Entradas con la etiqueta ‘hacker’
Súper hacker revelará 20 nuevos agujeros de MacOS
El conocido experto en seguridad informática Charlie Miller ha detectado 20 nuevas vulnerabilidades en el sistema operativo de Apple y se propone revelarlas la próxima semana.
Diario Ti: Charlie Miller tiene un estatus legendario en círculos de hackers. Entre sus logros se cuenta haber hackeado MacOS X en cuatro oportunidades y haber vulnerado además el sistema iPhone OS. Según Forbes, Miller se propone revelar 20 agujeros de seguridad de Mac OS X durante la conferencia de seguridad informática CanSecWest, a iniciarse el 24 de marzo.
Miller dice haber detectado 20 procedimientos que pueden ser aprovechados por ciberdelincuentes para intervenir un sistema Macintosh mediante un archivo PDF infectado visualizado por Safari en un sitio web maligno.
El experto recalca ante Forbes que su intención no es ufanarse de sus habilidades, sino demostrar lo fácil que es encontrar bugs (errores de programación) vulnerables en software de uso corriente. Miller describe un procedimiento denominado “dumb fuzzing” mediante el cual compara cuatro aplicaciones de software: Adobe Reader, Apple Preview, Microsoft PowerPoint y Open Office de Oracle, ejecutando un script propio que sistemáticamente induce errores de funcionamiento en el software, detectando a la vez las posibilidades de intervenir la aplicación precisamente mediante los errores generados.
Luego de haber ejecutado el programa de “dumb fuzzing” durante tres semanas en cada aplicación, Miller concluyó que Apple Preview generó 20 bugs explotables, contra 3 y 4 en Adobe Reader, PowerPoint y OpenOffice.
A juicio de Miller, sus conclusiones demuestran que Apple no se toma en serio la seguridad y que no adopta medidas elementales de detección de errores de seguridad. Miller dice sentirse “conmocionado” de que Apple no haga pruebas similares, agregando que la única habilidad suya ha sido “la paciencia”.
Apple se negó a comentar ante Forbes los hallazgos ni comentarios de Miller.
FUENTE: Diario Ti
Google Buzz queda abierto a hackers debido a error de programación
Un conocido error de programación dejó el flamante servicio Buzz de Google abierto para intrusos interesados en asumir el control de las cuentas de sus usuarios.
Diario Ti: Google Buzz ha recibido fuertes críticas después de su lanzamiento. Según reportes iniciales, una falla en la versión móvil habría hecho posibles, al menos en teoría, ataques de tipo cross-site scripting.
Microsoft, por su parte, ha asegurado que “nadie se interesa por Buzz”, mientras que el gobierno de Canadá investiga la política de privacidad de nuevo servicio de Google.
La última noticia negativa en torno a Buzz ha sido presentada por el experto en seguridad informática Robert Hansen, presidente de SecTheory, quien afirma que Buzz pudo ser fácilmente hackeado. El propio Hansen recibió la información de un hacker denominado TrainReq, conocido en círculos de hackers por haber intervenido la cuenta de correo electrónico de Miley Cyrus, desde donde hurtó fotografías que luego difundió sin autorización de la artista.
Hansen indica que los programadores de Google han cometido un error y que el servicio pudo ser fácilmente intervenido por intrusos, aprovechando el denominado Cross Site Scripting, que permite ejecutar código maligno en servidores ajenos (en este caso el de Google).
Así, un intruso pudo publicar un texto en la cuenta de un usuario de Google y usarlo posteriormente para phishing. Considerando que los conocidos del usuario creen que el mensaje proviene de esta persona, es posible inducirles a hacer clic en enlaces que de otra forma no hubieran activado, explica Hansen.
Google solucionó el problema inmediatamente, situación que fue comprobada por el propio Hansen. En efecto, el script en cuestión ahora es presentado únicamente en formato de texto, sin ser interpretado ni ejecutado por el navegador.
Según Hansen, se trata entonces de un bochornoso error para una compañía tan grande respetada como Google. El experto concluye preguntándose cómo es posible sentirse seguro con toda la información que Google recaba de sus usuarios cuando la empresa no está en condiciones de asegurar adecuadamente sus propios servicios.
FUENTE: Diario TI
Información de Wikipedia sobre Cross Site Scripting
Fuentes: PC World y ha.ckers.org
Hondublog Radio
+1-312-239-0484
