Google Safe Browsing es una API de Google que permite verificar si un sitio web está en alguna de las blacklists de Google por supuesto phishing o malware alojado. Estas listas negras de Google son constantemente actualizadas, y hasta ahora podíamos disponer de esta característica en Firefox a través de una extensión. A partir de la versión 3 se incluye esta característica dentro del navegador. Que significa esto? Que al visitar una página Firefox comprueba si el sitio está considerado como seguro o no, y en caso de que no sea así, va a mostrar un mensaje como este:

En lo práctico puede llegar a resultar algo extremo, ya que hay sitios que no son peligrosos pero que están bloqueados, como me ha sucedido, incluso lo cuentan en Salvagoxo y han habido consultas en el foro de Mozilla Hispano sobre ello.

En este caso, si estamos seguros de que el sitio no es peligroso, podemos avisar a Google para que haga una revisión del sitio y si queremos también podemos desactivar esta catacterística en el menú Herramientas - Opciones, en la pestaña de Seguridad, y desmarcar la opción Avisar si el sitio que estoy visitando es un posible sitio de ataque.

Igualmente con esta opción desactivada, en los resultados de Google se seguirá indicando si el sitio es sospechoso, o podemos utilizar la herramienta anti-malware de Google para verificar un sitio en específico.

Fire Encrypter te permite encriptar y desencriptar cifrar y descifrar información en diversos formatos. La extensión agrega a Firefox una opción “Fire Encrypter” al menú Herramientas que abre una ventana emergente en la que puedes usar los formatos AES (Rijndael 128Bit), Affine, Caesar, XOR, OTP (One Time Pad), Vigenere, Rail Fence, Morse Encoder, MD2 Hashing, MD5 Hashing, SHA1 Hashing, SHA256 Hashing, SHA384 Hashing y SHA512 Hashing. La ventana incluye pestañas para cada formato. Además, se incluye un generador de contraseñas capaz de crearlas en seis formatos: alfanuméricas, numéricas, alfabéticas, hexadecimales, binarias y “h4ck3r”.

Fire Encrypter 3.0

Con Live HTTP Headers podrás mantener el control de todo lo que ocurre entre tu máquina y los websites que visitas. La extensión mantiene un registro de todas las solicitudes de información que tu máquina recibe y envía. El registro es, como lo indica el nombre de la extensión, en vivo, así que puedes monitorizar la actividad de un website para, por ejemplo, diagnosticar posibles problemas o diagnosticar intrusiones. Toda la información es mostrada con detalle en una ventana que puedes abrir desde el menú Herramientas o desde un botón que para aprovecharlo deberás arrastrar desde la caja de iconos (Ver | Barras de herramientas | Personalizar…) hasta el lugar de tu preferencia en la barra de herramientas. Adicionalmente puedes ver esa información en el panel lateral usando la combinación Ctrl+May+L.

Live HTTP Headers 0.14

Si te aparece este mensaje al intentar iniciar Firefox, no lo desinstales! Este mensaje es causado por un virus para Windows (si utilizas Linux, claro, no tienes de que preocuparte) llamado W32/AHKHeap (una simple variación del win32.USBworm) que transmite a traves de dispositivos USB. Además de bloquearte el acceso a Firefox, también bloquea los sitios de Orkut y YouTube, mostrándote avisos como estos:

En Orkut:

ORKUT IS BANNED. Orkut is banned you fool, The administrators didnt write
this program guess who did?? MUHAHAHA!!

En YouTube (similar al de Orkut):

YOUTUBE IS BANNED. youtube is banned you fool, The administrators didnt
write this program guess who did?? MUHAHAHA!!

Será que su creador tampoco es muy afin a las redes sociales? De todas formas el virus no es de alto riesgo y se puede eliminar fácilmente de la siguiente manera:

Lo mejor es iniciar Windows en modo a prueba de fallos así nos aseguramos de que no hayan procesos ejecutándose o que no se vuelvan a ejecutar si los terminamos. Luego realizas lo siguiente:

1) Elimina la carpeta C:\heap41a por completo

2) Elimina el contenido de la carpeta temporal. Para localizarla puedes ir a Inicio - Ejecutar, escribes %Temp%\ y presionas Enter.

3) En el registro de Windows (Inicio - Ejecutar - regedit) buscas la siguiente clave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
“winlogon”=”C:\\heap41a\\svchost.exe C:\\heap41a\\std.txt”

Y la eliminas.

