Negar la evidencia

No.
"Sentido Comun", es quel por el cual dificilmente te dan el timo de la estampita en la vida real. Lo mismo hay que aplicarlo al mundo virtual de Internet.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Ille Corvus" wrote in message news:

El Sun, 11 Jan 2004 14:00:14 +0100, "Peni"
escribio:

Si hay una muy sencilla: sentido comun/prudencia

"sentido comun" = conocimiento del problema/agujero y posibles
soluciones y/o alternativas.




Ille Corvus. Hic et Nunc.

Define vulnerabilidad.
Que tu tambien eres de los "capciosos".

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Ille Corvus" wrote in message news:

El 11 Jan 2004 02:05:15 -0800, escribio:

Hace poco en estos foros se negó la evidencia de una vulnerabilidad
por la mera circunstancia de perjudicar a Microsoft, y ahora sale a la
luz el empleo de la misma. Esta noticia está copiada de
www.hispasec.com

Esperar a que m-s saque el parche en cuestion (zzzZZZzzz) previsto
para el segundo martes de cada mes... :-)

Se puso hace tiempo las soluciones -> teclear directamente la
direccion URL en el navegador, o instalarte un navegador alternativo
como Opera o Mozilla.




Ille Corvus. Hic et Nunc.

Hash: SHA1

Saludos a los participantes del foro.

No conocía este foro, pero un lector de "una-al-dia" me ha
escrito
comentándome que había un "MVP" negando la evidencia de
una de las
vulnerabilidades de Internet Explorer y descalificándonos
(a
Hispasec).

Jose Manuel Tella Llop escribió:
"Por otra parte, hispasec ha pasado de ser un centro de
noticias
serias, a ser simplemente un negocio periodistico que solo
vuelca las
noticias y los enfoques que le interesan."

En Hispasec no hay ningún periodista, y las notas de "una-
al-día" que
publicamos de forma gratuita no obtienen ningún tipo de
ingreso, ni
recibimos por ellas ningún trato de favor por parte de
terceros.

Jopse Manuel Tella Llop escribió:
"¿que pasa con esta vulnerabilidad en los sitios de
noticias como
Hispasec?... La recogen y "solo" dan tambien informacion
parcial de
como removerlo porque no les interesa meterse en camisas
de 11 varas
contra los consumidores. ¿es serio?... NO.
Unicamente en ciertas paginas serias (el CERN -maximo
organo de
seguridad mundial- y en ciertas paginas de Antivirus como
VsAntivirus, aconsejan -recomiendan al maximo- el
formateo."

Está mezclando conceptos. La vulnerabilidad en sí no
requiere el
formateo, sino el compromiso del sistema.

Cuando una máquina que ha sido comprometida, de manera
independiente
por la vulnerabilidad utilizada (sea la del interfaz RPC,
o cualquier
otra), se suele recomendar el formateo de la misma, por la
dificultad
que puede entrañar para los no profesionales detectar si
se ha
troyanizado el sistema.

Si el sistema es comprometido por un gusano de propagación
masiva,
del que se conoce exáctamente como trabaja y las
modificaciones que
hace en el sistema (blaster y compañía), se puede
desactivar de forma
fácil, y no requiere el formateo (el ejemplo más común es
el uso de
un antivirus).

Siempre cabe la posibilidad de que además del gusano un
atacante haya
comprometido el sistema de forma personalizada, por eso en
sistemas
muy sensibles se recomienda el formateo.

Bajo ese nivel de paranoia (que puede ser recomendable,
pero que es
complicado seguir en la práctica por usuarios de a pie),
cada vez que
descubramos una nueva vulnerabilidad crítica para nuestro
sistema,
habrá existido la posibilidad de que un atacante externo
la haya
aprovechado antes de que instaláramos el parche, y en
consecuencia
habría que formatear.

