La semana pasada, desarrolladores de Google que se encuentran a cargo del proyecto del navegador web Google Chrome tomaron la decisión de inhabilitar el etiquetado separado de los certificados de nivel EV (Validación Extendida) en Google Chrome.

Si antes para los sitios con certificados similares se mostraba el nombre de la compañía verificada por el centro de certificación en la barra de direcciones, ahora para estos sitios se mostrará el mismo indicador de conexión segura que para los certificados con verificación de acceso al dominio. Y es que a partir de lo que será la próxima versión de Google Chrome 77, la información sobre el uso de certificados EV se mostrará solo en el menú desplegable que se muestra al hacer clic en el icono de conexión segura.

Tomando este movimiento como referencia, el año pasado (en el 2018), la gente de Apple tomó una decisión similar para el navegador Safari y lo implementó en iOS 12 y macOS 10.14.

Es importante recalcar que los certificados EV confirman los parámetros de identificación reclamados y requieren que el centro de certificación verifique los documentos en el dominio y la presencia física del propietario del recurso.

¿Por que ya no se mostraran las entidades que emiten los certificados en la barra del navegador?

Este movimiento por parte de los desarrolladores de Google se deriva de un estudio realizado por Google, en donde se mostró que el indicador utilizado anteriormente para los certificados EV no proporcionaba la protección esperada para los usuarios que no prestaban atención a la diferencia y no la usaban al tomar decisiones sobre la entrada de datos confidenciales en los sitios.

De permanencia en el estudio de Google se encontró que el 85% de los usuarios no se impidió entrar con la presencia credenciales en la barra de direcciones URL “accounts.google.com.amp.tinyurl.com” en lugar de “accounts.google.com“, si aparece en la página interfaz típica del sitio de Google.

A través de nuestra propia investigación, así como una encuesta de trabajos académicos previos, el equipo de Chrome Security UX ha determinado que la interfaz de usuario EV no protege a los usuarios según lo previsto.

Los usuarios no parecen tomar decisiones seguras (como no ingresar la contraseña o la información de la tarjeta de crédito) cuando se altera o elimina la IU, ya que sería necesario que la IU EV proporcionara una protección significativa.

Además, la insignia de EV ocupa un valioso espacio en la pantalla, puede presentar nombres de empresas que confunden activamente en una interfaz de usuario destacada e interfiere con la dirección del producto de Chrome hacia una pantalla neutral, en lugar de positiva, para conexiones seguras.

Debido a estos problemas y su utilidad limitada, creemos que pertenece mejor a la información de la página.

La alteración de la interfaz de usuario EV es parte de una tendencia más amplia entre los navegadores para mejorar sus superficies de interfaz de usuario de seguridad a la luz de los recientes avances en la comprensión de este espacio problemático.

Para despertar la confianza en el sitio para la mayoría de los usuarios, resultó ser suficiente solo para hacer que la página sea similar a la original.

Como resultado, se concluyó que los indicadores de seguridad positivos no son efectivos y vale la pena centrarse en organizar la salida de advertencias explícitas sobre los problemas.

Por ejemplo, recientemente se ha aplicado un esquema similar a las conexiones HTTP que están marcadas explícitamente como inseguras.

Al mismo tiempo, la información que se muestra para los certificados EV ocupa demasiado espacio en la barra de direcciones, puede generar confusión adicional al ver el nombre de la empresa en la interfaz del navegador, y también viola el principio de neutralidad del producto y se utiliza para suplantación de identidad.

Por ejemplo, la Autoridad de Certificación de Symantec emitió un certificado EV de Identity Verified, cuyo nombre mostraba a los usuarios engañados, especialmente cuando el nombre real del dominio abierto no cabía en la barra de direcciones.

Fuente: https://blog.chromium.org

from Linux Adictos https://ift.tt/2MY0c30
via IFTTT

Los investigadores de Check Point revelaron recientemente en la conferencia DEF CON los detalles de una nueva técnica que fue descubierta, esta es utilizada para atacar aplicaciones que usan versiones vulnerables de SQLite.

El método Check Point considera los archivos de base de datos como una oportunidad para integrar escenarios de explotación de vulnerabilidades en varios subsistemas SQLite internos que no son accesibles para la explotación de la frente. Los investigadores también prepararon una técnica para explotar vulnerabilidades con codificación de exploits en forma de una cadena de consultas SELECT en una base de datos SQLite, que permite evitar ASLR.