Luego reinicia el sistema y tendrás a Firefox nuevamente ejecutándose sin problemas. En cuanto a los dispositivos USB, es recomendable que nunca utilices la ejecución automática para prevenir este tipo de virus, además de eliminar el autorun.inf y el ejecutable el que hace referencia el autorun.

Google Secure Pro es un sencillo script para Greasemonkey que fuerza a varios servicios de Google a utilizar conexión segura mientras navegamos. De esta forma se utilizará el protocolo https:// en los sitios de Gmail, Gcal, Google Docs, Google History, Google Bookmarks y Google Reader.

Para instalarlo necesitas disponer de la extensión Greasemonkey para Firefox, la cual puedes instalar a continuación:

Instalar Greasemonkey

Luego instalas el script desde el siguiente enlace:

Instalar Google Secure Pro (script para Greasemonkey)

Para probar su funcionamiento basta con entrar a cualquiera de los servicios de Google mencionados y verificar la conexión segura en la barra de direcciones.

Si bien mantengo mi posición respecto de la vulnerabilidad del robo de contraseñas de Firefox, la cual es puesta en duda hasta por los desarrolladores ya que requiere que un atacante logre penetrar en un sitio para hacerse con las contraseñas (lo cual considero que es parte de la seguridad de cada sitio), la vulnerabilidad que comento a continuación no me merece la más mí­nima duda. Si utilizas Firefox bajo Windows XP y tienes instalado IE7, estarás expuesto a una graví­sima vulnerabilidad en Firefox 2.0.0.5, Netscape 9 y Mozilla que permite la ejecucón remota de comandos en tu PC con solo dar clic en un enlace.

Esto significa que con solo dar clic en un enlace es posible ejecutar cualquier aplicación o comando en forma remota y silenciosa. Tanto se podrí­a abrir la calculadora como formatear por completo el disco o hacer lo que a alguien malintencionado se le ocurra hacer. Esto no está limitado a una carpeta en particular si no que todo el disco es accesible a este ataque. Para ver ejemplos de esta vulnerabilidad basta con dar clic en cualquiera de los siguientes enlaces de demostracón provistos por la siguiente página:

http://xs-sniper.com/blog/remote-command-exec-firefox-2005/

Veran con que facilidad se accede a nuestro equipo. Estos son solo ejemplos, pero repito, tanto vale abrir la calculadora como formatear el disco. De acuerdo al US-CERT esta grave vulnerabilidad se hizo pública el 25.07 y la gente de Mozilla está trabajando en ello (ver bug 389580).

Para estar algo más prevenidos, se recomienda modificar unas claves de configuración para que al menos nos avise en caso de ejecutar enlaces mailto, nntp, news o snews, los cuales son utilizados para este tipo de ataques. Para esto deberán escribir about:config en la barra de direcciones y luego cambiar el valor de las siguientes claves a True:

network.protocol-handler.warn-external-default

network.protocol-handler.warn-external.mailto

network.protocol-handler.warn-external.news

network.protocol-handler.warn-external.nntp

network.protocol-handler.warn-external.snews

Como adicional, evitar abrir enlaces que contengan “%00″ luego del protocolo.

Todas las versiones de Firefox incluida la 2.0.0.5 son vulnerables, aunque Firefox 2.0.0.6 RC2 ya tiene por solucionado este problema. Por lo que veo se están apurando a lanzar esta nueva versión (de hecho ya tengo instalada esta RC2), y seguramente saldrá en los próximos dí­as. Si ya lo tienen solucionado opino que deberí­an lanzarlo de inmediato ya que el problema lo amerita.

Reitero, funciona bajo Windows XP teniendo IE7 instalado.

Enlace :: Remote Command Exec (FireFox 2.0.0.5 et al)

Tiempo atrás les habí­a comentado acerca de una vulnerabilidad en el robo de contraseñas en Firefox 2.0.0.1. El artí­culo en cuestión es el siguiente:

Robo de contraseñas de Firefox 2.0.0.1

En aquel entonces desde Mozilla habí­an dado una solución temporal para solucionar el problema que consistí­a en agregar la siguiente clave en about:config:

signon.prefillForms

Y asignarle el valor False, para evitar el robo de las contraseñas. Supuestamente este fallo se iba a solucionar en la versión 2.0.0.2, que al final no solucionó totalmente el presunto problema. Pero con aplicar lo anterior, ya estaba solucionado.

Hasta ahora el tema habí­a quedado atrás. Pero hace unos dí­as fue noticia nuevamente el hecho de que la vulnerabilidad sigue sin ser solucionada en Firefox 2.0.0.5. La noticia aparecó por todos lados, incluso en Meneame. Algunas referencias son las siguientes:

• Ocho meses después, Firefox sigue siendo vulnerable al robo de contraseñas

• Firefox sigue sin solucionar el robo de contraseñas. Los eternos bugs que nos hacen la vida más entretenida.

• Firefox vulnerable durante 8 meses

• Robo de contraseñas de Firefox

• Firefox Password Manager Exposes Passwords - Most Secure Browser?

• ¿Vulnerabilidad de contraseñas en Firefox 2.0.0.5?

A raí­z de un e-mail que recibí­ de JMiur de Vagabundia sobre el tema, fue que lo estuvimos viendo para ver si realmente esto se trata de una vulnerabilidad o si se trata de un “truco de magia barato” como el lo denominaba.

Veamos la demostracón que nos proponen realizar:

http://www.heise-security.co.uk/services/browsercheck/demos/moz/pass1.shtml

Se trata de llenar los campos de usuario y contraseña del formulario de la página y luego abrir una llamada “evil page” que mostrará una alerta revelando el usuario y contraseña que hemos ingresado.

No hay dudas de que la demostracón realiza esto en caso de que hayamos indicado a Firefox que recuerde nuestra contraseña el momento de ingresarla. Sin embargo la demostracón se está realizando en el mismo dominio y subdominio. Que sentido tiene esto si estamos en el mismo sitio? Acaso el sitio se roba a su propio sitio?

Al entrar a cualquier página que no utiliza conexión segura, si vamos a la información de página de Firefox (Herramientas - Informacón de la página), en la pestaña Seguridad veremos el siguiente mensaje indicando que nuestra información se está enviando sin cifrar:

Ahora veamos el código del formulario de la demostracón:

Si vemos el código fuente de la “evil page“, vemos un formulario similar con los mismos nombres de campos que el anterior.

Al ingresar los datos en el formulario de la demostracón, se verá la siguiente URL tanto en Firefox como en Opera y IE7:

http://www.heise-security.co.uk/services/browsercheck/demos/moz/pass1.shtml?

name=miusuario&password=micontrase%F1a#

Para que es necesaria una “evil page” que revele las contraseñas si estas están siendo ya reveladas en la URL? Solo vean la barra de direcciones.

Por otro lado, yo me pregunto: acaso algún sitio serio va a implementar un sistema de contraseñas sin utilizar SSL? Es una locura, además serí­a responsabilidad del sitio que lo implementa y no del navegador. Ningún sitio en serio implementará contraseñas de ese tipo.

También me pregunto: es esta una demostracón real o un simple truco? La demo corre en el mismo dominio y mismo subdominio. Si creamos una “evil page” en otro servidor, la demostracón no funcionará.

Firefox simplemente está recordando las contraseñas del dominio en el que nos encontramos, y nos indica que estamos ante una conexión no segura. Si nosotros elegimos ingresar los datos en un sitio web, es absurdo pensar que el mismo sitio nos está robando los datos, si se trata del mismo sitio.

Esto solo podrí­a ser un problema en caso de que el sitio entero sea maligno, aunque también sabrí­amos que estamos en una conexión no segura, y por otro lado eso ya serí­a una variante de phishing.

Soy partidario de que la próxima versión de Firefox incluya la funcionalidad de la extensión Secure Login para todos los formularios. Pero a mi entender esto no representa una vulnerabilidad de Firefox y mucho menos algo que se pueda decir grave, además de que hay una forma de solucionarlo como he mostrado anteriormente. Firefox tiene vulnerabilidades (más de las que conocemos), pero no me parece que este sea el caso.

Aunque digan que ” simplemente’¦ nos da la risa” no se ha indicado al menos la solución indicada en este artí­culo ni realizado (a mi opinón, me atajo) un análisis completo del presunto problema. Pocos detalles, mucho sensacionalismo, muchas referencias, artí­culo meneado y copypaste de otros blogs a estos artí­culos mencionados sin detenerse a ver de que se trata. Un teléfono descompuesto que en lugar de informar, desinforma…

Actualización: Vulnerabilidades de pacotilla

Actualización (26.07.2007): Recomiendo el siguiente artí­culo realizado mucho tiempo atrás por Nukeador para quienes no les haya quedado claro el tema, y de paso también, a quienes insisten y acusan de rasgarse las vestiduras (no me extraña si también les daba risa el tema ^^) a quienes tenemos otra visón de una presunta vulnerabilidad que incluso los mismos desarrolladores la ponen en duda de si es o no. Ver a continuación:

Gestón de contraseñas

Y para rematar, el artí­culo que he realizado mucho tiempo atrás, cuando comenté sobre el tema, hace ya meses e indicando una solución a este apocalí­ptico problema:

Robo de contraseñas en Firefox 2.0.0.1

En lugar de responder descalificaciones, me iré tranquilamente, no sin antes desactivar el gestor de contraseñas de Firefox. No sea cosa de que a cada sitio que entre un hacker haya introducido un script malicioso y se robe todas mis contraseñas (no será una vulnerabilidad de los sitios que lo permitan? ^^).

Creada por Simon A. Spacey como parte de un trabajo de investigacón de la Universidad de Cambridge, la extensión SCM (Site Continuity Management, algo así­ como gestón de la continuidad de un sitio) verifica la IP de cada sitio al que nos conectamos, y alerta al usuario cuando detecta que algún website la ha cambiado de forma sospechosa, lo que podrí­a ser un ataque del tipo conocido como “pharming”. Cuando la extensión detecta que algo extraño está ocurriendo, muestra un recuadro de alerta en el que indica cuáles IPs son válidos y cuáles podrí­an estar relacionados con uno de estos ataques.

Para acceder a las opciones de la extensión basta con hacer click en el espacio informativo que ella agrega a la barra de estado de Firefox. Una vez allí­ se puede activar o desactivar SCM o la confirmacón de IPs a través de la base de datos de PRIV8. También se le puede indicar que muestre sólo mensajes de alta prioridad y que elimine la información almacenada en su base de datos al salir de Firefox, así­ como las instancias en las cuales debe aceptar el cambio de un IP.

SCM 0.8.1187028188

Desde hace unos pocos dí­as se puede ver un mensaje de advertencia en el sitio de scripts para Greasemonkey userscripts.org, tanto en la portada como en cada una de sus páginas. Al parecer un usuario malintencionado ha subido scripts que roban cookies de nuestra PC, por lo que se recomienda que tengamos cuidado al instalar nuevos scripts.

Cuales son los scripts que causan problemas? No hay una lista especí­fica, si no que son varias que se han modificado intencionalmente. Lo que podemos hacer es verificar manualmente los scripts una vez instalados. Para esto debemos realizar lo siguiente:

• Damos clic con el botón derecho del mouse en el icono de Greasemonkey que se encuentra en la barra de estado y luego en Administrar scripts:

• Luego, seleccionamos a la izquierda el script a revisar y damos clic en el botón Editar:

Se abrirá el script en el editor de textos y a continuación buscan el siguiente texto:

.php?cookie=

encodeURIComponent(document.cookie)

Si encontramos algo como lo anterior o similar, lo mejor será eliminar el script eliminando también las preferencias asociadas:

Otra opción como dicen en Vagabundia es no instalar nuevos scripts y esperar a que se resuelva el problema.

Ví­a :: Vagabundia | Bolsanegra | SpamLoco

SecurePassword Generator es como su nombre lo indica un generador seguro de contraseñas. La extensión te brinda un botón que deberás arrastrar desde la caja de iconos (Ver | Barras de herramientas | Personalizar’¦) hasta el lugar de tu preferencia en la barra de herramientas. Luego podrás usar ese botón para abrir el generador, que es una caja de diálogo en la que basta con hacer click en el botón “Create” para obtener una contraseña tan intrincada que ni el mejor hacker podrá descubrir. Un selector ubicado debajo del espacio donde se muestra la contraseña te permite configurar la extensión para que genere contraseñas que se puedan tipear con ambas manos o bien sólo con la derecha o con la izquierda. Si marcas la opción “Make mnemonic”, la extensión sólo creara contraseñas que usen letras. En la pestaña “Characters” de la caja de diálogo puedes configurar la cantidad de caracteres que tendrán las contraseñas generadas, e indicarle si contendrán letras, números u otros caracteres, así­ como escoger caracteres que no quieras que sean usados en las claves. También puedes ajustar el porcentaje de letras, números u otros caracteres que cada contraeña contendrá, y si las contraseñas usarán letras minúsculas, mayúsculas o de ambos tipos. En realidad no es una extensión tan útil como Magic Password Generator y otras de su tipo, pues es incapaz de recordarte qué contraseña utilizó en un momento dado, pero quizás por eso mismo sea interesante para algunos usuarios.

SecurePassword Generator 0.5.4