diciembre 29, 2010

La curiosidad mató al gato.

Me sorprende como este viejo refrán en algunas ocasiones aplica literalmente para muchos de los usuarios.

Siempre he dicho que la mejor forma de reforzar tu antivirus, firewall o cualquier software protector es el sentido común, sobretodo cuando navegas o revisas correos. 

Aaquí unos ejemplos.

Ejemplo 1:
Si tienes un amiga que conoces de hace mucho tiempo en este caso Calrita y además sabes que apenas si habla español y que es flaca como un palo y te envía un correo en "perfecto" inglés diciendo que además esta bajando de peso con un "producto mágico" ¿No te causaría mala espina? 


Ejemplo 2: 
¿Tu crees que las las megacompañías como Telcel necesitan más caneles de ventas de los que ya tienen? ¿no te resultaría sospechoso que te llegue un correo electrónico de su parte? si como yo ni siquiera soy usuario telcel. u_u  Un día me llega un correo de TELCEL (Según) con el nombre: "Promoción: Recive con nosotros el mes de Abril" (con falta de ortografía y toda la cosa). Algún incauto diría: "a webo, ahorita le meto 100 varos."

Analizando el mensaje pedía que enviara un SMS al número 7373 con el código de promoción: 7481051187 si conoces algo de Telcel sabrás que el 7373 es el numero del servicio: PASA TIEMPO AMIGO, con el que trasfieres saldo de celular a celular en esa compañía, y ahí es donde pensé #WTF!! 

Lo que quiere decir que el numero de cel. (7481051187) Busco incautos que le pasen saldo por alguna causa. Si investigas la clave lada 748 puedes ver que pertenece a  ALMOLOYA HIDALGO, imagina que el lugar de ese almoloya fuera ALMOLOYA de JUAREZ y el cel. es de algún extorsionador... serías cómplice indirecto xD 

Ejemplo3: 
Pero el que mas hace referencia a lo de la curiosidad es este: (y el que hace que la mayoría caiga) Quien te borró del MSN, como los latinos (lo mexicanos sobre todos) somo muy sentimentales, y nos "puede" tanto que alguien nos elimine de su lista, cosas como estas nos hacen presa fácil:  
Y lo único que hacemos en páginas como estas es regalar nuestra CONTRASEÑA de este servicio, con lo que damos entrada a los dos ejemplos anteriores, es decir: le damos a un usuario malintencionado la llave para entrar a nuestro correo y usarlo para enviar correos fraudulentos a todos nuestros contactos. ( y es increíble como aun en estos días cae mucha gente en este caso) 

Hay unas reglas muy sencillas que yo sigo para no infectarme con algún Malware:

  1. No abro correos electrónicos de gente que NO CONOZCO
  2. No Hago click en enlaces de correos que no solicité
  3. No contesto correos de BANCOS que piden mis datos, ellos ya los tienen
  4. No abro correos en inglés a menos que conozca al remitente 
  5. No Reenvío cadenas pues nunca sabemos que "premio" puede tener dentro
  6. No abro fotos en MSN y siempre pregunto porque me la envían (para ver si es un virus o el usuario el que envía)
  7. Aplico el SENTIDO COMÚN
No dejes que piquen tu curiosidad con cosas como: Quien te sigue en twitter, quien te borró de FaceBook, encuentra a tu media naranja, lee tu futuro, Ipods gratis, gana dinero en casa etc....

Importante:
Si ya caíste en estas trampas, cambia de inmediato tu contraseña para que restrinjas nuevamente el uso de tu cuenta a estos malandros

Saludos Seguros 0=¬)


diciembre 21, 2010

The Walking Dead

Después de que la serie americana The Walking Dead despertara furor en muchos lugares, me puse a ver algunos capitulos y debo confesar que me enganchó porque yo quería saber más a cerca del tema de los ZOMBIS.



Pero entre más veía la serie más me desconcertaba, porque Todo lo que creí saber de estos... esta serie televisiva lo destrozó en dos capítulos #Fail

Y fue ahí donde pensé que lo únicos Zombis que no me han cambiado las reglas don los que intregran las BOTnets y de estos les platico un poco:

Una  BotNet puede ser definida como una red de SOFTWARE ZOMBIS tambien llamados bots, las computadoras suelen infectarse con Software Malicioso y que las transforma en "Zombi" para ser reclutadas posteriormente en la Red por la cual serán controladas por el creador de dicho malware y es de aqui el origen del porque llamarlas zombis.

Sin conocimiento por parte de los dueños de las máquinas, un tercero las convierte e integra en redes cada vez más poderosas y molestas cuanto más ancho de banda y capacidad de proceso estén robando a sus legítimos dueños o responsables, que pueden ser desde incautos usuarios particulares hasta organismos gubernamentales.

Los zombis son propagados a través de Internet utilizando a un gusano como transporte, envíos masivos de ellos mediante correo electrónico o aprovechando vulnerabilidades en navegadores y aplicaciones. 

Una vez que se logra una gran cantidad de sistemas infectados, se forman amplias redes que "trabajan" para el creador del programa. Aquí hay que destacar tres puntos importantes:
  1. Este tipo de redes se basa en el principio de "computación distribuida" que dice que: miles de sistemas funcionando juntos tienen una mayor capacidad de procesamiento que cualquier sistema aislado.
  2. El creador del programa puede ser una red de delincuencia que ha armado su ataque, y que tienen estos programas trabajando en su beneficio.
  3. El grupo "propietario de la red" de zombies puede alquilar a otros grupos su red para realizar alguna acción ilegal. El objetivo de las redes zombies puede ser realizar ataques de DDoS, distribución de SPAM, etc.
El caso más conocido en la actualidad es la operación "Pay Back" que hace el grupo llamado "anonymous" a los detractores de Wikileaks.

