Recientemente fue descubierta una vulnerabilidad de inyección de código SQL en WordPress 3.0.1 y versiones anteriores. Al contrario de lo que dicen algunos sitios esta falla no afecta a la versión 3.0.2 ni tampoco a WordPress 3.1 alpha.

Para poder explotar esta vulnerabilidad el atacante necesita contar con permisos de autor,  eso quiere decir que debería poder publicar/editar entradas en el blog, lo que reduce un poco las probabilidades de una intrusión aunque es recomendable comprobar los permisos de los usuarios que estén registrados en su sitio.

Para solucionar este problema se recomienda actualizar a la ultima versión disponible, la 3.0.2, que ya ha sido actualizada y no es vulnerable a esta falla.

De todas maneras quienes quieran realizar el parche manualmente, pueden actualizar el archivo ”wp-includes/comment.php”, mas precisamente en 1644 en WordPress 3.0.1, en donde podrán encontrar el error dentro de la función “do_trackbacks”.

Código a buscar:

			if ( !in_array($tb_ping, $pinged) ) {
				trackback($tb_ping, $post_title, $excerpt, $post_id);
				$pinged[] = $tb_ping;
			} else {
				$wpdb->query( $wpdb->prepare("UPDATE $wpdb->posts SET to_ping = TRIM(REPLACE(to_ping, '$tb_ping', '')) WHERE ID = %d", $post_id) );
			}

Reemplazar por:

			if ( !in_array($tb_ping, $pinged) ) {
				trackback($tb_ping, $post_title, $excerpt, $post_id);
				$pinged[] = $tb_ping;
			} else {
				$wpdb->query( $wpdb->prepare("UPDATE $wpdb->posts SET to_ping = TRIM(REPLACE(to_ping, %s, '')) WHERE ID = %d", $tb_ping, $post_id) );
			}

Solo para recalcar, este error fue parte de las correcciones aplicadas en la versión 3.0.2, por lo que los sitios especializados en WordPress deberían chequear el changelog de las versiones antes de sembrar el pánico

Enlaces relacionados:

WordPress: Information Disclosure via SQL Injection Attack
http://blog.sjinks.pro/wordpress/858-information-disclosure-via-sql-injection-attack/

Parche aplicado en la versión 3.0.2 (Changeset 16625)
http://core.trac.wordpress.org/changeset/16625

Vía Geekeries.fr

Me dieron ganas de compartir esto que encontré en AllFacebook, en donde hablaban sobre una publicación de Danah Boyd quien comentaba dos nuevas prácticas llamadas Super-logoff y WhiteWalling aplicadas mayormente por algunos adolescentes para mantener un control mayor sobre su presencia en línea, más específicamente en Facebook.

WhiteWalling o WhiteWashing

Esta es la estrategia más extremista según mi parecer. Se trata de dejar tu muro en blanco, literalmente, de ahí su nombre “white walling” y la idea es ir eliminando todas las notificaciones, mensajes y comentarios del muro a medida que se van publicando. En el caso de los “likes” (me gusta) los dejan por un tiempo hasta que el dueño de la publicación lo ve y luego lo quitan.

Y todo ese esfuerzo es realizado con el único fin de no generar o ser parte de posibles peleas, disputas o discusiones que puedan ocasionarles problemas con otras personas.

Super-logoff

Mucha más simple que lo anterior, en este caso lo que se hace es desactivar la cuenta cuando uno deja de utilizar Facebook en lugar de solo desconectarse. De esta manera nuestro perfil se convierte en invisible y nadie puede publicar mensajes en nuestro muro, no nos podrán etiquetar o siquiera encontrarnos vía el buscador.

Cuando uno decide desactivar su cuenta en Facebook, al menos hasta el momento de publicar esta entrada sigue siendo así, nuestro perfil pasa a ser invisible para los usuarios y aplicaciones de la red social, pero el mismo no es eliminado y basta con iniciar sesión nuevamente para restaurar nuestro perfil y volver a estar visible para nuestros contactos.

A continuación coloco un paso a paso para realizar el super-logoff pero obviamente el que quiera probarlo lo hará bajo su propio responsabilidad. De todas maneras como dije antes, no se pierde nada y los datos pasan a ser invisibles pero no son borrados en ningún momento.

Lo primero que deben hacer es acceder a la siguiente dirección:

http://www.facebook.com/deactivate.php

, también pueden llegar hasta esa sección desde las opciones de su cuenta.

Una vez ahí se debe seleccionar el motivo de la desactivación, en mi caso seleccione “Otro” pero bien podrían elegir “Esto es temporal. Volveré”.

