A Django site.
Enero 20, 2010

Criado Indomable
Sebastian D. Criado
Criado Indomable trata sobre »
» Debian Logo

El próximo 15 de Febrero terminara el soporte para actualizaciones de seguridad de Debian 4.0 alias Etch.

Como se puede ver en el anuncio, esto se hace 1 año después de la release de Debian 5.0 Alias Lenny y 3 años después de que se lanzo Etch.

Si en un año no han realizado la actualización, se recomienda que lo hagan en este tiempo que queda hasta el 15 y así poder seguir contando con actualizaciones de seguridad.

Anuncio Oficial.

————————————————————————
Debian Security Advisory DSA-1975-1 security@debian.org
http://www.debian.org/security/ Stefan Fritsch
January 20, 2010 http://www.debian.org/security/faq
————————————————————————

Security Support for Debian GNU/Linux 4.0 to be discontinued on
February 15th

One year after the release of Debian GNU/Linux 5.0 alias ‘lenny’ and
nearly three years after the release of Debian GNU/Linux 4.0 alias
‘etch’ the security support for the old distribution (4.0 alias
‘etch’) is coming to an end next month. The Debian project is proud
to be able to support its old distribution for such a long time and
even for one year after a new version has been released.

The Debian project has released Debian GNU/Linux 5.0 alias ‘lenny’ on
the 14th of February 2009. Users and Distributors have been given a
one-year timeframe to upgrade their old installations to the current
stable release. Hence, the security support for the old release of
4.0 is going to end in February 2010 as previously announced.

Previously announced security updates for the old release will continue
to be available on security.debian.org.

Security Updates
—————-

The Debian Security Team provides security updates for the current
distribution via . Security updates for the
old distribution are also provided for one year after the new
distribution has been released or until the current distribution is
superseded, whatever happens first.

Saludos.-


por criadoindomable a la(s) 9:30 PM etiquetas: debian , etch , gnu , lenny , linux , seguridad , software libre (Comentarios)
Noviembre 23, 2009

Juan José Conti
Juanjo
En borrador permanente trata sobre »
» Semana de la seguridad

semanaSegEn el año 1988, la Association for Computing Machinery (ACM) declaró al 30 de Noviembre como el “Día Internacional de la Seguridad Informática”, con el objetivo de concientizar respecto de las amenazas que atentan contra la seguridad de la información.

Esta semana es la Semana de la Seguridad. En Argentina la organiza la Jefatura de Gabinete de ministros. En Santa Fe AsegurarTe está organizando algunas charlas y me invitaron a dar mi charla sobre Taint Mode en Python el día miércoles 25 a las 12:30 en la Dirección de Informatización y Planificación Tecnológica de Rectorado de la UNL. Desconozco qué porcentaje de los asistentes conocen Python, por lo que voy a intentar centrarme más en los conceptos que en la implementación concreta de esta técnica; así como definir bien el problema, plantear sus implicacias y discutir soluciones.

update: un par de fotos!

100_5410

100_5412

por Juanjo a la(s) 10:52 PM etiquetas: eventos , fotos , seguridad (Comentarios)
Noviembre 8, 2009

Boris Quiroz
cereal_bars
wreeeeoooowww trata sobre »
» Como matar una seguridad “a toda prueba”

En donde trabajo, el dia que llegué me dieron un token ePass 2000. La idea es que esto lo use cuando se necesite acceder a algun servidor via vpn (cosa que aún no hago, I do not care…). Todo bien hasta ahí, el problema es que el coso este solo funciona en Windows (otra razón más para no usarlo), pero solo instalado directamente en el computador. Tampoco funciona en maquinas virtuales o al menos eso me dijeron (creo que con el passthrough podria andar), pero aun no he intentado hacer eso.

Mucho blabla…

El asunto es que hace un par de semanas dedicí buscar una forma de poder conectarme sin tener que usar el dispositivo aquel. Estuve toda una tarde pensando (asi que no hice nada en el trabajo) y no se me ocurrió. Pero ya saben lo que dicen, siempre hay una solución más simple. Y la encontré cuando iba camino a mi casa: ssh reverse (como no se me ocurrió antes).

Como?

Muy facil: Desde mi equipo en el trabajo abro una sesión ssh al compu de mi casa, asi:

ssh -R 14443:localhost:22 boris@mi-server.org -pXXXX

Y luego, desde el compu de mi casa hago:

ssh bquiroz@localhost -p14443

Y listo. Así funciona el ssh reverse.

Igual es un cacho… o no?

Personalmente creo que esto es un horrible bug (?) en la arquitectura de red de una empresa. Simpre se ha dicho que la mayor parte de los ataques vienen desde adentro de la organización y por lo tanto no basta con configurar el firewall para permitir accesos solo de algunas partes, forzar el uso de la conexión vía VPN (que ya demostré que es vulnerable), usar medidas de seguridad caras, etc, etc, etc…

Esta empresa igual es grande, tiene sistemas muy delicados y críticos, por lo mismo utilizan un sistema de acceso remoto, en teoria, seguro. Pero que pasa cuando queda demostrado que no es así? Nos fuimos al carajo? Espero que no. Ya buscaré alguna forma de evitar eso. Si lo hice yo, lo puede hacer cualquiera y como no hay un control en la red de qué conexiones estan abiertas ni hacia donde, cualquiera podria estar haciendo cualquier cosa…

por cereal_bars a la(s) 11:03 PM etiquetas: geek , openssh , seguridad , ssh , ssh reverse
» Como matar una medida de seguridad “a toda prueba”

En donde trabajo, el dia que llegué me dieron un token ePass 2000. La idea es que esto lo use cuando se necesite acceder a algun servidor via vpn (cosa que aún no hago, I do not care…). Todo bien hasta ahí, el problema es que el coso este solo funciona en Windows (otra razón más para no usarlo), pero solo instalado directamente en el computador. Tampoco funciona en maquinas virtuales o al menos eso me dijeron (creo que con el passthrough podria andar), pero aun no he intentado hacer eso.

Mucho blabla…

El asunto es que hace un par de semanas dedicí buscar una forma de poder conectarme sin tener que usar el dispositivo aquel. Estuve toda una tarde pensando (asi que no hice nada en el trabajo) y no se me ocurrió. Pero ya saben lo que dicen, siempre hay una solución más simple. Y la encontré cuando iba camino a mi casa: ssh reverse (como no se me ocurrió antes).

Como?

Muy facil: Desde mi equipo en el trabajo abro una sesión ssh al compu de mi casa, asi:

ssh -R 14443:localhost:22 boris@mi-server.org -pXXXX

Y luego, desde el compu de mi casa hago:

ssh bquiroz@localhost -p14443

Y listo. Así funciona el ssh reverse.

Igual es un cacho… o no?

Personalmente creo que esto es un horrible bug (?) en la arquitectura de red de una empresa. Simpre se ha dicho que la mayor parte de los ataques vienen desde adentro de la organización y por lo tanto no basta con configurar el firewall para permitir accesos solo de algunas partes, forzar el uso de la conexión vía VPN (que ya demostré que es vulnerable), usar medidas de seguridad caras, etc, etc, etc…

Esta empresa igual es grande, tiene sistemas muy delicados y críticos, por lo mismo utilizan un sistema de acceso remoto, en teoria, seguro. Pero que pasa cuando queda demostrado que no es así? Nos fuimos al carajo? Espero que no. Ya buscaré alguna forma de evitar eso. Si lo hice yo, lo puede hacer cualquiera y como no hay un control en la red de qué conexiones estan abiertas ni hacia donde, cualquiera podria estar haciendo cualquier cosa…

por cereal_bars a la(s) 10:56 PM etiquetas: geek , openssh , seguridad , ssh , ssh reverse
Octubre 26, 2009

Criado Indomable
Sebastian D. Criado
Criado Indomable trata sobre »
» criadoindomable

El día Jueves 29 de Octubre a partir de las 19:30 horas estaré brindando junto a Ramiro Caire y AltoSec una disertación para miembros de la Cámara de Mujeres Empresarias en la Federación Gremial de calle Córdoba 1868.

El evento tendrá como eje central brindar herramientas a los asistentes sobre la temática seguridad de la información.

