03-12-2009 - ¿Existen razones para la alarma? Pues hasta cierto punto, sí, pero no más que hace unos años, cuando el entonces Ministro de Industria, José Montilla, apadrinó la Ley de Impulso de la Sociedad de la Información (LISI), una ley por la que se abrió definitivamente la puerta a que órganos administrativos pudiesen extralimitarse ejerciendo la censura en Internet. Una ley que era a su vez heredera de la infausta LSSI (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico), impulsada el año 2001 por el difunto Ministerio de Ciencia y Tecnología, bajo el gobierno de José María Aznar.

El verdadero origen del problema reside en el sistemático desprecio con el que nuestra clase política trata al tercer poder del Estado: el Poder Judicial, única autoridad legitimada por nuestra Constitución para secuestrar publicaciones, de conformidad con lo previsto por el artículo 20 de nuestra Carta Magna. Desde el año 2001, sucesivos gobiernos han intentado poner en cintura Internet recurriendo al derecho administrativo, con resultados nefastos.

Mediante el proyecto de Ley de Economía Sostenible (PDF 533 kb) se pretende la creación de una institución de nombre particularmente siniestro: la llamada Sección Segunda (desde hoy bautizada como S.S.) de la Comisión de Propiedad Intelectual del Ministerio de Cultura. Dicha institución no tendría otra finalidad que la de actuar como órgano competente para “el ejercicio de las funciones previstas en los artículos 8, 11 y concordantes de la Ley 34/2002 (LSSI), para la salvaguarda de los derechos de propiedad intelectual frente a su vulneración por los responsables de servicios de la sociedad de la información”.

Bajo un lenguaje jurídico pretendidamente aséptico, se esconden unas intenciones particularmente perversas. Los artículos 8 y 11 de la LSSI son los que permiten la restricción o interrupción de la prestación de servicios de Internet, como podrían ser el alojamiento de páginas web o el acceso a las mismas desde territorio español, en caso de que dichos servicios puedan atentar contra determinados valores.

A los valores que hasta ahora protegía dicha ley, como eran la salvaguarda del orden público, la investigación penal, la seguridad pública, la defensa nacional, la salud pública, la dignidad de la persona, el principio de no discriminación o la protección de la juventud y la infancia, se suma ahora un valor muy cuestionado en Internet: la propiedad intelectual.

Y para proteger dicha propiedad intelectual se crea la funesta Sección Segunda, facultada como órgano competente para supervisar páginas web, en salvaguarda del derecho de autor.

La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), establece que “la autorización del secuestro de páginas de Internet o de su restricción cuando ésta afecte a los derechos y libertades de expresión e información y demás amparados en los términos establecidos en el artículo 20 de la Constitución solo podrá ser decidida por los órganos jurisdiccionales competentes”. Subrayo y resalto en negrita las palabras “cuando ésta afecte”, porque ahí reside el peligro: el peligro de que la decisión de cuándo una determinada página web afecta a la libertad de expresión no queda en manos de los jueces, sino del funcionario de la S.S.

Desde el año 2001, no me he cansado de repetir que la LSSI era una mala ley, que podía permitir en cualquier momento la extralimitación de la autoridad administrativa. De aquellos polvos vienen estos lodos: como no deja de recordarnos el clásico, la historia siempre se repite. Como tragedia o como farsa.

En cualquier caso, que no cunda el pánico. Lo mejor que podía pasar ya ha pasado: Internet está a la defensiva. La Ley de Economía Sostenible debe ser revisada por el Consejo de Estado, por el Consejo General del Poder Judicial, por el Congreso de los Diputados y por el Senado.

Y después, por el Defensor del Pueblo y por el Tribunal Constitucional. La torpeza de los políticos que la han impulsado se quedará por el camino.

Tranquilos. En el inverosímil supuesto de que fallasen todas las instituciones del Estado, existe una sociedad civil movilizada, que se llama Internet.

Y ése es el mejor antídoto contra cualquier dictadura.

OPINIÓN DE CARLOS SÁNCHEZ ALMEIDA EN EL NAVEGANTE DE EL MUNDO

Rails es un entorno para desarrollar aplicaciones web con base de datos de acuerdo con la estructura Model-View-Control. Desde el Ajax en la vista, a la petición y respuesta en el controlador, hasta el modelo, Rails da un entorno de desarrollo de Ruby. Ruby es un lenguaje de programación interpretado y reflexivo que combina una sintaxis inspirada en Python y Perl con características de programación orientada a objetos similares a Smalltalk.

