Mes de los fallos en Twitter

julio 6, 2009 § Deja un comentario

La saga “El mes de los fallos en” comenzó en julio de 2006, cuando H.D Moore decidió dedicar un mes completo a publicar vulnerabilidades no parcheadas en los navegadores, a razón de una al día. La iniciativa, por lo original y relevante de la propuesta, fue todo un éxito. Otros investigadores le siguieron, creando el mes de los fallos en los núcleos (de cualquier sistema operativo) en noviembre de 2006, el mes de los fallos en Apple en enero de 2007… y algunos otros. Ahora es el momento de la Web 2.0.

Aviv Raff usará julio de 2009 como el mes de los fallos en Twitter. Su objetivo, como el de todos estos meses temáticos, es el de mejorar la seguridad a través de la presión mediática, y no solo la de Twitter. El resto de plataformas 2.0 puedan aprender algo de los problemas ajenos y por tanto prevenir. Por ejemplo, algunas de las vulnerabilidades encontradas hace tres años en el “Mes de los fallos en los navegadores” se creían “simples fallos” en el sentido de que no podían ser aprovechadas por atacantes. El hecho de hacerlas públicas llamó la atención de ciertos creadores de malware y consiguieron finalmente, meses después, aprovechar algunos de estos “bugs” para ejecutar código. En ese sentido supuso una buena alarma sobre los “bugs” a los que no se les da demasiada importancia.

“Month of Twitter Bugs” (MoTB) se centra en la API de Twitter, pero según Raff, bien podría tratarse de cualquier servicio 2.0 del momento. twitpwn.com es el dominio elegido para alojar el blog que publicará las vulnerabilidades. Raff reconoce que algunas vulnerabilidades son lo suficientemente peligrosas como para que se pueda crear un gusano, así que avisará con 24 horas de antelación al fabricante para que puedan ser corregidas. El blog es seguido por personal de Twitter, que participan en los comentarios activamente. De hecho, han corregido en cuestión de horas fallos ya publicados.

A medida que el escritorio se entiende menos sin conexión remota y se traslada hacia la red (o “la nube”, como término de moda) y la línea que separa aplicaciones y servicios se difumina (casi siempre detrás de un navegador) no es de extrañar que las páginas y APIs de estas webs sean objetivo de ataques. Campañas llamativas como esta pueden ayudar a desvelar y prevenir vulnerabilidades, pero desde luego no las eliminarán. En el mundo de la programación y la informática en general se tiende insidiosamente a tropezar en la misma piedra siempre que se tiene la oportunidad. Por ejemplo, a medida que los sistemas operativos se han protegido (tarde, pero lo han hecho en cierta medida) contra ataques y malware, parece que nadie más a aprendido la lección, y los servicios en remoto que hoy en día se puede decir que forman parte de “la nube” (que a su vez forma parte del escritorio) parecen condenadas a repetir el mismo error.

Más Información:

Month of Twitter Bugs
http://aviv.raffon.net/2009/06/15/MonthOfTwitterBugs.aspx

TwitPwn (ab)using twitter since 2008!
http://twitpwn.com/

Autor: Sergio de los Santos
Fuente: Hispasec

Errores en motores antivirus

julio 23, 2007 § Deja un comentario

nRuns aclara en su sitio que no es el “Month of the Parsing bugs” pero de todos recolecta una gran cantidad de errores en distintos motores antivirus.

Muchos de estos errores ya se han corregido en versiones posteriores de los productos mencionados y que Ud. tenga este productos (patcheado o no) indica solo una cosa: que los antivirus también son un software desarrollado por humanos y por ende puede tener errores.

cfb

Errores en motores antivirus

julio 23, 2007 § Deja un comentario

nRuns aclara en su sitio que no es el “Month of the Parsing bugs” pero de todos recolecta una gran cantidad de errores en distintos motores antivirus.

Muchos de estos errores ya se han corregido en versiones posteriores de los productos mencionados y que Ud. tenga este productos (patcheado o no) indica solo una cosa: que los antivirus también son un software desarrollado por humanos y por ende puede tener errores.

cfb

Errores en motores antivirus

julio 23, 2007 § Deja un comentario

nRuns aclara en su sitio que no es el “Month of the Parsing bugs” pero de todos recolecta una gran cantidad de errores en distintos motores antivirus.

