Ataque de phishing hecho en casa
Se me ocurrió ver hasta que punto podría llegar al tratar de armar un sitio de phishing.
Primero elegí un provider, en este caso fue Gmail. Luego, descargué el sitio web de login original y realicé las siguientes modificaciones:
- Corté todas las comunicaciones que el sitio hacía con Google
- Cambié el destino del envío de datos de usuario y contraseña
- Agregué manualmente un Favicon desde el repositorio oficial de íconos del provider
- Creé un nuevo script que reciba la información enviada desde el formulario de login y la muestre en pantalla
El producto terminado resultó ser un home de Gmail peligrosamente similar al original, con un comportamiento peligrosamente diferente.
Para que puedan interpretar la facilidad de realización de esta parte del ataque, les comento que me tardó aproximadamente media hora de trabajo muy relajado.
Para que esto logre ser un Phishing por completo, el próximo paso será lograr engañar al usuario a que entre a la dirección donde está hosteado este site, creyendo que está accediendo al sitio real de gmail.
Claramente no les facilitaré esa tarea, pero si los dejaré con el site de login, que independientemente es inofensivo.
Los invito a que prueben el site (ingresando credenciales falsas, obviamente).
Próximo provider, Facebook 
Link: http://www.matiaskatz.com/gmail/
Sorteo de Entradas: 1er Jornada de Seguridad en la Comunicación y Soluciones Móviles
La CXO-Community, comunidad organiza el jueves 12 de Agosto de 2010 de 9 hs a 18 hs, en la Universidad del UCEMA (Reconquista 775, CABA, Argentina) la primer conferencia de seguridad en las comunicaciones y soluciones móviles.
Los disertantes hablarán sobre la seguridad del lado de las aplicaciones móviles, las comunicaciones por aire y los servicios de IPBX.
El evento está orientado a CSOs y CIOs, Responsables de Seguridad y de Seguridad de la información, responsables de IT y de Auditoria de IT, Directores, Gerentes o Responsables de áreas críticas de negocios. Abogados y asesores jurídicos de bancos y empresas, Directivos de tecnología y de seguridad de empresas sensibles a los riesgos de seguridad.
Tengo 2 entradas para sortear entre mis lectores, a quien me de la mejor respuesta a la siguiente pregunta:
"Qué riesgo crítico es imposible de obviar dentro de los procesos de ABM de usuario en cualquier SGSI?"
Tienen hasta el martes 10 para enviar sus respuestas. Pueden enviarlas a matias [arroba] matiaskatz [punto] com.
Link al evento: http://www.cxo-community.com/jornada-comunicaciones.html
In Fraganti – Caso #3, empresa en zona céntrica, Ciudad de Buenos Aires
Hoy caminaba por la calle ...mejor no la digo..., y me crucé con un descubrimiento hermoso y terrible a la vez.
Un puesto de trabajo DE ESPALDAS a la calle. Sí, como se lee, un completo y funcional puesto de trabajo, con cajones y papeles y UNA PC, instalados de manera tal que el operador quede a espaldas de la calle, y la pantalla de la PC y los papeles queden a plena vista de quien pase por la calle, ya que dicha empresa se encuentra en la planta baja y el frente es de vidrio y sin cortinas.
Les dejo una foto para que se deleiten con la situación:
Para cuando saqué la foto el puesto se había ocupado, pero cuando noté por primera vez la violación no había nadie sentado. En la pantalla de la PC se podía ver el inbox de una casilla de mail corporativa. Luego, cuando la operadora se sentó en el puesto y la otra señora se acercó a consultar algo, el inbox se minimizó dejando lugar a un hermoso CRM con contenido sobre la organización.
Para cuando logré sacar la segunda foto desde lejos, ya se había aparecido un guardia de seguridad en la ventana (como pueden ver circulado en rojo en la foto), que me hacía señas de negación con el dedo, dándome a entender que no tenía permitido sacar fotos... A lo que contesté muy amablemente "estoy en la vía pública" mientras cómodamente sacaba la foto, ignorando su prohibición incoherente:
De más está decir que esta es una GRAVE falla de seguridad, causada por una FALTA de lógica por parte de quien toma las decisiones sobre el tema en esta organización.
Es tan inaudita esta situación y es tan obvia la opinión que cualquier profesional de seguridad pueda tener, que no tiene sentido seguir escribiendo sobre el tema.
Simplemente los dejo con las fotos para que miren boquiabiertos por unos minutos, mientras mueven la cabeza de izquierda a derecha tratando de entender como pueden seguir ocurriendo estas cosas.
Revista Electrónica El Derecho Informático Nro 4
Se ha publicado la cuarta edición de la revista electrónica de El Derecho Informático, en donde aparece un artículo escrito por mi sobre Legales & IT.
Pueden descargar la revista desde el siguiente link (Español): http://www.asegurarte.com.ar/Revista_Elderechoinformatico_N4.zip
Link al artículo completo (Español): http://www.elderechoinformatico.com/index.php?option=com_content&view=article&id=321:-revista-electronica-el-derecho-informatico-no-4-junio-2010&catid=82:revista-electronica&Itemid=111
En 2 semanas publicaré el artículo aquí.
Encriptación con Microsoft SQL Server
Al organizar una metodología de seguridad en aplicaciones, existen diferentes formas de encararla. Cada método cubre diferentes porciones del flujo de acceso a datos, generando la llamada "seguridad en capas" (o layered defense).
Les dejo en esta ocasión un documento de Microsoft que habla del majeo de inputs encriptados a bases de datos, a través de funciones nativas de su motor de bases de datos, MS SQL Server.
De esta forma se puede agregar fácilmente una capa de protección extra, estableciendo una estrategia de seguridad en aplicaciones en las siguientes etapas:
- Encriptación en la generación de información
- Encriptación en el intercambio de información
- Encriptación en el almacenamiento de información
Una forma más gráfica de explicarlo se puede apreciar en la imagen provista por Microsoft en su artículo:
Link al artículo (inglés): http://www.microsoft.com/technet/prodtechnol/sql/2005/sqlencryption.mspx
Link al documento (inglés): http://download.microsoft.com/download/8/b/2/8b22991f-3f2f-4cea-b2ba-55c190841145/TDEandEFSBitLocker.docx
Tags
Entradas recientes
- 1er año del blog – Más de 5000 visitas
- Ataque de phishing hecho en casa
- Sorteo de Entradas: 1er Jornada de Seguridad en la Comunicación y Soluciones Móviles
- In Fraganti – Caso #3, empresa en zona céntrica, Ciudad de Buenos Aires
- Revista Electrónica El Derecho Informático Nro 4
Archivos
- Agosto de 2010 (3)
- Junio de 2010 (4)
- Mayo de 2010 (3)
- Abril de 2010 (3)
- Marzo de 2010 (2)
- Febrero de 2010 (6)
- Enero de 2010 (16)
- Diciembre de 2009 (6)
- Noviembre de 2009 (2)
- Octubre de 2009 (7)
- Septiembre de 2009 (12)
- Agosto de 2009 (4)
- Julio de 2009 (4)
- Junio de 2009 (4)
- Mayo de 2009 (4)