COOKIES

Una simple técnica para acceder al servicio gratuito de correo electrónico Microsoft sin la contraseña esta siendo excesivamente explotado.
El truco envuelve capturar una copia del cookie de la victima. Una vez robado el cookie de Hotmail, no hay manera para que tu cuenta pueda ser segura, porque los cookies también contienen la contraseña.

Lo malo en esto es que, una vez teniendo acceso "capturado tu cookie" tienen tu cuenta para siempre. Aunque cambies tu contraseña "ellos" aun podrán tener acceso permanente a tu cuenta, dijo "Eric Glover" un programador de New Jersey que tiene un doctorado en Ciencias de la computación de la universidad de Michigan.

Después de estudiar el proceso de "inicio de sesión" de Hotmail. Glover con un Snoopy Manager obtuvo una copia de los cookies de Hotmail, de la cuenta de un amigo de el, y estubo usando el cookie para tener acceso a la cuenta, aun cuando su amigo cambio la contraseña tenia acceso a su cuenta de correo electronico.

Microsoft, oficialmente dijo que Hotmail esta ofreciendo algunas herramientas para limitar a lo que la compañía denomino "cookie-based replay atacks". Pero añadieron que como siempre Microsoft "intentando para proteger usuarios con su confidencialidad, como también dándoles mas control sobre internet".

Pero expertos en seguridad dicen que la vulnerabilidad de Hotmail hoy en día hace que tengan mas acceso a los cookies cualquier tipo de usuarios no deseados.

Las Cookies, la información mas pequeña puesta en la computadora de un usuario de Internet mientras navega por internet son usados principalmente para el propósito de identificar al usuario para meterles propaganda. Pero muchos sitios como Hotmail también usan los cookies para autenticar a los usuarios.
Para muchos sitios es apuntar para un cuenta de banco ATM que no es necesario pedir una contraseña al usuario. Pierde la "tarjeta" y pierdes tu seguridad.

"Las Cookies nunca fueron creadas para que sean un mecanismo de autentificación. Pero cualquiera que este creando un sito en Internet, no tiene mucha opción", dijo Marc Slemo que también es un programador que ha descubierto problemas con los cookies en la sesión de inicio de Hotmail.

Sin tener acceso a la PC de la victima ¿Que tan difícil es hackear los cookies de Hotmail? "Trivial" dijo Slemo, que predijo años atrás como seria fácil robar los cookies de la computadora de otra persona.
Que mas, los bugs de seguridad del Internet Explorer hacen que robar los cookies de otra persona sea muy fácil. de acuerdo con Thor Larholm, un programador que ha copilado una lista de bugs en el Navegador del Internet Explorer una de tantas es la facilidad de robar los cookies.

"Yo diría que un hacker malicioso hoy en día, tiene muy buenas probabilidades de poder robar los cookies" dijo Larholm los cookies no son encriptados y son guardados en una dirección especifica.
De acuerdo con Slemko, muchos de los sitios en Internet, incluyendo Bancos, sitios de compra por internet, tiene un sistema de tokens que se expiran una vez que la cuenta del usuario esta inactiva por un tiempo.

Pero aparentemente Hotmail en un aparente esfuerzo para el "confort" del usuario, deja que los cookies estén en autenticación permanente.

En el servicio de Hotmail una docena de cookies son escritas al disco duro mientras el usuario tiene la opcion "keep me sign in" mientras inicia en el servicio. La opción es diseñada para que no se le niegue autorización de la contraseña mientras checa su correo durante el día.

Dos de los cookies de MSN son "MSPAuth" y el otro es "MSProf" son las llaves digitales que dejan que un atacante tenga acceso al interior de las cuentas de usuarios sin tener la contraseña del usuario, leer los correos, mandar corre y cambiar las opciones de preferencia del usuario.
Aparentemente un examen hecho por Wired News, los cookies de Hotmail no son guardados en la PC a menos que hallan salido como se debe de salir "Sign out .Net" el botón o en e botón e "atrás" del Navegador. Simplemente cerrando la ventana no las borraba.

