Shibbo - Seguridad informática

Releyendo el artículo "Robo de claves a través de gestores de contraseña" (http://www.laflecha.net/canales/seguridad/robo-de-claves-a-traves-de-gestores-de-contrasena/) sería interesante recordar en qué consiste este ataque-vulnerabilidad y en qué manera afecta a Shibbo.

En primer lugar, los gestores de contraseña a los que se refiere el artículo, son la utilidad que incorporan los navvegadores web para almacenar y gestionar los datos de acceso (usuario y contraseña) a los sitios web que visitamos frecuentemente. Por lo tanto, no estamos hablando de gestores de contraseña como aplicación (web o de escritorio).

El ataque consiste en insertar un formulario oculto que contenga las mismas etiquetas que el formulario de acceso original (ej: username y password). Este formulario invisible enviará los valores de los campos completados por el navegador a una dirección maliciosa que recogerá esos datos.

Contado así, suena muy peligroso pero haría falta añadir (no siempre se explica claramente este aspecto en los artículos que comentan este tipo de ataque) que para que todo esto suceda, el atacante debe haber colocado-insertado-embebido dicho formulario en una página dentro del dominio a atacar. 

Esta acción puede llevarse a cabo por etiquetas iframe (marcos ocultos) y etiquetas html con el formulario que se insertan en un foro (por otra parte, la mayoría de los sistemas que permiten el envío o entrada de datos validan o impiden que se pueden utilizar este tipo de etiquetas).

En cuanto a Shibbo, tal y como se decía al principio, no está afectado como gestor de contraseñas (online o en su versión como portableapp) aunque no está de más hacer algunas recomendaciones extensibles a cualquier página con acceso restringido que visitemos habitualmente:

- No pulsar en links para acceder a la dirección web, sino escribir directamente la dirección en la barra de direcciones (una alternativa puede ser almacenar la dirección en nuestros favoritos, bien del navegador o cualquier servicio de marcadores online).

- No aceptar la opción de guardar o recordar contraseñas del navegador

- Desconectar o Cerrar siempre la sesión desde el enlace correspondiente, evitando dejarla abierta o cerrando el navegador

 

Utilizando una de las técnicas de los spammers para saber si los correos basura que mandan son abiertos (que no leídos...) con lo que comprueban la validez de la dirección - y al mismo tiempo sacan datos adicionales del usuarios (IP = Localización = Idioma) - podemos saber si alguien está curioseando en nuestra bandeja de entrada.

La técnica consiste en el uso del llamado web bug: la inclusión de un archivo (normalmente una imagen invisible consistente en 1 pixel) en el código del mensaje. Cuando el mensaje se abre, el archivo se pide al servidor donde está alojado y éste registra en el log esta petición (IP, fecha y hora).

Esta técnica la utilizan servicios como ReadNotify (http://readnotify.com/) - ejemplo de uso aquí: http://spamloco.blogspot.com/2007/05/descrubre-quin-te-espa-el-correo-otro.html - y DidtheReadit (http://didtheyreadit.com/).

Este método no es infalibe ya que el lector de correo (sea local o a través de navegador web) puede configurarse para no mostrar imágenes y entonces la carga de la imagen no quedaría registrada en el log.

La web de Shibbo ha tenido un gran movimiento este fin de semana: 
- 67 accesos a la demo 
- 36 nuevos usuarios registrados 
- 922 páginas vistas 

- 454 IPs únicas

 

Gracias a todos los que han hecho alguna mención a Shibbo:

Genbeta
http://www.genbeta.com/2007/05/13-shibbo-el-almacen-de-nuestros-datos-importantes 

WWWhatsnew
http://wwwhatsnew.com/2007/05/12/shibbo-guardar-todas-las-contrasenas-en-un-solo-lugar/  

Planeta Cordosfera

http://planeta.cordosfera.com.ar/2007/05/12/shibbo-guardar-todas-las-contrasenas-en-un-solo-lugar/

Megite

http://www.megite.com/spanish/1179017880/1

 

La empresa OPTENET alerta ante la proliferación de contenidos para adultos en la Web y el próximo día 17 de mayo, coincidiendo con la celebración del ‘Día de Internet’, la compañía ofrecerá filtros de contenidos gratis para ayudar a padres y educadores a navegar con sus hijos de forma segura.

Optenet, multinacional española de software especializada en ofrecer e integrar soluciones de seguridad informática para ISPs Operadoras y grandes corporaciones, se sumará a la celebración del "Día de Internet" y ofrecerá filtros gratis a todos aquellos padres y educadores que visiten la web: www.elecfra.com  durante el próximo 17 de mayo. Desde allí podrán descargar la herramienta Web Filter 9.6 de Optenet para su utilización durante 1 año, de forma totalmente gratuita. También podrán descargar la ficha del producto y un manual para realizar la instalación de forma adecuada.

Proliferan los contenidos para adultos

La proliferación de contenidos para adultos en la Web es un hecho constatable. Durante el periodo 2005-2006, el laboratorio de monitorización de Optenet ha detectado un incremento generalizado en todos los contenidos de esta índole, destacando por encima del resto los relativos a drogas y violencia, con subidas del 126,93% y del 76,09%, respectivamente. Dichos contenidos resultan especialmente polémicos cuando quienes acceden a ellos son menores internautas.

Según Ana Luisa Rotta, directora de Proyectos Europeos de Optenet: "La prevención es la mejor forma de proteger la integridad del menor en Internet". En este contexto, los filtros son la única barrera efectiva para evitar el acceso a contenidos inapropiados para los niños en la Red. La mayoría de herramientas de filtrado que se comercializan en el mercado funcionan a partir de bases de datos de listas de URLs catalogadas como indebidas (listas negras) que, dada la naturaleza dinámica de Internet, se vuelven obsoletas y, por tanto, ineficaces.

Optenet Web Filter 9.6 trabaja con un motor inteligente y multilingüe que rastrea en tiempo real todo el contenido de Internet y lo cataloga según su naturaleza para después bloquearlo. La técnica se completa con listas blancas, que permiten al usuario añadir URLs que sí considera adecuadas para la navegación del menor. Se trata, por tanto, de una herramienta flexible que permite configurar el control de los accesos según el perfil del menor -no navega igual un menor de doce años, que uno de dieciséis-, definir franjas horarias de uso y programar horas máximas de navegación, para controlar posibles problemas de adicción. Además, ayuda a mantener el equipo informático libre de virus y de otros códigos maliciosos.

 Por último, recordar  que Base, empresa responsable de Shibbo (www.shibbo.com) , también participa en el Día de Internet ofreciendo una auditoría de seguridad en Internet a las primeras 100 pymes españolas que lo soliciten. Más info en: www.basecia.es/diadeinternet.htm

Este título nace del artículo de mismo título publicado en Baquia (http://www.baquia.com/noticias.php?id=11977). La introducción del artículo es idónea para justificar el uso de gestores de contraseñas (sea Shibbo o similares) aunque en realidad se refiera a gestores de identidad, que aunque el objetivo final es el mismo: que el usuario sólo tenga que recordar un único usuario y contraseña e introducirlos una única vez para acceder a distintos servicios.

La introducción cuenta con otras palabras lo que también se cuenta en la web de  Shibbo (¿Qué es esto?):

"Ante la confusión de tantos nombres de usuario y claves de acceso, la industria empieza a trabajar para buscar soluciones seguras de gestión de contraseñas.

¿Cuántas contraseñas utiliza en un día normal? En el trabajo una o dos, seguramente. Para el correo electrónico, al menos otra. La alarma de casa, el código de la tarjeta de crédito (más las claves para operar por Internet con su cuenta corriente), el PIN del móvil...

Sin olvidar las claves para servicios como Technorati, Del.icio.us o la cuenta en Flickr. Y por supuesto, no son sólo las contraseñas, porque cada uno de esos formularios requiere un nombre de usuario. Es más de lo que una sola persona puede recordar."

La diferencia principal de Shibbo como gestor de contraseñas frente a un gestor de identidad es que los datos de acceso almacenados no interactuan o están conectados con los servicios a los que dan acceso (ej: puedo guardar los datos de acceso de mi correo de Yahoo pero para entrar a mi correo, debo ir a la web de Yahoo e identificarme adecuadamente y así con cualquiera de los servicios web).

 Puede que en futuro pueda haber una integración a través de OpenID pero antes tendrá que ser un verdadero estándar.

Aunque no sea seguridad en cuanto a la información, me parece interesante comentar hoy el servicio sobre la seguridad en cuanto a los contenidos que busca la asociación Protégeles (www.protegeles.com )

Esta organización tiene un doble objetivo: facilitar información a la Policía y a la Guardia Civil que permita la eliminación de páginas de pornografía infantil en Internet, así como la localización de sus autores, y como segundo objetivo, desarrollar acciones, campañas y trabajos de prevención , con el fin de mejorar la seguridad de los menores en internet.

