viernes, 26 de febrero de 2010

Anatomía de un ataque de inyección SQL

La inyección de SQL quizás se ha convertido en la técnica más utilizada para poner en peligro las aplicaciones Web, principalmente por dos factores: su relativa sencillez y su alta tasa de éxito. No es frecuente que las personas vean la forma en cómo trabaja ese tipo de ataques, pero gracias a un reconocido investigador ahora tenemos esa oportunidad.

Rafal Los, especialista Senior de seguridad Web de HP, elaboró una descripción simple de cómo estos ataques pueden ser ejecutados, e incluye un vistazo a la psicología por detrás del éxito. En una conversación con un grupo de ejecutivos sobre el problema de la seguridad de aplicaciones Web, encontró que muchos de ellos se mostraron escépticos sobre el alcance de las vulnerabilidades en su código. Así que decidió demostrar el problema justo en frente de ellos.

"Es muchos caso la mejor maestra es la experiencia - y único deseo es mostrar este problemas a los más incrédulos que me soliciten realizarlo en sus sitios ... pero no deben sentirse obligados. Una persona ubicada en posterior de la sala exclamo "Bueno, si estos problemas son tan frecuentes, veamos si existe alguno en nuestros sitios". Salí de piloto automático y entró en modo de ataque cauteloso ", Rafal Los escribió en un blog la descripción ataque.

Después de un rápido vistazo al sitio del voluntario, noto un error que mostró la evidencia de que alguien había atacado el sitio. Así que a continuación añadió una marca al final de la URL, lo que provocó que la instrucción SQL fallara y generara un mensaje de error explicando exactamente cuál era el problema. Y eso fue más que suficiente para Los. Luego agregó: " 'OR '1' = '1" al final de la URL original.

SQL injectionSQL injection

"En primer lugar, hubo un error evidente en la base de datos, para mí eso significaba que no era la primera vez que se intentaba una intrusión. Esperemos que se haya vulnerador ANTES de que ellos robaran toda la información. A continuación, una único marcador genero un error, espero que se auto-explique ... yo simplemente genere una instrucción SQL para desencadenara un error y fallará la base, y SQL educada y amablemente me ha dicho todo sobre él, " escribió Los. "Por último, la declaración anexada 'OR'1' = '1 funcionó porque no fue la causa de un error ... ¿por qué? Es que 1 = 1 se evalúa como verdadera y la base de datos no generará un error si el resultado es ¡VERDADERO!

Con el permiso del propietario del sitio, Los explotó la vulnerabilidad y fue capaz de volcar el contenido de la base de datos back-end a su equipo portátil. Mirando a través de las tablas, se encontró con que la base de datos de hecho había sido comprometida con anterioridad, y que el atacante había inyectado unas cadenas que servirían malware en el sitio. Dicho sitio estaba tratando de instalar al troyano Zeus a sus visitantes.

miércoles, 24 de febrero de 2010

Intel admite que fue victima de un ataque el pasado mes de enero


Intel es la más reciente empresa que admite que fue vulnerada por un ataque sofisticado el pasado mes de enero, en fechas similares a las intrusiones perpetradas a otras compañías como Google y Adobe.

Corría el rumor que la compañía especializada en chips para computadora era una de las 34 empresas afectadas por los ataques, pero confirmo este martes que no existen pruebas que lo vinculen a ese evento.

“No hemos visto el tipo de ataque a gran alcance como el que describe Google°, menciono el vocero de Intel Chuck Mulloy. “ La compañías sufren ataques constante por parte de hackers que intentan introducirse al sistema. Es un factor de riesgo y es por eso que está dentro de los 10k. No percibimos perdidas (en materia intelectual) como resultado de estos ataques”.

lunes, 22 de febrero de 2010

Nuevos ataques de phishing en Twitter


Los usuarios de Twitter sufren de nuevos ataques de robo de identidad, a través de una serie de mensajes directos, que se están propagando a gran velocidad por la red social.

Las víctimas reciben un mensaje con con el texto “lol, is this you” y un enlace que las dirige a una web llamada“bzpharma”. Al acceder a ella, la cuenta resulta infectada facilitando a los spammers sus datos y enviando a todos sus contactos el mismo mensaje con el fin de infectar sus cuentas también.
Si reciben este mensaje no den clic en cualquier enlace, simplemente borrenlo, ya que en caso contrario se perderá el control de la cuenta.

martes, 16 de febrero de 2010

Google Buzz trabaja en sus errores de privacidad

Desde que Google Buzz apareció, no han cesado las quejas. Un problema que ha causado incomodidad entre los usuarios es la función que agrega automáticamente a tu Buzz público, la lista de contactos de Gmail con quienes chateas de manera más frecuente.

"Buzz comienza automáticamente a seguir a esa gente y hace pública la lista, lo que significa que extraños puedan ver con qué usuarios has estado en contacto últimamente" advierte el sitio de la revista PC World.

El problema fue notado también por el Silicon Alley Insider: “Imagínese... una esposa descubre las conversaciones de su esposo con una antigua novia”, dice el sitio Web. “Imagine a un jefe que descubre correos electrónicos de un empleado con ejecutivos de la competencia”.

¿Habrá alguien que no tenga nada que esconder como para no preocuparse por esta función "automática" de Google Buzz"? Parece difícil.

Por fortuna, Google puso manos a la obra de manera inmediata; así lo indicó en su blog donde asegura que ha tomado en cuenta toda la retroalimentación de los usuarios de Buzz para hacer los cambios pertinentes al producto. Estas son las modificaciones que se han hecho, según indica el reporte de Todd Jackson:

"Sobre la función de 'Seguir en automático': Quisimos lograr que los usuarios iniciaran la experiencia con Google Buzz tan rápido como fuera posible, de modo que no tuvieran que dar clic a todos sus contactos para empezar a ver la utilidad de Buzz. Sin embargo, la gente notó la fuerza del Buzz y se incomodó con esta función automática. Esto ocasionó mucha preocupación y llevó a pensar que Buzz había exhibido a los contactos de los usuarios.

El jueves, después de que notamos esta queja, habilitamos un checkbox para que los usuarios pudieran elegir a sus contactos en Buzz pero, al parecer, no era fácilmente visible para todos.

Al iniciar esta semana, en lugar de una función de 'Seguir en automático', hemos cambiado a un modelo de 'Sugerir en automático'. Con ello, sólo los contactos sugeridos que usted acepte serán parte de su lista de Buzz."

Con esta nueva modalidad, Google espera que los usuarios le den una nueva oportunidad a Google Buzz

jueves, 11 de febrero de 2010

Se avecinan ataques a Windows y Powerpoint


Algunos de los errores reparados por Microsoft el día de ayer serán explotados por hackers casi inmediatamente, predicen los expertos de seguridad . La enorme actualización que incluye 13 boletines y repara 26 vulnerabilidades, otorga todo lo necesario para que los atacantes puedan comprometer y secuestrar equipos.

Microsoft lo confirmó al mencionar que 12 de las 26 vulnerabilidades (46% del total) fueron clasificadas como de nivel "1" dentro de la escala de explotación de la compañía, por lo que se espera que aparezcan códigos de ataque en los próximos 30 días.

ShareThis