Entradas con la etiqueta ‘seguridad’

Un error de programación permite robar mensajes de Hotmail

Durante las últimas semanas, un error de programación en el sitio web de Microsoft ha permito que los hackers robaran mensajes de correo electrónico de las cuentas de los usuarios de Hotmail.


Según la empresa de seguridad Trend Micro, el error de programación ha permitido a los hackers leer y robar mensajes de correo electrónico de los usuarios de Hotmail enviando mensajes especialmente manipulados a varios miles de víctimas.

Trend Micro descubrió el problema el 12 de mayo, cuando encontró un mensaje enviado a una víctima en Taiwan que parecía una alerta de notificación de Facebook. En él, se alertaba a la víctima de que alguien había accedido a su cuenta de Facebook desde una nueva localización.

Dentro del mensaje se incluía un script que dirigía después los mensajes de los usuarios a los hackers. Pero para que el ataque funcionara, las víctimas debían haberse autenticado en Hotmail y abrir el mensaje. Si simplemente se previsualizaba, el ataque no resultaba efectivo.

El fallo en el website de Microsoft que ha permitido a los hackers llevar a cabo su objetivo es un error común de programación web cross-site scripting.

“El script malicioso dispara una petición que es enviada al servidor Hotmail”, explica Trend Micro en una entrada de blog donde describe el ataque. “Después, este envía todos los mensajes de correo electrónico del usuario afectado a una determinada dirección de e-mail”.

Trend Micro informó a Microsoft sobre el asunto tan pronto lo descubrió, y esta resolvió el fallo el pasado viernes.

Aplicaciones de facebook permiten el acceso a terceros

Según Symantec, terceras personas,  en particular anunciantes, han tenido acceso a cuentas de usuario de Facebook, incluyendo perfiles, fotografías, chat y también la posibilidad de enviar mensajes. Afortunadamente, éstos no han sido conscientes de que tenían la posibilidad de acceder a dicha información. Según comenta Symantec, se han puesto en contacto con Facebook para que tome las acciones correctivas oportunas.

El origen de este agujero han sido las aplicaciones de Facebook. Éstas son aplicaciones web que están integradas en la plataforma de Facebook. Diariamente más de 20 millones de aplicaciones son instaladas.

Según Symantec, en ciertos casos, las aplicaciones IFRAME de Facebook han permitido, sin darse cuenta, el acceso a terceros como anunciantes o plataformas de análisis. Manejan datos de que hasta Abril de 2001, cerca de 100.000 aplicaciones permiten este acceso a información.

La aplicaciones de Facebook utilizan “tokens” de acceso para realizar ciertas acciones en nombre del usuario o para acceder al perfil del usuario correspondiente. Cada uno de esos tokens es asociado con con una serie de permisos como: leer tu muro, acceder al perfil de tus amigos, escribir en tu muro, etc.

Permisos de aplicacion en Facebook

Durante el proceso de instalación de la aplicación, ésta solicita al usuario permisos para realizar esas acciones. Después de lograr esos permisos, la aplicación consigue un token de acceso como se muestra en la siguiente imagen:

Utilizando este token de acceso, la apliación puede acceder a la información del usuario o realizar acciones en nombre del usuario.

Por defecto, la mayoría de tokens expiran después de un periodo de tiempo, sin embargo la aplicación puede solicitar un acceso offline que le permita utilizar esos token hasta que el usuario cambie su contraseña, incluso aunque esté desconectado.

¿Cómo permiten los token el acceso a terceros?

Por defecto, Facebook utiliza OAUTH2.0 como método de autenticación. Sin embargo, esquemas antiguos de autenticación son todavía soportados y utilizados por miles de aplicaciones.

Conclusiones

Facebook ha anunciado que ha introducido cambios para prevenir el agujero de seguridad introducido en los tokens.

No manera de estimar cuántos tokens se han filtrado desde el lanzamiento de Facebook en 2007.  Según Symantec,  muchas de estas fichas aún puede estar disponible en los archivos de registro de servidores de terceros o siendo activamente utilizados por los anunciantes.  Si has instalado algún tipo de aplicación en Facebook, se recomienda cambiar la contraseña de Facebook para invalidar los tokens de acceso. Cambiar la contraseña, invalida estas fichas y es equivalente a “cambiar la cerradura” de tu perfil de Facebook.

Ten un navegador ultra-seguro con las extensiones de Firefox

En un momento en el que el número de sitios web maliciosos está creciendo, es momento para tomarse más en serio la privacidad web. La próxima generación de navegadores web incluirán características que nos protegerán, pero mientras tanto es deseable que los usuarios tomen medidas.

Afortunadamente, el navegador web Firefox posiblita ocultar información privada de los usuarios. Hay que tener en cuenta que con el aumento en el uso de redes sociales, cada vez almacenamos información privada en nuestros navegadores.

A continuación os indicamos una serie de herramientas gratuitas que os harán “invisibles”:

BetterPrivacy

A través de las  llamadas “Super-Cookie” se pueden realizar un seguimiento de la actividad de los usuarios. Éstas son pequeños bits de datos que son almacenados desde cada sitio web que un usuario visita. BetterPrivacy puede salvaguardar a los usuarios de este seguimiento no solicitado eliminando automáticamente estas cookies cada vez que un usuario cierra su navegador.

Ghostery

Cuando un usuario visita una web, se producen actividades que no son vistas por el usuario, particularment desde empresas que hacen un seguimiento de los usuarios. De manera similar a BetterPrivacy, Ghostery se centra en este tipo de seguimiento.

Ghostery muetra una lista de webs, redes de anuncios y empresas que están siguiendo cada vez que visitas un sitio, como por ejemplo Google Analytics. También permite al usuario aprender más sobre cada una de las empresas de seguimiento y tiene una característica que permite bloquear el acceso a dichas empresas de seguimiento.

Scroogle SSL

Scroogle SSL es capaz de mantener en privado las búsquedas que hace un usuario en Google. Actúa como  un canal entre el usuario y el motor de búsqueda. Es capaz de ocultar la dirección IP del ordenador del usuario, no permite a cookie establecer una cookie de seguimiento y deshabilita la capacidad de conocer si un usuario está realizando búsquedas continuas.

Cuando un usuario busca a través de Scroogle SSL, éste se comunicará con Google, el cual le enviará la información de los resultados de búsqueda descartando la información de seguimiento. Esta extensión también está disponible para Google Chrome.

HTTPS Everywhere

El grupo Electronic Frontier Foundation (EFF) y los expertos de Tor Project han implementado el plugin HTTPS Everywhere. Ésta permite encriptar las conexiones de los usuarios mientras navegan por Internet.

La extensión de Firefox puede ser instalada gratuitamente manteniendo la actividad de los usuarios segura. Desafortunadamente, el contenido de alguna de las páginas web puede no ser visible, pero funciona en la mayoría de de los sitios web como Facebook, Twitter y Google.

RefControl

Cada vez que un usuario pulsa sobre un click para visitar un nuevo sitio web, el nuevo sitio conoce desde donde procede la visita. Esta característica tiene un impacto menor sobre la privacidad del usuario, pero aquellos que no quieran que se conozca la procedencia RefControl les puede servir de ayuda.

La extensión de Firefos permite a los usuarios elegir por sí mismos qué es enviado a los sitios webs cada vez que ellos pulsan sobre un enlace. De esta manera, eligen  que sitios web puede o no ver esta información. También permite a los usuarios editar lo qué es enviado.

WorldIP & Flagfox

Existen sitios web maliciosos que pueden dañar al usuario asociados a ciertas localizaciones. WorldIP puede detectar el tipo de sitio web que estás visitando, donde está ubicado y la localización de todas las direcciones IP que están ejecutándose desde ese servidor. Se puede utilizar en combinación con Flagfox, una extensión que de manera segura comprueba y valida el registo de los sitios web.

NoScript

Los hackers pueden utilizar cierto tipo de código Javascript para injectar o acceder a datos del ordenador de un usuario. Hechos similares se pueden realizar a través de Flash, Java y otros plugins.

NoScript previene al usuario permitiendo sólo activar este tipo de código en aquellos sitios web que el usuario a designado como de confianza. Debería ser considerado que tener activado este plugin puede deshabilitar el funcionamiento normal de un sitio web.

Guía de seguridad web en navegadores

El manual Browser Security Handbook tiene como objetivo proporcionar una referencia a desarrolladores web sobre las propiedades y requisitos de seguridad básicos que deben de cumplir los navegadores así como una comparativa de los mismos.

La guía fue publicada por  Google en el 2008 y está en constante actualización reflejando las nuevas características y funcionalidades de seguridad que se han ido integrando en los navegadores más predominantes. La falta de comprensión de dichas características o bien la falta de documentación de las mismas son el punto de partida de un número elevado de vulnerabilidades, por lo que, por este motivo, os recomendamos la lectura del mismo tanto a desarrolladores Web como a responsables de seguridad.

La guía está en inglés y está dividida en tres partes:

  1. Basic concepts behind web browsers.
  2. Standard browser security features.
  3. Experimental and legacy security mechanisms.

En la primera parte se ofrece una revisión de las normas fundamentales y las tecnologías existentes detrás de los navegadores actuales así como las propiedades de seguridad más relevantes.

La segunda parte muestra un análisis más detallado de los mecanismos de seguridad además de las restricciones implementadas dentro de los navegadores. Se tratan temas como “Same-origin policy”, vulnerabilidades en propiedades DOM, restricciones de red (“Port access restrictions”, “URL scheme access rules”, “Simultaneous connection limits”, etc), métodos de defensa para scripts dañinos, cifrado de comunicaciones, etc.

Por último, en la tercera parte se ofrece un breve resumen de un conjunto de funcionalidades de seguridad implementadas en diversos navegadores en los últimos años, algunas de las cuales ya están en desuso. Además, se mencionan propuestas en curso y mejoras que están siendo incorporadas entre gran parte de los navegadores.

 

Incremento de las amenazas para dispositivos móviles

Como todos sabemos, durante estos días se está celebrando en Barcelona el Mobile World Congress .  En este congreso, los aficionados a la tecnología pueden conocer los teléfonos, tablets y todo tipo de terminales que estarán a la venta en breve, incluyendo las novedades en los sistemas operativos que manejan este tipo de dispositivos. Esta evolución de los sistemas operativos móviles ha hecho que podamos tener en nuestras manos dispositivos con capacidades similares a la de un ordenador de sobremesa.

La rápida implantación de este tipo de terminales por los usuarios ha hecho que muchos creadores de malware se interesen en diseñar amenazas para móviles y derivados. Por lo tanto, durante el presente 2011, es muy probable que veamos un incremento notable de la cantidad de amenazas para estas plataformas.

Desde aragonTec recomendamos contar con una solución de seguridad instalada en vuestro dispositivo portátil, igual que hacemos con nuestro ordenador, aunque en algunos casos esto no sea posible. Solo así y aplicando buenas prácticas de uso y sentido común evitaremos que este nuevo tipo de amenazas nos afecten.