SW3 – Blog|Site development and design

internet explorer bloqueado

Otro de los motivos por el cual internet Explorer es inseguro es porque sus servicios de protección contra sitios Maliciosos phishing, Ataques de suplantación de identidad no son para nadas eficientes.

Hemos testeado varios sitios, los cuales Google Chorme y Firefox nos han advertido sobre sus posibles malas intenciones.   Sitios Web, que incluso intenta hacerse pasar o realizan suplantación de identidad, de sitios Web oficiales de MSN, o que proveen servicios para mejorarlo en uso del MSN.

Sin embargo Internet Explorer No advierte sobre ninguno de ellos.

Actualmente Google Chorme y Firefox provee de una de las mejores redes de control de seguridad creadas para que los usuarios puedan advertir sobre sitios que realizan suplantación de identidad y nos proponen continuar bajo mi propio riesgo con mensajes que los usuarios de Chorme y Firefox ya estamos familiarizados como:

Firefox nos advierte:

Esta página web en ########## ha sido informada como fraudulenta y ha sido bloqueada según sus preferencias de seguridad.
Los fraudes web están diseñados para engañarlo para que revele información personal o financiera imitando fuentes en las que confía.
Ingresar cualquier información en esta página web puede resultar en robo de identidad o algún otro fraude.

Advertencia phishing Firefox

En http://www.mozilla.com/en-US/firefox/phishing-protection/firefox2/ nos explica mas detalles:

Protección contra el phishing
Firefox 2 o posterior contiene un built-in función de protección contra “phishing” que advierte de presuntas falsificaciones Web, y ofrece para llevarlo directamente a una página de búsqueda para encontrar la página web que realmente estabas buscando.

Google Chorme nos advierte:

Advertencia: Posible sitio de phishing.
El sitio web en ############## se ha denunciado como un sitio de “phishing”. Este tipo de sitios engañan a los usuarios para que revelen información personal o financiera, a menudo fingiendo ser instituciones de confianza, como bancos.

Advertencia phishing google chrome

Y nos dan aun más información sobre cómo protegernos y estar atentos a estos “delitos”
http://www.google.com/support/websearch/bin/answer.py?answer=106318&hl=es-419

Ataques de suplantación de identidad

¿Qué es la suplantación de identidad?

La suplantación de identidad es un tipo de ataque que se realiza con la finalidad de robar información privada, como credenciales de acceso o números de tarjetas de crédito, normalmente para cometer distintos tipos de fraudes financieros. El atacante se hace pasar por una entidad de confianza, como un banco, un organismo gubernamental, un proveedor de servicios de Internet o un sitio web de renombre, e intenta engañar a los usuarios para que le faciliten su información privada. Estos ataques se suelen producir a través de mensajes de correo electrónico “urgentes” en los que se pide al destinatario que realice inmediatamente alguna acción para evitar un desastre inminente. A continuación se muestran algunos ejemplos de este tipo de mensajes:

• “Nuestro banco dispone de un nuevo sistema de seguridad. Actualice su información ahora o no podrá acceder a su cuenta”.
• “No hemos podido verificar su información; haga clic aquí para actualizar su cuenta”.
• En algunas ocasiones, los mensajes de correo electrónico indican que le va a suceder algo horrible al remitente (o a un tercero); por ejemplo: “30.000.000 euros acabarán en manos del Gobierno a menos que me ayude a transferirlos a su cuenta bancaria”.

Las personas que hacen clic en los enlaces de estos mensajes de correo electrónico pueden ser dirigidas a un sitio de suplantación de identidad, es decir, a una página web que tiene la apariencia de un sitio legítimo que han visitado anteriormente, pero que realmente está controlada por un atacante. Al tener la página un aspecto familiar, las personas que visitan estos sitios de suplantación de identidad introducen en ellos su nombre de usuario, su contraseña u otra información privada. Al introducir estos datos, lo que están haciendo sin saberlo es facilitar a un tercero toda la información necesaria para usurpar su cuenta, robarle el dinero o abrir nuevas líneas de crédito en su nombre. Han caído en la trampa del ataque de suplantación de identidad.

El principio en el que se basa este tipo de ataque es sencillo: alguien se hace pasar por otra persona o entidad para conseguir información personal u otro tipo de datos confidenciales de las víctimas del ataque. Estos atacantes pueden hacerse pasar por casi cualquier tipo de entidad, incluidos bancos, proveedores de aplicaciones y correo electrónico, vendedores online, servicios de pago online e incluso organismos gubernamentales. Aunque algunos de estos ataques son rudimentarios y fáciles de detectar, otros muchos son sofisticados y están bien preparados. Ese mensaje de correo electrónico de “tu banco” puede parecer muy real y la “página de acceso” a la que se te redirige también puede parecer completamente legítima, aunque ambos sean falsos.

