JUCA
JUCA
Administrator
Gurú
Popularidad 0
Mensajes: 1052
yo vivo en hackeruna.com. Bienvenidos!!!!
|
 |
« : Julio 06, 2009, 08:04:47 » |
|
Mes de los fallos en Twitter
----------------------------
La saga "El mes de los fallos en" comenzó en julio de 2006, cuando H.D
Moore decidió dedicar un mes completo a publicar vulnerabilidades no
parcheadas en los navegadores, a razón de una al día. La iniciativa,
por lo original y relevante de la propuesta, fue todo un éxito. Otros
investigadores le siguieron, creando el mes de los fallos en los núcleos
(de cualquier sistema operativo) en noviembre de 2006, el mes de los
fallos en Apple en enero de 2007... y algunos otros. Ahora es el momento
de la Web 2.0.
Aviv Raff usará julio de 2009 como el mes de los fallos en Twitter. Su
objetivo, como el de todos estos meses temáticos, es el de mejorar la
seguridad a través de la presión mediática, y no solo la de Twitter. El
resto de plataformas 2.0 puedan aprender algo de los problemas ajenos
y por tanto prevenir. Por ejemplo, algunas de las vulnerabilidades
encontradas hace tres años en el "Mes de los fallos en los navegadores"
se creían "simples fallos" en el sentido de que no podían ser
aprovechadas por atacantes. El hecho de hacerlas públicas llamó la
atención de ciertos creadores de malware y consiguieron finalmente,
meses después, aprovechar algunos de estos "bugs" para ejecutar código.
En ese sentido supuso una buena alarma sobre los "bugs" a los que no se
les da demasiada importancia.
"Month of Twitter Bugs" (MoTB) se centra en la API de Twitter, pero
según Raff, bien podría tratarse de cualquier servicio 2.0 del momento.
twitpwn.com es el dominio elegido para alojar el blog que publicará las
vulnerabilidades. Raff reconoce que algunas vulnerabilidades son lo
suficientemente peligrosas como para que se pueda crear un gusano, así
que avisará con 24 horas de antelación al fabricante para que puedan ser
corregidas. El blog es seguido por personal de Twitter, que participan
en los comentarios activamente. De hecho, han corregido en cuestión de
horas fallos ya publicados.
A medida que el escritorio se entiende menos sin conexión remota y se
traslada hacia la red (o "la nube", como término de moda) y la línea
que separa aplicaciones y servicios se difumina (casi siempre detrás
de un navegador) no es de extrañar que las páginas y APIs de estas webs
sean objetivo de ataques. Campañas llamativas como esta pueden ayudar
a desvelar y prevenir vulnerabilidades, pero desde luego no las
eliminarán. En el mundo de la programación y la informática en general
se tiende insidiosamente a tropezar en la misma piedra siempre que se
tiene la oportunidad. Por ejemplo, a medida que los sistemas operativos
se han protegido (tarde, pero lo han hecho en cierta medida) contra
ataques y malware, parece que nadie más a aprendido la lección, y los
servicios en remoto que hoy en día se puede decir que forman parte de
"la nube" (que a su vez forma parte del escritorio) parecen condenadas
a repetir el mismo error.
Fuente: hispasec.com
Saludos
JUCA
|
Autor