MuySeguridad https://www.muyseguridad.net Fri, 19 Oct 2018 13:02:04 +0000 es-ES hourly 1 MIT encuentra una solución a las vulnerabilidades Meltdown y Spectre https://www.muyseguridad.net/2018/10/19/mit-meltdown-y-spectre/ https://www.muyseguridad.net/2018/10/19/mit-meltdown-y-spectre/#comments Thu, 18 Oct 2018 22:02:33 +0000 https://www.muyseguridad.net/?p=35429 MIT Meltdown y Spectre

Las vulnerabilidades en los procesadores Meltdown y Spectre han sido una verdadera pesadilla a lo largo de este año. El mayor afectado, Intel, ha desarrollado todo tipo de soluciones para mitigarlas, pero meses después, incluso las últimas generaciones de chips que han llegado al mercado no son completamente seguras y el parcheo para modelos anteriores afecta al rendimiento en más o menos grado.

El CERT (Computer Emergency Response Team), el centro de respuesta a incidentes de seguridad en tecnologías de la información y referente absoluto en ciberseguridad, emitió unas declaraciones sobre Meltdown y Spectre que se ha cumplido punto por punto: “Debido al hecho de que la vulnerabilidad existe en la arquitectura de la CPU en lugar de el software, los parches no pueden abordarla plenamente en todos los casos. Para eliminar la vulnerabilidad por completo, será necesario reemplazar la CPU afectada.

Y no en una generación sino en las siguientes. Intel (y otros productores como AMD y ARM) tendrán que rediseñar ciertas características de sus futuros procesadores para superar finalmente Meltdown y Specter.

Para entender el problema, debemos comprender cual es la solución vía software que están proporcionando los proveedores para mitigar los ataques bajo estas vulnerabilidades y que tienen que ver con la propia arquitectura de los chips. Los procesadores no separan por completo los procesos clave que tienen acceso al kernel del sistema operativo de aquellos con privilegios bajos y de poca confianza (como los de muchas aplicaciones), por lo que un atacante podría aprovechar esta función para que el procesador le anticipe datos que no debería gracias a la ejecución especulativa y conseguir cualquier dato del equipo en cuestión.

De ahí que solucionar esta vulnerabilidad vía software (al menos para Meltdown) implica necesariamente separar los procesos del usuario de la memoria del kernel y con ello variar el funcionamiento del procesador, que en el caso de Intel (y también los de otros fabricantes compatibles) gana rendimiento precisamente con un tipo de técnicas de elevación de privilegios que en las últimas horas ha sido duramente criticadas por el creador de Linux, Linus Torvalds.

Propuesta del MIT para Meltdown y Spectre

Se imponen cambios en la misma arquitectura y los investigadores del MIT (Instituto de Tecnología de Massachusetts) han desarrollado una forma de particionar y aislar los cachés de memoria con “dominios de protección” y evitar la explotación de la “ejecución especulativa”

A diferencia de la Tecnología de asignación de caché (CAT) de Intel, la tecnología de MIT, llamada DAWG (Guardia asignada dinámicamente) no permite los ataques en esos dominios de protección. Esto es importante, porque estas vulnerabilidades aprovechan los “ataques de sincronización de caché” y pueden obtener acceso a datos confidenciales y privados.

DAWG funciona de manera similar a CAT y no requiere muchos cambios en el sistema operativo del dispositivo, lo que hace que sea tan fácil de instalar en una computadora afectada como la solución de microcódigo que se ha propuesto para Meltdown. Según los investigadores, la nueva técnica “establece límites claros en los lugares donde se debe y no se debe compartir, para que los programas con información confidencial puedan mantener esa información razonablemente segura”.

Aunque el DAWG no puede prevenir cada ataque especulativo, los investigadores dicen estar trabajando para mejorar la mayoría de ellos. Otro tema importante es que esta tecnología no solo podría ayudar a proteger las computadoras normales, sino también las infraestructuras vulnerables de la nube.

Interesante, aunque conviene recalcar que la técnica del MIT contra Meltdown y Spectre es un diseño para los chips del futuro no para los presentes para los que solo se puede mitigar al localizarse en la propia arquitectura de los chips.

Más información | MIT contra Meltdown y Spectre

]]>
https://www.muyseguridad.net/2018/10/19/mit-meltdown-y-spectre/feed/ 4
Google explica como funciona el chip Titan M de los Google Pixel https://www.muyseguridad.net/2018/10/18/titan-m-pixel/ https://www.muyseguridad.net/2018/10/18/titan-m-pixel/#comments Wed, 17 Oct 2018 22:57:33 +0000 https://www.muyseguridad.net/?p=35422 Titan M

Titan M es el chip dedicado de seguridad que Google ha instalado en los Pixel 3, la última generación de los móviles inteligentes de marca propia.

Hasta ahora, solo conocíamos su existencia, pero Google ha publicado un documento que nos pone sobre la pista de lo que hace exactamente. Como se esperaba, es a la vez un organismo de control y una caja de custodia, y está basado en algunas de las características del chip Titan que Google utiliza en sus centros de datos. 

El chip está vinculado al proceso de arranque seguro de Android y guarda la última versión conocida del sistema de manera segura para evitar que los atacantes lo devuelvan a una versión de firmware insegura.

También bloquea los intentos de desbloquear el cargador de arranque (y por tanto ejecutar cualquier firmware) desde Android a menos que se haya ingresado su código de acceso. El nuevo hardware también verifica el código de acceso de la pantalla de bloqueo y limita el número de intentos de inicio de sesión para evitar ataques de fuerza bruta. La independencia del chip y su memoria flash protegida hacen que sea difícil hackear el proceso, explica Google.

Titan M emplea la “confirmación protegida” en Android 9, una API diseñada para proteger “las operaciones más críticas para la seguridad”. Los desarrolladores que utilizan el marco de KeyStore StrongBox de Google también pueden generar y almacenar claves de transacción en el hardware seguro, y la confirmación protegida garantiza que solo sea el usuario el que autoriza un pago.

El equipo de Google Pay está “probando activamente” la posibilidad de usar estos kits de software (y, por lo tanto, Titan M) para asegurar sus propias transacciones.

Entre las desventajas de este Titan M, podemos citar que limitará lainstalación de ROMs personalizadas por entusiastas que las usan para actualizar o personalizar sus terminales.

Más información | Google Blog

]]>
https://www.muyseguridad.net/2018/10/18/titan-m-pixel/feed/ 1
Los grandes navegadores deshabilitarán versiones inseguras de TLS https://www.muyseguridad.net/2018/10/17/tls-navegadores/ https://www.muyseguridad.net/2018/10/17/tls-navegadores/#respond Wed, 17 Oct 2018 06:00:49 +0000 https://www.muyseguridad.net/?p=35415 TLS

GoogleMicrosoftAppleMozilla, han anunciado una acción combinada para deshabilitar el soporte a TLS 1.0 y TLS 1.1 en Chrome, Edge, Safari y Firefox en 2020. 

TLS son protocolos criptográficos que proporcionan comunicaciones seguras en una red de comunicaciones como Internet. Se utilizan en múltiples aplicaciones como navegación web, correo electrónico, mensajería instantánea o en llamadas sobre Internet (VoIP).

El problema es que las versiones antiguas de TLS son inseguras (la versión 1.0 tiene casi 20 años de existencia) y son vulnerables a una serie de ataques críticos como POODLE  y BEAST 

TLS 1.0 y 1.1 se deshabilitarán en Chrome 81, mientras que Firefox lo hará a lo largo del mes de marzo de 2020, lo mismo que Safari. Será a partir de las actualizaciones de Safari para iOS y macOS lanzadas en dicho mes cuando ambas versiones del protocolo desaparezcan del navegador.

Microsoft no ha concretado exactamente cuándo desactivará TSL 1.0 y 1.1 de su navegador Edge, pero lo hará en algún momento de la primera mitad de 2020.

Con ello, todos los grandes navegadores usarán por defecto TLS 1.2 en 2020. La versión fue publicada precisamente para abordar las debilidades en TLS 1.0 y 1.1 y han tenido una amplia adopción desde entonces, calculándose en un 94% las conexiones que ya la utilizan.

Además de los desarrolladores de navegadores, otras empresas como Gitlab (la principal forja de alojamiento de software mundial) también han anunciado que deshabilitarán el soporte para TLS 1.0 y TLS 1.1 en su sitio web y en su infraestructura API a finales de 2018.

Para el futuro, aparece una nueva versión, TLS 1.3 que actualmente está en desarrollo.

]]>
https://www.muyseguridad.net/2018/10/17/tls-navegadores/feed/ 0
El hackeo a Facebook comprometió la información de 30 millones de cuentas https://www.muyseguridad.net/2018/10/14/hackeo-a-facebook-2/ https://www.muyseguridad.net/2018/10/14/hackeo-a-facebook-2/#respond Sun, 14 Oct 2018 16:28:11 +0000 https://www.muyseguridad.net/?p=35411 hackeo a Facebook

El hackeo a Facebook del mes pasado, el error de seguridad más grave de la historia de la compañía, comprometió la información personal de 30 millones de usuarios, según la nueva información facilitada por el vicepresidente de Facebook, Guy Rosen.

Ya conoces el caso. Facebook detectó un pico de tráfico inusual que reveló un ciberataque masivo en curso desde el 16 de septiembre, con el objetivo de robar datos de millones de usuarios de Facebook. Los atacantes combinaron una interacción compleja de tres errores de software distintos que existía en el código desde julio de 2017 hasta que la compañía lo solucionó en sepriembre.

En principio, se informó que los atacantes robaron tokens de acceso secretos para 50 millones de cuentas, que podrían utilizar para su control. Facebook restableció los tokens para 90 millones de cuentas en respuesta a la violación masiva. Unos tokens que permitían acceder a las cuentas como propietarios y a otras aplicaciones de terceros que usaban el inicio de sesión de Facebook.

Los atacantes utilizaron una técnica automatizada para pasar de una cuenta a otra y robar las fichas de acceso de sus contactos, y así sucesivamente, hasta 400,000 personas. Los atacantes utilizaron esas listas para robar los tokens de 30 millones de usuarios y acceder a distinta información:

  • Para aproximadamente 15 millones de usuarios de Facebook, los atacantes accedieron a dos conjuntos de información: nombres de usuario e información de contacto, incluidos números de teléfono, direcciones de correo electrónico y otra información de contacto, según lo que los usuarios tenían en sus perfiles.
  • Para aproximadamente 14 millones de usuarios de Facebook, los atacantes accedieron a una parte aún más amplia de sus datos personales, incluidos los mismos dos conjuntos de información mencionados anteriormente, junto con otros detalles que los usuarios tenían en sus perfiles, como género, idioma, estado de la relación, religión, ciudad natal, ciudad actual, fecha de nacimiento, tipos de dispositivos utilizados para acceder a Facebook, educación, trabajo, los últimos 10 lugares en los que se registraron o etiquetaron, sitio web, personas o páginas que siguen, y las 15 búsquedas más recientes.
  • Un millón de usuarios restantes de Facebook no tenían datos personales accesibles por los atacantes.

El ejecutivo de Facebook también ha aclarado que los atacantes no accedieron a información de datos de otras aplicaciones como Messenger, Messenger Kids, Instagram, WhatsApp, Oculus, Workplace, Pages, pagos, aplicaciones de terceros o cuentas de publicidad o desarrolladores.

Cómo verificar el hackeo a Facebook

Los usuarios pueden verificar si su cuenta se encuentra entre las comprometidas accediendo al Centro de Ayuda de la red social.

