Cuando Google dejó de ofrecer Gears, miles de usuarios alrededor del mundo quedaron a la espera de una herramienta para acceder a su correo cuando la conexión web fallaba. Esa posibilidad vuelve hoy en forma de una extensión para Google Chrome.

Basada en la versión de Gmail para tablets y empleando HTML5, Gmail offline permite seguir empleando el servicio de correo a pesar de que el usuario no tenga conexión a la web.

Los correos se almacenan en la PC del usuario, desde donde se los puede organizar, leer, eliminar o responder. Al conectarse a internet, la cuenta de correo se sincroniza y completa todas las acciones.

Según informó la empresa, se habilitó el acceso offline tanto para el correo de Gmail como para el Calendario de Google, mientras que la versión sin conexión de Google Docs (una herramienta que permite tener en la nube desde documentos de texto hasta hojas de cálculo) estará disponible a partir de la próxima semana.

De momento, el modo sin conexión de estas funciones no permite modificar ni archivos de Google Docs ni citas del Calendario, una función en la que según afirmó la compañía “están trabajando” para lanzarla “lo antes posible”. Las extensiones para el navegador de Google se pueden descargar gratuitamente desde Chrome Web Store.

Fuente: Infobae

Un usuario que publicó una clic entrada en un foro de ayuda de Google parece ser quien dio la voz de alerta.

Google ha informado en su blog de seguridad que la mayoría de la gente afectada por la maniobra se encuentra en Irán (el usuario que advirtió del problema dice estar allí).

La compañía holandesa DigiNotar, una de las cientos de autoridades de certificación que existen en el mundo, había emitido un certificado para sitios de Google, que no terminó en manos del gigante de internet, sino de potenciales cibercriminales.

En un comunicado de prensa, Vasco, la compañía propietaria de DigiNotar, dijo que el 19 de julio esa autoridad de certificación detectó una intrusión en su infraestructura, “que resultó en la emisión fraudulenta de un certificado de clave pública para un número de dominios, incluido Google.com”.

Y agregó que al detectar la intrusión actuó “de acuerdo a todas las reglas y procedimientos relevantes”.
¿Qué son?

En términos simples, estos certificados consisten en una suerte de formulario virtual que el sitio web que está siendo visitado le “presenta” al navegador del usuario para confirmar que efectivamente es de quien dice ser.

Si el navegador reconoce el certificado, establece la conexión y comienza a intercambiar datos con confianza. Para reconocerlo, el propio navegador posee una lista de entidades que pueden emitir certificados, entre los que están autoridades de certificación, como DigiNotar.

Tanto Google como Microsoft y Mozilla, que proveen los más populares navegadores web (Chrome, Internet Explorer y Firefox, respectivamente), han intentado dar respuesta al problema.

Google clic dijo que rechazará los certificados de DigiNotar en Chrome, mientras continúa investigando; y aclaró que esa autoridad de certificación no debía emitir certificados de Google.

Microsoft clic informó que ha eliminado el certificado general de DigiNotar (el que a su vez valida los certificados emitidos por la empresa) de la lista autorizada por sus navegadores, por lo que si los usuarios intentan visitar un sitio con certificados de esa compañía recibirán un mensaje de error.

Por su parte, Mozilla clic ha decidido directamente lanzar versiones nuevas de su navegador (para PCs y dispositivos móviles) y su cliente de correo electrónico Thunderbird.

También ha sugerido a sus usuarios clic desactivar los certificados de DigiNotar en las preferencias de Firefox.
Casi dos meses

El asunto es que mientras los anuncios de las compañías son de este lunes, el certificado falso fue emitido el 10 de julio y nadie sabe a ciencia cierta para qué pudo ser utilizado durante todo este tiempo.

Los cierto es que, como explicó Mateusz Pawlowski, especialista en infraestructura de internet de la BBC, el solo hecho de poseer el certificado falso no es suficiente para interceptar las conexiones del usuario con los sitios de Google.

También es necesario hacer que el tráfico pase por algún servidor controlado por quien está intentando espiar a los usuarios.

Para eso, dijo el experto, el espía necesitaría penetrar la computadora de la víctima o los sistemas de su proveedor de servicios de internet (ISP), para poder desviar el tráfico que circula entre el navegador del usuario y el sitio de Google que está visitando, para constituirse como intermediario de esa comunicación.

Los estados autoritarios, con mayor control sobre los ISP tienen más facilidad que otras naciones de hacer algo así.

Aunque también pueden hacerlo actores privados, dijo Pawlowski.
Nuevas alternativas

Casos como este han llevado a que en el mundo de la seguridad en internet se cuestione cada vez con más fuerza la eficacia de los certificados y la estructura de las agencias de certificación.

En una clic nota publicada en su sitio web, la Fundación Fronteras Electrónicas (EFF, por sus siglas en inglés) dice que este sistema, creado hace décadas para verificar las transacciones en línea, no está en condiciones de satisfacer las necesidades de seguridad de hoy en día.

“Hoy los usuarios de internet confían en este sistema para proteger su privacidad de (los ojos) de naciones-estado”, dice.

“Ponemos en duda que pueda soportar esta carga”.

Existen varias iniciativas que buscan superar este sistema que hoy parece haberse vuelto demasiado susceptible de ser vulnerado.

La EFF ha establecido un clic observatorio de certificados y otra iniciativa llamada clic Convergence busca reemplazar totalmente su uso.

Y Chrome, el navegador de Google, ya trae incorporado un sistema de verificación para los sitios de la compañía que evita el fraude de certificados.

De hecho, esa característica fue la que le permitió al usuario que escribió en sus foros detectar que estaba frente a un certificado falso.

Fuente: BBC Mundo

Como parte de su esquema de seguridad, estos navegadores reciben las direcciones URL de sitios de phishing conocidos y no permiten ir a ellos a menos que los usuarios lo permitan de manera específica. Pero una técnica descubierta por M86 Security Labs les permite ir alrededor de esta protección de lista negra.

La nueva táctica no requiere que las víctimas visiten sitios Web falsos para rellenar los formularios que parecen ser legítimos y revelen contraseñas, números de cuenta, números de Seguro Social y similares. En cambio, los spammers envían los formularios HTML como archivos adjuntos a correos electrónicos. Cuando las víctimas llenan los formularios y hacen clic para enviarlos, los datos se envían a través del navegador a través de una solicitud POST a servidores PHP Web que han sido controlados por los hackers (piratas informáticos). 



“A pesar de que con el POST se envía información al servidor web remoto del hacker, Google Chrome y Mozilla Firefox no detectan ninguna actividad maliciosa”, dice el blog. “Las campañas de phishing con meses de antigüedad, no son detectadas, por lo que parece que esta táctica es muy eficaz”.

Los navegadores no ven en esta actividad como maliciosa, en parte porque no son muchos los servidores de PHP comprometidos que son reportados por lo que sus direcciones URL no conforman listas negras. La mayoría de los usuarios no son lo suficientemente sofisticados como para discernir la dirección del envío de datos en PHP, dice M86 en un blog.

Además, debido a que el script PHP no muestra ningún código HTML en el navegador, la URL a la que se envían los datos es difícil de comprobar como un sitio de “phishing”, dicen en el blog.

En un caso concreto que describe M86, el servidor PHP involucrados se habían instalado en la página web de Frito-Lay que había sido comprometida. Después de tomar los datos de la víctima, el script PHP redirige el navegador a la compañía legítima con la que la víctima pensó que estaba tratando originalmente.
Por Tim Greene, World Network (EUA).

Fuente: PC WORLD

La nueva versión 8.0.552.237 de Chrome corrige numerosos fallos de seguridad, entre ellos uno de gravedad crítica. Cabe destacar que es la primera vez que Google concede a un investigador la recompensa “elite” dotada con 3.133,7 dólares por encontrar una vulnerabilidad crítica. La razón de que la vulnerabilidad tenga esta valoración se debe a que permitiría ejecutar código arbitrario con los privilegios del usuario que ejecuta el navegador sin que éste tenga que realizar ninguna acción adicional más que visitar un enlace.

Su descubridor, Sergey Glazunov, además, ha reportado cuatro vulnerabilidades más de gravedad alta.

Dos de las vulnerabilidades que han sido parcheadas con esta actualización corrigen fallos relacionados con el manejo de archivos PDF, que pueden ser visualizados de forma nativa en el navegador desde hace poco más de medio año.

La nueva versión de Google Chrome puede ser actualizada desde las opciones de actualización del mismo navegador o desde la página web de Chrome.

