Shadow Brokers threaten to unleash more hacking tools | Technology | The Guardian

The so-called Shadow Brokers, who claimed responsibility for releasing NSA tools that were used to spread the WannaCry ransomware through the NHS and across the world, said they have a new suite of tools and vulnerabilities in newer software. The possible targets include Microsoft’s Windows 10, which was unaffected by the initial attack and is on at least 500m devices around the world.

Fuente: Shadow Brokers threaten to unleash more hacking tools | Technology | The Guardian


Microsoft responsabiliza a la Agencia de Seguridad Nacional de EE.UU. de propiciar el ciberataque masivo que afectó al menos a 150 países – El Mostrador

El gigante de la informática criticó el papel de los gobiernos y organizaciones que coleccionan vulnerabilidades informáticas que después pueden ser robadas o vendidas a delincuentes informáticos. La empresa pide que lo sucedido sea una lección para erradicar esta práctica en el mundo.

Fuente: Microsoft responsabiliza a la Agencia de Seguridad Nacional de EE.UU. de propiciar el ciberataque masivo que afectó al menos a 150 países – El Mostrador


WannaCry: por qué los expertos creen que puede haber otro ciberataque muy pronto – El Mostrador

Expertos en informática advierten que un nuevo ataque global con un brote de ransomware es “inminente” y que incluso podría ser lanzado el lunes. BBC Mundo te cuenta los detalles y cómo protegerte de estos virus.

Fuente: WannaCry: por qué los expertos creen que puede haber otro ciberataque muy pronto – El Mostrador


Leaked NSA Malware Threatens Windows Users Around the World

“This is as big as it gets,” Hickey said. “Nation-state attack tools are now in the hands of anyone who cares to download them…it’s literally a cyberweapon for hacking into computers…people will be using these attacks for years to come.”

Fuente: Leaked NSA Malware Threatens Windows Users Around the World


Google and Microsoft in war of words over bug disclosure | Technology | The Guardian

The bug, which allows privilege escalation in Windows, was discovered by Google on 21 October. An attacker can use it to access things they should not be able to, and according to Google, it is already being actively exploited in the wild.

Fuente: Google and Microsoft in war of words over bug disclosure | Technology | The Guardian


DDoS attack that disrupted internet was largest of its kind in history, experts say | Technology | The Guardian

The cyber-attack that brought down much of America’s internet last week was caused by a new weapon called the Mirai botnet and was likely the largest of its kind in history, experts said.

Fuente: DDoS attack that disrupted internet was largest of its kind in history, experts say | Technology | The Guardian


Ex-Yahoo Employee: Government Spy Program Could Have Given a Hacker Access to All Email

Contrary to a denial by Yahoo and a report by the New York Times, the company’s scanning program, revealed earlier this week by Reuters, provided the government with a custom-built back door into the company’s mail service — and it was so sloppily installed that it posed a privacy hazard for hundreds of millions of users, according to a former Yahoo employee with knowledge of the company’s security practices.

Fuente: Ex-Yahoo Employee: Government Spy Program Could Have Given a Hacker Access to All Email


Someone Is Learning How to Take Down the Internet – Schneier on Security

Over the past year or two, someone has been probing the defenses of the companies that run critical pieces of the Internet. These probes take the form of precisely calibrated attacks designed to determine exactly how well these companies can defend themselves, and what would be required to take them down. We don’t know who is doing this, but it feels like a large nation state. China or Russia would be my first guesses.

Fuente: Someone Is Learning How to Take Down the Internet – Schneier on Security


Amistosa Caja Anti Vigilancia | Derechos Digitales

Con mucho orgullo y de manera oficial, Derechos Digitales presenta hoy la Amistosa Caja Anti Vigilancia, un conjunto de herramientas y consejos prácticos que te ayudarán a resguardar mejor tu información personal y la de otros. Pareciera ser que hoy más que nunca es necesario proteger nuestros datos, pues siempre hay alguien intentando acceder a ellos: empresas privadas, cibercriminales y el mismo Estado.

Fuente: Amistosa Caja Anti Vigilancia | Derechos Digitales


Hackean grupo de espionaje de la NSA y subastan información por 1 millón de bitcoins | CriptoNoticias – Bitcoin, Blockchain y criptomonedas

Un grupo de hackers vinculado a la Agencia de Seguridad Nacional de los Estados Unidos, mejor conocida como la NSA (National Security Agency), ha sido hackeado recientemente y sus herramientas de espionaje, recolección de información, malware y más, han sido puestas en venta por 1 millón de bitcoins (más de 550 millones de dólares al momento de la publicación).

Fuente: Hackean grupo de espionaje de la NSA y subastan información por 1 millón de bitcoins | CriptoNoticias – Bitcoin, Blockchain y criptomonedas


¿Son estas las armas de espionaje de la NSA? | Derechos Digitales

Un grupo de hackers dice haber obtenido información confidencial de Equation Group, un conocido y sofisticado grupo de ciber atacantes ligado a la NSA. Parte de la información publicada permite por primera vez echar un vistazo a las herramientas utilizadas por la agencia de seguridad estadounidense.

Fuente: ¿Son estas las armas de espionaje de la NSA? | Derechos Digitales


La grave falla que afecta a 900 millones de teléfonos Android y cómo saber si el tuyo es vulnerable – El Mostrador

La firma de seguridad Checkpoint detectó varias fallas de seguridad que pueden dar a potenciales atacantes acceso a los datos en más de 900 millones de dispositivos Android. ¿De qué se tratan? ¿Y cómo puedes averiguar si te afectan?

Fuente: La grave falla que afecta a 900 millones de teléfonos Android y cómo saber si el tuyo es vulnerable – El Mostrador


SS7 Attack Circumvents WhatsApp and Telegram Encryption – UPDATED

Mobile networking experts from security firm Positive Technologies revealed last week a new attack that uses the SS7 mobile telecommunications protocol that allows attackers to impersonate mobile users and receive messages intended for other people.

Fuente: SS7 Attack Circumvents WhatsApp and Telegram Encryption – UPDATED


Forget Apple's fight with the FBI – our privacy catastrophe has only just begun | Technology | The Guardian

The privacy crisis is a disaster of our own making – and now the tech firms who gathered our data are trying to make money out of privacy

Fuente: Forget Apple’s fight with the FBI – our privacy catastrophe has only just begun | Technology | The Guardian


Malicious attacks account for bulk of data loss – FT.com

Malware and hacking have overtaken employee error as the leading cause of data loss at companies, according to research from Beazley, the insurer. Malicious attacks accounted for a third of data breaches last year, up from 18 per cent in 2014.

Fuente: Malicious attacks account for bulk of data loss – FT.com


Exclusive: Snowden intelligence docs reveal UK spooks' malware checklist / Boing Boing

Boing Boing is proud to publish two original documents disclosed by Edward Snowden, in connection with “Sherlock Holmes and the Adventure of the Extraordinary Rendition,” a short story …

Fuente: Exclusive: Snowden intelligence docs reveal UK spooks’ malware checklist / Boing Boing


Danger in the digital age: the internet of vulnerable things – FT.com

Danger in the digital age: the internet of vulnerable things – FT.com.

Steel workers are silhouetted by the light emanating from a steel mill oven in the eastern German town of Eisenhuettenstadt in this undated file photo©Reinhard Kraus/Reuters

Hackers gained access to control systems at a German steel mill

Since the first PC virus was set loose in the mid-1980s by two brothers in Lahore — reportedly to deter piracy of software they had written — technology users have discovered that the connected world delivers risks as well as benefits.

Less well understood are the growing cyber threats to physical assets, as the online world merges with the real one.

The internet of things — the network of physical objects embedded with electronics, software, sensors and connectivity — allows domestic appliances to be controlled automatically or production lines to be managed remotely.

But it also creates the possibility of cyber kinetic attacks — opportunities for hackers to target anything from fridges and factories, traffic lights or water treatment plants.