Así que yo si les puedo decir que:

Los ZOMBIS están aquí y no vienen por tu cerebro, vienen por tu computadora...

aquí les dejo un comercial de Symantec sobre zombis y botnets. Saludos Seguros!





diciembre 09, 2010

¡Ultrasurf! --- censura mis Hue....sos ó Cómo protegerme cuando ando en lugares... extraños


Hoy voy a sacar mi sombrero Gris y les voy a compartir un programa que si eres administrador de red te puede dar muchos dolores de cabeza, si eres un usuario normal puede ser una verdadera joya

usalo con responsabilidad.

---------------------------------
Programa: UltraSurf
Utilidad: Proxy, Anonimar
---------------------------------------------------------
UltraSurf es un cliente proxy, que esta diseñado para permitir a los usuarios finales para "saltar" dispositivos de seguridad como filtros web y candados internos con el fin de navegar por Internet sin restricciones.

Ultrasurf fue desarrollado por una organización llamada UltraReach (Http://www.ultrareach.com/), que fue fundada por un grupo de chinos disidentes 0.o 

UltraReach sigue manteniendo UltraSurf en la actulidad. Ellos
diseñadoron ultraSurf específicamente para permitir a los ciudadanos chinos eludir los esfuerzos del gobierno para restringir el uso de Internet en China.

El gobierno chino ha construido una gran infraestructura de filtrado a fin de impedir que los ciudadanos chinos tengan acceso a sitios que considera una amenaza ideológica al Partido Comunista Chino. 

Este sistema de filtrado es ampliamente conocido como el "Escudo Dorado" o "Gran FireWall de China". Muchos estadounidenses de grandes empresas tecnológicas han sido cómplices de su construcción, como una forma de hacer negocios en China. Representa un formidable adversario, probablemente uno de los más Sofisticados sistemas de filtrado de Internet en el mundo.
http://www.forbes.com/forbes/2006/0227/090.html
http://www.businessweek.com/magazine/content/06_08/b3972061.htm

Como resultado, Ultrasurf es una pieza muy sofisticada de software. Se utiliza una red de servidores proxy, mantenida por voluntarios de todo el mundo muy similar a una red peer-to-peer. 

Utiliza varios esquemas para localizar los servidores proxy en su red, que abarca diferentes protocolos. Se utiliza el puerto y el protocolo de túnel con el fin de engañar dispositivos de seguridad haciéndolo pasar desapercibido para estos. También utiliza cifrado y afuscación para frustrar los esfuerzos de investigar cómo funciona.

Ultrasurf es gratis y no requiere registro, lo cual lo hace ampliamente distribuible. No requiere instalación y puede ser ejecutado por un usuario que no tiene permisos administrativas
permisos para su equipo, lo que le hace muy portable. 

Fácilmente se puede llevar a todo el mundo en una unidad USB y ejecutarlo desde allí.

Por desgracia, lo que hace Ultrasurf una herramienta increíblemente poderosa para permitir que usuarios de todo el mundo puedan evadir la opresión y sensura de internet, también proporciona a los usuarios particulares forma de acceder a Internet "saltando" las políticas de uso aceptable en una organización convirtiendolo en un riesgo puesto que parece "imparable" 

Como herramienta para la comunidad UnderGround resulta utilísima para Anonimizar el origen de cualquier conexión.



Ultrasurf establece un proxy local y a continuación configura el proxy de Internet Explorer (funciona igual con chrome) para ejecutar todas las solicitudes de Internet a través de ese proxy local. 
Funciona automáticamente con Internet Explorer, sin embargo, el usuario puede usar el plug in para Firefox o cualquier otro navegador que soporte modificar manualmente el proxy del navegador. El puerto predeterminado es 9666.



El usuario puede navegar por cualquier sitio de Internet. Todo el tráfico se canaliza a través de el proxy local Ultrasurf. Dado que el tráfico entre Ultrasurf y el navegador está enteramente en localhost, nunca va a la red y por lo tanto no puede ser bloqueada por un dispositivo de red (firewall, gateway, etc).

Después de este primer paso UltraSurf establece una conexión cifrada (SSL) con un servidor remoto en la red de
servidores proxy. Cuando el usuario navega por un sitio bloqueado (por ejemplo, myspace.com), IE
envía la solicitud a UltraSurf, que a su vez remite la solicitud a su servidor proxy. El servidor proxy recupera el contenido de myspace.com y lo devuelve a través del tunrl cifrado hacia UltraSurf quien a su vez lo envía al navegador y lo único que tu puedes ver en el GateWay es el tunel encriptado. 



el uso no estándar de SSL
A partir de la versión 8.8, Ultrasurf comenzó a utilizar lo que parece ser un SSL anónimo, en el lado del servidor no responde con un certificado. No se sabe si la comunicación posterior sigue usando SSL, o si este más que una diversión.

El uso del puerto 443 es específicamente para engañar a los dispositivos de puerta de entrada a ignorar el tráfico. El uso de SSL no estándar a través del puerto 443 está diseñado para engañar a dispositivos gateway para que no ignoren ese tráfico.

Descubrimiento de más proxys

Ultrasurf también tiene un diseño muy escalable y flexible para el descubrimiento de servidores proxy en su red. Se utilizan cuatro métodos.

Los métodos son los siguientes:

• Un archivo de caché de direcciones IP del servidor proxy maestro se almacena en el directorio TEMP del usuario local.

