L’home dibuixat

Vídeo on Ivan Ristić (conegut per ser el principal autor de modsecurity, un firewall d'aplicacions web de codi obert) parla de la feina que realitza SSL Labs.

Aquest laboratori acaba de publicar l'informe "Internet SSL Survey 2010", on es posa de manifest que la majoria de servidors SSL no estan correctament configurats.

A la web també hi ha una eina per avaluar si un servidor web es troba ben configurat. (Actualització: Ja n'havia parlat d'aquesta eina fa uns mesos: Eina online per avaluar la qualitat de les connexions SSL).

Detecció de malware pels antivirus

S'anuncia un informe (Malware Detection Rates for Leading AV Solutions) sobre la capacitat dels antivirus basats en signatures en detectar malware… amb uns resultats força decebedors:

Cyveillance testing shows that even the most popular AV signature-based solutions detect on average less than 19% of malware threats. That detection rate increases only to 61.7% after 30 days.

Informe anual de Verizon (amb la col·laboració del servei secrets dels Estats Units) sobre les incidències de seguretat: 2010 Data Breach Investigations Report.

Article que analitza els riscos a la privades de l'iPhone:

This paper explains what data are at risk and how to get them programmatically without the user’s knowledge. These data include the phone number, email accounts settings (except passwords), keyboard cache entries, Safari searches and the most recent GPS location.

This paper shows how malicious applications could pass the mandatory App Store review unnoticed and harvest data through officially sanctioned Apple APIs. Some attack scenarios and recommendations are also presented.

Informe de McAfee: Mapping the Mal Web. The World's Riskiest Domains en que s'analitza la seguretat que ofereix un lloc en funció del domini de primer nivell on es troba. Aquesta seguretat és una combinació de les verificacions que fa l'autoritat responsable de la gestió del domini i de l'anàlisi estadística de llocs malèvols existents i que fan servir el domini de primer nivell.

L'informe té uns mesos (novembre del 2009), però dóna dades d'interès. Per exemple, un 5,8% de tots els dominis existents són potencialment perillosos. D'entre tots els dominis de primer nivell existents, els més perillosos són:

• .CM (un 36,7% de tots els dominis del Camerun són perillosos)
• .COM (am  un 32,2%)
• .CN (República Popular de la Xina, amb un 23,4%)
• .WS (Samoa, amb un 17,8%)
• .INFO (amb un 15,8%)

Els més segurs són:

• .TRAVEL (0,2% de llocs malèvols). De 2.061 dominis només 9 són perillosos.
• .CAT (0,1%). De 3.460 dominis, només 9 són perillosos.
• .EDU (0,1%). De 9.584 dominis, 20 són perillosos.
• .GOV(0,0%). De 4.345 dominis, només 2 són perillosos.

WhiteHat Website Security Statistic Report – Spring 2010, 9^th Edition. Which Web Programming Languages are Most Secure? és un informe de WhiteHat que analitza els riscos de seguretat associats a la utilització de diversos llenguatges de programació per al desenvolupament d'aplicacions web, a partir de l'anàlisi de les vulnerabilitats identificades a les webs més populars.

Un parell de gràfics d'aquest informe. Primer el top ten de vulnerabilitats classificats per llenguatge de programació:

Top ten de les vulnerabilitats classificades per llenguatge de programació

i aquesta classificació de popularitat de les vulnerabilitats dins de cada llenguatge de programació:

classificació de popularitat de les vulnerabilitats dins de cada llenguatge de programació

L'organització OWASP (Open Web Application Security Project) acaba de publicar el document The OWASP Top 10 Web Application Security Risks for 2010, que recull els 10 riscos de seguretat més rellevants per a les aplicacions web, actualitzat a l'abril del 2010.

Els riscos identificats són:

1. Injecció
2. Cross-Site Scripting (XSS)
3. Problemàtica en la gestió de sessions i en l'autenticació
4. Referències no segures a objectes directes
5. Cross-Site Request Forgery (CSRF)
6. Mala configuració dels mecanismes de seguretat
7. Emmagatzematge incorrecte dels elements criptogràfics
8. Errors en la restriccions d'accés a URL
9. Protecció del transport no suficient
10. Redireccions i reencaminaments no validats

[ComputerWorld] Typical Windows user patches every 5 days. Segons un estudi (The Security Exposure of Software Portfolios), els usuaris dels sistemes operatius Windows han d'aplicar pegats de seguretat cada cinc dies de mitjana… una tasca que ni el més conscienciat fa amb aquesta assiduïtat. La raó: no només el gran nombre de vulnerabilitats de seguretat, sinó també l'enorme quantitat de programes que hi ha instal·lat als PC d'usuari final.

The Year in Mac Security 2009 és un informe sobre el malware existent al món dels Mac i dels iPhone durant l'any 2009, així com les vulnerabilitats al sistema operatiu Mac OS X.

Al desembre de l'any passat, el servei Rockyou.com va patir la pèrdua dels registres de 32 milions de comptes d'usuari… que van aparèixer publicats en una pàgina web. Això dóna una excel·lent oportunitat de realitzar una auditoria de la seva qualitat.

Aquest és l'objectiu de Consumer Passwords Worst Practices que facilita dades sobre la fortalesa (per dir-ho d'alguna forma) de les contrasenyes utilitzades pels usuaris de rockyou.com: longitud, complexitat, contrasenyes més comunes…

Resum de la complexitat dels 32 milions de contrasenyes de rockyou.com

És evident que els resultats només poden causar una depressió a aquell que alguna vegada ha hagut d'imaginar una política de contrasenyes!

[Help Net Security] Only 27% of organizations use encryption. Segons un informe de CheckPoint, només un 27% de les organitzacions apliquen el xifrat a la informació emmagatzemada al disc dur dels treballadors que accedeixen remotament… i només un 9% en el cas de les memòries USB

Nova edició de l'informe de McAfee sobre l'evolució del correu brossa. Les males notícies: continua creixent, especialment els de temàtica farmacèutica. Els protagonistes del mes: Barack Obama i Angelina Jolie.