InfoSecMan Blog

Hace ya tiempo que estas dos palabras no deberían ir asociadas, ya que la seguridad que aporta WEP a una conexión inalámbrica es muy básica.

Regreso de mis días en la montaña y me encuentro con un post de Bruce Schneier en el que hace referencia a un artículo recién publicado que presenta una mejora en el método de ataque contra WEP: “Breaking 104 bit WEP in less than 60 seconds”. Efectivamente, el nuevo método permite obtener la clave WEP en 1 minuto aproximadamente.

Técnicamente ya supongo que todos teníamos claro que en ningún caso se justifica mantener un cifrado tan “blando” en ningún entorno, sin embargo siguen existiendo, y siguen estando implementadas soluciones así. Mi recomendación es que este artículo, en realidad su título, sea utilizado como arma a esgrimir en vuestras justificaciones ante clientes, alta dirección o cualquier otro interlocutor al que debáis “convencer” de lo obvio: no utilice WEP en su red.

Como siempre, Raúl Siles ha puesto un par de posts muy interesantes en su Blog compartido, RaDaJo, sobre este asunto (incluye capturas y paso a paso de la prueba de este nuevo método de ataque):

– What else do you need not to use WEP anymore?
– Breaking 40-bit WEP in less than 30 seconds?

Bonito título que pienso desarrollar en alguna ponencia próxima 😉 Lo cierto es que leemos cada vez más noticias de fraudes en línea, estafadores en Internet, fuentes de spam, y bla bla bla… Y es que el perfil de los “defraudadores”, permitidme que en adelante los llame “timadores”, ha cambiado mucho en los últimos tiempos en este mundo de las tecnologías de la información y las comunicaciones.

Estamos asistiendo a la incursión de las mafias en el mundo del fraude electrónico. Todo evoluciona, y el “crimen organizado” también. Ya son conocidos multitud de casos de organizaciones que compran “exploits”, accesos ilegales a sistemas, información “confidencial”, etc. o contratan a “expertos” para desarrollar utilidades que les permitan realizar algún tipo de timo.

Los pobres trileros se están quedando atrás. Lo mismo ocurre con el tejido empresarial: las grandes empresas comienzan a implantar grandes planes de seguridad, medidas tecnológicas, etc. mientras que las PYMEs apenas son conscientes de todos los “peligros” que acechan (no digamos ya los usuarios “de a pie”).

Es la evolución lógica, aquellos con más recursos pueden evolucionar primero. Creo que no tardaremos mucho en ver la “evolución” de los trileros a timadores en línea de “poca monta”. Personas que aprovecharán las facilidades de Internet y las vulnerabilidades más sencillas (empezando por las personales, ya lo sabéis) para obtener botines de poca cuantía. De hecho, estoy seguro que esto ya está ocurriendo en la actualidad.

¿Con qué término acuñaremos ahora al “julay”? ¿y a los “ganchos”? ¿y el “pringao”? (este último probablemente mantenga su denominación) 😉

Sirva como introducción esta pequeña recopilación de timos efectuada por la policía de Cambrils. Estoy seguro que muchos de vosotros identificaréis más de una evolución en alguno de ellos 🙂 … el timo del tocomocho, el de la estampita, el del Nazareno, el de la lotería, el de la Biblia…

¡Qué grandes ingenieros sociales los timadores! 😉

No. Hoy no voy a ponerme a hablar sobre la importancia de la continuidad de negocio, los planes de contingencia, las pruebas periódicas, etc. No al menos refiriéndome a la empresas y organizaciones.

Hoy toca algo sobre seguridad “personal”. Y es que hoy en día muchos llevamos con nosotros una gran cantidad de información, dispositivos, medios de pago, etc. que ante una pérdida o robo, harían tambalearse la continuidad “de nuestro negocio”, o si lo preferís, de nuestra economía o integridad personal.

¿Cuántos tenemos preparado algún mecanismo de contingencia ante… la pérdida de nuestra cartera, por ejemplo? ¿y de nuestra PDA? ¿el teléfono móvil? Eso sí que es un troyano recolector de información…

Para los amantes de la ingeniería social voy a comentar ahora qué llevo hoy conmigo (ya podéis empezar a investigar, hacer elocubraciones, etc. ;)):

Cartera que contiene:
– 4 tarjetas de crédito
– 1 tarjeta ciudadana (me identifica ante mi Ayuntamiento y me da acceso a distintos servicios)
– 1 tarjeta de fidelización de una conocida compañía aérea
– 1 tarjeta de acceso al edificio corporativo
– 1 Tarjeta de códigos de mi banco
– Mi eDNI
– Mi carnet de conducir
– Mi tarjeta de la Seguridad Social
– Fotos de mi esposa y mi hija
– Tarjetas de visita profesionales
– Una copia de la tarjeta de la Seguridad Social de mi hija
– Carnet de Donante de Organos
– Algo de dinero

