Posted by Daboon agosto 30, 2011 Seguridad Informática /
Comentarios desactivados en Comprometido el certificado digital «DigiNotar CA» de Google / Gmail. Cómo borrarlo en Firefox
Se ha encontrado un fallo de seguridad importante en un certificado digital emitido por la entidad Holandesa DigiNotar para Google. Dicho certificado se ha visto comprometido y con él, los usuarios de productos de Google (como puede ser el caso de Gmail) pueden ser víctimas de ataques «man in the middle» recopilando datos privados del usuario con el peligro que ello conlleva.
Google actualizará su navegador eliminando dicho certificado y Microsoft ya ha procedido a eliminar a DigiNotar de la «Microsoft Certificate Trust List». Hablando de Firefox / Iceweasel, el equipo de soporte de Mozilla, ha publicadocómo eliminar dicho certificado.
Posted by Daboon abril 21, 2010 [Breves], Seguridad Informática /
Comentarios desactivados en [Breves] Aumento de inyecciones de Spam desde Gmail (mobile)
Se están reportando en los foros de soporte de Gmail un aumento de ataques vía inyecciones de spam especialmente desde la interfaz móvil de Gmail.
Según informan desde Google, este hecho no es imputable a algún bug en su software. Toda la información en Slashdot (ENG, trad) .Como siempre, recomendamos precaución y revisar las configuraciones de seguridad de los dispositivos móviles, al igual que lo hariamos con uno tradicional.
Posted by Daboon diciembre 30, 2009 Cibercultura /
Comentarios desactivados en Artículos más leidos en Daboweb en el año 2009.
Hola amigos, además de desearos un feliz año 2010 a todos en nombre de todo el equipo de redacción de Daboweb, vamos a reseñar las entradas de la web más vistas este año 2009.
Muchas gracias por vuestra fidelidad continuada desde hace ya más de 7 años. A continuación, os dejo con la lista.(Podéis ver todo lo publicado en nuestro archivo de contenidos).
Posted by Daboon noviembre 02, 2009 Seguridad Informática /
Comentarios desactivados en Publicado en Daboweb, Octubre de 2009
Como viene siendo habitual, os recomendamos el recopilatorio de entradas publicadas en Daboweb (mes de Octubre de 2009) por si en el día a día de la publicación, alguna que pudiera interesarte se te ha pasado por alto.
Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivos de contenidos publicados).
Posted by Destroyeron octubre 07, 2009 Seguridad Informática /
Comentarios desactivados en Cuentas de correo de GMail, Yahoo, Aol, etc, podrían estar comprometidas
Si anteriormente nos hacíamos eco de la noticia sobre el ataque recibido por parte de Microsoft en sus cuentas de hotmail, msn.com o live.com, hoy leemos que otros servicios de correo web también podrían verse afectados por este ataque.
Concretamente cuentas de correo de servicios tan conocidos como GMail, Yahoo, AOL, Comcast, etc., también podrían haber sido afectadas por lo que, si dispones de cuentas en alguno de estos servicios, se recomienda cambiar sus contraseñas inmediatamente.
Posted by Daboon abril 15, 2009 Seguridad Informática /
Comentarios desactivados en Cuentas de Gmail inseguras por defecto, activa «https» (conexión segura)
Una de las brechas de seguridad más frecuentes en el tráfico web, suele ser la conexión a lugares donde se almacena información sensible sin establecer dicha conexión bajo una capa de cifrado, es el caso de las cuentas de Gmail con su configuración por defecto, claramente insegura.
En este caso, se entiende que desde Google han preferido sacrificar la seguridad en pro de una mayor compatibilidad con todo tipo de navegadores web, dispositivos móviles, notificadores de correo, etc, un error a mi entender ya que debería ser al revés en un caso como este del correo electrónico, primero seguridad y luego compatibilidad o el mejor compromiso posible para estos dos factores.
Este tema es más preocupante al haber muchos usuarios de Gmail que se conectan únicamente a través del navegador, en el caso de recibir el correo vía POP o IMAP, normalmente se hace bajo SSL (Segure Socket Layer)o TSL, su sucesor y esos correos llegarán a vuestro sistema bajo cifrado, por lo que en el caso de que alguien intente interceptar con un sniffer esos datos, al no circular como texto plano (para entendernos), serán mucho más difíciles de capturar.
Para evitar esto en la navegación, se usa el protocolo HTTPS, similar al HTTP pero bajo una capa de cifrado vía SSL y es básicamente lo que os recomendamos para un uso correcto y más seguro de Gmail. Esta opción se hace imprescindible en el caso de que os conectéis vía web a Gmail bajo redes «no seguras» como pueden ser una Wi-fi pública o abierta, un cibercafé (nada recomendable), un equipo que se encuentre en vuestro trabajo, compartido, etc.
¿Cómo activar el uso de HTTPS?
1. Accede a Gmail.
2. Haz clic en Configuración en la parte superior de cualquier página de Gmail.
3. Selecciona «Usar siempre https» para la «Conexión del navegador:».
4. Haz clic en Guardar cambios.
5. Vuelve a cargar Gmail.
La mejor combinación posible sería (para este caso de Gmail y otros) el uso de SSL activado en vuestro cliente de correo electrónico y si es posible, usar una conexión web segura (https) para consultarlo vía webmail.
Si alguno tiene dudas de su importancia, puede probar a bajar sus correos sin cifrar y someter el tráfico de su tarjeta de red al análisis de una herramienta como Dsniff y cuando vea la contraseña del su cuenta de correo electrónico, así como todos sus mails en texto plano visualizados en la pantalla de su equipo, se dará cuenta de lo devastador que puede ser un ataque de este tipo…
Gmail avisa de que con la opción HTTPS activada, puede haber alguna incompatibilidad con su notificador de correo, subsanable con un parche que ellos mismos proveen y también que en algún caso, su aplicación de Gmail para móviles puede funcionar incorrectamente (también hay instrucciones sobre como intentar solventarlo). También hablan de una posible lentitud en el servicio cosa que personalmente nunca he llegado a notar y las ventajas siempre en este caso pesan mucho más en la balanza.
Posted by Daboon febrero 22, 2009 Seguridad Informática /
Comentarios desactivados en Servicios web y ataques a las cuenta de usuario ¿tanto cuesta avisar?
Esta entrada viene a raíz del robo de cuentas sufrido por Christian Van Der Henst, administrador de Maestros del web y Foros del web, caso felizmente resuelto y del que nos hicimos eco en Daboweb, (No hay de que -;) al igual que desde muchos otros blogs y comunidades.
Hace unos días, en una conversación vía Skype con Kids de Blogoff, cuando el se encontraba preparando su podcast de rabiosa actualidad con Christian como protagonista (os lo recomiendo), yo le decía que no acaba de entender el por qué de no avisar al usuario de cuando su cuenta (de correo, panel web, facebook, twitter, etc, etc como le sucedió a Christian) estaba siendo víctima de un ataque o cuando se cambia una contraseña.
Por ataque me pueden servir los que se realizan por fuerza bruta (intentos masivos de crackeo/adivinación de la contraseña del usuario) o de otro modo, con la peligrosa opción de “olvidé mi contraseña” y la consiguiente pregunta para recuperarla, uno de los males de la seguridad más explotados y que siguen dando sus devastadores frutos todos los días por ataques de ingeniería social (a través del conocimiento de los usos, costumbres y detalles personales de la víctima)
Está claro que la responsabilidad final de la seguridad de un servicio ofrecido vía web es principalmente del usuario, (sobre este punto habría mucho que «puntualizar» llegado el caso) pero estaréis de acuerdo conmigo en que no cuesta nada que por parte del prestador del servicio faciliten las cosas. Un caso que técnicamente cuesta bien poco implementar pero muy efectivo y que ha sido aplaudido por todos, es la política de Gmail de mostrar en el pie de página la dirección IP de la última conexión al correo, tan sencillo como leerlo de logs de acceso y meter el “refer” al final de la página ¿coste? cero.
Lo que me cuesta más entender es que en muchos de esos servicios (gmail o hotmail por ejemplo), te inviten a dejar una dirección de correo secundaria en tu perfil y no se valgan de esa segunda dirección para enviar un aviso en el caso de que estén intentando reventarte la cuenta legítima, porque cuesta lo mismo impedir el acceso de forma temporal caso de hotmail a la recuperación de una cuenta tras varios intentos fallidos que leer en la base de datos esos intentos y llegado a un número enviar un mail avisando.
Muchas veces hemos hablado de las contraseñas seguras y su importancia,(lo escribí hace 4 años) del uso de programas como Keepass o Colossus, de como trabajar de forma remota con seguridad, también de no usar una sola cuenta o la principal y pública para administrar sitios web, información sensible, etc, etc, pero creo que también es momento de compartir la responsabilidad con el usuario del aseguramiento de una cuenta ya que el coste es mínimo y para ese usuario, un mail que incluya la IP desde la que se produjo el error de acceso, vital en esos momentos en los que se está llevando a cabo el ataque y a posteriori para depurar responsabilidades.
Muchos de esos servicios no deberían preocuparse sólo por sus anunciantes, monopolios, cuotas de mercado e impresiones de página, sino también por esos usuarios que son los que se tragan sus cookies, publicidad en ocasiones abusiva y condiciones de uso (y desuso).
Posted by Daboon agosto 13, 2007 Seguridad Informática /
Comentarios desactivados en Seguridad en cuentas de Gmail, unos consejos
Robert Graham, sorprendió a todos los asistentes a su conferencia en BlackHat 2007 con una demostración sobre como romper la seguridad de una cuenta de Gmail mediante el uso de dos herramientas de “sidejacking” programadas por él mismo, (Ferret y Hamster).
Dichas herramientas, válidas para entornos Windows, han sido puestas para su libre descarga en su blog por lo que es necesario extremar las precauciones en el uso de Gmail máxime a través de redes Wi-Fi compartidas. Leer más..
Sentimos molestarte con lo de las Cookies, pero es por imperativo legal. Puedes ver aquí la Política de Cookies, si continúas navegando te informo que la estás aceptando ;)
Ver