Ingeniería de Software, en su novena edición, se dirige principalmente a estudiantes universitarios que están inscritos en cursos tanto introductorios como avanzados de ingeniería de software y sistemas. Asimismo, los ingenieros de software que trabajan en la industria encontrarán el libro útil como lectura general y para actualizar sus conocimientos acerca de temas como reutilización de software, diseño arquitectónico, confiabilidad, seguridad y mejora de procesos.

El enfoque del presente texto se centra en temas fundamentales para todos los procesos de desarrollo y, en particular, para el desarrollo de sistemas fiables.

RESUMEN DE CONTENIDO:

Parte I. Introducción a la ingeniería de software.
1. Introducción.
2. Procesos de software.
3. Desarrollo ágil de software.
4. Ingeniería de requerimientos.
5. Modelado del sistema.
6. Diseño arquitectónico.
7. Diseño e implementación.
8. Pruebas de software.
9. Evolución del software.

Parte II. Confiabilidad y seguridad.
10. Sistemas sociotécnicos.
11. Confiabilidad y seguridad.
12. Especificación de confiabilidad y seguridad.
13. Ingeniería de confiabilidad.
14. Ingeniería de seguridad.
15. Garantía de confiabilidad y seguridad.

Parte III. Ingeniería de software avanzada.
16. Reutilización del software.
17. Ingeniería de software basada en componentes.
18. Ingeniería de software distribuido.
19. Arquitectura orientada a servicios.
20. Software embebido.
21. Ingeniería de software orientada a aspectos.

Parte IV. Gestión de software.
22. Gestión de proyectos.
23. Planeación de proyectos.
24. Gestión de la calidad.
25. Administración de la configuración.
26. Mejora de procesos.

Descarga:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Este curso te va a ayudar y será tu guía si tienes mínimos conocimientos en el desarrollo móvil y quieres saber lo necesario para empezar en este mundo. Conocerás los perfiles que se pueden tomar en el equipo de desarrollo de una aplicación y sabrás qué actividades realiza cada uno, dependiendo del rol asignado. Verás los detalles de algunas actividades primordiales para que una aplicación sea llevada de buena forma desde el planteamiento hasta la distribución, como el diseño, el desarrollo o la usabilidad. Y con el ejemplo propuesto, podrás poner en práctica lo aprendido.

Este curso está pensado para personas que quieren introducirse en el mundo del desarrollo para plataforma móvil Android, ya que sienta las bases necesarias para comenzar a entender los diferentes roles dentro de un equipo de diseño, desarrollo y marketing de una app y qué cometido tiene cada uno de sus miembros. Cualquier profesional que se dedica (o quiera dedicarse) a las aplicaciones Android descubrirá con un ejemplo práctico cuáles son las herramientas y los conceptos básicos que debe manejar, verá qué factores son determinantes en el éxito de una app y recibirá el primer empujón para hacer realidad y subir su primera app a la tienda de Android.

Descarga:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Contraseña:

www.facebook.com/groups/RecursosProgramacion

Este libro presenta de manera precisa los métodos, herramientas y técnicas para el desarrollo de sistemas con un enfoque práctico y en un lenguaje fácil de entender. Los autores ponen énfasis en los aspectos fundamentales que todo estudiante debe dominar para hacer un buen análisis, y resaltan el uso de metodologías sistemáticas y de información para llevarlo a cabo paso a paso. Asimismo, ponen especial atención en el impacto de la implementación de estos sistemas en las organizaciones y en los usuarios. Esta octava edición incluye cambios sustanciales obligados por las rápidas transformaciones en el campo de los sistemas de información durante los últimos años, entre las que resalta la siguiente lista:

    Tres nuevas metodologías en los primeros capítulos: SDLC, metodologías ágiles y el análisis y diseño de sistemas orientados a objetos con UML.
    Nueva cobertura sobre la computación en nube.
    Cobertura ampliada de COTS, un tipo de software cada vez más utilizado en las organizaciones.
    Mayor cobertura sobre el análisis y diseño orientados a objetos.
    Una nueva característica titulada Atractivo de la Mac, sobre el software innovador disponible en estas computadoras.
    Nueva sección sobre la SOA (arquitectura orientada a servicios).
    Nuevas preguntas de repaso, problemas y ejercicios en grupo al final de cada capítulo.
    Se actualizaron y optimizaron los Casos de la CPU de modo que los estudiantes puedan utilizar Microsoft Access, Microsoft Visio o Visible Analyst para realizarlos.
    Se actualizaron los escenarios, problemas y gráficos para acompañar a HyperCase 2.8, una simulación gráfica para la Web que permite a los estudiantes aplicar sus nuevas habilidades.

Las figuras tienen una apariencia estilizada para ayudar a que los estudiantes capten con mayor facilidad el tema, y los nuevos diagramas conceptuales presentan las diversas herramientas que los analistas de sistemas tienen a su disposición.

RESUMEN DE CONTENIDO:

PARTE I: FUNDAMENTOS DEL ANÁLISIS DE SISTEMAS
1. Sistemas, roles y metodologías de desarrollo
2. Comprensión y modelado de los sistemas organizacionales
3. Administración de proyectos

PARTE II: ANÁLISIS DE LOS REQUERIMIENTOS DE INFORMACIÓN
4. Recopilación de información: métodos interactivos
5. Recopilación de información: métodos discretos
6. Modelado ágil y prototipos

PARTE III: EL PROCESO DE ANÁLISIS
7. Uso de diagramas de flujo de datos
8. Análisis de sistemas mediante el uso de diccionarios de datos
9. Especificaciones de los procesos y decisiones estructuradas
10. Análisis y diseño de sistemas orientados a objetos mediante el uso de UML

PARTE IV: LOS FUNDAMENTOS DEL DISEÑO
11. Diseño de una salida efectiva
12. Diseño de una entrada efectiva
13. Diseño de bases de datos
14. Interacción humano-computadora

PARTE V: ASEGURAMIENTO E IMPLEMENTACIÓN DE LA CALIDAD
15. Diseño de procedimientos precisos de entrada de datos
16. Aseguramiento e implementación de la calidad

Descarga:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Crea aplicaciones para dispositivos móviles Android utilizando la interfaz del sistema operativo Android Lollipop, la quinta versión del popular sistema operativo de Google. En este curso aprenderemos las nuevas metáforas de diseño Android, los detalles sobre la más reciente paleta cromática, utilizaremos sus nuevos componentes, animaciones y transiciones para que puedas crear aplicaciones modernas que aprovechen al máximo lo último de Android.

Crea aplicaciones Android utilizando la nueva interfaz del sistema operativo Android Lollipop, la quinta versión del popular sistema operativo de Google.
En este curso exploraremos paso a paso los detalles de los nuevos componentes de Android Lollipop como los nuevos cards ReciclerViews, utilizaremos las guías gráficas para crear una aplicación con una apariencia moderna y crearemos animaciones y transiciones adaptadas a esta nueva experiencia de Android. Aprenderemos las nuevas metáforas de diseño Android, para que puedas crear aplicaciones modernas que aprovechen al máximo lo último de Android.

Descarga:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Contraseña:

www.facebook.com/groups/RecursosProgramacion

MySQL es lejos el sistema de bases de datos más popular que existe, en este curso verás de forma clara y concisa clases que te guiarán en la creación y mantenimiento de forma avanzada de tus Bases de Datos aprenderemos todo lo relacionado para que tus Bases de Datos se conecten de la mejor forma a tus aplicaciones web.

Contenido:

✓ Introducción
✓ Tipos de datos
✓ Funciones
✓ Transacciones
✓ Triggers
✓ Sebselects y vistas
✓ Rutinas almacenadas

MySQL Avanzado : Todo lo que no sabías sobre Bases de Datos [Español]
[ RAR | MP4 | You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login | 581 MB Comprimido | 790 MB ]

DESCARGAR CURSO:
PARTE 1: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
PARTE 2: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
PARTE 3: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En una de esas historias que hasta parecen broma, un hombre fue dueño por unos minutos de una de las direcciones de internet más famosas del mundo, "google.com", que además adquirió por sólo 12 dólares.

La historia, más que una anécdota curiosa, se trata de un grave problema de seguridad de la compañía, porque además, la compra del dominio se realizó a través de Google Domains, el servicio creado por la compañía para la compra de direcciones, quien nunca se percató que su propio dominio estaba a la venta en su propio servicio. ¡Increíble!.

Si vas a vender dominios, primero verifica que no esté el tuyo

Para buena suerte de Google, la persona que descubrió este error fue un ex empleado de la compañía, Sanmay Ved, quien relata toda la historia en su perfil en LinkedIn, explica con capturas y detalles, el procedimiento que lo llevo a ser dueño de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login por unos minutos.

Todo surgió un día jugando en Google Domains, cuando se le ocurrió verificar la URL "google.com", la que sorpresivamente estaba disponible y con un valor de 12 de dólares. Pensó que se trataba de algún error en la plataforma y como cualquier otra persona, decidió añadirla a su carro de compras y efectuar el pago.



Los 12 dólares fueron cargados a su tarjeta de crédito y recibió dos notificaciones, una por parte del banco y otra por parte de Google, que le confirmaban la transacción. La dirección ya aparecía dentro de su panel de control, junto a las notificaciones del estatus del domino, lo que confirmaba que era el nuevo y flamante dueño de la dirección más popular en varias regiones del mundo.



Por supuesto se trataba de un error, y Google tardó unos 5 minutos en reaccionar, pero no lo hizo aceptando el error, no, simplemente le envió un correo a Sanjay donde le decían quehabía un error en su transacción y no podían procesar su reciente compra de dominio, y en ese momento le reembolsaron sus 12 dólares.



Por supuesto Google resolvió el problema de una forma (algo) rápida y sin muchas complicaciones, pero repito, esto se debe a que Sanmay Ved trabajó para Google entre 2007 y 2012, así que además de descubrir el fallo, dio aviso a la compañía. Después de esto, los dominios con Google ya no están disponibles para su compra, bueno, casi todos, ya que si buscamos "google-idiots.com" ésta aún está disponible por 12 dólares.



Un caso similar se presentó en 2003, cuando Microsoft olvidó renovar su dominio "hotmail.co.uk", que estuvo alojado en Nominet UK, así que al estar libre, una persona lo adquirió y Microsoft no pudo hacer nada al respecto, ya que la compañía no les pertenecía.

Fuente:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una lista elaborada por el gobierno ruso ha puesto de manifiesto que Microsoft ha financiado webs piratas mediante anuncios publicitarios de sus productos en este tipo de páginas, un hecho en el que la firma de Redmond no ha aparecido de forma aislada sino acompañada de otras 99 marcas comerciales que también contrataron publicidad con webs de contenidos pirata.


En este informe aparecen también nombres de gigantes de la automoción como Ford, Volvo y Toyota, entre otros, y tiene por objetivo identificar de dónde provienen los fondos que consiguen las webs de contenidos pirata mediante un seguimiento que como vemos señala directamente a las marcas y empresas.

Dado que Microsoft es una de las compañías más afectadas a nivel mundial por la piratería no deja de ser chocante que la misma haya aparecido en esta lista, pero el ministro ruso responsable del estudio lo tiene claro y piensa incluir a todas estas marcas en una especie de "grupo de la vergüenza", según informaciones oficiales, para intentar con ello que recapaciten y dejen de anunciarse en ese tipo de páginas.

Rusia lo tiene claro y se van a tomar  muy en serio esa nueva caza de brujas que ciertamente no es exclusiva de dicho país, ya que también ha sido utilizada en la eurozona por otros como Reino Unido.

Dicho esto sólo nos queda esperar a ver si Microsoft realiza algún comentario oficial al respecto.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Todos conocemos la historia detrás de Hacking Team, una compañía que se dedicaba a vender vulnerabilidades y herramientas de ciberespionaje gobiernos de todo el mundo, incluidos aquellos que no respetaban los derechos humanos, y que recibió una fuerte dosis de su propia medicina.

El caso es que parece que Arabia Saudí estuvo negociando la posibilidad de comprar Hacking Team, una operación en la que habría estado implicado el ex-embajador de Estados Unidos, Ronald Spogli, y que finalmente no llegó a buen puerto, ya que el encargado de las negociaciones por parte del país árabe, el príncipe Bandar bin Sultan, dejó de liderar el servicio nacional de inteligencia.


Todo lo expuesto está perfectamente desgranado entre los 400 GB de información que se filtró tras el ataque a Hacking Team, y demuestra la absoluta falta de ética de esta compañía que se jactaba de colaborar "única y exclusivamente" con gobiernos de países democráticos.

