Se ha publicado un sencillo exploit que permite
provocar una denegación de servicio en todas las versiones de Apache.
Esto significa que se puede dejar sin servicio a los servidores web
Apache con la configuración por defecto. De nuevo el responsable del
descubrimiento ha sido Kingcope, que ha dado todos los detalles técnicos
sin avisar previamente. En realidad el fallo se conocía desde 2007.… Leer mas.... | 1 Comment

Un equipo de investigadores ha encontrado la primera vulnerabilidad en el estándar de cifrado AES reduciendo la longitud efectiva de la clave en 2 bits. Esto implica que las longitudes habituales de 128, 192 y 256 bits se han visto reducidas a 126, 190 y 254 bits. ¿Significa que está roto?

AES (Advanced Encryption Standard) es en realidad el algoritmo Rijndael, que pasó a ser un estándar de cifrado aprobado por el gobierno de los Estados Unidos en 2003 para cifrar información clasificada. En su versión de 128 bits está permitido para información Secreta mientras que para información Top Secret requiere claves de 192 o 256 bits. De hecho, fue el primero algoritmo público usado para cifrar información Top Secret gubernamental. Leer mas....

El pasado día 17 de agosto, se publicaba la nueva versión estable (5.3.7) del popular lenguaje de programación PHP. Incluía la corrección de un error de seguridad en la función crypt al utilizarse para generar contraseñas con sal que podría causar un desbordamiento de memoria intermedia. Seis días después lanzan una nueva versión para corregir un error introducido en la corrección.… Leer mas....

Un video recuperado de un celular permitió probar la razón por la que un hombre mató a su ex pareja. Las imágenes que inicialmente fueron eliminadas del móvil por el sospechoso mostraban a su ex con otra persona, lo que derivó en el homicidio.
Como prueba este caso, ninguna evidencia borrada de cualquier soporte tecnológico se elimina totalmente. Puede recuperarse a través de equipos
especializados que incluso logran obtener información de discos duros
destruidos.… Leer mas....

Lamentablemente esta Ley tiene mucha diferencia con relacion al proyecto que se presento, particularmente en los referente a las TICs y a los Delitos Informaticos que ya no se contempla las inclusiones al codigo penal de los formatos digitales en falsedad material, documental, ideologica, etc. y otros aspectos que se encontraban en el proyecto.… Leer mas.... | 1 Comment

HP ha publicado una actualización para evitar una vulnerabilidad de denegación de servicio, explotable de forma remota, en HP Data Protector. El fallo afecta a las versiones 6.0, 6.10 y 611 de HP Data Protector,bajo plataformas Windows 32bit (2000, 2003, XP, 2008 y Vista), HP-UX, Linux y Solaris. La vulnerabilidad, con CVE-2011-2399, reside en el demonio Media Management Daemon (mmd) y podría permitir a un atacante remoto provocar condiciones de denegación de servicio.… Leer mas....

En la conferencia de seguridad CalSecWest que se llevó a cabo en
Vancouver la semana pasada, cuatro investigadores de seguridad
demostraron la factibilidad de ataques “skimming” (clonación) con un
chip -tanto con un tipo de chip inseguro (SDA) como con un tipo que ha
sido considerado seguro (DDA).

Los eurocheques (EC) y las tarjetas de crédito con chip, de acuerdo a
las especificaciones EMV (estándar de interoperabilidad para tarjetas
con microprocesador), están diseñados para obstaculizar el “skimming”,
un método de ataque que consiste en interceptar los datos de usuario y
el PIN (Número de Identificación Personal) de una tarjeta. Leer mas....

CoBIT ha sido, sin lugar a dudas, el recurso dominante para los
profesionales de auditoría de TI y otros cuando se trata de controles de
TI y seguridad. Además, la guía sobre el gobierno del IT Governance
Institute ha estado excelente, ha sido el riskit el marco de ISACA.

Ahora, ISACA ha combinado RiskIT de IT Governance Institute y su
marco ValIT para obtener un nuevo “producto” muy importante: CoBIT 5. Leer mas....

Se han anunciado una vulnerabilidad de denegación de servicio en Wireshark versión 1.6.1 y anteriores.

Wireshark (aún conocido en algunos entornos como Ethereal, su nombre anterior) es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows.

El problema, reside en el disector IKEv1que podría entrar en un bucle infinito y permitir a un atacante remoto causar una denegación de servicio a través de paquetes IKE especialmente manipulados. Leer mas....