bugs

Pareciera que no hubiese semana en la que no apareciese un agujero de seguridad en Facebook, ¿verdad? Pues resulta que es así. Según Alex Rice, que está a la cabeza de la seguridad en la red social, en promedio se encuentran de uno a tres errores por semana gracias a las entre treinta y cincuenta notificaciones de vulnerabilidades que les llegan semanalmente.

Tomando esto como base, y siguiendo los pasos de otras compañías como Google o Mozilla, Facebook se sube al carro de pagar por cada vulnerabilidad encontrada en el código de su sitio. Es decir, lo conocido como bug bounty. Para ello, han puesto en marcha un sitio llamado White hats a través del cual reportar los agujeros que se encuentren.

La recompensa por cada bug será de quinientos dólares, aunque puede aumentar en función de bugs específicos. En el sitio, se encuentran los detalles que especifican cuales son las condiciones que se necesitan para recibir la recompensa y cuales vulnerabilidades son aceptadas y cuales no.

Por lo general, las compañías que han puesto en marcha un bug bounty han obtenido buenos resultados de esta iniciativa y dudo de que ocurra lo contrario en el caso de Facebook.

Vía | Computer World
Enlace | White hats

Durante el día de ayer se ha descubierto (y parcheado) un bug en Twitter que permitía de forma extremadamente simple forzar a seguirte a quien quisieras. Si querías que Conan O’Brien o EnjuntoMojamuto te siguieran, tan sólo tenías que publicar un tweet tal que así:

accept UsuarioFamosete

...y al momento, @UsuarioFamosote te tenía entre la gente a la que seguía. Por poner un ejemplo, O’Brian sólo sigue a una persona, y de repente seguía a 200.

La forma de descubrir el bug también tiene miga. Fue un usuario turco, Bora Kirca, que es fan de un grupo de heavy metal que se llama Accept, casualmente. Al escribir en un tweet “accept pwnz” se dio cuenta de que el tweet no se publicó, pero que a cambio el usuario @pwnz empezó a seguirle.

Leer más

Titular correctamente una noticia no siempre es fácil. Resumir en pocas palabras el contenido de un artículo nos dejará, habitualmente, sin conocer los detalles, pero lo que no tiene perdón es que el titular de una información sesgada y que, encima, no se ve sostenida por el contenido del artículo.

Lo acabo de ver en Information Week, con una nota titulada Open Source Code Contains Security Holes, es decir, El software de código abierto tiene problemas de seguridad, dicho así, como si cualquier otro software no los tuviera.

Continúa en la entradilla diciendo que en proyectos populares como Samba, PHP, Perl,... se encontraron docenas o cientos de errores de seguridad. Al menos, lo arreglan en la introducción del artículo afirmando: el código abierto, igual que el cerrado, tiene de media un error de seguridad por cada 1000 líneas de código.

Leer más

Esta puede ser una herramienta interesante para los desarrolladores. Betabug es una herramienta online para la búsqueda de errores y sus soluciones en los desarrollos por parte de la comunidad de usuarios que la conforman.

Para ello, los usuarios deberán crearse sus propios espacios, y dentro de ellos abrir proyectos, para los cuales disponen de las herramientas necesarias para la búsqueda, discusión y solución de los posibles errores que se puedan encontrar en un mismo desarrollo.

Los desarrolladores, una vez creados sus proyectos, permitirán el acceso de los usuarios a diferentes niveles, o sea, con diferentes privilegios, ya sea mediante registro y/o invitaciones, para que entre todos, se puedan abrir los diferentes errores que se puedan encontrar, con sus niveles críticos, sus prioridades y tipo de privacidades, asignando quienes estarán al cargo de solventar los errores, pasando los errores abiertos por diferentes estados hasta su cierre.

Leer más

Hemos hablado ya varias veces del proyecto Month of Kernel Bugs, en el cual durante un mes se publicaba cada día un bug o problema de seguridad de algún sistema operativo. Los sistemas afectados fueron varios: Windows, Linux, Mac OS X, FreeBSD,...

Pero el mes de enero va a estar dedicado especialmente al Mac OS X, con el Month of Apple Bugs, que pretende publicar cada día un error de seguridad en el sistema operativo de Apple. O sea que el mes que viene puede ser un mes peligroso para los usuarios de la manzana, pues siguiendo la táctica que se utilizó en el proyecto anterior, el fabricante no es avisado con anterioridad y los bugs suelen venir acompañados de “pruebas de concepto”, es decir, el código que los provoca.

Veremos como reacciona Apple y cuan seguro es este sistema operativo.

Vía | Security Fix.
En Genbeta | Más problemas de seguridad en Mac OS X.
En Genbeta | Problema de seguridad en la gestión de ficheros DMG en Mac OS X.