Seguridad
El concepto "Seguridad" cotidianamente se puede referir a la ausencia de riesgo. Aquí principalmente trataremos la seguridad informática y la seguridad de la información. Tratando temas legales y alguno que no lo son tanto.
La seguridad informática es encarga de la seguridad de los dispositivos electrónicos informáticos.
La seguridad de la información es la encarga de las medidas que se toman de forma preventivas y reactivas para resguardar y proteger la información, sea cual sea el medio o forma en la que guarden.
A todos los que tenemos unos pequeños conocimiento de informatica nos paso alguna vez que alguien de nuestro entorno y tan cerca que nos pide que hackemos la contraseña de algun sitio. Siempre les contesto lo mismo: "Lo que pides es como abrir la caja fuerte de un banco, ¿lo ves sencillo ? y sobretodo si fuera capaz ¿cuales serían las consecuencias ?
Bueno el caso es hoy Guillermo me paso este post, buenisimo y currado, que explica como explotar una contraseña guarda en hash ( cifrado de forma matematica unidireccional).
En este post explica al dedillo como romper un hash, utilizando ingeneria social o algun otro metodo para obtener el hash. La herramientas que nombra son:
- Cyberchef : Una pagina alojada en github.io, por lo que entiendo que hay un proyecto github. Una aplicacion analisis de Hash.
- Hashcat: Una aplicacion para romper contraseñas.
El post como comente esta muy completo y con pruebas, me parece super interesante para aquellos que le gusta ciberseguridad
[PENDIENTE DE PONERME A JUGAR]
Fuentes del post:
Buscadores que utiliza los hacker como herramientas.
El hacking es actividades que tienen como objetivo comprometer la seguridad los dispositivos digitales informaticos. Incialmente se entiende que es malo, pero realmente no siempre es así, ya que se puede realizar para buscar bug de seguridad sin explotar. En esta pagina explica muy bien el termino y muchos mas relacionas con el mundo hacker.
¿Qué es un hacker?
Un hacker es toda persona que cuente con conocimientos avanzados en la informática en general y especialista en alguno de sus ambito, que los utiliza para aprovecharse de las lagunas de los sistemas de seguridad de los dispositivos digitales, softwares o apps
El termino hacker está vinculado aptos delictivos, pero no es del todo cierto, la cultura hacker también está muy vinculada con innovación y creatividad.En el la siguiente pagina lo explica super bien, los distintos tipos de hackers.
Hoy encontre esta pagina, gracia a un video de S4viOnlive, un creador de contenido de Hacking y Ciberseguridad , muy activo.
Me registre para ir aprendiendo un poco del mundo de seguridad, empece por los laboratorios de SQL INJECTION.
Os dejo links
Video de S4viOnlive de Injeccion SQL desde 0
Pagina Portswigger de Pruebas SQL Injection
Recuerda que el primer punto de seguridad es la sensatez personal
- 1. Tus contraseñas. NO utilices una única contraseña para todo, varíalas. Además de utilizar una contraseña difícil (letras+números+caracteres), es importante que esta no guarde relación contigo (nombre, fecha de nacimiento, etc.).
- 2. Conexiones publicas: No utilices el WIFI público para acceder a tu email, las cuentas del banco, las redes sociales, todo aquellos quieras proteger.
- 3. Software des-actualizado.Actualiza siempre el software. Las actualizaciones tienen por objetivo crear parches en brechas de la versión anterior que pone en riesgo los datos. Si utilizas un software en la nube, puedes aprovechar la ventaja de que es la propia empresa la que realiza las actualizaciones, pero ojo con las aplicaciones de escritorio!
- 4. Gratis peligro !! Cuidado con las descargas gratuitas. Todo lo gratuito nos resulta atractivo y eso hace que este sea una de las fuentes de ataques en internet más frecuentes.
- 5. Desconocido peligroso. No abras, no hagas clic en un enlace, ni descargues documentos que recibas en un correo electrónico que te resulte sospechoso. Si no conoces al remitente busca información y asegúrate antes de hacer nada.
- 6. El teléfono móvil también es un ordenador. Ten cuidado con los enlaces que abres, las descargas y los sitios web en los que introduces tus datos.
Hola a todos:
Escribo este post para comunicar que Gogaddy que es uno de nuestros proveedores de servidores a sufrido un fallo de seguridad en la que pudo ser expuesto algunos datos de nuestros clientes. El proveedor en cuestión NO nos comento nada, nos enteramos a través de un amigo que nos vio la noticia de unaaldia.hispasec.com
Godaddy el Lunes 22 Noviembre notifico al organismo de control financiero de Estados Unidos que sus sistemas fueron vulnerados y que los intrusos consiguieron obtener una gran cantidad de datos de sus clientes, el problema es no sabemos exactamente a que datos ser refiere, entendemos que son los datos de su area de cliente, pero no lo podemos confirmar.
Viendo esta otra web que habla del mismo fallo de seguridad dice que el malhechor pudo ver hasta 1.2 millones de direcciones de correo electrónico de clientes y números de identificación de clientes, y las contraseñas administrativas generadas para las instancias de WordPress que Godaddy, ya que los piratas informáticos obtuvieron acceso al entorno de alojamiento administrado de WordPress de la compañía.
