Investigador de Seguridad la semana pasada encontró un fallo de seguridad que comprometía la seguridad nuestras Cuentas en Facebook.

El hacker, Josip Franjkovic en su blog publicaba el hallazgo de una fallo de seguridad grave en facebook, la cual por mediante de un CSRF lo cual permitia asociar una cuenta de correo de manera arbitraria.

El hacker explica Para explotar esto, necesita una cuenta de Facebook, un Outlook.com (Hotmail) de correo electrónico, y una víctima. El correo electrónico de Outlook no deben estar vinculadas a su cuenta de Facebook.

El fallo de seguridad fue encontrado en exportar contacto de correo electronico, la cual al enviar la peticion realizaba un GET a:

https://m.facebook.com/contact-importer/login/?api_instance=1&api_ver=wave5&auth_token=TOKEN

Automaticamente este generaba un token.

Aqui el video de Explotacion:

Artículo original en Websecuritydev.com

Batalla por la privacidad

Por María Gabriela Ensinck  | Para LA NACION


Foto: Alma Larroca
En Trascendencia, identidad virtual, su más reciente película, Johnny Deep interpreta a un especialista en inteligencia artificial que hace un backup de su mente en una computadora..., que tras su muerte cobrará existencia autónoma y ubicua.

Sin entrar en la ciencia ficción, cada día, nuestros pensamientos, preferencias y emociones se ven reflejados en miles de posteos, fotos tageadas, tuits, likes, correos electrónicos y búsquedas online. Muchas veces no somos nosotros, sino nuestros amigos, contactos o seguidores y sus amigos, contactos y seguidores quienes suben y replican toda esa información, que circula fuera de nuestro control en la nube.

El sueño de una Internet de las cosas, en la que el televisor, la heladera y hasta la ropa que usamos estén interconectados y nos solucionen temas domésticos, como qué cocinar, o nos recomienden ofertas para comprar online, se está volviendo realidad y pesadilla.

"Hoy somos 6500 millones de habitantes, con 6500 millones de equipos conectados. En 2020 seremos 8000 millones de personas con 150 mil millones de cosas conectadas, y habrá 57 bytes de información por cada grano de arena en el mundo", profetiza Jim Reavis, especialista en Seguridad y Privacidad online y cofundador de la ONG Alianza para la Seguridad en la Nube (CSA, por sus siglas en inglés).

Con una Web cada vez más móvil y ubicua, mantener la privacidad de los datos personales se ha vuelto una utopía. Y la sensación de estar siendo espiado se convirtió en certeza, sobre todo después de que el ex técnico de la Agencia de Seguridad Nacional estadounidense (NSA) Edward Snowden revelara, en junio de 2013, cómo el gobierno de su país sigue el rastro de mandatarios, empresas e individuos a través de la Web.

EL COSTO DE LA PRIVACIDAD

Acceder a información y los servicios en Internet parece gratis, pero no lo es. A cambio de este beneficio, los usuarios entregan gran cantidad de información sobre sus necesidades, hábitos e intereses, lo que alimenta un bombardeo publicitario segmentado con cada búsqueda o mensaje online.

Hasta el momento, el modelo de negocios de Internet ha funcionado de esta manera, pero "en el futuro es probable que convivan varios esquemas, y muchos usuarios preferirán pagar para navegar en la Web a cambio de que sus datos no sean recolectados", dice Brendon Lynch, jefe oficial de privacidad de Microsoft.

Los consumidores están cada vez más preocupados por su privacidad online, según surge del informe Privacy Index, elaborado por la compañía tecnológica EMC, para el que encuestó a 15.000 usuarios de Internet en 15 países. Según este estudio, sólo un 27% de las personas está dispuesto a ceder cierto grado de privacidad a cambio de "servicios más convenientes y personalizados". Sin embargo, este porcentaje varía según el país. Mientras un 61% de los encuestados en la India dijo abiertamente que estaría dispuesto a ceder privacidad a cambio de mayor conveniencia, sólo un 36% de los alemanes opinó lo mismo. En México y Brasil (el estudio no incluye a la Argentina), ese porcentaje se acerca al 50 por ciento.

Pero a pesar de su preocupación por la privacidad, muy pocos usuarios actúan realmente en consecuencia. El 62% de los encuestados no cambia regularmente sus contraseñas, el 33% no personaliza las opciones de privacidad en las redes sociales y el 39% no usa password para bloquear sus equipos móviles. No obstante, la mayoría ha tenido malas experiencias: un 25% dice haber sufrido el hackeo de su cuenta de correo electrónico, el 18% perdió o le fue robado su teléfono móvil, y al 17% le hackearon su cuenta en las redes sociales.

Y aquí se da otra paradoja. Más de la mitad de los usuarios (60%) considera que el gobierno y las compañías proveedoras de Internet son las principales responsables de velar por la privacidad de los datos. Sin embargo, el nivel de confianza en la capacidad y ética de estas organizaciones es del 58 y 49 por ciento.

EL ENCANTO DE LO EFÍMERO

Las redes sociales fugaces como Snapchat o el aplicativo Slingshot de Facebook, que permiten enviar mensajes e imágenes con fecha de caducidad, o que se autodestruyen después de ser vistos, tienen cada vez más adeptos. En el primer caso se trata de una red social para compartir imágenes y videos, que desaparecen luego de ser vistos. En el aplicativo de Facebook, el contenido también se autodestruye, pero para poder verlo el usuario tiene que mandarle una foto o un video a su interlocutor.

También la aplicación de mensajería instantánea WhatsApp tiene su competidor más discreto. Se trata de HushHushApp, un aplicativo para chatear sin revelar el número de teléfono o correo electrónico. Todos los mensajes y archivos enviados están cifrados y se puede definir contacto a contacto quién puede ver si estamos o no conectados, o si hemos leído o no el mensaje.

Al contrario de lo que suele pensarse, los más jóvenes son quienes más se ocupan de su privacidad online. Una encuesta del Instituto de Internet de la Universidad de Oxford entre 2000 usuarios británicos reveló que el promedio de edad de quienes nunca habían comprobado su configuración de privacidad en las redes sociales es bastante alto: 43 años. Por el contrario, la edad promedio de quienes sí lo hacían es de 26. En el extremo están los adolescentes: casi el 95% de los encuestados de 14 a 17 revisan lo que comparten con su vida social y con quién, y ajustan su configuración de privacidad según la ocasión.

REPUTACIÓN ONLINE

"Información privada no es lo mismo que información secreta. Y de hecho las personas quieren compartir información, pero en un entorno controlado -destaca Lynch-. Cada persona tiene derecho a elegir con quién comparte qué información."

Foto: LA NACION / Alma Larroca

Un concepto nuevo, el de la reputación online, está cobrando cada vez más importancia para las personas. "Cada uno de nosotros crea su imagen digital, a través de opiniones en blogs, foros, tuits, fotos, videos y links que recomendamos. Otras personas pueden aportar sus comentarios, tagearnos en imágenes, y así contribuyen a moldear positiva o negativamente esta imagen", apunta Jacqueline Beauchere, responsable de Seguridad Online en Microsoft y vicepresidenta de la Alianza Nacional para la Ciberseguridad (NCSA).

"Periódicamente debemos revisar la configuración de seguridad y privacidad en nuestras redes sociales, y determinar quién puede ver nuestra información y agregar comentarios", recomienda la especialista. Es conveniente separar el perfil profesional del personal, y para esto hay redes sociales diferentes: Facebook y Flickr son más apropiadas para las cuestiones personales, y Linkedin para cuestiones profesionales y de negocios.

La imagen online es cada vez más importante para el desarrollo de una carrera. Según una investigación de Microsoft, el 79% de los empleadores en los Estados Unidos chequea información de los candidatos en Internet y las redes sociales, y no se limita a las puramente profesionales. "Muchos reclutadores consideran este tipo de información como muy relevante, y 70% ha rechazado candidatos en base a lo que encontraron online", destaca Beauchere.

Foto: LA NACION / Alma Larroca

EL DERECHO A OLVIDAR

El 12 de mayo, la Corte Suprema de Justicia Europea dictó un fallo que obliga a Google a facilitar un formulario para que ciudadanos pidan la remoción de contenidos online que los perjudican. El caso que originó el dictamen fue presentado por el comerciante español Mario Costeja González, quien recurrió al máximo tribunal luego de fracasar en las instancias inferiores con su reclamo: el buscador seguía indexando un viejo anuncio sobre una subasta de bienes que le fueron embargados por una deuda con la Seguridad Social varios años después de resuelta la cuestión.

La Corte con sede en Luxemburgo dictaminó que "si a raíz de la solicitud de la persona afectada se comprueba que la inclusión de esos enlaces es incompatible con la directiva (de protección de datos personales), la información como los enlaces que llevan a ella deben eliminarse".

El fallo encendió la controversia entre los defensores de la libertad de expresión en primer término y los que priorizan el derecho a la privacidad, y es un importante antecedente para el caso Belén Rodríguez vs. Google y Yahoo que se debate en la Corte Suprema argentina (ver entrevista en esta edición).

Tanto Google, a través de sus voceros, como el propio Jimmy Wales, creador de Wikipedia, salieron a responder que la medida facilita la censura y afecta el derecho a informarse y la libertad de expresión.

Para Ramiro Álvarez Ugarte, abogado y director de la Asociación por los Derechos Civiles (ADC), "no se debería responsabilizar a los buscadores por los contenidos erróneos o difamatorios, ya que no los producen, sino que al indexarlos se convierten en intermediarios de la información en Internet".

Si bien el fallo a favor del comerciante español sólo tiene injerencia para los ciudadanos de la Unión Europea, "sería interesante que tenga un alcance global", especula desde la otra vereda Enrique Quagliano, docente, periodista e investigador en Nuevas Tecnologías, uno de los creadores de la campaña Por el derecho al olvido en Internet.

La iniciativa surgió a causa de una entrevista que el comunicador rosarino tuvo -junto a su colega porteño Alejandro Tortolini-, en 2008, con Viktor Mayer Schönberger, abogado especialista en privacidad y protección de datos de la Universidad de Harvard y profesor en el Internet Institute de Oxford. Schönberger es el impulsor de la idea de que "las computadoras sean programadas para poder olvidar, tal como lo hacemos los humanos. La estela de información que vamos dejando a medida que nos movemos por el mundo online, nuestra huella digital, puede hoy ser rastreada y el pasado siempre está allí para condenarnos", argumenta el especialista en su libro El arte de olvidar en la era de la computación ubicua. El caso que lo llevó a él a investigar y escribir esta obra fue el de una joven madre de dos hijos que estudiaba para ser maestra y no pudo recibirse porque una foto suya en una fiesta subida a las redes sociales les pareció inapropiada a quienes debían darle el título, aun cuando ella había quitado la foto de su perfil. Pero la imagen había sido almacenada, catalogada y replicada en otros sitios, porque Internet no olvida.

