ENISA es la ‘European Network and Information Security Agency’. Entre sus trabajos está el de publicar trimestralmente el ENISA Quarterly Review. No lo he leido aún pero en el número del cuarto trimestre de este año publican una entrevista con Víctor M. Izquierdo Loyola, el Director del INTECO.
Puede ser una buena excusa para echarle un ojo al boletín, por si es del interés de alguno de los que vienen por aquí.
El INTECO en el ENISA Quaterly Report
La efectividad del Phishing
No me gusta mucho el sistema pero es lo que hay: dándoles algunos datos la empresa Trusteer nos permite leer su informe, Measuring the Effectiveness of In-the-Wild Phishing Attacks donde se dan algunas cifras propias sobre la efectividad de los ataques.
Sobre la autentificación de usuarios
En User Authentication: It Doesn’t Belong In Your Application un articulito sobre el tema de la autentificación de usuarios con algunas pinceladas sobre los temas más importantes que tenemos que considerar y una pequeña panorámica de la oferta de terceros sobre el tema, esencialmente OpenID y SAML.
Continuación del desbordamiento de memoria
En Saltando un desbordamiento de memoria empezamos a hablar del tema. En Exploting (II): Stack Overflow Simple (I) y Exploting (II): Stack Overflow Simple (II) han ido más allá y muestran casos más complejos de explotación. Altamente didáctico e ilustrativo.
¿En qué idioma habla tu web?
Un artículo curioso en Language Detection: A Witch’s Brew? donde nos dan pistas de cómo comportarnos (nuestra aplicación, claro) cuando alguien se conecta y tenemos un sistema en varios idiomas:
* Use Accept-Language – it just works
* Use IP detection as a fallback for language, or a separate test to determine jurisdiction
* Cookie your visitors’ language preferences, so you are consistent
* Provide a simple way to switch language, everywhere
* Treat language and compliance issues as two entirely separate problems
A mi me parece especialmente relevante la cuarta, porque siempre es mejor un buen original en inglés que una mala traducción y algunos sitios se empeñan en mostrarte tu idioma (aunque no lo hablen muy bien o no ofrezcan todas las características) y/o en preguntarte cada vez que entras por el idioma (caducan las cookies, cambian el mecanismo …).
10 años de CriptoRed
En 05/12/09:
La Red Temática Iberoamericana CriptoRed cumple 10 años nos cuentan
precisamente eso, que están de aniversario:
El 1 de diciembre de 1999 hacía su aparición en Internet una red temática, algo muy poco común en aquellos años, dedicada a la criptografía y la seguridad de la información con el nombre CriptoRed. En diciembre de 2009 y después de 10 años de existencia, esta comunidad virtual decana de las redes temáticas, que ha servido más de millón y medio de documentos en la red y que aglutina en la actualidad a más de 800 miembros profesionales y expertos en esta temática provenientes 214 universidades y 300 empresas de 30 países, puede mostrar, entre otros, los siguientes datos que la convierten en un referente mundial
Para los que no la conozcan se trata de una red que centraliza información sobre temas de seguridad (mucha criptografía, pero últimamente van abriéndose a muchos otros temas) pero que también organiza actividades como jornadas y congresos. Yo me apunté en el año 2005, así que llevo algo menos de la mitad de su andadura más de oyente que otra cosa en la red.
¡Felicidades!
Consolas y supercomputación
Ya hemos hablado del tema en vidas anteriores: PS3 y Grid y PS3 y computación distribuida.
El tema vuelve a estar de actualidad porque parece que la Fuerza Aérea de los Estados Unidos ha comprado unas cuantas consolas PS3 para aumentar la potencia de un superordenador, tal como cuentan en Superordenadores construidos con consolas de videojuegos (y en muchos otros sitios).
Potencia de cálculo a buen precio, ¿se puede pedir más?
Gusanos, iphone y jailbreaks descuidados
Seguimos con el iPhone. En New Malicious Worm Affects Jailbroken iPhones in Netherlands: los iPhones desprotegidos (en una demostración más de que la protección perfecta no existe) estarían siendo atacados por un gusano, aprovechando que el programa de desprotección no cambia ni obliga a cambiar la clave (en otra demostración de que los expertos en seguridad no siempre cuidan la seguridad). Visto en Un nuevo y peligroso gusano afecta a los iPhone desbloqueados, que lo resumen bastante bien. En Malicious iPhone Worm dan algunos detalles técnicos.
Nuevos ataques con SMSs
Ya tiene unos días (y solución) pero quede aquí a título de inventario: Researchers attack my iPhone via SMS: mediante el envío de un mensaje especial el teléfono queda a merced del atacante (mediante más mensajes de control). Lo vi en Vulnerabilidad en los iPhone vía SMS.
Ya habíamos hablado de ataques a teléfonos de la marca Nokia en ‘Regalos’ navideños de seguridad y también a routers, Cross Site Scripting por SMS.
Un año
Hace un año lanzábamos esta página, como heredera de la que veníamos manteniendo en BarraPunto. Si los datos son correctos, estamos aquí 106 entradas después (aproximadamente una cada tres días y pico), 69 comentarios (aquí claramente hemos perdido) y sin terminar de enganchar a demasiadas personas (el sistema de estadísticas del sitio da 3712 hits que serían algo más de 10 diarios :), que es otra pérdida clara con respecto al sistema anterior).
Mi objetivo siempre ha sido recopilar información que me parece interesante así que la idea es seguir mientras la herramienta nos sirva. Están ustedes invitados.
