Parece ser que Microsoft está empeñada en dar razones al usuario de a pie para dejar IE y pasarse a Firefox. Esta vez leo en News.com que al <ironía>departamento pro-Firefox de Microsoft</ironía> se le ha ocurrido el no proporcionar las últimas mejoras de seguridad de IE en SP2 a los usuarios de sus otros sistemas operativos, y aunque, logicamente, seguirán distribuyendo parches para fallos de versiones anteriores (¿por cuanto tiempo?), esto significa, entre otras cosas, que para tener un manejo medianamente decente de los ActiveX o un simple bloqueador de popups tendrás que gastarte unos 100€.

Aproximadamente la mitad de los usuarios corriendo sistemas operativos de Microsoft en su PC utilizan XP, lo cual significa que la mitad de los usuarios de Windows (unos 200 millones de personas) no van a tener todas las mejoras de seguridad del navegador de la compañía.

¿Es la seguridad de un sistema operativo un añadido extra por el cual se deba pagar aparte? La gente de Microsoft pierde el norte un poco mas cada día que pasa. En conclusión, la solución es la de siempre, usar un navegador de verdad.

Acaban de hacer públicos varios ejemplos de como aprovechar la vulnerabilidad de los JPEGs de Windows en varios sitios de seguridad informática, con lo que los expertos en seguridad esperan la aparición de una ola de virus y troyanos que incorporen éste código para propagarse en los proximos días.

En la web de Microsoft podéis encontrar una lista de los programas vulnerables, entre los que se encuentran Internet Explorer, con lo que un atacante podría tomar total control del PC de la víctima simplemente visitando una página web que contuviera una imagen JPEG maligna. El parche se encuentra disponible en Windows Update desde hace días.

Otra razón mas para utilizar Firefox.

Leo en Slashdot que la revista alemana PC-Welt acaba de encontrar un nuevo fallo de seguridad bastante serio en SP2 que consiste en que, si instalas el Service Pack 2 sobre el SP1 y tienes activada la compartición de archivos e impresoras en una red local, el firewall de Windows abrirá los puertos necesarios para todas las interfaces de red, y no solo la de la red local, con lo que estaremos poniendo a disposición de cualquiera todos los archivos compartidos así como la impresora.

Para resolverlo, abrimos la configuración del firewall de Windows (Panel de Control -> Firewall de Windows) y en la pestaña excepciones hacemos doble click sobre ‘Compartir archivos e impresoras’, lo cual nos mostrará los cuatro puertos que se usan. Para cada uno de ellos, hacemos doble click sobre él y seleccionamos ‘Lista personalizada’, introduciendo entonces la lista de las IPs de los PCs con los que queremos compartir archivos e impresoras.

La otra solución consiste en instalar un firewall medianamente decente, como Outpost o Kerio.

En contra de lo que Microsoft nos intentó vender (y de lo que nos hemos dado cuenta casi todos), el nuevo Service Pack no supone un gran avance en lo que a seguridad se refiere, sino que es puro marketing y un intento de aprovechar un efecto placebo.

Cuando Microsoft anunció su SP2 como el primer paso hacia un Windows mas seguro, se esperaba mas que un lavado de cara de su firewall (que sigue siendo tan malo como antes) o simples alertas que te avisen de que no tienes firewall o antivirus. Es cierto que se han corregido errores y arreglado problemas, pero desgraciadamente Windows sigue fallando en lo mas importante, su filosofía frente a la seguridad.

Comenzando por no obligar al usuario a utilizar una cuenta que no tenga permisos de administrador, pasando por no haber deshabilitado multitud de servicios que se inician por defecto que pocos usuarios necesitan y que añaden riesgos de ataques potenciales; el problema está en que se sacrifica la seguridad en pos de una mal entendida usabilidad.

Dado que la mayor parte de los usuarios no se preocupan de los aspectos técnicos, y cuando compran un sistema operativo esperan simplemente que funcione, la estrategia de Microsoft consiste en no molestar al usuario preguntándole que necesita y que no necesita, o siguiendo una política restrictiva por defecto desactivándolo todo, sino que se activa todo, aunque sea inútil, innecesario y origen de riesgos potenciales.

No se puede esperar que para trabajar con el sistema operativo el usuario tenga que tener un mínimo de conocimientos informáticos, ¡dios nos libre!, eso sería como necesitar un carnét de conducir para conducir o una carrera de medicina para operar.

Hacia tiempo que no me reía tanto. Leo en The Inquirer que el jefe de seguridad de Microsoft, Stephen Toulouse utiliza Firefox. Se le escapó mientras intentaba justificar los problemas de seguridad de IE en una entrevista con Wired:

Precisamente esta mañana he tenido que instalar una actualización a Firefox para bloquear un fallo que podría haber permitido a un atacante ejecutar cualquier programa de mi sistema. Estamos trabajando para hacer mas seguro a Internet Explorer, y estamos haciendo cambios en el Service Pack 2 para conseguir una navegación mucho mas segura

Puede que solo lo utilice para buscar inspiración o puede que sepa que IE no es una maravilla en lo que a seguridad se refiere, lo que si sabemos es que hay alguien que se va a quedar sin paga extra esta navidad.

Ha costado pero ya está aquí. Es la versión en castellano del Service Pack 2 para Windows XP, que trae algunas novedades interesantes y de regalo, algunas incompatibilidades y problemas para algunos afortunados. En todo caso parece ser que los problemas son mínimos, sobre un 10% de las instalaciones, por lo que es aconsejable instalarlo.

El SP2 que ocupa unos 266Mb puede ser descargado desde la web de Microsoft e incluye mejoras en el firewall integrado así como nuevas características de seguridad y privacidad en IE, Outlook o Windows Messenger y correcciones de bugs o problemas de seguridad.

La gente no sabe como entretenerse. Echad un vistazo a este ‘exploit’ de Gmail que permite navegar por internet de forma anónima.

Si escribimos algo así como ‘https://gmail.google.com/?dest=http%3A%2F%2Fblablabla’ en la barra de dirección del navegador (en Firefox parece que no funciona, en IE si) aparecerá una página de error dentro del div en que normalmente aparece un par de cajas de texto para introducir el nombre de usuario y la contraseña, dentro del cual aparece un enlace a Google que podemos utilizar para navegar.

Si, es incómodo y para algo se inventaron los proxys anónimos pero cada cual tiene su afición.

Leo en news.com, vía patoroco.net que un matemático francés, Antoine Joux, ha conseguido encontrar fallos en el algoritmo MD5, que utilizan para las contraseñas programas como el CMS WordPress o el sistema de foros phpbb.

MD son las siglas de Message Digest. Es un algoritmo que toma una mensaje y devuelve un hash de 128-bits (32 caracteres). Es decir, es un algoritmo que toma una serie de caracteres (por ejemplo una contraseña, contraseña) y aplica una serie de transformaciones sobre esta para producir una cadena de 32 caracteres y que es función del mensaje de entrada. Se almacenaría el hash resultante de la contraseña en lugar de la contraseña en si, de forma que si un atacante consigue hacerse con el no le sirva da nada; y a la hora de autentificar se generaría el hash de lo que ha introducido el usuario y se compararía con el hash de la contraseña.

Si teníais envidia de los usuarios del SP2 por tener una nueva y reluciente vulnerabilidad para ellos solitos no os preocupéis. Vuestros ruegos han sido escuchados y la gente de Microsoft como buenos productores de software que son nos traen un método de spoofing para IE 5.01, 5.5 y 6 (parece ser que en el SP2 no existe este problema)

La técnica de phising, que Liu Die Yu notificó a Microsoft hace bastante tiempo (sin respuesta por el momento) permite falsear la URL que se muestra en la barra de dirección, haciéndole creer al usuario que se encuentra en un sitio web diferente del que en realidad está.

Si queréis probarlo tenéis una demostración en la web de Secunia

Microsoft no nos ha hecho esperar demasiado y con el nuevo Service Pack además de los ya conocidos problemas de compatibilidad con algunas (muchas) aplicaciones tenemos la vulnerabilidad correspondiente a esta semana.

El nuevo SP2 tiene una característica llamada Zone Identifier (Identificador de zona) según la cual los archivos que se descargan de una zona calificada como no segura utilizando IE u Outlook son marcados como inseguros (dándoles un valor de identificador de zona 3), de forma que cuando el usuario intenta ejecutar el programa se le muestra un mensaje avisándole.

El problema viene del hecho de que el explorador de Windows almacene el identificador de zona en la caché y puede que ignore que este halla cambiado. Esto significa que si un archivo con un identificador de zona que lo identifique como seguro se sobreescribe con un archivo inseguro, si el nuevo archivo se ejecuta desde una ventana del explorador previamente abierta, el explorador no avisará al usuario de que el archivo es inseguro.