Fuente: La Flecha

Ahora la cosa es más enfática, un investigador de seguridad del Micrososft Vulnerability Reasearch, descubrió un alto grado de vulnerabilidad que podría permitir a los delincuentes hacer un bypass de las protecciones cruzadas origina

Enfoque Seguro

Vía: Slashdot

Con el público emocionado con el advenimiento del sistema operatio de Google el Chrome OS, una de las primeras preocupaciones es la seguridad, pero dejemos que sea Will Dewry, Ingeniero de Seguridad de Google, nos explique cómo funcionará la seguridad en el nuevo software (así tendremos un punto de partida al momento de probarlo por primera vez).

Advertencia: el contenido está en Inglés.

El portal Hispasec refleja que existe un error en el sistema de análisis de contenido de los navegadores Opera y Google Chrome. Un atacante remoto podría explotar esto para ejecutar código JavaScript arbitrario a través de un enlace que devuelva un “mime type” del tipo “text/xml”, “text/atom-xml” o “text/rss-xml” con JavaScript incrustado. Estos navegadores lo procesarían sin motivo.

El sistema de análisis de contenido de un navegador web debería comprobar qué tipo de datos son los que va a mostrar y activar o desactivar ciertas funcionalidades dependiendo del tipo; por ejemplo, no tendría sentido que un navegador ejecutara código JavaScript si accede a un fichero cuyo “mime type” en el servidor es “image/jpeg”, puesto que en teoría, no debería existir ningún tipo de código JavaScript en un fichero de ese formato.

Google ya ha solucionado esta vulnerabilidad y ha publicado un parche para su versión 3 que se puede aplicar desde el propio Chrome.

En este momento Opera no ha actualizado ni notificado oficialmente esta vulnerabilidad en su sitio oficial, pero al parecer su equipo de desarrollo y seguridad están trabajando para solucionar este problema.

Haz clic en los siguientes vínculos para mayor información:

Prueba de concepto

Advisory de Chrome

Sitio de Advisories de Opera

Enfoque Seguro

VÍA: Hispasec

Una darknet es una red Peer2Peer (P2P) que se utiliza para compartir información en un cerrado grupo de personas. La mayoría de las darknets actuales requieren un elevado conocimiento informático para ser desarrolladas y mantenidas, incluyendo el cuidado de los servidores necesarios. Sin embargo, los investigadores de HP, Billy Hoffman y Matt Wood mostrarán en la conferencia de seguridad BlackHat USA 2009 una darknet que desarrollaron pero basada en el navegador web, a la cual bautizaron “Veiled”. Así pues este desarrollo a diferencia de las otras darknet, “Veiled” necesitará sólo el conocimiento básico en informática para ser armada y mantenida.

El desarrollo de Veiled sólo ha sido posible, según sus propios creadores gracias al potencial de las tecnologías que se están utilizando en la creación de los nuevos navegadores. Esta vez la guerra de los navegadores sí está dejando efectos positivos dentro de la comunidad de usuarios.

Este desarrollo puede impactar positivamente las formas de compartir información delicada en Internet, ya que los niveles de seguridad de las darknets son mucho más elevados que los sistemas peer2peer más convencionales. Además, mantienen la puerta cerrada a virus y spyware, los malware que han hecho de los P2P común su forma ideal de propagación. Wood comenta que los navegadores con soporte HTML 5, como la más reciente versión de Firefox, Safari e Internet Explorer, permiten que los ficheros se almacenen “persistentemente” en el cliente, para poder trabajar cuando se está offline.  Esta característica, sumada con la grid-computing propia de las darknet, significa que los archivos pueden ser subidos constantemente, aún cuando el navegador haya sido cerrado.

Asimismo, los motores JavaScrip de los navegadores como el Chrome V8 de Google o el TraceMonkey de Mozilla, ayudaron en gran medida a convertir las darknets tipo web en realidad. Esos motores permiten comunicaciones basadas en web, las que pueden ser armadas y encriptadas rápidamente.

Veiled utiliza el sistema de encriptación público RSA, pero cualquier sistema de encriptación funcionaría.

En el BlackHat 2009 también se demostrará omo es posible espiar información a través de los impulsos eléctricos generados por el cable PS2 de un teclado convencional.