L’home dibuixat

L'Instituto Nacional de Tecnologías de la Comunicación, INTECO, acaba de publicar una guia per orientar a pares i professors sobre com detectar situacions d'assetjament a menors a través d'Internet, així com la forma d'actuar.

«Guía de actuación contra el ciberacoso»

«Guía de actuación contra el ciberacoso»

Los menores y jóvenes de hoy en día, los llamados «nativos digitales», hacen un uso constante de Internet y se benefician de las innumerables ventajas que conlleva. Información a su alcance, posibilidad de comunicación con sus amigos, vídeos, juegos… La educación en aspectos de seguridad, privacidad, protección de los derechos de las personas etc. es algo que se debe enseñar desde la infancia, ya que los menores acceden desde muy pequeños al mundo digital, las redes sociales, los teléfonos móviles, aplicaciones en smartphones, etc.

La labor de los padres y educadores es primordial en la prevención de los riesgos. Su labor debe de ser la de enseñar y guiar a sus hijos/alumnos cuando comienzan su andadura por Internet. Sin embargo, en ocasiones son los propios padres los que desconocen los peligros reales a los que se pueden estar enfrentando sus hijos, cómo prevenirlos y educar a los menores para qué no se vean afectados por los mismos o conocer los pasos a dar en el caso de haber sido víctima de alguno de ellos.

Por este motivo, hay dos riesgos que siempre han existido: el acoso escolar llevado entre alumnos o el acoso por parte de un adulto a un menor con fin sexual, que se han «adaptado» a las nuevas tecnologías bajo los nombres de: ciberbullying y grooming. Cuando hablamos de ciberbullying, es el acoso entre iguales, que siempre ha existido, pero llevado a cabo a través de medios telemáticos como Internet, teléfonos móviles, smartphones, vídeojuegos, etc. Tanto el acosador, como la víctima, suelen ser personas de la misma o similar edad. Por norma general, viene asociado con amenazas, insultos, vejaciones o de la creación de perfiles en redes sociales suplantando la identidad de la víctima y asociándola a contenidos vejatorios, del etiquetado de fotografías de otras personas o cosas con intención ofensiva hacia la víctima…

Cuando hablamos grooming estamos hablando de una situación de acoso hacia el menor procedente de una persona mayor con finalidad sexual explícita o implícita. Por norma general, un adulto desarrolla una serie de acciones para ganarse la confianza del niño con el fin de obtener concesiones de índole sexual. Suelen incluir actuaciones que van desde un acercamiento con empatía y/o engaños, hasta chantaje para obtener imágenes comprometidas del menor y, en casos extremos, pretenden un encuentro en persona.

A lo largo de esta guía se verán tanto los aspectos educativos y preventivos, cómo de actuación ante este tipo de situaciones tanto con el acosado, como con el acosador. Esta guía es fruto de la colaboración de un grupo de expertos que desde diferentes ámbitos y experiencias, han puesto su conocimiento a disposición de los padres y profesores para educar y concienciar a sus hijos en materia de seguridad en Internet.

Article de John Markoff a «The New York Times» sobre les idees de Peter G. Neumann sobre la seguretat i com cal repensar el concepte d'ordinador: «Killing the Computer to Save It». Neumann va ser una de les primeres persones en preocupar-se per qüestions de seguretat informàtica.

VulnVoIP és una distribució relativament antiga d'AsteriskNOW amb diverses debilitats de seguretat. Està pensada com una plataforma per a la realització de pràctiques de seguretat en entorns VoIP: localització d'usuaris i les seves contrasenyes, accés remot al sistema a través de la missatgeria de veu, etc. Es distribueix com una màquina virtual de VMware 4.x

Es tracta d'un analitzador del tràfic de xarxa, pensat com a evolució del Network Monitor. Les novetats, segons Microsoft:

• Integrated "live" event and message capture at various system levels and endpoints

• Parsing and validation of protocol messages and sequences
• Automatic parsing of event messages described by ETW manifests
• Summarized grid display – top level is “operations”, (requests matched with responses)
• User controlled "on the fly" grouping by message attributes
• Ability to browse for logs of different types (.cap, .etl, .txt) and import them together
• Automatic re-assembly and ability to render payloads
• Ability to import text logs, parsing them into key element/value pairs
• Support for “Trace Scenarios” (one or more message providers, filters, and views)

Està disponible com a versió beta (cal inscriure's al programa d'avaluació).

Microsoft Message Analyzer

SSL Pulse manté una pàgina d'estadístiques sobre l'ús de SSL/TLS, indicant, entre d'altres, el percentatge de llocs SSL, llocs amb configuració errònia, nivell de xifrat,  etc…

[ThreatPost] «Research Shows Serious Problems With Android App SSL Implementations». Analitzades 13.500 aplicacions gratuïtes disponibles a Google Play per tal d'estudiar l'ús que fan dels protocols SSL/TLS. El resultat, un 17% de les aplicacions que fan crides a URL amb HTTPS fan ús d'una implementació errònia del protocol, fent que siguin vulnerables a atacs d'interceptació.

L'estudi complet és «Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security»

Many Android apps have a legitimate need to communicate over the Internet and are then responsible for protecting potentially sensitive data during transit. This paper seeks to better understand the potential security threats posed by benign Android apps that use the SSL/TLS protocols to protect data they transmit. Since the lack of visual security indicators for SSL/TLS usage and the inadequate use of SSL/TLS can be exploited to launch Man-in-the-Middle (MITM) attacks, an analysis of 13,500 popular free apps downloaded from Google's Play Market is presented.

We introduce MalloDroid, a tool to detect potential vulnerability against MITM attacks. Our analysis revealed that 1,074 (8.0%) of the apps examined contain SSL/TLS code that is potentially vulnerable to MITM attacks. Various forms of SSL/TLS misuse were discovered during a further manual audit of 100 selected apps that allowed us to successfully launch MITM attacks against 41 apps and gather a large variety of sensitive data.

HTTPS Everywhere 3.01 és una extensió per als navegadors Firefox (versió estable) i Chrome (versió alfa) que ens assegura que ens connectem, sempre que sigui possible, a la versió https d'un lloc web. Els avantatges de connectar-nos a un lloc https són fonamentalment dues: en primer lloc, tot el tràfic que circula entre el nostre navegador i el servidor de destinació circula per la xarxa xifrat i, addicionalment, hi ha una verificació que el lloc de destinació correspon amb la destinació esperada, evitant possibles atacs de suplantació.

HTTPS Everywhere funciona d'una forma transparent per a l'usuari; així, si intentem accedir a, posem per cas, el lloc web dels autors (http://www.eff.org/https-everywhere), l'extensió automàticament canviarà a la versió https sense que l'usuari s'hagi de preocupar d'especificar-ho a la URL. L'eina reconeix actualment uns 1.500 llocs web.