Seguridad informática

[Atreyub]

http://www.20minutos.es/noticia/2112535/0/heartbleed-fallo-seguridad/webs-afectadas/que-hacer/

Éstas son las webs afectadas por fallo de seguridad Heartbleed: ¿qué hacer con ellas?

El fallo de seguridad Heartbleed, conocido como el mayor hasta la fecha, ha puesto en alerta no sólo a los expertos en seguridad, sino también a los usuarios, que han visto cómo sus datos y contraseñas han quedado expuestos sin que hubiera forma de saberlo. El 'bug' ha afectado a un gran número de webs y servicios muy populares entre los usuarios de Internet, algunos tan habituales como Facebook, Pinterest o Gmail.

En Mashable han realizado una lista muy completa sobre los sitios web y servicios que se han visto afectados y qué hacer con ellos. A continuación aparece una lista con las webs y los servicios más habituales en España, tanto si se han visto afectado o no por el fallo de seguridad.

Facebook. Aunque no está claro si se ha visto afectado, recomiendan cambiar la contraseña.
Instagram. Se ha visto afectado. Hay que cambiar la contraseña.
Linkedin. No se ha visto afectado.
Pinterest. Se ha visto afectado. Hay que cambiar la contraseña.
Tumblr. Se ha visto afectado. Hay que cambiar la contraseña
Twitter. No está claro si se ha visto afectado.
Apple. No se ha visto afectado.
Amazon. No se ha visto afectado.
Google. Se ha visto afectado. Hay que cambiar la contraseña.
Microsoft. No se ha visto afectado.
Yahoo. Se ha visto afectado. Hay que cambiar la contraseña.
AOL. no se ha visto afectado.
Gmail. Se ha visto afectado. Hay que cambiar la contraseña.
Hotmail / Outlook. No se ha visto afectado.
Yahoo Mail. Se ha visto a afectado. Hay que cambiar la contraseña.
Amazon. No se ha visto afectado.
Ebay. No se ha visto afectado.
Etsy. Se ha visto afectado. Hay que cambiar la contraseña.
GoDaddy. Se ha visto afectado. Hay que cambiar la contraseña.
Groupon. No se ha visto afectado.
Nordstrom. No se ha visto afectado.
PayPal. No se ha visto afectado.
Target. No se ha visto afectado.
Walmart. No se ha visto afectado.
Box. Se ha visto afectado. Hay que cambiar la contraseña.
Dropbox. Se ha visto afectado. Hay que cambiar la contraseña.
Evernote. No se ha visto afectado.
Minecraft. Se ha visto afectado. Hay que cambiar la contraseña.
Netflix. No está claro si se ha visto afectado.
SoundCloud. Se ha visto afectado. Hay que cambiar la contraseña.
Wordpress. No está claro si se ha visto afectado.

 

[Hal]

Nenes, esto es muy serio

Hacker successfully uses Heartbleed to retrieve private security keys http://www.theverge.com/us-world/20...-heartbleed-to-retrieve-private-security-keys
Enviado desde dispositivo móvil

 

[milsatch]

Ni idea de qué va todo esto pero me resulta curioso lo de los dos años. ¿Se ha tardado dos años en descubrirlo o se sabía y se ha tardado dos años en darlo a conocer? Y en cualquier caso, ¿por qué darlo a conocer sin tenerlo solucionado? Y más aún si es que realmente lo sabían desde hace dos años y han tenido todo ese tiempo para encontrar una solución. ¿Y dándolo a conocer sin tenerlo solucionado no es un poco suicida? Joder, es que me estoy imaginando a hackers que no lo supieran y ahora se querrán poner las botas: "¡Gracias por avisar!"

 

[Hal]

Vamos a ver. El bug se da en el momento en que se implantó la utilidad Heartbeat en openSSL. Eso fue hace dos años.

en The Verge han hecho un artículo muy aclaratorio sobre el como y el cuando

http://www.theverge.com/2014/4/10/5601576/how-do-you-fix-two-thirds-of-the-web-in-secret

Por cierto, el bug, no provoca que no funcione, de hecho el sistema funciona perfectamente, solo que abre un agujero de seguridad. No es tan facil darse cuenta.

