Quands.cat

Security survey in United States és un informe elaborat amb les dades recollides en entrevistes a 455 empreses de mida petita i mitjana (fins a 1.000 llocs de treball) als Estats Units durant els mesos d’octubre i novembre del 2007

42% said their networks were not secure even though 96% and 93% of respondents respectively said they had anti-virus and a firewall installed. 80% said they also used spam filtering. This may indicate that small and medium sized businesses are starting to doubt the effectiveness of traditional perimeter security products in protecting them from other security threats, including data leakage and network breaches.

Mapa del respecte a la privadesa pels governs dels països d’arreu del món:

El codi de colors mostra l’abundància del negre, vermell i morat (societats amb un control permanent de les actuacions dels ciutadans) a l’escassetat del verds i blaus, que indiquen societats amb un gran respecte pels drets de privadesa de les persones:

L’informe està disponible a la web de Privacy International, amb les dades separades per països.

A mesura que les aplicacions web han anat guanyant popularitat, la utilització d’Ajax s’ha convertit en quelcom ben normal. És la millor forma d’oferir una capacitat d’interactivitat amb l’usuari i facilitar una forma de funcionament semblant a la que estàvem acostumats en les aplicacions tradicionals.

Però Ajax neix de l’aplicació de múltiples “pegats”… és un autèntic hack on s’utilitzen diverses tecnologies existents des de fa temps pensades per a realitzar altres tasques, però que combinades i utilitzades d’una forma particular permeten una funcionalitat nova i innovadora.

Però tot això també mostra un altre aspecte interessant: la seguretat. Ajax no neix amb un disseny específic i amb totes les consideracions necessàries per a la seguretat.  La simple utilització d’Ajax no implica que una aplicació sigui menys segura. Senzillament, com en tot, cal ser-ne conscients i aplicar tot un seguit de consideracions.

Si a tot això hi sumem el fet que la utilització d’Ajax sovint està emmascarada per la utilització d’entorns de programació i biblioteques de funcions.

El llibre que comento aquí, que encara no he llegit, tracta del tema específic de la seguretat en aplicacions Ajax i del que estic veient força comentaris molt positius:

If you are writing or reviewing Ajax code, you need this book. Billy and Bryan have done a stellar job in a nascent area of our field, and deserve success. Go buy this book. I can’t wait for it to come out.

Is it just a re-hash of old presentations? No. The book breaks some new ground, and fills in a lot of the blanks in all of our presentations and demos. I hadn’t heard of some of these attacks in book form before. The examples improved my knowledge of DOM and other injections considerably, so there’s something there for the advanced folks as well as the newbies.

I really liked the easy, laid back writing style. Billy and Bryan’s text is straightforward and easy to understand. They get across the concepts in a relatively new area of our field.

The structure flows pretty well, building upon what you’ve already learnt … there is advanced stuff, but the authors have to bring the newbie audience along for the ride.

Billy and Bryan spend a bit of time repeating the old hoary “no new attacks in Ajax” meme which is big with the popular kids (mainly because their products can’t detect or scan Ajax code yet and still want money from you), and then spend the rest of the book debunking their own propaganda with a wonderful panache that beats the meme into a bloody pulp and buries it for all time.

Postgres Online Journal és una nova revista online i gratuïta especialitzada en el gestor de base de dades PostgreSQL.

Aquest primer número tracta aquests temes:

• PostgreSQL The Road Behind and Ahead.
• PostgreSQL 8.3 is just around the Corner.
• Converting from Unix Timestamp to PostgreSQL Timestamp or Date.
• Using Distinct ON to return newest order for each customer.
• How to create an index based on a function Intermediate.
• The Anatomy of a PostgreSQL - Part 1.
• How does CLUSTER ON improve index performance Intermediate.
• Language Architecture in PostgreSQL.
• PostGIS for geospatial analysis and mapping.
• Database Abstraction with Updateable Views.

Una de la que no en tenia constància. Ho expliquen a Adobe, bajo sospecha i, certament, és original i curiosa.

