Clickjacking

Se trata de una nueva vulnerabilidad a la que parecen expuestos los navegadores modernos y de la que se conocen pocos detalles. El Clickjacking se resume en lo siguiente: un usuario hace clic sobre un enlace o botón que está viendo y en realidad lo hace sobre otro enlace controlado por terceros. Se trata de una vulnerabilidad presentada en la conferencia de seguridad OWASP de la que los detalles se mantienen en secreto.

Sobre el Clickjacking se cierne un halo de cierto misterio. El pasado 24 de septiembre, en el marco de las conferencias de seguridad OWASP, dos reputados expertos en seguridad de navegadores web, Jeremiah Grossman y Robert Hansen, iban a ofrecer una conferencia sobre Clickjacking en la que iban a desvelar serias vulnerabilidades que afectaban a los navegadores web más importantes. Sin embargo la conferencia fue cancelada a petición de Adobe, de cuyo software y concretamente Flash se especula que provienen gran parte de los problemas. La anulación de la conferencia les valió incluso un agradecimiento oficial por parte de la compañía.


La verdad es que esta política ha conseguido casi el efecto contrario y ha provocado toda una serie de especulaciones sobre el contenido de las revelaciones que iban a realizar los dos expertos. Algunos recomiendanmedidas drásticas, incluso sugiriendo la vuelta al uso de navegadores sólo texto como el Lynx mientras no se sepan más detalles. Así que ¿qué es eso del Clickjacking? ¿Es de verdad tan peligroso? En un artículo de PC Advisor se pueden leer algunas declaraciones de Grossman en las que sin dar demasiados detalles plantea el fenómeno como algo muy serio "Piensa en cualquier botón en cualquier web que puedes hacer aparecer dentro de las paredes de un navegador: transferencias de bancos, botones DIgg,banners de publicidad, la lista es virtualmente infinita.. Luego considera que un ataque puede superponerse de forma invisible sobre estos botones bajo el puntero del ratón, así quec uando éste hace clic sobre algo que está viendo, realmente está haciendo clic sobre algo que el atacante quiere que el usuario active". Una descripción escalofriante y que ha puesto a muchos expertos a pensar. Una de las conclusiones es que no se trata de un problema que pueda solucionarse simplemente con un parche.

El problema es que el usuario estaría activando "voluntariamente" un enlace malicioso, pero desde el punto de vista del navegador la páginano tiene ningún enlace sospechoso. Cualquier navegador compatible con páginas dinámicas, ya sea por DHTML o Javascript, es decir, todos los navegadores modernos, estaría expuesto a esta vulnerabilidad. La solución para impedir el Clickjacking sin tener que volver a utilizar navegadores en desuso para el gran público hace décadas, la podemos encontrar en paginas especialistas en seguridad como Kriptópolis. En particular, para los usuarios de Firefox, existe un programa llamado Noscript queprotege de ese tipo de ataques, pero elimina la funcionalidad de cualquier script en Java, Javascript o Flash a menos que lo activemos individualmente para cada sitio web. Tal y como explican en Webmokey, la propia página de descarga de Noscript es un caso de Clickjacking. El usuario hace clic en un enlace de descarga local, pero el código dela página muestra al navegador el enlace de la página de scripts oficiales de Firefox, de forma que la instalación se puede realizar de un solo paso.


El verdadero problema de seguridad, según los expertos, es que las páginas web y en consecuencia los navegadores son cada día más complejos, contienen más código y más contenido dinámico para encandilar y facilitar la navegación al usuario.Eso hace que se multipliquen las posibilidades de enmascarar malware.Lo cierto es que el Clickjacking se ha hecho famoso por el halo de misterio creado por la repentina discreción de Grossman y Hansen.En realidad ellos mismos reconocieron que es un fenómeno que se vieneproduciendo en la web desde hace tiempo. Otros ataques similares, comoel "Cross Site Request Forgery" o el "Cross Site Scripting" ya son muy conocidos y también aprovechan la potencia del lenguaje de script para engañar tanto a servidores como a usuarios.

¿Y la solución? Según el mencionado artículo de PC Advisor, Hansenopina que la única forma razonable de solucionar el problema es dellado de los navegadores. Al parecer él y Grossman ya se han puesto encontacto con Microsoft, Mozilla y Apple para ofrecer la información que obra en su poder y según ellos "están trabajando en una solución". Según el experto Michal Zalewski, además de soluciones circunstanciales, una solución "sabia" desde el punto de vista de la seguridad sería la de redefinir el lenguaje HTML para construir modelos de seguridad para navegadores que permitieran el control específico de todas las formas de enlaces yr eferencias dentro de una página. Una propuesta interesante,sensata aunque casi irrealizable (como él mismo confiesa) que retratacómo un modesto lenguaje de descripción de páginas se ha ido complicando tanto que ha abierto demasiadas lagunas de seguridad.

Extraído de http://unlugarsinfin.blogspot.es

DISI 2008

Lunes 1 de diciembre de 2008
3ª Edición del Día Internacional de la Seguridad de la Información

DISI 2008

Fecha del evento: Lunes 1 de diciembre de 2008
Lugar: Salón de Actos del Campus Sur - Universidad Politécnica de Madrid

08:00 - 09:00
Registro
09:00 - 09:15
Inauguración
D. Javier Uceda, Rector Universidad Politécnica de Madrid
D. Ramón Capellades, Subdirector General Técnico de Applus+
Dra. Radia Perlman, Sun Microsystems
D. César Sanz, Director de la EUITT - Universidad Politécnica de Madrid
D. Jorge Ramió, Director de la Cátedra UPM Applus+
09:15 - 10:30
PRIMERA PARTE
Chairman: D. Jorge Ramió
Conferencia inaugural: Adventures in Network Security
Dra. Radia Perlman, Sun Microsystems Fellow, Network Protocols and Security Project Principal Investigator (Estados Unidos)
Abstract:
Often researchers focus on the abstruse math of cryptographic algorithms, and ignore the most important problems in network security. This talk discusses some of the areas that have been surprising by being either easier than expected or more difficult. I will also discuss some of the areas of research I am working on.

10:30 - 11:45
Conferencia invitada: La Investigación en Seguridad
Dr. Arturo Ribagorda, Director del Grupo Seguridad de la Información y de las Comunicaciones, Universidad Carlos III de Madrid (España)
Resumen:
Aunque desde tiempos remotos se ha investigado en el campo de la seguridad (criptografía), para atender a los objetivos del DISI, nos centraremos en los trabajos que se llevan a cabo en España, principalmente de desarrollo de algoritmos criptográficos (fundamentalmente en Centros de Matemáticas) y de seguridad en redes (fundamentalmente en Centros Tecnológicos).
11:45 - 12:15

Ponencia: Tecnologías Antiforense
D. Manuel Vázquez, Jefe de la Brigada de Investigación Tecnológica de la Policía Nacional (España)
Resumen:
En los últimos tiempos se ha venido notando un incremento y sobre todo una popularización en el uso de las llamadas medidas antiforenses. Se trata de utilizar determinadas técnicas que, sin estar generalmente pensadas para ello, dificultan la labor de investigación al impedir un correcto análisis forense de los dispositivos. No se trata tan sólo de las tradicionales fórmulas como la encriptación sino otras tan simples como la destrucción de datos o tan sofisticadas como las modificaciones en los sistemas de ficheros.

12:15 - 13:00
DESCANSO Y CÓCTEL
13:00 - 13:30
SEGUNDA PARTE
Chairman: D. Justo Carracedo, Catedrático EUITT
Ponencia: Investigación del Cibercrimen
D. Juan Salom, Responsable del Grupo de Delitos Telemáticos de la Guardia Civil (España)
Resumen:
Descripción del proceso de la investigación del delito informático, desde la denuncia o conocimiento público del delito hasta la presentación de las pruebas incriminatorias ante la autoridad judicial, detallando especialmente el procedimiento de construcción de la prueba electrónica, todo ello enmarcado en el escenario legislativo español.
13:30 - 14:00
Ponencia: Ciberdefensa: Iniciativas en la OTAN
D. Daniel Acuña, Director de Sistemas de Defensa y Seguridad, Isdefe, S.A. (España)
Resumen:
En el marco de la Defensa Nacional y aún más en el de las Organizaciones Internacionales de Defensa como es la OTAN se está asumiendo que el Ciberespacio es un entorno de confrontación de la misma manera que los tradicionales espacios de Tierra, Mar y Aire. En la ponencia se describirán las motivaciones y los esfuerzos que se están realizando en el ámbito de la Defensa para hacer frente a estas amenazas emergentes del Ciberespacio.
14:00 - 15:00

