2B2T T2 |ep8| ¿COMO JUGAR EN 2B2T? EL SERVIDOR MAS ANTIGUO DE MINECRAFT
Después de que Adobe Systems les pidiera que no dijeran nada acerca de sus hallazgos, dos investigadores de seguridad se retiraron de una charla técnica en la que iban a demostrar cómo podían tomar el control del navegador de una víctima usando un ataque en línea llamado 'clickjacking'. ''
Robert Hansen y Jeremiah Grossman debían pronunciar su charla la próxima semana en la conferencia OWASP (Open Web Application Security Project) en Nueva York. Pero el código de prueba de concepto que habían desarrollado para mostrar cómo funcionaba su ataque de clickjacking divulgó un error en uno de los productos de Adobe. Después de una semana de discusiones con Adobe, los investigadores decidieron el viernes pasado hablar.
Aunque Hansen y Grossman creen que la falla del clickjacking recae en la forma en que se diseñan los navegadores de Internet, Adobe los convenció de detener su discusión hasta que puedan lanzar un parche. "Adobe cree que pueden hacer algo para dificultar el pirateo", dijo Grossman, CTO de White Hat Security, en una entrevista.
En un ataque de clickjacking, el atacante engaña a la víctima para que haga clic en enlaces web maliciosos sin darse cuenta. Este tipo de ataque se conoce desde hace años, pero no se consideró particularmente peligroso. Los expertos en seguridad pensaron que podría usarse para cometer fraude de clics publicitarios o para inflar las calificaciones de Digg para una página web, por ejemplo.
Sin embargo, al escribir su código de prueba de concepto, Hansen y Grossman se dieron cuenta de que serio de lo que habían pensado en un principio.
"Cuando finalmente lo construimos y obtuvimos la prueba del concepto, fue bastante desagradable", dijo Grossman. "Si controlo en lo que haces clic, ¿cuánto puedo hacer? Resulta que puedes hacer muchas cosas realmente malas".
Ni Grossman ni Hansen, director general de la consultora SecTheory, querían entrar en detalles. de su ataque. Sin embargo, Tom Brennan, el organizador de la conferencia OWASP dijo que había visto el código de ataque demostrado y que le permite al atacante tomar el control completo del escritorio de la víctima. Los investigadores dicen que Adobe no les presionó para que dejaran de hablar. "Esto no es un mal 'el hombre está tratando de mantener la situación de los hackers'", escribió Hansen el lunes en su blog.
A última hora del lunes, Adobe publicó una nota agradeciendo a los investigadores por mantener el error privado e indicando que La compañía está trabajando en reparar el problema.
Incluso si divulgar el error puede ayudar a los atacantes, Brennan de OWASP dijo que los investigadores deberían seguir adelante y dar su charla para darles a los profesionales de TI la oportunidad de comprender la verdadera naturaleza de la amenaza.. "Hay un problema de día cero en los navegadores que afecta a millones de personas hoy en día", dijo. "Cuando una persona lo analiza, pone a todos en el mismo campo de juego".
Hansen y Grossman dicen que también esperan que Microsoft parchee un error relacionado en Internet Explorer, y que muchos otros navegadores también se vean afectados por el problema del clickjacking. "Creemos que es más o menos un problema de seguridad del navegador", dijo Grossman.
SAP confirma la contratación de Wookey, señala una nueva solicitud bajo demanda
SAP confirmó la contratación del ex ejecutivo de aplicaciones de Oracle John Wookey.
Más grupos Solicitud de estrategia nacional de banda ancha
Varios grupos piden una política nacional de banda ancha en los EE. UU.
Solicitud de Palm para tienda App El asesoramiento se abre Floodgate
Palm se sorprendió al responder a una publicación de blog solicitando información sobre cómo debería funcionar su nueva tienda de aplicaciones .