Amenazas dirigidas al navegador: cómo buscar en la web de forma segura

Aprende a detectar algunas de las amenazas que puedes encontrar con más frecuencia mientras buscas información en la web.

Explotación de vulnerabilidades en los navegadores o cualquier plugin/extensiones que hayas instalado. Esta táctica podría utilizarse para robar datos sensibles o descargar malware adicional. Los ataques a menudo comienzan con un correo electrónico/mensaje de phishing, o visitando un sitio que ha sido comprometido o está controlado por el atacante y que se utilice para descargar malware en el equipo del visitante.

Complementos y plugins maliciosos: Existen miles de plugins a disposición que los usuarios pueden descargar con el objetivo de mejorar la experiencia de navegación. Sin embargo, muchos tienen permisos de acceso con privilegios al navegador. Esto hace que los atacantes distribuyan plugins maliciosos simulando ser legítimos con la intención de robar datos, descargar malware adicional en el equipo y la posibilidad de realizar muchas otras cosas más.

Envenenamiento de DNS: El DNS, o sistema de nombres de dominio, es la libreta de direcciones de Internet, convirtiendo los nombres de dominio que escribimos en direcciones IP para que nuestros navegadores muestren los sitios que queremos visitar. Sin embargo, los ataques a las entradas de DNS almacenadas por tu computadora, o en los propios servidores DNS, podrían permitir a los atacantes redirigir los navegadores a dominios maliciosos como sitios de phishing.

Secuestro de sesión: Los ID de sesión son emitidos por sitios web y servidores de aplicaciones cuando los usuarios inician sesión. Pero si los atacantes logran realizar fuerza bruta sobre estos identificadores o interceptarlos (si no están cifrados), entonces podrían iniciar sesión en los mismos sitios/aplicaciones haciéndose pasar por el usuario. A partir de ahí, hay un corto salto a robar datos sensibles y, potencialmente, detalles financieros.

Ataques de Man in the Middle en el navegador: Si los atacantes logran insertarse entre tu navegador y los sitios web que estás viendo, podrían ser capaces de modificar el tráfico, por ejemplo, redirigiéndote a una página de phishing, desplegando ransomware o robando credenciales de inicios de sesión. Esto sucede especialmente cuando se utilizan redes Wi-Fi públicas.

Explotación de aplicaciones web: Si bien ataques como el cross-site scripting aprovechan vulnerabilidades en sitios web y esto permite ejecutar scripts maliciosos en el navegador de una persona, estos ataques utilizan el navegador para entregar o ejecutar el malware.

La perspectiva de la privacidad

Todos estos escenarios involucran a terceras partes con intenciones maliciosas. Pero no olvidemos las grandes cantidades de datos que los proveedores de Internet, sitios web y anunciantes recopilan diariamente de quienes navegan por la web.

Las cookies son pequeños fragmentos de código generados por los servidores web y almacenados por tu navegador durante cierto tiempo. Por un lado, guardan información que puede ayudar a hacer la experiencia de navegación más personalizada, por ejemplo, mostrar anuncios relevantes o asegurarse de que no tengas que iniciar sesión varias veces en el mismo sitio. Pero, por otro lado, representan una preocupación de privacidad y un riesgo potencial de seguridad, ya que actores maliciosos pueden utilizarlas para acceder a las sesiones de usuario.

En la UE y algunos estados de Estados Unidos, el uso de cookies está regulado. Sin embargo, cuando se les presentan con una ventana emergente de opciones, muchos usuarios simplemente hacen clic y aceptan la configuración de cookies predeterminada.

Cómo navegar por la web de forma más segura

Hay muchas cosas que los usuarios pueden hacer para mitigar los riesgos de seguridad y privacidad al navegar por la web. Algunas medidas involucran directamente al navegador; otras son buenas prácticas que pueden tener un impacto positivo inmediato. Aquí hay algunas de las mejores prácticas:

  • Mantenga su navegador y sus plugins actualizados para mitigar el riesgo de explotación de la vulnerabilidad. Desinstale cualquier plugin desactualizado para reducir aún más la superficie de ataque.
  • Visite solamente sitios HTTPS (aquellos con un candado en la barra de direcciones del navegador), lo que significa que los atacantes no pueden espiar el tráfico entre su navegador y el servidor web.
  • Sea consciente del phishing para reducir el riesgo de amenazas que viajan a través de correos electrónicos y mensajes en línea. Nunca responda o haga clic en un correo electrónico no solicitado sin verificar los detalles del remitente. Y no entregue ninguna información confidencial.
  • Piense antes de descargar aplicaciones o archivos. Siempre vaya a través de sitios oficiales.
  • Utilice una aplicación de autenticación multifactor (MFA) para reducir el impacto del robo de credenciales.
  • Utilice una VPN de un proveedor de buena reputación, y no una versión gratuita. Esto creará un túnel cifrado para mantener seguro su tráfico de Internet y ocultarlo de los rastreadores de terceros.
  • Invierta en software de seguridad multicapas de un proveedor de renombre.
  • Habilite las actualizaciones automáticas en su sistema operativo y el software de dispositivo/ máquina
  • Actualice la configuración del navegador para evitar el seguimiento y bloquear las cookies y ventanas emergentes de terceros.
  • Desactive el guardado automático de contraseñas en el navegador, aunque esto afectará a la experiencia del usuario al iniciar sesión.
  • Considere utilizar un navegador/motor de búsqueda centrado en la privacidad para minimizar el intercambio de datos encubierto.
  • Utilice las opciones de navegación privada (por ejemplo, el modo de incógnito de Chrome) para evitar el seguimiento de cookies

Muchos de los consejos anteriores son opcionales y dependerán de cuán fuertes sean tus preocupaciones de privacidad. Algunos usuarios están preparados para aceptar una cierta cantidad de seguimiento a cambio de una experiencia de navegación más fluida. No obstante, los consejos de seguridad (como HTTPS, actualizaciones automáticas, software de seguridad) son esenciales para reducir tu exposición a las ciberamenazas. ¡Feliz navegación!

Fuente: www.welivesecurity.com

Hackeado el repositorio del código fuente de PHP: fuerte alarma para el lenguaje usado por casi el 80% de todos los sitios web

Este domingo 28 de marzo, hackers lograron acceder al repositorio Git interno del lenguaje de programación PHP y lograron añadir una puerta trasera al código fuente del mismo. Estamos hablando del lenguaje del lado del servidor más usado en toda la web y que se calcula está en uso en el 79.1% de todos los sitios web.

Como explican en las listas de correo de PHP, el ataque insertó dos cambios maliciosos en el repositorio php-src, y aunque aún se desconoce la causa y hay una investigación en marcha, todo apunta a que el servidor oficial git.php.net fue comprometido.

 

Aunque el ataque fue detectado rápido, es una enorme advertencia

El mecanismo de puerta trasera fue detectado por primera vez por Michael Voříšek, un ingeniero de software de República Checa. Si este código malicioso hubiera llegado a producción, podría permitir a los hackers ejecutar sus propios comandos PHP maliciosos en los servidores de las víctimas.

Algunos expertos creen que es posible que los atacantes querían ser descubiertos, o que se trataba de un cazador de bugs por los «mensajes» que dejó en el código. Lo que pasa es que para poder desencadenar la ejecución del código malicioso, el atacante tenía que enviar una petición HTTP a un servidor vulnerable con un user agent que comenzara con la cadena «zerodium».

Zerodium es una plataforma famosa de ciberseguridad especializada en la adquisición y venta de exploits zero day. Zerodium ha declarado ya que no tiene nada que ver con esto, por lo que se piensa que quien sea que hackeó el código no buscaba ser nada sutil, pero no se saben sus intenciones.

Además de esto, los atacantes añadieron un mensaje en uno de los parámetros de la función que ejecuta: “REMOVETHIS: sold to zerodium, mid 2017«. Claramente se busca implicar o hacer referencia a la empresa en esto, pero nadie sabe si se vendió algo a Zerodium en 2017 ni mucho menos qué fue.

En los chats de PHP en Stack Overflow hay muchas conjeturas. Algunos creen que podría haber sido un «pobre intento» de hacking de sombrero blanco, mientras que otros incluso apuntan a un «skript-kiddie completamente inepto».

PHP mudado a GitHub

Mientras la investigación continua y se está realizando una revisión más minuciosa del código fuente de PHP, se ha decidido que el mantenimiento de una infraestructura Git propia es un riesgo de seguridad innecesario y por lo tanto el servidor git.php.net se va a descontinuar.

A partir de ahora los repositorios en GitHub que antes eran solo mirrors, pasarán a ser los principales, por lo que los cambios deberán enviarse directamente a GitHub en lugar de a git.php.net.

El código malicioso que se añadió al código fuente se hizo a través de las cuentas de dos de los miembros del equipo core de PHP, Rasmus Lerdorf and Nikita Popov, pero ya ambos expresaron no estar involucrados. Además, el equipo usa autenticación de doble factor para sus cuentas, por eso creen que se trató de un fallo crucial en el servidor Git principal en lugar de la violación de alguna cuenta individual.

Aunque el incidente fue resuelto rápidamente, en la práctica hubiese afectado a una pequeña porción de los sistemas que usan servidores PHP, puesto que suele ser usual que la mayoría se tarden mucho tiempo en actualizar a la última versión.

Esto es otro problema que viene plagando a la web hace tiempo, el cómo un enorme porcentaje de las webs en Internet usan una versión de PHP que no tiene soporte, y aunque ha mejorado en los últimos años, todavía casi el 40% de todas las webs que usan PHP usan una versión antigua y sin soporte.

Fuente: www.genbeta.com

La Neutralidad en la Red, herida de muerte en EE.UU.

La Comisión Federal de Comunicaciones de Estados Unidos (FCC) acaba de votar con un 3 a 2 acabar con las normas que protegen la neutralidad de la red, y que permiten que todos los servicios compitan en igualdad de condiciones. Se trata de la puesta en marcha de un plan presentado por Ajit Pai, presidente del organismo.

neutrality_dead_noticia_fotograma

Esta decisión hará que Estados Unidos de un importante paso atrás en materia de libertades de la red. Y de paso normalizarán una situación que podría dar pie a que en otros sitios como Europa las cosas también empezasen a cambiar, y al final todos los usuarios suframos las consecuencias de esta decisión.

Un paso para adelante, dos para atrás

Hace tres años la situación era bastante parecida en Estados Unidos, y en mayo del 2014 la FCC había votado a favor de seguir con un plan para crear un Internet de dos velocidades. El futuro de la neutralidad pintaba muy oscuro, pero todo acabó dando un giro de 180 grados al surgir otra propuesta totalmente opuesta que acabó imponiéndose en 2015.

Con ella se estableció que Internet pasase un servicio básico como la electricidad y el agua, y obligaba a los operadoras a garantizar un acceso igualitario. Se trató por lo tanto de una legislación atrevida que llegó cuando menos se esperaba, y que supuso un ejemplo a seguir para el resto de países. De hecho, algunos países europeos ya se habían posicionado a favor del Internet de dos velocidades, y finalmente la Unión Europea también acabó legislando para proteger la neutralidad.

Pero la normativa europea no es lo suficientemente rotunda, y deja la puerta abierta a que cada país tenga el poder de decidir sobre el zero-rating. Eso ha provocado que operadoras como Orange, Vodafone o FreedomPop hayan sacado tarifas en las que el tráfico de determinadas aplicaciones tiene más privilegios que el de otras.

Estados Unidos seguía siendo por lo tanto el espejo en el que mirarse, un referente. Aunque todo empezó a cambiar este año con la aparición de Ajit Pai, que desde su puesto de la presidencia de la FCC decidió dar marcha atrás y cargarse la neutralidad. Con ello las operadoras podrán decidir qué aplicaciones tienen más privilegios que otras.

