Archivos etiquetados bajo ‘Seguridad’

Quien necesita contraseñas cuando puedes imponer castigos físicos a los intrusos!

Escrito por Oscar Alcalá. 21 de October de 2008
Etiquetas: Gadgets, Seguridad

Trampa dedos

Afortunadamente nunca he tenido problemas con la gente usando mi computadora sin permiso cuando no estoy cerca, pero si los tuviera esta solución me encantaría.

De la mente perversa de el diseñador Tino Dobra llega esta brillante idea para alejar a los curiosos de tu información. Ironicamente se puede saltar usando un mouse externo pero hey, nadie dijo que era una solución perfecta, además de que solo es un concepto así que no esperen verlo en las tiendas pronto.

(vía yanko design)


Phishing en nombre de la Profeco

Escrito por Oscar Alcalá. 31 de July de 2007
Etiquetas: Seguridad, Tips

Me sorprendió encontrarme con un correo electrónico de la Profeco hace poco, esa es la organización que se encarga de proteger los derechos del consumidor para los que no viven en México. Nunca les dí mi cuenta pero ya que recibo regularmente algunas notas y boletines de prensa supuse que iba por ahí, le di una segunda oportunidad y lo abrí.

Cual fue mi sorpresa al descubrir rapidamente con que se trataba de un intento de phishing, supongo que ya se les acabaron los bancos y van a empezar con las organizaciones gubernamentales.

phishing_profeco2.jpg

El correo va algo así:

Estimado Ciudadano Le informamos que La Escuela Tec De Monterrey y Profeco Tienen Como Proyecto Informale a los Ciudadanos de Mexico Un Servicio Que le Informa Que Gasolineras De la ciudad de Mexico son irregulares por lo tanto seria aconsajable que usted tome medidas de su provedor de gsolina mas cercano o tenga en otras opciones algunas que si se ajusten a su precio y cantidad por litro.

Uso inconsistente de mayúsculas, cero puntuación y falta de algunas letras. No fue muy dificil levantar la alerta comprobando mis sospechas al pasar el ratón sobre el enlace que envía al dominio puerto80.com.mx, el cual es solo es gran repositorio de archivos registrado a nombre de un tal Alejandro Gomez Puente de Aguascalientes quién si es responsable, fué lo suficientemente estúpido para registrarlo bajo el nombre de su empresa Duxpoint y de dejar otros archivos que apuntan a esta.

Ya lo reporté a Nic México y me gustaría hacer lo mismo con la compañía de hosting pero no he podido hacer el rastreo, si alguién me da algunos tips sobre como lograrlo se los agradecería.

Así que ya saben, cuidense de estos intentos de phishing que ya no solo fingen venir de paypal o de bancos y que desafortunadamente pasan los filtros de spam.





Hackeado el sistema de coreos del pentagono

Escrito por Oscar Alcalá. 22 de June de 2007
Etiquetas: E mail, Hackers, Seguridad

pentagono.jpgEste pasado Miercoles el sistema de correos electrónicos del pentagono fue atacado de tal forma que casi un tercio del personal que trabaja para el secretario de defensa Robert Gates vió comprometidos sus correos electrónicos.

El pentagono no ha comentado mucho al respecto pero asegura que en caso de que el o los atacantes hayan podido leer la información de los correos esto no compremetería la seguridad nacional pues el staff afectado era solamente administrativo y ninguna comunicación de caracter militar o confidencial se vio afectada.

Para asegurarse de que el ataque no llegara a mayores consecuencias, desconectaron más de 1,500 equipos. Han logrado reestablecer el sistema poco a poco per aún no están trabajando al 100%.

fuente: AP


¿Sabes en cuanto tiempo se puede crackear tu password?

Escrito por Oscar Alcalá. 27 de March de 2007
Etiquetas: Seguridad

En one man´s blog publican un buen artículo sobre la seguridad de las contraseñas del usuario regular. Según el artículo para encontrar las ocntraseñas del 20% de los usuarios solo hay que probar 10 combinaciones diferentes. No se que tan acertados sean estos datos pero sseguramente si hay una gran cantidad de personas que aún usan el nombre de su mascota o de su novia como contraseña.

