tag:blogger.com,1999:blog-13770656757910479362024-03-06T01:47:15.643-03:00Seguridad para las MasasHablando acerca de seguridad de la información. Los ataques, vulnerabilidades, otros datos importantes, y cómo protegerse.Cristián Rojashttp://www.blogger.com/profile/01556587323506789345noreply@blogger.comBlogger9125tag:blogger.com,1999:blog-1377065675791047936.post-87079771521153516502012-04-15T22:31:00.000-03:002012-04-15T22:31:12.229-03:00Desmitificando la seguridad. Mito N°1: Seguridad 100%Esta vez hablaré acerca de un tema que dejé pendiente en mi post acerca de <a href="http://splm.blogspot.com/2012/04/mac-y-el-malware-mitos-vs-realidades.html" target="_blank">malware para Mac</a>: La seguridad 100%. En varias partes he visto algún logo o aviso diciendo "100% secure" o algo así. Yo soy consultor independiente en seguridad. No habemos muchos en mi linea de trabajo, pero no faltará quién dice que ofrece la panacea: "Seguridad 100%", "Sus sistemas informáticos serán completamente invulnerables", "Usted ya no tendrá que preocuparse por la seguridad nunca más".<br />
<br />
Y la realidad, muchas veces, como dicen los anglosajones, vuelve para mordernos allá atrás. Porque la seguridad 100% es una falacia. Es una cortina de humo. No existe. No hay forma de lograr que un sistema informático sea invulnerable. La única forma de hacer que un computador sea 100% seguro es dejándolo sin conexión a Internet, ni por cable ni por Wi-Fi, sin teclado, mouse, ni pantalla, para luego encerrarlo en un búnker con paredes de plomo ultra-gruesas, sin puertas ni ventanas. Ah, casi olvido que ese computador está apagado. Ahí estamos. 100% seguro.<br />
<br />
Si, ya se lo imaginaron. ¿Para qué sirve un computador que reúna esas características? Para nada. Queda como un pisapapeles con esteroides. Pero el ejemplo que acabo de dar, algo rudimentario, es una prueba de que la seguridad al 100% es un voladero de luces.Cristián Rojashttp://www.blogger.com/profile/01556587323506789345noreply@blogger.com4tag:blogger.com,1999:blog-1377065675791047936.post-3123020102018400132012-04-07T21:41:00.000-03:002012-04-09T23:26:38.248-03:00Mac y el Malware: Mitos v/s realidades.<div class="separator" style="clear: both; text-align: center;">
<a href="http://www.geek.com/wp-content/uploads/2011/10/sad_mac_retro.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="142" src="http://www.geek.com/wp-content/uploads/2011/10/sad_mac_retro.jpg" width="200" /></a></div>
<br />
Recientemente ocurrió una noticia relacionada con la seguridad que causó conmoción hasta el punto que los medios más importantes de nuestro país le dieron una <a href="http://www.emol.com/noticias/tecnologia/2012/04/07/534676/fakeflash-el-nuevo-virus-troyano-que-pone-en-peligro-a-mac.html" target="_blank">no despreciable cobertura</a>. Se trata de un troyano para Mac el cual ha infectado hasta el momento a más de 600 mil equipos, haciéndolos parte de lo que se conoce como una botnet. ¿Troyano? ¿Botnet? ¿En español, por favor?<br />
<br />
Partamos desde el principio. EMOL dice que un <i>troyano</i> es un programa que se descarga sigilosamente y sin que el usuario se de cuenta. <b>Falso</b>. Un troyano es un programa que dice ser algo que en realidad no es. Generalmente se presenta como un programa que dice hacer algo bueno por tí, pero en realidad infecta tu equipo. El nombre proviene del famoso Caballo de Troya, de la mitología griega. Esta imagen permite hacerse una idea de qué se trata:<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://www.clcert.cl/humor/img/trojan.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="254" src="http://www.clcert.cl/humor/img/trojan.jpg" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Ejemplo algo humorístico de la definición de un Troyano.</td></tr>
</tbody></table>
De hecho, en el caso particular cubierto por la prensa, el troyano se disfraza de una actualización de Flash Player para Mac. Al ser ejecutado, aprovecha una vulnerabilidad existente en un software conocido como la Máquina Virtual de Java, el cual todos usamos para ejecutar programas hechos en esta plataforma. El equipo, al ser infectado, pasa a ser parte de una <i>botnet</i>. Una botnet es una red de computadores (llamados esclavos) controlada por un computador central (llamado maestro). Cada uno de estos esclavos es controlado por el maestro sin que sus usuarios se den cuenta, y puede ser utilizado para atacar otros sistemas, ya sea enviándoles spam, o enviándoles muchas peticiones a servidores hasta el punto que estos últimos se traben por completo.<br />
<br />
Ya nos deshicimos de un mito. Ahora el otro. Mucha de la cobertura que he visto respecto de la noticia habla de que "al fin Mac es vulnerable", o "por primera vez aparece malware para Mac". Sin embargo, la verdad es muy distinta. El malware para Mac lleva bastante tiempo dando vuelta en Internet. De hecho <a href="http://nakedsecurity.sophos.com/2011/10/03/mac-malware-history/" target="_blank">los casos más tempranos datan del año 1982</a>. Por ejemplo, ya el año pasado anduvo vuelta un troyano el cual posaba como un antivirus para Mac, llamado <a href="http://en.wikipedia.org/wiki/Mac_Defender" target="_blank">MacDefender</a>, el cual, al ser instalado, redirigía a los usuarios a sitios pornográficos y robaba información sensible como datos de tarjetas de crédito. <br />
<br />
¿Por qué ahora es noticia y no antes? La razón es simple. Históricamente los usuarios de Mac se han vanagloriado de que la plataforma es
inmune, pero nunca lo fue. Lo que pasa es que existe más malware para Windows ya que es más costo-etectivo hacerlo, al ser ésta la plataforma más utilizada, con aproximadamente el <a href="http://en.wikipedia.org/wiki/Usage_share_of_operating_systems#Web_clients" target="_blank">82%</a> de los usuarios en el mundo. Por lo tanto, desarrollar malware para esa plataforma asegura que millones de personas podrían verse infectadas. Sin embargo, considerando el hecho de que Mac es una plataforma la cual aumenta progresivamente su popularidad, cada día habrán más casos de malware para el sistema operativo de Steve Jobs. Y en el caso particular aparecido en la prensa, hablamos de más de 600 mil equipos infectados. Y la verdad de las cosas es que <b>ningún sistema operativo es inmune</b>. Ni Windows, ni Linux, ni Mac, ni Android, ni iOS, ni Blackberry... ninguno. La seguridad 100% no existe. Pero de esto último hablaré en un futuro post.<br />
<br />
Algunas recomendaciones para quienes disfrutan de la tecnología de la manzana:<br />
<ol>
<li>Siempre mantengan actualizados sus sistemas operativos. Pueden hacerlo de dos formas: Hagan clic en <span style="font-size: large;"></span> -> Actualización de Software o activen las <a href="http://www.apple.com/la/softwareupdate/" target="_blank">actualizaciones automáticas</a>.</li>
<li>No instalen cualquier cosa que les llegue. Traten de asegurarse que los programas que instalen vengan de fuentes confiables.</li>
<li>Consideren la posibilidad de instalar un antivirus. Existen varios proveedores que <a href="http://www.mcafee.com/us/products/virusscan-for-mac.aspx" target="_blank">desarrollan</a> <a href="http://www.sophos.com/en-us/products/free-tools/sophos-antivirus-for-mac-home-edition.aspx" target="_blank">antivirus</a> <a href="http://www.bitdefender.com/latin/solutions/antivirus-for-mac.html" target="_blank">para</a> <a href="http://us.norton.com/macintosh-antivirus/" target="_blank">Mac</a>.</li>
</ol>
Por último, los dejo con un <a href="http://blogs.eset-la.com/laboratorio/2012/02/01/malware-2011-mac-educacion-usuarios/" target="_blank">post del Labotarorio ESET para Latinoamérica</a> en el cual se habla un poco más en profundidad al respecto. <br />
<ol>
</ol>Cristián Rojashttp://www.blogger.com/profile/01556587323506789345noreply@blogger.com0tag:blogger.com,1999:blog-1377065675791047936.post-71949074343797099892012-03-08T14:02:00.000-03:002012-03-08T14:02:21.158-03:00Seguridad Móvil.<div class="separator" style="clear: both; text-align: center;">
