martes, febrero 08, 2005

Grave fallo de seguridad, menos para IE

A través del boletín de información diaria de Hispasec me entero de un grave problema de seguridad en varios navegadores, la mayoría basados en Mozilla. Este fallo de seguridad permite a un sitio web malicioso falsificar la URL que aparece en la barra de tareas, el certificado SSL y la barra de estado.

Este problema se debe a un error en el tratamiento de IDN (International Domain Name), que permite el uso de caracteres internacionales en nombres de dominio. Esta circunstancia puede ser explotada para registrar nombres de dominio con ciertos caracteres internacionales que se parecen a otros de uso común, con lo que se puede confundir al usuario y que así crea que esta en un sitio de confianza.


Este problema no es nuevo ya que se dio en el IE en el 2001.Pero parece que ahora afecta a los siguientes navegadores:

  • Firefox 1.0
  • Konqueror 3.2.2
  • Mozilla 1.7.5
  • OmniWeb 5.1
  • Opera 7.54u1 y 7.54u2
  • Safari 1.2.4
  • Netscape 7.2

Hispasec recomienda que durante la espera del parque que corrija este problema, solo usemos los enlaces de web de confianza y escribir la URLs directamente en la barra de direcciones. Ya que esta vulnerabilidad esta a huevo para hacer ataques de phishing (suplantación de una web para robar datos sensibles, como por ejemplo nuestros datos bancarios).

Ya vimos aquí en Zooglea que ningún software esta libre de errores y que no debemos dejar de estar atentos. En un mundo perfecto no tendríamos que preocuparnos de estos tipos de problemas pero como no vivimos precisamente en ese mundo perfecto, y debido a esto pasa lo que pasa. La gente de a pie se compra el ordenador, lo enchufa y a navegar por Internet. Jamás se preocupan por la seguridad de su equipo, muchos alegan que no guardan nada importante en su PC, pero cuando ocurre un problema todos se echan las manos a cabeza. Muchas veces nuevos usuarios de PC me preguntan si es seguro comprar por Internet, yo a ellos siempre les respondo que no, cuando yo mismo si he comprado por Internet en diversas ocasiones y jamás he tenido un problema.

[Actualización 9 Febrero del 2005]

Leo en ALT1040 que ya esta arreglado el error para FireFox,en solo 12 horas eso si que es velocidad.

12 opiniones:

A las 2/09/2005 10:36:00 a. m., Blogger Irra dijo que...  

No es por hacer de abogado del diablo, pero ahora quiero ver si los que siempre se meten con IE dicen algo ahora...

A las 2/09/2005 11:08:00 a. m., Blogger Alfred-λ dijo que...  

Pues si que te lo dijo, 12 horas en arreglar el problema. Además reitero en lo dicho, ningún software esta libre de bugs, pero es que IE ha cometido muchos graves fallos de seguridad, algunos realmente gordos.

A las 2/09/2005 12:40:00 p. m., Blogger Irra dijo que...  

Tambien es cierto que IE recibe muchos mas ataques que los demas exploradores (y no digamos ya respecto a los de codigo abierto...)

A las 2/09/2005 01:56:00 p. m., Blogger Alfred-λ dijo que...  

Veamos a ver si no confundimos terminos, Windows es el que recibe más ataques (normal es el sistema operativos mas usado). Cuando se trata medir la seguridad de un navegador no se mide cuantos ataques se le hace, porque no es una unidad de medida válida, ya que no es SO. La seguridad de un navegador hay que demirla en sus fallos de seguridad y hay gana por goleada IE.

Tengo que dejar una cosa clara, yo no estoy en contra de IE, durante mucho tiempo fue el mejor navegador, pero a día de hoy no lo es (bajo mi punto de vista). Que firefox presenta problemas de seguridad es cierto, además este último es muyyyy gordo, y además no es único ni será el último, pero sinceramente me inspira mucho más confianza FireFox que IE.

Si mañana saliera un navegador mejor que los actuales me cambiaría sin dudarlo. En temas tecnológico no me caso con nadie.

A las 2/09/2005 02:46:00 p. m., Blogger Irra dijo que...  

No creo estar confundiendo los terminos. Un agujero de seguridad se detecta porque alguien lo encuentra, no aparece con unc artelito y una trompeta. A lo que me refiero con "IE recibe mas ataques" es a que muchisima mas gente buscandole las tuercas a IE (actualmente) que a los demas navegadores. No solo porque sea el mas extendido, sino mas ben porque hay mucha gente que haga lo que haga Microsoft siempre esta tirandole piedras y diciendo que es una mierda. ¿Porque Bill Gates es tan odiado? ¿no sera pura envidia a una persona que ha conseguido ser el mas rico del mundo? (no voy aentrar a cuestionar su moral o metodos...)

A las 2/09/2005 03:55:00 p. m., Blogger Alfred-λ dijo que...  

Es evidente que los fallos no salen asi porque si, que hay gente que los buscan. Que hay mas gente buscando fallos de IE, pues es cierto. No te lo niego. Pero la realidad es que IE es menos seguro (mas lento, mas pesado,menos funcionalidades,cerrado, sigo?) que FireFox. Y esto es una realidad.

FireFox tiene otra ventaja que no tiene IE, tiene toda una comunidad de freakis a su servicio (joder como Linux, pero siendo un producto muchos más simple).

Y un ataque se hace contra algo activo, que siempre esta hay(servicios del SO). A un navegador o cualquier aplicacion que no sirva datos, no se le ataca, se aprocechan sus defectos.

A las 2/09/2005 05:11:00 p. m., Anonymous Anónimo dijo que...  

Hay que ver como se pueden dar las vueltas a la tortilla según interese. Como dirían los ingleses «it's not a bug, it's a feature».

Veamos: el Estándar IDN permite usar caracteres no ascii para url. Así los chinos pueden tener direcciones en chino y navegar con ellas y nosotros podríamos usar la ñ en los dominios.

¿Cual es el problema? que existen letras con grafía muy similar (o iguales) a las letras latinas. Por ejemplo: la xi mayúsculas (letra griega) se confunde con la equis mayúscula española. Así que si nosotros registramos se«Xi» tendríamos la misma grafía visualmente que seX y podríamos hacer phishing.

Al parecer era compromiso de los registradores de los dominios controlar que esos registros no se pudiesen crear. Y son ellos los que han fallado. O podríamos echarle la culpa a los creadores de los fonts que no distinguen entre X y Xi (hay otras coincidencias de letras); sea lo que sea no echemos la culpa a los navegadores que si soportan un estándar.

¿Que ocurre con iexplorer? ¿es más listo que los demás? no. Simplemente no soporta dicho estándar. Existe un plugin para ie de Verising para compatibilidad con IDN (usado mucho en japón y otros paises orientales) y tienen el mismo problema.

A las 2/09/2005 06:42:00 p. m., Blogger Alfred-λ dijo que...  

Muchas gracias por la aclaración Sr. Anonymus :)

A las 2/10/2005 07:53:00 a. m., Blogger Irra dijo que...  

"no recibe ataques se aprovechan sus defectos??"

Coño nachol, cuando te sacaste la licenciatura en lengua española!??!?! entre practica y practica de TC???

Vamos hombre, no me jodas!!! sabes perfectamente a lo q me referia y para mi intentar buscar un defecto o agujero en una aplicacion es atacarlo, aqui y en pekin!!

Por cierto el anonimous este es autenticamente un albañil del teclado, vamos...

A las 2/10/2005 10:24:00 a. m., Blogger Alfred-λ dijo que...  

Vale Irra para ti lo cromos :)

A las 2/10/2005 02:01:00 p. m., Blogger Irra dijo que...  

Buena forma de acabar una conversacion, si señor, con dos huevos...

A las 2/10/2005 04:05:00 p. m., Blogger Alfred-λ dijo que...  

No quiero seguir con una conversación que se quedo bastente alejada del tema de la publicación. Como buen caballero para sanjar este tema, te doy la razón. ¿Te gusta más asi? xD

Di lo que quieras

<< A la portada