Archivo

Archivo para la categoría ‘Seguridad Informatica’

Seguridad en la Información ¿Dónde?

Miércoles, 25 de enero de 2012 Sin comentarios

Desde luego en las comunicaciones de las revisiones médicas de mi empresa no.

Cada día oímos cosas sobre la privacidad de Facebook, o la importancia de mantener nuestros datos de caracter personal controlados, de hecho, a mí de vez en cuando me recriminan la cantidad de datos que se pueden ver en Facebook, Linkedin u otras redes sociales sobre mí. Y siempre respondo lo mismo: Nadie puede ver NADA que yo no quiera compartir, principalmente porque NO COMPARTO NADA que no quiera que la gente sepa.

Y sin embargo me acabo de encontrar con un ejemplo GRAVISIMO de vulneración en la privacidad de alguien… y me lo he encontrado tras la revisión medica anual que me hace la empresa.

El Lunes pasado fui al centro asociado designado por mi empresa, cuyo nombre empieza por F y termina por EMAP, donde la Médica y la Enfermera me trataron genial, incluso durante la extracción de sangre, dado mi dado mi pavor por las agujas. Hasta ahí todo normal.

Hoy Miércoles, dos días después de dicho reconocimiento, me llega un email al correo de la empresa. En él me comunican que el informe de la revisión médica puedo descargarlo de una página cuyo enlace me indican en ese mismo correo. Ver imagen (retocada para omitir información)

Ya empezamos mal. No solo por que me dan una clave alfanumérica de 6 caracteres, tampoco por que la misma me la facilitan al correo de la empresa sin cifrar (que sí, que estará protegido, pero aun así no es manera), tampoco por que la misma información me la hayan enviado via SMS a mi teléfono móvil, sino porque el enlace que ahí aparece empieza por “http:\\“, y no “https:\\” como debiera ser tratándose de un informe médico.

Una vez dentro de dicha página, nos encontramos con esto. Ver imagen.

Nos encontramos en una página que permite descargar mi información médica, que recordemos, son datos de Carácter Personal de ALTA PROTECCION, según recoge la LOPD 15/1999. Que no tiene un cifrado SSL, ni está certificada por ninguna entidad de confianza. Viva la seguridad en la información.

En esa misma página, con un poco de información básica sobre mí, la contraseña que antes me facilitaron y aceptando las condiciones de uso, que solo indican que la contraseña facilitada expira a los DOCE MESES de su emisión (sin comentarios), puedes descargarte un PDF con la información de dicha revisión médica.

Pero no todo acaba ahí, ya que al abrir el PDF y resulta que me indica que la validez de la firma de dicho documento es desconocida porque ninguno de sus certificados procede de una entidad de confianza…

… y ahí yo ya me echo a llorar.

Contraseñas

Jueves, 26 de marzo de 2009 Sin comentarios

Hoy leyendo el periódico, he dado con una noticia que ya había tratado hace tiempo en este blog, el tema de la seguridad informática y las contraseñas.

En dicho escrito, relataba la facilidad con la que era posible romper la seguridad ofrecida mediante contraseñas… y no por la debilidad del sistema, sino por la debilidad del interfaz que actua con el sistema, es decir, los humanos.

En el artículo del periódico, una experta en seguridad decía: “desde que me levanto hasta que me lavo los dientes introduzco casi 20 contraseñas: facebook, messenger, correo, cuenta de la empresa, el banco.. ¿Es o no es un fastidio?” Esto resume la mentalidad que nos suele embargar a todos, recordar 20 contraseñas (o más) diferentes y complejas es algo trabajoso, y por tanto, tendemos a utilizar contraseñas débiles, que involucren aspectos de nuestra vida cotidiana y/o utilizar la misma para varios sistemas.

Si a eso le añadimos que no solemos cambiar dichas contraseñas nunca o casi nunca… tenemos una papeleta muy gorda para provocar una agujero de seguridad.

Podemos pensar: “Bah!! para lo que tengo…”, pero eso no soluciona el problema, ya que si tenemos una cuenta de correo que apenas utilizamos, con una contraseña débil… me apuesto a que en otro sitio tenemos alguna cuenta delicada (banco, trabajo, móvil) con una contraseña tambien débil.

Una consultora americana ha hecho un estudio mediante 28000 contraseñas de un sitio web, y estos son los resultados:

  • Un 16% ha escogio su propio nombre o de algun familiar
  • Un 14% secuencias como 1234
  • Un 5% titulos de peliculas o series
  • Un 4% la palabra “password” (contraseña) u otras como Whatever (lo que sea), Iloveyou (te quiero) o Yes (si).

Estamos hablando que un 39% de las 28000 contraseñas de un sitio web ( sin contar con las palabras sueltas, en minúsculas o frases sencillas), habias elegido una contraseña muy fácil de averiguar. Y estamos en plena era tecnológica.. para cagarse!

En el artículo que escribí tiempo atrás, y que esta enlazado al principio de la página, di una escueta serie de consejos, que ahora pretendo ampliar, basado en las recomendaciones de los expertos.

  1. Dales ritmo: utiliza las primeras letras de un par de frases fáciles recordar, como (1Esbsltd1A) que significa (1 Elefante se balanceaba sobre la tela de 1 Araña).
  2. Pon frases en vez de palabras: deben ser frases poco comunes, como la primera de un libro que te haya gustado, añadiendo mayúsculas, números y signos. “En un lugar de la Mancha” podría dar la contraseña: E1ldlM$$$.
  3. Usa el teclado: dibuja líneas imaginarias en el teclado, como TgbyhN01. No uses pautas obvias como qwerty.
  4. Juega con los números que parecen letras: A es como 4. S es como 5. I es como 1. 0 es como O. La contraseña puede ser: M4r1p054.
  5. Usa pautas: utiliza la misma raíz en todas tus contraseñas. Por ejemplo, para el banco: 5mnb&banco. Para el correo: 5mnb&correo.
  6. No cambies nunca tus contraseñas en viernes por la tarde. Te será difícil recordarlas el lunes.
  7. Cambia la contraseña un mínimo de 3 o 4 veces al año.
  8. No pongas información personal. Cuando te inscribas en un servicio y su sistema de recuperación de contraseñas te proponga diversas preguntas cuyas respuestas verificarán tu identidad, da respuestas falsas y apúntatelas por si el servicio te las pide otra vez.
  9. Nunca apuntes tus contraseñas en un sitio público (tipo Post-it) y no las compartas con nadie.
  10. Aunque muchos sitios ya lo tienen bloqueado, intenta no recordar las contraseñas con el navegador, sobre todo en sitios delicados.

Y esto es todo, espero ser de ayuda.

Seguridad (y 3..)

Domingo, 28 de enero de 2007 Sin comentarios

Sacado de http://www.elpais.com/diario/ciberpais/

————————————————————————————————-

Los troyanos sustituyen al ‘phishing’ en el robo de datos bancarios

La desconfianza de los internautas ha provocado que el correo ya no sea la forma mayoritaria de propagación del ‘phishing’ – El 72% del código malicioso es con fines lucrativos, según PandaSoftware

Las mafias que roban cuentas de la banca en Internet cambian de estrategia. Están dejando de mandar mensajes masivos que simulan proceder de bancos, conocidos como phishing, y suben las infecciones por los llamados troyanos bancarios, más efectivos y selectivos, que entran en ordenadores con sistema operativo Windows al visitar un sitio web.

Acaban los tiempos de los ataques masivos a discreción. Los nuevos ladrones de datos bancarios son unos bichos silenciosos que donde ponen el ojo ponen la bala. Viajan por las redes P2P, foros, mensajes de correo y mensajería instantánea, ofreciendo enlaces o archivos adjuntos con ganchos como el vídeo de Daniella Cicarelli en la playa o la ejecución de Sadam Hussein.

Cuando el incauto pincha en el adjunto o visita el enlace, el troyano se mete en su ordenador. Estará inactivo hasta que su víctima visite alguno de los bancos para los que está programado, que pueden ser más de cien. Entonces, grabará las contraseñas que teclee, capturará imágenes de la pantalla o las pulsaciones. Y mandará los datos obtenidos al ladrón.

PandaSoftware asegura que el 56% del código malicioso actual corresponde a estos troyanos, surgidos en 2004 y que en 2006 “se dispararon”. El servicio VirusTotal, de Hispasec Sistemas, detecta 50 diarios: “Se suelen diseñar para atacar a las entidades bancarias con mayor volumen de clientes”, explican.

Desde el Instituto Nacional de Tecnologías de la Comunicación (Inteco) precisan: “En los dos últimos años ha habido un descenso en las amenazas masivas para robar información financiera, unido a su mayor criminalización. Lo rentable es el código malicioso especializado y silencioso, que incorpora técnicas de ocultación y realiza ataques selectivos a un menor número de sistemas, de forma que no causen el suficiente alboroto para llamar la atención de las casas antivirus”.

Muchos troyanos no son detectados por los programas antivirus porque éstos no conocen su existencia: “Se distribuyen silenciosamente; además, usan técnicas para eludir los antivirus”, explican en PandaSoftware, donde destacan: “Estas personas están obteniendo beneficios, lo que las anima, por eso vemos un crecimiento tan rápido. El 72% del código malicioso tiene que ver con el cibercrimen con fines lucrativos”.

La sofisticación que representan estos troyanos es consecuencia de que al cibercrimen le cuesta cada vez más engañar al internauta, explican en Hispasec: “El phishing requiere que se crean que el mensaje proviene de su banco y que metan las claves en una página cuya dirección no corresponde a la de su entidad”.

La desconfianza de los internautas también ha provocado que el correo ya no sea la forma mayoritaria de propagación de estos troyanos, según el Inteco: “Se usan mucho los sitios web maliciosos, a los que se intenta dirigir a los internautas con todo tipo de artimañas, enlaces en foros y mensajería instantánea, con el fin de aprovechar vulnerabilidades en sus navegadores por las que se introducirán los troyanos”.

Ya hay tantos troyanos bancarios en circulación que se dividen en familias, como la Banker o la Bancos, correspondiente a los bancos españoles, y dos escuelas: la rusa y la brasileña. Los troyanos de la primera, afirman en VirusTotal, “afectan a un gran número de entidades de todo el mundo, suelen capturar las pulsaciones del teclado o interceptan los datos que envía el navegador”.

La escuela brasileña, en cambio, actúa en Brasil, Latinoamérica y España. Suyo es el troyano que usa como señuelo un vídeo de Daniella Cicarelli. “Técnicamente se basan en la superposición de ventanas, de forma que el usuario crea que está introduciendo sus contraseñas en el navegador, cuando en realidad lo está haciendo sobre una ventana diseñada por el troyano”, explican.

Los expertos advierten que la mejor arma contra los troyanos bancarios es la prevención: usar programas actualizados, especialmente los navegadores y sistemas operativos, no pinchar en archivos o enlaces procedentes del correo no solicitado, estar informado de las amenazas y tener sentido común.

————————————————————————————————————–

Y ahora la explicacion de ambos metodos: Troyano y Phishing


Caballos de troya (Troyanos)

Los caballos de Troya, o Troyanos son programas que normalmente ocupan poco espacio y “se cuelan” a voluntad en el interior de un ejecutable. Este subprograma se coloca en un lugar seguro de la máquina para que no se detecte, no modifica nada de los archivos comunes del ordenador y cuando se cumplen determinadas especificaciones el subprograma muestra unos mensajes que sugieren o piden al usuario la contraseña de la máquina, o simplemente permite a la persona que ha enviado el ejecutable acceder al ordenado infectado, controlando tareas que van desde el interferir en las conversaciones, hasta cambiar el fondo del escritorio.

Por lo general los troyanos tienen como fin el molestar a los usuarios de un equipo, aunque se pueden dar casos de espionaje, o saboteos de ordenadores.

Phishing

El phishing tradicional se presenta en forma de correo electrónico simulando provenir de la empresa suplantada, la mayoría de las veces una entidad financiera, e instando al usuario con cualquier excusa a introducir sus claves en un formulario que realmente envía los datos
al phisher.

Aunque simple, llega a ser efectivo. El hecho de que continúen con esa estrategia lo demuestra por si sólo, sin necesidad de contar con estadísticas o datos concretos de incidentes reales, tema tabú por otro lado.

Seguridad (2): Contraseñas

Miércoles, 24 de enero de 2007 Sin comentarios

Siguiendo con el tema que teniamos entre manos, hoy voy a hablar del metodo de proteccion mas simple que existe: Poner una contraseña.

Convivimos con las contraseñas es casi todos los aspectos de nuestra vida, lo queramos o no. Estan en las cuentas bancarias… en los moviles…. en los ordenadores…. en la web…. en algunos coches…. incluso algunos aparatos electricos caseros como pueden ser un reproductor de Dvd o una television pueden tenerlas!

Por supuesto, desde la aparicion de este metodo de seguridad, existe tambien la manera de burlarlas, lo cual, es algo inherente a su existencia. Para ello existen muchos metodos, desde los manuales (probando distintas contraseñas a mano), o con ayuda de algun programa.

Para romper una contraseña se suele proceder de la siguiente forma:

Muchas contraseñas de acceso son obtenidas fácilmente porque involucran el nombre u otro dato familiar del usuario, que además nunca la cambia (Perro, casa, El nombre del usuario, etc..). En esta caso el ataque se simplifica e involucra algún tiempo de prueba y error. Otras veces se realizan ataques sistemáticos (incluso con varias computadoras a la vez) con la ayuda de programas especiales que pueden actuar de dos maneras:

La primera es por “Fuerza Bruta”, lo cual significa probar todas las combinaciones posibles de caracteres. Esto suele ser la ultima opcion ya que aunque es un metodo infalible (siempre encuentras la clave), se necesitaria mucho tiempo para obtener un clave medianamente larga. Ejemplo

Imaginemos que tenemos una clave de 8 digitos, que incluye todos los caracteres imprimibles (96 en total), eso haria:

96 caracteres ^ 8 digitos = 721389578983000 combinaciones posibles.

Ahora imaginemos que tenemos un programa que prueba 100000 contraseñas en un segundo (los hay hasta mas potentes).

7213895789830000/100000 = 72138957898,30000 segundos
72138957898,3 segundos / 31536000 segundos en un año = 2287,5 años

Pues eso, tardariamos 2287 años en probar TODAS las combinaciones posibles de esa contraseña.

Hay otras maneras mas faciles de obtener una contraseña. Muchas veces vas a una oficina y te encuentras notitas Post-it en los monitores con las contraseñas de acceso… (La inteligencia brilla por su ausencia…). Otras veces, solo tienes que echarle narices y mucho morro y llamar a algun incauto y decirle: “Oye, soy Pepito de la planta 4ª, he perdido mi clave de acceso, ¿¿me puedes dejar la tuya para mirar un informe??“.

Por eso, amigos y amigas, si alguien os pregunta algo parecido, ya sea de viva voz o a traves de un e-mail, nunca contesteis!!. Si teneis que poner una contraseña, que sea larga, con caracteres variados y que nunca sea algo relacionado con vosotros (nombre de tu madre o algo parecido…), y si tenenis que poner un campo tipo, recordatorio de contraseña (Hotmail) dejarlo vacio si podeis y en caso contrario hacer una pregunta y responder otra.

Saludos y buenas noches! ;)

Seguridad

Martes, 23 de enero de 2007 Sin comentarios
Hoy toca hablar de seguridad, de seguridad informática.

Como este es un tema muy extenso, hoy hablaremos de seguridad en general, y mañana seguiremos con algo mas específico.

Muchos hasta la fecha de hoy (y yo me incluyo) hemos sido víctimas de los malditos virus que circulan por la red… de algun acceso mal-intencionado en nuestro ordenador…. de mareas y mareas de correos basura.. etc. Todo esto y mucho mas es lo que se llama técnicas de contra-seguridad informática.

Todo este campo es una de las infinitas ramas que un informático puede tomar, pero en mi opinión es una de las mas “perras” y os dire el por qué: La informática en general es algo que avanza a un ritmo vertiginoso, eso es algo que todos los que nos dedicamos a ella sabemos. Pero hablando de seguridad (en informática más que nada) avanza mas rápido aún y eso es a causa de que, desgraciadamente, hay infinidad de personas dedicadas a crear software maligno, tantas, que hoy día, Internet esta saturada de ello.

En uno de los seminarios de seguridad a los que he asistido, el ponente dijo una verdad como un piano: “Señores/as, no se dejen engañar. El unico ordenador (con cualquier sistema operativo) es aquel que esta metido en una caja de titanio completamente aislado, sin conexion a la red, ni acceso por parte de ninguna persona de ningun tipo.” y añadió: “Si alguien les dice que su ordenador es inviolable, miente“.

Analizar esas palabras, y ver la verdad en ellas. Hace un tiempo, salió en las noticias que un chaval de 16 años español, habia entrado en el ordenador que controlaba una exclusa nuclear americana. Todo el mundo se alarmó, y se decia: “Qué hubiese pasado si no lo hubieran detenido a tiempo!!!“. Lo que no se dijo, y hubo que leerlo en foros y en paginas no oficiales, esque ese mismo ordenador estaba conectado a internet, con todos los Firewalls y todo lo que quieras, pero estaba conectado a la Red de redes.

Ahora es cuando entramos en el tema doméstico, y cada uno quiere tener su ordenador lo mas protegido posible. En esto he visto de todo, desde gente que dice: “Antivirus??, Cortafuegos???? (Firewall), actualizar el windows???? para que???“, hasta gente que va de lista y me dice: “Tengo el ultimo antivirus de McAffee, el ultimo firewall de Panda, y un antitroyanos que me baje de no-se-que-página-de-por-ahí , pero aun asi me ha entrado un virus”, y yo le contesto: “Si, pero también tienes el Kazaa y el Emule instalados, ¿no?

No existe el sistema perfecto, ya que la perfección no existe, pero aun así, si quieres minimizar el riesgo a que te entre algo (Virus, Troyano, Spyware… lo que sea), instala un Internet Security como el Karpensky, o el Norton, o uno similar y actualizalo a menudo, no metas el emule o programas para descargar, y más importante aán: actualiza el windows!!

Amigos, no os engañeis, si un sistema esta conectado a una red, ese sistema es accesible, eso no lo podeis cambiar, solo os podeis adaptar como hace casi todo el mundo, y si algun dia quereis un sistema inaccesible, no lo conecteis a Internet, ya que en el momento que lo hagais… estais vendidos.

Saludos, y que tengais un buen dia!!! ;)

Categories: Seguridad Informatica Tags: