Archivo de la categoría: noticias

Time-Based Web Browsing History Disclosure using HSTS & Tracking with HPKP (HTTP Public Key Pinning) Cookies

Este fin de semana ha tenido lugar la conferencia ToorCON en San Diego. En ella un investigador ha publicado un para de vulnerabilidades de lo más inteligentes que pueden utilizar los sitios web para espiar la navegación de los usuarios.

Figura 1: Abusando de HSTS para espiar la navegación de los usuarios

Ambas técnicas, aprovechando la estructura de navegación cifrada usando HTTPs, abusando en ambos casos de HSTS (HTTP Strict Transport Security) para conseguir sacar información del historial de sitios visitados y para conseguir crear una supercookie.

Time-Based Web Browsing History Disclosure using HSTS
Cuando un sitio web hace uso de HSTS, se lo notifica al navegador mediante un HTTP Header que envía al navegador en el que le informa de que a esa página web solo se puede conectar usando HTTPs, por lo que el navegador rechazará cualquier intento de conexión que se haga a ese sitio utilizando HTTP. Conocido esto, el investigador Yan Zhu hace uso de una función JavaScript que, pasada una lista de sitios web que utilizan HSTS, intenta conectarse a ellos pidiendo una imagen que no existe en el servidor web por medio de HTTP.
Figura 2: Configuración de HTTP Header de HSTS en Gmail
La conclusión es sencilla, si el sitio ha sido visitado previamente y no ha caducado el TTL – de forma natural o por un ataque vía NTP usando Delorean – que se marca en el HTTP Header de HSTS, entonces el navegador generará un error muy rápidamente y navegará vía HTTPs, ya que sabe que no puede conectarse vía HTTP a ningún recurso de ese dominio. Si por el contrario el sitio no ha sido visitado recientemente, entonces se tiene que producir la petición al servidor web del recurso solicitado para configurar HSTS y luego pedir el recursos, obteniendo un error con un tiempo de respuesta mayor.
Figura 3: Sniffly saca una lista de sitios con HSTS que puede que hayas visitado y que no
El atacante solo debe medir los tiempos de los errores para poder hacer un ataque de Time-Based Web Browsing History Disclosure basado una lista de sitios a consultar. Eso sí, esta técnica solo vale para sitios que hagan uso de HSTS. Para que lo pruebes, ha publicado una Prueba de Concepto online llamada Sniffly.
Tracking with HPKP (HTTP Plublic Key Pinning) en Google Chrome
La segunda de las vulnerabilidades se trata de una nueva supercookie que se puede crear en los navegadores Google Chrome. Ya conocemos desde algún tiempo la posibilidad de dejar una SuperCookie en los TTL de los HTTP Headers de HSTS, pero ahora el investigador hace un abuso de la implementación HPKP que no es más que la implementación de las técnicas de Certificate Pinning en Google Chrome. La idea es que HPKP permite poner un certificado distinto para cada usuario y lo que hace el ataque es generar un cadena de identificación distinta para cada uno de estos certificados.
Figura 4: Implementación de HPKP en Google Chrome. Consulta de Gmail.com
Así, cuando el cliente se conecta la primera vez, este recibe vía HPKP un certificado con un pineo de backup con un TEXT configurado. Después, cada vez que se conecta se fuerza un error y esta cadena de TEXT  e envía vía “report-uri” al servidor que se ha configurado. De esta forma tenemos una SuperCookie usando HPKP en Google Chrome.
Las dos técnicas son muy curiosas y de gran aplicación hoy en día en todos los sistemas de WebBrowsing FingerPrinting para los entornos de tracking publicitario, seguimiento de huellas digitales y scoring de riesgos, por lo que no os debe caber la menor duda que desde ya van a empezar a estar en uso de forma masiva.

mediante Un informático en el lado del mal.

Aumentarán los peligros en la Banca Móvil: Isaca

Foto: Sólo el 23% de los expertos creen que el pago móvil es seguro para proteger la información personal / ShutterStock

Rolling Meadows, (Estados Unidos).— Una encuesta realizada a más de 900 expertos en ciberseguridad  demostró que una abrumadora mayoría, el 87%, espera que las brechas en pago electrónico aumenten, aun cuando el  42% comentó haber usado este método de pago en el 2015. En el informe 2015 Mobile Payment Security Study de ISACA (asociación global en ciberseguridad), se asegura que la gente que usa el pago electrónico pocas veces se preocupa por la seguridad.

Otros datos de la encuesta revelan que profesionales en ciberseguridad están dispuestos a equilibrar los beneficios con los posibles riesgos en pagos móviles.

-Sólo el 23% cree que el pago móvil es seguro para proteger la información personal.

-Cerca de la mitad (47%) dijo que el pago electrónico no es tan confiable y el 30% no está seguro.

-El 89% opina que el efectivo es el pago más seguro, pero sólo el 9% prefiere utilizarlo.

