Archive for 27 abril 2017

Haz lo básico

27/04/2017

Aquí tenemos de nuevo a Chema Alonso explicándonos un compendio de cosas básicas sobre seguridad informática.

En seguridad primero haz lo básico. No vayas a buscar soluciones sofisticadas a problemas improbables antes de resolver lo básico.

Básico ?

  • Haz copias de seguridad.
  • Cambia las passwords por defecto de los equipos y de los programas.
  • Actualiza los sistemas operativos.
  • Actualiza el software.
  • Pon un antivirus en los equipos.
  • Comunica a los usuarios unas cuantas pautas claras de seguridad. Por ejemplo sobre los anexos en los correos y haz algún simulacro, para que lo entiendan.
  • No publiques metadatos en los documentos que cuelgas en internet.
  • Minimiza la exposición: no tengas muchos servidores expuestos, así podrás tener un cortafuegos con unas cuántas reglas simples bien configurado.
  • Establece reglas de acceso a los datos según los departamentos de la empresa.

Además de Frozen podéis también ver esta película.   🙂

Do_the_Right_Thing_poster

 

Anuncios

Auditoría de red interna

22/04/2017

Auditoría de una red  . . .   ver la nota del curso pasado

otra nota más actual de Pablo González sobre vulnerabilidades de windows que publicó en el lado del mal

http://www.elladodelmal.com/2017/04/como-robar-sesiones-rdp-en-windows-sin.html

 

Estuvimos comentando la nota sobre Prestoparking en la que se advierte que no usa conexión cifrada para transmitir los datos de alta de unsuario, incluída la tarjeta de crédito, pero sí usaba fraudulentamente un icono de web segura.

A día de hoy,  Prestoparking ya tiene https para hacer el registro. Curiosamente ahora no muestra el icono de la organización PCI que es una garantía de web segura. Quizá no le hayan dejado usarlo más.

 

Ojito con lo que no ves en tu móvil

18/04/2017

Una de las conferencias más interesantes en las jornadas Maria Pita DefCon fue la que impartió Pablo González de Eleven Paths sobre la evolución del phising.

Una nueva via de ataque del phising son los dispositivos móviles, donde la posibilidad de ocultar información de las urls a las que se conecta el dispositivo son mayores. Así tituló su conferencia “Lo que el ojo no ve” . Y no lo ve porque en los móviles no se muestra.

Un caso de estudio es el de emparejar una aplicación que corre en el móvil con un navegador que está en un pc. Para eso se carga en el navegador del pc un código QR que se escanea con el móvil , con la aplicación del móvil que queremos emparejar ( o parear ) y ya se establece la conexión en el navegador.

El problema es que todo ese proceso es susceptible de ser falseado. Se hizo una demostración con Whatsapp pero también se puede aplicar a otras aplicaciones.

En resumen el proceso es el siguiente: un usuario recibe un correo electrónico ofreciéndole una nueva característica y le pide que acceda mediante el enlace que se adjunta a una web. Esa web es falsa aunque muestra los códigos QR verdaderos de whatsapp. Cuando el usuario escanea el código, establece una relación entre su sesión de whatsapp y el navegador de otro sistema , el sistema atacante,  que fue el que le envió el correo. Mientras tenga la sesión abierta, el atacante tiene acceso a todas las imágenes, charlas, contactos del usuario de whatsapp.

Lo explica con más detalle técnico   Pablo en su blog 

Aquí tenemos el video de la parte final de la charla, no tiene buen sonido pero se puede seguir. Gracias a Diego por grabarlo .

 

Maria Pita DefCon

10/04/2017

Estuvimos en la facultad de informática de A Coruña asistiendo a las jornadas de seguridad informática  María Pita DefCon. Dejo aquí algunas notas sobre algunas  conferencias.

  • SQL injection. 18 años  después. (David Méndez / Diego Hermida , de la  FIC )

En esta conferencia nos contaron que todavía hoy, después de  que en  1998 se informaron de cierto tipo de fallos de programación de php en páginas web,   aún se programa  mal y algunas webs  se pueden explotar con técnicas de SQL injection.

El más conocido  es poner en el campo password de una web que pida usuario / password el string 1′ OR ‘1’ = ‘1  si no está bien programado se valida el usuario y se entra en su cuenta.

En el sitio DVWA tienen un paquete que se puede instalar facilmente y estudiar los diferentes casos de SQL injection.

Hay muchas  otras páginas que hacen referencia a éste paquete y sirven de ayuda a la instalación.

  • Lorenzo Martínez de Securízame nos contó 3 casos de peritaje forense, cada uno con sus particularidades:

Metadatos de documentos creados con software que ya no existe.

Una empresa que acusa a empleados que administran la red de que obtienen información privada, cuando en realidad es la información que por defecto ofrece  Windows.

Un caso de fraude bancario, un tanto retorcido.

Los tres acabaron, después de todo el trabajo de informática forense, en un acuerdo entre las partes, antes de entrar a juicio.

  • Victor Salgado , del bufete de abogados Pintos&Salgado  nos  habló de la LOPD y del nuevo reglamento de protección de datos que entrará en vigor en mayo de 2018.
  • Kenneth Peiruza nos relató con bastante humor como se utilizan las técnicas de big data para tener un sistema automático para evitar ataques e intrusiones.
  • Pablo González de Eleven Paths nos dio una conferencia estupenda sobre la evolución de las técnicas de phising y su deriva hacia  los móviles. La charla de Pablo la estudiamos en clase con más detalle y haré otra entrada sobre ella.