RSS |

Blog de Omar

Just another WordPress weblog

Advertisement

Posts Tagged ‘ información ’

Todos estamos corriendo durante la semana con las actividades de nuestro trabajo y a veces no nos damos tiempo para enterarnos de las noticias de seguridad que han ocurriendo durante la semana, para aquellos que estuvieron atareados, con informes, con trabajo tedioso y no tuvieron tiempo para revisar sus feeds aquí les dejo las principales noticias de Seguridad Informática y de Seguridad de Información que tuvieron lugar durante la semana, espero les sea de utilidad, de pronto se enteran de cosas que ni siquiera habían escuchado.

 

Noticias del Mundo

  1. DropBox Hackeado (13 de Octubre)

    Por si no te enteraste durante la semana se informó que DropBox había sido hackeado y cuando lo leí me sorprendió mucho ya que alguna vez este servicio también había sido hackeado y si la noticia era cierta parecía que no habían aprendido la lección [AQUÍ´más información]. Sin embargo al leer las noticias detenidamente que fue publicada en REDDIT y leer otros posts en internet se pudo notar que en realidad el hacker ha decidido publicar de manera gradual las cuentas que de DropBox que tiene bajo su poder que en total parecen ser (siéntense en un lugar seguro) 7 millones de cuentas vulneradas.

    Hasta la fecha viene publicando cerca de 2 mil cuentas con sus respectivas contraseñas, las mismas que han sido publicadas en Pastebin y de manera gradual. El hacker está solicitando pago en Bitcoins para seguir publicando más información pero al parecer las personas no están dispuestas a pagar mucho ya que no hay más noticias al respecto.

    http://pastebin.com/aRgTJzzg
    http://pastebin.com/jHEjBLrQ
    http://pastebin.com/4KvaSNTn
    http://pastebin.com/LsKrspK5
    http://pastebin.com/1AZQ7McK
    http://pastebin.com/NtgwpfVm

    image
    ¿Qué dice DropBox al respecto?

    Dropbox se ha lavado las manos – cual Pilatos tiempo atrás -  e indica que no han sido víctimas de ningún hacker y que las contraseñas obtenidas han sido obtenidas a través de terceras aplicaciones, a través de malware, keylogger y que además las contraseñas pertenecen a cuentas expiradas (habrán probado si podían ingresar con los usuarios y contraseñas expuestas ¿¿¿?? ).

    image

    ¿Cómo me protejo?
    Ya saben, DropBox también tiene la funcionalidad de autenticación a través de 02 pasos, si no lo tienen deberían activarlo.

  2. POODLE: Vulnerabilidad en SSL 3.0

    POODLE (Padding Oracle On Downgraded Legacy Encryption)  es la segunda vulnerabilidad “importante” durante el año que afecta a SSL – la primera fue HeartBleed por si no estás enterado.  La vulnerabilidad afecta al protocolo SSL en su versión 3.0 y permite que un atacante pueda obtener en texto claro las cookies que son transmitidas de manera cifrada, es decir, que las mismas puedan ser descifradas y si obtienes las cookies de sesión se podría obtener mucha información y realizar ataques de session hijacking (secuestro de sesiones del cual hablamos aquí).

    vulnerability test image

    ¿Cómo funciona esto?

    El detalle técnico lo pueden encontrar [AQUÍ] pero podríamos resumir que el ataque consiste en forzar que los clientes (o sea… todos nosotros con nuestros browsers) nos conectemos a los servidores NO a través de TLS v1 o superior sino que lo hagamos a través de SSL 3.0, una vez habiendo  forzado esto, el atacante inyecta un JavaScript a través de un Man in the Middle(MiTM) para finalmente obtener en texto claro las cookies de sesión.  Obviamente para hacer el Man in the Middle(MiTM) deberíamos estar en la misma red LAN así que no es una vulnerabilidad tan grave (si es grave pero no tanto) como la de HeartBleed que permitía atacar remotamente al servidor y obtener las credenciales en memoria del servidor remoto.

    ¿Cómo me protejo?

    Los usuarios finales:

    Deshabiliten SSL 3.0 de sus navegadores: Chrome, Firefox e Internet Explorer (no sabía si mencionar este último porque no creo haya algún de este blog que use ese navegador), deshabilitando SSL 2.0 y SSL 3.0 no podremos establecer conexiones a través de estos protocoles y usaremos siempre TLS v1 o alguna versión superior. Aquí unas imágenes de como hacerlo en Firefox:

    SNAGHTML163a62ad

    Los SysAdmin:

    Los administradores de sistemas deberían deshabilitar que los servidores soporten conexiones a través de SSL 2.0 y SSL 3.0. Aquí existe un riesgo porque de pronto aun tienen usuarios que utilicen browsers antiguos para establecer conexiones a través de estos protocolos, sin embargo, es una opción que debería ser evaluadas ya que no es común utilizar estas versiones del protocolo SSL ya que lo normal es que los browsers utilicen TLS. Aquí les dejo un manual de cómo los sysadmins podrían realizar esto en diferentes servidores: Apache, Ngix, OpenVPN, etc.

    image
    Aquí pueden encontrar el detalle de como realizar las configuraciones [AQUÍ]

  3. Hackearon el Sistema de Transporte Público de Chile (17 de Octubre)

    Hoy (viernes 17 de Octubre) mientras almorzaba leí esta noticia y no pude evitar comentársela a mi amigo Stanley si algo parecido se podría hacer aquí en el Metropolitano de Lima. Pueden leer la noticia completa [AQUÍ], el hacking consiste en recargase de manera gratuita 20 dólares en las tarjetas que son utilizadas para el ingreso al sistema de transporte.

    bip

Noticias del Perú para el mundo

Si señores, nuestro querido Perú no podía dejarnos sin noticias de este tipo y sólo voy a colocar dos que me parecieron importantes, uno sobre Seguridad de Información y la segunda sobre lo peligroso de los Comunnity Manager (o sea los que administran páginas de Facebook).

 

  1. Ahora tu Jefe puede leer tus mail #LEYCHAVEZ

    Esta señora, Martha Chávez, representa a la derecha más bruta y tarada del Perú, la extrema derecha como suelen denominarla en la actualidad. Basta con decir que esta señora es una impresentable total y que formó parte del gobierno más corrupto de la historia del país, pues no les bastó con sólo eso ya que ahora está impulsando (ya que ella es la que preside esta comisión del congreso) una ley (de hecho es un dictamen) que permite a los empleadores abrir y leer tu correo electrónico bajo el pretexto de que el correo electrónico que nos brindaron les pertenece. En cristiano esto quiere decir que las empresas pueden leer TODOS tus correos electrónicos porque ellos te han dado ese correo y no importa lo que contenga ese correo, adiós PRIVACIDAD.

    Lo que dice el dictamen en resumen es:

    ”Los medios informáticos en el centro de trabajo son de titularidad del empleador, independientemente de su asignación al trabajador y su uso no genera una expectativa razonable de privacidad o secreto”

    Evidentemente esto viola la privacidad de la información y no tiene ni pies ni cabeza toca esperar a que las redes sociales exploten y que tiren al tacho de basura este dictamen que viola la privacidad de la información.

    image

  2. La venganza del Community Manager (o hacking de una cuenta de Facebook)

    Ser Community Manager es en la actualidad ser un afortunado ya que esta noble profesión consiste en estar conectado todo el día a las redes sociales como Facebook y Twitter publicando las tendencias y noticias de la empresa para la que trabajan. En pocas palabras “se la llevan fácil” porque parece que en la actualidad han olvidado solicitar como requisito ser creativo para ocupar el puesto de Community Manager de una organización, no obstante siempre existe la oveja negra en el rebaño y aquí encontramos uno realmente creativo.

    Este Community Manager no tuvo mejor idea que concretar su venganza utilizando su herramienta diaria de trabajo – las redes sociales -  y es que la venganza es un plato que se come lentamente y que se sirve en frio. Obviamente nunca sabremos si realmente fue el “Community Manager” o si hackearon la cuenta de Facebook de esta empresa, yo me inclino por la primera opción.

    image 

image

image

 

**************************************************************************************************

 

Listo señores estas fueron las noticias de seguridad de información de la semana, espero se hayan divertido leyendo esto tanto como yo me he divertido escribiéndolo. Saludos y buen fin de semana a todos.

Popularity: 22% [?]

logoDe hecho este es un post súper pequeño, sólo quería invitarlos al Congreso Nacional de Estudiantes de Ingeniería de Computación y Sistemas  (CONEISC) que se realizará en la ciudad de la eterna primavera, Trujillo, donde estaré dando una charla de seguridad de información: “Importancia de la Seguridad Digital” y dos talleres: “Ataques Web con Python”.

El congreso se ve muy chévere, espero que todos puedan ir y ser parte de este congreso anual. Además – y como siempre -  está muy chévere ir a Trujillo para volver a ver sol ya que en Lima la gris el sol no se asoma hace muchas semanas.

Nos vemos en Trujillo, los detalles de todas las ponencias, ponencias especializadas, talleres y turismo lo pueden ver [AQUÍ].

ponencias especializadas

 

 

talleres (1)

Popularity: 17% [?]

Con una informalidad inobjetable me presenté el sábado 27 de Agosto en San Marcos para dictar el primer Taller de Pentesting, con un salón rebalsando, cerca de cien personas, una hora de retraso debido a la demora en las inscripciones y un inesperado cambio de salón a un auditorio donde pueda caber toda la gente, comenzamos el taller a las 4 de la tarde.

Había pensado ponerme una vestimenta más formal, tal vez un saco y una corbata, pero mi personalidad se hubiera visto saboteada y me hubiera sentido en un día más de trabajo, así que decidí ir vestido de la manera más cómoda posible; justo antes de comenzar el taller tuve la sensación que varias miradas se habían posado irreductiblemente sobre mi, sentía la respiración asfixiante de alguien en mi cuello y pensé que la  presión de tantas personas ávidas de conocimiento podría hacerme vacilar por un momento; sin embargo esa sensación no duró ni un  sólo instante porque decidí pisar firmemente la espinosa plataforma de aquel auditorio y comenzar el taller de Pentesting con muchos ánimos.

tallerpentesting

El taller salió muy bien pero sospecho que pude haberlo hecho mejor, lamentablemente no se pudo terminar con todos los puntos previstos debido a que un señor se me acerco en el break a decirme lo siguiente:

**************************************************

- Joven, ¿a qué hora estará terminando?

- A las siete de la noche aproximadamente, a esa hora esta pensado terminar el taller – le dije.

- Uy no joven, la universidad ya esta cerrando, toda la facultad ya esta cerrada. Tiene que terminar en 20 minutos mas o menos – aseveró el señor encargado de la facultad y se fue.

**************************************************

La última frase de aquel señor me dejo en un estado de angustiosa chiripiolca, debo confesar que al momento de comunicarle al público que deberíamos terminar antes de lo previsto, temí que alguien hubiera ido provisto de una canastilla de verduras y que me arrojarían tomates, repollos o alguna otra verdura. Avancé lo más rápido y raudo que pude pero no me sentí bien terminando tan apurado pero fue la única salida ante tan angustioso momento. Después de haber culminado sentí que faltaron muchos temas por tocar, tuve tanta prisa para terminar -  antes de que nos echaran – que me sentí un empadronador nacional  de censo que toca las puertas pasando casa por casa lo más rápido posible.

Una noche más tarde, antes de poder conciliar el sueño y mientras miraba el techo de mi habitación analicé todas las mejoras que debería hacer para el próximo taller, en donde tendría mi revancha. El próximo taller será el sábado 24 de Setiembre en el mismo salón, en el mismo lugar y a la misma hora, en donde el tipejo revanchista que también suelo ser tendrá su revancha, estoy seguro.

Al termino del taller, prometí colocar la presentación en mi blog y como lo prometido es deuda, dejo la presentación y un libro de hacking que también fue parte de las tantas promesas que hice.

Aquí les dejo la presentación: [DESCARGAR AQUÍ]

Aquí les dejo el libro de Hacking Exposed 6 : [DESCARGAR AQUÍ ]

Popularity: 17% [?]