PIENSO, LUEGO HAGO CLIC

Foto: LA NACION / Alma Larroca

"El primer responsable de nuestra privacidad e imagen digital somos nosotros mismos", afirma Alberto Arébalos, director de Comunicaciones de Facebook para América latina y ex director de Asuntos Públicos en Google. "Hoy nuestra vida transcurre tanto online como offline. Descuidar nuestra imagen digital por falta de tiempo es como excusarse de una mala imagen real porque estamos demasiado apurados para peinarnos o bañarnos."

Una buena práctica para cuidar la imagen digital es tipear nuestro nombre en los principales buscadores y ver qué aparece. Si lo que encontramos no se ajusta a quienes somos o cómo queremos presentarnos, esto significa que debemos trabajar en ello. "La reputación se construye y para esto debemos ocuparnos de producir y actualizar nuestro perfil online. El mal contenido se combate con buen contenido", propone Arébalos.

Pero cuidar la privacidad y la reputación online requiere de método. De nada sirve que proveedores de Internet y compañías tecnológicas inviertan millones en seguridad y protección de datos si los usuarios no configuran bien su perfil ni utilizan un buen password.

"Hoy cada persona tiene 26 cuentas -entre correos electrónicos personales y laborales, redes sociales, perfiles de usuarios en instituciones bancarias, de salud, educativas y plataformas de e-commerce, entre otras- y usa seis passwords, la mayoría variantes de una misma palabra o secuencia de números, con el riesgo muy alto de ser víctimas del robo de información", destaca Dustin Ingalls, responsable de Seguridad del sistema operativo Windows 8.

Las políticas de confidencialidad están accesibles cada vez que nos suscribimos a un sitio online o una red social. Pero son tan largas y su lenguaje tan complicado que llevaría buena parte de nuestra vida leerlas. Por eso, la mayoría de los usuarios las acepta sin mirar. Más allá de las herramientas tecnológicas para preservar nuestra información e intimidad, la más importante es la más sencilla: pensar antes de hacer clic.

OCHO CLAVES PARA SER UN BUEN CIUDADANO EN FACEBOOK

1- Respetar las pautas de edad: esta red social es para mayores de 13 años

2- No aceptar solicitudes de amistad de desconocidos

3- Configurar el perfil de seguridad (www.facebook.com/settings/?tab=privacy). Hay tres opciones: amigos, contactos de amigos y público

4- Vista previa: esta herramienta muestra la información de nuestro perfil que ven quienes no son nuestros amigos en Facebook

5- Aplicaciones y sitios: esta sección controla qué información se comparte con las compañías que crean aplicaciones para Facebook, como juegos y trivias. También controla la información de nuestro perfil que otros sitios y motores de búsqueda pueden captar. Es recomendable eliminar o desactivar las aplicaciones que no se usan

6- Bloqueados: en esta sección de configuración de seguridad se pueden bloquear personas concretas para que no interactúen o vean información de nuestro perfil

7- Informar y denunciar contenidos y conductas abusivas o inapropiadas con la opción reportar abusos

8- Tener en cuenta que nada es realmente privado en las redes sociales

Fuente: Facebook Argentina

INTERNET EN 2025

4700 millones de usuarios de la Red
75% en las economías emergentes
150 mil millones de cosas conectadas.Computadoras, heladeras, televisores, autos, ropa, casas. Todo va a estar conectado y controlado a través de Internet
Fuente: Cyberspace 2025, Microsoft Research

CÓMO CULTIVAR NUESTRA REPUTACIÓN ONLINE

Revisar qué aparece en los principales buscadores (Google, Yahoo, Bing) cuando tipeamos nuestro nombre
Separar el perfil personal del laboral o profesional (conviene utilizar redes sociales dif


erentes para cada uno)
Publicar lo positivo: conectarse, pedir recomendaciones,
Actualizar la información profesional o de carrera; tener un blog donde aportar contenido sobre nuestra especialidad o temas de interés
Pensar antes de postear comentarios, fotos y contenidos
No difamar ni ofender a otras personas. Tratar a los demás como queremos ser tratados

Artículo original en La Nacion

¿Qué es la aleatoriedad? ¿Y qué NO es?

¿Qué es la aleatoriedad? ¿Cómo podemos saber que un algo, como una secuencia, un lanzamiento de dados o un proceso es verdaderamente aleatorio? ¿Y si simplemente parece aleatorio pero no lo hemos observado con suficiente cuidado, o durante suficiente tiempo como para descubrir que hay un patrón subyacente? Dos de nuestros videoblogueros favoritos, Michael de VSauce y Derek de Veritasium han realizado este interesante crossover dedicado al azar con un par de vídeos en sus respectivos blogs: ¿Qué es la aleatoriedad? y ¿Qué NO ES la aleatoriedad?.

Las explicaciones son un interesante paseo por conceptos tan sencillos de entender como dados o monedas lanzadas al aire mostrando caras y cruces – o cayendo "de canto", lo que sucede 1 de cada 6.000 veces, según los estudiosos. Para entender por qué estos «generadores de azar» no se consideran intrínsecamente aleatorios hay que aceptar que si conociéramos con gran precisión las posiciones, fuerzas, rozamientos, elasticidad y materiales implicados podríamos calcular, con unas pocas ecuaciones, cuál sería exactamente la trayectoria del lanzamiento – al menos antes de traspasar la barrera del caos.

Pero, ¿se puede realmente controlar qué sucede en el lanzamiento de una moneda? Entre las curiosidades que explican están los robots que analizan los lanzamientos de monedas para obtener conteos precisos sobre sus probabilidades (que suelen ser 51% frente a 49%, incluso más diferentes según el tipo de monedas), e incluso brazos mecánicos pueden lanzar monedas para obtener el resultado deseado la mayor parte del tiempo. Todo depende de los dibujos de las monedas, su grosor y otros detalles. Por si te sirve saberlo: las monedas de euro aterrizan más frecuentemente de cara que de cruz si las dejas caer al suelo – de ahí que para que el lanzamiento se considere lo más equiprobable convenga atraparlas en el aire antes de que caigan.

También es genial el método para descubrir imperfecciones en los dados: basta colocarlos sobre una mesa; si es al azar nada sucede, pero si ordenas todas sus caras cuidadosamente con el número suficiente de dados, a partir de unos 10 o 15, se aprecian las imperfecciones a simple vista. Por cierto: gran excusa para comprar dados (a granel.)

El final del vídeo está dedicado a los derroteros de la búsqueda de la aleatoriedad perfecta, comenzando por Random.org, el sitio más adecuado de Internet, y siguiendo por descripciones físicas relativas a cómo se comportan las partículas a nivel cuántico. La aleatoriedad perfecta puede estar en efectos como la radioactividad, el impredecible momento en que una partícula se desintegra o se convierte en otra – lo cual se propaga con gran velocidad afectando a los objetos cotidianos a pesar de provenir del mundo subatómico, generalmente con efectos notables (qué pregunten a cierto gato qué opina al respecto).

Lo más interesante, desde mi punto de vista sigue siendo que en realidad no sabemos qué gobierna esa aleatoriedad perfecta, si es que acaso la «gobierna» algo – como decía Ian Stewart. Quizá en esos límites estamos en la misma situación que cuando hablamos de las entidades matemáticas, del funcionamiento del universo o del mundo de la información, en un equivalente a aquello de ¿Son los números una entidad real, o algo que crea nuestra mente? ¿Realmente existe el puro azar? ¿No será algo intrínsecamente predeterminado en el tejido del universo?

Publicado por Alvy # 23/Jul/2014 

Artículo original en Microsiervos

Situación extraña con TrueCrypt

Enviado por squirrel en Jue, 29/05/2014 - 10:54am

Por squirrel

Ha saltado recientemente a las noticias (por ejemplo aquí) lo que no puede denominarse como una combinación de comportamientos extraños respecto al producto de cifrado TrueCrypt. Un resumen rápido:

• Tal y como indican en su página web, el desarrollo de TrueCrypt ha finalizado.
• En esa misma página, afirman que el producto ya no es seguro, achacándolo, al igual que el fin de su desarrollo, ¡al fin del soporte por Microsoft de Windows XP!
• Han puesto en la web una nueva versión del programa (7.2) limitada a la gestión de volúmenes ya existentes: no permite crear volúmenes nuevos. También incluyen una guía para poder migrar a BitLocker de Microsoft.
• Todos los binarios de TrueCrypt anteriores a la versión 7.2 han desaparecido tanto de su web como de archive.org.
• Como guinda, la firma del ejecutable de la versión 7.2 es diferente a la empleada en los binarios anteriores, si bien parece ser también válida.

¿Web comprometida? ¿Actuación de alguna agencia de pocas letras? ¿Desarrolladores que lo quieren dejar? ¿Algo que ver con proceso para auditar el código?

Artículo original en Kriptópolis

Qué es un ataque “Man in The Middle”

5 de junio de 2014, 18:19

Como usuarios de la web nos vemos expuestos a todo tipo de amenazas, siempre que estemos conectados habrá ataques malintencionados que busquen acceder a nuestros datos aprovechándose de vulnerabilidades en las comunicaciones que establecemos día a día. Te explicamos de la manera más sencilla posible, como funciona un ataque "man in the middle" u "hombre en el medio".

Por Gabriela Gonzalez

En el mundo de la seguridad informática, un ataque "man in the middle" o si lo traducimos literalmente a "hombre en el medio", es un tipo de amenaza que se aprovecha de un intermediario. El atacante en este caso, tiene la habilidad de desviar o controlar las comunicaciones entre dos partes. Por ejemplo, si se tratase de un ataque MITM a tu correo, el perpetrador podría desviar todos los e-mails a una dirección alterna para leer o alterar toda la información antes de enviarla al destinatario correcto.

Digamos que te conectas a una red WiFi en la calle para revisar tus redes sociales y tu email tranquilamente. Un hacker malintenc

ionado puede interceptar las comunicaciones entre tu computadora o tu smartphone y la red WiFi, teniendo acceso a todo lo que haces. Si la red WiFi no está cifrada, y el atacante está cerca del rango de la conexión, se puede insertar a si mismo como "el hombre en el medio". Siempre que el atacante pueda autenticarse como los dos lados de la comunicación, tendrá todo el acceso.

Heartbleed y MITM

Ya hablamos sobre Heartbleed, y de como un enorme porcentaje de Internet se vio -y se ve- afectado. Este bug en OpenSSL hace que los ataques MITM sean aún más peligrosos. Un atacante puede encadenar un serie de ataques man-in-the-middle con un certificado robado gracias a Heartbleed, y así obtener todo tipo de datos valiosos, sin importar que el usuario tenga HTTPS activo y crea que todo su tráfico es seguro.

La mayoría de los protocolos de cifrado como SSL utilizan algún tipo de autenticación de extremo a extremo (end-to-end), específicamente para prevenir ataques MITM. Con Heartbleed se compromete la función de SSL de autenticar una o ambas partes de la comunicación a través de un certificado de seguridad confiable, dejando la puerta abierta para "el hombre en el medio". Por eso es tan peligroso.

Todo sistema de cifrado que se respete se protege contra ataques MITM requiriendo la trasmisión de la información a través de un canal seguro adicional, al cual solo se puede acceder con la llave de cifrado segura correspondiente. Si el atacante logra acceder a esa llave, puede comenzar un ataque MITM.

Cómo protegerte de un ataque MITM

Es gracioso que la mayoría de las grandes webs, incluso el correo de Gmail apenas comenzara a cifrar sus comunicaciones este mismo año. Durante todo el tiempo anterior de vida de la aplicación, nuestros correos viajaban prácticamente desnudos. Hay algunas medidas que podemos tomar para protegernos de los ataques MITM, no son infalibles, pero mejoran nuestras posibilidades.

Usa siempre HTTPS: muchos sitios web ofrecen desde hace tiempo comunicaciones cifradas a través de SSL, siempre que visites una página asegúrate de que la dirección muestre HTTPS en lugar de HTTP, y si no lo hace, escríbelo manualmente. Esto no te protege de vulnerabilidades del lado del cliente, y de sitios que no han aplicado el parche a Heartbleed si fueron afectados, pero al menos evita que que los ataques menos sofisticados intercepten tus comunicaciones.

Activar la verificación de dos pasos: muchos servicios han comenzado a ofrecer verificación de dos factores en sus servicios para aumentar la seguridad del acceso a las cuentas de usuario. Siempre que el mecanismo de verificación de los dos factores sea suficientemente fuerte, esta es otra linea de defensa contra atacantes.

Usar una red VPN: de esta manera la conexión se cifra entre un cliente VPN y un servidor VPN, estableciéndose a través de un túnel de comunicación seguro.

Artículo original en Bitelia

Algunas recomendaciones críticas sobre el fallo de OpenSSL (Heartbleed)

Enviado por Fernando Acero en Mar, 22/04/2014 - 2:50pm

Parece que la comunidad de software libre en particular, y los usuarios de Internet en general, no ganan para sustos y preocupaciones en los últimos días. A fecha de hoy han aparecido problemas en la práctica totalidad de las tecnologías que se usan para hacer que las conexiones sean seguras en Internet y en especial, GnuTLS y OpenSSL. Pero también debemos recordar que hace unos años también hubo serios problemas de seguridad con SSH.

Como ya se ha escrito y hablado mucho sobre el fallo de OpenSSL y llego un poco tarde con mi artículo, solamente resumiré e intentaré aclarar algunas cosas y en la medida de lo posible, aprovecharé para actualizar algo la situación y recomendar algunas acciones prácticas.


Un poco de lo que sabemos

En relación al fallo de OpenSSL sabemos, entre otras cosas, lo siguiente:

a) Es un fallo que lleva algo más de dos años en el código de OpenSSL y convierte inseguras desde la versión 1.0.1 a la 1.0.1f, siendo la versión 1.0.1g, la que resuelve el problema en este momento. Por ser un programa ampliamente utilizado para asegurar las conexiones en Internet, ha afectado a una gran cantidad de servidores y conexiones seguras de todo tipo. Entre los servidores que han podido estar afectados, se han incluido en algunas listas los de Google, Yahoo, Facebook o Twitter, etc. Pero dada la marcada polémica suscitada con la publicación de las listas de servidores afectados y pensando en lo que nos puede pasar en el peor de los casos, lo más razonable es pensar que cualquier servidor ha sido afectado, incluido el de nuestro banco y tomar a la mayor brevedad las medidas que recomendaré más adelante.

b) Este fallo permite obtener todo el contenido de la memoria de un servidor en bloques de 64 kB y ello incluye, entre otras cosas jugosas, las claves privadas usadas para identificar el servidor y asegurar las conexiones SSL. Una vez obtenidas, es posible suplantar dicho servidor y actuar como MitM. Pero como he adelantado en la primera frase de este párrafo, también se puede extraer cualquier otra información que esté siendo procesada en el servidor en ese momento. Eso incluye los datos personales de los usuarios, o sus claves de acceso al servidor. Asimismo, es importante saber, que si un servidor afectado ha sido atacado explotando este fallo en SSL, puede que no quede ningún rastro en el mismo que demuestre que ello ha sido así.

