Se acuerdan den Mantra?, el navegador pensado para auditorias de aplicaciones web y de FireCAT, conjunto de extensiones de Firefox para Auditorias de Seguridad, les cuento que los desarrolladores de estas dos iniciativas han decidido unir esfuerzos y fusionar sus proyectos para generar el Navegador Definitivo e Auditorias de seguridad.

Gracias a Maxisoler me entero de la unión de estos dos proyectos, que parecía el paso a seguir, ya que FireCAT ofrecía un conjunto de extensiones muy bien organizadas sobre auditoria en seguridad y Mantra un navegador con estas extensiones ya integradas.

Ahora Mantra ofrece una selecta colección de herramientas debidamente organizadas para convertir nuestro navegador en la caja de herramientas necesaria para realizar nuestras auditorias, como podemos ver en el siguiente listado:

• Information Gathering
  • Whois
    • Flagfox
  • Location Info
    • Flagfox
  • Enumeration and Fingerprint
    • Host Spy
    • JSView
    • PassiveRecon
    • View Dependencies
    • Wappalyzer
  • Data Mining
    • People Search Engine
    • Facebook search
• Editors
  • Cert Viewer Plus
  • Firebug
  • JSView

• Network Utilities
  • Protocols and applications
    • FTP
      • Fire FTP
    • DNS
      • DNS Cache
    • SQL
      • SQLite Manager
  • Sniffers
    • HTTP Fox
  • Password
    • CryptoFox 2.0

• Misc
  • Tweaks and Hacks
    • Greasemonkey
    • Scripts
  • Malware scanner
    • Web of Trust
  • Automation
    • iMacros
  • Others
    • CacheToggle 0.6
    • URL Flipper

• Application Auditing
  • Hackbar
  • JavaScript Deobfuscator
  • RESTClient
  • Tamper Data
  • Live HTTP Headers
  • RefControl
  • User Agent Switcher
  • Web Developer
  • DOM Inspector
  • Inspect This
  • Formfox
  • Exploit Me
    • Access Me
    • SQL Inject Me
    • XSS Me
  • Cookies
    • Cookies Manager+ 1.5.1
    • Firecookie

• Proxy
  • FoxyProxy Standard 2.22.6
  • HttpFox

Mantra se encuentra disponible para GNU/Linux, Mac OS X y Microsoft Windows y puedes descargarlo desde este enlace

Para Mas Información:
Visita la Pagina Oficial de Mantra

También puede interesarte...

• Extensiones de Firefox para Auditorias de Seguridad
• KromCAT convierte tu Google Chrome en una Herramienta para la Auditoria de Seguridad
• Katana 2.0 Múltiples Distribuciones de Seguridad en tu USB
• ¿Cómo protegernos de los peligros en Internet?
• Soporte para Flash y JAVA en el iPhone / iPod Touch
• Evita el Pharming desde Firefox
• Robando claves por XSS del Administrador de Contraseñas del Firefox
• Backtrack 4 Final

Gracias a una campaña iniciada desde mi Universidad (Universidad de Manizales), he estado realizando una serie de charlas de concientización en seguridad informática a jóvenes que están próximos a terminar sus estudios de bachillerato; Cuando planeaba estas charlas me preguntaba ¿Cómo hago para que el mensaje que les llevo, quede realmente grabado en sus memorias?, fue entonces cuando se me ocurrió contar una historia, la historia de Mónica Galindo.

Mónica Galindo, es una joven quien también esta terminando sus estudios de bachiller, tiene una vida normal, con amigos, novio, una bonita familia, hace uso de Internet y las redes sociales para interactuar con ellos, como cualquier adolescente de su edad; La vida de esta joven cambio bruscamente cuando decidió tomarse unas fotos con su novio un poco ligera de ropa y de alguna forma estas fotos aparecieron en Internet. Mónica es muy cuidadosa con sus fotos, cuando se las tomó con su novio se aseguro de que se realizaran desde la cámara de ella y que este no sacara copias de ellas, las guardo en una carpeta “oculta” junto a las demás fotos suyas en su portátil que no le presta a nadie y ademas tiene una buena clave en su sistema operativo, por lo que esta segura que nadie las pudo sacar de su computador… ¿será esto cierto? Ayuda a Mónica mirando el vídeo de la charla y descubre cómo pudieron quedar expuestas sus fotos en Internet, a pesar de las precauciones que tomó ella para que esto no sucediera…. pon mucha atención y recuerda que lo mismo te pudo pasar a TÍ.

