Si The Pirate Bay es el paraíso de los torrents y siempre actuaron bajo las leyes de su país, lo que hizo @chrusso99 tambien es legal porque descubrió múltiples injecciones SQL en el sitio que dan acceso a datos de casi 4 millones de file-sharers y que en manos de la RIAA valdría oro para saber quien es un uploader y quien no... ojala TPB cierre esas puertas lo antes posible :S
Noticias de Seguridad
Excelente nota en la BBC sobre la esteganografía, el trabajo de Johannes Trithemius y como se fué modificando y dejando de lado por la encriptación, etc. + The ancient art of hidden writing
Vaultpress el servicio de backups remotos de WordPress anuncia que comienza su beta con solo 30 invitaciones diarias que podés pedir en este link o sumar puntos haciendo un tweet o post explicando porque lo necesitás con hashtag #vaultpress
Y así como Google dice estar abandonando Windows por ser inseguro, hoy Microsoft respondió el artículo con datos bastante duros y hasta el detalle de Yale University abandonando su movida a Google Apps por problemas con "seguridad y privacidad"... si MSFT fuese un poco mejor comunicando hasta sería divertido de ver este enfrentamiento, pero les recomiendo leer el post de MSFT.
Automattic acaba de presentar VaultPress un sistema pago de backups y control de seguridad para los que usamos WordPress en hosting propio. Pero la verdad es que, además de hacer backup completo y no sólo de la base de datos; el contenido está en la "nube" de Automattic, actualizará el soft automáticamente cuando detecte problemas de seguridad y hasta van a monitorear los blogs suscriptos al servicio para prevenir hackeos; el precio u$s25/mes pero no se sabe si es por blog o por cuenta... por ahora podés pedir acceso a la beta en este link
Interesante nota en el blog de Sophos, comparando su lista de passwords obvias con las 369 claves prohibidas en Twitter; consejo como siempre bajo su propio riesgo usen combinaciones de mayúsculas-minúsculas-números o simplemente usen algo como 1Password y listo :)
Wikileaks, que hace tiempo trataron de cerrar, logró tener acceso a más de medio millón de mensajes enviados durante el 9/11 y los hizo públicos, pero tal vez lo más interesante es que pese a las quejas, la idea de usar Reddit para que la gente vote las comunicaciones que son realmente importantes puede servir para ver si la inteligencia colaborativa es capaz de encontrar información importante en ese mar de datos y superar la capacidad de las agencias de inteligencia en encontrar patrones de datos. + WashingtonPost
Pequeño aviso a la comunidad: la actualización a WordPress 2.8.6 ya está disponible y corrige dos agujeros de seguridad, consejo hagan el upgrade en cuanto puedan.
En plena pelea por las descargas en el Reino Unido, un ISP Británico mostró muy simplemente como las discográficas podían acusar a usuarios inocentes: un técnico se sentó en un bar prendió su notebook y descargó contenidos con copyright de 23 redes WIFI diferentes inseguras con lo que se demostró que la Ley de Cortes que quieren impulsar en UK es ridícula.
Por un lado si las discográficas hubiesen estado trackeando la actividad de esos clientes, el ISP debería haberles cerrado sus cuentas por algo que: a) no hicieron y b) ni siquiera sabrían que alguien estaba haciendo. Pero lo peor de todo es que esto sienta precedente para que el que quiera descargar algo simplemente diga: "hey, yo tengo un router abierto quizás alguien pasó y descargó sin mi consentimiento".
El equipo de seguridad de Ruby on Rails lanzó un parche de seguridad y un aviso de problemas de cross-site scripting que permitirían que la información almancenada en cualquier servicio que use RoR quede vulnerable. La pieza Why you shouldn't store important data on 37signals' applications es realmente genial y vale la pena leerla para entender, un poco mas, los problemas de seguridad de "la nube 2.0" y el mindset que hay en un investigador de seguridad.
Documento oficial de Apple con todas las aplicaciones incompatibles o que funcionan pero no abren WTF? si usás Snow Leopard; les recomiendo leerlo sobre todo Parallels y Norton AV.
Si usás Twitter vía web un white-hat hacker encontró una forma de tomar control de tu cuenta de una forma no muy simple pero si efectiva y real; todavía en Twitter no solucionaron el tema asi que un pequeño consejo: cerrá tu sesión en la web de twitter y descargá alguna aplicación de escritorio como Seesmic o Tweetdeck y así solucionás uno de los problemas... mientras Twitter se encarga de la seguridad de una vez por todas. (Via)
Hace un buen rato estoy jugando con Twitblock que hoy salió en Mashable y que, básicamente, es un servicio que analiza los followers de tu cuenta de Twitter y, en base a un análisis propio define si son spammers o no, dándote la opción de bloquearlos con un click.
La idea es particularmente buena, pero le veo un par de fallas (aprovecho a decirlas porque si este servicio mejora va a ayudar a que el ecosistema de Twitter mejore considerablemente):
Leer completa
Interesante nota de Wired sobre la razón por la que la infraestructura de Twitter soportó, de manera menos que satisfactoria deberían aclara, el último ataque global DDoS a sitios 2.0... porque Google los ayudó a analizar el ataque y responderlo. Dos detalles: el periodista es un ignorante que repreguntó "¿y porque te dicen Biz?" y los ataques coordinados como estos son apenas el primer vistazo a un DDoS global y distribuido en serio, preparense a ver una linda carrera armamentista online :s
Por favor actualicen a Worpdress 2.8.3 que es una actualización de seguridad y luego de ver lo que puede hacerte no actualizar y dejar un 0-day exploit abierto... es poco recomendable ;)
Esto debería inaugurar una sección bizarros porque, que la policia de Queensland anuncie que va a buscar redes WIFI abiertas y avisarle a sus dueños los peligros a los que están sujetos al tener una red sin clave es bastante raro; así que no se asusten si esto da resultados y un día golpean tu puerta diciendo "Hola, puede usted poner una clave segura en su red wifi" porque, en serio, puede ser un policia.
Excelentes noticias de Gmail: The super-trustworthy, anti-phishing key; básicamente si activás esa función en Gmail -> Settings -> Labs, cualquier mail de instituciones financieras que no sea realmente de ellos va a ser borrado automáticamente para evitar que seas víctima de Phishing. Por ahora, solo Paypal e eBay están en el programa pero al menos sabemos que están empezando a mejorar la seguridad de los mails.
Pese a que OpenID es una idea interesante, no es una implementación distribuída segura y Sun es el primero en describirlo de un modo bastante claro:
OpenID is an untrusted protocol. Sun has no liability for what happens to any information you give to a third-party web site using this service. Most OpenID-enabled sites are genuine but some may be phishers or other rogues. Sun currently has no way of distinguishing the good sites from the bad. Do not use the OpenID@Work service for any high-value, critical, or Sun proprietary information.
Esa última línea es casi igual a la que uso como respuesta cuando alguien me dice ¿y si uso OpenID? ;)
Pequeño aviso, si tenés WordPress 2.5 te recomiendo actualizar a la 2.5.1; pero si tenés un blog con WordPress 2.5 y la gente puede registrarse.. debés actualizar ya.
Al margen de esto; hay un buen truco para que, si sólo querés tapar el agujero de seguridad subas 3 archivos y listo.
Excelente recopilación de SpeckyBoy: Top 10 Security and Protection Plugins for WordPress que me permito traducir en caso que a alguien le resulten útiles... todo esto va más allá de los básicos para un WordPress seguro: siempre tener la última versión instalada y no usar admin como acceso ;)