Sobre la vulnerabilidad

Los investigadores de Check Point detallan que para un ataque exitoso, un atacante debe poder modificar los archivos de la base de datos de las aplicaciones atacadas, lo que limita el método para atacar aplicaciones que usan bases de datos SQLite como formato para el tránsito y los datos de entrada.

Aun que también dan a conocer que el método también se puede utilizar para expandir el acceso local ya obtenido, por ejemplo, para integrar puertas traseras ocultas en las aplicaciones utilizadas, así como para evitar a los investigadores de seguridad al analizar malware.

La operación después de la suplantación de archivos se realiza en el momento en que la aplicación ejecuta la primera solicitud SELECT a la tabla en la base de datos modificada.

Como ejemplo, se demostró la capacidad de ejecutar código en iOS al abrir la libreta de direcciones, el archivo con la base de datos “AddressBook.sqlitedb” que se modificó utilizando el método propuesto.

Para el ataque, se utilizó una vulnerabilidad en la función fts3_tokenizer (CVE-2019-8602, la capacidad de desreferenciar un puntero), corregida en la actualización SQLite 2.28 de abril, junto con otra vulnerabilidad en la implementación de funciones de ventana.

Además, demuestra el uso del método para la incautación a control remoto de un servidor backend de atacantes escrito en PHP, que acumula contraseñas interceptadas durante la operación de código malicioso (las contraseñas interceptadas se transfirieron en forma de una base de datos SQLite).

El método de ataque se basa en el uso de dos técnicas, Query Hijacking y Query Oriented Programming, que permiten explotar problemas arbitrarios que conducen a la corrupción de la memoria en el motor SQLite.

La esencia del “Secuestro de consultas” está en reemplazar el contenido del campo “sql” en la tabla de servicio sqlite_master que define la estructura de la base de datos. El campo especificado contiene el bloque DDL (Lenguaje de definición de datos) utilizado para describir la estructura de los objetos en la base de datos.

La descripción se establece utilizando la sintaxis SQL normal, es decir. se utiliza la construcción “CREATE TABLE”, que se realiza durante la inicialización de la base de datos (durante la primera ejecución de la función sqlite3LocateTable) para crear estructuras internas asociadas con la tabla en la memoria.

La idea es que, como resultado de reemplazar “CREATE TABLE” y  “CREATE VIEW, sea posible controlar cualquier acceso a la base de datos a través de la definición de su vista.

Por su parte usando el comando “CREATE VIEW”, se adjunta una operación “SELECT” a la tabla, que se llamará en lugar de “CREATE TABLE” y le permite al atacante poder acceder a varias partes del intérprete de SQLite.

Además de esto, la forma más fácil de atacar sería llamar a la función “load_extension”, que le permite al atacante poder cargar una biblioteca arbitraria con la extensión, pero esta función está deshabilitada de manera predeterminada.

Para realizar un ataque bajo las condiciones de la posibilidad de realizar la operación SELECCIONAR, se propuso la técnica de programación orientada a la consulta, que permite explotar problemas en SQLite que conducen a la corrupción de la memoria.

La técnica recuerda a la Programación Orientada al Retorno ( ROP ), pero utiliza fragmentos de código de máquina no existentes, pero se inserta en un conjunto de subconsultas dentro de SELECT para construir una cadena de llamadas (“gadgets”).

Fuente: https://threatpost.com/

from Linux Adictos https://ift.tt/2OWbMOz
via IFTTT

Hace poco fue anunciado el lanzamiento de la nueva versión del kit de distribución Freedombone 4.0, el cual está destinado a crear servidores domésticos que le permiten al usuario el poder implementar sus propios servicios de red en equipos controlados.

Los usuarios pueden usar dichos servidores para almacenar sus datos personales, iniciar servicios de red y garantizar comunicaciones seguras sin recurrir a sistemas centralizados externos. Freedombone se puede utilizar para organizar el trabajo a través de la red anónima de Tor (los servicios lanzados funcionan como servicios ocultos de Tor y son accesibles a través de una dirección de .onion).

O también como un nodo de red de malla, cada nodo en el que está conectado a través de nodos vecinos de otros usuarios (soportado como redes de malla independientes tener puertas de enlace a Internet). La red de malla se crea sobre Wi-Fi y se basa en el uso de batman-adv y BMX con la capacidad de seleccionar los protocolos OLSR2 y Babel .

Sobre Freedombone

El paquete de la distribución también proporciona al usuario aplicaciones para crear un servidor de correo, un servidor web (el paquete incluye paquetes para la implementación rápida de chats, correo web, redes sociales, blogs, Wiki), plataforma de comunicaciones VoIP, sistema de sincronización de archivos, almacenamiento multimedia, transmisión, VPN, copia de seguridad, etc.

Una diferencia clave de un proyecto similar de FreedomBox es el suministro de solo software gratuito y la ausencia de elementos de firmware y controladores que contengan componentes patentados.

Esta característica, por un lado, le permite a quienes prefieren el uso de esta distro sobre otras, el hacer que el producto sea completamente transparente y libre de componentes no controlados, pero, por otro lado, limita la gama de equipos compatibles (por ejemplo, las placas Raspberry Pi no son compatibles debido a la unión a insertos propietarios).

Además, FreedomBox se compila directamente desde Debian y Freedombone solo usa algunos paquetes, también ofrece aplicaciones adicionales que no están en los repositorios oficiales de Debian y cambia la configuración de cifrado de acuerdo con las recomendaciones de bettercrypto.org.

Freedombone también ofrece un servidor de correo predeterminado para usar GPG y brinda soporte para redes de malla.

El proyecto Freedombone se fundó a finales de 2013, mientras que FreedomBox se desarrolla desde febrero de 2011.

¿Que hay de nuevo en Freedombone 4.0?

Esta nueva versión de la distro se basa en la experiencia de Debian 10 e incluye versiones actualizadas de las aplicaciones suministradas.

La estructura incluye soporte el soporte de VPN para Wireguard y se agregan aplicaciones adicionales como PixelFed, mpd, Zap y Grocy, así como varios juegos, incluido Minetest.

Debido a la complejidad del mantenimiento, GNU Social, PostActiv y Pleroma se eliminaron de la entrega, en lugar de lo cual se planea agregar un servidor con soporte para el protocolo ActivityPub en el futuro.

El kit de herramientas nftables se usa como filtro de paquetes. Se agregaron componentes para el despliegue de redes controladas por la comunidad (redes comunitarias), en las que el equipo y la infraestructura de la red pertenecen a la comunidad.

Freedombone permite determinar la presencia de otros nodos en dichas redes y crear sus propios nodos para ellos.

Las imágenes de arranque de Freedombone se preparan para las arquitecturas AMD64, i386 y ARM (aun que tambien existen versiones para tableros Beaglebone Black). Los conjuntos están destinados a la instalación en unidades USB, SD / MMC o SSD, después de la carga desde la cual se proporciona de inmediato un entorno preconfigurado que funciona con control a través de la interfaz web.

Para quienes quieran probar Freedombone, primero deben de descargar GNOME MultiWriter, para poder realizar la creación de la imagen de instalación en un medio boteable.

La instalación de GNOME MultiWriter es bastante sencilla, solo deben abrir una terminal y en ella ejecutan el siguiente comando.

Si son usuarios de Arch Linux, Manjaro o cualquier otra distro basada en Arch Linux, solo tienen que teclear el siguiente comando:

sudo pacman -S gnome-multi-writer

Para el caso de los que son usuarios de Debian, Ubuntu o cualquier otro derivado solo deben teclear:

sudo apt-get install gnome-multi-writer

Ahora pueden descargar la imagen del sistema ejecutando el siguiente comando:

wget https://freedombone.net/downloads/freedombone-main-all-amd64.img.xz

O para 32 bits

wget https://freedombone.net/downloads/freedombone-meshclient-all-i386.img.xz

O ARM

wget https://freedombone.net/downloads/freedombone-main-beagleboneblack-armhf.img.xz

Y descomprimimos el contenido con:

unxz freedombone*.img.xz

Finalmente podremos grabar la imagen con ayuda de GNOME MultiWriter.

from Linux Adictos https://ift.tt/2H772PL
via IFTTT