Facebook permite ver la lista de amigos "privada"

noviembre 25, 2013 § Deja un comentario

Irene Abezgauz, un investigador de seguridad del Centro de investigación de Quotium ha encontrado una vulnerabilidad en Facebook que permite ver la lista de amigos de los usuarios, aunque el usuario haya establecido esa información como privada.

El exploit abusa de la función de “Personas que tal vez conozcas” en Facebook, que sugiere nuevos amigosen base a conexiones mutuas y otros criterios como la educación o el trabajo.

¡Este hack es muy sencillo! Lo que se tendría que hacer es crear un perfil falso de Facebook y luego enviar una solicitud de amistad a su objetivo. Incluso si el usuario objetivo nunca acepta la solicitud, el atacante puede ver la lista de amigos de esa persona a través de la función de “gente que tal vez conozcas“.

Facebook dice que “un atacante no tienen forma de saber si los amigos sugeridos representan o no la lista completa del usuario. Puede ver cientos de sugerencias y no saber cuales son los reales, sólo es un 80%”.
Por el momento, Facebook no ha reconocido el hallazgo. Entonces, ¿para qué establecer dicha lista como privada?

Fuente: HackerNews

Google soluciona vulnerabilidad crítica en el proceso de recuperación de contraseña

noviembre 23, 2013 § Deja un comentario

La compañía de Internet ha corregido una vulnerabilidad grave en su servicio de correo electrónico Gmail. En concreto, del proceso de recuperación de la contraseña, uno de los procesos más típicos en los que suelen centrarse los ataques de los cibercriminales. Un investigador privado encontró el modo de crear un ataque de phishing capaz de engañar al usuario y robar la contraseña de la cuenta. El gran problema de este ataque estriba en que en uno de los pasos del engaño el usuario visita una página web con el cifrado HTTPS y que es legítima de Google.

El problema, descubierto por Oren Hafif, ya ha sido corregido por Google y consiste en una inteligente y elaborada combinación de técnicas (XSS, CSRF, phishing dirigido). Oren describe extensamente en su blog su investigación, la forma de llevar a cabo un ataque exitoso y ha realizado un vídeo de cómo funciona el proceso.

El agujero en cuestión permitiría a un cibercriminal realizar un ataque dirigido contra un usuario, con solo contar con el correo electrónico de la víctima. Para llevar a cabo esta amenaza, el cibercriminal envía un correo electrónico directamente al usuario a través de una dirección que parezca legítima. En el mismo el atacante se presenta como si en realidad formara parte del servicio técnico de Gmail y le explica que lleva mucho tiempo utilizando la misma contraseña. Finalmente, le insta a confirmar que es el dueño de la cuenta de Google si pincha en un enlace incluido dentro del mensaje. El problema en este punto es que la página a la que dirige el enlace es realmente una web legítima de la compañía del buscador, que además usa el protocolo seguro HTTPS.

La página en cuestión se ha tomado (o “robado”) del proceso de recuperación de contraseña de Gmail y muestra un mensaje en el que se confirma que el usuario es legítimo y que cuenta con un botón para “resetear la contraseña”. Cuando la víctima pincha sobre el botón se le pregunta por la última contraseña conocida del usuario. Y esta información llega directamente al cibercrminal, que ahora puede entrar en el correo del usuario, cambiar la contraseña y pasar a controlar la cuenta. O simplemente espiar los correos de la víctima sin que éste se dé cuenta. Además del correo, el cibercriminal también podría alcanzar otras cuentas de servicios que se han unido a la dirección de correo de Gmail para resetear la contraseña y tener acceso a ellas, tanto dentro de Google (por ejemplo cuentas de YouTube que se hayan actualizado o el sistema de almacenamiento online Google Drive) como externos a la compañía.

La buena noticia sobre este agujero es que Google ha actuado muy rápido, ya que en menos de dos semanas ha lanzado un parche que corrige la vulnerabilidad y que impide que se pueda aprovechar esta página legítima con el protocolo HTTPS a a la hora de intentar ataques de phishing. Quien encontró la vulnerabilidad informó del agujero de forma privada a Google y solo ahora ha publicado la información sobre el ataque. Además, ha anunciado que recibirá una compensación económica de la compañía estadounidense, que desde hace tiempo ha desplegado un programa para premiar a aquellos informáticos que sean capaces de encontrar vulnerabilidades en sus diferentes productos.

Fuente: Tu experto

9 de cada 10 apps móviles son vulnerables a ataques

noviembre 23, 2013 § Deja un comentario

Ofrecer acceso a fuentes de información privada o carecer de las medidas de seguridad adecuadas frente a los ataques son algunas de las vulnerabilidades a las que, según un estudio de HP, están expuestas la gran mayoría de las aplicaciones móviles disponibles.

HP dio a conocer los resultados de un estudio que, tras analizar más de 2 mil 100 aplicaciones móviles de más de 600 empresas, determina que las aplicaciones móviles representan una amenaza a la seguridad real. De hecho, nueve de cada diez aplicaciones móviles presentan vulnerabilidades.

De acuerdo con el estudio, 97% de las aplicaciones móviles probadas daban acceso a al menos una fuente de información privada de un dispositivo, incluyendo listas de contactos personales y páginas web de redes sociales, mientras que 86% de esas aplicaciones no contaban con medidas de seguridad adecuadas para protegerlas de los ataques más habituales. Por otra parte, 75% de las aplicaciones no utilizaban técnicas de cifrado adecuadas para almacenar los datos en los dispositivos móviles, y 18% de las aplicaciones envían los nombres de usuario y las contraseñas a través de HTTP. Del 82% restante, 18% implementa incorrectamente SSL / HTTPS.

“Mientras que los dispositivos móviles son cada vez más críticos para el negocio, también se están convirtiendo en los principales objetivos de ataque, con aplicaciones vulnerables proporcionando acceso a datos sensibles”, asegura Mike Armistead, vicepresidente y director general de productos de seguridad para empresas Fortify en HP . “Las aplicaciones móviles son ahora la primera línea de defensa contra el enemigo y las organizaciones deberá estar preparadas para evaluar, asegurar y proteger estas aplicaciones para evitar daños por ataques”.

Fuente: CIO

Las empresas no saben que sus sitios son vulnerables [Symantec]

noviembre 16, 2013 § Deja un comentario

La empresa Symantec ha publicado dos libros blancos de seguridad correspondientes a “guías sobre protección de sitios web” y “cómo funciona el software malicioso”.

La guía sobre protección de sitios web [PDF] dice que en el año 2012, Symantec realizó análisis de vulnerabilidades en más de 1.400 sitios web al día y, en más de la mitad de ellos, se encontraron vulnerabilidades sin resolver que alguien podría aprovechar para llevar a cabo un ataque. De hecho, la cuarta parte de los sitios web vulnerables ya estaban infectados con código dañino (malware) que podría llegar a provocar infecciones en los equipos de los visitantes o motivar la inclusión del sitio web en una lista negra. Estas cifras demuestran que millones de sitios web legítimos corren a diario el riesgo de sufrir un grave ataque y caer en manos de los cibercriminales.

Sin embargo, según este estudio de Symantec [PDF] confirma que las vulnerabilidades y su desconocimiento en las empresas, un tercio de los encuestados dan por sentado que sus sitios web son muy seguros, aunque nunca los han analizado para detectar posibles vulnerabilidades o infecciones.

Cristian de la Redacción de Segu-Info

Microsoft y Facebook crean nuevo Bug Bounty

noviembre 14, 2013 § Deja un comentario

Facebook y Microsoft ofrecen una recompensa de hasta $5.000 dólares para aquellos “hackers buenos” que encuentren un agujero de seguridad en la World Wide Web.

Aunque el fabricante de Windows ya ofrece sus propios premios en dinero para quien encuentre una falla de seguridad, una recompensa multiempresa es una idea novedosa.

La iniciativa llamada “Bug Bounty” (recompensa por fallas), que patrocinan ambas empresas, reta a los interesados a encontrar fallas en plataformas web críticas como OpenSSL, PHP, Perl y Apache. Incluso, se convoca a hackear el propio internet; es decir, encontrar un error que afecte a una amplica gama de productos y usuarios.

“Si el público es demostrablemente más seguro, como resultado de su contribución a la seguridad en internet, nos gustaría ser los primeros en reconocer su trabajo y decir ‘gracias’ con algo de dinero para usted o su organización sin fines de lucro favorita”, explica la página de The Internet Bug Bounty.

La recompensa varía dependiendo de la plataforma que se haya hackeado. Encontrar una falla en Apache podría generar alrededor de $500 dólares, mientras que encontrar hackear todo el internet puede sumar hasta $5.000 dólares. Un panel de especialistas de Microsoft, Facebook y Google serán los jueces de los proyectos inscriptos en la iniciativa.

Fuente: bSecure

#Macrumors "pierde" 860.000 cuentas (con MD5)

noviembre 13, 2013 § 1 comentario

El foro del sitio de noticias, información y rumores sobre MAC, MacRumors ha sido atacado y se han comprometido 860.106 cuentas de usuarios, los cuales eran mantenidos en una versión sin actualizar de vBulletin.

Los mensajes de correo electrónico y los hash MD5 de las contraseñas fueron potencialmente comprometidos por lo que se sugiere a los usuarios cambiar sus contraseñas inmediatamente en Macrumors y en todos los otros lugares donde la hayan utilizado.

Utilizar MD5 con o sin sal es un medio insuficiente para proteger contraseñas almacenadas. Incluso en 2012, el autor original del algoritmo de hash MD5 ha declarado públicamente que ya no se considera seguro para usar en sitios web comerciales.

El propietario de Macrumors , Arnold Kim, se disculpó por la intrusión y dijo que esto ocurrió porque se obtuvo acceso a una cuenta de moderador, que luego permitió escalar privilegios con el objetivo de robar las credenciales de inicio de sesión de los usuarios. Al parecer, se utilizó un método similar al utilizado en los foros de Ubuntu en julio, donde los atacantes habían accedido a la base de datos de 1,82 millones de miembros registrados.

Aún no hay novedades de si la base comprometida esté circulando en Internet.

Actualización: los atacantes han dejado un post en Macrumors con la descripción de lo que hicieron y cómo lo hicieron.

Cristian de la Redacción de Segu-Info

Responsible full disclosure… por ambas partes

noviembre 13, 2013 § Deja un comentario

La revelación responsable de vulnerabilidades es un viejo debate, pero no necesariamente zanjado. Vamos a observarlo desde el punto de vista del sistema vulnerable o afectado, no desde el investigador (que es al que normalmente se le exigen las responsabilidades). Si se practica la revelación responsable, este adjetivo debe aplicarse tanto al que lo detecta, como al afectado.

La anécdota

En ElevenPaths, alertamos hace algunas semanas sobre un pequeño fallo en la web de Cisco, en concreto de su servicio Meraki de redes a través de la nube. En una ruta concreta se divulgaba información quizás sensible.

Entre otros, se observa el nombre de usuario ssh, el servidor SVN, rutas a la red interna, y otros nombres de usuarios SVN. Quizás no se encuentren actualizados los datos y su impacto sea mínimo, pero es una información que definitivamente no debería estar ahí.

Cisco determina en su programa, bajo estas condiciones, las normas para alertar sobre fallos de seguridad:

We take these reports seriously and will respond swiftly to fix verifiable security issues. [...] Any Cisco Meraki web service that handles reasonably sensitive user data is intended to be in scope. This includes virtually all the content under *.meraki.com. [...] It is difficult to provide a definitive list of bugs that will qualify for a reward: any bug that substantially affects the confidentiality or integrity of user data is likely to be in scope for the program.

La revelación de información se les notificó a principios de noviembre. Dos días después la respuesta de Meraki fue peor de lo esperado:

I have looked into your report and, unfortunately, this was first reported to us on 9/23/13, with a resolution still pending from our engineers.

Esto implica que se alegaba que un tercero lo había descubierto previamente y lo que es peor, que el problema les era conocido desde hacía al menos cinco semanas y aún no lo habían (y no lo han) resuelto. Simplemente se trata eliminar una página de un servidor o protegerla con contraseña.

Contenido completo en fuente original ElevenPath

¿Dónde estoy?

Actualmente estás explorando la categoría Vulnerabilidades en Seguridad Informática.

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 114 seguidores