147 CWE-306 Missing Authentication for Critical Function [20] 146 CWE-494 Download of Code Without Integrity Check [21] 145 CWE-732 Incorrect Permission Assignment for Critical Resource [22] 145 CWE-770 Allocation of Resources Without Limits or Throttling [23] 142 CWE-601 URL Redirection to Untrusted Site ('Open Redirect') [24] 141 CWE-327 Use of a Broken or Risky Cryptographic Algorithm [25] 138 CWE-362 Race Condition Desde aquí puedes descargar el documento en formato PDF.
Leer más

(IN) Secure Magazine Nº24 , Enero 2010

• February 15, 2010
• cybercaronte

Ya la echábamos de menos, un avance del contenido: Writing a secure SOAP client with PHP: Field report from a real-world project How virtualized browsing shields against web-based attacks Review: 1Password 3 Preparing a strategy for application vulnerability detection Threats 2.0: A glimpse into the near future Preventing malicious documents from compromising Windows machines Balancing productivity and security in a mixed environment AES and 3DES comparison analysis OSSEC: An introduction to open source log and event management Secure and differentiated access in enterprise wireless networks AND MORE!
Leer más

Sockstress, análisis de esta vulnerabilidad del protocolo TCP

• February 11, 2010
• cybercaronte

La vulnerabilidad Sockstress es un nuevo tipo de ataque DoS (Denegación de Servicio) que puede ser realmente devastador. Usando esta vulnerabilidad, se pueden parar servicios fundamentales en equipos con conexiones abiertas a Internet muy rápidamente, en los cuales incluso tendremos que hacer un reinicio para poder volver a funcionar (puede que para un PC no sea tan crítico hacer un reinicio, pero imagina reiniciar servidores...) . Afecta casi cualquier tipo de S.
Leer más

Chuletas para desarrolladores

• February 9, 2010
• tuxotron

Bueno viendo la cantidad y chuletas que han recopilado en devcheatsheet, podemos decir que no son sólo para desarrolladores. Las hay de todos los tipos, lenguajes de programación, seguridad, servidores, sistemas operativos, aplicaciones varias, etc. Un repositorio muy completo y que seguro que te interesa tener en tus marcadores.
Leer más

Cómo crackear una WiFi con seguridad WEP (Video)

• January 31, 2010
• cybercaronte

Aviso: este es sólo un video instructivo, que sobre todo quiere hacer ver lo INSEGURO que es usar WEP en una red WiFi. No seas script kiddie y usa este video como algo donde aprender un poco sobre seguridad (para hacer auditorías) y Linux. Se utiliza el fantástico Live CD Linux llamado Back Track 4 para todo el proceso. Visto en LifeHacker.
Leer más

Cajero trucado para robar tarjetas de crédito

• January 25, 2010
• tuxotron

Visto en twitter.
Leer más

¿Buscas un antivirus gratuito? prueba el nuevo Avast Free 5.0

• January 21, 2010
• cybercaronte

Windows Ya puedes descargar la nueva versión del antivirus Avast. Es más ligero, más rápido y con más opciones incluidas en la versión gratuita. Una de estas nuevas características es el "code emulation", simula el código y si detecta que es sospechoso, lo aisla para luego analizarlo con el nuevo motor heurístico, de esta forma detecta malware que no esté incluido en su base de datos de definiciones de virus.
Leer más

Análisis de Malware en 5 pasos

• January 19, 2010
• tuxotron

Muy de vez en cuando me da por juguetear con este tipo de cosas y dice el refrán, el que juega con fuego se acaba quemando, así para no quemarnos, vamos a ver como poder analizar Malware de forma segura en 5 sencillos pasos. Paso 1.- Prepara tu laboratorio de análisis, ya sea físico o virtual. Hoy en con el avance en la virtualización de sistemas, prácticamente no necesitamos un laboratorio físico.
Leer más