Godaddy es uno de nuestros proveedores de servidores en especial servidores para la gestión de email. Como NO nos notifico nada esperemos que no fueron afectados nuestroas servidores o datos ,ni datos de nuestros clientes.
Aunque es poco probable ya que evitamos poner datos de nuestros cliente sin ninguna otra medida de seguridad, como por ley tienes 72 horas para informar de una brecha de seguridad en la Agencia española de proteccion de datos, despues de cubrir el tedioso formulario de la brecha de seguridad de AEPD, responden que no hace falta para esos parametros.
Alberto un colaborador habitual nos comenta que contrató un paquete de 5.000 mensajes de texto para una campaña de publicidad, aproveché para jugar y saber que seguridad hay en los SMS, ya que pensamos que se pueden utilizar estos servicios para actos maliciosos, concretamente Smishing de cualquier compañía de una forma muy sencilla y que la víctima no se daría cuenta.
La prueba que hicimos es mandar a uno de nuestros clientes un mensaje como si fuéramos su banco, en el SMS le ponemos el siguiente texto:
- " Mensaje de prueba: Comprobando posible suplantación de identidad :-)"
Lógicamente avisamos al cliente al momento, por si llamaba al banco.. :-)
El cliente flipó y sintió la misma inseguridad que nosotros, el mensaje le llegó como si fuera de ABANCA, como tenía mas mensajes del mismo banco sin eliminar, se le puso a continuación de estos, por lo que nunca pensaría que es un SMS malicioso.
MUY IMPORTANTE
Ningún banco envía por correo electrónico ni por SMS o redes sociales solicitudes de datos personales de sus clientes. Si recibe un correo en este sentido, no facilite ningún dato y contacte inmediatamente con él.
¿ Por qué decimos que es mas inseguro un SMS que un email ?
Aunque el email también tiene muchos puntos de inseguridad, por lo menos ya existen sistemas en los que se puede identificar la suplantación de identidad.
"Guardar nuestra información valiosa , realizando copias de seguridad tanto de los datos como del sistemas operativo"
Lo que pretendemos es definir los tipos de copias de seguridad , los pasos a realizar para que realizar las copias y validarlas, de una forma clara y sencilla. Lo primero que debemos tener claro es que aplicaciones o recursos necesitamos para hacer restaurar la copia de seguridad.
A veces realizamos copias de seguridad de datos de una determina aplicación y cuando intentamos restaurar esos datos no tienen copia de la aplicación, o puede que la copia de la aplicación que tienen no es la misma versión de la copia de los datos, ya que hay aplicaciones que no restauran datos si no es la misma version que hizo la copia, y puede suceder que hay aplicaciones que necesita una serie de características del sistema operativo, por ello sería bueno tener también copia de seguridad de sistemas operativos y aplicaciones.
A veces nuestros clientes confunden las SINCRONIZACIONES, con copias de seguridad, ya que esto lo que hace tener dos copias de los mismos ficheros en varios dispositivos, pero cuando cambian estos ficheros tambien cambia en la copia sincronizada.Una sincronización no nos garantiza que podamos recuperar ficheros eliminado o corruptos.
Un copia de seguridad tiene que ser en un momento determinado y con unos requisitos determinados para poder restaurarla, los cuales debemos tenerlos claros, es decir al restaurar una copia de seguridad, debemos saber que día fue realizada y que aplicaciones y sistema operativo necesitamos para restaurarla.
Podemos definir dos tipos de copias de seguridad:
Un examen de penetración o text de instrusión es un ataque a un sistema informático con la intención de encontrar las debilidades de seguridad y todo lo que podría tener acceso a ella, su funcionalidad y datos. En ingles "pentest", lo que pasa que España una empresa registro esa palabra como marca, por lo que las demas empresas no pueden utilizarla como servicio.
Aplicaciones online donde podemos realizarla:
https://quttera.com/website-malware-scanner
https://www.ssllabs.com/ssltest/
Fuentes:
- Wikipedia: pendtest en español
- Noticia de seguridad: ¿ Como encontrar vulnerabilidades ?
Recientemente hemos descubierto una cadena de correos maliciosos con un contenido similar en la que nos avisan que envían el pago de nuestro dominio para el período 2018/2019. El mail tiene un contenido similar a este:
“Estimado Sres.,
A continuación, encontrará las especificaciones y detalles sobre el registro de su dominio www.xxxxxxxxxxx.com para el periodo 2019/2020.
Para revisar su factura y proceder con el pago seguro mediante tarjeta de crédito, haga click en el siguiente enlace:
https://www.dominiosinnova-pagos.com/dominios/?email=xxxxxx@xxxxx&company=xxxxxxxx&;domain=www.xxxxxxx.com
Atentamente,
Carmen Rodriguez
Atención al Cliente
DOMINIOSINNOVA”
ESTE ES UN EMAIL FALSO. NO LE HAGAN CASO. EL PAGO DEL DOMINIO SÓLO HAN DE HACÉRSELO A SU PROVEEDOR OFICIAL
Es simplemente un email que se envía automáticamente a millones de personas para ver si “pican” y pagan la cantidad que se les pide.
En el caso de haber recibido este correo, BÓRRELO e ignórelo.