Desenmascara.me

How to verify whether a website is legitimate or not?: desenmascara.me

jueves, 28 de octubre de 2010

Ten -todavía- más cuidado con las wifis abiertas

Firesheep es un plugin de firefox creado por Eric Butler (361,264 descargas en 3 días). Fue liberado hace escasos días en la conferencia de seguridad TorCon.  Su objetivo no era otro qué hacer un llamamiento de responsabilidad a todos esos sitios web que durante años han estado ignorando la seguridad de sus aplicaciones. Entre estos sitios se encuentran: Twitter, Google, Facebook, Amazon, Windows Live, Cisco y un largo etc que siguen.

El ataque qué demuestra Firesheep es sencillo de realizar usando las herramientas adecuadas y ha estado ahí disponible durante años; owasp top ten (el nivel de dificultad ahora debería cambiar), the WASC threat classification online , tanto la comunidad de Seguridad como los cibercriminales lo sabían. El peligro que tiene ahora, es que cualquiera, sin ningún conocimiento técnico puede robar sesiones de usuario en redes wifis abiertas.

Todos los navegadores de Internet son susceptibles a esta vulnerabilidad. La mejor manera de protegernos frente a esto es no conectar a ninguna WIFI abierta y hacer login en cualquier sitio con HTTP. Sin embargo sabemos que esto a veces no es viable, por lo que si estás conectado a una WIFI abierta y necesitas hacer uso de alguna red social o servicio con HTTP, hazlo con HTTPS; por ejemplo escribe https://www.twitter.com en lugar de http://www.twitter.com.

Firefox además te lo pone fácil, para que no tengas que recordar eso cada vez, puedes hacer uso de esta extensión HTTPS everywhere. En firefox 4 esta funcionalidad ya vendrá de serie.

lunes, 11 de octubre de 2010

Como comportarse ante el robo de identidad

Hace unos meses comentaba la mala práctica de twitter de resetear contraseñas en casos legítimos de robo de cuentas. Lo cierto es que en casos de robo masivo de cuentas, no existe solución idónea, pero lo que hacía twitter era de risa.

Recientemente me he enterado de como facebook maneja este tipo de casos. Pongamos por ejemplo, Facebook ha descubierto el robo de 3000 cuentas de sus usuarios. El problema principal es de facebook, pero los demás servicios, en este caso proveedores de correo de las cuentas asociadas también están implicados indirectamente, por lo que todos deben actuar para corregir esa situación.

Los procedimientos de Facebook han mejorado hasta llegar a lo siguiente:
  1. Una vez que descubren que una cuenta ha sido comprometida. Envían un mail de notificación, pero sólo de notificación, sin enlace.
  2. La próxima vez que el usuario con la credencial robada intente hacer login en facebook, este le mostrará un mensaje indicando que su cuenta ha sido temporalmente deshabilitada. 
  3. A continuación entraran en un proceso de verificación para demostrar que ellos son los verdaderos dueños de la cuenta.
  4. Una vez que lo demuestren, facebook les indicará como crear una contraseña robusta y les mostrará consejos de seguridad.
  5.  
Esta cuestión, la de cómo resetear cuentas de usuarios que han sido comprometidas, algo que parece tan trivial, no lo és. Microsoft o Google no tenían procedimientos claros para casos así, y twitter nos demostró que sus procedimientos no son los correctos en la Industria de la Seguridad, donde siempre se le ha enseñado al usuario a desconfiar de enlaces de correos no solicitados. Esta vez Facebook ha ido un paso adelante enseñando a los grandes como actuar en casos de robo masivos de identidad, algo que por desgracia ocurreo más de lo deseado.

Otra característica de seguridad de Facebook notable, es como alguien comentaba que estando en un hotel fuera de su País, al hacer login en Facebook este le indicaba que usualmente no accedía desde esa IP y le pidio que como medida adicional identificase a alguno de sus amigos vía fotos. Nice!!

domingo, 3 de octubre de 2010

Dá lo mismo como lo hagas, te seguiremos robando

El sábado pasado (25 de Sep), David Barroso aka lostinsecurity publicaba en el blog en inglés de S21sec una nueva variante de robo de credenciales de la banca online. El caso era novedoso hasta tal punto que ésta era la primera vez que se tenía constancia de un troyano capaz de saltarse sistemas de autentificación de dos factores.

Para explicarlo de manera sencilla, un sistema de autentificación de dos factores se basa en algo que tienes + algo que sabes. Lo solemos usar a menudo en nuestra vida cotidiana, por ejemplo cuando sacamos dinero con nuestra tarjeta del banco. Necesitamos la tarjeta + PIN secreto. En la banca online el sistema de autentificación de 2 factores funciona con la combinación usual de usuario/password + código vía SMS para realizar transferencias. El uso de un canal alternativo como el móvil evitaba que en caso de que nuestras credenciales hubieran sido robadas por un virus/troyano, los malos no pudieran completar la transacción al no disponer del código vía SMS; podrían conocer nuestros datos pero no tendrían el código enviado por SMS.

La doble autentificación es un sistema de seguridad que en España lo empezó a implantar la banca online en el 2009, actualmente muchas cajas y bancos se encuentran en procesos de implantación de este sistema para asegurar las transacciones de sus clientes, pero el descubrimiento del primer troyano capáz de recoger credenciales del PC y del móvil de su víctima para poder realizar la operativa online fraudulenta dejará en entredicho la justificación de la inversión en estos sistemas de Seguridad.

Curiosamente, el descubrimiento de la nueva variante de este troyano (Zeus/zbot) ha sido reflejado en las portadas de los principales medios online, por citar algunos ejemplos:

pero apenas se vio ninguna referencia a esta noticia en ningún medio en castellano, a pesar de que este troyano se descubrió aquí y su objetivo eran únicamente entidades españolas. Posteriormente algunos sitios se fueron haciendo eco, pero muy tímidamente.

Ahora será cuando muchos CISOs y CIOs inmersos o no en la implantación de estos sistemas, se cuestionen su utilidad frente al desembolso necesario para su uso. Bien es cierto que sistemas similares como locuciones automáticas o reconocimiento de voz podrían utilizarse, pero da lo mismo la tecnología que se use. Mientras se sigan cometiendo estafas a través de una de las vías más seguras: ir al banco en persona a sacar el dinero. No importaran las medidas tecnológicas de seguridad que se implanten. Está comprobado.