RootDev@blog:~$

Las cookies de la web nada tienen que ver con las dulces galletas y tan sólo comparten el nombre. Son trazas de información que se generan a partir de la navegación que realizamos. Aparentemente inofensivas, estas trazas son una importante fuente de información para empresas de publicidad online, aplicaciones estadísticas, para el seguimiento de la actividad de alguien, segmentar usuarios y, en casos extremos, espiar a alguien y violar su privacidad. El abuso en la utilización de las cookies está llevando, por ejemplo, a la Unión Europea y a sus países miembros a aplicar una nueva regulación mucho más dura con las empresas de contenidos y que, de verdad, garantice la privacidad de los usuarios.
Vamos a intentar ilustrar cómo funcionan estas trazas y dónde reside esta problemática que tanto preocupa a usuarios y autoridades.

¿Qué son las cookies?

Las cookies son trazas de información que se almacenan en el disco duro de un usuario y que se generan mientras navega por la web, es decir, conforme se van realizando peticiones a los servidores web y que, posteriormente, pueden ser recuperadas por los servidores en posteriores visitas.
Estas trazas fueron una idea de Lou Montulli, un antiguo empleado de Netscape Communications, que vio que el protocolo HTTP no era capaz de mantener información, por ejemplo, la página de la que venía, las credenciales de sesión de un usuario o sus preferencias, algo que obligaba que estos datos fuesen incluidos en la URL (lo cual no era nada seguro) o guardar estas preferencias en algún archivo que pudiese ser enviado al servidor cuando hiciese falta.
La idea era mantener la sesión de los usuarios (usuario-contraseña, preferencias, etc), obtener información sobre la navegación de los usuarios (páginas visitadas, tiempo de navegación, página de entrada, página de salida, etc) pero, realmente, la aplicación original era el comercio electrónico porque, así, se podía mantener en la cesta de la compra los elementos que se habían seleccionado durante la navegación por la tienda virtual.

¿Para qué sirven?

En el mundo de la web las cookies se utilizan habitualmente para segmentar muy bien a los usuarios y ofrecer una respuesta personalizada:

• Identificación de usuarios, es decir, cookies de sesión que mantienen activa la sesión en un servicio web y que, por ejemplo, permite que no tengamos que introducir nuestro usuario y contraseña cada vez que entramos en Facebook (si no hemos hecho un logout). Además, gracias a esta identificación activa, muchos sitios web pueden presentarnos un entorno personalizado o adaptado a una configuración que hemos personalizado (por ejemplo iGoogle).
  
• Seguimiento de usuarios, es decir, un track que sirve para analizar la navegación que realiza un usuario, por ejemplo, para un análisis estadístico. Las cookies, en general, son el fundamento para herramientas de analítica web como Piwik o Google Analytics y ofrecen información de las páginas que hemos visitado, de dónde procedemos, la resolución de nuestra pantalla, el navegador o el sistema operativo que estamos utilizando.
  
• La Segmentación es otro de los usos derivados de las cookies y, por ejemplo, permite a las empresas de anuncios obtener información de las preferencias, navegación realizada o los sitios web visitados. Toda esta información puede procesarse y obtener una interesante segmentación de usuarios que permita optimizar el lanzamiento de campañas de publicidad online.
  

Falsos mitos

Visto así, podría pensarse que las cookies son peligrosas. Realmente no lo son, sin embargo, mal utilizadas sí que pueden obtener más información de la que debieran. Quizás por desconocimiento o por el halo de mala prensa que existe alrededor de ellas, alrededor de estas trazas existen una serie de creencias y falsos mitos que habría que despejar:

• Las cookies no son ningún tipo de malware ni tampoco pueden infectar los archivos de los usuarios, comprometerlos o borrarles los datos de sus discos duros.

Prácticamente, no hay semana en la que no hablemos de Anonymous, de algunas de acciones o de los intentos de los gobiernos por cazar a sus miembros. El colectivo, que ha logrado en menos de un año provocar dolores de cabeza a empresas y gobiernos, ha demostrado las carencias en la seguridad de muchas compañías y, por tanto, ha puesto sobre la mesa el problema de la seguridad de los datos de los usuarios. Cisco, que tiene una división de productos de seguridad, contactó con SparkyBlaze, un antiguo miembro del colectivo, y le ha realizado una entrevista bastante interesante.

A este hacker de 20 años y residente en Reino Unido, siempre le llamó la atención la seguridad informática y, tras su experiencia, quiere mudarse a Estados Unidos para estudiar Ciencias de la Computación y Hacking Ético. Desde su punto de vista, la despreocupación de usuarios y empresas por la seguridad es un verdadero problema que ha quedado demostrado en estos últimos meses:

Mucha gente no sabe lo que es el hacking, siguen usando las mismas contraseñas en todos los servicios y no utilizan ni antivirus ni firewalls. Para ellos, esas cosas son ajenas y quedan fuera de su instalación de Windows con Internet Explorer 7. Este es el problema de la gente hoy en día, no entienden la importancia de la seguridad. […] Las empresas no quieren gastarse ni dinero ni tiempo en seguridad porque no entienden su importancia. No cifran sus datos o no adquieren el software adecuado, el hardware o fichan a la gente adecuada para velar por su seguridad. El problema no está en el software o el hardware que se usa, está en la gente que lo utiliza. Hace falta enseñarle a las empresas la importancia de tener una buena política de seguridad.

Y es que no le falta razón, por desgracia, en muchas compañías aún falta el compromiso de la dirección para poder implantar una política real de seguridad que no se quede en un mero documento que permita obtener un sello de calidad y colgar un diploma. Los datos de las empresas son el mayor de sus activos y si los pierden, la continuidad del negocio peligra al igual que la imagen de nuestra empresa.

Creo que la ingeniería social es el mayor problema de hoy. Tenemos software y hardware para defendernos del malware, de la ejecución de código o de ataques DDoS. Pero alguien puede desactivar su firewall o entregarte su contraseña simplemente porque les digas que eres Greg, el del mantenimiento de ordenadores, que ha venido a probar una cosa a tu equipo. Todo se reduce a mentir, todo el mundo lo hace y hay gente que es muy buena en esto.