• DNS. peticiones a los servidores DNS externos, que devuelven codificados IP de los servidores Proxy.

• Un documento en Google Docs que contiene una continua actualización de una lista de servidores proxy firmados y encritados.

• Una lista estática de direcciones IP de servidores proxy está integrada en el programa.

• Una vez Ultrasurf descubre un servidor proxy en su red, puede recuperar las direcciones IP de otros servidores proxy directamente desde ese servidor.

como pueden ver es prácticamente imparable!!!


Por que un usuario Domestico querría utilizar un programa  de este tipo? pues en ocasiones cuando uno anda navegando páginas de descargas (mp3, DivX, Zips, Rars) todas ellas almacenan nuestra IP para comenzar campañas de molesto SPAM u otros ataques más sofisticados.  Esto es como el condón, usalo para tu protexión.

diciembre 03, 2010

Un ratón y la Seguridad Informática

Pues esta historia sucedió el Domingo en un tianguis (mercadillo) de mi ciudad.

La historia comienza el domingo por la mañana, caminábamos por la línea de fuego (nombre del mercadillo)  y después de ver puestos, chacharas y demás cosas que hay en estos lugares, mi hija mas pequeña vió unos pollitos y unos ratones de juguete.

La mayor inmediatamente escogió un pollito saltarín


Pero la menor se enamoró del ratón


A mi esposa nunca le han gustado los ratones, le dan un terror parecido al que sufren las victimas de las películas SAW, yo le insistí a mi hija menor que escogiera un pollito, que era más bonito pero ella, ella ya había tomado una decisión: Se llevaría el RATÓN. Pese que a su madre de le bajó la presión nomás de verlo, casi se desmaya cuando la niña se lo da para que vea su nueva adquisición, además de que tuve que aguantarla malhumorada el resto del día por haberle comprado ese ratón a la niña.

¿Que tiene que ver todo esto con la seguridad informática? ¡Pues mucho!

si pensamos que mi familia es una organización y que esa organización gasta $$$ comprando repelentes de plagas (ratones), implmenta programas de captura (trampas), invierte en limpieza de las instalaciones (casa) y los integrantes reciben un entrenamiento para saber que hacer en caso de toparse con uno de estos bichos; podemos decir que esta organización Gasta en SEGURIDAD para evitar la llegada del exterior de estas amenazas.

¿Pero que pasó? un miembro de la organización, el más inocente tal vez, fue atraído por la #Ternurita que estaba viendo, por ese diseño vistoso e inocente que le decía "llévame contigo", "Instálame en tu recamara", "méteme en tu casa" xD y ella compró el objeto y lo llevó con ella  a pesar de que eso representaba todo por lo que nuestra organización ha luchado en su contra.

En las Organizaciones, Instituciones, Empresas, siempre se gastan recursos para establecer la seguridad (pequeña o mucha) y mantenrese libres de toda amenaza que pueda llegar del exterior, pero...

¿qué pasa cuando alguien desde dentro, puede introducir un Rootkit, virus o el Malware que sea? sólo porque le llama la atención el video, la tarjeta, la presentación de Power Point o porque puede meter USBs llenas de bichos, violando todas las políticas de seguridad de la organización (tal y como lo hizo mi hija, que a pesar de saber que hay políticas "antiratones" en casa, ella llevó el suyo)  Poniendo en jaque toda la seguridad de la organización

Los peores ataques a la seguridad de cualquier organización siempre vienen desde dentro.
La seguridad empieza con uno.

saludos Seguros 0=¬)

noviembre 24, 2010

Charla Pentesting

Pues el día de hoy voy a impartir una charla en el Instituto Tecnológico de Aguascalientes, por invitación de Cesar Nava. la charla es para la materia de Auditoria informática.

como este mundo de la seguridad me gusta y mucho, yo les preparé una charla sobre:


  • PENTESTING: otra forma de auditoria
espero sea de su agrado.

noviembre 18, 2010

Robos de sesión Usando Firesheep

algunos días atrás se regó por muchos blogs la noticia sobre el robo de sesiones de FaceBook y Twitter, trataré de explicar un poco de como es que esto es posible.


Nivel: intermedio.


La palabra hijacking se utiliza para definir la acción de realizar un ataque dirigido a uno o varios usuarios con la intención de capturar sus cookies y así poder suplantar su identidad. En la gran mayoría de portales web, este ataque se puede llevar a cabo gracias a que no se hace un buen uso del protocolo SSL, sea por sencillez, ahorro de recursos o malos hábitos de programación, etc.


En muchos de los sitios Web una vez el usuario ha sido autenticado mediante el protocolo HTTPS, este pasa a continuar la conexión con el protocolo HTTP, por lo que todos los datos que se estén enviando viajaran sin encriptardse por la red



Anteriormente para hacer una suplantación de identidad de este tipo, eran necesarias muchas herramientas y conocimientos técnicos avanzados sobre redes y programación; Pero ahora con la extensión para Firefox: Firesheep soportada en Windows y Mac OS X. Lo que hace esta herramienta es "escuchar" todo el tráfico de nuestra interfaz (tarjeta de red) y detectar cuando se están enviando cookies que puedan ser de interés para quien escucha, mostrándolas en la pantalla y de este modo dando la posibilidad de realizar suplantaciones de identidad de una forma sencilla, intuitiva y muy rápida ( #Damn por eso luego hay muchos que se autodenominan Hakers)

Solo con fines Didácticos les dejaré algunas imágenes para que conozcan como es que trabaja la herramienta.

Lo primero que hay que hacer es descargar la herramienta desde la web de Firesheep. buscamos el archivo con formato XPI, lo más sencillo para instalarlo sería arrastrar este archivo ahora a nuestro navegador Firefox, automáticamente se nos informará si deseamos instalar la extensión. Una vez instalada y reiniciado el navegar podremos observar al firesheep Instalado.

Por default la extensión aparece oculta, para activarla debemos ir al menú ‘Ver / Panel lateral / Firesheep’ y automáticamente aparecerá un panel en la banda izquierda del navegador que nos permitirá utilizar Firesheep.

En la parte inferior del panel lateral se puede configurar el complemento
Para comenzar a trabajar con la extensión y capturar cookies sólo hay que oprimir el botón "Start Capturing", y esperar a que alguien realice alguna conexión a alguno de los portales web soportados.


Una vez capturada una cookie de otro usuario, el complemento la añadirá al panel y ya podremos acceder (haciendo doble click sobre la imagen) a la página que estaba visitando la víctima, haciéndonos pasar por ella.

La extensión permite programar filtros, así que el numero de sitios puede crecer ilimitadamente.

Para probar sólo tendrías que ir a algún sitio con red inalambrica sin protecciones como las de los StarBuks o alguna escuela y probar la extensión (aguas con @vipitel que es libre también xD ).

Una solución a este problema será conseguir extensiones para nuestro navegador, para "obligarlo" a que todo lo que se envíe a través de él sea encriptado.

Aquí podemos comprobar que la seguridad comienza en uno.
Saludos seguros 0=¬)

noviembre 16, 2010

Ingeniería social: Casos de la vida Real

En este espacio pretendo contar anecdotas mezcladas con un tema de seguridad así que aunque se que hay mucho material escrito sobre el tema, no quiero dejar de compartirles esta hisotoria:

Hace algunos años en la empresa donde trabajo pidieron que comprara unos FireWalls para protejernos de los posibles ataques provenientes de Internet. Posteriormente nos pidieron implementar un IDS (sistema de detección de instrusos) y así pensamos que nuestra red estaba "Super" protegida. Y para terminar de fortalecer la seguridad se implementó un antivirus perimetral (proteje los equipos que están en contacto con el internet). 

Pensamos en su momento: "ahora si que nos ataque quien quiera" muy seguros de que habíamos amurallado totalmente el acceso al interior de nuestra red.

Pero...

Grande fue mi sorpresa cuando a los dos días de esto, nuestra red empieza a presentar un brote de virus descomunal, ¡cientos de maquinas generando trafico saliente a lo loco! lo que hizo que algunos servicios se vieran afectados (navegación, correo, Telefonía IP) no podrían navegar algunos compañeros, no se podían hacer pagos electrónicos, no había correo electrónico y la telefonía sonaba peor que la voz de un robot (cuando se escuchaba)

No podíamos creer lo que veíamos, y la pregunta obligada era ¿Cómo?

Pues muy sencillo:

Al día siguiente del brote de virus le platicaba yo a la secre(taria) lo que estaba ocurriendo en palabras que los seres humanos pudieran entender, a lo que me dice: "- Yo creo que eso es lo que está afectando mi Messenger, Mira:" Mi sorpresa fue ver que estaba haciendo click en un enlace que decía: "Hey mira mi foto ¿cómo salgo?"


#DAMN Una persona conocida, de todas sus confianzas, amigas desde el prescolar, hermanas de Pellizco de nalga y toda la cosa; le estaba mandando una "fotografía" ¡¿Cómo no conofiar en ella?! 

Algún maldito estaba utilizando esa relación de confianza para meterle un "Malware" a la secre y asi como ella muchos usuarios cayeron en la tramapa que consistía en presentar un ENLACE que al hacer click sobre él, descarga un programa con fines no muy sanos.

Esto amigos, es un ataque de ingeniería social, aprovechan un vinculo, una relación de confianza con la persona para obtener información valiosa sobre la persona, empresa, oficina, gobierno, etc.

Y estos ataques se pueden ver no sólo en sistemas de computo, ¿quién no ha escuchado? sobre esas llamadas telefónicas donde dicen: Usted se ganó un aauuuuutoooooo, deme sus datos que yo se lo envío
Ese trabajo de convencer, envaucar, enmarañar es toda una ingeniería social.

Después de haber aprendido de esta experiencia y tratando de fortalecer la seguridad interna, un día llamé al área de soporte técnico de mi trabajo dando el nombre de mi Director, su extensión telefónica, su cuenta de correo electrónico y  dije que no podía entrar a "mi" correo; Los muchachos "buena onda" me restablecieron la contraseña y me la dijeron por teléfono. xD así que ese día pude entrar a la cuenta de correo del director. (no me pregunten como les fue a los de soporte después}:¬P )

Todo aquel gasto, aquellos aparatos tan sofisticados, no nos sirvieron de mucho para prevenir este tipo de situaciones #Fail.

En las empresas se debe cuidar tanto el esquema de seguridad externo como el interno, en ocasiones es mucho mejor dedicarle más tiempo al interno pues las peores ataques siempre vienen de adntro "Soné como película Holiwoodense xD" 

Así como en las empresas, nosotros mismos, en nuestras casas podemos protejernos de estos ataques ¿cómo? nunca proporcionando más información de la que nos soliciten y mucho menos información sensible, verificando la procedcencia de quien solicita los datos y nunca responder o aceptar cosas que no hemos solicitado.

