Estudio acerca de la seguridad en la autenticación de clientes Twitter


INTECO-CERT ha elaborado un informe en el que se aborda el nivel de seguridad de la comunicación entre los clientes utilizados por los usuarios y el servicio central de difusión.de la conocida red social Twitter. En este informe se analizan los clientes más comunes de cada una de las plataformas desde las que podemos acceder al servicio.





El objetivo de este estudio es hacer una revisión de la seguridad de estos clientes, para los que se ha comprobado los aspectos de autenticación, y cifrado que tienen lugar durante la comunicación entre cliente y servidor, además del almacenamiento de contraseñas con los que evaluar si el rápido crecimiento de la plataforma ha provocado que la seguridad se haya relegado a un segundo plano, suponiendo un riesgo de suplantación de identidad para los usuarios de estos clientes.

Para el estudio se han utilizado los clientes más representativos de diferentes plataformas: Windows, Linux, MacOS, iPhone, Android y Blackberry. Se ha tratado de abarcar el mayor número de plataformas, y dentro de éstas las aplicaciones más utilizadas.

Del análisis se concluye que:

La mayoría de los clientes no usan la autenticación más avanzada que ofrece Twitter (OAuth), aunque se espera que aumente el uso de este sistema.
Aunque se use la autenticación básica, la mayoría de los clientes cifran la comunicación, lo que aporta seguridad ante el robo de credenciales.
Se confían las credenciales de acceso a un programa que muchas veces no conocemos su legitimidad ni seguridad.

Con lo expuesto, desde INTECO-CERT realizamos las siguientes recomendaciones:

Los usuarios deben buscar un compromiso entre seguridad y funcionalidad en el cliente Twitter, pero debemos inclinarnos por autenticación OAuth y cifrado de la comunicación.
Los desarrolladores deben conocer y seguir las indicaciones de seguridad de Twitter en el sentido de utilizar OAuth y comunicaciones cifradas.
Por parte de Twitter una posible medida para incrementar la seguridad podría ser utilizar SSL en las peticiones, como opción de configuración en la cuenta.

Informe en español (pdf) y también está disponible una versión en inglés (pdf) del informe.

Fuente:
http://cert.inteco.es



Otras noticias de interés:

Expectativas y motivaciones de la función de seguridad de la información
Existen múltiples publicaciones y reflexiones sobre la formación y evolución del ejecutivo responsable de la seguridad de la información, las cuales hablan sobre las competencias que debe desarrollar para incorporar en la dinámica de los proceso...
Lección 17 intypedia: Datos Personales Guía de Seguridad para Usuarios
Lección 17 de la Enciclopedia de la Seguridad de la Información Intypedia con el título Datos Personales. Guía de Seguridad para Usuarios, cuya autora es Dña. María Goretti López Deltell de la Agencia de Protección de Datos de la Comunidad de...
El futuro de ODF, en entredicho
La organización OpenDocument Foundation ha dejado caer una bomba sobre el futuro del formato ODF creado por OASIS y que es un estándar ISO desde hace meses: ahora resulta que no les convence, y prefieren el formato llamado CDF, de la W3C....
El Open Source cumple 10 años
El día 09-FEB-2008 se cumplio 10 años desde el anuncio de la Open Source Iniciative. Bruce Perens, su cofundador, líder del proyecto Debian y autor de la definición del concepto de Código abierto, habla del aniversario. ...
Microsoft resolvío 49 problemas de seguridad en octubre
Microsoft emitió el día martes pasado su boletín de seguridad correspondiente al mes de octubre. Se trata de la mayor actualización de este tipo realizada por el fabricante hasta el momento. ...
Debian y Linux dicen no, por el momento, al sistema Anti-spam de Microsoft
La fundación Apache, grupo de desarrollo open Source, ha rechazado apoyar el sistema anti-spam propuesto por Microsoft ( anti-spam Sender ID) al considerar que las condiciones de licencia que se ofrecen son demasiado restrictivas. ...
Nueva técnica de spam que utiliza mensajes subliminales
PandaLabs ha detectado el envío de mensajes spam que utilizan técnicas de publicidad subliminal. A primera vista, se trata de un mensaje publicitario que ofrece a los usuarios la posibilidad de comprar online determinados paquetes de acciones. Sin ...
Eres víctima de la operación #Ghost Click?
Trend Micro y el FBI han estado trabajando juntos para acabar con una operación que ha estado robando datos de personas durante varios años....
SecureTwitter, antivirus para Twitter
Finjan ha lanzado el plug-in para navegadores SecureTwitter, que protege a los PC del malware que pueda descargarse de las direcciones URL acortadas. SecureTwitter forma parte de la suite de productos gratuita SecureBrowsing destinada tanto a empresa...
Apple quiere que el jailbreaking sea ilegal
En otra de sus iniciativas para tratar de controlar aún más su mercado Apple está tratando de hacer que el proceso de jailbreak de los iPhones e iPod Touch sea ilegal, algo que haría que instalar aplicaciones de terceros fuera un delito....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • acerca
  • anonimato
  • anonimo
  • antivirus
  • apache
  • autenticacion
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • clientes
  • computer
  • debian
  • estudio
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • twitter
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra