RSS |

Blog de Omar

Just another WordPress weblog

Advertisement

Archive for the ‘ politica ’ Category

Todos estamos corriendo durante la semana con las actividades de nuestro trabajo y a veces no nos damos tiempo para enterarnos de las noticias de seguridad que han ocurriendo durante la semana, para aquellos que estuvieron atareados, con informes, con trabajo tedioso y no tuvieron tiempo para revisar sus feeds aquí les dejo las principales noticias de Seguridad Informática y de Seguridad de Información que tuvieron lugar durante la semana, espero les sea de utilidad, de pronto se enteran de cosas que ni siquiera habían escuchado.

 

Noticias del Mundo

  1. DropBox Hackeado (13 de Octubre)

    Por si no te enteraste durante la semana se informó que DropBox había sido hackeado y cuando lo leí me sorprendió mucho ya que alguna vez este servicio también había sido hackeado y si la noticia era cierta parecía que no habían aprendido la lección [AQUÍ´más información]. Sin embargo al leer las noticias detenidamente que fue publicada en REDDIT y leer otros posts en internet se pudo notar que en realidad el hacker ha decidido publicar de manera gradual las cuentas que de DropBox que tiene bajo su poder que en total parecen ser (siéntense en un lugar seguro) 7 millones de cuentas vulneradas.

    Hasta la fecha viene publicando cerca de 2 mil cuentas con sus respectivas contraseñas, las mismas que han sido publicadas en Pastebin y de manera gradual. El hacker está solicitando pago en Bitcoins para seguir publicando más información pero al parecer las personas no están dispuestas a pagar mucho ya que no hay más noticias al respecto.

    http://pastebin.com/aRgTJzzg
    http://pastebin.com/jHEjBLrQ
    http://pastebin.com/4KvaSNTn
    http://pastebin.com/LsKrspK5
    http://pastebin.com/1AZQ7McK
    http://pastebin.com/NtgwpfVm

    image
    ¿Qué dice DropBox al respecto?

    Dropbox se ha lavado las manos – cual Pilatos tiempo atrás -  e indica que no han sido víctimas de ningún hacker y que las contraseñas obtenidas han sido obtenidas a través de terceras aplicaciones, a través de malware, keylogger y que además las contraseñas pertenecen a cuentas expiradas (habrán probado si podían ingresar con los usuarios y contraseñas expuestas ¿¿¿?? ).

    image

    ¿Cómo me protejo?
    Ya saben, DropBox también tiene la funcionalidad de autenticación a través de 02 pasos, si no lo tienen deberían activarlo.

  2. POODLE: Vulnerabilidad en SSL 3.0

    POODLE (Padding Oracle On Downgraded Legacy Encryption)  es la segunda vulnerabilidad “importante” durante el año que afecta a SSL – la primera fue HeartBleed por si no estás enterado.  La vulnerabilidad afecta al protocolo SSL en su versión 3.0 y permite que un atacante pueda obtener en texto claro las cookies que son transmitidas de manera cifrada, es decir, que las mismas puedan ser descifradas y si obtienes las cookies de sesión se podría obtener mucha información y realizar ataques de session hijacking (secuestro de sesiones del cual hablamos aquí).

    vulnerability test image

    ¿Cómo funciona esto?

    El detalle técnico lo pueden encontrar [AQUÍ] pero podríamos resumir que el ataque consiste en forzar que los clientes (o sea… todos nosotros con nuestros browsers) nos conectemos a los servidores NO a través de TLS v1 o superior sino que lo hagamos a través de SSL 3.0, una vez habiendo  forzado esto, el atacante inyecta un JavaScript a través de un Man in the Middle(MiTM) para finalmente obtener en texto claro las cookies de sesión.  Obviamente para hacer el Man in the Middle(MiTM) deberíamos estar en la misma red LAN así que no es una vulnerabilidad tan grave (si es grave pero no tanto) como la de HeartBleed que permitía atacar remotamente al servidor y obtener las credenciales en memoria del servidor remoto.

    ¿Cómo me protejo?

    Los usuarios finales:

    Deshabiliten SSL 3.0 de sus navegadores: Chrome, Firefox e Internet Explorer (no sabía si mencionar este último porque no creo haya algún de este blog que use ese navegador), deshabilitando SSL 2.0 y SSL 3.0 no podremos establecer conexiones a través de estos protocoles y usaremos siempre TLS v1 o alguna versión superior. Aquí unas imágenes de como hacerlo en Firefox:

    SNAGHTML163a62ad

    Los SysAdmin:

    Los administradores de sistemas deberían deshabilitar que los servidores soporten conexiones a través de SSL 2.0 y SSL 3.0. Aquí existe un riesgo porque de pronto aun tienen usuarios que utilicen browsers antiguos para establecer conexiones a través de estos protocolos, sin embargo, es una opción que debería ser evaluadas ya que no es común utilizar estas versiones del protocolo SSL ya que lo normal es que los browsers utilicen TLS. Aquí les dejo un manual de cómo los sysadmins podrían realizar esto en diferentes servidores: Apache, Ngix, OpenVPN, etc.

    image
    Aquí pueden encontrar el detalle de como realizar las configuraciones [AQUÍ]

  3. Hackearon el Sistema de Transporte Público de Chile (17 de Octubre)

    Hoy (viernes 17 de Octubre) mientras almorzaba leí esta noticia y no pude evitar comentársela a mi amigo Stanley si algo parecido se podría hacer aquí en el Metropolitano de Lima. Pueden leer la noticia completa [AQUÍ], el hacking consiste en recargase de manera gratuita 20 dólares en las tarjetas que son utilizadas para el ingreso al sistema de transporte.

    bip

Noticias del Perú para el mundo

Si señores, nuestro querido Perú no podía dejarnos sin noticias de este tipo y sólo voy a colocar dos que me parecieron importantes, uno sobre Seguridad de Información y la segunda sobre lo peligroso de los Comunnity Manager (o sea los que administran páginas de Facebook).

 

  1. Ahora tu Jefe puede leer tus mail #LEYCHAVEZ

    Esta señora, Martha Chávez, representa a la derecha más bruta y tarada del Perú, la extrema derecha como suelen denominarla en la actualidad. Basta con decir que esta señora es una impresentable total y que formó parte del gobierno más corrupto de la historia del país, pues no les bastó con sólo eso ya que ahora está impulsando (ya que ella es la que preside esta comisión del congreso) una ley (de hecho es un dictamen) que permite a los empleadores abrir y leer tu correo electrónico bajo el pretexto de que el correo electrónico que nos brindaron les pertenece. En cristiano esto quiere decir que las empresas pueden leer TODOS tus correos electrónicos porque ellos te han dado ese correo y no importa lo que contenga ese correo, adiós PRIVACIDAD.

    Lo que dice el dictamen en resumen es:

    ”Los medios informáticos en el centro de trabajo son de titularidad del empleador, independientemente de su asignación al trabajador y su uso no genera una expectativa razonable de privacidad o secreto”

    Evidentemente esto viola la privacidad de la información y no tiene ni pies ni cabeza toca esperar a que las redes sociales exploten y que tiren al tacho de basura este dictamen que viola la privacidad de la información.

    image

  2. La venganza del Community Manager (o hacking de una cuenta de Facebook)

    Ser Community Manager es en la actualidad ser un afortunado ya que esta noble profesión consiste en estar conectado todo el día a las redes sociales como Facebook y Twitter publicando las tendencias y noticias de la empresa para la que trabajan. En pocas palabras “se la llevan fácil” porque parece que en la actualidad han olvidado solicitar como requisito ser creativo para ocupar el puesto de Community Manager de una organización, no obstante siempre existe la oveja negra en el rebaño y aquí encontramos uno realmente creativo.

    Este Community Manager no tuvo mejor idea que concretar su venganza utilizando su herramienta diaria de trabajo – las redes sociales -  y es que la venganza es un plato que se come lentamente y que se sirve en frio. Obviamente nunca sabremos si realmente fue el “Community Manager” o si hackearon la cuenta de Facebook de esta empresa, yo me inclino por la primera opción.

    image 

image

image

 

**************************************************************************************************

 

Listo señores estas fueron las noticias de seguridad de información de la semana, espero se hayan divertido leyendo esto tanto como yo me he divertido escribiéndolo. Saludos y buen fin de semana a todos.

Popularity: 22% [?]

 

Si me he animado a escribir este post es porque veo hace algún tiempo que los “hackers” y políticos peruanos vienen escribiendo una novela de amor y odio al mejor estilo mexicano y venezolano, parecen haber copiado un libreto de “Rubí”, “María la del Barrio” y “Los ricos también lloran”, novelas que mi señora madre solía ver con tanto esmero y que aun sigue viendo en un canal de cable cada vez que se apodera y conquista el televisor de la sala de mi casa. Esta novela tiene de todo: amor, odio, mentiras, terceras persona metiendo su cuchara, celebraciones (de “hackers” y “contrahackers”), parece que lo único que le falta para ser lanzada al éxito es: televisión, sólo le falta la bendita televisión y mucho morbo. Pero iniciemos esta novela de amor y odio con el evento más reciente que debe haber asustado a muchos y seguro hizo que todos cambiaran sus contraseñas de acceso en la Presidencia del Consejo de Ministros (PCM), el caso Cornejo, iniciemos:

 

1. Caso Cornejo

René Cornejo Díaz, el ex presidente del Consejo de Ministros del Perú, fue como todos sus antecesores llamado con todos los adjetivos “habidos y por haber”, desde incompetente hasta pajero, así de linda es nuestra política, la apolillada política peruana. Bueno, para resumir esto, el ex premier tuvo que dejar el puesto y escapar “entre gallos y medianoche”  debido a un eventual Complot contra Víctor Andrés García Belaunde por parte de su ex hombre de confianza; así fue como dejo con más pena que gloria  la presidencia del consejo de ministros, pobre ….. su nombre y honra están quemados (como casi todos los ex – premiers).

Tan sólo un par de semanas después, cuando el señor Cornejo debería estar descansando en su casa de campo y olvidándose de ese trago amargo por el que pasó, le revienta en la cara que alguien ha violado su privacidad y ha publicado sus correos electrónicos, tres mil (3000) correos electrónicos vulnerados en donde no se distingue de correos personales y correos de trabajo, adiós privacidad.  Correos electrónicos donde deben haber contraseñas de acceso, planes de gobierno, datos familiares, seguridad de estado, es decir, todo lo secreto del Perú expuesto para todo los amigos y no tan amigos de Perú.

 

Martes 05 de Agosto

El Martes 05 de Agosto, que más debió ser el Martes 13 para Cornejo, Lulz Security Perú y Anonymous Perú publicaron que tenían en sus manos los correos electrónicos del ex premier René Cornejo pertenecientes a su cuenta de Gmail.

 

image

 

image

 

image

 

Algunos detalles importantes

 

A. Correo Personal

Se indica que el correo hackeado es rcornejopcm@gmail.com, es decir, un correo de índole personal donde debería haber seguramente no sólo correos de índole político sino correos relacionados a su familia, asuntos personales, cuestiones amorosas, cuentas financieras, proyectos, en fin….. todo lo que se puede manejar en un correo electrónico de Gmail, sólo piensen un poco en lo que ustedes tienen en sus correos electrónicos, pues eso mismo debe tener el Sr. Cornejo en su cuenta de Gmail, que miedo, no?? En referencia a lo de “viejo pajero” sólo puedo….. reírme jajaja, de pronto alguno de los hackers lo ha visto haciéndose una paja para asegurarlo. Hasta la fecha, 07 de Agosto, los links de Mega siguen disponibles.

 

B. Correo de la Presidencia del Consejo de Ministros

Sin duda alguna, Anonymous y Lulz Sec deben de justificar – o justificarse a si mismos -  la intrusión a un correo personal, la única manera de justificar semejante acto es diciendo que lo hacen para ventilar todos los “anticuchos” (actos de corrupción para los no peruanos) que se realizaron durante el periodo que Cornejo fue Premier, que lo hacen por el bien del Perú, que no son delincuentes, que son héroes anónimos, al mejor estilo de Robin Hood y el superyó desarrollado por Freud. Bueno, un día después de publicar la noticia, Lulz Security Perú, decide publicar abiertamente el contenido de uno se los 3000 mil y picos correos en su cuenta de Twitter,

 

image

 

Sin embargo, al hacer zoom sobre la imagen publicado por Lulz Sec, se ve como destinatario el correo de la PCM (Presidencia del Consejo de Ministros), un momento…. no que era el correo Gmail de Cornejo? a menos claro, que el se haya reenviado los correos de la PCM a su cuenta de Gmail, no? de pronto pare tenerlos como backup el día que salga del puesto de Premier.  Sería interesante analizar los headers del correo electrónico pero eso implicaría descargar los correos publicados por estos hacktivistas, abrirlos, leerlos, admitir que se han descargado y admitir que se han sido leídos y finalmente publicar información del correo (las cabeceras), ciertamente no creo que este cerca de la legalidad.

 

1

 

C. Clases de derecho vía Twitter

Erick Iriarte es sin duda el abogado con más actividad en el Perú en lo que se refiere a derecho informático, siempre está publicando información en sus cuentas de redes sociales, publica tanto que dudo mucho que sea él mismo el que publica, debe tener un administrador de la cuenta o algo así, sino es así definitivamente debe vivir casi las 24 horas del día prendido de un celular o una computadora. Erick sin duda se ha ganado el respeto de muchas personas, dentro de las que me incluyo, y aunque no siempre comparto su opinión en temas políticos sobre temas legales sólo debemos aprender de él lo más que se pueda. Aquí algunos tweets publicados por Erick en relación al caso Cornejo:

 

image

 

image

 

Pongan atención a los recuadros de color rojo resaltados en la imagen superior, en resumen no es delito descargar el correo electrónico pero si es delito publicarlos mediante algún medio y siendo súper estrictos, publicar las cabeceras de un correo ya hasta podría considerarse algo ilegal, es mejor no hacerlo.

 

D. Ya se animaron a publicarlos en los medios

Bajo el criterio explicado por Erick Iriarte de “interés público” los medios prensa vienen exponiendo parte del contenido de los correos, supongo que se están matando leyendo los 3000 correos para revisar si hay algo que pudiera ser de interés para publicarlo, si publican algo que no fuera de interés se supone que estarían realizando un delito flagrante. Hasta ahora el caso del que más se habla es del correo enviado por Cecilia Blume, mírenlo aquí (publicado por OjoPúblico):

 

image

 

image image

 

E. ¿Cómo hicieron para hackear el correo de Gmail de Cornejo?

Señores, si alguien les dice con total seguridad como lo hicieron definitivamente es porque tienen una bola de cristal o consultan a un chuman (o ellos lo hicieron), sólo se pueden hacer suposiciones y ninguna puede ser afirmada. Iniciemos:

  • Contraseña de Gmail muy simple o de fácil suposición, quizás el nombre de un familiar directo, mascota, fechas importantes o contraseñas secuenciales para diferentes servicios (por ejemplo: passwordgmail, passwordtwitter, passwordfacebook, es decir, que sólo agreguen el nombre del servicio al final de una única contraseña).
  • Y si su cuenta de Gmail tiene doble factor de autenticación con su celular? de pronto el celular fue declarado de baja y los hackers aperturaron otro celular con el mismo número. Eso es muy común de hacer hoy en día, así ya tenían la clave y también el celular a donde le enviarían el código de verificación. Toca preguntarle a Cornejo esto, nos lo dirá ¿¿¿????
  • De pronto tuvieron acceso a un disco duro olvidado o de pronto a uno que dieron de baja hace poco y recuperaron el archivo de correo electrónico. Tengan en cuenta que se publicaron archivos con extensión EML y no creo que el hacker se haya tomado la molestia de entrar por la web y pasar correo por correo para descargarlos en ese formato, es muy probable que se haya manipulado un cliente de correo de electrónico como Outlook o Thunderbird
  • El soporte técnico de la PCM este involucrado y haya soltado datos a la gente de Anonymous o Lulz Sec. Ya saben: cuentas de administrador y esas cosas.
  • De pronto la contraseña de correo electrónico de Gmail viajaba en texto claro, he visto malas configuraciones de cuentas de Gmail cuando se utiliza un cliente de correo. Hacking rápido.
  • ¿Algún malware instalado en la computadora del ex-premier? Puede ser pero si fuera este el caso seguramente hubieran descargado no sólo correos sino otros documentos. Además si tuvieron tiempo para descargar tantos correos (me refiero al tamaño en conjunto de todos los archivos) seguramente hubieran descargado y publicado otros documentos encontrados.

 

2. Caso Castañeda

Y ya para terminar, antes del caso Cornejo, tuvimos el caso Castañeda. Castañeda es un político de la vieja escuela, un “viejo zorro” como diría mi mamá. Este señor no es santo de mi devoción y yo no votaría por él jamás. Este señor también fue víctima de los hackers, no directamente él pero sino a su Teniente Alcaldesa – Patricia Juárez – aunque la noticia no fue publicada directamente por Anonymous Perú sino por un señor Luis Yáñez parece que estuviera involucrado Anonymous Perú.

 

image

 

Existen más casos como los del ministerio del interior: Walter Albán y Wilfredo Pedraza, los casos de los PetroAudios, casos de músicos hackeados como GianMarco, etc etc., sin embargo vamos a dejar el recuento aquí nada más.

 

Cuestiones Finales

Voy a dar algunas de mis apreciaciones sobre los casos expuestos arriba, son opiniones y estando en un país libre pueden estar de acuerdo o en desacuerdo, aquí (al menos en este blog) todas las opiniones son respetadas siempre que no se hagan con el hígado en la mano y se respete a las personas:

 

1. ¿Por luchar por los derechos y libertades se deben violar los derechos y libertades de otros? En mi opinión NO. Concuerdo con Erick Iriarte.

2. Las acciones realizadas arriba son DELITOS y todo delito es realizado por DELINCUENTES. Por consecuencia las personas que realizaron esto pueden ir a la cárcel y cuando eso ocurra veremos los rostros de esas personas suplicando no ir detenidos, siempre pasa lo mismo.

3. Hay “personas” que se alegran cada vez que hackean a una persona pública (políticos, actores, etc.) o instituciones del estado. Realmente no los entiendo y menos cuando esas muestras de felicidad vienen de personas que pregonan a los cuatro vientos ser “contrahackers”, ya basta de hacer marketing y buscar contrataciones a través de ese mecanismo retrógrado e infantil, es como cuando un niño acusa a otro niño en el colegio por no haber hecho su tarea, brillen por luz propia no por la de otros.

4. ¿Ustedes aplauden a un delincuente en la calle? ¿Por qué lo harían en las redes sociales? La doble moral ¿dónde?.

5. Hay otros que reniegan de la compra de soluciones de seguridad. El problema no son las soluciones, las soluciones funcionan bien en la mayoría de los casos, el problema es cuando estos no se configuran y gestionan adecuadamente o peor aun cuando se dejan instalados con sus opciones por defecto y nunca más se vuelven a tocar. Si escuchan decir a alguien que un firewall, IPS/IDS, proxy, WAF, DBF, etc. no sirve, mejor ignórenlo y piensen: “aquí falta gestión de Seguridad”.

6. Todo se puede resumir en un adecuado “Plan de Seguridad de Información” por parte del estado, un plan que debe ser debidamente gestionado y que va más allá de sólo lo informático (claro que incluye seguridad informática pero es más grande que eso)  y que esperemos algún día el Perú lo pueda implementar, hasta entonces cuando veas noticias de “hacking” y lo compartas o hagas RT, hazlo con el fin de generar conciencia y mejorar la seguridad.

 

***************************************************************

Popularity: 19% [?]