Igualmente en nuestra computadora por muy amigos, hermanos, familiares jefes, etc. nunca hagas click en ningún archivo que tu no hayas solicitado o que no estés esperando. no aceptes a todo mundo como "tus Amigos" en las redes sociales y menos hagas click sobre todo lo que publiquen en ellas, desconfía un poco.

Recuerden la seguridad empieza en uno.
Saludos seguros 0:¬)

noviembre 13, 2010

Password Multiusos

Hace muchos años que empecé en esto de internet y pues en aquellos tiempos (como dijo Jesús xD) uno sólo entraba a su correo electrónico y/o a las salas de chat del IRC, algunos usuarios mas avanzados entrabana a los BBS's y/o a alguna lista de noticias, nos podíamos dar el lujo de tener un password para cada servicio (y recordarlos todos)

Conforme los años han pasado, los servicios que la web nos ofrece se han ido incrementando, aparecieron : 

  • Foros de discusión,
  • Chats web, 
  • Redes sociales
  • servicios para compartir archivos
  • para descargas 
  • compartir videos.... etc.

en fin ¡creo que son muchísimos!

#YoConfieso que esto hizo que muchos usuarios utilizaran la misma contraseña para acceder a todos los servicios, lo que en un principio puede sonar bien y muy lógico ( los que nos dedicamos alguna vez al soporte técnico podemos constatar que los usuarios olvidan sus contraseñas más a menudo de lo que se imaginan.) así no no tienen que enfrentarse a recordar una contraseña por cada servicios.

La forma de armar contraseñas también ha ido evolucionando, hace algunos años nos pedían almenos 4 letras para formar una clave, hace menos años nos pedían 6 letras y en estos días nos piden 8 letras y al menos un numero o caracter especial. (el proximo salto es a 12 caracteres)

Pero... ¿por qué todo esto?

Trato de explicar:
Una contraseña de 4 letras representa (mas o menos) unas 260,000 combinaciones diferentes, si tomamos en cuenta que un  procesador actual (doble núcleo) realiza unos mil millones de operaciones por segundo, en teoría una computadora actual tardaría sólo unos segundos en calcular todas las combinaciones posibles de contraseñas y automatizando el proceso tomaría unos cuantos minutos en probarlas todas para encontrar la correcta.

Por eso con las nuevas computadoras y los nuevos procesadores el adivinar contraseñas "débiles" es un juego de niños. Con 6 caracteres ya los  hacemos batallar al menos unas horas.

Por eso es que ahora el mínimo requerido es de 8 caracteres y al menos un caracer especial (&%#*) y un número. ¿Para qué? para hacer mas compleja la deducción de la contraseña por un usuario mal intencionado.

Pero como buenos usuarios solemos pasar por alto todas estas recomendaciones y además si tenemos un PASSWORD multiusos (el mismo para hotmail, twitter, facebook, gmail, Tmblr, etc.) cuando te adivinan uno... ¡TE ADIVINAN TODOS!

Y no conformes con todo esto los usuarios al inscribirse en sitios o servicios 2.0 usan su cuenta de correo electrónico (como en facebook) 
Y la contraseña que ponen en el servicio es la misma que la de su cuenta de correo (#FAIL)
ejemplo:
  • servicio: Facebook
  • usuario: usuario.correo@gmail.com
  • contraseña: Constra$eña
Donde "Contra$eña" es la misma clave que la del correo electrónico así que si nos roban la sesión en facebook (ya hablaremos de como se hace esto) les estamos regalando la información para entrar a nuestro correo electrónico.

Una práctica que podemos implementar es elegir una contraseña que cumpla las caracteristicas que ya mencionamos; además de diferenciarla según el servicio que vamos a utilizar. Un ejemplo sería el siguiente:

formamos nuestra contraseña a partir de la palabra "contraseña"
Contra$eñ4
aquí usamos una letra mayúscula, un $ en lugar de la s y un 4 en lugar de la última A y para hacerlo diferente segun el sitio en el que lo usemos podemos hacer algo como lo siguiente:

  • Para Twitter: Contra$eñ4.twr
  • Para Hotmail: Contra$eñ4.Hml
  • Para FaceBook: Contra$eñ4.Fbk 

Con esto agregamos un caracter especial usando el "." como separador y después usamos 3 letras para diferenciar el servicio en el que usamos la contraseña. 

Esto no es una regla y sólo es un consejo, cada uno de nosotros podemos establecer buenos hábitos para evitar que nos roben la identidad en el mundo 2.0

Recuerden la seguridad empieza en uno mismo.

saludos Seguros 0:¬)

noviembre 08, 2010

Malware y Redes Sociales


Desde que me inicié en el mundo de la seguridad informática me he vuelto un poco paranoico, pero no es para menos… Darse cuenta de que una “inocente” presentación con una imagen religiosa o con un “inocente” chiste puede contener un programa malicioso #NoEsDeDIOS

Pero son estos medios los más socorridos para hacer esta maliciosa tarea, aprovechando precisamente la “inocencia” de los usuarios (por no decir ignorancia) y se infectan millones de computadoras del mundo con software que roba información o convierte a esa computadora en un “soldado” que permite sumar fuerzas a un ataque específico  que está realizando alguno de esos personajes malintencionados que habitan por Internet.

Pero esos personajes no se quedan solamente en el envío de correos, han incursionado también en el mundo de las redes sociales.

Se han creado tantos servicios para esas redes y ha sido tal la aceptación por parte de muchos usuarios “conocidos” que nadie cuestiona cual es el origen de dichos servicios.

Tal es el caso de los acortadores de URL’s, quienes son usuarios de Twitter y Facebook los han adoptado de manera tan natural que no se han dado cuenta del riesgo que esto puede representar. No recuerdo en donde leí una tira cómica que parafraseaba a Forrest Gump “La vida es como una URL acortada, nunca sabes a donde te puede llevar”  y esto es totalmente cierto.

Podríamos comenzar a desconfiar de muchos de estos servicios si estos no proceden de usuarios conocidos pero ¿quién conoce a sus “amigos” virtuales o a sus “seguidores”? ¿quein nos puede decir que las herramientas que usan son de confianza?

El hecho de que estas redes sociales se han hecho tan accesibles a dispositivos móviles y esa idea de escribir en 140 caracteres que nos ha inculcado twitter, prácticamente nos obliga a utilizarlos, lo que ayuda a disfrazar enlaces a sitios malintencionados, característica que pueden usar los “chicos malos” del internet para distribuir su Malware utilizando estos servicios.

En Facebook muchos usuarios comparten videos, fotografías, textos y en muchos casos enlaces, igualmente sucede en twitter, pero propagar por twitter tiene una ventaja aun mayor pues, muchos usuarios que se han autodenominado Comunicadores, SME (Social Media Experts) o que simplemente dan RT (ReTwit) a todo lo que les llega, pueden hacer llegar un enlace acortado a miles de usuarios en cuestión de minutos.

El 21 de septiembre de 2010 pudimos ver un ataque a esta red social utilizando precisamente la misma filosofía de lo que aquí comentamos.[1]

Lo que hizo que cientos de miles de usuarios cayeran en la trampa de hacer click sobre el enlace y reenviarlo a todos sus “seguidores”

Además Twitter provee otra gran ventaja a estos “chicos malos” de la red, basta con seleccionar un objetivo (usuario) y esperar aque escriba algún mensaje (twit)  basta con leer debajo del twit y encontraremos el cliente que está utilizando.

Lo que permite a un usuario mal intencionado identificar qué tipo de vulnerabilidades  pudiera presentar ese usuario preparar un enlace acortado con algún exploit para dicho cliente  y así comenzar un ataque simplemente esperando a que que escriba otro mensaje y responderle con el enlace que hemos preparado para esto.

Automatizar esta tarea es cosa fácil para los “chicos malos” de la red estos pueden crear un programa (generalmente llamado bot o botnet) que puede buscar usuarios que escriban desde un cliente en específico y comenzar a responderles con el enlace acortado que se ha preparado para el ataque.

Así es como están apareciendo muchas cuentas “robot” que comienzan a “tuitear” sin miramientos, de momento son fáciles de detectar pues generalmente no sigeun a nadie, los siguen unos cuantos pero tienen cientos o miles de mensajes enviados en poco tiempo.

Por supuesto son bots  y que posiblemente estén haciéndole “propaganda” a algún malware, lo mejor que puedes hace en estos casos es bloquear esta cuenta y reportarla para que sea investigada y cerrada.
Aunque de momento la creación de una cuenta en twitter es cosa muy sencillas así que tal vez por uno que eliminen aparezcan dos más.

Después del último problema presentado con los enlaces cortos, Twitter ha anunciado su propio servicio para acortar URL’s. me parece una buena medida siempre y cuando se dediquen a monitorear el servicios y filtren los enlaces que representen un riesgo. Pero mientras no lancen este servicio debes tener cuidado con los enlaces acortados de quien sigues.


[1] http://conecti.ca/2010/09/21/bug-en-twitter-permite-la-insercion-de-codigo-malicioso-en-tweets/

Hacking Ético e instituciones Gubernamentales en México

El día de hoy les comparto un artículo que tuve la fortuna de me publicaran en la revista B:secure especializada en seguridad de la información , espero que lo disfruten al leerlo tanto como yo al escribirlo.


INTRODUCCIÓN

Casi se podría decir que no existe nada completamente seguro situación que incluye, por supuesto, cualquier sistema informático. La seguridad de un sistema depende de la fortaleza o debilidad con la que es capaz de reaccionar ante algún ataque. Se podría considerar que un ataque es cualquier interacción no prevista con el entorno que pueda alterar el comportamiento de un sistema.


Definiciones:

Hacker es el neologismo utilizado para referirse a un experto en varias o alguna rama técnica relacionada con la informática: programación, redes de computadoras, sistemas operativos, hardware de red/voz, etc.[1] Se suele llamar hackeo y hackear a las obras propias de un hacker.

Hacker de Sombrero Blanco
(White Hat)
El white hat es aquella persona que, de manera altruista o no, dedica su tiempo a la búsqueda de vulnerabilidades en un sistema y que posteriormente notifica al administrador para que considere su futura corrección. Sus actos no son malintencionados y normalmente realiza sus acciones bajo el consentimiento del propietario del sistema atacado.

Hacker de Sombrero Negro
(Black Hat)
El black hat es lo que comúnmente llamaríamos cracker, y sus fines son, además de lucrativos la mayoría de las veces, totalmente destructivos. Jamás avisa de los errores encontrados y los utiliza para echar abajo servidores importantes, borrar información privada o colapsar redes enteras bajo el efecto de un ataque de denegación de servicio (DoS o DdoS). Es, desde luego, la persona que menos puede aportar a la comunidad Underground preocupada de la seguridad de Internet, pero debemos ser realistas y afirmar que muchos de ellos acabaron convirtiéndose, después de una profunda madurez de su ética profesional, en hackers de sombrero gris o blanco.

Hacker de Sombrero Gris
(Grey Hat)
Decir que el grey hat es una mezcla de los dos anteriores no es del todo correcto, puesto que muchas veces es más como primero. Este es el Genuino hacker ético (HE). Podríamos decir que se encuentra en un limbo entre las dos fronteras pero que su actitud y ética le permite decidir con certeza qué comportamientos son los más adecuados a la situación a la que se enfrenta.[1]

Seguridad de Instituciones
Gubernamentales
En las entidades gubernamentales aún podemos observar políticas de seguridad muy laxas, desde el uso irresponsable de dispositivos de almacenamiento por los cuales los empleados pueden sacar información sensible del recinto sin ninguna restricción, hasta la mala administración de centros de datos, servidores, cuentas de usuarios y/o conexiones.

Hemos podido observar en los medios de comunicación como en nuestro país han aparecido en internet y en mercados ambulantes (ilustraciones 1 y 2) a la venta bases de datos con información personal de los ciudadanos y que son recabadas y administradas por el propio gobierno federal[2].



Ilustración 1: Nota del Diario Universal: venta de Bases de Datos oficiales del Gobierno de México.


Ilustración 2: Puede parecer una broma de mal gusto… ¡Pero no lo es!

Información que es confidencial, que contiene datos personales de los ciudadanos, números de cuentas de bancos, teléfonos, direcciones, fotografías; y para demostrar que estas personas están actualizadas, apareció a la venta la última base de datos que el Gobierno de México recabó por decreto:

 ilustración 3 EL RENAUT[3].


Ilustración 3 - Base de datos nacional de números telefónicos celulares

Observando estos acontecimientos nos podemos preguntas:


  • ¿cómo es resguardada esta información por el gobierno de este país?
  • ¿la información es robada por la intrusión de Crackers a los sistemas de información?
  • ¿La información es robada por los propios empleados?
  • ¿Se invierte lo suficiente en esquemas de seguridad de esta información?
  • ¿El personal que trabaja en los sitios donde se almacena esta información está calificado para velar por su seguridad?

Independientemente de como estos malandros se hayan apoderado de la información, lo que es un hecho: es que la seguridad de la que disponen las instituciones responsables de resguardar dicha información es muy pobre o prácticamente nula.

¿Se invierte en Seguridad?
Los gobiernos suelen gastar sumas de dinero muy grandes para obtener informacion necesaria para los procesos administrativos que realizan todos los días. Se invierte en infraestructura, en almacenamiento, en conectividad, en software, incluso en “aparatos” que proveem “seguridad”, pero ¿porqué estos dos terminos están entre comillas? Porque los puntos vulnerables de cualquier sistema tienen que ver con el error humano. Los gobiernos no invierten en especialistas de la seguridad, no cuentan con personal calificado en seguridad de la información e incluso no hace esfuerzos por formar especilitas certificados en tareas de seguridad de l a información.

Por qué Pensar en un Hacker Etico
Como ya definimos, Los Hackers son personas que están en constante actualización, que toman como reto el poder penetrar a un sistema (independientemente de las razones por lo que lo haga) Sutuación que permite asegurar que son los mejores en materia de seguridad. Que conocen cuales son las vulnerabilidades más comunes y por supuesto saben como protegerse de ellas. Podemos hablar de un hecho: Las empresas que buscan hackers lo hacen porque antes han tenido problemas de segridad. Porque alguien ha entrado, husmeado y dañado su sistemas de información y buscan a alguien con los conocimientos suficientes para que les solucione sus problemas.

Ese alguien sólo puede ser un hacker. Esto se refuerza si tenemos en cuenta que, hoy día, los hackers disponen realmente de mejores líneas de comunicación y de información compartida que los expertos en seguridad convencionales. En este sentido, empieza a ser algo común el que los hackers trabajen en el área de seguridad de sistemas, advirtiendo que los conocimientos adquiridos pueden ser empleados para mejorar y certificar la seguridad de los sistemas de las empresas. Es momento de que las oficinas gubernamentales comiencen a dirigir su atención a este tipo de especialistas, ya sea que los contrate o que capacite a supersonal, pero definitivamene debe de contar con un especilista de seguridad ético.
La misión del HE dentro de los Gobiernos.

Un Hacker Etico puede hacer revisiones desde lo más básico (pero muy importante) la seguridad que hay en accessos físicos, puertas, ventanas, secretarias; habitos y conductas de usuarios, politicas y lineamientos referentes a la informática de la empresa y consecuente mente pondrá a prueba la seguridad implementada para proteger la información y/o sistemas y redes.
La inclusión(formación) de hackers Eticos por parte de las Instituciones Gubernamentales serviría para fortalecer sus áreas de TI, lo que permite ofrecer una mayor segurdad a la información. Pero eventualmente podrían evolucionar en un área especializada o en una dependencia del gobierno que sea responsable de proveer a las demas instituciones lo que se comienza a conocer como: Hacking Etico[3].


Estrategia:
Las actividades de hacking ético dentro de la entidad gubernamental deberán implementar “pruebas de penetración” o “pruebas de intrusión” ilustración 4, buscando comprobar que los sistemas/redes cumplen con los niveles de seguridad para los que fueron diseñados.

Ilustración 4: Realizar ataques "planeados" puede prevenir que un pirata informático entre, manipule o robe información sensible.

La “prueba de Penetración o PenTest” (simulación de un ataque desde el exterior a la red institucional) pretende ver a la institución desde el punto de vista de un pirata informático, de modo que se puede evaluar tanto el riesgo al que se enfrentan los sistemas de la institución si está conectada a Internet, como las posibilidades reales de acceder, interceptar modificar y/o robar información crítica desde el exterior. Realizando de forma periódica estos atáques, permite, además de conocer cómo actúan los piratas informáticos, saber si la seguridad se los sistemas de la institución está preparadoa para detectar ataques efectuados desde el exterior y responder a tiempo en caso se ser vulnerado.

Conclusión.
Una vez llevada a cabo la “prueba de intrusión” se elabora un reporte detallado con los fallos de seguridad y con las medidas que debe aplicar la institución para evitar ser invadidos por un pirata de la red. Se recomienda realizar estos ataques simulados de los sistemas con una periodicidad no mayor a tres meses, para mantener al día la seguridad de la información. Si detectó que la seguridad de su institución presenta huecos en la seguridad o fallas críticas, tiene que poner manos a la obra, apoyarse en el HE para cerrar todas las puertas “mal cerradas” y todo lo que la prueba halla arrojado como una vulnerabilidad. Continúe haciendo las pruebas programadas pues esta practica le permitirá prevenir (o reaccionar) a cualquier eventualidad. Recordemos que la tecnología evoluciona y se encuentran nuevas vulnerabilidades, por lo que estar actualizado también es una buena practica para evitar cualquier situación no deseada.
Referencias

noviembre 03, 2010

Una isla prehistórica en mundo digital

Les cuento dos historias y encontremos las semejanzas:
  1. recuerdo como en un viaje que hice a Barcelona [Diciembre 2006], la mayor de mis hijas enformó y recurrí la seguridad social de aquel país pues quedaba cerca de la casa de mi hermano. llegamos y desde la entrada una recepcionista capturó (en un sistema obviamente) todos los datos de mi hija pues nos explicó que abriría un expediente, nos mandó a la sala de espera y cuando nos llamó el médico al consultorio, ya tenía en la pantalla de su computadora un expediente de mi hija, hizo anotaciones, agregó los medicamentos indicaciones y al terminar nos envío a la farmacia, (no nos dío una receta) allá nos entregaron los medicamento que recetó el médico y nos mandaron a recepción para expedirnos la copia de las indicaciones para tomar los mediamentos y la nota con el cobro de la consulta unos 15euros me cobraron por ser extranjero (ofrecieron darme una factura para que mi "seguridad Social" me reembolsara el gasto xD), para los europeos hubiera sido gratis.
  2. [Noviembre 2010] mi hija más pequeña, cayó enferma con 39°c de temperatura. Esto me hizo salir disparado como una bala a buscar un doctor (particular claro) pero como era 1° de Noviembre la mayoría estaban de puente (en México se celebra el día 2 de noviembre el día de muertos) así que me dirigí a una de esas instituciones de Seguridad Social en las que prefieres morir en la calle frente a ellas que enfrentar el largo calvario de malas caras, maltratos y en ocasiones hasta humillaciones. Llegamos a la recepción y el "recepcionisto" que nos recibió nos pidió el último talón de pago para asegurarse que estuviéramos al corriente con las cuotas de aportación al ISSSTE, nos preguntó el RFC del beneficiario y nos mandó a la sala de espera (1hora 30 minutos) cuando el doctor nos llamó ya tenía en su escritorio una carpeta con hojas de papel llenas de anotaciones de tamaños diversos y texturas diversas, desde servilletas hasta postits, tarjetas y una que otra tamaño carta) el Doctor volvió a preguntar todos los datos del paciente (que ya tenía en el expediente) y revisó a la pacente, nos extendió una receta per nos explicó que no ibamos a encontrar el medicamento en la farmaca de la dependencia así que nos hizo una receta "No oficial" por no decir Pirata donde anotó antibioticos de patente, pero no quiso anotar su cedula en la receta me pidió que le dijera a algún medico desos gratuitos que tienen las Farmacias el ahorro pa que el me hiciera la receta oficial. pagué por los medicamentos unos $300 pesos (algo así como 17euros)
¿notan cuantas similitudes hay en las dos historias?

Estamos en una era en el que el mundo 2.0 se hace presente inminente, estar conectado a la red es una necesidad más que un lujo, la necesidad de información se a convertido en una exigencia, muchos tienen todo este poder ya en la palma de sus manos y yo vengo aquí y me encuentro con un doctor malencarado, en un día de descanso y escribiendo en una máquina que data del siglo pasado...

Lo irónico aquí es que tu encuentras a la entrada carteles espectaculares que dicen:
"Un nuevo ISSSTE", "Nos estamos certificando","estamos modernizandonos por ti" #WTF
¡Modernizando Mis polainas! creen que con pintar las paredes y poner una tele en la sala de espera (que ni se ve) ya modernizaron todo el sistema de salud.

Pero en fin esta entrada sólo es de desahogo "digital"  y una prueba, ya escribiré sobre seguridad digital mas adelante.

noviembre 02, 2010

Iniciando una CiberAventura

Hace tiempo que inicié con la lectura de Blogs, aunque mi vida informática comenzó hace muchos años, debo admitir que mi trabajo (administrativo)  me mantuvo alejado de la vida 2.0 y de un tema que me apasionó durante mucho tiempo: La seguridad Informática.

Nuevamente algo (Casual, Causal, o como le quiera llamar) hizo que ese tema despertara en mi pero ahora con más fuerza. He escrito un par de artículos para unas revistas #YoConfieso que me ha gustado de sobremanera, Pero...

¿Por qué esperar a que alguien publique lo que pasa por mi mente? A partir de hoy comenzaré a ejercitar ese musculo de la escritura, para mi mismo, si alguien llega a interesarse, pues tome una silla y sientese en el suelo que algo diremos por aquí.