Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
Falsa alarma para Hotmail
|
|
VSantivirus No. 226 - Año 5 - Lunes 19 de febrero de 2001
Falsa alarma para Hotmail
El pasado viernes, Microsoft avisaba que un posible agujero en la seguridad de su servicio gratuito de correo basado en el Web, Hotmail, ya había sido reparado mucho antes que se avisara de su existencia.
La notificación del mismo provino de una compañía canadiense, Neurocom, quien avisara de un posible ataque del tipo "spoofing" (la técnica consiste en engañar a alguien, haciéndose pasar por quien no se es).
Según esta compañía, esto comprometía la seguridad de cerca de 74 millones de usuarios que actualmente usan el servicio.
La falla, es explotable mediante el uso de hojas de estilo (cascading style sheets, CSS). Algunos hackers podrían imitar fácilmente la apariencia y el estilo del sitio original, engañando al usuario.
CSS es una herramienta estandarizada, utilizada por muchos diseñadores de sitios Web, para simplificar la exhibición de complicadas páginas.
Aprovechándose de algunos rasgos del CSS, un e-mail malicioso, con código HTML, podría llegar a fabricar una pantalla de inicio falsa que parecería ser la del login del verdadero Hotmail, pero que envía al propio hacker la información del usuario, incluida la contraseña de su correo.
Según Neurocom, "un hacker podría usar un caballo de Troya escrito en HTML, teniendo como resultado, que al abrir la víctima su correo, se desplegara una réplica perfecta de Hotmail y de su pantalla para ingresar a la cuenta".
"Las contraseñas de los usuarios para estos tipos de servicios son todos susceptibles a ser descubiertos gracias a esta técnica," afirma Neurocom.
El truco es un ataque dirigido, y consiste en un enlace dentro de un mensaje con formato HTML.
Sin embargo, Microsoft trató de irresponsable a la compañía Neurocom, ya que la vulnerabilidad estaba resuelta desde diciembre del pasado año.
A pesar de esto, el tema para muchos expertos, es que este tipo de vulnerabilidades, funciona como el caso del virus de la tenista Kournikova, consigue que las personas hagan algo imprudente, en este caso pinchar en un enlace en un mensaje que no solicitaron.
Otros expertos, creen que este tipo de fallas, podría afectar cualquier otro website que utilice una página para el login del usuario en la misma, o alguna otra forma de entrada de datos vía Web.
El software de seguridad ordinario, no podría descubrir este tipo de engaño fácilmente.
Ver también:
13/feb/01 - VBS/SST-A
(Anna Kournikova). Nueva versión del LoveLetter
12/feb/01 - San Valentín y los virus. Consejos para todo el año
06/feb/01 - Cuidado! Su correo electrónico podría estar "pinchado"
18/dic/00 - El correo electrónico, el formato HTML, la música y los virus
17/dic/00 - Cinco dudas sobre el correo electrónico y los virus
02/dic/00 - ¿Extensiones de Archivo? ¿Y eso qué es?
26/nov/00 - Pautas generales para mantenerse alejado de los virus
10/nov/00 - La primera línea de defensa contra los virus: USTED
01/nov/99 - Cómo puedo protegerme de los virus de HTML
|
|
|