Portal de Seguridad

Archive for Novimbre, 2009

La mayoría de las empresas que se dedican a enviar paquetes por vía aérea o terrestre cuentan con rastreo de los paquetes por medio de registro de entradas en alguna ciudad, almacén, aeropuerto, etc, sin embargo la compañía de FedEx se preocupa aún más por los paquetes de modo que ahora podrás tener un dispositivo llamado Senseaware que te permite saber la ubicación del paquete en tiempo real, así como cuenta con un acelerómetro para saber si se ha caído.

Este dispositivo se añade al paquete de modo que puede ser rastreado desde cualquier lugar con acceso a Internet, con un costo de $120 USD al mes. cuenta con receptor GPS, acelerometro, transmisor celular y sensor de luz.

De esta forma, sabrás si tus paquetes van por la ruta adecuada o si el paquete ha sido abierto en el camino, ya que su uso principal era para envío de órganos y artículos de cirugía. El uso de este dispositivo tiene un costo mensual, pero lo podrás aprovechar muy bien si continuamente envías cosas de cuidado o valiosas.

Vía | dvice

Visto en :http://espegizmo.com/2009/11/30/general/senseaware-de-fedex-con-rastreo-por-gps-desde-la-web/

Microsoft sigue la carrera con Google por ofrecer servicios en la nube. Si hace poco Google pisaba el terreno de Microsoft presentando un sistema operativo, ahora Microsoft vuelve a poner una chincheta en la silla de Google al buscar combinar servicios online con la implantación en local al dotar a Microsoft Dynamics ERP de nuevos servicios online.

Se trata de un complemento llamado “Sitios”, no se han roto la cabeza con la traducción, que permite a través de Windows Azure, crear páginas Web para campañas de marketing, o que nos sirvan para registar información de producto y opiniones de los clientes.

Según los datos de los socios distribuidores de Microsoft la demanda de Dynamics ERP en la modalidad de SaaS se ha duplicado en este año respecto al anterior, lo que habla bastante bien de la acogida que tiene este tipo de software en esta modalidad sobre todo en el mundo de la pyme, que no puede afrontar costos tan altos como la gran empresa por implantar este ERP.

Además nos ofrecerán los complementos de “Comercio” para facilitar la venta de productos y su relación con el ERP y “Pago” para permitir los pagos online a través de Dynamics ERP. Se trata por lo tanto de complementos que permitan aprovechar el potencial del ERP y a la vez complementarlo de forma que con Dynamics tengan las empresas todas las herramientas que necesitan, no ya sólo para la venta de productos por su canal comercial habitual, sino a la vez poder desarrollarlo de forma online.

Se trata de una convergencia entre el desarrollo de aplicaciones en la nube y en local que poco a poco llevará a utilizar indistintamente tanto unas como otras en empresas de todos los tamaños. Sin duda la pyme sale ganando, puesto que tiene a su disposición muchas más herramientas que antes, pero a la vez se puede sentir abrumada por tal oferta a su alcance. Tomar la decisión adecuada desde luego no es tarea fácil.

Más Información | Microsoft
En Tecnología Pyme | Dynamics NAV, la solución ERP de Microsoft para pymes

visto en :http://www.tecnologiapyme.com/software/microsoft-dynamics-erp-con-nuevos-servicios-online

Desde luego si hay una colección de programas en la nube que me guste se trata de Zoho, y sobre todo para la empresa dispone de muchas mayores funcionalidades que la afamada Google Docs y la colección de software del famoso buscador. Ahora a todas ellas se añade Zoho recruit una aplicación de gestión de recursos humanos que sigue la filosofía de toda la suite de programas.

Se trata de un sistema de seguimiento de candidaturas (ATS) que permite y ayuda en la selección de personal y la contratación de servicio. Permite reducir el tiempo de contratación de profesionales y agilizar todo el proceso para conseguir lo que quiere toda empresa, el candidato adecuado.

Como en todas las aplicaciones de Zoho, existe una primera versión básica que es gratuita y que nos permite un número limitado de procesos abiertos a la vez, hasta 5 y nos ofrece un espacio de almacenamiento de 250 MB. La versión de pago, nos costaría 10 euros al mes por usuario y podemos tener ilimitados procesos de selección abiertos además de otras funcionalidades extras como facilidad para adaptarla a la web de nuestra empresa o copias de seguridad.

