SSL para las busquedas en Google

Desde el día ayer el popular motor de búsqueda de Google cuenta con cifrado SSL. Aunque otros servicios de la compañía como Gmail y Sites ya ofrecían este tipo de soporte de hace bastante tiempo, hasta ahora Google ha permitido a sus usuarios la posibilidad de realizar búsquedas bajo una conexión segura.

LEER MAS

Llama ya!!! que te quiero estafar

Hace poco reenvíe a mis compañeros de oficina una suculenta oferta de trabajo que había recibido en mi correo personal…una nueva compañía en expansión que se dedicaba a temas de construcción, diseño de paisajes y diseño de interiores …y, según ellos, que  después de un arduo proceso de seleccion yo era el mas capacitado para el puesto… la oferta del siglo!!! … a los que quieran apuntarse les dejo los requisitos mínimos 🙂

  • No tener antecedentes penales
  • Historia crediticia positiva y falta de obligaciones incumplidas
  • Acceso constante al Internet
  • Usuario avanzado de PC

Pues ahora me encuentro con otra suculenta oferta que tiene revuelto al personal…y con semejante oferta para no caer….el mejor móvil (teléfono celular) (según los expertos) actualmente en el mercado por 150€..y libre!!! y ademas te regalan otro movil por ser  el cliente del dia  😀 …. Llama ya!!! que te quiero estafar

”Interesado en oferta comunicarse por email” … Se pide información al supuesto vendedor sobre el producto, características en general y por supuesto las diferentes formas de pago para poder realizar una transacción “segura” quedando a la espera de una respuesta; al recibir la respuesta del “vendedor” entre haches y zetas y un traductor de palabras bajo el brazo ,para descifrar la contestación, nos cuenta que la transacción debe realizarse a la vieja usanza…tu pagas y yo te timo…que este no tiene idea del SSL, ni el paypal ni por lo menos el contra reembolso… “vendedor” que estara en un ciber cafe relamiendose los labios con el dinerillo que sacara de su proxima estafa.

Tirando del manual de CSI tenemos unos cuantos problemas…fraude online en 1er grado con falsificación de producto (si es que llega el producto a la mano del cliente); amenazas las cuales hemos tocado en diversas oportunidades aquí…se las dejo para refrescar la memoria…

Adjunto tambien otro articulo que sacan hoy en diarioti.com (17.3.10)

En 2009 el sector high-tech (telefonía, consolas, etc.) es el que más ha sufrido los intentos de venta ilegal.

En 2009, el 63% de los actos de falsificación detectados ha estado relacionado con el sector de la moda, en concreto con la ropa, la marroquinería, los relojes, los perfumes y los cosméticos.

En cuanto al sector de high-tech (telefonía, reproductores MP3, software, etc.) representa el 29% de los actos de falsificación. El sector cultural (videojuegos, consolas, libros, CDs y DVDs) corresponde el 6% de las falsificaciones.

En 2009 los productos de la marca Apple, la perfumería y los cosméticos han sido las principales víctimas de la falsificación. Por otra parte, se ha percibido un considerable aumento del fraude en Adidas (+210%), Samsung (+205%) y Nintendo (+131%).

Durante el año 2009, en más del 99% de los casos, los productos detectados no fueron puestos a la venta en PriceMinister ya que fueron bloqueados a tiempo. Así, en el último año, PriceMinister ha suspendido 2661 cuentas por motivos de falsificación o de atentando contra la distribución exclusiva llegando a constatar hasta 242 marcas que fueron víctimas del fraude frente a 240 detectadas en el 2008.

EN CONCLUSION:  cuidado con lo que compras, por donde lo compras y a quien se lo compras.

REVISAR:  Consejos para realizar compras “online” de forma segura

by komz





Miles de contraseñas de Hotmail, publicadas en Internet

Miles de contraseñas de Hotmail han sido pirateadas y publicadas de manera on-line. Microsoft investiga ya lo sucedido, que afectaría sobre todo a usuarios europeos cuyas cuentas empiecen por A o B y a los que se recomienda cambiar la contraseña.

Según la información que publica Neowin.net, un pirateo en Windows Live Hotmail o un timo del tipo phishing ha permitido que se conozcan los detalles de miles de cuentas de Hotmail, que han sido publicadas de manera on-line.

Al parecer, habría sido un usuario anónimo el que ha publicado los detalles de las cuentas en Pastebin.com, una página utilizada por desarrolladores para compartir datos de códigos. Aunque estos detalles ya han sido eliminados, Neowin asegura que son genuinos y que pertenecen, sobre todo, a usuarios europeos.

Así pues, los usuarios cuyas cuentas empiecen por las letras A o B podrían ser los más afectados, a los que se recomienda, cuando menos, cambiar su clave.

Responsables de Microsoft han asegurado a la BBC que están investigando lo ocurrido con el fin de poder tomar las medidas oportunas de la manera más rápida posible.

Cabe recordar que hace unos meses ya se advirtió de los problemas de seguridad a los que podrían tener que hacer frente las páginas web con SSL por no ser completamente seguras.

fuente: idg.es

hotmail_logo

Hackers destruyen SSL con la ayuda de 200 Playstation 3

Berlín se ha convertido en el centro de atención de la comunidad dedicada a la seguridad informática, al presentarse al público una información sorprendente: Un grupo de investigadores utilizaron el poder combinado de nada menos que 200 consolas PlayStation 3, logrando algo que podría poner de rodillas toda la estructura de seguridad que existe en Internet hoy en día: Quebraron el SSL.

MAS SOBRE ESTA NOTICIA

fuente: bad-robot.blogspot.com

ssl1

Investigadores consiguen hacer que cualquier certificado SSL parezca válido

Antes de que termine este año de catástrofes en la Red, un grupo de investigadores consiguen asestar otro golpe a una de las infraestructuras de Internet en la que se confía: la PKI (infraestructura de claves públicas). Aunque el impacto real será mínimo, se ha conseguido demostrar empíricamente que es posible falsificar cualquier certificado SSL y por tanto, que los navegadores den como válidos certificados falsos que harían aparecer páginas fraudulentas como legítimas.

fuente: laflecha

MÁS SOBRE ESTA NOTICIA

ssl


INseguridad en aplicaciones WEB

Si se consulta algún FAQ en cualquiera aplicación típica (antes de adquirirla), uno se quedará tranquilo ya que nos informaran de que la aplicación se ha desarrollado de forma segura. Por ejemplo: Este sitio es absolutamente seguro, ha sido diseñado con tecnología de 128 bit SSL para impedir a usuarios no autorizados que puedan ver cualquiera información no permitida. Podrá utilizar este sitio Web sin tener que preocuparse ya que datos están a salvo con nosotros.

En prácticamente cada caso, se piensan que por utilizar SSL ya las aplicaciones o el sitio Web es seguro. A menudo el usuario debe comprobar el tipo de certificación que utiliza el sitio, verificar los protocolos criptográficos que se utilizan, etc. De hecho, la mayoría de las aplicaciones Web son inseguras, y por lo general no tienen nada que ver con SSL. Se han realizado cientos de pruebas en los últimos años contra aplicaciones Web en donde se han encontrado diferentes categorías comunes de vulnerabilidades. A continuación paso a mencionar las mas comunes:

■ Broken authentication (67%) (Autenticación Rota) – Esta categoría de vulnerabilidad abarca varios defectos dentro del mecanismo de Login de la aplicación, que puede permitir a un atacante adivinar contraseñas débiles, lanzar un ataque de fuerza bruta o evitar la conexión totalmente.

■ Broken access controls (78%) (control de acceso rotos) – Esto implica casos en donde la aplicación falle en la protección correcta del acceso a sus datos y la funcionalidad, potencialmente permitiendo a un atacante ver los datos sensibles de otros usuarios del servidor, o realizar o tomar permisos haciendo escalado de privilegios.

■ SQL injection (36%) (Inyección de SQL) – Esta vulnerabilidad permite a un atacante introducir datos para interferir entre la interacción de una aplicación con bases de datos. Un atacante puede ser capaz de recuperar datos arbitrarios de la aplicación, interferir con su lógica o ejecutar órdenes sobre el mismo servidor de base de datos.

■ Cross-site scripting (91%) (XSS) – Esta vulnerabilidad permite a un atacante apuntar a otros usuarios de la aplicación, potencialmente ganando acceso a sus datos, realizando acciones no autorizadas o realizando otros ataques contra ellos.

■ Information leakage (81%) (Perdida de Información)– Esto implica casos donde una aplicación divulga información sensible que puede ser usada por un atacante la cual por ejemplo la podría utilizar para desarrollar un ataque contra la misma aplicación.

SSL es una tecnología excelente para proteger la confidencialidad y la integridad de datos durante el tránsito entre el browser (navegador) del usuario y el servidor web. Ayuda a defenderse contra (eavesdroppers) curiosos, como tambien puede proporcionar seguridad al usuario acerca de la identidad del servidor web con el que en un momento dado puedan negociar, pero esto no detiene ataques que van directamente contra el servidor o contra los componentes de una aplicación cliente, que es como la mayoria de los ataques operan hoy en dia. Específicamente, SSL no previene ningunas de las vulnerabilidades mencionadas anteriormente ya que Independientemente de que se utilice o no SSL, la mayor parte de las aplicaciones web todavía contienen fallos de seguridad.

by KomZ (vulnerability TEAM)

Múltiples vulnerabilidades en Cisco PIX y ASA

Se han encontrado múltiples vulnerabilidades en Cisco ASA 5500 Series Adaptive Security Appliances y Cisco PIX Security Appliances que podrían causar una denegación de servicio o permitir que un atacante se salte restricciones de seguridad.

* Debido a un problema en la autenticación en Microsoft Windows NT Domain, los dispositivos Cisco ASA y Cisco PIX podrían ser vulnerables al salto de la autenticación VPN. Esto significa que los dispositivos configurados para acceso remoto a VPN a través de IPSec o SSL podrían ser vulnerables.

* Se ha encontrado un fallo por el que un paquete IPv6 especialmente manipulado podría hacer que los dispositivos de seguridad Cisco ASA o Cisco PIX se reiniciasen (denegación de servicio). La vulnerabilidad sólo la pueden producir los paquetes destinados al dispositivo, no así los que pasen a través de él.

* Cisco ASA y Cisco PIX se podrían ver afectados por una fuga de memoria en el código de inicialización del hardware criptoacelerador. La vulnerabilidad podría ser disparada por una serie de paquetes destinados al dispositivo, no los que pasen a través de él. Los siguientes servicios podrían verse afectados ya que hacen uso del acelerador criptográfico: WebVPN, SSL VPN, ASDM (HTTPS), IPSec y SSH, entre otros.

Diferentes dispositivos Cisco ASA y Cisco PIX con versiones 7.x y 8.x se verían afectados dependiendo de la vulnerabilidad.

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20081022-asa.shtml

fuente: hispasec