Especialmente interesante resulta también la implicación del citado diplomático estadounidense, un detalle que viene a confirmar algo que ya sabíamos, y es que el dinero no solo mueve montañas, sino que convierte enemigos en amigos y mueve a cambiar leyes, ética y moral, todo para perjuicio de los de siempre, los de abajo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En esta obra haremos un recorrido que comenzará con los conceptos fundamentales de la programación orientada a objetos, el diseño y el desarrollo de software. Todos los procedimientos son expuestos de manera práctica con código fuente de ejemplo, diagramas conceptuales y la teoría necesaria para comprender en profundidad cada tema presentado.

Descarga: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Contraseña:

www.facebook.com/groups/RecursosProgramacion

Sencha Touch es un framework JavaScript que te permitirá crear webapps y aplicaciones multiplataforma basadas en HTML5 con un rendimiento excepcional. En este curso aprenderás a crear un proyecto basado en Sencha Touch y aprovechar al máximo sus componentes.

Sencha Touch es un framework que te permite crear aplicaciones para móviles y web apps. Es ideal para los desarrolladores web que quieran construir aplicaciones para múltiples plataforma móviles sin tener que aprender nuevos lenguajes de programación.

Puedes utilizar tus conocimientos en HTML5, CSS3 y JavaScript, para crear aplicaciones en Sencha Touch y luego publicarlas en las tiendas de Android o iPhone, entre otras. Arrancaremos este curso desde el proceso de instalación y configuración para después abordar los conceptos creación de interfaces, interactividad y navegación. Exploraremos las opciones mas avanzadas, como la capacidad de geolocalizacion, reproducción multimedia y el acceso a archivos externos.

Sencha Touch utiliza en su núcleo la famosa librería Ext JS, lo que lo convierte en una alternativa robusta y escalable para aplicaciones complejas de nivel empresarial, mientras que sus componentes optimizados para interfaces táctiles tienen un redimiendo superior a librerías similares.

Al finalizar este curso sabrás cómo empaquetar tus aplicaciones para ser distribuidas en las tiendas de iOS, Android, FirefoxOS, Amazon y Windows 8.

Descarga:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Contraseña:

www.facebook.com/groups/RecursosProgramacion

Aprende a crear aplicaciones web MVC (Modelo Vista Controlador) de una manera fácil y rápida con Rails, el framework por excelencia para Ruby. Si eres un desarrollador con experiencia y quieres optimizar tu tiempo delante del código, en este curso video2brain aprenderás a configurar el entorno de Ruby y a crear una aplicación web usando el framework Rails.

Video2Brain : Introducción a Ruby on Rails [Español]
[ RAR | MP4 | José Vicente Carratalá | 100 MB Comprimido | 209 MB ]

DESCARGA: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La industria del videojuego ocupa el primer lugar en el ocio audio-visual e interactivo a nivel mundial, por encima de industrias tan potentes como el cine o la música. Como consecuencia directa, existe una gran demanda de profesionales cualificados para diseñar y desarrollar videojuegos no sólo para consolas y ordenadores, sino también para el más que creciente mercado de los teléfonos móviles.

Desarrollo de Videojuegos , Un enfoque práctico (3º Ed.) [Español]
[ RAR | Varios | 133.4 MB ]

DESCARGA: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ross Ulbricht pasará el resto de sus días en prisión. Y si tuviera otra vida, también. Una juez en Nueva York acaba de condenar al fundador del portal Silk Road a dos cadenas perpetua. La web funcionaba como una especie de bazar electrónico donde se vendían drogas y se utilizaba de paso para lavar el dinero de las mafias metidas en el crimen organizado. Es un castigo sin precedentes en la lucha contra los delitos que se comenten a través de Internet.

Ulbricht, tiene 31 años de edad, ya fue considerado culpable el pasado mes de febrero por los delitos de narcotráfico, blanqueo de dinero, violación informática y otros cuatro cargos criminales. Entonces ya se vislumbró la posibilidad de que podía caerle la pena máxima, a la vista de la rapidez con la que el jurado popular concluyó sus deliberaciones. Y así ha sido. "Que quede claro. Nadie está por encima de la Ley", dijo la juez de distrito Katherine Forrets, "ahora debes pagar el precio".


La Ruta de la Seda, en su traducción literal del inglés, era una web oculta, muy sofisticada, lo que facilitaba que se pudieran realizar actividades ilícitas desde el anonimato. Ross Ulbricht fue presentado en el juicio como el "cabecilla" de esta trama utilizada por narcotraficantes de todo el mundo para mover sus productos y ofrecer servicios ilícitos, como la venta de números de tarjetas de crédito y licencias para conducir falsas o contenido audiovisual pirata.

La divisa de cambio en este mercado cibernético era la moneda virtual Bitcoin, cuya imagen se vio muy dañada por este caso de fraude masivo. Silk Road fue cerrada en octubre de 2013, tras casi tres años operando, mientras que Ulbricht era detenido en una biblioteca en San Francisco. La juez Forrest no compró así el argumento de la defensa, en el que se llegó a decir que el portal electrónico fue creado como un mercado para intercambiar libremente cosas.

Clemencia

Pero las pruebas presentadas durante el proceso revelaron que Ulbricht obtuvo un beneficio personal de 18 millones de dólares, casi el 10% del dinero ilícito que se movió en 1,5 millones de transacciones. El joven fundador de Silk Road, que se ocultó bajo el pseudónimo Dread Pirate Roberts, pidió clemencia en el momento de leerse la condena, pero la magistrada quiso con este severo castigo marca un antes y un después en la lucha contra el crimen organizado en Internet.

"Déjeme ver un atisbo de luz al final del túnel", le imploró durante las tres horas de audiencia. Ulbricht se enfrentaba como mínimo 20 años de cárcel. Pero la fiscalía solicitó una pena "sustancial" para evitar que otros siguieran sus pasos. El juicio en Manhattan duró tres semanas. El acusado no testificó en su defensa. Pese a que admitió ser el creador de Silk Road, negó haber gestionado la web directamente, porque la abandonó a los pocos meses de crearla.

Forrest admitió que Ulbricht no tiene el perfil del criminal tradicional, pero sí señaló que diseñó con sumo cuidado la trama y que quería que Silk Road quedara como su legado. "Así ha sido", concluyó al exponerle los motivos de su dura sentencia. "Los criminales deben entender las muy serias consecuencias" que acarrean estos delitos, apostilló. Junto a la condena de prisión, se impuso al acusado una pena financiera de 183 millones. Sus abogados piensan apelar.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Decir que HTML5 ya está aquí es una realidad; también lo es expresar la idea de que ha causado aún más interés del que se esperaba.
Sin duda HTML5 representa un avance en pos de una Web más amigable para los desarrolladores y usuarios.
Esto se demuestra en el interés del público por las novedades que nos llegan de la mano de la versión 5 de HTML y en el trabajo dedicado por los desarrolladores a la tarea de dar soporte a este estándar.

Como ya sabemos, HTML5 es el futuro y está entre nosotros.
Como usuarios, solo nos queda disfrutar de todas las características que nos ofrece; como desarrolladores tendremos que aprender a implementarlas y, para ayudarnos a transitar este camino, nada mejor que apoyarnos en la experiencia y los conocimientos de Damián de Luca, quien ha logrado plasmar esta obra eminentemente práctica y con todo lo que necesitamos para dominar HTML5. ¡Que lo disfruten!

Este libro está enfocado en brindarle al lector las posibilidades que introduce HTML5, todo resumido en un curso práctico.

Introducción al Diseño Web en HTML5 [Español]
[ PDF | Lucía Castillo | 3.9 MB ]

DESCARGA:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos.

El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o script que esté embebido dentro de otro.

Se conoce como Inyección SQL, indistintamente, al tipo de vulnerabilidad, al método de infiltración, al hecho de incrustar código SQL intruso y a la porción de código incrustado.

Ataques a Bases de datos (SQL Injection) [Español]
[ PDF | Varios | 1.4 MB ]

DESCARGAR:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Aprende a desarrollar aplicaciones web dinámicas usando Java como lenguaje de servidor. En este curso darás tus primeros pasos con Java Enterprise Edition desarrollando una aplicación web dinámica compuesta fundamentalmente por Servlets, Java Server Pages y bases de datos en MySQL.

En este curso video2brain darás tus primeros pasos en el desarrollo de aplicaciones web dinámicas usando Java Enterprise Edition. Aprenderás a usar los Servlets, las Java Server Pages, y a conectarte a bases de datos usando JDBC. Para el óptimo aprovechamiento de este curso necesitarás tener conocimientos previos de HTML, Java y MySQL.