 

[Franciscus]

Hal, no te rebato nada, por supuesto, pero huele a sensacionalismo puro y duro. Que el bug existe? sí. Pero de todo lo que se dice, la mitad de la mitad de la mitad, y al final lo divides por la mitad... Espero no equivocarme...

 

[WRC]

Yo uso doble autentificación en todo lo que puedo.

 

[Jp1138]

Bueno, supongo que los de esa lista empezarán a recomendar cambiar las claves cuando esté todo bajo control, ¿no? A mi de momento sólo me lo ha recomendado issuu, que para lo que lo uso...

 

[Lovekraft]

Si quereis comprobar si las paginas web que usais son seguras o si podeis cambiar ya el password...

https://lastpass.com/heartbleed/

Lo más preocupante es que las paginas bancarias no den señales de vida....

 

[Litil]

Vaya tela…

 

[Hinomura Krycek]

 

[Hinomura Krycek]

Heartbleed Detector

Como saber si tu dispositivo Android esta afectado o no...

https://play.google.com/store/apps/details?id=com.lookout.heartbleeddetector

 

[Tiberiuz]

El otro día me llama un amigo que tiene una tienda de muebles (el otro día incluso linké su tienda aquí en el foro). Me dice que ha tenido un problema muy gordo. Recibió un correo de Segundamano en el que le pedían retirara uno de sus anuncios ya que habían denunciado que usaba una foto con derechos.
No le pareció raro ya que las fotos las coge de los catálogos o de búsquedas con Google.

Peeero no le pareció extraño que en ese mail ya viniera u link hacia Segundamano para que borrara la foto. Evidentemente tras clicar en ese link, la web de Segundamano le idió usuario y contaseña. Errooor Zas! Cazado! El mail no era de Segudamano y la web no era la original (pero idéntica en aspecto)

El caso es que estaba más currado de lo habitual. Segundamano pertenece a Anuntis y la web era "segundamano.anuntis-tienda.com"

El chorizo en cuestión usó el robo de contraseña para hacerse (no se cómo) también con la contraseña del correo Yahoo y también con la contraseña de Milanuncios.

Y esa es mi duda ¿cómo coño lo hizo? La contraseña de Milanuncios se la dio el incauto de mi colega, ¿pero las otras?

También tenía dudas sobre qué interés podría tener alguien en robar la contraseña de un vendedor de esa web pero la respuesta la obtuvimos ayer mismo. Tras entrar en la web y cambiar contraseñas (aprovechando el fin de semana ya que todo pasó el viernes a última hora) se dedicó a dar su número de cuenta cuando alguien contactaba con la tienda para comprar algún mueble. Por ahora sólo ha localizado un caso aunque no sabe si hay más

¿es posible que la web le inyectara algún código malicioso, un sniffer o algo parecido? Le he pasado Malwarebyes, Adwcleaner, Ccleaner, Superantispyware e incluso el antivirus online de Eset pero ninguno encuentra nada. (le hice una limpieza/barrido hace un par de semanas)

 

[Hal]

Mi teoria

la cuenta asociada a milanuncios es de yahoo. El password de milanuncios y del correo de yahoo son el mismo.

 

[Tiberiuz]

Nop. Fue lo primero que pregunté y las contraseñas son únicas.

 

[WRC]

Usaría las mismas contraseñas o muy parecidas. Si son únicas hay que pensar más... pero los consejos, no, son igualmente válidos.

La norma número 1 para estas cosas es NO usar la misma contraseña para todo. Después usar un navegador actualizado y NUNCA pulsar en los enlaces (ir directamente a la web).

 

[Tiberiuz]

Las contraseñas que usa son sencillas, 6 letras y punto. Pero por suerte, usa diferentes en todas las webs o cuentas de correo.

 

[WRC]

Yo uso un gestor de contraseñas, con clientes para iOS, Windows, Mac y Android. Esto me permite almacenar y tener acceso desde cualquier dispositivo y no tener que memorizar.

