"No estamos interesados en la posibilidad de la derrota"

[ Reina Victoria de Inglaterra - 1837-1901 ]

Boletín 132 - Wireless 802.11 "El Otro Lado" - 14/03/2009

La BBC utilizó una botnet para educar a los usuarios en la red. ¿Es esto legal, ético y moral?

1. Wireless 802.11 "El Otro Lado"
2. Encuesta Latinoamericana de Seguridad de la Información
3. La BBC utilizó una botnet para concientizar
4. Fuzzing en aplicaciones de base de datos de Oracle
5. Apoya a Segu-Kids, Juntos en la Red
6. Desafío de la semana

1. Wireless 802.11 "El Otro Lado"

El presente documento ha sido desarrollado por Ezequiel Sallis, quien es CISSP y actual Director de RootSecure.

Imaginemos por un momento la siguiente situación: un usuario enciende su ordenador en el aeropuerto o en un bar, con el objetivo de leer algunos documentos de trabajo que debe presentar en su próxima reunión. Claro está, estos documentos están en su equipo y el usuario no tiene necesidad alguna de establecer ninguna conexión, ahora bien, sucede que en ese mismo aeropuerto o bar se encuentra alguien con malas intenciones, por lo que para poder extraer algo de información sensible de equipos de usuarios desprevenidos, levanta un punto de acceso inalámbrico desde su portátil buscando que mediante la debilidad de conexión automática a redes inalámbricas preferidas, presentes por defecto en la mayoría de los sistemas operativos, este usuario se conecte al punto de acceso ofrecido, ¿el final de la historia no es difícil de adivinar verdad?

El documento "Wireless 802.11 El Otro Lado" puede ser descargado de nuestra sección de Terceros.

Gracias Ezequiel!

2. Encuesta Latinoamericana de Seguridad de la Información

La Asociación Colombiana de Ingenieros de Sistemas - ACIS, la Universidad del Valle de Atemajac - UNIVA, México y el Centro de Atención de Incidentes de Seguridad Informática y Telecomunicaciones – ANTEL, de Uruguay, han unido esfuerzos para adelantar la I Encuesta Latinoamericana de Seguridad de la Información, que busca comprender mejor las tendencias en seguridad de la información en Latinoamérica.

Si bien la iniciativa es de los tres países que colaboran con la encuesta, a través de la colaboración de Segu-Info pueden participar todos los países de Latinoamérica.

En este sentido, animamos a todas las personas del continente a participar de esta iniciativa, cuyos resultados serán presentados en la IX Jornada Nacional de Seguridad Informática, ACIS 2009 a realizarse en Bogotá, Colombia, del 17 al 19 de Junio de 2009. Luego del evento, el análisis de los resultados será publicado en el sitio web de ACIS para el acceso al público en General.

La encuesta puede responderse desde aquí.

Segu-Info agradece a Jeimy José Cano Martínez por su trabajo para llevar adelante esta encuesta y su apoyo.

3. La BBC utilizó una botnet para concientizar

La cadena internacional de noticias BBC, ha adquirido una botnet y ha controlado 21.696 equipos a fin de demostrar la gravedad de estas tecnologías.

Luego de emitir su programa se ha desatado la polémica ¿Fines educativos? ¿Legal o ilegal? ¿Ético o no? ya que muchas personas, abogados incluidos, consideran que estas acciones no son legales, y mucho menos éticas o morales.

La caso puede ser seguido en nuestro Blog y en nuestro Foro.

• La BBC rompió la ley con su Botnet, dicen los abogados
• Polémica: la BBC utilizó una botnet para concientizar
• Videos de la BBC sobre botnets

4. Fuzzing en aplicaciones de base de datos de Oracle

Sentrigo ha anunciado hace poco FuzzOr, una herramienta de código abierto que permite realizar ataques de Fuzzing en las bases de datos de Oracle. Fue diseñada para identificar las vulnerabilidades encontradas en las aplicaciones escritas en PL/SQL. La nueva utilidad permite a los programadores de este lenguaje, a los administradores de base de datos (DBAs) y los profesionales de la seguridad identificar y reparar las vulnerabilidades que se pueden explotar vía SQL Injection y desbordamiento de Buffer.

FuzzOr fue desarrollada por Slavik Markovich, cofundador y CTO de Sentrigo, y funciona en bases de datos de Oracle versiones 8i o superiores y ayuda a identificar errores de codificación. Una vez que las vulnerabilidades son detectadas por FuzzOr, un programador posteriormente puede reparar el código de PL/SQL.

FuzzOr se puede descargar sin cargo del sitio Web de la compañía.

5. Apoya a Segu-Kids, Juntos en la Red

Segu-Kids, pone a disposición de todos información en forma libre y gratuita y, es el primer sitio pensado con el objetivo de apoyar y acompañar a la familia y a los educadores.

El nacimiento de Segu-Kids se debe a la gran cantidad de riesgos existentes en Internet y a la necesidad de crear concientización y educación sobre las formas de prevención y protección, haciendo uso responsable de las tecnologías existentes.

Segu-Kids busca la colaboración de todas las organizaciones a quienes les importa los menores y la seguridad en línea. Por eso, si formas parte de una de estas organizaciones o conoces a alguien vinculado, no dudes en ponerte en contacto con nosotros.

Te invitamos a conocer Segu-Kids y a dejarnos tus experiencias, para que sigamos creciendo juntos en la red.

6. Desafío de la semana

Solución al desafío del Boletín anterior:

En el tiempo que el profesor recorre toda la escalera, yo consigo recorrer la escalera menos 11 (7 + 4) escalones. Como él va al doble de velocidad que yo, la escalera tiene 22 (11 * 2) escalones.

Respondieron correctamente:
tutatuta77@, gabriel.chiaradia@, compianomatias@, josepcardona@, rmontesj@, victor98_den@, nuflaco@

Desafío de esta semana:

El condenado fue ubicado contra el paredón, el pelotón de fusilamiento presentó armas reales, apuntó al condenado y disparó balas de verdad. Sin embargo, el condenado salió totalmente ileso. ¿Qué sucedió?