<a href="http://tecluv.com/wp-content/uploads/ASUS-Padfone-Smartphone-Tablet-Combo-3G-4G.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="175" src="http://tecluv.com/wp-content/uploads/ASUS-Padfone-Smartphone-Tablet-Combo-3G-4G.jpg" width="320" /></a></div>
El móvil. Nuestro compañero de aventuras. Ya sea un smartphone o tablet, cada vez más se ven este tipo de dispositivos. Y por lo general tienen 2 características:<br />
<ul>
<li>Manejan mucha información importante, ya sea personal o laboral.</li>
<li>Muchas veces, son incluso más potentes computacionalmente que nuestros notebooks o computadores en casa.</li>
</ul>
Por lo mismo, es importante protegerlos, junto con la información contenida en ellos. Aquí van algunas recomendaciones para una experiencia móvil más segura:<br />
<ol>
<li>Bloqueo del celular: <b>Nunca</b> dejes tu móvil abierto. Siempre protégelo con clave (numérica, password o la que sea) y que cada cierto rato sin utilizarlo se bloquee.</li>
<li>Las aplicaciones de Facebook, Twitter, LinkedIn o similares funcionan mediante un sistema de autorización el cual evita que tengas que ingresar tu password a cada rato. Si tu móvil es robado, ingresa al panel de cada una de estas redes sociales, cambia la password, y además revoca el acceso de las aplicaciones.</li>
<li>Instala un rastreador de dispositivos móviles, como <a href="http://preyproject.com/es" target="_blank">Prey</a>. Si pierdes o te roban el celular puedes rastrear su ubicación utilizando el GPS. También sirve para notebooks, y su efectividad <a href="http://www.emol.com/noticias/nacional/2012/02/14/526275/pdi-de-san-ramon-recupera-notebook-robado-gracias-a-software-prey-control.html" target="_blank">ha</a> <a href="http://www.biobiochile.cl/2011/10/14/pdi-de-concepcion-recupera-ocho-notebooks-con-el-programa-prey.shtml" target="_blank">sido</a> <a href="http://www.biobiochile.cl/2011/10/08/carabineros-localiza-notebook-robado-gracias-a-programa-prey-en-puerto-montt.shtml" target="_blank">más</a> <a href="http://www.biobiochile.cl/2011/05/05/temuquense-logra-recuperar-notebook-que-le-habian-robado-gracias-a-programa-prey.shtml" target="_blank">que</a> <a href="http://www.biobiochile.cl/2011/04/17/carabineros-detiene-a-pareja-y-recupera-netbook-sustraido-a-mujer-gracias-a-programa-prey.shtml" target="_blank">comprobada</a>.</li>
<li>Cuidado con las aplicaciones estilo FourSquare. Los check-in son públicos y con técnicas relativamente simples se podría incluso determinar dónde vives, dónde trabajas y cuándo estás en determinados lugares.</li>
<li>Al instalar programas, revisa bien los permisos que éstas solicitan. ¿Esa aplicación que usa Twitter realmente necesita acceso a tus mensajes de texto?</li>
</ol>Cristián Rojashttp://www.blogger.com/profile/01556587323506789345noreply@blogger.com0tag:blogger.com,1999:blog-1377065675791047936.post-18975465451599684462012-01-26T13:50:00.000-03:002012-01-26T13:50:47.383-03:00Phishing recargado II: Typosquatting y sus variados usosDespués de un buen rato, y ya empezando a cerrar la serie acerca de Phishing, les quiero contar acerca de otra herramienta que usan los crackers para facilitar sus robos de información a personas. Supongamos que existe un banco, llamado Banco Chileno, y su página web fuera ésta:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiIYd3KKOnWdlU3aMs4BUtyHtpGto2PaPSVkGZcT-1LfrCElq74459pYOlxCBELIPsPN7pZvii8WGE9YfTfxHLWOTzu3w0SH5tXdlyCCCyVAgjBzLvdxT82Qk9Eo7FPc-LDHlr5_yAlH80y/s1600/tsquat1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiIYd3KKOnWdlU3aMs4BUtyHtpGto2PaPSVkGZcT-1LfrCElq74459pYOlxCBELIPsPN7pZvii8WGE9YfTfxHLWOTzu3w0SH5tXdlyCCCyVAgjBzLvdxT82Qk9Eo7FPc-LDHlr5_yAlH80y/s1600/tsquat1.png" /></a></div>
<br />
