Posts Tagged ‘ seguridad ’

0
17
Oct

Bloqueo de componentes de Microsoft en Firefox

No hace ni media hora que, mientras navegaba, Firefox me ha abierto una ventanita alertándome de que tengo instalados un par de componentes muy peligrosos. Tales componentes no son otros que:

  • Microsoft -NET Framework Assistant 1.1
  • Windows Presentation Foundation 3.5.[...]

Separador

Nunca me había encontrado con una ventana parecida en Firefox, puesto que normalmente Mozilla arregla los problemas publicando actualizaciones nuevas de Software que arreglan los bugs que se conocen hasta la fecha y santas pascuas.

Peligro_MS_Firefox
Clic para ampliar

Como se me hacia raro, le di al botón de “más información”. Se me abrió una nueva ventana de Firefox, hacia la dirección https://es-es.www.mozilla.com/es-ES/blocklist/, pero par ami sorpresa el certificaodo de seguridad no era válido. Fallo importante por parte de mozilla.

Peligro_MS_Firefox_2
clic para ampliar

Verifiqué que la URL fuera de mozilla (que no fuera un caso de phising) y añadí la excepción para poder ver que es lo que pasaba. Empezaba a preocuparme ya el asunto.

Terminé redireccionado a esta página: https://www.mozilla.com/en-US/blocklist/, donde aparecen una serie de componentes que han sido bloqueados y los bugs que provocan que sean inseguros. En el último punto de la lista aparecían los componentes de que se me alertaba a mi:

  • Microsoft .NET Framework Assistant and Windows Presentation Foundation, all versions, for all applications. Reason: remote code execution vulnerability (see bug 522777).

Si hacen clic en el enlace del bug anterior, como pueden observar ahí dice que está “VERIFIED FIXED“, que según mozilla, eso significa que lo arreglaron y han verificado que la solución funciona. Llegados a este punto uno solo puede decir:

WTF?

Peligro_MS_Firefox_3
clic para ampliar

Si el asunto está solucionado, ¿porque me dice que tengo que bloquear esos componentes?

En fin, llegados a este punto no tengo más remedio que bloquearlos y esperar más noticias del tema pare decidir el que. Además, el sistema de actualización de Mozilla es bastante rápido, no se porque esta vez optaron por bloquear los componentes y punto. Yo no he actualizado esos componentes recientemente ni nada, así que si cabe, aún es más sospechoso… :???:

Update (2009-10-17 00:16:05+02:00)”>

Acabo de averiguar lo ocurrido desde menéame:

La compañía que desarrolla el popular navegador Firefox acababa de recibir una actualización en uno de sus plugins, .NET de Microsoft, que hacía que el mismo pudiera ser vulnerable a bastantes ataques, por ello lo han bloqueado. La extensión se instalaba sin siquiera preguntar al usuario, junto con el último pack de actualizaciones que Microsoft lanzó el pasado martes, y lo más curioso es que la aplicación no permitía ni ser desinstalada ni desactivada manualmente. De ahí la medida tomada.

0
19
Apr

Escaramuzas cibernéticas a nuestras espaldas

Servidor

Seguro que muchos de vosotros habréis odio de lo vulnerable que es el sistema de DNS en que se basa la interconectividad de toda Internet. Personalmente no conocía en detalle el funcionamiento de los DNS, pero encuentro inconcebible que todo Internet dependa en casi su totalidad de 13 servidores raíz.

El tema es que muchas veces ocurren cosas como ataques DDoS a estos servidores raíz, que, en mi opinión, merecen aparecer en primeras portadas de todo periódico que se precie.

Link: El día en que Internet fue atacada.
Vía: Menéame.

Separador

0
4
Feb

Sistemas antirrobo de baja tecnología

Sistema anti robo 1

Sistema Anti robo 2

Sistema Anti robo 3

Sistema Anti robo 4

Sistema Anti robo 5

Claro que también puedes echar el ancla…

Sistema Anti robo 6

Antes:

Antes

Después:

Después

:lol: :lol:

12
28
Mar

Mierda, tengo una brecha de seguridad!

OH no!! ¡¡Tengo un infiltrado! Que cunda el pánico!!!

The Parrot™ stealz passwordz!!

Gracias _Conejo y EmiR

4
17
Nov

Una nueva forma de ingeniería social

A veces, cuando hablamos de ingeniería social, lo que se piensa es que hay una persona en el otro lado del teléfono/ordenador tratando de conseguir nuestros contraseñas para obtener acceso no autorizado a nuestras cuentas. Cuando estos datos está en sus manos, se extiende el pánico: la intrusión de las empresas, el espionaje, el robo de identidad… todos los objetivos clásicos de este tipo de ataques.

Pero no nos olvidemos de la causa subyacente de la ingeniería social. La siguiente definición, que creo que es la esencia de esta:

El arte y la ciencia de conseguir que la gente cumpla tus deseos

Bajo la premisa de este pensamiento, se puede ver una nueva forma de aplicar este concepto. Es muy sencillo. Uno recibe una pequeña aplicación en el escritorio que muestra una mujer ofreciéndo un striptease.

Melissa

¿Cómo se puede quitar la ropa de esta mujer? Simplemente escribiendo un par de letras que aparecen junto a la niña como podemos ver en la siguiente imagen:

Melissa

Melissa

Hmmm, ¿puede reconocer este tipo de imagen? Sí, es una imagen captcha (Completely Automated Public Turing Test to Tell Computers and Humans Apart [Prueba de Turing pública y automática para diferenciar a máquinas y humanos). Ahora, mírate, eres un lector automatizado de estas captchas. Si escribes la interpretación correcta de la imagen, estas enviando la información necesaria para romper la protección de un sitio objetivo de un bot. Este ataque podría ser utilizado para crear cuentas de correo masivas, para publicar comentarios… para todos los servicios que utilizan captchas para la autenticación de una persona en lugar de un ordenador. En este caso particular, las letras cifradas son de Yahoo.

Como funciona

Fuente: Un ejemplo de aplicación de este lado del cliente fue detectado en PandaLabs como Trj / RompeCaptchas.A (Así, en castellano)