Una vez que hacemos clic en el botón confirmar, se nos solicitará que ingresemos nuestra clave y tal vez nos haga completar un captcha por las dudas, luego de eso nuestra cuenta habrá sido desactivada.

Cuando queramos volver a utilizar Facebook, solo basta iniciar sesión y todo habrá vuelto a la normalidad.
También puede que nos encontremos con este mensaje de bienvenida:

Enlaces relacionados:

Teens Find Innovative Ways to Control Their Facebook Presence
http://www.allfacebook.com/teens-find-innovative-ways-to-control-their-facebook-presence-2010-11

Risk Reduction Strategies on Facebook
http://www.zephoria.org/thoughts/archives/2010/11/08/risk-reduction-strategies-on-facebook.html

Hoy en día la privacidad se ha vuelto un tema de moda, ¿lo hizo realmente?, yo creo que no, simplemente es que directa (nosotros) o indirectamente (nuestros amigos) estamos generando y compartiendo muchas más información que años atrás, por lo que cualquier cosa fuera de lugar ya causa un poco de revuelo. Como ha venido sucediendo últimamente con los cambios en los términos y condiciones de las redes sociales más populares. Por lo que la privacidad hoy en día no es un tema de moda, sino que hay mayor cantidad de contenidos por los que preocuparse, y de ahí que se haya convertido en un tema recurrente.

En el día de hoy, Atul Agarwal de Secfence Technologies, hacía público un error en Facebook que nos permite saber el nombre y apellido de una persona con solo conocer tu dirección de correo y sin necesidad de poseer una cuenta en dicha red social.

El truco es simple, solo hay que intentar conectarse a Facebook colocando como datos de acceso el email de la persona que queremos saber sus datos y como clave lo que se nos ocurra ya que no nos interesa ingresar, sino obtener su nombre y apellido.

Al intentar conectarnos con datos incorrectos, Facebook nos muestra un mensaje de error y si el email pertenece a uno de sus usuarios, solo nos informa y vuelve a solicitar la clave ya que asume que la dirección de correo era la correcta; el detalle aquí es que también nos mostrara el nombre, apellido e imagen/avatar del usuario al cual pertenece ese email.

¿De qué me sirve esto?

Uno de los posibles usos que podría darle un usuario malicioso es el de obtener el nombre y apellido (y foto en algunos casos) a partir de una base de datos de emails, y siendo que la gran mayoría de los usuarios de esta red social coloca sus datos reales, también podría usarse para validar/comprobar este tipo de información.

También podría utilizarse para comprobar la existencia de esos correos, uno podría generar emails del estilo nombre@empresa.com y verificar la existencia en Facebook.

Mas información:

Facebook name extraction based on email/wrong password + POC
http://seclists.org/fulldisclosure/2010/Aug/130

Actualización 12/08/2010: Al parecer el error ya fue solucionado.

Hace una semana publique un par de fotos tomadas de uno de los cajeros automáticos que Banco Itaú tiene en la sucursal número 0101 de la calle Buenos Aires 79 en la ciudad de Córdoba. Gracias a Cristian Borghello pudimos dar aviso a los responsable del área de seguridad del banco, y tres días después de ser informado este hecho nos enteramos de que el problema había sido solucionado supuestamente.

Luego de publicadas las imágenes, surgieron algunas preguntas en los comentarios de algunos sitios y listas de correo, las cuales cito a continuación porque creo que a varios nos intriga lo mismo:

¿Qué hará el BCRA con semejante asunto?
¿No hubo una auditoría en los últimos 14 meses que detecte semejante falla?
¿Qué tranquilidad puede tener el usuario si con todas las regulaciones pasa semejante cosas?
¿Cómo es posible que llegue un virus al cajero?
¿Qué impide que mañana sea un virus dedicado para robar datos de cajeros?

A continuación otra captura con el mensaje del antivirus, en donde se puede leer bien que el antivirus no fue capaz de limpiar o poner en cuarentena a algunos de los archivos infectados.

Ahora bien, mas de uno se preguntara que se busca publicando esta clase de información y la respuesta es muy simple, solo se quiere advertir a los usuarios de estos sistemas sobre los peligros a los que podrían llegar a estar expuestos. Es lo mismo que al denunciar un ataque de phishing a los clientes de una determinada entidad, no se busca dañar la imagen de la empresa sino todo lo contrario, se busca que los usuarios estén prevenidos y no puedan llegar a ser parte del alto número de victimas que caen en manos de estos delincuentes; obviamente con esto también le ahorramos unos cuantos dolores de cabeza a los bancos al no tener que lidiar con tantos casos de usuarios que se vieron estafados por una maniobra de este tipo.