Resulta que en inicialitzar les aplicacions incloses a Adobe CS3 (entre les que hi ha el Photoshop, Illustrator, Dreamweaver i altres aplicacions populars en el món de l’edició) s’estableix una connexió HTTP amb la IP 192.168.112.2O7.net

En una visió superficial, pot semblar una connexió a la xarxa local, ja que tots sabem que les xarxes 192.168.0.0/16 estan definides com a xarxes privades a l’RFC 1918.

Però no… no és una adreça 192.168, sinó un nom de domini 2o7.net (no és un número 0, sinó una lletra 0), associat a una IP pública (216.52.17.136) i registrat per una empresa especialitzada en la realització d’estadístiques.

De fet, si aneu a http://www.2o7.net us trobareu un disclaimer indicant que l’empresa és una santa i que només pretén millorar la vostra vida.

La única raó per utilitzar el nom 192.168.112.2O7.net és un intent, mesquí i roí, d’amagar una captació de dades tot semblat una innocent petició entre dos ordinadors de la xarxa local.

Comprar el llibre

La història de la criptografia és una d’aquelles on més clarament es pot apreciar l’esperit dels primers anys d’Internet. L’objectiu d’acostar la criptografia per tal que fos una eina a l’abast de tothom no tenia una mentalitat comercial, sinó de garantir els drets de les persones per damunt les intencions de control i les excuses de “seguretat nacional”.

Cripto és un llibre d’Stephen Levy, un reconegut autor de llibres sobre la cultura i la gent que ha construït la xarxa. El subtítol del llibre ja dóna una molt bona idea del que tracta: “Cómo los informáticos libertarios vencieron al gobierno y salvaguardaron la intimidad en la era digital“. El llibre és doncs l’explicació de la història del naixement de la criptografia pensada per a ser utilitzada de forma general per tothom i no com una eina de guerra per part dels exèrcits i els governs (especialment el govern dels Estats Units, ja que els protagonistes d’aquesta història desenvolupen la seva activitat bàsicament en aquell país).

A Cripto coneixerem com va néixer la criptografia de clau pública, les desventures de les primeres empreses que van comercialitzar productes de criptografia, l’aparició del primer sistema criptogràfic d’ús general (PGP), la resposta de l’administració nord-americana per a impedir que les persones puguin ‘amagar informació (el xip Clipper, un sistema criptogràfic universal però sota el control del govern, que és el dipositari de les claus de forma que el pot intervenir quan vulgui), les restriccions per a l’exportació…

I també al llibre veiem un dels efectes més clars del perjudicial que és l’existència dels exercits amb els seus secretismes i accions fora del coneixement general. La criptografia de clau pública fou descoberta molts anys abans del que tothom s’imaginava per membres de l’exèrcit britànic. Però com això era matèria reservada, no va poder ser coneguda fins molts anys després. Així una investigació pagada amb diners públics va restar oculta i va ser necessari que passessin molts anys per tal que fos redescoberta.

Cripto és un llibre de fàcil i ràpida lectura. No calen coneixements matemàtics per a llegir aquest llibre, ja que no tracta sobre els mètodes de xifrat sinó sobre com unes persones amb uns ideals de llibertat i protecció de la privadesa van esforçar-se per acostar les eines necessàries per a poder fer realitat aquesta llibertat i de privadesa.

Títol: “Cripto. Cómo los informáticos libertarios vencieron al gobierno y salvaguardaron la intimidad en la era digital” (”Crypto. How the Code Rebels Beat the Government“)
Autor: Steven Levy
Traducció: Dimitri Fernández Bobrovski
Alianza Editorial
366 pàgines
Edició 2002
ISBN: 9788420691084

wsScanner és un conjunt d’eines per a la verificació i detecció de vulnerabilitats a serveis web.

