Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

viernes, 11 de enero de 2008

HTTPS: ESA FALSA SENSACIÓN DE SEGURIDAD
Actualmente la web se utiliza para presentar información de empresas, productos y como plataforma para transacciones de negocios y luego tenemos la denominada web social con todos sus peligros ya conocidos.

Muchas de las reglas básicas de seguridad a la hora de realizar operaciones en Internet, recomiendan que la página web que estemos visitando, empiece por https. Hace tiempo que esta afirmación ya dejo de ser cierta.

HTTPS, es un protocolo que utiliza SSL para transportar los mensajes HTTP, todo entre la comunicación cliente y servidor va cifrado por ello que las viejas técnicas de sniffing ya no nos sirven para estos casos. A medida que avanza el tiempo, la tecnología evoluciona y consecuentemente las amenazas de seguridad tambien. Es por ello, que existen proyectos para explicar y clasificar las diferentes amenazas a la seguridad de los sitios web.

Una de las amenazas descrita en el proyecto de webappsec, es XSS, si bien ya tiene bastantes años, son innumerables los sitios que actualmente son vulnerables a ella, quizá sin percatarse de las posibles consecuencias o ignorándolas arriesgadamente. Existen sitios como xssed que las recopilan diariamente. Pero lo que ha ocurrido recientemente en Italia, tendría que activarnos un resorte de alerta y concienciación.

Phising, XSS, botnets, debilidad inherente al ser humano (parte cliente donde los datos aún están en claro), son ya muchas las amenazas y debilidades lo que hace que simplemente porque una página tenga https:// ya podamos confiar en ella. No ignoremos los peligros que existen a pesar de ello.
Como en aquella famosa canción original de Cole Porter, "Use your mentality,
wake up to reality." Tenemos que adaptarnos a los tiempos actuales con todo lo que ello conlleva, pero al menos que no nos cojan desprevenidos.

Fuente: http://blog.s21sec.com/2008/01/https-esa-falsa-sensacin-de-seguridad.html

Ver más

IMPRESIÓN DE SPAM A TRAVÉS DE SITIOS WEB MALICIOSOS
La nueva técnica ha sido publicada por Aaron Weaver y bautizada como Cross Site Printing. Se basa en lanzar un trabajo de impresión desde una página web, aprovechando una funcionalidad poco conocida de los navegadores y la capacidad de escuchar el puerto 9100 de muchas impresoras de red. El ataque se inicia desde una página web maliciosa, o bien desde una que sufre una vulnerabilidad de Cross Site Scripting (XSS), a través de la cual el atacante inyecta código javascript en el navegador de sus visitantes.

El usuario particular puede sentirse a salvo porque sólo resultan afectadas impresoras de red y no las impresoras locales conectadas directamente al PC, pero las impresoras compartidas de empresas, organismos y oficinas están en peligro. De momento sólo pueden imprimirse textos sencillos en ASCII y Postscript, pero las perspectivas futuras pueden ser preocupantes: envío de comandos o faxes, control de la impresora por un intruso, etc...

Tanto Firefox como Explorer son vulnerables, si bien en Mozilla ya han manifestado que no existe inconveniente en añadir el puerto 9100 a la lista negra de puertos bloqueados en Firefox.

Fuente:
http://www.kriptopolis.org/spam-en-impresoras-de-red
http://www.pcworld.com/article/id,141239-pg,1/article.html
http://www.net-security.org/dl/articles/CrossSitePrinting.pdf

Ver más

ROBO DE IDENTIDAD: UN PROBLEMA REAL
Un cartonero figura en el Veraz por "deudas de otros"

Vive en una humilde casa de Rosario. Para el Banco Central es "deudor irrecuperable".

Un aparente robo de identidad ha convertido en pesadilla la vida de Guillermo Hassan, dedicado a recolectar cartones desde que en 2004 perdió su empleo como personal de limpieza en un hospital de Rosario. Con 43 años y tres hijos a cargo, el hombre relata a Clarín su calvario que lo llevó a acumular una gran deuda —de acuerdo a un informe del Veraz que exhibe— con bancos que, jura, jamás conoció y tarjetas que no utilizó.

