JetPack y TwentyFifteen Vulnerable a DOM-based XSS

JetPack y TwentyFifteen vulnerables.

Cualquier Plugin de WordPress o tema que aprovecha el paquete genericons es vulnerable a una DOM-based Cross-Site Scripting (XSS) debido a un archivo inseguro incluido con genericons. Hasta el momento, el plugin JetPack (informó de que tiene más de 1 millón de instalaciones activas) y el tema TwentyFifteen (instalado por defecto) se encuentran ser vulnerable. El número exacto es difícil de entender, pero el plugin y el tema son instalaciones por defecto en millones de WordPress instala. El tema principal aquí es el paquete genericons, por lo que cualquier plugin que hace uso de este paquete es potencialmente vulnerable si se incluye el archivo example.html que viene con el paquete.

 

DOM-based XSS

La vulnerabilidad XSS es muy fácil de explotar y sucede a nivel Document Object Model (DOM). Si usted no está familiarizado con los ataques del DOM, el grupo de OWASP lo explica aqui bien:

DOM- based XSS es un ataque XSS en el que la carga útil de ataque se ejecuta como resultado de la modificación del Document Object Model (DOM) “medio ambiente” en el navegador de la víctima utilizado el script del lado del cliente original, por lo que el código del lado del cliente se ejecuta en un manera “inesperada”. Es decir, la propia página (la respuesta HTTP que es) no cambia, pero el código de cliente que figura en la página ejecuta de manera diferente debido a las modificaciones maliciosas que se han producido en el entorno de DOM.

Eso significa que la carga útil XSS nunca se envía hacia el lado del servidor y se ejecuta directamente en el navegador. Así que incluso alguien que use nuestra Sitio Web Firewall, puede ser vulnerable ya que nunca tiene la oportunidad de verlo. En este caso, hemos sido capaces de arreglar prácticamente el exploit, pero DOM-based XSS es muy difícil de bloquear.

DOM-based XSS también son un poco más difíciles de explotar, ya que requiere un cierto nivel de ingeniería social para conseguir que alguien haga clic en el enlace de explotar. Sin embargo, una vez que logren hacer esto, proporciona el mismo nivel del acceso que otros tipos de ataques de XSS (reflejado o almacenado).

0-days in the wild

Lo interesante de este ataque es que lo detectamos en los días antes de la divulgación. Conseguimos un informe sobre ello y algunos de nuestros clientes también conseguían informes que dicen que eran vulnerables y señalaban a:

http:// site.com/wp-content/themes/twentyfifteen/genericons/example.html#1< img/ src=1 onerror= alert(1)>

En esta prueba de concepto, el XSS impreso una alerta de javascript, pero podría ser utilizado para ejecutar javascript en tu navegador y hacerse cargo de la web si ha iniciado sesión como administrador.

Elimine el archivo genericons/example.html

Afortunadamente, la solución para esto es bastante sencillo. Elimine el archivo genericons/example.html o asegúrese de que tiene un WAF o IDS que está bloqueando el acceso a la misma. Debido a la baja gravedad, pero el impacto masivo, tendimos la mano a nuestra red de recibir relaciones en un intento de remendar prácticamente esto para millones de usuarios de WordPress tan pronto como sea posible.

Los anfitriones siguientes deberían haber remendado prácticamente o haber endurecido sus ambientes de esta cuestión desde hace una semana:

  • GoDaddy
  • HostPapa
  • DreamHost
  • ClickHost
  • Inmotion
  • WPEngine
  • Pagely
  • Pressable
  • Websynthesis
  • Site5
  • SiteGround

No podemos olvidar uno de los principios básicos de la seguridad, en el que debemos mantener un ambiente prístino de la producción. Esto significa que quitar debug o archivos de prueba antes de que se mude a la producción. En este caso, Automattic y el equipo de WordPress dejaron un archivo simple ejemplo.html que había encajada la vulnerabilidad. Lo qué es más preocupante aquí es el alcanzar el plugin y el tema se han combinado; que se instalan en muchos casos, por defecto en todas las instalaciones de WordPress. Simple descuido, que podría tener devastadores impactos en incautos propietarios de páginas web y las empresas.

