Categoría: Seguridad

Apple MacBook Air hackeado en 2 minutos

En un artículo aparecido ayer en InformationWeek, se informa que en un concurso llamado CanSecWest, llevado acabo la semana que termina, en Vancouver (British Columbia, Canada). Un grupo de evaluadores de seguridad informática llamados Independent Security Evaluator, consiguió tener control de una MacBook Air, haciendo uso de una vulnerabilidad recientemente descubierta en el navegador Safati 3.1.

En el concurso se trató de hackear estas tres laptops: Apple MacBook Air corriendo el OS X 10.5.2, una Sony Vaio VGN-TZ37CN corriendo el Ubuntu 7.10, y una Fujitsu U810 corriendo el Windows Vista Ultimate SP1.

El primer día, cuando los ataques estaban limitados a sólo el uso de vulnerabilidades del sistema operativo de manera remota, ninguno de los tres sistemas pudo ser comprometido. La sorpresa vino al segundo día (el jueves pasado 27 de marzo), cuando se permitió el uso de aplicaciones que vienen instaladas con el sistema operativo. Es alli cuando Charlie Miller, Jake Honoroff, y Mark Daniel, se hicieron del premio de U.S.$ 10,000 por haber conseguido hackear la MacBook Air.

Apple no ha hecho mayores comentario sobre el asunto, y se sabe que está trabajando en un parche para reparar el problema. Tampoco se han hecho públicos los detalles de cómo la vulnerabilidad fue explotada por el equipo de evaluadores de seguridad.

Publicado el por volkan68 0

¿Es posible reparar la web?

En un artículo parecido el día de hoy (20 de marzo), en ITManagment, se comenta el interesante punto de vista de Douglas Crockford, el creador de JSON (JavaScript Object Notation), Crockford se desempeña como Arquitecto Javascript Senior en Yahoo!, y esta convencido de que la web como la conocemos está mal.

Durante un discurso de apertura en AjaxWorld conferencia en New York, Crockford lanzó una polémica opinión contra de la Web como la conocemos en la actualidad. "La cuestión no es si deberíamos reparar la web, sino ¿podemos hacerlo?", Crockford le pregunto al nutrido grupo que llenaba las instalaciones. "El navegador no era la mejor tecnología, cuando se introdujo. El navegador se diseñó como una plataforma para presentar documentos, no como una plataforma para correr aplicaciones."

Crockford argumentó que los navegadores no fueron diseñados para hacer todo ‘todas las cosas que hace Ajax " y el hecho de que Ajax funcione es porque la gente encuentra maneras de hacer Ajax resuelva los problemas a pesar de sus limitaciones. Ésto hace que el desarrollo con Ajax sea innecesariamente difícil hoy en día, y ese es su mayor problema.

"El problema número uno de la web es la seguridad", declaró Crockford. "El navegador no es un entorno de programación seguro. Es inherentemente inseguro". No podría estar más de acuerdo de Crockford, sin embargo no tenemos una mejor alternativa a la vista.

Parte del problema dice Crockford es lo que él denomina el "problema Turducken". Crockford acuño esta palabra mezclando Turkey (pavo) con Duck (pato), para hacer referencia a que se trataba de rellenar el pavo con pato, aludiendo al hecho de que en la web de hoy en día existen varios lenguajes que son anidados uno dentro de otro como es el caso del HTTP, HTML, CSS, JavaScript, XML, y que estas mezclas exóticas son las que conducen a los problemas.

Crockford dijo además: "Un código que es benigno en un contexto puede ser peligrosa en otro. Descubrir éstos errores es difícil.", además acotó que esto no es un problema inherente de la web 2.0, que estos problemas estan presentes desde la aparición del Netscape 2.0 en 1995, sólo que la razón de que ahora escuchemos muchos más reportes de vulnerabilidades en la web, sobre todo en páginas con Ajax es debido al hecho de que los desarrolladores que hacen uso del mismo están usando más scripts que antes.

Los problemas de seguridad en la web estan basados básicamente en tres temas claves: JavaScript, DOM (document object model) y Cookies (galletas).

Crockford explicó: "Los objetos globales en JavaScript son la razón principal de los ataques XSS (Cross Site Scripting), donde todos los scripts corren con el mismo nivel de autoridad".

El problema con el DOM, por definición, es que todos los nodos por definición estan linkeados a todos los otros nodos de la red, lo cuál es un modelo claramente inseguro.

En relación a las Cookies, Crockford explicó que el uso erroneo que se hace de ellas como tokens para validar usuarios, es un problema también. ¿Por qué?, pues ésto expone a los web sites a solicitudes fraguadas.

"Si hay más de dos fuentes desde donde se pueden ejecutar los scripts, la aplicación no es segura y punto.", dijo Crockford en referencia a los populares mashups de la Web 2.0. Crockford recomienda que las aplicaciones desarrolladas como mushups no tengan acceso a información confidencial por su naturaleza insegura.

Finalmente Crockford dijo que existen algunas formas de ayudar a hacer Ajax más seguro. Entre ellas se encuentra el JSLint una inicitativa de validador de código que ayuda a eliminar los elementos inseguros de JavaScript. Crockford señaló que Google también está trabajando en una iniciativa similar con los proyectos Caja y Cajita.

Publicado el por volkan68 0

200,000 servidores web hackeados

En el portal de noticias tecnológicas ITNews, se da cuenta del hecho de que más de 200,000 servidores web han sido hackeados y son usados para distribuir malware.  El problema ha sido dado a conocer por los investigadores de McAfee, y al parecer la mayoría de sitios web infectados son phpBB (un conocido programa para forums). El ataque se basa en el clásico XSS (Cross Site Script), que usando un JavaScript inyectado en el foro trata de engañar al usuario para que instale el malware.

Aunque un ataque masivo que afectara el jueves pasado a 10,000 servidores web, tambien reportado por ITNews, aprovechaba una vulnetabilidad del lenguaje de scripting ASP, en el caso del hackeo de los 200,000 servidores ha sido debido a que no se sanitiza apropiadamente las entradas posteadas por los usuarios, de esa forma un atacante puede inyectar código JavaScript que al ser ejecutado en el browser del usuario lo lleva a un website comprometido desde donde se puede instalar malware en la computadora del usuario.

El experto Craig Schmugar, de McAfee, puntualizó en su blog, que mientras los ataques del jueves pasado eran debidos a exploits que aprovechaban vulnerabilidades no parchadas de servidores que hacen uso de ASP, en el caso del ataque masivo a phpBB, la técnica se basa principalmente en ingeniería social, osea engañar al usuario para que instale el mismo el malware.

Es importante sobre todo para aquellos que tenemos websites, no importa si estos son blogs, forums, o cualquier otro tipo de páginas web prestar constante atención a los logs, pues es alli donde descubriremos si alguien esta tratando de hacer algo no permitido.

Publicado el por volkan68 0

Los 10 password más comunes en Internet

En el blog, Colorful Mars, encontré una relación originalmente publicada por PC Magazine el 8 de mayo del 2007, según refiere Colorful Mars, aunque no pude encontrar la fuente original. Lo importante es en sí la lista de los 10 password más usados, si Ud. usa uno de estos, por favor cambielo inmediatamente.

Aquí la relación de los 10 passwords más usados, y por lo tanto fácilmente hackeables:

  1. password
  2. 123456
  3. qwerty
  4. abc123
  5. letmein
  6. monkey
  7. myspace1
  8. password1
  9. blink182
  10. (su primer nombre)

Esperemos que esta información les sea de utilidad y les ayude a reflexionar sobre la importacia de un buen password para proteger nuestra información, ya todos sabemos las recomendaciones básicas para escoger un buen password:

  • Una longitud mínima de 6 caracteres.
  • Incluir al menos una letra mayúscula.
  • Incluir al menos un número.
  • Incluir al menos un signo de puntuación.
  • No usar palabras del diccionario, ni nombres propios.
Publicado el por volkan68 0