Etiqueta: Seguridad

Generación de contraseñas seguras y fáciles de recordar

Una cosa que preocupa a cualquiera que tenga accesos privados por internet, es el tema de las contraseñas. Ahora mismo todos tenemos unas cuantas cuentas de correo, acceso al blog, a dominios, al banco, etc.

Si usas la misma contraseña para todo, y no es muy robusta, corres el riesgo de que te la descubran y tengan acceso a todo. Por lo tanto no conviene usar solo una, ni tampoco un par. Lo ideal sería tener una para cada cosa, pero claro entonces surje el problema de acordarse de todas ellas.

Hay programas por internet que permiten gestionar contraseñas, pero tienen el incoveniente de que si no los llevamos encima, no podremos acceder a nada, eso sin hablar de que accedan a él. Lo de apuntarlo en papelitos, tampoco es recomendable.

Entonces ¿que hacer?. Bueno, hay muchas soluciones, pero a mi una que me gusta es esta: crear una regla para todas.

Supongamos que quiero generar una contraseña para acceder a mi correo de yahoo y mi cuenta es: manolo@yahoo.com

También vamos a tomar como condición que la contraseña estará basada en la cuenta de correo. Es decir:

la cuenta de correo será: manolo@yahoo.com

la contraseña de la que partimos es: manolo@yahoo.com

Creamos la regla siguiente.

  • La primera letra siempre en minúscula
  • La primera vocal siempre en MAYUSCULA
  • Las “o” se convierten en ceros
  • La segunda vocal se sustituye por el símbolo “/”
  • La arroba la sustituyo por el símbolo “+”
  • No ponemos la terminación del dominio

La contraseña quedaría algo asi:

mAn/l0+yah00

Es solo un ejemplo, parece complicado, pero si nos acordamos de la regla es fácil convertir el texto. Lo importante es combinar MAYUSCULAS y minúsculas, numeros, letras, y otros símbolos, y que tenga una longitud superior a 8 caracteres. La que hemos generado cumple todos los requisitos, podría considerarse robusta.

La regla deber ser sencilla de recordar, y puede indicar algo que nos resulte familiar. Podríamos poner como base que todas terminasen en los 4 dígitos de nuestro año de nacimiento, pero cambiando los números por letras (caso del 3 por la E, el 0 por la o, el 5 por la S, etc).

Un ejemplo que siempre pongo cuando explico lo de las contraseñas en algún curso es ésta:

McMlRaCd.Me

Parece complicada. Pero no lo es, simplemente hay que acordarse de esa canción que decía:

Mi carro me lo robaron anoche cuando dormia.

He cogido las primeras letras de cada palabra, y he ido poniéndolas MAYÚSCULA, minúscula, MAYÚSCULA, minúscula, MAYÚSCULA, minúscula , al final un punto, y Me (Manolo Escobar)

Otra estafa, tipo «nigeriano»

Un lector nos manda su caso de intento de estafa.

Leedlo atentamente, pues no tiene desperdicio:

Os relato un nuevo intento de timo, estoy dandole largas para que un entendido trate de averiguar el lugar de origen. Desde luego responde al conocido como “timo nigeriano”.
Hace poco puse un anuncio sobre una casa en venta en un pueblecito de Albacete (Bienservida).
Se trata de una casa vieja que para habitarla es necesario hacerle reformas.
Pronto recibí un correo de un interesado !!!desde Costa de Marfil!!!.
Me decía que debido a la situación de aquel país queria comprar la casa. Para crear un clima de confianza me pedia una rebaja sobre el precio.
Accedí a la rebaja y entonces me dice, que la compra, que me ingresa el 10% del valor en mi cuenta.
Creé una cuenta nueva sin fondos y le mandé los datos.
El interesado me envió los suyos incompletos pero como director gerente de una empresa.
Acto seguido me envía el justificante del ingreso a través de un banco desconocido, eso sí con gran profusión de detalles y me dice que su mujer pasaría en breve a ver la casa.
Minutos después (esto es el timo) me envia otro correo urgente y me dice que hay que ingresar una pequeña cantidad de dinero, que el ya ha ingresado la mitad, para seguridad y control de que este dinero no está destinado a comprar armas.
Para cercionarme de todo, le digo que no pueden habitar la casa, incluso le pongo la cosa peor de lo que ya está. Entonces acepta, pero me dice que sus niños van a venir de vacaciones y la necesitan (sin estar habitable), le digo que no debe seguir, que anule la transferncia, etc.
Insiste en la compra urgiendo el ingreso por mi parte, ya que sinó no me llegará el dinero.
Para concluir, me llama tres veces por teléfono insistiendo y naturalmente le contesto de forma airada y además le pongo un último correo muy serio y diciendole que el gasto de mi parte solo se lo abonaré (a WESTER UNION) cuando tenga el dinero en mi poder y que es la única forma de hacerlo.
A partir de ese momento ya no ha habido más correos.

