Incidentes para recordar de los últimos dos meses

---

Llevamos una temporadita fina y elegante en cuanto a hacking e incidentes varios de seguridad informática. Como sé que me perderé si no lo escribo, aquí va esta entrada como una especie de lista de sucesos interesantes a recordar. Sin otro orden más que lo que voy encontrando:

• El hacking al sitio web de la empresa HBGary (realmente, dos empresas) por el grupo Anonymous. Podemos ver una carta abierta de HBGary hablando un poco del tema.

• El de la empresa RSA, por el que pudo llegar a obtenerse información sobre su producto de autenticación SecurID. Aquí hay una carta abierta de RSA sobre el tema. La forma de perpetrar el ataque fue un phishing a uno de los empleados de la compañía, que recibió un correo con un fichero excel malicioso adjunto, que explotaba una vulnerabilidad en Adobe Flash. Se explica de forma extendida aquí y aquí.

• El de Comodo. El compromiso de una autoridad de registro permitió la generación de certificados digitales falsos de unos cuantos sitios importantes. A destacar, el mecanismo elegido para mitigar el riesgo: en algunos casos se emite una actualización vía OCSP, pero en otros se emite una actualización de software directamente, como es el caso de Microsoft. SecurityByDefault cuenta el incidente muy bien, y nos enseña, además, que si el navegador no puede comprobar si el certificado está revocado o no, no da ninguna alerta al usuario. ElLadoDelMal nos enseña que se conoce la técnica para hacer un man-in-the-middle que evite esta comprobación OCSP.
  

• El de Mysql, cuyo sitio web fue vulnerado... con una inyección SQL. Mediante el mismo método, además de Mysql.com, les han dado caña a muchos otros últimamente, incluyendo a Comodo y HBGary, como nos explican en el blog de WhitehatSecurity.
  

• El de PHP.net. El compromiso de uno de sus servidores pudo haber permitido al atacante obtener credenciales para acceder al repositorio del propio código fuente, aunque parece que no ha tenido consecuencias graves.
  

• El de los foros de Telecinco, se puede ver el defacement hecho aquí.
  

• La no-presencia de keyloggers en los portátiles de Samsung. Primero se dijo que había, luego se descubrió que era un falso positivo.

• La fuga de direcciones de correo de la empresa de marketing online Epsilon. Se teme que podría dar pie a toda una oleada de ataques de phising contra las entidades que trabajen con esta empresa y cuyas direcciones hayan sido reveladas.
  

Ahí es nada.

Actualización 12/04/2011: ayer le tocó a Barracuda.
Actualización 27/05/2011: y durante el último mes, muy duramente a Sony.

---

Si te gustó esta entrada, quizás quieras suscribirte al blog por RSS, seguirlo en Twitter, o

Para aprender más: SecSE y No cON Name

---

En muchos blogs dedicados a seguridad informática se publican habitualmente listados con conferencias variadas, tanto cerca de casa como en los más lejanos lugares del mundo (o casi). Yo suelo escribir poco sobre eso, y para compensar un poco hoy hablamos de dos conferencias que me llaman la atención.

Lejos de casa, tenemos una conferencia nueva que acaba de cerrar el registro para candidatos a presentar (el call for papers, en argot). Es SecSE, una conferencia dedicada a la seguridad en el desarrollo que celebra su quinta edición en Viena, y que tendrá temas tan interesantes como la forma de abordar las tareas propias de seguridad en un proyecto de desarrollo de software cuando hay metodologías ágiles de por medio, seguridad en el diseño, codificación e implantación de software, técnicas de verificación y pruebas, seguridad y usabilidad, o análisis de riesgos, entre muchos otros temas. Se celebra entre el 22 y el 26 de Agosto.

Cerca de casa, una de las tres o cuatro principales conferencias que no hay que perderse es No cON Name. Con el objetivo de estimular la industria española de la seguridad informática a través del intercambio y actualización del conocimiento entre los profesionales y expertos, y aumentar la concienciación sobre la importancia de la seguridad de los medios tecnológicos en ciudadanos, organizaciones y empresas, se celebra este año en el CosmoCaixa de Barcelona el 16 y 17 de Septiembre.

Reunirá, igual que ha hecho en anteriores ediciones (para algo es la conferencia española en seguridad con más solera), a los mejores expertos del panorama español e internacional para hablar de muchos temas de seguridad informática, por ejemplo: phising y malware, gestión de identidades, prevención de fugas de información, herramientas/estudios/técnicas para BCP y SGSI, seguridad en el desarrollo de software, técnicas de ingeniería inversa, seguridad en dispositivos médicos, móviles, SCADA...

La lista de temas a proponer no es cerrada, y si tienes una idea buena podría tener cabida en la conferencia.. Aquí se pueden descargar las presentaciones de la edición anterior, para ir haciéndonos una idea. El plazo de presentación de propuestas para incluir un proyecto en el No cON Name 2011 ya está abierto y terminará el 31 de Mayo. Podemos encontrar más información aquí. La inscripción para los asistentes se abrirá el 15 de Mayo (o sea, en nada, así que date prisa si quieres ir).

Para estar al día: twitter de No cON Name.

---

Si te gustó esta entrada, quizás quieras suscribirte al blog por RSS, seguirlo en Twitter, o