Archive for September, 2007

Malware apunta economías no habituales

Thursday, September 27th, 2007

Hace una semanas, registramos la presencia de un correo apartentemente difundido por una entidad gubernamental. El gancho era el emitir una recomendación y alerta de seguridad con el fin de inducir al usuario a descargar un programa e instalarlo.

Desfortunadamente, no tuvimos acceso a la pieza malware, pero el correo deja fiel evidencia que el crimen informático está apuntando a economías puntualizadas, por ejemplo, Perú. No hay evidencia si los criminales detrás de ésta operación son locales o internacionales.

Vea usted mismo el mensaje:

—–Mensaje original—–
De: INEI [mailto:alertas@inei.gob.pe]
Enviado el: Domingo, 16 de Septiembre de 2007 11:43 p.m.
Para: xxxxx@xxxxx.com.pe
Asunto: FRAUDE, SITIOS NO SEGUROS CLONACION DE TARJETAS

?

Saber un poco ahorra muchos problemas
Alerta al consumidor 2007

Sitios web no seguros

En un monitoreo reciente realizado por el INEI, se detecto que ciertas empresas no brindan seguridad a los consumidores que proporcionan datos personales y/o financieros cuando efectuan una transaccion comercial en linea, el fraude radica en la clonacion de su tarjeta de credito y robo de identidad para efectuar fraudes usando sus datos o tarjetas, esto sucede cuando usted realiza un pago o llena algun formulario en alguno de los sitios en la lista. Entre los sitios de Peru que incumplen se encuentran Artdanza, TV Ofertas, Nacional de Farmacos, Ann Miller, CV Directo, Grupo Famsa, entre otros.

Usted puede descargar dicha lista y conocer estos sitios fraudulentos directamente sobre la siguiente liga.

http://inei.gob.pe/sitios/denuncias.html
Enlace real: http:// skalafell.net /components/com_expose/expose/img/inei.zip

Por su seguridad, es importante que antes de realizar una transaccion en linea revise la lista y no sea timada por estos delincuentes, en ellos encontraras informacion especifica sobre las diferentes variables que se tomaron en consideracion para hacer el ejercicio, tales como la identidad del proveedor, informacion sobre la transaccion, politicas de privacidad y seguridad de los sitios considerados.

Afirmar que la gramática y redacción es eje importante para evitar caer el fraude, es una falacia. La razón es que la gran mayoría de personas -aún de nivel institucional- redactan mal. Por otro lado, cualquier mensaje que use una marca conocida siempre sonará convincente. Lo mejor es proceder con las recomendaciones de JaCkSecurity.


Microsoft Mail Internet Headers Version 2.0
Received: from web22.elogin.co.kr (unknown [218.145.31.195])
by xxx.xxxxx.com.pe (Postfix) with ESMTP id 1759156409 for
; Sun, 16 Sep 2007 22:50:14 -0500 (PET)
Received: from web22.elogin.co.kr (web22.elogin.co.kr [127.0.0.1])
by web22.elogin.co.kr (8.13.1/8.13.1) with ESMTP id l8H4goaO011028 for
; Mon, 17 Sep 2007 13:42:50 +0900
Received: (from apache@localhost) by web22.elogin.co.kr (8.13.1/8.13.1/Submit)
id l8H4goqW011027; Mon, 17 Sep 2007 13:42:50 +0900
Date: Mon, 17 Sep 2007 13:42:50 +0900
From: INEI
Subject: FRAUDE, SITIOS NO SEGUROS CLONACION DE TARJETAS
To: xxxxx@xxxxx.com.pe
Reply-to:
Message-id: <200709170442.l8H4goqW011027@web22.elogin.co.kr>
MIME-version: 1.0
Content-type: text/html
Content-transfer-encoding: 7BIT
X-Virus-Scanned: amavisd-new at datacenter.pe
Return-Path: apache@web22.elogin.co.kr
X-OriginalArrivalTime: 17 Sep 2007 04:48:39.0875 (UTC) FILETIME=[04207130:01C7F8E6]

Posted in Knowledge | 1 Comment »

Problemas que ocasiona una PC zombi

Monday, September 24th, 2007

[Nota si los zombis en su red están generando una situación de crisis, recurra inmediatamente a nuestro servicio de emergencias y ayuda forense JaCknoHaCk.]

A consecuencia de las noticias reportadas en el boletín #35 del JaCkNews, creimos conveniente enumerar algunos de los problemas mínimos que puede generar una red zombi:

1. Metástasis
2. Escaneos
3. Pasarela criminal
4. Robo de documentos internos
5. Violación a la privacidad
6. Envío de SPAM

Explicación detallada:

1. Metástasis
Al igual que ciertas enfermedades humanas hacen metástatis, es decir se generalizan en todo el cuerpo, los infecciones zombis también lo hacen. Esto es porque en la mayoría de casos, en el código de amplificación viral basado en gusano existe la orden de explorar en primera instancia la red interna, a fin de penetrar cada máquina disponible. Si la alguna máquina en dicha red es penetrada y está en modo dual-home, la posibilidad de metástasis se duplica, lo que permite al zombi extenderse a otros perímetros internos (redes backend).

2. Escaneos
Luego de la infección interna, la zombi recibe órdenes integradas o nuevas para explorar existan aplicaciones vulnerables.
A causa de ello es altamente probable, que usted reciba una denuncia (vía teléfono o vía correo) de que está realizando ataques o intentos de intrusiones.
Los último, se hace más delicado aún, si la red a la que están escaneando sus zombis es la red de su competencia o algún enemigo militar.

3. Pasarela criminal
Casi en paralelo a lo anterior, su computador -ahora convertido en un zombi- se conectará a su comando central, a fin de recibir órdenes de su nuevo amo (esto en el sin que usted pierda control convencional de su PC). Desde allí, el criminal ordenará diversas operaciones delincuenciales a través de su computador. La posibilidad de ser incriminado por ello es alta, ya que finalmente es usted el dueño de dicho equipo (no importa si es una zombi).

4. Robo de documentos internos
En ocasiones, el criminal podrá tener interés en documentos de su corporación, para lo cual no tiene obstáculo alguno.

5. Violación a la privacidad
La violación de privacidad del usuario que opera la PC, es arruinada casi en la mayoría de casos. Esto se debe a que los zombis son programadas para extraer cada tarjeta de crédito o de débito que el usuario de la PC digite sobre ella.

6. Envío de SPAM
Esto último, no por estar al final significa que es menos frecuente, todo lo contrario. El envío de spam es lo más típico en una PC zombi.
Los criminales subarriendan su PC para el envío de correos no deseados (SPAM). Quizás, porque la industria comercial publicitaria sigue siendo una de las más rentables.
De esta manera, sus PCs se vuelven en motores de correo no deseado, con todo lo que eso significa: problemas con la leyes peruanas (o de otro país), y problemas con la blacklists.

Síntomas
Hasta aquí es muy probable que usted se pregunte cuáles son los síntomas de una PC zombi. En general, estos son variados, y casi siempre “imperceptibles”. Sin embargo, algunos pueden reflejarse -y no se limita- en los siguientes síntomas:
1. No percibe nada en su PC(s).
2. Percibe tráfico irregular al interior de la red, incluso, saturación y caida de equipos de internetworking (routers y switches) internos, si la red es proporcionalmente grande: red /8 , /16, o similar.
3. Mediante red, se observa tráfico de salida hacia los siguientes puertos TCP/UDP: SMTP, SSH, 5900, 1433, 2967, 2968, 45001, de Microsoft, y otras exentricidades más.
4. Observa consultas DNS salientes por un mismo dominio, en una frecuencia irregular.
5. Conexiones HTTP irregulares, que usted no generó manualmente o vía algún software conocido.
6. Recibe una notificación o llamada de su proveedor o uplink más cercano, o de algún centro de investigación de seguridad, o quizás de entidades financieras.