Afortunadamente él no picó y ha sabido manejar a esta gente.

77 consejos de seguridad

Ante el ordenador hay que tener ciertos comportamientos que impidan en la medida de lo posible, correr riesgos innecesarios.

Entre virus, troyanos, spam, phising y mil cosas mas, estamos siempre en el punto de mira de algún desaprensivo que quiera hacernos perder parte de nuestro tiempo y/o de nuestro trabajo.

Por eso no está de mas seguir los consejos que desde Alerta Antivirus nos dan.

Son 77 en total, y están agrupados en categorías.

Revista INSECURE nº 11

issue11.jpg

Ya está disponible el número 11 de INSECURE. Descarga en PDF.

Los contenidos de este número son:

On the security of e-passports

  • Review: GFI LANguard Network Security Scanner 8
  • Critical steps to secure your virtualized environment
  • Interview with Howard Schmidt, President and CEO R & H Security Consulting
  • Quantitative look at penetration testing
  • Integrating ISO 17799 into your Software Development Lifecycle
  • Public Key Infrastructure (PKI): dead or alive?
  • Interview with Christen Krogh, Opera Software’s Vice President of Engineering
  • Super ninja privacy techniques for web application developers
  • Security economics
  • iptables – an introduction to a robust firewall
  • Black Hat Briefings & Training Europe 2007
  • Enforcing the network security policy with digital certificates

Hoy, conferencia sobre seguridad en Zaragoza

Nos lo cuenta Fernand0 en su blog:

Dentro del curso de doctorado: ‘Diseño de aplicaciones seguras’ se celebrará la siguiente conferencia:


Título: «Software seguro. ¿un oxímoron?»
Profesor: Borja Marcos, Responsable de Seguridad de Sarenet
Día: Viernes, 25 de mayo
Hora: 16:30
Lugar: Seminario 21 del Edificio Ada Byron. Centro Politécnico Superior


No es necesario ser alumno del curso, puede asistir libremente el que quiera.

Organizado por el Departamento de Informática e Ingeniería de Sistemas

Actualizando WordPress

Por necesidad imperiosa hemos tenido que actualizar este y otros blogs a la última versión, la 2.1.3.

El caso es que ayer uno de los blogs que gestionamos tuvo un importante ataque que dejó caído completamente el servicio, y por seguridad, el proveedor inhabilitó el dominio hasta que se solucionase. Hoy por fín todo ha vuelto a su normalidad.

Según el proveedor hay bastantes ataques a blogs que no están actualizados asi que, es recomendable hacerlo para no darse un buen susto.

Helektros (responsable de estas actualizaciones) tiene una guia de instalación rápida y ha encontrado un plugin que lo automatiza mas.

Para estar al corriente de estas y otras vulnerabilidades recomiendo está página.

Esto si que es un robo

ladron01.jpg

¿Te imaginas poder acceder los datos de mas de 50 millones de tarjetas de crédito, además de datos personales como carnets de conducir , seguridad social, y un largo etcétera?

Pues eso es lo que consiguieron unos individuos que a través de la captación de una señal wifi, indebidamente codificada, durante 4 años.

El caso es que ni saben quienes han sido, ni en cuanto se puede cuantificar el robo. Se sospecha que los datos los envíaban a redes mafiosas del este de Europa.

Imagino que el responsable de la seguridad de la empresa estará teniendo algún que otro problema. No implementó protocolo WPA en la red de ordenadores y cajas registradoras de la empresa en la que trabajaba.

Via Kriptópolis

Problemas con LINUX si usas WIFI

Se ha detectado una vulnerabilidad en algunas distribuciones LINUX que usan los controladores conocidos como madwifi para los chipsets inalámbricos de Atheros.

Al parecer un usuario podría controlar el equipo sin necesidad de estar conectado mediante el uso de las llamadas técnicas de ‘fuzzing’.

El investigador de France Telecom Laurent Butti encontró la vulnerabilidad y ofreció la información sobre la misma, y eso ha hecho que los desarrolladores del proyecto madwifi hayan puesto un parche en descarga, pero algunas distribuciones Linux aún no han incluido el código de su parche, lo que hace especialmente necesario que los usuarios tengan cuidado si disponen de una tarjeta inalámbrica con chipset de Atheros y utilizan el controlador de madwifi.

Via The Inquirer.

Mas info: PcWorld, Madwifi

Mas información sobre el error en servidor DNS de Microsoft Windows

Hablábamos el otro día sobre este serio problema de seguridad de Microsoft Windows,

Hoy encontramos mas información al respecto en Hispasec.

Microsoft confirmaba a través de una notificación oficial el día 13, la existencia de una vulnerabilidad que estaba siendo aprovechada por atacantes «de forma muy limitada» según la propia compañía. El problema se debe a un desbordamiento de memoria intermedia en la implementación de la interfaz RPC del servidor DNS (Domain Name System) de Windows a la hora de procesar peticiones mal formadas. Esto puede ser aprovechado por atacantes para ejecutar código arbitrario con privilegios de SYSTEM (control total sobre el sistema) si se envía una petición especialmente manipulada al sistema vulnerable.