Discovery tool - By leveraging search engine this tool helps in discovering Web Services running on any particular domain or with certain name pattern.
Vulnerability detection - It is possible to enumerate and profile Web Services using this tool and one can follow it up by auto auditing (.NET only). .NET proxy gets dynamically created for audit module. One can do vulnerability scan for data type, SQL injections, LDAP/Command injections, Buffer checks, Bruteforing SOAP etc. It is also possible to leverage regex patterns for SOAP analysis.
Fuzzing - This tool helps in fuzzing different Web 2.0 streams like SOAP, XML-RPC, REST, JSON etc. This module helps in assessing various different Web Services.
UDDI scan - It is possible to scan UDDI servers using this tool for footprinting and discovery of Web Services.

Publicada la versió 2.3.2 de WordPress, una actualització de seguretat que podia revelar els posts pendents de publicació. També es modifiquen alguns missatges d’error per tal de no incloure detalls sobre l’estructura de la base de dades.

De moment he trobat aquestes:

• Websense 2008 Security Predictions
• Prediccions de Net-Square
• Essential Computer Security: Predicitions for 2008
• TaoSecurity: Predictions for 2008
• High Tower: First Prediction for 2008
• Andy, ITCuy: Christmas List, End of Year Wrap-up, Predictions for 2008 
• Rational Survivability: And Now Some Useful 2008 Information Survivability Predictions…
• Threat Chaos: Ten threat predictions for 2008
• Risk Management Blog: Prediction for 2008 - more targeted attacks

Common Event Expression, un llenguatge estàndard per a la interoperabilitat d’esdeveniments en dispositius electrònics. L’objectiu es facilitar una sintaxi comuna que permeti la gestió a nivell global dels registres d’activitat, la correlació d’esdeveniments enregistrats per diferents sistemes, l’agregació de múltiples fonts de registre d’esdeveniments i, finalment, l’auditoria i la gestió d’incidents.

The Common Event Expression (CEE) standardizes the way computer events are described, logged, and exchanged. By utilizing a common language and syntax, CEE takes the guesswork out of even the most menial of event- or log-related tasks. Tasks including log correlation and aggregation, enterprise-wide log management, auditing, and incident handling which once required expensive, specialized analysts or equipment can now be performed more efficiently and produce better results.

EVEREST: Evaluation and Validation of Election-Related Equipment, Standards and Testing analitza la seguretat dels sistemes de votació electrònica que s’utilitzen a l’estat nord-americà d’Ohio a partir de l’anàlisi del codi font i la verificació del funcionament tant del software com del hardware.

Les conclusions fan tremolar:

All of the studied systems possess critical security failures that render their technical controls insufficient to guarantee a trustworthy election. While each system possessed unique limitations, they shared critical failures in design and implementation that lead to this conclusion:

• Insufficient Security - The systems uniformly failed to adequately address important threats against election data and processes. Central among these is a failure to adequately defend an election from insiders, to prevent virally infected software from compromising entire precincts and counties, and to ensure cast votes are appropriately protected and accurately counted.
• Improper Use or Implementation of Security Technology - A root cause of the failures present in the studied systems is the pervasive mis-application of security technology. Failure to follow standard and well-known practices for the use of cryptography, key and password management, and security hardware seriously undermine the protections provided. In several important cases, the misapplication of commonly accepted principles renders the security technology of no use whatsoever.
• Auditing - All of the systems exhibited a visible lack of trustworthy auditing capability. In all systems, the logs of election practices were commonly forgeable or erasable by the principals who they were intended to be monitoring. The impact of the lack of secure auditing is that it is difficult to know when an attack occurs, or to know how to isolate or recover from it when it is detected.
• Software Maintenance - The software maintenance practices of the studied systems are deeply flawed. This has led to fragile software in which exploitable crashes, lockups, and failures are common in normal use. Such software instability is likely to increase over time, and may lead to highly insecure and unreliable elections.

Security and Hacking Documentation és una web on podeu trobar (quan funciona) una bona col·lecció de documents sobre seguretat informàtica. Són, en general, bastant vells… però encara útils.

Es troben reunits en aquestes categories:

• Linux/Unix exploitation
• Windows exploitation
• Web vulnerabilities exploitation
• Miscel·lània

L’empresa a la Mobile ha presentat una per a telèfons mòbils que fan servir el seu sistema operatiu (CLP, Convergent Linux Platform) un sistema per al xifrat basat amb l’algortime AES i fent ús de certificats digitals. L’objectiu és, d’una banda, protegir el propi sistema operatiu i tots els fitxers del mòbil i, simultàniament, definir una àrea d’execució d’aplicacions externes que no estan digitalment signades. Aquestes aplicacions només podran accedir a un subconjunt de les funcionalitats del telèfon i el sistema operatiu.

L’he vist a Linux vendor strengthens smartphone security.

[Network World] Location technology enhances wireless network security. La gestió centralitzada de les xarxes WiFi és un factor clau per garantir-ne el nivell de seguretat.

Ho explica al seu weblog: How Does Bruce Schneier Protect His Laptop Data? With His Fists — and PGP

Pcapy és un mòdul d’extensió per a Python per a comunicar-se amb LibPcap, la biblioteca de funcions per a la captura de tràfic de xarxa desenvolupada dins del projecte Tcpdump.

[Heise Security] Antivirus protection worse than a year ago. Comparant la capacitat dels antivirus actuals amb la de fa un any… anem a pitjor.

Almost all of the products performed significantly worse than just a year ago. The typical recognition rates of their heuristics fell from approximately 40-50 per cent in the last test - at the beginning of 2007 - to a pitiful 20-30 per cent. Only NOD32, with 68 per cent, still delivered a good result, while BitDefender, with 41%, could be called satisfactory.

“Yes, I am a criminal. My crime is that of curiosity. My crime is that of judging people by what they say and think, not what they look like. My crime is that of outsmarting you, something that you will never forgive me for.”

Cory Doctorow, un dels editors del weblog Boing Boing ha començat a distribuir la versió parlada del clàssic llibre de Bruce Sterling, «The Hacker Crackdown».

És un projecte que portarà un cert temps (potser fins a finals d’any)… però és una molt bona iniciativa. La veu del Cory és força clara d’escoltar i té un accent prou bonic i agradable.

El text complet del llibre va ser alliberat ara fa uns anys i el podeu trobar a la web del MIT.

De moment està disponible:

• Prefaci, la cronologia i la introducció en versió parlada.
• Part 1: Crashing the System en diversos arxius: aquest, aquest i aquest.
• Part 2: The Digital Underground en diversos arxius: aquest, aquest, aquest, aquest,  aquest, aquest, aquest, aquest, aquest i aquest.
• Part 3: Law and Order, en diversos arxius: aquest, aquest, aquest, aquest, aquest, aquest i aquest.
• Part 4: The Civil Libertarians: aquest, aquest, aquest i aquest.

A mesura que vagi publicant la resta de parts en versió parlada, aniré actualitzant l’índex.

This book changed my life — and the lives of countless others. It inspired me politically, artistically and socially. Last week, I saw Bruce at his home in Serbia and asked him if he minded my reading this aloud for the next 20 weeks or so. He gave me his blessing.

BackTrack és una distribució de Linux, directament executable des del CD-ROM, fruit de la unió de dues distribucions anteriors (Whax i Auditor), especialitzada en la realització de proves de penetració.

Disponible la versió 3 beta. No se que té de nou… l’haig de provar encara.

Via Slashdot, una sèrie de televisió anomenada “Tiger Team” que s’estrenarà el dia de Nadal i que tracta sobre la vida dels professionals de la seguretat informàtica:

It follows a group of elite penetration testers hired to test organizations’ security using social engineering, wired/wireless penetration testing, and physically defeating security mechanisms (lock picking, dumpster diving, going through air vents/windows). They do all of this while avoiding the organizations’ various security defenses as well as law enforcement. The stars of the show also did a radio spot this morning in Denver.