Empezaremos instalando un entorno de desarrollo basado en Eclipse, y un servidor local de aplicaciones basado en Apache Tomcat. Una vez hayamos instalado y unido ambas piezas, empezaremos el desarrollo de aplicaciones.

Nos basaremos en un desarrollo de tres capas, donde los formularios HTML harán las funciones de las vistas. Extenderemos estos formularios usando Java Server Pages.

A continuación, usando Servlets, crearemos controladores que recogerán los datos de las vistas y los procesarán. Por último, para asegurar la persistencia de los datos recogidos, los guardaremos de manera permanente en una base de datos MySQL, usando el conector JDBC.

Este curso no requiere archivos base iniciales, ya que todos los requisitos se instalan directamente desde internet. A través de las lecciones te iremos guiando acerca de qué páginas tienes que visitar y qué programas tienes que descargar para configurar tu entorno de desarrollo, siendo todos los programas que usamos en el curso completamente gratuitos.

Descarga:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Contraseña:

www.facebook.com/groups/RecursosProgramacion

Pack de libros, guías, manuales, cursos, etc sobre Seguridad Informática (Auditoría Wifi, Penetration testing, etc) y Hacking Ético.
El conocimiento es libre...

CONTENIDO:
✓ Guía del hacker
✓ Manual de criptografía
✓ Seguridad en Unix & Redes
✓ Tutorial de PGP
✓ Curso de firewalls
✓ Control de accesos
✓ Agujeros de seguridad
✓ Manual de sniffing
✓ Guía de protocoles TCP-IP
✓ Etc, etc.

Pack Seguridad Informática [Español]
[ RAR | La Web del Informático | 37.3 MB ]

DESCARGAR AQUI:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Más de 7 horas de vídeo tutoriales desde nivel básico a avanzado divididos en un temario, imágenes didácticas, ejemplos de código y resúmenes en texto de las clases. Todo organizado en una mini plataforma responsive para que puedas aprender a programar a tu ritmo.

Descarga:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Nuclear Exploit Kit es un clásico de los paquetes de exploits destinados a piratear servidores. Ahora WordPress está bajo su asedio, con miles de webs comprometidas.

Miles de webs que usan el gestor de contenido WordPress han sido atacadas. El objeto de estos ataques no era otro que infectar a los visitantes con potentes exploits de malware, según se supo ayer jueves a través de un artículo publicado por Sucuri, una empresa especializada en seguridad.

La campaña empezó hace tan sólo quince días, pero durante las últimas 48 horas el número de sitios comprometidos ha subido de forma espectacular, pasando de 1.000 el martes a casi 6.000 ayer jueves. Las páginas web secuestradas se usan para redirigir a los visitantes a un servidor que introducía el código de ataque en el ordenador visitante.

Este código de ataque se encuentra actualmente dentro del Nuclear Exploit Kit, que se puede comprar en el mercado negro. El servidor que inyecta el malware prueba, además, distintos exploitsdependiendo del sistema operativo y de las aplicaciones que use el visitante.

Nuclear Exploit Kit, un viejo conocido

Nuclear Explot Kit es uno de los packs de exploits más usados. Lleva en activo desde 2009 y ha estado evolucionando constantemente. Es muy apreciado por los hackers por el amplio espectro de ataques que puede realizar, y que se aprovecha de las debilidades de distintos plugins web como Flash, Silverlight o lectores integrados de PDF en los navegadores —además de esto cuenta con un exploit exclusivo para Internet Explorer—.



El uso principal que se le da a Nuclear Exploit Kit es la inyección de malware  y ransomware. Elransomware es, a grandes rasgos, un tipo de virus que "secuestra" el ordenador infectado con un aviso falso de una autoridad policial. En dicho aviso se informa a la víctima de que se ha detectado que su dirección IP pública ha participado en actos ilícitos en Internet, y que debe pagar una cantidad X de dinero para recuperar sus datos. Lo anterior es sólo un resumen general de cómo actúa este tipo de malware. Hay distintos tipos de ransomware, cada uno con funciones específicas y y con diferencias en forma de operar.

Volviendo a los packs de exploits en general y a Nuclear Exploit Kit en particular, el hecho de que los exploits se agrupen en paquetes les otorga una naturaleza polimórfica difícil de detectar: Un paquete puede adoptar cualquier forma, lo que hace complicado descubrirlos a simple vista. Por esta razón los packs de exploits se usan fundamentalmente en ataques de día cero —ataques que se aprovechan de vulnerabilidades sin corregir en un sistema—, y se han convertido en una herramienta principal en las operaciones de exfiltración de datos.



