Usar GoogleDrive para #Phishing

febrero 28, 2013 § Deja un comentario

Resulta que a Google se le ha ocurrido que podemos usar Google Drive para guardar páginas web completas y, la verdad, yo ya no sé si creerles que esto durará pero, de todos modos, por ahora, ahí está la opción que, imagino, deberá usarse “prudentemente”.

El servicio está bueno porque cualquier usuario puede alojar una página de forma gratuita, pero como todo si es aprovechado por malas personas se podría convertir en un problema. De esto justamente es lo que habla Juan Manuel en su blog MvdTechnology. Google Drive podría ser aprovechado para montar páginas falsas como la siguiente:

La página se parece a Gmail, tiene el HTTPS verificado y se encuentra bajo un dominio de Google, es decir que a primera vista parece totalmente confiable, sin embargo es una página falsa montada por Juan Manuel como prueba de concepto. La puedes ver aquí.

Ya fue reportada al equipo de seguridad de Google y dieron el permiso de difundirla como alerta sobre este tipo de prácticas. Algunos dirán que con HTML y JavaScript no se pueden robar credenciales porque todo ocurre del lado del cliente, pero en realidad se puede hacer buscándole la vuelta, por ejemplo, con un simple iframe.

Con estas páginas se genera el mismo problema de los formularios de Google Drive (antes llamados Google Docs), pues al estar bajo un dominio de Google pueden pasar con facilidad los filtros anti-phishing y engañar a los usuarios que suelen darle una mirada rápida a las direcciones para saber si están en un sitio seguro.

Antes de ingresar cualquier contraseña hay que observar muy bien la barra de direcciones, sobre todo cuando los datos son solicitados luego de hacer clic en un enlace. En caso de dudas lo mejor es ingresar a la página de login escribiendo la dirección manualmente.

Siempre que se vaya a iniciar sesión en algún servicio de Google las URLs deben comenzar por https://accounts.google.com

Fuente: MvdTechnology, Vagabundia, SpamLoco

Introducción a la criptografía y la seguridad de datos

febrero 28, 2013 § 1 comentario

Esta es una serie de lecturas, 23 en concreto, impartida por el profesor Christof Paar de la Ruhr University Bochum, Alemania en la que nos introduce al mundo de la criptografía y la seguridad de los datos.

Christof Paar además tiene escrito un libro sobre la materia con muy buenas críticas. Y en la web del mismo, además tienes más vídeos y las diapositivas de éstos.

La lista de los vídeos es la siguiente:

Fuente: Cyber Hades

Facebook soluciona una vulnerabilidad que permitía tomar el control de cualquier cuenta

febrero 28, 2013 § Deja un comentario

De nuevo estamos ante un fallo de seguridad en Facebook que podría hacer que un atacante tomase el control de cualquier cuenta. Hace unos meses vimos cómo, aprovechándonos de un error en el procedimiento de restablecimiento de contraseñas, se podía cambiar la contraseña de cualquier usuario de Facebook sin conocer la anterior, lo que en la práctica llevaría a acceder a cualquier cuenta.

En esta ocasión, el procedimiento para acceder a cualquier cuenta de esta red social era un poco más elaborado, pero igualmente exitoso. Antes que nada hay que resaltarque esta vulnerabilidad ya se encuentra solucionada gracias a que el investigador Nir Goldshlager, quien la descubrió, avisó a los desarrolladores de Facebook para que tomaran las medidas pertinentes, algo que le honra.

Con respecto al fallo en sí, este se resume en la obtención de los tokens de acceso de los usuarios cuando estos acceden a una web (usando cualquier navegador), sin necesidad de que las víctimas tengan instalada ninguna aplicación en concreto. Al conseguir estos tokens, el atacante podría acceder sin restricciones a las cuentas comprometidas hasta que la víctima cambie su contraseña.

Según ha publicado este investigador en su web, OAuth se usa en Facebook para realizar comunicaciones entre las aplicaciones y los usuarios. Normalmente, los usuarios deben permitir/aceptar la petición de la aplicación para acceder a su cuenta antes de que esta comunicación se realice. Hemos de tener en cuenta que cada aplicación de Facebook puede pedir permisos diferentes.

Contenido completo en fuente original Blog de Protegerse

Encuesta sobre Ciberdelito en América Latina y El Caribe

febrero 28, 2013 § Deja un comentario

Con el fin de conocer más sobre las características de Internet en la región de Latinoamérica y El Caribe, Lacnic se encuentra realizando la presente encuesta, que tiene carácter anónimo y lleva no más de 15 minutos completarla. Le pedimos que tenga la gentileza de responder las  preguntas que la componen contribuyendo de esta manera a que nuestra organización reúna información confiable sobre lo que ocurre con el uso de Internet en nuestros países.

Hay 15 preguntas en esta encuesta.  Por favor, siéntase en libertad para distribuirla a amigos y conocidos que residan en la región.

Esta encuesta es anónima. Los registros que contienen sus respuestas a la encuesta no contienen ninguna identificación suya a menos que una pregunta específicamente así lo haga. Si responde a esta encuesta utilizando una contraseña que le da acceso al cuestionario, puede estar seguro que la misma no se asocia a ninguna de sus respuestas. Esto se administra en una tabla de datos separada, que sólo se actualiza para indicar que ha completado o no la encuesta, pero sin establecer vínculo alguno con la tabla donde se almacenan sus respuestas, por lo que no hay manera de asociar una respuesta con la persona que la hizo.
Fuente: LACNIC

España crea el Mando Conjunto de Ciberdefensa

febrero 28, 2013 § Deja un comentario

El Ministerio de Defensa español ha creado el Mando Conjunto de Ciberdefensa, que dirigirá y coordinará las acciones de las Fuerzas Armadas frente a los ‘ciberataques’, “una amenaza actual, real y en crecimiento para los intereses nacionales”.

El ministro de Defensa, Pedro Morenés, firma la Orden Ministerial 10/2013, de 19 de febrero, que publica el Boletín Oficial de Defensa (BOD), por la que se crea este mando conjunto, que dependerá del jefe de Estado Mayor de la Defensa (Jemad).

Un general será designado comandante jefe del mando, cuya creación no supondrá incremento del gasto público, según precisa la orden ministerial.

La misión del nuevo mando es el planeamiento y la ejecución de las acciones relativas a la ‘ciberdefensa’ militar en las redes y sistemas de información y telecomunicaciones de las Fuerzas Armadas u otros que pudiera tener encomendados, así como contribuir a la respuesta adecuada en el ciberespacio ante amenazas o agresiones que puedan afectar a la defensa nacional.

Entre sus cometidos figura el “ejercer la respuesta oportuna, legítima y proporcionada en el ciberespacio ante amenazas o agresiones que puedan afectar a la defensa nacional”.

También deberá cooperar con los centros nacionales de respuesta a incidentes de seguridad de la información, de acuerdo con lo que determinen las estrategias y políticas nacionales de ‘ciberseguridad’ en vigor.

Fuente: El Mundo

Implementación del protocolo DMARC (y II)

febrero 28, 2013 § Deja un comentario

En la primera parte se analizaron los objetivos del protocolo DMARC y cómo el mismo se puede utilizar para asegurar la autenticidad del origen de un correo electrónico. A continuación se analizará la anatomía de un registro DMARC en los DNS y cómo se debe realizar su implementación.

Las políticas DMARC aparecen en el DNS como texto (TXT), registros de recursos (RR) y avisa lo que debe hacer un receptor con los correos no alineados que recibe.

Consideremos un ejemplo DMARC con registros TXT y RR, para el dominio “sender.dmarcdomain.com” con:

"v=DMARC1;p=reject;pct=100;rua=mailto:reports@dmarc.org"

En este ejemplo, el remitente solicita que el receptor rechace abiertamente todos los mensajes no alineados y envíe un informe, sobre el rechazo a una dirección concreta. Si el remitente estaba probando su configuración, podría sustituir “reject” por “quarantine” e indicarle al receptor que no necesariamente debe rechazar el mensaje, pero que tenga en cuenta ponerlo en cuarentena.

Este registro se puede observar fácilmente al hacer una consulta DNS por tipo de registro “TXT”:

$ nslookup
> set type=TXT
> _dmarc.dmarc.org
Non-authoritative answer:
_dmarc.dmarc.org text = "v=DMARC1\; p=none\; pct=100\; rua=mailto:reports@dmarc.org\; ruf=mailto:reports@dmarc.org"

Los registros DMARC siguen la sintaxis “tag-value” para los registros DNS basados ​​en claves definidas en DKIM. La siguiente tabla ilustra algunas de las etiquetas disponibles:

Nota: Los ejemplos de la tabla son sólo ilustrativos y no deben ser considerados en lugar de la especificación. Por favor, consulte la página de especificaciones para información más actualizada y precisa.

Cómo implementar DMARC en 5 pasos

DMARC ha sido diseñado en base a la experiencia real de algunos de los emisores y receptores más grandes del mundo que ya implementan SPF y DKIM. Hay un número de métodos integrados para facilitar el procesamiento de DMARC, de modo que todas las partes pueden facilitar el despliegue en el tiempo. Entonces, los pasos serían los siguientes:

  1. Implementar DKIM y SPF.
  2. Estar seguros que los anuncios publicitarios se están alineando correctamente con los identificadores apropiados.
  3. Publicar un registro DMARC con el flag “monitor” establecido por la política, pidiendo informes de datos.
  4. Analizar los datos y modificar los flujos de e-mails, según corresponda.
  5. Modificar las banderas de las políticas DMARC de “monitor” para “cuarentena” o para “rechazar” en base a la experiencia que vaya adquiriendo.

A continuación se puede observar un video de entrenamiento para hacerlo:

Fuente: DMARC

Mauro D. Gioino de la Redacción de Segu-Info

Comienza OWASP Latam Tour 2013

febrero 27, 2013 § Deja un comentario

Desde hace unos días ya se encuentra disponible el calendario completo de la gira OWASP Latam Tour que realizará la organización OWASP por varios países de Latinoamérica. Este tipo de eventos, del cual tendré el placer de participar, tienen la particularidad de ser gratuitos y ese es solo uno de los motivos por cuales asistir.

OWASP Latam Tour, es una gira por Latino América que promueve la seguridad en aplicaciones web en diversas instituciones, como universidades, organismos gubernamentales, empresas de TI y entidades financieras, buscando crear conciencia sobre la seguridad en las aplicaciones y puedan tomar decisiones informadas sobre los verdaderos riesgos de seguridad.

En cada una de las localidades, ya es posible registrase en el evento en forma gratuita o inscribirs a los Training de 8 hs que se brindarán en cada caso.

Cristian de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás viendo los archivos para febrero, 2013 en Seguridad Informática.