Hispasec -> sobre una de las vulnerabilidades de Internet Explorer

12/01/2004 - 04:16 por Bernardo Quintero | Informe spam
Hash: SHA1

Saludos a los participantes del foro.

No conocía este foro, pero un lector de "una-al-dia" me ha escrito
comentándome que había un "MVP" negando la evidencia de una de las
vulnerabilidades de Internet Explorer y descalificándonos (a
Hispasec).

Jose Manuel Tella Llop escribió:
"Por otra parte, hispasec ha pasado de ser un centro de noticias
serias, a ser simplemente un negocio periodistico que solo vuelca las
noticias y los enfoques que le interesan."

En Hispasec no hay ningún periodista, y las notas de "una-al-día" que
publicamos de forma gratuita no obtienen ningún tipo de ingreso, ni
recibimos por ellas ningún trato de favor por parte de terceros.

Jopse Manuel Tella Llop escribió:
"¿que pasa con esta vulnerabilidad en los sitios de noticias como
Hispasec?... La recogen y "solo" dan tambien informacion parcial de
como removerlo porque no les interesa meterse en camisas de 11 varas
contra los consumidores. ¿es serio?... NO.
Unicamente en ciertas paginas serias (el CERN -maximo organo de
seguridad mundial- y en ciertas paginas de Antivirus como
VsAntivirus, aconsejan -recomiendan al maximo- el formateo."

Está mezclando conceptos. La vulnerabilidad en sí no requiere el
formateo, sino el compromiso del sistema.

Cuando una máquina que ha sido comprometida, de manera independiente
por la vulnerabilidad utilizada (sea la del interfaz RPC, o cualquier
otra), se suele recomendar el formateo de la misma, por la dificultad
que puede entrañar para los no profesionales detectar si se ha
troyanizado el sistema.

Si el sistema es comprometido por un gusano de propagación masiva,
del que se conoce exáctamente como trabaja y las modificaciones que
hace en el sistema (blaster y compañía), se puede desactivar de forma
fácil, y no requiere el formateo (el ejemplo más común es el uso de
un antivirus).

Siempre cabe la posibilidad de que además del gusano un atacante haya
comprometido el sistema de forma personalizada, por eso en sistemas
muy sensibles se recomienda el formateo.

Bajo ese nivel de paranoia (que puede ser recomendable, pero que es
complicado seguir en la práctica por usuarios de a pie), cada vez que
descubramos una nueva vulnerabilidad crítica para nuestro sistema,
habrá existido la posibilidad de que un atacante externo la haya
aprovechado antes de que instaláramos el parche, y en consecuencia
habría que formatear.

Como comprenderá, exigir ese nivel de seguridad a usuarios de a pie
puede resultar para algunos excesivo (entre los que me encuentro).
Aunque me parece oportuno que se explique tal posibilidad, y que se
recomiende el formateo del sistema para mayor seguridad. Eso sí,
después de formatearlo, si debe descargar los parches de seguridad de
Internet estará de nuevo expuesto durante esa ventana de tiempo, por
lo que para que la información fuera completa habría que indicar
también la configuración de seguridad que deben establecer justo
despues de formatear, instalar el sistema límpio, y antes de
conectarse a cualquier tipo de red.

JM Tella Llop escribió:
"voy a pasar a explayarme un poco y ver lo que es una vulnerabilidad,
o bien algo predefinido en las RFC que definen todo el comportamiento
del tcp/ip y que son "inviolables" o sino, no funcionaría ninguna
red."
[...]
"http://usuario@password:nombre_sitio_web:puerto
Esta es la sintaxis completa. Y hay que respetarla y ejecutarla."

Vuelve a equivocarse. La nueva vulnerabilidad de Internet Explorer
utilizada para la falsificación de URL es una variante que afecta
exclusivamente a Internet Explorer, y que ni por asomo tiene el mismo
efecto que describe.

No se puede excusar en las RFC, porque no tiene nada que ver. De
hecho, navegadores como Opera o Mozilla cumplen perfectamente con la
RFC y con la sintaxis que usted describe, y sin embargo no les afecta
la nueva variante de URL spoofing que está siendo aprovechada contra
los usuarios de Internet Explorer (como en el reciente caso del Banco
Popular).