In industries such as oil and gas, for example, the ability to monitor and alter well pressure, temperature and flow extraction rates remotely offers opportunities to streamline operations and maximise production and profitability. But these networked systems also create areas of vulnerability.

At the end of last year, Germany’s Federal Office for Information Security revealed that hackers had managed to access the control systems at an unnamed steel mill in the country, preventing a blast furnace from shutting down properly and causing “massive” — though unspecified — damage.

The attackers had gained access through the plant’s business network, using a “spear-phishing” email — a targeted email that appears to come from a trusted source but contains a malware attachment or link to a malicious website. Once a foothold had been established on the corporate system, the hackers were able to explore the company’s networks, before causing damage via the production network.

 


Wi-Fi hack creates 'no iOS zone' that cripples iPhones and iPads | Technology | The Guardian

Wi-Fi hack creates ‘no iOS zone’ that cripples iPhones and iPads | Technology | The Guardian.

A woman uses her iPhone while waiting to cross an intersection in Beijing, China, 28 January 2015. A woman uses her iPhone while waiting to cross an intersection in Beijing, China, 28 January 2015. Photograph: Rolex Dela Pena/EPA

A newly revealed bug in iOS lets attackers force iPhones and iPads into restart loops, repeatedly crashing and rebooting, using nothing but aWi-Fi network.

Once the user has entered what its discoverer, security researchers Skycure, dubs the “no iOS Zone”, there’s no way to fix their phone other than escaping the range of the malicious network; every time it reboots, it crashes almost immediately.

The basis of the attack uses a “specially crafted SSL certificate”, typically used to ensure a secure connection, to trigger a bug in the operating system that crashes out any app using SSL.

“With our finding, we rushed to create a script that exploits the bug over a network interface,” the researchers wrote. “As SSL is a security best practice and is utilized in almost all apps in the Apple app store, the attack surface is very wide. We knew that any delay in patching the vulnerability could lead to a serious business impact: an organized denial of service (DoS) attack can lead to big losses.”

But in addition to crashing individual apps, the bug can be used to crash the underlying operating system as well. “With heavy use of devices exposed to the vulnerability, the operating system crashes as well. Even worse, under certain conditions, we managed to get devices into a repeatable reboot cycle, rendering them useless.

“Even if victims understand that the attack comes from a Wi-Fi network, they can’t disable the Wi-Fi interface in the repeated restart state as shown in the video.”


Microsoft olvida un ‘bug’ de hace 18 años que hace vulnerable a todas las versiones de Windows – BioBioChile

Microsoft olvida un ‘bug’ de hace 18 años que hace vulnerable a todas las versiones de Windows – BioBioChile.


AFP

AFP

Publicado por Eduardo Woo

El grupo de seguridad informática CERT ha reportado esta semana un error (o bug)en Windows que permite robar contraseñas desde cualquier versión, incluido Windows 10, servidores y tabletas.

El problema afecta ya a más de 30 empresas, las que han comenzado a ser asesoradas por el equipo especializado, quienes notaron que la falla existe desde hace 18 años.

Este bug se ha bautizado como “redirección a SMB”, debido al protocolo Server Message Block implicado, según informa el diario español El Confidencial.

De momento se desconoce una solución a la amenaza, la que debiera ser corregida por Microsoft mediante un parche, que aún no llega a las distintas versiones.


How to tell if you've been hacked | Technology | The Guardian

How to tell if you’ve been hacked | Technology | The Guardian.

Worried that you might get compromised by hackers? The bad news is that the rest of the internet might know before you do

A man uses a laptop.
If you’ve been hacked, you may be the last to know. Photograph: Magdalena Rehova / Alamy/Alamy

According to the UK Government’s 2014 cybersecurity survey, 81% of large businesses have suffered malicious data breaches. That suggests almost one in five didn’t. But how can those companies be sure?

Working out whether you’ve been hacked by cybercriminals is like leaving your diary in your bag while you visit the bathroom. When you get back, everything might still be in your bag, but you can’t be certain that no one sneaked a peek.

“In this context, it’s impractical to prove a negative,” said Lenny Zeltser, a senior faculty member at the SANS Institute, who teaches malware defence and analysis there. “A company responding to signs of infection can conclude that it has been breached,” he points out. “However, the lack of visible signs of a compromise doesn’t indicate that the enterprise has not been breached.”

Or to quote Donald Rumsfeld, when thinking about hackers, companies will always have to cope with those pesky unknown unknowns.

In the early days of cyber intrusion, many hackers were crying out to be known. They were eager to crow about what they had done, and often revealed themselves in spectacular fashion by deleting files or defacing websites. These attackers still exist, and are often driven to make a political point.


Apple and Google 'FREAK attack' leaves millions of users vulnerable to hackers | Technology | The Guardian

Apple and Google ‘FREAK attack’ leaves millions of users vulnerable to hackers | Technology | The Guardian.

The Apple logo inside an Apple store in Tokyo. The company is working to fix a potential security issue which could leave devices vulnerable to hackers. The Apple logo inside an Apple store in Tokyo. The company is working to fix a potential security issue which could leave devices vulnerable to hackers. Photograph: Yuya Shino/Reuters

Millions of people may have been left vulnerable to hackers while surfing the web on Apple and Google devices, thanks to a newly discovered security flaw known as “FREAK attack.”

There’s no evidence so far that any hackers have exploited the weakness, which companies are now moving to repair. Researchers blame the problem on an old government policy, abandoned over a decade ago, which required US software makers to use weaker security in encryption programs sold overseas due to national security concerns.

Many popular websites and some internet browsers continued to accept the weaker software, or can be tricked into using it, according to experts at several research institutions who reported their findings Tuesday.

They said that could make it easier for hackers to break the encryption that’s supposed to prevent digital eavesdropping when a visitor types sensitive information into a website.

About a third of all encrypted websites were vulnerable as of Tuesday, including sites operated by American Express, Groupon, Kohl’s, Marriott and some government agencies, the researchers said.


Empresa busca ‘hácker’ | Tecnología | EL PAÍS

Empresa busca ‘hácker’ | Tecnología | EL PAÍS.


Algunas compañías se sirven de ‘piratas’ para que examinen sus debilidades

Jóvenes especialistas españoles hacen carrera en Estados Unidos

Asistentes a una feria informática en Londres. / C. R. (BLOOMBERG)

Enviar a LinkedIn37
Enviar a TuentiEnviar a Eskup

EnviarImprimirGuardar

“Puedes acompañarnos ahora o, si quieres, esperamos abajo hasta que vayas a comprar el pan”, le dijeron. Al salir del portal le pusieron las esposas y fue a comisaría. A. G. I. se lo olía. Era noviembre de 2012. Desde agosto, este experto en pirateo informático de 26 años que prefiere no dar su nombre, sabía que tarde o temprano recibiría esa visita.

La policía española se lo llevaba al calabozo durante algo menos de un día a comienzos de noviembre. La culpa, asegura, la tuvo su curiosidad. Vio una máquina expendedora de billetes en Atocha estropeada, se puso a investigar y descubrió que todos los archivos donde se guardaban las tarjetas de crédito de los clientes estaban accesibles en Internet, sin cifrar.

Cumple todos los requisitos para cubrir un puesto que no se publica en los listados de Linkedin, sino que se demuestra poniendo a prueba contraseñas, sistemas de seguridad, vigilancia y control. Sus formas rozan la frontera de la ley. Según Glassdoor, una web de comparación de perfiles y salarios, el salario de este tipo de háckers oscila entre 180.000 y el millón de dólares. Los expertos consultados prefieren no dar su suelto exacto, pero asegura que no se corresponde con la realidad.

“Mandé un correo a Renfe, pero nadie dijo nada”, se excusa con cara de no haber roto un plato. Profundizó en su conocimiento hasta alcanzar la hazaña que todo hácker sueña, presentar el caso en la DEFCON, la conferencia anual en Las Vegas. “Normalmente lleva más tiempo, introducirse en un sistema es sencillo de contar, pero tiene mucha reflexión y estrategia detrás”, aclara.

