Daboweb | Seguridad y ayuda informática |

Se ha encontrado un fallo de seguridad importante en un certificado digital emitido por la entidad Holandesa DigiNotar para Google. Dicho certificado se ha visto comprometido y con él, los usuarios de productos de Google (como puede ser el caso de Gmail) pueden ser víctimas de ataques «man in the middle» recopilando datos privados del usuario con el peligro que ello conlleva.

Google actualizará su navegador eliminando dicho certificado y Microsoft ya  ha procedido a eliminar a DigiNotar de la «Microsoft Certificate Trust List». Hablando de Firefox / Iceweasel, el equipo de soporte de Mozilla, ha publicado cómo eliminar dicho certificado.

Fuente y más información (Bitelia).

Se están reportando en los foros de soporte de Gmail un aumento de ataques vía inyecciones de spam especialmente desde la interfaz móvil de Gmail.

Según informan desde Google, este hecho no es imputable a algún bug en su software. Toda la información en Slashdot (ENG, trad) .Como siempre, recomendamos precaución y revisar las configuraciones de seguridad de los dispositivos móviles, al igual que lo hariamos con uno tradicional.

Hola amigos, además de desearos un feliz año 2010 a todos en nombre de todo el equipo de redacción de Daboweb, vamos a reseñar las entradas de la web más vistas este año 2009.

Muchas gracias por vuestra fidelidad continuada desde hace ya más de 7 años. A continuación, os dejo con la lista.(Podéis ver todo lo publicado en nuestro archivo de contenidos).

Top post Daboweb 2009.

Windows 7 por fuera, Windows Vista por dentro ¿versión o revisión? Nuestro repaso a “7″.

Manual antivirus Nod32

Descargar Nero gratis

Tutorial. La Luz en fotografia

Manuales de nLite. Integrar controladores SATA

Problemas de sonido en Ubuntu 9.04 y tarjeta de sonido NVIDIA CK804 (Realtek AC97).

Fotografia Digital. La exposicion

Cuentas de Gmail inseguras por defecto, activa “https” (conexión segura)

Guía para asegurar nuestra red Wifi

¿Tienes activada la contraseña maestra en Firefox – Iceweasel?

Quien te tiene como No admitido en Messenger

Tutorial Getdataback. Recuperacion de archivos

Urgente, cambia tu contraseña de hotmail.com, msn.com y live.com

Cifrado Wi-Fi bajo WPA roto en 60 seg.

Tutorial Norton GHOST 2ª parte

Asegura tu red Wi-Fi en Mac OS X

Tutorial Protfpd. Configurar servidor FTP

The Gimp. Manual reducir tamaño y peso

(Tutorial) Cómo cambiar el password del root en un iPhone con Jailbreak

(Mac OS X) Localiza y elimina troyano OSX.trojan.iServices.A. (Ojo, variante en copia ilegal de CS4)

Actualizar Google Chrome

Tutorial Norton GHOST. Imagen de disco

Si anteriormente nos hacíamos eco de la noticia sobre el ataque recibido por parte de Microsoft en sus cuentas de hotmail, msn.com o live.com, hoy leemos que otros servicios de correo web también podrían verse afectados por este ataque.

Concretamente cuentas de correo de servicios tan conocidos como GMail, Yahoo, AOL, Comcast, etc., también podrían haber sido afectadas por lo que, si dispones de cuentas en alguno de estos servicios, se recomienda cambiar sus contraseñas inmediatamente.

Manuales para cambiar las contraseñas:

Cambiar la contraseña de GMail.

Cambiar la contraseña de AOL .

Cambiar la contraseña de Yahoo.

Cambiar la contraseña en cuentas de Hotmail.

Via: Neowin

Recopilatorio de entradas publicadas en Daboweb este pasado mes de Abril.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas.

Abril 2009

Te recomendamos visitar nuestro mapa del sitio

Vulnerabilidad de alto riesgo en Kaspersky Online Scanner

Firefox 3.0.10 soluciona vulnerabilidad crítica

Vulnerabilidad en Google Chrome

Nuevos filtros Nauscópicos para Adblock Plus, Firefox 3.0.9 y navegadores basados en Gecko (recomendable)

Firefox 3.0.9 disponible

«Tu distro es insegura, Ubuntu», consejos para instalar correctamente Ubuntu / Server

Actualizaciones de Microsoft Abril 2009

Cuentas de Gmail inseguras por defecto, activa «https» (conexión segura)

Comprueba visualmente si estás infectado con Conficker

Revista gratuita fotográfica Foto DNG, Abril 2009, descarga disponible

Vulnerabilidad crítica en PowerPoint (sin solución de momento)

Virus Conficker o el precio de no actualizar el sistema operativo

Internet Explorer 8.1 soportará extensiones de Firefox, nuevo motor de Javascript y 71/100 en ACID3 Test «Happy March fool’s day»

Una de las brechas de seguridad más frecuentes en el tráfico web, suele ser la conexión a lugares donde se almacena información sensible sin establecer dicha conexión bajo una capa de cifrado, es el caso de las cuentas de Gmail con su configuración por defecto, claramente insegura.

En este caso, se entiende que desde Google han preferido sacrificar la seguridad en pro de una mayor compatibilidad con todo tipo de navegadores web, dispositivos móviles, notificadores de correo, etc, un error a mi entender ya que debería ser al revés en un caso como este del correo electrónico, primero seguridad y luego compatibilidad o el mejor compromiso posible para estos dos factores.

Este tema es más preocupante al haber muchos usuarios de Gmail que se conectan únicamente a través del navegador, en el caso de recibir el correo vía POP o IMAP, normalmente se hace bajo SSL (Segure Socket Layer) o TSL, su sucesor y esos correos llegarán a vuestro sistema bajo cifrado, por lo que en el caso de que alguien intente interceptar con un sniffer esos datos, al no circular como texto plano (para entendernos), serán mucho más difíciles de capturar.

Para evitar esto en la navegación, se usa el protocolo HTTPS, similar al HTTP pero bajo una capa de cifrado vía SSL y es básicamente lo que os recomendamos para un uso correcto y más seguro de Gmail. Esta opción se hace imprescindible en el caso de que os conectéis vía web a Gmail bajo redes «no seguras» como pueden ser una Wi-fi pública o abierta, un cibercafé (nada recomendable), un equipo que se encuentre en vuestro trabajo, compartido, etc.

¿Cómo activar el uso de HTTPS?

1. Accede a Gmail.
2. Haz clic en Configuración en la parte superior de cualquier página de Gmail.
3. Selecciona «Usar siempre https» para la «Conexión del navegador:».
4. Haz clic en Guardar cambios.
5. Vuelve a cargar Gmail.

La mejor combinación posible sería (para este caso de Gmail y otros) el uso de SSL activado en vuestro cliente de correo electrónico y si es posible, usar una conexión web segura (https) para consultarlo vía webmail.

Si alguno tiene dudas de su importancia, puede probar a bajar sus correos sin cifrar y someter el tráfico de su tarjeta de red al análisis de una herramienta como Dsniff y cuando vea la contraseña del su cuenta de correo electrónico, así como todos sus mails en texto plano visualizados en la pantalla de su equipo, se dará cuenta de lo devastador que puede ser un ataque de este tipo…

Gmail avisa de que con la opción HTTPS activada, puede haber alguna incompatibilidad con su notificador de correo, subsanable con un parche que ellos mismos proveen y también que en algún caso, su aplicación de Gmail para móviles puede funcionar incorrectamente (también hay instrucciones sobre como intentar solventarlo). También hablan de una posible lentitud en el servicio cosa que personalmente nunca he llegado a notar y las ventajas siempre en este caso pesan mucho más en la balanza.

Por David Hernández (Dabo).

Esta entrada viene a raíz del robo de cuentas sufrido por Christian Van Der Henst, administrador de Maestros del web y Foros del web, caso felizmente resuelto y del que nos hicimos eco en Daboweb, (No hay de que -;) al igual que desde muchos otros blogs y comunidades.

Hace unos días, en una conversación vía Skype con Kids de Blogoff, cuando el se encontraba preparando su podcast de rabiosa actualidad con Christian como protagonista (os lo recomiendo), yo le decía que no acaba de entender el por qué de no avisar al usuario de cuando su cuenta (de correo, panel web, facebook, twitter, etc, etc como le sucedió a Christian) estaba siendo víctima de un ataque o cuando se cambia una contraseña.

Por ataque me pueden servir los que se realizan por fuerza bruta (intentos masivos de crackeo/adivinación de la contraseña del usuario) o de otro modo, con la peligrosa opción de “olvidé mi contraseña” y la consiguiente pregunta para recuperarla, uno de los males de la seguridad más explotados y que siguen dando sus devastadores frutos todos los días por ataques de ingeniería social (a través del conocimiento de los usos, costumbres y detalles personales de la víctima)

Está claro que la responsabilidad final de la seguridad de un servicio ofrecido vía web es principalmente del usuario, (sobre este punto habría mucho que «puntualizar» llegado el caso) pero estaréis de acuerdo conmigo en que no cuesta nada que por parte del prestador del servicio faciliten las cosas. Un caso que técnicamente cuesta bien poco implementar pero muy efectivo y que ha sido aplaudido por todos, es la política de Gmail de mostrar en el pie de página la dirección IP de la última conexión al correo, tan sencillo como leerlo de logs de acceso y meter el “refer” al final de la página ¿coste? cero.

Lo que me cuesta más entender es que en muchos de esos servicios (gmail o hotmail por ejemplo), te inviten a dejar una dirección de correo secundaria en tu perfil y no se valgan de esa segunda dirección para enviar un aviso en el caso de que estén intentando reventarte la cuenta legítima, porque cuesta lo mismo impedir el acceso de forma temporal caso de hotmail a la recuperación de una cuenta tras varios intentos fallidos que leer en la base de datos esos intentos y llegado a un número enviar un mail avisando.

Muchas veces hemos hablado de las contraseñas seguras y su importancia,(lo escribí hace 4 años) del uso de programas como Keepass o Colossus,  de como trabajar de forma remota con seguridad, también de no usar una sola cuenta o la principal y pública para administrar sitios web, información sensible, etc, etc, pero creo que también es momento de compartir la responsabilidad con el usuario del aseguramiento de una cuenta ya que el coste es mínimo y para ese usuario, un mail que incluya la IP desde la que se produjo el error de acceso, vital en esos momentos en los que se está llevando a cabo el ataque y a posteriori para depurar responsabilidades.

Muchos de esos servicios no deberían preocuparse sólo por sus anunciantes, monopolios, cuotas de mercado e impresiones de página, sino también por esos usuarios que son los que se tragan sus cookies, publicidad en ocasiones abusiva y condiciones de uso (y desuso).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Por David Hernández (Dabo).

Robert Graham, sorprendió a todos los asistentes a su conferencia en BlackHat 2007 con una demostración sobre como romper la seguridad de una cuenta de Gmail mediante el uso de dos herramientas de “sidejacking” programadas por él mismo, (Ferret y Hamster).
Dichas herramientas, válidas para entornos Windows, han sido puestas para su libre descarga en su blog por lo que es necesario extremar las precauciones en el uso de Gmail máxime a través de redes Wi-Fi compartidas.
Leer más..

Continue reading…