Esta plataforma se ha convertido, como ya hemos mencionado en otras oportunidades, en una de las plataformas más utilizadas por personas de todo el mundo. Por consiguiente, hackers han desarrollado programas maliciosos, o más conocido como “virus”, para esparcirlos por la Red Social, entre ellos, podemos encontrar: Troyanos, Malwares, etc. Hace poco aparecieron los nombres de dos que usan esta página de internet para infectar.

El primero de ellos es un Troyano llamado “ASPROX.N”, el cual llega a los ordenadores por medio de un correo electrónico en donde envían una alerta al usuario diciendo que su cuenta en FACEBOOK está distribuyendo SPAM a los demás usuarios.

El mensaje que envía Facebook explica al usuario que la clave de su cuenta ha sido modificada por seguridad y que puede acceder a una nueva contraseña descargando un archivo adjunto. Este archivo con nombre Facebook_details.exe es en realidad un troyano que descarga otro fichero que abre puertos disponibles conectándose a un servicio de correo con diferentes proveedores para enviar SPAM, según informan en PANDASECURITY.

El siguiente virus llamado “LOSBOT.Q” se esparce por medio de mensajeros como MSN Messenger o Yahoo Messenger en el cual se muestra un mensaje con un vinculo malicioso, si el usuario hace clic puede descargar un gusano que puede tomar las cuentas de Facebook. Cuando el usuario entra en la red social obtiene un mensaje en donde alertan que su cuenta se ha suspendido y que para volverla a activan necesitan realizar una encuesta en la que entraran a un sorteo de diversos gadgets.

Según documentos presentados, este problema afectaba en España a dos operadores: TELEFONICA/MOVISTAR y JAZZTEL y a todos los routers marca COMTREND, modelo CT-5365 que instalan estas empresas como parte de sus servicios de banda ancha. Estos routers Wi-Fi aparecen en los listados de redes públicas con identificadores como WLAN_XXXX y JAZZTEL_XXXX.

El grupo que descubrió el problema notifico a COMTREND el 1° de diciembre y al parecer, el fabricante no acusó recibo de la información recibida. Ante esta negativa por parte de la empresa, el grupo publicó el hallazgo de este grave problema, acompañado de un sencillo formulario con el que podía generar la contraseña original a partir de los datos públicos de cualquier router. Al poco tiempo, MOVISTAR recomendaba a los usuarios de routers COMTREND CT-5365 cambiar sus contraseñas. “Misteriosamente”, horas después el formulario desaparecía y un poco más tarde se cerraba a los visitantes no registrados el foro de donde había surgido toda la información. Al parecer los propios autores eliminaron la información publicada aunque no se conocer bien las razones.

La oficina del Inspector General descubrió una grave violación de seguridad en los centros de la NASA en Florida, Texas, California y Virginia. “Nuestra revisión halló varias violaciones en las practicas de seguridad de TI (Tecnologías de la información) de la NASA que podrían llevar a la indebida revelación de información delicada relativa al Transbordador”, explicó Paul Martin, en un comunicado.

Este grave error se manifiesta en 14 computadoras del Centro Espacial Kennedy que no superaron las pruebas para determinar si se les elimino la información delicada, 10 de las cuales ya fueron entregadas al publico. También se encontró la faltante de discos duros en Kennedy y en el Centro de Investigación de Langley, en Virginia. Algunos de los cuales, fueron encontrados en un basurero, donde estaban siendo almacenados para su venta, que era accesible al publico, dice la Auditoria.

Los investigadores hallaron varias máquinas que estaban listas para la venta y que estaban marcados con las direcciones de protocolo de Internet (IP) de la NASA, lo que según el informe podría ayudar a los piratas informáticos a conseguir acceso a la red informática interna.

El proceso es sencillo, aquí voy a explicar cómo obtener el acceso a las fotos, resumiendo el tutorial de Geek The Planet, y cómo evitarlo por medio de las opciones de privacidad…

Ver las fotos de cualquier persona en Facebook:

1- Loguearnos en Facebook.
2- Accedemos a la sección para desarrolladores, clic aquí.
3- En el panel izquierdo seleccionamos Facebook PHP Cliente y fql.query.
4- En el cuadro de texto que hay debajo de query, escribimos el siguiente código, donde las XXX serán el ID del usuario que queremos ver:

SELECT name, link
FROM album
WHERE owner=XXX

El ID se encuentra en la URL de los perfiles, por ejemplo, podríamos usar Google para encontrarlo:

Actualización: actualmente los ID no se encuentran en todos los perfiles por los cambios recientes en las URL de Facebook. Igualmente el ID del usuario se puede encontrar en los enlaces “Agregar a mis amigos” y otros que salen cuando vemos su perfil, aún sin ser sus amigos ni agregarlo.