Las líneas de acción están relacionadas con los siguientes temas:

- Pornografía infantil
- Incitación al odio racial
- Apología de la anorexia y la bulimia
- Seguridad en la telefonía móvil
- Apología al terrorismo
- Acoso escolar (bullying)
- Tráfico de drogas
- Videojuegos

No, no es el lanzamiento de Shibbo... es TechNet de Microsfot, evento sobre seguridad más importante del año (según Microsoft) así como al lanzamiento de System Center y Forefront. Barcelona, 22 de mayo. Madrid, 24 de mayo.

http://www.microsoft.es/technet/securityday

Estrenamos vídeo en el Youtube (http://www.youtube.com/watch?v=0aogItWYXc4)

El vídeo forma parte de la campaña de marketing y se enmarca dentro del denominado marketing viral. Esperemos que de resultado, en caso contrario, habremos pasado un buen rato haciéndolo

Hace no muchos años, en torno a una década , no teníamos aún una noción importante de lo que la seguridad informática iba a suponer en nuestro trabajo diario.

Las empresas de antivirus no estaban en la cima de la facturación informática , no existían personas dedicadas exclusivamente a la seguridad, ni todo lo contrario , personas dedicadas a vulnerar las barreras de seguridad impuestas.

No existía una clara idea de cuales podían ser los daños y a nivel penal, aún faltaban muchos puntos a tener en cuenta, para paliar lo que años venideros ocurriría.

Pero hoy,  en la mayor parte de la sociedad , existe una clara idea de lo que la desprotección o falta de seguridad nos pudiera ocasionar. Además, existen leyes ,y cada día más rigurosas , contra los delitos que vulneren nuestra seguridad informática.

Para sentirnos seguros y evitar poner en peligro nuestro trabajo o el de nuestra empresa, doy unas recomendaciones generales, para proteger intrusiones y mantener la privacidad.

Unas reglas básicas son:

En ordenadores personales:

- Mantener actualizado el sistema operativo, con los parches(hotfix) que el fabricante nos proporcione.
- Poseer una solución antivirus actualizada.
- Sólo poseer un usuario Administrador con el que instalar software y trabajar con uno sin estos privilegios.
- Cambiar periódicamente la password , y utilizar estas de cierta complejidad.

En redes:

- Soluciones perimetrales(firewall)
- Router bloqueados que sólo permitan el tráfico externo que necesitamos.

En navegación:

- Navegar por sitios (aparentemente) seguros (usar utilidades como siteadvisor.com)
- En páginas que nos tienen que dar una seguridad absoluta , buscar https o el candado en la parte inferior del navegador.
- Habitualmente, eliminar cookies y archivos temporales.
- Mantener el navegador actualizado.
- Mantener el nivel predeterminado de seguridad del navegador.

Pero sin duda, por mucho que tengamos los medios para evitar comprometernos, la parte más importante de la seguridad , reside en no confiar que se esta plenamente seguro, haciendo de la cautela y la prudencia , puntos importantes en la operatoria y que de por si nos pueden ahorrar muchos problemas de seguridad.

En conclusión: es necesario poner los medios que se nos brindan , como elemento importante para que estemos casi seguros, el casi lo completa el tener cuidado con lo que hacemos, aceptamos o permitimos.

José Ramón Gómez.

McAfee SiteAdvisor es un excelente servicio online (www.siteadvisor.com) para consultar webs que podrían resultar potencialmente peligrosas o dañinas respecto a software espía, software publicitario, el spam y los robos de identidad. 

Además de la consulta de direcciones en la página, se puede descargar un plugin para el navegador que incorpora la clasificación que tiene el sitio (en caso de estar analizado) en los resultados de búsquedas y enlaces de páginas.

Base (http://www.basecia.es/base/diadeinternet.htm) participa también este año en el Día de Internet que tendrá lugar el próximo 17 de Mayo.

El evento que Base propone este año es la realización de una auditoría de seguridad perimetral o penetración externa en aplicaciones de Internet incluyendo la detección de posibles vulnerabilidades y el análisis del nivel de riesgo que implican.

Esta oferta a está abierta a las primeras 100 pymes españolas que lo soliciten.

El mundo de la informática está lleno de mitos y de leyendas difundidas por correo electrónico o simplemente comentadas boca a boca. Estas leyendas no son solo los famosos hoaxes o las cartas en cadena, sino que se dan por hecho una serie de cosas que no suelen ser ciertas, pero son tan difíciles de probar que se dan por ciertas sin comprobación ninguna. Y dentro del mundo de la seguridad informática, existen también esos extraños mitos. Uno de ellos, con un fundamento real, está cada vez más desvirtuado: los creadores de códigos maliciosos son buenos programadores. Hace tiempo, cuando los virus estaban en su prehistoria, era cierta.

Este recomendable artículo de Sixto Heredia sigue en: http://www.aui.es/index.php?body=bita_v1article&id_article=1230

Cuando se cree una contraseña segura, es una buena idea seguir las siguientes pautas:

 

Con todas estas reglas, puede parecer dificil crear una contraseña que reúna todos estos requisitos para las buenas contraseñas a la vez que se evitan los rasgos de las malas. Afortunadamente, hay algunos pasos que uno puede tomar para generar una contraseña segura y fácil de recordar.

 Congreso científico centrado en las investigaciones en criptología. Está organizado por IACR (International Association for Cryptologic Research) en cooperación con la UPC y la UMA.

Del Domingo 20 de Mayo a Jueves 24 de Mayo de 2007

Más info en: http://www.iacr.org/conferences/eurocrypt2007/

Algunas razones:

- El registro es anónimo y el único dato personal que se puede facilitar es el correo electrónico (de forma opcional y sólo para casos de recuperación de contraseña)

- Toda la información asociada a cada cuenta o servicio (ej: mi cuenta de correo 1, mi servicio web 2) es opcional, por lo que se puede almacenar el login y la pista o pregunta que nos recuerda cuál es la contraseña de ese servicio (o sólo el login y parte de la contraseña)

- Los datos que se almacenan en la base de datos están encriptados con una clave única generada para cada usuario, por lo que ni siquiera el Administrador puede descifrar esa información (en el caso de perder el lápiz USB, una persona aún con grandes conocimientos informáticos no podría acceder a la información).

- Tanto el servicio web como la aplicación instalada en el pendrive está desarrollada y mantenida por una empresa informática con más de 25 años de experiencia en el sector TIC:  Base, Cía. de Soporte Lógico S.A.L.

Hasta el 9 de mayo de 2007 se desarrolla la II Campaña contra el fraude 'online' y por la seguridad en la Red" (www.seguridadenlared.org)

Los internautas podrán descargarse herramientas gratuitas para navegar con seguridad por Internet. Desde la web se puede realizar un análisis del PC, además de descargar algunas utilidades interesantes como un generador de claves o un bloqueador/desbloqueador de la página de inicio del navegador (problema bastante habitual entre los usuarios).

La Campaña contará con un servicio de línea abierta por correo electrónico atendido por miembros de la Asociación de Internautas y por expertos en legislación digital, seguridad hardware y software, y comunicación digital.

Entre los objetivos de la esta campaña destacan:

• Conquistar la opinión de que con información el uso de Internet es seguro
• Limpiar los Ordenadores de virus y troyanos.
• Navegar con seguridad y confianza.
• Preservar la intimidad de las comunicaciones electrónicas.
• Evitar las intrusiones en los ordenadores.
• Formar e informar a los internautas sobre el uso de herramientas de seguridad
• Informar sobre las posibilidades de las herramientas software gratuitas de libre utilización en la Red.
• Favorecer el uso protegido, responsable y no intrusivo de las nuevas tecnologías de la información.
• Estimular el conocimiento tecnológico, la netiqueta y la responsabilidad ciudadana de los Internautas
• Estimular la confianza en el uso de la Red, para fines sociales, formativos, informativos, comerciales y transaccionales
• Involucrar a los agentes sociales, empresas y organizaciones en la extensión del concepto de seguridad de uso de Internet

En la primera campaña “no más fraude on-line” - en la cual participó Base (www.basecia.es) - se recibieron más de 15.000 denuncias de los usuarios y gracias a la colaboración de los internautas se descubrieron más de 200 intentos de fraude on-line y robos de identidad.

Los usuarios cada vez manejamos más y más datos de acceso a servicios como páginas web (empleo, portales, tiendas, universidad...), cuentas de correo electrónico (profesional y varias personales), boletines de noticias, etc. Estos datos a veces ni siquiera los memorizamos, los apuntamos en un papel que llevamos en la cartera...

¿No sería más fácil recordar una sola que diera acceso a todas las demás?


Estos datos de acceso se pueden agrupar por categorías (Cuentas de correo, Bancos, Servicios web...) y acceder a ellos via Internet en cualquier momento.

Shibbo es una aplicación  capaz de almacenar y gestionar cualquier dato relacionado con un acceso restringido mediante contraseña como mínimo.

Esta aplicación puede ser utilizada gratuitamente como servicio web o en modo único en su modo USB-Shibbo (la aplicación reside y se ejecuta en su pendrive).