Según SparkyBlaze, las empresas deberían formar a sus empleados intensamente, estar al día de los ataques que se producen, implantar una política de seguridad y formar a sus administradores de sistemas, por ejemplo, dejándoles asistir al DefCon. Además, anima a los aficionados a la seguridad a dejar “el lado oscuro” y a que trabajen en la mejora de la seguridad de las empresas porque, además de ser legal, te pagan por ello.

Tan solo han pasado unos pocos días, para que Softperfect libere una nueva versión de NetWorx en concreto la versión  5.1.9, en la que se corrigen dos errores presentes en versiones anteriores (listado de cambios). NetWorx es un programa gratuito que permite  monitorizar la conexión a internet y las redes locales para poder detectar posibles problemas y medir la velocidad de nuestra conexión ADSL, cable, fibra óptica o banda ancha móvil entre otras más funciones interesantes.


NetWorx puede ejecutar de forma automática comandos como ping, netstat, traceroute, etc generando informes y estadísticas con todos los datos de monitorización, que se pueden importar a HTML, Word o Excel.

Networx es compatible  Windows 2000, 2003, 2008, XP, Vista y Windows 7 (32 y 64 bits )y cuenta con una versión portable.

Se puede descargar NetWorx 5.1.9 desde los siguientes enlaces:

Descarga NetWorx

Descarga NetWorx portable

Más información sobre NetWorx en su web oficial

Los operadores tradicionales han incrementado sus ofertas de contención de bajas con el objetivo de frenar las portabilidades a compañías más económicas. Hasta 20 llamadas puede recibir en un día un cliente que esté portando su número de teléfono.

En tiempos de crisis, las portabilidades móviles se han disparado hacia operadores Low Cost, también conocidos como OMV (Operadores móviles virtuales). Para frenar la pérdida de abonados, los grandes realizan contraofertas agresivas con el objetivo de convencer al usuario para que se quede en la compañía.

Hasta 20 llamadas

Ayer hicimos un cambio desde Movistar hacia la tarifa Pulpo Pepe de Pepephone y rápidamente el ex monopolio activó su política de retención de abonados. Dependiendo del consumo de la línea, la agresividad será mayor o menor, en el caso que relatamos a continuación se trata de un cliente sin permanencia y con un consumo promedio de 50 euros al mes con la tarifa de 6 céntimos.

Cronología

La petición de cambio se realizó a las 13:00 y a partir de las 15:00 Movistar comenzó a llamar de forma insistente:


Decidimos atender a la operadora a las 17:40 y explicamos el cambio por motivos económicos, precio de las llamadas, precio del SMS.. etc. Rápidamente el comercial comienza a hacer ofertas y a poner en duda los precios de Pepephone. Tras cinco minutos de conversación zanjamos el asunto rechazando los descuentos que nos ofrecen.

A partir de las 18:00 nueva retahíla de llamadas hasta que volvemos a atender a la operadora que nos ofrece lo siguiente: descuento del 50% en todas las llamadas durante 6 meses (3 céntimos/min), descuento del 50% en el precio de los SMS y 250 minutos gratis los fines de semana sin establecimiento de llamada. Volvemos a rechazar las ofertas.

Durante esta mañana Movistar sigue llamando para ofrecer nuevas ofertas e intentar que el número permaneza en la compañía. Este tipo de prácticas desaparecerán una vez que entre en vigor la portabilidad en 24 horas propuesta por la Comisión de Mercado de las Telecomunicaciones (CMT). De momento, las contraofertas seguirán a la orden del día y también los amagos de portabilidad para conseguir descuentos o móviles subvencionados.

Para una de las compañías tecnológicas más importante de nuestra era, la seguridad tiene que ser uno de los pilares en su funcionamiento del día a día. Pensemos en los desastres, aquellas situaciones límites que se escapan a los problemas cotidianos, ¿qué plan tendrá Google pare esos casos? ¿cómo mantener las infraestructuras ante accidentes que se escapan de la norma? Pues en palabras de Eran Feigenbaum, director de seguridad de la compañía en Google Enterprise, la empresa está preparada para todo tipo de probabilidades, incluso ante la llegada de un ataque extraterrestre a la Tierra.

Y es que la simple probabilidad en estos casos, por pequeña que pueda ser, debe ser tratada con anterioridad para que los desastres no causen un caos en las infraestructuras de California. Mantener el estado de alerta y escenificar todos los escenarios posibles reduce el efecto sorpresa de cualquier imprevisto.

Eran Feigenbaum, antes de llegar a Google en el 2007, había formado parte de de varios proyectos de seguridad. Ex-director de CISO, el hombre fue el encargado de diseñar e implementar sistemas criptográficos en agencias gubernamentales y empresas tecnológicas. Su llegada a Google Enterprise, encargada de mantener la seguridad de Google y la de sus clientes, supuso una revolución en los planes de seguridad de sus infraestructuras, pasando a conformar un nuevo plan exhaustivo ante cualquier situación. Es por esta razón que la empresa incluye situaciones tan anómalas como una posible invasión de extraterrestres. Feigenbaum lo explica:

Tocamos todas las probabilidades, es parte de nuestro plan de recuperación contra los desastres antes de asumir lo peor. El año pasado tratamos la posibilidad de que Google y toda California fueron atacados por alienígenas. Ante esta situación nos preguntamos: ¿qué hacemos? ¿cómo podríamos ejecutar nuestras infraestructuras?