Y le aseguro que esos otros navegadores "funcionan" en red :)

Es el uso de los caracteres %00 %01 lo que provoca que Internet
Explorer no muestre la URL real en la barra de direcciones (aunque
sea enmascarada), SOLO aparece la URL falsa, por lo que el usuario no
puede detectar a simple vista que se encuentra en otra dirección. Ese
"comportamiento" no está descrito en ninguna RFC, ni es necesario
para nada (a excepción de para ser aprovechado en estafas y
similares).

Si prueba alguno de los tests (en Hispasec tenemos algunas páginas de
demostración), podrá comprobar como otros navegadores muestran la URL
completa, y en algunos casos, como Opera, hasta visualiza una ventana
de advertencia alertando al usuario e indicando la página real a la
que va a ser dirigido.

Sin ánimo de entrar en ningún tipo de polémica, espero que mi mensaje
sirva para aclarar algunas dudas y corregir ciertas afirmaciones
erróneas (a mi entender) publicadas en el foro.

Saludos cordiales,

Bernardo Quintero
bernardo@hispasec.com

Preguntas similare

Leer las respuestas

#1 Rodolfo Parrado Gutiérrez
12/01/2004 - 04:54 | Informe spam
solo una inquietud, me parece que en Hispasec aparecen muchas cosas de Microsoft, pero poco vemos fallos de otros sistemas operativos, como suceden en otras paginas...

eso lo deja a uno pensando a veces...

-
Rodolfo Parrado Gutiérrez
Bogotá - Colombia
-
Este mensaje se proporciona "como está" sin garantías de ninguna indole, y no otorga ningún derecho.
-
Asegurese de buscar desde el enlace sobre lo que esta buscando ya que muchas veces la pregunta ya fue respondida mas de una vez
http://groups.google.com/groups?hl=....public.es
-
"Bernardo Quintero" escribió en el mensaje news:btt3j5$cqv$
Hash: SHA1

Saludos a los participantes del foro.

No conocía este foro, pero un lector de "una-al-dia" me ha escrito
comentándome que había un "MVP" negando la evidencia de una de las
vulnerabilidades de Internet Explorer y descalificándonos (a
Hispasec).

Jose Manuel Tella Llop escribió:
"Por otra parte, hispasec ha pasado de ser un centro de noticias
serias, a ser simplemente un negocio periodistico que solo vuelca las
noticias y los enfoques que le interesan."

En Hispasec no hay ningún periodista, y las notas de "una-al-día" que
publicamos de forma gratuita no obtienen ningún tipo de ingreso, ni
recibimos por ellas ningún trato de favor por parte de terceros.

Jopse Manuel Tella Llop escribió:
"¿que pasa con esta vulnerabilidad en los sitios de noticias como
Hispasec?... La recogen y "solo" dan tambien informacion parcial de
como removerlo porque no les interesa meterse en camisas de 11 varas
contra los consumidores. ¿es serio?... NO.
Unicamente en ciertas paginas serias (el CERN -maximo organo de
seguridad mundial- y en ciertas paginas de Antivirus como
VsAntivirus, aconsejan -recomiendan al maximo- el formateo."

Está mezclando conceptos. La vulnerabilidad en sí no requiere el
formateo, sino el compromiso del sistema.

Cuando una máquina que ha sido comprometida, de manera independiente
por la vulnerabilidad utilizada (sea la del interfaz RPC, o cualquier
otra), se suele recomendar el formateo de la misma, por la dificultad
que puede entrañar para los no profesionales detectar si se ha
troyanizado el sistema.

Si el sistema es comprometido por un gusano de propagación masiva,
del que se conoce exáctamente como trabaja y las modificaciones que
hace en el sistema (blaster y compañía), se puede desactivar de forma
fácil, y no requiere el formateo (el ejemplo más común es el uso de
un antivirus).

Siempre cabe la posibilidad de que además del gusano un atacante haya
comprometido el sistema de forma personalizada, por eso en sistemas
muy sensibles se recomienda el formateo.

Bajo ese nivel de paranoia (que puede ser recomendable, pero que es
complicado seguir en la práctica por usuarios de a pie), cada vez que
descubramos una nueva vulnerabilidad crítica para nuestro sistema,
habrá existido la posibilidad de que un atacante externo la haya
aprovechado antes de que instaláramos el parche, y en consecuencia
habría que formatear.

Como comprenderá, exigir ese nivel de seguridad a usuarios de a pie
puede resultar para algunos excesivo (entre los que me encuentro).
Aunque me parece oportuno que se explique tal posibilidad, y que se
recomiende el formateo del sistema para mayor seguridad. Eso sí,
después de formatearlo, si debe descargar los parches de seguridad de
Internet estará de nuevo expuesto durante esa ventana de tiempo, por
lo que para que la información fuera completa habría que indicar
también la configuración de seguridad que deben establecer justo
despues de formatear, instalar el sistema límpio, y antes de
conectarse a cualquier tipo de red.

JM Tella Llop escribió:
"voy a pasar a explayarme un poco y ver lo que es una vulnerabilidad,
o bien algo predefinido en las RFC que definen todo el comportamiento
del tcp/ip y que son "inviolables" o sino, no funcionaría ninguna
red."
[...]
"http://:nombre_sitio_web:puerto
Esta es la sintaxis completa. Y hay que respetarla y ejecutarla."

Vuelve a equivocarse. La nueva vulnerabilidad de Internet Explorer
utilizada para la falsificación de URL es una variante que afecta
exclusivamente a Internet Explorer, y que ni por asomo tiene el mismo
efecto que describe.

No se puede excusar en las RFC, porque no tiene nada que ver. De
hecho, navegadores como Opera o Mozilla cumplen perfectamente con la
RFC y con la sintaxis que usted describe, y sin embargo no les afecta
la nueva variante de URL spoofing que está siendo aprovechada contra
los usuarios de Internet Explorer (como en el reciente caso del Banco
Popular).

Y le aseguro que esos otros navegadores "funcionan" en red :)

Es el uso de los caracteres %00 %01 lo que provoca que Internet
Explorer no muestre la URL real en la barra de direcciones (aunque
sea enmascarada), SOLO aparece la URL falsa, por lo que el usuario no
puede detectar a simple vista que se encuentra en otra dirección. Ese
"comportamiento" no está descrito en ninguna RFC, ni es necesario
para nada (a excepción de para ser aprovechado en estafas y
similares).

Si prueba alguno de los tests (en Hispasec tenemos algunas páginas de
demostración), podrá comprobar como otros navegadores muestran la URL
completa, y en algunos casos, como Opera, hasta visualiza una ventana
de advertencia alertando al usuario e indicando la página real a la
que va a ser dirigido.

Sin ánimo de entrar en ningún tipo de polémica, espero que mi mensaje
sirva para aclarar algunas dudas y corregir ciertas afirmaciones
erróneas (a mi entender) publicadas en el foro.

Saludos cordiales,

Bernardo Quintero





Respuesta Responder a este mensaje
#2 Jorge Zeledon
12/01/2004 - 05:00 | Informe spam
Hola Bernardo: Ya que llegaste, quédate aquí un buen tiempo, te aseguro que
gratuitamente te divertirás y aprenderás muchísimo, pero OJO, ten cuidado
porque esta cosa de los Grupos o Comunidades causa adicción.
Espero pronto verte ayudando y despejando nuestras dudas y respondiendo
nuestras consultas.
Ea..., adelante y con mucha decisión!!!.
Y por favor, como sugerencia respetuosa, no abras varios hilos sobre la
misma cuestión, puede que por eso no te tomen en serio.
Saludos :.

"Bernardo Quintero" escribió en el mensaje
news:btt3j5$cqv$
| --BEGIN PGP SIGNED MESSAGE--
| Hash: SHA1
|
| Saludos a los participantes del foro.
|
| No conocía este foro, pero un lector de "una-al-dia" me ha escrito
| comentándome que había un "MVP" negando la evidencia de una de las
| vulnerabilidades de Internet Explorer y descalificándonos (a
| Hispasec).
|
| Jose Manuel Tella Llop escribió:
| "Por otra parte, hispasec ha pasado de ser un centro de noticias
| serias, a ser simplemente un negocio periodistico que solo vuelca las
| noticias y los enfoques que le interesan."
|
| En Hispasec no hay ningún periodista, y las notas de "una-al-día" que
| publicamos de forma gratuita no obtienen ningún tipo de ingreso, ni
| recibimos por ellas ningún trato de favor por parte de terceros.
|
| Jopse Manuel Tella Llop escribió:
| "¿que pasa con esta vulnerabilidad en los sitios de noticias como
| Hispasec?... La recogen y "solo" dan tambien informacion parcial de
| como removerlo porque no les interesa meterse en camisas de 11 varas
| contra los consumidores. ¿es serio?... NO.
| Unicamente en ciertas paginas serias (el CERN -maximo organo de
| seguridad mundial- y en ciertas paginas de Antivirus como
| VsAntivirus, aconsejan -recomiendan al maximo- el formateo."
|
| Está mezclando conceptos. La vulnerabilidad en sí no requiere el
| formateo, sino el compromiso del sistema.
|
| Cuando una máquina que ha sido comprometida, de manera independiente
| por la vulnerabilidad utilizada (sea la del interfaz RPC, o cualquier
| otra), se suele recomendar el formateo de la misma, por la dificultad
| que puede entrañar para los no profesionales detectar si se ha
| troyanizado el sistema.
|
| Si el sistema es comprometido por un gusano de propagación masiva,
| del que se conoce exáctamente como trabaja y las modificaciones que
| hace en el sistema (blaster y compañía), se puede desactivar de forma
| fácil, y no requiere el formateo (el ejemplo más común es el uso de
| un antivirus).
|
| Siempre cabe la posibilidad de que además del gusano un atacante haya
| comprometido el sistema de forma personalizada, por eso en sistemas
| muy sensibles se recomienda el formateo.
|
| Bajo ese nivel de paranoia (que puede ser recomendable, pero que es
| complicado seguir en la práctica por usuarios de a pie), cada vez que
| descubramos una nueva vulnerabilidad crítica para nuestro sistema,
| habrá existido la posibilidad de que un atacante externo la haya
| aprovechado antes de que instaláramos el parche, y en consecuencia
| habría que formatear.
|
| Como comprenderá, exigir ese nivel de seguridad a usuarios de a pie
| puede resultar para algunos excesivo (entre los que me encuentro).
| Aunque me parece oportuno que se explique tal posibilidad, y que se
| recomiende el formateo del sistema para mayor seguridad. Eso sí,
| después de formatearlo, si debe descargar los parches de seguridad de
| Internet estará de nuevo expuesto durante esa ventana de tiempo, por
| lo que para que la información fuera completa habría que indicar
| también la configuración de seguridad que deben establecer justo
| despues de formatear, instalar el sistema límpio, y antes de
| conectarse a cualquier tipo de red.
|
| JM Tella Llop escribió:
| "voy a pasar a explayarme un poco y ver lo que es una vulnerabilidad,
| o bien algo predefinido en las RFC que definen todo el comportamiento
| del tcp/ip y que son "inviolables" o sino, no funcionaría ninguna
| red."
| [...]
| "http://:nombre_sitio_web:puerto
| Esta es la sintaxis completa. Y hay que respetarla y ejecutarla."
|
| Vuelve a equivocarse. La nueva vulnerabilidad de Internet Explorer
| utilizada para la falsificación de URL es una variante que afecta
| exclusivamente a Internet Explorer, y que ni por asomo tiene el mismo
| efecto que describe.
|
| No se puede excusar en las RFC, porque no tiene nada que ver. De
| hecho, navegadores como Opera o Mozilla cumplen perfectamente con la
| RFC y con la sintaxis que usted describe, y sin embargo no les afecta
| la nueva variante de URL spoofing que está siendo aprovechada contra
| los usuarios de Internet Explorer (como en el reciente caso del Banco
| Popular).
|
| Y le aseguro que esos otros navegadores "funcionan" en red :)
|
| Es el uso de los caracteres %00 %01 lo que provoca que Internet
| Explorer no muestre la URL real en la barra de direcciones (aunque
| sea enmascarada), SOLO aparece la URL falsa, por lo que el usuario no
| puede detectar a simple vista que se encuentra en otra dirección. Ese
| "comportamiento" no está descrito en ninguna RFC, ni es necesario
| para nada (a excepción de para ser aprovechado en estafas y
| similares).
|
| Si prueba alguno de los tests (en Hispasec tenemos algunas páginas de
| demostración), podrá comprobar como otros navegadores muestran la URL
| completa, y en algunos casos, como Opera, hasta visualiza una ventana
| de advertencia alertando al usuario e indicando la página real a la
| que va a ser dirigido.
|
| Sin ánimo de entrar en ningún tipo de polémica, espero que mi mensaje
| sirva para aclarar algunas dudas y corregir ciertas afirmaciones
| erróneas (a mi entender) publicadas en el foro.
|
| Saludos cordiales,
|
| Bernardo Quintero
|
|
|
|
|
Respuesta Responder a este mensaje
#3 Encarta
12/01/2004 - 07:18 | Informe spam
Ahora Tella va a empezar a insultar,a tratarlo de tonto y
estupido a la persona de Hispasec

Tella: En un rato más "VOY A COPIAR" directamente de la
Microsoft el documento que nos dice "QUE ES UN
MVP" ... "COMO LLEGAR A SER UN MVP" ...y ... "COMO SE
DEBE COMPORTAR UN MVP" en los foros de la Microsoft.

ESPERO QUE CUANDO LO POSTEE, LO LEAS CON "MUCHO CUIDADO"


Hash: SHA1

Saludos a los participantes del foro.

No conocía este foro, pero un lector de "una-al-dia" me


ha escrito
comentándome que había un "MVP" negando la evidencia de


una de las
vulnerabilidades de Internet Explorer y


descalificándonos (a
Hispasec).

Jose Manuel Tella Llop escribió:
"Por otra parte, hispasec ha pasado de ser un centro de


noticias
serias, a ser simplemente un negocio periodistico que


solo vuelca las
noticias y los enfoques que le interesan."

En Hispasec no hay ningún periodista, y las notas


de "una-al-día" que
publicamos de forma gratuita no obtienen ningún tipo de


ingreso, ni
recibimos por ellas ningún trato de favor por parte de


terceros.

Respuesta Responder a este mensaje
#4 Bernardo Quintero
12/01/2004 - 09:36 | Informe spam
Hola Rodolfo,

"Rodolfo Parrado Gutiérrez" escribió:
"solo una inquietud, me parece que en Hispasec aparecen muchas cosas de
Microsoft, pero poco vemos fallos de otros sistemas operativos, como
suceden en otras paginas...
eso lo deja a uno pensando a veces..."

Tienes razón en que dedicamos especial atención en "una-al-dia" a MS,
y es porque es sin duda el sistema operativo más extendido, lo que
también supone que el impacto de sus vulnerabilidades sea mayor (por
el número de personas a las que afecta).

Vulnerabilidades hay muchas a diario, y en prácticamente todas las
plataformas (sean MS o no). Por si te sirve de indicador, en Hispasec,
un mes "normal", documentamos una media de más de 20 vulnerabilidades
diarias. Podríamos por ejemplo enfocar en vulnerabilidades de Sun o HP-UX,
y en tal caso seguramente recibiríamos críticas de mucha gente porque
son cosas que ni conocen ni les afecta.

Cuando describimos una vulnerabilidad, sea de MS o de otra plataforma,
no es para entrar en el juego de si una plataforma es "peor" o "mejor", o
si tiene más o menos vulnerabilidades (discusión poco productiva).
Simplemente pretendemos, bajo nuestro criterio, comentar la noticia que
pensamos puede resultar de mayor interés para los lectores, y en la
medida de lo posible también intentamos ser heterogéneos (de vez en
cuando hablar de sistemas minoritarios).

En cualquier caso entendemos que escribiendo una noticia diaria no
podemos contentar a todos los lectores, y que en función de la temática
algunos puedan estar de acuerdo o no. En ese sentido, podemos
recibir comentarios o críticas de usuarios de Linux o de la comunidad
Open Source tanto como de Microsoft.

Tenemos un servicio profesional, SANA, donde se recogen todas las
vulnerabilidades de todas las plataformas, y que los suscriptores pueden
recibir según un perfil determinado (plataformas que les interese). Viendo
las estadísticas de SANA, puede observarse que no hay fijación o trato
de favor con ninguna plataforma en concreto.

Saludos,
Bernardo Quintero

Respuesta Responder a este mensaje
#5 Bernardo Quintero
12/01/2004 - 09:38 | Informe spam
Hola Jorge,

"Jorge Zeledon" escribió:
Hola Bernardo: Ya que llegaste, quédate aquí un buen tiempo, te aseguro


que
gratuitamente te divertirás y aprenderás muchísimo, pero OJO, ten cuidado
porque esta cosa de los Grupos o Comunidades causa adicción.



Desgraciadamente no dispongo de mucho tiempo, pero estoy seguro de que
os los pasais muy bien y se deben aprender muchas cosas :)

Y por favor, como sugerencia respetuosa, no abras varios hilos sobre la
misma cuestión, puede que por eso no te tomen en serio.



Estoy totalmente de acuerdo contigo. El hecho de que enviara la misma
cuestión a diversos foros es porque el original, al que respondo, también
fue publicado en dichos foros.

En cualquier caso, gracias por tu sugerencia, la tendré muy presente :)

Saludos,

Bernardo Quintero

Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida