Tag Archives: JavaScript

HP ayuda a identificar vulnerabilidades en las aplicaciones web

hp-web-inspect-itusers-bHP WebInspect replica y automatiza los ataques del mundo real para hacer que las aplicaciones sean más seguras

Lima, 24 de abril de 2013.— HP anunció hoy HP WebInspect 10.0, una solución única de seguridad de las aplicaciones que replica los ataques del mundo real a través de un proceso de prueba guiado, lo que permite que las organizaciones desarrollen y entreguen aplicaciones web y servicios web seguros.

Las aplicaciones web continúan siendo una fuente sustancial de vulnerabilidades de seguridad. Entre 2000 y 2012, cuatro de las seis vulnerabilidades que más se reportaron fueron explotables a través de la web.¹ Se ha comprobado que a través de las pruebas de seguridad rigurosas de las aplicaciones se puede prevenir ataques antes de que se produzcan, pero muchas organizaciones carecen de los recursos, las herramientas y el tiempo necesario para implementar procesos de prueba de seguridad. Sin las pruebas adecuadas, estas aplicaciones web pueden contener vulnerabilidades fácilmente explotadas por atacantes.

HP WebInspect 10.0 es una solución de seguridad para aplicaciones automatizada y configurable que prueba de forma dinámica las aplicaciones web y los servicios web e identifica con precisión vulnerabilidades de seguridad explotables. Con HP WebInspect 10.0, los equipos de seguridad pueden administrar de forma eficiente los resultados de las pruebas y distribuir inteligencia de seguridad capaz de generar acciones y orientación sobre solución de problemas en un momento temprano del proceso de desarrollo. HP WebInspect 10.0 también mejora el desarrollo de aplicaciones seguras permitiendo que los equipos de seguridad compartan las mejores prácticas para proteger de ataques los puntos de entrada clave.

“Para desarrollar aplicaciones web seguras y protegidas, las organizaciones deben pensar en las amenazas críticas y probarlas desde el inicio del proceso”, afirmó Mike Armistead, vicepresidente y gerente general de Productos de Seguridad Empresariales de Fortify, HP. “HP WebInspect 10.0 permite que los clientes sean proactivos en sus esfuerzos de seguridad, en lugar de reaccionar a los ataques después de que ocurran. Esto se logra a través de la simulación de ataques para identificar las vulnerabilidades en un momento temprano y evitar violaciones de la seguridad mucho antes de que ocurran.”

hp-web-inspect-itusersHP WebInspect 10.0 incluye la nueva detección guiada, un proceso de prueba interactivo único basado en una técnica de reconocimiento de componentes adaptable, con patente pendiente, para analizar las complejas aplicaciones web modernas y JavaScript. La detección guiada conduce a los usuarios iniciantes y a los evaluadores de seguridad profesionales en las pruebas de adaptación a escenarios específicos en entornos personalizados, donde los problemas de configuración de pruebas son difíciles de resolver. Esto proporciona un mejor manejo de los escenarios complejos, como la detección de problemas de configuración de proxy o autenticación de red.

HP WebInspect 10.0 también incluye mejoras al registro de flujo de trabajo al permitir registrar las interacciones de la aplicación con los usuarios y el rastreo de los procesos de negocios vinculados a la aplicación que se estaba probando, lo que hace que la última versión sea más intuitiva y rigurosa.

HP WebInspect 10.0 incluye integración con los firewalls de aplicación líderes y con el sistema de prevención de intrusiones HP TippingPoint para racionalizar la protección de la capa de aplicaciones contra vulnerabilidades encontradas en producción o en aplicaciones de terceros.

HP Discover, el principal evento para clientes de HP de las Américas, se lleva a cabo del 11 al 12 de junio en Las Vegas.

Acerca de HP

HP crea nuevas posibilidades para que la tecnología tenga un impacto significativo en las personas, las empresas, los gobiernos y la sociedad. HP, la compañía de tecnología más grande del mundo, reúne un portafolio que abarca impresión, computación personal, software, servicios e infraestructura de TI para resolver los problemas de los clientes. Puede encontrar más información acerca de HP (NYSE: HPQ) en http://www.hp.com.