Nuclear Exploit Kit es un viejo conocido de los especialistas en seguridad, y su efecto a lo largo de los años se ha dejado sentir en el número de industrias afectadas y en el volumen de webs comprometidas. Sectores económicos importantes se han visto sometidos a brechas de datos importantes: Servicios financieros, negocios privados, medios y servicios de comunicación y departamentos gubernamentales.

El objetivo: obtención de datos de usuarios finales

Daniel Cid, CTO de Sucuri, comentaba lo siguiente en el blog de la empresa:

Si lo piensas detenidamente, las páginas web comprometidas sólo son medios para que los criminales lleguen a tantos endpoints como puedan. ¿Cuál es la mejor manera de llegar a un endpoint [en Internet]? A través de las webs, por supuesto.



En este caso particular, el endpoint o "punto final" serían los ordenadores de usuarios finales. El objetivo de estos ataques pasaría, en su mayoría, por obtener datos de usuarios a través de infecciones producidas en páginas web comprometidas que el usuario podría visitar intencionadamente o de forma casual.

El jueves Sucuri detectó miles de webs compromeitdas, de las cuales un 95% utilizaban el gestor de contenidos WordPress. Los investigadores de la empresa aún no han determinado cómo se hackearon los sitios web, pero sospechan que tiene que ver con los plugins que utiliza este gestor de contenidos. De momento el 17% de todas estas webs ya han sido bloqueadas por un servicio de Google que se encarga de advertir a los usuarios que están visitando página conmalware.

En Sucuri han llamado a esta campaña VisitorTracker, y por ahora parece que se va a tardar una buena temporada en contenerla.

Fuente:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Mohamed M. Fouad, un investigador independiente de Egipto, descubrió dos vulnerabilidades en el sitio de Starbucks que dejaban potencialmente expuesta la información personal y bancaria de sus millones de usuarios.

Según su análisis, la explotación permitía a atacantes forzar a las víctimas a cambiar sus contraseñas, añadir direcciones de correo alternativas, cambiar ajustes o robarles tarjetas de crédito asociadas a las cuentas. Además de lanzar campañas de phishing, los atacantes podían lograr la ejecución remota de código en los servidores de Starbucks.

Luego de que saliera a la luz el problema de las tarjetas de consumo asociadas a cuentas bancarias que se usaban para robar dinero, la compañía anunció un programa de recompensas. Fue entonces cuando Mohamed M. Fouad puso manos a la obra y encontró las siguientes vulnerabilidades:

1. Vulnerabilidad de Inclusión Remota de Archivos (Remote File Inclusion O RFI)

Permite inyectar un archivo desde cualquier ubicación en la página atacada e incluirlo como código fuente. Explotando esta vulnerabilidad, Fouad pudo ejecutar código en el servidor del sitio de Starbucks, ejecutar código como JavaScript en el lado del cliente, lo que puede permitir otros ataques como Cross-Site Scripting (XSS), y finalmente robar y manipular datos a través de ataques de phishing.

Con ellos, era posible robar información de las cuentas de los usuarios registrados, incluyendo sus órdenes de pago y datos de tarjeta de crédito.

2. Vulnerabilidad Cross Site Request Forgery (CSRF)

Aprovechándose de ella, un atacante podría enviar un enlace malicioso para forzar a la víctima a cambiar información de la cuenta, como su contraseña. Así, podría tomarse el control del perfil y acceder a los datos bancarios asociados.

Una vulnerabilidad CSRF consiste en una falsificación de petición en sitios cruzados, es decir, un ataque que fuerza al navegador web de su víctima, validado en algún servicio (como por ejemplo correo o home banking, aunque en este caso es Starbucks) a enviar una petición a una aplicación web vulnerable.

Como prueba de concepto, Fouad publicó un video explicando su descubrimiento. El 29 de junio lo reportó a Starbucks, pero todavía no recibió respuesta.

Sin embargo, el US-CERT sí contestó obrando de intermediario, confirmando ambas vulnerabilidades y pidiéndole que esperara noticias de Starbucks en relación al pago de su recompensa.

Fuente:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login