Tenga en cuenta que a pesar de ser un DOM XSS, cualquier sitio detrás de nuestro Firewall Sitio Web ya están protegidos, pero si usted no tiene un WAF o IPS protegiendo su sitio, le recomendaría la eliminación de la example.html desde dentro del directorio genericons.

Tenga en cuenta que a pesar de ser un DOM XSS, cualquier sitio detrás de Sucuri Firewall Sitio Web ya están protegidos, pero si usted no tiene un WAF o IPS protegiendo su sitio, le recomendaría la eliminación de la example.html desde dentro del directorio genericons.

Texto obtenido de Tucancunix.net

SAT, robo de contraseñas y cobran devolución

El Servicio de Administración Tributaria (SAT) y la Procuraduría de la Defensa del Contribuyente (Prodecon) detectaron casos de robo de la identidad del contribuyente para hacer la declaración anual y  después cobrar el monto de la devolución de impuestos.

Oficinas del SAT en avenida Hidalgo, en la ciudad de México. Foto Cristina Rodríguez

Oficinas del SAT en avenida Hidalgo, en la ciudad de México. Foto Cristina Rodríguez

“Se suplanta la identidad de los contribuyentes con el objeto de presentar su declaración, reportar saldos a favor de Impuesto Sobre la Renta (ISR) con información ficticia y solicitar el depósito en la cuenta bancaria de un tercero”, explicaron las dependencias en un comunicado.

Detallaron que esta problemática está lesionando gravemente los derechos de los pagadores de impuestos, en particular a las personas físicas que obtienen ingresos por sueldos.

Cuando la persona física intenta presentar su declaración anual, se da cuenta que alguien ya lo hizo utilizando su contraseña. Con ello, el delincuente obtiene saldo a favor utilizando información ficticia.

“La gran mayoría de las quejas y denuncias recibidas por ambas instituciones provienen de contribuyentes que obtienen sus ingresos exclusivamente por salarios y resultan ser casos especialmente sensibles”, detalla el comunicado.

Cuando el contribuyente se da cuenta, el depósito ya está efectuado, colocándolo en un estado de inseguridad jurídica, pues ya no puede obtener su devolución y tiene que iniciar denuncia penal contra quien resulte responsable.

La Prodecon informó que prestará el servicio necesario para asesorar a los que resulten afectados por esta práctica.

Ni el SAT ni la Prodecon precisaron el monto a que ascendería el fraude, pero recomendaron a los contribuyentes cambiar periódicamente su contraseña y denunciar los casos para llevar a cabo la investigación correspondiente.

El SAT comunicó

“La gran mayoría de las quejas y denuncias recibidas por ambas instituciones provienen de contribuyentes que obtienen sus ingresos exclusivamente por salarios y resultan ser casos especialmente sensibles, ya que cuando se da cuenta el contribuyente afectado de la suplantación de su identidad, el depósito ya está efectuado a la cuenta de quien defrauda, colocándolo en un estado absoluto de inseguridad jurídica, pues ya no puede obtener su devolución y tendría que iniciar denuncia penal contra quien resulte responsable”, dijo el SAT.

Por su parte, la Prodecon consideró “trascendental dar a conocer y advertir sobre este tipo de prácticas indebidas e informa que prestará todo el apoyo necesario para asesorar y acompañar a los afectados que decidan presentar denuncia en el proceso penal respectivo. Resulta necesario emprender acciones que sancionen a los defraudadores de los contribuyentes cumplidos”.
Fuente: Tucancunix.net

Problem Solver – La cerveza que te ayuda a ser más creativo

Dicen que el alcohol no va a resolver nuestros problemas, pero una agencia de publicidad de Copenhague basándose en estudios científicos afirma exactamente lo contrario con su nueva cerveza Problem Solver. enteráte como esta cerveza puede ayudarte a sacar tu lado más creativo.

The problem solver beer

Ya me voy vieja, al rato vengo, voy a ponerme creativo y a resolver unos problemillas

 

De acuerdo al profesor Jennifer Wiley, de la Universidad de Illinois en Chicago, “un nivel de alcohol de 0,075% en la sangre es óptimo para la resolución creativa de problemas”. Allí esta la prueba científica de que un poco de alcohol puede ayudarnos a ser mas creativos.

En este sentido, y para ayudarnos a alcanzar nuestro máximo pico creativo, la agencia CP + B de Copenhague en asociación con el profesor Wiley, crearon “The problem Solver, una cerveza Pale Ale (una variedad de cerveza inglesa pálida y espumosa con un alto nivel del alcohol y lúpulo) en aras de alcanzar la máxima creatividad.

La mala noticia es que como el consumo excesivo de cerveza tendría el efecto contrario en la productividad creativa, la etiqueta de la “Problem Solver” viene impresa con una práctica tabla que muestra exactamente cuánto se debe beber, dependiendo de su peso corporal, para llegar a ese anhelado punto creativo.

La otra mala noticia es que actualmente, la cerveza “resolvedora de problemas” solo está disponible en algunos locales de cerveza artesanal en Copenhague. Urge legislar que la exporten muy pronto. ¡No se vale!

 

 

 

Fuente: isopixel

Blackphone, el primer teléfono anti espionaje

Al parecer al fin ha llegado el primer teléfono anti espionaje. Blackphone fue presentado el pasado lunes en Barcelona durante la celebración del World Mobile Congress y apuesta por ser una opción para todos aquellos usuarios que no pueden de ninguna manera comprometer la seguridad de sus comunicaciones.

MWC 2014: Blackphone, seguridad y privacidad por 459 euros

MWC 2014: Blackphone, seguridad y privacidad por 459 euros

Geeksphone no es otra compañía de teléfonos más tratando de añadir seguridad a un smarphone, si no es una compañía que aunada a la empresa Silent Circle ha diseñado seguridad a la que se le añade un teléfono móvil.

Silent Circle lleva años especializándose en la encriptación de datos para crear comunicaciones 100% seguras y en esta ocasión aposto por crear un equipo cuya función primordial fuera el anti espionaje.

En tiempos en que las comunicaciones han sido comprometidas incluso para los grandes mandatarios, este equipo viene a convencernos que la verdadera seguridad si es posible.

Por supuesto al enfocarse en la seguridad en el Blackphone se dejaron de lado algunas otras funciones, sin embargo tampoco es que este tan mal el equipo.

Blackphone cuenta con un sistema operativo denominado PrivatOS, el cual está basado en Android y es de código completamente abierto. Además hablamos de un equipo con un procesador de 4 núcleos a 2Ghz, Pantalla HD de 4.7 pulgadas, GPS, cámara principal de 8mpx y cámara secundaria de 1.3mpx.

Características bastante aceptables, sin embargo no apuesta mucho por el diseño ni los materiales de fabricación, ya que es color negro y bastante austero, además de contar solo con 16GB de memoria y sin una opción para tarjeta externa.

El Blackphone como parte de las aplicaciones de Silent Circle, el equipo viene con una suscripción por dos años para Silent Phone, Silent Text y Silent Contacts, asegurándonos una mayor encriptación en todas estas comunicaciones.

También se tiene la opción de contratar suscripción para Amigos y Familia, con lo cual aseguramos la comunicación con equipos que no cuenten con la encriptación de Silent Circle.

Y pasamos a la parte que seguramente todos se estarán preguntado. El costo del Blackphone será de aproximadamente $8177 pesos, y $19604 con las suscripciones de encriptación por dos años.

Un costo demasiado alto comparado con los demás equipos de gama alta que existen en el mercado, sin embargo habrá quienes requieran de tanta seguridad en sus comunicaciones que la inversión no les representará ningún problema.

Fuente: ABC

Carnaval Cancun 2014, Programa de Actividades Marzo 2

Artista que se presentara el dia 03 de Marzo en el Carnaval Cancun 2014 : Grupo Musical Banda Vaqueros

Programa de Actividades del Carnaval Cancun 2014 para el día 02 de Marzo del 2014
14:30 Concentración de comparsas, disfraces y carros alegóricos
16:00 Inicia el 2°
18:00 Concentración de comparsas
18:30 Presentacion de la Comparsa del H Ayuntamiento de Benito Juarez
18:45 Inicia el Concurso de comparsas categoría Adultos (9 comparsas)
20:45 Concurso de Disfraces Categoría Libre (9 Disfraces)
21:15 Show de los Reyes Infantiles Carnaval Cancun 2014 “Naydelin I” y “Edgar I”
21:30 Show de los Reyes Juveniles 2014 “Meztli I” y “Bryan I”
21:45 Espectaculo de los Soberanos del Carnaval Cancun 2014 “Yuridia I” y Bogar I”
22:00 Grupo Musical Banda Vaqueros

Febrero 28

Marzo 01

Apple lanza OS X Mavericks gratis desde hoy

En el evento de presentación de los nuevos iPad, Apple ha presentado la versión final de OS X Mavericks, la última versión de OS X que se presenta ya en su versión 10.9.

Apple anuncia la versión final y fecha para la actualización de OS X Mavericks.

Apple anuncia la versión final y fecha para la actualización de OS X Mavericks.

Las principales novedades esta vez se centran en mejorar las características que faltaban a Mountain Lion. Por ejemplo, Apple ha mejorado el uso de varios monitores pudiendo mantener aplicaciones abiertas a pantalla completa mientras en el otro monitor puedes usar ventanas normales.

Apple también ha mejorado Calendario y Safari con mejoras de velocidad, una barra lateral con lista de lectura y enlaces compartidos en redes sociales como LinkedIn y Twitter. Además de ofrecer más versatilidad a los desarrolladores  gracias a las notificaciones en páginas web usando una nueva API. También hay mejoras en iCloud, ahora se sincronizan las contraseñas entre dispositivos y un generador de contraseñas seguras.

A nivel de interfaz, Apple ha eliminado todo rastro del llamado “Skeuomorph” en sus aplicaciones, siendo toda la interfaz más limpia y pulida. Se ha agregado la función de poner agregar tags a los archivos y gestionarlas por colores. Quizá una de las características visuales menos apreciadas en Mavericks son las pestañas. Pero en verdaderas novedades de software, Apple ha introducido dos aplicaciones que se heredan de iOS, se trata de Mapas y iBooks que se sincroniza entre dispositivos iOS.

En optimización de software, Apple comenta que ha mejorado la gestión de energía, llegando hasta alcanzar una hora más de batería en la última generación de MacBook Air, tan solo actualizando el sistema y mejoras a nivel de gráficos.

Apple lanza OS X Mavericks desde hoy mismo gratuitamente a todos los usuarios. Podrás actualizar cualquier Mac que pueda funcionar con Mountain Lion.

Fuente: fayerwayer.com

Un condón para proteger conectores USB

Si estás leyendo este artículo porque el título te despertó la curiosidad, entonces ya tenemos algo en común: el nombre de este gadget nos atrapó. ¿De qué se trata? La compañía  int3.cc desarrolló una proteción para conectores USB que cubre los pins que sirven para datos mientras que deja al descubierto aquellos relacionados a la carga y descarga, de esta manera puedes conectar tu dispositivo por medio de USB para recargar la batería sin que esto ponga en peligro los datos que están almacenados en él.

USB Condom

Así que, si son de esos fanáticos de la tecnología a los que les gusta mantener sus dispositivos protegidos, puede que esta sea una buena adquisición, ideal para aquellos que recargan sus gadgets en la escuela, aeropuertos, computadoras ajenas y otros sitios que pueden tornarse como poco seguros.

Por el momento, estos dispositivos están agotados, pero pueden pre-ordenarlos en su sitio oficial.
[LINK]

Fuente:isopixel.net