Daboweb

Twitter

Vulnerabilidad XSS en Tweetdeck permite la ejecución remota de código

Posted by Destroyer on junio 11, 2014
Seguridad Informática

Tal y como podemos leer en “TNW“, se acaba de conocer una vulnerabilidad XSS en el cliente web para Twitter Tweetdeck, que permitiría la ejecución remota de código javascript en el entorno del navegador de la víctima. Se está hablando de mensajes aleatorios en ventanas “pop-up” del tipo “Yo !” o “Please close now Tweetdeck” y que afectan a Google Chrome.

Ante un caso como este, nuestra recomendación sería cerrar las sesiones abiertas en Tweetdeck y revocar permisos en el administrador de aplicaciones de Twitter vía web.

Según informa Twitter desde su cuenta oficial, acaban de parchear la vulnerabilidad y bastaría con cerrar sesión y abrirla de nuevo, aunque seguimos recomendando, salir, revocar permisos y acceder de nuevo (o si no es urgente, esperar unas horas e ir leyendo información sobre el tema).

Tags: , , , ,

Autenticación en dos factores para Evernote y Linkedin

Posted by Dabo on junio 04, 2013
Seguridad Informática

Autenticación en dos factores Twitter, Google, Evernote y LinkedinSiguiendo el camino de compañías como Google, Dropbox o recientemente Twitter, la autenticación en dos factores (o pasos) llegó también a Evernote el pasado día 30 de mayo (recordemos que sufrió no hace mucho una intrusión que en teoría, afectó a casi 50 millones de usuarios). De momento, sólo será efectiva en cuentas Premium y Bussines. Más adelante y cuando (según ellos) tengan depurados sus procesos para ofrecer con garantías el servicio a toda la base de usuarios, lo implementarán en las cuentas gratuitas. Lo que sí se puede ver desde ya, es una nueva opción denominada "Access History", desde la que se puede comprobar la actividad de la cuenta, dispositivos desde los que se ha conectado y direcciones IP (función habilitada para todo tipo de cuentas).

Del mismo modo, tal y como podemos leer en Bitelia, también se ha habilitado este sistema de seguridad adicional en Linkedin (un password que llega vía SMS, para introducirlo además del que se usa normalmente para acceder al servicio en cuestión). Por poner un ejemplo, en Dropbox se puede usar cada vez que se enlace o vincule un nuevo dispositivo. En uno de los pasos, se le envía al usuario por un SMS al móvil una clave (de un sólo uso, “OTP”, acrónimo de One Time Password) para validar su acceso y verificar que ese PC, móvil o Tablet, tiene realmente permisos para ello.

Tags: , , , , , ,

[Breves] De nuevo activa nuestra página de FaceBook, tampoco olvides nuestro Twitter

Posted by Dabo on agosto 05, 2011
[Breves]

Entrada meramente informativa para comentaros que ya está de nuevo activa nuestra página de Facebook después de un tiempo inactiva por cuestiones técnicas.

Por lo que además de visitar nuestra portada, seguirnos vía RSS, también puedes hacerlo en facebook.com/Daboweb siguiendo el día a día de nuestras publicaciones. Obviamente, ahí está nuestro foro para cualquier duda técnica que te pueda surgir.

Y cada sois más los que os ponéis al día de la web a través de Twitter, os recordamos que la dirección es http://twitter.com/daboweb.

Tags: , , , ,

Seguridad básica en Daboweb. Prevenir infecciones en servicios de mensajería instantánea

Posted by Destroyer on junio 19, 2011
Seguridad Básica

Una nueva entrada en nuestra sección de Seguridad Básica para los que empiezan, en esta ocasión vamos a ver una serie de consejos y precauciones generales a observar al utilizar los servicios de mensajería instantánea como Messenger, Yahoo Messenger, Skype, etc. e incluso aplicables en algunos casos a redes sociales, Facebook, Twitter, etc..

Y es que, la seguridad al utilizar este tipo de servicios no solo se puede basar en disponer de una contraseña efectiva y sólida, utilizar programas de seguridad, etc.

A continuación reflejamos algunas indicaciones a tener en cuenta en el empleo de este tipo de programas que hemos publicado en nuestro blog Basicoyfacil.

Los programas de mensajería instantánea del tipo Windows Live Messenger, Yahoo Messenger, Skype, Pidgin,  etc., son muy utilizados por todos nosotros, bien sea para comunicarnos con nuestras amistades o familiares, o para relaciones de tipo laboral.

Cada uno de nosotros nos decantamos por un programa determinado e incluso por varios, atendiendo a sus prestaciones, posibilidades o comodidad de uso. (En nuestro caso, el programa Skype es prácticamente imprescindible en nuestro equipo, pues nos permite realizar conferencias de audio entre varias personas simultáneamente).

Llegados a este punto es muy importante prestar atención a los enlaces web que recibimos en las ventanas de chat o conversación. En muchas ocasiones estos enlaces NO los envía el contacto con el que estamos conversando, sino que aparecen a consecuencia de una infección.

Estos enlaces ofrecen títulos tan llamativos como:

  • “Mira las fotos que me he hecho…”
  • “Subo nuestras fotos a la web…”
  • “Mira que canción he encontrado, te la dedico…”
  • “Mira que…”
  • etc.

Al pinchar en esos enlaces, nos muestran una ventana de descarga que nosotros podemos interpretar que se trataría de las fotos, música, etc., que nos quiere enviar nuestro contacto, pero que realmente se trata de un programa malicioso que instalará un troyano o virus en nuestro equipo si nuestro antivirus o nosotros no lo evitamos.

Por ello, nuestro consejo antes de pulsar sobre cualquier enlace web que os aparezca en la ventana de conversación, es que os aseguréis de que realmente es vuestro contacto quien os lo envía, preguntandoselo para así evitar posibles infecciones en vuestro equipo.

Y sobre todo, ante la duda, lo recomendable es No abrir archivos, ni pulsar enlaces.

Configura tu programa de mensajería instantánea para permitir mantener conversaciones solo con tus contactos:

Configura el programa de mensajería para que analice automáticamente los archivos recibidos:

Debe primar la cautela y el sentido común, como ya mencionábamos en el artículo sobre Precaución frente a correos sobre catástrofes o eventos especiales y sobre todo,  debemos siempre Analizar con el antivirus todas las descargas.

En Basicoyfacil.

Hasta la próxima entrega.

Tags: , , , , , , , , ,

Instalación de Falsos antivirus desde enlaces cortos en Twitter

Posted by Destroyer on enero 22, 2011
Seguridad Informática

Como ya vimos en una de nuestras entradas de Seguridad básica para los que empiezan, los enlaces cortos, son enlaces web que nos permiten acceder a una dirección web pero utilizando para ello un número reducido de caracteres.

También comentábamos que este tipo de enlaces cortos tienen sus riesgos, ya que al no poder comprobar previamente a donde nos dirigen, podría darse el caso que un enlace corto nos abriera alguna web maliciosa o potencialmente peligrosa que infectase o pusiese en riesgo nuestros equipos.

Fiel a la descripción anterior y conforme leemos en el laboratorio de Eset,  es lo que ha ocurrido estos días en Twitter, donde la limitación en el número de caracteres, obliga en muchos casos a utilizar este tipo de enlaces.

Se han propagado mensajes maliciosos que contenían un enlace usando el acortador de direcciones web de Google (goo.gl). Cuando un usuario pulsaba sobre uno de estos enlaces era redirigido a varias webs con el nombre m28sx.html. Estas webs alojaban un código malicioso en forma de falso antivirus de nombre Security Shield que, nada más acceder a la web que lo albergaba, comenzaba un falso análisis, detectando amenazas inexistentes en nuestro sistema e invitándonos a descargar la falsa aplicación de seguridad. Lo que denominamos Rogue.

Twitter reaccionó rápido y, en pocas horas, la mayoría de enlaces maliciosos ya estaban bloqueados.

Por supuesto este no es, ni va a ser, el último intento de engaño, por eso, os recomendamos extremar las precauciones antes de pulsar sobre este tipo de enlaces  y sobre todo comprobar estos enlaces cortos antes de abrirlos con nuestro navegador para poder así ver el enlace original completo al que nos va a dirigir.
Para ello podemos utilizar servicios web como por ejemplo Unhid, | LinkPeerl | LongURL .

Insistimos una vez más en mantener unas medidas básicas de seguridad que podrían pasar por contar con un antivirus actualizado, un Firewall, utilizar el sentido común y trabajar con sesiones de usuario limitadas sin derechos de administrador.

Tags: , , , , , , ,

Más cambios en Daboweb, seguimiento por Twitter y categoría “[Breves]”

Posted by Destroyer on abril 15, 2010
Cibercultura

Si ayer os informamos de la versión móvil de Daboweb, hoy lo hacemos de otros cambios de importancia en nuestra forma de publicar y de seguirnos en vuestro caso. Según nos cuenta Dabo en su blog personal DaboBlog.;

Daboweb; (visto en versión móvil).

Es la que recibe más cambios, además de estrenar la versión móvil, Daboweb estrena Twitter @daboweb, allí iremos metiendo temas de seguridad, webmasters-cms y Cibercultura en general, en formato Twitter para apoyar las entradas que salen del blog.

Os recuerdo que mi Twitter personal es @daboblog donde podemos intercambiar impresiones e información.

Además de ello, inauguramos una nueva categoría de entradas llamada [Breves], se trata de publicaciones rápidas por parte de todo el equipo, sobre dos líneas con un enlace de interés junto a una explicación.

Necesitábamos poder publicar desde cualquier dispositivo móvil para temas que no requieran post más extensos o en el formato habitual de la web, las entradas del blog (las que van dentro de breves o las normales) salen automáticamente en nuestro Twitter, así que allí nos podéis seguir además de por RSS.

Esperamos que los cambios sean de vuestro agrado, como digo, vamos a dinamizar mucho el site.

Tags: , , , ,

Activada la cuenta de Twitter en Daboweb

Posted by Dabo on abril 14, 2010
Cibercultura

Otro cambio más como el que os comentaba en la anterior entrada sobre la versión móvil hemos activado nuestra de Twitter.

Vamos a usarla además de para que podáis seguir nuestros post desde Twitter, también para informar de otras cuestiones en tiempo real que quizás no dan como para una entrada en la web pero que si consideremos interesante. Os esperamos en;

Nuestro Twitter; www.twitter.com/daboweb | @daboweb

También en la barra lateral podréis seguir nuestros últimos 5 Twitts para estar al tanto de lo que vamos publicando.

Tags: ,

El peligro de las URLs cortas (Short-URLs). Protégete con Firefox.

Posted by Dabo on abril 11, 2010
Seguridad Informática

Interesante entrada en el blog de ESET Latinoamérica sobre los peligros que pueden acarrear para el usuario, ciertas URLs cortas (Short-URLs) muy usadas en servicios como puede ser Twitter.

El problema viene dado porque esa URL corta, podría llevarnos a un sitio web dañino sin darnos cuenta, ya que, situando el cursor del ratón sobre el enlace, no se puede ver el destino final del enlace. ¿Cómo paliarlo?

No es una solución definitiva, pero puede ser muy válida para la mayor parte de los casos, los usuarios de Firefox y derivados, pueden instalar la extensiónLongUrlPlease“(válida para Firefox: 2.0 – 3.6). Con este añadido, podremos ver al situar el ratón sobre el link el auténtico destino del mismo, funciona con unos 80 lugares que proporcionan el acortamiento de URLs y es una protección muy efectiva ante este tipo de engaños.

Tags: , , , , , , ,