Las principales funciones que implementa este programa son las siguientes:

• Filtrado de candidatos: desde distintas fuentes para realizar el primer filtrado y sin descartar a los candidatos cualificados.
• Gestión de candidaturas: permite manejar todos los currículums y a la vez enviar notificaciones electrónicas o registrar candidatos y las notas sobre los mismo.
• Crear ofertas de empleo, análisis de currículos son algunas de las características complementarias de este software.

Está claro que este tipo de software no le interesa a todas las pymes, donde las de tamaño pequeño suelen gestionar sus ofertas de empleo de otra manera, pero desde luego en este momento en el que para una oferta se reciben multitud de currículos sería necesario para algunas pymes medianas contar con un software de este tipo, más cuando la versión gratuita puede ser suficiente a no ser que se trate específicamente de una empresa de recursos humanos.

Más Información | Zoho
En Tecnología Pyme | OrangeHRM, aplicación de código libre para gestionar recursos humanos

Visto en : http://www.tecnologiapyme.com/recursos-humanos/zoho-recruit-aplicacion-de-recursos-humanos-online

Si bien Google está donde está gracias a haber creado un motor de búsqueda que superaba con creces las capacidades de sus competidores, y un gran número de decisiones acertadas, en su camino también hay algunas vergüenzas, fracasos incluso estrepitosos en ciertos casos. Son la prueba de que hasta Google comete errores, y cancela servicios desastrosos.

Como Google Lively, un entorno web que permitía que grupos de hasta 20 personas se sentaran en habitaciones virtuales y charlaran. Se presentó en julio de 2008, y tardaron cuatro meses en darse cuenta de que era inútil y cerrarlo.

Print Ads fue un intento de trasladar los anuncios de AdSense a los medios escritos. La incapacidad de automatizar la creación de anuncios en prensa escrita fue la excusa para acabar a principios de este año con el experimento. Apenas tres semanas después, fue Google Audio Ads, su variante de anuncios de radio, la que recibía el cerrojazo.

Answers estuvo un año en beta antes de lanzarse públicamente en mayo de 2003. La idea de crear un mercado de conocimientos pasado en tarifas sólo atrajo a un pequeño grupo de usuarios, que se quedaron sin punto de encuentro a finales de 2006.

Orkut es un fracaso a medias. Nacido de forma independiente a principios de 2004 y absorbida posteriormente por Google, estaba destinada a ser su gran red social mundial. En Brasil desde luego el éxito ha sido abrumador… copan más del 50 por ciento de las cuentas, y llegan a espantar al resto de usuarios, puesto que monopolizan el idioma, los grupos y demás. Mientras, Orkut sigue siendo ignorado en Europa y Estado Unidos.

Catalog Search nació en 2001, para ofrecer a los consumidores catálogos comerciales impresos escaneados. Ya que los comerciantes empezaban a ofrecer sus catálogos online además de en papel, el proyecto de Google no tenía demasiado sentido, así que lo cancelaron el mismo año.

Google Health se lanzó como beta en mayo de 2008, pero el servicio no ha encontrado una audiencia suficiente entre aseguradoras ni entre el público general. Puede que sea la unión de “salud” y “beta test”, o contarle a Google intimidades sobre tu salud, quién sabe.

Dodgeball era un servicio basado en la localización que permitía compartir tu ubicación mediante SMS. Fue adquirido por Google en 2006, y finiquitado en 2009. Jaiku, red de microblogging, dejó de desarrollarse casi a la par, tras haber sido adquirida en 2007 y ser incapaz de hacer sombra a Twitter. En ambos casos, al menos la tecnología ha sido reciclada en otros proyectos.

Y Knol, ese intento de competir con la Wikipedia, tampoco dio para mucho que hablar, salvo en el momento de su presentación.

Como veis, no hay que hacer demasiada memoria para repasar algunas de las muchas pifias de Google. ¿Pasará con Wave? ¿Pasará con Chrome OS? El tiempo lo dirá. ¿Qué servicio de Google veis más probable que fracase?

Vía | Gigaom
En Genbeta | Los peores servicios de Google

Visto en : http://www.genbeta.com/web/la-galeria-de-la-verguenza-de-google-historial-de-fracasos

Un 25% de los trabajadores de oficina robaría datos sensibles de su empresa si pensare que eso ayudaría a algún amigo o miembro de la familia a asegurarse un empleo, según una investigación llevada a cabo por la firma especializada en seguridad de datos Cyber-Ark Software.

Según la investigación de Cyber-Ark Software, cuatro de cada diez empleados reconoce haber sacado de su empresa datos sensibles en unidades de memoria flash USB. Además, el 26% robaría datos corporativos si fueran despedidos. A un 24% les bastaría como motivo el oír rumores de que su puesto de trabajo estuviera en peligro. Es más, de los que dijo estar dispuesto a llevarse los datos de su empresa, un 28% los utilizaría como arma para negociar un nuevo puesto.

Casi la cuarta elegiría como objetivo del robo detalles de contacto con clientes. Un 11% optaría por contraseñas.

“Aunque nada justifica que losempleados estén dispuestos a sacrificar la ética para salvar su puesto, la mayor parte de la responsabilidad de proteger los datos sensibles que posee es del empleador”, comenta al respecto Adam Bosnian, vicepresidente de productos y estrategia de Cyber-Ark Software. “Por eso, las organizaciones deben hacer las mejoras necesarias en lo que respecta a monitorizar y controlar el acceso a sus bases de datos, redes y sistemas, incluso en el caso de usuarios privilegios con legítimos derechos”.
Marta Cabanillas – 25/11/2009

Fuente: IDG

www.segu-info.com.ar

Tras el hype inicial que supuso la presentación de Google Chrome OS, y que tan detalladamente fue comentando en tiempo real mi compañero Miguel López, creo conveniente analizar un poco este ¿órdago? que ha lanzado la compañía del motor de búsqueda estándar “de facto”.

La pregunta clave en todo esto es… ¿qué pretende Google con este sistema operativo? Una pregunta de difícil respuesta, que inmediatamente conduce a otra: ¿lo conseguirá? Tengo mis teorías, y no dudo que vosotros tendréis otras, que espero podamos compartir.

Para empezar, voy hacer un pequeño ejercicio de autocrítica. Apenas llevaba unos días escribiendo en Genbeta cuando Google soltó la bomba, que ese rumor que llevaba años en el aire era cierto: trabajaba en un sistema operativo. Leyendo ahora mi crítica, que titulé “Torpedeando a Microsoft donde más le duele”, veo que aunque estuve acertado en algunos puntos, erré al pensar en el objetivo de Google.

Porque Chrome OS no va en contra de Microsoft, no en el campo de los sistemas operativos, o al menos no a corto-medio plazo. Mi crítica se basó en un error de cálculo de hasta qué punto estaba orientado a la nube. Un sistema operativo tan enfocado a ultraportátiles y al cloud computing no está pensado para robar mercado a Windows 7, ni siquiera a otras distros de Linux.

En esa línea opinaba mi compañero Alexliam, que decía que no había pastel para todos, que Google no podría ofrecer nada que no ofreciera ya Linux, y que la necesidad de conexión a internet permanente era una limitación. Si bien esto es cierto, el hecho de que Google apunte a largo plazo y a prestaciones hardware muy reducidas da otra perspectiva.

Pero, ¿qué busca Google? Si quisiera posicionarse en el escritorio, Chrome OS tendría soporte para discos duros de todo tipo, y no sólo para discos SSD. Permitiría realizar algún uso de los recursos de procesador, memoria y almacenamiento locales, no sólo se centraría en la nube. Permitiría instalar alguna aplicación local, aunque fuera muy controlada o limitada, pero es que ni siquiera tendrá drivers para conectar una impresora.

Descartado el control del escritorio, pensemos en lo que sí sabemos que se centra, los ultraportátiles. Google ha reiterado que el futuro de la red está en la movilidad, en el “siempre conectado”. El GPS basado en Street View es un claro ejemplo, creado para móviles con Android, con conexión de banda ancha permanente. ¿Puede competir con un GPS estándar cuando no hay conexión a internet? A Google le da igual ese caso, porque con él no ingresa, y porque piensa que en un futuro próximo esa situación será rara, las conexiones estarán disponibles para todos y todos las tendremos.

Creo que ese es el enfoque de Chrome OS. Que Google lo quiere es monopolizar la nube en movilidad. Google gana dinero cuando los usuarios pasan tiempo en la web, así que lo que pretenden con esto es que estemos todo el tiempo posible en la web, y si es posible, en su parcela de la web. Los ultraportátiles Chrome OS serán baratos, porque no necesitan un hardware puntero para funcionar a toda mecha, y a pesar de eso, en siete segundos podemos estar navegando.

En Google Operative System se imaginan algunos de estos dispositivos siendo prestados en cafeterías o bibliotecas, para su uso instantáneo y con acceso a nuestra información en la nube de forma segura y rápida, y creo que ese escenario sí está en la mente de Google. En TechCrunch opinan que representa un nuevo competidor de Microsoft al lado opuesto de Apple, con ésta comiéndole el mercado de la alta calidad y diseño, y Google absorbiendo los equipos “low cost”.

Todos son buenos puntos de vista, pero yo me decanto por algo más en la línea de lo que ha entendido Antonio Ortiz: la reinvención de los terminales tontos, equipos de reducidas prestaciones que trasladan la carga al servidor. Sólo que en esta ocasión el servidor ya no es un armario enorme metido en una nevera en el sótano, sino los impresionantes datacenters de Google repartidos por el mundo.

Con esta propuesta, Google no está robándole mercado a nadie: está creando un mercado que no estaba definido del todo, y posicionándose en él. Lo veo más como un enemigo de iPhones, smartphones y tablets, ya que los ultraportátiles Chrome ofrecerán una mejor experiencia para navegar en movilidad, a precios reducidos debido a las escasas necesidades hardware.

El hecho de que Chrome OS no permita hacer uso libre de los propios recursos de la máquina, como el disco duro o la posibilidad de instalar en local, me da la sensación de que apunta en esa dirección, y en la de convertirse en la ansiada interfaz única de todos sus servicios, con la ventaja añadida de la movilidad. Aunque pensando siempre en un equipo secundario, manteniendo las aplicaciones de escritorio en otra máquina.

Pero tengo que reconocer que la captura de la lista de aplicaciones disponible me ha dado pánico. Espero realmente que Google abra las puertas a aplicaciones de terceros, porque ver esa parrilla limitada a Google y nada más que Google (salvo contadísimas excepciones) me parece muy preocupante.

La lectura es “la nube es Google”, y no deberíamos permitir que se llegara a este extremo. No sólo por la situación monopolística que supondría, sino porque sería como saciar la voracidad de información de Google dándole estadísticas de uso (cosa que ya tiene), documentos confidenciales, localización geográfica… todos los datos. ¿Y de verdad queremos eso?

El tiempo dirá si esta extraña jugada les sale bien. Está claro que es una apuesta arriesgada, innovadora, completamente diferente a cualquier cosa que haya ahora en el mercado. ¿Habrán apostado bien? No sería la primera vez que aciertan de pleno, pero tampoco sería la primera en la que se estrellan.

Más información | Mashable, TechCrunch, Google Operating System
En Error 500 | El sistema operativo de Google y el regreso del terminal tonto
En Xataka | Google Chrome OS: ¿Qué podemos esperar?
En Genbeta | Google presenta Chrome OS, Torpedeando a Microsoft donde más le duele

Visto en :http://www.genbeta.com/a-fondo/chrome-os-en-perspectiva-ha-apostado-bien-google

Esta semana se han dado a conocer dos problemas de seguridad relacionados con Internet Explorer. Un fallo es muy grave y permite la ejecución de código arbitrario en el sistema con solo visitar una página web. El otro fallo es mucho más leve, y solo permite que un atacante obtenga información confidencial a través de archivos PDF impresos desde el navegador.

De la primera vulnerabilidad, la más grave, se han dado todos los detalles de forma pública. No se han observado de forma masiva ataques que la aprovechen, pero dadas las circunstancias, parece que no tardarán en aparecer. El fallo está en el manejo de punteros en la función “getElementsByTagName” de mshtml.dll al procesar objetos CSS. Un atacante remoto podría ejecutar código arbitrario con los privilegios del usuario que corra Internet Explorer con solo visitar una página especialmente manipulada.

Microsoft ya ha reconocido el fallo y está trabajando en un parche para solucionarlo. Solo afecta a las versiones 6 y 7 del navegador. Si no es posible usar la versión 8, como contramedida, se recomienda elevar la seguridad de las zonas de Internet Explorer a “Alta” para las páginas no confiables. O desactivar directamente el “Active Scripting” en las “Opciones de Internet”, pestaña de “seguridad”, “nivel personalizado”.

El otro problema de seguridad encontrado en el navegador es mucho menos peligroso. Cuando se abren en Internet Explorer páginas web almacenadas en el disco duro y se imprimen con cualquier impresora virtual en formato PDF, el navegador añade en el archivo información que no debería estar ahí, como la ruta local de la página que se ha impreso en PDF. Lo añade en el interior del archivo de forma que no se ve a simple vista. Es necesario abrir el archivo PDF con un editor para observarlo. Un atacante con acceso al documento PDF podría obtener así información sensible a partir de esas rutas locales, como por ejemplo los nombres de usuario y versión del sistema operativo analizando el archivo con un editor.

La persona que ha alertado sobre este último problema, advierte que con el buscador Google, es muy sencillo encontrar ficheros PDF que han sido impresos en este formato a través del navegador y que contienen la ruta del disco duro donde estaban alojados. En la mayoría de las ocasiones si esta ruta es la de “Mis documentos” en Windows, podrían incluir el nombre de usuario que las generó.

Este fallo afecta a todas las versiones incluida la 8. Microsoft no lo considera un problema de seguridad, así que aunque ha reconocido el problema, no parece que vaya a aplicar un parche. Lo más probable es que posteriores versiones del navegador, o bien un posible futuro Service Pack, anulen este comportamiento. Mientras tanto, se recomienda que si se imprimen con impresoras virtuales páginas HTLM interpretadas con Internet Explorer, se abra posteriormente el archivo PDF con cualquier editor, se busque la información sensible y se elimine.

Más Información:

Millions of PDF invisibly embedded with your internal disk paths
http://securethoughts.com/2009/11/millions-of-pdf-invisibly-embedded-with-your-internal-disk-paths/

Microsoft Security Advisory (977981)
http://www.microsoft.com/technet/security/advisory/977981.mspx

Autor: Sergio de los Santos
Fuente: Hispasec

www.segu-info.com.ar

Seguramente muchos ya hayáis leído algo sobre el tema, pero lo cierto es que es curioso que una distribución tan pulida como esta haya fallado en un aspecto tan singular como la seguridad de primer nivel.

Y es que en Fedora 12 se ha descubierto que cualquier usuario puede instalar software en una máquina con esta distribución sin necesidad de utilizar la contraseña del administrador. La noticia fue muy comentada en Reddit, y Red Hat pronto abrió un informe de error para subsanar ese problema. ¿Cómo subsanarlo?

El error -que de hecho es intencionado, una decisión polémica de los desarrolladores de Fedora 12- se debe a la tecnología PolicyKit integrada para usuarios de escritorio, y teóricamente fue un paso realizado para facilitarle a los usuarios menos expertos el acceso a esta tarea, pero las consecuencias son muy graves.
Como comentaba uno de los propios usuarios de Reddit,

“Esta es una de las actualizaciones más estúpidas en una distro Linux de primer nivel que he visto en los últimos 10 años. Lo que es peor, la gente ni siquiera entiende cuál es el problema. Incluso en Windows ya se sabe que no se deben hacer las cosas así. Antes de UAC, al menos había cuentas de Administrador en XP. Felicidades, ya estáis a la par con Winodws 98“.

Las críticas se sucedieron, y demostraron que el sistema es vulnerable a exploits de paquetes que podemos instalar e incluso que elegimos no instalar. Sin embargo, es posible solucionar el problema ejecutando el siguiente comando en una ventana de terminal:

sourcepklalockdown --lockdown org.freedesktop.packagekit.package-install

Más información sobre este cambio, aquí.

Nota de Segu-info: Se liberará una actualización que revierte este cambio, ver en:

http://lwn.net/Articles/362986/rss
https://www.redhat.com/archives/fedora-devel-list/2009-November/msg01445.html

Fuente: MuyLinux

La última versión del navegador Internet Explorer de Microsoft contiene una falla que puede permitir serios ataques de seguridad contra sitios web que de otra forma son seguros.

La falla en el IE 8 puede ser explotada para introducir XSS, o cross-site scripting, errores en páginas web que de otra forma son seguras, según dos fuentes de Register, quienes discutieron la falla con la condición de no ser identificados. Microsoft fue notificado de la vulnerabilidad pocos meses atrás, dijeron.
Irónicamante, la falla reside en la protección agregada por los desarrolladores de Microsoft al IE 8 que está diseñando para impedir los ataques XSS contra los sitios. La característica funciona reescribiendo las páginas vulnerables usando una técnica conocidad como codificación de salida de modo que los caracteres y valores dañinos son reemplazados por otros seguros. Un portavoz de Google confirmó que es una “falla significativa” en la característica del IE 8 pero no quizo proveer datos específicos.

No está claro como pueden las protecciones causar vulnerabilidades XSS en sitios web que de otra forma son seguros. Michael Coates – un ingeniero senior de seguridad de aplicaciones de Aspect Security que estudió de cerca la característica pero estaba en desconocimiento de la vulnerabilidad – especuló que es posible conseguir que el IE 8 reescriba páginas de forma tal que los valores nuevos disparen un ataque en un sitio limpio.

“Si un atacante puede imaginar una falla en la forma que IE8 hace la codificación de salida y luego crea una cadena específica que el atacante conocerá que será transformada en un ataque, podrían usarlo como valor de entrada … que en realidad resulta en un ataque disparado a la página,” dijo. “Esta podría ser una forma de introducir un ataque en una página que de otra forma no tienen vulnerabilidades.”

Los ataques XSS son una forma de manipular la URL del sitio para inyectar código malicioso o contenido en una página web confiable. Muchos observadores de seguridad han llegado a ver las protecciones del IE 8 como la respuesta de Microsoft al NoScript, una extensión popular que impide el XSS y otros tipos de ataques contra los usuarios del navegador Firefox.

Al final de la tarde del jueves, Microsoft le dijo a The Register: “Microsoft está investigando nuevas afirmaciones públicas sobre una vulnerabilidad en Internet Explorer. Actualmente no tenemos conocimiento de ningún ataque que intente usar la declarada vulnerabilidad o de algún impacto en los clientes.”

Una vez que la investigación concluya, la compañía “tomará la acción apropiada”, incluso liberar un parche o las instrucciones de como los usuarios puede protegerse de la explotación.

Cuando Microsoft introdujo las protecciones, también creó una forma para que los webmastersignoraran la característica (agregando le encabezado de respuesta “X-XSS-Protection: 0″). Una revisión de los 50 sitios web más visitados muestra que sólo las propiedades de web que posee Google han optado por hacerlo. El pequeño número de sitios que bloquean la protección da para preguntarse que tan extendida está la vulnerabilidad.

Preguntado Google porqué se priva de la protección, un portavoz de la compañía escribió en un correo electrónico:

“Estamos al tanto de una falla significativa que afecta el filtrado de XSS en el IE 8, y hemos dado los pasos para proteger a nuestros usuarios deshabilitando el mecanismo en nuestras propiedades hasta que se libere un arreglo.” No dio más detalles.

Además de potencialmente introducir serias vulnerabilidades en páginas web, las protecciones XSS pueden acarrear otros resultados indeseables. Y esto es debido a que el motor señala frecuentemente caracteres perfectamente aceptables como si fueran potencialmente peligrosos. Un ejemplo de un falso positivo tal está  aquí.

David Ross, un ingeniero senior de seguridad de software de Microsoft, ha dicho que los desarrolladores que diseñan la característica apuntaron a ir hacia un balance pragmático entre proteger a los usuarios y no romper la web.

“Necesitamos encontrar una forma de hacer el filtrado automático e indoloro y por lo tanto proveer el máximo beneficio a los usuarios,” escribió. “En resumen, el Filtro XSS probará su valor elevando la  valla y mitigando los tipos de XSS que se encuentran más comunmente por la web de hoy día, por defecto, para los usuarios de Internet Explorer 8.”

Traducción: Raúl Batista – Segu-info
Autor: Dan Goodin, The Register
Fuente: SecurityFocus

www.segu-info.com.ar