Checkmarx promociona la inovación en codificación segura

Una parte importante en el desarrollo de aplicaciones o software es mantenerlos seguros; implementar diferentes funciones que proporcionen seguridad, así como también tratar de evitar la mayor cantidad de vulnerabilidades en el código.


InfoWorld
29 de Octubre de 2009

Un compilador virtual escanea el código en tiempo real, proporcionando la capacidad de corregir fallas desde las primeras etapas de desarrollo.

Checkmarx anunció una tecnología esta semana, la cual describe como una innovación en la codificación segura.

El compilador virtual Checkmarx permite que el código sea escaneado en tiempo real sin utilizar un compilador, dando a los desarrolladores, auditores y profesionales de seguridad, capacidades de codificación segura y corrección de defectos en las primeras etapas del desarrollo.

"La mayoría de las cuestiones de seguridad pueden atribuirse a vulnerabilidades de código", dijo Checkmarx. De acuerdo con la compañía, las herramientas de análisis estático han sido utilizadas para luchar contra las vulnerabilidades de software, pero estas requieren que el proyecto esté casi terminado antes de que pueda iniciarse el escaneo.

El compilador virual de Checkmarx le permite a los desarrolladores escanear código sin compilar, por lo que permite el análisis estático desde la etapa inicial del ciclo de vida de desarrollo. Mientras tanto, los auditores de seguridad pueden llevar a cabo las auditorías en cualquier momento sin tener que emular un entorno de desarrollo.

"El compilador virtual Checkmarx hace que los desarrolladores puedan finalmente corregir el código desde la línea de montaje en lugar de hacerlo hasta que el software está casi en puerta", dijo el director y fundador Maty Siman en un comunicado liberado por la empresa.

Es utilizable en cualquier nivel de desarrollo. Además, el producto es compatible con entornos Linux, Windows y Solaris y lenguajes como Java, C/C++ y Salesforce.com Apex.

Fuente:
Departamento de Seguridad en Computo
InfoWorld

Smashing the stack for fun and profit

En la siguiente liga pueden encontrar el documento en español:

http://www.govannom.org/seguridad/11-buffer-overflows/96-smashing-the-stack-for-fun-and-profit-castellano.html

:)

Evolt

One of the founding members of evolt.org, Adrian Roselli, has provided the archive as well as its support through his company, Algonquin Studios.
Lots of legacy browsers...

Microsoft Security Bulletin Summary for October 2009

Published: October 13, 2009

Version: 1.0

This bulletin summary lists security bulletins released for October 2009.

With the release of the bulletins for October 2009, this bulletin summary replaces the bulletin advance notification originally issued October 8, 2009

Bulletin Information

Executive Summaries

The following table summarizes the security bulletins for this month in order of severity.

For details on affected software, see the next section, Affected Software and Download Locations.

Bulletin ID	Bulletin Title and Executive Summary	Maximum Severity Rating and Vulnerability Impact	Restart Requirement	Affected Software
MS09-050	Vulnerabilities in SMBv2 Could Allow Remote Code Execution (975517) This security update resolves one publicly disclosed and two privately reported vulnerabilities in Server Message Block Version 2 (SMBv2). The most severe of the vulnerabilities could allow remote code execution if an attacker sent a specially crafted SMB packet to a computer running the Server service. Firewall best practices and standard default firewall configurations can help protect networks from attacks that originate from outside the enterprise perimeter. Best practices recommend that systems that are connected to the Internet have a minimal number of ports exposed.	Critical Remote Code Execution	Requires restart	Microsoft Windows
MS09-051	Vulnerabilities in Windows Media Runtime Could Allow Remote Code Execution (975682) This security update resolves two privately reported vulnerabilities in Windows Media Runtime. The vulnerabilities could allow remote code execution if a user opened a specially crafted media file or received specially crafted streaming content from a Web site or any application that delivers Web content. An attacker who successfully exploited these vulnerabilities could gain the same user rights as the local user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.	Critical Remote Code Execution	May require restart	Microsoft Windows
MS09-052	Vulnerability in CWindows Media Player Could Allow Remote Code Execution (974112) This security update resolves a privately reported vulnerability in Windows Media Player. The vulnerability could allow remote code execution if a specially crafted ASF file is played using Windows Media Player 6.4. An attacker who successfully exploited this vulnerability could gain the same user rights as the local user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.	Critical Remote Code Execution	May require restart	Microsoft Windows

Vea las demás vulnerabilidades que este boletín contempla, en la página:

http://www.microsoft.com/technet/security/bulletin/ms09-oct.mspx


Más y más vulnerabilidades en Windows. Parece que cada vez se encuentran nuevos problemas de seguridad en el sistema operativo de microsoft y lo que es más impresionante es que por lo menos las más críticas ya tienen exploits disponibles y quizá lo interesante y recreativo sería encontrarlo y comprobar cómo es que se puede ejecutar código remotamente. Lo mal es que muchas de estas vulnerabilidades aplican para windows 7, aunque en la página de Microsoft no lo diga....Si ven en la sección Exploitability Index, Bulletin ID MS09-050 y CVE ID CVE-2009-3103 y dan clic en los dos vínculos, se van a dar cuenta de lo que digo, en el 1°, dice que windows 7 no es afectado y en el 2° dice lo contrario....a quien creerle???? Definitivamente creo que es más confiable el National Vulnerability Database.....

"Yo amo ser un hacker. Para mí, un hack, es alguien quien inventa algo que no existe en el mundo. Sé que hay algunos malos pero

11 Octubre, 2009 - 21:02

NUEVA YORK. Unos 500 hackers de todo el mundo llegaron al Open Hack Day de Yahoo!, que este año se realizó a unos pasos de la famosa Times Square y Broadway.

Este evento nació hace seis años y se ha realizado en diferentes partes del mundo.

Durante el fin de semana, Yahoo! se abrió a nuevas ideas, impartió conferencias a los hackers y presentó algunas de sus innovaciones como es el caso de su TV con Widgets, televisión conectada a Internet.

“Es un espacio que nos permite ver y captar talento joven, hemos tenido grandes sorpresas. El ganador del anterior Open Hack Day ya trabaja con nosotros”, comentó en entrevista Chris Yeh, VP de Yahoo! Developer Network.

“La idea principal es que Yahoo! tenga nuevas ideas para que nos permita darle a nuestros usuarios más contenido y entretenimiento en nuestra página”, agregó.

Al mes, Yahoo! recibe más de 300 millones de usuarios y la empresa mira al futuro. “Tenemos relaciones con más de 16 empresas. Lo que nos permite tener en Yahoo! nuevas e innovadoras herramientas”, explicó Yeh.

Un noche con los Hackers

Durante dos días, los hackers presumen sus computadoras Apple, no dejan de teclear, twittean, actualizan sus blogs y olvidan que están en Broadway y las tiendas más famosas del mundo; ellos viven en un mundo virtual.

Durante el día escuchan los consejos de expertos, programan y preguntan. Pero en la noche llega lo bueno: 12 horas ininterrumpidas para trabajar en una aplicación que les permita ganar el premio Yahoo!

Los hackers (de 17 a 45 años) toman café, bebidas energetizantes y devoran chocolates, el azúcar es lo que los mantiene despiertos toda la noche.

Es su universo hack y pasan horas conectados a Internet, pero se dan tiempo de jugar con el Rock Band de los Beatles o de aventarse un futbolito de mesa.

En medio de todo esto, se dedican a programar símbolos y números verdaderamente extraños para quien no está familiarizado con la tecnología. Es su lenguaje y es su mundo, ¿yo? Soy un intruso.

Pronósticos

¿Cual es el futuro de In-ternet?

“Va a estar abierto a toda la gente, será gratis y se caracterizará porque el contenido lo haremos todos.

Nosotros ya estamos trabajando para que la gente se divierta en Yahoo!, los contenidos serán lo más importante”, explicó Chris Yeh.

Y continuó: “Antes íbamos por Internet ahora Internet irá por nosotros. Será parte fundamental de nuestras vidas”.

¿Qué opinas de las redes sociales?

Está pasando un gran boom con sitios como Facebook o Twitter, pero hay que tener cuidado, ahora todo es muy dudoso pues a quien llamas “amigo”, puedes estar compartiendo información con la gente incorrecta. Con el tiempo, la gente tendrá que dividir sus contactos en amigos, colegas, y conocidos”.

Según datos de Yahoo!, 13% de personas en el mundo usa Messenger y cerca de 30% una red social. Sólo en México, 13.6 millones de mexicanos son usuarios de Internet.

http://eleconomista.com.mx

Facebook CAPTCHA no match for spyware attack

Hackers have found automated way to evade Facebook security, create rogue accounts

By Brad Reed , Network World , 10/01/2009

Hackers have found a way to create automated Facebook pages and are using them to spread spyware to unsuspecting users, says antivirus and Internet security firm AVG Technologies.

In a blog entry posted Thursday morning, Research Chief Roger Thompson said that AVG's LinkScanner users had started detecting some "rogue spyware attacks" that were coming from Facebook pages. When AVG started looking at the pages, it noticed that the Facebook profiles featured pictures of the same woman and merely had different names to differentiate them. Each page had a link to a supposed video that would infect user computers with spyware if clicked.

Thompson says that there are likely untold numbers of such rogue Facebook profiles on the Web right now, meaning that the hackers have somehow found a way to bypass Facebook's CAPTCHA system that requires users to retype a series of letters to activate an account. Thompson said that while Facebook will certainly delete any rogue accounts it finds, the accounts "can't be an easy thing for them to find" and will thus be difficult to eliminate.

The Facebook spyware attack coincides with an FBI warning released today saying that cybercriminals are increasingly using social networking websites such as Facebook to launch attacks. Among the popular techniques used by hackers are hijacking a user's account and sending spam to their friends that leads to a phishing site; creating applications on the site that include malware or rougue antivirus software; and using malware to gain access to users' personal information on their profiles.

http://www.networkworld.com/news/2009/100109-facebook-spyware.html?source=NWWNLE_nlt_security_2009-10-02

Justamente lo que estabamos platicando en la clase esta semana, romper los captchas.... creo que esta noticia nos da una idea de la realidad de las cosas o de la situación, los atacantes cada vez van mejorando sus tecnicas y van enfocando sus activiades a sitios que pueden ser muy redituables para ellos, como las redes sociales. Lo interesante sería saber el método que utilizaron para romper los captchas de facebook, para darnos una idea del conocimiento que se necesita para llevarlo a cabo. Definitivamente creo que los atacantes siempre van a estar un paso adelante de los encargados e investigadores de seguridad y el reto estará en llevarles el paso o tratar de aventajarles.