Virus informático podría causar graves daños a partir de marzo

Posted on by
Reply

Expertos en seguridad informática aconsejan a usuarios someter a sus computadoras a una prueba en internet para saber si están infectadas con el troyano “DNS-Changer”, que podría causar serios daños a partir de marzo.

Luego de que se desbaratara el ataque perpetrado por hackers con el troyano “DNS-Changer”, expertos en informática aconsejan a usuarios de todo el mundo verificar si sus computadoras están infectadas. Si bien los delincuentes del ciberespacio fueron detenidos en noviembre de 2011 por agentes del FBI en Nueva York, los troyanos podrían haber infectado millones de computadoras en todo el mundo. Algo que comenzaría a provocar graves problemas a partir de marzo.

Servidores inutilizados
El programa viral “DNS-Changer” manipuló la configuración de red de los sistemas Windows y Mac de tal forma que era imposible acceder correctamente a internet. Los usuarios eran desviados a falsas páginas web originadas por unos cien servidores manejados por los hackers.

El objetivo de los piratas informáticos era trocar la publicidad de esas páginas por otra por la cual ellos cobraban comisión. Del mismo modo, ofrecían y vendían a través de esas páginas medicamentos y programas antivirus ilegales, con cuyas ganancias el grupo habría obtenido unos 10 millones de euros.

Luego de que el FBI detuvo a los piratas, los servidores fueron sustituidos primeramente por servidores provisorios que serán desconectados el 8 de marzo próximo, con la consecuencia de que quien tenga al troyano dentro de su computadora no podrá acceder a internet, ya que serán derivados a servidores que ya no existen. Por eso, los expertos recomiendan someter a prueba a las computadoras.

Página de prueba en Alemania
Según un comunicado de la Oficina Federal de Investigación (BKA), sólo en Alemania hay, de acuerdo con el FBI, cerca de 33.000 computadoras afectadas por día. La Oficina Federal de Seguridad Informática (BSI), junto con la Oficina Federal de Investigación y la Telekom han creado la página www.dns-ok.de, que prueba las computadoras en forma automática.

Si se visita esa página, la misma comunica inmediatamente que no hay peligro con el siguiente mensaje: “Ihre DNS Konfiguration ist korrekt” (Su configuración de DNS es correcta). De estar presente el troyano en la computadora, aparece un mensaje de alarma en rojo: “Achtung: Ihre DNS Konfiguration ist manipuliert” (Su configuración de DNS ha sido manipulada). En ese caso, también se dan recomendaciones sobre cómo extirpar el virus y cómo volver a configurar el sistema correctamente.

Autor: Dirk Eckert/ Cristina Papaleo – Editor: Enrique López
Fuente: DW-World IT

¿Por qué no debemos tomarnos la #SOPA? Antecedentes de la censura en Internet

Posted on by
Reply

Desde pequeños a la gran mayoría de los niños, no les agrada tomarse la sopa, es curioso que ahora ya de grandes nos quieran imponer tomarnos la SOPA, pero que es esta SOPA.

En 26 de Octubre del 2011, en los Estados Unidos de Norteamérica, la cámara de representantes de dicho país presento un proyecto de ley cuyas siglas son y significan:

S…top
O…nline
P…Piracy
A…ct

Pero en que consiste este proyecto con un nombre tan culinario, esta es una ley que permite “combatir y filtrar y regular las descargas de información por Internet”, bajo el supuesto amparo de proteger los derechos de autor, se pretende censurar el contenido disponible en las webs, sancionando los DNS e IPS que albergan contenidos que sean denunciados, (pero lo curioso de esta denuncia, es que solo bastara que se obtenga una denuncia, no necesariamente deberá comprobarse si la información es real), el gobierno podría eliminar dominios, entre otros.

Pero ustedes dirán, que tiene que ver esto con nosotros ello, en que nos afecta si la SOPA se aprueba en Estados Unidos, bueno muchos servidores están alojados en Estados Unidos, allí nos afectaría ello, porque al estar dichos servicios de hosting en ese país, tendríamos muchos problemas de ser objetos de escuchas en nuestras comunicaciones.

Pero para entender esta ley, tenemos que irnos a los antecedentes de la misma, comencemos entonces a surfear por las redes, buscador información para sustentar ello, iniciemos con información sobre el Caso Napster, eran los noventa en donde la transmisión de datos era muy lenta al menos por aquí en Perú. La velocidad era limitada, tener internet en casa o en tu trabajo era sumamente extraño, recién estaban popularizándose algunas cabinas de internet, lo que se hacia en esas épocas, aparte de emplear el MIRC para chating en los canales IRC y hacer descarga de archivos por los famosos FTP’s.

