Archive for Desarrollo web

Marzo 17th 2017

QRLJacking, robando sesiones de WhatsApp a través del código QR

Número de lecturas: 526
{lang: 'es-419'}

WhatsApp es el cliente de mensajería instantánea más utilizado en todo el mundo, lo que hace que también sea una de las aplicaciones más atacadas por los piratas informáticos. Aunque en el pasado hackear WhatsApp era realmente sencillo debido a la inexistencia del cifrado ni de medidas de seguridad, hoy en día esta tarea se ha complicado notablemente debido a las nuevas medidas de seguridad implementadas en esta aplicación. Sin embargo, aún tiene serias debilidades que pueden suponer un peligro para los usuarios, como, por ejemplo, el uso de códigos QR para el inicio de sesión en su aplicación Web.

El pasado mes de enero explicamos cómo los piratas informáticos pueden hackear WhatsApp aprovechándose de un fallo en la generación de los códigos QR que podía permitir a un atacante hacerse con el código de otra persona, iniciar sesión con sus credenciales y poder leer los mensajes de WhatsApp sin dejar rastro de actividad.

Esta técnica, aunque preocupante, es bastante complicada de llevar a cabo y tiene muchas limitaciones a la hora de ponerla en práctica, como, por ejemplo, que solo un usuario puede utilizar WhatsApp Web a la vez (por lo que, si la otra persona lo intenta usar, nos echará de la sesión a nosotros) y que los ordenadores “de confianza” siempre se muestran en el cliente de mensajería.

Aunque esta técnica es bastante complicada de llevar a la práctica, no es la única que se aprovecha de los códigos QR para hackear WhatsApp, y un ejemplo de ello es QRLJacking.

Así funciona QRLJacking, la técnica para hackear WhatsApp utilizando un solo código QR

QRLJacking es un sencillo vector de ataque informático basado, principalmente, en la ingeniería social con el que simplemente debemos engañar a un usuario para que escanee un código QR con la aplicación que deseamos hackear, por ejemplo, WhatsApp, para poder tomar el control de su sesión de forma remota.

Para llevar a cabo este ataque, lo único que necesitamos es acceder al repositorio oficial de QRLJacking y descargar lo necesario para ponerlo en funcionamiento. A continuación, montaremos un servidor web con el fichero “qrHandler.php” encargado de convertir el código de inicio de sesión a base64 y, posteriormente, en una imagen jpg y “phishing.html”, la página que utilizaremos para llevar a cabo el ataque.

Una vez que el servidor está en funcionamiento, necesitaremos un navegador web como Firefox capaz de inyectar el script “WhatsAppQRJackingModule.js” al visitar una web como “https://web.whatsapp.com”. Cuando esta web genera el código QR, el script lo envía al servidor que hayamos configurado en el paso anterior para suplantarlo con el código QR generado por el fichero PHP.

Código QR WhatsApp Falso

Si la víctima cae en este tipo de engaño, el atacante recibe la sesión de WhatsApp en su navegador web. Es decir, en el mismo sitio dónde el plugin de Firefox está inyectando el código JS para capturar el QR Code original de WhatsApp.

Cuando la víctima escanea dicho código (utilizando ingeniería social, por ejemplo, con que nos ha tocado un premio), ya tendremos el control sobre la sesión de WhatsApp de la víctima.

Además de WhatsApp, esta técnica es totalmente funcional con otras muchas aplicaciones y plataformas que basan su inicio de sesión en códigos QR, como AirDroid, Alibaba, Aliexpress, WeChat, Line y Yandex, entre otras.

decir que existe otro vector que el ataque de Man in the Middle en una red de área local. Con este ataque un atacante podría lograr inyectar el QR Code en páginas legítimas, realizando un ataque, quizás, más real. Sea como sea, interesante prueba de concepto que nos ayuda a ver lo fácil que puede ser, en algunas ocasiones, que caigamos ante las múltiples amenazas que tiene Internet. La ingeniería social sigue avanzando y mejorando ante las nuevas tecnologías que van apareciendo, por lo que la concienciación y el buen uso de éstas es algo vital para estar un poco más seguro en la red.

Cómo protegernos del QRLJacking

Como podemos ver, el principal factor de esta técnica de hacking es la ingeniería social, es decir, el engaño. Nadie regala nada a través de Internet, por lo que lo primero que debemos hacer es evitar caer en este tipo de engaños, y mucho menos escaneando código QR de webs o fuentes extrañas, como un banner, con WhatsApp o cualquier otra aplicación.

Además, también debemos evitar iniciar sesión con nuestras cuentas en navegadores y ordenadores que no sean de total confianza, ya que sin la previa instalación e inyección del script JavaScript, esta técnica no podría ser posible.

Por último, en el caso concreto de WhatsApp, nunca está de más revisar los ordenadores que tienen acceso a su aplicación Web, eliminando el permiso a todos de vez en cuando para evitar estos problemas.

————————————————–

Fuente:

redeszone.net

Más información:

http://www.flu-project.com/2017/03/qrljacking-tecnica-con-la-que-los-malos.html

https://github.com/OWASP/QRLJacking/wiki

 

Febrero 3rd 2017

WordPress 4.7.2 – Actualización de seguridad

Número de lecturas: 966
{lang: 'es-419'}

Ya está disponible WordPress 4.7.2. Es una actualización de seguridad para todas las versiones y te animamos encarecidamente a actualizar tus sitios de inmediato.

Las versiones de WordPress 4.7.1 y anteriores están afectadas por estos tres problemas de seguridad:

  1. La interfaz de usuario en la que se asignan términos a taxonomías en Publicar esto se muestra a usuarios que no tienen permisos para usarlas. Informado por David Herrera de Alley Interactive.
  2. WP_Query rs vulnerable a una inyección SQL (SQLi) al pasar datos no seguros. El núcleo de WordPress no es vulnerable directamente a este problema pero hemos añadido refuerzo para evitar que plugins y temas puedan provocar accidentalmente una vulnerabilidad. Informado por Mo Jangda (batmoo).
  3. Se ha descubierto una vulnerabilidad de cross-site scripting (XSS) en la tabla de lista de entradas. Informado por Ian Dunn del equipo de seguridad de WordPress.

Gracias a los que informaron de estos problemas practicando la revelación responsable.

Descarga WordPress 4.7.2 o pásate por el escritorio de WordPress ? Actualizaciones y simplemente haz clic en “Actualizar ahora”Los sitios compatibles con las actualizaciones automáticas en segundo plano ya se están actualizando solos a WordPress 4.7.2.

Fuente:

es.wordpress.org

Febrero 1st 2017

LibreTaxi: La alternativa a Uber basada en Telegram

Número de lecturas: 1296
{lang: 'es-419'}

Uber vino a revolucionar el sector del transporte privado, su interesante y eficiente manera de conectar a pasajeros con taxistas verificados a precios bastante competitivos, ha hecho que está plataforma se consolide como la más importante del sector. Sin embargo, existen una que otra alternativa a Uber, una de ella viene de la mano del Software Libre, gracias a LibreTaxi que está basada en Telegram y que nos permite conectar pasajeros con taxistas de manera fácil y eficiente.

Lo interesante de está alternativa a Uber, es que utiliza la funcionalidad de aplicaciones de Telegram, por lo tanto, no es necesario instalar ninguna aplicación adicional al servicio de mensajería, esto lo hace bastante práctica y de fácil acceso.LibreTaxi

¿Qué es LibreTaxi?

LibreTaxi es una aplicación libre y gratuita para Telegram, desarrollada por Roman Pushkin, que permite conectar pasajeros con conductores de manera fácil y práctica, la misma elimina los intermediarios, promoviendo la interacción directa entre el pasajero y el prestador de servicio de transporte. LibreTaxi permite que los pasajeros negocien el precio y las condiciones del servicio con los conductores, luego se realiza el pago en efectivo, planteándose que a futuro, la aplicación acepte el pago mediante la criptomoneda Bitcoin.

En LibreTaxi todos ganan. Los conductores pueden elegir sus precios y ofrecer descuentos, mientras Los pasajeros pueden negociar antes de confirmar el viaje.

La aplicación para Telegram se ofrece cómo una herramienta práctica, donde no se necesita registro ni aprobaciones y muchos menos se aplican severas regulaciones. La aplicación funciona en cualquier dispositivo o SO que permita ejecutar el cliente de Telegram, careciendo de soporte en la actualidad para el cliente web.Alternativa a Uber

En LibreTaxi la información es centralizada, con la finalidad de que cualquier persona pueda ejecutar sin ningún problema un clon de LibreTaxi en cuestión de horas. La aplicación almacena la información mínima necesaria para que sea posible trabajar. Sin embargo, apuesta encarecidamente en que la seguridad es importante en el proyecto.

Aunque la aplicación está basada en Telegram su creador asegura que no se tiene ninguna dependencia con el servicio, es decir, en cualquier momento puede desconectar la aplicación de los servicios de Telegram y que se convierta en una solución independiente. La razón por la que se mantiene inmersa en Telegram, es principalmente porque es una aplicación que apuesta por la libertad y además que ofrece la posibilidad de llegar a más usuario de manera inmediata.

Cómo instalar LibreTaxi

Basta con añadir a @libretaxi_bot a nuestro Telegram, para comenzar a disfrutar de está maravillosa alternativa a Uber. Puedes acceder también al bot desde acá. Simple, ¿No?.

¿Es realmente LibreTaxi, una alternativa a Uber?

Su creador asegura, no haber creado a LibreTaxi con la finalidad de que fuera una alternativa a Uber, pero destaca, que ha visto cómo la herramienta se está utilizando en algunos casos, cómo una autentica alternativa al servicio ofrecido por la gigante del transporte privado.

La herramienta no compite directamente con Uber, ya que apuesta a un público ubicado en las zonas remotas y rurales donde estos servicios se le hace muy complejo llegar. Además, LibreTaxi no está amarrado a un tipo de transporte especifico, por lo que puede ser adaptable a servicios de transporte privados de cualquier tipo (Barcos, Aviones, Helicopteros, Triciclos, entre otros).

La diferencia más destacable de LibreTaxi y Uber, es la filosofía, LibreTaxi fue concebido  con una filosofía libre, sin objetivos de generar dinero, ni crear un negocio en torno a la aplicación. Es totalmente gratis (tanto para pasajeros como para conductores), su código es totalmente abierto por lo que permitirá crecer de manera acelerada y sobretodo es agradable y adaptable para todas las personas en cualquier región del mundo.

“LibreTaxi da flexibilidad a los pasajeros y autoempleo a los conductores. ¡La Gente, no las corporaciones, deberían tener control sobre los servicios de taxi!”  –  Roman Pushkin – Fundador de LibreTaxi

Algo en lo que se está trabajando y que quizás es la mayor desventaja de LibreTaxi o ventaja según se vea, es en la verificación de sus conductores y pasajeros, actualmente se carece de un sistema de verificación y/o reputación. Puedes observar la hoja de ruta que se está creando para atacar esta funcionalidad, también vale la pena destacar que en algunos países como Rusia, cualquiera puede ofrecer este  tipo de servicios por lo que en esos lugares no es tan necesaria la funcionalidad.

Personalmente creo que es una aplicación que tiene mucho futuro, que puede ser adaptado a muchos modelos de negocios, además de que puede contribuir ampliamente en el acceso de las tecnologías y del transporte privado en zonas rurales y lejanas.

¿Cómo crees usted que LibreTaxi pueda tener un impacto favorable en su comunidad?

Puedes conocer más de este grandioso proyecto, leyendo la entrevista que le hicieron a su creador aquí, o accediendo al repositorio oficial en github.

Fuente:

desdelinux.net

Septiembre 12th 2016

Tutorial Zend Framework 3 – ZF3 (Videos – Ingles)

Número de lecturas: 4926
{lang: 'es-419'}