El salario de este tipo dehácker profesional oscila en EE UU entre 180.000 y un millón de dólares

Tras la charla comenzó su persecución, cuando su travesura comenzó a cobrar rango de hazaña. Por suerte, un acuerdo verbal y el compromiso de ayudar a solventar el fallo fueron suficiente para recobrar la libertad.

Entre el público se encontraba otro joven español, A. P., mánager senior de una empresa estadounidense, que también prefiere reservar su identidad. Allí mismo, se fijó en su compatriota. “Este tipo es peligroso, pero creo que lo podemos convertir”, pensó. Entonces habló con su jefe y su paisano entró a trabajar como penetration hacker (experto en colarse). En agosto hizo un año que comenzó la relación laboral y en octubre cumplirá el primero en San Francisco.

Esta modalidad va más allá de pantallas y teclados. Si hace falta físicamente, o con un disfraz, por todos los medios posibles en las empresas hasta conseguir una base de datos concreta, la clave del garaje o el sistema de turnos. “Me lo tomo como un reto y me pagan, muy bien, por romper cosas”, confiesa en el argot, para referirse a reventar la seguridad.

La pizza es su mejor aliada. “A todo el mundo le gustan, así que haces de repartidor y tienes el acceso casi asegurado a muchísimos lugares”, dice con expresión pícara. Nunca se ha lucrado por los ataques, es lo que se llama “sombrero blanco”, búsqueda de errores para alertar de los mismos, documentarlo y que se corrijan. Solo ataca a su compañía y a empresas integradas en esta. Una decena en los últimos dos años y varios edificios por toda la Bahía. El trabajo no termina nunca. Las comprobaciones son constantes. Cuando termina, comienza la ronda de nuevo para buscar nuevas filtraciones.

Quizá no sea el chico más popular de su empresa: “Pisas demasiados callos como para caer bien. A nadie le gusta que le digan que lo ha hecho mal, pero reflexionan y se dan cuenta de que es bueno ponerse a prueba”. A. P. dice que le parece natural que haya fallos: “La proporción es indicativa. Por cada 12 o 15 que crean algo, hay uno para ponerlo a prueba. Los humanos cometemos errores, por supuesto”. Él busca los que haya en el software. A. G. I. usa la ingeniería social, algo así como el conocimiento de los mecanismo humanos para caer en trampas. “El hombre es el eslabón más débil de la cadena. Donde hay un persona, puede haber una vulnerabilidad”, apunta.


Millones de ordenadores vulnerables ante Shellshock, un nuevo agujero de seguridad | Tecnología | EL MUNDO

Millones de ordenadores vulnerables ante Shellshock, un nuevo agujero de seguridad | Tecnología | EL MUNDO.

 

El pasado mes de abril el fallo de seguridad Heartbleed se presentó como una de las mayores amenazas de seguridad jamás registradas. Un agujero en las herramientas de cifrado OpenSSL -usado por muchos servicios web- permitía descifrar contraseñas o números de tarjetas de crédito. Pero una nueva vulnerabilidad anunciada ayer podría igualar o superar su alcance. El conocido como Shellshocktiene potencial para convertirse en un enorme quebradero de cabeza para la industria informática.

La vulnerabilidad aprovecha un fallo de la herramienta ‘bash’, el intérprete de la línea de comandos presente en la mayoría de sistemas Unix y, por extensión, en muchos de los equipos que funcionan con Linux y todos los ordenadores Mac. Un descuido en el diseño permite a un atacante ejecutar código en el ordenador de la víctima y tomar el control de la misma.

La vulnerabilidad, hecha pública por el experto en seguridad Unix Stephane Chazelas, podría llevar activa más de 20 años y afecta a todas las versiones de bash hasta la 4.3. Como Linux es el sistema operativo utilizado en la mayoría de servidores de la red, el fallo puede tener graves consecuencias. El Centro de Alerta Temprana para Emergencias Informáticas de EE.UU. ha elevado la vulnerabilidad al máximo nivel de alerta y recomienda instalar un parche con urgencia.


Antivirus software is dead, says security expert at Symantec | Technology | theguardian.com

Antivirus software is dead, says security expert at Symantec | Technology | theguardian.com.

Information chief at Norton developer says software in general misses 55% of attacks and its future lies in responding to hacks

Blue creepy-crawly bug crawls over green electronic circuit
Hackers are said increasingly to use novel methods and bugs in the software of computers to perform attacks. Photograph: Dale O’Dell/Alamy

Antivirus software only catches 45% of malware attacks and is “dead”, according to a senior manager at Symantec.

Remarks by Brian Dye, senior vice-president for information security at the company, which invented commercial antivirus software in the 1980s and now develops and sells Norton Antivirus, suggest that such software leaves users vulnerable.

Dye told the Wall Street Journal that hackers increasingly use novel methods and bugs in the software of computers to perform attacks, resulting in about 55% cyberattacks going unnoticed by commercial antivirus software.

Malware has become increasingly complex in a post-Stuxnet world. Computer viruses range from relatively simple criminal attacks, where credit card information is targeted, to espionage programs that spy on users and data but can easily be upgraded into cyberweapons at the touch of a button, according to security expert Eugene Kaspersky, founder of Kaspersky Lab, which also sells antivirus software.


Microsoft reconoce un fallo de seguridad en el navegador Explorer | Tecnología | EL PAÍS

Microsoft reconoce un fallo de seguridad en el navegador Explorer | Tecnología | EL PAÍS.

Madrid 28 ABR 2014 – 09:42 CET

Microsoft trata de corregir un error en su navegador Internet Explorer después de que una firma de seguridad informática revelara un fallo en el programa, asegurando que algunos hackers lo están aprovechando con algunas empresas estadounidenses.

 

La gravedad del fallo es aún mayor porque los ordenadores con el sistema operativo Windows XP ya no reciben actualizaciones, ya que a principios de mes dejó de darle soporte técnico, después de 13 años de vida. Como el sistema sigue funcionamiento, la expansión del fallo aún es mayor. Las empresas de seguridad estiman que entre el 15% y el 25% de los ordenadores del mundo aún funcionan con Windows XP.

 

Microsoft reveló el sábado sus planes para solucionar el error, que, según dijo, está presente en las versiones de Internet Explorer 6 a 11 . Esas versiones son las más populares en los ordenadores fijos, con el 55% del total, según NetMarketShare.

 

La firma de seguridad FireEye dijo que un grupo de hackers sofisticados ha estado explotando el fallo. FireEye, cuya división Mandiant ayuda a las empresas a responder a los ataques cibernéticos, se negó a nombrar a las víctimas específicas o a identificar el grupo de hackers.

 

“Es una campaña de ataques dirigidos aparentemente contra las empresas con sede en EE.UU., ligadas a la defensa y al sector financiero”, dijo el portavoz de FireEye, Vitor De Souza, por correo electrónico. “No está claro cuáles son los motivos de este grupo de ataques, aunque podría ser la recolección de datos sensibles”.

 

Microsoft explicó que la vulnerabilidad podría permitir a un atacante tomar el control completo de un sistema afectado y, a continuación, suprimir datos, instalar programas maliciosos o crear cuentas que darían a los hackers todos los datos del usuario.

El fabricante de software, en un comunicado enviado a Reuters, pidió que los usuarios de Windows XP se actualicen a las dos versiones más recientes de su sistema operativo, Windows 7 y 8. OTra solución, que no ha querido dar Microsoft, es cambiarse de navegador.


La NSA desmiente haber estado al tanto de la falla de Internet “Heartbleed” – BioBioChile

La NSA desmiente haber estado al tanto de la falla de Internet “Heartbleed” – BioBioChile.


