Phising dirigido, spear phising.

02/03/2017
Ombord i "Jærv 1".

Ombord i “Jærv 1”.

Spear phising es un tipo de phising refinado, dirigido a una persona o grupo de personas de las que se tiene cierto conocimiento de sus gustos o costumbres y a las que se les envía un email ofreciéndoles algo que les puede interesar, ya sea una suscripción estupenda a Spotitfy o una invitación a probar un coche o descuentos en viajes o algo que se supone que le haga pinchar en el enlace.

El mecanismo es tan sencillo como poner en el email un enlace (falso) a la web del servicio que se le ofrece, pero con una identificación delegada , que puede ser de facebook o de google o de cualquier servicio que lo permita, mediante el protocolo Oauth.

Si el usuario ya tiene la sesión abierta en (por ejemplo) Facebook, la identificación es casi automática. Facebook NO le pasa la identificación de usuario y password, pero sí le pasa una serie de datos (en forma de token) que permite abrir la sesión en el servicio que solicitó la identificación.

El protocolo Oauth busca la comodidad del usuario, y garantiza que no se pasa la password, ahí no está el problema. El problema es que cuando uno pincha en un enlace no sabe bien quién está pidiendo esa autorización por delegación y qué tipo de datos solicita.

En esta imagen se ve la url que le pasa ticketea  e iberia a facebook.

urls_peticion_oauth

Ticketea e Iberia -como tantos otros sitios – usan bien el protocolo Oauth, además informan de los datos que se están solicitando.

iberia_acebook

Los pongo aquí como ejemplo de buen uso, pero resultaría fácil construir una web o una aplicación que solicite datos a un usuario,  no sólo datos de identificación sino también permisos de acceso a ficheros o al gestor de correo.

Es el caso que expusieron  Chema Alonso y Pablo González en la Rootedcon de 2016: “Solo hay que besar un sappo”.

 

También lo explican en cuatro entregas  en el blog de Chema Alonso

Anuncios

Criptografía

21/02/2017

Beyer cryptographic watch-IMG 0565

Estamos con el tema de criptografía, que es un tema central en la seguridad de las comunicaciones y del almacenamiento de datos.

Hemos utilizado varios videos de intypedia para estudiar diferentes aspectos: un poco de historia -lección 1- , criptografía simétrica -lección 2 -, criptografía asimétrica (clave pública /clave privada) -lección 3- , criptografía híbrida utilizada en la comunicación entre un navegador web y un servidor web seguro -lección 9-   y Hashes o funciones unidireccionales -lección 14 -.

Para cifrar ficheros utilizamos Veracrypt , que es una alternativa a Truecrypt , sistema desaparecido.

Y también estudiamos los hashes. Se puede ver aquí la nota sobre hashes del curso pasado.

En Blechtley Park ( Reino Unido ) estaba la base de los criptógrafos que intentaban desencriptar los mensajes que los alemanes enviaban durante la segunda guerra mundial.
Hoy es un museo que se puede visitar.

La película Imitation Game. Descifrando enigma  se desarrolla ahí.

Política y hackers

11/02/2017

password_da

En Holanda no se fían de su sistema informático de recuento de votos, temen que lo hackeen y han decidido que en las próximas elecciones el recuento y transmisión de datos se haga en soporte de papel y llamadas telefónicas.  leer noticia aquí

Aquí un artículo más técnico sobre las vulnerabilidades que tiene el sistema.

Y también se publicó ayer que a algunos políticos italianos le habían estado espiando el correo.

En ambos casos se sospecha que “los rusos” ( agentes del gobierno ruso) están detrás, como también estuvieron detrás de los ataques a Hillary Clinton en la campaña de las elecciones USA.

Nosotros podemos estar tranquilos, porque ya tenemos cuenta de correo en ProtonMail  🙂

 

proton3

 

 

Xornadas de orientación ao emprego (XVIII)

07/02/2017

La semana pasada, durante dos días,  tuvimos una serie de conferencias dentro de las Xornadas de orientación ao emprego, edición número 18.