Para finalizar, me gustaría que las preguntas que hicieron algunos usuarios sean respondidas y saber también que piensa Banelco sobre un incidente de esta índole en uno de los cajeros de su red.

El fundador de Facebook Mark Zuckerberg, ha publicado una carta abierta a todos los usuarios de dicha red en donde informa sobre cambios por venir en el sitio y las mejoras que se estarán realizando con respecto a las opciones de privacidad que disponen los usuarios y así también parte de la estructura organizativa de la red. A continuación les dejo una traducción que hice de la misma

Este ha sido un gran año para hacer del mundo un lugar más abierto y conectado. Gracias por tu ayuda, más de 350 millones de personas alrededor del mundo están utilizando Facebook para compartir sus vidas en línea.

Para hacer esto posible, nos hemos enfocado en darte las herramientas que necesitas para compartir y controlar tu información. Comenzando con nuestra primera versión de Facebook cinco años atrás, hemos construido herramientas que te ayudan a controlar lo que compartes con cada individuo o grupo de personas. Continuamos con nuestro trabajo para mejorar la privacidad.

El modelo actual de privacidad de Facebook gira en torno a redes (networks) – comunidades para tu escuela/universidad, tu empresa o tu región. Esto ha funcionado muy bien cuando Facebook fue utilizado mayoritariamente por estudiantes, ya que tenía sentido que los estudiantes quisieran compartir contenidos con sus compañeros de clases.

Con el correr del tiempo la gente nos pidió que agregáramos redes para empresas y regiones también. Hoy tenemos incluso redes para algunos países enteros, como India y China.

No obstante, como Facebook ha crecido, algunas de esas redes regionales tienen ahora millones de miembros y hemos llegado a la conclusión de que esta no es la mejor forma de controlar tu privacidad. Más del 50 por ciento de los usuarios de Facebook son miembros de redes regionales, por lo que esto es un asunto muy importante para nosotros. Si podemos construir un mejor sistema, entonces más de 100 millones de personas van a tener aún más control sobre su información.

El plan que se nos ha ocurrido es el de eliminar las redes regionales completamente y crear un modelo más simple para control de tu privacidad donde puedas especificar contenido para estar disponible para tus amigos, amigos de tus amigos, o todo el mundo.

Estamos agregando algo que muchos de ustedes han solicitado – la habilidad de controlar quien ve cada pieza individual de contenidos que creas o subes. Además, estaremos también cumpliendo una petición realizada por muchos de los usuarios de hacer la página de configuración de privacidad más simple combinando algunas de las opciones. Si deseas leer más sobre esto, comenzamos la discusión de este plan allá por Julio.

Durante esta actualización removeremos las redes regionales y crearemos algunas nuevas opciones, en las próximas dos semanas te solicitaremos que revises y actualices tu configuración de privacidad. Veras un mensaje que explicara los cambios y te dirigirá a la página donde podrás asegurarte de elegir la configuración adecuada para vos. Como siempre, una vez que lo hayas realizado podrás hacer los cambios que creas necesarios a tu configuración cuando lo desees.

Hemos trabajado muy duro para construir controles que pensamos serán mejores para vos, pero también entendemos las necesidades de todos son diferentes. Te sugeriremos opciones basadas en tu actual nivel de privacidad, pero la mejor forma de encontrar la configuración correcta es leer todas las opciones y personalizarlas a tu manera. Los aliento a hacer esto y considerar con quien están compartiendo su información en línea.

Gracias por hacer de Facebook lo que es hoy en día, y por ayudar en hacer del mundo un lugar más abierto y conectado.

Mark Zuckerberg

Enlace relacionado:

An Open Letter from Facebook Founder Mark Zuckerberg
http://blog.facebook.com/blog.php?post=190423927130

Ayer 30 de Noviembre fue el día de la seguridad informática, y como perlita les dejo una foto sacada a un cajero automático de un banco X (no voy a dar nombre por ahora), el cual se encuentra infectado con el reconocido gusano Conficker o Downadup.

¿Todavía siguen pensando que el home-banking es algo inseguro y que un cajero automático es la mejor alternativa para realizar transacciones?

Más información sobre esta variante en el siguiente enlace:
http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?vname=WORM_DOWNAD.AD

Actualización 08/12/2009:
Sobre el cajero de Banco Itaú infectado con Conficker
http://www.martinaberastegue.com/seguridad/cajero-banco-itau-infectado-conficker.html

Según informa Help Net Security, habría sido descubierto un gusano (virus, malware ) que aprovecha un descuido en la configuración de ciertos dispositivos – IPhone o IPod Touch – que han sido jailbreakeados (liberados) y que no han cambiado la clave por defecto del SSH. Este se dedica a cambiar el fondo de pantalla por una imagen del cantante Rick Astley con la frase “ikee is never going to give you up“, haciendo alusión a la canción “Never Gonna Give You Up” generalmente utilizada para rickrollear gente en Internet.

El problema reside en que la mayoría de los usuarios descarga el paquete SSH desde Cydia para poder conectarse al teléfono y modificar archivos, y deja la clave por defecto “alpine”. Cualquier persona que conozca tu dirección IP podría acceder remotamente como usuario root si así lo deseara.

Este gusano creado por “ikee” no parece ser más que una prueba de concepto, pero hay que tomarlo muy en serio y no confiarse tanto. Para cambiar esta clave solo basta conectarse al dispositivo y escribir el comando passwd; es recomendable utilizar algo complejo pero que puedan recordar luego. La otra opción es bajarse la aplicación MonileTerminal desde Cydia y ejecutar ese comando solamente.

Vía Help Net Security

Jose Carlos Norte hace publico en su blog Desvaríos informáticos, un error en el archivo wp-trackback.php de WordPress que le permitiria a un atacante malicioso realizar una denegación de servicio a un blog determinado corriendo bajo este sistema.

Hasta la fecha no hay parche oficial por lo que se recomienda aplicar manualmente la solución propuesta por Jose actualizar a la versión 2.8.5.

1. Abrir el archivo wp-trackback.php
2. Buscar la línea número 45 aproximadamente en donde dice:

   $charset = $_POST['charset'];

3. Reemplazarla por el siguiente código:

   $charset = str_replace(",","",$_POST['charset']);
   if(is_array($charset)) { exit; }

4. Guardar el archivo, y ya con eso deberíamos estar a salvo por ahora.

Aclaración, no sirve de nada desactivar los trackbacks desde WordPress, debido a que el error se encuentra antes de realizarse esa comprobación.

Actualicen, no sean vagos que el exploit ya ha sido publicado y es vulnerable la última versión (2.8.4) inclusive.

ESET, proveedor global de soluciones de seguridad, anuncia el lanzamiento de su nuevo Centro de amenazas con el objetivo de ofrecer una valiosa fuente de herramientas para conocer las últimas novedades en seguridad informática. Con esta iniciativa, ESET pretende continuar con su aporte a la circulación pública de información confiable y de primera línea sobre el universo de los códigos maliciosos, así como a la educación de los usuarios en seguridad en Internet.

Con el actual panorama de malware cada vez más complejo y la constante evolución de las técnicas de ataque a los usuarios de Internet, la información y capacitación en seguridad constituyen piezas fundamentales para prevenir ser víctimas de los ciberdelincuentes. En este sentido, el nuevo Centro de amenazas en línea ofrece múltiples recursos entre los que se destacan:

• Artículos y whitepapers: ESET Latinoamérica realiza periódicamente nuevos artículos e informes técnicos en los que se analizan las últimas tendencias de seguridad informática en América Latina a los que el público puede acceder libremente
• Recursos multimedia: son los videos educativos y podcast que ofrecen información actualizada y explicaciones acerca del funcionamiento de diversas técnicas y tipos de malware de relevancia actual en Internet. Los recursos multimedia de ESET Latinoamérica son un complemento ilustrativo, dinámico y didáctico que permite a los usuarios profundizar su conocimiento acerca de complejas amenazas informáticas
• Estadísticas de malware: es el top 10 de los principales códigos maliciosos del mes, según el porcentaje mundial de detecciones registrados por ThreatSense.Net, el sistema de Alerta Temprana de ESET
• Descripción de tipos de amenazas: se incluye la clasificación y definición de códigos maliciosos además de detalles sobre su funcionamiento y principales acciones maliciosas
• Consejos: en esta sección, el Departamento de Educación de ESET Latinoamérica ofrece una serie de consejos para la prevención de los más recientes ataques informáticos.

Además, visitando el Centro de amenazas, los usuarios podrán acceder a las últimas novedades y noticias de ESET Latinoamérica.

“Nuestra intención con el nuevo Centro de amenazas de ESET es ofrecer al público información de relevancia para conocer el panorama actual con respecto a las amenazas informáticas y poder hacer un uso seguro de los recursos de Internet”, dijo Cristian Borghello, Technical & Educational Manager de ESET Latinoamérica. “El nuevo Centro de Amenazas de ESET Latinoamérica responde a la necesidad de que todos los usuarios, sin importar su nivel de conocimiento técnico, puedan capacitarse en seguridad informática y acceder a la información más completa desde un único sitio”, concluyó Borghello.