Para demostrar lo facil que es hacer una contraseña segura calcularon esta tabla con una aproximación de lo que tardaría un cracker en encontrar una contraseña por medio de un atque de fuerza bruta usando una PC y una conexión promedio.

pass crack

Noten la diferencia entre el tiempo cuando se usan unicamente caracteres alfanuméricos contra aquellas contraseñas donde se usan caracteres especiales, aún me sorprende cuando en algún sitio no se te permite usarlos.


Ataques DoS ilegales en Suecia

Escrito por Oscar Alcalá. 20 de February de 2007
Etiquetas: Hackers, Seguridad

Hace unos meses, cuando los servidores de The Pirate Bay fueran tomados por la policía sueca las autoridades de aquel país sufrieron algunos de los peores ataques recordados de Denial of Service en sus sitios.

Si esto tuvo algo que ver o no con el caso de TPB no es comprobable pero puso seguro fue una de las razones por las que están por aprobar una nueva ley que hace ilegales estos ataques condenándolos con hasta 2 años de prisión.

Un ataque de Denial of Service o DoS para abreviar, es cuando se evita de algún modo que los usuarios puedan acceder a los recursos de algún servidor, hay varios métodos en los que se lograr esto como sobresaturar la máquina de información, obligarla a hacer peticiones a si misma hasta que se quiebre, etc.

El problema que tendrá la policía sueca es que la mayoría de los ataque seguramente no fueron iniciados desde dentro del país por lo que les será imposible juzgar a alguién, ya veremos que tanto éxito tienen con esto y si alguién más les sigue.

(vía the local)





Google hacking a diputados.gob.mx

Escrito por Oscar Alcalá. 2 de February de 2007
Etiquetas: Seguridad

diputados

¿Quieren ver que clase de administradores de sistemas pagan sus impuestos? A alguien se le ocurrio que sería divertido buscar vulnerabilidades en diputados.gob.mx, sitio oficial de la cámara de diputados y para esto usó una técnica sencilla pero ingeniosa que muchos llaman Google Hacking que se basa en hacer búsquedas de archivos compartidos en el servidor que se les ocurrió dejar por accidente y sin protección haciendo solo un par de busquedas vía Google.

Tal fue la suerte de este tipo que se encontró con una infinidad de archivos en el servidor que la gente de sistemas había estado usando para divertirse. Entre todo esto encontró mucha música, juegos, DVDs completos y por supuesto algo de pr0n. Esto no es la peor parte, si tuvieramos acceso al ancho de banda que tienen ellos probablemente hariamos lo mismo, la parte grave es que también estaban al descubierto respaldos del sitio, contraseñas de los sistemas, las bases de datos, y otros archivos sensibles.

Al momento de escribir este post parece que ya se enteraron y borraron / movieron las carpetas o al menos las protegieron. Pueden encontrar algunas capturas en el blog de g30rg3. El tema original en el foro donde fue publicado esto por primera vez ya fue eliminado también pero pueden encontrarlo en el cache de Google.


Inseguridad en el sitio Bancomer

Escrito por Oscar Alcalá. 28 de November de 2006
Etiquetas: Negocios, Seguridad

Vía linuxman me encuentro con esta tremenda falla en la seguridad del sistema de banca en linea de Bancomer. Si hay un lugar donde no me gustaría saber de fallas de seguridad es en mi banco, afortunadamente no tengo cuenta ahí.

Esto es lo que Bancomer está promoviendo en la página principal de su sitio web:

bancomer seg1

Interesante que utilicen “nueva tecnología” que seguramente les costó millones para que navegues más seguro. Pero de que demonios me sirve si comenten errores tan básicos como pasar el número de la tarjeta de crédito por GET!!!

bancomer seg2

Lo primero que aprendes cuando empiezas a desarrollar aplicaciones para web es que en términos de seguridad POST es mayor a GET, les explico un poco.

Cuando envías un formulario hay 2 métodos para pasar la información: GET y POST, las variables que envías usando GET se pueden ver en la dirección como sucede en el caso de bancomer, lo cual obviamente deja a la vista los datos. Las que pasas por POST son invisibles por decirlo de alguna manera, ademas de que tienes el plus de que las aplicaciones no suelen recibir datos por POST que no vengan de un formulario localizado en el mismo sitio, gracias a esto, falsificar la información se vuelve más complicado.

Aún peor, las direcciones se quedan guardadas en el historial por lo que un usuario que llegue despues que tú puede ver el número de la tarjeta que ingresaste sin ningún problema. Por si esto no fuera suficiente la información no es enviada por una conexión segura, al menos no de inicio.

Si bien es cierto que hay más pasos de seguridad en el sistema de bancomer no hay justificación para dejar los números de la tarjeta a la vista de todo mundo.


Como accesar información importante desde un cibercafe sin revelar tu password

Escrito por Oscar Alcalá. 24 de November de 2006
Etiquetas: Seguridad, Tips

De vez en cuando nos vemos en la necesidad de utilizar un cibercafe para enviar algún correo rápido o buscar algo de información verdaderamente necesaria, el problema es que estos lugares son públicos y por lo tanto es poco seguro que uses tus contraseñas ya que hay posibilidades de que alguién haya dejado instalado un keylogger, un programa que copia cada letra que escribes en el teclado en un archivo de texto y la envía a quien sea que lo haya instalado con el fin de robar contraseñas, es por esta razón que nunca es recomendable usar tus passwords en una PC pública.

Si de verdad es urgente que accedas a algún sitio haciendo uso de tu contraseña desde una cafe internet o cualquier PC pública hay un sencillo truco con el que dormirás tranquilo si eres tan paranóico como yo. Basicamente aprovecha la principal característica y sencillez de estos programas para burlarlos lo cual es genial, lo que debes hacer es lo siguiente:

  • Accesa el sitio en cuestíon
  • Ingresa tu nombre de usuario
  • Pon el cursor en cualquier parte de la pantalla (se me ocurre la barra de direcciones o de busqueda) y escribe letras sin sentido (i.e. poqnvagh)
  • Regresa al campo de la contraseña y teclea la primera letra de esta
  • Vuelve a poner el cursor en otro lugar e ingresa más caracteres al azar
  • Regresa al campo del password e ingresa la segunda letra.
  • Creo que el resto se entiende

Lo que provocas al hacer esto es que el log generado por el keylogger en lugar de tener algo como lo siguiente:

www.gmail.comjuanperez@gmail.commipass

termine con algo imposible de leerse (obviamente sin las negritas)

www.gmail.comjuanperez@gmail.comabhaavamavavcaviavbahvpaavaannkss

El nivel de veces que quieras repertirlo depende de ti pero recuerda que por cada caracter aumentas exponencialmente la dificultad de un ataque. Si eres aún más paranoico puedes hacer lo mismo con el nombre de usuario. La idea es tomada de este documento [pdf]

El método no garantiza seguridad al 100% pero es mejor que nada.


Los iPod también incluyen virus de regalo

Escrito por Oscar Alcalá. 20 de October de 2006
Etiquetas: Apple, Seguridad, iPod

ipod 55Apple anunció hoy que han detectado más de 25 casos de iPods que incluyen una variante del virus RavMonE.exe en las unidades vendidad desde principios de Septiembre de este año. Solo el 1% de los iPod producidos durante este periodo está infectado de acuerdo con la compañía.

La peligrosidad del gusano es baja y cualquier antivirus podrá acabar pronto con el, obviamente solo afecta máquinas con Windows.

Steve Jobs aprovechó para culpar a Microsoft por no tener mejores políticas de protección mientras que asegura que el responsable de todo esto es la compañía que se encarga de la manufactura de los reproductores.

Apple asegura que ya todo está bajo control y que las nuevas unidades producidas están limpias del problema


Hello Kitty explosiva

Escrito por Oscar Alcalá. 10 de October de 2006
Etiquetas: Gadgets, Seguridad

hellokittyexplode 01

Sony no es la única compañía que hace armas de destrucción masiva sin intentarlo, la compañía japonesa Takara fue obligada a hacer un llamado de devolución de productos cuando se descubrió que una de sus muñecas hello kitty podría explotar en cualquier momento.

El juguete incluye un disco que emite microondas y que va escondido en el interior para que emita calor y mantenga a los niños sin frio. El problema es que también contiene una substancia que no se lleva bien con las altas temperaturas y que en cualquier momento puede causar combustión, lo cual es especialmente peligroso si consideramos que estas cosas están hechas para mantenerlas cerca del cuerpo.

Quien dijo que hello kitty no era un riesgo para la salud?

(vía hiptechblog)