24/10/2014

Google Security Key, la solución "física" al robo de contraseñas

Google ha anunciado una mejora de su sistema de verificación en dos pasos añadiendo soporte para el protocolo Universal 2nd Factor (U2F) de la FIDO Alliance.

Como sabes, hace tiempo que Google comenzó a ofrecer un sistema de autenticación de dos factores para proteger accesos no autorizados a cuentas de usuario, incluso en robos de contraseña, algo como sabes a la orden del día. Su funcionamiento es sencillo. Google envía a tu teléfono móvil un código que debes introducir junto a tu password para aumentar la seguridad.

Google Security Key hace los mismo pero mediante una llave física que se conecta a un puerto USB, se pulsa un botón dedicado que incluye para introducir la contraseña y loguearse de forma segura en el navegador Chrome y para todos los servicios Google.

Google asegura que la firma criptográfica usada en el protocolo Universal 2nd Factor (U2F) de FIDO Alliance no puede ser duplicada y que el sistema "sólo funciona después de verificar que el sitio en el que se ingresó es realmente un sitio de Google, no uno falso que pretende ser Google".

Esto permite usar la autenticación de dos factores para usuarios que no pueden usar smartphones para esto o que simplemente no quieran almacenar esta información en el terminal. Otras compañías como Microsoft, PayPal y Alibaba apuntan al uso de estos sistemas de seguridad basados en llaves físicas FIDO U2F para aumentar ka seguridad. ¿Habrá solución al robo de contraseñas?

Fuente: Muy Seguridad

Malware #CryptoWall distribuido por Malvertising desde sitios argentinos

El sitio Noticias Argentinas (http://noticiasargentinas.com) fue una de las víctimas de una campaña de Malvertising, mediante la cual se distribuye malware a los sistemas de los usuarios que ingresan al sitio.

¿Qué es Malversting?

Son campañas de malware distribuídos desde sitios web legitimos utilizando como plataforma de infección publicidades online maliciosas.

¿Es necesario hacer click en la publicidad para infectarse?

No, no es necesario en todos los casos ingresar a la publicidad para infectarse porque mediante la técnica "drive by download" se puede infectar el equipo con solo visitar el sitio web que contiene la publicidad maliciosa.
Mediante esta técnica y la explotación de vulnerabilidades en las aplicaciones instaladas por el usuario, es posible descargar y ejecutar archivos al equipo del usuario, independientemente del sistema operativo y sin que el mismo se percate de lo sucedido.

¿Cómo se produce la infección?

La infeccion, sin necesidad de hacer click en la publicidad online, puede producirse, por ejemplo mediante el uso de  Adobe Flash, Java, o de la explotación de vulneabilidades en el navegador del usuario.

En este caso los visitantes descargaron CryptoWall 2.0, un ransomware que cifra los archivos del equipo infectado para luego solicitar un rescate por los mismos. El usuario no podrá acceder a sus archivos y recibirá un mensaje con las instrucciones de pago mediante la red TOR (1,33 bitcoins = aproximadamente 700 dolares). Luego del pago del "rescate" recibirá las instrucciones para recuperar sus archivos.

Siendo que las transacciones con bitcoins son públicas y tomando en cuenta la cantidad de transacciones realizadas a las cuentas de rescate, se puede deducir que los delincuentes han recaudado aproximadamente U$S 750.000 (25.000 por día que duró la campaña).

Cabe destacar que Noticias Argentinas no fue vulnerado ni atacado, solo fue uno de los vectores de infeccion de esta campaña.

@adolfofioranel de la Redacción de Segu-Info

23/10/2014

¿En qué se diferencian SAML, OpenID y OAuth?

Aunque entrar en detalle llevará unos cuantos párrafos, la respuesta breve sería que son sistemas que facilitan el acceso unificado (single sign on) con los siguientes matices:
  • OpenID – Es un "single sign" para usuarios finales, tales como consumidores.
  • SAML – Es un "single sign-on" orientado a usuarios empresariales.
  • OAuth – Es una API (Application Programming Interface) de autorización entre aplicaciones.
En su diseño se tuvieron en cuenta la resistencia a los ataques de "phishing" y las denominadas "7 leyes de la Identidad" de Kim Cameron.

