martes, 26 de mayo de 2015

La esteganografia y el malware

 La esteganografía, del griego "escritura oculta", trata de las técnicas para ocultar información dentro de otros elementos, los portadores, de forma que no se perciba su existencia. Algunas de estas técnicas se emplean desde la antigüedad pero en los últimos años han vuelto a cobrar mucha importancia en el área de seguridad informática.

 Hoy día son numerosos los grupos criminales y terroristas que utilizan la esteganografía para comunicarse o desarrollar sus acciones criminales. Entre los primeros están los creadores de malware que de forma creciente se sirven de la esteganografía para diferentes propósitos, por ejemplo:
  •  Esconder ficheros ejecutables malignos dentro de imágenes de mapa de bits
  • Incluir órdenes de control del malware (C&C command and control) dentro de consultas DNS
  • Utilización de imágenes JPG de sitios legítimos para ocultar órdenes de control
  • Órdenes de control codificadas dentro de ficheros HTML
 Las técnicas utilizadas para esconder la información no son de excesiva complejidad, por ejemplo se pueden alterar los colores de una imagen de forma imperceptible para el ojo humano, pero sin embargo son muy difíciles de detectar y de ahí su creciente popularidad. No es este el caso del ejemplo de estenografía que se muestra en la figura 1.

 Figura 1. Mensaje del gobernador de California, Arnold Schwarzwnegger, a la asamblea de California explicando su veto a una ley después de que un legislador le insultara durante su discurso. El mensaje secreto aparece tomando la primera letra de cada línea del texto principal.




sábado, 23 de mayo de 2015

Code - La experiencia multiplataforma y gratuita de Visual Studio

 Ya está aquí Visual Studio Code, la primera versión multiplataforma del popular entorno de desarrollo Visual Studio de Microsoft. Code es gratuito y está disponible para Linux, Mac OSX y Windows.

 Por el momento Code está en modo vista previa o Preview e incluye soporte para desarrollo ASP.NET 5 en C# y Node.js en TypeScript y JavaScript. Asimismo se incluyen herramientas para trabajar con tecnologías web como HTML, CSS, Less, Sass y JSON. Code se entiende también con Git y es capaz de producir Workflows y diffs de forma integrada desde el editor.

 Y como no todo el tiempo del desarrollo es codificar sino que también hay que depurar el código, Code incluye una experiencia integrada de depuración de código, la funcionalidad más popular de Visual Studio. Durante la Preview la depuración sólo tiene soporte para depuración de Node.js pero se espera ampliar a otros lenguajes.

 Por último, comentar que Visual Studio Code está escrito en TypeScript/JavaScript y su motor es un servidor de Node.js. Como resultado, la experiencia de desarrollo end-to-end para aplicaciones Node es excelente.



martes, 19 de mayo de 2015

OWASP Top 10 - Vulnerabilidades críticas en aplicaciones web

 La lista OWASP Top 10 es probablemente la más conocida de internet para aplicaciones web. Esta lista recopila los diez riesgos de seguridad más críticos para aplicaciones web y para cada riesgo incluye su descripción, vulnerabilidades y ataques de ejemplo, una guia sobre como evitarlos y referencias a otros recursos. Vamos, de lectura obligada para cualquier desarrollador de aplicaciones web.

 Yendo a lo concreto, esta es la lista:
  • Inyección
  • Pérdida de autenticación y gestión de sesiones
  • Secuencia de comandos entre sitios (XSS)
  • Referencia directa insegura a objetos
  • Configuración de seguridad incorrecta
  • Exposición de datos sensibles
  • Ausencia de control de acceso a funciones
  • Falsificación de peticiones entre sitios (CSRF)
  • Utilización de componentes con vulnerabilidades conocidas
  • Redirecciones y reenvíos no validados
 Las vulnerabilidades no son nada nuevo pero si están en la lista es porque siguen causando la mayor parte de los problemas de seguridad de los sitios web, así os animo a leer los detalles y a ponerlos en práctica.



 OWASP Top 10 - 2013 - Español