Wolfram Alpha es un motor de búsqueda que también se puede utilizar para generar contraseñas fuertes. Basta con dirigirse al sitio web wolframalpha.com y teclear "password of n characters" donde n es la longitud de la contraseña deseada.

Visto en digital inspiration » »

OperaTor es un navegador portable que combina las funcionalidades de Opera, Tor y Polipo para navegar de forma anónima por la web. Se logra el anonimato gracias a la red Tor combinado con Polipo, un pequeño servidor proxy-caché que permite acelerar la carga de las páginas web. Sólo los protocolos HTTP y HTTPS son anónimos, por lo tanto, hay que evitar características de Opera como Java, JavaScript, Bittorrent, clientes integrado de email, etc, si se quiere un total anonimato.

Operator » »

Es un error muy común creer que por el mero hecho de que en la barra de direcciones del navegador aparezca un "https://" o "el candadito" como dicen algunos usuarios los datos introducidos están protegidos, es un sitio seguro y uno no tiene que preocuparse de nada más. Esta creencia además se sustenta con informaciones tan imprecisas como la aparecida hoy en el CyberPais.

SITIOS SEGUROS
Otra de las cosas más fáciles de controlar es que la página donde estemos comprando sea segura. Si la dirección web (URL) comienza con HTTPS en vez de HTTP significa que es una conexión segura (S de seguridad), con tecnología SSL, que permite que la información confidencial que introducimos sea enviada al destino de forma segura.

No es la primera vez ni en el primer medio que leo cosas similares. Deberíamos tener claro que https es un protocolo seguro de transferencia de hipertexto, lo que significa que en el mejor de los casos nuestra información viajará por un canal seguro desde nuestro ordenador al servidor de destino. Digo en el mejor de los casos porque ya se están detectando casos de phising sobre protocolos https.
Supongamos que nuestros datos han "viajado" de una forma segura hasta su destino y veamos algunas situaciones que se pueden dar y que hacen que el sitio no sea seguro:

• Como he dicho, https asegura el canal. ¿Qué ocurre cuando los datos llegan a su destino y estos se almacenan en una base de datos vulnerable o los datos no se almacenan cifrados de una manera correcta?.
• En el caso de las entidades bancarias, es típico que cuando los datos una vez han llegado al servidor del sitio web, estos se propagan a otros ordenadores de la entidad bancaria. ¿Qué ocurre si las conexiones entre estos ordenadores no son seguras?.
• ¿Qué ocurre si lo que está detrás del https no es trigo limpio?. Por ejemplo, creo una tienda online en la que vendo iPods a 20 euros -un chollo-, me hago autoridad certificadora, creo mi propio certificado digital -total nadie los lee ni se asegura de la fiabilidad de la autoridad certificadora-, implemento el https en el servidor y a esperar números de tarjetas de crédito.

Estas son algunas de las situaciones que pueden pasar, de modo que mejor no dar por sentado que "https" significa seguridad. De momento quedémonos, como mucho, con la última línea de la información de El País: "permite que la información confidencial que introducimos sea enviada al destino de forma segura".

Las técnicas de phising son las más utilizadas en la actualidad para hacerse con cuentas bancarias y datos sensibles de usuarios. El phising se da por un lado por las inseguridades que todavía existen por Internet y por otro lado por la ignorancia de los usuarios de internet. Para ayudarnos a combatir el phising y aumentar nuestra seguridad en internet, en Network Security Journal nos ofrecen 44 consejos. Algunos de los consejos recogidos son:

• Nunca confíar en extraños: Las mismas reglas que se aplican en el mundo real sirven aquí. Mejeor no abrir correos electrónicos que son de gente que no conoces.
• No tengas miedo: la mayoría de los casos de phising se dan cuando hacemos caso a mensajes con advertencias o amenazas como que su cuenta bancaria está en peligro de ser desactivada si no confirma la información de usuario o que necesita confirmar sus datos para poder utilizar determinado servicio bancario. Ningún banco solicita datos de usuario a través de correo electrónico. Por muy alarmante que pueda ser el mensaje lo mejor es ignorarlo.
• Mantener los ojos abiertos: Un correo electrónico de spam está plagado de errores gramaticales.
• Uilizar diferentes contraseñas para diferentes sitios.
• La codicia no paga: NUNCA deben aceptarse os ofrecimientos de dinero por participar en encuestas en las que se solicita información sensible.
• No dejar el ordenador desatendido cuando acceda a su cuenta bancaria o cuando se ha proporcionado información de tarjeta de crédito en una tienda.
• Tener mucho cuidado a la hora de deshacerse de los viejos ordenadores y discos duros.

The Fight Against Phishing: 44 Ways to Protect Yourself » »

What is HTML Purifier?

HTML Purifier is a standards-compliant HTML filter library written in PHP. HTML Purifier will not only remove all malicious code (better known as XSS) with a thoroughly audited, secure yet permissive whitelist, it will also make sure your documents are standards compliant, something only achievable with a comprehensive knowledge of W3C's specifications.

Muy interesante para implementarlo en los puntos de entrada de datos, por parte de los usuarios, de un sitio web.

HTML Purifier 3.0 » »

Al margen de lo que se deriva de la noticia, me parece muy importante lo que tiene de apoyo a la protección de datos personales.

Las operadoras que prestan servicios en la Red -por ejemplo, Telefónica- no están obligadas a delatar y facilitar las direcciones IP de los usuarios que descargan música o películas en Internet. Un informe de la abogada general del Tribunal de Luxemburgo, Juliane Kokot, hecho a raíz de un pleito que hay en Madrid contra Telefónica por negarse a delatar a usuarios que se han descargado música, abunda en la primacía de la reserva de los datos personales de los usuarios de Internet cuando éstos no están inmersos en causas criminales ni el asunto afecta a la seguridad nacional.

Fuente: ElPais.com

Desde diario THC me informan que se ha detectado una vulnerabilidad crítica que afecta a Adobe Photoshop CS2 y CS3. Más información en diario THC o en inglés en el anuncio original publicado en FrSIRT.

Este pequeño programa analiza todos los add-ons, barras de herramientas, plug-ins y demás tipos de añadidos instalados en tu navegador, permitiéndo analizarlos a fondo y eliminar aquellos que no interesen o que puedan ser potencialmente peligrosos o spyware. El programa genera un log que nos muestra líneas o ítemes que comienzan con una letra o un número, con las siguientes referencias:

- R0, R1, R2, R3: URLs de páginas de inicio/búsqueda en el navegador Internet Explorer.
- F0, F1, F2, F3: Programas cargados a partir de ficheros *.ini (system.ini, win.ini...).
- N1, N2, N3, N4: URLs de páginas de inicio/búsqueda en Netscape/Mozilla.
- O1: Redirecciones mediante modificación del fichero HOSTS.
- O2: BHO (Browser Helper Object); Son plugins para aumentar las funcionalidades del Internet Explorer, pero también pueden ser spywares secuestradores..
- O3: Toolbars para IE.
- O4: Aplicaciones que se cargan automáticamente en el inicio de Windows, desde el llaves en el registro o por estar en la carpeta de Inicio.
- O5: Opciones de IE no visibles desde Panel de Control.
- O6: Acceso restringido -por el Administrador- a las Opciones de IE.
- O7: Acceso restringido -por el Administrador- al Regedit.
- O8: Items extra encontrados en el menú contextual de IE.
- O9: Botones extra en la barra de herramientas de IE, así como ítems extra en el apartado Herramientas de IE (no incluidas en la instalación por defecto).
- O10: Winsock hijackers.
- O11: Adición de un grupo extra en las Opciones Avanzadas de IE (no por defecto).
- O12: Plugins para IE.
- O13: Hijack del prefijo por defecto en IE.
- O14: Hijack de la configuración por defecto de IE.
- O15: Sitios indeseados en la zona segura de IE.
- O16: Objetos ActiveX
- O17: Hijack de dominio / Lop.com
- O18: Protocolos extra / Hijack de protocolos
- O19: Hijack de la hoja de estilo del usuario.
- O20: Valores de Registro auto ejecutables AppInit_DLLs
- O21: Llaves de Registro auto ejecutables ShellServiceObjectDelayLoad
- O22: Llaves de Registro auto ejecutables SharedTaskScheduler
- O23: Servicios

Se trata de un programa para usuarios avanzados del que puedes encontrar mucha más información en infospyware.

HijackThis » »

RootkitRevealer es otra utilidad gratuita para la detección de rootkits. El programa revisa las discrepancias entre los archivos de sistema API a alto y bajo nivel que pueden revelar la presencia los distintos tipos de rootkit: "Persistent Rootkits", "Memory-Based Rootkits", "User-mode Rootkits" o "Kernel-mode Rootkits". El programa es gratuito y bastante recomendable.

RootkitRevealer » »