Hackers vulneran lo más profundo de WordPress

WordPress informa que un hacker o un grupo de ellos ha ganado acceso al más privilegiado de los usuarios del sistema: root. Esto algo de lo peor que le puede suceder a un administrador de sistemas, pues la infraestructura principal deja de ser confiable y todos sus servicios quedan potencialmente expuestos o vulnerados.

Para el creador de Wordpress esto ha sido muy difícil de comunicar. Entre otras cosas recomienda a todos sus usuarios, especialmente a los VIP que todos sus datos quedaron desprotegidos que sigan estas recomendaciones:

- Usen una contraseña fuerte

- Usen diferentes contraseñas para cada servicio

Wordpress esta comprobando cual ha sido el alcance del ataque y mejorando la seguridad.

De momento Wordpress ha vuelto a la normalidad. Ya es el tercer ataque que sufre Wordpress en lo que vamos de año, no sabemos cuantos usuarios pueden haber resultado afectados con estos ataques.

Nosotros desde Sección 9 seguiremos usando Wordpress pero como podéis ver no es una plataforma nada segura, por eso desde aquí recomendamos poner en Wordpress contraseñas diferentes a las que se usan en los otros sitios.

Leer más »

Alertas de malware con Google Chrome

Google ha empezado a probar una nueva  funcionalidad que impedirá que los usuarios descarguen malware sin darse cuenta.
Al igual que Firefox, la actual protección de Chrome frente a sitios web malignos es la API de navegación segura, que comprueba una dirección URL con una lista negra de sitios conocidos como malos. Esto advierte a los usuarios para que no visiten esta web, pero no ofrece ninguna protección contra la descarga de archivos que pueden ser ofrecidas por dichas web.

También es posible que una web segura sea robada por hackers e inicie una descarga desde un sitio que aparece en la lista negra. En la actualidad, los navegadores permiten que sucedan estas cosas sin mostrar una advertencia al usuario.

Esta nueva utilidad advierte a los usuarios cuando se está descargando un archivo asociado a un sitio de la lista negra. La función ha estado disponible para los suscriptores del canal de desarrolladores de Chrome desde hace algún tiempo, pero Google se planeta ahora lanzarla a todos los usuarios.

Leer más »

Twitter más seguro con HTTPS

Cada vez que usas una red WiFi pública has de tener mucho cuidado como y a que accedes cuando estas conectado en ella.

Porque es relativamente sencillo obtener tus claves de acceso a Gmail, Twitter y Facebook.

Para evitarlo sección 9 recomienda visitar estas páginas usando HTTPS.

Hoy Twitter ha dado un paso importante para tener esa seguridad de más. Aunque ya se podía usar HTTPS al ingresar en Twitter tecleándolo en la barra del navegador, desde ahora podremos configurar nuestra cuenta para usarlo todo el tiempo de forma automática.

Para activar HTTPS, tienes que ir a tu configuración y seleccionar la casilla al lado de “Usar siempre HTTPS”, en la parte inferior de la página.

Es muy importante que lo hagas si eres un usuario asiduo a Twitter y te conectas muchas veces desde un lugar publico como un Starbucks o universidad. Porque es muy fácil robar datos desde esos accesos.

Leer más »

Apple actualiza Safari solucionando 62 problemas de seguridad

Safari fue el primer navegador en ver derribada su seguridad por un grupo de expertos durante el evento Pwn2Own. Solo tardó cinco segundos en desplomarse.

Y ahora nos llega un actualización, la versión 5.0.4 y que precisamente soluciona 62 vulnerabilidades, añade mejoras de estabilidad y compatibilidad, pero ninguna característica nueva que resaltar.

La reacción de Apple ha sido muy rápida, pero los expertos ya se han cargado el nuevo sistema.

El equipo de hackers había estado trabajando durante dos semanas para aprovechar un fallo detectado en Webkit. Vamos que los hacker antes de salir la actualización ya sabían como vulnerarla.

De estas 62 solucionadas, 57 podían ser aprovechadas simplemente por sitios que hayan sido construidos especialmente para ello.

Estas actualizaciones siempre son importantes hacerlas cuanto antes mejor. Recordemos que está disponible tanto para MAC como para Windows.

Leer más »

LOPD modificada

El Gobierno ha introducido modificaciones en la LOPD para aportar mayor seguridad jurídica y precisión a la norma.

El Gobierno ha modificado los artículos 43,44, 45, 46 y 49, con la entrada en vigor de la Ley de Economía Sostenible.

La AEPD (Asociación Española de Protección de Datos) opina que estas modificaciones en la LOPD aportarán mayor seguridad jurídica y contribuirán a lograr una mayor precisión en la aplicación de la Norma.

Las modificaciones en la LOPD aplicadas por el Gobierno se centrarán sobre todo en la mejora de la tipificación de las infracciones, vinculándolas a la vulneración de los principios específicos que garantizan la protección de datos personales. De esta manera, las cesiones ilícitas de datos pasarán a equipararse a otras infracciones graves como el tratamiento de datos sin consentimiento, equilibrando bienes jurídicos protegidos que están incluidos en la misma definición de “tratamiento de datos”.

Leer más »

40 problemas de seguridad en Ubuntu 10.04

Se han descubierto cerca de 40 vulnerabilidades en el kernel de Linux Ubuntu 10.04 (Lucid Lynx), versión LTS (Long Time Support) de esta distribución de GNU/Linux. Kubuntu, Edubuntu y Xubuntu con la misma numeración, están afectadas también.

Algunos de estos problemas están relacionados en la forma en que el “Common Internet File System” (CIFS) valida los paquetes ICPM (Internet Control Message Protocol), haciendo posible un ataque de denegación de servicio (DOS).

También se ha descubierto un agujero de seguridad en NFSv4 (Network File System v4) que permitirían a un atacante obtener privilegios administrativos. En total se han detectado 9 vulnerabilidades que otorgan privilegios de root y 14 que conducen a la denegación de servicio.

Otros están relacionados con la comprobación incorrecta de privilegios de archivo y la restricción de “solo-lectura” que, en un entorno multi-usuario puede afectar, entre otras cuestiones, a la privacidad.

Aunque tratándose de GNU/Linux, estos problemas se detectan y corrigen rápidamente. Ya existen parches para estas vulnerabilidades y solo es necesario actualizar.

Lista de vulnerabilidades: http://www.ubuntu.com/usn/usn-1083-1

Leer más »

Encuesta fraudulenta de Twitter igual a malware

La compañía de seguridad TI Sophos ha alertado de la propagación de una encuesta fraudulenta en Twitter que incita a los usuarios a pinchar en un enlace para infectar sus equipos de malware.El enlace de esta encuesta fraudulenta se distribuye con el mensaje “He pasado 11,6 horas en Twitter ¿Cuanto has pasado tú? Escríbelo aquí”, presentando a continuación un enlace comprimido bit.ly desde el que se distribuye el malware.

Al pinchar en él, el usuario se redirige a una página que intenta conectar su perfil con una aplicación de malware llamada “Time on Twitter”. La aplicación muestra al instante un mensaje al usuario en el que se le dice que también ha invertido 11,6 horas en la red social y se le redirige a una página donde se presenta una encuesta que, supuestamente, le aportará algún ingreso.

Sophos recomienda a los usuarios afectados quitar instantáneamente el permiso de acceso a la aplicación. De lo contrario, ésta seguirá generando más vínculos desde su perfil de Twitter, creándose así más spam y enlaces a la web maliciosa.

Leer más »