Archive for abril, 2015


650_1200 (1)

El phishing es un delito tan antiguo como efectivo: un 45% de las veces consigue que los usuarios desvelen su contraseña. También es imparable: el 2% de los mensajes que se envían a cuentas de Gmail son phishing. Son datos que cita la propia Google aprovechando que han desarrollado una pequeña herramienta de código abierto para luchar contra el phishing.

Se llama Password Alert (o “Alerta de protección de contraseña”) y es una extensión gratuita para Chrome. Eso sí, sólo nos alertará de sitios que imiten a la página de acceso de Google o Google Apps for Work; es decir, los que quieren obtener nuestra contraseña de Gmail.

> Cómo funciona

650_1200

Una vez instalado, Password Alert nos pedirá nuestra contraseña de acceso a Google, que almacenará codificada. Después se quedará en segundo plano, sin añadir ningún icono a la interfaz de Chrome. Si nos topamos con una página que nos intenta robar la contraseña de Gmail o Google Apps, entonces nos lanzará una advertencia como la que se ve en la captura.

Cuando crea que hayamos caído en un caso de phishing, Password Alert nos indicará que existe ese riesgo y nos pedirá que actualicemos nuestra clave, con un enlace a la página de restablecer la contraseña. Al mismo tiempo, nos animará a usar diferentes contraseñas para los distintos sitios, entre otras “buenas prácticas” de seguridad.

Y poco más. Password Alert es una herramienta sencilla, pero efectiva contra los que quieren apoderarse de nuestra clave de Google o Google Apps (siempre que usemos Chrome). En cualquier caso, siempre es recomendable activar la verificación en dos pasos en aquellos servicios que lo soporten, para que no sea demasiado tarde si nuestra contraseña ha caído en manos de cualquiera.

Fuente | Genbeta

Descarga | Chrome Web Store

Anuncios

youtube-app

Si eres un habitual de YouTube sabrás la enorme cantidad de comentarios chorras y poco productivos que podemos encontrarnos en cada uno de los vídeos. Pero a veces entre esos comentarios podemos encontrarnos algunos mensajes que, pese a su aparente inocencia, pueden esconder comandos que pongan en peligro la seguridad de nuestros equipos.

Esto es lo que aseguran los miembros de la firma de seguridad F-Secure tras descubrir que el grupo de atacantes detrás del troyano Janicab, que afecta tanto a los usuarios de Windows como a los de Mac, está utilizando simples comentarios en YouTube para controlar las acciones de su malware una vez este ha conseguido infectar a sus víctimas.

> Janicab, el troyano Youtuber

Janicab es un troyano que fue descubierto en julio del 2013 por F-Secure, Webroot y Avast, y que conseguía infectar los equipos utilizando el carácter U+202E , un carácter unicode especial que es conocido como una anulación de derecha a izquierda capaz de hacer que un archivo ejecutable se nos muestre como un simple PDF.

Una vez infectados los equipos entran en juego los comentarios del tipo “our 49741276945318th psy anniversary” que podemos ver tanto en algunos vídeos de YouTube como también en post de Google+. Aunque parezcan simple spam, esos números representan direcciones IP que el troyano reconoce y a las que envía la información sustraída de los equipos infectados.

650_1200

Las direcciones IP son obtenidas por Janicab dividiendo y convirtiendo los números publicados en los comentarios, y después de recibirlas, antes de enviar la información que sustrae, el troyano realiza capturas de pantalla y analiza los procesos ejecutados por el sistema para saber si se está utilizando algún antivirus o si está siendo ejecutado en máquinas virtuales como VirtualBox.

Afortunadamente, una vez que descubierto este mecanismo es sólo cuestión de tiempo que las grandes webs en las que se publican los mensajes empiecen a tomar cartas en el asunto y a implementar sistemas para borrar automáticamente esos mensajes o las cuentas desde las que se publican, que es lo que hizo Twitter en su día cuando se encontró ante una situación idéntica.

Fuente | Genbeta

 

 

https

Desde hace aproximadamente un año, las vulnerabilidades en los protocolos de comunicación supuestamente seguros han acaparado muchas de las noticias de seguridad informática. Fallo tras fallo, los últimos meses nos han dejado vulnerabilidades que han puesto de manifiesto la necesidad de abandonar definitivamente protocolos completamente rotos como SSL y revisar otros más seguros pero tampoco exentos de riesgos.

Desde Heartbleed hasta Freak, pasando por Poodle o Winshock, hemos visto numerosos ejemplos donde los datos de los usuarios podian ser robados por un atacante aun a pesar de ser transmitidos usando protocolos considerados como seguros por buena parte de los servicios de Internet. No obstante, estos casos también han provocado que la industria tome cartas en el asunto y ya se empiezan a ver las primeras reacciones para evitar seguir usando un canal de transmisión de datos confidenciales inseguro.