Heartbleed.com

Heartbleed.com

Publicado por Gabriela Ulloa | La Información es de Agencia AFP
La agencia estadounidense encargada de interceptar comunicaciones, la NSA, desmintió el viernes las revelaciones de la agencia Bloomberg según la cual sabía de la falla de seguridad en el programa de conexiones seguras conocida como “Heartbleed”, y la habría utilizado en su beneficio.

Bloomberg, que mencionó “fuentes cercanas al caso”, afirmó que la agencia de inteligencia sabía desde hacía “al menos dos años” que existía esta falla, pero no lo había revelado sino que la había utilizado en su beneficio para obtener datos.

“Heartbleed” afecta ciertas versiones de OpenSSL, un programa libre usado para conexiones seguras en Internet, que se reconoce por ejemplo en las direcciones web que empiezan con https o un pequeño candado durante operaciones bancarias y de identificación en internet. Su existencia fue revelada al inicio de esta semana.

“La NSA no estaba al tanto de la vulnerabilidad identificada recientemente en OpenSSL, llamada falla Heartbleed, hasta que se hizo pública en el informe de una firma privada de seguridad informática. Las informaciones que establecen lo contrario son falsas”, declaró a la AFP una portavoz de la NSA, Vanee Vines.


Una grieta en la seguridad de la Red | Tecnología | EL PAÍS

Una grieta en la seguridad de la Red | Tecnología | EL PAÍS.

 

OpenSSL se crea de manera desinteresada por la comunidad informática. / KACPER PEMPEL (REUTERS / Cordon Press)

 

Un error en uno de los principales programas de conexión segura utilizado en Internet ha tenido potencialmente expuestos a millones de usuarios desde hace dos años. El lunes, Google difundió un punto débil en el sistema de cifrado que utiliza para sus conexiones seguras, llamado OpenSSL, que también ha afectado a gigantes como Yahoo y Amazon. Esta grieta, existente desde 2011 y descubierta en diciembre de 2013 por un técnico de Google, podría haber permitido a hackers robar contraseñas de los usuarios.

 

El problema afecta a las conexiones seguras, las que comienzan con “https” y aparecen en la barra de direcciones cuando el usuario introduce datos delicados, habitualmente contraseñas. El fallo ha sido bautizado en inglés como Heartbleed, o “corazón sangrante”, porque afecta a un tipo de intercambio de información en web, el Heartbeat (latido de corazón).

 

El agujero de seguridad está en el código fuente (los bloques de construcción que componen un programa informático) de las versiones 1.0.1 a 1.0.1f de OpenSSL. Ya existe una nueva versión lista para descargar que subsana el fallo: la 1.0.1g. Los internautas de las páginas que utilizan este código habrían sido potencialmente vulnerables desde 2011. Y si alguien hubiera accedido a información confidencial, no habría dejado rastro. Pero los expertos llaman a la calma porque no hay razones para suponer que la seguridad haya sido violada desde entonces.

 

Open SSL es un sistema de seguridad utilizado por algunas de las principales web que existen, y “entre el 50% y el 70%” de servidores según Igor Unanue, técnico de la empresa de seguridad S21SEC. Ricardo Galli, fundador de Menéame, rebaja los servidores afectados a unos 500.000. Es gratuito y funciona como una herramienta que las web utilizan para cifrar la información que intercambian con los usuarios individuales, para que esta no pueda ser robada por terceros.

 

Open SSL es un programa de código abierto. Es decir, supuestamente cualquier programador puede participar en la escritura de su ADN, aunque eso no quiere decir que lo pueda alterar a voluntad como los artículos de Wikipedia.

 

Lo usan desde Yahoo, Google, Facebook o Amazon, a la plataforma de juegos Steam, pasando por el software de conexión segura Tor. Potencialmente podría haber dejado sin cobertura de seguridad a millones de usuarios que almacenan los datos de sus tarjetas bancarias en páginas de pago, o que utilizan el e-mail o los mensajes instantáneos.


“Heartbleed”: La grave falla que amenaza la seguridad de los usuarios en Internet – BioBioChile

“Heartbleed”: La grave falla que amenaza la seguridad de los usuarios en Internet – BioBioChile.