Quizá por esta razón Google opera bajo su propia infraestructura. La compañía tiene actualmente más de 250 empleados dedicados a la seguridad, repartidos entre equipos internos de auditorías, equipos de seguridad física o equipos dedicados al material. Para Feigenbaum, el cloud computing también deber ser actualmente tratado con la máxima seguridad:

Los incidentes ocurren por varias razones y por eso debemos tener un equipo las 24 horas, para poder trabajar en todas las zonas horarias. Cuando ocurre un incidente que afecta a varios clientes es nuestra responsabilidad notificar a los clientes y darles una idea de lo que sucede con sus datos. Lo mismo ocurre con el cloud computing. No es perfecto. No lo es y yo he llegado a estar en un servicio de inteligencia donde éramos capaces de entrar a un equipo que no estaba conectado a la red utilizando diversas tecnologías. Aún así creo que la computación en la nube es de las más seguras, tanto como la que más.

Como vemos, la seguridad en una compañía como Google es máxima prioridad. No podía ser de otra forma teniendo en cuenta la información tan importante que maneja de todos nosotros y de la que dependemos de una u otra forma. En cuanto a sus data center y la propia seguridad de los empleados que pueden acceder o no a ella, la compañía mantiene el mismo nivel de seguridad que muestra ante cualquier eventualidad. Un tour por sus instalaciones nos muestran el nivel de las mismas:

Yacom ha lanzado una agresiva promoción de ADSL que ofrece hasta 3 meses gratis a todos los nuevos clientes que contraten el servicio antes del 31 de agosto. Se trata de la oferta más económica del mercado para contratar banda ancha.

"Ahorra 250 euros frente al ADSL de otros operadores", con ese slogan tan directo, calcado al que utilizaba Jazztel antes de que Autocontrol decidiera que era publicidad engañosa, la operadora propiedad de France Telecom quiere seguir creciendo en su modalidad de ADSL 10 megas.

Los meses de verano suelen ser especialmente duros para el mercado de la banda ancha. Las vacaciones y la crisis económica pasan factura a las compañías que ven reducidas sus altas hasta un 50% con respecto a otros meses del año. Para revertir estra tendencia, Yacom ha lanzado la promoción más económica del mercado regalando las tres primeras cuotas.

Una vez que pasa el período promocional, el precio del servicio es de 19,95 euros al mes, además de los 15 euros de la cuota de línea. La operadora también regala el alta y el router WiFi N con portes gratuitos para todos los clientes que decidan contratar el servicio desde la página web.

Únicamente deben pagar 29,95 euros adicionales aquellos clientes que no dispongan de línea telefónica o la tengan con un operador diferente a Movistar. El abono de este concepto debe realizarse mediante tarjeta de crédito cuando se realiza la grabación por voz en el proceso de alta.

Recordamos que esta modalidad ofrece 10 megas de bajada y 1 de subida con llamadas gratuitas. Además, tiene un compromiso de permanencia de 12 meses.

Jugar en el ordenador puede ser un quebradero de cabeza si no disponemos de un sistema avanzado con lo último en hardware. A continuación te explicamos como exprimir al máximo los recursos de tu ordenador gracias a Game Booster, un programa que te permitirá ejecutar juegos que antes no te funcionaban.

El mundo de la tecnología avanza muy deprisa y en el segmento de la informática los componentes cambian prácticamente cada trimestre. Para que tu sistema sea capaz de ejecutar videojuegos con garantías te recomendamos que utilices Game Booster, un software que es capaz de cerrar los procesos innecesarios liberando recursos de tu ordenador.

¿Cómo funciona?

A pesar de que no existen los milagros, Game Booster es capaz de aumentar la velocidad de la CPU y el rendimiento de los juegos. Para ello cierra temporalmente servicios que nuestro sistema no va a utilizar mientras estamos jugando. Todo ello sin modificar la configuración de nuestro sistema operativo. También es capaz de desfragmentar la memoria RAM del equipo y de analizar los componentes en busca de actualizaciones que mejoren el rendimiento de nuestra tarjeta gráfica, sonido, teclado, ratón.. etc.

En Softzone.es han publicado un tutorial de ayuda que explica paso a paso como utilizar Game Booster.

Nuestra valoración es excelente y es que es capaz de ejecutar juegos que antes no funcionaban. Por ejemplo, hemos probado el Flight Simulator de Microsoft en un PC más o menos obsoleto y curiosamente con el programa en marcha se ejecuta pero sin él no era posible.

El programa es compatible con Windows 2000, XP, Vista y Windows 7, en sus versiones de 32 y 64 bits. Además, tiene dos versiones, una de pago que cuesta 10 dólares y otra gratuita que permite probar el producto durante un mes aunque con algunas funciones desactivadas.
Prepárate para reducir el retardo de los juegos más exigentes aumentando los frames por segundo sin necesidad de mejorar el hardware de tu equipo.

Tutorial de ayuda de Game Booster

##################################################
Elgg 1.8 beta2 and prior to 1.7.11 'container_guid' and 'owner_guid' SQL Injection
URL afectada: http://www.elgg.org/
Reportado por: http://lostmon.blogspot.com/2011/08/elgg-18-beta2-and-prior-to-1711.html
Notificación al afectado: SÍ Exploit disponible: SÍ
##################################################

###################
Descripción del afectado
###################

Elgg es un galardonado motor de redes sociales, la entrega de los elementos básicos que permiten a las empresas, escuelas, universidades y asociaciones para crear sus propias funciones de las redes sociales y aplicaciones. Las organizaciones con redes impulsado por Elgg incluyen: Gobierno de Australia, el Gobierno británico, canadiense Federal Gobierno, Mitre, el Banco Mundial, UNESCO, NASA, la Universidad de Stanford, La Universidad Johns Hopkins y más (http://elgg.org/powering.php)

################
Versiones afectadas
################

Elgg 1.8 beta2: vulnerable
Elgg 1.7.10 y posteriores versiones: vulnerables
Elgg 1.7.11: no vulnerable


#################
Detalles técnicos
#################

El tipo de inyección es integrado y sólo se puede explotar mediante inyección MySQL, funciona con
'magic_quotes_gpc' en 'on' u 'off''

######################
PoC
######################


Si sabes cómo inyectar, sabrás como usarlo ;-)


URL => http://localhost/elgg/search/?q=someword&search_type=tags&container_guid=7826'

Inyecciones:

and(select 1 from(select count(*),concat((select (select %column_name%) from
`information_schema`.tables limit 0,1),floor(rand(0)*2))x from
`information_schema`.tables
group by x)a) and 1=1

Count(table_name) of information_schema.tables where
table_schema=0x74657374 is 75

Count(column_name) of information_schema.columns where
table_schema=0x74657374 and table_name=0x62616E6C697374 is 4

################
Solución
###############


El afectado ha lanzado una versión actualizada para resolver este tema y otros, se pueden ver los cambios en el changelog y actualizen su Elgg a la versión 1.7.11.

###############
Tiempo de la vuln
###############

Descubierto: 30 de julio 2011
Notificación al afectado: 30 de julio 2011
Respuesta del afectado: 30 de julio 2011
Revisión del proveedor: 15 de agosto 2011
Divulgación pública: 15 de agosto 2011

########################## €nd ########################

Atentamente:
Lostmon (lostmon@gmail.com)
----


thz Lost ;-)

Firefox 6 ha sido lanzado oficialmente, aunque ha sido accesible mediante descarga FTP días antes. Desde hace unas horas se ha ido actualizando automáticamente en mis equipos con Windows 7 y ayer, actualizando a “mano” Ubuntu 11.04, también funciona en la distribución.


Firefox 6 trae novedades y mejoras, cierto, que comentaré tras el salto, pero que el “fuerte” de la nueva versión sea mejorar usabilidad, estabilidad y rendimiento, la sitúa en la categoría de “actualización” y no en un producto nuevo. Le iría mejor Firefox 4.x, porque con la 5 ocurrió lo mismo, quitando el soporte Do-Not-Track de serie, no aportaba mucho más.

Novedades de Firefox 6

La novedad más relevante, a mi entender, está en las capacidades de ajuste de permisos para sitios Web. Escribiendo en la caja de búsqueda about:permissions se despliega un sistema de control de permisos (cookies, pop-ups, etc.), tanto generales para todos los sitios Web, como individuales para cada sitio que hayamos visitado.



Nuevas herramientas para desarrolladores, agrupadas en un menú y el nuevo Scratchpad, para probar directamente en el navegador código Javascript. La consola HTML y la de Javascript se han modificado ligeramente.

Administrador de complementos, con acceso directo a Plugin Check, herramienta para verificar que los plugins están actualizados. En un futuro próximo, Plugin Check estará integrado en el navegador.
Estéticamente casi no hay novedades. Podemos ver los dominios resaltados en la barra de direcciones y algún cambio en los iconos de advertencias de seguridad. Mozilla sigue apostando por Firefox Sync, donde notaremos diferencias, en particular a la hora de guardar contraseñas.
El consumo de memoria, aunque ha mejorado, sigue siendo una asignatura pendiente del navegador.

La próxima versión, Firefox 7, podría ahorrar entre un 20% y un 30% de memoria, en algunos casos hasta un 50%.

Firefox 6 sí parece tener una mejora de rendimiento, donde más lo he notado ha sido corriendo en Ubuntu 11.04 Natty Narwhal. En Windows 7, con sinceridad, no aprecio las diferencias en la misma medida.

Lo que sí parece aportar Firefox 6 son mejoras en la seguridad, ya que según ha informado la propia Fundación Mozilla, Firefox 6 ha corregido algunos errores críticos de seguridad de su antecesor.

Firefox 6, algunas reflexiones

La primera intención a la hora de titular este artículo ha sido hacerlo así “Firefox 6, ni sí, ni no, sino todo lo contrario“, porque ciertamente aporta cosas nuevas que no despiertan expectación. Son cambios pequeños que mejoran el producto… y poco más. Ahora mismo la competencia, con Chrome a la cabeza y Opera detrás, innovan más con menos ruido.

Comentar también algo de lo que venimos informando desde hace tiempo, estos cambios rápidos son un quebradero de cabeza para las empresas. Mozilla debería reflexionar, imita a Chrome en el ciclo de desarrollo sin que por ello deje de perder cuota de mercado frente a su rival, ceder terreno en las empresas no parece lo más adecuado.

Habiendo estrenado esta política en el presente año, la Fundación Mozilla no la va a cambiar, pero sabe por el feedback de sus usuarios que no está gustando. Tal vez esa idea que se baraja de eliminar el número de versión y que el navegador se denomine simplemente Firefox sea lo más acertado.

La noticia llegaba por sorpresa a la hora de comer, sin anestesia ni nada: Google se queda con la división móvil de Motorola por 12.500 millones de dólares. La adquisición ha hecho que los medios se apresuren a reflejar las posibles consecuencias, y la percepción de Android cambia notablemente.

Hasta ahora, Google ha pactado con varias compañías la fabricación de móviles preparados para Android empezando por el Nexus One. Se podría decir tanto ese primer modelo como el Nexus S son los móviles de Google, aunque los fabrican otras compañías. Pero ahora que Google ha absorbido un fabricante de hardware, podrá diseñar los componentes de móviles y tablets justo a su medida.

¿No nos suena de algo ese modo de hacer las cosas? Hay cierta compañía cuyas oficinas centrales están en Cupertino que se mueve bajo una máxima desde sus orígenes: Si quieres crear un buen software, debes preocuparte por el hardware. Y preocuparse por el hardware es, a la práctica, crearlo tú mismo. El iPhone de Apple ha conseguido cifras de adopción y ventas impresionantes, y el iPad va por el mismo camino.