¿No notan algo extraño? Fijense bien:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhpiDq_juX8d4Kc3umBGKBm2p876jNU9oI-xc3ZG6uRETQbpjtv17t0_vkEJh4tCEl77MYaAO_cmIoECvrkzKXprGzGAZKWk0ezwqgr00DnammJ0iJyYzSZRM2-9_atlOtZidDw9WFoBXgO/s1600/tsquat2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhpiDq_juX8d4Kc3umBGKBm2p876jNU9oI-xc3ZG6uRETQbpjtv17t0_vkEJh4tCEl77MYaAO_cmIoECvrkzKXprGzGAZKWk0ezwqgr00DnammJ0iJyYzSZRM2-9_atlOtZidDw9WFoBXgO/s1600/tsquat2.png" /></a></div>
<br />
Así es. ¿No que la dirección debería llamarse www.bancochileno.cl? Pues bien, es muy probable que Ustedes hayan notado a la primera que en vez de una <i>i</i> llevaba una <i>l</i>. Sin embargo, en nuestra vida diaria no notamos a primera vista estas sutiles diferencias, y los chicos malos se aprovechan de eso para montar sitios web falsos con el único propósito de realizar su <a href="http://splm.blogspot.com/2011/12/phishing-con-extra-vitaminas-y.html" target="_blank">phishing</a>.<br />
<br />
Este tipo de ataque se conoce como <b>typosquatting</b>. El typosquatting es una técnica la cual hace uso de errores tipográficos comunes, como:<br />
<ul>
<li>Un error comun o imperceptible: bancochiieno.cl</li>
<li>Un error basado en un error al tipear: bacnochileno.cl</li>
<li>Uso de plurales: bancoschilenos.cl</li>
<li>El uso de otro dominio de alto nivel: bancochileno.org</li>
</ul>
¿Cómo prevenir estos ataques? De la misma forma que para el Phishing común y corriente: Poniendo mucha atención a la barra de direcciones, denunciando los sitios falsos y llegar y hacer clic en cualquier parte. También se usa mucho que las mismas organizaciones aludidas hacen denuncias para que esos sitios los cuales tienen un nombre muy parecido a su marca, vean sus direcciones revocadas.<br />
<br />
Sin embargo, el typosquatting no tiene como único uso el Phishing. Hace un tiempo atrás ocurrió lo que yo llamo el "Caso Chayanne": En Twitter causó bastante revuelo la noticia de la muerte del cantante Chayanne en un accidente aéreo, publicada por Publimetro:<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZZfO5138RgRuVtBTUfVmf_h7w9suD0Tkbstdg1oqmiChuESv76VB8h7CsA_MgmIZR6pdMdA-Yroxw3GIwC_m60y3rzRaDwBpK737o5OYe7EBpIl_r8ruPQNECi6tQ8TnULGUs2h0Pv7Mf/s1600/Chayanne-fallecio.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZZfO5138RgRuVtBTUfVmf_h7w9suD0Tkbstdg1oqmiChuESv76VB8h7CsA_MgmIZR6pdMdA-Yroxw3GIwC_m60y3rzRaDwBpK737o5OYe7EBpIl_r8ruPQNECi6tQ8TnULGUs2h0Pv7Mf/s1600/Chayanne-fallecio.jpg" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Fuente: <a href="http://chile140.cl/entretenimiento/pubiimetrochiie-asesina-a-chayanne/" target="_blank">Chile140.cl<span id="goog_764924179"></span><span id="goog_764924180"></span></a></td></tr>
</tbody></table>
O al menos creíamos que había sido publicada por Publimetro, ya que lo que vemos no es la realidad. En una barra de direcciones esto es un poco más visible, pero con las cuentas de Twitter no. Lo que nosotros creemos que es "PublimetroChile" en realidad es "Pub<b>I</b>imetroChile". Aprovechandose del hecho de que la i latina mayúscula se ve igual a la l en muchos tipos de letra disponibles, <a href="http://www.radiosantiago.cl/news.php?idnews=13971" target="_blank">un grupo de "graciositos" quiso desatar la histeria de las fans del cantante portorriqueño</a>, y no precisamente por verlo en escena.<br />
<br />
Así que, como recomendación adicional, no confíen de buenas a primeras todo lo que aparece en Twitter. Chequeen fuentes serias primero.Cristián Rojashttp://www.blogger.com/profile/01556587323506789345noreply@blogger.com0tag:blogger.com,1999:blog-1377065675791047936.post-3049543144386629262011-12-21T10:00:00.000-03:002011-12-21T12:12:53.653-03:00Phishing recargado I: Pharming<div style="text-align: left;">
<div style="text-align: center;">
<span style="font-size: x-small;">"Este es un programa de entrenamiento, similar al de la realidad programada de la Matrix. Sigue las mismas reglas básicas, como la gravedad. Lo que debes entender es que estas reglas no son diferentes a las de cualquier sistema computacional. Algunas se pueden doblar, otras se pueden romper" </span></div>