Muchos de estos errores ya se han corregido en versiones posteriores de los productos mencionados y que Ud. tenga este productos (patcheado o no) indica solo una cosa: que los antivirus también son un software desarrollado por humanos y por ende puede tener errores.

cfb

Mes de los Fallos de los motores de búsqueda

julio 10, 2007 § Deja un comentario

El mes de Junio era uno de los que quedaba libre dentro del calendario del horóscopo que habíamos creado con los meses temáticos. Ya no es así. Éste ha sido bautizado como el “Mes de los Fallos de los Motores de Búsqueda” [Month of Search Engine Bugs (MOSEB)] y durante 30 días se han ido publicando fallos de motores de búsqueda.

En el proyecto se han utilizado 33 motores de búsqueda y durante este mes se han publicado 104 vulnerabilidadades (según el recuento del autor). Los motores utilizados han sido: Meta, Yahoo, HotBot, Gigablast, MSN, Clusty, Yandex, Yandex.Server (local engine), Search Europe, Rambler, Ask.com, Ezilon, AltaVista, AltaVista local (local engine), MetaCrawler, Mamma, Google, Google Custom Search Engine (local engine), My Way, Lycos, Aport, Netscape Search, WebCrawler, Dogpile, AOL Search, My Search, My Web Search, LookSmart, DMOZ (Open Directory Project), InfoSpace, Euroseek, Kelkoo y Excite.

La lista de los expedientes publicados es la siguiente:

MOSEB-30 Bonus: Redirectors #2
MOSEB-30: Redirectors #1
MOSEB-29 Bonus: Vulnerabilities in Excite White Pages
MOSEB-29: Vulnerabilitiy at money.excite.com
MOSEB-28 Bonus: Vulnerability at shopping.yahoo.com
MOSEB-28: Vulnerabilities in Kelkoo
MOSEB-27: Vulnerability at euroseek.com
MOSEB-26 Bonus: Vulnerability at ypng.infospace.com
MOSEB-26: Vulnerabilities at www.infospace.com
MOSEB-25 Bonus: Vulnerability at search.dmoz.org
MOSEB-25: Vulnerabilities at dmoz.org
MOSEB-24: Vulnerability at search.looksmart.com
MOSEB-23 Bonus: Vulnerabilities at search.mywebsearch.com
MOSEB-23: Vulnerabilities at www.mysearch.com
MOSEB-22 Bonus: Vulnerabilities in AOL Search
MOSEB-22: Vulnerability at search.aol.com
MOSEB-21: Vulnerabilities at www.dogpile.com
MOSEB-20 Bonus: Google dorks strikes back
MOSEB-20: Vulnerabilities at webcrawler.com
MOSEB-19 Bonus: Vulnerabilities at search.netscape.com
MOSEB-19: Persistent XSS at search.netscape.com
MOSEB-18: Vulnerability at aport.ru
MOSEB-17 Bonus: Vulnerability at www.lycos.com
MOSEB-17: Vulnerability at search.lycos.com
MOSEB-16: Vulnerabilities at search.myway.com
MOSEB-15 Bonus: Vulnerability in Google Custom Search Engine
MOSEB-15: Vulnerabilities at images.google.com
MOSEB-14: Vulnerabilities at www.mamma.com
MOSEB-13: Vulnerabilities at metacrawler.com
MOSEB-12 Bonus: Vulnerability in AltaVista
MOSEB-12: Vulnerabilities at www.altavista.com
MOSEB-11: Vulnerability at www.ezilon.com
MOSEB-10 Bonus: Vulnerabilities at www.ask.com
MOSEB-10: Vulnerabilities at www.ask.com
MOSEB-09 Bonus: Vulnerabilities at ftpsearch.rambler.ru
MOSEB-09: Vulnerabilities at Rambler
MOSEB-08: Vulnerability at searcheurope.com
MOSEB-07 Bonus: Vulnerabilities in Yandex.Server
MOSEB-07: Vulnerability at blogs.yandex.ru
MOSEB-06: Vulnerabilities at clusty.com
MOSEB-05 Bonus: Vulnerabilities at autos.msn.com
MOSEB-05: Vulnerability at shopping.msn.com
MOSEB-04: Vulnerability at www.gigablast.com
MOSEB-03 Bonus: Persistent XSS at hotbot.com
MOSEB-03: Vulnerability at www.hotbot.com
MOSEB-02: Vulnerability at search.yahoo.com
MOSEB-01 Bonus: XSS at meta.ua
MOSEB-01: Vulnerability at meta.ua

¿Habrá algún més para Agosto? ¿El mes de los fallos en las tapas de los chiringuitos?