Dejo aquí  referencias de algunas de las conferencias.

emprender342Roberto Pérez y Juan José Romero, de  Sumaimportancia nos hablaron de la metodología necesaria para ligar y también para emprender.

orballo

impresora57Los chicos de Orballoprinting nos contaron cómo habían empezado con su empresa y nos trajeron una de sus impresoras 3D.

bigdata7

Carlos Fernández, de Imatia estuvo contando cómo se trabaja con big data, en una conferencia densa, con mucha información de las herramientas informáticas que se utilizan . Nos dejó el documento de la presentación, que podéis descargar aquí.

pumpum88

Chiu Longina, de pumpúm dixital nos habló del desarrollo de aplicaciones para móviles. También contó que WordPress es una herramienta estupenda para crear webs.

balidea0

M. Carmen López y Natividad Mosquera – presentadas por Silvia Framiñán – de  Balidea  nos contaron en qué proyectos está metida esa empresa, las sedes que tiene y cómo se puede entrar en la empresa para trabajar.

robotica8

Por último la empresa Ledisson Automation nos habló de los nuevos tipos de robots, robots colaborativos,  de cómo se programan y de que en su campo no hay paro, pero hay que saber idiomas y estar dispuesto a trabajar en el extranjero.

Las jornadas fueron organizadas por el servicio de orientación e emprego del instituto.

logo-oe_peque

 

Borrado seguro de datos

02/02/2017

discos_duros

Ya mencionamos en clase que borrar un fichero con las herramientas del sistema operativo no significa necesariamente  que los datos no sean legibles. El sistema operativo borra el fichero del índice general pero los datos siguen ahí, hasta que ese espacio libre sea sobreescrito con nuevos datos. Para asegurarse el borrado hay que reescribir por encima.

Comentamos el caso del  disco duro del PP que los habían borrado con un procedimiento que reescribía datos 35 veces. En realidad no es necesaria tanta sobreescritura.

La noticia se puede leer aquí , en La Vanguardia

Va en esta nota de Genbeta siete herramientas para borrar discos. Borrarlos nos permite reutilizarlos o donarlos o tirarlos (en un punto limpio) sin temor a que lean su contenido.

También se puede optar por la destrucción física del disco, para lo que hay máquinas especializadas.  

Por cierto, las fotocopiadoras actuales tienen discos duros, todo lo que se fotocopia primero se escanea y ahí está.

Bitcoin

24/01/2017

Hemos visto y comentado esta conferencia sobre la moneda virtual bitcoin.

Para ver la cadena de bloques  : blockchain

Aquí tenemos hardware especializado en minar bloques, su potencia de cálculo se mide en TH/s

Además del bitcoin hay otras monedas virtuales, aquí podéis ver una lista

Y por último una de las empresas donde poder abrir una cuenta de bitcoins (y ethereum) : coinbase

 

mapa de ataques DDoS

24/10/2016

digital-attack-map

pongo aquí unos cuántos enlaces sobre los ataques de denegación de servicio.

esta semana: ciberataques que bloquearon algunos servicios de internet muy utilizados

22/10/2016

ddos-attack-on-dns-major-websites-including-github-twitter-suffering-outage-2

Esta semana se produjeron ataques de denegación de servicio (DDOS) a algunos servidores DNS que provocaron que no se pudiera acceder a muchas webs y a muchos servicios que utilizan millones de personas :  Twitter, Spotify, Playstation, Paypal, etc.

Los servidores DNS son los encargados de obtener la dirección IP de una máquina de la que sólo conocemos su nombre; tarea imprescindible para poder llegar a una web y acceder a ella y consultarla o acceder a un servidor de aplicaciones  : twitter por ejemplo.

Quizá en Europa no se haya notado tanto dado que los servidores DNS atacados estaban en USA y no necesariamente todas las resoluciones pasan por ellos.

Los ataques DDOS consisten en bloquear el acceso a un ordenador a base de enviarle un volumen enorme de paquetes  (paquetes de datos, claro) que no es capaz de gestionar .  En la wikipedia puedes ver una descripción de lo que es un DOS o un DDOS (DOS distribuido)

No se sabe bien quién está detrás de estos ataques, puedes leer aquí  la noticia.

Y en el blog de Chema Alonso una descripción un poco más técnica de cómo se hacen y qué pueden hacer las empresas para evitarlos.  http://www.elladodelmal.com/2016/10/winter-is-comming-algunas-reflexiones.html

 

webs vistas en clase estos primeros días

17/10/2016

Algunas webs presentadas estos días en clase.

oficina de seguridad del internauta :  OSI

Virus Total

Intypedia

Keylogger

Centro de proceso de datos : CPD

Un SAI  pequeño pero versátil

Calcular la potencia de un SAI

 

Conferencia sobre las vulnerabilidades de las passwords. Chema Alonso.

A lo largo del curso seguro que volveremos a referirnos a Chema Alonso y a su blog “El lado del mal “ .

empezamos un nuevo curso

17/10/2016

Empezamos un nuevo curso con un video que nos avisa que esto de hackear puede no ser lo que parece

 

De Chema  Alonso