Anuncio con mucha alegría que este blog ha cumplido 1 año de vida

A lo largo de este año se han tratado varios temas importantes, al igual que también hubo períodos sin posteos (por ejemplo, este blog no supo lo que fue el mes de julio )

El nivel de visitas comenzó lentamente, con pocas al principio, pero en los últimos meses el promedio diario aumentó significativamente.

Casualmente, en su día de aniversario el blog superó las 5000 visitas, llegando al número total de 5078 desde el 18 de Agosto de 2009, el día que instalé el servicio de ClusterMaps.

Dejo a modo de recuerdo un mapa de las visitas de este año, justo antes de ser reiniciado:

Deseo que el próximo año se puedan seguir tratando temas importantes, y aún más que durante este año.

Espero sepan entender que quien les escribe es un fanático de su trabajo, que siempre tiene varios proyectos que atender en simultáneo por lo que a veces puede llegar a pasar un tiempo entre post y post.

Les agradezco a todos por sus visitas, su apoyo y sus palabras. No duden en contactarme por lo que necesiten.

Un saludo enorme, y por un próximo período provechoso.

Primero elegí un provider, en este caso fue Gmail. Luego, descargué el sitio web de login original y realicé las siguientes modificaciones:

1. Corté todas las comunicaciones que el sitio hacía con Google
2. Cambié el destino del envío de datos de usuario y contraseña
3. Agregué manualmente un Favicon desde el repositorio oficial de íconos del provider
4. Creé un nuevo script que reciba la información enviada desde el formulario de login y la muestre en pantalla

El producto terminado resultó ser un home de Gmail peligrosamente similar al original, con un comportamiento peligrosamente diferente.

Para que puedan interpretar la facilidad de realización de esta parte del ataque, les comento que me tardó aproximadamente media hora de trabajo muy relajado.

Para que esto logre ser un Phishing por completo, el próximo paso será lograr engañar al usuario a que entre a la dirección donde está hosteado este site, creyendo que está accediendo al sitio real de gmail.

Claramente no les facilitaré esa tarea, pero si los dejaré con el site de login, que independientemente es inofensivo.

Los invito a que prueben el site (ingresando credenciales falsas, obviamente).

Próximo provider, Facebook

Link: http://www.matiaskatz.com/gmail/

Los disertantes hablarán sobre la seguridad del lado de las aplicaciones móviles, las comunicaciones por aire y los servicios de IPBX.

El evento está orientado a CSOs y CIOs, Responsables de Seguridad y de Seguridad de la información, responsables de IT y de Auditoria de IT, Directores, Gerentes o Responsables de áreas críticas de negocios. Abogados y asesores jurídicos de bancos y empresas, Directivos de tecnología y de seguridad de empresas sensibles a los riesgos de seguridad.

Tengo 2 entradas para sortear entre mis lectores, a quien me de la mejor respuesta a la siguiente pregunta:

"Qué riesgo crítico es imposible de obviar dentro de los procesos de ABM de usuario en cualquier SGSI?"

Tienen hasta el martes 10 para enviar sus respuestas. Pueden enviarlas a matias [arroba] matiaskatz [punto] com.

Link al evento: http://www.cxo-community.com/jornada-comunicaciones.html

Un puesto de trabajo DE ESPALDAS a la calle. Sí, como se lee, un completo y funcional puesto de trabajo, con cajones y papeles y UNA PC, instalados de manera tal que el operador quede a espaldas de la calle, y la pantalla de la PC y los papeles queden a plena vista de quien pase por la calle, ya que dicha empresa se encuentra en la planta baja y el frente es de vidrio y sin cortinas.

Les dejo una foto para que se deleiten con la situación:

Para cuando saqué la foto el puesto se había ocupado, pero cuando noté por primera vez la violación no había nadie sentado. En la pantalla de la PC se podía ver el inbox de una casilla de mail corporativa. Luego, cuando la operadora se sentó en el puesto y la otra señora se acercó a consultar algo, el inbox se minimizó dejando lugar a un hermoso CRM con contenido sobre la organización.

Para cuando logré sacar la segunda foto desde lejos, ya se había aparecido un guardia de seguridad en la ventana (como pueden ver circulado en rojo en la foto), que me hacía señas de negación con el dedo, dándome a entender que no tenía permitido sacar fotos... A lo que contesté muy amablemente "estoy en la vía pública" mientras cómodamente sacaba la foto, ignorando su prohibición incoherente:

De más está decir que esta es una GRAVE falla de seguridad, causada por una FALTA de lógica por parte de quien toma las decisiones sobre el tema en esta organización.

Es tan inaudita esta situación y es tan obvia la opinión que cualquier profesional de seguridad pueda tener, que no tiene sentido seguir escribiendo sobre el tema.

Simplemente los dejo con las fotos para que miren boquiabiertos por unos minutos, mientras mueven la cabeza de izquierda a derecha tratando de entender como pueden seguir ocurriendo estas cosas.

Pueden descargar la revista desde el siguiente link (Español): http://www.asegurarte.com.ar/Revista_Elderechoinformatico_N4.zip

Link al artículo completo (Español): http://www.elderechoinformatico.com/index.php?option=com_content&view=article&id=321:-revista-electronica-el-derecho-informatico-no-4-junio-2010&catid=82:revista-electronica&Itemid=111

En 2 semanas publicaré el artículo aquí.

Les dejo en esta ocasión un documento de Microsoft que habla del majeo de inputs encriptados a bases de datos, a través de funciones nativas de su motor de bases de datos, MS SQL Server.

De esta forma se puede agregar fácilmente una capa de protección extra, estableciendo una estrategia de seguridad en aplicaciones en las siguientes etapas:

1. Encriptación en la generación de información
2. Encriptación en el intercambio de información
3. Encriptación en el almacenamiento de información

Una forma más gráfica de explicarlo se puede apreciar en la imagen provista por Microsoft en su artículo:

Link al artículo (inglés): http://www.microsoft.com/technet/prodtechnol/sql/2005/sqlencryption.mspx

Link al documento (inglés): http://download.microsoft.com/download/8/b/2/8b22991f-3f2f-4cea-b2ba-55c190841145/TDEandEFSBitLocker.docx

Caso #2: Importante cadena de supermercados, Martes 20 hs, Ciudad de Buenos Aires.

Luego de haber terminado de hacer las compras me encaminé hacia la salida del supermercado.

Al pasar por el final del largo pasillo me encontré con el sector de entregas a domicilio, constituido por unas 3-4 PC y un par de impresoras.

En esta ocasión, el pasillo estaba completamente falto de personal, como se puede ver en esta primer foto:

Luego de acercarme a la pantalla de la PC que se muestra prendida, logré ver lo siguiente:

1. La PC no estaba bloqueada
2. El gabinete (y sus tentadores puertos USB) estaban a pleno acceso
3. La pantalla mostraba una aplicación CRM en la que se listaban los domicilios correspondientes a todos los pedidos de entrega recientemente dados de alta en el sistema

Le saqué una foto a dicha lista, pero obviamente no voy a mostrársela Simplemente les voy a dejar como regalo una segunda foto (de mas cerca) mostrando el CRM que maneja los pedidos de entrega a domicilio.

Mas allá del obvio hecho de poder introducir un dispositivo USB que rápidamente contagie a la PC con algún malware, les pregunto:

Qué pasa si yo capturo la lista de domicilios pendientes de entrega, me visto con una ropa que simule o aparente ser el uniforme de los muchachos del supermercado, voy a dichos domicilios, toco timbre y digo "soy del supermercado" ?

La respuesta es mas que obvia.

Grande fué mi desilusión al ver que para poder "unirme" a este grupo, debía COPIAR una cadena interminable de texto y PEGARLO en la barra de dirección de mi navegador.

Qué clase de grupo requiere ese proceso para unirse?

Mmmm, raro...

Mas raro fué al analizar un poco el texto en cuestión y darme cuenta que no existía un link o una URL a seguir, sino la ejecución de una llamada Javascript conteniendo (entre muchas cosas) el comando "new RegExp('\\b\\\\n\\g\\j\\g\\F\\g\\i......"

Obviamente se trata de una ejecución maliciosa que requiere que el pobre usuario introduzca la ejecución en su navegador manualmente.

Les dejo una imagen del supuesto grupo, para que no caigan en la trampa.

Acabo de inaugurar la sección "In Fraganti". En esta sección iré publicando contenido que deje en evidencia a organizaciones de todo tipo que fallen en los conceptos básicos de seguridad de la información.

Los invito a colaborar con material de su descubrimiento para publicar en nuestro propio "muro de la tristeza".

Comienzo la inauguración con el primer caso:

Caso #1: Banco importante. Ciudad de Buenos Aires, zona Obelisco, 23 hs de un Viernes.

Este banco tiene su línea de cajeros automáticos separada del banco por una gran pared de vidrio. Hay un puesto de trabajo pegado a dicha pared de vidrio:

Claramente se puede observar una carpeta abierta, conteniendo información de clientes que debería ser confidencial:

El siguiente Martes (hoy) me acerqué al banco y pregunté sobre dicha falla. El empleado en informes me informó que no hay persianas intencionalmente, para proteger al banco de un robo al no permitirle al ladrón esconderse detrás de nada.

Al comentarle sobre mi descubrimiento, el empleado del banco alegó lo siguiente: "Si, la persona que trabaja en ese puesto es un poco despistada".