Verisign solucionó certificados vulnerables al ataque MD5

En relación a la noticia sobre la vulnerabilidad de certificados CA firmados con MD5 y que comprometen sitios asegurados con SSL, en el blog de Verisign se informa que esa empresa invalidó todos los certificados CA emitidos por ellos que podrías se objeto del abuso.

De esa manera si alguien lograra reproducir el ataque presentado ayer en la conferencia C25C3, no podrá llevarlo a cabo con certificados CA de Verisign.

A continuación, reproducimos lo que se menciona en el blog de Verisign:

Esta mañana temprano en el Chaos Communication Congress en Berlín, tres investigadores presentaron un trabajo en el cual habían usado un ataque de colision a MD5 y una sustancial potencia de cálculo para crear un Certificado SSL usando certificados de la marca RapidSSL. La presentación en vivo está para descargarse.

Estoy contento de anunciar que este ataque articulado esta mañana se ha hecho inutilizable para todos los Certificados SSL disponibles de Verisign.

Aplaudimos a los investigadores de seguridad de este tipo y estamos contentos que los “white hats” como el grupo “MD5 Collision Inc.” Hagan investigaciones sobre la seguridad en linea. Este grupo fue hasta el final manteniendo en privado sus hallazgos, y desafortunadamente eso incluyó que Verisign no recibiera esta información por adelantado a la presentación, haciéndonos imposible comenzar a trabajar en la mitigación de este asunto antes de esta mañana. Les advierto que estas respuestas son preliminares y si resulta que alguna de la información que recibimos no es precisa, mis respuestas podrían cambiar. Afortunadamente, Verisign ya ha eliminado esta vulnerabilidad. Aquí están algunas preguntas posibles y sus respuestas basadas en lo que conocimos esta mañana.

P: ¿Es precisa la información del trabajo y de la presentación?
R: Como mencioné, recién recibimos la información esta mañana. Nuestra revisión preliminar no revela ninguna imprecisión en la información presentada.

P: ¿Cómo mitigará Verisign este problema?
R: Verisign eliminó esta vulnerabilidad. Apenas antes de publicar esto, el ataque presentado esta mañana en Berlín no podrá tener éxito contra ningún certificado RapidSSL ni ningún otro certificado que venda Verisign bajo cualquier otra marca.

P: ¿Significa que Verisign discontinuó el uso de MD5?
R: Hace un largo tiempo estamos en el proceso de dejar de usar el algoritmo de hashing MD5. MD5 no es usado en la mayoría de los certificados de Verisign para la mayor parte de las aplicaciones, y hasta esta mañana nuestra hoja de ruta indicaba que el uso último de los certificados de nuestros clientes no iba más allá del final de enero de 2009. La presentación de hoy mostró como combinar ataques de colisión MD5 con otras cosas ingeniosas de ataques para crear un certificado falso. Discontinuamos el uso de MD5 cuando emitimos certificados RapidSSL, y confirmamos que todos los demás certificados SSL que vendemos no son vulnerables a este ataque. Continuaremos con nuestro camino para discontinuar MD5 por completo en todos los certificados de entidades para finales de enero de 2009.

P: ¿Está rota la seguridad de Internet?
R: Difícilmente. Los presentadores del trabajo de esta mañana enfatizaron que les tomo un largo tiempo y gran esfuerzo de potencia computacional para conseguir el ataque de colisión. Verisign ya ha eliminado esta posibilidad de ataque.

P: ¿Cuántos certificados están afectados?
R: Cero. Ningún certificado de entidad es afectado por este ataque. El ataque, cuando funcionó, fue un método potencial para que un criminal cree un nuevo certificado falso desde cero. Los certificados existentes no son blanco de este ataque.

P: ¿Qué pasa con los clientes que tienen cerificado que usan el algoritmo MD5 de hashing?
R: La investigación de hoy reveló un ataque potencial que requirió la emisión de nuevos certificados. Los certificados existentes de entidad final no son un riesgo de este ataque. Sin embargo, cualquier cliente que quiera hacerlo puede reemplazar sin cargo alguno cualquier certificado basado en MD5. Hasta nuevo aviso Verisign está suspendiendo los cargos de reemplazo para estos certificados., como lo hicimos previamente con las claves débiles de Debian.

P: El investigador afirmó que la Validación Extendida SSL es una defensa contra este problema. ¿Es cierto?
R: Si. El estándar de Certificado de Validación Extendida SSL prohíbe el uso de MD5. De modo que ningún certificado EV que cumplimenta el estándar usa MD5. Le puedo decir de hecho que ningún certificado EV SSL de las marcas Versión, Thawte o GeoTrust usa MD5.

P: Estos investigadores han discutido su deseo por mantener el secreto de modo que el martillo de una acción legal no pudiera usarse para impedir su publicación. ¿Intenta Verisign demandar a estos investigadores?
R: Los investigadores de seguridad que se comportan éticamente no tiene motivos para temer acciones legales por parte de Verisign. Desde su fundación Verisign ha sido una de las fuerzas líderes para la seguridad online, y la compañía ha usado sus recursos y experiencia consistentemente para ayudar al progreso de la seguridad en línea. De hecho, Verisign en si misma es una firma de investigación “white-hat” (a traves de nuestro ampliamente respetado iDefense Labs) y comprendemos el concepto de “hacking ético”. Estamos decepcionados porque estos investigadores no hayan compartido antes sus resultados, pero contentos de informar que hemos mitigado completamente este ataque.

Traducción para blog de Segu-info por Raúl Batista

Fuente:Segu-info

Read More

Free Extended Task Manager, el administrador de tareas definitivo

imagen-11

Si eres usuario de Windows sabrás que el administrador de tareas es una herramienta imprescindible. Cada vez que una aplicación se queda colgada o simplemente para ver el rendimiento del microprocesador debemos acceder a él. Quizás la única pega que le encuentro es que es algo simplona.

Gracias a Free Extended Task Manager podremos tener lo que podemos denominar el administrador de programas definitivo. Es, digamoslo así, un administrador de tareas vitaminado. Podremos tener acceso a lo mismo que podemos actualmente con nuestro administrador de tareas pero con unas cuantas mejoras.

El manejo de la aplicación es a través de pestañas y quizás lo que más me ha gustado es que podemos acceder directamente a los servicios desde una de ellas. Además en el monitor de rendimiento podremos observar el uso de disco o incluso podremos ver puertos están usando las aplicaciones que tenemos abiertas.

Sin duda una herramienta casi imprescindible y que seguramente nos ayudará mucho en nuestras tareas a la hora de usar Windows, que como todos sabemos falla alguna que otra vez.

Fuente:GenBeta

Read More

Microsoft y su estrategia de buscador en Internet, cuestionadas

La empresa lleva predicando su interés por las búsquedas en Internet desde hace años. Desde que Google se hiciera con el dominio absoluto del mercado se ha demostrado que ese negocio da muy buenos resultados a nivel publicitario, y parece que en Redmond sólo están interesados en esa parte.

En Search Engine Land, uno de los medios online más reputados en cuestión de noticias relacionadas con buscadores, critican la actitud de los directivos de Microsoft, que jamás han asistido a conferencias especializadas en este tema.

Eso ha hecho pensar que el interés de Microsoft por el negocio de las búsquedas no es tan importante como quieren hacer ver. Ballmer siempre ha confesado su interés por dicho mercado, pero en los eventos organizados siempre declina la invitación, cuando sí que se presenta en eventos teóricamente de menor entidad.

Fuente:The inquirer

Read More

Investigadores consiguen hacer que cualquier certificado SSL parezca válido

Antes de que termine este año de catástrofes en la Red, un grupo de investigadores consiguen asestar otro golpe a una de las infraestructuras de Internet en la que se confía: la PKI (infraestructura de claves públicas). Aunque el impacto real será mínimo, se ha conseguido demostrar empíricamente que es posible falsificar cualquier certificado SSL y por tanto, que los navegadores den como válidos certificados falsos que harían aparecer páginas fraudulentas como legítimas.

Esta es una de esas noticias que se presta a cierta exageración en los medios, al igual que pasó con la supuesta ruptura del WPA con TKIP o con el ataque sockstress, ambas de solo hace unas semanas. En realidad solo se ha demostrado algo que se suponía teórico (que no es poco). El SSL no está roto, el problema real reside en cómo lo utilizan algunas autoridades certificadoras “anticuadas”, o sea, en un modelo de PKI concreto. Por último, destacar que el hecho de que los investigadores hayan usado la potencia de 200 consolas PlayStation3 para conseguir su objetivo, es irrelevante, solo desvía la atención del problema aunque añada cierto “glamour”.

En realidad, las raíces reales del problema son dos: las conocidas colisiones del algoritmo MD5, y que ciertas autoridades certificadores todavía lo usen. Vamos a realizar una pequeña introducción sobre los certificados y luego explicar cómo lo han conseguido exactamente y las consecuencias.

SSL y los certificados

SSL es un protocolo que sirve para cifrar las comunicaciones punto a punto, por ejemplo entre un navegador y un servidor web o una conexión SSH. En una conexión SSH no es necesario autenticar al servidor remoto habitualmente, pero sí cuando un usuario se conecta a una página web.

¿Estoy realmente en la web de mi banco? Para eso se inventaron los certificados, que son una especie de “documentos de identidad”, DNI, del servidor. Ahí aparecen (respetando el estándar X.509) datos como el nombre de dominio para el que está emitido, fechas de validez, clave pública del sitio y sobre todo, qué autoridad le da validez a ese certificado. Si en el caso de los carnés de identidad la validez la certifica el Estado, en Internet existen un buen número de autoridades certificadores (CA) que validan esa información. Cuando se crea una clave pública que va a servir para certificar un sitio web, el dueño del sitio debe enviar esa clave junto con sus datos a una autoridad para que todo junto se convierta en un certificado y se garantice que pertenece a esa persona o entidad.

Los certificados y “las firmas”

Las CA calculan el hash (una especie de firma-resumen) de todo el certificado (recordemos: nombre de dominio, fechas, clave pública…), y este valor se añade al propio certificado. Sería como su número personal e intransferible que lo incluye todo. Si se altera algún valor, este dato cambia por completo. Luego además “firman” este hash (y solo el

hash) con su propia clave privada, de forma que ahora el certificado, tiene un “número de identificación”, firmado por alguien de confianza y supuestamente único, además asociado de forma indivisible a sus datos.

Este paso sería como “lacrar” el certificado en un sitio oficial. Como veremos, aquí es donde las CA cometen el error técnico.

Como existen muchas CA, los navegadores por defecto traen ya por defecto una lista de certificados raíz que sirven para comprobar de forma automática que la ruta de validez del certificado es válida, o sea, que está firmado por alguien en quien se confía y la firma es válida.

Si existe algún fallo durante esta comprobación automática, si por ejemplo se crea un certificado que dice ser de un sitio pero no lo es y no está validado, el hash no casará y el navegador se quejará mostrando una alerta. Confiamos en los hashes firmados porque se supone que es muy complejo que dos hashes coincidan si son creados a partir de datos diferentes, esto es, que colisionen.

“Las firmas” y el MD5

Cuando hablamos de hash o firma criptográfica, todavía se acude al MD5 como referente, aunque esté obsoleto y desaconsejado. Muchas CA han usado y están usando MD5 para calcular el hash del certificado y firmar esto con su clave privada. Otras muchas autoridades, la mayoría, están ya valiéndose de SHA1, un algoritmo de hash mucho más robusto y al que todavía no se le han encontrado serios problemas. MD5 por el contrario, es rechazado porque la potencia de computación actual hace que sea sencillo encontrar colisiones.

Esto es precisamente lo que han expuesto varios investigadores internacionales en Berlín el día 30 de diciembre. Han creado certificados con identidades usurpadas, pero validados por CA. Lo han conseguido con fuerza bruta, forzando la colisión de la firma MD5. Esto puede permitir crear sitios falsos con certificados que sean válidos, o de forma práctica: phishings perfectos.

Cómo lo han hecho

Alegóricamente, lo que han conseguido es recortar un sello del Estado que da validez a un carné cualquiera y pegarlo en un carné falsificado de otro individuo al que se pretende imitar. El mérito del descubrimiento es que parezca real aunque los sellos son único y están creados a partir de los datos de todo el carné, además de lacrados por una autoridad.

Por ejemplo, si se quiere falsificar el certificado de hispasec.com, los investigadores crearían dos certificados, uno que falsificase los datos de Hispasec y otro real con cualquier información. El truco es que han conseguido con fuerza bruta, que ambos resulten en un mismo hash criptográfíco, en el mismo MD5. Entonces enviarían el real (con cualquier información no necesariamente relacionada con Hispasec) a una CA que todavía use MD5 para validar certificados. La CA lo firmaría y lo validaría con total normalidad. Luego los atacantes dan el cambiazo: les bastaría con modificar el hash del certificado que falsifica los datos de Hispasec con el hash del otro certificado, validado ya por una CA.

Como ambos resultan en el mismo hash aunque contengan distintos datos, todo encaja, y el certificado falso seguiría siendo matemáticamente válido a todos los efectos.

Qué pasa ahora

No mucho. La tecnología SSL es muy útil, y ahora se le ha encontrado un pequeño hueco que hace que en teoría, podamos dudar de todos los certificados de autoridades certificadoras que se basen en MD5, pero son las que menos. En cualquier caso, el problema de base es que el usuario medio no sabe qué es SSL, ni qué significa un certificado, y mucho menos interpretarlo. Como mucho, sabe que si está en un sitio https, o el candado del navegador está activo, entonces el sitio es “bueno”. Pero ya sabemos que para conseguir un candado en el navegador o incluso un certificado no válido (aunque el navegador se queje, el usuario no entenderá la advertencia y dirá que “sí”) no es necesaria tanta complejidad. Un atacante puede comprar certificados baratos que validen un nombre falso (banc0.com), el navegador ni se quejará y el usuario tampoco entenderá qué está pasando.

SSL es técnicamente genial pero está resultado una tecnología “socialmente” fallida. No es entendida por el usuario y ese es el mayor de sus problemas. Con este golpe técnico la infraestructura de PKI se ha demostrado que incluso a los expertos se les podría engañar con los certificados, pero también es cierto que los que entienden la tecnología pocas veces se detienen a cuestionarse un certificado, comprobando la ruta de certificación y demás información proporcionada por el sitio supuestamente seguro. SSL arrastra la lacra del desconocimiento por parte de la mayoría de los usuarios. Si por ejemplo el DNI es aceptado nacionalmente como documento que valida una identidad, un certificado SSL está lejos de ser aceptado por el usuario medio de Internet como documento que garantice nada.

También hay que tener en cuenta que pocas CA usan hoy día MD5, y que tras esta llamada de atención es de esperar que sean todavía menos en el futuro. Para los que posean certificados, es aconsejable que comprueben que la CA que les ha dado validez usa o no MD5.

En definitiva, esto es grave sobre todo para https, pero nada catastrófico va a pasar a efectos prácticos para el usuario medio. Al menos no más grave de lo que ya está ocurriendo, teniendo en cuenta la credibilidad de la que todavía gozan burdas copias de páginas web que simulan ser bancos.

Todos los grandes fabricantes (que usen VPN basadas en SSL o implementen

navegadores) han publicado avisos explicando el problema.

Fuente:Noticias Hispasec

Read More

Resumen de seguridad de 2008 (II)

Mayo 2008:

* Según G Data, España ocupa el noveno puesto mundial en número de sistemas zombi, casi en empate técnico con Estados Unidos y Rusia.

* Una central nuclear en Georgia debe realizar un apagado de emergencia durante 48 horas tras la instalación de una actualización de seguridad que desestabiliza un ordenador, perteneciente a la red de control de la planta.

* Microsoft lanza el Service Pack 3 para el sistema operativo más popular de la compañía. Tras un pequeño retraso por cierta incompatibilidad con su Dynamics RMS, se ofrece para descarga directa.

* El plugin del idioma vietnamita para Firefox 2, es distribuido desde el sitio oficial (y desde febrero) infectado con adware.

* Es el año del descubrimiento de grandes fallos catastróficos. Se descubre que el generador de números aleatorios del paquete OpenSSL de Debian es predecible. Aparecen los exploits y listas de claves públicas y privadas que cubren todo el rango que el paquete era capaz de generar por este error.

Junio 2008:

* Se lanza Firefox 3 con gran éxito (animado por una campaña que pretende romper el récord de descarga durante las primeras 24 horas de disponibilidad).

* Eva Chen, cofundadora y CEO de Trend Micro, declara “la industria antivirus apesta”. Los atacantes van por delante y la industria se ha quedado atrás.

* Hispasec participa en un taller de trabajo de un proyecto europeo llamado FORWARD. Básicamente se trata de una iniciativa de la Unión Europea que intenta crear un grupo de expertos en materia de seguridad informática que ayude no solo a ver con perspectiva lo que ocurre en estos momentos en el mundo, sino que también se aporten ideas sobre cuáles se sospecha serán las futuras amenazas a largo plazo.

* Se publica Opera 9.5, que introduce importantes funcionalidades a la vez que corrige serios problemas de seguridad.

Julio 2008:

* Después de algo más de un año de trabajo entre bambalinas, y bajo el amparo de la Unión Europea, comienza su andadura el proyecto WOMBAT (Worldwide Observatory of Malicious Behaviors and Attack Threats), formado por un grupo de universidades y empresas internacionales, entre las que se encuentra Hispasec.

* Se publica una actualización masiva para la mayoría de los dispositivos en Internet que utilizan DNS. Se dice que había sido descubierta una vulnerabilidad que permitía falsificar las respuestas DNS y, por tanto, redireccionar el tráfico. Casi todos los grandes y pequeños fabricantes y programadores actualizan sus sistemas y se intentan mantener los detalles técnicos de la vulnerabilidad ocultos, por la gravedad y el potencial impacto que podría suponer.

* Apple es el último gran fabricante en publicar un parche para la grave vulnerabilidad en el protocolo DNS descubierta por Kaminsky.

Agosto 2008:

* Alexander Sotirov y Mark Dowd, muestran en las conferencias Black Hat

2008 cómo traspasar las protecciones de memoria de Windows Vista y ejecutar a través del navegador cualquier tipo de código.

* Aparece un nuevo troyano que afecta a archivos multimedia. Este malware, que muchas casas antivirus denominan GetCodec, emplea una técnica de infección que no había sido vista hasta el momento. Hispasec publica un amplio estudio técnico al respecto.

* También durante la Black Hat, se habla de nuevo de la mayor vulnerabilidad de Internet al demostrar dos investigadores una nueva técnica que permite interceptar el tráfico de Internet a una escala global. Tony Kapela y Alex Pilosov demuestran por fin de forma empírica un problema que se presuponía teórico hasta ahora. Cualquiera con un router BGP podría desviar el tráfico de cualquier gran nodo y devolverlo de forma transparente.

Fuente:Noticias Hispasec

Read More

Apaga el ordenador automáticamente cuando no lo uses con AllOff

alloff

En los días en los que vivimos hacer un uso eficiente de la energía no es sólo algo que se debe hacer por el medio ambiente, sino que además podremos ahorrar unos eurillos si nos lo montamos bien. Uno de los usos eficientes que podemos hacer es apagar el ordenador cuando no lo estemos utilizando. La mayoría de nosotros no lo hacemos porque nos resulta incómodo estar apagando y encendiendo, pero con los equipos que tenemos hoy día arrancar un ordenador no requiere más de un minuto.

Es normal que si no estamos acostumbrados a apagar el ordenador cada vez que lo dejamos de usar se nos pueda olvidar, pero para eso entra en nuestras vidas AllOff. AllOff es una pequeña aplicación para Windows que nos permitirá apagar el ordenador automáticamente cuando no lo estemos utilizando.

Para ellos dispondremos de unos cuantos parámetros a configurar, y una vez pasado el tiempo indicado de inactividad AllOff activará una cuenta atrás de un minuto para apagar el ordenador. Esta cuenta atrás podremos cancelarla y si finalmente no lo hacemos el ordenador se apagará.

Así de sencillo, la aplicación no tiene nada más. Funciona con Windows, está en ingles y para poder instalarla deberemos registrarnos primero en la web de su autor.

Fuente:GenBeta

Read More

La vulnerabilidad de Windows Media Player degradada a simple error

El día 24 de diciembre un mensaje en la lista de correo Bugtraq hacía pública una supuesta vulnerabilidad en Windows Media Player que afectaba a todas las versiones en todos los sistemas. El fallo en sí es un desbordamiento de entero producido al procesar un archivo especialmente manipulado en los formatos WAV, SND, o MID. La antesala a una ejecución de código arbitrario.

El mensaje iba acompañado de una prueba de concepto, un script en Perl que al ejecutarlo nos deja un archivo en formato MIDI que al ser abierto por Windows Media Player provoca el cierre de la aplicación. Hasta ahí todo correcto, era cuestión de tiempo para comenzar a ver exploits que fuesen capaces de aprovechar el fallo para alcanzar el cáliz de las

vulnerabilidades: ejecutar código arbitrario. Pero días después no se escuchaba nada, no había ruido de sables, no había exploit.

Según Christopher Budd del MSRC (Microsoft Security Response Center), quien se queja de que el investigador no haya contactado con ellos antes de su publicación, no hay vulnerabilidad. No hay posibilidad alguna de ejecutar código. De hecho, según Jonathan Ness del SWI (Microsoft Security Windows Initiative) incluso fue descubierto por ellos en sus auditorías internas y ya está solucionado en el Service Pack 2 de Windows Server 2003.

Sin entrar en detalles técnicos, la prueba de concepto proporcionada es procesada por “quartz.dll” un componente de DirectShow encargado de los archivos con extensión WAV, SND, y MID. El desbordamiento de entero ocurre en una instrucción DIV -concretamente cuando se ejecuta EAX = (EDX:EAX)/reg y el resultado no entra en el registro de 32 bits- , pero la excepción levantada no es capturada por ‘quartz.dll’, ni se produce corrupción de memoria.

Así que el susto se queda relegado a la categoría de bug y se programa su eliminación para la próxima actualización de mantenimiento.

Fuente:Noticias Hispasec

Read More

Resumen de seguridad de 2008 (I)

Termina el año y desde Hispasec echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2008 en cuestión de seguridad informática. En tres entregas (cuatro meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Enero 2008:

* Se encuentra la enésima vulnerabilidad que permite la ejecución de código en RealPlayer. Es explotada antes de que exista solución. Los atacantes se cuelan en servidores que alojan páginas e incrustan sus propios IFRAMEs para infectar a los visitantes. Se estima que existen unas 80.000 páginas legítimas alteradas con exploits.

* Se cumple un año del primer “avistamiento” de Storm Worm. Una de las epidemias más extendidas en sistemas Windows.

* La empresa Sentrigo publica una encuesta sobre seguridad en Oracle.

Dos tercios de los administradores no parchean sus bases de datos.

Febrero 2008:

* La Fundación Mozilla publica la versión 2.0.0.12 que corrige una vulnerabilidad que permite obtener información sensible del usuario, descubierta por el equipo técnico de Hispasec.

* El grupo 29A anuncia oficialmente su retirada. Se trata un síntoma más de que hace ya tiempo se terminó la época romántica de la creación de virus. Representaron la élite en cuanto a creación de virus se refiere, era realmente un laboratorio de I+D en España.

* Se presenta la AMTSO (Anti-Malware Testing Standards Organization). Es una iniciativa de la industria antivirus para estandarizar comparativas.

* Se popularizan los archivos PDF que aprovechan vulnerabilidades en Adobe Reader para infectar sistemas. Una de sus vulnerabilidades está siendo aprovechada para instalar malware, en concreto Zonebac.

* Aparece una grave vulnerabilidad en el kernel de Linux anterior al

2.6.22.17 que permite elevar privilegios a root. Se hace público un exploit.

* Se descubren nuevos métodos para intentar eludir los filtros antispam.

Uno de ellos es valerse de los mensajes automáticos de “fuera de la oficina” que utilizan algunos servicios de webmail legítimos.

Marzo 2008:

* Cisco anuncia importantes cambios en la planificación de sus alertas.

Decide publicar sus parches de seguridad cada seis meses, en el cuarto miércoles de marzo y el cuarto miércoles de septiembre. Ese mes publica cinco en su primer ciclo.

* Apple Mac OS X publica un mega parche que soluciona 90 fallos de seguridad.

* Adobe publica una actualización para Flash Player que soluciona numerosos problemas de seguridad que podrían permitir a un atacante ejecutar código arbitrario en el sistema vulnerable.

* VirusTotal Uploader, nuestra pequeña herramienta para enviar ficheros a VirusTotal a través del menú contextual de Windows, es seleccionada por la edición USA de PC World para pertenecer a su lista de “101 Fantastic Freebies”.

Abril 2008:

* PayPal anuncia que bloqueará a los navegadores “inseguros”, o sea, los antiguos que han dejado de tener soporte o que no incorporan tecnología antiphishing.

* La versión 2.0.0.14 del navegador Firefox, corrige una sola vulnerabilidad, con origen en una actualización anterior.

Fuente:Noticias Hispasec

Read More

AxCrypt, asegura cualquier archivo

axcrypt

Si hace unos días comentábamos acerca de ExeLock, una sencilla herramienta que nos permite proteger bajo contraseña archivos ejecutables, esta vez es el turno de AxCrypt, una aplicación similar pero que a diferencia de ExeLock está diseñado para darnos la posibilidad mantener bajo llave cualquier tipo de archivo.

El uso de la aplicación es muy sencilla. Una vez que la hemos instalemos nos encontraremos con una nueva opción en el menú desplegable de Windows que nos permitirá proteger una carpeta o archivo haciendo clic sobre este y seleccionando algunas de las opciones de cifrado que nos ofrece AxCrypt.

Lo único que tendremos que hacer es configurar una contraseña y la herramienta se encargará de encriptar el archivo bajo un algoritmo AES de 128 bit. De esta forma, si alguien no conoce la contraseña, simplemente no podrá leer el archivo.

La aplicación también nos permite generar ficheros llave en lugar de contraseñas, descifrar los archivos protegidos o bien eliminarlos permanentemente sin que puedan ser recuperables. Para ello reemplaza el archivo por datos aleatorios.

AxCrypt es compatible con Windows 95/98/ME/NT/2K/XP y está disponible en múltiples idiomas incluyendo el español, además es gratuito y de código libre.

Fuente:Open Security

Read More

Cómo cambiar el audio a un vídeo de YouTube sin volver a subirlo

img1En Google se están poniendo las pilas añadiendo cada vez más y más funcionalidades a sus distintos servicios. Ahora en YouTube podemos cambiar el audio de un vídeo previamente subido por nosotros sin necesidad de hacer todo el proceso. La parte mala: que sólo podemos elegir entre los temas que nos ofrece YouTube y que parece tardar algo más de un día en producirse el cambio. La parte buena: que es muy sencillo hacerlo y que podemos encontrar temas de la duración de nuestro vídeo de forma automática.

Para realizar esta tarea vamos a la página con nuestros vídeos de YouTube y debajo de cada uno encontraremos el botón de “Cambiar audio”:

img2

En el menú que aparecerá, en la parte izquierda tenemos todas las canciones disponibles que podemos filtrar por género y como dije más arriba por duración de forma que se adapte a nuestro vídeo:

img3

Tras seleccionar una, en la parte derecha podemos escuchar un previo de cómo quedará el disco con la nueva pista de audio:

img4

Quizás lo más interesante de esta herramienta es complementar con audio algún vídeo que hayamos hecho de fotografías o que simplemente no tenga audio. Lo lógico será que en un futuro el propio YouTube te permita subir el audio que tí quieras pero ya tienen bastantes problemas con los derechos de autor como para meterse en otros berenjenales.

Fuente:Blog Off

Read More