El Centro de amenazas de ESET presenta además un nuevo diseño amigable para los usuarios, que facilita un acceso rápido a todos los recursos disponibles para la información y educación en seguridad informática.

Para más información, puede visitar el nuevo Centro de amenazas de ESET:
http://www.eset-la.com/centro-amenazas/

“Con el compromiso de garantizar la más alta protección a los usuarios, en ESET trabajamos constantemente por optimizar nuestras soluciones de seguridad según las necesidades de nuestros clientes y demandas del ambiente informático en constante evolución. Junto con ello, consideramos que es fundamental contribuir con información y herramientas para la educación y capacitación de todos los usuarios en seguridad informática”, dijo Ignacio Sbampato, Vicepresidente de ESET Latinoamérica.

Fuente: ESET

Se abre la segunda edición del concurso para profesionales del periodismo tecnológico en el que se premia al mejor trabajo en seguridad informática con un viaje al CeBIT 2010 a realizarse en la ciudad de Hannover, Alemania, según anuncia la compañía de seguridad informática ESET.

El concurso Mejor trabajo periodístico en seguridad informática abre sus puertas para toda América Latina el 13 de agosto, invitando a que profesionales del periodismo especializado en tecnología, presenten sus trabajos enfocados en algunas de las temáticas vinculadas con la seguridad informática y que hayan sido publicados por algún medio latinoamericano entre el 26 de noviembre del 2008 y fines de noviembre del 2009.

“Nuevamente, nos es muy grato poder continuar con esta iniciativa luego de haber contado con la participación y apoyo de reconocidas figuras del periodismo tecnológico en su primera edición”, dijo Andrés Tamburi, Jefe de Prensa y Relaciones Públicas de ESET para Latinoamérica. “En esta ocasión, hemos realizado sólo unos pequeños ajustes para ampliar la convocatoria, extender el período de inscripción y permitir que nuevos participantes se sumen a la iniciativa que premia a la labor de quienes, como nosotros, consideran que la información es una herramienta clave para la prevención de ataques informáticos”, concluyó Tamburi.

Para incorporar a los nuevos medios de información que continúan surgiendo con el desarrollo de las últimas tecnologías, los participantes tendrán la opción de inscribirse en tres categorías distintas según su desarrollo profesional:

• Prensa Gráfica: trabajos publicados en diarios, revistas y otros medios impresos o generados por agencias de noticias
• Prensa Digital: trabajos publicados únicamente en medios digitales, portales, blogs y otros
• Prensa Multimedia: trabajos emitidos en programas de radio, televisión o en algún otro formato periodístico audiovisual

Los trabajos a presentar deberán cumplir con un mínimo de requisitos que se detallan en las bases y condiciones publicadas en el micrositio del concurso y serán evaluados por una mesa de jurados conformada por reconocidos periodistas y especialistas TI de la región latinoamericana.
Para la selección y evaluación de los trabajos participantes se tendrá en cuenta: el enfoque socialmente relevante del tema elegido seguridad informática y su interés para la comunidad; la originalidad en la investigación; el tratamiento en profundidad de la información; la calidad narrativa y la correcta utilización de la terminología técnica.

Además, la recepción de los trabajos tendrá vigencia desde el 4 de agosto y hasta el viernes 20 de noviembre del 2009, fecha en la que se iniciará la evaluación de los trabajos para seleccionar a los finalistas y premiar al máximo ganador y a los autores finalistas en cada una de las categorías planteadas, que serán anunciados a principios de diciembre del 2009.

Desde el 2008 se encuentra disponible el micrositio del concurso Mejor trabajo periodístico en seguridad informática 2008, desarrollado por ESET Latinoamérica con toda la información disponible, bases y condiciones, formulario de inscripción, novedades y otro material de interés.

Se puede visitar el micrositio accediendo a: http://premios.eset-la.com/periodistas

“Este concurso es un emprendimiento único en la región latinoamericana, pensado desde ESET para reconocer el trabajo realizado en divulgación periodística sobre seguridad informática”, afirmó Ignacio M. Sbampato, vicepresidente de ESET para Latinoamérica. “En ESET siempre buscamos innovar, tanto en tecnología como en concientización y capacitación y este proyecto es una forma más de alcanzar nuestro objetivo”, concluyó Sbampato.

Copyright © 1997–2009 ESET. Todos los derechos reservados. ESET y NOD32 son marcas registradas de ESET. Otros nombres son marca registrada de sus respectivas empresas.