<div style="text-align: right;">
<span style="font-size: x-small;">Morpheus en "The Matrix"</span><br />
</div>
<br />
Continuando con la <a href="http://splm.blogspot.com/2011/12/phishing-con-extra-vitaminas-y.html" target="_blank">serie de posts acerca del phishing</a>, hoy quiero contarles que de la misma forma en que la tecnología evoluciona, los ataques también. En este post y el siguiente les voy a contar acerca de dos técnicas que usan los crackers hoy para hacer más efectivos sus phishing. La primera se conoce como <i>Pharming</i>.</div>
<div style="text-align: left;">
<br /></div>
<div style="text-align: left;">
Cada computador en la red se identifica a través de lo que se conoce como dirección IP: Una serie de 4 números separados por puntos (por ejemplo, 173.194.42.16). Ahora, muy pocos serían capaces de memorizar ese dato. Por eso, y para ordenar los equipos por zonas geográficas y usos, se utilizan 2 métodos: El primero, llamado DNS (Domain Name System), es un grupo de servidores al cuales se les consulta qué IP corresponde a una dirección determinada (volviendo al mismo ejemplo de recién, si consultas a un servidor DNS por www.google.com, te responderá 173.194.42.16). El segundo es un archivo dentro del computador llamado <span style="font-family: "Courier New",Courier,monospace;">hosts</span>, el cual permite llevar una lista de direcciones y respectivas IP, sobre todo en caso de que se caiga un servidor DNS o para casos de pruebas.</div>
<div style="text-align: left;">
<br /></div>
<div style="text-align: left;">
Nuestros computadores, a la hora de buscar direcciones IP, primero revisan el archivo hosts y luego consultan al servidor DNS. Los crackers siempre buscan hacer que direcciones legítimas apunten a sus servidores truchos (sí, esos mismos que ellos montan para recoger credenciales) de dos formas: "envenenando" servidores DNS con registros falsos, o envenenando el archivo hosts de nuestro equipo:<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://www.eazyantispyware.com/blog/wp-content/uploads/2011/10/WindowsHostsFile_infected2.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="270" src="http://www.eazyantispyware.com/blog/wp-content/uploads/2011/10/WindowsHostsFile_infected2.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Archivo hosts infectado, esta vez para evitar que los antivirus se actualicen. Todas las direcciones apuntan a 127.0.0.1 ("mi equipo"). Fuente: <a href="http://www.eazyantispyware.com/blog/how-to-edit-hosts-file-remove-hijack-entries.html" target="_blank">EazyAntispyware Blog</a></td></tr>
</tbody></table>
¿Cómo protegerse? Generalmente los sitios de bancos o aquellos que manejan información confidencial usan certificados digitales (ese candado que ves cuando te conectas al banco), y el navegador avisa cuando el la dirección no corresponde a la IP registrada en el certificado. También los antivirus y anti-spyware más avanzados revisan periódicamente el archivo hosts.<br />
<br />
<br /></div>Cristián Rojashttp://www.blogger.com/profile/01556587323506789345noreply@blogger.com0tag:blogger.com,1999:blog-1377065675791047936.post-57232209850764672832011-12-15T17:53:00.003-03:002011-12-15T17:53:57.340-03:00Phishing (con extra vitaminas y minerales)<span style="font-size: x-small;">(Reedición del <a href="http://barsalog.blogspot.com/2007/07/phishing-una-amenaza-ms-real-de-lo-que.html" target="_blank">post</a> de mi alter-ego)</span><br />
<br />
Durante el último año sobre todo, se ha hablado mucho acerca del Phishing, ataque informático destinado a robar información a usuarios sin que éstos se den cuenta. Incluso han aparecido campañas por parte de los bancos sobre todo, tendientes a concientizar a los usuarios respecto de esta amenaza. Pero ¿Qué es el Phishing?<br />
<br />
El Phishing es un ataque que funciona de la siguiente manera:<br />
<ol>
<li>A tí te llega un correo electrónico que dice "Haz clic aquí para ir a la página de tu banco". ¿La razón? Alguna promoción, chequear tu saldo, o un supuesto cambio de configuración provocado por un (también supuesto) ataque informático al servidor del banco.</li>
<li>Tu haces clic en el link, y aparece la página de tu banco... o al menos eso es lo que crees. Porque en realidad es una página idéntica (de forma) a la página de tu banco alojada en otro servidor el cual está programado, no para ser parte del sistema web de tu banco, sino que para que, cuando ingreses tu RUT y password, las almacene.</li>
<li>El inescrupuloso que armó este sitio, se conecta a él y extrae la información que tú le diste.</li>
<li>Finalmente, usará esa información para suplantarte en la página de tu banco.</li>
</ol>
De ahí viene la palabra Phishing (que se pronuncia igual que "Fishing"): El atacante te lanza un anzuelo con su mail engañoso, tu caes y él "pesca" tus datos importantes.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEienHWydDN4-XSUVxDCiULxpOhJR6i7UeIMPv81bvdmnicE07_cxCWMX4xUgGI3v6Y9cdDeeRjpBW12mnPhdz6pOMo41FXQk8BDDadSWhO9_g1s4URbScQaPd8PZ4d0bA78iQQ_ZM3xaKq6/s1600/phishing.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="405" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEienHWydDN4-XSUVxDCiULxpOhJR6i7UeIMPv81bvdmnicE07_cxCWMX4xUgGI3v6Y9cdDeeRjpBW12mnPhdz6pOMo41FXQk8BDDadSWhO9_g1s4URbScQaPd8PZ4d0bA78iQQ_ZM3xaKq6/s640/phishing.png" width="640" /></a></div>
<br />
<br />
¿Cómo defenderse de este tipo de ataques? Primero, debes tener en cuenta que los bancos, como medida de seguridad para sus clientes, NUNCA envían correos electrónicos como el que te mencioné a sus clientes, así que si recibes un mail de estas características, ten por seguro que te quieren enganchar para robarte la password.<br />
<br />
También existen bases de datos de sitios de phishing (Phishtank, Google Safe Browsing) los cuales desarrollan plugins para browsers que, al ingresar un usuario a un sitio, chequean las bases de datos y avisan al usuario si son sitios maliciosos o no. Además, los browsers más modernos (Firefox, Internet Explorer, Opera, Chrome...) traen sistemas de chequeos integrados anti-phishing. Sin embargo, estas bases de datos no son automatizadas y dependen de las denuncias de los usuarios. Pueden pasar varios días antes de que un sitio sea denunciado en estos sitios.<br />
<br />
Y por último, no llegar y hacer clic en cualquier parte. Miremos bien la dirección de la página en la que estamos antes de ingresar cualquier tipo de información.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjPjaB6_nmIlrm7uhsHQcZrA1gYGFO9EOgiUDGNfm3MrdqH9XZtqR_ORnIzTaruMM7j9ZzQUQYGT34bNGffh2fVdowPq5LcD06KZ0AKH8d-3rdBMhdGPtCj6Vcu3bbRfCXyWs-D7Z4JRfjw/s1600/santanderPhishing.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="486" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjPjaB6_nmIlrm7uhsHQcZrA1gYGFO9EOgiUDGNfm3MrdqH9XZtqR_ORnIzTaruMM7j9ZzQUQYGT34bNGffh2fVdowPq5LcD06KZ0AKH8d-3rdBMhdGPtCj6Vcu3bbRfCXyWs-D7Z4JRfjw/s640/santanderPhishing.png" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Phishing a un conocido banco para robar su "clave dos"</td></tr>
</tbody></table>Cristián Rojashttp://www.blogger.com/profile/01556587323506789345noreply@blogger.com0tag:blogger.com,1999:blog-1377065675791047936.post-33610594128737130052011-12-07T17:37:00.000-03:002012-04-09T23:12:46.495-03:00¿Hackers o crackers?<div style="text-align: center;">
<span class="Apple-style-span" style="font-size: x-small;">"Los mejores <i>crackers</i> del mundo hacen la pega en 60 minutos. Desafortunadamente, necesito que tú la hagas en 60 segundos"</span></div>
<div style="text-align: right;">
<span class="Apple-style-span" style="font-size: x-small;">John Travolta en "Swordfish"</span></div>
<br />
<br />
<div style="text-align: left;">
<a href="http://i.fanpix.net/images/orig/a/a/aa6z5q2gq2i6z6q6.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="180" src="http://i.fanpix.net/images/orig/a/a/aa6z5q2gq2i6z6q6.jpg" width="320" /></a>Todos leemos en las noticias que, cuando ocurre un incidente de seguridad, en éste está involucrado aquél oscuro personaje, quien escondido en el anonimato que le proporciona la red, es capaz de dejar la tendalada y salir impune. Me refiero al <i>hacker</i>.</div>
<div style="text-align: left;">
<br /></div>
<div style="text-align: left;">
O tal vez no.</div>
<div style="text-align: left;">
<br /></div>
<div style="text-align: left;">
Porque resulta que el hacker es un curioso, alguien que quiere conocer cómo funcionan las cosas por dentro y quizás cambiar algo en ellas para que funcione mejor. ¿Alguna vez has participado en un proyecto de software de código abierto (open-source) y has modificado aunque sea un par de lineas? ¿Alguna vez has abierto algún aparato electrónico de tu casa (TV, radio, computador, etc.) aunque sea para limpiarlo? Si la respuesta a cualquiera de esas preguntas es afirmativa, felicitaciones, eres un hacker.
</div>
<div style="text-align: left;">
<br /></div>
<div style="text-align: left;">
Pues bien, ¿no es acaso el hacker aquel curioso que entra a sistemas informáticos, mira información que no le corresponde, destruye estos sistemas o no los deja funcionar adecuadamente?. Hay toda una controversia al respecto, ya que el término correcto para referirse a este personaje inescrupuloso es <i>cracker</i>.</div>
<div style="text-align: left;">
<br /></div>
<div style="text-align: left;">
¿Por qué 2 términos que se refieren a lo mismo? Principalmente por el hecho de que el hacker es alguien con conocimientos y curiosidad, mientras que el cracker es lo mismo, pero añadiéndole perversión y motivación para destruír, robar, obtener información, prestigio, o como ocurre la mayor parte del tiempo, lucas.</div>
<div style="text-align: left;">
<br /></div>
<div style="text-align: left;">
Es como decir que un ladrón que entra a robar casas es un cerrajero. El cerrajero tiene herramientas para entrar a casas, abrir puertas, etc. Añadimos a eso la motivación y malicia y tienes un ladrón.</div>Cristián Rojashttp://www.blogger.com/profile/01556587323506789345noreply@blogger.com0tag:blogger.com,1999:blog-1377065675791047936.post-31053646767351755202011-11-28T13:10:00.000-03:002011-11-28T13:10:18.703-03:00Guía práctica para el manejo de passwordsLa password (contraseña) es probablemente el eslabón más débil dentro de esta cadena que es la seguridad de la información, y aún así la usamos en nuestra vida diaria, para ingresar a nuestros computadores, a nuestros sitios web, a nuestro banco, etc. Y no le prestamos suficiente atención, más encima creando passwords como <span style="font-family: "Courier New",Courier,monospace;">cristian123</span> o peores.<br />
<br />
Las principales recomendaciones para crear una password segura son las siguientes:<br />
<ol>
<li>De un largo adecuado (8 caracteres o más)</li>
<li>Evitar que tenga nombres comunes, palabras de diccionario, o información cercana al usuario (fecha del cumpleaños, etc)</li>
<li>Que incluya números y/o símbolos</li>
<li>Que combine mayúsculas y minúsculas</li>
</ol>
Siguiendo estas sencillas reglas, podremos tener passwords las cuales serán extremadamente dificiles de adivinar por inescrupulosos, quienes utilizan generalmente técnicas automatizadas para tratar de vulnerar passwords, analizando miles (e incluso millones) de posibles passwords por segundo. El problema es que si seguimos al pie de la letra las recomendaciones, podríamos terminar con una password de este estilo:<br />
<br />
<div style="text-align: center;">
<span style="font-size: large;"><span style="font-family: "Courier New",Courier,monospace;">kD%GzV/P*kzT</span></span></div>
<br />
Y nadie (o muy pocos) podrían recordar eso. Y la idea también es que puedan recordar sus passwords y no tengan que andarla anotando en papeles, con lo cual quedaría en riesgo, ya que el papel podría ser visto por otra persona o incluso perderse.<br />
<br />
Entonces ¿Qué hacer? Les voy a contar la técnica que uso para mis passwords. Ésta usa acrónimos (las iniciales de las palabras de una frase) para cada letra de la password. Como ejemplo tomemos un fragmento de <a href="http://www.nicanorparra.cl/" target="_blank">Don Nicanor</a>:<br />
<br />
<div style="text-align: center;">
"Claro que yo no respondo si bajan<br />Echando sangre por boca y narices."</div>
<br />
Entonces un acrónimo sería:<br />
<br />
<div style="font-family: "Courier New",Courier,monospace; text-align: center;">
<span style="font-size: large;">cqynrsbespbyn</span></div>
<br />
Adecuado, ¿no? Tiene largo de 13 caracteres y no se basa en una palabra conocida. Hagamos que combine mayúsculas y minúsculas ahora, tomando las mayúsculas y minúsculas del fragmento, y suponiendo que "sangre" fuera la idea principal:<br />
<br />
<div style="font-family: "Courier New",Courier,monospace; text-align: center;">
<span style="font-size: large;">CqynrsbESpbyn</span></div>
<br />
¿Y si lo complejizamos más metiéndole símbolos? Incluyamos el punto final y reemplacemos la "y" por un "and", o sea el <i>amperstand</i> gringo:<br />
<br />
<div style="font-family: "Courier New",Courier,monospace; text-align: center;">
<span style="font-size: large;">CqynrsbESpb&n.</span></div>
<br />
Ahí tenemos una password buena, compleja, y lo más importante de todo, <b>recordable</b>. Lo único que tienen que hacer es recordar el fragmento de Don Nicanor. Pueden usar esta técnica con frases para el bronce, versos de poemas, canciones que les gusten, etc.<br />
<br />
Ah, y otra cosa: Ya que saben cómo hacer buenas passwords, no hagan sólo una para usarla en todas partes. Tengan por ejemplo, una para el e-mail, otra para las redes sociales, otra para sus computadores, etc., cosa de que si un atacante se hace con alguna de éstas, le resulte más difícil entrar a otros recursos de información que Ustedes tengan.<br />
<br />
<br />
<br />Cristián Rojashttp://www.blogger.com/profile/01556587323506789345noreply@blogger.com2tag:blogger.com,1999:blog-1377065675791047936.post-88696583846317313912011-11-25T19:00:00.000-03:002012-04-16T19:01:14.237-03:00Primer disparo.Hace poco estuve conversando con un amigo y ex-compañero de universidad, quien tomando en cuenta <a href="http://barsalog.blogspot.com/2011/08/el-ataque-hombre-en-el-medio-y-por-que.html" target="_blank">el post que creara mi Alter Ego</a> hace un tiempo, y a partir de un incidente ocurrido en una charla acerca de tecnología, me dijo que creara mi propio blog acerca de seguridad de la información, pero de seguridad para todos.<br />
<br />
Así es como, inspirándome en <a href="http://es.wikipedia.org/wiki/Music_for_the_Masses" target="_blank">el título del disco de Depeche Mode</a>, decidí iniciar este blog. ¿Y a qué voy con seguridad para las masas? Mi objetivos son:<br />
<br />
<ul>
<li>Llegar a las masas en general: La seguridad de la información es algo que cada día nos afecta a todos, sobre todo considerando que cada día estamos más conectados, en diferentes dispositivos y cada vez exponemos más información.</li>
<li>Llegar a las masas de la gestión: Aunque para Ustedes la seguridad no traiga un ROI incorporado al menos inicialmente, un ataque a sus sistemas de información los va a hacer perder plata. De Ustedes depende si pierden más o menos.</li>
<li>Llegar a las masas de desarrolladores, ingenieros y administradores de sistemas: Nosotros estamos en la primera linea de batalla respecto de la seguridad. Y muchas veces no conocemos las herramientas necesarias para defender nuestros sistemas.</li>
</ul>
<div>
Así que, bienvenidos. Siéntanse en total libertad de seguir este blog y sus feeds. Mi idea es incluir información acerca de seguridad de la información más o menos seguido.</div>Cristián Rojashttp://www.blogger.com/profile/01556587323506789345noreply@blogger.com0