Todo lo que necesitas saber acerca de POODLE

Photo by Markus Spiske on Unsplash

Hace algunos días fue confirmada una vulnerabilidad de la que se habían oído rumores tiempo atrás. Se trata de POODLE (Padding Oracle On Downgraded Legacy Encryption, por sus siglas en inglés), un fallo en el protocolo SSL 3.0 que podría permitir ataques del tipo MitM (Man in the Middle) en los que un atacante podría leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha.

El fallo, registrado bajo el identificador CVE-2014-3566, fue descubierto por Bodo Möller, Thai Duong and Krzysztof Kotowicz del equipo de Seguridad de Google y publicado en el blog de la compañía.

Si bien la vulnerabilidad no es tan seria como sí lo fueron Heartbleed o Shellshock, debe ser tenida en cuenta y mitigada por los administradores de sistemas. SSL 3.0 ya cumplió 18 años, pero aún es utilizado por los navegadores para “escapar” de algunos errores que impedirían el correcto uso de protocolos más recientes. De esta manera, un atacante podría forzar el uso de SSL 3.0 para explotar sus deficiencias.

Usuarios hogareños

Para el caso de los usuarios hogareños u organizaciones que quieran proteger a sus usuarios de esta vulnerabilidad y evitar que un atacante intercepte la información intercambiada con un servidor que aún no ha mitigado el fallo, alcanza con deshabilitar el protocolo SSL 3.0 en los navegadores de internet.

Read moreTodo lo que necesitas saber acerca de POODLE

Qué es HSTS y cómo implementarlo para incrementar la seguridad de mi sitio

Photo by Markus Spiske on Unsplash

Desde que Google anunciara días atrás que subiría el ranking de búsqueda a los sitios que utilicen HTTPS, múltiples han sido las webs que comenzaron a hacer pruebas con el protocolo de transferencia seguro.

En esta edición vamos a trabajar sobre HSTS, una política o mecanismo de seguridad estandarizado que anuncia a los navegadores cuándo una web (y todos sus enlaces) deben ser accedidos exclusivamente utilizando HTTPS.

HSTS significa, por sus siglas en inglés, HTTP Strict Transport Security y sus detalles están especificados en el RFC 6797. Su principal objetivo es impedir que un atacante convierta una conexión HTTPS en HTTP. El mecanismo instruye al UA (user agent o navegador del usuario) a finalizar la conexión con el servidor de destino si ocurre algún error mientras intenta establecer una comunicación segura (SSL/TLS), incluyendo certificados revocados. Además, todos los enlaces de la página se visualizarán como HTTPS inluso si no fueron creados de esa manera.

 

HSTS envía un mensaje al navegador del usuario que podría ser interpretado como: “¡Hola! Toda nuestra comunicación debe ser encriptada, caso contrario tendrás que mostrar un mensaje de error.”

Read moreQué es HSTS y cómo implementarlo para incrementar la seguridad de mi sitio

Internet Explorer 6 sigue teniendo cerca del 4% del mercado

Photo by Markus Spiske on Unsplash

Internet Explorer 6, navegador que fuera oficialmente lanzado el 27 de Agosto de 2001, sigue estando presente en el mercado de los navegadores. Según estadísticas brindadas por Microsoft, China lidera la lista de países que aun utilizan este navegador (12,5%), seguida por Rusia (1,6%) e India (1%). La versión 6 de Internet Explorer introdujo mejoras respecto al tratamiento de DHTML (Dynamic HTML, por sus siglas en inglés), integración con Windows Messenger, barra multimedia, y algunas mejoras de seguridad respecto a sus antecesores. Sin embargo, hoy ya es completamente obsoleto y ha dejado de recibir actualizaciones de seguridad de su fabricante, …

Read moreInternet Explorer 6 sigue teniendo cerca del 4% del mercado

Google Chrome está matando tu batería

Photo by Markus Spiske on Unsplash

google-chrome-esta-matando-tu-bateria_001Asi es, mis queridos amigos. Parece que Google Chrome está matando la batería de sus notebooks y tablets.

En sistemas operativos como Windows, los micro-procesadores se ponen en modo “espera” cuando nada requiere atención y “despiertan” cada determinados intervalos de tiempo. Estos intervalos están definidos en 15.625 ms (milisegundos) por defecto, lo que significa que el procesador se “despierta” 64 veces por segundos para chequear si algo requiere de su atención.

google-chrome-esta-matando-tu-bateria_002

Sin embargo, Google Chrome reduce ese valor a 1.000 ms con tan solo abrir el navegador, sin cargar ninguna página. Esto equivale a “despertar” el procesador 960 veces por segundo.

google-chrome-esta-matando-tu-bateria_003

Microsoft sugiere que reducir este intervalo puede resultar en una descarga abrupta de las baterías de nuestros dispositivos. Si bien es normal que algunas aplicaciones (incluso Internet Explorer en determinadas circunstancias) modifiquen este valor, no suena lógico que Chrome lo haga por tiempo indeterminado. Por ej., en algunas ocasiones, Internet Explorer modifica el intervalo a 1.000 ms cuando reproducimos videos en Youtube y, al cerrar la pestaña, todo vuelve a la normalidad.

Read moreGoogle Chrome está matando tu batería

Se acerca el fin del soporte oficial para Windows XP ¿estás preparado?

Photo by Markus Spiske on Unsplash

se-acerca-el-fin-del-soporte-oficial-para-windows-xp_001En el año 2009, anunciábamos el fin del Soporte Técnico Principal para Windows XP y el comienzo de la etapa de Soporte Técnico Extendido. Como es de público conocimiento, el próximo 8 de abril Microsoft dejará de brindar soporte técnico de todo tipo a su sistema operativo Windows XP y la noticia (para nada nueva) ha causado un revuelo bastante grande en los medios de todo el mundo.

Cuando adquirimos una licencia legítima de un Sistema Operativo o software, como Microsoft Windows o Microsoft Office, recibimos el Servicio de soporte técnico del fabricante y entramos en lo que se conoce como Microsoft LifeCycle Program o Programa de Ciclo de Vida Microsoft.

Este Ciclo de vida, diferente para cada producto, establece tres fechas principales:

Inicio del Ciclo de Vida: Esta fecha marca normalmente el momento en que el producto sale a la venta o se pone a disposición del público.

Fin del Soporte Técnico Principal: Establece el momento en el que Microsoft dejará de brindar soporte técnico gratuito a los usuarios del producto. Si bien continuará emitiendo boletines de seguridad con sus respectivas actualizaciones, ya no corregirá bugs. El soporte técnico será ofrecido únicamente a los clientes con contrato de soporte.

Fin del Soporte Técnico Extendido: También conocido como Soporte Técnico Ampliado, marca el momento a partir del cual Microsoft dejará de ofrecer soporte técnico y de brindar actualizaciones de seguridad para el producto. Esto implica que, de descubrirse una vulnerabilidad, nadie trabajará en su corrección y el software afectado permanecerá vulnerable hasta que sea reemplazado por una versión más reciente.

se-acerca-el-fin-del-soporte-oficial-para-windows-xp_002

¿Cómo afecta el fin del soporte a los usuarios?

Read moreSe acerca el fin del soporte oficial para Windows XP ¿estás preparado?

Microsoft explica el funcionamiento de DNT en IE10

Photo by Markus Spiske on Unsplash

Ya es oficial que el próximo 26 de octubre Windows 8 estará disponible para usuarios finales. Mientras tanto, esta semana comenzaron a entregarse los kits OEM a los principales fabricantes de hardware (HP, Lenovo, Dell, Asus, Sony, entre otros) y a partir de la semana próxima estará disponible la versión RTM (Release To Manufacturing) para aquellos poseedores de suscripciones de licenciamiento por volumen como TechNet y MSDN.

Brendon Lynch, Chief Privacy Officer de Microsoft, explicó esta tarde a través de un blog post el significado y funcionamiento de la característica DNT, disponible en Internet Explorer 10.

DNT (Do Not Track, por sus siglas en inglés) es una nueva característica de la versión 10 de Internet Explorer, que ya se encuentra disponible de manera nativa en los sistemas con Windows 8 y en fase de Test Drive para sistemas con Windows 7. Al respecto, Lynch aseguró que una de las principales preocupaciones de Microsoft en estos momentos es la privacidad de sus usuarios, por lo que han decidido activar esta característica de manera predeterminada en el nuevo sistema operativo del gigante de la informática.

DNT se activa junto con la ‘Configuración Rápida’ durante la instalación de Windows 8″, aseguró Lynch. Aquellos usuarios que hayan seleccionado la opción de ‘Configuración Personalizada’ podrán optar por activar o no las señales DNT en sus sistemas operativos.

¿Qué son las señales DNT?

Read moreMicrosoft explica el funcionamiento de DNT en IE10

Estados Unidos le dice adiós a Internet Explorer 6

Photo by Markus Spiske on Unsplash

Y es que desde comienzos de 2011, Microsoft ha lanzado el movimiento IE6 Countdown, que promete hacer desaparecer del mundo de los ordenadores a este navegador ya obsoleto. Internet Explorer 6, oficialmente lanzado al mercado el 27 de Agosto de 2001, introdujo mejoras respecto al tratamiento DHTML (Dynamic HTML, por sus siglas en inglés), integración con Windows Messenger, barra multimedia, y algunas mejoras de seguridad respecto a sus antecesores. Roger Capriotti, Director del equipo de Marketing de Internet Explorer, escribió algunos días atrás en el blog oficial del equipo acerca de esta novedad y se lo notó muy contento. No …

Read moreEstados Unidos le dice adiós a Internet Explorer 6

Alerta de Seguridad de Microsoft MS10-002

Photo by Markus Spiske on Unsplash

Queridos lectores, Fuera del ciclo habitual de actualizaciones de Microsoft, el segundo martes de cada mes, el día de hoy se ha hecho pública un Alerta de Seguridad bajo el ID MS10-002, que afecta al navegador Internet Explorer en sus versiones 5, 6, 7 y 8. En el artículo, Microsoft ha especificado que todas las versiones actualmente soportadas de Internet Explorer se encuentran afectadas por una vulnerabilidad que permitiría la ejecución remota de código, reportada en septiembre último. Entre los sistemas operativos afectados debemos mencionar: Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Server 2003 R2, Windows Vista, Windows …

Read moreAlerta de Seguridad de Microsoft MS10-002

Alerta de Seguridad de Microsoft

Photo by Markus Spiske on Unsplash

Queridos lectores,

En la madrugada del día de hoy, Microsoft ha liberado dos boletines de Seguridad que deben ser inmediatamente instalados en los equipos afectados.

La nota de prensa indica:

ALERTA DE SEGURIDAD
28 de julio de 2009

ALERTA:

MS09-034 / Crítico para las versiones de Internet Explorer 5.01, 6, 7 y 8 corriendo sobre versiones de Windows XP, Vista, Windows Server 2003 y Windows Server 2008

MS09-035 / Afecta a las aplicaciones desarrolladas con la tecnología Active Template Library (ATL) incluida en Visual Studio. Esta actualización es específica para desarrolladores de componentes y controles.

Acción Inmediata:

Obtenga la actualización de seguridad utilizando: Windows Update, Microsoft Update, ingresando a http://update.microsoft.com Para más información consulte: http://www.microsoft.com/latam/seguridad/

El correo, dirigido a los clientes de Microsoft, indica:

Read moreAlerta de Seguridad de Microsoft

Windows 7 saldrá sin IE en Europa

Photo by Markus Spiske on Unsplash

Queridos lectores, Considerando las presiones que ha sufrido Microsoft por parte de la Comisión antimonopolio de la Unión Europea, y semanas antes que ésta emita su veredicto sobre las acusaciones realizadas en Enero pasado contra la multinacional, Dave Heiner, representante legal de Microsoft ha declarado que: “Dado el procedimiento legal pendiente, hemos decidido que en lugar de incluir el Internet Explorer en Windows 7 en Europa, lo ofreceremos por separado y de una forma fácil de instalar tanto para los fabricantes de ordenadores como para los usuarios”. Pero parece que esta solución tampoco fue gustosa para los representantes de la Comisión, …

Read moreWindows 7 saldrá sin IE en Europa