Parece que los extraterrestres nos atacan

14/05/2017

Oyendo / leyendo  las noticias parece que los extraterrestres atacan la tierra (en la foto Orson Wells realizando su programa de radio “La guerra de los mundos”)

Por si alguien no entendió el enunciado …

el ejercicio propuesto era investigar y hacer pruebas para  atacar UN ordenador que tuviera W7 o W10 , no todos los del mundo mundial

🙂

Mapa en tiempo real

Este tipo de virus ya existe desde hace unos años y lo hemos estudiado en clase. El virus viene como un anexo a un correo y al ejecutarlo encripta el ordenador. Pero además en este caso el virus tiene una capacidad de propagación muy alta ya que una vez que un ordenador se infecta, por una vulnerabilidad conocida desde hace poco, se transmite a otros ordenadores de la misma red encriptándolos también, cosa que no sucedía en los primeros virus de este tipo.

Esta vulnerabilidad fue  parcheada por Microsoft en la actualización de marzo, pero no siempre se tienen los sistemas actualizados (  . ..  haz lo básico , recordáis ?)

También es significativo que en las noticias no digan que los equipos con Linux no se ven afectados.

La explicación de Chema Alonso en su blog

 

Haz lo básico

27/04/2017

Aquí tenemos de nuevo a Chema Alonso explicándonos un compendio de cosas básicas sobre seguridad informática.

En seguridad primero haz lo básico. No vayas a buscar soluciones sofisticadas a problemas improbables antes de resolver lo básico.

Básico ?

  • Haz copias de seguridad.
  • Cambia las passwords por defecto de los equipos y de los programas.
  • Actualiza los sistemas operativos.
  • Actualiza el software.
  • Pon un antivirus en los equipos.
  • Comunica a los usuarios unas cuantas pautas claras de seguridad. Por ejemplo sobre los anexos en los correos y haz algún simulacro, para que lo entiendan.
  • No publiques metadatos en los documentos que cuelgas en internet.
  • Minimiza la exposición: no tengas muchos servidores expuestos, así podrás tener un cortafuegos con unas cuántas reglas simples bien configurado.
  • Establece reglas de acceso a los datos según los departamentos de la empresa.

Además de Frozen podéis también ver esta película.   🙂

Do_the_Right_Thing_poster

 

Auditoría de red interna

22/04/2017

Auditoría de una red  . . .   ver la nota del curso pasado

otra nota más actual de Pablo González sobre vulnerabilidades de windows que publicó en el lado del mal

http://www.elladodelmal.com/2017/04/como-robar-sesiones-rdp-en-windows-sin.html

 

Estuvimos comentando la nota sobre Prestoparking en la que se advierte que no usa conexión cifrada para transmitir los datos de alta de unsuario, incluída la tarjeta de crédito, pero sí usaba fraudulentamente un icono de web segura.

A día de hoy,  Prestoparking ya tiene https para hacer el registro. Curiosamente ahora no muestra el icono de la organización PCI que es una garantía de web segura. Quizá no le hayan dejado usarlo más.

 

Ojito con lo que no ves en tu móvil

18/04/2017

Una de las conferencias más interesantes en las jornadas Maria Pita DefCon fue la que impartió Pablo González de Eleven Paths sobre la evolución del phising.

Una nueva via de ataque del phising son los dispositivos móviles, donde la posibilidad de ocultar información de las urls a las que se conecta el dispositivo son mayores. Así tituló su conferencia “Lo que el ojo no ve” . Y no lo ve porque en los móviles no se muestra.

Un caso de estudio es el de emparejar una aplicación que corre en el móvil con un navegador que está en un pc. Para eso se carga en el navegador del pc un código QR que se escanea con el móvil , con la aplicación del móvil que queremos emparejar ( o parear ) y ya se establece la conexión en el navegador.

El problema es que todo ese proceso es susceptible de ser falseado. Se hizo una demostración con Whatsapp pero también se puede aplicar a otras aplicaciones.

En resumen el proceso es el siguiente: un usuario recibe un correo electrónico ofreciéndole una nueva característica y le pide que acceda mediante el enlace que se adjunta a una web. Esa web es falsa aunque muestra los códigos QR verdaderos de whatsapp. Cuando el usuario escanea el código, establece una relación entre su sesión de whatsapp y el navegador de otro sistema , el sistema atacante,  que fue el que le envió el correo. Mientras tenga la sesión abierta, el atacante tiene acceso a todas las imágenes, charlas, contactos del usuario de whatsapp.

Lo explica con más detalle técnico   Pablo en su blog 

Aquí tenemos el video de la parte final de la charla, no tiene buen sonido pero se puede seguir. Gracias a Diego por grabarlo .

 

Maria Pita DefCon

10/04/2017

Estuvimos en la facultad de informática de A Coruña asistiendo a las jornadas de seguridad informática  María Pita DefCon. Dejo aquí algunas notas sobre algunas  conferencias.

  • SQL injection. 18 años  después. (David Méndez / Diego Hermida , de la  FIC )

En esta conferencia nos contaron que todavía hoy, después de  que en  1998 se informaron de cierto tipo de fallos de programación de php en páginas web,   aún se programa  mal y algunas webs  se pueden explotar con técnicas de SQL injection.

El más conocido  es poner en el campo password de una web que pida usuario / password el string 1′ OR ‘1’ = ‘1  si no está bien programado se valida el usuario y se entra en su cuenta.

En el sitio DVWA tienen un paquete que se puede instalar facilmente y estudiar los diferentes casos de SQL injection.

Hay muchas  otras páginas que hacen referencia a éste paquete y sirven de ayuda a la instalación.

  • Lorenzo Martínez de Securízame nos contó 3 casos de peritaje forense, cada uno con sus particularidades:

Metadatos de documentos creados con software que ya no existe.

Una empresa que acusa a empleados que administran la red de que obtienen información privada, cuando en realidad es la información que por defecto ofrece  Windows.

Un caso de fraude bancario, un tanto retorcido.

Los tres acabaron, después de todo el trabajo de informática forense, en un acuerdo entre las partes, antes de entrar a juicio.

  • Victor Salgado , del bufete de abogados Pintos&Salgado  nos  habló de la LOPD y del nuevo reglamento de protección de datos que entrará en vigor en mayo de 2018.
  • Kenneth Peiruza nos relató con bastante humor como se utilizan las técnicas de big data para tener un sistema automático para evitar ataques e intrusiones.
  • Pablo González de Eleven Paths nos dio una conferencia estupenda sobre la evolución de las técnicas de phising y su deriva hacia  los móviles. La charla de Pablo la estudiamos en clase con más detalle y haré otra entrada sobre ella.

Passwords en Linux

12/03/2017

Hemos visto como se guardan las passwords en Linux, aquí hay una descripción bastante buena.

También hemos visto algunas formas de obtener las passwords a partir del fichero que tiene los hashes , con programas como John de RipperHashcat.

Elaboramos un documento con algunos cálculos someros sobre cuánto tiempo puede costar obtener una password.

Phising dirigido, spear phising.

02/03/2017
Ombord i "Jærv 1".

Ombord i “Jærv 1”.

Spear phising es un tipo de phising refinado, dirigido a una persona o grupo de personas de las que se tiene cierto conocimiento de sus gustos o costumbres y a las que se les envía un email ofreciéndoles algo que les puede interesar, ya sea una suscripción estupenda a Spotitfy o una invitación a probar un coche o descuentos en viajes o algo que se supone que le haga pinchar en el enlace.

El mecanismo es tan sencillo como poner en el email un enlace (falso) a la web del servicio que se le ofrece, pero con una identificación delegada , que puede ser de facebook o de google o de cualquier servicio que lo permita, mediante el protocolo Oauth.

Si el usuario ya tiene la sesión abierta en (por ejemplo) Facebook, la identificación es casi automática. Facebook NO le pasa la identificación de usuario y password, pero sí le pasa una serie de datos (en forma de token) que permite abrir la sesión en el servicio que solicitó la identificación.

El protocolo Oauth busca la comodidad del usuario, y garantiza que no se pasa la password, ahí no está el problema. El problema es que cuando uno pincha en un enlace no sabe bien quién está pidiendo esa autorización por delegación y qué tipo de datos solicita.

En esta imagen se ve la url que le pasa ticketea  e iberia a facebook.

urls_peticion_oauth

Ticketea e Iberia -como tantos otros sitios – usan bien el protocolo Oauth, además informan de los datos que se están solicitando.

iberia_acebook

Los pongo aquí como ejemplo de buen uso, pero resultaría fácil construir una web o una aplicación que solicite datos a un usuario,  no sólo datos de identificación sino también permisos de acceso a ficheros o al gestor de correo.

Es el caso que expusieron  Chema Alonso y Pablo González en la Rootedcon de 2016: “Solo hay que besar un sappo”.

 

También lo explican en cuatro entregas  en el blog de Chema Alonso

Criptografía

21/02/2017

Beyer cryptographic watch-IMG 0565

Estamos con el tema de criptografía, que es un tema central en la seguridad de las comunicaciones y del almacenamiento de datos.

Hemos utilizado varios videos de intypedia para estudiar diferentes aspectos: un poco de historia -lección 1- , criptografía simétrica -lección 2 -, criptografía asimétrica (clave pública /clave privada) -lección 3- , criptografía híbrida utilizada en la comunicación entre un navegador web y un servidor web seguro -lección 9-   y Hashes o funciones unidireccionales -lección 14 -.

Para cifrar ficheros utilizamos Veracrypt , que es una alternativa a Truecrypt , sistema desaparecido.

Y también estudiamos los hashes. Se puede ver aquí la nota sobre hashes del curso pasado.

En Blechtley Park ( Reino Unido ) estaba la base de los criptógrafos que intentaban desencriptar los mensajes que los alemanes enviaban durante la segunda guerra mundial.
Hoy es un museo que se puede visitar.

La película Imitation Game. Descifrando enigma  se desarrolla ahí.

Política y hackers

11/02/2017

password_da

En Holanda no se fían de su sistema informático de recuento de votos, temen que lo hackeen y han decidido que en las próximas elecciones el recuento y transmisión de datos se haga en soporte de papel y llamadas telefónicas.  leer noticia aquí

Aquí un artículo más técnico sobre las vulnerabilidades que tiene el sistema.

Y también se publicó ayer que a algunos políticos italianos le habían estado espiando el correo.

En ambos casos se sospecha que “los rusos” ( agentes del gobierno ruso) están detrás, como también estuvieron detrás de los ataques a Hillary Clinton en la campaña de las elecciones USA.

Nosotros podemos estar tranquilos, porque ya tenemos cuenta de correo en ProtonMail  🙂

 

proton3

 

 

Xornadas de orientación ao emprego (XVIII)

07/02/2017

La semana pasada, durante dos días,  tuvimos una serie de conferencias dentro de las Xornadas de orientación ao emprego, edición número 18.

Dejo aquí  referencias de algunas de las conferencias.

emprender342Roberto Pérez y Juan José Romero, de  Sumaimportancia nos hablaron de la metodología necesaria para ligar y también para emprender.

orballo

impresora57Los chicos de Orballoprinting nos contaron cómo habían empezado con su empresa y nos trajeron una de sus impresoras 3D.

bigdata7

Carlos Fernández, de Imatia estuvo contando cómo se trabaja con big data, en una conferencia densa, con mucha información de las herramientas informáticas que se utilizan . Nos dejó el documento de la presentación, que podéis descargar aquí.

pumpum88

Chiu Longina, de pumpúm dixital nos habló del desarrollo de aplicaciones para móviles. También contó que WordPress es una herramienta estupenda para crear webs.

balidea0

M. Carmen López y Natividad Mosquera – presentadas por Silvia Framiñán – de  Balidea  nos contaron en qué proyectos está metida esa empresa, las sedes que tiene y cómo se puede entrar en la empresa para trabajar.

robotica8

Por último la empresa Ledisson Automation nos habló de los nuevos tipos de robots, robots colaborativos,  de cómo se programan y de que en su campo no hay paro, pero hay que saber idiomas y estar dispuesto a trabajar en el extranjero.

Las jornadas fueron organizadas por el servicio de orientación e emprego del instituto.

logo-oe_peque