Tag Archives: google

Fallo en OAuth y OpenID

Luego del fallo de corazón sangrante o HeartBleed, nos llega un nuevo fallo grave, esta vez en las herramientas del proceso de login OAuth y OpenID las cuales son utilizadas por muchos grandes cómo: Google, Facebook, Microsoft, and LinkedIn, entre otros.

 

oauth

El estudiante de doctorado Wang Jing, del Instituto de Tecnologías Nanyang de Singapur descubrió esta seria vulnerabilidad de Redirección encubierta (Covert redirect) basado un parámetro de explotación muy conocido.

Por ejemplo, alguien realizando un click en un enlace de phishing será dirigido a un enlace o pop-up en Facebook preguntándole si desea aprobar el uso de esta aplicación. En lugar de usar un dominio falso usarán un sitio de real! Si el usuarioelige autorizar el login los datos serán enviados al atacante en lugar del sitio legítimo, estos datos varían entre: dirección de correo, lista de contactos, fecha de nacimiento y hasta datos de cuenta como contraseña.

Independientemente de la elección de la víctima en cuanto a la autorización de la app serán re-dirigidos al sitio web que el atacante escoge, por lo que podría exponer más aún al usuario.

Wang indicó que ya ha contactado a Facebook, Google, LinkedIn y Microsoft, quienes han respondido sobre las diferentes estrategias que utilizarán para minimizar el daño del fallo y buscar lo más pronto posible una solución.

openID

 

 

 

 

Fuente: http://www.cnet.com/news/serious-security-flaw-in-oauth-and-openid-discovered/#ftag=CAD590a51e

(63)

Google Chrome agrega seguridad anti-malware

chromeEl popular navegador de Google agregó la función de bloqueo automático de malware!

Google apuesta por brindan mayor seguridad a los usuarios que prefieran su navegador.

Esta nueva función actuará cada vez que un usuario solicite descargar un contenido declarado ‘malicioso’. El navegador mostrará un mensaje de alerta en la parte inferior de la pantalla, al que el usuario podrá rechazar o aceptar.

Además, en la actual versión Canary de Chrome, el malware detectado queda automáticamente bloqueados y se desplega un mensaje que dice “descartar” en la parte inferior de la pantalla.

Por otra parte, cada día más de 10 mil nuevos sitios son marcados con la etiqueta de ‘Navegación segura‘, que de igual manera detecta y bloquea descargas maliciosas. Con ello se busca mantener a más de mil millones de usuarios lejos de las amenazas digitales.

Así que si usas Chrome asegúrate de tener la versión más actual en tu equipo y comienza a disfrutar de esta nueva forma de protección

(60)

Secure Gmail una opción para correos cifrados en esta plataforma

En estos días de tanta controversia sobre espionaje de aquí y de allá, en donde no nos queda dudas a ninguna sobre la exposición de nuestros datos en la red, podemos tomar medidas que nos permitirán el envío y recepción de correos cifrados en plataformas gratuitas y comerciales cómo gmail.

En este post queremos comentarles sobre una extensión de Chrome llamada Streak para cifrar el correo de gmail. Con esta herramienta podrás recibir y enviar correo cifrado a través de gmail, con ello evitarás que tu correo sea leído por los millones de ojos que parecen estar hoy detrás de nuestros datos.

Aunque es una herramienta útil hay que estar atentos a que sólo podrás compartir correos cifrados con quienes tengan instalada esta extensión y adicionalmente sólo funcionará con usuario del correo gmail, es decir,  remitente y destinatario deben ser cuentas @gmail.com. Si envías el correo a alguien que no tiene esta extensión instalada recibirá un mensaje que les indica que deben agregar la extensión para poder leer el correo.

Lo primero que hay que hacer es descargar la extensión en el siguiente enlace: https://chrome.google.com/webstore/detail/secure-gmail-by-streak/jngdnjdobadbdemillgljnnbpomnfokn

secure gmail

Una vez instalada la extensión debes re-iniciar tu explorador y entrar en gmail o  en cualquier google app, una vez que vayas a redactar un nuevo correo aparecerá un nuevo ícono de un candado. Si lo seleccionamos se abre una ventana de nuevo correo que aclara que es correo seguro o cifrado. Para enviar el correo se hace cómo siempre  colocando el destinatario, asunto y cuerpo del mensaje, cuando esté listo y selecciones enviar aparecerá una nueva ventana para que coloques una contraseña, y un campo opcional con una pista o “hint” que ayude al destinatario a saber cual es la contraseña para descifrarlo.  Al llegar al destinatario verá un correo de caracteres raros ya que el mismo está cifrado y deberá colocar la clave para poder descifrarlo y leerlo en texto plano!

Cabe destacar que este mecanismo utiliza una plataforma de cifrado de llave simétrica y que por tanto la mejor forma para entregarle la llave al destinatario es en persona y no a través de un SMS o papelito!

 

 

 

(41)

Cómo activar la Doble Autenticación de Twitter-Facebook-GMail

El uso de las redes sociales aumenta cada día, se han convertido en parte de los hábitos de navegación de los usuarios en línea.  En Venezuela somo especialmente usuario muy activos de  twitter, facebook y gmail ( o los servicios integrados de Google).
Como cualquier otra herramienta las aplicaciones de redes sociales tienen amenazas informáticas, y estas pueden atentar contra información confidencial, propiciar la suplantación de identidad, entre muchos otras consecuencias!
“Ante la creciente tendencia de los ataques informáticos a utilizar las redes sociales como medio para su desarrollo, se vuelve de vital importancia para el usuario, estar protegido y contar con un entorno seguro al momento de utilizarlas” (Guía de seguridad en redes de ESET-LA. ) hemos desarrollado una guía para la activación de métodos de “Doble Autenticación” en redes sociales como Twitter y Facebook así como también servidor de correo GMail para que puedan mitigar algunos de los riesgos de estas aplicaciones.

La verificación en dos pasos agrega un nivel adicional de seguridad en las aplicaciones, consiste en un proceso que solicita a los usuarios un código de verificación; además del nombre de usuario y la contraseña, al iniciar sesión. Su objetivo es que este código de verificación sólo pueda ser visto por el dueño de la cuenta y evitar que otras personas puedan acceder sin permiso a la cuenta del usuario si averiguan la contraseña. El atacante que intercepte, adivine o, de algún otro modo, obtenga la contraseña, no podrá iniciar sesión sin los códigos de verificación del usuario, que sólo puede obtener el usuario a través de su teléfono celular u otros mecanismos cómo contraseñas de una sola utilización (por ejemplo: en Google authenticator)

Si te animas a activar la doble autenticación puedes descargar la siguiente Guia

(43)

Informe de transparencia de Google

Recientemente tuvimos el día Internacional de la protección de datos por lo que me pareció muy interesante mostrarles el informe de transparencia de Google, el responsable de una grandísima cantidad de datos personales en todo el globo terráqueo. Google ha decidido por tercer año publicar un informe sobre las solicitudes que recibe de distintos gobiernos y tribunales para la entrega de datos de usuarios y uso de sus cuentas. El informe se puede leer en español en la página: https://www.google.com/transparencyreport/userdatarequests/?metric=targets&hl=es_419

Analizando los datos de este informe podemos ver la cantidad de solicitudes por país, no nos sorprende que Venezuela no se encuentra en el listado! Pero hay otros países de latinoamérica cómo Argentina, Brasil, Chile y México. También se encuentra España.

Cuando Google habla de solicitudes de usuarios se refiere a que los organismos gubernamentales presentan solicitudes a las empresas de Google en busca de información sobre cuentas de usuarios o productos de Google. En este informe, normalmente publican las estadísticas relacionadas con investigaciones criminales. En algunos casos, no podemos determinar si la solicitud se debe a una investigación criminal o a cualquier otro motivo. En tales casos, intentamos incluir la solicitud en estas estadísticas.

Es importante destacar que Google indica “Aunque hemos intentado que las cifras del informe fueran lo más precisas posibles, estas estadísticas no son 100% exhaustivas ni precisas. Por ejemplo, no hemos incluido estadísticas de países de los que hemos recibido menos de 30 solicitudes de datos del usuario en casos delictivos durante el período de informe. En los casos en los que el número de solicitudes es relativamente bajo para un determinado país, revelar las estadísticas podría perjudicar las investigaciones importantes e interferir en la labor de las autoridades de la seguridad pública.”

Algunos números a destacar! Estados Unidos está de primero en las solicitudes! Entre los  primeros 6 sólo está Brasil de América del Sur y cómo países de hispanoparlantes sólo figura España!

Transparencia GoogleLos invitamos a descargar los datos y anallizarlos!

(65)