Archive for mayo, 2011


“Una investigadora ha descubierto una técnica de cookiejacking que afecta a todas las versiones de Internet Explorer en Windows”

Una investigadora de seguridad ha descubierto un medio de hacerse con información sensible a partir de cookies en Internet Explorer. Esta técnica de cookiejacking podría poner en peligro las credenciales de Facebook, Gmail, Twitter o de otros servicios online, sin embargo, desde Microsoft no consideran que se trate de una amenaza real. Así que, ¿estamos ante una verdadera amenaza? ¿No hay de qué preocuparse? ¿O hay un riesgo real en todo esto?

La investigadora de seguridad Rosario Valotta ha demostrado recientemente esta técnica de cookiejacking, que afecta a todas las versiones de Internet Explorer que funcionen en cualquier versión de Windows, así que la cantidad de posibles víctimas es más que significativa.

> ¿Qué es una cookie?

Una cookie es un pequeño archivo de texto utilizado por un navegador web o aplicación para almacenar información como las preferencias de la página o las credenciales de la cuenta de usuario para acceder a la web.

> ¿Qué es cookiejacking?

La técnica explota un fallo que sobrepasa la protección de la Zona de Seguridad en Internet Explorer para permitir al atacante capturar los contenidos de las cookies que no deberían ser expuestos.

> ¿Qué está en peligro?

La mayoría de los archivos de texto contienen información que sería de poco valor. Pero si te has registrado en una página como Facebook, Twitter o Gmail, las cookies se utilizan para almacenar información de las cuentas de los usuarios necesaria para autentificarse, de modo que no tienes que introducir tu nombre y contraseña repetidamente. Si un atacante puede hacerse con estas cookies, podrían hacerse pasar por ti en tu cuenta o acceder a datos sensibles de la página o servicios afectados.

> ¿Es una amenaza seria?

El ataque no es trivial. El actual cookiejacking es simplemente una pieza de un gran puzle que requiere diferentes técnicas de ataque y engaña al usuario para que se convierta en un participante de todo ello sin saberlo.

Jerry Bryant, de Microsoft, ha minimizado la amenaza basada en la complejidad del ataque y el nivel de interacción del usuario requerido para que funcione. “Para que impacte a un usuario, éste debe visitar una página web maliciosa, ser engañado para hacer clic y arrastrar objetos en la página y el atacante necesitará dirigirse a una cookie de la página web a la que previamente haya accedido el usuario”.

Aunque todo esto es verdad, lo cierto es que muchos usuarios hacen clic en la caja que dice “mantenme conectado”, así que no tienen que introducir de nuevo sus credenciales cada vez que visitan páginas como Facebook y, de hecho, es bastante simple engañar a los usuarios para que hagan clic. Valotta creó un juego para Facebook en el que los usuarios hacían un puzle de una mujer desnuda y de ese modo consiguió las cookies de muchos de ellos.

> ¿Qué deberíamos hacer?

Sí, es cierto, no es el fin del mundo. La ejecución exitosa de un ataque cookiejacking para conseguir datos sensibles no necesita de gran cantidad de interacción por parte del usuario y, con suerte, los usuarios informados no caerán en la trampa.

La técnica cookiejacking funciona con poca cooperación del usuario y con más de 500 millones de usuarios de Facebook jugando todo tipo de estúpidos juegos, no es una exageración pensar que un significativo número de usuarios podría caer en el ataque utilizando ingeniería social.

Microsoft, por su parte, no considera que el asunto cookiejacking sea una amenaza lo suficientemente grande como para justificar una urgencia, pero al parecer está trabajando para lanzar una solución que estaría disponible en los próximos meses. Mientras tanto, no está de más tomar alguna precaución y no hacer clic en cosas solamente porque alguien te lo pide.

Fuente

Logotipo de Lockheed Martin | Afp

Lockheed Martin, el mayor proveedor de tecnología de información del Gobierno de Estados Unidos, reconoció que el “persistente” ataque contra su red hace semanas es parte de un patrón de frecuentes ‘ciberataques’ que sufre su plataforma desde todo el mundo.

“El hecho es que, en este nuevo contexto, somos blanco frecuentes de rivales en todo el mundo”, explicó Sondra Barbour, directora de la división de información de la empresa en una nota dirigida a los empleados.

Ocho días después de que el “ataque tenaz y significativo” del 21 de mayo fuera detectado y controlado, Lockheed (con sede en Bethesda, Maryland) todavía trabaja a contrarreloj para restaurar el acceso de los empleados al sistema manteniendo un alto nivel de seguridad, dijo Barbour.