El problema reside en la función The strip_tags() que no filtra adecuadamente de la entrada del usuario los caracteres ascii no imprimibles antes de mostrar la entrada. En las aplicaciones que usen la función strip_tags(), un atacante remoto podría crear una URL especialmente tratada para lograr la ejecución arbitraria de código script en el navegador del usuario. El código se origina desde el sitio que ejecuta Ruby on Rails en el contexto de seguridad de este sitio. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
Fuente: Hispasec.com

El Centro de Tormentas de Internet SANS (ISC )ha publicado un análisis del script de ataque a WordPress, que fue encontrado en un servidor virtual privado. El script tiene la capacidad adicional de permitir que un atacante lo ejecute en un número de servidores diferentes al mismo tiempo, ya que las contraseñas que intenta están almacenadas en una base de datos MySQL que puede ser accedida remotamente.

La funcion wp_brute_attempt() toma 3 parámetros, $ch que es la estuctura cURL (cURL es una herramienta de línea de comando que se puede usar para realizar peticiones HTTP ). Los otros dos parámetros definen el sitio y la contraseña que se intentará. Si el script consigue validarse exitosamente, la página que es devuelta por el servidor contendrá la frase “Log Out”, y la función devolverá el valor verdadero.

Ahora, lo interesante del script es que permite el cracking distribuido. La información es guardada en una base de datos MySQL y el script realmente se conecta en forma directa a la base de datos principal. Esto permite al atacante correr varios scripts simultáneos - cada uno de ellos tomará 200 URL nuevas y las marcará con el ID del script forzador ($colo)

Se ha hallado en los últimos meses que WordPress, una plataforma de blogging popular, tiene una serie de vulnerabildades y los ataques contra la plataforma se han vuelto comunes. WordPress es usado en muchos entornos de blogging en corporaciones y también es usada por millones de bloggers individuales.

Traducción: Raúl Batista - Segu-info
Autor: Dennis Phisher
Fuente: threatpost

La compañía dijo el lunes que su ultima ronda de pruebas de spam sugiere que los proveedores podrían proveer mejor protección para todos los usuarios si colaboraran cuando desarrollan herramientas anti-spam.

VB dijo que los resultados de la última serie de pruebas de anti-spam mostró que si los proveedores compartieran información sobre los mensajes bloqueados todos saldrían beneficiados.

La compañía dijo que combinando los filtros de cinco o más de los productos de la última prueba, podría ser contruido un filtro ‘hipotético’ con un 99,89 por ciento de tasa de bloqueo y virtualmente ningun falso positivo.

El informe podría llevar potencialmente a un llamado para que los proveedores de anti-spam operen como los proveedores de anti-virus y cooperen mejor cuando comparten sobre nuevas amenzasa y descubrimientos. Mientras tanto, VB está aconsejando a los usuarios a la protección por capas para una mejor proteccion de spam.

“Para los usuarios inales esto implica que si el filtrado de spam es crítico para el negocio, el uso de mas de unfiltro de spam puede ser una buena opción,” dijo el director de pruebas anti-spam Martijn Grooten.

“La industria anti-spam, mientras tanto, debería considerar los beneficios de la colaboracion y compartir información, y podría ser más capaz, como resultado, de proteger nuestros buzones de correo.

Traducción: Raúl Batista - Segu-info
Autor: Shaun Nichols
Fuente: v3.co.uk

“El Gobierno ha hecho los deberes” para frenar las descargas de contenidos protegidos en Internet. La ministra de Cultura, Ángeles González-Sinde, explicaba de esta manera ayer, en el Senado, la “disposición final” que se escondía en el anteproyecto de la Ley de Economía Sostenible, y que contempla el cierre de páginas que vulneren la propiedad intelectual. Pero el hecho de que sea el Ministerio de Cultura, y no un juez, quien pueda cerrar una página web, provocó ayer una intensa protesta en la Red española.