OpenID es relativamente sencillo de utilizar y muy prometedor. EADTrust desarrolló hace unos años un piloto de servidor de autenticación OpenID, que utilizaba el DNI electrónico como base de la autenticación SSL/TLS y que luego podía heredarse de forma muy sencilla en otros servidores (páginas web) que implementaran OpenID. Se publicaron varias referencias sobre el piloto, que resultó un éxito.

OpenID es un estándar de identificación digital descentralizado, con el que un usuario puede identificarse en una página web a través de una URL (o un XRI en la versión actual) y puede ser verificado por cualquier servidor que soporte el protocolo.

En los sitios que soporten OpenID, los usuarios no tienen que crearse una nueva cuenta de usuario para obtener acceso. En su lugar, solo necesitan disponer de un identificador creado en un servidor que verifique OpenID, llamado proveedor de identidad o IdP (Identity Provider).

El Lenguaje de Marcado para Confirmaciones de Seguridad, conocido como SAML, (pronunciado como "sam-el") es un estándar abierto que define un esquema XML para el intercambio de datos de autenticación y autorización. Usualmente las partes que intervienen en el intercambio son un proveedor de identidad (IdP – Identity Provider) y un proveedor de servicio. SAML es una especificación publicada por el comité OASIS (Security Services Technical Committee).

OAuth (Open Authorization) es un protocolo abierto, propuesto por Blaine Cook y Chris Messina, que permite autorización segura de una API de modo estándar y simple para aplicaciones de escritorio, móviles y web.

Contenido completo en fuente original en Blog Julian Inza

Troyano Ventir: arma tu propio espía para MacOS

Hace poco tiempo nos llegó para su análisis un interesante fichero (MD5 9283c61f8cce4258c8111aaf098d21ee), que resultó ser un programa malicioso multimodular para MacOS X. Ya desde los resultados del estudio preliminar quedó claro que no hacía nada bueno: un fichero mach de 64 bits común y corriente contenía en su sección de datos muchos otros ficheros mach, uno de los cuales se instalaba en el sector de ejecución automática, como es típico de los troyanos-droppers.

La investigación posterior mostró que dentro del programa malicioso se escondían un backdoor, un keylogger y un troyano-espía. Y lo más interesante es que el keylogger usaba una extensión del núcleo (kext) con código fuente abierto, que está a la disposición de todos, por ejemplo, en GitHub.

Nada más ejecutarse, el dropper comprueba que tiene privilegios de superusuario mediante la función geteuid(). Del resultado de la prueba dependerá dónde se instalarán los ficheros del troyano:
  • Si tiene privilegios de superusuario, los ficheros se instalan en /Library/.local y /Library/LaunchDaemons;
  • Si no los tiene, los ficheros se instalan en ~/Library/.local y ~/Library/LaunchAgents (el carácter “~” representa la ruta a la carpeta del usuario activo).
Contenido completo en fuente original Viruslist

Invitaciones falsas de #inbox a la venta

Como siempre suele pasar cuando una gran empresa tecnológica presenta un producto novedoso al que sólo se puede acceder mediante invitación, el anuncio ayer del nuevo Google Inbox está provocando todo tipo de reacciones en la comunidad tecnófila.

Aunque la primera consecuencia de este anuncio está siendo la avalancha de gente que está inundando Twitter o Google+ con peticiones de invitaciones al resto de usuarios, la más preocupante de todas es la de esa gente que no ha tardado ni veinticuatro horas en intentar estafar los demás utilizando Inbox como excusa.
Un clásico que no podía faltar durante la espera para probar un servicio de acceso limitado es precisamente la subasta o venta de invitaciones. En Ebay ya nos podemos encontrar con espabilado que está subastando una invitación a Inbox por 100 dólares, a los que habría que sumar 23,46 dólares más en gastos de envío y otros 15,39 en gastos de importación. ¡Todo un negocio!

Será cuestión de horas hasta que comience a aparece spam y phishing son supuestos regalos o ofertas de cuentas de Inbox. Por ahora que recordar que Inbox sólo está por invitación a través de una cuenta oficial de Google.

