Hackeando a los malos con sus propias armas
Según un investigador de seguridad de IBM, una falla en el protocolo utilizado para asegurar las comunicaciones a través de Internet podría haber sido utilizada para hackear cuentas de Twitter.
La semana pasada, Anil Kurmus demostró cómo podría fallar el protocolo SSL (Secure Sockets Layer) utilizado esencialmente para engañar a las víctimas para que envíen mensajes de Twitter que contengan su información de contraseña. Para que la falla sea explotada, un pirata informático primero tendría que encontrar la manera de ingresar a la red de la víctima, lanzando lo que se conoce como un ataque de hombre en el medio, por lo que sería difícil afectar a un gran número de usuarios de Twitter con esta tecnica. El problema fue pronto parcheado por Twitter, pero tiene expertos en seguridad que se preguntan cuántos sitios web podrían sufrir un problema similar.
Un consorcio de compañías de Internet se ha apresurado a solucionar el problema SSL desde el 5 de noviembre, cuando fue hecho inadvertidamente. público en una lista de discusión. Pero ha habido cierto debate sobre la gravedad de la falla. Poco después de que el error se hiciera público, el investigador de IBM Tom Cross dijo que, en su mayor parte, las principales aplicaciones web no se verían afectadas por el problema.
[Lectura adicional: cómo eliminar el malware de su PC con Windows]Pero Cross cambió de opinión y escribió: "Desafortunadamente, la situación es peor de lo que pensaba".
Las aplicaciones de Webmail, en particular, también pueden estar en riesgo por este ataque. Y a los expertos en seguridad también les preocupa que otras aplicaciones -las bases de datos, por ejemplo- puedan estar en riesgo.
Twitter.com era susceptible al error porque hacía lo que se denomina renegociación del cliente bajo SSL. La renegociación del cliente le da al sitio web una manera de pedirle al usuario de Twitter un certificado SSL después de que un usuario ya esté conectado al sitio. Es una herramienta útil para sitios que permiten a los usuarios iniciar sesión usando tarjetas inteligentes o para sitios que restringen el acceso a un grupo selecto de navegadores web predefinidos, pero hasta que se solucione la falla, la renegociación del cliente también abre la puerta para ataques SSL.
son probablemente muchos sitios como Twitter que permiten la renegociación del cliente simplemente porque está integrado en el protocolo SSL y su sucesor, TLS (Transport Layer Security), dijo Marsh Ray, uno de los desarrolladores de PhoneFactor que descubrió el problema. "Mucha gente no se dio cuenta de que lo estaban haciendo", dijo.
La buena noticia es que muchos sitios simplemente pueden desactivarlo directamente, que aparentemente es lo que Twitter ha hecho. Twitter no respondió a un mensaje que solicitaba comentarios sobre esta historia.
Según Ray, la gente debería darse cuenta de que si bien la falla de SSL no es catastrófica, "se trata de un error grave y las personas deben parchearlo".
Revisión: Pokki muestra el Windows 8 que podría haber sido
Con un menú de inicio simple que extrae los resultados de la Web, indoloro instalación de aplicaciones y ventanas que no ocupan toda la pantalla, Pokki ofrece una mejor manera de disfrutar de Windows 8, y una que debe servir como lección para Microsoft.
La multa de $ 731 millones de Microsoft podría haber sido mayor
El jefe antimonopolio de Europa anunció una multa sustancial a Microsoft, pero podría haber sido aún más alta, dijo.
Así es como todos los cargadores inalámbricos deberían haber sido
Pi, una startup fundada por un ex alumno del MIT, ha demostrado un nuevo tipo de cargador inalámbrico omnidireccional que puede recargar dispositivos desde 1 pie de distancia.