En la portada de nuestro nuevo número…

Ataque Anti-Sec a Apple

Hablaremos sobre el problema del almacenamiento de contraseñas en texto plano por parte de Android.

Apple es el nuevo objetivo de los ataques de Anti-Sec, campaña lanzada por Anonymous y el disuelto grupo Lulzsec.

En la sección especial, hablaremos sobre el “Wikileaks” de Anonymous

En el punto de mira: Skype. Se ha descubierto la existencia de un fallo de scripting de sitios cruzados que podría explotarse para cambiar la contraseña de los usuarios.

Por último hablaremos sobre los empleados “poco seguros”. Una reciente investigación de SailPoint revela que muchos empleados estarían dispuestos a robar datos corporativos y venderlos en beneficio propio. Un estudio realizado entre más de 3.400 empleados de Estados Unidos, Gran Bretaña y Australia, ha descubierto que la lealtad corporativa no es un valor en alza precisamente.

En la portada de nuestro nuevo número… Las contraseñas en texto plano de Android Actualmente, consultar el correo electrónico y acceder a las redes sociales u otras aplicaciones desde los dispositivos móviles es cada vez más frecuente. Y para que el usuario no tenga que introducir una y otra vez sus contraseñas, los fabricantes dotan al teléfono con la capacidad de almacenar dichas contraseñas. La normativa española, obliga a toda empresa que almacene contraseñas en su base de datos (ya sea en servidores, dispositivos, etc.) cifradas, es decir que si un usuario accede a la base de datos se encuentre un conjunto de caracteres que nada tengan que ver con l contraseña original. Este es el problema que tiene Android. Sus dispositivos móviles almacenan las contraseñas en texto plano, totalmente legibles.

Tras la denuncia de Samuel Parra, experto en protección de datos en la red, Google responde que el sistema es seguro porque solo el "administrador" del teléfono puede obtener esos datos, así como que, "en todo caso", el acceso "está protegido en Android". Traduciendo, Google afirma que para qué va a cifrar las contraseñas si ya están protegidas por el propio móvil (para acceder a ellas tienes que poseer el móvil y además entrar como administrador). Os podéis imaginar el revuelo que han levantado estas declaraciones tan… “inseguras”. La Agencia Española de Protección de Datos ha abierto un "análisis preliminar" de la información sobre este tema. El organismo declina, de momento, calificar la actuación de Google, a la espera de reunir todos los datos sobre la misma. Veremos cómo termina todo esto.

Ataque Anti-Sec a Apple Apple es el nuevo objetivo de los ataques de Anti-Sec, campaña lanzada por Anonymous y el disuelto grupo Lulzsec. A comienzos de julio salía a la luz el ataque Anti-Sec a Apple a través de un mensaje en Twitter de Anonymous, publicando 26 contraseñas de varios usuarios de un servidor de la compañía. El grupo, que dio la información el día 25 de junio avisó de que publicaría los datos si Apple no reaccionaba. Un aviso similar lo dio hace unas semanas sobre el sitio Java.com de Oracle y la compañía reaccionó agradeciendo la advertencia. Una acción similar fue dirigida a la compañía McAfee. Y es que no debemos olvidar que el principal objetivo de los ataques AntiSec es mostrar la seguridad de las empresas a las propias empresas, para que reaccionen. Eso sí, como no reaccionen, que se preparen.

Y si no que se lo pregunten a la policía de Arizona. Varios sitios administrativos de la policía han sido objetivos de Anti-Sec, en una acción destinada a criticar la campaña de persecución de la inmigración ilegal en aquel Estado. Bajo el lema "Chinga La Migra", han obtenido datos de contacto de distintas personas cuya autenticidad ha sido confirmada por Reuters. La protesta se relaciona con la ley aprobada el año pasado en este Estado fronterizo con México que ordena a la policía pedir la acreditación a cualquier sospechoso de haber entrado ilegalmente en el país. La medida ha sido muy criticada por la comunidad hispana al considerar que es inconstitucional y organiza un verdadero asedio contra sus ciudadanos. Y Anonymous, mientras tanto, “colándose” en los ordenadores de la policía.

El “Wikileaks” de Anonymous

La vulnerabilidad de Skype

Seguimos con Anonymous. En esta ocasión hablamos sobre la creación de un sitio web (HackerLeaks), por parte del grupo.

Levent Kayan, consultor alemán especializado en seguridad ha notificado a Skype la existencia de un fallo grave.

Su objetivo: recibir filtraciones de documentos a través de un canal anónimo, analizarlos y distribuirlos a la prensa para conseguir la “máxima exposición e impacto político”. “HackerLeaks está modelado de forma muy similar a WikiLeaks. Nuestra primera prioridad es entregar una manera segura y anónima para que los hackers revelen información sensible”, señala el sitio. “Tú lo descargas, nosotros lo revelamos”, dice el sitio web. Los hackers ya están incentivando a que se envíen datos que ayuden a la Operación AntiSecurity: “Si estás trabajando para un gobierno o compañía corruptos: filtra los datos”. Habrá que esperar para ver qué sorpresas nos dejará la nueva web.

El problema reside en un campo donde los usuarios de Skype pueden introducir su número de teléfono móvil. Según Kayan, los atacantes pueden insertar JavaScripts en el campo. Después, cuando uno de los contactos del usuario accede online, el perfil del usuario malicioso es actualizado, y el script se ejecuta. Kayan explica que la sesión de la otra persona puede a continuación ser secuestrada dando la posibilidad al atacante de cambiar la contraseña de su cuenta. No obstante existen algunos requisitos para que la vulnerabilidad sea explotable. En primer lugar, el atacante y la víctima deben ser “amigos” en Skype, y, además, el ataque no se ejecuta de forma automática cuando la víctima se autentica, sino que tiene que hacerlo varias veces. Pero cuando ya se ha disparado el mecanismo, lo hará siempre que vuelva a autenticarse.

Los empleados “poco seguros” Un gran número de trabajadores vendería información corporativa. Por http://www.csospain.es

Un estudio realizado entre más de 3.400 empleados de Estados Unidos, Gran Bretaña y Australia, ha descubierto que la lealtad corporativa no es un valor en alza precisamente, según informa PC World Profesional. De hecho, los datos de las empresas podrían estar en peligro, sobre todo cuando ciertos empleados son despedidos o deciden abandonar la empresa. El estudio, realizado por Harris Interactive para la firma de seguridad SailPoint, descubrió que un significativo número de empleados admitió no utilizar correctamente los datos corporativos de su compañía, incluso llegaron a afirmar que no les costaría vender información sensible y propietaria para lucrarse con ello. De los encuestados, el 22% de los empleados estadounidenses, el 29% de los australianos y el 48% de los británicos que tienen acceso a datos privados de la

empresa o de sus clientes indicaron que se sentirían cómodos realizando ciertas acciones con ellos, tanto de forma accidental como intencional. Muchos de ellos afirmaron que reenviarían archivos electrónicos a personas ajenas a la empresa. Concretamente, el 10% de los americanos, el 12% de los australianos y el 27% de los británicos. Por otro lado, el 9% de los americanos, el 8% de los australianos y el 24% de los británicos, admitió que copiarían datos electrónicos y archivos para llevárselos cuando abandonaran la empresa. El estudio también les preguntó si un empleado se sentiría cómodo beneficiándose de información propietaria vendiéndola en Internet. Mientras que solamente el 5% de los americanos y el 4% de los empleados australianos confesaron que sí lo haría, el 24% de los empleados británicos con acceso a ese tipo de información se sentiría cómodo vendiendo ese tipo de datos.