Fuente: http://elladodelmal.blogspot.com/2007/07/mes-de-los-fallos-de-los-motores-de.html

Mes de los Fallos de los motores de búsqueda

julio 10, 2007 § Deja un comentario

El mes de Junio era uno de los que quedaba libre dentro del calendario del horóscopo que habíamos creado con los meses temáticos. Ya no es así. Éste ha sido bautizado como el “Mes de los Fallos de los Motores de Búsqueda” [Month of Search Engine Bugs (MOSEB)] y durante 30 días se han ido publicando fallos de motores de búsqueda.

En el proyecto se han utilizado 33 motores de búsqueda y durante este mes se han publicado 104 vulnerabilidadades (según el recuento del autor). Los motores utilizados han sido: Meta, Yahoo, HotBot, Gigablast, MSN, Clusty, Yandex, Yandex.Server (local engine), Search Europe, Rambler, Ask.com, Ezilon, AltaVista, AltaVista local (local engine), MetaCrawler, Mamma, Google, Google Custom Search Engine (local engine), My Way, Lycos, Aport, Netscape Search, WebCrawler, Dogpile, AOL Search, My Search, My Web Search, LookSmart, DMOZ (Open Directory Project), InfoSpace, Euroseek, Kelkoo y Excite.

La lista de los expedientes publicados es la siguiente:

MOSEB-30 Bonus: Redirectors #2
MOSEB-30: Redirectors #1
MOSEB-29 Bonus: Vulnerabilities in Excite White Pages
MOSEB-29: Vulnerabilitiy at money.excite.com
MOSEB-28 Bonus: Vulnerability at shopping.yahoo.com
MOSEB-28: Vulnerabilities in Kelkoo
MOSEB-27: Vulnerability at euroseek.com
MOSEB-26 Bonus: Vulnerability at ypng.infospace.com
MOSEB-26: Vulnerabilities at www.infospace.com
MOSEB-25 Bonus: Vulnerability at search.dmoz.org
MOSEB-25: Vulnerabilities at dmoz.org
MOSEB-24: Vulnerability at search.looksmart.com
MOSEB-23 Bonus: Vulnerabilities at search.mywebsearch.com
MOSEB-23: Vulnerabilities at www.mysearch.com
MOSEB-22 Bonus: Vulnerabilities in AOL Search
MOSEB-22: Vulnerability at search.aol.com
MOSEB-21: Vulnerabilities at www.dogpile.com
MOSEB-20 Bonus: Google dorks strikes back
MOSEB-20: Vulnerabilities at webcrawler.com
MOSEB-19 Bonus: Vulnerabilities at search.netscape.com
MOSEB-19: Persistent XSS at search.netscape.com
MOSEB-18: Vulnerability at aport.ru
MOSEB-17 Bonus: Vulnerability at www.lycos.com
MOSEB-17: Vulnerability at search.lycos.com
MOSEB-16: Vulnerabilities at search.myway.com
MOSEB-15 Bonus: Vulnerability in Google Custom Search Engine
MOSEB-15: Vulnerabilities at images.google.com
MOSEB-14: Vulnerabilities at www.mamma.com
MOSEB-13: Vulnerabilities at metacrawler.com
MOSEB-12 Bonus: Vulnerability in AltaVista
MOSEB-12: Vulnerabilities at www.altavista.com
MOSEB-11: Vulnerability at www.ezilon.com
MOSEB-10 Bonus: Vulnerabilities at www.ask.com
MOSEB-10: Vulnerabilities at www.ask.com
MOSEB-09 Bonus: Vulnerabilities at ftpsearch.rambler.ru
MOSEB-09: Vulnerabilities at Rambler
MOSEB-08: Vulnerability at searcheurope.com
MOSEB-07 Bonus: Vulnerabilities in Yandex.Server
MOSEB-07: Vulnerability at blogs.yandex.ru
MOSEB-06: Vulnerabilities at clusty.com
MOSEB-05 Bonus: Vulnerabilities at autos.msn.com
MOSEB-05: Vulnerability at shopping.msn.com
MOSEB-04: Vulnerability at www.gigablast.com
MOSEB-03 Bonus: Persistent XSS at hotbot.com
MOSEB-03: Vulnerability at www.hotbot.com
MOSEB-02: Vulnerability at search.yahoo.com
MOSEB-01 Bonus: XSS at meta.ua
MOSEB-01: Vulnerability at meta.ua

¿Habrá algún més para Agosto? ¿El mes de los fallos en las tapas de los chiringuitos?

Fuente: http://elladodelmal.blogspot.com/2007/07/mes-de-los-fallos-de-los-motores-de.html

Mes de los Fallos de los motores de búsqueda

julio 10, 2007 § Deja un comentario

El mes de Junio era uno de los que quedaba libre dentro del calendario del horóscopo que habíamos creado con los meses temáticos. Ya no es así. Éste ha sido bautizado como el “Mes de los Fallos de los Motores de Búsqueda” [Month of Search Engine Bugs (MOSEB)] y durante 30 días se han ido publicando fallos de motores de búsqueda.

En el proyecto se han utilizado 33 motores de búsqueda y durante este mes se han publicado 104 vulnerabilidadades (según el recuento del autor). Los motores utilizados han sido: Meta, Yahoo, HotBot, Gigablast, MSN, Clusty, Yandex, Yandex.Server (local engine), Search Europe, Rambler, Ask.com, Ezilon, AltaVista, AltaVista local (local engine), MetaCrawler, Mamma, Google, Google Custom Search Engine (local engine), My Way, Lycos, Aport, Netscape Search, WebCrawler, Dogpile, AOL Search, My Search, My Web Search, LookSmart, DMOZ (Open Directory Project), InfoSpace, Euroseek, Kelkoo y Excite.

La lista de los expedientes publicados es la siguiente:

MOSEB-30 Bonus: Redirectors #2
MOSEB-30: Redirectors #1
MOSEB-29 Bonus: Vulnerabilities in Excite White Pages
MOSEB-29: Vulnerabilitiy at money.excite.com
MOSEB-28 Bonus: Vulnerability at shopping.yahoo.com
MOSEB-28: Vulnerabilities in Kelkoo
MOSEB-27: Vulnerability at euroseek.com
MOSEB-26 Bonus: Vulnerability at ypng.infospace.com
MOSEB-26: Vulnerabilities at www.infospace.com
MOSEB-25 Bonus: Vulnerability at search.dmoz.org
MOSEB-25: Vulnerabilities at dmoz.org
MOSEB-24: Vulnerability at search.looksmart.com
MOSEB-23 Bonus: Vulnerabilities at search.mywebsearch.com
MOSEB-23: Vulnerabilities at www.mysearch.com
MOSEB-22 Bonus: Vulnerabilities in AOL Search
MOSEB-22: Vulnerability at search.aol.com
MOSEB-21: Vulnerabilities at www.dogpile.com
MOSEB-20 Bonus: Google dorks strikes back
MOSEB-20: Vulnerabilities at webcrawler.com
MOSEB-19 Bonus: Vulnerabilities at search.netscape.com
MOSEB-19: Persistent XSS at search.netscape.com
MOSEB-18: Vulnerability at aport.ru
MOSEB-17 Bonus: Vulnerability at www.lycos.com
MOSEB-17: Vulnerability at search.lycos.com
MOSEB-16: Vulnerabilities at search.myway.com
MOSEB-15 Bonus: Vulnerability in Google Custom Search Engine
MOSEB-15: Vulnerabilities at images.google.com
MOSEB-14: Vulnerabilities at www.mamma.com
MOSEB-13: Vulnerabilities at metacrawler.com
MOSEB-12 Bonus: Vulnerability in AltaVista
MOSEB-12: Vulnerabilities at www.altavista.com
MOSEB-11: Vulnerability at www.ezilon.com
MOSEB-10 Bonus: Vulnerabilities at www.ask.com
MOSEB-10: Vulnerabilities at www.ask.com
MOSEB-09 Bonus: Vulnerabilities at ftpsearch.rambler.ru
MOSEB-09: Vulnerabilities at Rambler
MOSEB-08: Vulnerability at searcheurope.com
MOSEB-07 Bonus: Vulnerabilities in Yandex.Server
MOSEB-07: Vulnerability at blogs.yandex.ru
MOSEB-06: Vulnerabilities at clusty.com
MOSEB-05 Bonus: Vulnerabilities at autos.msn.com
MOSEB-05: Vulnerability at shopping.msn.com
MOSEB-04: Vulnerability at www.gigablast.com
MOSEB-03 Bonus: Persistent XSS at hotbot.com
MOSEB-03: Vulnerability at www.hotbot.com
MOSEB-02: Vulnerability at search.yahoo.com
MOSEB-01 Bonus: XSS at meta.ua
MOSEB-01: Vulnerability at meta.ua

¿Habrá algún més para Agosto? ¿El mes de los fallos en las tapas de los chiringuitos?

Fuente: http://elladodelmal.blogspot.com/2007/07/mes-de-los-fallos-de-los-motores-de.html

¿Dónde estoy?

Actualmente estás explorando la categoría mes de… en Seguridad Informática.