Michal Zalewski vuelve a hacer de las suyas. Ha descubierto y publicado cuatro vulnerabilidades que se reparten por igual entre los dos navegadores más usados del momento: Internet Explorer y Mozilla Firefox. * El primer fallo se debe a un problema con los IFRAMES en Firefox. El navegador permite por error que páginas arbitrarias reemplacen los IFRAME de webs a través del método document.write(). El problema parecía resuelto hace un año, pero se ha descubierto un nuevo vector de ataque a través de about:blank que permite su explotación. La consecuencia directa es que, por ejemplo, se podría modificar el contenido de una página legítima (un ataque muy "apropiado" para el phishing) o incluso (y esto se demuestra en la prueba de concepto programada por Zalewski) interceptar las pulsaciones de teclas cuando la víctima visita una página legítima. * La mayoría de los navegadores modernos deshabilitan los botones de "aceptar" de los cuadros de diálogo durante unos segundos cuando se va a descargar algo, para que el usuario no actúe por instinto y ejecute demasiado rápido lo que no debe. Firefox comete un error a la hora de trabajar con el temporizador que inhabilita el botón de "Aceptar", de forma que es posible saltarse esta medida e incluso ejecutar lo descargado sin intervención del usuario. Además, este fallo permite visualizar ficheros locales e incluso se podrían enviar a través de la red. * Zalewski también ha encontrado errores en Internet Explorer. Existe una condición de carrera cuando, a través de código JavaScript, se navega hacia otra página. Se trata de un intervalo de tiempo (cuya duración depende de muchos factores) durante el cual, el código JavaScript podría realizar cualquier acción que se le permitiese sobre la página que se abandona, pero actuando sobre el contenido de la nueva página. Esto da pie una serie de ataques que, según la imaginación del atacante, podrían permitir desde el robo de credenciales hasta la ejecución de código arbitrario. Para Zalewski, esta condición de carrera echa por tierra todo el sistema de seguridad del navegador. * En Internet Explorer 6 (y sólo en esta versión) se puede falsificar la URL a través de un error similar en cierta manera al problema encontrado hace unos meses con el método onUnload. Esto también resulta un ataque muy "apropiado" para el phishing. Por si fuese poco, se acaba de conocer que Firefox tampoco ha reparado en su última versión (2.0.0.4) un fallo que permitía a un atacante tener cierto acceso a ficheros locales. En Linux y Mac OS el problema sigue ahí tal cual. En Windows, con la nueva versión, se limitó el ataque al directorio de instalación del navegador, pero se han abierto nuevos vectores de ataque que lo siguen manteniendo vulnerable. Zalewski ha publicado todas las pruebas de concepto en su página, explicando el problema y demostrando las vulnerabilidades. Una vez más, vuelve a publicar los detalles de los fallos en listas especializadas sin tapujos. Desde hace tiempo, este polaco se ha convertido en el azote de la seguridad en los navegadores, demostrando en especial que Firefox sufre problemas de seguridad que en muchas ocasiones no son reparados o parcheados por completo. También se centra en Internet Explorer, aunque parece que en menor medida hasta ahora. En una de las páginas de su web, deja entrever que Opera, Safari o Konqueror no le interesan lo más mínimo, pues ni siquiera se ha molestado en comprobar que puedan llegar a ser vulnerables o no a estos errores. Los dos navegadores más usados, siguen siendo aí vulnerables a problemas serios con graves consecuencias. Si se utilizan conviene aprovechar las zonas de Internet Explorer para navegar sin ejecución de JavaScript por defecto, o la extensiones de Firefox para conseguir el mismo efecto. Por supuesto, también es imprescindible evitar las cuentas de administrador o root para ejecutar el navegador. Estas medidas son además aplicables a los usuarios de otros navegadores, pues el hecho de no estar en el punto de mira no impide que sean más o menos vulnerables.
HOYGAN u HOIGAN es un neologismo nacido en Internet con el que algunos describen de forma paródica a los usuarios que, por descuido o por presumible bajo nivel cultural, escriben en los foros con multitud de faltas de ortografía. Además de los errores ortográficos y gramaticales, escriben a menudo para pedir cosas imposibles, para solicitar regalos que nadie les va a enviar o para que les presten algún tipo de ayuda. Aunque naturalmente hay usuarios del tipo HOYGAN en todas partes, el nombre “hoygan” en vez de “hoye” se debe a que son a los hispanoamericanos a los que más se les atribuye este adjetivo, pues usan ustedes en vez de vosotros. Ejemplos ACA un meneame de hoygans, donde los bloggers o admins de foros publican los mejores HOYGANS de sus sitios. Visto en la gran T! Podrá Lukas hacer su aporte de hoygans??