Facebook también agregó que la compañía informará directamente a los 30 millones de usuarios afectados para explicar a qué información podrían haber accedido los atacantes, junto con los pasos que pueden tomar para protegerse de correos electrónicos, mensajes de texto o llamadas sospechosas.

Hasta el momento, no se conoce la identidad de los ciberdelincuentes que llevaron a cabo el ataque. Facebook dice estar trabajando con el FBI, la Comisión Federal de Comercio de los EE. UU y otros departamentos nacionales e internacionales para concretar quién podría estar detrás de esta violación de seguridad y si estaban atacando a alguien en particular.

]]>
https://www.muyseguridad.net/2018/10/14/hackeo-a-facebook-2/feed/ 0
WhatsApp pudo hackearse desde una simple videollamada https://www.muyseguridad.net/2018/10/11/whatsapp-videollamadas/ https://www.muyseguridad.net/2018/10/11/whatsapp-videollamadas/#respond Wed, 10 Oct 2018 22:02:02 +0000 https://www.muyseguridad.net/?p=35402 WhatsApp videollamadas

Investigadores de seguridad del proyecto Google Project Zero, han publicado una prueba de concepto y los detalles técnicos de una vulnerabilidad en WhatsApp que permitió hackear terminales cuando los usuarios respondían a una videollamada.

Desde el programa de seguridad de Google alertaron a WhatsApp de esta vulnerabilidad que afectó a la app móvil para sistemas operativos iOS y Android. El fallo ha sido reparado recientemente por lo que se aconseja a los usuarios actualizar la aplicación a la última versión.

La vulnerabilidad es del tipo ‘memory heap overflow‘ y se produce al recibir un paquete RTP (protocolo de transporte en tiempo real) en una petición de videollamada especialmente diseñada. Si los usuarios respondían, los ciberpiratas podían tomar el control de los terminales y bloquearlos.

“Es muy serio”, escribió Travis Ormandy, el investigador de Google Project Zero que descubrió el fallo; “Sólo responder a una llamada de un atacante podía comprometer completamente a WhatsApp”.

Facebook, y sus empresas, no levantan cabeza en materia de seguridad. Aunque la vulnerabilidad de WhatsApp no tiene el mismo nivel de peligrosidad y en principio con bajo riesgo de privacidad, llega después del error de seguridad más grave de la historia de la compañía. cuando la compañía tuvo que reiniciar 90 millones de cuentas potencialmente comprometidas por un grupo desconocido que habría aprovechado varias vulnerabilidades en la web de la red social.

Las nuevas versiones móviles de WhatsApp para iOS y Android reparadas (las versiones Web y de escritorio no están afectadas) ya están disponibles y se recomienda la actualización a todos los usuarios.

]]>
https://www.muyseguridad.net/2018/10/11/whatsapp-videollamadas/feed/ 0
Cierra Google+ después de una violación masiva de datos https://www.muyseguridad.net/2018/10/09/cierra-google-plus/ https://www.muyseguridad.net/2018/10/09/cierra-google-plus/#comments Mon, 08 Oct 2018 22:01:51 +0000 https://www.muyseguridad.net/?p=35399 Cierra Google+

Google ha anunciado el cierre de su red social Google+ para el mercado de consumo en los próximos diez meses y ha revelado una violación masiva de datos que no fue comunicada en su momento.

Una vulnerabilidad en Google+ expuso los datos personales de hasta 500.000 usuarios entre el año 2015 y marzo de 2018, ha explicado el gigante de Internet en un comunicado que ha sorprendido al no haberse hecho público en su momento la vulnerabilidad y por sus consecuencias que llevan al cierre de la red social para el segmento de consumo.

Según un informe publicado por el Wall Street Journal, la compañía no reveló la vulnerabilidad cuando la reparó en marzo ante los “daños reputacionales” y porque “no quería que los legisladores la sometieran a un examen normativo”. El CEO de Google, Sundar Pichai, fue informado sobre la decisión de no revelar la vulnerabilidad después que un comité interno hubiera decidido el plan, explica WJS. 

Google dice que encontró el error como parte de una revisión interna llamada Project Strobe, una auditoría iniciada a principios de este año que examina el acceso a los datos de los usuarios desde cuentas de Google por parte de desarrolladores de software de terceros. 

El error permitió a esas aplicaciones acceso a la información privada en el perfil de usuario de Google+. Ello incluyó detalles como direcciones de correo electrónico, género, edad, imágenes, estados de relaciones, lugares vividos y ocupaciones. Hasta 438 aplicaciones en Google+ tuvieron acceso a esta API “People”, aunque la compañía dice que “no tienen pruebas que los desarrolladores fueran conscientes de la vulnerabilidad”.

Google asegura que el compromiso del usuario fue “bajo” y que no encontró evidencias de un mal uso de los datos, aunque “no puede confirmar los usuarios afectados por este error porque el registro de esta API dura solo dos semanas”.

Cierra Google+

“La revisión resaltó los desafíos significativos para crear y mantener un Google+ exitoso que cumpla con las expectativas de los consumidores”, explica Ben Smith, vicepresidente de ingeniería de Google. Dados estos desafíos y el uso muy bajo hemos decidido cerrar la versión para consumidores de Google+.

La compañía ha admitido que Google+ nunca obtuvo el éxito esperado y actualmente el 90% de las sesiones de usuarios de Google+ duran menos de cinco segundos. Google+ continuará como un producto enfocado para usuarios empresariales. Es, con mucho, el uso más popular de la red social y la compañía la impulsará con nuevos productos centrados en la empresa. 

Google+ para consumo será mantenido los próximos 10 meses (hasta el mes de agosto) para que los usuarios puedan migrar sus datos personales y acostumbrarse a la transición. No es sorpresa el cierre de esta red social. La sorpresa es que se produzca por motivos de seguridad y que Google no parezca ser capaz de dar respuesta a ello.

También a debate porqué la compañía no informó en su momento de esta vulnerabilidad. El caso llega días después de conocer el hackeo a Facebook, con el escándalo de Cambridge Analytica aún presente y en medio de un escrutinio general sobre las prácticas de privacidad de las grandes tecnológicas.

]]>
https://www.muyseguridad.net/2018/10/09/cierra-google-plus/feed/ 1
La configuración errónea de la nube es una amenaza para la seguridad https://www.muyseguridad.net/2018/10/08/configuracion-erronea-de-la-nube/ https://www.muyseguridad.net/2018/10/08/configuracion-erronea-de-la-nube/#respond Sun, 07 Oct 2018 22:02:26 +0000 https://www.muyseguridad.net/?p=35395 configuración errónea de la nube

Una encuesta a 300 profesionales de TI realizada por el proveedor de seguridad de infraestructura en la nube, Fugue, reveló que la mayoría de las empresas son vulnerables a problemas de seguridad causados ​​por una configuración de la nube errónea, incluidas las violaciones de datos y los eventos de inactividad del sistema.

Por supuesto, este informe (como cualquier informe patrocinado por un proveedor) es de autoservicio. Pero es un aviso porque refleja una cuestión que se ve en el mundo real: 

  • Nueve de cada diez encuestados tienen preocupaciones reales acerca de los riesgos de seguridad debidos a una mala configuración. Menos de un tercio los monitorea continuamente.
  • Los equipos informan una frecuencia de 50 o más configuraciones erróneas cada día, sin embargo, la mitad de los equipos solo revisan las alertas y resuelven los problemas en un período de tiempo diario o mayor, lo que lleva a períodos de vulnerabilidad de la infraestructura peligrosamente largos.

Una mala configuración significa que las instancias del servidor de nube pública, como el almacenamiento y el procesamiento, están configuradas de tal manera que son vulnerables a las infracciones. Por ejemplo, la Agencia de Seguridad Nacional estadounidense recientemente tuvo un momento embarazoso cuando alguien pudo acceder a documentos seguros desde su instancia de Amazon S3 con solo un navegador. Fue un ejemplo clásico de configuración errónea. 

La realidad es que la configuración de la nube pública es compleja, requiere capacitación especializada y, si no se realiza correctamente, significa que cualquier sistema de seguridad que coloque sobre la nube no podrá evitar que los piratas informáticos roben información. 

Los especialistas aconsejan tener en cuenta tres aspectos principalmente:

  1. Entiende que las configuraciones son parte de la seguridad. A menudo no se considera. 
  2. Utiliza una herramienta de seguridad de terceros que pueda ver las configuraciones constantemente. De esa manera, no dependerás de lo que la nube nativa esté diciendo; en su lugar, proporciona una verificación independiente constante y alertas cuando las cosas están mal configuradas.
  3. Contrata a evaluadores de seguridad externos para asegurarse de que todo esté configurado correctamente. A menudo, este tipo de auditorías encuentran problemas que un cliente no pudo ver.

Las complejidades de la computación en la nube y la posibilidad de error humano, son patentes. Se recomienda no escatimar en la planificación de la seguridad antes de la implementación ni en la validación de la seguridad después de la implementación.

]]>
https://www.muyseguridad.net/2018/10/08/configuracion-erronea-de-la-nube/feed/ 0
¿Infiltró China chips maliciosos en los servidores de Apple y Amazon? https://www.muyseguridad.net/2018/10/05/chips-maliciosos-en-los-servidores-de-apple-y-amazon/ https://www.muyseguridad.net/2018/10/05/chips-maliciosos-en-los-servidores-de-apple-y-amazon/#comments Thu, 04 Oct 2018 22:02:21 +0000 https://www.muyseguridad.net/?p=35388 chips maliciosos en los servidores

Un artículo de Bloomberg ha levantado ampollas en departamentos de seguridad e inteligencia al asegurar que una unidad especializada del Ejercito chino utilizó un proveedor de Apple y Amazon (Super Micro) para infiltrar chips maliciosos en los servidores.

El medio citó a 17 fuentes anónimas de inteligencia y de compañías para indicar que los espías chinos habían instalado chips dentro de los equipos de 30 empresas, además de múltiples agencias gubernamentales estadounidenses para acceder a sus redes internas.

Bloomberg dice que los ciberespías chinos comprometieron la cadena de suministro de tecnología de Estados Unidos y en concreto productos de la compañía de hardware Super Micro.

Bloomberg afirma que Apple y Amazon descubrieron los chips por primera vez e independientemente en 2015 y que las compañías informaron sus hallazgos al FBI, lo que provocó una investigación que continúa en curso. El informe alega que los pequeños chips, disfrazados para parecerse a otros componentes o incluso colocados en la fibra de vidrio de las placas base, estaban conectados al procesador de gestión, lo que les brindó un acceso de gran alcance tanto a la red como a la memoria del sistema. 

El informe dice que los chips se conectarían a ciertos sistemas remotos para recibir instrucciones y luego podrían hacer cosas como modificar el sistema operativo en ejecución para eliminar la validación de la contraseña, abriendo así la máquina a los atacantes remotos.

En respuesta al descubrimiento, Bloomberg dice que Apple desechó unos 7.000 servidores Super Micro en sus centros de datos, y Amazon realizó algo similar. Apple terminó su relación con Super Micro en 2016, aunque mantuvo que se debía a razones comerciales.

Apple, Amazon y Super Micro niegan chips maliciosos en los servidores

Super Micro, Apple y Amazon han negado las conclusiones de Bloomberg. Amazon ha explicado que “no habían hallado pruebas que respaldasen las acusaciones de chips maliciosos o modificaciones en el hardware”.

Por su parte, Apple, aseguró que “no habían encontrado nunca chips maliciosos en los servidores o manipulaciones en el hardware”. Además, sugieren que Bloomberg habría confundido el incidente de 2016 en el que se encontró un servidor Super Micro con firmware infectado con malware en el laboratorio de diseño de Apple.

Super Micro también niega la información y asegura que “nunca ha encontrado chips maliciosos, ni ningún cliente, ni agencia gubernamental le ha informado que se hayan encontrado dichos chips” en sus placas base. La firma de hardware va en ese mismo sentido que Apple:

“Estamos profundamente decepcionados de que en sus relaciones con nosotros, los reporteros de Bloomberg no hayan estado abiertos a la posibilidad de que ellos o sus fuentes estén equivocados o mal informados. Nuestra mejor suposición es que están confundiendo su historia con un incidente en 2016 en el que descubrimos un controlador infectado en un solo servidor Supermicro en uno de nuestros laboratorios. Se determinó que ese evento único fue accidental y no un ataque dirigido contra Apple“. 

]]>
https://www.muyseguridad.net/2018/10/05/chips-maliciosos-en-los-servidores-de-apple-y-amazon/feed/ 2
Google mejora la seguridad de las extensiones de Chrome https://www.muyseguridad.net/2018/10/03/extensiones-de-chrome-2/ https://www.muyseguridad.net/2018/10/03/extensiones-de-chrome-2/#respond Tue, 02 Oct 2018 23:57:19 +0000 https://www.muyseguridad.net/?p=35384 extensiones de Chrome

Las extensiones o complementos en los navegadores son una fuente preferente para instalación de malware. Se cuentan por miles y son tremendamente populares, de ahí que los ciberdelincuentes hayan encontrado un buen método para distribuirlo.

Google ha intentado seguras las extensiones de Chrome y hace poco deshabilitó las instalaciones en línea para las extensiones existentes, lo que significa que si tienes extensiones instaladas en Chrome desde sitios web de terceros, te redirigirá automáticamente a la Chrome Web Store para completar la instalación.

El próximo diciembre, Google retirará la API de instalaciones en línea. La primera versión sin ella será Chrome 71. La compañía aconseja a los desarrolladores de extensiones que redirijan a los usuarios a la tienda oficial Chrome Web Store. Los que no lo hagan no tendrán más remedio que retirarlas. Google dice que esto beneficiará a los usuarios en el futuro “haciendo de Chrome un lugar más seguro para tus necesidades de navegación”.

Hace unos meses también anunció el bloqueo de extensiones de Chrome instaladas desde sitios de terceros, permitiendo únicamente las instaladas desde la tienda oficial.

Cambios en las extensiones de Chrome

Esta misma semana, Google ha anunciado cambios importantes para mejorar la seguridad y experiencia de estos complementos, muy útiles para ampliar las funcionalidades del navegador, pero fuente preferente de distribución de malware:

  • Controles de usuario para permisos de host. partir de Chrome 70, los usuarios tendrán la opción de restringir el acceso de host de extensiones en una lista personalizada de sitios o configurarlas para requerir un clic para obtener acceso a la página web. 
  • Cambios en el proceso de revisión de extensiones. En el futuro, las extensiones que soliciten permisos avanzados estarán sujetas a una revisión de cumplimiento adicional. Google también analizará detenidamente las extensiones que usan código alojado remotamente, con monitoreo continuo.
  • Nuevos requisitos de legibilidad del código. A partir de hoy, Chrome Web Store ya no permitirá extensiones con código ofuscado. Esto incluye el código dentro del paquete de extensión, así como cualquier código externo o recurso extraído de la web. Esta política se aplica inmediatamente a todas las nuevas presentaciones para la aprobación de extensiones.
  • Verificación en dos pasos. En 2019, se requerirá la verificación en dos pasos para las cuentas de desarrollador de Chrome Web Store.
  • Manifest v3. Google presentará en 2019 la próxima versión de este regulador para extensiones, que implicará cambios adicionales para crear mayores garantías de seguridad, privacidad y rendimiento.
]]>
https://www.muyseguridad.net/2018/10/03/extensiones-de-chrome-2/feed/ 0
10 cosas que debes conocer del hackeo a Facebook https://www.muyseguridad.net/2018/10/01/hackeo-a-facebook/ https://www.muyseguridad.net/2018/10/01/hackeo-a-facebook/#respond Sun, 30 Sep 2018 22:02:00 +0000 https://www.muyseguridad.net/?p=35374 hackeo a Facebook