02-12-2009 - M. Á. CRIADO/ B. SALVATIERRA - MADRID -PÚBLICO.- El anteproyecto, que modifica tanto la Ley de Servicios de la Sociedad de la Información (LSSI) como la Ley de Propiedad Intelectual (LPI) especifica que “se actuará contra aquellos que exploten los derechos de las obras ajenas, no contra los usuarios”, en palabras de González-Sinde. También el ministro de Industria, Miguel Sebastián, insistió en que no se perseguirá a los usuarios sino que el Ejecutivo actuará “para evitar que haya páginas de descargas ilegales”.

La norma prescinde de los jueces, que han archivado una treintena de casos

Sin señalarlas, ambos ministros hablaban de las páginas de enlaces P2P. Los autores y entidades de gestión habían depositado su confianza en que el Gobierno acabara con la actividad de estas web, después de que los jueces hayan archivado una treintena de denuncias de la industria cultural y hayan llegado, incluso, a ordenar la reapertura de dos de ellas, en una sentencia conocida la semana pasada.

Ahora, el procedimiento previsto por el Gobierno para cerrar estas páginas prescinde de los jueces. La futura ley prevé que sea una refundada Comisión de Propiedad Intelectual del Ministerio de Cultura, a la que Sinde calificó de “comisión independiente compuesta por expertos”, la que examine si un prestador de servicios de Internet vulnera los derechos de autor y, en su caso, dar la orden a los operadores que bloqueen esa página.

Estas compañías prefirieron ayer guardar silencio. Tanto la principal operadora, como Telefónica, como la asociación que las engloba, Redtel, aseguraron que no sabían que el anteproyecto incluyera este cambio legal. Por ello, dijeron que tenían que estudiar las implicaciones de la medida “porque entra de lleno en el negocio”, dijo un portavoz.

Abogados críticos

Los abogados consultados por Público, mientras, coinciden en la misma idea: con las nuevas competencias otorgadas a la Comisión de Propiedad Intelectual del Ministerio de Cultura se sortea a los jueces. “La estrategia antes era judicial y ahora buscan conseguirlo por la vía gubernamental”, explica el abogado David Maeztu. Por su parte, David Bravo, que junto a Javier de la Cueva ha defendido a una veintena de páginas de enlaces ante los jueces, es contundente: “Se han quitado de en medio a los jueces”, dice. Caso tras caso, los tribunales han mantenido que estos sitios no cometen un delito ni incurren en un ilícito civil.

“Ahora, el cierre lo decidirá el Ministerio de Cultura”, añade Bravo.

La legislación, en particular la LSSI, ya recogía la posibilidad de que un órgano administrativo cierre una página web pero sólo en cuatro supuestos: salvaguarda del orden público, protección de la salud pública, respeto a la dignidad de la persona y la protección de la infancia; “delitos graves”, resume Bravo. Javier de la Cueva considera que se ha consumado una “perversa alteración de valores, anteponiendo la propiedad intelectual a los derechos fundamentales”.

Recopilar datos

La nueva Comisión de Propiedad Intelectual podrá ordenar a los operadores que revelen los datos necesarios para identificar a los dueños de las páginas con las que haya abierto un procedimiento. Para el abogado Carlos Sánchez Almeida, éste y otros puntos de la medida se extralimitan. “Se faculta a un órgano administrativo a imponer restricciones que solo podría imponer un juez”, comenta. Y hay un riesgo añadido, coinciden en destacar Bravo y Sánchez Almeida. Esta atribución de funciones especiales a la Comisión de Propiedad Intelectual “abre la puerta a que se convierta este órgano en el censor de la Red”, teme Almeida. Bravo asegura que el objeto último de la ley no son las páginas P2P. “Esto afecta a todo prestador de servicios de Internet”.

A la oposición parlamentaria tampoco le han gustado las formas del Gobierno. “No es de recibo que se utilice de tapadillo las disposiciones adicionales de cualquier proyecto de ley que pasaba por el Parlamento para solucionar un problema”, dicen desde el grupo parlamentario de Izquierda Unida. Para este partido, la justicia ya cuenta hoy con elementos legales suficientes para “salvaguardar la propiedad intelectual sin necesidad de recortar derechos, como pretende esta modificación”. El vicesecretario de Comunicación del PP, Esteban González Pons, manifestó ayer en un chat con los lectores de Público su preocupación por la medida. “En la defensa de los derechos de acceso a Internet estamos en el principio de los tiempos democráticos”, añadió.