¿Qué puedes hacer para evitar los ataques de suplantación de identidad?

Afortunadamente, puedes adoptar algunas medidas para evitar los sitios y ataques de suplantación de identidad:

• Ten cuidado con los mensajes de correo electrónico en los que te pidan que proporciones información confidencial. No te fíes de los enlaces incluidos en los mensajes de correo electrónico ni de los mensajes en los que se soliciten números de cuenta, nombres de usuario y contraseñas u otros datos personales, como los números del DNI. La mayor parte de las empresas legítimas nunca solicitan este tipo de información por correo electrónico. Google es una de ellas.
• Accede al sitio desde tu navegador en vez de hacer clic en enlaces de mensajes de correo electrónico sospechosos. Si recibes un mensaje en el que se te solicite información confidencial pero crees que puede ser legítimo, abre una ventana nueva del navegador y accede al sitio web de la organización como harías normalmente (por ejemplo, utilizando un marcador o introduciendo la dirección del sitio web de la organización). De esa forma, existirán más probabilidades de que estés accediendo al sitio web de la organización en lugar de entrar en un sitio de suplantación de identidad y, si realmente debes hacer algo, normalmente habrá una notificación en el sitio. Si tienes dudas sobre una solicitud que has recibido, no dudes en ponerte en contacto directamente con la organización para resolverlas. Sólo tardarás unos minutos en acceder a su sitio web, buscar una dirección de correo electrónico o un número de teléfono de atención al cliente y comunicarte con la organización para confirmar la legitimidad de la solicitud.
• Si has entrado en un sitio en el que te piden que introduzcas información confidencial, busca cualquier señal sospechosa. Si has entrado en un sitio en el que te piden que proporciones información confidencial (independientemente de cómo hayas accedido a él), busca señales que indiquen que realmente se trata del sitio web oficial de la organización. Por ejemplo, comprueba la URL para asegurarte de que la página realmente pertenece al sitio web de la organización y que no se trata de una página fraudulenta perteneciente a un dominio distinto (como mybankk.com o g00gle.com). Si has entrado en una página que deba estar protegida como, por ejemplo, una página en la que te pidan que introduzcas la información de tu tarjeta de crédito, comprueba que la URL empiece por “https” y que aparezca un icono de candado en el navegador. (En Firefox e Internet Explorer 6, el candado aparece en la esquina inferior derecha de la pantalla; en Internet Explorer 7, aparece en la parte derecha de la barra de direcciones). Estas señales no son infalibles, pero son un buen punto de partida.
• No te fíes de las “fabulosas ofertas” ni de los “fantásticos premios” que puedes encontrar a veces en Internet. Si algo parece demasiado bueno para ser verdad, probablemente sea así, y es posible que un atacante esté intentando robarte información. Cada vez que encuentres una oferta en Internet que no puedas aprovechar si no facilitas información personal u otro tipo de información confidencial, asegúrate de hacer muchas preguntas y de buscar cualquier señal sospechosa en el sitio que solicita la información.
• Utiliza un navegador que tenga un filtro de ataques de suplantación de identidad. Las últimas versiones de la mayoría de los navegadores incluyen filtros de este tipo que pueden ayudarte a detectar posibles ataques de suplantación de identidad.

también podes ver:
¿Quieres saber quién te tiene no admitido/eliminado en el MSN?

Seguro que has escuchado infinidad de veces que Google Chrome es el navegador perfecto pero que no dispone de las extensiones y complementos necesarios para poderlo utilizar como navegador principal a la hora de trabajar, Chrome hasta el momento admitía los complementos necesarios para navegar por Internet sin problemas (Flash, Acrobat Reader, Java, Windows Media Player, Real Player, Quicktime, etc…), pero muchos usuarios necesitan poder personalizar el navegador acorde con sus necesidades, este es sin duda el punto fuerte de Mozilla Firefox su gran competidor si atendemos al perfil de usuario de ambos navegadores, por el momento la batalla con la gran mayoría de los usuarios está perdida ya que estos usuarios utilizaran Internet Explorer al tratarse del navegador por defecto, nunca mejor dicho lo de defecto. Por lo tanto estamos de acuerdo en que los complementos dotan a los navegadores de mayor versatilidad, ofreciendo a los usuarios una mejor experiencia y añadiendo nuevas características y opciones de navegación.

