Atacantes lograron eludir la autenticación multifactor

Cuando de buenas prácticas para la protección de nuestra presencia en línea se trata, ustedes saben que mi principal recomendación es habilitar la autenticación multifactor (doble factor de autenticación, o autenticación de dos pasos). Pero los atacantes siempre se las ingenian, y esta vez lograron engañar a los usuarios para hacerse del código temporal (token) necesario para completar la autenticación multifactor. Un reporte publicado hace apenas algunas horas por Aministía Internacional muestra en detalle cómo se dieron estos ataques a cuentas de usuarios de Gmail y Yahoo, incluso a aquellos con autenticación multifactor habilitada. Las víctimas eran dirigidas a un sitio apócrifo, idéntico al de inicio de sesión de Gmail o de Yahoo, técnica conocida como phishing. Una vez que el usuario ingresaba su dirección de e-mail y contraseña, la misma infraestructura en la que el sitio falso estaba almacenada realizaba el intento de inicio de sesión en el servicio real. Si éste requeria la utilización de un factor adicional, lo notificaba al sitio apócrifo para que éste se lo requiriera al usuario. Una vez que la víctima ingresaba el token, el atacante obtenía acceso a la cuenta real. En algunos casos se detectó incluso que el atacante había generado …

Read moreAtacantes lograron eludir la autenticación multifactor

Cómo planea bloquear el acceso a Uber el gobierno argentino

En la tarde de ayer, lunes 18 de abril, el Ministerio Público Fiscal solicitó al Ente Nacional de Telecomunicaciones (ex CNC) que ordene a los operadores de telefonía móvil y de servicios de Internet el bloqueo de todas las plataformas digitales de la compañía estadounidense. Esta medida se efectua, según el diario local La Nacion, en el marco de una investigación que acusa a Uber por el uso indebido del espacio público con fines de explotación comercial. Pero… ¿Cómo se bloquea el acceso a un sitio o aplicación en un país entero? Existen dos mecanismos que se utilizan habitualmente para estos casos. El primero está relacionado con el bloqueo a nivel DNS. La infraestructura de DNS, por sus siglas en inglés de Domain Name System, es la encargada de “traducir” las direcciones URL que escribimos en nuestros navegadores en direcciones IP. Para ponerlo en un ejemplo práctico, imaginen que si no existieran los DNS deberíamos escribir 64.233.169.99 en lugar de www.google.com para realizar una búsqueda, o 132.245.70.98 en lugar de www.outlook.com para acceder a nuestro correo electrónico. Cada vez que escribimos alguna dirección URL en nuestro navegador, o cada vez que utilizamos una aplicación en el teléfono móvil, nuestro dispositivo realiza una “consulta” a los servidores de DNS que tiene configurados y …

Read moreCómo planea bloquear el acceso a Uber el gobierno argentino

Todo lo que necesitas saber acerca de POODLE

Photo by Markus Spiske on Unsplash

Hace algunos días fue confirmada una vulnerabilidad de la que se habían oído rumores tiempo atrás. Se trata de POODLE (Padding Oracle On Downgraded Legacy Encryption, por sus siglas en inglés), un fallo en el protocolo SSL 3.0 que podría permitir ataques del tipo MitM (Man in the Middle) en los que un atacante podría leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha.

El fallo, registrado bajo el identificador CVE-2014-3566, fue descubierto por Bodo Möller, Thai Duong and Krzysztof Kotowicz del equipo de Seguridad de Google y publicado en el blog de la compañía.

Si bien la vulnerabilidad no es tan seria como sí lo fueron Heartbleed o Shellshock, debe ser tenida en cuenta y mitigada por los administradores de sistemas. SSL 3.0 ya cumplió 18 años, pero aún es utilizado por los navegadores para “escapar” de algunos errores que impedirían el correcto uso de protocolos más recientes. De esta manera, un atacante podría forzar el uso de SSL 3.0 para explotar sus deficiencias.

Usuarios hogareños

Para el caso de los usuarios hogareños u organizaciones que quieran proteger a sus usuarios de esta vulnerabilidad y evitar que un atacante intercepte la información intercambiada con un servidor que aún no ha mitigado el fallo, alcanza con deshabilitar el protocolo SSL 3.0 en los navegadores de internet.

Read moreTodo lo que necesitas saber acerca de POODLE

Qué es HSTS y cómo implementarlo para incrementar la seguridad de mi sitio

Photo by Markus Spiske on Unsplash

Desde que Google anunciara días atrás que subiría el ranking de búsqueda a los sitios que utilicen HTTPS, múltiples han sido las webs que comenzaron a hacer pruebas con el protocolo de transferencia seguro.

En esta edición vamos a trabajar sobre HSTS, una política o mecanismo de seguridad estandarizado que anuncia a los navegadores cuándo una web (y todos sus enlaces) deben ser accedidos exclusivamente utilizando HTTPS.

HSTS significa, por sus siglas en inglés, HTTP Strict Transport Security y sus detalles están especificados en el RFC 6797. Su principal objetivo es impedir que un atacante convierta una conexión HTTPS en HTTP. El mecanismo instruye al UA (user agent o navegador del usuario) a finalizar la conexión con el servidor de destino si ocurre algún error mientras intenta establecer una comunicación segura (SSL/TLS), incluyendo certificados revocados. Además, todos los enlaces de la página se visualizarán como HTTPS inluso si no fueron creados de esa manera.

 

HSTS envía un mensaje al navegador del usuario que podría ser interpretado como: “¡Hola! Toda nuestra comunicación debe ser encriptada, caso contrario tendrás que mostrar un mensaje de error.”

Read moreQué es HSTS y cómo implementarlo para incrementar la seguridad de mi sitio

Internet Explorer 6 sigue teniendo cerca del 4% del mercado

Photo by Markus Spiske on Unsplash

Internet Explorer 6, navegador que fuera oficialmente lanzado el 27 de Agosto de 2001, sigue estando presente en el mercado de los navegadores. Según estadísticas brindadas por Microsoft, China lidera la lista de países que aun utilizan este navegador (12,5%), seguida por Rusia (1,6%) e India (1%). La versión 6 de Internet Explorer introdujo mejoras respecto al tratamiento de DHTML (Dynamic HTML, por sus siglas en inglés), integración con Windows Messenger, barra multimedia, y algunas mejoras de seguridad respecto a sus antecesores. Sin embargo, hoy ya es completamente obsoleto y ha dejado de recibir actualizaciones de seguridad de su fabricante, lo que representa un gran riesgo para sus usuarios. La última versión del navegador está disponible en su página oficial.

Se acerca el fin del soporte oficial para Windows XP ¿estás preparado?

Photo by Markus Spiske on Unsplash

se-acerca-el-fin-del-soporte-oficial-para-windows-xp_001En el año 2009, anunciábamos el fin del Soporte Técnico Principal para Windows XP y el comienzo de la etapa de Soporte Técnico Extendido. Como es de público conocimiento, el próximo 8 de abril Microsoft dejará de brindar soporte técnico de todo tipo a su sistema operativo Windows XP y la noticia (para nada nueva) ha causado un revuelo bastante grande en los medios de todo el mundo.

Cuando adquirimos una licencia legítima de un Sistema Operativo o software, como Microsoft Windows o Microsoft Office, recibimos el Servicio de soporte técnico del fabricante y entramos en lo que se conoce como Microsoft LifeCycle Program o Programa de Ciclo de Vida Microsoft.

Este Ciclo de vida, diferente para cada producto, establece tres fechas principales:

Inicio del Ciclo de Vida: Esta fecha marca normalmente el momento en que el producto sale a la venta o se pone a disposición del público.

Fin del Soporte Técnico Principal: Establece el momento en el que Microsoft dejará de brindar soporte técnico gratuito a los usuarios del producto. Si bien continuará emitiendo boletines de seguridad con sus respectivas actualizaciones, ya no corregirá bugs. El soporte técnico será ofrecido únicamente a los clientes con contrato de soporte.

Fin del Soporte Técnico Extendido: También conocido como Soporte Técnico Ampliado, marca el momento a partir del cual Microsoft dejará de ofrecer soporte técnico y de brindar actualizaciones de seguridad para el producto. Esto implica que, de descubrirse una vulnerabilidad, nadie trabajará en su corrección y el software afectado permanecerá vulnerable hasta que sea reemplazado por una versión más reciente.

se-acerca-el-fin-del-soporte-oficial-para-windows-xp_002

¿Cómo afecta el fin del soporte a los usuarios?

Read moreSe acerca el fin del soporte oficial para Windows XP ¿estás preparado?

Periódicos de todo el mundo, al costo de uno local

Photo by Markus Spiske on Unsplash

Hoy día son pocos los periódicos en papel que no publican sus noticias en la web (me arriesgaría a decir que casi ninguno, pero siempre queda algún rezagado).

Lo cierto es que si bien los sitios online de los periódicos nos mantienen informados al instante de las últimas noticias (práctica de la que el diario en papel no se puede dar el lujo, salvo ocasiones especiales en las que se imprime una tercera o cuarta edición), aún les falta esa magia que ofrecen las viejas hojas de papel.

En lo personal no existe día que pueda comenzar sin periódicos. De lunes a viernes suelo adentrarme en las noticias on-line, y los fines de semana y feriados recibo los diarios en papel a través de una suscripción. A pesar de la practicidad que brindan hoy los periódicos on-line, la diagramación de noticias, el último momento y la edición impresa, no hay formato que le gane al del diario en papel.

Para los anticuados como yo, existen las suscripciones digitales. En auge hace algún tiempo en el exterior, y comenzando a ganar terreno en la Argentina, empresas del rubro como LA NACION y Clarin brindan ahora sus ediciones en formato papel de manera digital logrando una gran cantidad de adeptos.

En el caso de LA NACION, por una módica suma que asciende a los $173 mensuales, se puede acceder al servicio Kiosco LA NACION, que permite ver el periódico en formato papel bajo la comodidad de nuestro navegador de internet. Existen otras alternativas, como adquirir solo un diario a la semana, un ejemplar específico o las revistas que ofrece el grupo.

Por su parte, Clarin

Read morePeriódicos de todo el mundo, al costo de uno local

Microsoft explica el funcionamiento de DNT en IE10

Photo by Markus Spiske on Unsplash

Ya es oficial que el próximo 26 de octubre Windows 8 estará disponible para usuarios finales. Mientras tanto, esta semana comenzaron a entregarse los kits OEM a los principales fabricantes de hardware (HP, Lenovo, Dell, Asus, Sony, entre otros) y a partir de la semana próxima estará disponible la versión RTM (Release To Manufacturing) para aquellos poseedores de suscripciones de licenciamiento por volumen como TechNet y MSDN.

Brendon Lynch, Chief Privacy Officer de Microsoft, explicó esta tarde a través de un blog post el significado y funcionamiento de la característica DNT, disponible en Internet Explorer 10.

DNT (Do Not Track, por sus siglas en inglés) es una nueva característica de la versión 10 de Internet Explorer, que ya se encuentra disponible de manera nativa en los sistemas con Windows 8 y en fase de Test Drive para sistemas con Windows 7. Al respecto, Lynch aseguró que una de las principales preocupaciones de Microsoft en estos momentos es la privacidad de sus usuarios, por lo que han decidido activar esta característica de manera predeterminada en el nuevo sistema operativo del gigante de la informática.

DNT se activa junto con la ‘Configuración Rápida’ durante la instalación de Windows 8″, aseguró Lynch. Aquellos usuarios que hayan seleccionado la opción de ‘Configuración Personalizada’ podrán optar por activar o no las señales DNT en sus sistemas operativos.

¿Qué son las señales DNT?

Read moreMicrosoft explica el funcionamiento de DNT en IE10

Windows 7 saldrá sin IE en Europa

Photo by Markus Spiske on Unsplash

Queridos lectores, Considerando las presiones que ha sufrido Microsoft por parte de la Comisión antimonopolio de la Unión Europea, y semanas antes que ésta emita su veredicto sobre las acusaciones realizadas en Enero pasado contra la multinacional, Dave Heiner, representante legal de Microsoft ha declarado que: “Dado el procedimiento legal pendiente, hemos decidido que en lugar de incluir el Internet Explorer en Windows 7 en Europa, lo ofreceremos por separado y de una forma fácil de instalar tanto para los fabricantes de ordenadores como para los usuarios”. Pero parece que esta solución tampoco fue gustosa para los representantes de la Comisión, quienes salieron al frente con diversos comentarios, argumentando que su sugerencia fue que Microsoft ofreciera diferentes navegadores en su sistema operativo para que los pudieran elegir los consumidor, no la eliminación del navegador por defecto. En lo que a mi opinión respecta, y muchos dirán que estoy a favor de la multinacional, considero que cada fabricante posee los derechos necesarios sobre sus productos para pre-instalar el software que desee, siempre y cuando permita al usuario insertar alternativas, tal como es posible hoy en día en el sistema operativo Windows. Esperamos que este litigio finalice de la mejor forma posible.

Microsoft ha comenzado el desarrollo de Gazelle

Photo by Markus Spiske on Unsplash

Microsoft ha comenzado el desarrollo de Gazelle, su nuevo navegador. Así es, lectores! Microsoft está trabajando sobre este ambicioso proyecto, que promete revolucionar el mundo de los navegadores. Segun fuente oficiales, Gazelle se presentará como un navegador más seguro que cualquiera de sus competidores. Esta noticia llama la atención, sobre todo a semanas del ya lanzado Internet Explorer 8 RC1 (8.0.6001.18372IC). Si bien por el momento no ha habido demasiada información al respecto, Microsoft ya ha emitido su PressPass, donde solo se limita a explicar los fundamentos en los que Gazelle basa su seguridad, al trabajar de la misma manera que un sistema operativo. Fuente: Microsoft.com