Como probablemente recuerdan, las relaciones entre Google y China
no andan muy bien. El asunto estaba medio estancado (Google aún no se
retirado de China) pero han surgido nuevos antecedentes de la
procedencia del ataque, identificando a la Lanxiang Vocational School y
la Shanghai Jiaotong University como posibles fuentes de este.

De comprobarse esto, arrojaría dudas sobre la responsabilidad del
gobierno Chino en esta incomoda situación, ya que el hackeo
pudo llevarse a cabo por gente sin relación alguna con él.

Lanxiang, eso si, tiene vínculos con los militares y su red esta a
cargo de una empresa cercana a Baidu, el motor de búsqueda que le hace
la competencia a Google en China.

Mientras tanto, la Universidad de Jiaotong es famosa por su excelente
programa de computación, donde recientemente sus alumnos ganaron una
competencia internacional organizada por IBM.

Voceros de ambas instituciones negaron tener conocimiento de que se
las está relacionando con los ataques, pero de ser cierto “iniciaremos
nuestra propia investigación” dijo la representante de la universidad,
Liu Yuxiang. Un profesor de la misma institución, que pidió anonimato,
dijo que la acusación “No me sorprende, ya que es normal que los alumnos
hackeen sitios web extranjeros” aunque agregó que también es posible
que la IP de la universidad haya sido comprometida, ya que es “algo que
pasa con frecuencia”.

Noticia en NYT

Autor: Luis Valenzuela 
Fuente: CHW 

Un conocido error de programación dejó el flamante servicio Buzz de Google abierto para intrusos interesados en asumir el control de las cuentas de sus usuarios.

Google Buzz ha recibido fuertes críticas después de su lanzamiento. Según reportes iniciales, una falla en la versión móvil habría hecho posibles, al menos en teoría, ataques de tipo Cross Site Scripting.

Microsoft, por su parte, ha asegurado que “nadie se interesa por Buzz”, mientras que el gobierno de Canadá investiga la política de privacidad de nuevo servicio de Google.

La última noticia negativa en torno a Buzz ha sido presentada por el experto en seguridad informática Robert Hansen, presidente de SecTheory, quien afirma que Buzz pudo ser fácilmente hackeado. El propio Hansen recibió la información de un hacker denominado TrainReq, conocido en círculos de hackers por haber intervenido la cuenta de correo electrónico de Miley Cyrus, desde donde hurtó fotografías que luego difundió sin autorización de la artista.

Hansen indica que los programadores de Google han cometido un error y que el servicio pudo ser fácilmente intervenido por intrusos, aprovechando el denominado Cross Site Scripting, que permite ejecutar código maligno en servidores ajenos (en este caso el de Google).

Así, un intruso pudo publicar un texto en la cuenta de un usuario de Google y usarlo posteriormente para phishing. Considerando que los conocidos del usuario creen que el mensaje proviene de esta persona, es posible inducirles a hacer clic en enlaces que de otra forma no hubieran activado, explica Hansen.

Google solucionó el problema inmediatamente, situación que fue comprobada por el propio Hansen. En efecto, el script en cuestión ahora es presentado únicamente en formato de texto, sin ser interpretado ni ejecutado por el navegador.

Según Hansen, se trata entonces de un bochornoso error para una compañía tan grande respetada como Google. El experto concluye preguntándose cómo es posible sentirse seguro con toda la información que Google recaba de sus usuarios cuando la empresa no está en condiciones de asegurar adecuadamente sus propios servicios.

Fuente: DiarioTI