Heartbleed.com

Heartbleed.com

Publicado por Gabriela Ulloa
Esta semana se dio a conocer un preocupante problema de seguridad web que afecta a dos tercios de Internet: se trata de un error (bug) llamado “Heartbleed”, el cual permite a cualquier cibercriminal con acceso a la red robar datos protegidos en un servidor.

Precisamente corresponde a una falla en OpenSSL, un software de encriptación de código abierto usado por cerca del 66% de los servidores existentes en Internet, y que podría poner en riesgo los datos sensibles de los usuarios como contraseñas, datos de tarjetas de créditos y correos electrónicos, entre otros.

Uno de los aspectos más críticos es que dicha tecnología está detrás de múltiples sitios HTTPS que recogen información personal o financiera, los cuales se identifican con el ícono de un pequeño candado ubicado en la barra de direcciones y que avisa a los cibernautas que sus datos están a salvo de los espías web.

Al respecto, se precisó que actualmente los cibercriminales pueden explotar el bug para acceder a los datos personales de los usuarios y a las contraseñas criptográficas de los sitios, con el fin de crear imitaciones de las páginas para engañar a quienes navegan.


Heartbleed: don't rush to update passwords, security experts warn | Technology | theguardian.com

Heartbleed: don’t rush to update passwords, security experts warn | Technology | theguardian.com.

The severity of the Heartbleed bug means that rushing to change passwords could backfire

 

 

The Heartbleed logo.
The Heartbleed logo. Photograph: Codenomicon

 

Internet security researchers say people should not rush to change their passwords after the discovery of a widespread “catastrophic” software flaw that could expose website user details to hackers.

The flaw, dubbed “Heartbleed”, could reveal anything which is currently being processed by a web server – including usernames, passwords and cryptographic keys being used inside the site. Those at risk include Deutsche Bank, Yahoo and its subsidiary sites Flickr and Tumblr, photo-sharing site Imgur, and the FBI.

About half a million sites worldwide are reckoned to be insecure. “Catastrophic is the right word,” commented Bruce Schneier, an independent security expert. “On the scale of 1 to 10, this is an 11.”

But suggestions by Yahoo and the BBC that people should change their passwords at once – the typical reaction to a security breach – could make the problem worse if the web server hasn’t been updated to fix the flaw, says Mark Schloesser, a security researcher with Rapid7, based in Atlanta, Georgia.

Doing so “could even increase the chance of somebody getting the new password through the vulnerability,” Schloesser said, because logging in to an insecure server to change a password could reveal both the old and new passwords to an attacker.


'Heartbleed': for hundreds of thousands of servers at risk around the world from catastrophic bug | Technology | theguardian.com

‘Heartbleed’: for hundreds of thousands of servers at risk around the world from catastrophic bug | Technology | theguardian.com.

Code error means that websites can leak user details including passwords through ‘heartbeat’ function used to secure connections

 

 

The Heartbleed logo
The Heartbleed logo. Photograph: /Codenomicon

 

Hundreds of thousands of web and email servers worldwide have a software flaw that lets attackers steal the cryptographic keys used to secure online commerce and web connections, experts say.

They could also leak personal information to hackers when people carry out searches or log into email.

The bug, called “Heartbleed”, affects web servers running a package called OpenSSL.

Among the systems confirmed to be affected are Imgur, OKCupid, Eventbrite, and the FBI’s website, all of which run affected versions of OpenSSL. Attacks using the vulnerability are already in the wild: one lets a hacker look at the cookies of the last person to visit an affected server, revealing personal information. Connections to Google are not vulnerable, researchers say.

SSL is the most common technology used to secure websites. Web servers that use it securely send an encryption key to the visitor; that is then used to protect all other information coming to and from the server.

It is crucial in protecting services like online shopping or banking from eavesdropping, as it renders users immune to so-called man in the middle attacks, where a third party intercepts both streams of traffic and uses them to discover confidential information.