La llegada de las extensiones a Chrome lo convierten en una gran alternativa

Gracias a las extensiones Google Chrome va a conseguir poco a poco ir comiendo terreno a Firefox, queda pendiente ver si las extensiones poco a poco deterioran el rendimiento del navegador, la verdad es que aún muchas extensiones no igualan en funcionalidades a las desarrolladas para Firefox y son la gran mayoría mucho más livianas, este hecho nos permite que el navegador siga funcionando rápido y fluido pero por otro lado en muchas ocasiones estas extensiones se quedan un poco cortas si lo que queremos es prescindir totalmente de Firefox y más aún si trabajas diseñando o programando aplicaciones web

Top 10 extensiones Google Chrome

Ahora que Google ha prometido un gran número de extensiones en su nueva versión del navegador, veremos muchas listas que nos recomendarán las mejores extensiones del momento. Veamos 10 extensiones que podemos usar con Google Chrome y que nos permiten aumentar nuestra productividad diseñando y programando aplicaciones.

• Firebug
• Pendule
• META seo Inspector
• Aviary Screen Capture
• Lorem Ipsum
• Resolution Test
• Chrome SEO
• IE Tab
• Speed Tracer
• Validity

Sólo uno puede quedar vivo y en este caso ha sido el navegador estrella de Google. iPhone, Safari, Explorer e incluso el consagrado Firefox han caído sin problemas en manos de los mejores hackers del mundo que se reúnen todos los años en Canadá para tratar de reventar los sistemas más famosos del momento y señalar sus fallos de seguridad. Sin embargo, no han podido vulnerar el durísimo modo “sandbox” que protege a Chrome, todo un coloso que ha resistido los ataques de los mejores expertos informáticos del planeta.

Google Chrome: ¿El navegador más seguro del mundo?

Quizá si, quizá no, pero lo que sabemos es que en el evento de seguridad informática “Pwn2Own“, el único navegador que quedó en pie fue el de la Google Chrome

Este evento reunió a hackers y crackers, quienes probaron al máximo la seguridad de los navegadores web (Internet Explorer 8, Safari, Firefox, Google Chrome) y también la seguridad de los dispositivos móviles.

Una pena que Safari quede como el más inseguro, ya que sólo le tomo 10 segundos a Charlie Miller, vulnerar el navegador manzanero, llevándose así 5.000 dólares.

El segundo más vulnerable es Internet Explorer 8, en tercer puesto tenemos a Firefox y quien no se dejó ganar es el ya comentado Chrome. Es bueno realizar este tipo de eventos, tecnología y seguridad deben ir de la mano. Gracias a Geekool por el aviso.

Sólo uno puede quedar vivo y en este caso ha sido el navegador estrella de Google. iPhone, Safari, Explorer e incluso el consagrado Firefox han caído sin problemas en manos de los mejores hackers del mundo que se reúnen todos los años en Canadá para tratar de reventar los sistemas más famosos del momento y señalar sus fallos de seguridad. Sin embargo, no han podido vulnerar el durísimo modo “sandbox” que protege a Chrome, todo un coloso que ha resistido los ataques de los mejores expertos informáticos del planeta.

El concurso anual Pwn2Own en la feria de seguridad CanSecWest en Vancouver ofrece el entorno perfecto para que los mejores expertos en seguridad informática del mundo se dediquen a pleno rendimiento contra todo tipo de dispositivos y software que están de moda. Año tras año, consiguen burlar las trabas de seguridad que pretenden imponer los sistemas sometidos a examen, pero apenas unos pocos tienen el honor de llegar al final del concurso sin una sola falla.

El primero en caer fue el exitoso iPhone de Apple.Vincenzo Iozzo y Ralf Philipp Weinmann apenas necesitaron 20 segundos para dejar en ridículo al aparato más demandado del momento. Los hackers sólo hicieron que el iPhone (sin jailbreak) ingresara en un sitio previamente desarrollado por ellos, desde donde copiaron toda la base de datos de SMS (incluso los eliminados) a sus servidores. Declararon que a pesar de existir esfuerzos por parte de Apple para impedir estas brechas “la forma en que implementaron la firma de código es demasiado indulgente”. Ganaron 15.000 $ por esta demostración de inteligencia y en cuanto la empresa de la manzana repare el error de seguridad, serán mostrados los detalles del acceso.

