Este término se ha comenzado a utilizar entre lo que se conoce como Terminologia BlackHat.
Este es un tipo de ataque evolucionado de XSS.

El Cross-site request forgery (CSRF) o falsificación de petición en sitios cruzados es un tipo de malicioso de un sitio web en el que comandos no autorizados son transmitidos por un usuario en el cual el sitio web confía. Esta vulnerabilidad es conocida también por otros nombres como XSRF, enlace hostil, ataque de un click, cabalgamiento de sesión, y ataque automático.

Se trata de una técnica prácticamente desconocida pero extremadamente peligrosa que permite aprovechar que tenemos abierta una sesión en el navegador con un sitio fiable (un banco, gmail, …) para que desde el código HTML de una página que estemos visitando se cree una petición que podría tener la consecuencia de enviar una petición (legítima en apariencia porque procede de un navegador en el que mantenemos una sesión válida abierta) a la aplicación web del banco para que realice una operación sin que sea en ningún momento evidente.

Los riesgos que supone esta técnica son enormes (pueden acusar a alguien de acceder a sites de pornografía infantil o habilitar un filtro en el correo para que todos los mensajes se reenvien a una tercera cuenta y, entre otras cosas, robar dominios o cambiar contraseñas gracias a los mensajes de confirmación).

Recursos:

• CSRF o Cross Site Request Forgery
• Más información y un ejemplo
• CSRT Desmitificado (inglés)
• Presentación de Jeremiah Grossman en SlideShare
• Vulnerabilidades CSRF en aplicaciones web

Redacción de Segu-Info

Un defacer logró que durante unas horas un web de un gobierno local en China mostrara la foto de una chica en ropa interior en lugar de la del director del Buró de Comercio local, informaron los medios de comunicación chinos.

La chica apareció en la web del gobierno de Jingzhou, en la provincia central de Hubei, lo que motivó que varios internautas avisaran de ello al periódico local y éste lo reportara al citado buró, según el portal de noticias chino Sohu.com.

Además de la foto, aparecía un texto con un supuesto comunicado en el que ofrecía “un brindis por el cumpleaños de su novia”.

La página modificada recibió más de 9.000 visitas la semana pasada, y ha retirado ya la foto de la chica.

La noticia en Sohu recibió numerosos comentarios de los internautas, que bromearon calificando a la chica como “la líder más sexy de la historia” y pidieron que no fuera retirada.

Fuente:

http://www.mx.terra.com/tecnologia/interna/0,,OI3383318-EI4130,00.html

http://www.chinasmack.com/stories/government-website-hacked-official-now-sexy-girl/

Los sistemas móviles se vuelven más parecidos a una computadora que a un teléfono, por lo que tambien son vulnerables al phishing y spam que tienen las PC.

Hace algunos años los usuarios de teléfonos celulares tenían que preocuparse por la “clonación” de su línea, y los perjudicados sufrían por grandes facturaciones de minutos que otros hicieron al robar su señal.

La buena noticia es que eso se pudo superar con las tecnologías digitales, que incluyen mecanismos de encriptación y autentificación.

La mala noticia es que ahora se presenta un nuevo riesgo: los sistemas móviles se vuelven más parecidos a una computadora que a un teléfono, por lo que son vulnerables a las mismas amenazas de hackeo, phishing y spam que tienen las PC.

Erasmo Rojas, presidente de 3G Américas, explicó con las redes de Tercera Generación y el boom en los llamados smartphones, como BlackBerry, iPhone o Treo (Palm) y otros PDA, el almacenamiento y resguardo de la información se vuelve crítico, sobre todo si se trata de archivos o datos de empresa o que pueden ser muy sensibles.

Destaca por ejemplo la importancia de garantizar transacciones financieras o compras seguras a través de dispositivos móviles, agregó. “Este tipo de operaciones crea más presión para que los sistemas de seguridad sean fortalecidos”, sostuvo Rojas.

Explicó que hace unos años las aplicaciones de los teléfonos móviles eran vendidas únicamente por los operadores celulares, o a través de estas empresas, las cuales podían comprobar que estos productos estaban libres de amenazas a través de pruebas en sus laboratorios.

Sin embargo, esta muralla se cayó cuando llega la posibilidad de descargar contenidos desde el propio celular, que son provistos por terceros y por lo tanto el operador no puede asegurar que se trate de una fuente segura.

“Esto magnifica el problema, por lo que se espera que en dos o tres años los programas de protección que se usan en las computadoras estén cargados en los dispositivos móviles”, indicó.

Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=2070

Si bien Sony lanzó hace poco una nueva PSP con una pantalla que prometía grandes mejoras respecto a las anteriores y un diseño más reducido que la versión anterior, aún no había sido hackeado. Pero teniendo la abultada Scene que tiene y la cantidad de empresas que desarrollan productos para ella era cuestión de tiempo que este modelo se pudiera hackear.

Datel ha presentado su producto Datel Lite Blue Tool que no es más que una nueva batería que arranca la consola en el denominado “service mode” que permite flashear la consola a cualquier versión anterior de firmware ya modificado por la Scene. La batería tiene un coste de 29,99 dólares en américa y 19,99 dólares en Europa.

Hasta el último modelo la técnica usada se conocía como Pandora, pero con la PSP-3000 no funciona. Por tanto Datel ha empleado tiempo y dedicación en encontrar la alternativa y por fin se ha materializado. Según parece han tenido que identificar en la nueva placa el chip que controla el acceso al modo service y una vez encontrado han encapsulado en la batería el servicio de descifrado del modo haciendo posible usarla como batería normal o batería de servicio. Válida para PSP-2000 ó PSP-3000.

Fuente: http://www.theinquirer.es/2008/11/19/la-nueva-psp-3000-ya-hackeble.html