Como comprenderá, exigir ese nivel de seguridad a usuarios
de a pie
puede resultar para algunos excesivo (entre los que me
encuentro).
Aunque me parece oportuno que se explique tal posibilidad,
y que se
recomiende el formateo del sistema para mayor seguridad.
Eso sí,
después de formatearlo, si debe descargar los parches de
seguridad de
Internet estará de nuevo expuesto durante esa ventana de
tiempo, por
lo que para que la información fuera completa habría que
indicar
también la configuración de seguridad que deben establecer
justo
despues de formatear, instalar el sistema límpio, y antes
de
conectarse a cualquier tipo de red.

JM Tella Llop escribió:
"voy a pasar a explayarme un poco y ver lo que es una
vulnerabilidad,
o bien algo predefinido en las RFC que definen todo el
comportamiento
del tcp/ip y que son "inviolables" o sino, no funcionaría
ninguna
red."
[...]
"http://:nombre_sitio_web:puerto
Esta es la sintaxis completa. Y hay que respetarla y
ejecutarla."

Vuelve a equivocarse. La nueva vulnerabilidad de Internet
Explorer
utilizada para la falsificación de URL es una variante que
afecta
exclusivamente a Internet Explorer, y que ni por asomo
tiene el mismo
efecto que describe.

No se puede excusar en las RFC, porque no tiene nada que
ver. De
hecho, navegadores como Opera o Mozilla cumplen
perfectamente con la
RFC y con la sintaxis que usted describe, y sin embargo no
les afecta
la nueva variante de URL spoofing que está siendo
aprovechada contra
los usuarios de Internet Explorer (como en el reciente
caso del Banco
Popular).

Y le aseguro que esos otros navegadores "funcionan" en
red :)

Es el uso de los caracteres %00 %01 lo que provoca que
Internet
Explorer no muestre la URL real en la barra de direcciones
(aunque
sea enmascarada), SOLO aparece la URL falsa, por lo que el
usuario no
puede detectar a simple vista que se encuentra en otra
dirección. Ese
"comportamiento" no está descrito en ninguna RFC, ni es
necesario
para nada (a excepción de para ser aprovechado en estafas y
similares).

Si prueba alguno de los tests (en Hispasec tenemos algunas
páginas de
demostración), podrá comprobar como otros navegadores
muestran la URL
completa, y en algunos casos, como Opera, hasta visualiza
una ventana
de advertencia alertando al usuario e indicando la página
real a la
que va a ser dirigido.

Sin ánimo de entrar en ningún tipo de polémica, espero que
mi mensaje
sirva para aclarar algunas dudas y corregir ciertas
afirmaciones
erróneas (a mi entender) publicadas en el foro.

Saludos cordiales,

Bernardo Quintero

Define vulnerabilidad.

Error o 'caracteristica' de (normalmente) software que permite
realizar acciones con el que no estan previstas en su diseño (DoS,
XSS, desbordamientos de buffer, etc etc etc).
Un saludo,
JC

Te he respondido en el mensaje tuyo anterior en el otro hilo.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Bernardo Quintero" wrote in message news:514e01c3d8a5$7d4456e0$
Hash: SHA1

Saludos a los participantes del foro.

No conocía este foro, pero un lector de "una-al-dia" me ha
escrito
comentándome que había un "MVP" negando la evidencia de
una de las
vulnerabilidades de Internet Explorer y descalificándonos
(a
Hispasec).

Jose Manuel Tella Llop escribió:
"Por otra parte, hispasec ha pasado de ser un centro de
noticias
serias, a ser simplemente un negocio periodistico que solo
vuelca las
noticias y los enfoques que le interesan."

En Hispasec no hay ningún periodista, y las notas de "una-
al-día" que
publicamos de forma gratuita no obtienen ningún tipo de
ingreso, ni
recibimos por ellas ningún trato de favor por parte de
terceros.

Jopse Manuel Tella Llop escribió:
"¿que pasa con esta vulnerabilidad en los sitios de
noticias como
Hispasec?... La recogen y "solo" dan tambien informacion
parcial de
como removerlo porque no les interesa meterse en camisas
de 11 varas
contra los consumidores. ¿es serio?... NO.
Unicamente en ciertas paginas serias (el CERN -maximo
organo de
seguridad mundial- y en ciertas paginas de Antivirus como
VsAntivirus, aconsejan -recomiendan al maximo- el
formateo."