Se les rompió el disco rígido y necesitan los datos de nuevo? Miren esto: http://www.videos-star.com/watch.php?video=NA28zXo5e6I
El amigo Bill dice que encontró la solución al SPAM: Estos dias Bill Gates ha anunciado que en dos años habrá acabado con el SPAM. ¿Como? estableciendo un sistema de penalizaciones en el correo; la idea es que el receptor de un email pueda, si lo desea, pasarle un cargo quien le ha enviado dicho mensaje; evidentemente, se parte de la base de que nadie le va a pasarle el cargo a las personas con las que mantiene una relación, asi que esto solo afectara a quien envié correo basura. Esta es la teoría, pero, ¿Que pasará en la práctica? De entrada, el primer problema será poner en marcha la infraestructura necesaria para poder cobrar por el correo, así como realizar las actualizaciones pertinentes en todos los programas lectores; algo que no va a ser nada facil y que dudo mucho que pueda realizarse en tan poco tiempo. Sin embargo, existe un problema mucho mas grave, y es que este sistema supone abrir la puerta al fraude. Pondremos un ejemplo práctico; supongamos que doy de alta 100 cuentas email, y cada cuenta la suscribo a 100 listas de correo; luego, una vez que reciba los primeros mensajes de esas listas, los marco como correo no deseado para cobrar las correspondientes penalizaciones; 100 listas de correo x 100 emails = 10.000 emails en total que recibire; si la penalización por cada email rechazado es de 10 centavos de dólar, entonces resulta que habré ganado 1.000 dólares. Evidentemente, se puede alegar que el trabajo de dar todo eso de alta son muchas horas, pero si hacemos el calculo, la ganancia por hora puede ser razonable; es mas, si este sistema se implanta, ¿Cuanto tiempo tardaran en salir programas que automaticen este proceso? De todas formas, esta no es la única posibilidad de fraude; supongamos que tenemos un competidor comercial al que queremos perjudicar; supongamos además que ese competidor tiene una lista de correo para informar a sus clientes; todo lo que tenemos que hacer es ir dando de alta en su lista todos los emails que podamos, y a medida que vayamos recibiendo mensajes, irles cargando las penalizaciones. No hace falta coger la calculadora para darse cuenta de que le podemos causar un perjuicio económico enorme. ¿Como proteger a los titulares de cuentas de correo contra este tipo de fraude? Desgraciadamente, la única forma es establecer unos protocolos de notificación, para que el usuario certifique que el correo que va a recibir es correo aceptado; esto supondrá convertir la suscripción a una lista o pedir información a una empresa en un complicado trámite burocrático, lo que conducirá a que, en el mejor de los casos, las listas de correo solo acepten suscriptores de servidores que no utilicen el sistema de penalizaciones, y en el peor, a que el correo se deje de usar como medio de difusión. En resumen, si el SPAM es la enfermedad que afecta al correo electrónico, la solución que propone Bill Gates puede ser el tiro de gracia que finalmente lo mate. ¿Que tul?
Ni los autos se salvan ya: Los sistemas de navegación por satélite en los automóviles pueden ser secuestrados a distancia con relativa facilidad, lo que permitiría a eventuales hackers dar indicaciones falsas a los conductores, advirtieron expertos en una conferencia en Las Vegas. Andrea Barisani y Daniele Bianco, del sitio ´web´ Inverse Path, demostraron el jueves cómo las antenas y un remiendo de aparatos electrónicos comunes pueden ser utilizados para reemplazar con instrucciones falsas el legítimo tráfico de información transmitido por radio a los sistemas. La herramienta inventada por estos expositores funciona con los artefactos ´SatNav´ estándar en Europa, cada vez más comunes en América del Norte y que deben comenzar a utilizarse este año en Australia, dijo Barisani a la conferencia de especialistas en seguridad Black Hat. "Si nosotros podemos hacerlo, cualquiera puede", dijo Barisani mientras ensamblaba junto a Bianco el sistema para mostrarlo en el seminario. Mientras los sistemas de navegación muestran rutas utilizando mapas almacenados y satélites, el sistema recibe constantemente actualizaciones sobre accidentes de tráfico, cierres de calles u otras condiciones que podrían llevar a modificar la ruta. La información actualizada es enviada en códigos informáticos en frecuencias de radio FM, a veces compartiendo las longitudes de onda con programas de radio. El artefacto pirata puede olfatear y reemplazar los datos legítimos en los canales existentes o crear informes falsos en frecuencias no utilizadas, según Barisani. Los sistemas de navegación de automóviles están constantemente buscando canales de información, descargando datos sobre el tráfico, el clima y los problemas en las rutas. "Se puede minar toda la autopista, enviando alertas de bombas, accidentes aéreos e incidentes terroristas sin fin: la tercera guerra mundial en la autopista", dijo el experto italiano. Los resultados del experimento fueron enviados al canal de mensajes sobre el tráfico en Europa, que respondió manifestando su confianza en las protecciones de los sistemas. "El problema es que la gente confía implícitamente en estas cosas", dijo Barisani. Fuente: http://www.rosario3.com/tecnologia/noticias.aspx?idNot=16532