Nada más conocerse los planes del Gobierno, destacados líderes de opinión en Internet mostraron ,asimismo, su rechazo. Autores de algunos de los blogs más leídos en España, como Enrique Dans, Julio Alonso o Ignacio Escolar (también columnista de Público), han criticado en sus páginas web la medida, y en el sitio de noticias Meneame.net, los artículos relacionados con este asunto se encontraban ayer entre los más comentados.

Para Ofelia Tejerina, abogada de la Asociación de Internautas, estas modificaciones “abren la puerta a la censura política previa sin control judicial”. Tejerina se muestra convencida de que esta regulación la establece “gente que no conoce la realidad de Internet” y anuncia medidas por parte de su asociación: “Si el anteproyecto sale adelante, se va a impugnar porque los contenidos de Internet están protegidos, en principio, por la libertad de expresión”. En cuanto a la descarga de contenidos sujetos a derechos de autor, la abogada se muestra escéptica con respecto a que estas medidas acaben con esta práctica, y pone como ejemplo los sistemas P2P. “Son legales, es un sistema de comunicación privada entre particulares”. Precisamente ayer, el creador de la World Wide Web, Tim Berners-Lee, advirtió en Bruselas de que el control de los movimientos de los usuarios en la Red para detectar si incumplen las leyes de propiedad intelectual puede violar los “derechos fundamentales”.
Fuente: internautas.org

Un error de validación de los certificados X509 en la función “php_openssl_apply_verification_policy” permitiría a un atacante remoto validar un certificado manipulando los valores de CN.

En la función “exif_process_APP1″ se han corregido varios errores que podrían causar distintos impactos. Esta función se usa para obtener datos con información extra como la que incluyen las cámaras digitales.

Existe un error de desbordamiento de memoria intermedia en la función “gdImageColorTransparent”. Esto podía ser aprovechado por una atacante remoto para causar una denegación de servicio a través de un valor de color igual al máximo permitido.

Existe un error en la comunicación entre las funciones de Windows para crear “pipes” (tuberías) y la función ‘popen’ de php. Esto podría ser aprovechado por una atacante remoto para causar una denegación de servicio en sistemas Windows a través de la llamada a esta función con valores de modo erróneos.
Fuente: Hispasec.com

Uno de los ‘Toolkits’ que mas buenas sensaciones me ha transmitido es MI-ROR.
MI-ROR está basado en las fabulosas herramientas de Sysinternals y permite obtener una radiografía muy muy completa de un sistema Windows en ejecución (no es, por tanto, un toolkit al estilo Sleuth Kit)

Algunos aspectos que permite ‘radiografiar’ MIR-ROR son:

* Puertos TCP/UDP en uso
* Software instalado
* Servicios en ejecución,
* Cuentas administrativas
* Procesos en ejecución

Otro de los puntos positivos es que todo el toolkit es portable, con lo que se puede tener en un pen USB o generar un .zip enviable por correo electrónico para hacer un diagnostico remoto.

Muy recomendable leer el artículo publicado por el autor del toolkit aquí

Autor: Yago Jesús
Fuente: SecurityByDefault

En este caso y conforme leemos en Seguridad Internautas el asunto de estos correos electrónicos es “El trabajo hermoso en la crisis!”, pero como decía, no es una situación nueva, ya hace un tiempo en Cajon desastres indicábamos algunos ejemplos de este tipo de estafas y exponíamos una serie de recomendaciones para evitar ser victimas del SCAM.

El Scam es la captación de personas por medio de correos electrónicos, anuncios en web de trabajo, chats, irc, etc… donde empresas ficticias le ofrecen trabajar cómodamente desde casa y cobrando unos beneficios muy altos. Sin saberlo, la víctima esta blanqueando dinero obtenido por medio del phishing (procedente de estafas bancarias).

Como siempre mucha atención y precaución con este tipo de envios a nuestras cuentas de correo.

* Comparte esta entrada de Daboweb

Entradas relacionadas

* Scam, muleros y webs falsas (0)
* Spam, Scam, Phishing y el e-mail (0)
* SCAM. Trabajo y dinero facil por e-mail (0)
* Scam. Falsas ofertas de trabajo. (0)
* Qué es el Scam (0)
Fuente:Daboweb.com