Mesa Redonda: Forensia Informática y Amenazas del Cibercrimen

D. Manuel Vázquez, D. Juan Salom, D. Daniel Acuña
Moderador: D. Justo Carracedo

15:00 - 15:15
Clausura

D. Jorge Ramió, D. Justo Carracedo

Con la colaboración de:

ASIMELEC - Red Seguridad - Hispasec Sistemas

ATI - ISSA España - ISMS Forum Spain - Linux+

ASISTENCIA GRATUITA


Las inscripciones online ya no están habilitadas.
Por favor inscríbase por teléfono: +34 913367842 (atención Dña. Beatriz Miguel)
Aforo del Salón de Actos: 550 personas
Pinche aquí para ver CÓMO LLEGAR al Campus Sur de la UPM
(si viene en coche particular, no tendrá problemas para aparcar en el campus)
Se entregará Certificado de Asistencia con una formación equivalente a 5 créditos CPE, Continuing Professional Education
Para ello es condición imprescindible confirmar inscripción y asistir al evento. El certificado se entregará en el momento del registro.
Nota para alumnos de universidad: estos créditos no son equiparables a créditos universitarios ni de tipo ECTS, salvo que las Escuelas y/o Facultades hayan dispuesto créditos de libre elección para asistencia y participación en congresos, en cuyo caso deberá consultarse directamente con dicho centro.


Extraído de http://unlugarsinfin.blogspot.es

Sinowal!

La firma de seguridad informática RSA ha desvelado el que podría ser el mayor virus troyano descubierto hasta la época, no tanto por su expansión, sino porque el programa ha robado, según datos de la propia compañía, información confidencial de unas 500.000 cuentas bancarias desde que fuera lanzado, en febrero de 2006.

Sinowal, que es como se llama el virus, ha infectado ordenadores a lo largo y ancho de todo el mundo y ha sido calificado por RSA como una de las herramientas más avanzadas que el cibercrimen haya creado nunca, según informa la BBC en su página web.

El sistema que utiliza Sinowal para infectar los ordenadores no es novedoso. El troyano se instala en el ordenador del internauta que navega por páginas en cuyos servidores se encuentra alojado sin que éste se dé cuenta. Luego,cuando el confiado usuario trata de operar en alguno de los más de 2.000 bancos on line que el virus tiene en su base de datos, éste inserta campos adicionales en la página de autentificación del cliente para que las rellene;esa información confidencial y comprometida (número PIN, número de laseguridad social) se envía a unos servidores donde se almacenan para su posterior uso.

Según los investigadores, el troyano infecta aaquellos que navegan por páginas poco recomendables (con contenidos pornográficos o dedicadas al juego), pero se ha detectado también en otras web que, en principio, no están clasificadas como peligrosas.

Sinowal ha afectado, entre otras, a instituciones financieras de Estados Unidos, Reino Unido o Polonia, pero a ninguna rusa. ¿Cuál es laimportancia de este dato? Detrás del troyano podría estar un viejo conocido en estas lides (Russian Business Network), pero nadie se atreve a asegurar que sean, realmente, los culpables de su desarrollo y mantenimiento.

Uno de los datos que destacan los investigadores que han descubierto el virus es que éste lleva más de dos años en funcionamiento, recopilando datos de cientos de miles de cuentas, lo que implica un tremendo gasto de mantenimiento para la organización ques e encuentre detrás de él. Además, según aseguran desde RSA, los cibercriminales lanzan periódicamente versiones nuevas de Sinowal.

RSA lamenta que sabe mucho acerca de cómo funciona el troyano, pero casi nada sobre quienes están detrás de él.

La seguridad empieza por uno mismo

¿Cómo podemos protegernos de este tipo de ataques? En primer lugar, y obviando que el ordenador cuenta con algún tipo de programa antivirus, es fundamental tener cuidado por dónde se navega: pensar antes de pinchar un enlace.

Por ejemplo, no seguir cualquier enlace que nos manden por correo electrónico o a nuestra cuenta en Facebook o Tuenti. Precisamente los portales con mayor tráfico son los más propensos para esparcir un virus.

RSA, además, llama a prestar mucha atención a las páginas de identificación de los bancos. Si un usuario observa cambios, nuevos campos a rellenaro cualquier elemento que llame la atención, debe abstenerse decontinuar con el proceso de logueo.

Fuente: http://www.elpais.com/articulo/internet/madre/todos/troyanos/elpeputec/20081031elpepunet_8/Tes

Extraído de http://unlugarsinfin.blogspot.es

Asegúr@IT IV Madrid

Lunes, 27 de octubre de 2008 9:00 - lunes, 27 de octubre de 2008 14:00 Madrid, París

Centro de Formación en Tecnologías de la Información y Comunicaciones Madrid-Sur

Avenida Arcas del Agua s/n – Sector 3
Getafe Madrid 28905
España

Idiomas: Español.
Productos: Microsoft System Center y Security.
Audiencia(s): Gerente de tecnología y Profesional de IT.


Información general del Evento
La seguridad informática exige cada vez mayor conocimiento en múltiplesdisciplinas. Este evento pretende dar conocimiento de algunas técnicasutilizadas para atacar sistemas y cómo podemos protegernos ante ellas.Este evento está dirigido a técnicos de sistemas, administradores deredes, responsables de seguridad y desarrolladores de sitios web.

Agenda y Ponentes

09:00-09:15 Registro

09:15-10:00 Alfonso Muñoz (UPM): Esteganografía 2.0: Pasado, presente y futuro de la ocultación de las comunicaciones

¿AlQaeda utiliza procedimientos para ocultar comunicaciones en Internet?,¿la celestina contiene mensajes ocultos?, ¿puede un acróstico cambiarel rumbo de una investigación?... Esta charla pretende mediante unrepaso de las técnicas esteganográficas más interesantes analizar comoha evolucionado está ciencia desde las técnicas puramente artesanales aprocedimientos de gran complejidad que facilitan la ocultación decomunicaciones en múltiples formatos, analógicos y digitales, condiversos propósitos. La ocultación de información puede tenerimplicaciones en la seguridad coorporativa de una organización, porejemplo, en la ocultación de malware, canales encubiertos que extraeninformación de forma subrepticia a través de cortafuegos, gestión dela autenticación de contenidos, etc. En la charla se analizandiferentes técnicas esteganográficas de ocultación y detección condiferentes demos y se razona un posible futuro de esta cienciarelacionado con el avance de la web 2.0 y las redes sociales.

10:00-10:45 David Barroso (S21Sec): Botnets 2.0: adquiriendo el control de Internet (la amenaza silenciosa)

Quien tenga el control de Internet y de la información que fluye dominará elmundo; es el objetivo principal de las botnets hoy en día, controlarel mayor número de máquinas posibles para utilizarlos en la consecuciónde sus objetivos: infection kits, C&C, ISP a prueba de balas,criptografía, redes P2P, data mining, DDoS, ... todas estas técnicas (ymuchas más) se entremezclan para formar el escenario actual con el quenos enfrentamos. ¿Somos conscientes de ello?

10:45 - 11:15: Café

11:15 - 12:00: Chema Alonso (Informática64): RFD. Descarga de ficheros con Blind SQL Injection

El lenguaje SQL es un potente elemento dentro de los avanzados motores debases de datos, con los privilegios adecuados y utilizando lasherramientas precisas es posible descargar ficheros de los servidoressólo usando los sistemas de booleanización de ficheros con técnicas deBlind SQL Injection. En esta sesión se verán demos con SQL Server 2000,SQL Server 2005, Oracle 10g y MySQL 5.

12:00 - 12:45 Luciano Bello (Debian). Debian OpenSSL Bug, el cómo, el porqué y las consecuencias

A principios de este año el mundo se conmocionó con el fallo descubiertopor este argentino que permitía, gracias a un fallo en el código delpaquete OpenSSL, descifrar todas las claves criptográficas generadas enlos últimos dos años por este software. El propio Luciano Bello, enEspaña, nos contará cómo funciona, porqué pasó esto y cuales son lasconsecuencias.

12:45 - 13:30 Héctor Sánchez Montenegro (Microsoft) ¿Qué está haciendo Microsoft en Seguridad?


Microsoft estuvo años en el punto de mira de los expertos de seguridad y hoy endía en el punto de mira de las mafias. Desde el año 2002 Microsoft tomóconciencia de esta responsabilidad que tenía y decidió atacarlo con lainiciativa a 10 años de Trustworthy Computing. Hoy 6 años después, lasmejoras son sustanciales, pero.. ¿cuáles han sido los esfuerzos deMicrosoft en materia de seguriad? ¿Cuáles son los planes para elfuturo? ¿Y respecto al gobierno nacional?

13:30 - 13:45 Preguntas a los ponentes

Opciones de registro

Id. de evento:
1032391821

Extraído de http://unlugarsinfin.blogspot.es