Si tenemos en cuenta lo que hemos dicho en el punto anterior y lo que hemos dicho en este, es posible que algunos responsables de servidores que fueron afectados por el fallo, no lo reconozcan abiertamente por problemas de reputación, o simplemente, aunque estuvieron afectados y es un hecho evidente para ellos por la versión de OpenSSL que utilizaban, desconocen si han sido atacados, o las consecuencias del ataque, por lo que no alertan a sus usuarios. Por lo tanto, mi recomendación en este caso, es ponerse siempre en el peor caso posible y actuar en consecuencia.

c) Aunque el fallo afecta principalmente a servidores y conexiones VPN (Redes Privadas Virtuales), lo que incluye infinidad de servicios en la nube, también puede afectar a otros dispositivos de nuestro entorno que pueden usar OpenSSL para asegurar ciertas conexiones. Por ejemplo: smartphones, puntos de acceso WIFI, tablets, routers ADSL, switches configurables, Smart TV's, receptores de satélite, reproductores multimedia o dispositivos de almacenamiento masivo (NAS) con conexión a Internet, etc.

Recordemos que Android se basa en el kernel de Linux y que tanto Android como Linux, están disponibles en varios miles de millones de dispositivos en este momento. Sin embargo, en muchas ocasiones, como meros usuarios de la tecnología, no somos conscientes del software que usa realmente nuestro flamante dispositivo.

Aprovecho para traer a estas líneas, algo que ya se está comentando con cierta preocupación en algunos foros. La llegada del Internet de las cosas provocará que este problema se multiplique de forma exponencial y más, si los fabricantes de hardware no se conciencian de que la seguridad de sus dispositivos debe estar en el ciclo de vida de los mismos como una de sus prioridades fundamentales. El problema para los fabricantes que opten por fabricar equipos que exploten las enormes posibilidades del Internet de las cosas, es que el ciclo de vida para muchos de estos dispositivos de uso común puede ser extremadamente largo en relación a los ciclos de vida del software.

d) Aunque Robin Seggelmann, el desarrollador que introdujo el error en 2012, ha declarado y en varias ocasiones, que no lo hizo de forma deliberada y que la NSA no estaba detrás del fallo, posteriormente, la agencia de noticias Bloomberg ha anunciado que la NSA conocía el fallo desde sus orígenes y que lo estaba explotando activamente. Como no podía ser de otro modo, la NSA ha negado posteriormente que esa noticia fuera cierta, por lo que cada uno puede pensar lo que quiera al respecto.

e) Aunque todos los expertos en seguridad coinciden al decir que el error es muy grave y que Bruce Schneier incluso ha llegado a decir textualmente lo siguiente:"Catastrophic is the right word. On the scale of 1 to 10, this is an 11", lo cierto es que el NIST ha clasificado esta vulnerabilidad como de riesgo medio CVSS v2 Base Score: 5.0 (MEDIUM) (AV:N/AC:L/AU:N/C:P/I:N/A:N), lo que puede llevar a cierta polémica.

f) Después de descubrirse el fallo, aparecieron una serie de noticias relacionadas con la explotación del mismo, como la relacionada con el joven canadiense arrestado por usar dicha vulnerabilidad de forma efectiva con los servidores de Canada Revenue Agency (CRA) o la relacionada con la explotación con éxito de la vulnerabilidad contra los servidores de Yahoo mail. Pero ¿cómo se han podido detectar este tipo de ataques, cuando decimos que no deja rastro en un servidor?. Evidentemente al mismo tiempo que han aparecido los programas que explotan el problema, también han aparecido las contramedidas especializadas para detectarlo y minimizarlo. Por lo que si alguien usa algún exploit relacionado con HeartBleed contra un servidor, debe saber que puede ser cazado en el intento y que igualmente, puede tener que responder por ello.

También se ha comentado, en base a un ataque realizado con éxito poco después de desvelarse la vulnerabilidad, que para explotarla con éxito era necesario que los servidores hubieran sido arrancados inmediatamente antes del ataque, lo que es improbable que ocurra en un sistema en producción. Pero desde mi punto de vista, lo único que se logra si ataca un servidor cuando acaba de ser arrancado, es facilitar la localización en la memoria de la información relevante para el atacante, por ejemplo, la posición en memoria de los certificados digitales del servidor. Si algo está en la memoria del servidor, dadas las características del fallo y con independencia del momento en el que se realice el ataque, siempre estará disponible para un eventual atacante que tenga paciencia para localizarla.

Más recientemente se ha usado dicha vulnerabilidad para saltarse la seguridad de Redes Privadas Virtuales, lo que abre una nueva y preocupante dimensión al problema de Heartbleed.

También se ha comentado algo que es muy preocupante para muchos usuarios de la Red Tor, la existencia de nodos de dicha Red, teóricamente segura, que eran vulnerables a Heartbleed. Dicho descubrimiento ha provocado que los responsables de la Red Tor, comiencen a rechazarlos mediante la creación de una "black list" de los mismos. Sin embargo, ¿cómo se puede tener la seguridad en una red abierta, como es el caso de Tor, de que los nodos que estamos usando en determinado momento no están afectados?. ¿Quién garantiza que en un momento determinado no se introduzca de forma maliciosa un nodo vulnerable en la Red Tor con el objeto de monitorizar el tráfico e la Red Tor?. Ante esta situación, hay algunos que aconsejan alejarse de la Red Tor, o incluso de Internet, durante un tiempo, si es que se necesita de privacidad.

g) El que no se haya actualizado al día de la fecha está en grave riesgo y va con tiempo negativo. En este momento no paran de salir a la luz pruebas de concepto (PoC) y exploits relacionados con esta grave vulnerabilidad del OpenSSL. Esto hace que el riesgo crezca de forma exponencial con el tiempo para los más retrasados. Como están las cosas, un eventual atacante, incluso con pocos conocimientos sobre el tema, dispone de todo lo necesario para tener éxito en un ataque:

1.     Sabe que existe una vulnerabilidad.
2.     Dispone de herramientas para saber si una determinada página es vulnerable.
3.     Dispone de software para atacar de forma efectiva un servidor vulnerable.

Qué podemos hacer

Las acciones a tomar para protegernos dependerá
n de si tenemos un servidor, somos clientes de un servidor seguro (https), o si tenemos hardware afectado, por lo que revisaremos cada caso de forma individual.

a) Si tenemos un servidor seguro, las acciones son cuatro y han de ser inmediatas:

    Revocar nuestros certificados digitales del servidor.
    Instalar la nueva versión de OpenSSL, la 1.0.1g o superior.
    Solicitar e instalar nuevos certificados digitales.
    Solicitar a todos los usuarios del servidor que cambien sus contraseñas lo antes posible.

b) Si somos usuarios o clientes de servidores seguros, lo que me atrevo a decir que somos todos los que usamos Internet, la acción es única y también ha de ser inmediata. No es otra que cambiar todas las contraseñas que usamos normalmente para conectarnos a servidores seguros a través de Internet. Por ejemplo: redes sociales, correo electrónico, servicios bancarios, administración electrónica, etc.

Los usuarios también deben tener en cuenta dos cosas en relación a la actualización de sus contraseñas:

1.     Si quieren saber si un determinado servicio está afectado en la actualidad, pueden usar esta página de McAfee para comprobarlo. Evidentemente si el servidor todavía está afectado, no tiene mucho sentido cambiar nuestra contraseña, por lo que en este caso lo que debemos hacer es enviar un correo a su administrador indicándole que su página es vulnerable y no conectarnos a dicha página, ni cambiar nuestra contraseña, hasta que no lo solucionen adecuadamente. Si usamos nuestras contraseñas, o intentamos actualizar nuestras contraseñas en este momento sobre un servidor que todavía no ha sido actualizado, lo más probable es que sean robadas sin remedio.
2.     Si recibimos un correo electrónico indicando que debemos cambiar nuestras contraseña en determinado servicio (red social, banco, etc) y dicho correo viene con un enlace, debemos desconfiar y no usar dicho enlace para cambiar nuestras contraseñas. Lo más probable es que sea un ataque de phishing que usa una URL falsa y su intención es robarnos limpiamente la contraseña que introduzcamos. Si queremos conectarnos a una página segura o cambiar nuestras contraseñas de acceso a las mismas, lo que debemos hacer siempre es acceder directamente a la página escribiendo la URL (https) en el navegador. No debemos usar nunca un enlace recibido mediante un correo electrónico, aunque nos parezca legítimo y la página a la que accedemos a través de él nos parezca la correcta primera vista.
3.     También es muy sano, tras conectarnos a una web segura (https), que antes de introducir nuestras credenciales, es decir, nuestro nombre de usuario y contraseña, que comprobemos el certificado digital de dicha página, para ver que se corresponde con la página que esperamos y que es válido.

c) Si tenemos hardware que pueda estar afectado, el problema se complica y mucho por dos motivos principalmente. El primero, es que es difícil saber, sin la ayuda del fabricante del mismo, si nuestro hardware es vulnerable ante un determinado problema de seguridad, como es el caso del OpenSSL. El segundo, es que siempre dependemos para su actualización de nuestro smartphone, tablet, router, etc, y en la mayoría de los casos de forma secuencial en el tiempo, del fabricante del software origen del problema, en este caso OpenSSL, del fabricante del software que lo integra, por ejemplo Google, del fabricante del hardware que lo usa, por ejemplo Samsung, o incluso, del proveedor de servicios de Internet que lo comercializa (por ejemplo, una compañía telefónica, que en ocasiones personalizan el software). Esta absurda cadena alarga los tiempos de actualización de los dispositivos más de lo necesario y hace que una vulnerabilidad, por pequeña que sea, se pueda convertir en una pesadilla para los usuarios, en especial si afecta, como es el caso, a su información sensible, o le provoca molestas denegaciones de servicio.

En estos casos debemos hacer lo siguiente:

    Consultar al fabricante del dispositivo, o al proveedor de servicios de Internet que lo comercializa, sobre el problema y preguntarle si hay disponible una actualización de seguridad para el mismo en ese momento.
    Si la hay y está disponible para nosotros, instalarla lo antes posible y siguiendo las indicaciones del fabricante del dispositivo.
    Si no está disponible, consultar al fabricante o al proveedor de servicios de Internet que lo comercializa, sobre la forma de protegernos hasta que esté disponible la actualización que corrija el problema.

Tanto Microsoft como Apple han manifestado que tanto los dispositivos basados en Windows Mobile, como en iOS y OSx, así como sus servicios web, no están afectados por el problema del OpenSSL.

En el caso de Android, los móviles más vulnerables al fallo de OpenSSL son los que tienen versiones 4.1 de este sistema operativo, aunque también es cierto, que algunas versiones de Android 2.4 Jelly Bean, que han sido personalizadas por fabricantes u operadores, también pueden ser vulnerables.

Incluso móviles que se han actualizado recientemente a Android KitKat 4.4 pueden estar afectadas por este fallo, por usar versiones de OpenSSL tan antiguas como la 1.0.1e. Sin embargo, aunque tengan instalado un OpenSSL afectado en un dispositivo Android, la posibilidad de explotación del fallo también depende de la configuración del móvil, por lo que lo mejor es usar la aplicación indicada anteriormente para comprobarlo.

De todos modos, si nuestro smartphone está afectado por el fallo, lo más recomendable es no usarlo para realizar conexiones seguras, o manejar información sensible, hasta que dispongamos de una actualización adecuada, lo que puede tardar bastante, si además de Google, dependemos del fabricante y/o del operador para hacerlo.

Existen algunas opciones para saber si nuestro smartphone está afectado por problemas con el SSL o con el TLS:

a) Apple (fallo en el TLS por goto fail).
b) Aplicación Android para comprobar el fallo de OpenSSL.

Pero esta seguridad en relación a los sistemas operativos de los smartphones es relativa. Aunque nuestro smartphone no se vea afectado por el problema de OpenSSL y esto es no nos garantiza que no se haya utilizado para acceder a un servidor vulnerable. Por lo que debemos estar atentos a todas las actualizaciones de aplicaciones que se produzcan estos días en relación a este fallo de seguridad y si sabemos que una aplicación móvil ha sido afectada, ya sea por usar la librería afectada internamente, o por conectar con un servidor afectado, no debemos utilizarla hasta que se actualice la aplicación y/o el servidor del servicio y cuando todo esté en orden, deberemos cambiar la contraseña de acceso a dicho servicio lo antes posible.


aplicable de forma indistinta a dispositivos Android, iOS, o Windows Mobile, eso



"Copyleft Fernando Acero Martín. Se permite la copia textual, la traducción y la distribución de este artículo entero en cualquier medio, a condición de que este aviso sea conservado. Se permite la cita. El autor no reclamará ninguna cantidad por el ejercicio de las dos autorizaciones anteriores. No autorizo a ninguna Entidad de Derechos de Autor a reclamar cantidad alguna en mi nombre."

Artículo original en Kriptópolis

Un estudio indica que el prometedor grafeno no lo es tanto con el medioambiente

29 de abril de 2014 | 19:01 CET

No paramos de oír hablar del grafeno como ese material revolucionario que podría provocar saltos cualitativos en campos como la telefonía, las redes WiFi, las baterías o la fotografía. Sin embargo, puede que no todo sea de color de rosa en el futuro de este singular componente.

Un estudio realizado por el Bourns College of Engineering de la Universidad de California en Riverside ha revelado que este material podría tener efectos nocivos en el medioambiente, en lo que se ha considerado como uno de los pocos informes relativos al impacto del grafeno en nuestras vidas.

El estudio destaca especialmente la estabilidad del grafeno en aguas subterráneas comparándola con su estabilidad en aguas superficiales, y se detectó que las nanopartículas son más móviles en aguas como las presentes en los lagos, y eso podría provocar daños medioambientales.

De hecho, el estudio, publicado en Environmental Engineering Science, destaca que otros estudios también revelan que el grafeno podría ser potencialmente tóxico para los humanos, algo que como indican en Gizmodo podría hacer que aún no sea demasiado recomendable insertarlo en nuestro cuerpo como una de las posibilidades del futuro.

Vía | Gizmodo
Más información | UCR Today | Mary Ann Liebert

Artículo original en Xataka

Este cable USB puede cargar tu smartphone en la mitad de tiempo

29 de abril de 2014, 13:53

Una startup de Sillicon Valley ha ideado un cable USB que permite acelerar la carga de dispositivos únicamente activando un interruptor.

Por Rafael Moreno

Temas: Hardware

Más de: KICKSTARTER, LIGHTNING, USB

La recarga de dispositivos a lo largo del día es una de las prácticas más comunes entre los smartphones. Para acelerar esta recarga, una startup californiana ha creado una campaña en Kickstarter para financiar la fabricación de un cable USB que cargará nuestros dispositivos en la mitad de tiempo.

"DouBBle Time es compatible con aquellos terminales que utilicen Lightning o micro USB"

Siempre que lleves un ordenador portátil o si tu coche lo permite, podrás cargar tu terminal mientras realizas otras acciones. Pero estas cargas suelen demorarse demasiado debido a que el cable USB tradicional realiza la transferencia de energía en doble sentido de manera predeterminada, principalmente para poder sincronizar contenidos entre el terminal y el ordenador. Con DouBBle Time, podrás decidir si activar o desactivar esta transferencia bidireccional, consiguiendo un incremento de hasta el doble de velocidad de carga si se desactiva.

DouBBle Time está disponible desde $15 y se empezará a enviar a partir de Julio de este año. Es compatible con los dispositivos de Apple que utilicen Lightning y con los terminales que utilicen micro USB, como pueden ser Samsung, HTC o Nokia.

Artículo original en Alt1040