1. Ataque masivo a las webs Wordpress
Una botnet (conjunto de robots informáticos o bots, que se ejecutan de manera autónoma y automática) con más de 90.000 servidores estaba siendo utilitada para adivinar el nombre de usuario y la contraseña y acceder al administrador de las webs hechas con wordpress.
Se trata de un ataque de “fuerza bruta” que provoca problemas en los blogs infectados, que pueden haber visto cómo el usuario no podía acceder a su panel de administración o cómo, si lograba hacerlo, la página iba lenta.
2. Un hacker de Bangladesh hackea Google Kenia
Además de los dominios de keniatas de empresas como Dell, Skype, HP, Youtube, LinkedIn, Bing, Microsoft y otros. Parece ser que el hacker ha comprometido algunos servidores DNS (se postula que los del registrador de dominios .ke) para que los visitantes de Google en Kenia fueran redirigidos a otra página. No es la primera vez que este hacker actúa contra grandes empresas, y tampoco es la primera vez que este tipo de ataque se utiliza. Las páginas webs de Google en varios países ya fueron atacadas anteriormente con este sistema.
3. China y Estados Unidos son los países que más ataques DDos generan
Sólo entre dos países, China (35%) y Estados Unidos (28%), generan más del 60% de los ataques DDos (ataque de denegación de servicio, Denial of Service en inglés) en el mundo. India, Brasil y Rusia le siguen en este ranking de generadores de DDos que ha elaborado la empresa Prolexic. En el tercer trimestre de 2012, el número de ataques se incrementó un 88% y también aumentó considerablemente la magnitud de alguno de ellos. |
| Fuente: Fuente: Blogs.eset-la |
4. Los 10 fallos web más habituales de las aplicaciones web
Vía Inteco, nos llega la información sobre el top ten de Owasp (Open Web Application Security Project), la lista de los diez fallos de seguridad web más comunes en aplicaciones web, que además permite ver cómo estos fallos han ido evolucionando desde la primera edición de la lista en 2004. En 2007 hubo una segunda lista y en 2010 otra. La lista de 2013 no ha cambiado mucho respecto a la de 2010.
.jpg "Tabla de la evolución de las vulnerabilidades web") |
| Fuente: Owasp. |
Este trabajo permite ver cómo hay fallos que se repiten desde 2004, como es el caso de los fallos de inyección (Injection Flaws), que escalan puestos en la lista. También ha crecido la importancia de la gestión de sesiones y los problemas de autenticación (Broken Authentication and Session Management) y las configuraciones por defecto o la falta de parametrización segura de las aplicaciones web (Security Missconfiguration). En cambio, los XSS (Cross-Site Scripting)y la falsificación de peticiones entre sitios (Cross-Site Request Forgery –CSRF) parecen haber perdido importancia.
Para más información puedes consultar el informe completo aquí.
5. Java corrige 42 vulnerabilidades
Java ha corregido 42 fallos de Seguridad, la mayoría de ellos críticos, en su nueva actualización, además ha mejorado los mensajes de seguridad y ha quitado algunas opciones de seguridad peligrosas que no servían para nada. Los detalles los tenéis en este post de Sergio de los Santos en Unaaldia de Hispasec.