Organizaciones de usuarios, empresas, e incluso algunos miembros de la FCC se han posicionado en contra de esta situación, pero el organismo no ha dudado en utilizar botnets para aparentar un falso apoyo. Por si fuera poco, el propio Ajit Pai ha publicado un vídeo burlándose de la neutralidad de la red para desinformar a los usuarios tratando de hacerles creer que nada va a cambiar.

Qué cambia con la ley aprobada hoy

Pero las cosas sí van a cambiar. Para empezar, los primeros perjudicados por la aniquilación de la neutralidad en Estados Unidos serán los propios usuarios estadounidenses. Hoy Internet deja de ser considerado un servicio básico como la electricidad y el agua, y deja de garantizarse un acceso igualitario como se estaba haciendo desde que se aprobaron las últimas normas.

Esto pone en manos de las operadoras el poder hacer prácticamente lo que quieran. Pueden bloquear el acceso a determinados servicios, acelerar la velocidad a la que se accede a otros, o incluso priorizar el contenido que quieran. La única condición que tienen que cumplir es hacer públicos estos cambios.

Así será más difícil que los servicios de terceros puedan competir en igualdad de condiciones. También abre la puerta a que las propias operadoras puedan utilizar este poder para priorizar sus propios servicios penalizando otras aplicaciones sin que ni estas ni los usuarios puedan impedirlo.¡

Esto a la larga podrá acabar provocando que los propios servicios tengan que negociar con las operadoras para que sus usuarios puedan acceder correctamente a ellos, lo que hará que los que no tengan los suficientes recursos queden desterrados del Internet de alta velocidad y vean lastrada su adopción y su futuro.

Así nos afecta a los demás

union_europea

En Europa tenemos nuestras propias leyes y lógicamente no se aplican directamente las de EEUU. Sin embargo, muchos de los servicios que utilizamos son de Estados Unidos o tienen gran parte de sus usuarios allí, desde Facebook hasta la propia Google pasando por muchos otros servicios de menor potencia. Por eso, lo que hagan las operadoras en aquel país puede perjudicarles y repercutir en cómo funcionan a nivel técnico o económico en todo el mundo.

También hay que tener en cuenta que las nuevas normas dañan la competencia entre servicios. Con las operadoras al poder, muchos servicios tendrán que negociar para conseguir funcionar correctamente para muchos usuarios. Esto perjudicará posiblemente a todos los que empiezan o ya compiten contra los más grandes. Y al final esto hace que todos tengamos menos libertad de elección independientemente de si somos de EE.UU. o de fuera.

El que los servicios tengan que negociar con las operadoras para obtener un trato favorable también constituye otro problema para todos. Muchos servicios no querrán perder dinero, por lo que al final lo que ellos tengan que pagarles a las operadoras lo acabaremos pagando también todos los consumidores.

Y esperemos que las operadoras europeas y la UE no tomen ahora nota y quieran imitar a sus homólogos estadounidenses. Porque ese es otro de los peligros de la decisión que se ha tomado hoy allí, que haga que otros países en todo el mundo acaben cediendo a las presiones del lobby de las operadoras y tomando decisiones parecidas.

Fuente: www.linux-party.com

Comienza la décima edición del Concurso Universitario de Software Libre

cusl

Estudiantes de toda España están llamados a participar en la décima edición del Concurso Universitario de Software Libre (CUSL), que a partir del domingo que viene abre su plazo de inscripción. Se trata de una excelente oportunidad para ampliar conocimientos y, quién sabe, llevarse algún premio en el que se ha convertido en el evento más relevante de su categoría. ¿Te animas?

A continuación la nota de prensa oficial y más abajo el calendario de previsto.

El próximo domingo 20 de septiembre se abrirá el plazo de inscripción para la décima edición del Concurso Universitario de Software Libre, que corresponde con el curso académico 2015/16. En el concurso pueden inscribirse estudiantes de bachillerato, ciclos de grado medio y superior y universitarios (incluido grado, máster y doctorado) matriculados en centros españoles durante este curso. Las inscripciones podrán realizarse a través de nuestra web.*

Con esta nueva edición que comienza a andar acumulamos ya diez ediciones del concurso. Allá por 2006 empezamos a trabajar con mucha ilusión y muy pocos recursos con el objetivo de acercar el desarrollo de software libre a los estudiantes. Ahora se cumplen diez años desde que comenzó esta actividad de promoción del desarrollo de software libre en el ámbito educativo y universitario.

Y así, seguimos acumulando “números interesantes”: la cifra de estudiantes participantes asciende ya a casi 1.200, los cuales han presentado más de 840 proyectos. También son cerca de 50.000 los euros repartidos en premios desde la creación del concurso.

Este 10º CUSL cuenta de momento con el apoyo organizativo de las oficinas del software libre de las universidades de Sevilla, La Laguna, Miguel Hernández (Elche), Zaragoza y Córdoba.

Desde la organización del concurso creemos que el software libre se presenta como un complemento perfecto para la formación de los estudiantes, ya que les permite obtener experiencia en el proceso de desarrollo de software o hardware en etapas previas a la inserción en la vida laboral. Es por eso por lo que animamos a los estudiantes a que participen en dicho evento.

Recordar también que aún se encuentra abierto el plazo de búsqueda de patrocinadores para el concurso. La información al respecto se puede encontrar en la siguiente dirección.*

Calendario:

  • Fase de inscripción: del 20 de septiembre al 15 de noviembre de 2015.
  • Fase de desarrollo: desde que se confirma la participación en el Concurso hasta se inicie el proceso de evaluación de los proyectos.
  • Fase de evaluación: del 1 al 15 de abril de 2016.
  • Fase Final: mayo de 2016 (días por determinar).

Nota: Durante el periodo de evaluación, los participantes podrán seguir con sus desarrollos, pero no se asegura que lo desarrollado en este periodo sea evaluado.

Estas fechas están sujetas a posibles cambios que serán anunciados con suficiente antelación.

Fuente: www.muylinux.com

Administración web – Webmaster

webmaster2Muchas empresas tienen una pagina web que no se actualiza desde hace años. ¿Que crees que esto le dice a sus clientes? Una pagina web es el primer paso pero sin duda el segundo y mas importante es mantenerla actualizada.

En UIOLIBRE entendemos lo importante que es mantener un sitio web actualizado por eso ofrecemos el servicio de webmaster. Nuestro servicio es igual o mejor que tener a una persona de planta pero con el beneficio de un menor costo.

 

El servicio de webmaster incluye:

  • Actualización de Página Web o Blog
  • Estadísticas del sitio
  • Diseños de promociones para el sitio.
  • Servicio FTP
    • Creación y configuración de Servicios FTP
    • Cuenta General de Administración
    • Cuentas Especificas para servicios determinados
    • Manuales de manejo del servicio de FTP
    • Documento con Contraseñas
  • Administración de Cuentas De Correo electrónico
    • Creación de Cuentas
    • Asignación de Quotas (Capacidad)
    • Configuración en Clientes de Correo Electrónico (Outlook, windows mail, Thunderbird)
  • Administración de Estadísticas de acceso al sitio WEB
    • Visitas por mes
    • Distribución de visitas durante el mes
    • Vistas nuevas
    • Vistas totales
    • Clicks
  • Administración de Bases de Datos
    • Creación de Bases de Datos mysql
    • Asignación de Usuarios
    • Backup permanente de contenido de las Tablas
  • Proceso de Registro en buscadores y optimización del sitio WEB
    • Registro en Buscadores, Directorios WEB (google, yahoo, Bing, etc)
    • Estudio de Optimización para motores de Búsqueda (SEO)
    • Inclusión de Metatags
      • Metatags de Administración para webmaster
      • Metatags de Definición
      • Metatags de Palabras claves
      • Metatags de Descripción
    • Recomendaciones según SEO
  • Posicionamiento
    • Google
    • Alexa