Archive for category Seguridad

Phishing a la carta

Me alucina que páginas como estas sigan existiendo… En teoría, lanzan “xploits” para obtener las contraseñas de cuentas de correo, redes sociales etc. En realidad no son más que phishings dirigidos, bajo demanda.

http://www.cod3g.com

http://www.lanzadorx.com/

http://www.parchados.com/

Este último es especialmente curioso. Antes de poder “acceder a la aplicación”, te obligan a hacerles publicidad gratuita en Facebook: http://www.clavesfacebook.blogspot.com/

Me imagino que habrá miles de páginas similares a estas, pero me sorprende que algunas de ellas hayan sobrevivido tanto tiempo basando su negocio en algo que al menos en España puede constituir un delito con penas de cárcel.

 

 

No Comments

WhatsApp, Viber y comodidad vs privacidad

Hace ya unas cuantas semanas que me instalé WhatsApp. En todas partes lo describían como “SMS gratis”. Yo no terminaba de verle el atractivo o la ventaja más allá de una red de mensajería instantánea con mensajes offline, hasta que lo instalé. La funcionalidad única que lo hace realmente útil es que tu identificador es tu número de teléfono. Así de simple, y así de cómodo. Todos tus contactos del teléfono que utilizan la aplicación están automáticamente disponibles.

En un mundo ideal esta aplicación no tendría sentido, porque la gente utilizaría vCards para almacenar y transferir los contactos, que deberían incluir la dirección de correo electrónico y de mensajería instantánea, que por supuesto sería un identificador Jabber. Todas las redes de IM estarían interconectadas y se podría utilizar cualquier cliente para hablar con cualquier persona en cualquier red y … Uy, perdón, ya he vuelto, es que a veces se me va la cabeza.

Lo cierto es que la realidad no es como me gustaría (al menos en esto…), así que me la descargué. Pero tengo la mala costumbre de querer saber a quién vendo mi alma y en qué términos, así que eché un vistazo a las condiciones legales del servicio, de las que he extraído las partes que me resultaron más interesantes:

B. In order to access and use the features of the Service, you acknowledge and agree that you will have to provide WhatsApp with your phone number, as well as the phone numbers of third parties whom you wish to use the Service with. When providing your phone number, you must provide accurate and complete information. You hereby give your express consent to WhatsApp to use the phone numbers you provide for use in providing you access and use of the Service. You may never use another person’s phone number without their permission.

La interpretación de sentido común es que no deberías suplantar a otras personas utilizando su número como identificador, aunque para eso está el sistema de envío de un SMS de confirmación (habría que estudiar la robustez del sistema…). Otra posible interpretación “legal” (ojo, que IANAL) sería que antes de empezar a usar la aplicación, tendríamos que preguntar primero a cada uno de los contactos de nuestra agenda si nos da permiso para darle su número a WhatsApp. Todos lo habéis hecho, ¿verdad? Me pregunto qué opinaría la Agencia Española de Protección de Datos sobre el asunto…

You must notify WhatsApp immediately of any breach of security or unauthorized use of your phone. Although WhatsApp will not be liable for your losses caused by any unauthorized use of your account, you may be liable for the losses of WhatsApp or others due to such unauthorized use.

Ya sabéis, si os roban el teléfono, nada de llamar primero a vuestra compañía de móvil para cancelar el contrato. Lo primero es llamar a WhatsApp!!! Y si no, preparaos para que os lancen su jauría de abogados por las pérdidas que les puedan ocasionar a ellos o a otros suplantando vuestra identidad.

We do not use your phone number or email address or other personally identifiable information to send commercial or marketing messages without your consent or except as part of a specific program or feature for which you will have the ability to opt-in or opt-out. We may, however, use your email address without further consent for non-marketing or administrative purposes (such as notifying you of major WhatsApp Site or WhatsApp Service changes or for customer service purposes)…

Bueno, no nos mandan publicidad, pero luego puede que sí… pero podemos renunciar a ella… No es ideal, pero es aceptable. Al menos con esta frase extraída de su FAQ me quedo más tranquilo:

Valoramos su privacidad y no hemos vendido, no vendemos ni venderemos nunca su información personal a nadie.

Venga, va, me lo creo. Vamos al tema de la propiedad sobre los contenidos que enviamos:

As clarified in the following section, you retain your ownership rights in your User Status Submissions. You understand that whether or not such User Status Submissions are published, WhatsApp does not guarantee any confidentiality with respect to any submissions

Bueno, la propiedad sigue siendo nuestra pero no se responsabilizan de la privacidad. De nuevo, no es ideal, pero es aceptable. Esta vez creo que la comodidad gana a la privacidad.

Pero no siempre es el caso. Otra aplicación que se ha puesto de moda entre los usuarios de smartphones: Viber. Lo mismo que WhatsApp, pero para hacer llamadas VoIP en lugar de enviar mensajes. Su política de privacidad y su origen han despertado bastantes sospechas, y gracias a ello han tenido que dar explicaciones y modificar su política. Por suerte o por desgracia, como sólo está disponible para iPhone, de momento no tengo que preocuparme de si la instalo o no…

, , , , ,

4 Comments

Certified Information Systems Security Auditor

Pues para no perder las buenas costumbres, le contaré a quien quiera que lea esto, que este año (bueno, técnicamente fue en diciembre de 2009) he aprobado el examen para la certificación CISA (Certified Information Systems Auditor) de ISACA. Para esta ya he cumplido los requisitos de experiencia, así que si todo va bien debería estar certificado en breve (si el ajetreo en el trabajo me permite mandar de una vez la solicitud, claro).

La certificación es menos técnica que el CISSP, y menos específica de seguridad, pero es muy conocida en el sector y bastante valorada. O eso quiero creer 😛

Sobre el examen, para el que haya llegado hasta aquí en busca de ayuda… no puedo aportar mucho. Tiene el mismo formato de test que CISSP, aunque es bastante más corto. En cuanto a la traducción, me pareció muchísimo peor que la de (ISC)2, y además en este caso no te entregan la versión original para resolver las posibles dudas, así que evaluad muy bien si preferís hacerlo en inglés o en castellano.

Como consejo, simplemente os pongo lo que solíamos decir durante el curso de preparación y las pocas semanas de estudio: “Be ISACA, my friend”. O lo que es lo mismo: intenta pensar a la manera de ISACA, no siempre apliques lo que te parece más lógico. Y a veces puede parecer muy complicado!

Este año voy a por la GCFA (GIAC Certified Forensics Analyzer) del SANS. A ver si sigue la racha…

, , , ,

No Comments

Conspiranoia sobre el defacement de Promusicae

Update: he añadido la respuesta de gallir y mi réplica.

Publico aquí mi comentario al post de Ricardo Galli sobre sus dudas sobre el deface de Promusicae.

Me dedico a la seguridad y la entrada me parece un poco conspiranoica.
“¿podemos estar seguros que fue un deface externo? No.” Me parece una afirmación interesada, porque tampoco podemos estar seguros de que ningún deface sea externo si no tenemos acceso a los logs (y ni aun así…).

Sobre los “script preparados para atacar”, no son necesarios exploits si tienes una buena herramienta de auditoría web (las hay, y libres) y sabes usarla contra una vulnerabilidad de file upload o cualquier otra que te permita subir ficheros. Además, se pueden subir ficheros explotando el servidor, y no la aplicación web (y ese no creo que sea un sistema propietario (bueno… IIS es propietario, pero me se entiende, no? :-P)

Sobre el tiempo de respuesta, no me parece exagerado. No creo que Promusicae tenga su propio equipo de desarrollo web y/o administración de sistemas. Entre que te enteras, hablas con el proveedor y con los desarrolladores, pueden pasar varias horas.

Yo también apoyo el manifiesto y creo que esta acción, aunque puede “hacernos gracia”, es perjudicial para la imagen del “movimiento”. Pero hay mucha gente que seguro que no piensa así. Hoy en día ya no se ven grupos en la escena hacker española haciendo defacements y reclamando autoría en Zone-h. Hay gente muy buena, pero se dedican profesionalmente a la seguridad y me cuadra que alguno decida pasar a la acción de forma totalmente anónima. Nadie quiere ir a la cárcel y la motivación ideológica puede ser suficiente con todo este jaleo.

En conclusión, ¿podría ser un “inside job”? Perfectamente. ¿Hay indicios razonables para pensar que lo fue? IMHO, no lo creo.

La respuesta de Ricardo Galli no se hizo esperar:

@Morgg

En los medios (están los enlaces en el apunte) salieron acusaciones de Promusicae culpando a los organizadores del manifiesto.

Te repito la pregunta ¿estás seguro que no han sido ellos ni algún “amigo”? Además en El País salió que necesitaron dos horas, me consta que ha sido menos de una hora.

> ¿Hay indicios razonables para pensar que lo fue? IMHO, no lo creo.

Yo lo que no veo son indicios fuertes que haya sido cosa de un “hax0r”, y hemos visto a Promusicae hacer y mentir en cosas peores. Así que antes de nada, pongo en dudas de quién lo ha hecho, porque lo han usado muy rápidamente a su favor.

PS: El servidor es una Apache + PHP, si tuvo problemas de vulnerabilidades demasiado rápido han hecho la “auditoria” (menos de una hora entre que lo han parado 23:55 hs +- hasta que estuvo en marcha otra vez, antes de las 01:00 h)

Y mi consiguiente réplica:

@gallir

Está claro que los de Promusicae van a intentar aprovecharlo, tanto si fueron ellos como si no.

Entiendo tus dudas y nada de lo que dices es falso.

Repites la pregunta, y yo repito la respuesta: No, no estoy seguro. Y tampoco de lo contrario. Cuidado con sacar la conclusión de que “si no puedes demostrar que no han sido ellos, es que han sido ellos”. (p=>q no implica -p=>-q)

Tú no lo haces, sólo planteas las dudas, pero habrá gente menos razonable que utilice tu post para justificarse en sus afirmaciones de que “han sido ellos”

Simplemente me parece que el post está más completo con otro punto de vista, que no necesariamente es el acertado (larga vida a los comentarios :-) . Que el lector extraiga conclusiones.

Pues eso, a extraer conclusiones. La mía es que da gusto poder comentar y dialogar con los bloggers célebres de la red 🙂 Viva la web2.0.

, , ,

No Comments

El comercio por internet es inseguro…

… sobre todo si no utilizas la tecnología disponible para hacer que sea seguro. Hoy, como parte de las gestiones para reservar alojamiento para nuestras vacaciones en escandinavia, me un e-mail que incluye esto:

To make this booking please write back to us with your credit card number and expiry date (Visa (not electron), Bankcard or Mastercard) and your arrival time.
We do not make any booking until we receive all details and send you a confirmation email with a reference number.

¿A quién le preocupan los ataques a SSL cuando se envían los datos sensibles por correo electrónico sin cifrar, y a una dirección que no puedes verificar?

, , ,

No Comments

Associate of (ISC)2

Una buena noticia para inagurar el blog (aparte del inevitable “Hola mundo”): hoy he recibido el resultado del examen que hice para la certificación CISSP (Certified Information Systems Security Professional) y ¡¡¡he aprobado!!!.

Aún no soy un CISSP de pleno derecho porque no cumplo los requisitos de experiencia que exige (ISC)2, así que como premio de consolación accedo al estátus de Associate of (ISC)2, a la espera de alcanzar los años de experiencia que piden. No obstante, lo más complicado está hecho, ahora sólo es cuestión de tiempo. Es un examen difícil y una certificación importante para alguien que se dedica a la seguridad de la información como yo, pero me he quedado con un regusto agridulce.

¿Que por qué? Bueno, digamos que los resultados de los compañeros que hicieron el examen conmigo me han sorprendido. Algunos de los que en mi opinión lo merecerían tanto o más que los que hemos aprobado, se han quedado a las puertas, y me parece un poco injusto. No soy el único al que todo esto le ha hecho dudar en cierta medida de la justicia o la validez de esta forma de evaluación, descartando por supuesto cualquier tipo de favoritismo o amaño en una certificación de este nivel.

En cualquier caso, no puedo hacer más que dar la enhorabuena a los premiados y transmitir mi solidaridad con los que se han quedado a las puertas. Es posible que alguno esté pensando unirse a este grupo de LinkedIn, que no deja de tener cierta razón en su planteamiento…

, , ,

No Comments