Muestras
Si no sigue las prácticas citadas en el post “least-privilege“, es altamente probable que su red tenga zombis, vea más en “tráfico autómata“.

Solución zombi
Debido a que una zombi tiene demasiadas aristas, restaurar una PC del estado de zombi no es una tarea que cualquiera pueda realizarlo. Usted puede contar con JaCkSecurity para esa labor (el tiempo de solución depende del nivel de daño y la experticia de su personal: JaCknoHaCk).

Posted in Knowledge, Zombis | No Comments »

Breve análisis de mail engañoso - II

Friday, September 21st, 2007

Siguiendo con el análisis sintetizado del malware anterior, se observó el siguiente hallazgo en VirusTotal.


Análisis del archivo Software.BBVAperu.exe recibido el 21.09.2007 22:44:45 (CET)

Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2007.9.22.0 2007.09.21 -
AntiVir 7.6.0.15 2007.09.21 -
Authentium 4.93.8 2007.09.21 -
Avast 4.7.1043.0 2007.09.21 -
AVG 7.5.0.485 2007.09.21 -
BitDefender 7.2 2007.09.21 -
CAT-QuickHeal 9.00 2007.09.21 W32.Brontok.Q
ClamAV 0.91.2 2007.09.21 -
DrWeb 4.33 2007.09.21 -
eSafe 7.0.15.0 2007.09.19 suspicious Trojan/Worm
eTrust-Vet 31.2.5154 2007.09.21 -
Ewido 4.0 2007.09.20 -
FileAdvisor 1 2007.09.21 -
Fortinet 3.11.0.0 2007.09.21 -
F-Prot 4.3.2.48 2007.09.21 -
F-Secure 6.70.13030.0 2007.09.21 -
Ikarus T3.1.1.12 2007.09.21 -
Kaspersky 4.0.2.24 2007.09.21 -
McAfee 5125 2007.09.21 -
Microsoft 1.2803 2007.09.21 -
NOD32v2 2544 2007.09.21 -
Norman 5.80.02 2007.09.21 W32/Suspicious_M.gen
Panda 9.0.0.4 2007.09.21 Suspicious file
Prevx1 V2 2007.09.21 -
Rising 19.41.42.00 2007.09.21 -
Sophos 4.21.0 2007.09.21 Mal/Packer
Sunbelt 2.2.907.0 2007.09.20 VIPRE.Suspicious
Symantec 10 2007.09.21 -
TheHacker 6.2.5.064 2007.09.21 W32/Behav-Heuristic-066
VBA32 3.12.2.4 2007.09.20 -
VirusBuster 4.3.26:9 2007.09.21 Packed/MEW
Webwasher-Gateway 6.0.1 2007.09.21 Win32.Malware.gen#MEW (suspicious)
Información adicional
Tama?rchivo: 77878 bytes
MD5: e620a25ba56dea87fe6bb1004284298e
SHA1: 980a1074bf19c7e1f9bc4d6b0a0160ba64ceb157
packers: MEW
packers: MEW
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Un ranking nada malo, para un malware que no tiene mucha complejidad de evasión (UPX, anti-debugging, etc). Esto último debido a que usa un artificio bastante viejo (quizás todavía útil), al modificar el archivo host del sistema infectado c:\windows\system32\drivers\etc, como sigue:

66.227.127.163 www.[nombre-banco].com
66.227.127.163 [nombre-banco].com]

Dirección que pertenece a otro proveedor de hosting web en Exton, PA (USA). Una réplica exacta al sitio web original.

Sin embargo, haciendo un examen muy sutil de los enlaces, se determinó que en el sitio web falso no enviaba a sitios ajenos al de la compañía original. Algo muy extraño, para tan elaborado esquema de fraude.

