Tecnometro

Durante años, Google ha dado a los usuarios de Chrome la opción de navegar por la web sin necesidad de iniciar sesión.

Pero el domingo, un experto en seguridad escribió que Google había cambiado discretamente los requisitos, por lo que cuando los usuarios inician sesión en un servicio de Google, como Gmail, Chrome iniciará  automáticamente en tu cuenta sin consentimiento.

Google metió los nuevos requisitos de inicio de sesión en la última actualización de Chrome sin notificar a los usuarios, Matthew Green, un experto en criptografía y profesor de la Universidad Johns Hopkins, dijo en una publicación de su blog el domingo.

Al iniciar sesión, los usuarios de Chrome podrían enviar involuntariamente los datos de su navegador a Google, según Green. Reveló que había contactado a los encargados de Chrome y que le habían dicho que el hecho de haber iniciado sesión en Chrome no significaba que la información de navegación de un usuario se enviara a Google. Los usuarios aún necesitarían activar la "función de sincronización" antes de que se produzca una transferencia de datos.

Y aquí es donde Green, quien también dijo que había dejado de usar Chrome, reservó algunas de sus críticas más duras para Google. Llamó a la página de consentimiento de Chrome un "patrón oscuro", un término común que se refiere a una interfaz de usuario diseñada para engañar o engañar a las personas.

"Ahora que me veo obligado a iniciar sesión en Chrome", escribió Green, "me enfrento a un nuevo menú (consentimiento de sincronización) que nunca había visto antes".

Sugirió que esto podría llevar a los usuarios a dar su consentimiento por error. Agregó que antes del cambio de inicio de sesión reciente, un usuario tenía que ingresar sus credenciales para iniciar sesión y luego dar su consentimiento para la sincronización. Ahora, los usuarios están a un solo clic, posiblemente accidental, que les permite pasar su historial de navegación a Google.

Para asegurarse por si acaso, les muestro como desactivar la autosincronización de Chrome:

En Mac:
Debe abrirse la terminal y correr los siguientes comandos.

defaults write com.google.Chrome SyncDisabled -bool true
defaults write com.google.Chrome RestrictSigninToPattern -string ".*@example.com"

La primera línea desactivará la funcionalidad de Sincronización de Chrome, asegurando que no se cargue nada a Chrome Sync. La segunda línea solo permitirá a los usuarios con direcciones de correo electrónico de example.com iniciar sesión en Chrome: dado que NADIE tiene una dirección de correo electrónico de example.com que les permita iniciar sesión en Google, nadie puede iniciar sesión en el navegador. Esas 2 líneas devolvieron la barra de mi navegador a su estado original: puedo iniciar sesión en Gmail sin que la barra de ubicación del navegador muestre el ícono de mi cuenta.


En Windows:
Para hacerlo en Windows (con o sin una cuenta de inicio de sesión de computadora Active Domain), puedes usar un archivo de registro.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Policies\Google\Chrome]
"SyncDisabled"=dword:00000001
"RestrictSigninToPattern"=".*@example.com"

Guarda el texto anterior en un archivo disablesync.reg en el bloc de notas y haz doble clic en él (o ejecuta reg import disablesync.reg en una línea de comandos).

A partir de Chrome 69, esto funciona. Dada la forma en que se produjo esta transición, no hay garantía de que las futuras versiones de Chrome sigan funcionando del mismo modo, pero dado que la oferta empresarial de Chrome probablemente necesite soportar restricciones de este tipo, supongo que algo similar seguirá siendo compatible.

Ang Cui experto en Embedded Security (Seguridad integrada) muestra en una presentación (Print Me If You Dare) en Chaos Communications Congress (28C3) como hacer ingeniería inversa al proceso de actualización de los firmwares de varios modelos de impresoras HP.