Implicancias de la Ley SOPA

  • Restricción de Servicios que le ofrezcan publicidad al sitio
  • Los proveedores de internet deberán bloquear el acceso al sitio
  • Congelar su fuente de ingresos por ejemplo [PayPal].
  • Los Buscadores deberán eliminar cualquier resultado de búsqueda a la Pagina

La Ley SOPA, se ha convertido ahora en un caldo de cultivo de protestas sociales mediante las redes, hace unos pocos días la empresa GODADDY tuvo que dar marcha atrás en su propuesta de apoyar esta ley, al sufrir un boicot de grandes cadenas que amenazaban con transferir los dominios que tienen alojados en dicha empresa, en la actualidad el colectivo hacktivista ANONYMOUS, esta realizando operaciones en contra de esta ley, mediante la Operación Blackout.

Nacen los dominios “Punto marca” en Internet (ICANN)

Posted on by
Reply

El gobierno de Internet anunció en junio en Singapur la expansión de nombres de dominio. Se podrá registrar casi cualquier extensión como “.apple” o “.music”. Para tenerlos, habrá que pagar 185 mil dólares.

Esta semana comienza la expansión de nombres de dominios. En contra de la voluntad de algunas grandes empresas, a partir del 12 de enero abril cualquier persona o empresa podrá registrar cualquier palabra como extensión de una página web. En la actualidad hay alrededor de 22 tipos de dominios de primer nivel como .com o .org, además de los códigos de países como .es para España. Las empresas creen que ya es suficiente y 40 grandes corporaciones, como por ejemplo Coca-Cola, se han quejado de que con la expansión del dominio se elevan los costes y aumenta el riesgo de fraude y suplantación (ver informe de amenazas en PDF) .

Este podría suponer uno de los mayores cambios en internet desde su creación hace décadas, y estará coordinado por ICANN (Internet Corporation for Assigned Names and Numbers), es responsable de asignar espacio de direcciones numéricas de protocolo de internet (IP), así como la administración del sistema de nombres de dominio de primer nivel genéricos (gTLD) y de códigos de países (ccTLD). El lanzamiento de los llamados “puntos de la marca” es el último gran cambio en las estrictas normas que rigen la nomenclatura de internet desde el lanzamiento de .com en 1985.

Tener dominios de Internet como apple.com, google.com ya no será tan cool como antes. Tampoco será cool tener dominios de países como educ.ar, bit.ly, t.co o data.co.uk. Lo verdaderamente cool será tener dominios propios, es decir, realmente propios, algo como ipad.apple, mark.facebook, coolpix.nikon. Apple, Facebook y Nikon tienen en sus arcas disponibles los 185 mil dólares que se necesitarán para “aplicar” a un nuevo dominio, y ese millón de dólares anuales que significará para la empresa mantener el nombre propio funcionando.

Los solicitantes deberán pagar una tarifa de evaluación estima que 185.000 dólares y una cuota de 25.000 dólares anuales y someterse a un examen riguroso que incluye verificación de antecedentes penales, algo que no se hace ahora para el registro de dominio de segundo nivel. Salvo contratiempos, las nuevas direcciones deberían comenzar a funcionar a principios de 2013.

“La decisión nos llevará a una nueva era de Internet”, declaraba ayer Peter Dengate Thrush, jefe del directorio de ICANN. “Hemos provisto la plataforma para una nueva generación de creatividad e inspiración”, aseguró en el anuncio. Una pregunta capciosa: ¿entre un poderoso productor de manzanas de California y una empresa como Apple, ambos detrás del dominio “.apple”, a quién le dará el dominio la ICANN?

“Si bien es cierto que podría favorecer a grandes empresas, también se podrá hacer un reconocimientos a otras organizaciones, culturas, ciudades y a otros jugadores que entrarán en el negocio”, dice Piazza. Se sabe que los lobbies de las grandes marcas fueron perpetrados a través de las empresas que gestionan dominios, sin necesidad de poner el cuerpo personalmente. De hecho, representantes de Xerox, Canon, Nikon, recorrieron las reuniones de Icann en estos años con nombres cambiados y un perfil bajísimo. Se estima que los grandes beneficiarios de esta movida serán quienes ya administran dominios (empresas como VeriSign, por ejemplo) y algunos otros que se vienen preparando sin levantar polvareda.

Un caso testigo mencionado como ejemplo de lo que viene fuera de lo comercial es el “.cat” que ya existe y refiere a todo aquel contenido creado en catalán. Sus administradores convencieron a Icann de que era necesario liberar nombres de dominios en su nivel más alto para otros “países” sin Estado, ciudades del mundo entero, dialectos dentro de países u otras comunidades autónomas que serán consideradas por Icann, y –si se acepta un pedido especial– deberían tener prioridad y un precio notablemente más barato que los nuevos dominios comerciales.

Fuentes:

  1. Página 12
  2. Marketing Directo
  3. Mark Monitor

Gestión de sesiones web

Posted on by
Reply

Esta serie de artículos publicada por INTECO sobre la gestión segura de sesiones web, de la que dependen un gran número de los servicios de Internet, comienza describiendo qué es una sesión y el principal medio por el que se consigue: los identificadores de sesión.

Los portales web reconocen las acciones que el usuario ha realizado anteriormente: si se ha registrado, qué elementos ha visitado, las compras añadidas a la cesta, etc. Y según está información modifican su contenido o funcionalidad. Para conseguir esto, establecen una sesión web entre el servidor y navegador web del usuario.

Si HTTP, el protocolo con el que se interectúa con las páginas web, no está orientado a conexión (se abre en nueva ventana), ya que por sí mismo no proporciona manera de almacenar las acciones que el navegante realiza en una página web, ¿cómo es posible?.

Aunque HTTPS sí está orientado a conexión la información que almacena sólo es relativa a la gestión de la conexión segura.
Identificadores de sesión.

Para mantener sesiones web (se abre en nueva ventana) el navegador y el servidor web comparten un identificador único (se abre en nueva ventana) que el navegador web incluye en cada petición HTTP o HTTPS al portal (generalmente mediante cookies aunque existen otros métodos). De este modo, por medio de este identificador, el servidor web puede reconocer que la petición que recibe pertenece a un determinada sesión, almacenar la información de esta petición que le interese y responder a ella según la información almacenada anteriormente.

Normalmente, al autenticarse un usuario en una página web o portal, se incluye en la información de sesión el identificador del usuario; de este modo, en peticiones HTTP posteriores el portal reconoce a través del identificador de sesión a qué usuario corresponde esa petición y puede asociarle las peticiones realizadas y personalizar su contenido según él. Del mismo modo, al salir un usuario de un portal o aplicación web se debe cerrar la sesión web.

Vulnerabilidad permitiría dejar sin servicio a la mayoría de servicios web

Posted on by
Reply

Una vulnerabilidad que afecta a la gran mayoría de las plataformas de servicios web actuales podría permitir la realización de ataques de denegación de servicio.

La vulnerabilidad fue presentada por dos investigadores en una conferencia en el ya mítico congreso Chaos Communication Congress, organizado por el Chaos Computer Club.

El problema afecta a una larga lista de tecnologías de desarrollo web, incluyendo PHP, ASP.NET, Java, Python, Ruby, Apache Tomcat, Apache Geronimo, Jetty o Glassfish. Concretamente versiones:

Básicamente es más fácil decir a los lenguajes que no afecta: Perl y CRuby 1.9.

La base de la vulnerabilidad reside en que prácticamente todos los lenguajes almacenan en tablas hash los valores de los parámetros de las peticiones web. Pero las funciones hash empleadas se ven afectadas por colisiones. Por lo que es fácil generar peticiones con parámetros que tengan el mismo hash. De forma que cuando el servidor inserta los valores en la tabla hash se ve obligado a realizar un gran número de operaciones. Lo que, con un número adecuado de parámetros, provoca la denegación de servicio.

Este problema no es nuevo, básicamente es idéntico a otro ya conocido desde 2003, que afectaba a Perl. Motivo por el que este lenguaje ya incorpora la adecuada solución, que pasa por aleatorizar la clave empleada para calcular el hash. De esta forma, el atacante no podrá precalcular parámetros con hashes que provoquen colisiones. Otra forma de evitar el fallo, mucho más sencilla, pasa por limitar el número de parámetros procesados en cada petición.

Para tener una idea del alcance problema, en un sistema con Intel Core i7 sobre una aplicación PHP, bastarían 500k de datos POST para ocupar un minuto de tiempo de cálculo de CPU. De tal forma que bastaría con una conexión de entre 70 a 100 kbits/s para mantener ocupada una CPU de este tipo.

Los principales lenguajes ya han publicado actualizaciones y parches que corrigen esta vulnerabilidad, que pueden ser descargadas desde la página oficial de cada uno de ellos.

Microsoft, por ejemplo, ha publicado un boletín de urgencia para corregir esta vulnerabilidad en Microsoft .NET Framework (si bien este problema no es considerado crítico), y además solucionar otras tres vulnerabilidades (una de ellas crítica).

Apache Tomcat ha implementado una contramedida para evitar los efectos de un posible ataque, para lo que proporciona la nueva opción “maxParameterCount” que limita el número de parámetros procesados en cada petición. Por defecto está fijado a 10.000, suficientemente alto para soportar cualquier aplicación y suficientemente bajo para mitigar los efectos del DoS. Esta contramedida está disponible en las ramas 7.0.23 (en adelante) y 6.0.35 (en adelante).

En PHP una contramedida pasa por limitar el tiempo de CPU de generación de una respuesta mediante “max_input_time”.

Otras actualizaciones:

  • Ruby: actualización a la versión 1.8.7-p357.
  • PHP 5: corregido a través de repositorios SVN.
  • Rack: corregido a través de repositorio GIT.
  • Apache Tomcat: actualización a las versiones 5.5.35, 6.0.35, y 7.0.23.
  • JRuby: actualización a la versión 1.6.5.1.

Más información:

#2011-003 multiple implementations denial-of-service via hash algorithm collision
http://www.ocert.org/advisories/ocert-2011-003.html

Efficient Denial of ServiceAttacks on Web ApplicationPlatforms
http://events.ccc.de/congress/2011/Fahrplan/attachments/2007_28C3_Effective_DoS_on_web_application_platforms.pdf

Microsoft Security Bulletin MS11-100 – Critical
Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (2638420)
http://technet.microsoft.com/es-es/security/bulletin/ms11-100

[SECURITY] Apache Tomcat and the hashtable collision DoS vulnerability
http://mail-archives.apache.org/mod_mbox/www-announce/201112.mbox/%3C4EFB9800.5010106@apache.org%3E

Denial of Service through hash tablemulti-collisions
http://www.nruns.com/_downloads/advisory28122011.pdf

Denial of Service via Algorithmic Complexity Attacks
http://www.cs.rice.edu/~scrosby/hash/CrosbyWallach_UsenixSec2003/index.html

CCC Event blog – 28C3
http://events.ccc.de/

Fuente: Hispasec

(In)seguridad Wi-Fi, no uses WPS (Wi-Fi Protected Setup)

Posted on by
Reply

Un investigador y el CERT de USA han dando a conocer una vulnerabilidad, y como explotarla, en el mecanismo WPS de los routers y AP inalámbricos haciendo inútil la configuración y cifrado que se esté usando.

El WPS (Wi-Fi Protected Setup) es un estándar que promueve la Wi-Fi Alliance para hacer redes WLAN seguras. WPS no es un mecanismo de seguridad en si, sino la descripción de mecanismos para facilitar la configuración de la red inalámbrica facilitando la misma al usuario, y es independiente del mecanismo de cifrado usado.
Stefan Viehböck describe en su blog que el mecanismo WPS (Wi-Fi Protected Setup) con PIN es susceptible a ataques exitosos por fuerza bruta. La vulnerabilidad ha sido registrada por el CERT de USA con la identificación VU#723755. La lista de proveedores de equipos incluyen a Linksys(Cisco), Belkin, Netgear, D-Link, TP-Link, ZyXEL y otros. Y en su trabajo de investigación Stefan explica que:

Hasta donde sé ningún proveedor ha reaccionado ni publicado firmware con alguna mitigación.

Como la mayoría de los routers Wi-Fi actuales vienen con WPS activado por defecto, se estima que son millones los aparatos susceptibles de se atacados.

La recomendación es desactivar WPS en los routers, al menos en su formato con PIN y también verificar que se esté utilizando WPA2, ya que otros mecanismos de protección de conexiones Wi-Fi como WEP y WPA son vulnerables hace varios años y por ello considerados inseguros.

Stefan promete publicar una herramienta para aprovechar esta vulnerabilidad, una forma de presionar a los fabricantes para actualizar y corregir el problema.

