LATEST ARTICLES

enero 10th 2017

Las certificaciones en seguridad: formando las columnas del proyecto MESI

Número de lecturas: 865
{lang: 'es-419'}

Una investigación sobre la oferta de la enseñanza universitaria de seguridad de la información en España, realizada entre los años 2013 y 2014 dentro del proyecto MESI, entrega sus resultados a mediados de 2015. Entre otras publicaciones, esta revista recoge un breve análisis de aquellos datos. Un nuevo estudio, iniciado en este caso hace más de un año por María del Mar Martínez, se ha centrado en las certificaciones en seguridad de la información. Fruto de ello, se publica en septiembre de 2016 un informe sobre esta temática, del que se presenta un resumen en este artículo.

LAS COLUMNAS DEL PROYECTO MESI El proyecto MESI, Mapa de Enseñanza de la Seguridad de la Información, es una iniciativa de Criptored. Nace en diciembre de 2013 y tiene como objetivo a largo plazo, dotar de contenidos a un total de 7 columnas que forman su estructura, todas ellas relacionadas con la enseñanza y el desarrollo de la seguridad de la información.

  • LA NECESIDAD DE CERTIFICARSE EN SEGURIDAD
  • EMPRESAS Y ASOCIACIONES DE CERTIFICACIÓN
  • CLASIFICACIÓN DE LAS CERTIFICACIONES DE SEGURIDAD
  • PROFESIONALES CERTIFICADOS

Detalles de la noticia y la tesis en los documentos .pdf a continuación:

Download (PDF, 205KB)

Download (PDF, 2.17MB)

Fuente:

criptored.upm.es

enero 6th 2017

¿Confías en tu operador de internet? Puedo arreglar eso.

Número de lecturas: 1065
{lang: 'es-419'}

Hace unos meses me cambié de casa y como necesidad primordial, estaba el tener una conexión de internet, así que sin pensarlo mucho, llamé a mi operador de confianza (ya he tenido otros planes de internet con este Operador y me ha ido relativamente bien) para solicitar la instalación de mi nuevo servicio, cosa que ellos hicieron felizmente al día siguiente.

Los operadores de tienen un muy mal hábito, algunos dejan el nombre de la red como tu número telefónico (algo bastante notorio al escanear redes y también muy peligroso), otros ponen FAMILIA xxxx con tu apellido (cosa que tampoco me gusta mucho) y además, muchos pero muchos dejan las redes inalámbricas con cifrado WEP para la contraseña, para los que conocen del tema, saben que WEP es fácilmente crackeable y se recomienda usar mejor WPA2 con una buena contraseña, mi operador no dejó mi teléfono ni mi apellido, pero si me dejó la red inalámbrica con cifrado WEP, por lo que me decidí inmediatamente a cambiarla.
Aquí empezaron los problemas, los operadores no permiten que los usuarios accedan a sus router para cambiar la configuración, cuando se intenta acceder a la página del Gateway o no nos responde nada, o nos responde una pantalla de status sin opción de administración, este es igual el caso de mi router

Arriba lo que parecería como un menú de acceso a “Administración” es simplemente texto no clickeable, con esto el operador pretende que uno llame a soporte para solicitar los cambios a la red a través de ellos, operación que no solo me parece dispendiosa, sino también lenta porque el operador de soporte debe seguir su guión o simplemente no entiende lo que quieres hacer (con otro operador tuve yo mismo que guiar a la señorita que me atendía paso por paso para que pudiera realizar el cambio) así que me propuse a hacer el cambio yo mismo, al fin y al cabo ellos entran a administrar el router de forma remota, por lo que debe poderse tener acceso de alguna manera.

Lo primero que hice fue revisar el router para encontrar su referencia:


Siguiente paso, lo que todo experto en sistemas que se respete sabe hacer, Googlear, al hacerlo con los términos “TC7300 Technicolor” y el nombre del operador, me encontré con un blog que sin dar vueltas en el asunto me dio la respuesta, una respuesta que me llenó de terror (en un momento sabrás por que), he aquí un fragmento.


La referencia del router era distinta pero de la misma marca y operador (el cual censuré del recorte) y me causó curiosidad que el mencionara la necesidad de usar TOR, lo que el autor pedía era obtener mi ip externa con el navegador normal mediante un servicio como cualesmiip.com y luego accediera a esa dirección con el puerto 8080 desde TOR, decidí probarlo y he aquí el resultado:

¡¡¡Victoria cierto!!!!?, claro hace falta el usuario y contraseña, pero el router responde, desde mi IP externa, puerto 8080 y se identifica como Technicolor que es la marca, me pregunté que podría significar esto, ¿acaso el operador usa TOR para administrar los routers?, ¿acaso usan nodos TOR como los sitios .onion de la Deep Web?, y entonces, ¿cualquiera que tenga TOR puede acceder a mi router?

La realidad es mucho peor de lo que me imaginé, de entrada no creo que usen nodos TOR, pero entonces, porqué funciona, si accedo a esa dirección sin TOR, no abre ninguna página, como si no hubiera nada ahí, tampoco accediendo directamente al router por dirección local a ese puerto, ahí sale una pagina del analizador de espectro del router, pero no es nada administrativo, asumí que lo que el router hace es validar de donde viene la petición, y si viene de otra red que no es la mía, lo deja entrar, pero esto no puede ser, eso significaría que cualquier persona en el mundo que sepa mi dirección IP podría entrar a administrar mi router, claramente el operador no dejaría un problema de seguridad tan claro verdad?…….. Verdad???…..
Decidí hacer algunas pruebas, tratando de acceder al router desde mi misma red pero mediante un proxy (para que la petición llegue al router desde otra IP), desde mi celular con plan de datos, y con un amigo que se encontraba en su casa en este momento andándole la IP y el puerto (sin decirle que era).

Que resultado creen que obtuvimos…..

El router presentó la pantalla de autenticación EN TODOS LOS CASOS, el permite a cualquier dirección IP extraña el autenticarse para administrar, solo le importa que no sea tu misma dirección.

Con eso me di cuenta de cuanto se preocupa mi operador por mi seguridad, cualquier persona en cualquier parte puede acceder a administrar mi router, menos yo claro, yo como usuario y dueño del plan soy quien no tiene acceso, pero todos los demás si; pero entonces dirán claro, la pantalla abre pero no tienes el usuario ni la contraseña, tranquilos que estos si están incluidos en el blog que descubrí googleando la referencia del router.

Claro, estos son las credenciales que esta persona encontró (en el 2013) y pues hombre, deben ser las contraseñas del router de el, el mio debe tener otras verdad?..hoy en 2017 Verdad?…. (creo que ya saben la respuesta) Al probar las credenciales en la pantalla, tristemente tuve acceso.


El router me dio la bienvenida como si yo fuera su maestro absoluto, pude acceder a todas sus funciones de firewall, filtrado por MAC, redireccionamiento de puertos, DMZ, inalámbrico, y tan amablemente el fabricante me deja ver el nombre de la red, cambiarle el cifrado y tiene un botón que me deja ver mi contraseña del inalámbrico en texto plano.

Entonces recapitulemos, el operador de Internet en quien confío:

Deja que cualquier persona del mundo tenga acceso a mi router con solo saber mi IP externa
Siempre usan el puerto 8080
Usan unas credenciales con el usuario admin y la misma contraseña desde hace 3 años
Dejan ver mi contraseña de red en texto plano.
Si hasta ahora creen que esto no es tan grave como lo hago verse, es quizá porque piensan que el expuesto soy yo, pero que me impide intentar probar otras direcciónes similares a la mía a ver si responden routers, seré yo el único desafortunado?

Mi dirección IP externa tiene el formato 1XX.XX.XX.65, así que decidí empezar a variar el ultimo campo de la dirección a ver que pasaba, estos son los resultados:

1xx.xx.xx.66:8080 Nada, uff menos mal, quizá si soy el único.

1xx.xx.xx.67:8080 oh… Dios….


Me responde una pantalla de autenticación, decido probar las credenciales.

Pero que, este router no es Technicolor como el mio, es Thomson, así que no solamente puedo acceder a un router de otras personas con probar a ciegas una dirección IP, puedo entrar con las mismas credenciales que el mio así sean de otra marca, esto ya se está pasando de mal chiste, y si, puedo administrarles la configuración inalámbrica:

Pude ver el SSID de la red, la contraseña en texto plano y si, pude cambiarlas, puedo administrar la red de alguien que ni conozco, pero este es el menor de sus problemas, podría si quisiera, administrar sus DNS para hacerle ataques de phishing muy efectivos, puedo ver que máquinas están conectadas, sean celulares, computadores, etc, y puedo hacer redirección de puertos a estos, podría si quisiera modificar el DMZ (Zona desmilitarizada) para que todos los puertos de un computador en esa red queden expuestos a internet, y de ahí hacer escaneos con herramientas tipo NMAP para buscar vulnerabilidades, el cielo es el límite (en un muy muy mal sentido).

Probé en promedio unas 90 direcciones en el rango de mi dirección, y respondieron aproximadamente 70, y de estas casi todas respondieron con el mismo usuario y contraseña, las que no respondieron es porque no era ni Thomson y Technicolor, era Arris (las contraseñas de los Router Arris se pueden encontrar en routerpwn.com, por lo que estos no están a salvo tampoco).

Que podemos hacer me pregunté, una buena práctica con las redes inalámbricas es comprar un router propio, y poner el router del operador en modo puente, de esta forma la administración pasa a ser de mi lado y dejo por fuera al operador y me quito este problema de encima, yo adquirí un router TP-Link muy normal e hice el ejercicio, puse el router del operador en modo puente y configuré mi router TP-Link, al probar mi dirección IP y puerto 8080, constaté que ya el router no respondía.

Así que con esto se acaba el problema….. verdad?, les mostraré porqué mis amigos me llaman bulto de sal, resulta que cuando puse el router del operador en modo puente, se me olvidó apagar el inalámbrico, y ahora no podía entrar a administrarlo porque estaba en modo puente, sin embargo, encontré una solución.

Los routers usualmente tienen una dirección por defecto, 192.168.100.1, que responde independientemente de que el router esté en modo puente o no, algunas veces responde con administración, otras como en mi caso, solo abria la pantalla de status, pero con esto se me ocurrió una cosa, ¿y si el router respondiera por telnet?

Que creen que pasó:


Si responde, y al probar las mismas credenciales de siempre, tuve acceso.

Aquí de pronto se debe conocer un poco de comandos de router, pero con “show ip” el router me mostró sus diferentes direcciones de red, la dirección CM obtiene mi atención porque es una dirección en formato x.xxx.xx.xxx, es decir una clase A, y que creen que pasa cuando intento acceder por el navegador a esta dirección:

Así es, puedo volver a entrar al router, con las mismas credenciales, que creen que pasa si alguien intenta acceder a esa dirección desde afuera de mi red….. pues que TAMBIEN RESPONDE, así que un atacante puede seguir accediendo a mi router si conoce la dirección CM, claro esta es más difícil de encontrar pero el podría, si está con el mismo operador, obtener su propio CM y empezar a variar números, algo importante que me di cuenta después, aparentemente esta dirección CM responde solo para usuarios del mismo operador, intenté acceder a esta dirección desde mi sitio de trabajo donde tienen otro operador y no responde, pero desde la casa de mi amigo que si tiene el mismo operador, abre sin problemas.

Lo que realmente debemos hacer (adicional a poner nuestro propio router, esto siempre es recomendable) es cambiar la contraseña de administración del router del operador.

Con esto así el atacante logre dar con nuestra dirección, no podrá acceder (si le pones una buena contraseña claro 😉 ), que el operador puede que no logre ingresar a administrarlo? Pues mira que eso poco me vale, con esta situación me sentí prácticamente traicionado, porque le di confianza a una empresa y luego veo como esta empresa tiene como foco solo vender y prestar, pero no se preocupa por la seguridad del usuario, el poder que puede tener un usuario mal intencionado con este conocimiento es algo que preocupa y asusta, y espero que algún día el operador tome cartas en el asunto y lo resuelva.

Carlos Alberto Mejia.

 

Fuente:

http://blog.thehackingday.com/

diciembre 23rd 2016

Los éxitos y fracasos tecnológicos del 2016

Número de lecturas: 960
{lang: 'es-419'}

Si te encanta la tecnología, sabes que este año ha sido difícil. Desde las explosiones en teléfonos inteligentes y monopatines hoverboards hasta la proliferación de noticias falsas en las redes sociales, muchos de nuestros productos web, de hardware y software sufrieron fallas bochornosas. Gigantes como Google, Facebook y Samsung estuvieron en la mira del mundo entero.

Sin embargo, no todo fue completamente desolador. Hubo grandes avances en diversas áreas de la tecnología de consumo como el wifi, la realidad virtual y el cifrado.