5- Completados todos los campos, hacemos clic en Método de llamada y sobre la derecha se desplegarán los álbumes a los cuales podemos acceder:

Lo interesante de esto es que podremos ver las fotos de otra persona sin la necesidad de agregarla como contacto.

¿Cómo evitar que otras personas vean nuestras fotos?.

En primer lugar deberíamos de tener cuidado a la hora de aceptar nuevos amigos, pero en relación al método antes explicado todo dependerá del nivel de privacidad establecido en los álbumes de fotos.

Para modificar estas configuraciones debemos acceder a nuestra sección de Fotos y luego a Privacidad del álbum.

En la nueva ventana podremos modificar la privacidad de nuestras fotos, seleccionando la opción Sólo mis amigos evitaremos que cualquiera las pueda ver y cómo la misma opción lo indica, sólo nuestros amigos podrán tener acceso a ellas.

También podemos utilizar el resto de las opciones de configuración, todo dependerá del nivel de privacidad que se quiera tener. Obviamente la opción Todos, permitirá que cualquiera vea las fotos y por lo tanto se recomienda no utilizarla.

Ver también:
Sobre la privacidad en Facebook…
Consejos para el uso de redes sociales.

Fuente: Spamloco

Si te encuentras dentro de wp-content carpetas con nombre de número, generalmente el 1, ya puedes ir borrándolas. De momento la única forma de protegernos es evitar que Google indexe ese contenido, modificando el archivo robots.txt, añadiendo:

Disallow: /wp-content/
Allow: /wp-content/uploads/

Ya hay muchos blogs afectados, asi que habrá que estar atentos para no ser penalizados por Google en caso de ser atacados.

Fuente del artículo:
http://www.inkilino.com/2008/03/25/vulnerabilidad-en-wordpress-233/

Una función muy útil en estos casos es strip_tags

Si quisiéramos por ejemplo que los usuarios de nuestra web dejen sus comentarios en un articulo por medio de un formulario, deberíamos aplicar esta función a los datos ingresados para poder mostrarlos en nuestra web. Este sería un ejemplo:

<?php
$texto=strip_tags($texto);
?>

Cabe destacar que la función strip_tags elimina también el código HTML por lo que no permitirá dar ningún tipo de formato a los datos ingresados. Si quisiéramos darle la posibilidad al usuario de utilizar alguna etiqueta, la función cuenta con un argumento mediante el cual se especifica la o las etiquetas permitidas:

<?php
     $texto=strip_tags($texto, ‘<b>’);
?>

Pero hay que tener mucho cuidado con esto (Como lo advierte uno de los warnings de la página oficial de PHP) porque esta función no elimina el código incluido dentro de los atributos de las etiquetas permitidas, por lo que si el usuario introduce algo como esto:

<b onmouseover=”<script>alert(’XSS’)</script>”>Texto en Negrita</b>

El resultado, luego de que los datos pasen por la función y sean incluidos en una página web, sería el ya clásico:

Por lo que para solucionar esto, deberiamos aplicar la función preg_replace. El script quedaría de la siguiente forma:

<?php
     $texto=strip_tags($texto, ‘<b>’);
     $texto=preg_replace(’/<(.*)\s+ (\w+=.*?)>’, ”, $texto);
?>

Con esto solucionariamos el “pequeño” bug de la función strip_tags.

Otra opción (muy utilizada en scripts de foros) es la de permitir un pseudocodigo (por ejemplo BBCode) que luego es reemplazado por las etiquetas HTML verdaderas:

Si el usuario ingresara lo siguiente:

[b]Negrita[/b]

Reemplazariamos el BBCode por HTML para mostrarlo en pantalla (utilizando la función str_replace) y el resultado podríamos incluirlo en una página sin correr ningún riesgo:

<?php
     $texto=strip_tags($texto);
     $texto=str_replace(’[b]’,'<b>’);
     $texto=str_replace(’[/b]’,'</b>’);
?>

Existen varios tipos de ataques que explotan la vulnerabilidad XSS, por lo que recominedo investigarla mucho mas a fondo.

Fuente: http://www.codigo200.com/previniendo-ataques-xss-con-php

Una prueba de concepto fue publicada y existe el peligro de que un Gusano pueda utilizar este tipo de vulnerabilidad para comprometer miles de blogs alojados en WordPress.com. (Ver debate de los desarrolladores en este post).

En hackerscenter.com han publicado el full disclosure y un Video demostrativo de la vulnerabilidad, de nuevo repito que las instalaciones de WordPress descargadas de www.WordPress.org no son vulnerables ya que no cuentan con los archivos invite.php o users.php.