Según Slemko, el problema de los cookies de Hotmail puede dejar de ser un "bug" si esta configurada las opciones ofrecida por Hotmail. Hotmail da la opción a los usuarios para configurar "expiración de sesión" que promete automáticamente borra el cookie después de un tiempo determinado por el usuario.

Pero un examen hecho por Wired News, mostró que el cookie puede ser llevado a otra computadora (aun cuando el usuario allá configurado su "expiración de sesión") en un plazo de 24 horas.
Aun con la configuración de "expiración de sesión" "bug". No hay mucho que Microsoft pueda hacer para que pueda proteger a Hotmail de los ataques con cookies.
Como Hotmail esta diseñado para que el usuario de una cuenta de correo electrónico hecha en el servidor de Hotmail pueda tener acceso en cualquier parte del mundo los cookies no están diseñadas para que estén basadas en el Internet Protocol ( I.P. )

MEMORIAS USB

Una memoria USB (de Universal Serial Bus, en inglés pendrive o USB flash drive) es un pequeño dispositivo de almacenamiento que utiliza memoria flash para guardar la información que puede requerir o no baterías (pilas), en los últimos modelos la batería no es requerida, la batería era utilizada por los primeros modelos. Estas memorias son resistentes a los rasguños (externos) y al polvo que han afectado a las formas previas de almacenamiento portátil, como los disquetes, CDs y los DVDs.

Estas memorias se han convertido en el sistema de almacenamiento y transporte personal de datos más utilizado, desplazando en este uso a los tradicionales disquetes, y a los CDs. Se pueden encontrar en el mercado fácilmente memorias de 1, 2, 4, 8, 16, 32 GB o más (esto supone, como mínimo, el equivalente a 915 disquetes). Su gran popularidad le ha supuesto infinidad de denominaciones populares relacionadas con su pequeño tamaño y las diversas formas de presentación, sin que ninguna haya podido destacar entre todas ellas: pincho, lápiz, mechero, llavero, llave, llave maya o las de los embalajes originales en inglés pendrive, flash drive, flash memory o memory stick. El calificativo USB o el propio contexto permite identificar fácilmente el dispositivo informático al que se refieren.

Los sistemas operativos actuales pueden leer y escribir en las memorias sin más que enchufarlas a un conector USB del equipo encendido, recibiendo la energía de alimentación a través del propio conector. En equipos algo antiguos (como por ejemplo los equipados con Windows 95) se necesita instalar un controlador de dispositivo (driver) proporcionado por el fabricante. Los sistemas GNU/Linux también tienen soporte para dispositivos de almacenamiento USB.

UTILIDADES

La mayoría de las memorias USB son pequeñas y ligeras. Son populares entre personas que necesitan transportar datos entre la casa, escuela o lugar de trabajo. Teóricamente, la memoria flash puede retener los datos durante unos 20 años y escribirse un millón de veces.

Aunque inicialmente fue concebido para guardar datos y documentos, es habitual encontrar también en las memorias USB programas de utilidad que el usuario puede ejecutar directamente desde el dispositivo, sin necesidad de realizar ninguna instalación en el sistema operativo anfitrión.

Los nuevos dispositivos U3 para Microsoft Windows integran un menú de aplicaciones, semejante al propio menú de "Inicio", que permiten organizar archivos de imágenes, música, etc. Para memorias de otros fabricantes también existen colecciones basadas en software libre como es el caso de PortableApps.com.

La disponibilidad de memorias USB a costes reducidos ha provocado que sean muy utilizadas con objetivos promocionales o de marketing, especialmente en ámbitos relacionados con la industria de la computación (por ejemplo, en eventos tecnológicos). A menudo se distribuyen de forma gratuita, se venden por debajo del precio de coste o se incluyen como obsequio al adquirir otro producto.

Habitualmente, estos dispositivos se personalizan grabando en la superficie de la memoria USB el logo de la compañía, como una forma de incrementar la visibilidad de la marca. La memoria USB puede no incluir datos o llevar información precargada (gráficos, documentación, enlaces web, animaciones Flash u otros archivos multimedia, aplicaciones gratuitas o demos). Algunas memorias con precarga de datos son de sólo lectura; otras están configuradas con dos particiones, una de sólo lectura y otra en que es posible incluir y borrar datos. Las memorias USB con dos particiones son más caras.

Las memorias USB pueden ser configuradas con la función de autoarranque (autorun) para Microsoft Windows, con la que al insertar el dispositivo arranca de forma automática un archivo específico. Para activar la función autorun es necesario guardar un archivo llamado autorun.inf con el script apropiado en el directorio raíz del dispositivo.^[1] La función autorun no funciona en todos los ordenadores. En ocasiones esta funcionalidad se encuentra deshabilitada para dificultar la propagación de virus y troyanos que se aprovechan de este sistema de arranque.

Otra utilidad de estas memorias es que, si la BIOS del equipo lo admite, pueden arrancar un sistema operativo sin necesidad de otro disquete, CD, DVD ni siquiera disco duro. El arranque desde USB está muy extendido en ordenadores nuevos y un USB ocupa mucho menos y es más rápido que una disquetera o incluso que un lector de DVD/CD-ROM. Se pueden encontrar distribuciones de GNU/Linux que están contenidas completamente en un llavero USB y pueden arrancar desde allí (véase LiveCD).

Las memorias USB de gran capacidad, al igual que los discos duros o grabadoras de CD/DVD son un medio fácil para realizar una copia de seguridad, por ejemplo. Hay grabadoras y lectores de CD-ROM, DVD, disquetera o Zip que se conectan por USB.

Además, en la actualidad, existen equipos de audio con entradas USB a los cuales podemos conectar nuestro pendrive y reproducir la musica contenida en el mismo.

Como medida de seguridad, algunas memorias USB tienen posibilidad de impedir la escritura mediante un interruptor, como la pestaña de los antiguos disquetes. Otros permiten reservar una parte para ocultarla mediante una clave.

CONSIDERACIONES DE USO DE USB

Antes de retirar la memoria del puerto USB hay que asegurarse de notificarlo al sistema operativo (desmontar en GNU/Linux o "Quitar el Hardware con seguridad " desde el "Administrador de dispositivos" en WindowsMac OS). o "Expulsar" en

Si no se hace, puede dañar su sistema operativo ya que no se le da aviso de que está sacando el dispositivo de memoria externa y no cierra correctamente los procesos. Esto es obligatorio hasta Windows 2000 y voluntario en XP, el cual permite elegir un modo de desconexión más simple.

Si se saca antes de tiempo, puede que los archivos se graben mal. Incluso se puede dañar la memoria ya que hay electricidad que fluye a través del USB y que al sacarlo rápidamente podría dañar al circuito integrado de la memoria.

Sin embargo, existe discrepancia para tales afirmaciones. Las memorias USB no afectan el funcionamiento ni modifican nada del sistema operativo, ni mucho menos pueden hacer un daño en los mismos. Indicar que se desconectará una memoria USB solo activará una función del propio sistema para desmontar dicho accesorio e impedir que esté disponible para su uso, no para apagar o quitar la corriente que el equipo le suministre. Si algún programa o proceso está usando un archivo que esté alojado en la unidad USB cuando se esté desmontando, el sistema operativo indicará con un mensaje de que no se puede desmontar el dispositivo porque está siendo utilizado o algo similar. De hecho, aunque el sistema operativo no reconozca o tenga montada la unidad para su uso de lectura y/o escritura, la memoria USB igual está siendo alimentada por los 5 voltios que el pc le suministra. Todas las memorias tienen un circuito electrónico interno que impiden un funcionamiento inmediato mediante un retardo de unos cuantos milisegundos después de ser insertadas en el puerto USB.

El cuidado de los pendrive o memorias USB es similar al de las tarjetas electrónicas, evitando caídas o golpes, humedad, campos magnéticos y calor extremo.

En sistemas Windows (2000 ~ XP con SP2) con unidades de red asignadas, puede ocurrir que al conectar la memoria USB el sistema le proporcione una letra previamente en uso. En ese caso, habrá que acudir al administrador de discos (diskmgmt.msc), localizar la unidad USB y cambiar manualmente la letra de unidad.