Archive for the ‘Privacidad’ Category

Acerca del documento ‘Fake Access Point’

Monday, April 20th, 2009

Es probable que alguna vez haya leído que quien rompe un sistema no demuestra tener habilidades comparables a las que posee quien lo asegura (en el sentido de menor mastering para el primero) (¿tema controversial? Posiblemente, sí). Como sea, al parecer esto -también- podría plantearse cuando se quiere que la seguridad sea quebrada desde el pellejo de un criminal vs. el de un pentester (en el mismo sentido de menor mastering).

Si Ud. es un buen observador del peso de la privacidad, descubrirá a qué nos referimos cuando lea nuestra nueva publicación “Fake Access Point“, acerca de cómo crear un access-point falso, para un ataque de MITM (man in the middle).

De cualquier manera, si tiene cómo defender “legítima y legalmente” las consecuencias de sus actos (por hacer o contratar un ataque de esta naturaleza), sabrá que hacerlo tiene mucho sentido. La razón fundamental es la predisposición de las personas con objetos portátiles (laptops, principalmente) de conectarse a redes inalámbricas próximas.

Sólo pregúntese:

A qué usuario no le apetece tener acceso a Internet, libre de las restricciones de seguridad que le imprime la política de seguridad de la compañía y de esos filtros de contenido, que Ud. mismo impuso.

Lo curioso es que la anterior sentencia no es sólo cierta para usuarios convencionales, también lo es para profesionales de tecnología ligados a la seguridad. Tal y cómo lo compartimos -a los participantes- al final de un taller de seguridad, nuestro team realizó un estudio (coordinado) para conocer cuántos de los que eran propensos a conectarse a cualquier access-point, tenían puertos de servicio abiertos (listening) en sus sistemas. El resultado fue 60%.

Ahora súmele a ello, lo que Jonny Lee Miller, en el papel de Dade Murphy (película Hackers), dijo:

“if we were gonna some heavy metal, I’d, uh, work my way through some low security, and try the back door”

Sin duda, robar credenciales a los sistemas heavy metal desde los más indefensos (los usuarios WiFi), puede ser deliciosamente provocador desde la perspectiva de un criminal, bajo el abrigo de la ilegalidad; pero a la vez, tremendamente retador desde la perspectiva de un pentester, a quien podría irle muy mal si se acoje sólo a las habilidades del primero.

Por ello, podemos concluir, que probar la seguridad vía la figura de un pentester puede no ser siempre lo mismo que para un criminal informático, desde las habilidades técnicas puras.

Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría

Posted in Knowledge, Privacidad, SANS-SEC503 | No Comments »

Earth HOUR: un asunto de seguridad nacional

Wednesday, March 18th, 2009

PROPUESTA A APAGAR LUCES DESDE LAS 8:30 PM – 9:30 PM DEL SÁBADO 28 MARZO

VOTE EARTH Existe una noticia antigua, y aún persistente propaganda acerca del cambio climático que afirma, que el Perú es el tercer país MÁS VULNERABLE del mundo al cambio climático (luego de Honduras y Bangladesh). Una afirmación similar y posterior, también, es hallada con facilidad en otros sitios de noticias.

Aunque no tuvimos suerte de localizar la fuente original del informe del Tyndall Centre, deberíamos asumir responsablemente el potencial riesgo de la amenaza del cambio climático por la incapacidad de recuperación que tendremos luego.

Por supuesto, visto desde un puro enfoque de gestión, un riesgo sin una vulnerabilidad fielmente documentada no debería incomodar mucho en la mente de un dueño de negocio, especialmente si posee más de una empresa y, además, sólo una de ellas es propensa a cierto riesgo (cuya vulnerabilidad no está bien documentada y cuya amenaza tiene aún sus controversias). Pero, la realidad es que no somos dueños de más de 1 planeta tierra, sólo contamos con uno. Desdee ese otro enfoque, la tolerancia al riesgo es una neglicencia y una mala práctica per se.

Para subir la temperatura de la emoción y conmoción, deberías sumarle provocadoras noticias. En una, se señala que la Economía peruana entre las más vulnerables por cambio climático, según científicos; y en la otra, que China, India y Perú serán las economías de más alto crecimiento en el 2009.

Por supuesto, esto no es un llamado para que nuestros colegas gestores de riesgo pugnen el liderazgo de este proyecto social al interior de sus organizaciones, de ninguna manera. Es tan sólo el fluir social de parte de la ética que profesamos.

Por ello, consideramos que el proyecto EARTH HOUR es un asunto de cultura de seguridad para las generaciones futuras, que empieza con nosotros en este siglo, en estos años.

Si quiere saber más de EARTH HOUR 2009, por favor visite el website.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Posted in Detección, Geek, Knowledge, Privacidad, SANS-SEC503, Spam, Zombis | No Comments »

“Phish fighters” dicen adios

Sunday, December 28th, 2008

CastleCops, una entidad muy activa para investigar, condensar y publicar hallazgos de rootkits, malware y phishing en general, ha dejado su último adios al Internet.

Si ponemos a CastleCops en la balanza de la utilidad end-user y el esfuerzo sin lucro, quizás hasta podría dejar atrás a otras más organizadas y políticas, que sin dejar su mérito (reportes y resúmenes, además de conferencias exclusivas), siguen adelante, aunque con muy altos costos de membresía, como el AntiPhishingGroup.

Mientras, tanto, no olvide que en la lucha de la identificación del malware, VirusTotal no es la única medicina gratuita, también (desde hace meses) está presente el ofrecimiento (sin costo) del Team Cymru, con su Malware Hash Registry (free), menos sofistificado que VirusTotal, pero quizás más confiable.

También sugerimos revisar los post esmerados de nuestro de http://www.perusec.org/.

Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría

Posted in Malware, Privacidad | No Comments »

Tenga cuidado con lo que escribe en la red

Monday, December 3rd, 2007

Cuando escriba en la web debe tener cuidado de lo que allí pone, y de quien escribe. Quizás usted mantenga en anonimato su identidad, pero no así la identidad de quien escribió.

Un peligro militar es el que hacen familiares y amigos de gente en batalla, en ciertos lugares públicos de Internet donde se puede pedir por oración. En ellos se observan detalles sumamente peligrosos para la familia del militar en batalla, como para él mismo, y quizás aún peor para su pelotón. Datos como: oren por mi amigo cuyo nombre y apellido es John Joe (ficticio), su lugar actual es Iraq (ficticio), estará sirviendo por 6 meses a partir de noviembre 2007 (ficticio), tiene tres hijas, y ama a su esposa. Yo escribo desde la ciudad de XYZ en el estado de XYZ, mi nickname es YXZ.

Sólo cojes el nombre del amigo en batalla y lo mandas a Google, y en primera fila aperece sus detalles en Linked-In.

Nuevamente, tenga cuidado con lo que escribe en la red, usted podría poner en riesgo no sólo una vida, sino un grupo de vidas. Lo mismo puede suceder, incluso con delicadas operaciones de negocios.


Como en este video, vidas pueden estar en peligro.

Posted in Privacidad | No Comments »

Facultades del empleador sobre el e-mail

Saturday, September 8th, 2007

Articulo facultades del empleador y el derecho a la intimidad del trabajador El imágenes dentro del PDF adjunto son cortesía de Martin Valdivia, actual editor de JaCkNews, como complemento a su comentario de la noticia “El delator de los archivos descargados vía USB“, publicado en el boletín #33.

Posted in Knowledge, Privacidad | No Comments »

La privacidad por los suelos

Friday, September 7th, 2007

Un estudio realizado por la universidad Carnegie Mellon sugiere que las personas no pagarían ni 25 centavos de dólar, es decir, 0.80 céntimos de nuevo sol, para proteger sus datos personales.

Si tiene tiempo, la presentación de Alessandro Acquisiti, titulada “Privacy, Economics, and Inmediate Gratification: Why Protecting Privacy is Easy, But Selling It is Not“.

No obstante, las imágenes valen más que mil palabras, y por ello aquí tiene una muestra gráfica de cómo a la gente parece no importarle su privacidad.

Paso 1. Felicito (un personaje ficticio) se registra en www.cumplealerta.com, para recordar los aniversarios de sus amigos (una herramienta muy útil, para los vendedores, en especial, hoy que todos venden algo).

Paso 2. Al mismo estilo de Jaimito el cartero, Felicito prefiere evitarse la fatiga de poner la cuenta de correo de cada amigo, para que CumpleAlerta se lo envíe. Por ello, prefiere dejarle al sistema su cuenta de correo y su contraseña para que éste lo haga por él.

Paso 3. Felicito ha dejado sin chistar la llave de su casa virtual, para que alguien pueda leer no sólo sus contactos, sino también los correos de que envío, los correos que recibió, y aún todo lo que a partir de hoy pueda entrar o salir a dicho buzón (aunque esto último sólo si Cumple Alerta viola su propia política, o si un bug lo genera).

La vida privada de Felicito se fue por los suelos.

Nota: El darle tu contraseña a un sistema como éste, no tiene simil a dar las llaves de un auto al Valet Parking para que lo estacione. [Un bug en un software como el visto arriba puede provocar fuga accidental de todos sus correos, y no hay seguro que le devuelva su privacidad ultrajada (por accidente), pero si hay seguros contra robo que le permita recuperar un auto nuevo, luego que el Valet Parking le extrajo una copia de su llave]

Posted in Knowledge, Privacidad | No Comments »