Charlie Miller, analista principal de seguridad en Independent Security Evaluators, logró hackear Safari en un MacBook Pro con Snow Leopard y sin acceso físico, con lo que ganó10,000 dólares. Este perro viejo del evento consigue reventar todos los años algún dispositivo propiedad de Apple. Se diría que le tiene tomado el pulso a la marca. No estaría de más que la empresa lo contratara para ver si de una vez por todas logran acabar con las fallas de seguridad de sus productos.

El investigador de seguridad independiente Peter Vreugdenhil ganó la misma cantidad por el hackeo de Internet Explorer 8, que ya no sorprende a nadie ver una edición y otra también, como cae fulminado ante los ataques de cualquier experto que se lo proponga. Para hackear IE8 Vreugdenhil dijo haber explotado dos vulnerabilidades en un ataque de cuatro partes que evitaban ASLR (Address Space Layout Randomization) y DEP (Data Execution Prevention), que están diseñadas para ayudar a detener ataques en el navegador. Como en otros intentos, el sistema estaba comprometido cuando el navegador visitó un sitio que alojaba código malicioso. El fallo le dio derechos en el ordenador, que demostró haciendo trabajar la calculadora de la máquina.

Firefox también tuvo que doblar la rodilla ante la maña de Nils, jefe de investigación en el Reino Unido de MWR InfoSecurity, que ganó 10,000 dólares a costa de la vulnerabilidad del navegador que está quitándole el sueño a Microsoft. Nils dijo haber explotado una vulnerabilidad de corrupción de memoria y que también tuvo que superar ASLR y DEP gracias a un fallo en la implementación de Mozilla.

Y finalmente, el único que se ha mantenido en pie ha sido Chrome. Hasta ahora es el único navegador que se mantiene invicto, algo que ya había conseguido durante la edición 2009 de este evento que se realiza en Canadá y que busca advertir a los usuarios de las vulnerabilidades de los programas. “Hay fallas en Chrome, pero son muy difíciles de explotar. Ellos diseñaron un modelo de ‘caja de arena’ (sandbox), que es muy complicado de vulnerar“, dijo Charlie Miller, el famoso hacker, y que en esta edición logró tomar el control de Safari en un Macbook Pro.

Charlie Miller, un frecuente ganador de competiciones entre hackers, asegura que Flash hace que losnavegadores sean inseguros y que Linux no será tan seguro como muchos piensan.

Miller ha sido el ganador Pwn2Own y fue entrevistado por la web especializada en seguridad OneITSecurity. Este experto dice que Linux (en función de la distribución) es tan vulnerable como otros sistemas operativos, ya que la mayoría de los ataques vienen desde el navegador. Los piratas informáticos no atacan el sistema operativo Linux, porque este no se utiliza ampliamente.

En cuanto a los navegadores, Miller asegura que el Chrome o Internet Explorer 8 son los más seguros paraWindows 7, ya que no tienen Flash instalado.

En cuanto a sistemas operativos realizando una comparación entre Windows 7 y OS X Snow Leopard, Millard dice que Windows 7 es un poco más seguro, al incluir la tecnología ASLR (aleatorización del espacio de direcciones de diseño).

Puede leer la entrevista en su totalidad en http://www.oneitsecurity.it/01/03/2010/interview-with-charlie-miller-pwn2own/

Cuál es el navegador más rápido del momento

Desde Betanews nos llegan los resultados de un intensivo test con los últimos navegadores, y a nadie le deberían sorprender los resultados después de la bomba que nos lanzaron ayer unos chicos noruegos. Teniendo como base del índice a IE7 (1.0) como el navegador más lento,
tenemos a Opera 10.50 como ganador destacado (24.52),
Chrome (22.32),
Safari/Webkit (20.83),
Firefox (13.29)
y finalmente IE8 (1.55).

Como vemos el Opera ha adelantado por la derecha a todos los navegadores, Chrome y Safari le siguen de cerca, Firefox se queda a mitad de camino e IE8 avanza pero sigue jugando en otra liga. Y todo esto teniendo en cuenta que el motor está incompleto y que ciertos elementos no han sido depurados (como las tablas).

Para realizar estos tests han elegido diez baterías de tests de diferentes autores, para medir la compatibilidad y rapidez del navegador en CSS, Javascript, tablas, canvas, elementos 3D, etc. Algunos tests como el V8 de Chrome o el Dromadeo de Mozilla no se han tenido en cuenta porque no son proporcionales. Además, estos navegadores se han ejecutado sobre Windows 7, sistema para el que supuestamente todos ellos están optimizados.

Enlace | Resultados del tests de Betanews

¿Qué les parece a ustedes, concuerdan estos resultados con sus percepción?