El Banco Central lo ubica en la categoría de deudor irrecuperable, y actualmente acumula deuda por 35.800 pesos con Renova, Macro Bansud y tarjeta Naranja.

Los problemas de Hassan comenzaron en abril de 2000. Una cédula lo notificaba sobre una deuda impaga con el Amro Bank por 6.680 dólares. Las intimaciones se multiplicaron: sucursales bancarias de Capital Federal, un lugar que nunca visitó, reclamaban por 150 cheques emitidos sin fondo, tarjetas de crédito impagas y cajas de ahorro vaciadas.

El hombre tiene una copia de la apertura de cuenta del Amro Bank, que tiene todos sus datos: el mismo nombre, idéntico número de documento, igual identificación de CUIL. Apenas se consignaban referencias inexactas en la identificación de sus padres y en la residencia permanente. El supuesto estafador apuntó un domicilio de Capital, donde tiempo después ya no vivía nadie.

Aunque tomaron sus datos, Hassan aclara que jamás perdió su Documento Nacional de Identidad. Es más, muestra el original con su foto de 18 años. Ahora pide ayuda porque ni siquiera puede afrontar los honorarios de un abogado ni el viaje a Buenos Aires, donde está radicada su causa.

"¿Cómo a un simple obrero lo van a habilitar para gastar semejante cantidad de plata?", se pregunta Hassan, preocupado ante la posibilidad de perder su única posesión material: la modesta vivienda en la que vive junto a su familia y en la que acopia cartones para seguir subsistiendo.

Fuente: http://www.clarin.com/diario/2006/09/09/sociedad/s-05403.htm

Ver más

FOTOLOGS Y LA RESPONSABILIDAD DE LO QUE SUBIMOS
Luego de un merecido descanso de la web y todo lo que ella implica, me propongo arrancar otra vez con este humilde blog. Esta vez analizando brevemente un fenómeno que se da entre nuestros adolescentes: los fotologs.

Se puede decir que, "si algo está en Internet, está gratis para todo el mundo". Pero ¿está realmente para todos? No hace falta ser muy inteligente para darse cuenta que no es así. Ahora si lo que nosotros subimos a la red está para nuestros amigos, nuestros familiares, nuestros conocidos; los familiares, amigos y conocidos de nuestros amigos; y los familiares, amigos y conocidos de nuestros conocidos; ¿no podemos decir que está gratis para todo nuestro mundo? Si está para nuestro entorno ¿no podemos llegar a pensar que está para todos?

Pero ¿por qué planteo esto? La proliferación de los blogs en general y en particular de los fotoweblogs o fotologs, ha hecho que muchísima gente, en su mayoría adolescentes, suban a la red cantidades incalculables de fotos, que quedan a disposición de "nuestro mundo conectado" (1). Ya no importa si son nuestros cinco amigos/amigas las que las ven, o si es el curso entero (unos 40 compañeros) los que verán las fotos que subimos, se trata de miles y miles de personas que podrán eventualmente llegar a nuestro fotolog y ver lo que era para cinco (2).

Es tan facil abrir un fotolog que miles de adolescentes lo hacen a diario. Lo utilizan como una forma de "escrachar" a su "enemigo casual" o para compartir alguna foto que pocos conocen. También "escracho" significa algo así como "mamarracho", pero no se si ese es el sentido que le quieren dar. Veamos los nombres que utilizan:


Los fotologs vienen arrasando entre la juventud y nuestros adolescentes, esperemos que también crezca la responsabilidad que implica "subir" algo (una foto) a la red de redes. Me quedo pensado si somos más responsables de lo que subimos a la red, o de lo que bajamos de ella... es una duda, nada más.

Fuente: http://seguridadtotal.blogspot.com/2008/01/fotologs-y-la-responsabilidad-de-lo-que.html

Ver más