Lo que sigue es la reseña de las fallas más problemáticas y los avances más espectaculares de 2016.

Los grandes problemas

CreditBoyoun Kim

Las baterías

Durante décadas los iones de litio han sido la tecnología preferida para las baterías que le dan energía a los dispositivos electrónicos. Sin embargo, las celdas defectuosas de las baterías de iones de litio provocaron grandes riesgos de seguridad este año, como es el caso de los monopatines hoverboards y los Samsung Galaxy Note que explotan. Los defectos provocaron que las escuelas prohibieran el uso de hoverboards en los campus y que Samsung retirara más de 2,5 millones de teléfonos.

Un cliente intercambiando su Samsung Galaxy Note 7 en Seúl, Corea del Sur, en octubre CreditKim Hong-Ji/Reuters

El récord de seguridad de Samsung

El récord de seguridad de Samsung se vio afectado a causa de algo más que esos celulares combustibles. La empresa también retiró en Estados Unidos 2,8 millones de lavadoras defectuosas propensas a vibraciones anormales que podían provocar lesiones.

Además, el retiro del Galaxy Note de Samsung fue tan deficiente que la empresa debió retirarlos por segunda vez y terminó por cancelar el producto después de que no logró diagnosticar ni solucionar el problema.

Los dos grandes defectos dejaron algo claro: el gigante de la tecnología necesita arreglar sus protocolos de control de calidad para asegurarse de que la seguridad del consumidor es una prioridad… y no solo producir pantallas grandes y brillantes para sus celulares o veloces ciclos de lavado en sus lavadoras.

Mark Zuckerberg, director ejecutivo de Facebook, emprendió la actualización de los lineamientos de su empresa en torno al contenido aceptable. CreditAdnan Abidi/Reuters

Noticias falsas y abuso en las redes sociales

Facebook, Twitter y Google enfrentaron muchas críticas durante la campaña presidencial en Estados Unidos por dejar que las noticias falsas se propagaran en sus plataformas; es posible que esas noticias hayan influido en los estadounidenses, llevándolos a votar basados en información errónea. Twitter también fue criticado por su estrategia a la hora de lidiar con tuits agresivos, incluyendo los ataques racistas y las amenazas de violencia.

Todas las empresas de internet tomaron medidas para combatir las noticias falsas y los discursos de odio. Pero la elección estadounidense enfatizó el costo de la libertad de internet: cuando la red se asemeja al salvaje oeste, las consecuencias pueden ser atroces.

El Amazon Echo, un altavoz que responde a los comandos de voz CreditMark Lennihan/Associated Press

Asistentes virtuales

Google centró su atención en la inteligencia artificial cuando presentó Home, un altavoz inteligente que es la competencia al Echo de Amazon; Allo, un servicio de mensajería que aprovecha la inteligencia artificial, y Pixel, un teléfono que usa un asistente virtual.

A pesar del revuelo, todos los asistentes virtuales, incluyendo Assistant de Google, Siri de Apple y Alexa de Amazon, siguieron siendo mediocres. Todos fracasaron realizando tareas obvias —por ejemplo, Alexa no pudo decir quién tocaría en el Super Bowl (aunque la incluyeron en un comercial del Super Bowl), Google Assistant no pudo reservar una mesa ni ordenar comida a domicilio, y Siri fue poco fiable al dar indicaciones en un mapa—.

Los adelantos tecnológicos

CreditJames Best Jr./The New York Times

Wifi

Una de las cosas buenas de 2016 fue que tecnología omnipresente como el wifi, que ha sido bastante problemática para los consumidores, tuvo grandes mejoras.

Nuevos routers de TP-Link, Asus y Netgear tienen tecnologías inalámbricas más inteligentes y veloces que hacen un mejor trabajo a la hora de ensamblar señales y transmitir energía de forma precisa a los dispositivos móviles.

Además, Google y la empresa Eero hicieron redes de wifi que son más fáciles de configurar para quienes tienen pocos conocimientos técnicos. Estas empresas presentaron aplicaciones bien diseñadas que ayudan a que las personas configuren múltiples estaciones de wifi en casa.

Los múltiples puntos de acceso crean una “red de malla” que permite que los dispositivos móviles cambien la señal, sin interrupciones, mientras los consumidores se pasean por sus casas con teléfonos inteligentes, computadoras portátiles y tabletas.

Realidad virtual

Un hombre probando el nuevo sistema de realidad virtual de Sony PlayStation en Nueva York, en octubreCreditCorinna Kern para The New York Times

La realidad virtual tiene un largo camino que recorrer antes de hacerse comercial. Los dispositivos HTC, Oculus de Facebook, Sony PlayStation y Google se dedican en gran parte a los videojuegos, lo cual limita a su audiencia. Además, la mayoría de estos dispositivos son costosos.

Sin embargo, la tecnología ha avanzado de manera significativa. Funciona sin problemas y las experiencias son envolventes y hermosas. Las aplicaciones que se lanzaron este año —como Tilt Brush, una herramienta de pintura 3D para Vive de HTC, o SuperHyberCube, que es como Tetris con un giro de realidad virtual para PlayStation VR— demostraron el tremendo potencial de la realidad virtual.

Timothy Cook, director ejecutivo de Apple CreditBrendan McDermid/Reuters

La tensión entre las empresas tecnológicas y el gobierno estadounidense alcanzó su clímax durante el enfrentamiento de Apple con el FBI a principios de este año. El FBI exigió que Apple debilitara su cifrado del iPhone para que pudiera tener acceso al contenido de un teléfono que le pertenecía a un atacante del tiroteo masivo en San Bernardino, California.

Apple se rehusó y argumentó que debilitar su sistema de software para una sola investigación crearía vulnerabilidades que podrían poner en riesgo a todos los consumidores. El FBI terminó por retirar su demanda después de averiguar cómo violar la seguridad del iPhone sin la ayuda de Apple.

Entre la disputa de Apple con el FBI, muchas grandes empresas tecnológicas expandieron el cifrado de sus productos. Facebook, WhatsApp y Google pusieron el protocolo de cifrado de Signal, un servicio de mensajería alabado ampliamente por su seguridad. Aunque ninguno de los servicios de mensajería cifrada es perfecto, este año marcó un progreso significativo hacia ofrecer herramientas que reforzaron la privacidad de los consumidores.

Transmisión de video en vivo

Un iPhone transmitiendo por Facebook Live en el vestíbulo de la Trump Tower en Manhattan, el mes pasadoCreditDrew Angerer/Getty Images

La transmisión de videos móviles solía ser irregular, poco confiable y complicada de producir. Pero durante el año pasado, Periscope de Twitter y Facebook Live han hecho que las transmisiones en vivo sean sencillas y extremadamente populares.

Periscope reportó que a partir de marzo, el equivalente a 110 años de video en vivo se consumieron diariamente en sus aplicaciones móviles, mientras que, el año pasado, el equivalente fue de 40 años al día. Facebook dijo que los videos se ven 8000 millones de veces al día en la red social, mientras que el año pasado solo se veían mil millones de veces, y los videos en vivo obtienen diez veces más comentarios que otros videos.

La popularidad de las transmisiones convierte a los videos en línea en un medio prominente. Tan solo revisa las publicaciones de tu Facebook y sé testigo de la frecuencia con que la gente está publicando grabaciones en vez de fotografías y texto. El video se ha vuelto inevitable.

 Fuente:
nytimes.com
noviembre 30th 2016

Simple IP Config: Cambia fácilmente diferentes configuraciones de IP entre casa y el trabajo

Número de lecturas: 915
{lang: 'es-419'}

Si no sabes la diferencia entre tener una IP estática o utilizar DHCP seguramente este artículo todavía no te interese, al menos todavía. Pero aquellos que tienen una configuración de su adaptador de red en el trabajo y necesitan otra diferente en casa seguro que disfrutan con esta herramienta open source.

La idea de Simple IP Config es sencilla: crear diferentes perfiles de configuración de un adaptador de red para cambiar entre ellos en Windows con un clic. Muchos nos hemos hecho unos scripts de los que nos sentimos orgullosos, pero al alcance de todos los públicos está esta herramienta.

Así podrás tener tu portátil conectado a la red de tu trabajo y cuando llegues a casa poder utilizarlo como servidor, o simplemente dentro de una subred diferente. Desde luego que la interfaz es mejorable, pero sólo ocupa 425 KB, no necesita instalación y lo más importante: funciona.

Enlace | Simple IP Config

Fuente:

genbeta.com