1 sept. 2009

Fallo en seguridad de navegadores revela nuestro historial de navegación

Nuestra privacidad en internet es muy importante, en los últimos años hemos visto como los cyber-delincuentes han afinado más y más sus técnicas con la finalidad de vencer todos los mecanismos de seguridad de los navegadores más conocidos, una de sus metas es recolectar cuanta información puedan de nuestros hábitos y preferencias mientras navegamos por internet, esta información puede ser usada con una gran variedad de fines, desde vender esa información a grandes compañías de márketing hasta usar serias modalidades de chantaje.

Una de las zonas más críticas de los navegadores es el historial de navegación, allí esta todo, es un catálogo de nuestros gustos, costumbres, hábitos, vicios y preferencias y lo peor de todo, es información que puede ser recolectada por una web usando el script adecuado para ello!!!.

Lo peor de todo es que los desarrolladores a cargo de los navegadores saben de esto hace años pero aún no encuentran una solución para ello.

Para muestra un par de webs que han sido creadas con la finalidad de llamar la atención sobre este problema:

StartPanic

Una de ellas es StarPanic.com el propósito de esta web es llamar la atención sobre la falta de seguridad en internet. Al ingresar verán un botón llamado “Lets Start!”, cuando le damos click y esperamos unos cuantos segundo vamos a ver una lista de los sitios recientes que hemos visitado, no revelan el código que están usando, pero parece que usan una rutina Javascript para obtener la información de nuestros navegadores.
panic

LinuxBox

El otro sitio de prueba es LinuxBox A diferencia de StarPanic ellos si nos dan algunas pistas de que usan para obtener la información.
linuxbox
“Una poco conocida función en JavaScript es currentStyle, la cual retorna las propiedades CSS para un elemento en el documento, muchos navegadores mantienen un record de las URL visitadas, por lo que probando diferentes estilos para a y a:visited, podemos determinar si un enlace mostrado en el documento ha sido visitado previamente, o para poner las cosas de forma más simple: Nuestros navegadores muestran los enlaces visitados en un color distinto. Se puede usar una rutina JavaScript para detectar el cambio en el color, por lo tanto descubrir si hemos visitado o no un sitio en particular.”
Uno de los mecanismos de defensa con los que contamos por ahora es el uso de un complemento en Firefox, este es el NoScript Firfox Addon que pude ayudarnos en este caso, aunque el precio que hay que pagar es que nos deja una web poco colorida y vistosa al anular la mayoría de rutinas o todas ellas, si usamos otros navegadores la situación es peor pues aún no hay ninguna solución.

Fuente: http://www.infonucleo.com/

Author & Editor

Ingeniero Civil en Computación (Universidad de Chile FCFM) y Diplomado en Gestión y Evaluación de Proyectos TI (Universidad de Chile FEN). Actualmente trabajo como Project Manager en varios proyectos y como asesor tecnológico para empresas.

0 Notaciones:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.

Labels

0-day (12) 1337day (1) 8.8 (2) Adobe Acrobat (1) Android (2) Anonimato (1) Anonymous (9) BackDoor (2) BackTrack (15) badUSB (1) Base64 (1) Black Hat (7) BlackHat (1) Blackploit (25) Brute Force (3) Bug (106) Bypass Password (1) Bypass Redirect (1) C99 Shell (1) Carding (1) CheatSheet (15) Chilean Way (1) Conference (10) Cryptsetup (1) CSRF (1) DDoS (11) DEF CON (3) DEFCON (7) Diapositivas (1) Diseño Web (1) Distro Linux (27) Documental (2) DoS (2) Drupal (1) DuckDuckGo (1) E-zine (18) Ekoparty (1) Escaneo (4) España (1) Exploit (64) Ezine (1) Facebook (1) Fast-Info (44) FBI (1) Ficheros Binarios (1) Firefox (4) Flash (2) Forense (9) Fuerza Bruta (11) Fuga de Datos (1) GhostShell (1) GNU/Linux (4) Google (2) Guía (1) Hack T00LZ (130) Hack Tips (63) Hacked (6) Hacking (18) Hacking Hardware (5) HashCat (1) Herramientas (121) HighSecCON (1) Humor Geek (13) Infografía (1) Ingeniería Social (5) Inj3ct0r (1) Internet Explorer (3) Java (7) JavaScript (2) Kali (3) KitPloit (1) Leaks (21) Linux OS (79) LulzSec (1) Mac OS (10) Magazine (1) Malaware (3) Malaware Tools (12) Malware (1) Man in the Middle (15) Manuales (3) MD5 CRACK (4) Metasploit (57) MSSQL (1) MySQL (6) MySQL CRACK (1) Nmap (6) Nmap NSE (2) Noticias (193) NTLM CRACK (1) Ofuscar (5) OpenSolaris OS (1) OpenSSL (1) ORACLE (1) OWASP (3) Paper (10) PDF (7) PenTest (14) Perl (2) Phearking (13) Phishing (3) PHP (13) phpMyAdmin (1) PoC (1) Premios Bitacoras (1) Presentaciones (11) PRISM (1) Privacidad (2) Programación (12) Programas Linux (41) Programas Windows (41) Pwned (1) Python (5) Reconocimiento (5) Ruby (2) s (1) Scripts (7) Seguridad (145) Seguridad Web (140) Seguridad Wireless (19) Sensitive Data Exposure (2) SHA1 CRACK (1) Shellshock (1) Slides (1) Spoofing (1) Spyware (1) SQLi (19) SQLi Tools (7) SQLMap (2) SSH (1) Textos (74) Tips (57) Troyanos y Virus (11) Trucos (7) Trucos Win (7) Turiales (56) Tutoriales (18) Twitter (1) Ubuntu (2) Underc0de (1) UnderDOCS (1) Unlock (1) URL Redirection (1) UXSS (1) vBulletin (1) Video (48) Virtualización (2) Web T00LZ (17) Wifislax (1) Wikileaks (1) WikiRebels (1) Windows OS (66) Wireless Tools (13) XSS (16) Youtube (1)

 
biz.