Así, al no tener que memorizarlas, uso claves ultraseguras (de este pelo: #xq87##Dw6YyP%5N) y me dejo de tonterías.

Viendo que es un buen "cliente" (ha tomado el control de una tienda, lo que supone más incautos potenciales en sus redes), quizá se tomó la molestia de usar la fuerza bruta para acceder.

 

[Tiberiuz]

Pues no sería extraño que lo hiciera a fuerza bruta

 

[Tim]

Si la contraseña de SegundaMano y la de Yahoo son diferentes y consiguiendo la primera entraron en el segundo sitio...
- Usaron fuerza bruta, pero me parece raro.
- Al entrar en SegundaMano vieron la dirección de correo, tal vez tengan el listado con usuarios y contraseñas de Yahoo que se robó hace unos meses y su cuenta estuviese ahí. Hay páginas para saber si tus cuentas están comprometidas. Van actualizando con los listados de nuevos robos, como los de eBay y Spotify de estos días.
- Una opción más sencilla: la contraseña de Yahoo era muy parecida a la de SegundaMano. O era tan básica por mínima fuerza bruta la consiguieron. Mítico: enero2014, febrero2014... y así todos los meses. Alguna gente mete un punto por el medio y gracias

"Adivinar" las contraseñas de la gente es bastante más fácil de lo que parece. Si trabajas en una empresa la mitad de las personas ponen ese nombre en la contraseña y, si tiene que ser un poco compleja, le añaden $1 o .1 (telepizza$1, por ejemplo). Con esto te digo que entras en el 25% mínimo de equipos de una gran empresa, salvo que utilicen un software específico para las contraseñas no puedan ser tan sencillas (en el Directorio Activo de Microsoft no es posible hacerlo, hay que tirar de software de terceros).

Edito para poner una de las webs más fiables para ver si tu cuenta está comprometida:
https://haveibeenpwned.com/

Edito por segunda vez: la información de una de mis cuentas de gmail usada para registrarme en Adobe, fue robada, ¡¡argh!!

 

[Discord Pie]

Lo postraba en el hilo de Mac pero creo nuevo hilo para que tenga mas visibilidad:

RedHat ha descubierto un fallo de seguridad en la línea de comandos shell Bash que incorpora OS X y Linux desde hace años. Al parecer dicen que el fallo es más grave que el de HeartBleed porque son mas equipos los expuestos y son mas el número de equipos antiguos que no se actualizarán.

Mas info: https://securityblog.redhat.com/201...-environment-variables-code-injection-attack/

Edito: La vulnerabilidad lleva 22 años expuesta y no afecta a Ubuntu u otros sistemas derivados de Debian que usen Dash. RedHat ya ha sacado parches para sus productos, como Fedora. Son cientos de miles los sitios web que están en riesgo incluidos de gobiernos y bancos.

Más info en Wired: http://www.wired.com/2014/09/internet-braces-crazy-shellshock-worm/

La noticia por WeblogsSL: http://m.genbeta.com/seguridad/como...gran-problema-de-seguridad-para-todo-internet

El fallo puede permitir a atacantes tomar fácilmente el control de servidores web que usen CGI

Ese es el principal punto de explotación del fallo, y es grave porque es muy fácil de aprovechar. Para que os hagáis una idea, en apenas unas horas y con una búsqueda automatizada muy ingenua, en Errata Sechan encontrado más de 3000 servidores vulnerables. Perfeccionando un poco esa búsqueda y con más capacidad de escaneo, un atacante se podría hacer con muchos sistemas. De hecho, esos ataques ya están en marcha.

 

[momaku]

Lo postraba en el hilo de Mac pero creo nuevo hilo para que tenga mas visibilidad:

RedHat ha descubierto un fallo de seguridad en la línea de comandos shell Bash que incorpora OS X y Linux desde hace años. Al parecer dicen que el fallo es más grave que el de HeartBleed porque son mas equipos los expuestos y son mas el número de equipos antiguos que no se actualizarán.

