1er año del blog – Más de 5000 visitas
Estimados lectores,
Anuncio con mucha alegría que este blog ha cumplido 1 año de vida 
A lo largo de este año se han tratado varios temas importantes, al igual que también hubo períodos sin posteos (por ejemplo, este blog no supo lo que fue el mes de julio )
El nivel de visitas comenzó lentamente, con pocas al principio, pero en los últimos meses el promedio diario aumentó significativamente.
Casualmente, en su día de aniversario el blog superó las 5000 visitas, llegando al número total de 5078 desde el 18 de Agosto de 2009, el día que instalé el servicio de ClusterMaps.
Dejo a modo de recuerdo un mapa de las visitas de este año, justo antes de ser reiniciado:
Deseo que el próximo año se puedan seguir tratando temas importantes, y aún más que durante este año.
Espero sepan entender que quien les escribe es un fanático de su trabajo, que siempre tiene varios proyectos que atender en simultáneo por lo que a veces puede llegar a pasar un tiempo entre post y post.
Les agradezco a todos por sus visitas, su apoyo y sus palabras. No duden en contactarme por lo que necesiten.
Un saludo enorme, y por un próximo período provechoso.
Ataque de phishing hecho en casa
Se me ocurrió ver hasta que punto podría llegar al tratar de armar un sitio de phishing.
Primero elegí un provider, en este caso fue Gmail. Luego, descargué el sitio web de login original y realicé las siguientes modificaciones:
- Corté todas las comunicaciones que el sitio hacía con Google
- Cambié el destino del envío de datos de usuario y contraseña
- Agregué manualmente un Favicon desde el repositorio oficial de íconos del provider
- Creé un nuevo script que reciba la información enviada desde el formulario de login y la muestre en pantalla
El producto terminado resultó ser un home de Gmail peligrosamente similar al original, con un comportamiento peligrosamente diferente.
Para que puedan interpretar la facilidad de realización de esta parte del ataque, les comento que me tardó aproximadamente media hora de trabajo muy relajado.
Para que esto logre ser un Phishing por completo, el próximo paso será lograr engañar al usuario a que entre a la dirección donde está hosteado este site, creyendo que está accediendo al sitio real de gmail.
Claramente no les facilitaré esa tarea, pero si los dejaré con el site de login, que independientemente es inofensivo.
Los invito a que prueben el site (ingresando credenciales falsas, obviamente).
Próximo provider, Facebook
Link: http://www.matiaskatz.com/gmail/
In Fraganti – Caso #3, empresa en zona céntrica, Ciudad de Buenos Aires
Hoy caminaba por la calle ...mejor no la digo..., y me crucé con un descubrimiento hermoso y terrible a la vez.
Un puesto de trabajo DE ESPALDAS a la calle. Sí, como se lee, un completo y funcional puesto de trabajo, con cajones y papeles y UNA PC, instalados de manera tal que el operador quede a espaldas de la calle, y la pantalla de la PC y los papeles queden a plena vista de quien pase por la calle, ya que dicha empresa se encuentra en la planta baja y el frente es de vidrio y sin cortinas.
Les dejo una foto para que se deleiten con la situación:
Para cuando saqué la foto el puesto se había ocupado, pero cuando noté por primera vez la violación no había nadie sentado. En la pantalla de la PC se podía ver el inbox de una casilla de mail corporativa. Luego, cuando la operadora se sentó en el puesto y la otra señora se acercó a consultar algo, el inbox se minimizó dejando lugar a un hermoso CRM con contenido sobre la organización.
Para cuando logré sacar la segunda foto desde lejos, ya se había aparecido un guardia de seguridad en la ventana (como pueden ver circulado en rojo en la foto), que me hacía señas de negación con el dedo, dándome a entender que no tenía permitido sacar fotos... A lo que contesté muy amablemente "estoy en la vía pública" mientras cómodamente sacaba la foto, ignorando su prohibición incoherente:
De más está decir que esta es una GRAVE falla de seguridad, causada por una FALTA de lógica por parte de quien toma las decisiones sobre el tema en esta organización.
Es tan inaudita esta situación y es tan obvia la opinión que cualquier profesional de seguridad pueda tener, que no tiene sentido seguir escribiendo sobre el tema.
Simplemente los dejo con las fotos para que miren boquiabiertos por unos minutos, mientras mueven la cabeza de izquierda a derecha tratando de entender como pueden seguir ocurriendo estas cosas.
Revista Electrónica El Derecho Informático Nro 4
Se ha publicado la cuarta edición de la revista electrónica de El Derecho Informático, en donde aparece un artículo escrito por mi sobre Legales & IT.
Pueden descargar la revista desde el siguiente link (Español): http://www.asegurarte.com.ar/Revista_Elderechoinformatico_N4.zip
Link al artículo completo (Español): http://www.elderechoinformatico.com/index.php?option=com_content&view=article&id=321:-revista-electronica-el-derecho-informatico-no-4-junio-2010&catid=82:revista-electronica&Itemid=111
En 2 semanas publicaré el artículo aquí.
Encriptación con Microsoft SQL Server
Al organizar una metodología de seguridad en aplicaciones, existen diferentes formas de encararla. Cada método cubre diferentes porciones del flujo de acceso a datos, generando la llamada "seguridad en capas" (o layered defense).
Les dejo en esta ocasión un documento de Microsoft que habla del majeo de inputs encriptados a bases de datos, a través de funciones nativas de su motor de bases de datos, MS SQL Server.
De esta forma se puede agregar fácilmente una capa de protección extra, estableciendo una estrategia de seguridad en aplicaciones en las siguientes etapas:
- Encriptación en la generación de información
- Encriptación en el intercambio de información
- Encriptación en el almacenamiento de información
Una forma más gráfica de explicarlo se puede apreciar en la imagen provista por Microsoft en su artículo:
Link al artículo (inglés): http://www.microsoft.com/technet/prodtechnol/sql/2005/sqlencryption.mspx
Link al documento (inglés): http://download.microsoft.com/download/8/b/2/8b22991f-3f2f-4cea-b2ba-55c190841145/TDEandEFSBitLocker.docx
Tags
Entradas recientes
- 1er año del blog – Más de 5000 visitas
- Ataque de phishing hecho en casa
- Sorteo de Entradas: 1er Jornada de Seguridad en la Comunicación y Soluciones Móviles
- In Fraganti – Caso #3, empresa en zona céntrica, Ciudad de Buenos Aires
- Revista Electrónica El Derecho Informático Nro 4
Archivos
- Agosto de 2010 (3)
- Junio de 2010 (4)
- Mayo de 2010 (3)
- Abril de 2010 (3)
- Marzo de 2010 (2)
- Febrero de 2010 (6)
- Enero de 2010 (16)
- Diciembre de 2009 (6)
- Noviembre de 2009 (2)
- Octubre de 2009 (7)
- Septiembre de 2009 (12)
- Agosto de 2009 (4)
- Julio de 2009 (4)
- Junio de 2009 (4)
- Mayo de 2009 (4)