Bajo la consigna que hoy día la informatización de los procesos requiere saber no sólo organizar sino también proteger la información de la empresa, dado que la complejidad de las comunicaciones mediante nuevos recursos tales como Internet, implica riesgos además de nuevas posibilidades comerciales el evento está orientado a brindar información para que aquellos que están cumpliendo la función de dirección puedan priorizar la seguridad de los sistemas en forma preventiva a fin de garantizar resultados positivos.


por criadoindomable a la(s) 2:11 PM etiquetas: charlas propias , seguridad (Comentarios)
Octubre 19, 2009

Criado Indomable
Sebastian D. Criado
Criado Indomable trata sobre »
» criadoindomable

El día 21 de Octubre a partir de las 19 horas estaré colaborando en un Workshop en la UTN Regional Rosario sobre Seguridad Informática en Sistemas Operativos y Aplicaciones junto a Ramiro Caire, Sebastián Bortnik y un grupo de estudiantes de las cátedras de sistemas de dicha facultad, coordinados por Fabiana Riva (profesora de la facultad).

La entrada libre y gratuita. Los interesados no requieren acreditación previa.


por criadoindomable a la(s) 2:32 PM etiquetas: altosec , charlas propias , seguridad (Comentarios)
Setiembre 26, 2009

Boris Quiroz
cereal_bars
wreeeeoooowww trata sobre »
» Sobre el viaje a Puerto Montt

Ayer tuve la suerte de estar muchos kilometros al sur de Santiago, en la ciudad de Puerto Montt. Fui hasta allá para hablar sobre dos temas que me gustan mucho y consideré interesante poder presentarselos a la gente de allá.

El primer tema fue Virtualización for real men, es decir, con Xen. (Sí, para variar estuve hablando de Xen :P ). Aproveché de hacer una mini demo conectandome al server de la casa. Estuvo muy bueno.

La segunda charla, sobre seguridad en sistemas *nix, me dió la impresión de que estaba dando una clase. Las caras de la audiencia no era de aburrimiento, sino que era caras de interés. Todos prestando atención, varios tomando apuntes, preguntas al final… No, muy bueno.

En general en todas las charlas del dia se veia el respeto de los asistentes por el tema expuesto. Eso es lo bueno de hacer este tipo de cosas en Universidades o Institutos. La gente va y pone atención :) Personalmente quedé bastante contento con contenido y el resultado de las charlas que dí, asi que espero que esta experiencia se pueda repetir.

Cuanto aparte la atención: Me trataron excelente! Muy buenas personas, muy buenas conversaciones, buen almuerzo… Todo genial. Además de eso, a todos los expositores nos entregaron un regalo.

Me traje a Santiago un muy buen recuerdo de mi pasada flash por Puerto Montt.

por cereal_bars a la(s) 5:22 PM etiquetas: chile , openssh , puerto montt , seguridad , ssh , travel , virtualizacion , xen
Setiembre 8, 2009

Boris Quiroz
cereal_bars
wreeeeoooowww trata sobre »
» Charla de Seguridad y otras hierbas

El próximo Jueves 10 de Septiembre, a las 19.30 horas estaré en el Aula Tecnológica de INACAP Sede Santiago Sur hablando, a grandes rasgos, sobre seguridad en sistemas GNU/Linux. En esta sesión (sí, se vienen más charlas) hablaré de SSH (y OpenSSH). La idea es que los asistentes cachen mas o menos qué es, para qué funciona más allá de ser algo para conectarme a los servidores, tratar de hacerlos entender que SSH != Putty, qué son esas cosas RSA y DSA, que aprendan que la autenticación puede hacerse por vaaarios métodos y finalmente entregarles algunas “buenas prácticas” para los que trabajan y así las puedan poner en práctica.

En resumen, intentaré explicar en poco más de una hora lo que el profesor deberia explicarles en medio semestre. Veremos como me vá.

Cuando termine la presentación les dejo los slides en algun lugar. El que quiere ir, es libre de hacerlo. Además, como en todas mis charlas, hay sorteo!

pd: obviamente le haré propaganda a las JRSL :P

pd2: @egipcios, no llego al kikazo. Están avisados…

por cereal_bars a la(s) 3:48 AM etiquetas: charlas , linux , openssh , seguridad , ssh
Agosto 24, 2009

Juan José Conti
Juanjo
En borrador permanente trata sobre »
» Donde no hay seguridad nadie puede romperla

IMG_4773

Richard Stallman en una reciente visita a la ciudad de Córdoba

Hoy me pasó mi padre un artículo en Página 12 con una reciente entrevista a RMS. El artículo se titula, como este post, Donde no hay seguridad nadie puede romperla. En la noticia, el título no es más que una frase sacada de una de sus respuestas, parte de una anécdota casi que poco está relacionada con el resto de la nota, pero me llamó muchísimo la atención. Rescato esta parte:

En ese sistema no había seguridad, no había claves, no había protección de archivos, cualquier persona podía entrar en la computadora bajo cualquier nombre y hacer cualquier cosa, y nos gustaba que fuera así, deliberadamente implementábamos el sistema sin seguridad. Mi trabajo en el laboratorio era mejorar el sistema. Si hubiéramos querido tener seguridad nos tendríamos que haber dedicado, entre otras tareas, a implementar la seguridad, que era lo que no queríamos. Entonces, donde no hay seguridad nadie puede romperla.

El periodista entonces pregunta, a lo mejor algo alarmado, si puede existir un sistema sin seguridad. A lo que Stallman contesta:

Aunque muchos pueden pensar que es imposible, es algo que todavía puede ser posible. Pero con esto no quiero decir que no tiene que haber seguridad en los bancos, por ejemplo, no estoy a favor de robar las cuentas bancarias. Pero nuestro laboratorio no era un banco, no teníamos datos personales, no teníamos datos financieros, fue un laboratorio para colaborar en la investigación y el desarrollo. Pero hoy en día es algo diferente, porque habitualmente usamos computadoras personales, pero en los años ’70 una computadora era demasiado cara, era casi imposible tener una computadora personal. Y en ese período el laboratorio tenía dos computadoras principales que todos teníamos que compartir. Cuando la gente comparte una computadora, tener seguridad entre los usuarios exige imponer un estado policíaco, pero no es igual con las computadoras personales, porque fácilmente se puede excluir a los demás de tu computadora, sin imponerse a uno mismo un estado policíaco. Pero en las computadoras compartidas nosotros no deseábamos tener seguridad, no fue sólo un capricho, fue por motivos racionales, porque queríamos vivir en libertad, no queríamos desarrollar un arma para los administradores para someternos.

Para pensarlo.

por Juanjo a la(s) 11:10 PM etiquetas: rms , seguridad (Comentarios)
Agosto 11, 2009

Criado Indomable
Sebastian D. Criado
Criado Indomable trata sobre »
» WordPress bug: Remote admin reset password


Se ha descubierto una vulnerabilidad en WordPress que permitiría saltar la confirmación de usuario administrador y mail para hacer el reset de la password del mismo. Por el momento no hay parche oficial y compromete a todas las versiones de WordPress del branche 2.8 (no se ha probado en el branche 2.7).

Esta vulnerabilidad que podría parecer trivial y de poca importancia no es tan así dado que un atacante que tenga la posibilidad de ponerse en medio de la comunicación de envío de mail podría obligar a enviar el reset de la password y hacerse con la misma para luego cambiarla y quitar el acceso al verdadero admin. Así también sería trivial realizar un ataque automatizado a hostings que tienen muchas cuentas de WordPress.

Aunque no existe un parche oficial al momento de publicar esta nota, se ha subido un cambio a los repositorios de WordPress que solucionaría el error. Se recomienda su aplicación.

Para más información del bug y la solución, puede verse el blog de AltoSec. En nuestros laboratorios hemos podido duplicar el bug y comprobar que  los cambios subidos al repositorio solucionan el problema.

Actualización: Como se esperaba, el equipo de desarrollo de WordPress ha sacado ya su parche oficial para solucionar este bug. Pueden ver el anuncio oficial en WordPress 2.8.4: Security Release.
Recomendamos la actualización con este Security Release tanto si se hizo el cambio mencionado en el articulo como si no se ha hecho.

por criadoindomable a la(s) 6:03 PM etiquetas: bug , seguridad , software libre , wordpress (Comentarios)
Julio 28, 2009

Leonardo Andrés Gallego
hombrepac
Leonardo Andrés Gallego trata sobre »
» Actualizando DD-WRT por falla de seguridad en el server httpd

dd-wrt-logo

Logo de dd-wrt

La falla solo puede ser explotada directamente desde fuera de la red, a través de Internet, si se tiene habilitado el manejo remoto vía la GUI Web en la pestaña de Administración. Se recomienda desactivar dicha característica, hasta tanto se halla realizado la actualización correspondiente dado que hay formas de eliminar esta limitación mediante Cross Site Request Forgery (CSFR), donde un sitio web malicioso podría inyectar código desde dentro del navegador. Anuncio oficial aquí.

Realizar la actualización es sumamente sencillo. En mi caso, dado que tengo la version WRT54GL de Linksys con la DD-WRT ya instalada, y ya esta disponible un release con las correcciones pertinentes, solo basta con buscar en la base de hardware soportado el nuevo firmware.

Como esto es una actualización, no es necesario instalar la versión “mini“, se puede utilizar directamente la versión que queramos de las estándar genéricas (en mi caso la vpn). Las max no están soportadas, dado que no hay espacio físico en la memoria del router. En mi caso, descargue la dd-wrt.v24_vpn_generic.bin, ingrese a la administración del router via web, luego en la pestaña Administration, Upgrade Firmware, cargue el archivo y le di al botón “Upgrade“.

Déjenlo trabajar, vayan a tomar un café o a lavarse los dientes. Cuando vuelvan, debería estar aplicado. Compruébenlo ingresando a la interfaz web administrativa y vean la versión arriba a la derecha, debería decir v24 preSP2

Nota: Recuerden siempre hacer esto conectados vía cable ethernet, no vía wifi. No cierren el navegador por más que se ponga blanca la pagina!

Compartí este articulo: del.icio.us Meneame BarraPunto Facebook Digg Slashdot FSDaily Google Bookmarks Identi.ca LinkedIn StumbleUpon Twitter

por Leonardo a la(s) 6:41 PM etiquetas: dd-wrt , ddwrt , firmware , linksys , openwrt , router , seguridad , software libre (Comentarios)
Julio 13, 2009

Boris Quiroz
cereal_bars
wreeeeoooowww trata sobre »
» Qué pasó con _cierta_empresa_?

Disclaimer: en este post no daré nombres de personas ni empresas. Peeeeero, si se lo sabe cante! (y deje un comentario)

Este fin de semana, cierta empresa que entrega dosis diarias de tecnología en español sufrió un ataque que tuvo sus sistemas por el sueño un buen tiempo. Segun yo, impresentable. No puede ser que una compañía que se dice seria tenga sus sistemas abajo todo un fin de semana, más aún teniendo en cuenta las razones y/o explicaciones que dieron los encargados.

Si le interesa el tema, follow the white rabbit…

Las personas que realizaron el ataque, para dejar huella de sus actos, escribieron un post  en la página de en cuestión para que el mundo supiera lo que estaba pasando. Como no leí dicho post, no puedo opinar al respecto, asi que centraré este artículo en las explicaciones que dieron los encargados que, a decir verdad, son muy estupidas.

“El ataque que recibimos tiene una morfología bastante clara, corresponde a un ataque de recopilación de información privada habiendo vulnerado las credenciales a una cuenta de acceso personal de uno de nuestros miembros. Con la información obtenida en esa cuenta lograron acceder a un repositorio privado de contraseñas que dejaron de ser utilizadas en enero de 2009.

Pregunta: Si las contraseñas dejaron de ser utilizadas, cómo pudieron acceder a los sistemas de administración de la plataforma?

“Mediante los datos anteriores lograron acceder a un antiguo servidor de produccion lugar en el cual alcanzo a estar contenida la aplicación Beta ID, una vez dentro de este servidor el atacante realizo una copia del código fuente de la aplicación Beta ID, ademas de lograr obtener un dump de las credenciales cifradas (SHA256) de los usuarios. Luego mediante un ataque de colission hash lograron desencriptar algunas de las contraseñas criptograficamente más débiles basándose en diccionarios.”

Preguntas: Si el servidor aquel, el que tiene la BetaID, también es antiguo, por qué esas contraseñas todavia servian?! Cuánto te demoras en decifrar SHA256? Desencriptar basando en diccionarios? Ok…

“Adicionalmente a esto lograron acceder a los paneles de administración de uno de nuestras comunidades (FayerWayer) lugar desde el donde fue publicado un articulo en el CMS Wordpress dejando a disposición del publico general toda la información rescatada desde las cuentas personales que fueron accedidas de forma no autorizada previamente.”

A ver si entendí: Con contraseñas que dejaron de ser usadas en Enero de este año lograron vulnerar este sistema? De ser así, aún tienen información relevante en antiguos servidores de producción?

Personalmente tengo solo dos explicaciones para esto: O es todo mentira, o el sysadmin de la compañia esa es muy pelotudo. Creo que el error que cometiero es inacpetable y no puede ser que una compañia que se dedica a la tecnología no tenga procedimientos claros para solucionar estos inconvenientes, que siempre ocurren. Es inaceptable tener los sistemas abajo por dos dias mientras investigan qué paso. Es inaceptable tener servidores que alguna vez estuvieron en producción aún conectados a internet. Si vemos la seguridad como una cadena, esos antiguos servidores serían el eslabón que esta medio roto y por el cual podemos romper dicha cadena.

Ahora, hay mucha gente que piensa que esto fue un auto-hack para aumentar el tráfico en el sitio. De ser así, pasaria de ser inaceptable a patético. Y prefiero no creer eso.

Por suerte estos tipos no están encargados de administrar servidores que realmente son importantes: bancos, impuestos internos, aeropuertos, etc. Ya lo dije en un Twitt: Están caros hasta para administrar los servidores de la junta de vecinos

por cereal_bars a la(s) 2:27 PM etiquetas: fayerwayer , fwgate , geek , hack , linux , seguridad
Junio 13, 2009

Criado Indomable
Sebastian D. Criado
Criado Indomable trata sobre »
» The Dark Tangent a la Casa Blanca


Jeff Moss (aka Dark Tangent), famoso hacker norteamericano y fundador de DEFCON y Black Hat formara parte del Homeland Security Advisory Council (HSAC) para proporcionar asesoramiento a la secretaria de seguridad para que se pueda responder efectivamente a las actividades cyberterroristas que puedan amenazar a USA.

No es un hecho extraño que se convoque a una personas como Jeff Moss para este tipo de tareas. En el razonamiento de gobiernos como el norteamericano siempre ha estado consultar a expertos en distintas estas áreas y, estando la amenaza de un ataque que podría dejar el estilo de vida norteamericano de peor forma que la crisis actual, es fácil darse cuenta que toman toda la ayuda que tengan, no importa de donde venga.

Si no los contrata el gobierno los contratara otro seguramente. Desde hace muchos años que “los mejores” han sido reclutados para empresas o estados.

por criadoindomable a la(s) 4:17 PM etiquetas: casa blanca , dark tangent , jeff moss , seguridad (Comentarios)
Mayo 31, 2009

Criado Indomable
Sebastian D. Criado
Criado Indomable trata sobre »
» Los sistemas operativos mayoritarios siguen siendo muy inseguros


Leído por allí:

Los sistemas operativos mayoritarios siguen siendo muy inseguros

Sin embargo, la mayoría de los errores de seguridad son evitables

La conectividad global unida al deficiente diseño de los sistema operativos mayoritarios ha hecho crecer la sensación de inseguridad en el usuario final. Esto lo ha convertido en un tema de primera línea informativa. Falta poco para el lanzamiento de la última versión del sistema operativo más extendido y dos investigadores, Vipin Kumar y Nitin Kumar, ya han revelado la existencia de vulnerabilidades serias e irreparables en su diseño. ¿Cómo es posible que multinacionales con tantos recursos cometan reiteradamente esa clase de errores en sus productos? ¿Es posible evitar esos errores?
[...]
Una comunidad de científicos y usuarios entusiastas han demostrado que estos errores son evitables. Conocidos como la comunidad del software libre, ellos proponen que se respeten los principios científicos en lo que se refiere a software. Que el conocimiento fluya libremente. Que el funcionamiento interno de los programas sea de conocimiento público.
[...]
Nota original

por criadoindomable a la(s) 9:34 PM etiquetas: gnu , linux , seguridad , software libre (Comentarios)
Mayo 28, 2009

Criado Indomable
Sebastian D. Criado
Criado Indomable trata sobre »
» Seguridad Física, ese aspecto que todos descuidan


SeguridadPensando en las actividades del trabajo me encuentro cada día con más problemas de seguridad física, los cuales producen problemas mucho mayores a la hora en que me llaman para resolverlos.

Siendo la mayoría de los cuidados los mismos que se tendrían por ejemplo con el dinero en efectivo, resulta curioso como todavía hay empresas que no toman muy en serio el tema y dejan sus servidores al alcance de cualquier persona que entre en la organización (y que le haga un DoS con un martillo o simplemente le desconecte el cable de red o power) o bien los tienen descuidados en lugares que sufren riesgo de incendio o inundación (un sótano, por ejemplo).

Por ello, elavore un artículo sobre la temática. Algo corto que depertara un poco el interesa para poder atacar el problema. El mismo es una serie de Consejos útiles sobre la seguridad física llamado Seguridad Física, ese aspecto que todos descuidan.

por criadoindomable a la(s) 4:54 PM etiquetas: auditoría , seguridad , seguridad de la información , seguridad física (Comentarios)
» Usando Twitter en la empresa


Hoy, entre varias de mis lecturas, cayo a mi navegador un artículo que hablaba del uso de Twitter en las empresas. Y no estoy hablando del uso que se le puede dar internamente si no al que puede darse por ejemplo para promocionar servicio o bien directamente para mantener un contacto con sus clientes de una forma más directa.

Existen varias empresas de gran renombre que están utilizando este sistema de microblogging para conectarse con sus clientes y no solo para comunicaciones generales.

El caso de Dell Computers es un buen ejemplo. No solo lo usan para comunicar ofertas. También lo utilizan para las distintas lineas de servicio y hasta para informar sobre películas, musica y eventos culturales. Todo un servicio para quienes hayan adquirido o no equipamiento de la empresa.

Entre las principales ventajas están que permite la generación de imagen de marca, comunicación rápida de productos y servicios y que sirve de sistema de comunicados empresarial.

El principal escoyo que vimos a la hora de utilizar este mecanismo de microblogging es que generalmente los que bloggean son las personas y no las empresas. Sin embargo, es un método que nos puede permitir comunicar cosas de forma mucho más rápido y más en el ámbito que nos manejamos con nuestros clientes.

Nuestra primer idea es utilizarlo para comunicar los post que realizamos en nuestro blog , pero la idea es también servir de mecanismo que nos permita comunicar acontecimientos sobre seguridad de la información que requiera de un rápido despliegue. Ejemplo: vulnerabilidades graves.

Por ello, hemos habilitado en AltoSec en un canal de Twitter para comenzar a contactar a quienes estén interesados en las actividades y anuncios de la empresa.

Por el momento, estamos probando. Veremos como se comporta esta herramienta de la llamada Web 2.0.
Sea de los primeros en seguir seguirnos :D .

por criadoindomable a la(s) 1:00 PM etiquetas: altosec , seguridad , twitter (Comentarios)
» Máquina para tirar dados


SeguridadResulta muy complicada la generación de números aleatorios, de allí que la mayor parte de de los generadores de números aleatorios son en realidad generadores de números pseudoaleatorios que son calculados a partir de una semilla.

El problema de los números pseudoaleatorios es que es posible que sean predecibles, por ejemplo, si se conoce algún estado interno del generador y se puede saber cual es el próximo. Simplemente es un problema de entropía. A mayor entropía va a ser más difícil la predicción de esos números.

Existe una industria que no puede darse el lujo de que le anden adivinando los números y está es la de la industria del juego On line.
Si uno pudiera, por ejemplo, predecir cual será el próximo número que saldrá en la quiniela electrónica, podría hacer bastante ruido.
Teniendo esta información, una empresa desarrollo una máquina física que tiras dados. La máquina se llama Dice-O-Matic mark II y fue desarrollada para la empresa GameBtEmail.com.

El sistema funciona a partir de una cinta que parece un molino de agua y que va tirando los dados por una serie de rampas. Luego que van bajando caen nuevamente en la tolva y son fotografiados por una cámara. Mediante un programa esta foto es procesada y los números de cada dado almacenados. Esto sirve para generar tiradas de dados para los juegos on-line de la web.

La ingeniosa máquina puede tirar 200.000 tiradas de dados por día (esto es bastante si se calcula que el sitio utiliza una 80.000 en ese mismo lapso).

Les dejo un vídeo demostrativo de la máquina.

por criadoindomable a la(s) 3:34 AM etiquetas: números aleatorios , pseudoaleatorios , seguridad (Comentarios)
Mayo 27, 2009

Criado Indomable
Sebastian D. Criado
Criado Indomable trata sobre »
» Recomendaciones para evitar ser victimas del PHISHING


SeguridadLa ArCERT (Coordinación de Emergencias en Redes Teleinformáticas) ha elaborado una lista de recomendaciones muy comprensibles para evitar ser víctimas del phishing. Aunque son originarias del 2006, las mismas son de utilidad aún.

Aún cuando la mayoría de las recomendaciones parezcan de sentido común, es bueno tenerlas presentes ya sea para nosotros mismos o bien para pasarlas a nuestros contactos no tan duchos en la temática de la seguridad de la información.

He volcado las mismas en el blog de AltoSec para compartirlas con todos ustedes.

por criadoindomable a la(s) 1:15 PM etiquetas: altosec , phishing , seguridad , seguridad de la información (Comentarios)
Mayo 23, 2009

Criado Indomable
Sebastian D. Criado
Criado Indomable trata sobre »
» Expo2009: Charla: Como evitar el SPAM, todo el SPAM y nada más que el SPAM (o casi)


Software LibreEn el día de hoy comenzaron las Expo 2009 del Lugmen y dado que no había podido asistir, me dispuse a seguir una de las charlas que más me interesaba.

La misma se titula Como evitar el SPAM, todo el SPAM y nada más que el SPAM (o casi), dictada por Alfredo Rezinovsky [LUGMen, UNCuyo] (a.k.a. Alfrenovsky) donde dio una introducción al uso de la herramienta Mail Avenger.

Alfrenovsky ha tomado el tema en forma personal, si se puede decir, y desde hace un tiempo nos tiene acostumbrado a charlas de un excelente nivel técnico y de fácil comprensión sobre la temática del SPAM. En su sitio puede encontrarse una sección específica del tema.

Me tome el atrevimiento de hacer un par de preguntas vía Jabber dado que el amigo Boris Quiroz estaba en la charla en la primer fila :D .

Mail Avenger siempre ha sido una de las herramientas con las que he querido trabajar y no he encontrado el tiempo para hacer una investigación seria de ella. Esta charla, la cual seguramente estará disponible en breve en el sitio de la Expo o en el de Alfrenovsky, les puede servir de puntapié para hacerlo como lo ha sido para mi.

Veremos que sale al momento de investigarlo más a fondo.

por criadoindomable a la(s) 10:06 PM etiquetas: alfrenovsky , expo2009 , gnu , linux , lugmen , mail avenger , seguridad , software libre , spam (Comentarios)
Mayo 4, 2009

Criado Indomable
Sebastian D. Criado
Criado Indomable trata sobre »
» Cuidado con lo que conecta al USB


SeguridadLos pen drive usb pueden ser la puerta de entrada a ataques dirigidos o virus genéricos. Es importante conocer los riesgos y contar con herramientas para prevenirlo. En la nota que he realizado para el Blog de AltoSec comento sobre la problemática y sobre la necesidad de tomar medidas.

Leer más en http://blog.altosec.com.ar/2009/05/cuidado-con-lo-que-conecta-al-usb/

por criadoindomable a la(s) 6:35 PM etiquetas: altosec , seguridad , usb (Comentarios)