El Ministerio de Vivienda, Construcción y Saneamiento del Perú tenía una plataforma de comunicaciones de correo electrónico limitada y obsoleta, basada en SUSE Enterprise Linux con Postfix y Horde para clientes Web. Los usuarios utilizaban Microsoft Outlook en diferentes versiones para consultar sus correos, lo que presentaba muchos inconvenientes debido a su antigüedad y configuración. Además la plataforma requería de un servidor exclusivo para este servicio. El principal problema que enfrentaba el Ministerio consistía en la falta de escalabilidad y seguridad, la reducida flexibilidad en su administración y la interfaz de usuarios restringida.

El instituto SANS ha publicado un informe periódico de riesgos de seguridad. Para ello se ha basado en los datos de los ataques recibidos por 6000 organizaciones protegidas con los IPSs TippingPoint, 9.000.000 de sistemas escaneados por Qualys, y otra información del Internet Storm Center. Dicha información pertenece al periodo entre Marzo y Agosto de 2009.

Si ya tiempo atrás hablábamos de los potenciales riesgos de phising debido a la gripe porcina, existe una nueva posibilidad de un ataque de este tipo.

Primera parte de esta entrada: 1/2 Fortificación del servicio SSH.

    * PasswordAuthentication (por defecto: si)

El método más seguro para autenticar contra un servicio SSH es el uso de certificados y la prohibición de otras opciones más clásicos y sencillas de automatizar en un posible ataque. Si se modifica la directiva PasswordAuthentication a "no", solo usuarios con certificados correctamente configurados podrán conectar al sistema.

Lo reconozco: adoro hablar de estos temas, y creo que ha quedado patente desde hace varios posts. El escenario es siempre parecido, la cuestión es sacar un servicio revolucionario, que se hable de ello, que todo el mundo se registre en él y entrar dos veces contadas, se twittee, se tumblree, se flickree, se facebookee, salga incluso en periódicos y revistas, y que finalmente lo que se supone que es más importante (por lo menos para mi como usuario) quede en entredicho : La seguridad

El fabricante especialista en aplicaciones de recuperación de ficheros prepara una versión de su Easy Recovery que permite recuperar un archivo de forma gratuita.

Según el último informe de PandaLabas, cada día, aparecen una media de 37.000 nuevos ejemplares de virus, gusanos, troyanos y otras amenazas de seguridad, pero más de la mitad no duran más de un día.

De piedra me he quedado al leer una noticia en El Mundo relativa a la detención de un individuo de Gerona, por haber solicitado préstamos a diferentes entidades bancarias, a nombre de sus empleados, todo ello a través de Internet.

Por lo que cuenta la noticia, diferentes empleados (hasta una centena) en dos empresas de este individuo (Jordi), han sido víctimas de una suplantación de identidad, para tener abiertas diversas cuentas bancarias y préstamos a su nombre, vía online, mediante fotocopias de los DNIs de las mismas.

A la herramienta Brute12, publicada por Yago el año pasado para hacer cracking certificados digitales PKCS12, y bien conocida además por los participantes del Wargame de Campus Party 2009 le ha salido una herramienta hermana: Brute12Unx.

Brute12 es una fantástica herramienta hecha en C, bajo entornos Win32 que se basa en las librerías CAPICOM para probar a cargar un certificado digital PKCS12, probando una a una, las palabras de un diccionario a fin de encontrar la contraseña.

El principal estratega de seguridad de la división de IBM ISS (Internet Security Systems) nos habla en un podcast sobre el lado oscuro de la industria de la seguridad.

Las ocho plagas que están minando la capacidad de los profesionales de la seguridad para montar una línea de defensa eficaz.

El intento de acabar con ellas y motivar hacia el cambio para lograr que vaya a mejor.