Mas info: https://securityblog.redhat.com/201...-environment-variables-code-injection-attack/

Edito: La vulnerabilidad lleva 22 años expuesta y no afecta a Ubuntu u otros sistemas derivados de Debian que usen Dash. RedHat ya ha sacado parches para sus productos, como Fedora. Son cientos de miles los sitios web que están en riesgo incluidos de gobiernos y bancos.

Más info en Wired: http://www.wired.com/2014/09/internet-braces-crazy-shellshock-worm/

La noticia por WeblogsSL: http://m.genbeta.com/seguridad/como...gran-problema-de-seguridad-para-todo-internet

El fallo puede permitir a atacantes tomar fácilmente el control de servidores web que usen CGI

Ese es el principal punto de explotación del fallo, y es grave porque es muy fácil de aprovechar. Para que os hagáis una idea, en apenas unas horas y con una búsqueda automatizada muy ingenua, en Errata Sechan encontrado más de 3000 servidores vulnerables. Perfeccionando un poco esa búsqueda y con más capacidad de escaneo, un atacante se podría hacer con muchos sistemas. De hecho, esos ataques ya están en marcha.

Si es sólo por CGI, a servidores "serios" deberian ser pocos afectados, hace años que se intentaba usarlo sino quedaba más remedio por motivos de seguridad y el shell que se usaba el 99% de las veces era sh con path mínimo, precisamente para limitar el número de comandos y si eras fino un chroot.

Estos 3000 deben ser como los que llevaban el servidor con las cuentas de PSN.

Un saludo.

 

[Discord Pie]

No es solo a través de CGI. Aunque se cree que es la vía de ataque más probable creando gusanos que se vayan replicando de una máquina a otra. De todas formas no entiendo el resto de lo que dices.

En TheGuardian explican muy bien el asunto: http://www.theguardian.com/technology/2014/sep/25/shellshock-bug-heartbleed

The US government-backed National Vulnerability Database rated Shellshock 10/10 for severity.

[...]

In theory, an attacker could exploit a machine running Bash by forcing it to set specially crafted environment variables. This could then be further exploited to let them execute shell commands, ie run programs on other people’s computers. That’s endgame for the victims - their machines would in effect be in the control of the hacker.

In slightly more detail, when dealing with environment variables, Bash shouldn’t continue to process commands that come after the “function definition” - the declaration of a software routine that performs a certain task. But it does and therefore allows for an outsider to send exploit code via software that uses Bash and have it run commands. They should never be able to do that.

For instance, the widely deployed Apache web server software has Bash run in the background to parse CGI scripts - little programs that process data from web users, such as when they enter information into a form. As there’s no authentication on these CGI scripts, a hacker could call them with a web request and include lines of exploit code, which would then set malicious variables on the server via Bash. From there, they could play with programs on the server, including the website itself to launch further attacks on visitors, hence the fear of widespread impact. This is believed to be the most likely attack vector.

[...]

“What we think will cause significant issues is that people will find plenty of unexpected ways to trigger this vulnerability and that means its scope will be wider than appreciated, and this might have a detrimental impact,” Robert Horton, managing director of NCC Group’s European Security Consulting division, told the Guardian.

“A lot of systems do appear to be remotely vulnerable to this which means the impact of this has the potential to be large and much more pervasive than Heartbleed.”

One of the major worries is that attackers will use Shellshock to create worms – attacks that automatically replicate across machines. “In theory, this could take the form of an infected machine scanning for other targets and propagating the attack to them,” noted security expert Troy Hunt. “This would be by no means limited to public-facing machines either; get this behind the corporate firewall and the sky’s the limit.”

 

[Discord Pie]

Zero-day impacting all versions of Microsoft Windows – used in Russian cyber-espionage campaign targeting NATO, European Union, Telecommunications and Energy sectors.

http://www.isightpartners.com/2014/10/cve-2014-4114/

Afecta a todos los Windows desde Vista SP2 hasta Windows 8.1. Dice Microsoft que el parche lo aplican hoy.

 

[Hinomura Krycek]

vivimos al límite fuck yeah

 

[Hinomura Krycek]

Pues el Windows Update me da error al instalar el parche KB2949927..... TO THE LIMIT