#199 >, pero entonces ya nos desvíamos del tema principal: HTML.

Todos los clientes de correo que implementen lectura por email tendrá una librería que se conecte a inet y entienda HTTP(S), creo que hasta Sylpheed lo hace así.

Yo puedo usar lynx con mail de Unix y creo que bloquear todas las conexiones y que solo "dibuje" el HTML, pero no es el caso del resto de clientes de correo:

lynx -dump -localhost -force_html -stdin -nolist.

Ese es mi comando para ~/.mailrc para interpretar HTML.

Pero como digo el resto no lo implementará así jamas.

#189 Igual lo que buscas es esto: security.stackexchange.com/questions/123733/browser-exploits-based-pur


Yes, in the past there have been lots of exploits that only relied on malicious HTML and CSS code.

You are right in that parsing a complex, turing-complete language is potentially more error-prone, giving an attacker more tools to craft an exploit. Yet, there are many different ways in which the implementation of the used CSS parser or other modules involved in processing the code can be vulnerable.

As an example, take CVE-2010-2752 - Mozilla Firefox CSS font-face Remote Code Execution Vulnerability. This vulnerability could be triggered simply by creating a website with specially crafted CSS font-face rules and yet it had the potential to compromise the host.

The flawed code was located in Mozilla's CSS parser and had a trivial bug: When allocating memory to store the font-face references, a 16-bit integer was used for the index. However, when the actual values were filled in, a 32-bit integer was used instead. This inconsistency led to an integer overflow when a stylesheet supplied an exessive number of external font references. Consequently, an attacker could write to unexpected memory locations and turn the index overflow into an arbitrary code execution exploit.

Since most of the Mozilla core is written in C++, there is no built-in overflow protection and developers are in charge of dealing securely with the memory. A browser written in Python would likely face very different types of vulnerabilities (and also be painfully slow).

#200 No, no, digo para la facilidad de crear mierdas adjuntadas en correo. Y ejecutarse universalmente en cualquier Windows de XP (creo) a 7 para arriba.
Sin dependencias ni nada, todo en un exe, y creado desde Linux, OSX, FreeBSD o cualquier cosa que tenga Go.

#201 El HTML y HTTP(S) no tienen por qué ir juntos, puedo enviarte HTML en un txt o en el cuerpo de un email. Ahí va un ejemplo:

<html>
<head><title>Mi Primera Página</title></head>
<body>Ésta es la primera página que he creado.</body>
</html>

Eso lo puede parsear un parseador decente y todos felices.

#204 Eso sí, pero por lo general todos van a implementar HTML y HTTP
para recoger contenido con src.
Y sí, conozco html2text, y se que se puede hacer cualquier parser sin inet,
pero esto no es Unix, en Windows y Outlook lo quieren todo en uno.

Gracias a esa mentalidad tenemos virus de macro en MSOffice, toneladas de vulnerabilidades y ejecuciones en Outlook, que hacen de la concepción del ecosistema de Windows la fiesta del malware.

Sí, en MSOffice las macros segun veo estan desactivadas, pero repito:
políticas de empresa donde prima el acceso a datos.

Y sí, hay ransomware compuesto a base de macros en un DOCX.

#202 Técnicamente sería un problema con CSS, no HTML, pero aceptamos pulpo, gracias.

#163 No sabes que cuando la gente dice que "los del SEPE no hacen nada" se refieren a los que te atienden en ventanilla?

#206 hombre, ya no digo javascript pero acepta CSS al menos.

#208

#205 Ya claro, entiendo lo que dices, yo sólo estaba defendiendo al pobre HTML, que siempre acaba cargando con las culpas... lo de Windows+Empresas es una bomba esperando su turno para explotar...

#210 A mi HTML como lenguaje de marado no me gusta, si hubirea cogido troff de Unix y lo hubieran pulido (comandos y macros de más de dos letras, como groff y mom) hubiera sido más manejable. Parsear XML sigue siendo una locura...

Pero volvamos al tema. Aquí hasta que MS no mande las macros ATPC (aun a costa de Excel y Access), no habrá seguridad decente.

Van a tener que crear otro ecosistema que no esté basado en hacer "computables" simples formatos destinados a guardar texto y cálculo numérico excepto por cálculos internos en funciones delimitadas por el lenguaje y NADA más. Ni acceso a ficheros, ni apertura de programas, ni sockets, ni interoperabilidad con C#, ni hostias en vinagre.

Datos, funcionalidad discreta. Fin.

Perderán muchos enteros pero ganaremos en seguridad, y evitaremos mierdas de software implementadas en Excel/Access y macros que son la fiesta de los coladores.

Software por no llamarlo otra cosa, porque vamos.

#151 #168 #181 no, me refiero a los funcionarios, funcionarios

#211 Pues troff es turing-completo, si las páginas web estuvieran escritas en troff, sí que habría una gran superficie susceptible de ser atacada... por muy bien implementado que estuviera el interpreter.

