Ex-empleado de Microsoft asegura poder jaquear Windows Vista a través de un plugin para tarjetas inteligentes

 

 

Enviado por admin el 18 Marzo 2008 - 6:25pm

Se trata de Dan Griffin, quien utilizando su propia herramienta de fuzzing (SCardFuzz) asegura poder explotar un desbordamiento de buffer en el plugin proporcionado por un fabricante indeterminado para acceder al Smart Card Minidriver de Microsoft en Windows Vista.

Griffin (que mostrará su hallazgo en CanSecWest 2008 la próxima semana) afirma poder colgar o controlar una máquina que ejecute Windows Vista (y probablemente XP también).

Comentarios

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tu elección para próximas visitas (sólo si eres usuario registrado).
anónimo's picture

He ahi la diferencia

Enviado por anónimo el 18 Marzo 2008 - 7:33pm.

Entre trabajar por dinero y crear software libre... Si el ex-empleado quisiera sacarse el clavo... Lo puede hacer.
Gartuz

anónimo's picture

Claro, campeón

Enviado por anónimo el 19 Marzo 2008 - 5:01pm.

Por eso todos los desarrolladores de software libre programan en su tiempo ídem. En realidad son fontaneros, carpinteros, taxistas, y oficinistas aburridos que se transmutan en altruístas hackers que te lo dan todo gratis y te lo dan ya.

siejqueee.

anónimo's picture

Windows y Omnisec

Enviado por anónimo el 18 Marzo 2008 - 8:00pm.

he estado investigando sobre las soluciones de cifrado de Omnisec, una empresa Suiza de criptografia (http://www.omnisec.ch/) pero me llama la atención que recomienden el uso de windows en sus sistemas, de hecho les escribi para saber si tenian opcion de trabajo a linux y dijeron que no :S y que si queria algun desarrollo para linux debia pagarlo integramente... que seguridad se puede dar sobre un sistema que corre sobre una plataforma totalmente penetrable?

saludos

anónimo's picture

No entiendo

Enviado por anónimo el 20 Marzo 2008 - 1:19pm.

No entiendo cómo la gente puede pensar en aplicaciones propietarias para seguridad, cuando hay aplicaciones libres completamente contrastadas y con un funcionamiento impecable en casi cualquier plataforma.

anónimo's picture

¿seguridad?

Enviado por anónimo el 19 Marzo 2008 - 10:01pm.

Eso dice bastante de como es la empresa de ¿seguridad? informatica.

anónimo's picture

La realidad es tozuda y acaba poniendo...

Enviado por anónimo el 20 Marzo 2008 - 1:28pm.

La realidad es tozuda y acaba poniendo a todos en su sitio. Si a esta posibilidad sumamos las afirmaciones de D. José Luis Díez Aguado “el DNI electrónico sólo podrá piratearse si el ordenador no es seguro”. Por mucho que queramos, la cadena de seguridad de los dispositivos "seguros de firma" es demasiado larga y no toda está controlada con el mismo esmero.

Para que el e-dni funcione es necesario:

a) Controlador de tarjeta inteligente (software cerrado)
b) Controlador de lector de tarjetas (software cerrado y poco controlado)
c) Aplicaciones que hagan uso de la tarjeta inteligente (depende del sistema operativo)
d) Sistema operativo, en muchos casos, con más fauna que el Zoo de Madrid.

Creo que un entorno seguro de firma, es algo necesario y que además, cuanto más código abierto se tenga en la cadena mejor que mejor.

http://www.kriptopolis.org/entorno-seguro-dni-electronico