Archive for 00:59 hrs.

Matias Katz | 00:59 hrs.
2 comments

In Fraganti – Caso #3, empresa en zona céntrica, Ciudad de Buenos Aires

Hoy caminaba por la calle …mejor no la digo…, y me crucé con un descubrimiento hermoso y terrible a la vez.

Un puesto de trabajo DE ESPALDAS a la calle. Sí, como se lee, un completo y funcional puesto de trabajo, con cajones y papeles y UNA PC, instalados de manera tal que el operador quede a espaldas de la calle, y la pantalla de la PC y los papeles queden a plena vista de quien pase por la calle, ya que dicha empresa se encuentra en la planta baja y el frente es de vidrio y sin cortinas.

Les dejo una foto para que se deleiten con la situación:

IMG_0486

Para cuando saqué la foto el puesto se había ocupado, pero cuando noté por primera vez la violación no había nadie sentado. En la pantalla de la PC se podía ver el inbox de una casilla de mail corporativa. Luego, cuando la operadora se sentó en el puesto y la otra señora se acercó a consultar algo, el inbox se minimizó dejando lugar a un hermoso CRM con contenido sobre la organización.

Para cuando logré sacar la segunda foto desde lejos, ya se había aparecido un guardia de seguridad en la ventana (como pueden ver circulado en rojo en la foto), que me hacía señas de negación con el dedo, dándome a entender que no tenía permitido sacar fotos… A lo que contesté muy amablemente “estoy en la vía pública” mientras cómodamente sacaba la foto, ignorando su prohibición incoherente:
IMG_0487

De más está decir que esta es una GRAVE falla de seguridad, causada por una FALTA de lógica por parte de quien toma las decisiones sobre el tema en esta organización.

Es tan inaudita esta situación y es tan obvia la opinión que cualquier profesional de seguridad pueda tener, que no tiene sentido seguir escribiendo sobre el tema.

Simplemente los dejo con las fotos para que miren boquiabiertos por unos minutos, mientras mueven la cabeza de izquierda a derecha tratando de entender como pueden seguir ocurriendo estas cosas.

Category: Seguridad | Tags: , , ,
Matias Katz | 13:28 hrs.
No comments

Revista Electrónica El Derecho Informático Nro 4

Se ha publicado la cuarta edición de la revista electrónica de El Derecho Informático, en donde aparece un artículo escrito por mi sobre Legales & IT.

Pueden descargar la revista desde el siguiente link (Español): http://www.asegurarte.com.ar/Revista_Elderechoinformatico_N4.zip

Link al artículo completo (Español): http://www.elderechoinformatico.com/index.php?option=com_content&view=article&id=321:-revista-electronica-el-derecho-informatico-no-4-junio-2010&catid=82:revista-electronica&Itemid=111

En 2 semanas publicaré el artículo aquí.

Category: Seguridad | Tags: , , ,
Matias Katz | 20:47 hrs.
No comments

Encriptación con Microsoft SQL Server

Al organizar una metodología de seguridad en aplicaciones, existen diferentes formas de encararla. Cada método cubre diferentes porciones del flujo de acceso a datos, generando la llamada “seguridad en capas” (o layered defense).

Les dejo en esta ocasión un documento de Microsoft que habla del majeo de inputs encriptados a bases de datos, a través de funciones nativas de su motor de bases de datos, MS SQL Server.

De esta forma se puede agregar fácilmente una capa de protección extra, estableciendo una estrategia de seguridad en aplicaciones en las siguientes etapas:

  1. Encriptación en la generación de información
  2. Encriptación en el intercambio de información
  3. Encriptación en el almacenamiento de información

Una forma más gráfica de explicarlo se puede apreciar en la imagen provista por Microsoft en su artículo:

SQLEncryption

Link al artículo (inglés): http://www.microsoft.com/technet/prodtechnol/sql/2005/sqlencryption.mspx

Link al documento (inglés): http://download.microsoft.com/download/8/b/2/8b22991f-3f2f-4cea-b2ba-55c190841145/TDEandEFSBitLocker.docx

Category: Seguridad | Tags: , , , , , ,
Matias Katz | 16:18 hrs.
4 comments

In Fraganti – Caso #2, Importante cadena de supermercados, Ciudad de Buenos Aires

Les dejo una nueva perlita para esta sección:

Caso #2: Importante cadena de supermercados, Martes 20 hs, Ciudad de Buenos Aires.

Luego de haber terminado de hacer las compras me encaminé hacia la salida del supermercado.

Al pasar por el final del largo pasillo me encontré con el sector de entregas a domicilio, constituido por unas 3-4 PC y un par de impresoras.

En esta ocasión, el pasillo estaba completamente falto de personal, como se puede ver en esta primer foto:

IMG_0464

Luego de acercarme a la pantalla de la PC que se muestra prendida, logré ver lo siguiente:

  1. La PC no estaba bloqueada
  2. El gabinete (y sus tentadores puertos USB) estaban a pleno acceso
  3. La pantalla mostraba una aplicación CRM en la que se listaban los domicilios correspondientes a todos los pedidos de entrega recientemente dados de alta en el sistema

Le saqué una foto a dicha lista, pero obviamente no voy a mostrársela :) Simplemente les voy a dejar como regalo una segunda foto (de mas cerca) mostrando el CRM que maneja los pedidos de entrega a domicilio.

IMG_0465
Mas allá del obvio hecho de poder introducir un dispositivo USB que rápidamente contagie a la PC con algún malware, les pregunto:

Qué pasa si yo capturo la lista de domicilios pendientes de entrega, me visto con una ropa que simule o aparente ser el uniforme de los muchachos del supermercado, voy a dichos domicilios, toco timbre y digo “soy del supermercado” ?

La respuesta es mas que obvia.

Category: Seguridad |