1. Forum
  2. Fidonet
  3. ESP.SEGURIDAD

  • =?iso-8859-1?q?una-al-dia_=2823/04/2008=29_=BFPayPal_bloquear=E1_a_los_

    From noticias@hispasec.com@2:341/201.99 to All on Thu Apr 24 08:15:00 2008
    ----------------------------SPOT--------------------------
    SERVICIOS ANTIPHISHING y ANTITROYANOS DE HISPASEC SISTEMAS

    Hispasec Sistemas ofrece sus servicios antifraude, antiphishing y
    antitroyanos, dirigidos a entidades bancarias y sitios de comercio
    electrónico.

    Más información en:
    http://www.hispasec.com/corporate/antiphishing.html

    info@hispasec.com Telf. 902 161 025 ----------------------------SPOT--------------------------

    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    -------------------------------------------------------------------
    Hispasec - una-al-día 23/04/2008
    Todos los días una noticia de seguridad www.hispasec.com
    -------------------------------------------------------------------

    ¿PayPal bloqueará a los navegadores 'inseguros'?
    ------------------------------------------------

    Se ha escrito mucho sobre esta medida decidida por PayPal, sin duda, un
    peso pesado en Internet y cuyos movimientos se siguen con lupa. Como
    suele ocurrir en estos casos, la noticia ha sido en parte confundida y
    al parecer la mayoría de los medios no han sabido transmitir realmente
    la idea de PayPal. Como de costumbre, los medios generalistas han
    terminado aprovechando para señalar con el dedo a los de siempre, con
    el mensaje de siempre, y olvidando realmente cuál es el objetivo de
    la compañía.

    PayPal es el sistema de pago líder en Internet. Permite ingresar o
    recibir dinero en cuentas particulares o ajenas con sólo conocer la
    dirección de correo de un usuario de PayPal. PayPal es la compañía,
    junto con eBay, que más ataques phishing sufre cada día. Las contraseñas robadas de usuarios se cuentan por decenas cada hora. Como medida para
    paliar este problema, la compañía ha anunciado que bloqueará a los
    'navegadores inseguros' y aquí parece que comienza la confusión. Es
    importante destacar que la medida de PayPal está destinada a paliar
    el phishing, y sus 'navegadores inseguros' se mueven exclusivamente
    en este contexto del fraude online, y no en ningún otro donde tengan
    que ver los problemas de seguridad o las vulnerabilidades.

    ¿Qué es entonces un navegador inseguro para PayPal? La respuesta no
    tiene nada que ver con vulnerabilidades, problemas de seguridad o nada parecido, aunque muchos han querido llevar la noticia a este campo. Por
    un lado, PayPal considera inseguros a los navegadores antiguos que han
    dejado de tener soporte y que no incorporan tecnología antiphishing (desarrollada en los últimos años). Como simple ejemplo, menciona que
    todavía es visitada por usuarios que utilizan Internet Explorer 4, y
    que a estos no les permitirá el acceso. Navegar con Internet Explorer 4
    o cualquier otro navegador que no recibe soporte ni actualizaciones de seguridad desde hace años es un completo suicido tecnológico para el
    sistema que lo utilice. Probablemente, que un usuario de IE 4 pique
    en un phishing de PayPal o no, es el menor de sus problemas.

    PayPal utiliza una analogía para explicar lo que pretende: "Dejar que
    los usuarios de estos navegadores visiten la página de PayPal es como
    permitir a una factoría de coches que los fabrique sin cinturón de
    seguridad". Al parecer PayPal avisará durante un tiempo a sus visitantes
    si detectan estos navegadores, y luego los bloqueará.

    ¿Qué otro parámetro utiliza PayPal para calificar de inseguro a
    navegador? Pues que no utilice la tecnología Extended Validation SSL.
    PayPal ha invertido en estos nuevos certificados SSL (que no son
    baratos) y obviamente quiere sacarles provecho. Extended Validation SSL
    es una buena idea. Explicado de forma sencilla, los certificados que
    cumplan el Extended Validation SSL autentican al servidor (como los certificados tradicionales), pero a efectos prácticos permiten que el
    navegador que visita la página que tiene estos certificados, muestre de
    forma mucho más clara que la página es efectivamente la que se quiere
    visitar. Sería como si el navegador hiciera por nosotros la operación de
    pulsar sobre el candado cuando nos conectamos por SSL a una página, y verificara la ruta de certificación, el domino válido... todo de forma automática y visual. Si el servidor es seguro, se muestra en la barra de direcciones un color verde. Un usuario puede así de un solo vistazo dar
    por seguro que el servidor al que se está conectando es el correcto, y
    que no se está usando un certificado válido, pero falso.

    Por ahora, sólo Internet Explorer 7 soporta de serie la correcta
    interpretación de certificados EV SSL. Firefox 2 necesita un plugin y
    Opera ha dicho que lo implementará. Safari no se ha pronunciado. Quizás,
    con el tiempo, PayPal obligue a los usuarios a utilizar un navegador que soporte EV SSL, pero para entonces (dentro de años) probablemente sea
    algo que todos los programas implementen de serie.

    La noticia por tanto, no es tan catastrófica, aunque sí marcará
    tendencias. Lo que todavía no se sabe realmente, es si esta medida
    ayudará a paliar el phishing que sufre PayPal. A tenor del éxito del que todavía goza el phishing tradicional, los usuarios han demostrado que no
    se fijan realmente en los dominios, ni en la autenticación SSL a la hora
    de introducir sus credenciales en cualquier página que se lo solicite.

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldia/3469/comentar

    Más información:

    Paypal to block 'unsafe browsers' http://news.bbc.co.uk/2/hi/technology/7354539.stm


    Sergio de los Santos
    ssantos@hispasec.com


    Tal día como hoy:
    -----------------

    23/04/2007: Una vulnerabilidad en Safari puede reportar hasta 20.000 dólares
    http://www.hispasec.com/unaaldia/3103

    23/04/2006: Elevación de privilegios en Sun Java Studio Enterprise 8
    http://www.hispasec.com/unaaldia/2738

    23/04/2005: Nueva actualización de seguridad de Firefox
    http://www.hispasec.com/unaaldia/2373

    23/04/2004: Guía para la instalación de OpenSSH (y II)
    http://www.hispasec.com/unaaldia/2007

    23/04/2003: Libro gratuito: Protección de datos personales con tecnologías Microsoft
    http://www.hispasec.com/unaaldia/1641

    23/04/2002: Actualización de seguridad para CVS
    http://www.hispasec.com/unaaldia/1276

    23/04/2001: Movimientos en la Agencia de Protección de Datos (APD)
    http://www.hispasec.com/unaaldia/911

    23/04/2000: CriptoRed: Red Iberoamericana de Criptografía
    http://www.hispasec.com/unaaldia/544

    23/04/1999: Actualización de Explorer para tres vulnerabilidades
    http://www.hispasec.com/unaaldia/178


    -------------------------------------------------------------------
    Claves PGP en http://www.hispasec.com/directorio/hispasec
    -------------------------------------------------------------------
    Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
    Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
    -------------------------------------------------------------------
    (c) 2008 Hispasec http://www.hispasec.com/copyright
    -------------------------------------------------------------------

    --- SoupGate-DOS v1.05
    * Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)