  1. De acuerdo con el  Informe HP Cyber Risk Report 2012.

Troyano Citadel amenaza con renovarse y atacar con más fuerza

troyanos-bancarios-mcafee-itusersA pesar de haber sido retirado del mercado abierto del crimeware, McAfee Labs analiza su accionar a fines de 2012 y principios de 2013 y predice nuevas variantes. Las tendencias observadas prevén ataques selectivos a grandes empresas y sector público, no sólo por robo de dinero, sino también por información crítica.

Lima, Perú, 07 de Febrero 2013.— En los últimos días, se ha dado a conocer que una de las mayores amenazas cibernéticas registradas en los últimos tiempos, el troyano Citadel, variante más conocida del malware “bancario” Zeus, se ha retirado del mercado abierto de software delictivo o crimeware. Sin embargo, este virus, que se instala en los dispositivos conectados a Internet e infecta el sistema atacando principalmente las operaciones bancarias que se realicen desde el dispositivo afectado, no ha desaparecido completamente y continúa presentándose como una importante amenaza mundial.

Las investigaciones de McAfee Labs indican que los desarrolladores originales de Citadel, y quizá otras personas, están creando nuevas variantes que ampliarán notablemente sus funciones y su perfil de amenazas. Según el estudio, las principales tendencias observadas en la segunda mitad de 2012 y principios de 2013 incluyen:

  • Ataques selectivos a empresas públicas y privadas, principalmente europeas.
  • Mejoras funcionales utilizadas para robar información y dinero.
  • Reducción de los objetivos a unos cuantos cientos frente a los miles registrados en los usos anteriores de la familia de malware Zeus.
  • Recopilación de credenciales de aplicaciones internas, aplicaciones de sistemas bancarios, sistemas de fabricación, etc., que podrían utilizarse más adelante en ataques contra estas mismas aplicaciones.
  • Aparición del «Poetry Group» (Grupo de poesía) como responsable principal de los ataques basados en Citadel.

Ingreso controlado

A diferencia de la mayoría de los ataques de malware proveniente de Zeus, uno de los troyanos bancarios más antiguos y populares en línea, las últimas variantes de Citadel han asaltado un área geográfica sorprendentemente pequeña, más de un 90 % de los objetivos conocidos se han localizado en Europa.

Otro dato importante recogido en la investigación de McAfee Labs es que el foco de los ataques no se dirige a los consumidores en general, sino que sus objetivos son empresas y organismos gubernamentales.

Nuevas funcionalidades

Si bien en un principio la plataforma del malware Zeus se diseñó para robar dinero a miles de víctimas, con frecuencia en pequeñas cantidades, ahora, los desarrolladores de Citadel han reconocido que los datos, en especial los de credenciales de autenticación, pueden ser a veces más valiosos que el dinero. Como consecuencia, en la segunda mitad de 2012 empezaron a surgir variantes de Citadel diseñadas para penetrar en la infraestructura de TI de gobiernos locales y grandes empresas privadas.

Particularmente en los ataques contra objetivos del sector público, los delincuentes han utilizado Citadel para infiltrarse en los repositorios de datos de los gobiernos locales y municipales. Los investigadores de McAfee Labs también han descubierto en Citadel nuevas funciones de fraude financiero, escritas enteramente en JavaScript, que se manifiestan ante empleados específicos de las agencias del sector público elegidas como blanco de los ataques.

Por otra parte las variantes de Citadel desarrolladas recientemente tienen ahora características que trascienden el mero fraude bancario. El malware puede captar cualquier tipo de información del PC de la víctima. Esta versión 1.3.45, denominada «Extreme Edition», contiene funciones que permiten controlar a distancia el ordenador de la víctima con más facilidad. En otras palabras, desde el panel de control, el troyano establece un canal oculto de comunicación con el PC.

La versión 1.3.45 también incluye un mecanismo que establece automáticamente una conexión remota con las redes de bots que están en línea, lo que posibilita los ataques de secuencias de comandos contra distintos objetivos. Además, las últimas variantes de Citadel detectadas incorporan funciones de redireccionamiento de DNS que impiden que los sistemas infectados entren en contacto con los sitios web de los principales proveedores de seguridad informática y de los distintos servicios policiales.

Modo de ataque

El grupo que ha perpetrado más ataques basados en Citadel se conoce como el Poetry Group. Este grupo integra cadenas de texto escritas con un toque poético en inglés antiguo en los archivos binarios de Citadel que se emplean en los ataques.

Ésta es una función sistemáticamente presente en los archivos binarios y contiene párrafos de texto que aparecen en la memoria cuando se ejecuta el proceso malicioso, algo que no se ha observado en otras campañas europeas y que induce a pensar que hay un grupo específico detrás de ésta.

Recomendación experta

Si bien ésta es una amenaza global, aún no ha ingresado con fuerza al mercado Latinoamericano; sin embargo, es necesario tener presentes algunas consideraciones importantes recogidas en esta investigación:

  • Citadel está considerado como una nueva amenaza, no sólo para el sector de los servicios financieros, sino también para otros sectores. Permite a los ciberdelincuentes establecer conexiones remotas avanzadas y también decidir sus objetivos sobre la marcha.
  • Aunque Citadel se está retirando del mercado abierto, McAfee Labs cree que se desplegarán más variantes a lo largo de 2013.
  • Cabe esperar que crezcan sus objetivos, en cuanto un mayor número de ciberdelincuentes se percate de que sus posibilidades trascienden con holgura la estafa financiera.
  • La importante actividad detectada en los últimos tiempos indica que los delincuentes no van a dejar de recurrir a Citadel para atacar a empresas y organismos gubernamentales del mundo entero.
  • Es indispensable mantenerse protegido utilizando una suite de seguridad que haga frente a las amenazas en línea y cuente con bloqueo spam y de correo electrónico peligroso.

Puede encontrar el informe completo en www.mcafee.com/us/resources/white-papers/wp-citadel-trojan.pdf.

Acerca de McAfee

McAfee, una subsidiaria de propiedad absoluta de Intel Corporation (NASDAQ:INTC), permite que las empresas, el sector público y los usuarios domésticos experimenten los beneficios de Internet con toda seguridad. La empresa ofrece soluciones y servicios de seguridad proactivos y comprobados para sistemas, redes y dispositivos móviles en todo el mundo. Con la estrategia Security Connected, un enfoque innovador en la seguridad potenciada por hardware y una red única de Inteligencia de amenazas globales, McAfee está completamente enfocado en mantener seguros a sus clientes

Lanzan GDK para desarrollo de juegos HTML5

odobo-casino-itusersOdobo lanza el programa de desarrollo de juegos HTML5 para la industria de las apuestas reguladas

GIBRALTAR, Diciembre 03, 2012.— Odobo ya acepta aplicaciones para su Game Developer Program de los estudios de juegos y productores. Esto sirve para presentar una nueva oportunidad de cara a los desarrolladores de juegos con el fin de capitalizar a los jugadores de valor elevado en la industria de las apuestas online por medio de la distribución a través de los operadores mundiales de casino con licencia.

El fundador y consejero delegado, Ashley Lang, que proporciona a Odobo 12 años de experiencia en gestión senior dentro de la industria internacional de las apuestas, indicó: «Es muy posible que el juego superventas que llevará el flujo principal de las apuestas online de casino aún no se haya inventado. Nosotros pensamos: ‘¿Cómo podría cualquier desarrollador con una gran idea de juego superar todos los obstáculos de la industria actual?’ Hay algo que necesita cambiar.»

Los ingresos medios por usuarios son 20 veces mayores que en los juegos sociales y casuales, y está previsto que para el año 2015 decenas de millones de jugadores activos generen ingresos de más de 32 mil millones de dólares. Odobo permite a los desarrolladores y operadores trabajar para conseguir el potencial real de esta industria de alto crecimiento.

Lang comentó: «Los operadores de casino invierten millones en marketing, y buscan de forma activa contenido nuevo y de alta calidad de una amplia variedad de desarrolladores para dirigirse a los jugadores existentes y atraer a los nuevos jugadores del mañana. Vemos una gran oportunidad para revisar la forma en la que se crea el contenido, distribuye, comercializa y monetiza para el beneficio de todos los accionistas.»

El Odobo Game Development Kit (GDK) es compatible con la producción de juego HTML5 que se basa en los buscadores y en generadores de números aleatorios que están certificados por medio de las instalaciones de pruebas de tercera parte con acreditación industrial. Odobo busca la localización y hace que todos los juegos estén disponibles en múltiples divisas e idiomas.

Los juegos construidos dentro del marco del Odobo Developer Program son únicos dentro de los juegos Flash de calidad superior frente a sus rivales en el escritorio, al tiempo que son compatibles con el rápido avance hacia las tablets y los teléfonos inteligentes. Todos los juegos aprobados están disponibles para los operadores de casino por medio del mercado Odobo —un contenido B2B «app store» para la industria— lanzado a principios de 2013.

El portal Odobo Play al que se enfrentan los consumidores se lanza en el primer trimestre de 2013. Cada juego, desarrollador y operador de casino tendrá su propia página de perfil, actuando como un nuevo canal de marketing y permitiendo a todo el mundo promocionar los juegos Odobo, los estudios que los producen y los casinos que apoyan su juego.

«Hay mucha emoción en la convergencia de los juegos sociales y regulados. Hemos diseñado la plataforma Odobo para permitir y apoyar la innovación, al tiempo que ponemos en marcha un marco regulador donde el juego responsable y las medidas de juego limpio estén en el lugar de protección a los jugadores,» añadió Lang.

La plataforma Odobo, GDK y mercado son el resultado de más de 18 meses de desarrollo de un equipo de más de 40 ingenieros industriales, arquitectos, diseñadores y desarrolladores. Odobo ha invertido en la construcción de una plataforma sofisticada de elevado volumen que es compatible con un amplio número de jugadores. La compañía tiene su sede en Gibraltar, una jurisdicción con reconocimiento mundial que además es el hogar de los mayores operadores de casino online.

Para los desarrolladores que necesitan asistencia con la producción de juegos HTML5, Odobo ofrece acceso al equipo de desarrollo de juegos integrado HTML5. Cuando el juego del desarrollador está en directo, puede usar la plataforma analítica completa para conseguir una visibilidad de juego en tiempo real sin precedentes y una información histórica. Esto proporciona a los desarrolladores una visión única de la principal métrica que impulsa en éxito de los juegos.

Si desea más información visite http://www.odobo.com

Video disponible:

What is Odobo? from Odobo on Vimeo.

Acerca de HTML5:

HTML5 es un término que se suele usar para describir una colección de tecnologías que permiten a los desarrolladores crear potentes páginas web y aplicaciones. El contenido construido usando HTML5 puede llevar a una audiencia más amplia, ya que HTML5 cuenta con el apoyo de los buscadores modernos en los escritorios, tabletas y teléfonos inteligentes sin necesidad de ninguna conexión.

En su núcleo, HTML5 cuenta con tres tecnologías primarias: HTML, que dicta la estructura, Cascading Style Sheets (CSS), que gestiona la presentación, y JavaScript, que permite la lógica e interactividad.

Los buscadores modernos populares que son compatibles con HTML5 incluyen las últimas versiones de Internet Explorer (Windows móvil y de escritorio), Firefox, Chrome, Safari (iOS y de escritorio), Android Browser y Blackberry Browser.

Si desea más información sobre HTML5 visite: http://www.html5rocks.com y http://dev.w3.org/html5/spec/