Vulnerabilidad en servidores ASP.NET permite ataques DoS

Posted on by
Reply

Una vulnerabilidad que afecta a todas las versiones de Microsoft .NET Framework permite realizar ataques sencillos a servidores que tengas páginas ASP.NET

En el Security Advisory 2659883 publicado por Microsoft se detalla el problema y la forma de mitigarlo. También se aclara que los sitios que provean solo páginas estáticas o tengan deshabilitadas las de contenido dinámico, no son vulnerables.

El problema está en la forma que ASP.NET procesa los valores de los form ASP.NET en el POST que causa una colisión de hash. Es posible que se envíe a uns servidor ASP.NET un número dado de posts preparados especialmente para degradar de forma tan significativa al mismo que provoque una condición de denegación de servicio.
El director del centro de Microsoft Trustworthy Computing, Dave Forstrom, dice que no tienen conocimiento de ningún ataque hasta el momento que se aproveche de esta vulnerabilidad, pero recomienda tomar las medidas para mitigar la misma contra este método de ataque.

Boletin: http://technet.microsoft.com/en-us/security/advisory/2659883
MSRC: http://blogs.technet.com/b/msrc/archive/2011/12/28/microsoft-releases-security-advisory-2659883-offers-workaround-for-industry-wide-issue.aspx

Microsoft cerró diciembre 2011 con 13 boletines de seguridad

Posted on by
Reply

Microsoft ha publicado 13 boletines de seguridad (del MS11-087 al MS11-99) correspondientes a su ciclo habitual deactualizaciones. Según la propia clasificación de Microsoft tres de los boletines tienen un nivel de gravedad “crítico”, mientras que el resto presentan un nivel “importante”. En total se han resuelto 19 vulnerabilidades.

A esperas de acabar el año, Microsoft ha publicado un total de 99 boletines (el año pasado publicó 106 boletines), en los que ha corregido un total de 194 vulnerabilidades. Durante el 2011 la compañía de Redmond no ha publicado ningún boletín fuera de su ciclo habitual.

Los boletines “críticos” son: 

  • MS11-087: Se trata de una actualización destinada a solucionar una vulnerabilidad de ejecución remota de código arbitrario si un usuario abre un documento especialmente diseñado o visita una página web maliciosa que inserta archivos de fuentes TrueType. Esta actualización es de gran importancia debido a que viene a corregir el problema del que se aprovechaDuqu (el troyano del que tanto se ha hablado en los últimos meses). Afecta a Microsoft Windows XP, Server 2003, Vista, Windows 7 y Windows Server 2008.
  • MS11-090: Actualización de seguridad acumulativa de bits de interrupción de ActiveX contiene nuevos bits de interrupción y todos los bits de interrupción publicados anteriormente. Afecta a Microsoft Windows XP, Server 2003, Vista, Windows 7 y Windows Server 2008.
  • MS11-092: Actualización que soluciona una vulnerabilidad de ejecución remota de código arbitrario en el Reproductor de Windows Media y Windows Media Center, a través de un archivo de grabación de vídeo digital de Microsoft (.dvr-ms) específicamente creado.

Los boletines clasificados como “importantes” son: 

  • MS11-088: Actualización para solucionar una vulnerabilidad en bMicrosoft Office IME (chino).
  • MS11-089: Trata de una vulnerabilidad en Microsoft Office, que podría permitir la ejecución remota de código si un usuario abre un archivo de Word especialmente creado. Afecta a Microsoft Office 2007, 2010 y Office para Mac 2011.
  • MS11-091: Boletín destinado a corregir tres vulnerabilidades en Microsoft Office, que podría permitir la ejecución remota de código arbitrario si un usuario abre un archivo de Publisher específicamente diseñado. Afecta a Microsoft Office 2007 y 2010.
  • MS11-093: Actualización para corregir una vulnerabilidad en OLE podría permitir la ejecución remota de código. Afecta a Windows XP y Windows Server 2003.
  • MS11-094: Boletín destinado a corregir dos vulnerabilidades en Microsoft Office, que podría permitir la ejecución remota de código arbitrario si un usuario abre un archivo de PowerPoint específicamente diseñado. Afecta a Microsoft Office 2007, 2010 y Microsoft Office 2008 para Mac.
  • MS11-095: Actualización para corregir una vulnerabilidad de ejecución remota de código en Active Directory, Active Directory Application Mode (ADAM) y en el servicio de directorio ligero de Active Directory (AD LDS).
  • MS11-096: Actualización para corregir una vulnerabilidad en Microsoft Office, que podría permitir la ejecución remota de código arbitrario si un usuario abre un archivo de Excel específicamente manipulado. Afecta a Microsoft Office 2003 y Microsoft Office 2004 para Mac.
  • MS11-097: Actualización para corregir una vulnerabilidad de elevación de privilegios en el subsistema de tiempo de ejecución de cliente-servidor de Windows. Afecta a Microsoft Windows XP, Server 2003, Vista, Windows 7 y Windows Server 2008.
  • MS11-098: Actualización para corregir una vulnerabilidad de elevación de privilegios en el kernel de Windows. Afecta a Windows XP, Server 2003, Vista, Windows 7 y Windows Server 2008.
  • MS11-099: Actualización acumulativa para Microsoft Internet Explorer que además soluciona tres nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 6,7, 8 y 9.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.

Consejos para desarrolladores de Android

Posted on by
Reply

Cuando se habla del desarrollo de aplicaciones para dispositivos móviles es necesario tener en cuenta una serie de puntos acerca de la plataforma con el objetivo de garantizar la seguridad. Android es un sistema operativo para smartphones que contiene aplicaciones. Por defecto el sistema viene instalado con un conjunto de aplicaciones básicas como lo son el teléfono, correo, agenda de contactos y algunas más. Sin embargo cuando un desarrollador quiere crear su propia aplicación para esta plataforma debe seguir una serie de buenas prácticas al utilizar las API de Android y el SDK provisto por Google.

Las aplicaciones para esta plataforma se encuentran desarrolladas en Java y se ejecutan dentro de una máquina virtual, y para ser instalada en el sistema se distribuyen como archivos con extensión APK. Estas aplicaciones pueden estar disponibles en el Android Market publicadas por su desarrollador o en otros repositorios de aplicaciones no oficiales.

Android se encuentra basado en Linux, incluyendo además, sus propios mecanismos de seguridad adaptados para los smartphones. De esta manera el sistema operativo logra combinar una serie de funcionalidades como memoria compartidamultitarea, identificadores de usuarios (UIDs), permisos de archivoJava y toda su conocida estructura. El resultado de estas combinaciones lo convierte un sistema multiusuario, donde cada aplicación se ejecuta en un proceso separado bajo un UID diferente y con sus propios permisos.

Parte del modelo de seguridad de Android basado en estas características genera que un programa no pueda escribir el código o los datos de otra aplicación. En el caso que dos aplicaciones deseen compartir información dicha interacción debe ser explícita a través de distintos componentes del sistema:

  • Activity: permiten iniciar llamadas a distintos componentes del sistema, permiten la interacción con el usuario.
  • Service: permiten el procesamiento en segundo plano, suelen ser utilizados para el control de aplicaciones, recursos del sistema.
  • Content Provider: es una interfaz estandarizada para compartir datos o información entre la misma aplicación o con otra.
  • Broadcast Receiver: es una interfaz para recibir eventos (Intents) asociados a determinadas acciones. Por ejemplo la recepción de un mensaje de texto.

El componente con el cual se realiza la comunciación puede estar en la misma aplicación o pertenecer a otra. Dicha interacción es a través de los Intents. Un Intent es un objeto utilizado para la señalización entre componentes, permite iniciar la interfaz de usuario de una aplicación, enviar un mensaje entre componentes o iniciar un servicio en segundo plano. Además cada aplicación de Android contiene un archivo con nombre AndroidManifest.xml que contiene:

  • los componentes contenidos en la aplicación
  • reglas de acceso
  • dependencia de las rutinas
  • permisos del sistema necesarios

Como Android se centra en ICC (Inter Component Communication, en español, Comunicación entre Componentes) el manifiesto de Android le permite a los desarrolladores permitir una política de control y acceso a sus componentes. Como existen algunas excepciones, a continuación compartimos con ustedes una serie de buenas practicas para los desarrolladores de Android:

