Enlaces
Acerca de este sitio
NSB es un lugar para comentar las novedades sobre seguridad informática. También para la promoción del Software Libre, entre otras muchas razones (y no es la menos importante de ellas la libertad de modificarlo, copiarlo y distribuirlo), porque es el único que, desde el punto de vista de la privacidad, es realmente seguro, ya que su código es conocido.
Me interesa el diseño web basado en un buen uso de HTML y CSS, prescindiendo de cualquier lenguaje de script. De vez en cuando, cae un enlace o algún minitutorial o experimento al respecto. Aviso que soy de los que creen que lo único que se necesita para hacer páginas web es un buen editor de texto.
Para ocultar este texto vuelve a pulsar sobre el titulo.
Se muestran los artículos pertenecientes a Octubre de 2004.
12/10/2004
De vuelta y estrenando plantilla
Como siempre que hay plantilla nueva, opiniones y problemas en los comentarios.
Aprovecho el "acueducto" del Pilar para poner esto en condiciones y empezar nueva etapa. De momento, preveo tener tiempo suficiente, pero ya sabéis cómo va ésto.
Aprovecho el "acueducto" del Pilar para poner esto en condiciones y empezar nueva etapa. De momento, preveo tener tiempo suficiente, pero ya sabéis cómo va ésto.
13/10/2004
Botones para publicitar Firefox
Usando los botones en blanco que proporcionan en SpreadFirefox, he hecho un par traduciéndolos al castellano. Los subo por si le sirven a alguien, yo, de momento, ya he puesto uno, en la barra de la derecha.14/10/2004
Los mismos fallos de siempre
El pasado martes Microsoft publicó una nueva hornada de parches para las distintas versiones de su sistema operativo Windows. Del conjunto de once paquetes de parches que aparecieron (visita WindowsUpdate si no tienes las actualizaciones automáticas activadas, es seguro que alguno te hará falta) me voy a centrar en los que evidencian errores en el diseño de Windows y por lo tanto sufren de fallos de seguridad una, y otra, y otra vez.
En primer lugar, vamos con el paquete de parches para Internet Explorer (ocho parches). El diseño de zonas de seguridad del navegador de Microsoft que, en teoría, debe encargarse de decirle al sistema operativo que puede hacer una aplicación en base a dónde se encuentra ésta (en internet, en la red local, en el propio equipo...) está roto desde que era una idea en un papel y prácticamente no hay mes en el que no se encuentre una manera de pasarlo como si no estuviera. En este paquete vienen tres correcciones para tres formas distintas de saltárselo. En lugar de establecer protocolos distintos para local y red como hacen otros sistemas operativos, en Windows los protocolos son los mismos y se necesita del "apaño" de las zonas de seguridad para discriminar los permisos. Una mala idea que lleva dando problemas de seguridad casi una década.
Vamos con otra mala idea, en las condiciones del párrafo anterior, reunir el explorador de ficheros (entre otros programas) y el navegador web en una sola aplicación. Al contrario que otros navegadores, Internet Explorer no es sólo un interfaz y un motor de representación de páginas web, bajo la interfaz de IE hay varios programas independientes, que son parte integral del sistema operativo, entre ellos, los cito por ser los que más a menudo dan problemas, el explorador de ficheros y el sistema de ayuda remota. Para que el sistema operativo sepa cuales de estos programas están accesibles para Internet Explorer en un momento dado también se usan las zonas de seguridad (y ésta es la diferencia con Konqueror, por ejemplo, que aún siendo también un "interfaz para todo" dentro de KDE, se muestra mucho más seguro, ya que tiene un protocolo para cada cosa que hace y no tiene que intentar adivinar en todo momento si lo que está haciendo es seguro o no). Viene incluido un parche para una vulnerabilidad que permitía la descarga de cualquier tipo de fichero a cualquier parte del disco duro que seleccionase un atacante (por ejemplo, un ejecutable a la carpeta Inicio, para que se autoejecutara en el siguiente reinicio del sistema) con solo hacer el movimiento de arrastrar y soltar en el navegador. Si el explorador de archivos no estuviera incluido en el navegador ésto nunca habría sido posible. Por cierto, que han tardado lo suyo en corregirlo, que hace bastante que se sabe y hay exploits desde el primer día.
Cambiamos ahora de paquete de parches, pero seguimos con errores de diseño. Las librerias (algunos prefieren llamarlas bibliotecas) son, simplificando, archivos en los que se guardan datos y funciones que los programas necesitan para funcionar. En Windows cada programa lleva las suyas y vuelve a instalarlas aunque ya haya una versión de si mismas instalada en el sistema. Esto no sólo es un desperdicio de espacio, también puede traer problemas a la hora de asegurar un equipo. A modo de ejemplo, usaremos el fallo en la librería GDI+. Este archivo contiene las funciones necesarias para, entre otras cosas, manejar el conocido formato de imágenes comprimidas JPEG. Existía un fallo en esta librería que permitía ocultar código malicioso en una imagen, que se ejecutase sólo con verla. El problema está en que todos los programas de Microsoft llevan una versión de ésta librería, así que es necesario parchearlos todos, por separado. Por ejemplo, un sistema con Windows XP, con todos los parches, sería seguro, pero si le instalamos cualquiera de las versiones de MS Office, ya no lo sería, se podría colar un virus en una imagen al verla con cualquiera de los programas que forman la suite ofimática, hay que parchear cada uno de ellos. Lo mismo vale para cualquiera de los otros programas de Microsoft: los Visual Studio, Visio, Project, Picture It!... incluso el servicio Red de banda ancha de Microsoft (!). Cada programa debe revisarse y parchearse por separado.
Por cierto, en todo este tipo de fallos las famosas "mejoras de seguridad" del Service Pack 2 para Windows XP no resuelven nada, así que seguiremos viendo como se repiten los mismos fallos de siempre.
En primer lugar, vamos con el paquete de parches para Internet Explorer (ocho parches). El diseño de zonas de seguridad del navegador de Microsoft que, en teoría, debe encargarse de decirle al sistema operativo que puede hacer una aplicación en base a dónde se encuentra ésta (en internet, en la red local, en el propio equipo...) está roto desde que era una idea en un papel y prácticamente no hay mes en el que no se encuentre una manera de pasarlo como si no estuviera. En este paquete vienen tres correcciones para tres formas distintas de saltárselo. En lugar de establecer protocolos distintos para local y red como hacen otros sistemas operativos, en Windows los protocolos son los mismos y se necesita del "apaño" de las zonas de seguridad para discriminar los permisos. Una mala idea que lleva dando problemas de seguridad casi una década.
Vamos con otra mala idea, en las condiciones del párrafo anterior, reunir el explorador de ficheros (entre otros programas) y el navegador web en una sola aplicación. Al contrario que otros navegadores, Internet Explorer no es sólo un interfaz y un motor de representación de páginas web, bajo la interfaz de IE hay varios programas independientes, que son parte integral del sistema operativo, entre ellos, los cito por ser los que más a menudo dan problemas, el explorador de ficheros y el sistema de ayuda remota. Para que el sistema operativo sepa cuales de estos programas están accesibles para Internet Explorer en un momento dado también se usan las zonas de seguridad (y ésta es la diferencia con Konqueror, por ejemplo, que aún siendo también un "interfaz para todo" dentro de KDE, se muestra mucho más seguro, ya que tiene un protocolo para cada cosa que hace y no tiene que intentar adivinar en todo momento si lo que está haciendo es seguro o no). Viene incluido un parche para una vulnerabilidad que permitía la descarga de cualquier tipo de fichero a cualquier parte del disco duro que seleccionase un atacante (por ejemplo, un ejecutable a la carpeta Inicio, para que se autoejecutara en el siguiente reinicio del sistema) con solo hacer el movimiento de arrastrar y soltar en el navegador. Si el explorador de archivos no estuviera incluido en el navegador ésto nunca habría sido posible. Por cierto, que han tardado lo suyo en corregirlo, que hace bastante que se sabe y hay exploits desde el primer día.
Cambiamos ahora de paquete de parches, pero seguimos con errores de diseño. Las librerias (algunos prefieren llamarlas bibliotecas) son, simplificando, archivos en los que se guardan datos y funciones que los programas necesitan para funcionar. En Windows cada programa lleva las suyas y vuelve a instalarlas aunque ya haya una versión de si mismas instalada en el sistema. Esto no sólo es un desperdicio de espacio, también puede traer problemas a la hora de asegurar un equipo. A modo de ejemplo, usaremos el fallo en la librería GDI+. Este archivo contiene las funciones necesarias para, entre otras cosas, manejar el conocido formato de imágenes comprimidas JPEG. Existía un fallo en esta librería que permitía ocultar código malicioso en una imagen, que se ejecutase sólo con verla. El problema está en que todos los programas de Microsoft llevan una versión de ésta librería, así que es necesario parchearlos todos, por separado. Por ejemplo, un sistema con Windows XP, con todos los parches, sería seguro, pero si le instalamos cualquiera de las versiones de MS Office, ya no lo sería, se podría colar un virus en una imagen al verla con cualquiera de los programas que forman la suite ofimática, hay que parchear cada uno de ellos. Lo mismo vale para cualquiera de los otros programas de Microsoft: los Visual Studio, Visio, Project, Picture It!... incluso el servicio Red de banda ancha de Microsoft (!). Cada programa debe revisarse y parchearse por separado.
Por cierto, en todo este tipo de fallos las famosas "mejoras de seguridad" del Service Pack 2 para Windows XP no resuelven nada, así que seguiremos viendo como se repiten los mismos fallos de siempre.
21/10/2004
Vulnerabilidades para todos
En el día de ayer se hicieron públicos varios fallos de seguridad de distinta gravedad que afectan a (casi) todos los navegadores.