Parsear XML está regular... pero ahí tienes XHTML que es lo mejor de los dos mundos... una pena que nadie le haga casito...

#95 #114 #117 #119
Ahora mismo son válidos los CA de Camerfirma.

Cambio de certificados electrónicos del Portal y la Sede Electrónica de la Agencia Tributaria.
El próximo 16 de marzo de 2021 la Agencia Tributaria va a proceder a cambiar los certificados electrónicos que se utilizan para ofrecer servicios a los contribuyentes. Este cambio permitirá seguir accediendo a los servicios de la Sede Electrónica de la Agencia Tributaria sin que exista el riesgo de que se pueda impedir el acceso desde el navegador que utilizan habitualmente.

Los nuevos certificados electrónicos serán firmados por el prestador de servicios de certificación GlobalSign. Estos certificados electrónicos están reconocidos por los principales navegadores y la máquina virtual de Java. Los dominios afectados por este cambio son:
agenciatributaria.gob.es
agenciatributaria.es
aeat.es

www.agenciatributaria.es/AEAT.internet/Inicio/_componentes_/_Le_intere

#213 Creo que no soporta llamar a nada externo.

El juego de la vida también lo és y mucho no vas a hacer ahí.

#215 Creo que no soporta llamar a nada externo. : De la wikipedia, XHTML 5 is simply XML-serialized HTML 5 data. Así que tendría las mismas capacidades que HTML5, pero con una sintaxis más estricta (y por lo tanto más digerible por otros programa).

Ser turing-completo es condición necesaria, no suficiente, para ser útil y/o peligroso (útil y/o peligroso de verdad).

#216 La sintaxis de Troff tambien es bastante estricta, no te creas.

Y groff+mom son un conjunto de macros.

Esto es Unix, por lo general la filosofía es juntar herramientas, no que una cosa pueda hacer todo.

Si quieres gráficos, usas las diferentes herramientas como pic/graph y luego ensamblas el documento final a PS/PDF con troff/groff.

#8 Hace un tiempo me tocó el mantenimiento de los cerca de 2.000 antivirus de los terminales de la empresa, que se gestionaban con el EPO de Mcafee, y no funcionaba mal. Teníamos un partner de Mcafee que nos daba un servicio técnico excelente cuando había problemas. Otra cosa es a nivel particular; ahí no me meto.

Eso sí, una de las claves en estas situaciones son los backups, tanto de equipos como de la información. No sé como tendrán el tema, pero no parece que lo lleven demasiado bien.

#217 Ufff, editas los comentarios a mayor velocidad de lo que yo puedo digerir ...
Voy a parar por aquí... un placer.

#65 Son mayores de 50 pero no tienen conocimientos de informática. Son los mismos que te grapaban un diskette con la documentación.

#71 no, el dinero público no es de nadie. Por eso todo el que pasa, coge lo que quiere. Es la carrera política. De la de funcionario hablamos otro día, que no quiero un estrikes para un mes.

#134 Si es por lo que trabajan si.

#78 entonces una de dos, o lo que introducen no es un IBAN (con sus dos letras seguidos de dos dígitos de control + el número de cuenta) sino sólo el número de cuenta, o el que diseñó el formulario donde se mete es un patán que no implementó validación del IBAN. Porque hoy en día con un IBAN debería ser imposible equivocarse.

Bueno, una tercera opción sería que se equivocaran y metieran bien el IBAN, pero el de otra persona

#22 Igual se refiere a los servidores.

#220 Estarán como todas las administraciones: carpetas y carpetas compartidas de mil formas y llenas de excels a reventar. La pesadilla de los técnicos. Estoy convencido de que simplemente rezaban para que no pasase lo que ha pasado (solo era cuestión de tiempo), porque por mucho que quisieran organizar backups el caos imperante, la falta de medios, las prisas, la falta de cooperación de los administrativos y la de los jefes mutilarían cualquier iniciativa.

#49 ¿Mainframes? en.wikipedia.org/wiki/IBM_System/390

#38 He buscado clipper porque me sonaba de un programa chungo que me enseñaron, y joder. Era eso.
Te deseo ánimo y pronta recuperación cada vez que tengas que meterle mano.

#226 "o el que diseñó el formulario donde se mete es un patán que no implementó validación del IBAN"

Eso no puede ser porque el otro dice que pagaron a una cuenta equivocada, entonces la cuenta es válida porque pagaron aunque fuese a una equivocada.

Si no fuese por el detalle de que dice que llegaron a hacer el pago, equivocarse en el número de cuenta es posible cuando rellenas los papeles a mano o cubres digitalmente el formulario en PDF sin validación alguna.

Podría ser que el de la gestoría al hacer los trámites metiese la cuenta de otro de los que está tramitando.

#218 a ver... lo digo como profesional de la seguridad informática y sin poder dar más detalles de casos concretos. Pero es algo que hemos visto bastantes veces.

#28 Espera que busco un tarro de cremita para las agujetas, tranquilo, ya os lo paso.

Veo muchos comentartios por aquí sobre si el SEPE funciona de muerte y que va genial... Os resumiré en un párrafo: tengo un nombre que no me corresponde, pido cambiarlo por el mío, me dicen que no pueden porque sus bases de datos son así y no se pueden modificar - VERÍDICO- y que cada vez que acuda a una oficina, lleve la partida de nacimiento. ASÍ FUNCIONA EL SEPE, COLEGAS.

Un desastre las app de intranet de ese ministerio, son antiquisimas y muchas son excel o access compartidos, en aplicaciones internas la inversiones son casi cero comparadas con las aplicaciones que dan servicio a los ciudadanos

Si es que, un sistema nacional tendría que ser libre y hoy por hoy solo puede ser con software libre, ¿tan difícil de entender?

#172 Y haces o no haces copias de seguridad?

#28 #34 #141 #42 #68 descargarse una copia del archive para hacer el portal y perder la sede electronica, denota que mucho hasta ahora no han hecho. Y que se cuele en el server el ransonmware tambien... eso no es por obra de un usuario normal, bien lo abrió alguien con permisos o bien tienen correo en un server? no se que es peor

profesionales, lo que se dice profesionales poco...

#167 donde están los 35 que dejan el postgresql en abierto?
www.bleepingcomputer.com/news/security/hackers-target-postgresql-dbs-w

#166 www.inap.es/cuerpo-de-gestion-de-sistemas-e-informatica-de-la-administ pues haberlos aylos
no son 100 son 1065 los ingenieros en informática del estado www.inap.es/que-es-el-cuerpo-de-gestion-de-sistemas-e-informatica-de-l

#239 Junto a los detalles que tú tienes sobre este ataque.

#241 eres tu quien afirma que ha habido 35 ataques nada menos a postgresql que han encriptado toda la base de datos. Seguro que tienes la fuente por allí.
Yo sé lo que dice la notícia. Han segrestado archivos, en serio, quien tiene archivos de trabajo en una organización de este tamaño? Han atacado a los ordenadores de sobre mesa y portátiles.
En serio, podemos tener submarinos que no flotan, pero no podemos tener todas y cada una de los escritorios de trabajo en un servidor de terminales?
O más aún, no podemos simplemente usar los ordenadores del usuario como navegador web?
Yo ya te digo que trabajo poco y ya tengo el 95% de la empresa llevada a la web privada. Los ordenadores de los trabajadores simplemente habren una web privada via vpn .
Estamos hablando de una organización SEPE que lleva datos personales y reparto de prestaciones. no tiene sentido que use imágenes más allá de autentificar al ciudadano, y mucho menos vídeo.

#234 La culpa es tuya por tener ese nombre. Manda huevos.

Otras veces también te piden papeles que no llevaste, al día siguiente vuelves con esos papeles y te dicen que no hacen falta.
Otras te piden un papel que habitualmente la gente no lleva pero tú sí y te sueltan un, "ah... pero... ¿a qué no tienes este otro?" y se lo entregas porque lo tienes, y te lo cogen por vergüenza porque en realidad no les hacía falta pero por joder te lo piden, lo miran por encima y te lo devuelven.

Por contra, a veces te encuentras con gente que de verdad te ayuda pero generalmente son un desastre.

#242 Eres tú el que habla de " bases de datos en un servidor windows donde pueda tocatear alguien que no sea ingeniero con conocimientos para no ejecutar nada que no sea de fuente confiable? " y eres tú el que pregunta sobre " cuandos ramsonware hayan atacado a una base de datos postgresQL en un servidor detrás de un cortafuegos " ¿a santo de qué viene eso si no conoces ningún detalle de este ataque?

Quise poner 42 pero me pareció demasiado obvio.

La cuestión principal es ¿a santo de qué mencionas BDDS en servidores windows y BDDs postgreSQL?

Tú sabes lo que dice la noticia, pues entre que no dice gran cosa y que está escrita por periolistos solo sabemos que no sabemos nada. La web del SEPE fue atacada, eso sí pero ahí se terminan los detalles.

#237 Eso lo hacen casi todas las empresas y se desarrolla en un plan de contingencia empresarial o de continuidad de negocio que cubren los backups (y además lo piden muchas ISOs), pero sin contexto es muy difícil valorar cómo están actuando.

Antes de recuperar nada tienes que valorar cuál es el alcance de los daños. Te pongo un ejemplo, hay malwares dirigidos a backups, por ejemplo, haciendo modificaciones pequeñas que poco a poco tu vas almacenando hasta que tu política de retención de backups hace que los backups sin infectar desaparezcan. Descubrir esto lleva un tiempo, por ejemplo.