La primera respuesta de Lockheed incluyó el cierre “proactivo” de la red virtual privada (VPN por sus siglas en inglés) de la empresa, afirmó la ejecutiva. Una VPN es una forma segura de conectarse a una red privada, a través de Internet o cualquier otra red pública, para operar datos de forma privada mediante la encriptación de datos.

Otras medidas que se tomaron fueron el restablecimiento de las contraseñas, la actualización remota de las identidades de autenticación y la implementación de un nuevo nivel de seguridad en el proceso de acceso remoto, afirmó Barbour.

> Ataques repelidos

Lockheed informó el pasado fin de semana que los ataques habían sido repelidos tras detectarlos “casi de forma inmediata”. También afirmó que habían llevado a cabo importantes acciones para proteger los sistemas y los datos, y que la información de los clientes, las aplicaciones o de los empleados no estaba comprometida.

Lockheed es el principal proveedor del Pentágono en volumen de ventas. La empresa fabrica los aviones de combate F-16, F-22 Y F-35, así como buques de guerra y los misiles de defensa THAAD.

Una portavoz del departamento de Defensa, la teniente coronel April Cunningham, dijo el pasado sábado que el Pentágono estaba trabajando junto a Lockheed para medir la importancia de los ataques. El impacto en el departamento había sido “mínimo y no se esperaban consecuencias adversas”, dijo Cunningham.

Según medios estadounidenses, la vulnerabilidad de Lockheed Martin podría estar vinculada a un ataque “muy sofisticado” anunciado en marzo por la firma de seguridad informática RSA, que entonces advirtió de que ‘ciberintrusoso’ habían logrado penetrar en sus sistemas y recuperar información que podría permitirles eludir las defensas de sus clientes.

En aquel momento, la senadora republicana Susan Collins señaló que RSA había revelado que esta vulnerabilidad mostraba que “la amenaza de un ataque informático catástrofico es real”.

> ¿China?

Ni Lockheed ni el gobierno del Estados Unidos hicieron comentarios sobre el posible origen del ataque, a diferencia de lo que sucedió el pasado año con el caso de los ataques a Google, que en enero de 2010 denunció que provenían de China. Las autoridades chinas han negado cualquier implicación.

Asimismo, la compañía McAfee afirmó que varias empresas petrolerashabían sido blanco de ataques también provenientes del gigante asiático.

Estas revelaciones suman a las sospechas de que una gran parte de los ataques informáticos contra sistemas corporativos y gubernamentales provienen de dicho país, alimentadas por acusaciones más o menos directas como la realizada en 2007 por una comisión del Congreso de EEUU, que acusó directamente Pekín de pilotar ataques informáticos masivos contra intereses estadounidenses.

Fuente

La red social profesional LinkedIn cuenta con una serie de fallos de seguridad, detectados este fin de semana por un investigador de seguridad de Internet independiente en Nueva Delhi (India). Estos fallos están relacionados con la forma en que LinkedIn maneja un tipo de archivos conocidos como cookies.

Ante este fallo de seguridad la compañía BitDefender ha asegurado que “no se trata ni de una gran brecha ni de una vulnerabilidad” ya que LinkedIn es uno de tantos sitios web que ha llevado al máximo el tiempo de validación de las cookies, habiendo “literalmente miles de sitios web similares”.

Cuando un usuario introduce el nombre de usuario y la contraseña para acceder a una cuenta, el sistema de LinkedIn crea la cookie “LEO_AUTH_TOKEN” en el ordenador del usuario que sirve como clave para acceder a la cuenta. Esta cookie no tiene vencimiento hasta un año después a partir de la fecha de su creación.

La directora de marketing de BitDefender, Jocelyn Otero ha considerado peligrosas tanto aquellas cookies que tienen validez por un año como las que son válidas 24 horas, ya que siempre “un sniffer o interceptador” podría interceptar la cookie, entrar en la cuenta de la víctima y cambiar la contraseña o robar datos.

A este respecto, la experta sí ha reconocido que aquellas cookies válidas por 24 horas “son más seguras” ya que se invalidan por defecto, incluso si el usuario se olvida de cerrar la sesión.

Además, ha recordado que la interceptación sólo es posible cuando el usuario comparte la misma red sin cifrar con el atacante. “Mantente fuera de LinkedIn mientras navegues usando una red Wi-Fi sin cifrar y estarás a salvo”, ha indicado a Portaltic Otero.

Pese a esto, BitDefender recuerda que sería deseable que los periodos de validez de una cookie fueran menores, pero estas características son dictadas por los requisitos de usabilidad del sitio y realmente el riesgo está en comprobar el perfil de LinkedIn desde un ordenador público.

Fuente

A %d blogueros les gusta esto: