Las mejores extensiones de Firefox para mejorar tu seguridad

Continuando con la colección de extensiones Firefox imprescindibles para mejorar nuestra navegación, veremos hoy algunas de las mejores enfocadas a la seguridad en la red. Ayer veíamos addons sobre Privacidad, pero como resalté anteriormente la privacidad es sólo uno de los tantos aspectos de los que debemos preocuparnos al utilizar Internet. Lastimósamente, la red está plagada de Malware y no sólo tener un buen antivirus y un firewall te mantendrá protegido (aunque si ayudan) ya que en la mayoría de los casos la desinformación del usuario (capa 8 :P) es la responsable de la no filtración del contenido al que accede. Quizás la herramienta más usada a diario es nuestro navegador Web por este motivo es muy importante tener un balance entre usabilidad/seguridad para posiblemente ahorrarnos más de un dolor de cabeza. AI Roboform Toolbar for Firefox: Funciona como barra de herramientas con RoboForm para administrar y proteger tus contraseñas. Dr.Web anti-virus link checker: Verifica que los archivos no tenga virus antes de descargarlos, lo mismo para los sitios web. FirePhish Anti-Phishing Extension / iTrustPage / Personal Anti-Phishing Sidebar / PhishTank SiteChecker: Extensiones que te permiten estar alerta sobre el ingreso a un sitio web con contenido falsificado (Phising) haciendo uso de bases de datos que contienen URLs identificadas de este tipo. FormFox: Al poner el cursos sobre un formulario, te muestra haciendo donde vá la información que estás escribiendo. KeyScrambler Personal: Encripta lo que escribes para protegerte de keyloggers. Link Alert: Cambia el color de tu cursor para indicar visualmente lo que hace el link que estás apuntando. Magic Password Generator: Haciendo uso de una contraseña maestra genera contraseñas únicas para cada sitio. También auto-rellena direcciones de correo electrónico y nombre. NoScript: 100% RECOMENDADA. Bloquea cualquier código malicioso de páginas que no estén en la lista blanca de sitios en los cuales usted confía. Más información sobre NoScript aquí. Password Exporter: Permite importar y exportar tus contraseñas entre diferentes copias de Firefox. Password Hasher: Genera automáticamente contraseñas fuertes, permite actualizarlas y cambiarlas mucho más rápido. PasswordMaker: Ayuda a encriptar y almacenar las contraseñas. PopupMaster: – Agrega un bloqueador de popups a la barra de estado. QArchive.org web files checker: – Instálalo y con un simple clic derecho puedes realizar un escaneo de malware, virus, troyanos, etc. antes de descargar. QuickJava: – Dá la posibilidad de activar/desactivar Java por medio de un botón. Secure Login: – Almacena información de login y llena los formularios con un clic. SecurePassword Generator: – Generador de contraseñas fuertes. SignupShield Passwords: – Administrador de contraseñas (1-Click), rellena formularios, tiene control anti-spam y anti-phising. SplitLink: – Elimina símbolos especiales en las URLs para que puedas...

Leer Más

Robando claves por XSS del Administrador de Contraseñas del Firefox

Gracias a un mensaje de Tom Brennan, me entero de un problema en el Administrador de Contraseñas del Mozilla Firefox, que permite a un atacante mediante XSS (Cross-site scripting) obtener la clave de un usuario almacenada en el navegador. El problema se encuentra en que el administrador de contraseñas del Mozilla Firefox , no valida adecuadamente el formulario desde el cual se guarda la clave en el administrador de contraseñas, por lo tanto si a la pagina donde se encuentra el formulario de logueo se le puede realizar un XSS es posible agregar un formulario con un campo oculto del tipo “password” y al acceder a ella, firefox no solo llenara el formulario real de acceso automáticamente, sino también el formulario oculto que acabamos de inyectar. Si le echamos un vistoso al formulario utilizando el plugin Web Developer para el Mozilla Firefox, encontramos que efectivamente el Administrador de Contraseñas, nos llenó el formulario oculto que colocamos en la pagina mediante XSS con nuestra clave de acceso: El código utilizado para robar la información del Administrador de contraseñas en el Mozilla Firefox: <script> document.write('<form><input id=p type=password style=visibility:hidden></form>'); setTimeout('alert("Password: " + document.getElementById("p").value)', 100); </script> Podemos modificar el formulario para que nos envié la contraseña capturada a un archivo en el que puede ser almacenada o enviada por correo electrónico, pero en esta prueba de concepto no lo realizaremos. En este caso contar con “clave maestra” en el administrador de contraseñas del Mozilla Firefox no supone una “barrera” para que obtengan nuestras claves, ya que una vez ingresada la clave maestra, el Firefox llenara de todas formas el formulario con nuestra clave. Aunque posiblemente una técnica similar pueda funcionar en otros navegadores, he realizado pruebas en Google Chrome, Safari y Opera siendo el Mozilla Firefox el único afectado. Actualización: Un fallo similar fue reportado en el 2006 y supuestamente fue resuelto “VERIFIED FIXED”, pero acabo de probar con la prueba de concepto que publicaron en esa ocasión y sigue siendo vulnerable. Recomendaciones: Escribe “about:config” en la barra del Firefox para desactivar (poner en “false”) la función signon.autofillForms Con esto deshabilitas la función de auto llenado del administrador de contraseñas y evitarnos ser victimas de este fallo. Utilizar el plugin NoScript (si no hay inyección de código, no hay problema) No utilizar el Administrador de Contraseñas de Mozilla Firefox (ya hemos demostrado que no es recomendable, ni en firefox, ni en ningún navegador), en vez de el utilizar servicios gratuitos como LastPass (al que por cierto le debo un articulo entero) Mas Información: XSS demo for stealing passwords from the Firefox password...

Leer Más

Infección Virus a través de Redes Sociales

La infección de virus a través de redes sociales como Hi5, FaceBook, Twitter o Myspace va en aumento, y la propagación  del gusano Koobface a finales del 2008 en la red social facebook es muestra de ello, la principal razón para el alto numero de infectados por este medio es la confianza que se tiene en nuestros contactos, nadie sospechara de un enlace enviado por un familiar o amigo cercano, es por eso que quiero compartir con todos ustedes este vídeo creado por el laboratorio ESET en latinoamericana donde nos muestran el funcionamiento de un virus que se reproduce atravez de facebook. Dale “click derecho/mostrar todo” para ver bien el vídeo. [SWF]http://www.eset-la.com/threat-center/videos/redes-sociales/redes-sociales.swf, 500, 400[/SWF] Descargar Video (click derecho” guardar enlace como”) Ademas de los Tips de Seguridad para Facebook debemos agregar a la lista de recomendaciones, los típicos consejos que siempre damos pero que pocos siguen: No abrir enlaces de informacion no solicitada (aunque sea enviada por personas conocidas) Mantener al día nuestro software anti virus Utilizar un Navegador Seguro (Recomendable Firefox + NoScript) Siguiendo estos pasos estarás libre de infecciones por medio de las redes...

Leer Más

NoScript

Para quienes ignoran que es NoScript, es un plugin para el Mozilla Firefox que bloquea cualquier código malicioso de páginas que no estén en la lista blanca de sitios en los cuales se confía (por ejemplo su banco, dragonjar, etc…), Podrás bloquear Java, Javascript y otros elementos, bien temporalmente o de forma definitiva. Citaré 2 noticias sobre vulnerabilidades en las cuales NoScript ha podido evitar que nos veamos afectados. La primera noticia, una vulnerabilidad descubierta por Giorgio Maone (creador de NoScript) la cual permite la creación de popups que cubran toda la pantalla sin la posibilidad de poderse cerrar. Este fallo puede ser utilizado para phising, malware, spyware, etc… ya que se puede engañar al usuario con un pantallazo falso dando la sensación que se está en el escritorio real o en el navegador, cuando en realidad se encuentra en una popup. Giorgio ha publicado varias pruebas de concepto que les enseñare a continuación La primera prueba hace uso de LiveConnect y requiere unas pocas líneas de Javascript, pero sólo funciona en Opera y navegadores basados en el motor Gecko (como Firefox). La segunda prueba es puro Java y funciona en todos los navegadores (Explorer, Opera, Firefox, Safari…) En ambos casos el resultado es preocupante. Aunque sin duda los usuarios avanzados encontrarán formas de cerrar la ventana en su sistema, podemos imaginar la repercusión de una explotación de este fallo en millones de usuarios menos enterados. El segundo fallo del cual les comento ha sido discutido ampliamente en Kriptopolis (Parte 1, Parte 2) y consiste en una vulnerabilidad del Mozilla Firefox y la forma en que valida los archivos JAR que son utilizados internamente por este navegador para acceder a recursos incluidos en ficheros comprimidos. (leer toda la noticia) Aqui otra noticia en la cual NoScript pasa a ser el Heroe Espero que después de esto instalen el NoScript, se que es un poco molesto al principio pero piensa que te está protegiendo Instalar NoScript para Mozilla...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES