jueves, 28 de marzo de 2013

Resumen semanal de seguridad online y vulnerabilidades web

Comenzamos con este post una sección que pretende ser semanal en la que incluiremos y resumiremos algunas de las noticias más interesantes que ha deparado la seguridad online y las vulnerabilidades web a lo largo de la última semana. Comenzamos con estos posts:

1. LinkedIn parchea diversas vulnerabilidades XSS y CSRF descubiertas por españoles

Expertos españoles han alertado a la red social Linkedin (que ya cuenta con 200 millones de usuarios) de la detección de una serie de vulnerabilidades cross-site scripting (XSS) y cross-site request forgery (CSRF) en la red social. Los desarrolladores de la comunidad de profesionales han lanzado ya han parcheado ambas vulnerabilidades. Estos fallos podían provocar ataques de phising.

Seguridad online. Vulnerabilidades web
Demasiadas compañías dejan la puerta abierta a los atacantes.


2. Una vulnerabilidad de WordPress permite inyectar código malicioso

Los hackers podían inyectar un Javascript o código malicioso en blogs de wordpress a causa de la vulnerabilidad detectada en el plugin WP Banners Lite de WordPress (indicado para instalar diferentes formatos de benners). El investigador que realizó el hallazgo informó a la compañía.

3. Massive DDoS attack against anti-spam provider impacts millions of internet users

Quizás sea el mayor ataque DDoS de la historia. Comenzó con la idea de inutilizar el portal spamhaus.org, un proyecto que lucha contra el Spam, elaborando listas negras de sitios que se dedican a esto. La intensidad del ataque ha ido creciendo hasta el punto de que los hackers tienen detrás de sí a la Policía de cinco países. Todo esto demuestra hasta qué punto los ataques DDoS se están perfeccionando, haciéndose más elaborados y difíciles de controlar. 

4. ¿Para qué se utilizan las técnicas y/o aplicaciones para la denegación de servicios distribuida (DDoS)?

Como siempre, interesante post de Inteco sobre los motivos y consencuencias de los ataques DDoS, técnicas y/o aplicaciones para la denegación de servicios distribuida (DDoS) que pretenden eliminar de Internet a una web durante un tiempo. Puede ser para protestar, pero también para obtener algún rédito económico. De hecho, hay empresas que se dedican a lanzar estos ataques e Inteco ha desvelado sus tarifas: Entre 10 y 50 dólares por hora de ataque para pequeñas webs y entre 50 y 200 euros por hora para grandes compañías.

5. Hackean sitio web de Bomberos para “reírse” de su seguridad

Sí, para reírse. Y por eso destacamos esta noticia. Es algo frecuente que algunos hackers lancen ataques simplemente para denunciar la falta de seguridad de las webs de grandes empresas y organismos. Critican así que dentro de grandes presupuestos, la seguridad online no sea tenida en cuenta pese a que si un hacker explota una vulnerabilidad de una web las consecuencias en prestigio pueden ser enormemente altas en términos económicos.

....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian


martes, 19 de marzo de 2013

El ecommerce se dispara: Cuida más que nunca tu seguridad web.

Los empresarios que han apostado por el comercio electrónico están de enhorabuena: Según los cálculos de los expertos (en este caso  la consultora Forrester), el ecommerce crecerá en España un 18% cada año hasta 2017, con lo cual se abre ante la maltrecha economía española un buen nicho de negocio. Además, el comercio online de nuestro país será el que mejor comportamiento presentará de toda Europa, donde la media de crecimiento anual del ecommerce será del 11%.

Seguridad web en el ecommerce

Photo credit: alles-schlumpf via photopin cc  

La música y los libros serán, según estas previsiones, los dos sectores que más crecerán online. De hecho, se prevé que en 2017 la mitad de la música y una cuarta parte de los libros se adquirirán online.El sector de la alimentación, por su parte, comenzará a abrirse hueco en Internet.

Esta tendencia al alza del ecommerce no es nueva. De hecho, hace unos meses ya informábamos en el blog de Security Guardian de que en el segundo trimestre de 2012 la facturación del comercioelectrónico en España había fijado un máximo histórico  al llegar a los 2.640,8 millones de euros, un 13,7% más que en el mismo periodo de 2011.

Y en este contexto de bonanza para los empresarios del comercio online, solo aquellas webs que sean seguras –y lo parezcan- podrán ver cómo su facturación aumenta en un país cuyos ciudadanos son todavía reticentes a las compras online. De hecho, el 64,5% de los internautas no compradores teme dar datos personales por Internet, el 58,8% no se fía y no le parecen seguros estos canales y el 48,3% siente desconfianza ante las formas de pago.

Ante el miedo, lo mejor es ofrecer seguridad web: realiza auditorías de seguridad, practica escaneos devulnerabilidades, asegúrate de que tu web difícilmente se verá comprometida y certifícalo con un sello de seguridad online para que tu web, además de ser segura, lo parezca.

....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian

jueves, 14 de marzo de 2013

¿Sabes qué es un escáner de vulnerabilidades web?


Un escáner de vulnerabilidades web (vulnerability scanner) es un programa que permite verificar la seguridad de una web tras analizar los puertos abiertos. 

 

Así, es posible identificar los riesgos del portal en el que se realiza la auditoría de seguridad. En el caso del escáner de vulnerabilidades web de Security Guardian, esta herramienta consulta una base de datos en la que figuran unas 40.000 vulnerabilidades  habituales.

El escáner de vulnerabilidades de Security Guardian ejecutará una amplia gama de pruebas para comprobar la seguridad de su web como SQL Injection, Cross Site Scripting(XSS), HTTP Smuggling, HTTP splitting, Buffer Overflow, Format string, HTTP Methods, Server Side Including (SSI), CGIs, Trasversal Path, Directory Listing, etc.

En el caso de que el escáner de vulnerabilidades web no detecte ninguna vulnerabilidad crítica, Security Guardian coloca el sello de seguridad correspondiente en el portal auditado.  La frecuencia del escaneo de vulnerabilidades puede depender de muchos factores, como el tipo de web, y puede realizarse cada día, una vez a la semana, una vez al mes, al semestre o al año, siempre en función de las necesidades de la web auditada y de los requerimientos para su seguridad. 


....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian

martes, 5 de marzo de 2013

¿Por qué tu web debe tener una certificación de seguridad?

Un certificado de seguridad, privacidad y confianza puede ayudarte a que el potencial cliente perciba que tu web es segura y que sus datos están a salvo en ella. Ese aumento de la confianza por parte de los clientes redundará en un incremento de las ventas. En paralelo, una web protegida es menos atractiva para los potenciales atacantes, que además saben que una web con certificación de seguridad está siendo revisada continuamente para detectar las posibles vulnerabilidades. Así, al menos, trabajamos en la empresa de seguridad informática Security Guardian.

Para obtener la certificación de seguridad, privacidad y confianza, Security Guardian verifica los datos de la empresa, los datos de contacto, la política de privacidad y la protección de datos. Después, realiza pruebas de intrusiones periódicamente para verificar la seguridad del website.

El escáner de vulnerabilidades de Security Guardian es un programa diseñado para buscar y detectar puntos débiles que afecten el portal auditado, consultándose una base de datos de vulnerabilidades conocidas con más de 40.000 vulnerabilidades. Las vulnerabilidades de una web son puntos débiles del software que permiten que un atacante comprometa la integridad, disponibilidad o confidencialidad de dicho software. Por eso se recomienda realizar de forma periódica un escaneo de vulnerabilidades, que es la automatización por medio de software especializado de la identificación de las debilidades de un sistema.

El objetivo de todo este trabajo en el ámbito de la seguridad web es conseguir un incremento de ventas desde o a partir de la página web.

....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian

viernes, 1 de marzo de 2013

Infografía sobre el malware en 2012

El 76,56% del malware detectado en 2012 corresponde a troyanos. El 8% son virus, el 6,44% gusanos y el 5,72% spyware.

Más del 30% de los ordenadores de mundo fueron infectados en 2012, siendo China, Corea del Sur, Taiwán, Turquía y Honduras los países más infectados.

Son los datos que nos deja esta infografía sobre seguridad informática elaborada por nuestros compañeros de Panda.



Seguridad de la información Malware


Recordemos que el malware es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el consentimiento de su propietario.



....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardia