LATEST ARTICLES

diciembre 1st 2012

datoseguro.gob.ec su vulnerabilidad y el hacking etico

by admin in Seguridad Informática     tags: ,       4 Comments
Número de lecturas: 2665
{lang: 'es-419'}

He visto que han llevado a prision a @paulcoyote por hacer publico una vulnerabilidad que permite aun atacante suplantar la identidad de otro usuario.

Por supuesto no me alegra el mal de nadie es más espero que pronto salga de prisión pero no voy a justificar su acción la cuál no fue ética y el hacking no funciona asi, no se trata de hacer quedar mal a otros se busca el bien para todos si se detecto ese error habria que reportarlo primero a los interesados en este caso el dinardap.

No hablo de memoria hablo porque asi actue yo.

El día 7 de marzo fue el lanzamiento de datoseguro.gob.ec revise el funcionamiento de la  plataforma la cuál resulta muy útil pero detecte la vulnerabilidad en ese momento envie este mail con fecha 15 de junio:

La respuesta que recibí fue la siguiente:

Realmente pensé que lo iban a tomar en serio o que iban a corregir lastimosamente viendo este problema me doy cuenta que no.

El hecho de conocer el error, no nos da la facultad de publicar el mismo, si todavía NO ESTA CORREGIDO.

Primero ética, talvez si el lo hubiera reportado ya no solo era una persona hubiéramos sido 2, 3, 10 personas, lo cuál hubiera generado la preocupación y la necesidad de generar un cambio.

Me parece muy de pelicula el hashtag de #LiberenaPaulCoyote pero al leer que lo inicio su hijo por la desesperación del problema de su padre lo respeto.

Debemos estar claros que existe el problema pero no se puede divulgarlo por llamar la atención existen buenas prácticas y las mismas siempre indican que ante todo esta la ética.

Porque doy detalles al respecto? Lo hago porque en este post ya se hizo publico por parte de @paulcoyote

http://quefarras.com/blog/2012/11/dato-seguro-es-inseguro/

http://www.ecualug.org/?q=20121126/blog/paulcoyote/wwwdatosegurogobec_no_es_seguro

Espero que con todos estos detalles quede claro como actuar si bien yo puedo conocer errores de bancos, instituciones de estado, ministerios, etc siempre habido un e-mail o reuniones de trabajo de mi parte para alertarlos y animarlos a corregirlos lógicamente esta forma de actuar me ha representado buenas oportunidades de trabajo para poder apoyar a corregir los mismos.

Uno decide ser: “Famoso o tristemente celebre” es nuestra decisión.

————————-

Que fallo??

Tener presentes reglas básicas de la seguridad de la información:

http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n

Cual de estas fallo? fue la autenticación:

Autenticación o autentificación

Es la propiedad que me permite identificar el generador de la información. Por ejemplo al recibir un mensaje de alguien, estar seguro que es de ese alguien el que lo ha mandado, y no una tercera persona haciéndose pasar por la otra (suplantación de indentidad). En un sistema informático se suele conseguir este factor con el uso de cuentas de usuario y contraseñas de acceso.

Soluciones:

Implementar un nuevo mecanismo para validar que el usuario es quien dice ser:

- Una verificación para la entrega de claves en la institución como sucede en el IESS

- Trabajar con la misma clave que genera el SRI la cuál es un trámite personal el momento de sacar el RUC

 

Pueden existir muchas otras opciones estas son solo sugerencias.

Hay que recordar que ningún sistema es 100% seguro y que el eslabón más débil siempre es el usuario.

 

 

 

 

noviembre 29th 2012

Cambiar botones a la derecha en las ventanas – Ubuntu

by admin in GNU/Linux, Ubuntu     tags: ,       1 Comment
Número de lecturas: 2269
{lang: 'es-419'}

Estas acostumbrado a ver los botones de minimizar,maximizar y cerrar en la zona derecha de las ventanas y luego resulta que en Ubuntu están a la izquierda, ¿te molesta?, no pasa nada intentemos arreglarlo.

Se debe instalar:

sudo apt-get install gconf-editor

Lo primero que tenemos que hacer es ejecutar en la terminal:

gconf-editor

A continuación nos aparecerá una ventana donde podremos cambiar algunas configuraciones predeterminadas.

Bien,ahora vamos a “apps/metacity/general” y en “button_layout” cambiamos lo que ponga por menu:minimize,maximize,close.

Ahora guardamos los cambios y tendremos los botones a la derecha de las ventanas, aunque, podemos cambiar el orden de los botones. Por ejemplo:

menu:maximize,close,minimize (maximizar,cerrar,minimizar)
menu:maximize,minimize,close (maximizar,minimizar,cerrar)
menu:minimize,close,maximize (minimizar,cerrar,maximizar)
menu:close,maximize,minimize (cerrar,maximizar,minimizar)
menu:close,minimize,maximize (cerrar,minimizar,maximizar)
Fuente:
investigandoubuntu.com
noviembre 28th 2012

Gmail integra Google Drive para enviar archivos de gran tamaño y compartirlos cómodamente con varias personas

by admin in google, google drive     tags: ,       No Comment
Número de lecturas: 1470
{lang: 'es-419'}

Google Drive no se diferencia mucho de DropBox en lo que almacenar y compartir archivos se refiere (excepto por la flexibilidad añadida de la parte que heredó de Google Docs para crear y editar documentos, claro), pero poco a poco se van desvelando ciertos detalles que hacen que los asiduos a Google tengan más motivos para usar Drive a diario. Como el de hoy: ahora podemos usar Google Drive para enviar un archivo adjunto sin salir de la interfaz de creación de un mensaje en Gmail.

Es decir: si antes íbamos a Gogle Drive para subir y/o seleccionar un archivo para después enviarlo como adjunto a un correo a una o varias personas, ahora podemos ir a Gmail y sencillamente “adjuntar” el archivo en un correo electrónico. La ventaja es que como el archivo se almacena en Drive no lo enviamos, sino que sencillamente lo compartimos. Podemos hacerlo con ficheros de hasta 10 GB.

Además la inclusión de estos archivos desde Drive es inteligente: si alguno de los destinatarios no tiene acceso al archivo, el propio Gmail nos avisa ofreciéndose para darle permisos a quien haga falta. Pasamos de enviar el archivo físicamente de un sitio a otro a simplemente compartirlo, pero con la sensación de estar enviándolo y con más comodidad. Y cómo no, todo perfectamente integrado exclusivamente en la nueva interfaz de composición de mensajes de Gmail estrenada hace pocos días (un buen modo de animar a la gente a que active esta nueva interfaz).

La característica se está propagando por todos los servidores, así que si todavía no la tenéis en vuestra cuenta de correo llegará a lo largo de unos días.

Vía | Blog oficial de Google

Fuente:

genbeta.com

noviembre 28th 2012

El truco de Gmail que pocos conocen: responder solo el texto seleccionado

by admin in gmail, google     tags: ,       No Comment
Número de lecturas: 1405
{lang: 'es-419'}

Si les envían un enorme email (en Gmail) con varios puntos y quieren responder solo parte del mismo, hay un truco que pueden usar, tan sencillo como útil, hay que seguir estos pasos:

1 – Seleccionar con el mouse el texto del email que deseáis contestar
2 – Apretar al botón responder

Listo, de esta forma el email que se enviará incluirá únicamente el texto seleccionado, ayudando a enfocar la conversación.

Una captura:

Fuente:

http://wwwhatsnew.com

noviembre 26th 2012

Defacement sitios web de gobierno – Ecuador

by admin in Seguridad Informática     tags:       No Comment
Número de lecturas: 1226
{lang: 'es-419'}

Con mucha sorpresa veo en las páginas de algunas ministerios han sufrido un defacement en su portada.

Se debe tomar en cuenta que las mismas están hechas en wordpress que para mi por largo es el mejor Manejador de Contenidos que existe por lo fácil que resulta utilizar para el usuario sin embargo para que tenga seguridad apropiada debe actualizar el core y sus plugins. A pesar de que se realice esta acción no resulta 100% seguro siempre puede quedar un “bug” y este puede ser el resultado de un ataque de este tipo.

Que he visto en este ataque, noticias que publican lo que ven al menos utilizando términos correctos y la dimensión que el ataque tiene (no compromete información).

http://www.elcomercio.com/politica/Webs-Gobierno-Ecuador-hackers-internet_0_817718264.html

Pero técnicamente que sucede???

Es el mismo error en cada sitio web lo que estamos viendo, todas las páginas son réplicas una de la otra solo varia el contenido según el ministerio que sea.

Ahora algo más interesante.

Cuando comenzó la bulla de este ataque calú publico esto:

El dominio evolucionarios.ec se compro hace unos pocos días

http://twitpic.com/bgpg8h

En esa imagen se pueden ver los nombres de las personas que lo compraron.

———————–

Ahora cuando uno visita la página:

http://evolucionarios.ec/evolucionarios/ Se puede observar la misma “E”

En la cache de google podemos observar que antes en el mismo dominio escribian algo diferente:

http://t.co/q78dQQ7b

Finalmente lo que más sorprende es que el “error” o ataque sigue observándose en los sitios web y nadie los puede quitar o inhabilitar hasta solucionarlo.

Actualización:

Todo se trato de una campaña al parecer: http://www.enteratecuador.com/archivos/16288 como se indica en el post era raro que nadie hacia nada, todos los nombres estaban a la vista y que un exelente manejador de contenidos potente sea vulnerado.

Sin embargo logro en parte su objetivo que era: “captar nuestra atención”.

 

 

noviembre 19th 2012

Salto de restricciones con “clickjacking” en Joomla!

by admin in Desarrollo web, PHP, Seguridad Informática     tags:       No Comment
Número de lecturas: 785
{lang: 'es-419'}

Ajay Singh Negi ha descubierto un problema de seguridad en Joomla! que podría permitir a un atacante eludir restricciones de seguridad y ataques de cross-site request forgery (CSRF) a través de la técnica del “clickjacking”

Joomla! es un sistema de gestión de contenidos o CMS, de código abierto y programado en su mayor parte en PHP. Es muy utilizado para la creación de portales y sitios web. La gran cantidad de extensiones existentes y su fácil integración con el sistema proporcionan un gran potencial a este CMS.
CSRF es una técnica que permitiría realizar peticiones HTTP sin una correcta validación. Por ejemplo, imaginemos que un usuario se encuentra validado en una página que necesita autenticación. Desde el navegador, visita otra web que esconde una petición HTTP hacia esa página que necesita validación. Esa petición HTTP, en forma de enlace, se carga por la víctima sin saberlo y realiza una acción sobre la página en la que se encuentra autenticada. Esto sería un fallo de CSRF por parte de la
página que necesita autenticación, puesto que no valida correctamente que las peticiones provengan de sus propia plataforma. Para impedir esto, las páginas suelen introducir un sistema de control que impide que una petición desde otra web sea válida. A su vez, para eludir esto, los atacantes utilizan técnicas como clickjacking (un término acuñado en 2008), que permite realizar ataques CSRF aunque se hayan implementado ciertas técnicas para evitarlo.

El clickjacking puede también ser usado para referirse a cualquier tipo de técnica que implique el que un usuario interactúe con una web creyendo que en realidad lo está haciendo con otra.

El problema es que Joomla! permite a cualquier usuario realizar acciones a través de peticiones HTTP que no son convenientemente validadas. Si un usuario visita un enlace especialmente manipulado hacia una plataforma Joomla!, se podrían realizar acciones sobre el portal y el atacante podría así eludir restricciones de seguridad. No se han dado más detalles sobre la vulnerabilidad, pero probablemente permitiría que un usuario suplantase a otro sin necesidad de conocer la contraseña.

Esta fallo se da en las versiones 2.5.7 y anteriores. Se ha solucionado en la versión 2.5.8 disponible desde www.joomla.org

Fuente:

hispasec.com

  1. Pages:
  3. 1
  4. 2
  5. 3
  6. 4
  7. 5
  8. 6
  9. 7
  10. 8
  11. ...
  12. 54