Por ese motivo, ver los titulares de los medios por toda la red ha sido bastante interesante esta tarde. En Apple Weblog opinan desde el mismo titular que Google le da la razón a Apple y su sistema con esta compra, y en Androides son más drásticos y alertan del peligro que puede tener este movimiento para el mismo Android. Antonio Ortiz se pregunta precisamente si es peligroso o no en Xataka. Una de las consecuencias que más rápido se ven es que ahora Google podrá presentar su propio teléfono, compitiendo con Apple usando sus mismas cartas. La pregunta es: ¿Afectará? Ahora que Google puede tener un teléfono con un sistema operativo optimizado específicamente para todos y cada uno de sus componentes, ¿cambiarán las cosas? Ya ha habido otros rastros de intentar redirigir el camino de Android, con pasos como el cierre temporal del código fuente de la versión Honeycomb para tablets. Es obvio que Google quiere llevar a Android por un camino específico, y la comunidad de desarrolladores hace que se vaya ramificando.

Con la capacidad para crear su propio hardware, Google ha hecho que la miremos con otros ojos a partir de ahora. Sólo hace falta que empiecen a crear dispositivos con los criterios de los desarrolladores de Mountain View para que descubramos las consecuencias de esto. Seremos nosotros quienes quizás nos sorprendamos con tablets Android con un rendimiento mucho mayor que el presente en los modelos actuales, o veamos cómo un Android tocado deja camino a otros competidores como Windows Phone. Personalmente pienso que muy mal tienen que ir las cosas como para que Android salga seriamente perjudicado, y más con las asombrosas cifras que tiene ahora mismo en el mercado móvil. Por el momento ya sabemos que Motorola no será el fabricante exclusivo de la gama de dispositivos Nexus, algo que casa bastante con la filosofía de Google.

La red acaba de anunciar a través de su blog el lanzamiento de la API para su servicio de publicación de fotografías anunciado la semana pasada. De esta manera los desarrolladores ahora pueden incluir la herramienta en cualquiera de sus trabajos.

Por ahora está disponible únicamente para el servicio de escritorio de la red, aunque aseguran que en breve llegará también para los servicios móviles. Con este lanzamiento para la comunidad de desarrolladores Twitter conseguirá que el servicio se establezca y crezca. en palabras de la compañía:

Las fotografías son una forma fundamental para que las personas compartan un contexto, información, bromas o momentos personales en Twitter. Después de lanzar el servicio la semana pasada a los usuarios, estamos dispuestos a compartir la API del servicio para permitir a los desarrolladores utilizar el sistema de imágenes en ‘tuits’

Con la llegada de la API, los desarrolladores añadirán las nuevas características desde dentro de Twitter, ya que hasta ahora debían acudir a servicios externos para ello. La compañía finaliza el comunicado detallando las guías y los materiales a los que deberán acudir los desarrolladores para optimizar la herramienta.

##################################################
Calisto light, light plus and full, SQL Injection And user or Admin bypass
URL del afectado: http://www.calistosoft.com.ar/
Reportado por: http://lostmon.blogspot.com/2011/08/calisto-light-light-plus-and-full-sql.html
Notificación al afectado: SÍ Exploit disponible: SÍ
##################################################

##########################
Descripción de la vulnerabilidad
##########################

Calisto Light, Light Plus y Full contiene un error que permite a un atacante realizar ataques del tipo SQL injection.  

El problema se debe a que el script no es el adecuado de usuario-entrada en el campo de formulario "Usuario" y el parámetro "txtEmail" dejando paso a "login.aspx" y "/ admin / loginAdmin.aspx" esto permite inyectar o manipular consultas SQL en la base de datos.

################
Versiones afectadas
################

Calisto Light
Calisto Light plus
Calisto Full

######################
PoC
######################

Este bug se puede utilizar para omitir la validación o la validación del usuario admin

1.- Si escribimos en la caja de user:

someword'or'1'='1' y haca clic en el botón de inicio de sesión, cuando carga la aplicación "login.aspx" nos muestra una advertencia SQL, pero si escribimos:

someword'or'1'='1'-- esto evita la validación (bypass), si alguien sabe un correo electrónico de usuario, entonces él puede registrarse como ese usuario :)


2.- Si escribimos en la caja de Admin:


Admin'or'1'='1'-- y hacemos clic en el botón de inicio de sesión, carga la aplicación hacia '/admin/loginAdmin.aspx' sin necesidad de validación alguna (bypass admin) :)

################
Solución
###############

No hay ninguna solución en este momento.
 
He enviado cuatro e-mails a través del formulario web de calistosoft e información y correos de apoyo para conseguir el contacto inicial, pero no me responden :(

###############
Tiempo de la vuln
###############

Descubierto: 30-07-2011
Notificación al afectado: 08/07/2011
Respuesta del afectado: no hay respuesta.
Parche: no hay un parche
Parche del vendedor: no hay un parche
Divulgación pública: 08/11/2011


########################## €nd ########################

Atentamente:
Lostmon (lostmon@gmail.com)
----


thz Lost ;-)

El colectivo ha anunciado que se encuentra desarrollando una nueva “arma” como alternativa mejorada a los DDoS. Al parecer, la medida adoptada se debe a los arrestos de los que han sido objetos varios individuos asociados a sus acciones, todos ellos derivados al defecto en el uso del LOIC que no permite ocultar la identidad del usuario. RefRef sería el nombre de esta nueva herramienta.

En el comunicado afirman que estará lista para el mes de septiembre, momento en el que comenzarán a operar con la misma. RefRef utiliza un enfoque muy diferente a los DDoS en las webs, mientras estos últimos se centran en los paquetes TCP y UDP, RefRef se basa en un nivel mucho más sofisticado diseñado para atacar a los servidores de los sitios por detrás, se trata de “agotar la propia capacidad de procesamiento del servidor”. Según Anonymous:

Lo que estamos es desarrollando una nueva herramienta DDoS. Hasta ahora lo que teníamos era una plataforma neutral que se aprovechaba del JavaScript y vulnerabilidades para crear el efecto en la web de destino. RefRef en cambio utiliza el poder de procesamiento del sitio de destino contra sí mismo, que el servidor se caiga como consecuencia de un agotamiento de los recursos.

Sea como fuere, parece que una parte del colectivo intentan mejorar los sistemas de ataques tras las múltiples detenciones de jóvenes a los que se les relacionaba con las acciones del grupo.

#############################################
Internet Explorer 6, 7 and 8 Window.open race condition Vulnerability
URL del afectado: http://www.microsoft.com
Avisado por: http://lostmon.blogspot.com/2011/08/internet-explorer-6-7-and-8-windowopen.html
Coordinación en la divulgación: SÍ Exploit disponible: Privado
CVE-2011-1257 and MS011-57
#############################################

Microsoft Internet Explorer 6, 7 y 8 es propenso a una vulnerabilidad de ejecución remota de código mediante una condición que corre bajo window.open javascript method.

Un atacante remoto puede componer una página web con código malicioso y cuando una víctima visita esta web con los elemantos malformados, el atacante puede explotar/hacer uso de esta situación.

######################
            Solución
######################

Microsoft analiza en su boletín y nos da detalles tecnicos sobre este tema, podéis leerlo en su página mediante este identificador [MS011-57].

Pueden encontrar información más detallada en este enlace: http://www.microsoft.com/technet/security/bulletin/MS11-057.mspx

También ha solventado este problema con un nuevo parche para actualizar su sistema:  http://www.microsoft.com/technet/security/bulletin/MS11-057.mspx

 ############
Tiempo de la vuln
############

Descubierto: 13 de enero 2011
Notificado: 19 de enero 2011
Respuesta de Microsoft: 19 de enero 2011 
Revisión del proveedor: 09 de agosto 2011
Divulgación pública: 09 de agosto 2011

################# €nd #########################

Thnx to Michal Zalewski for his extraordinary mind
and knowledge, people like him should have a virtual
statue for the rest of the times

Thnx To Jack, Gerardo, Nate and all MSRC
for his support in this issue.

Thnx To Microsoft Vulnerability Research (MSVR)
for interesting in this issue and for coordinate
Disclosure in other browsers afected.

Thnx to All who Belive in Me include you Estrella :**

atentamente:
Lostmon (lostmon@gmail.com)
------


thz Lost ;)

• Autenticación

1. Fuerza bruta
Un ataque de fuerza bruta es un proceso automatizado de prueba y error utilizado para adivinar un nombre de usuario, contraseña, número de tarjeta de crédito o clave criptográfica.

2. Autenticación insuficiente
La autenticación insuficiente ocurre cuando un sitio web permite a un atacante acceder a contenido sensible o funcionalidades sin haberse autenticado correctamente.

3. Débil Validación en la recuperación de contraseñas
La débil validación en la recuperación de contraseñas se produce cuando un sitio web permite a un atacante obtener, modificar o recuperar, de forma ilegal, la contraseña de otro usuario.

• Autorización

4. Predicción de credenciales/sesión
La predicción de credenciales/sesión es un método de secuestro o suplantación de un usuario del sitio web.

5. Autorización insuficiente
La autorización insuficiente se produce cuando un sitio web permite acceso a contenido sensible o funcionalidades que deberían requerir un incremento de las restricciones en el control de acceso.

6. Expiración de sesión insuficiente
La expiración de sesión insuficiente se produce cuando un sitio web permite a un atacante reutilizar credenciales de sesión o IDs de sesión antiguos para llevar a cabo la autorización.

7. Fijación de sesión
La fijación de sesión es una técnica de ataque que fuerza al ID de sesión de un usuario a adoptar un valor determinado.

• Ataques en la parte cliente

8. Suplantación de contenido
La suplantación de contenido es una técnica de ataque utilizada para engañar al usuario haciéndole creer que cierto contenido que aparece en un sitio web es legítimo, cuando en realidad no lo es.

9. Cross-site scripting
Cross-site Scripting (XSS) es una técnica de ataque que fuerza a un sitio web a repetir código ejecutable facilitado por el atacante, y que se cargará en el navegador del usuario.

• Ejecución de comandos

10. Desbordamiento de buffer
La explotación de un desbordamiento de buffer es un ataque que altera el flujo de una aplicación sobreescribiendo partes de la memoria.

11. Ataques de formato de cadena
Los ataques de formato de cadena alteran el flujo de una aplicación utilizando las capacidades proporcionadas por las librerías de formato de cadenas para acceder a otro espacio de memoria.

12. Inyección LDAP
La inyección LDAP es una técnica de ataque usada para explotar sitios web que construyen sentencias LDAP a partir de datos de entrada suministrados por el usuario.

13. Comandos de Sistema Operativo
Los comandos de sistema operativo es una técnica de ataque utilizada para explotar sitios web mediante la ejecución de comandos de sistema operativo a través de la manipulación de las entradas a la aplicación.

14. Inyección de código SQL
La inyección de código SQL es una técnica de ataque usada para explotar sitios web que construyen sentencias SQL a partir de entradas facilitadas por el usuario.

15. Inyección de código SSI
La inyección de código SSI (Server-side Include) es una técnica de explotación en la parte servidora que permite a un atacante enviar código a una aplicación web, que posteriormente será ejecutado localmente por el servidor web.

16. Inyección XPath
La inyección XPath es una técnica de ataque utilizada para explotar sitios web que construyen consultas Xpath con datos de entrada facilitados por el usuario.

• Revelación de información

17. Indexación de directorio
La indexación/listado automático de directorio es una función del servidor web que lista todos los ficheros del directorio solicitado si no se encuentra presente el fichero de inicio habitual.

18. Fuga de información
La fuga de información se produce cuando un sitio web revela información sensible, como comentarios de los desarrolladores o mensajes de error, que puede ayudar a un atacante para explotar el sistema.

19. Path Traversal
La técnica de ataque Path Traversal fuerza el acceso a ficheros, directorios y comandos que potencialmente residen fuera del directorio “document root” del servidor web.

20. Localización de recursos predecibles
La localización de recursos predecibles es una técnica de ataque usada para descubrir contenido y funcionalidades ocultas en el sitio web.

• Ataques lógicos

21. Abuso de funcionalidad
El abuso de funcionalidad es una técnica de ataque que usa las propias capacidades y funcionalidades de un sitio web para consumir, estafar o evadir mecanismos de control de acceso.

22. Denegación de servicio
La denegación de servicio (Denial of Service, DoS) es una técnica de ataque cuyo objetivo es evitar que un sitio web permita la actividad habitual de los usuarios.

23. Anti-automatización insuficiente
La anti-automatización insuficiente se produce cuando un sitio web permite a un atacante automatizar un proceso que sólo debe ser llevado a cabo manualmente.

24. Validación de proceso insuficiente
La validación de proceso insuficiente se produce cuando un sitio web permite a un atacante evadir o engañar el flujo de control esperado por la aplicación.

Tras la modificación de la que fue objeto la web del Ministerio de Defensa sirio por parte de Anonymous, un cambio en su cabecera donde se incluían enlaces a vídeos de YouTube que mostraban los sucesos ocurridos en los países vecinos, un conjunto de hackers del país les ha devuelto la moneda al colectivo. AnonPlus, la red social atribuida al colectivo que se presentó el mes pasado ha aparecido desfigurada con imágenes de cuerpos quemados y un mensaje de amenaza a Anonymous.
AnonPlus había sido anunciado en el mes de julio como la respuesta de Anonymous al bloqueo del que fue objeto por parte de Google+. Una red social en primerísima fase beta que se apuntaba como la red que aglutinaría al colectivo.
La represalia de parte de los ciudadanos sirios esta mañana parace tener un nombre propio, The Syrian Electronic Army, un colectivo afiliado al régimen del país, crítico con todos los contenidos publicados en contra del régimen. En un mensaje colgado en Twitter, el colectivo sirio venía a decir a Anonymous que :

En respuesta a la piratería a la que ha sido objeto la web del Ministerio de Defensa, el pueblo sirio ha decidido purificar Internet de vuestra patética web

El defaced efectuado sobre AnonPlus incluye, además de las fotos comentadas, un mensaje alertando a la población y explicando que tanto ciudadanos como personal militar habían sido asesinados por los manifestantes en las revueltas. Seguramente habrá algún tipo de comunicado o respuesta de Anonymous ante tal ataque, veremos en que queda.

117.27.137.21:8080
58.254.134.201:8080
201.248.138.116:8080
202.103.106.19:808
41.190.16.17:8080
203.76.196.103:8080
219.69.80.216:8909
189.112.76.17:8080
123.30.6.11:8118
112.95.238.199:808
203.148.95.71:80
202.99.27.3:8080
196.20.65.211:8080
190.192.125.141:8080
203.92.44.228:8080
41.249.250.211:80
202.143.148.61:80
89.106.13.93:80
221.217.8.240:8909
194.94.224.14:80

195.175.81.90:3128
195.114.128.12:3128
109.123.110.151:8080
87.110.190.98:8080
213.197.81.50:3128
195.114.128.9:3128
190.147.197.46:3128
190.121.130.238:8080
41.73.2.36:8080
202.109.80.106:8080
193.109.71.144:3128
202.159.218.122:3128
188.225.179.54:8080
201.90.134.50:3128
222.124.250.36:3128
78.46.255.90:3128
149.156.83.198:8080
189.115.196.101:3128
187.95.38.85:8080
189.44.29.95:8080
220.227.14.141:3128
122.155.13.14:8001
202.124.205.122:8080

La ambición del grupo de ciberactivistas Anonymous no tiene límites; existen numerosos ejemplos que sustentan la afirmación y a todos ellos se acaba de sumar otro con el que suben un peldaño más, la Operación Facebook mediante la que la organización pretende erradicar de Internet el próximo 5 de noviembre a la mayor red social de la actualidad. Así de claros y contundentes se han mostrado en el comunicado grabado en vídeo con el que han dado a conocer su nuevo objetivo:




¿Bravuconada de Anonymous? En mi opinión esta vez sí. Una cosa es reventar la seguridad de unos cuantos servidores pertenecientes a la policía de Estados Unidos y sustraer de ellos 10GB de documentos confidenciales, defacear The Sun o tumbar la web que toque vía ataque DDoS y otra completamente diferente hacer desaparecer a Facebook de Internet; simple y llanamente no es viable.
No soy ingeniero informático ni nada por el estilo, pero sí se que las infraestructuras de Facebook son de las que impresionan contando con datacenters repartidos por diferentes lugares. ¿Existe alguna técnica que permita tumbar una red de datacenters? Informaticamente hablando no y físicamente sí, la de la dinamita, pero Anonymous no cuenta con la capacidad operativa para liarse a poner bombas en edificios y por otro lado eso no va en la línea del movimiento.
Veremos lo que pasa el 5 de noviembre, seguramente nada de nada o como mucho filtración de información relacionada con Facebook, intento de deface o de DDoS, que son los tres látigos con los que Anonymous golpea siempre a sus objetivos.

AntiSec, es decir la fuerza organizada de Anonymous y LulzSec, lo hizo de nuevo. Fiel a su propósito plantó hace unos minutos en la red una verdadera bomba de documentos confidenciales de oficinas policiacas de todo EE. UU. El anuncio colocado en Pastebin dice lo siguiente:

Una semana después de haber hecho defaced y destruído los sitios web de unas 70 agencias policiacas, liberamos una cantidad masiva de información confidencial que con seguridad avegonzará, desacreditará e incriminará oficinas policiacas de todo EE. UU.

La información incluye

• 56 depósitos de correo electrónico privado, con más de 300 cuentas de dominios como 20jdpa.com, adamscosheriff.org, admin.mostwantedwebsites.net, alabamasheriffs.com, arkansassheriffsassociation.com, bakercountysheriffoffice.org y barrycountysheriff.com.
• Información de contraseñas, nombres de usuario, teléfonos, números y direcciones de seguridad social.
• Algunos números de tarjetas de crédito.
• Información de soplones —es increíble lo que se puede leer aquí—.
• Archivos de entrenamiento de la Academia de Policía —PDF, vídeos, HTML, y más—.
• Contraseñas de los servidores.

Todo eso puede explorarse en línea, con toda la facilidad que puede ofrecer una interfaz web bien estructurada. Si eres usuario de Tor, en http://vv7pabmmyr2vnflf.onion.
AntiSec quiere mostrar, dice, la naturaleza corrupta de quienes aplican la Ley. El propósito de la filtración es solidarizarse con Topiary, recién capturado y con todas las personas arrestadas hace unas semanas por haber participado en el ataque contra PayPal.

Queremos apoyar a todos aquellos que luchan contra las injusticias del estado y el capitalismo usando cualquier táctica que resulte efectiva […] tú no puedes detenernos de destruir tus sistemas y filtrar tus datos.

¿Recuerdan aquella famosa escena de Fantasía en la que Mickey Mouse intenta detener a las escobas a fuerza de hachazos pero sólo consiguió multiplicarlas, una y otra vez, sin parar? Bien, creo que no tengo que decirles quienes son Anonymous y LulzSec, y quién la policía.

Hackers, únanse a nosotros para hacer del 2011 el año de las filtraciones y revoluciones.

Ubuntu One, el sistema de almacenamiento de archivos en la nube propiedad de Canonical y de serie con el sistema operativo de la compañía, Linux Ubuntu, acaba de crecer y se pasa de 2GB a 5GB de forma gratuita. Dicha ampliación se debe a la celebración por llegar a un millón de usuarios del servicio.
Aunque por ahora le queda mucho camino por delante para hacer frente a alternativas tan potentes como DropBox (sobre todo por la ingente cantidad de desarrollos paralelos), Ubuntu One es una excelente opción para aquellos que utilizamos Ubuntu en nuestros escritorios y queremos un punto más de seguridad y movilidad para nuestros archivos.
La modalidad de 5GB sigue siendo gratuita aunque también se ofrecen complementos para aumentar el tamaño de almacenamiento por precios iniciales de 40$ anuales (20GB) ampliables en tramos de 20GB por otros 30$ al año (o 3$ al mes).
Aquí no termina la celebración sino que además nos añaden al paquete (esta vez ya al de pago) una modificación de las posibilidades de su servicio “Ubuntu One Music Streaming” para poder escuchar nuestras pistas de audio en cualquier dispositivo con sistema Android o iPhone. Con las nuevas revisiones de paquetes, tendremos esos 20GB de almacenamiento extra para poder subir canciones y escucharlas en movilidad.
Y es que la nube no para y no deja de mostrarnos novedades, a cuentagotas, pero novedades interesantes para el almacenamiento de archivos online. Todavía no tengo muy claro si, contando música y vídeo, me llegarían los 20GB que nos ofrecen pero, si alguien me ofrece más espacio por poco precio… me subo a la nube sin dudarlo.

Parece que los suecos de Spotify acaban de meterse en un buen lío, según una investigación realizada por la Universidad de Berkeley la compañía habría estado usando una cookie cuya particularidad consiste en que no puede ser borrada, con la consiguiente amenaza que esto supone para el usuario. Sigue funcionando incluso si este tiene actividada la opción de no permitir cookies en su ordenador e incluso si este está con el modo privacidad activado que ya incluyen muchos navegadores como Firefox o Google Chrome, ocurra lo que ocurra y estén activas las opciones que estén activas no se puede evitar que se instale, es más, si intentamos borrarla se vuelve a regenerar en una especie de juego de whack-a-mole siniestro.



La cookie en cuestión parece que les ha sido proporcionada por KISSmetrics, una compañía cuyas tácticas sucias ya han sido puestas en entredicho y que también presta servicios a gigantes de internet tales como Hulu, que dicho sea de paso también hace uso de la cookie en cuestión. Según el email de un investigador de seguridad a Wired básicamente lo que hace es utilizar toda una serie de artimañas y puertas de seguridad para evitar ser bloqueados por todos los métodos más populares de bloqueo antitracking, haciendo seguimiento del usuario incluso si este no quiere.
De momento la respuesta de la compañía ha sido fulminante en cuanto a dejar de usar la cookie maldita (como si les quedase otra posible solución) y están trabajando para averiguar hasta qué punto está implicada KISSmetrics en el asunto, algo que huele mucho a cargarle el muerto a otro, incluso aunque este otro sea igual o más responsable que la propia Spotify; la respuesta de Hulu también ha sido similar. Desconozco si ambas compañías desconocían el uso de las cookies que empleaba KISSmetrics, aunque de ser así y en desconocimiento de sus clientes es probable que en estos momento estén llamando a todos sus abogados para hacer frente a la demanda que se les avecina.
¿Cuál es el objetivo de una cookie que no se puede borrar? A efectos de rastreo puede ser bastante nefasto, por ejemplo, si un visitante entra en Hulu o hace uso de Spotify, la cookie proporcionada por KISSmetrics se instalaría y le daría al usuario un ID concreto que podría usar Hulu para sus propios fines, en cuanto ese visitante entra en otro sitio que hace uso del mismo servicio la cookie obtendría la misma ID lo que hace potencialmente posible que dos compañías o incluso la propia KISSmetrics compartan o utilicen información privilegiada del usuario que no sólo este no ha autorizado sino para la que se ha protegido incluyendo métodos como el bloqueo de cookies. De momento está todo en el aire y la compañía acaba de pronunciarse al respecto, habrá que ir viendo hasta qué punto llega la invasión de privacidad y ver cómo sale Spotify del atolladero.
Actualización (2 de Agosto):
Actualización (fecha): Hemos intentado hablar con el representante de Spotify en España, Lutz Emmerich y no ha sido posible por estar de vacaciones. Cuando preguntamos a Spotify sobre el tema nos dicen que sólo pueden decir lo siguiente:

“We take the privacy of our users incredibly seriously and are concerned by this report. As a result, we have taken immediate action in suspending our use of KISSmetrics whilst the situation is investigated.”

Seguiremos el tema a ver en qué queda.