Se me va la pinza

Para responder, y para aquellos que aun no lo vean claro, únicamente os copio y pego un extracto de un artículo de Chema Alonso en su blog [1]

"... Hoy en día se están poniendo 'de moda' nuevas formas de infectar máquinas. En una de estas nuevas modalidades se buscan sitios legítimos que tiene fallos de SQL Injection en la aplicación aplicación web. En el caso de tecnologías de Spectra, buscan cosas como .asp?id= en Google, después prueban a saco todas esas urls pero añadiendo un bonito script en Transact-SQL que actualiza los datos alfanumericos de la base de datos con un include de javascript para meter un .js de un sítio ilegítimo que detecta la versión del navegador y regala al usuarios los exploits más chulos y que más se llevan para meterle un troyanito. Si cuela dabuti, si no a por el siguiente de la lista. La forma es bruta, pero funcionan. Así el ataque mezcla Google Hacking, SQL Injection, XSS, vulnerabilidades en navegadores y tecnología de troyanos. Toda una fiesta para el paladar...."

[1] http://elladodelmal.blogspot.com/2008/06/las-vacunas.html

Voy a hablar sin haberlo probado pero algo he leido sobre el tema ([1], [2], [3] y [4]) pero creo que IE7 no cumple lo que dice. Con el slogan Te hemos escuchado, lo querías más sencillo y más seguro nos venden la moto de que han adaptado su navegador a lo que el usuario necesita.

[ más.. ]

'No sé cómo' ha llegado a mis manos esta web [1] y ha despertado mi lado friki.

En esto de los ordenadores, internet y demás cosas varias, lo que más me atrae es el tema de la seguridad informática. Cuando tengo tiempo, que no suele ser tan a menudo como quisiera, me gusta perderme por en este mundillo y leer (muy a mi pesar, me quedo sólo en la lectura ).

[ más.. ]

Ayer, leyendo en el foro de Wadalbertia me encontré con un post sobre ocultación de unidades de disco. En él aparecía el nombre de TrueCrypt, como solución del problema que se planteaba, y decidí probarlo.

[ más.. ]

Esta noticia está dedicada especialmente a esa comunidad de frikies, porque todos los somos en mayor o menor medida , de la informática que, sin saber cómo, nos vemos metidos en mil arreglos de ordenadores: programas que no tiran, ordenadores que se niegan a arrancar, etc.

[ más.. ]

Os cuento,

ayer por la noche mi hermano me comentó que, según había oido en el trabajo, alguno de los nuevos strong>servidores Razorback que circulan por las lista de servidores del Emule son falsos.

La noticia no es que me alarmara (eran casi la una de la mañana y ya no tenía cuerpo para muchos sustos) pero si que me dejó algo mosqueado. Así que hoy, al llegar al curro, se lo he comentado a los compañeros pero no lo tenían muy claro (algunos decía haber oido algo al respecto pero nada fijo).

Preguntando a Mr Google encontré varias cosas sobre el tema .... [sigue leyendo]

[ más.. ]

Para aquellos que no sepáis que es el PortKnocking os diré que es una método extra para controlar el acceso a servicios 'importantes' de máquinas remotas.

En esencia lo que hace es crear una capa extra de protección, por fuera del Firewall, de modo que controlando las peticiones de conexión que se hacen al servidor, en qué puertos se hacen y en qué orden puede, o no, permitir una conexión a un cliente determinado. Si el cliente se intenta conectar a unos determinados puertos en una secuencia, conocida por el servidor, y da una usuario y contraseña adecuado el demonio de PortKnocking abre un puerto aleatorio y permite al cliente usarle para conectarse a él.

Si estáis interesados podéis leer el documento Portknocking para Windows: Instalación de sig2knock en dos formatos:

• en HTML
• en PDF

Espero que os resulte interesante

Acabo de leer en Kriptópolis que se ha anunciado una nueva vulnerabilidad de Firefox, versión 1.0.7 incluida, que provoca el cuelgue del navegador al visitar una página web con un código determinado. ¿Y cual es ese código 'malicioso'? Pues no es ni más ni menos que incluir las etiquetas strong y sourcetext sin cerrar en el código de la web. Para los más vagos, aquí tenéis este enlace donde comprobar el cuelgue de Firefox. ¡Ojo! si pinchas en el enlace se te cuelga el navegador, luego no digas que no te lo hemos avisado A pesar de este 'fallo' de los chicos de Firefox seguiremos con ellos Ah! para los que tengan la versión 1.5 beta 2 les diré que este bug no funciona

Hoy a llegado a mis manos la Segunda edición del 'Google Hacks' de la editorial O'Reilly. Lo he estado mirando (poco porque aunque parezca mentira ahora mismo estoy en el curro) y parece que la cosa promete.

Ya me había bajado antes la primera edición y le había mirado por encima, haciendo las típicas búsquedas de contraseñas . A ver si con esta nueva versión consigo ponerme un rato más largo y saco algo en claro.

Si queréis ver ejemplos prácticos, además de algo de teoría, podéis ir a esta web

Esto lo dicen los chicos de Symantec, que tras repetir el análisis 8 veces dictaminan que IE tiene menos avisos de fallos de seguridad que los navegadores de Mozilla.
Si esto es cierto, por qué la cantidad de usuarios que optan por Firefox, o Mozilla, han aumentado tanto en este tiempo. Por qué, si IE es tan seguro, Firefox, Opera y demás navegadores de terceros siguen aumentando su cuota de mercado. A lo mejor es porque IE no es 'tan seguro' como quieren hacer ver, quizás IE está donde está porque viene instalado de serie en los Windows y este favorece su uso precargandolo al arrancar.
Puede ser que millones de personas en el mundo estemos equivocadas ... o no!

Fuente: Barrapunto