, 30 septiembre 2014 | Imprime

Como dice Toni Villalón, los malos no tienen vacaciones… así que los que trabajamos en respuesta ante incidentes tampoco. Hace unos días una de nuestras usuarias creó un ticket con un correo que le parecía malicioso (una muestra más de que la concienciación en seguridad cuesta de realizar, pero que a largo plazo termina rindiendo beneficios).

La usuaria nos mandó un fichero con extensión .msg (el resultado de “Guardar Como…” en Outlook). Para abrirlo en Ubuntu lo más sencillo es emplear el script en Perl msgconvert.pl, que nos lo convierte a MIME (un formato mucho más estándar y manejable).

No me gusta esta entradaMe gusta esta entrada (+3 rating, 3 votes)
Loading ... Loading ...






, 26 septiembre 2014 | Imprime

El otro día, un amigo me contaba que estaba en su trabajo, tomando un café; uno de esos de la máquina que se ha convertido en el estándar de facto en la mayoría de las empresas, vamos, una Nespresso. Cuando le dio al botón, algo raro pasó y la máquina se quedó colgada —cada vez se parecen más a los ordenadores— y con luces parpadeantes. Apagó y volvió a encender (mi amigo es informático) y la cosa se arregló sola —igualito que un ordenador— y pudo satisfacer su necesidad de cafeína.

Unos minutos después, mientras disfrutaba del café y de la conversación (mi amigo es español), recibió una llamada telefónica de alguien que se identificó como personal del servicio de mantenimiento de la cafetera y que le preguntó si tenía algún problema con la máquina. ¿Con la cafetera? No… bueno, sí, pero ¿cómo lo sabe usted? ¿Que tienen la cafetera monitorizada? ¿Que les ha enviado un mensaje de avería? ¿Con qué línea de comunicación? Ah! 3G… No, no sabía. Gracias. Adiós.

Mi amigo se quedó un tanto estupefacto. Ni se le había ocurrido pensar que la cafetera tuviera línea directa con el exterior. No es que fuera mala idea. De hecho, es una idea excelente para el servicio de mantenimiento, ya que pueden detectar averías, incluso realizar mantenimiento preventivo y, claro está, analizar patrones de consumo de los usuarios: a qué hora se toman más cafés, cuánto tiempo está la máquina funcionando, si se suele quedar sin agua o el usuario la rellena antes de que se vacíe, si se calienta. Toda la información necesaria no solo para mantener la cafetera, sino para mejorar su diseño en siguientes versiones, o incluso optimizar su funcionamiento sin más que actualizar el software (firmware para ser más preciso) que controla la operación del dispositivo.

No me gusta esta entradaMe gusta esta entrada (+5 rating, 5 votes)
Loading ... Loading ...






, 25 septiembre 2014 | Imprime

Hoy nos hemos levantado con una noticia a la altura del reciente Heartbleed: una vulnerabilidad en el intérprete de comandos Bash permite la posibilidad de ejecutar código remoto en la máquina. Esta vulnerabilidad ha sido catalogada como CVE-2014-6271 con una puntuación de CVSS de 10.

Están afectadas todas las versiones hasta 4.3 incluida. La vulnerabilidad se produce cuando el intérprete no procesa adecuadamente las variables de entorno. Mediante la declaración de funciones puede incluir al final código que será ejecutado independientemente del nombre de la variable; esto es especialmente crítico en servidores web que tengan instalados módulos CGI. Una forma rápida de comprobar si somos vulnerables o no es ejecutando el siguiente código:

No me gusta esta entradaMe gusta esta entrada (+2 rating, 2 votes)
Loading ... Loading ...






, 24 septiembre 2014 | Imprime |  Also available in English

Al hilo del reciente post “Seis más una medidas para la seguridad sin concienciación”, sería fácil concluir que la seguridad corporativa sin concienciación, no es una opción.

Frecuentemente, las políticas de seguridad de las empresas, si existen, son una entelequia: Casi todos los empleados saben que existen y sólo unos cuantos saben alguna de ellas y de estos, sólo unos pocos se preocupan por aplicarlas convenientemente.

No me gusta esta entradaMe gusta esta entrada (+4 rating, 4 votes)
Loading ... Loading ...






, 22 septiembre 2014 | Imprime

Jugando un poco con Google Apps Script, que es un entorno de scripting de gran alcance proporcionado por Google, se pueden hacer solicitudes autenticadas contra los datos de un usuario en Google.

Al autorizar una aplicación de Google, los usuarios están permitiendo a una tercera parte el acceso a sus datos, por lo que los ataques de ingeniería social resultan demasiado fáciles, debido a que se encuentran alojados en un dominio de Google, incluso los usuarios experimentados que buscan dominios sospechosos pueden ser engañados.

No me gusta esta entradaMe gusta esta entrada (+7 rating, 7 votes)
Loading ... Loading ...






, 18 septiembre 2014 | Imprime

Hace unos días, a propósito de la llamada de unos técnicos falsos de Microsoft, nuestro compañero Raúl advertía sobre la necesidad de concienciar a los usuarios, tanto personales como profesionales (cada uno tiene una cosa que perder) en los aspectos más de seguridad. Como este es, en general, un blog del ámbito profesional, me permitirá que abandone a los usuarios domésticos a su suerte o a la de su primo informático, y nosotros nos quedemos en el entorno corporativo, que es el que nos atañe.

La cuestión es que la entrada de Raúl me trajo a la memoria una serie de medidas que, allá por el 2007, propusimos en este blog como contrapartida a la concienciación. Es más, como le indicaba en aquel caso, puedo garantizar que con la aplicación gradual de todas ellas podemos reducir prácticamente en un 100% cualquier tipo de fuga de información o problema de seguridad, sin invertir un euro en concienciación. Eso sí, le advierto que el camino no es sencillo.

No me gusta esta entradaMe gusta esta entrada (+4 rating, 4 votes)
Loading ... Loading ...






, 17 septiembre 2014 | Imprime

Hace unos días recibí en una de las cuentas de correo un fichero “.apk”, una extensión que como los lectores sabrán, corresponde a las aplicaciones Android. Como no acaba de ser normal —al menos en mi caso— eso de recibir una aplicación de Android por correo electrónico, lo que hice fue desconfiar y me puse a trastear un poco.

Lo primero una pequeña búsqueda en www.virustotal.com de MD5 nos revela que efectivamente se trata de un virus:

No me gusta esta entradaMe gusta esta entrada (+6 rating, 6 votes)
Loading ... Loading ...






, 16 septiembre 2014 | Imprime

Hace unos días recibí una llamada de socorro de un familiar, de estas que te hacen temblar porque esperas que te diga que tiene un montón de virus en el ordenador, en el móvil o en el aire acondicionado. Sin embargo, resultó que se trataba de un caso típico de estafa o “phishing telefónico”, ataques que no deja de sorprenderme que sigan siendo efectivos.

En este caso, el ataque se inicia con la llamada por parte de un falso técnico de Microsoft. Ya había leído con anterioridad acerca de cómo actúan y qué hacen, pero me llamó la atención el grado de dispersión de este tipo de actividad, hasta el punto de llegar a personas cercanas. En 2012 ya había informes y reportes de especialistas de nuestro gremio que habían tenido la oportunidad de analizarlo, como el que se cita en este enlace de Viruslist. En éste, podemos repasar en detalle cada uno de los pasos que ejecutan los delincuentes.

No me gusta esta entradaMe gusta esta entrada (+7 rating, 7 votes)
Loading ... Loading ...






, 15 septiembre 2014 | Imprime

Se han identificado recientemente multitud de aplicaciones Android vulnerables a ataques del tipo Man-In-The-Middle (MITM) bajo SSL, permitiendo a un atacante obtener la información transmitida entre el dispositivo móvil y el servidor.

En Fireeye han analizado 1.000 aplicaciones disponibles en Google Play y de ellas el 68% fueron identificadas como vulnerables. En el análisis se detectaron las siguientes tres casuísticas, que provocan un error en el manejo de las sesiones SSL/TLS conllevando a que un atacante puede realizar un ataque MITM.

No me gusta esta entradaMe gusta esta entrada (+2 rating, 2 votes)
Loading ... Loading ...






, 12 septiembre 2014 | Imprime

Tal y como recientemente anunció John Matherly (@achillean), fundador de Shodan, se han incorporado mejoras significativas en dicho buscador como, entre otras funcionalidades, una mejor integración con Shodan Exploits / Maps, resultados más rápidos, posibilidad de exportar en CSV o JSON o la posibilidad de representar gráficamente una instantánea de los resultados obtenidos tras hacer una determinada búsqueda, a modo de informes para tener una visión general de dichos resultados, de forma que, podamos tener una serie de gráficas desglosadas según ubicación, sistema operativo, producto, nombre del host, etc.

Los informes pretenden, por un lado, mostrar una imagen visual de los resultados, mucho más atractivos y accesibles si son presentados a modo de gráficas o mapas, de forma que con solo mirar el informe te hagas una idea de cuáles son los resultados obtenidos y puedas identificar tendencias. Por otro lado, puesto que los informes son instantáneas de los resultados de la búsqueda tal y como la ve Shodan en ese momento, es posible programar por ejemplo reportes periódicos cada X meses para detectar cambios en las redes que auditamos como nuevos elementos incorporados. Aunque esto también sería posible hacerlo añadiendo por ejemplo a nuestra petición las etiquetas “after” y/o “before” y, de los resultados obtenidos, obtener un informe. Un ejemplo de petición para obtener resultados, por ejemplo, recogidos en los últimos 8 meses de las WebCams indexadas por Shodan sería:

No me gusta esta entradaMe gusta esta entrada (+6 rating, 6 votes)
Loading ... Loading ...