Archive for mayo, 2014


619_tarjeta_chip_getty

EMV, también conocido como “Chip & PIN”, es el sistema líder para pagos con tarjeta en todo el mundo. Es un estándar de interoperabilidad de tarjetas IC (“Tarjetas con microprocesador”) y TPV con soporte IC, para la autentificación de pagos mediante tarjetas de crédito y débito.

Se utiliza en toda Europa y gran parte de Asia y está empezando a ser también introducido en América. Las tarjetas de pago contienen un chip para que pueden ejecutar un protocolo de autenticación. Este protocolo requiere que el punto de venta (POS) o el cajero automático genere un valor nonce, llamado “número impredecible”, para cada transacción y para asegurar que la misma no pueda ser duplicada.

Este Paper “Chip and Skim: cloning EMV cards with the pre-play attack” fue desarrollado por Mike Bond, Omar Choudary, Steven J. Murdoch, Sergei Skorobogatov, Ross Anderson Computer Laboratory, University of Cambridge, UK y detalla fallas de seguridad en el esquema de estas tarjetas con CHIP.

Los investigadores descubrieron dos graves problemas: una falla de aplicación generalizada y una más profunda, más difícil de corregir porque el defecto está en el mismo protocolo de EMV.

El primer defecto es que simplemente se han utilizado algunos contadores, timestamps o algoritmos caseros para suministrar el nonce. Esto expone a un ataque de “pre-play” que hace indistinguible, desde el punto de vista de los registros bancarios, si la transacción fue originada por el emisor de tarjeta. Si bien este ataque es grave, por ahora es imposible clonar una tarjeta físicamente. En el paper se describe cómo se detectó la vulnerabilidad y una prueba de concepto del ataque sobre cajeros automáticos ampliamente utilizado y de los fabricantes más grandes.

El segundo problema fue el resultado de realizar el trabajo anterior. Independiente de la calidad del número al azar, hay una falla de protocolo: el número aleatorio actual generado por la terminal puede simplemente ser sustituido por el atacante y utilizando un número anterior que haya sido capturado en una autenticación previa de la tarjeta. Esta variante del ataque anterior puede ser llevada a cabo por un malware instalado en un cajero automático o en un terminal POS terminal.

Finalmente, se discuten las contramedidas. Más de un año después de que la investigación fuera hecha pública de forma responsable, por ahora sólo se ha trabajado para mitigar el primero de los errores.

Fuente | Segu-info

Anuncios

spotify-logo

El servicio de música por streaming Spotify admitió hoy a través de un comunicado la intrusión en su “sistema interno” por parte de desconocidos pero al parecer sólo se afectó a un usuario del sistema operativo Android.

De acuerdo a la empresa, el ataque permitió tener acceso a datos internos e información privada pero no incluyó la contraseña, datos bancarios o tarjetas de crédito, y el usuario ya fue contactado por la compañía.

Spotify afirmó que no sería necesario cambiar la contraseña, y se espera para los próximos días una nueva actualización de la plataforma en Android, la cual la empresa sugiera instalar inmediatamente. Durante la actualización se deberán ingresar los datos de acceso y las listas de canciones fuera de línea tendrán que ser descargadas nuevamente.

Para los usuarios de Windows Phone e iOS de Apple no se anunció ningún tipo de recomendación.

Resulta extraño que la empresa primero diga que se accedió a sus datos internos pero por otro lado afirme que sólo un usuario fue afectado y recomiende al resto no cambiar la contraseña. Evidentemente, si fuera así ¿por qué lanzar un comunicado tan alarmante?

Fuente | Segu-info

passwordscloud

Hace unos meses, Adobe tuvo un problema de seguridad en el que se filtraron las contraseñas cifradas de gran parte de sus usuarios. Como algunos utilizaron el apartado “pista”, que en teoría está para dar un indicio de la clave que se ha utilizado, para escribir la propia contraseña, al final fue fácil dar con ellas. ¿El resultado? Entre las cinco claves más populares se encontraban 123456, 123456789, password, adobe123 y qwerty. Algo parecido ocurre con Yahoo: 123456, password, welcome, ninja, abc123.

Conscientes de que las contraseñas típicas y fáciles de adivinar suponen un peligro real para las cuentas de sus alumnos, en la Universidad de Stanford han publicado unas pautas interesantes a tener en cuenta a la hora de escoger una clave. En primer lugar, destaca que las reglas que imponen dependen de la longitud de la contraseña elegida. Las claves, según lo estipulado, deben incluir lo siguiente:

  • Si son de 8 a 11 caracteres: letras mayúsculas y minúsculas, números y símbolos.
  • Si son de 12 a 15 caracteres: letras mayúsculas y minúsculas y números.
  • Si son de 16 a 19 caracteres: letras mayúsculas y minúsculas.
  • Si son de más de 20: sin restricciones.

Obviamente, incluyen otras restricciones básicas que ya hemos visto en otros servicios: no se pueden utilizar contraseñas anteriores, no puede ser una única palabra que aparece en el diccionario y sólo se pueden utilizar símbolos que aparecen en el teclado estadounidense.

> Uso de una “pass phrase” (frase de contraseña)

A mayor número de caracteres, más permutaciones de letras y números son posibles y, por tanto, más difícil es una contraseña de crackear. Por eso en Stanford recomiendan el uso de una “pass phrase” o frase de contraseña que se trata simplemente de eso: utilizar una oración, con varias palabras y espacios, a modo de clave. Al leer esta parte, no pude evitar acordarme de una viñeta muy conocida de XKCD:

650_1000_password_strength

Como bien explican en el cómic, si utilizamos como contraseña Tr0ub4dor&3, y suponiendo que se consiguiera una efectividad de 1000 intentos de adivinar la clave por segundo, se podría descifrar en 3 días. ¿Otro problema? Que la contraseña es muy difícil de recordar. En su lugar, si utilizamos cuatro palabras aleatorias y al formar una palabra más grande (con más combinaciones posibles), estaríamos hablando de más de 550 años utilizando las mismas condiciones de antes. Si lo hacemos bien, además, estas frases son más sencillas de recordar. Para ello ponen el ejemplo de correct horse battery staple (caballo correcto grapa batería). Dificultad de memorización: ninguna, ya que posiblemente ya la hayas memorizado.

Volviendo al caso de Stanford, por eso resulta muy interesante que no te obliguen a utilizar mayúsculas, números y símbolos en todos los casos, sino sólo en las contraseñas cortas. A pesar de ello, desde esta Universidad aconsejan también introducir variaciones de este tipo a las pass phrases para que sean todavía más difíciles de adivinar.

En teoría, el uso de frases como contraseñas parece una buena opción. En la práctica, hoy en día hay todavía muchos servicios que, incomprensiblemente, te obligan a utilizar una clave con un número pequeño de caracteres. Aun así, y para sitios donde no haya límite de longitud, las pass phrases son hoy en día la mejor opción.

Fuente | Genbeta

A %d blogueros les gusta esto: