Twitter también implementará Perfect Forward Secrecy (PFS)

noviembre 25, 2013 § Deja un comentario

El protocolo es recomendado por la Electronic Frontier Foundation y en Twitter ya adelantaron que ralentizará un poco el servicio.

En vista de las recientes revelaciones del espionaje de las agencias de seguridad norteamericanas sobre prácticamente casi toda la industria tecnológica, Twitter anunció que su servicio cambiará sus estándares de cifrado utilizando un nuevo protocolo de seguridad.

Este protocolo, recomendado por muchos expertos en el área como la EFF (Electronic Frontier Foundation), es conocido como Perfect Forward Secrecy.

La EFF explica el funcionamiento de la siguiente forma: Con el cifrado estándar HTTPS la llave (o clave) para desencriptar la información está almacenada en el servidor, lo que significa que una agencia de seguridad como la NSA puede capturar toda la información y simplemente esperar hasta que llegue el día que obtenga la llave para descifrar toda esta información.

Sin embargo, el protocolo Perfect Forward Secrecy (que se implementaría encima de HTPPS) consistiría en el fondo en generar una llave nueva para cada interacción, esperando así prevenir la captura pasiva de datos de la NSA.

El nuevo protocolo requerirá una arquitectura de servidores un poco más compleja, lo que dará como resultado un servicio quizá un poco más lento, pero Twitter cree que esta seguridad extra valdrá completamente la pena. Al fin y al cabo, aseguraron que debería ser un estándar y ya fue implementado por Google y Facebook.

Fuente: FayerWayer

Facebook permite ver la lista de amigos "privada"

noviembre 25, 2013 § Deja un comentario

Irene Abezgauz, un investigador de seguridad del Centro de investigación de Quotium ha encontrado una vulnerabilidad en Facebook que permite ver la lista de amigos de los usuarios, aunque el usuario haya establecido esa información como privada.

El exploit abusa de la función de “Personas que tal vez conozcas” en Facebook, que sugiere nuevos amigosen base a conexiones mutuas y otros criterios como la educación o el trabajo.

¡Este hack es muy sencillo! Lo que se tendría que hacer es crear un perfil falso de Facebook y luego enviar una solicitud de amistad a su objetivo. Incluso si el usuario objetivo nunca acepta la solicitud, el atacante puede ver la lista de amigos de esa persona a través de la función de “gente que tal vez conozcas“.

Facebook dice que “un atacante no tienen forma de saber si los amigos sugeridos representan o no la lista completa del usuario. Puede ver cientos de sugerencias y no saber cuales son los reales, sólo es un 80%”.
Por el momento, Facebook no ha reconocido el hallazgo. Entonces, ¿para qué establecer dicha lista como privada?

Fuente: HackerNews

Mirá qué fácil es conocer tu intimidad gracias a las redes sociales

noviembre 22, 2013 § Deja un comentario

Desde hace un par de meses, todas las semanas se destapa un nuevo escándalo de espionaje o atentados contra la privacidad en Internet. Nadie niega que esos hechos no sean graves y demanden una atención especial por parte de las autoridades. Sin embargo, no hace falta tender una red de espionaje para exponer la baja importancia que los usuarios de las redes sociales le dan a su privacidad.

Para dejar en claro este punto, el humorista estadounidense Jack Vale realizó un social media experiment (un experimento en base a redes sociales) para ver qué tanto podía averiguar de la gente que estaba a su alrededor a partir de sus perfiles públicos en las principales redes sociales.

Usando los sistemas de geolocalización que proveen Twitter, Google, Facebook e Instagram (y que muchos usuarios activan sin pensarlo dos veces), Vale buscó las publicaciones reciente más cercanas a su ubicación y empezó a indagar en sus perfiles públicos dentro de estas redes. Una vez recopilados algunos datos, abordaba a los extraños llamándolos por su nombre. Cuando estos reaccionaban sorprendidos, les contaba algunos datos personales, como la fecha de su cumpleaños, el nombre de la persona que lo acompaña o el de su mascota.

Frente a la sorpresa, el humorista insiste en aportar más datos que profundizan la incomodidad de los entrevistados. Cuando la situación se vuelve insostenible, Vale les explica la situación y todo termina en una risa relajada.

El objetivo de este experimento, que fue filmado con cámaras ocultas, era mostrar la cantidad de información privada que muchos usuarios publican en las redes sociales en forma abierta sin pernsarlo dos veces, y cómo reaccionan los usuarios frente a esto. Si bien el video está en inglés, se puede comprender fácilmente la sorpresa de los entrevistados cuando son abordados por Vale.

Fuente: La Nación

FBStalker y GeoStalker, herramientas para analizar tu vida privada

noviembre 18, 2013 § Deja un comentario

Yo sé qué si estáis leyendo esta entrada en este blog teneis en especial consideración la seguridad informática y sois extremadamente cuidadosos con la configuración de la privacidad de vuestras cuentas como la de Facebook… pero has de saber que sólo necesitas tener un amigo “descuidado” para abrir el camino hacia una gran cantidad de información sobre tu vida privada.

Con FBStalker y GeoStalker, herramientas de inteligencia de código abierto (OSINT) para minería de datos, se facilita mucho este proceso y, como comentamos, es posible aprovecharse de uno sólo de tus amigos imprudentes para conseguir tener mucha información sensible y un auténtico esquema de tu vida personal.

Estas herramientas fueron presentadas (PDF) por Keith Lee y Jonathan Werrett de SpidersLabs en la última conferencia Hack in the Box en Kuala Lumpur. Ambos demostraron cómo utilizar Facebook Graph con otras fuentes como LinkedIn, Flickr, Instagram y Twitter para recolectar información sobre una objetivo, como lugares y sitios web visitados con regularidad, el trabajo, la escuela o los amigos on-line y mostrar los datos en Google Maps.

En nuestro ejemplo lo probaremos en Kali Linux (32 bit). Para ello, empezaremos instalando Chrome y su driver correspondiente:

wget http://95.31.35.30/chrome/pool/main/g/google-chrome-stable/google-chrome-stable_27.0.1453.93-r200836_i386.deb
dpkg -i google-chrome-stable_27.0.1453.93-r200836_i386.deb

Continuar leyendo en fuente original HackPlayers

TinfoLeak, Information Gathering en Twitter

noviembre 2, 2013 § 1 comentario

Hoy en día con el Information Gathering [PDF] podemos hacer diversas tareas, entre ellas, recabar información pública de objetivos en una auditoría, saber que software está detrás de que plataforma, identificar vulnerabilidades mediante escáneres pasivos etc…

La herramienta que vengo a enseñar hoy es TinfoLeak, esta herramienta está desarrollada por el líder del capítulo español de OWASP, Vicente Aguilera.

La herramienta tiene las siguientes características:

  • basic information about a Twitter user (name, picture, location, followers, etc.)
  • devices and operating systems used by the Twitter user
  • applications and social networks used by the Twitter user
  • place and geolocation coordinates to generate a tracking map of locations visited
  • hashtags used by the Twitter user and when are used (date and time)
  • user mentions by the the Twitter user and when are occurred (date and time)
  • topics used by the Twitter user

El uso es muy sencillo, como dependencia tendréis que instalar Tweepy, se puede instalar mediante pip:

pip install tweepy y listo!

Antes de poder usar la aplicación deberemos de darnos de alta como developers en Twitter, ya que nos dará datos que necesitamos rellenar en el script para que funcione.

Nos clonamos el proyecto de GitHub.

git clone https://github.com/vaguileradiaz/tinfoleak.git

Una vez clonado editamos nuestro script en python con el editor.

Fuente: DaronJAR

Facebook genera cien causas mensuales por delitos

octubre 30, 2013 § Deja un comentario

Van desde acoso sexual, pedofilia y robo de identidad, a fiestas clandestinas. En la Argentina existen más de 25 millones de cuentas. La convocatoria a una picada masiva, que terminó con un muerto, abrió el debate.

La red social Facebook causa impacto en Argentina, donde tiene más de 25 millones de cuentas, una cifra record en relación a la cantidad total de habitantes.

En el intercambio constante de información se producen delitos de manera cotidiana, y las denuncias ya suman 100 expedientes mensuales sólo en Capital Federal y el Gran Buenos Aires, que se vinculan a causas por acoso sexual, pedofilia y robos de identidad, pero también organización de fiestas clandestinas, picadas callejeras y hasta robos.

El dato estadístico judicial fue aportado por el abogado Javier Miglino, especialista en delitos informáticos, indicando que “el dramático caso en Rosario, con una carrera de autos ilegal que terminó con una persona fallecida, es paradigmático de esta tendencia, ya que la justicia de aquella ciudad santafesina comenzó a investigar los perfiles de Facebook de los asistentes”.

De acuerdo a lo que trascendió, se trató de una masiva picada ilegal que fue convocada a través de Facebook y donde perdió la vida Juan Marcelo Carballo, de 20 años.

Promueven debate
“Tenemos que comenzar a discutir estos temas con delitos que se inician, tienen su origen, en la red social Facebook. Cada día se producen al menos tres hechos de carácter delictivo que comenzaron en la red, precisamente en Facebook y que terminan en la justicia por denuncias de los afectados o por actuaciones de oficio”, dijo Miglino.

En relación con el caso registrado en Rosario, se conoció que la reunión ilegal de automovilistas tuvo su génesis en un perfil llamado “Sin picódromos seguirán las picadas ilegales”, en el que interactúan los amantes de las carreras ilegales.

“Esta página tiene más de 8.700 seguidores y no para de crecer. Mientras tanto, la justicia investiga como la red social permite este tipo de actividades, claramente fuera de todo encuadre legal, y no da de baja de manera automática ese tipo de perfiles que causan tragedias”, dijo Miglino.

“Todo tipo de abusos”
Para el especialista, “el problema es que Facebook permite todo tipo de abusos que en algunos casos constituyen graves delitos como la pedofilia, con casos de abuso sexual de menores, la captación de personas para la prostitución, bajo las formas de reducción a servidumbre o incluso la trata de personas”.

Pero los delitos que surgen en la red social más importante del mundo son aún más. “Tenemos casos de corrupción de menores, difamación, con injurias y calumnias, hechos graves de ciberbullying, acoso, amenazas, hostigamiento, robo de identidad y otras”, dijo Miglino.

La mayoría, en Capital

De acuerdo al relevamiento realizado por el especialista, sólo la justicia de la Ciudad de Buenos Aires recibe 40 casos mensualmente, mientras que los departamentos judiciales de San Isidro suman 10, La Matanza 10, Lomas de Zamora 5, Quilmes 5, Dolores 5, San Martín 10, Morón 5 y otros departamentos judiciales 10.

“Todo este combo de expedientes que llevan la marca Facebook en sus páginas suma al menos 100 causas mensuales”, completó Miglino.

Fuente: Diario Popular

Vulnerabilidad en Twitter permite subir archivos a su servidor

octubre 30, 2013 § Deja un comentario

El experto de seguridad de Q-CERT Ebrahim Hegazy ha encontrado una vulnerabilidad grave en Twitter que permite a un atacante subir archivos de cualquier extensión, incluyendo PHP.

Cuando una aplicación no valida o valida incorrectamente los tipos de archivo antes de subirlos al sistema, se permite a un atacante cargar y ejecutar código arbitrario en el sistema destino.

Según Ebrahim, cuando un desarrollador crea una nueva aplicación para Twitter es decir, dev.twitter.com tienen una opción para subir una imagen para esa aplicación. Durante la carga de la imagen, el servidor de Twitter valida que los archivos subidos sólo sean de determinadas extensiones de imagen, como PNG, JPG y otras extensiones.

Pero en una prueba de concepto (video) demostró que una vulnerabilidad permite eludir esta validación de seguridad y un atacante puede subir con éxito cualquier tipo de archivo como “.htaccess” o “*.PHP”, al servidor de imágenes twimg.com.
Twimg.com trabaja como un CDN (red de distribución de contenido) lo que significa que cada vez que atacante carga un archivo, estará alojándolo en un servidor twimg.com.

Si bien los CDN generalmente no permiten ejecución de comandos, la vulnerabilidad podría utilizarse para crear un servidor de botnet o para hosting de malware.

Twitter por ahora no tiene un programa de recompensas pero reconoció la importancia de la vulnerabilidad y añadió el nombre del autor a su salón de la fama. Ebrahim Hegazy además reveló que también ha encontrado una redirección abierta en Twitter, que ha sido solucionado el 15 de septiembre pasado.

Fuente: HackerNews

¿Dónde estoy?

Actualmente estás explorando la categoría redes sociales en Seguridad Informática.