Una idea posible es, la intención del atacante de sensar el número de usuarios que van a caer en esta trampa.

Posted in Detección, Knowledge | No Comments »

Breve análisis de mail engañoso - I

Friday, September 21st, 2007

Desde hace varias semanas atrás, varios escritores de malware están aprovechando la imagen de instituciones, de las que se supone se preocupan por la seguridad de sus usuarios informáticos o del público en general (generalmente con el ardid de una herramienta anti-phishing). Prueba de ello es el siguiente correo que llegó a un dominio peruano, hace unas pocas horas.

Al analizar rápidamente el mensaje engañoso se descubre:

1. Dirección IP del host donde se halla el malware, siendo este uno como “http://xx.yyy.201.115/Software.BBVAperu.exe, proveniente de un aparente servidor de hosting web hackeado en Chicago, IL (USA), en la que además se observa una imagen muy sugerente que proviene de un servidor aparentemente aislado a estos hechos (FantasyMundo.com).

2. Dirección IP del host de donde fue emitido el correo, siendo éste uno como xx.yyy.150.29, proveniente de un servidor (también, posiblemente hackead) ubicado en España, que redirecciona a una aplicación webmail (Horde) en el mismo servidor.

3. Direcciones IP (dentro del código html fraudulento) de la imagen relativa a la entidad que se procura falsificar, que responde DiaDeNegocios.com.ar y VisaNet Perú, una buena forma de evadir la técnica de contra phishing que publicase este blog en pasadas fechas.

Posted in Detección, Knowledge | 1 Comment »

Las blacklists y ley peruana Nro.28493

Thursday, September 20th, 2007

Enviar correos publicitarios a redes peruanas, puede ser muy riesgoso si quien lo envía no se ha ceñido a la normativa de la ley Nro. 28493. Sin embargo, el hacerlo no garantiza estar libre de otros problemas.

A continuación, se muestra un ejemplo real en retrosprectiva.

Mensaje original, amparado por la ley indicada, fue recibido el día viernes 14 setiembre 2007:

Identificación de dirección IP:

Return-path:
Envelope-to: XXXXX@jacksecurity.com
Delivery-date: Fri, 14 Sep 2007 16:08:07 -0400
Received: from XXXXX by XXXXXXXXX.com with local-bsmtp (XXXXXX)
(envelope-from )
id 1IWHSK-0007lR-H3
for XXXXX@jacksecurity.com; Fri, 14 Sep 2007 16:08:07 -0400
Received: from [200.10.167.16] (helo=corona.mailer.local)
by XXXXXXX.com with esmtp (XXXXXX)
(envelope-from )
id 1IWHSK-0007l5-7h
for XXXXX@jacksecurity.com; Fri, 14 Sep 2007 16:08:00 -0400
Received: from mail pickup service by corona.mailer.local with Microsoft SMTPSVC;
Fri, 14 Sep 2007 15:53:40 -0400
Reply-To:
From: “Noticias Saga Falabella”
To:
Subject: PUBLICIDAD: Oportunidad Unica Fonocompras Saga Falabella
Date: Fri, 14 Sep 2007 15:51:44 -0400
Message-ID: <1106c01c7f708$ae386900$4ca90ac8@mailer.local>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”—-=_NextPart_000_1106D_01C7F6E7.2726C900″
Content-Location: http://crux.falabella.cl/correos/Internet_peru/20070912b/index.asp
X-Mailer: Microsoft CDO for Windows 2000
Thread-Index: Acf3CK213puhOVxNQ3CXUm9dh6hJfg==
Content-Class: urn:content-classes:message

Consulta de la IP origen en DNSStuff:

Verificaciones de direcciones IP colindantes a ésta:

Mediante consulta de rDNS de IP superiores y colindantes, se halló:
mail2.falabella.cl = 200.10.167.8 (un servidor importante)

En suma, para la empresas peruanas que buscan estar libres del calificativo de SPAMMER, no basta con alinearse a la ley Nro. 28493, también hace falta seguir los criterios internacionales que son -por cierto- ajenos a esta ley. El principal criterio es simplemente no enviar mensajes publicitarios no deseados, o la red se verá afectada por las blacklist, y las comunicaciones corporativas podrían arruinarse por culpa de ello. Por supuesto, esto último puede ser objetable, debido a que muchas veces el receptor entrega su correo a una compañía sin prestar atención a aquellos párrafos donde se señala que recibirá publicidad de esta. Sin embargo, a menos que el receptor de la publicidad tenga la buena fe de limpiar la reputación del emisor, SpamAssassin lo advertirá como posible SPAM.

Más detalles:


pts rule name description
—- ———————- ————————————————–
0.1 RDNS_NONE Delivered to trusted network by a host with no rDNS
1.4 DATE_IN_PAST_03_06 Date: is 3 to 6 hours before Received: date
0.5 FUZZY_CREDIT BODY: Attempt to obfuscate words in spam
2.4 TVD_FW_GRAPHIC_NAME_LONG BODY: TVD_FW_GRAPHIC_NAME_LONG
0.0 HTML_MESSAGE BODY: HTML included in message
1.7 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
1.3 SUBJECT_NEEDS_ENCODING SUBJECT_NEEDS_ENCODING
-1.5 AWL AWL: From: address is in the auto white-list

Posted in Knowledge, Spam | 1 Comment »

Seguridad en Bluetooth, serie 1

Monday, September 17th, 2007

Usando un programa que ejecutaba desde una portátil, y aprovechando un agujero de seguridad en el sistema Bluetooth de los móviles Sony Ericsson T610, Nokia 6310 y 8910, robaron hasta 8 agendas telefónicas de un total de 46 teléfonos que portaban los asistentes de un congreso político. Todo esto en 15 minutos.

—————————————————————————————————————
Bienvenido al primer post de esta serie, auspiciada por nuestro servicio de seguridad JaCkHaCk-Pentest, provocando déjà-vus en la red.
—————————————————————————————————————

Cuando nos decidimos cambiar de equipo celular, normalmente buscamos uno mucho mejor que el anterior y con ciertas características que lo distinga del resto. En un primer momento queríamos que el equipo celular contase con una cámara integrada, luego que reproduzca los formatos de música que quisiéramos, luego que almacenara información, y luego que se pudiera compartir con nuestros amigos. Por eso último, se difundió el uso del infrarrojo. Y ¿que tal si nuestro amigo tenia una marca distinta a la de nuestro equipo? necesitábamos algo más en nuestro equipo celular para poder cubrir esa necesidad, pues bien, por eso llego el Bluetooth.

Hasta ahora, todos felices, necesidad satisfecha
Uno comparte su información a una velocidad mayor, sin contar con línea de vista al otro equipo, y perfecto… todo bien

¿Pero es así? ¿Está todo bien?
Al parecer cuando la tecnología incrementa, el factor riesgo también lo hace, Eso es algo a lo que deberíamos acostumbrarnos o al menos a tomarlo siempre en cuenta. Con respecto a ésta tecnología, me estoy refiriendo al nuevo termino de moda en la seguridad, el “Bluehacking”. Una técnica de hacking que se da en varios países, y por lo que veo, también en Perú.

Bluehacking es el acto de ingresar a un equipo celular externo que este dentro de nuestra área de cobertura, a fin de hacer algunas manipulaciones sin el consentimiento del usuario, lo que incluye el robo de información, el husmeo de la bandeja de mensajes de texto, la lectura de esos mensajes –tanto los recibidos como los enviados-, el cambio de la configuración de idioma, la realización de llamadas, el apagado del celular o incluso la activación de la cámara integrada del equipo, todo eso sin pedir permiso alguno a su dueño. ¿de película verdad?