Por un lado, todos los navegadores que usan pestañas tienen un problema con el foco de los formularios web que se puede usar para intentar confundir a un usuario para que entregue su contraseña en un sitio malicioso pensando que está en un sitio seguro. Diversas variables, como abrir una pestaña mucho antes de tener intención de visitarla o abrir las pestañas al fondo por defecto, pueden minimizar la posibilidad de que el engaño sea efectivo. Hay más detalles y una prueba de concepto inofensiva en Secunia.
Éste es un problema principalmente del estándar javascript que da demasiado poder al webmaster (no es la primera vez que me quejo de ésto). Hace unos años Internet era un sitio más seguro y el lenguaje javascript cumplía su función, pero se está quedando obsoleto a pasos agigantados. Cada vez son más los navegadores que permiten bloquear varias funciones de javascript que hoy en día son claramente peligrosas, aunque en su momento tenían su papel y nadie pensó en los malos usos que podía dárseles, eran otros tiempos.
De entre los navegadores afectados, en el momento de escribir ésto, sólo Konqueror tiene ya corregido el problema en una versión considerada estable (en su versión 3.3.1, del 12 octubre), los navegadores Mozilla y Firefox tienen una solución que ya ha sido incluida en la rama Aviary, pero no hay todavía parches ni nuevas versiones oficiales que la incluyan (aunque es posible que ya esté incluida en las nightlies); en otros navegadores afectados, como Opera, Safari, Avant Browser o Maxthom no es posible saber cómo de avanzado tienen el arreglo (si es que tienen uno), dado que su desarrollo es cerrado, pero no ha habido anuncios oficiales de parches por parte de ninguno de ellos.
El problema que afecta a Internet Explorer, para variar, es mucho más grave y permite de hecho hacerse con el control de un equipo de forma remota. Se basa en una variación del ataque sobre las zonas de seguridad de Internet Explorer al hacer el movimiento de arrastrar y soltar sobre cualquier objeto de una página web, que fue parcheada la semana pasada por Microsoft. Y como decía entonces, era previsible, pues los fallos de este tipo son una constante en el navegador de Microsoft. El problema afecta a todas las versiones de Windows, incluido XP con Service Pack 2. Los detalles pueden leerse en español en VSAntivirus.
Los que salen peor parados son los navegadores basados en Internet Explorer como Maxthom (antes conocido como MyIE2) y Avant Browser, pues tienen fallos derivados de su funcionalidad mejorada (al estilo de navegadores modernos como Firefox u Opera) a la vez que comparten los graves problemas de seguridad de IE.
Por un lado, todos los navegadores que usan pestañas tienen un problema con el foco de los formularios web que se puede usar para intentar confundir a un usuario para que entregue su contraseña en un sitio malicioso pensando que está en un sitio seguro. Diversas variables, como abrir una pestaña mucho antes de tener intención de visitarla o abrir las pestañas al fondo por defecto, pueden minimizar la posibilidad de que el engaño sea efectivo. Hay más detalles y una prueba de concepto inofensiva en Secunia.
Éste es un problema principalmente del estándar javascript que da demasiado poder al webmaster (no es la primera vez que me quejo de ésto). Hace unos años Internet era un sitio más seguro y el lenguaje javascript cumplía su función, pero se está quedando obsoleto a pasos agigantados. Cada vez son más los navegadores que permiten bloquear varias funciones de javascript que hoy en día son claramente peligrosas, aunque en su momento tenían su papel y nadie pensó en los malos usos que podía dárseles, eran otros tiempos.
De entre los navegadores afectados, en el momento de escribir ésto, sólo Konqueror tiene ya corregido el problema en una versión considerada estable (en su versión 3.3.1, del 12 octubre), los navegadores Mozilla y Firefox tienen una solución que ya ha sido incluida en la rama Aviary, pero no hay todavía parches ni nuevas versiones oficiales que la incluyan (aunque es posible que ya esté incluida en las nightlies); en otros navegadores afectados, como Opera, Safari, Avant Browser o Maxthom no es posible saber cómo de avanzado tienen el arreglo (si es que tienen uno), dado que su desarrollo es cerrado, pero no ha habido anuncios oficiales de parches por parte de ninguno de ellos.
El problema que afecta a Internet Explorer, para variar, es mucho más grave y permite de hecho hacerse con el control de un equipo de forma remota. Se basa en una variación del ataque sobre las zonas de seguridad de Internet Explorer al hacer el movimiento de arrastrar y soltar sobre cualquier objeto de una página web, que fue parcheada la semana pasada por Microsoft. Y como decía entonces, era previsible, pues los fallos de este tipo son una constante en el navegador de Microsoft. El problema afecta a todas las versiones de Windows, incluido XP con Service Pack 2. Los detalles pueden leerse en español en VSAntivirus.
Los que salen peor parados son los navegadores basados en Internet Explorer como Maxthom (antes conocido como MyIE2) y Avant Browser, pues tienen fallos derivados de su funcionalidad mejorada (al estilo de navegadores modernos como Firefox u Opera) a la vez que comparten los graves problemas de seguridad de IE.
.