Cui descubrió que él podría cargar software mal intencionado integrándolo en un documento malicioso o teniendo la impresora en línea. Cui hizo dos demostraciones: en la primera el mando un documento que contiene una versión maliciosa de sistema operativo(VxWorks, LynxOS) que luego lo envía a una dirección IP en internet, con esto podrías espiar los documentos importantes de una empresa o institución gubernamental, en la segunda demostración el entro a una impresora remota mediante un documento malicioso, causando así que la impresora pueda escanear la LAN en búsqueda de computadoras vulnerables lo cual le "permitiría tener acceso a través del Firewall".


Esta es una forma muy interesante de aplicar ingeniería inversa, por ejemplo, imagina que envías tu currículo (documento malicioso) al Departamento de Recursos Humanos de alguna empresa esperando ser impreso, al imprimirse este se apodera de la LAN.

¿Como Cui puede hacer esto?

El analizo los archivos de firmware de las impresoras HP (archivos .RFU); el escribió un Parser para los archivos RFU(200 líneas de código en Python) y encontró ciertas vulnerabilidades con códigos que le dan acceso a comandos PJL (Printer Jobs Language).

Cui notifico de su descubrimiento a HP y ya existen actualizaciones para los firmwares que corrigen esta brecha. Cui explica que este tipo de vulnerabilidad existe en impresoras que no son de HP, por ejemplo el PostScript hacking.


Para mayores detalles ver el video (en ingles).

MySQL.com (el sitio oficial de la base de datos MySQL) se vio comprometida a través de (Chocante) inyección SQL a ciegas. Un mensaje fue enviado a la lista Full Disclosure explicando el problema y mostrando parte de la estructura de la base de datos interna.

Al parecer, su aplicación para ver clientes se utilizó como punto de entrada. Aquí es donde los atacantes fueron capaces de enumerar las bases de datos internas, tablas y contraseñas. Si tienes una cuenta en MySQL.com, se recomienda cambiar las contraseñas lo antes posible (sobre todo si acostumbras a utilizarla en varios sitios).

Lo que es peor es que también se publicó línea las contraseñas para ser descargadas y algunas personas empezaron a crackear ya. Algunos de los resultados son bastante malos, al igual que la contraseña utilizada por el Director de Gestión de Producto de MySQL, que tiene sólo 4 números. Múltiples contraseñas de administrador para blogs.mysql.com también se publicaron.

Los hackers podrían romper o robar tu contraseña, pero pueden escribir como tu?

La compañía japonesa NTT Communications ha desarrollado un sistema de seguridad de computadoras que analiza la forma en que los usuarios mecanografian en la computadora, y luego se comprueba contra un perfil de los usuarios autorizados para detectar si la persona en el teclado es un impostor.

El sistema, llamado Key Touch Pass, registra la velocidad a la que un usuario está escribiendo, la longitud de tiempo que normalmente mantenga pulsada las teclas y los errores que normalmente hacen.

Cada pocos cientos de caracteres comprueba esto en contra de un perfil de usuario que se supone que se conectó a la computadora. Si los dos difieren en más de un umbral predeterminado, el sistema llega a la conclusión de que el usuario de la computadora no es el que debe ser.

Los usuarios lo odian. Son el dolor de cabeza masiva a los administradores de red. Pero a menudo los departamentos de TI, no obstante el mandato: horario regular de los cambios de contraseña, parte de una política destinada a aumentar la seguridad informática.

Ahora una nueva investigación demuestra lo que probablemente haya sospecha desde la primera vez que se te anuncia que tu contraseña ha caducado y que necesitas crear una nueva. Esta medida de seguridad presume es poco más que una gran pérdida de tiempo, informa el Boston Globe.

Microsoft llevó a cabo el estudio para evaluar la eficacia con frecuentes cambios de contraseña de frustrar los ataques cibernéticos, y encontró que el consejo en general no tiene mucho sentido, ya que, como señala el estudio, si alguien que obtiene tu contraseña va a usarla inmediatamente, no sentarse con ella durante semanas hasta que haya una oportunidad de cambio. "Eso es tan poco probable como un ladrón levantar una llave de la casa y luego esperar hasta que la cerradura sea cambiada antes de que pueda abrir la puerta", dice el Globe.

En el lado positivo, el cambio de tu contraseña no es perjudicial, ya sea, a menos que utilices contraseñas obvias o demasiado cortas. Muchos usuarios se ven obligados a cambiar su contraseña con demasiada frecuencia recurren a ellas por escrito en notas pegadas a su monitor, lo cual es posiblemente el peor comportamiento que en la seguridad informática se puede realizar.

Más bien, los cambios frecuentes contraseña son simplemente una pérdida de tiempo y, por tanto, dinero. De acuerdo con el investigador de Microsoft cálculos muy generales: Para ser viable económicamente, cada minuto por día que los usuarios de computadoras pasan en el cambio de contraseñas (o en cualquier medida de seguridad) deben producir 16 mil millones de dólares en ahorros anuales de los daños evitados. No se puede citar una estadística real sobre las pérdidas de los cambios de contraseña, pero pocos que son cerca de los $16 mil millones al año.

En pocas palabras, los departamentos de TI al hacer los mandatos de cambio de contraseña. Estás sólo la creando trabajo extra para ustedes mismos y que el resto de nosotros odia.

Una estafa de un nuevo malware, está tratando de engañar a los usuarios en BitTorrent con una importante cantidad de dinero por la descarga ilegal de material con derechos de autor.

El código muestra un cuadro con el mensaje “Warning! Piracy detected!”, Y abre una página web supuestamente dirigida por una empresa suiza con "el compromiso de promover los beneficios culturales y económicos del derecho de autor."

La empresa falsa, la ICCP Foundation, afirma también estar respaldada por la Asociación de la Industria de Grabación de América, la Motion Picture Association of America y otros. "Parece que escanea el disco duro del usuario y busca archivos Torrent y los muestra como prueba de una infracción", escribió TorrentFreak, que reveló por primera vez el programa malicioso.

A las víctimas se les advierte de la posible pena de prisión y multas, y la opción de "resolver" el "caso" haciendo un pago por única vez de $400, con tarjeta de crédito.

La estafa parece destinada a capitalizar la reciente noticia de que una asociación de cineastas independientes se dirige a miles de usuarios de BitTorrent en los juicios federales, con el objetivo de llegar a los asentamientos rápido.

Mozilla lanzó Firefox 3.6.3 ayer jueves para cerrar un agujero de seguridad crítico.

El agujero, un defecto de corrupción de memoria, podría haber dejado a un atacante remoto ejecutar código malicioso en el ordenador de una persona.

El problema no afecta a Firefox 3.5 o versiones anteriores, dijo Mozilla.

Mozilla lanzó Firefox 3.6.2 poco más de una semana antes, también por razones de seguridad.

El concurso anual Pwn2Own en la feria de seguridad CanSecWest en Vancouver ofrece a los hackers y expertos en seguridad la oportunidad de demostrar su capacidad y tratar de burlar la seguridad de varios dispositivos y software, donde tuvieron éxito este año.

Casi todos los principales navegadores: Firefox, Safari y IE8 fueron saboteados en el concurso. El iPhone también fue hackeado y su base de datos de SMS robada.

Vincenzo Iozzo y Ralf Philipp Weinmann enviaron un mensaje del iPhone a un sitio web que habían creado, estrellándose su navegador y luego robando toda su base de datos de SMS (incluyendo algunos de los mensajes borrados). Es posible, sin embargo, para establecer un ataque similar que funcione sin que se caiga el navegador, los piratas informáticos indicaron, y configurar las cargas de ataque diferentes. Iozzo y Weinmann ganaron un premio de 15,000 dólares por demostrar con éxito el ataque. Los detalles sobre el ataque serán liberados una vez que Apple sea notificado y el agujero de seguridad parcheado.

Charlie Miller, analista principal de seguridad en Independent Security Evaluators, logró hackear Safari en un MacBook Pro sin acceso físico, con lo que ganó 10,000 dólares. Nils (sin apellido determinado), jefe de investigación en el Reino Unido de MWR InfoSecurity, ganó 10,000 dólares por el hackeo de Firefox, y el investigador de seguridad independiente Peter Vreugdenhil ganó la misma cantidad por el hacking IE8. Todos los ataques fueron realizados desde el navegador, al visitar un sitio web malicioso, aunque los detalles no son revelados, Cnet tiene más información técnica sobre los ataques.

Un distrito escolar de Filadelfia que, aparentemente, dio a sus alumnos computadoras portátiles que incluye un software oculto que permite a los funcionarios de distrito encender en secreto las webcams de las portátiles y supervisar las actividades de los estudiantes, sin importar dónde se encontraban. Todo esto salió a la luz cuando un estudiante fue sancionado por "conducta impropia en su casa" con una foto del niño, tomada de su webcam como evidencia. El distrito está siendo demandado por ello. Es bastante impresionante que alguien pensara que esto era una buena idea. Espiar a los niños en sus hogares cuando tienen una expectativa real de la vida privada es francamente horrible. No es difícil ver cómo esto podría ser objeto de abuso de manera muy peligrosa.

Y al parecer esto es más común de lo que pensaba. Un reciente episodio de PBS Frontline acerca de la tecnología en las escuelas, muestra a un oficial de la escuela que muestra con orgullo la capacidad de espiar a los niños de esta manera (así, mediante la emulación de un escritorio remoto, en lugar de convertirlas en cámaras web, pero muchos de los niños parecen usar mucho sus webcams). Esa parte del vídeo se inicia a las 4:37 y hasta muestra una foto de una chica:



Parece que el director cree que es divertido espiar a los niños.

Mucha gente se despertó en la mañana y esto fue el primer saludo que recibieron:

Hace un tiempo, Microsoft lanzó el ".NET Framework Assistant" como un complemento de Firefox. Hoy en día, Firefox ha bloqueado para desactivar una vulnerabilidad de seguridad que lo afecta. Así que si esto sucede a su navegador Firefox, no te preocupes, es sólo un arreglo de seguridad.

Mozilla tomó nota de esta actualización en su blog de Seguridad.

Ars Technica tiene una revisión de investigaciones recientes, y un resumen de la historia, en el ámbito de reidentificación - personas que se identifican a partir de datos anónimos. Un reciente trabajo de Paul Ohm habla de los términos de una realidad central de recogida de datos: "Los datos pueden ser útiles o perfectamente anónimos, pero nunca ambos."

"... en 2000, [investigador Latanya Sweeney] mostró que el 87 por ciento de todos los estadounidenses podrían ser identificados de forma unívoca sólo con tres bits de información: código postal, fecha de nacimiento y sexo. ... Para casi todas las personas en la tierra, hay al menos un hecho de ellos almacenados en una base de datos que un adversario podría utilizar para chantajear, discriminar, acosar, o robar la identidad de él o ella. Me refiero más que la mera incomodidad o molestias, quiero decir, los daños reconocidos legalmente. .. . la ciencia de la reidentificación interrumpe el panorama de la política de privacidad, al socavar la fe que han depositado en forma anónima. "

Empezando con las versiones 3.0.14 y 3.5.3 de Firefox, Mozilla va a comprobar la versión instalada de plug-ins de Adobe Flash y advertir a los usuarios si se descubre una versión antigua con agujeros de seguridad potenciales. Mozilla confirmó esta nueva característica de seguridad y dijo que la comprobación de la versión de Flash fue parte de un compromiso más amplio de "proteger a los usuarios de las nuevas amenazas en línea". Recientemente, un estudio confirmó que el 80 por ciento de los usuarios navega con una versión vulnerable de los plug-in de Adobe.

Científicos en computación en Japón dicen que han desarrollado una forma de romper el sistema de cifrado WPA que utilizan los enrutadores inalámbricos en aproximadamente un minuto.

El ataque le da a los hackers una forma de leer el tráfico cifrado enviado entre computadoras y ciertos tipos de routers que utilizan el WPA (Wi-Fi Protected Access) del sistema de cifrado. El ataque fue desarrollado por Toshihiro Ohigashi de la Universidad de Hiroshima y Masakatu Morii de la Universidad de Kobe, quienes planean discutir los detalles adicionales en una conferencia técnica establecida para 25 de septiembre en Hiroshima.

En noviembre pasado, dos investigadores de seguridad WPA mostraron por primera vez cómo se podía romper, pero los investigadores japoneses han tomado el ataque a un nuevo nivel, de acuerdo con Dragos Ruiu, organizador de la conferencia de seguridad PacSec donde se demostró el primer WPA hack.

Los investigadores japoneses discuten su ataque en un documento presentado en el Seminario Conjunto sobre Seguridad de la Información, celebrado en Kaohsiung, Taiwán a principios de este mes.

El ataque anterior, desarrollado por los investigadores de Martin Beck y Erik Tews, trabajó en un rango menor de dispositivos WAP y tomó entre 12 y 15 minutos para trabajar. Ambos ataques sólo funcionan en los sistemas de WPA que utiliza el algoritmo del Protocolo de integridad de clave temporal (TKIP). Ellos no trabajan en nuevos dispositivos o WPA2, tampoco en los sistemas de WPA que utilizan un algoritmo más fuerte como el Advanced Encryption Standard (AES).

Los sistemas de cifrado utilizados por los routers inalámbricos tienen una larga historia de problemas de seguridad. El Wired Equivalent Privacy (WEP), introducido en 1997, fue roto sólo unos pocos años más tarde y ahora es considerado como completamente inseguro por los expertos en seguridad.

Como si estar bajo ataques DDoS no es suficientemente malo, esta semana Twitter se encuentra siendo el objetivo de otro tipo de amenaza. The Register informó recientemente que el popular servicio de redes sociales también se utiliza para dirigir una parte de las actividades de las botnets.

Según el informe, un analista de seguridad accidentalmente tropezo con una cuenta de Twitter siendo utilizada por botherders como un medio barato y eficaz de dirigir equipos infectados a sitios web donde pueden obtener más instrucciones.

Esta parece ser la primera vez que Twitter se ha utilizado como parte de una estructura de mando y control de la botnet. En el momento en que escribo este post, la cuenta maliciosa ya se ha sido sacada fuera de línea.

Para más detalles, puedes revisar el post original de Arbor Sert.

Twitter tranquilamente comenzó a chequear las URLs de los posts de los usuarios, una medida de seguridad encaminada a evitar enlaces a sitios de malware conocidos.

Como indica F-Secure, el servicio de microblogging "es cada vez más el blanco de los gusanos, spam y secuestro de cuentas" y puede filtrar los enlaces enviados a través de él.

Twitter no ha anunciado esta iniciativa.

Ahora, al enviar un enlace a un sitio fraudulento, se suprime el Tweet y parpadea el mensaje “Oops! Your tweet contained a URL to a known malware site!”

Seguir enlaces en tweets puede ser una proposición peligrosa, la dirección original se oculta a menudo a través de enlaces cortos de sitios como TinyURL y Bit.ly. En junio, Guy Kawasaki, un popular usuario de Twitter, inadvertidamente propago enlaces infectados de malware a través de uno de sus posts.

Esos enlaces cortos aún proporcionan una forma de estafa a los artistas en la propagación de malware a través de Twitter, ya que no bloquea el malware un sitio cuya URL se ha acortado. Bit.ly, sin embargo, utiliza un sistema de filtrado de spam para que cuando alguien haga clic en el vínculo pueda ir a una página de advertencia en lugar de ir a una llena de programas maliciosos.