Esa es la realidad. Si no protegemos nuestro equipo celular o de computo de las facilidades de esta tecnología, podríamos terminar con un ataque de paranoia al no saber porque nuestro amigo de al frente sabe de todos los mensajes que recibimos el día anterior, o porque me cobran una llamada que nunca realicé.

¿Existen medidas de seguridad para esto?
Sí, las medidas de seguridad están a la mano, solo es cuestión de ponerle interés en aplicarlas. Si es lector frecuente de éste blog, aprender como hacerlo.
Mientras tanto, algunas medidas rápidas contra el Bluehacking son:

  • asegurarse que nuestro equipo tiene una clave de acceso
  • evitar el tener activado el modo Bluetooth cuando no lo vayamos a emplear, no quisiéramos que mientras vamos al centro de trabajo, el pasajero del asiento posterior este leyendo nuestros mensajes de texto ¿verdad?
  • mantener el firmware del equipo celular actualizado o al menos mantenerse al tanto de los fallos encontrados en dichos equipo (y si es posible, buscar la manera de mitigar dichos fallos)

    • En los siguientes posts, comentaremos acerca de herramientas y técnicas de ataque, mientras eso, usted ya está advertido de los riesgos en su celular con Bluetooth.

    Jimmy Villanueva, DCWE

    Posted in Bluetooth, Knowledge | 1 Comment »

    Cómo descubrir al ciber-delincuente de un phishing

    Thursday, September 13th, 2007

    Esta es una excelente y sencilla lección para aquellos bancos que se están iniciando en la búsqueda y cacería de las mafias de phishing, vea http://seguridad.internautas.org/html/4315.html

    Un trabajo similar realizamos hace varios años en un laboratorio educativo de análisis de phishing contra un banco famoso. Vea: http://www.jacksecurity.com/publicacion.php?idpub=4

    Posted in Detección, Knowledge | No Comments »

    Privacidad estilo Google

    Wednesday, September 12th, 2007

    In the first in a series of short, informative videos on privacy, Google talks about what information we collect when you use our search engine and the steps we’ve taken to protect it. In future videos, we’ll talk about why Google keeps logs, what information we record when you’re signed into a Google account and steps you can take to increase your privacy when surfing online. Much of this information is already available at our online Privacy Center at http://www.google.com/privacy.html

    Posted in Knowledge | No Comments »

    Facultades del empleador sobre el e-mail

    Saturday, September 8th, 2007

    Articulo facultades del empleador y el derecho a la intimidad del trabajador El imágenes dentro del PDF adjunto son cortesía de Martin Valdivia, actual editor de JaCkNews, como complemento a su comentario de la noticia “El delator de los archivos descargados vía USB“, publicado en el boletín #33.

    Posted in Knowledge, Privacidad | No Comments »

    La privacidad por los suelos

    Friday, September 7th, 2007

    Un estudio realizado por la universidad Carnegie Mellon sugiere que las personas no pagarían ni 25 centavos de dólar, es decir, 0.80 céntimos de nuevo sol, para proteger sus datos personales.

    Si tiene tiempo, la presentación de Alessandro Acquisiti, titulada “Privacy, Economics, and Inmediate Gratification: Why Protecting Privacy is Easy, But Selling It is Not“.

    No obstante, las imágenes valen más que mil palabras, y por ello aquí tiene una muestra gráfica de cómo a la gente parece no importarle su privacidad.

    Paso 1. Felicito (un personaje ficticio) se registra en www.cumplealerta.com, para recordar los aniversarios de sus amigos (una herramienta muy útil, para los vendedores, en especial, hoy que todos venden algo).

    Paso 2. Al mismo estilo de Jaimito el cartero, Felicito prefiere evitarse la fatiga de poner la cuenta de correo de cada amigo, para que CumpleAlerta se lo envíe. Por ello, prefiere dejarle al sistema su cuenta de correo y su contraseña para que éste lo haga por él.

    Paso 3. Felicito ha dejado sin chistar la llave de su casa virtual, para que alguien pueda leer no sólo sus contactos, sino también los correos de que envío, los correos que recibió, y aún todo lo que a partir de hoy pueda entrar o salir a dicho buzón (aunque esto último sólo si Cumple Alerta viola su propia política, o si un bug lo genera).

    La vida privada de Felicito se fue por los suelos.

    Nota: El darle tu contraseña a un sistema como éste, no tiene simil a dar las llaves de un auto al Valet Parking para que lo estacione. [Un bug en un software como el visto arriba puede provocar fuga accidental de todos sus correos, y no hay seguro que le devuelva su privacidad ultrajada (por accidente), pero si hay seguros contra robo que le permita recuperar un auto nuevo, luego que el Valet Parking le extrajo una copia de su llave]

    Posted in Knowledge, Privacidad | No Comments »

    Abriendo un “Stock Spam”

    Friday, September 7th, 2007

    [Para aquellos que usan SpamAssassin u similar] Al igual que usted, nosotros no solemos abrir correos SPAM, pero llevados por la curiosidad de saber cómo los mismos, vienen mutando técnicas, hallamos uno del tipo Stock Spam bastante curioso.

    Dentro de un título nada sugestivo [Someone Should Have Assassinated Bush], hallamos una información llamativa para inversionistas incautos, pero crédulos, con el siguiente texto:

      We are glad to inform you of a CANCER CURE invented
      by ANDOVER MEDICAL INC (ADOV), that will take
      the world by storm. This new medicine, is above all other
      and boosts a 80% success rate during clinical trials

      Over the next few days you will hear about this in the PAPERS and on TV.
      So buy shares now, while price is low, before the news hits.

      ANDOVER MEDICAL INC (ADOV)
      $.45

    Ello nos llevó a comprobar si efectivamente, no se trataba de un HOAX o un correo de prueba. Así determinamos, vía Google, que dichas siglas eran válidas.

    Lo curioso, sin embargo, fue que en horas nada le pasaron a estas acciones, mas bien al ver la caida que tuvo, todo indicaría que el Stock Spam pudiera haberle afectado.

    Posted in Knowledge, Spam | No Comments »

    “Decode or encipher”

    Tuesday, September 4th, 2007

    Un lugar para visitarRecientemente, en una amena conversación tecnológica con unos colegas de internetworking acerca de una tecnología de comunicaciones de señal abierta (inalámbrica), descubrimos que más de una persona de redes confunde la dificultad entre decodificar (decode) y descifrar (encipher), ambas cosas no son lo mismo.

    Aunque una señal que viaja por el aire, puede estar codificada con un protocolo propietario, ello no significa que no pueda ser desmenuzado a fin de obtenerse la data que viaja dentro de ella. Una posibilidad es hacerlo con un analizador de protocolo propietario, es decir, de la misma compañía que lo diseñó, o con una copia pirata de la trama o framework del protocolo en mención. De ello no nos cabe la menor duda, pues hace unos años atrás conocimos a un colega de análisis de protocolos que desarrolló un decodificador, usando un módulo avanzado de un software de olfateo de red.

    En resumen, no hay ninguna seguridad al respecto de cualquier data que viaja inalámbricamente, sólo porque el protocolo es propietario.

    Una situación muy diferente es si la data dentro de la trama del protocolo inalámbrico propietario, o mejor aún todo el tráfico viajase cifrado. Si ciframos, con la ayuda de un buen protocolo criptográfico, no tendríamos problemas en la seguridad de transmisión, aún si alguien tuviese acceso a la constitución del tramado de los paquetes que viajan en dicho protocolo propietario.

    Esta confusión no es de esperarse en alguien que en su rato libre, ha visitado un lugar como el Museo del Espionaje en (Washington, DC), o que se ha preparado bien (en el módulo de criptografía) para su examen CISSP. El próximo examen CISSP en Lima auspiciado por JaCkSecurity será el 28 de octubre.

    Posted in Detección, Knowledge | No Comments »