Google soluciona vulnerabilidad crítica en el proceso de recuperación de contraseña

noviembre 23, 2013 § Deja un comentario

La compañía de Internet ha corregido una vulnerabilidad grave en su servicio de correo electrónico Gmail. En concreto, del proceso de recuperación de la contraseña, uno de los procesos más típicos en los que suelen centrarse los ataques de los cibercriminales. Un investigador privado encontró el modo de crear un ataque de phishing capaz de engañar al usuario y robar la contraseña de la cuenta. El gran problema de este ataque estriba en que en uno de los pasos del engaño el usuario visita una página web con el cifrado HTTPS y que es legítima de Google.

El problema, descubierto por Oren Hafif, ya ha sido corregido por Google y consiste en una inteligente y elaborada combinación de técnicas (XSS, CSRF, phishing dirigido). Oren describe extensamente en su blog su investigación, la forma de llevar a cabo un ataque exitoso y ha realizado un vídeo de cómo funciona el proceso.

El agujero en cuestión permitiría a un cibercriminal realizar un ataque dirigido contra un usuario, con solo contar con el correo electrónico de la víctima. Para llevar a cabo esta amenaza, el cibercriminal envía un correo electrónico directamente al usuario a través de una dirección que parezca legítima. En el mismo el atacante se presenta como si en realidad formara parte del servicio técnico de Gmail y le explica que lleva mucho tiempo utilizando la misma contraseña. Finalmente, le insta a confirmar que es el dueño de la cuenta de Google si pincha en un enlace incluido dentro del mensaje. El problema en este punto es que la página a la que dirige el enlace es realmente una web legítima de la compañía del buscador, que además usa el protocolo seguro HTTPS.

La página en cuestión se ha tomado (o “robado”) del proceso de recuperación de contraseña de Gmail y muestra un mensaje en el que se confirma que el usuario es legítimo y que cuenta con un botón para “resetear la contraseña”. Cuando la víctima pincha sobre el botón se le pregunta por la última contraseña conocida del usuario. Y esta información llega directamente al cibercrminal, que ahora puede entrar en el correo del usuario, cambiar la contraseña y pasar a controlar la cuenta. O simplemente espiar los correos de la víctima sin que éste se dé cuenta. Además del correo, el cibercriminal también podría alcanzar otras cuentas de servicios que se han unido a la dirección de correo de Gmail para resetear la contraseña y tener acceso a ellas, tanto dentro de Google (por ejemplo cuentas de YouTube que se hayan actualizado o el sistema de almacenamiento online Google Drive) como externos a la compañía.

La buena noticia sobre este agujero es que Google ha actuado muy rápido, ya que en menos de dos semanas ha lanzado un parche que corrige la vulnerabilidad y que impide que se pueda aprovechar esta página legítima con el protocolo HTTPS a a la hora de intentar ataques de phishing. Quien encontró la vulnerabilidad informó del agujero de forma privada a Google y solo ahora ha publicado la información sobre el ataque. Además, ha anunciado que recibirá una compensación económica de la compañía estadounidense, que desde hace tiempo ha desplegado un programa para premiar a aquellos informáticos que sean capaces de encontrar vulnerabilidades en sus diferentes productos.

Fuente: Tu experto

Yahoo! implementará SSL por defecto

octubre 20, 2013 § Deja un comentario

Como parte de la reestructuración de la empresa, Yahoo! ha anunciado que en enero de 2014 implementará codificación SSL predeterminada en su servicio de correo. Se cree que la falta de este servicio podría estar detrás de la ingente filtración de información a la NSA.

El pasado mes de enero, Yahoo abrió la opción de proteger las comunicaciones de Yahoo! Mail con un sistema de codificación SSL, pero los usuarios debían solicitar este servicio para obtenerlo. Ante las críticas suscitadas, Yahoo ha decidido que, a partir del 8 de enero de 2014, sus cuentas de correo contarán con el sistema SSL de forma predeterminada, protegiendo de forma automática a todos los usuarios, sin que haga falta solicitarlo.

Con esta medida, Yahoo sigue los pasos de sus principales competidores, que ya habían adoptado hace tiempo el protocolo SSL para la seguridad de sus clientes. Google, fue el primero en incluirlo de forma predeterminada en GMail en 2010, y desde entonces ha estado expandiendo su campo de acción para que abarque otros de sus servicios. Microsoft también lo hizo en Outlook en 2012 y Facebook en agosto de este mismo año.

Yahoo toma esta medida después de conocerse que, según los documentos filtrados por Snowden, la NSA había conseguido el doble de información de correos electrónicos de Yahoo que del resto de servidores de correo combinados. Algunos apuntan que esto se produjo precisamente debido a su falta de codificación SSL predeterminada.

Fuente: CIOAL

Un fallo de seguridad de Gtalk desvía mensajes a contactos equivocados (solucionado)

septiembre 26, 2013 § Deja un comentario

Hoy muchos usuarios de Gtalk, el popular sistema de mensajería de Google, están reportando un bug que ocasiona que mensajes vía chat enviados a unos destinatarios lleguen a otros. El fallo ha comenzado a reportarse apenas esta mañana y aparentemente también afecta a Google Hangouts, además de la versión tradicional del chat de Gmail.

En algunos de los casos los destinatarios son múltiples. Yo he podido comprobarlo de primera mano cuando he recibido el mensaje que un compañero de redacción envió a otro, directamente en mi chat:

Los casos se van sumando al foro de soporte de Google, aunque por el momento y en al minuto de publicar esto el Apps Status Dashboard de Google no muestra una incidencia con el servicio. Estaremos actualizando si hay novedades.

Actualización 11.38: Google confirma a algunos medios, como Gizmodo y TechCrunch que están investigando los problemas y el servicio aparece como interrumpido en el Apps Status Dashboard.

Fuente: El Diario

GMail espía demasiado, hasta ZIP con contraseña

septiembre 20, 2013 § 17 comentarios

GMail block attachments with password “infected”.

Hoy GMail acabó con mi paciencia. En una tarea diaria que hacemos por gusto y ganas de colaborar con la comunidad, GMail me sorprendió al no permitirme enviar una muestra de malware nuevo a una lista de fabricantes antivirus para que lo revisen e incluyan en sus firmas de detección.

Es un estándar de esta industria que si uno envía muestras de malware por correo, lo haga en un archivo ZIP y con contraseña “infected”. Todos los fabricantes exigen eso, nada más.

Desde hace bastante tiempo GMail no permite que uno envíe archivo ejecutable adjuntos. Una buena medida para evitar que el correo GMail sea usado como medio de propagación de programas maliciosos.

La revisión de ejecutables de GMail alcanza incluso a los archivos ZIP que contienen una estructura de directorio interna plana, con lo cual si hay algún EXE o similar, lo bloquea solo por tener esa extensión.

Por eso uno al enviar muestras, renombra el malware para que no tenga extensiones que GMail bloquea y lo ponen en un ZIP con la única contraseña que aceptan los fabricantes de AV todo el mundo: “infected”

El caso es que hoy (19/09/2013) GMail empezó a analizar el contenido del archivo ZIP incluso cifrado con contraseña “infected”. Y como ellos de alguna manera ya detectan el malware que intentaba enviar, bloquearon el envío de la muestra de malware adjunta al correo.

Mi sorpresa fue grande. Y me decidí a investigar que pasa.

Preparé con la misma muestra de malware dos ZIP con contraseña, una la usual y otro con una distinta. El resultado es el que se ve. GMail inspecciona el ZIP con contraseña “infected” y posteriormente lo bloquea en el envío.

Uno de los adjuntos cifrados fue detectado por Gmail

Al enviar se advierte del bloqueo

El correo enviado solo lleva el adjunto no detectado
Notificamos a GMail de este tema. Cualquier novedad actualizaremos esta nota.
Raúl de la redacción de Segu-Info

Google: "todos los mensajes son leídos automáticamente"

septiembre 6, 2013 § 1 comentario

La acostumbrada práctica de leer contenido de correos electrónicos de cuentas personales de Gmail para ayudarse a vender avisos publicitarios es legal, argumentaron abogados de la compañía al solicitar a un juez que deseche una demanda judicial que pugna por detener esa práctica.

En documentos judiciales presentados previamente a una audiencia prevista para el jueves en San José, California, Google alegó que “todos los usuarios de correo electrónico deben esperar inevitablemente que sus mensajes sean objeto de un proceso automatizado”.

La demanda judicial colectiva entablada en mayo, denuncia que Google “ilegalmente abre, lee y se apodera del contenido de los mensajes de correos electrónicos privados de las personas” en violación a la ley de privacidad de California y los estatutos federales de interceptación de líneas telefónicas o telegráficas. La demanda señaló que la empresa incluso intercepta los mensajes enviados a cualquiera de los 425 millones de usuarios activos de Gmail procedentes de otros servicios que no accedieron a las condiciones de la empresa.

Google ha descrito reiteradamente cómo selecciona su publicidad con base en palabras que aparecen en los mensajes de Gmail. Por ejemplo, la empresa dice que si alguien ha recibido muchos mensajes sobre fotografía y cámaras entonces despliega ese tipo de publicidad sobre un establecimiento local. Google asegura que el proceso es totalmente automatizado “y que ninguna persona lee mensajes de correo electrónico”.

“Este caso involucra al esfuerzo de demandantes de penalizar actividad ordinaria de negocios que ha sido parte del servicio gratuito de Gmail de Google desde que comenzó en el mercado hace una década”, alegaron los abogados de la empresa en su moción para desechar el caso.

“La gente cree, para bien o para mal, que sus emails son correspondencia privada, y no está sujeta a la intromisión de una corporación que mueve $180,000 millones de dólares y está a su antojo”, destacó Jamie Court, presidente de la organización de protección al consumidor Consumer Watchdog.

Fuente: bSecure

Correo de estafa enviado desde la Fundacion de Bill y Melinda Gates

septiembre 2, 2013 § 1 comentario

Ayer conversábamos con Adolfo (otro colaborador de Segu-Info) respecto de un correo de estafa (scam) que había recibido en su bandeja de entrada de GMail, algo para raro para nuestra experiencia pues GMail funciona muy bien con el filtrado. El texto del correo se veía así:

Pero inmediatamente luego de examinar en detalle el correo, Adolfo me muestra algo un poco sorprendente en el texto completo del correo, proviene de “Lynn.Olson@gatesfoundation.org”, el cual parece ser el remitente real:

Para asegurarnos verificamos los registros MX de gatesfoundation.org y el PTR de la IP de donde proviene el correo:

Ya no quedan dudas, el correo de estafa salió de una dirección y servidor de la fundación de Bill Gates y su esposa, la Bill & Melinda Gates Foundation.

Inmediatamente nos pusimos en contacto con la fundación para notificarlos del abuso. Nos sorprendió gratamente la respuesta a las pocas horas:

En su respuesta Dean Saxe, un analista senior de seguridad de la información, nos dice:.

Thank you for the notification.  We identified an account that was sending spam at approximately 3:45 PM PDT August 29, 2013, shortly thereafter we stopped the flow of spam from the account.  By 4:30 PM PDT we had identified the original phishing email received by our users and verified how the user’s credentials were compromised. The phishing site is no longer available on the Internet as of today and all copies of the original phishing email have been removed from our users’ mailboxes.

Gracias por la notificación. Identificamos una cuenta que estuvo enviando spam aproximadamente a las 3:45 PM PDT el 29 de agosto de 2013, poco después detuvimos el flujo de spam de esa cuenta. A las 4:30 PM EDT habíamos identificado el correo de phishing original recibido por nuestros usuarios y verificado como fueron comprometidas las credenciales del usuario. El sitio de phishing ya no está disponible hoy en Internet, y todas las copias del correo original de phishing fueron eliminadas de las casillas de nuestros usuarios.

A partir de ese phishing exitoso es que el delincuente usando las credenciales robadas, hizo uso ilegal del correo de ese usuario de la fundación, para sus propios fines.

Que el correo haya sido enviado desde una dirección y equipo de un usuario de la organización en cuestión explican la aparición del mismo en la bandeja de entrada de GMail, y es la táctica usada por muchos delincuentes para superar todo tipo de filtrado de correos y que lleguen a sus víctima los correos de phishing, scam y malspam (spam malicioso).

Conclusión
El caso no es técnicamente novedoso ni mucho menos elaborado, solo se destaca la institución afectada. Sirve para poner de relieve que aún organizaciones bien preparadas tecnológicamente y profesionalmente, pueden verse comprometidas por un error humano tan sencillo como el de haber sido engañados con un simple correo electrónico, un phishing.
La capacitación continua de los usuarios en temas de concientización es un elemento clave para potenciar la inversión completa en seguridad.

Raúl de la Redacción de Segu-Info

Publicado el Boletin 193 de Segu-Info – 25/08/2013

agosto 25, 2013 § Deja un comentario

En este Boletín, continuando con lo iniciado en el Boletín 184, analizamos la seguridad en entornos virtualizados con VMware, describiendo cada una de las capas que deben asegurarse.

Además, nos introducimos en un tema de máxima repercusión corporativa: la administración y seguridad de los dispositivos móviles y smartphones dentro de las organizaciones, a través de políticas de MDM (Mobile Device Management).

  1. Seguridad en ambientes VMware
  2. BYOD – Desmitificando MDM (Mobile Device Management)

A continuación se puede Leer el Boletín 193 o registrarse para recibirlo en su correo electrónico.

¿Dónde estoy?

Actualmente estás explorando la categoría correo en Seguridad Informática.