Categories
Seguridad XSS

Un extraño ataque modifica los archivos index.*

Hace ya casi un mes se ha detectado un ataque de inyección de código que sólo ataca a los ficheros con nombre index (index.htm, index.html, index.php) y añade la siguiente línea de código:

HTML:

<img heigth="1" width="1" border="0" src="http://myteenmovies.net/t.php?id=xxxxxxx">

No es específico de un CMS, simplemente cualquier sitio puede estar afectado. Como prueba se puede hacer una búsqueda en internet y ver los resultados.

Nunca está demás revisar aunque al parecer ya está siendo controlado

Vía: Alcance Libre

Categories
Miniposts Seguridad WordPress XSS

WordPress 3.0.4 disponible

Me ha sorprendido que en menos de un mes se han liberado ya 4 actualizaciones de WordPress, hoy recibo la sorpresa de que está disponible la actualización urgente para WordPress 3.0.4.

Esta actualización arregla un bug en el Core de WordPress, específicamente en la librería de “sanitización” de HTML que permite ejecutar código arbitrario.

Si estás metido en esto de la seguridad, los chicos de WordPress te invitan a que le des una mirada a los cambios que se han hecho últimamente. Ahora si feliz año.

Categories
Seguridad

D0z.me acorta urls y hace ataques DDoS a la vez

Con la creciente ola de ataques que ha generado Wikileaks, especialmente ataques DDoS a varios sitios conocidos, se han inventado muchas herramientas para “ayudar” a hacer estos ataques.

d0z.me

D0z.me es un acortador url como tantos, pero su particularidad está en que al acceder al enlace, se genera un iframe invisible que es el que empieza a hacer el ataque DDoS. El ataque seguirá mientras el usuario esté en el navegador.

El creador de esta herramienta es Ben Schmidt que nos advierte sobre utilizar los acortadores de url y el peligro que pueden generar a internet el creciente número de estos acortadores.

Enlace | D0z.me

Fuente | Fayerwayer

Categories
Miniposts Seguridad WordPress XSS

WordPress 2.8.6

Liberada una nueva actualización de WordPress la 2.8.6 que soluciona dos problemas de seguridad.

Categories
Seguridad

Seguridad: software libre vs software privativo

Si bien es cierto que llevo desfasado en temas de seguridad y que seguramente soy uno de los menos indicados para hablar de estos temas, me llama mucho la atención cuando alguien opina sin mucho conocimiento del tema en cuestión. Esta vez, en la lectura que suelo hacer diariamente, encontré un artículo que habla sobre la seguridad de software libre, aunque erróneamente el título parezca indicar que sólo se refiere a WordPress.

El problema es que el modelo de código abierto permite que hackers y casi cualquier otra persona se pueda dar el lujo de excavar hasta llegar al núcleo del código de todos los foros y blogs que funcionan a través de dicha plataforma, permitiéndoles descifrar múltiples maneras de irrumpir en la sagrada información de sus usuarios.

¿Qué hacer al respecto?

Hay tres cosas que puedes hacer si no puedes soportar las debilidades del sistema open source:

  1. Utilizarlo, pero pagarle a alguien más para que te lo mantenga.
  2. Utilizar un servicio de código cerrado y ser estricto para mantenerlo así.
  3. Constrúyalo usted mismo. Haga uso de su conocimiento para evitar que otras personas puedan tener algún tipo de influencia sobre la vulnerabilidad de su información.

Yo diría que muchos se ahogan en un vaso de agua, porque olvidamos que el código abierto es por naturaleza vulnerable a hacks, ataques de "gusanos informáticos" y cualquier otra variedad de amenaza que la web nos ofrece hoy en día. Mientras el código esté expuesto, el proyecto que se proponen muchos de romperlo y penetrarlo suena tanto divertido como perverso, pero es algo que todos nosotros ya debimos de haber entendido hace un buen rato, para evitar todo el barullo que se suele hacer en torno al tema de seguridad.

El autor del artículo usa la típica falacia de que si el código está disponible para todos, entonces es más inseguro. En el poco tiempo que me involucré en el tema de seguridad, me quedó bastante claro que si alguien está determinado a vulnerar tu aplicación o sistema, lo va hacer independientemente de si el código está disponible o no.

En mi opinión, creo que la mejor forma de hacer que las aplicaciones de software libre sean más estables, es que justamente seamos nosotros, los usuarios, los que participemos en este proceso identificando bugs, ayudando a otros a mantenerse actualizados o, si no se cuentan con el tiempo o conocimientos necesarios, colaborando económicamente.