Pero ahora supón que los backups están limpios, ¿qué restauras?, ¿el día de ayer?, ¿hace 2 días?, ¿1 semana?. ¿Qué pasa con los datos que no tienen backup?, los backups no son inmediatos y puedes haber perdido datos.

Y después ponte a restaurar el backup, que no es algo inmediato. No es lo mismo recuperar un backup incremental donde tienes que ir aplicando parches/transacciones que un backup completo, que otro basado en snapshots.

Y obviamente no es lo mismo recuperar servidores que estaciones de trabajo de usuarios, ¿los equipos pueden arrancar por BOOTP/PXE?, ¿hay que hacerlo a mano?, ¿cuántas oficinas tienen estos tipos?.

¿Qué a lo mejor sus planes de contingencia no son los adecuados para este ataque?, pues seguro que no lo son, pero es absurdo decir que trabajas en una empresa de frutos secos y dejar caer que las capacidades de tu empresa son mayores que la del SEPE... A mí tampoco me va a pasar, primero porque tengo Linux y tengo macOS y no suelen ser objeto de estos ataques y después porque todos mis datos importantes están en Dropbox y tienes una función de restaurar ficheros modificados, pero eso no me lleva a pensar que los del SEPE son unos paquetes (y a lo mejor lo son), porque es comparar un cuchillo con un batallón del ejército.

#245 es que ellos no son un cuchillo son un ejército de 1065 ingenieros informáticos.
La noticia es clara han afectado los terminales de los funcionarios de atención al público

#19 En el último barrido de test en mi comunidad Autónoma 300 funcionarios abrieron el enlace y 18 ejecutaron el cebo.

#53 anda que no hay cosas en xbase viviendo por ahí

#22 han dicho 35 por no decir 300... Se han columpiado mucho.

#28 Estos del SEPE sin respaldo y toda la troncal con Timofónica que no deja de ser INDRA-fónica, parece que quieren tocarle los eggs a este gobierno.

Los parados sin cobrar se van a volver Trolls revolucionarios , está todo estudiadiño a ver lo que tardan los de VOX en ir repartiendo bocatas de chorizo, latas de arroz y legumbres.

El que petó esto tiene muy mala leche y seguro que ahora está forrado, no es por laureles éticos.

Ahora a la incompetencia en IT eligiendo productos microsoft para servicios críticos le llaman "ataque".

#226 A mí me pasó con una prestación por desempleo. La parte del número de cuenta la tiene que rellenar el banco, BBVA, pero ellos mismos metieron mal mi número de cuenta, y cuando desde el INEM me enviaron el dinero el banco lo metió en otra cuenta. Fueron tres meses de papeleo, el banco diciendo que ellos no habían recibido nada y el INEM asegurándome que habían enviado el dinero. Lo curioso es que el banco no comprobó que la cuenta de destino estaba a mi nombre.
Al final, en la oficina bancaria, asegurándome que no habían recibido mi dinero, al entrar en el ordenador el importe exacto y la fecha salió la transferencia a la cuenta de una empresa.

#56

- ¡Has vuelto a suspender hijo!
- ¡jo mamá!, no es cosa mía, ha suspendido la mitad de la clase.

Pues eso...

#141 los que mantienen y gestionan las infraestructuras informáticas son personal subcontratado que cobra una mierda por su trabajo mientras las empresas se están llevando un pastizal por no hacer nada. Si pagas con cacahuetes, ya sabes. Y si a eso le juntas la falta de inversión en infraestructura, premio.

#22 Una media, ojo, ¡que los hay con 180 años!

#170 monarquia,... apoyada por el socialismo

#28 Funcivago spotted

#257 Si leyeras un poco mas ya te habrías dado cuenta de que no es así. Pero viendo tu nivel no me extraña eso de leer poquito. Ale, hasta nunca.

#159 Pues yo estuve en Torretriana (Sevilla) en 2007, hubo dos caidas (de la red y de la electricidad de la linea segura) y en ambos casos rápidamente se movilizo todo el mundo y se soluciono.

#174 Por desgracia, creo que esta de moda meter dominios windows. Luego surgen problemas con los nombres largos... y demas.

#230 Lo evitare todo lo que pueda. Me cuentan unos compis que hace años tuvieron que hacer ingenieria inversa a un programa de COBOL en el SAS (Servicio Andaluz de Salud).

#234 A alguien conocido le inscribieron mal el nombre de su madre en el Registro, le dijeron que una vez inscrito no se puede cambiar, que se añade que es una errata y que el nombre real es otro. Costumbres...

#236 A ver cuando un politico acepta eso.

#254 el ministerio de administraciones públicas tiene en plantilla 1065 ingenieros técnicos en informática