Mejorar y entender la seguridad del plugin de Java

enero 31, 2013 § 1 comentario

El plugin de Java se está convirtiendo en un serio problema de seguridad, llevamos meses comprobándolo. Oracle ha añadido seguridad en su configuración por defecto, y ofrecido más granularidad a los usuarios. Pero todavía es mejorable. ¿Para qué sirven las nuevas funcionalidades y qué se puede esperar de ellas?

Lo primero que es necesario entender cuáles son los riesgos de los Applets de Java. La máquina virtual Java es la encargada de ejecutarlos y, por seguridad, los mantiene dentro de una “sandbox”. Esto quiere decir que no les permite acceder al disco, ejecutar código… ¿Por qué son peligrosos entonces? Porque existen situaciones en las que las que se les permite a esos Applets salir de la sandbox. Si ocurre esto, el Applet se convierte a efectos prácticos en un ejecutable (puede hacer prácticamente cualquier cosa con los permisos con los que se ejecuta). ¿Bajo qué circunstancias pueden salir de la sandbox?

En la versión 7u10 se introdujeron los niveles de seguridad y la “autoconciencia” de ser una versión “insegura”. Recordemos que la seguridad se basa fundamentalmente en contener la ejecución de applets dañinos que puedan eludir la sandbox y para eso la clave está en la criptografía (hay que luchar contra los Applets no firmados) y e la actualización de la propia máquina virtual.

Fuente: Hispasec I, II y III

Fátima Florez: video íntimo filtrado

enero 31, 2013 § 3 comentarios

Luego de que el marido de la actriz reconociera la existencia del mismo, filtraron las imágenes en el nuevo sitio de Mega y se viralizó rápidamente por las redes sociales. Otra vez la polémica sobre los límites de Internet.

Pocas horas después de que Norberto Marcos, esposo y representante de Fátima Florez, advirtiera que le podían haber robado un video íntimo junto a la famosa imitadora, las imágenes se filtraron.

“Tengo un poco de miedo. No puedo negar que nos grabamos alguna vez. Fátima es mi mujer hace años, y esas son cosas que pasan en las parejas. Pero el video está en la computadora de mi casa. Y si alguien lo tiene es porque lo robó“, dijo Marcos, antes de que el video llegara a la Web.

El 23 de enero, Fátima tuiteó: “Ojo con un tweet en inglés que es un virus. Yo no lo mandé pero se metieron en mi cuenta. Me llego un mail de un conocido en inglés, lo abrí y ahí se metieron en mi Twitter”.

Treinta y cinco días después de que estallara el escándalo por la filtración de un video íntimo de Florencia Peña, ahora la víctima es Fátima Florez. La indignación es la misma.

Fuente: Ciudad

Posible ataque de texto claro escogido contra la clave de protocolo del cifrado "inexpugnable" del físico valenciano

enero 31, 2013 § Deja un comentario

Por Manuel J. Lucena

En este documento [PDF] se presenta un posible ataque de texto claro escogido para el sistema de cifrado Doble Criptograma Simétrico, descrito en la solicitud internacional de patente WO 2012/152956 A1. En dicha solicitud se describe un algoritmo de cifrado en dos fases, que cumple supuestamente el criterio de seguridad perfecta de Shannon. La segunda de sus fases consiste en la aplicación de una clave de protocolo que genera una secuencia de valores comprendidos entre 1 y 9. El ataque que se describe permite obtener el valor de dicha clave de protocolo a partir de un número relativamente pequeño de criptogramas correspondientes a un mismo texto en claro.

Este ataque demuestra que, únicamente a partir de un número no muy grande de criptogramas cifrados por el método de Doble Criptograma Simétrico, es posible deducir gran parte de la información sobre los parámetros de cifrado, en particular la clave de protocolo, las denominadas plantillas y la profundidad (o longitud en la que el algoritmo de cifrado expande cada letra del texto claro para construir las plantillas). Una implementación del ataque, escrita en un lenguaje de programación interpretado (Phython), tarda pocos segundos en proporcionar una respuesta en un ordenador portátil convencional. Ni la profundidad de la tabla de equivalencias, ni la longitud de la clave de protocolo condicionan significativamente el tiempo de ejecución.

Es posible que, preparando la tabla de equivalencias de forma adecuada, se generen valores de plantilla difíciles de detectar por los medios aquí descritos, pero eso probablemente redundaría en mensajes cifrados de longitud aún mayor, y dudamos que pudiera proteger el sistema de versiones más optimizadas de este ataque.

Independientemente de si, a partir de la información deducida, puede recuperarse o no el texto claro, parece evidente que la segunda fase del algoritmo, guiada por la clave de protocolo, no cumple la propiedad de seguridad perfecta de Shannon, ya que esta propiedad exige que no pueda deducirse ninguna información a partir de una cantidad arbitraria de texto cifrado. Puesto que, con la información deducida a través de este ataque, puede reducirse un conjunto de criptogramas a un simple cifrado monoalfabético, la primera fase del cifrado tampoco parece cumplir la condición de Shannon.

Fuente: Kriptopolis

64% de los bancos ha sufrido ataques DDoS en los últimos 12 meses

enero 31, 2013 § Deja un comentario

Según un estudio independiente encargado por Corero Network Security [PDF], más de dos tercios (64%) de los profesionales de TI y de los responsables de seguridad de entidades bancarias informa que sus bancos han sufrido, cuanto menos, un ataque por Denegación de Servicio Distribuido (DDoS) en los últimos 12 meses.

Dirigida por el Instituto Independiente Ponemon, la investigación realizada sobre una muestra de 650 profesionales de TI y encargados de seguridad de 351 bancos, entre ellos, algunos de los más grandes del mundo; también revela que el 78% de los encuestados se muestra convencido de que los ataques DDoS se mantendrán o aumentarán significativamente en 2013, por lo que dichas entidades seguirán siendo vulnerables ante ataques cibernéticos que podrían dar lugar a tiempos de inactividad y a datos comprometidos.

Por otro lado, casi la mitad de los encuestados (48%) desvela que sus bancos han sufrido múltiples ataques DDoS en los últimos 12 meses. En este sentido, los participantes citan, que junto con los ataques DDoS, los de día cero -un tipo de ataque que aprovecha una vulnerabilidad previamente desconocida- son las amenazas de seguridad más severas. Asimismo, entre los principales obstáculos que afectan la capacidad de los bancos para hacer frente a los ataques DDoS, el 50% menciona la falta de personal y de conocimientos técnicos, así como, la carencia de una tecnología de seguridad eficaz, como las preocupaciones más graves, seguida por la de contar con presupuestos insuficientes.

Fuente: DiarioTI

Facebook admite su incapacidad para evitar que menores se conecten

enero 31, 2013 § Deja un comentario

Facebook reconoció que es prácticamente imposible evitar que menores de 13 años hagan uso de la red social, tal y como lo estipula su reglamento interno y niegan planes de permitir el acceso a todos.

Frente a expertos y especialistas en privacidad, Simon Milner, director de políticas de privacidad de Facebook en Reino Unido, admitió que cada vez son más los menores de 13 años que utilizan el servicio alrededor del mundo.

De acuerdo con cifras de la Escuela de Economía de Londres, una tercera parte de los menores de 13 años de Gran Bretaña cuentan con un perfil activo en la red social.

El ejecutivo aseguró que Facebook cuenta con un equipo especializado para combatir e identificar los perfiles de niños, que fingen tener la edad autorizada cuando llenan la forma de inscripción. En 2011, la red aseguró que diariamente eliminaba 20.000 cuentas apócrifas.

Milner explicó que Facebook prohíbe que los menores de 13 años accedan a la red debido a que así lo marcan las leyes de privacidad en Estados Unidos. Google y YouTube se rigen la misma política de ingreso, subrayó.

En tanto, Sonia Livingstone, socióloga de la Universidad de Economía de Londres, lamentó que en varios casos son los padres los responsables de que los menores cuenten con un perfil en la red.

“En algunas ocasiones son los propios padres los que ayudan a sus hijos a llenar la fórmula de inscripción, aunque no superen el límite de edad que marca Facebook”, indicó.

Ante el señalamiento, Milner declaró que no pueden hacer nada al respecto, pues la violación de normas se realiza bajo el consentimiento de los propios padres. Sin embargó se comprometió a continuar analizando contenidos para mantener la red social como un lugar seguro.

“Nosotros hacemos lo posible para combatir la pornografía infantil, la violencia, el racismo y el acoso social, conductas que afectan a nuestros usuarios sin importar su edad”, concluyó.

Fuente: bSecure

Whatsappvoyeur: cualquiera puede ver tu perfil en Whatsapp

enero 30, 2013 § 1 comentario

Whatsappvoyeur es un servicio web creado por berni69 (creador del famoso airwin) y Alejandro Amo que permite a cualquier persona, incluso sin el uso de teléfono móvil, obtener todos los datos de perfil de un determinado usuario de Whatsapp. En el momento de escribir estas líneas somos capaces de proporcionar los siguientes:

  • Foto de perfil a tamaño real y fácil de descargar a disco como cualquier imagen de una web
  • Frase de estado o “status quote”
  • Último momento en que el usuario cambió la “status quote”
  • Último momento en que el usuario apareció conectado en la red

Con ello pretendemos realizar la prueba de los siguientes conceptos y aplicaciones prácticas:

  • Determinar si un usuario te ha bloqueado en Whatsapp (cotejando datos con tu movil)
  • Capturar la foto de perfil a tamaño real (con mas detalle de lo que la gente cree cuando las elige)
  • Controlar la actividad de un determinado usuario (controlar si está o no conectado)
  • Demostrar que los datos de todos son quasi-públicamente accesibles debido a las políticas de Whatsapp (solo hace falta estar autenticado dentro de Whatsapp – la web conecta a Whatsapp usando conjuntos de credenciales válidas que hemos creado para la ocasión)

¿Cómo y por qué funciona WhatsappVoyeur?

Antes de nada debo rememorar uno de los problemas de Whatsapp que ya fué comentado aquí: los datos del perfil de los usuarios de Whatsapp eran completamente accesibles al público, mediante una simple consulta a una url. Ni siquiera era necesario entrar en la red interna de Whatsapp propiamente dicha.

Gracias al script de Alejandro Ramos pudimos practicar el harvesting de todas las cuentas de Whatsapp de España, saber que por aquel entonces sumábamos casi 10 millones de usuarios, y tener sus “status quotes” en una base de datos. Todo ello, sin esfuerzo, sin más límite que el de nuestra paciencia, sin siquiera necesitar credenciales válidas de Whatsapp.

Desde el punto de vista de arquitectura, modelo de datos y privacidad, es de lo mas “braindead” que se puede perpetrar.

Pues bien, el 9 de enero, Whatsapp realizó un nuevo cambio en el protocolo de comunicaciones, con la intención de resolver este asunto: han desaparecido de sus servidores los archivos PHP contra los que podíamos hacer un query usando simplemente wget, curl o un navegador regular. Adiós a “https://sro.whatsapp.net/client/iphone/iq.php”

En su lugar, implementaron un protocolo de intercambio de datos de los contactos. A este protocolo le llamaremos “Contact Sync V2”, tal como ha dado en llamarle el egipcio Tarek Galal, creador de la API yowsup. Dicho protocolo está colocado donde siempre debió estar: debajo de la capa de sesión. Los datos devueltos por este nuevo conjunto de comandos son muy parecidos a los que devolvía el famoso archivo iq.php, con la salvedad de que ahora es necesario estar autenticado contra el servidor de Whatsapp para poder enviar esos comandos.

Pensemos por un momento en el modelo de datos de Whatsapp, en las reglas bajo las que han definido dicho modelo: una de las características más inseguras del protocolo Whatsapp y de las relaciones entre sus usuarios es que “quien no está explícitamente bloqueado está implícitamente permitido”. Cualquier persona que añada nuestro número de teléfono a su agenda puede ver nuestra foto de perfil, nuestra “frase de estado” y controlar en todo momento si estamos conectados, o cuánto tiempo hace que lo estuvimos por última vez. Y todo esto nos está sucediendo sin que nosotros podamos hacer absolutamente nada por evitarlo, en tanto en cuanto el individuo que nos “controla” no nos envíe un mensaje que delate su presencia (ese es otro tema: esta política permite que un usuario nos envíe un mensaje sin que lo “aceptemos” previamente como contacto. Podremos bloquearlo, pero ya nos ha molestado.

El protocolo “Contact Sync V2” apenas implica una mejora real en la protección de nuestros datos de perfil en Whatsapp. Solo coloca una barrera de autenticación frente al exterior, pero no nos protege de otros usuarios autenticados en el interior; no nos protege como individuos porque las políticas en sí mismas no lo hacen (deficiencia de diseño), y tampoco nos protegen del “harvesting” masivo porque, si bien el protocolo “Contact Sync V2” proporciona una base técnica para impedirlo, no se le ha sacado partido aún.

Las políticas del tipo “lo que no está explícitamente prohibido, está implícitamente permitido” siempre deben ser implementadas con mucho cuidado, pero cuando los nombres de usuario son números de teléfono móvil que cualquiera puede obtener y sondear, y cuando están en juego nuestras fotos y otros datos que pueden ser bastante sensibles… es una muy mala idea de base.

Y digo “de base” porque es un error de diseño en sí mismo. No es una deficiencia del protocolo de comunicaciones sino una deficiencia del modelo de datos y de su lógica inherente. Whatsapp debería cambiar muy profundamente la definición del modelo de datos y los procesos de integración con nuestra agenda en el teléfono, cosa que dudo mucho que tenga en mente hacer. Ante todo soy consultor tecnológico empresarial y sé que, lamentablemente, hay cosas que no son rentables en un contexto de negocio; sé lo duro e incontrolable que es tirar adelante una startup mientras luchas con el capital riesgo. Probablemente Whatsapp seguirá invirtiendo lo mínimo indispensable en materia de seguridad, y el 99% de su esfuerzo seguirá siendo el crecimiento de la base de usuarios y la búsqueda de monetización de los mismos. Pero desde el punto de vista del usuario, de su seguridad y su privacidad, opino que Whatsapp ha cometido un error desde el principio y ha excedido los límites razonables de controversia e inseguridad, cosa por la cual (entre otras como peor diseño y peor campaña de comunicación) caerá derrotado por alternativas como Spotbros o Line.

Fuente: Security by Default

WhatsApp, acusada en Holanda y Canadá de violar la privacidad de sus usuarios

enero 30, 2013 § Deja un comentario

Los organismos encargados de proteger la información privada en Canadá y Holanda han acusado a la popular aplicación de teléfonos inteligentes WhatsApp de violar varias leyes en la materia.

La Oficina de protección de datos CBP (Holanda) y el Comisariado para la protección de la vida privada (Canadá) han iniciado una investigación conjunta del sistema de mensajería instantánea para ‘smartphones’.

WhatsAppp anunció vía Twitter el pasado mes de agosto haber superado los 10 millones de mensajes en un solo día.

Para utilizar el servicio de WhatsApp los usuarios deben permitir el acceso a su agenda de contactos. De esta forma, todos los números de teléfonos registrados en el móvil del cliente se transmiten a WhatsApp para facilitar la identificación de otros usuarios.

En lugar de borrar el número de teléfono de los no usuarios, WhatsApp los almacena. Las leyes holandesa y canadiense contemplan que toda copia de información privada debe hacerse siempre con un propósito. Sólo los usuarios de la aplicación con un iPhone dotado con el software iOS6 pueden agregar manualmente los contactos.

La CBP y el Comisionado también han detectado que los mensajes enviados a través de esta aplicación no son encriptados y por tanto pueden ser interceptados, especialmente cuando han sido enviados desde una conexión Wi-Fi no segura. WhatsApp no comenzó á cifrar estos mensajes hasta septiembre de 2012.

Según estas dos entidades, WhatsApp genera contraseñas para el intercambio de mensajes a través de la información asociada a los dispositivos. Estas contraseñas pueden ser fácilmente interceptadas. Un tercero podría enviar y recibir mensajes en nombre de cualquiera de los usuarios sin que estos se percatasen. WhatsApp habría cambiado su sistema usando una clave más segura generada aleatoriamente.

La CBP y el Comisariado han colaborado en la investigación generada por una queja presentada el 26 de enero 2012, si bien los dos organismos han presentado informes separados, de acuerdo a las leyes que protegen la privacidad de ambos países.

Fuente: El Mundo

¿Dónde estoy?

Actualmente estás viendo los archivos para enero, 2013 en Seguridad Informática.