Está mezclando conceptos. La vulnerabilidad en sí no
requiere el
formateo, sino el compromiso del sistema.

Cuando una máquina que ha sido comprometida, de manera
independiente
por la vulnerabilidad utilizada (sea la del interfaz RPC,
o cualquier
otra), se suele recomendar el formateo de la misma, por la
dificultad
que puede entrañar para los no profesionales detectar si
se ha
troyanizado el sistema.

Si el sistema es comprometido por un gusano de propagación
masiva,
del que se conoce exáctamente como trabaja y las
modificaciones que
hace en el sistema (blaster y compañía), se puede
desactivar de forma
fácil, y no requiere el formateo (el ejemplo más común es
el uso de
un antivirus).

Siempre cabe la posibilidad de que además del gusano un
atacante haya
comprometido el sistema de forma personalizada, por eso en
sistemas
muy sensibles se recomienda el formateo.

Bajo ese nivel de paranoia (que puede ser recomendable,
pero que es
complicado seguir en la práctica por usuarios de a pie),
cada vez que
descubramos una nueva vulnerabilidad crítica para nuestro
sistema,
habrá existido la posibilidad de que un atacante externo
la haya
aprovechado antes de que instaláramos el parche, y en
consecuencia
habría que formatear.

Como comprenderá, exigir ese nivel de seguridad a usuarios
de a pie
puede resultar para algunos excesivo (entre los que me
encuentro).
Aunque me parece oportuno que se explique tal posibilidad,
y que se
recomiende el formateo del sistema para mayor seguridad.
Eso sí,
después de formatearlo, si debe descargar los parches de
seguridad de
Internet estará de nuevo expuesto durante esa ventana de
tiempo, por
lo que para que la información fuera completa habría que
indicar
también la configuración de seguridad que deben establecer
justo
despues de formatear, instalar el sistema límpio, y antes
de
conectarse a cualquier tipo de red.

JM Tella Llop escribió:
"voy a pasar a explayarme un poco y ver lo que es una
vulnerabilidad,
o bien algo predefinido en las RFC que definen todo el
comportamiento
del tcp/ip y que son "inviolables" o sino, no funcionaría
ninguna
red."
[...]
"http://:nombre_sitio_web:puerto
Esta es la sintaxis completa. Y hay que respetarla y
ejecutarla."

Vuelve a equivocarse. La nueva vulnerabilidad de Internet
Explorer
utilizada para la falsificación de URL es una variante que
afecta
exclusivamente a Internet Explorer, y que ni por asomo
tiene el mismo
efecto que describe.

No se puede excusar en las RFC, porque no tiene nada que
ver. De
hecho, navegadores como Opera o Mozilla cumplen
perfectamente con la
RFC y con la sintaxis que usted describe, y sin embargo no
les afecta
la nueva variante de URL spoofing que está siendo
aprovechada contra
los usuarios de Internet Explorer (como en el reciente
caso del Banco
Popular).

Y le aseguro que esos otros navegadores "funcionan" en
red :)

Es el uso de los caracteres %00 %01 lo que provoca que
Internet
Explorer no muestre la URL real en la barra de direcciones
(aunque
sea enmascarada), SOLO aparece la URL falsa, por lo que el
usuario no
puede detectar a simple vista que se encuentra en otra
dirección. Ese
"comportamiento" no está descrito en ninguna RFC, ni es
necesario
para nada (a excepción de para ser aprovechado en estafas y
similares).

Si prueba alguno de los tests (en Hispasec tenemos algunas
páginas de
demostración), podrá comprobar como otros navegadores
muestran la URL
completa, y en algunos casos, como Opera, hasta visualiza
una ventana
de advertencia alertando al usuario e indicando la página
real a la
que va a ser dirigido.

Sin ánimo de entrar en ningún tipo de polémica, espero que
mi mensaje
sirva para aclarar algunas dudas y corregir ciertas
afirmaciones
erróneas (a mi entender) publicadas en el foro.

Saludos cordiales,

Bernardo Quintero