El hackeo a Facebook del pasado viernes es una más de las polémicas en las que está envuelta la primera red social mundial. Seamos claros, en materia de seguridad y privacidad, el suspenso es manifiesto desde su lanzamiento.

Aún sin resolver el escándalo de Cambridge Analytica,  el pasado viernes al conocerse un nuevo problema de seguridad, que ha obligado a la compañía a reiniciar 90 millones de cuentas potencialmente comprometidas por un grupo desconocido que habría aprovechado varias vulnerabilidades en la web de la red social.

No ha sido el único incidente de la semana, en otro caso afectando a la privacidad, cuando conocíamos cómo Facebook convierte la seguridad en negocio vendiendo los números de teléfono 2FA proporcionados por los usuarios con el objetivo de mejorar la seguridad en el acceso a servicios de Internet, para enviar anuncios publicitarios personalizados.

Hackeo a Facebook

Facebook caía con fuerza en bolsa ante lo que se cree que es el error de seguridad más grave de la historia de la compañía. El vicepresidente de producto de Facebook, Guy Rosen, compartió algunos detalles que nos permiten acercarnos a esta violación:

  1. Un pico de tráfico inusual a comienzos de semana reveló un ciberataque masivo en curso desde el 16 de septiembre, con el objetivo de robar datos de millones de usuarios de Facebook.
  2. Los atacantes combinaron tres vulnerabilidades de Facebook, especialmente grave la del cargador de vídeos.
  3. Los atacantes robaron tokens de acceso secretos para 50 millones de cuentas, que podrían utilizar para su control.
  4. Facebook restablece tokens de acceso para 90 millones de cuentas en respuesta a la violación masiva.
  5. Las contraseñas de las cuentas no se ha comprometido, pero no son buenas noticias. Ni siquiera era necesario, porque pueden usar los tokens para obtener información de cada cuenta sin tener la contraseña o código de autenticación de dos factores.
  6. Los piratas informáticos descargaron la información privada de los usuarios mediante la API de Facebook.
  7. Dado que los tokens secretos permiten a los atacantes acceder a las cuentas como propietarios, les podría haber permitido acceder a otras aplicaciones de terceros que usaban el inicio de sesión de Facebook.
  8. Instagram, Spotify, Tinder, Airbnb y otros servicios también pueden estar afectados al estar vinculados a Facebook.
  9. La violación no parece estar conectada con el pirata informático que se comprometió a eliminar la página personal del CEO de Facebook, Mark Zuckerberg.
  10. Facebook se enfrenta a una demanda colectiva en The Massive Hack. Justo después de que las noticias del hackeo a Facebook se hicieran públicas, dos residentes de California y Virginia, presentaron una demanda colectiva contra la compañía.

Recomendamos a todos los usuarios la comprobación de las sesiones activas en Facebook para descubrir si sus cuentas han sido pirateadas. Muchos usuarios de Facebook han notado direcciones IP desconocidas de ubicaciones extranjeras que aparentemente habían accedido a las cuenta sin autorización. Se puede revisar en “Configuración de cuenta > Seguridad e inicio de sesión”. Si encuentras alguna sesión sospechosa puedes revocar el acceso con un solo clic.

]]>
https://www.muyseguridad.net/2018/10/01/hackeo-a-facebook/feed/ 0