  • Definir atributos de privacidad (“exported”): esto se debe a que los componentes pueden ser públicos o privados. Si no se define correctamente esta política los componentes de la aplicación podrían ser accedidos por una aplicación ajena.
  • Definir permisos de acceso para todos los componentes: esto se debe a que si el acceso no se encuentra definido mediante una llamada remota al componente, una aplicación podría conectarse a un recurso para el cual no tiene acceso. Por ejemplo la ejecución remota de código que permita leer el contenido de la tarjeta SD.
  • Siempre especificar los permisos de acceso a los Intent Broadcast: si no se define una etiqueta  de permisos al emitir un Broadcast, cualquier aplicación podría leerlo.
  • Definir de manera separada los permisos de lectura y escritura: El intercambio de contenidos no tiene por qué ser todo o nada, según el recurso se pueden definir permisos de manera separada, garantizando la integridad y confidencialidad de la información.
  • Seleccionar los permisos de la aplicación con criterio: cada uno de los permisos solicitados en el Android Manifest para los componentes de la aplicación deben ser los mínimos necesarios para su funcionamiento. De otra manera se abre la puerta a la utilización de los componentes para fines maliciosos.
  • Proteger la información confidencial: Al almacenar información sensible del usuario o de sus contactos siempre es recomendable que se encuentre cifrada incluso si se va a almacenar dentro de una base de datos en el dispositivo.
  • Definir los permisos de acceso al sistema de archivo: como Android se encuentra basado en Linux es posible definir permisos a nivel de archivo dentro del sistema de archivos evitando que una aplicación bajo un disinto UID acceda a ellos.
  • Cifrar la comunicación: cuando una aplicación envía información a una dirección URL intenta cifrar los datos, ya que si la comunicación es bajo HTTP y se envían las contraseñas en texto plano podrían ser interceptadas por un atacante.

La política de permisos de Android que se puede definir en el Android Manifest es bastante clara y específica. Sin embargo se le debe prestar especial atención ya que una mala definición de permisos podría permitirle a una aplicación maliciosa acceder a información sensible del usuario. Cualquier proceso de desarrollo de software el proceso de testing es de suma importancia, además de garantizar un correcto funcionamiento se debe tener en cuenta la seguridad. Como desarrollador de aplicaciones no solo es necesario que la aplicación funcione correctamente sino que además le garantice al usuario la seguridad de su información.

Fuente: ESET Latinoamérica

Windows Defender Offline, protege el ordenador fuera de Windows

Posted on by
Reply

Microsoft acaba de presentar una nueva versión fuera de línea de su antivirus Windows Defender. Es una herramienta de seguridad informática bastante útil, porque actúa fuera de Windows. Se llama Windows Defender Offline y está en fase beta. Permite escanear el sistema para localizar virus, troyanos y otros códigos maliciosos, pero además elimina el malware.

Funciona como un arranque limpio, antes de que se inicie el sistema operativo Windows instalado en el ordenador. Por eso, es capaz de detectar los virus de tipo rootkit que se activan durante el proceso de arranque. A diferencia del Windows Defender que viene integrado en Windows, es necesario descargar la versión Offline. Luego debes crear un CD, un DVD o una llave de memoria USB en un ordenador que no esté infectado.

El disco CD o DVD debe ser virgen y la llave de memoria USB debe estar recién formateada. También tienes la posibilidad de crear un archivo ISO (una imagen de disco) para crear un disco CD posteriormente. Cuando tengas la nueva unidad completa (CD, DVD o memoria USB), debes insertarla en el ordenador que desees escanear para buscar infecciones y reiniciarlo. La unidad que Windows Defender Offline ha creado contiene todo el software necesario para que el sistema arranque.

Puedes elegir entre tres opciones de escaneado (completo, rápido o personalizado), aunque es recomendable el completo, aunque tarde más. Tampoco interesa excluir ninguna clase de fichero ni directorio del escaneado, aunque esa opción exista. También puedes consultar un historial de los ficheros infectados que ha detectado y, en su caso, de los que estén en cuarentena. Si encuentra un archivo con malware, además lo elimina.

Una advertencia importante. Nunca reutilices el disco CD o DVD creado con Windows Defender Offline, no sirve para una segunda ocasión, porque las bases de firmas de virus no estaría actualizada. Tampoco vale reusar la llave de memoria USB; habrá que volver a formatearla. La unidad de arranque no sólo debe estar limpia, sino que además debe tener las firmas de virus al día. Para ello, cada vez necesites esta herramientas, deberás volver a crear una unidad nueva desde un ordenador limpio conectado a Internet.

Desde aquí puedes descargar la beta de Windows Defender Offline, que está disponible para sistemas de 64 bits y de 32 bits.