> Enterrando SSL

A pesar de tratarse de un protocolo con cerca de 20 años a sus espaldas, SSL v3.0 sigue siendo ampliamente utilizado para proteger conexiones que incluyen datos confidenciales. Pensemos por ejemplo en la comunicación que establecemos con nuestro banco cuando queremos realizar alguna operación a través de Internet. Los datos enviados pueden incluir nuestro nombre de usuario y contraseña, entre otros, y a nadie le gustaría que estos datos fueran fáciles de obtener.

Por suerte, la gran mayoría de entidades bancarias han realizado mejoras sustanciales para implementar la versión más avanzada del protocolo TLS disponible (v1.2 mientras que la v1.3 está terminando de definirse), aunque aún quedan unas pocas que no han terminado de realizar esta migración.

No ocurre lo mismo con un gran número de tiendas online que aun permiten la utilización de SSL 3.0 a pesar de que es vulnerable a ataques. De hecho, la gravedad de estas vulnerabilidades es tal que navegadores tan usados como Chrome y Firefox ya anunciaron dejar de soportar estas implementaciones antiguas para evitar poner en peligro a sus usuarios, muchos de los cuales aun piensan que la aparición de un candado en la barra de navegador ya es sinónimo de seguridad a pesar de usar un protocolo inseguro.

> Medidas necesarias

Así las cosas, no es de extrañar que el estándar PCI DSS, tan respetado en la industria, haya tomado la decisión de abandonar definitivamente el soporte para SSL y forzar la migración a TLS. Esto afectará principalmente a los sistemas de pago online, precisamente el aspecto más crítico de cara al usuario, pero tampoco debe suponer un gran esfuerzo puesto que los certificados de seguridad usados por SSL y TLS son los mismos. Esto significa que no deben volverse a adquirir.

Será a partir de la v.3.1 de PCI DSS cuando se obligue a este cambio y, los poseedores de un certificado SSL deberán contactar con sus proveedores de servicios para asegurarse de que cumplen con el estándar y no verse penalizados a la hora de ser marcados como sitio potencialmente peligroso por los navegadores.

Tampoco hay que olvidar que muchas empresas que venden a través de Internet ni siquieran entienden la importancia de contar con un protocolo de comunicación entre el cliente y su entidad de pagos online. Por eso es importante que se realice una campaña de concienciación para que todo el mundo que se vea afectado esté informado de la importancia de hacer este cambio.

> ¿Es TLS invulnerable?

Lamentablemente, la respuesta es que no al 100%. Sin embargo hay que matizar, puesto que un ataque contra el protocolo TLS v1.2 tenga éxito también depende de la implementación realizada. Y eso es así porque existen implementaciones de TLS que implementan funciones de descifrados propias de SSL v3, permitiendo que ataques como Poodle puedan funcionar ya sea haciendo undowngrade a la conexión de TLS a SSL o incluso directamente a TLS.

No obstante, TLS incorpora por defecto medidas de seguridad mucho más robustas que SSL y, lo que es más importante, se siguen desarrollando nuevas versiones (con la v1.3 prevista para dentro de poco). Esto permite solucionar cualquier fallo de forma más eficaz ya que no se trata de parchear un protocolo con lustros de antigüedad, sino de actualizar otro más reciente.

> ¿Cómo nos afecta como usuarios?

Al tratarse de una medida de seguridad que se ha de implementar desde el lado del que gestiona una web y no del que la visita, podría parecer que tenemos poco margen de maniobra y, en principio, deberíamos confiar en que las webs en las que confiamos implementen TLS. Sin embargo, tal y como hemos dicho anteriormente, los principales navegadores están realizando un esfuerzo para detectar aquellas webs que siguen utilizando un protocolo obsoleto y avisarnos para que seamos conscientes del riesgo que esto supone.

De esta forma, podremos saber rápidamente si el sitio en el que estamos a punto de introducir los datos de nuestra tarjeta de crédito cumple con los estándares de seguridad o no. Es una manera sencilla y continuista puesto que tan solo hemos de prestar la misma atención que hacemos ahora al candado que certifica que una conexión es segura. Además, es de utilidad seguir estos 7 consejos para una navegación segura.

> Conclusiones

Que se actualicen estándares para mejorar la seguridad de nuestras comunicaciones y, por ende, de los datos confidenciales transmitidos, siempre son buenas noticias. Sin embargo, los avances a la hora de descubrir nuevas vulnerabilidades se producen mucho más deprisa que las soluciones implementadas, más aun cuando se trata de estándares internacionales con largos plazos de implementación.

Es necesario que la industria sepa cómo reaccionar a este tipo de adversidades y para eso debe aliarse con la comunidad de investigadores, puesto que son ellos los que van a decirles donde están sus fallos y cómo solucionarlos antes de que sean aprovechados por los delincuentes y todos salgamos perdiendo.

Fuente | Welivesecurity

A %d blogueros les gusta esto: