Grupo internacional de expertos ha publicado una lista con los 25 errores de programación con mayor potencial de daño. La mayor parte de los agujeros de seguridad en programas informáticos se debe a errores de programación, que podrían ser evitados si los programadores fueran más cautelosos con su trabajo.
Ante tal situación, un grupo internacional de expertos ha elaborado una lista con los 25 peores errores de programación que ocasionan vulnerabilidades. El grupo incluye, entre otros, al ministerio de seguridad interior de EEUU y NSA, la organización japonesa IPA y empresas privadas como Microsoft y Symantec.
La mayoría de los 25 errores de la lista son relativamente desconocidos entre los propios programadores. No forman parte de los estudios de los desarrolladores, y un mínimo de los fabricantes de software no prueban sus productos en busca de errores antes de lanzarlos comercialmente.
A destacar una demostración de MITM (Man-In-The-Middle) a paginas web con SSL. El resultado es bastante espectacular. Se puede leer algo mas de información en castellano en www.kriptopolis.org/ssl-strip
Desde la Fundación Mozilla han anunciado que finalmente ya se encuentra disponible la versión final de Firefox OS Simulator 3.0, una aplicación que nos permite evaluar cómo funciona esta plataforma en PCs y portátiles que utilizan Linux, Windows o Mac OS.
En esta nueva versión se incluyen algunas funcionalidades extra como el soporte para la rotación y la geolocalización.
Entre las novedades de Firefox OS Simulator 3.0 destacan la posibilidad de enviar a un teléfono físico la aplicación que estemos desarrollando mediante conexión USB, con la opción “Push to Device”. También incorpora versiones actualizadas del motor de renderizado y las bibliotecas de la interfaz usuario Gaia (la nueva interfaz de Firefox OS) así como atajos para volver a instalar o reiniciar aplicaciones.
El tamaño del simulador es ahora más pequeño, por lo que, tanto descarga como inicio de la aplicación es más rápido.
Para instalar Firefox OS Simulator 3.0 deberemos agregar un complemento al navegador web Firefox, siendo éste un requisito para poder utilizar el simulador. Luego, será cuestión de lanzar el simulador junto con todas las herramientas para desarrolladores que la Fundación Mozilla está ofreciendo actualmente para facilitar el trabajo de los programadores.
Un nuevo agujero de seguridad ha sido descubierto en los servidores de Google plus que permite a los hackers hacer un ataque DDoS usando el ancho de banda de Google.
Google plus ha sido objeto de pruebas desde ya hace un tiempo y una de las personas encargadas de estas pruebas (de una empresa de seguridad italiana) ha informado de que los servidores de Google plus se pueden utilizar para hacer solicitudes DDos a otros sitios web.
La noticia original de este informe se puede ver en IHTeam un blog de seguridad propiedad de Simone Quatrini. Él demuestra cómo los usuarios pueden hacer uso del servidor de Google para actuar como un proxy y buscar el contenido de cualquier sitio web que desee. También se observa que los servidores de Google son más anónimos que los demás servidores.
Ha mencionado dos métodos, uno que utiliza / _ / sharebox / linkpreview /. Este método no expone su dirección IP para conectarse a los servidores Apache. Pero el otro método, gadgets / proxy? Parece que si que se expone la dirección IP a los servidores.
El equipo también ha publicado un script para shell de linux que permite ejecutar la vulnerabilidad. El script hace una solicitud a los servidores de Google para hacer una petición a una página web. Lo importante del tema es que se utiliza el ancho de banda de Google en lugar del atancante.
Según comenta el autor, hayo otros métodos para atacar de manera más segura, pero lógicamente no los quiere exponer en la red.
Resumiendo, se puede hacer y descargar senzilla y rápidamente cualquier tipo de archivo a través de los servidores de Google haciendo un DDoS.
Mas abajo teneis el video explicativo y el script en bash que usa en el video Simone Quatrini 😀
In this example i start a thread of 1000 requests and the output bandwidth will result in 91/96Mbps (my house bandwidth is only 6Mbps). This is my server, do not start to ddos around for no reason!
Blackbuntu es la distribución de pruebas de penetración, que fue diseñado especialmente para estudiantes de formación en seguridad y profesionales de seguridad de la información. Blackbuntu distro Ubuntu es la base de pruebas de penetración de seguridad con entorno de escritorio GNOME. Es en la actualidad se está construyendo con el Ubuntu 10.10 y de trabajo en la referencia posterior.
Blackbuntu features the following upstream components:
Ubuntu 10.10, Linux 2.6.35 and Gnome 2.32.0 System requirements