Fuente: Genbeta

Windows 0-day explota vulnerabilidad en documentos de Office

Microsoft está advirtiendo a los usuarios sobre una nueva vulnerabilidad 0-Day de Windows (CVE-2014-6352) que está siendo explotada activamente mediante archivos de PowerPoint especialmente diseñados y que contienen un objeto OLE (Object Linking y Embedding) malicioso.

OLE se utiliza para mostrar las partes de un archivo dentro de otro archivo, por ejemplo para mostrar un gráfico en una hoja de cálculo Excel dentro de una presentación de PowerPoint. Esta vulnerabilidad es peligrosa porque afecta a las últimas versiones de Windows totalmente parcheadas, si bien se necesita la interacción del usuario para aprovechar la vulnerabilidad.

El escenario más común de ataque es mediante correo electrónico. Un atacante podría aprovechar la vulnerabilidad enviando un archivo especialmente diseñado para que el usuario lo abra. En un escenario de ataque basado en la web, el atacante tendría que alojar el archivo en un sitio web.

Mientras tanto en un informe separado, McAfee ha dicho que este ataque es parte de Sandworm llevado adelante por delincuentes rusos para espionaje en la crisis ucraniana. La operación Sandworm fue descubierto por iSIGHT Partners y se le había asignado el CVE-2014-4114 pero aparentemente Microsoft falló al desarrollar el parche original y esto permitió revelar este otro 0-Day.

Una explotación exitosa conduciría al atacante a obtener los permisos y derechos del usuario actual. La vulnerabilidad afecta a todas las versiones de Windows excepto Windows Server 2003, y actualmente no hay ningún parche para él. Microsoft todavía está investigando el asunto para decidir si publicarán un parche out-of-band o esperarán al próximo segundo martes de noviembre.

Entretanto, la compañía ha compartido soluciones temporales que ayudan a bloquear los tipos de ataque conocidos:
Fuente: Net Security

22/10/2014

El cibercrimen supone un gasto de U$S 12,7 millones a las empresas

HP y el Instituto Ponemon han presentado Estudio del Coste de Cibercrimen 2014 (infografía), en el que se pone de manifiesto, que los ciberdelitos han supuesto un promedio de 12,7millones de dólares para las organizaciones, aumentando un 96 % respecto al primer informe que ambas instituciones elaboraron hace cinco años.

De los 17 sectores incluidos en el estudio, todos han afirmado haber sido víctimas de la ciberdelincuencia, con el volumen anual más alto por cada organización estadounidense en las industrias de Energía, Servicios Públicos y Defensa. Del estudio se desprende que la ciberdelincuencia es común e intrusiva. Las organizaciones han experimentado durante este año un aumento del 176 % en el número de ciberataques con un promedio de éxito de 138 ataques a la semana en comparación a los 50 ataques a la semana de 2010.

El promedio de tiempo para resolver un ataque cibernético es de 45 días, mientras que el coste medio incurrido durante este período asciende a 1.593.627 dólares, lo que representa un aumento del 40% frente al coste medio estimado de 1.035.769 dólares del año pasado para un período de 32 días.

Sobre una base anual, las cuentas por robo de información suponen el 40 % de los costes externos totales (un 2 % menos que hace cinco años), mientras que los costes asociados a la interrupción del negocio o las cuentas de pérdida de productividad son el 38% de los costes externos (7 % más que hace cinco años). Por su parte, el despliegue de soluciones de inteligencia de seguridad ha mitigado el impacto de los ciberdelitos con un promedio de ahorro este año de 5,3 millones de dólares, lo que ha supuesto un 32% más respecto al ahorro del año pasado.

Fuente: Muy Seguridad

MyDiamo: cifrado y control de acceso en bases de datos MySQL y MariaDB

Utilizando la herramienta MyDiamo una solución de cifrado que se integra a la perfección con MySQL y MariaDB, dando a los usuarios funciones completas de seguridad en base de datos. La funcionalidad de cifrado por sí sola no es suficiente para proteger los datos confidenciales, por eso es importante la gestión de los controles de acceso y los privilegios que permiten a los usuarios cifrar o descifrar datos. Con MyDiamo no sólo se pueden implementar funciones de cifrado, sino también: el control de acceso, gestión de privilegios de cifrado/descifrado y funciones de auditoría de sus mecanismos de seguridad.

La implementación de este tipo de seguridad obviamente afecta al rendimiento de la base de datos. Según la pruebas del equipo de desarrollo MyDiamo la degradación del rendimiento de la base de datos después del cifrado es de un 7%. Una perdida de rendimiento asumible en comparando el incremento en seguridad que experimenta después del cifrado. 

Características de MyDiamo

  • Trabaja en los sistemas operativos: Linux y Windows.
  • Ofrece cifrado a nivel de columna utilizando algoritmos de cifrado estándar de confianza como: AES (128 bits), TDES (168 bits), Blowfish (128 bits) y RC4. El Cifrado a nivel de la columna proporciona cifrado de seguridad sensible al contexto. Además, dado que MyDiamo opera paralelo al motor DBMS proporciona cifrado transparente de modo que los desarrolladores pueden hacer uso de la codificación sin modificaciones excesivas.
  • También proporciona cifrado de una vía, o la función hash con clave, que es la forma más segura de proteger los datos de autenticación. MyDiamo puede admitir el cifrado parcial, lo que permite la indexación sin degradación del rendimiento, incluso después del cifrado.
  • Proporciona funciones de control de acceso de los usuarios que trabajan con columnas cifradas (por cada dirección IP y usuario).
  • Funciones de auditoría para las columnas cifradas que incluye: registro de accesos denegados, registro de acceso y registro de consultas.
Fuente: Gurú de Informática

Webcast sobre PCI DSS v3.0 (22/10)

Este evento ha finalizado y ya se puede ver Webcast sobre PCI DSS v3.0.

A partir del próximo enero 2015 empieza a utilizarse PCI DSS v3.0 estándar aunque algunos de los cambios serán solo buenas prácticas hasta junio de 2015 donde pasaran a ser requerimientos de PCI.

Esta presentación incluye una introducción a PCI DSS y remarca los principales cambios que nos trae la v3.0.

El webcast estara a cargo de Mateo Martinez quien es Especialista en Seguridad de la Información y Desarrollo de Software además de Asesor de Emprendimientos tecnológicos. Posee las certificaciones CISSP, ITIL, ISO 27001 Lead Implementer y es Auditor PCI QSA, con amplia experiencia en consultoría de sistemas y seguridad.

Ya se encuentra el video en línea: http://segu.info/ypci

Cristian de la Redacción de Segu-Info

MasterCard prueba prototipo de tarjeta con sensor de huella dactilar

MasterCard está probando una tarjeta de pagos móviles sin contacto con un lector de huellas dactilares integrado, cuyo uso puede autorizar pagos elevados sin necesidad de introducir un código PIN. La compañía ha presentado el prototipo en Londres junto a la empresa Zwipe, una compañía noruega que desarrolló la tecnología de reconocimiento por huella dactilar.

La tarjeta, que contiene el sensor de huellas y seguridad de datos en la tarjeta, no necesita un lector de datos externo. También lleva un chip EMV (usado en las tarjetas de pago europeas en lugar de la banda mangnética para incrementar la seguridad) y una aplicación para permitir los pagos sin contacto. El prototipo presentado es más grande que una tarjeta normal porque incorpora una batería, aunque Zwipe ha dicho que está trabajando para eliminar la batería y hacer estas tarjetas tan finas como las normales.

La tarjeta no tiene limite para los pagos sin contacto, mientras que otros tipos de tarjetas de pago solo pueden ser usados para cantidades de hasta 20 o 25 dólares y necesitan un lector e introducir un PIN en algún momento. El banco noruego Sparebanken ya ha probado la tarjeta y planea ofrecer este servicio biométrico en todas sus tarjetas.

MasterCard quiere eliminar la necesidad de introducir códigos PIN en los pagos, y la biometría pueda ayudar a ello. Apple también está trabajando en estos modelos de tecnología, permitiendo los pagos sin contacto con el nuevo iPhone 6, 6 plus o el iPhone 5S, al vincular las tarjetas MasterCard de la mayoría de los bancos americanos a su teléfono para hacer pagos sin contacto.

Fuente: CIOAL