Esto afectaría a un sistema sólo si mantiene un DNS (típicamente en servidores de Microsoft) y un potencial atacante tuviese acceso a unos puertos específicos. El ataque no sería posible exclusivamente a través de puerto 53, abierto habitualmente al exterior para las consultas DNS, sino que debe apoyarse de la capacidad de administración remota de DNS (a través de RPC) para explotar la vulnerabilidad y ejecutar código. Microsoft proporcionó un método para eliminar esta funcionalidad y proteger el sistema a falta de parche oficial.

Aun así, varios factores se han añadido a la ecuación para convertir esta vulnerabilidad en un verdadero peligro. Típicamente un controlador de dominio en red interna es también el servidor autorizado DNS del dominio. En una red interna, no suelen protegerse estos controladores tras un cortafuegos, o las reglas de filtrado pueden estar más relajadas. En ese caso, aunque no expuesto al exterior, el servidor podría quedar fácilmente comprometido desde la misma red interna. Si el controlador de dominio queda comprometido, el atacante habría llegado al corazón de una red interna controlada por el directorio activo.

El día 15, metasploit descubrió un exploit público capaz de aprovechar esta vulnerabilidad. Queda desde entonces abierta para todos la posibilidad de estudiar y experimentar con el fallo. El problema concreto parece estar en la función extractQuotedChar. Los ataques dejan de ser «limitados».

Además, aparece al poco tiempo un nuevo exploit (programado por Andrés Tarasco y Mario Ballano) que es capaz de aprovechar la vulnerabilidad sin necesidad de tener acceso al rango mencionado en un principio (1024-5000), sino que permitiría ejecutar código a través del puerto 445. Este puerto es usado para el protocolo SMB (Server Message Block) sobre TCP/IP, y se utiliza para el intercambio de ficheros, entre otros fines. Una vez más, este puerto no suele estar expuesto al exterior, pero mantiene e incluso agrava el problema en redes internas, donde estará abierto con casi toda seguridad. Este código también afecta a Windows 2003 con SP2.

Para colmo, se ha detectado un gusano que intenta aprovechar la vulnerabilidad. El nombre elegido es Rinbot, y una vez que logra ejecutar código, se conecta al dominio x.rofflewaffles.us y convierte a su víctima en zombie (parte de una botnet). La detección específica por parte de los antivirus es escasa todavía. Según el SANS, que ha usado VirusTotal para el análisis:

AhnLab-V3 2007.4.14.0 04.16.2007 Win32/IRCBot.worm.199680.I
AntiVir 7.3.1.52 04.16.2007 HEUR/Crypted
AVG 7.5.0.447 04.16.2007 Win32/CryptExe
DrWeb 4.33 04.16.2007 BackDoor.IRC.Sdbot.1299
eSafe 7.0.15.0 04.16.2007 Suspicious Trojan/Worm
Fortinet 2.85.0.0 04.16.2007 suspicious
Kaspersky 4.0.2.24 04.16.2007 Backdoor.Win32.VanBot.bx
Prevx1 V2 04.16.2007 Malware.Trojan.Backdoor.Gen
Symantec 10 04.16.2007 W32.Rinbot.A
Webwasher-Gateway 6.0.1 04.16.2007 Heuristic.Crypted

Sospechamos que esta vulnerabilidad provocará un nuevo parche fuera del ciclo habitual de Microsoft. De lo contrario no habría solución oficial hasta al menos el ocho de mayo. Se recomienda deshabilitar la capacidad de manejo remoto sobre RPC para los servidores DNS o bloquear el tráfico entrante no solicitado entre los puertos 1024 y 5000 e incluso 445 si no es necesario.

Para deshabilitar la capacidad de manejo remoto sobre RPC, en el registro, en la rama:

«HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters»

se debe añadir un valor DWORD llamado «RpcProtocol» con el valor 4. Es importante destacar que es necesario reiniciar el servicio DNS para que el cambio surta efecto.


Más Información:

Monday update on Microsoft Security Advisory 935964
http://blogs.technet.com/msrc/archive/2007/04/16/monday-update-on-microsoft-security-advisory-935964.aspx

Situation update on Microsoft Security Advisory 935964
http://blogs.technet.com/msrc/archive/2007/04/15/situation-update-on-microsoft-security-advisory.aspx

Vulnerability in RPC on Windows DNS Server Could Allow Remote Code
Execution.
http://www.microsoft.com/technet/security/advisory/935964.mspx

New Rinbot scanning for port 1025 DNS/RPC
http://isc.sans.org/diary.php?storyid=2643&rss

DNS Vulnerability being Exploited in the Wild
http://www.symantec.com/enterprise/security_response/weblog/2007/04/dns_exploit_time_is_upon_us.html