“El pago electrónico representa la última barrera para una decisión que debe equilibrase entre la seguridad, la privacidad y la conveniencia. Los miembros de ISACA están usando el método de pago móvil y al mismo tiempo identificando los potenciales riesgos en seguridad. Esto comprueba que el miedo de identificar el robo de información no debe preocuparnos de sobremanera mientras se tengan las adecuadas actualizaciones” dijo John Pironti, CISA, CISM, CGEIT, CRISC, auditor de riesgo de ISACA y Presidente de Arquitectura IP.

Los reportes dicen que el pago sin contacto incrementará, sobre todo, el mercado de transacciones por medio del pago móvil a nivel global, incluyendo las soluciones ofrecidas por Apple Pay, Google Wallet, PayPal y Venmo, estarán valuadas en 2.8 billones de acuerdo con Future Market Insights.

Los miembros encuestados de ISACA enlistaron los principales riesgos asociados con el pago electrónico:

1.-Uso de redes inalámbricas públicas (26%)

2.-Pérdida o robo de dispositivos (21%)

3.-Phising/shmishing (ataques vía mensaje de texto) (18%)

4.-Contraseñas débiles (13%)

5.-Errores del usuario (7%)

6.-No hay vulnerabilidades en la seguridad (0.3%)

Lo más seguro

De acuerdo con los encuestados, en la actualidad la forma más eficiente y segura de pagos móviles es utilizar dos formas de autentificación en sus dispositivos (66%), seguido del requerimiento de un código de autentificación de corto plazo (18%). La opción menos popular fue otorgar la responsabilidad al consumidor a través de instalar aplicaciones de seguridad móvil (9%).

“La gente que usa el pago electrónico necesita educarse a sí misma con la finalidad de que realicen decisiones informadas. Necesitan saber sus opciones y consideren un mínimo nivel de riesgos, además de valorar su información personal. La mejor táctica es tener conciencia, adaptarse y educarse acerca de los nuevos servicios y tecnología”, comentó Christos Dimitriadis, Presidente Internacional de ISACA y Director de Seguridad de la Información de INTRALOT.

Los expertos recomiendan:

-Entender el nivel de riesgo: Pregúntate qué nivel de información personal y financiera es aceptable en el uso de pago electrónico.

-Conocer las opciones: Hay que entender las opciones disponibles de seguridad para manejar los riesgos en un nivel aceptable. Utilizar una sola contraseña debe ser obligatorio, pero también la encriptación, códigos temporales y encontrar diferentes maneras de autentificar tu identidad.

-Valorar la información personal: Estar alerta de qué información se comparte, por ejemplo el nombre, cumpleaños, nacionalidad, mail, número de teléfono. Estos datos pueden ser utilizados por hackers para ganar el acceso a algunas cuentas. Lo mejor es proveer la información necesaria para cada transacción.

Origen: Netmedia.mx | Aumentarán los peligros en la Banca Móvil: Isaca

Kubuntu se queda sin líder

Kubuntu se queda sin líder por J.Pomeyrol 23 de octubre, 2015kubuntuJonathan Riddell, líder de facto del proyecto Kubuntu y encargado de cada lanzamiento de la distribución, se retira de la primera línea, aunque “no se va lejos”. “Voy a estar ayudando más a KDE“, apunta en su mensaje de despedida.Jonathan Riddell fue forzado unos meses atrás a dejar su puesto al frente del Kubuntu Community Council por “repetidas faltas de respeto y violaciones del código de conducta”. Desde entonces la situación parece haberse torcido de manera definitiva, a pesar de que el mal rollo se venía mascando desde hacía bastante tiempo.

El principal motivo de desacuerdo entre Riddell y la mesa de Ubuntu se debía a las licencias que exige Canonical en sus paquetes, que también afectan al uso de la marca Ubuntu en proyectos asociados como pueden ser la distros que componen el abanico oficial, de las que ayer tuvimos descarga.

Sin embargo los enfrentamientos entre Riddell y la cúpula de Ubuntu vienen de antes y por diferentes motivos. Riddell se plantó ante Mir, el servidor gráfico propio de Ubuntu y pidió explicaciones acerca de las donaciones que recibe Ubuntu y que supuestamente nunca llegan al resto de distribuciones.

Y ahora Kubuntu se queda sin el tipo que ha estado a la cabeza del proyecto todo este tiempo, aunque desde hace unos años cobra su sueldo de Blue Systems, compañía desarrolladora de Netrunner y ligada al entorno KDE en varios aspectos. ¿Qué va a pasar con Kubuntu? En un principio, nada. La advertencia de que “el equipo de Kubuntu está comprometido a lanzar [Kubuntu] 15.10 en octubre“, pero “actualizaciones, correcciones y futuras versiones son inciertas actualmente” ha desaparecido de las notas de lanzamiento de la distros. Pero alguien va a tener que dar un paso al frente y hacerse cargo.

Con todo, Kubuntu es un producto lo suficientemente sólido como para permanecer, aun con cambios de calado de por medio. Como muestra, un vídeo de Kubuntu 15.10, lanzada ayer mismo