(pausa el vídeo en cada diapositiva)

Como pudiste ver es relativamente simple para una persona conseguir control total de tu computador y toda la información que hay en el, por eso te recomiendo seguir estos consejos para evitar todos estos peligros que te puedes encontrar en Internet.

Consejos para Protegernos de los Peligros en Internet

• No abras archivos adjuntos que no estas esperando, si lo estabas esperando igual revisalo con tu antivirus antes de abrirlo.
• No ingreses a paginas de dudosa procedencia (xxx, cracks, viagra, etc…) o enlaces que desconocidos te envien.
• Instala un buen software Antivirus, un buen Firewall y un Antispyware en tu sistema para protegerlo.
• No envíes o publiques información personal por correo electrónico, mensajería instantánea, redes sociales o cualquier otro medio.
• Configura adecuadamente la privacidad en sus redes sociales.
• Utiliza navegadores seguros como Google Chrome, Mozilla Firefox u Opera
• Mantel al día todo el software que tengas instalado y tu sistema operativo, herramientas como Secunia PSI y Windows Update te ayudaran en el proceso.

Te dejo algunos los enlaces de las soluciones Antivirus, Firewall y Antispyware recomendadas en los slides.

Listado de Buenos Antivirus Gratuitos para proteger tu sistema

• AVG Antivirus Gratis
• Comodo Antivirus Gratis
• Avast! Antivirus Gratis
• Avira Antivirus Gratis

Listado de Buenos Firewalls Gratuitos para proteger tu sistema

• Outpost Firewall Gratis
• Comodo Firewall Gratis
• Zone Alarm Firewall Gratis
• PC Tools Firewall Gratis

Listado de Buenos Antispyware Gratuitos para proteger tu sistema

• AD-Aware AntiSpyware Free
• Spybot S&D AntiSpyware Free
• Malwarebytes AntiSpyware Free

Adicional a estos consejos, si hay niños utilizando Internet, se deben tener en cuenta también las siguientes recomendaciones.

También puede interesarte...

• Licencia para Avira AntiVir Premium en Español Gratis
• Listado de Anti Virus “en la Nube”
• SSDownloader – Gestor de descargas para Herramientas de Seguridad
• TOP 10, Mejores AntiVirus Gratuitos del 2010
• Avira Premium Security Suite Gratis
• Parchear problema de seguridad de Safari en iPhone, iPod Touch e iPad
• La Policía Nacional Colombiana en las Redes Sociales
• IPSec las redes del futuro cercano

CloudBrowser es una aplicacion para el iPhone e iPod Touch que nos permite utilizar un navegador Mozilla Firefox atravez de un sistema de Cloud Computing, pero ademas de esto, nos permite visualizar e interactuar con aplicaciones y animacion creadas en Flash y JAVA.

CloudBrowser NO permite el soporte de Flash y JAVA de forma nativa,  lo que estariamos haciendo es administrando un navegador web (Mozilla Firefox) de forma remota, desde nuestro dispositivo movil; En un principio apple habia aprobado esta aplicación gratuita, pero de un momento a otro dejo de aparecer.

Funcionamiento totalmente confirmado en diferentes aplicaciones flash y JAVA

Afortunadamente alcancé a sacar una copia del archivo .ipa en su version 1.3 (la ultima que salio) de mi iTunes y se los dejo para que disfruten todas las funcionalidades que Flash y JAVA pueden traer a tu iPhone o iPod Tocuh.

Advertencia: Recuerden que estamos utilizando un navegador en un sitio externo a nuestro iPhone o iPod Touch, por lo que cualquier informacion que ingresemos en el, puede ser capturada y utilizada con fines inescrupulosos, NO estoy diciendo que los encargados de CloudBrowser lo hagan, pero es mejor que no ingresen datos personales o realicen transacciones bancarias desde este navegador.

Descargar CloudBrowser para navegar con Flash y JAVA desde el iPhone

También puede interesarte...

• Parchear problema de seguridad de Safari en iPhone, iPod Touch e iPad
• Desbloquea (Jailbreak) o Actualiza el iPhone OS 3.1.2 para iPhone y iPod Touch
• Desbloquea (Jailbreak) o Actualiza el iPhone OS 3.0 para iPhone y iPod Touch
• Desbloquear iPod Touch 2G Fácilmente
• Jailbreak a Cualquier iPhone, iPod Touch e iPad
• Las peores Contraseñas para el iPhone, iPod o iPad
• Recuperar el Codigo (Contraseña) de iPhone, iPod Touch o iPad
• Descargar Firmware (iOS) para iPhone, iPod Touch, iPad y Apple TV

cabar3t, un usuario de nuestra comunidad, que ha estudiado este tipo de fraudes en internet y ha creado una solución para identificar adecuadamente si estamos siendo victimas de pharming o realmente estamos visitando la pagina a la que deseamos entrar.

La solución propuesta por cabar3t, es una extensión para Mozilla Firefox que permite detectar sitios web falsos que han sido manipulados previamente por un ataque de pharming. Cuando un usuario accede a un sitio web determinado, se realiza una consulta DNS del nombre de dominio asociado al sitio web accedido. Luego de recibir la dirección IP asociada al sitio web, se procede a realizar consultas adicionales del nombre de dominio a otros servidores DNS que están por fuera de la red local, para comparar las respuestas obtenidas con la dirección IP inicialmente devuelta por el servidor DNS local.

Si alguna de las respuestas obtenidas por parte de los otros servidores es igual a la dirección IP devuelta por el servidor DNS local, entonces el sitio web es válido. Por el contrario, si no existe ninguna correspondencia entre las respuestas de los servidores DNS, es posible que el sitio web al cual accede el usuario sea falso.

Puedes ver un vídeo de su funcionamiento a continuación:

Si quieres instalar este plugin en tu navegador, solo tienes que visitar la pagina de complementos para Mozilla Firefox, buscar el Test Pharming y seguir los pasos vistos en el vídeo.

Mas Información:
Anuncio en nuestra Comunidad
Pagina oficial del Plugin Test Pharming

También puede interesarte...

• Soporte para Flash y JAVA en el iPhone / iPod Touch
• Extensiones de Firefox para Auditorias de Seguridad
• Descargar Gratis Internet Explorer 8 Final
• Browser Ride – Explota tu Navegador
• Divide las ventanas de tu Firefox con Split Browser
• Firefox 3.0 ya esta Disponible
• ClaveHotmail.com cometiendo delitos desde el 2007
• ¿Como se realiza el SMiShing?

El problema se encuentra en que el administrador de contraseñas del Mozilla Firefox , no valida adecuadamente el formulario desde el cual se guarda la clave en el administrador de contraseñas, por lo tanto si a la pagina donde se encuentra el formulario de logueo se le puede realizar un XSS es posible agregar un formulario con un campo oculto del tipo “password” y al acceder a ella, firefox no solo llenara el formulario real de acceso automáticamente, sino también el formulario oculto que acabamos de inyectar.

Si le echamos un vistoso al formulario utilizando el plugin Web Developer para el Mozilla Firefox, encontramos que efectivamente el Administrador de Contraseñas, nos llenó el formulario oculto que colocamos en la pagina mediante XSS con nuestra clave de acceso:

El código utilizado para robar la información del Administrador de contraseñas en el Mozilla Firefox:

<script> document.write('<form><input id=p type=password style=visibility:hidden></form>'); setTimeout('alert("Password: " + document.getElementById("p").value)', 100); </script>

Podemos modificar el formulario para que nos envié la contraseña capturada a un archivo en el que puede ser almacenada o enviada por correo electrónico, pero en esta prueba de concepto no lo realizaremos.

En este caso contar con “clave maestra” en el administrador de contraseñas del Mozilla Firefox no supone una “barrera” para que obtengan nuestras claves, ya que una vez ingresada la clave maestra, el Firefox llenara de todas formas el formulario con nuestra clave.

Aunque posiblemente una técnica similar pueda funcionar en otros navegadores, he realizado pruebas en Google Chrome, Safari y Opera siendo el Mozilla Firefox el único afectado.

Actualización:
Un fallo similar fue reportado en el 2006 y supuestamente fue resuelto “VERIFIED FIXED”, pero acabo de probar con la prueba de concepto que publicaron en esa ocasión y sigue siendo vulnerable.

Recomendaciones:

• Escribe “about:config” en la barra del Firefox para desactivar (poner en “false”) la función signon.autofillForms



Con esto deshabilitas la función de auto llenado del administrador de contraseñas y evitarnos ser victimas de este fallo.

• Utilizar el plugin NoScript (si no hay inyección de código, no hay problema)
• No utilizar el Administrador de Contraseñas de Mozilla Firefox (ya hemos demostrado que no es recomendable, ni en firefox, ni en ningún navegador), en vez de el utilizar servicios gratuitos como LastPass (al que por cierto le debo un articulo entero)

Mas Información:
XSS demo for stealing passwords from the Firefox password manager

También puede interesarte...

• Cambia tu clave maestra en LastPass
• ¿Cómo Recuperar una Cuenta de Twitter?
• ¿Cómo Recuperar una Cuenta de Facebook?
• Las peores Contraseñas en Español
• ClaveHotmail.com cometiendo delitos desde el 2007
• Diccionario claves WPA para Realizar Ataques de Fuerza Bruta
• Recupera tu Password de FileZilla
• Diccionarios con Passwords de Sitios Expuestos

Para reafirmar el uso de Firefox como Herramienta de Seguridad les presento FireCAT, un completo catalogo de las extensiones para Firefox, que están especialmente diseñadas para su uso en una auditoria de seguridad:

En la comunidad ya habíamos hablado del FireCAT en su versión 1.5, en esa ocasión, se había publicado el catalogo de extensiones para realizar auditorias con firefox en PDF y html, con esta nueva versión 1.6 el FireCAT pasa a estar disponible de forma online, en un mapa mas interactivo creado en flash:

Espero que les sea de utilidad y encuentren algunos buenos plugins que no conocian.

Mas Información:
Pagina Oficial del FireCAT

También puede interesarte...

• KromCAT convierte tu Google Chrome en una Herramienta para la Auditoria de Seguridad
• FireCAT + Mantra = Navegador Definitivo para Auditorias de seguridad
• Evita el Pharming desde Firefox
• Katana 2.0 Múltiples Distribuciones de Seguridad en tu USB
• ¿Cómo protegernos de los peligros en Internet?
• Forzando Conexiones SSL por defecto v2
• Soporte para Flash y JAVA en el iPhone / iPod Touch
• Robando claves por XSS del Administrador de Contraseñas del Firefox

Microsoft ha lanzado la versión final de su navegador estrella que incluye numerosas mejoras que abarcan desde el soporte de estándares web hasta la seguridad informática, nuevas características han sido implementadas y otras mejoradas como el filtro de sitios maliciosos (phishing, spyware, malware, entre otros), se ha agregado un filtro para prevenir ataques XSS de sitios comprometidos, se han “inspirado” en la característica de Google Chrome para navegar de “incognito” (sin almacenar cookies, historial, cache, ni contraseñas) para implementarla con el nombre de InPrivate en Internet Explorer 8.

También  se “inspiraron”  en Mozilla Firefox para su nueva función de restauración automática, en la que si se cierra nuestro navegador de forma inesperada, automáticamente restaura las pestañas que teníamos al abrir de nuevo el IE.
A pesar que tomaron inspiración de varios de los navegadores mas populares no esta de mas decir que el Internet Explorer 8 supera en creces a cualquiera de sus versiones anteriores, instalenlo y notaran la diferencia.

Descargar Gratis Internet Explorer 8 Final

También puede interesarte...

• Parchear problema de seguridad de Safari en iPhone, iPod Touch e iPad
• Curso sobre desarrollo seguro de aplicaciones web por Google
• Actualiza tu equipo con Windows
• Presentación de conceptos básicos en Seguridad Web
• X5S – Encuentra fallos XSS, LFI y RFI fácilmente
• Tus busquedas en Google ahora Cifradas
• 10 Consejos para proteger los Niños en Internet
• “Crean” un navegador pensando en su seguridad

Menú Normal del Firefox

Con la extencion instalada y configurada

Para confirgurarlo solo debemos seguir estos pasos:

1. Instalar cualquiera de estos 2 plugins para Mozilla Firefox Compact Menu o Tiny Menu y reiniciar el navegador.
2. Hacer click derecho en cualquier barra de herramientas de Firefox y elijan “Personalizar…”
3. arrastrando los botones de la barra de navegación, atrás, adelante, detener, y todos esos botones a la barra de menú luego le dan en “Listo”.
4. Una vez echo esti la barra de navegación debe estar vacía, ahora solo den click derecho y quitan la selección a “Barra de navegación” para que desaparezca.

Con estos simples pasos estarán ahorrando por lo menos 1 centímetro de espacio en su monitor.

Actualizado:
Gracias a un comentario de @Andres descubro el plugin Stop-or-Reaload Button con el que puedes unir el botón de “Detener” y “Actualizar” en unos solo ahorrando un poco de espacio mas para tus barra de direcciones y de buscador.

También puede interesarte...

• Descargar Gratis Internet Explorer 8 Final
• FireCAT + Mantra = Navegador Definitivo para Auditorias de seguridad
• ¿Cómo protegernos de los peligros en Internet?
• Parchear problema de seguridad de Safari en iPhone, iPod Touch e iPad
• Soporte para Flash y JAVA en el iPhone / iPod Touch
• 10 Consejos para proteger los Niños en Internet
• Evita el Pharming desde Firefox
• Robando claves por XSS del Administrador de Contraseñas del Firefox

Llegó la fecha esperada por todos nosotros, hoy 17 de Junio y después de 34 meses de desarrollo activo sale a la luz el tan esperado Firefox 3.0, versión con la que la Fundación Mozilla pretende quedarse con el guinness record del programa más descargado en 24 (si quieres ayudar con la causa click aquí).

Entre las características más destacable se encuentran:

• Mejorar manejo de plugins.
• Mejor manejo de memoria (consume menos).
• El estilo de colores se adapta a los del Sistema Operativo.
• Soporte de marcadores remotos.
• Manejo de ficheros a través de servicios web.
• Mejora en el soporte de impresión.
• Nuevas funciones en el gestor de descargas.
• Instalador MSI.
• Soporte de sistemas de identificación como Microsoft CardSpace y OpenID.
• TalkBack será sustituida por Airbag, como aplicación de reporte de cuelgues.
• Manejo mejorado de la barra de direcciones.

Algunas de las cuales puedes apreciar en el siguiente vídeo:

El nuevo Firefox 3.0 esta cargado de novedades, te recomiendo que lo descargues utilizando el siguiente enlace para que ayudemos entre todos a obtener el récord mundial y así darle mucha mas publicidad a este excelente navegador web.

Descargar Firefox 3.0

(el enlace te llegara a tu correo)

O puedes hacer click en la siguiente imagen para descargarlo

También puede interesarte...

• Soporte para Flash y JAVA en el iPhone / iPod Touch
• Evita el Pharming desde Firefox
• Descargar Gratis Internet Explorer 8 Final
• FireCAT + Mantra = Navegador Definitivo para Auditorias de seguridad
• 0day en Google Chrome
• Recupera tu Password de Facebook
• Recupera tu Password de Twitter
• ¿Cómo protegernos de los peligros en Internet?

El segundo Problema consiste en que Firefox permite que los sitios puedan reemplazar IFRAMES de otros sitios mediante el método document.write(). El problema que fue descubierto el año pasado y se suponía resuelto, pero aún es posible otro ataque diferente sobre frames en about:blank y en otros IFRAMES durante el proceso de carga. Esto permite mostrar contenidos alterados o falsos en el contexto del sitio atacado, interceptar pulsaciones de teclado o rastrear algunos aspectos de la conducta del usuario.

La tercera vulnerabilidad permite saltarse el retraso de seguridad impuesto antes de la presentación de algunos cuadros de diálogo. Se presenta una demo para Windows que descarga, abre y muestra, sin pedir permiso al usuario, un documento html capaz de mostrar el directorio C:, aunque también podrían enviarse ficheros locales a través de Internet

Ninguno de los bugs tienen de parche.

MAS INFORMACIÓN:

Firefox promiscuous IFRAME about:blank access bug

Firefox dialog refocus bug

También puede interesarte...

• FireCAT + Mantra = Navegador Definitivo para Auditorias de seguridad
• Presentación de conceptos básicos en Seguridad Web
• Vulnerabilidad en Routers Thomson a Fondo
• ¿Cómo protegernos de los peligros en Internet?
• X5S – Encuentra fallos XSS, LFI y RFI fácilmente
• Parchear problema de seguridad de Safari en iPhone, iPod Touch e iPad
• Revisa la seguridad de tu sitio web Gratis
• Curso sobre desarrollo seguro de aplicaciones web por Google