Además llevo conmigo: – 1 smartphone, con toda mi agenda personal y profesional, mis próximas citas y las que he tenido en el último año, anotaciones personales y profesionales, fotos y otra información privada
– 1 teléfono móvil (sí, llevo dos)
– Llaves de mi casa (incluido garaje, trastero, etc.)
– Llaves de mi coche

Hace ya tiempo que tengo pendiente la tarea de hacer un “plan de contingencia personal”, porque como muchos supondréis el perder esa información puede tener consecuencias fatales para mí (en el mejor de los casos varios dís anulando tarjetas, expidiendo nuevas, etc. etc.).

Con este post, al menos he hecho la primera fase: identificación de activos… y creo que voy a saltarme la de identificación de amenazas y vulnerabilidades pasando directamente a la de gestión del riesgo e implantación de controles de salvaguarda 😉

Mmm… se habla mucho de seguridad corporativa, pero quizás habría que empezar a pensar tambien en la seguridad “personal” o “individual”. Creo que voy a darle una pensada a este tema, quizás merezca la pena. ¿Qué os parece?

Mientras tanto, como primera medida básica y “ramplona” voy a anotar en una hoja que pondré a buen recaudo los números de todas las tarjetas y teléfonos de sus centros de atención 24h… y recomendaría que hiciéseis lo mismo 😉

Max Moser, fundador de Remote Exploit, ha publicado un artículo muy interesante en el que demuestra que es relativamente sencillo “esnifar” Bluetooth convirtiendo un adaptador (dongle) Bluetooth en un sniffer avanzado, utilizando únicamente software.

El artículo es muy cortito (2 páginas) por lo que en lugar de resumirlo, mejor leedlo vosotros mismos: Busting The Bluetooth® Myth – Getting RAW Access (aka “Transforming a consumer Bluetooth® Dongle into a Bluetooth® Sniffer”)

Hace ya tiempo que me preocupa el tema del Bluetooth. Todo comenzó con el conocido (y por el momento no peligroso) Cabir, un “gusano” graciosillo que te muestra el mensaje “Caribe” cada vez que el móvil se enciende.

Por el momento es lo único que ha trascendido de aprovechamiento de esta tecnología, y la verdad no es mucho. Pero elocubrando, ¿os imagináis lo que pasaría si alguna mente avispada desarrollase algo en ese sentido maliciosamente que tomase alguna acción “delicada” (captura de datos, envío de mensajes, llamadas…)?

¿Y si ese nuevo “gusano” se lanzase en uno de los aeropuertos con m´s tráfico del mundo? ¿Cuánto tardaría en extenderse a distintos países, organizaciones, etc.? Tened en cuenta el perfil de las personas que viajan en esos aeropuertos.

Lo más curioso, además de la vulnerabilidad en la tecnología sería que se trataría de un “virus” cuya propagación seguirín un patrón tradicional, es decir, por “contacto”, sin necesidad de ninguna red, “a través del aire”, como la gripe…

¿tienes el Bluetooth activado? 😉

Leyendo hoy el interesante artículo de Tim Wilson “Eight Faces of a Hacker” (Ocho caras de un hacker) en el que comenta en resumen que la mejor forma de combatir a tu “enemigo” es conocerlo a la vez que describe distintos perfiles (que ya se han comentado otras veces en distintos medios) de los conocidos como “Hackers”, recordaba la última presentación de Jeimy Cano a la que pude asistir.

Además de excelente ponente, Jeimy realiza siempre una aproximación a los temas distinta, creativa y muy interesante. Fue en esta ocasión en el Primer Congreso Iberoamericano de Desarrollo y Seguridad de la Información (CAPSDESI) donde presentó su ponencia “La Mente de un Hacker: Consideraciones Técnicas y Psicológicas” (puedes descargar su presentación aquí), en la que describió de forma clara, amena y enlazándola con su “corriente de pensamiento de la inseguridad 😉 ” un enfoque muy acertado de esas personas que tanto dan que hablar.

Si tenéis oportunidad de asistir a alguna ponencia de Jeimy Cano, no os las perdáis, merecen la pena (tanto técnicamente como por sus capacidades como ponente) 🙂

Mucho se habla últimamente sobre el Spam, el phising y otros fenómenos similares. Leo hoy en Kriptopolis un artículo sobre el “origen del Spam”, y ya que es viernes, y gracias a mi gran amigo Nacho, incluyo a continuación el orígen real del término Spam (cito textualmente el mensaje de Nacho):

Spam es (era) un tipo de carne enlatada de mala calidad (imagina un bloque de carne de cerdo prensada y sacado de una lata).

Lo que yo no sabía es que la relación entre esa palabra y el correo no deseado, según parece, viene de este video de los Monty Python:

¡Buen fin de semana! 😉

Me entero de la mano de Raúl Siles (excelente profesional con el que he tenido la oportunidad de compartir distintos eventos), de una muy buena recopilación sobre herramientas de seguridad en Voz sobre IP.

En su último post en el blog RaDaJo (recomiendo su lectura), hace referencia a unos cuantos recursos muy interesantes relativos a la seguridad en la tecnología de Voz sobre IP (herramientas, documentos, presentaciones, etc.). Creo que este es un campo que va a dar muchísimo que hablar y que deberíamos seguir muy de cerca.

Aprovecho desde aquí para recomendar tanto su Blog (compartido con David y Jorge) como su página personal desde podréis encontrar un montón de recursos interesantes sobre seguridad de la información (un abrazo, Raúl).

Excelente artículo el de SecurityMonkey sobre por qué la mayoría de las presentaciones sobre seguridad siguen siendo tan malas y aburridas.

Aborda el tema con un tono muy “jocoso” y como se suele decir, expone “verdades como puños” 😉 . Las recomendaciones que hace son obvias, pero todas ellas ciertas.

No os lo perdáis: artículo completo aquí.

En mis numerosos viajes a Madrid suelo alojarme casi siempre en el mismo hotel (yo lo llamo mi segunda casa 😉 ). Este hotel está situado justo enfrente del edificio de oficinas centrales de un conocido banco internacional. Cuando llego al hotel suelo estar lo bastante cansado como para intentar no trabajar (al menos demasiado), por lo que a veces me asomo a la ventana a respirar algo de aire fresco y refrescar mi vista.

Curiosamente, no logro desconectar lo suficiente, ya que mis vista suele quedarse siempre fija en esas oficinas del banco. Se trata de un edificio acristalado con ventanas totalmente transparentes que dejan ver total y claramente todo el interior de las instalaciones. Sigo mirando y veo los distintos puestos, despachos, puedo ver quién trabaja hasta tarde o qué puestos suelen quedar conectados (todo esto en no más de 10 o 15 minutos cada vez que estoy aquí). Y lo que es peor, puedo ver clara y nítidamente un buen número de las pantallas de esas instalaciones: todos los puestos que dan a la ventana tienen la pantalla orientada hacia la misma lo que, sin prácticamente ningún esfuerzo me permitiría ver (o grabar) las actividades de los usuarios de esos puestos.

¿Ficción o realidad? Todos lo hemos visto en distintas películas, ¿verdad? Una vez más volvemos al mismo tema recurrente. De qué nos sirven los mejores firewalls, IPS, tokens de autenticación, etc. cuando un “fisgón” puede descubrir sin casi ningún esfuerzo información crítica para la organización. ¿No se le ha ocurrido a ningún profesional de esa organización una medida tan sencilla como girar levemente los monitores? Probablemente sí, pero le habrá parecido una “tontería”.

Lo curioso es que no es en absoluto un caso aislado. Fijaos a partir de hoy (si no lo habéis hecho ya) en las oficinas bancarias y financieras cuando vayáis paseando. Os sorprenderéis al descubrir cuantos puestos de usuario (habitualmente
los de usuarios de mayor nivel, directores, etc.) “dan la espalda a la calle” ofreciendo como libro abierto su pantalla…

Mirad por encima del hombro, quizás alguien esté “fisgoneando” lo que escribes, por dónde navegas… (efectivamente, soy un cotilla 😉 )

El Instituto SANS saca ya a la luz su nueva certificación orientada a los desarrolladores GIAC Secure Software Programmer. Su objetivo será formar a los programadores para evitar aquellos fallos que habitualmente dan origen a problemas y vulnerabilidades de seguridad.

Habí venido siguiendo la iniciativa através de su Advisory Board, del que soy miembro y me parece una iniciativa excelente. Muchas de las vulnerabilidades y problemas de seguridad existentes se deben a una deficiente formación de los desarrolladores en el campo de la seguridad, lo que hace que por desconocimiento, creen situaciones que provocan grandes pérdidas y noticias en los medios (no sólo los pobres desarrolladores, claro, sino la falta de inclusión de la seguridad como un requisito más en el desarrollo de una solución).

La iniciativa está apoyada y soportada por diversos fabricantes entre los que podemos mencionar a Juniper, Symantec, Mitre o Tata, entre otros.

Amplía la información sobre SANS y GIAC.