TECH.PARTY.2019 (PARTE-3)
Qubes Os. Aunque ya lo conocíamos no lo habíamos probado, ya que nunca nos coincidía con un hardware compatible.
Elena Mateos nos realizó una demo de este sistema, y nos explicó sus interioridades. Un sistema muy interesante enfocado a seguridad personal, ya que creas unas máquinas virtuales, Qubos, en los que configurar ciertas aplicaciones.
Así por configuración y rango de colores tendrás unas VM listas para ejecutar lo que necesites en cada momento, y tener el core del sistema completamente separado de estas máquinas.
Lo malo es la compatibilidad de hardware, un poco limitada, sobre todo si lo quieres usar en un portátil, pero algo más amplia en clónicos. Puedes ver los requerimientos AQUÍ, y la lista de componentes y modelos concretos AQUÍ.
¿Como hay que tratar un tema que la os que lo seguimos nos hace parecer paranoicos, y a los neófitos no les importa, porque “quien va a querer nada mis datos si no tengo nada de valor?
Pues con gracia, de forma ágil, amena y divertida. Esa fue la charla sobre Privacidad, a cargo de Ulises Gascón.
Unas cuantas demostraciones, sobre todo el buscador de cámaras online, que no solo son dispositivos que cuelga la gente para compartir su vida, sino de gente que no lo hace con esa intención, sino que simplemente deja este hardware con usuario y password por defecto de fábrica.
Y antes de seguir asustando a la gente, explica que es un plan de amenazas, que saca el Big 5 de nuestra información (que suele ser mucho, ya que se la regalamos y ellos la guardan a perpetuidad). la publicidad invasiva y como bloquearla, y etc … etc….
Resumen, no hay que reglar datos, desconfiar de la red en general, y blindarnos. No hay que ponérselo nunca fácil a los delincuentes (no hackers).
- Publicado en Análisis forense, Consultoría, Formación, Hazlo tu mismo, Informática industrial, Seguridad, software libre
TECH.PARTY.2019 (PARTE-2)
A las 11.30 acudimos a la charla de Jose Luis Rosales, investigador y profesor en la Universidad complutense de Madrid. El tema nos tenía muy intrigados “Proyectos de Ciberseguridad Cuántica”, y no nos defraudó.
Ya se llevan 4 o 5 años impartiendo clases de computación cuántica, y se empiezan a cerrar alianzas para hacer nodos de comunicación metropolitanos en varias ciudades de Europa (Madrid, Poznań , Varsovia, Cambridge).
¿Pero que es la computación cuántica? Lo mismo nos preguntamos nosotros, pero el Sr Rosales nos lo aclaró en su charla.
Es la aplicación de la teoría cuántica a la física, donde ordenadores especiales (Cuánticos), aislados, refrigerados casi hasta punto cero, realizan unos cálculos, y se comunican con otros a través de filamentos que transportan fotones.
Estos cálculos realizan matrices, por lo que no dan una sola solución, sino varias posibles y con una probabilidad estadística cada una.
Lo que entre las Universidades antes citadas quieren realizar es unir las dos capas de Informática, la actual, y una integración con la cuántica, por lo que están trabajando en protocolos y estándares.
Se han unido marcas comerciales, de varios países, como Telefónica, Huawei en su filial Alemana o UPM, para que veáis que se busca una aplicación práctica desde ya. Podéis buscar más información sobre esto Open QKD.
Y a nivel de seguridad promete mucho más. Tendría que extenderme mucho más para explicarlo llanamente, pero las comunicaciones cuánticas son inviolables, y si lo fueran, quedaría reflejada la variabilidad.
Una charla muy amena, práctica, con ejemplos, y que me dio ganas de retomar los estudios de física.
RadioWarfare: la guerra invisible por David Marugán, una charla sobre las ondas de radio. Una charla amena, sobre todo para quien no conoce este campo, y con ejemplos de como se usan las ondas para desinformación, o para con encriptación, comunicaciones seguras.
Hace muchos años, cuando las conexiones se realizaban con módem de 1200 y 2400 baudios, nos las teníamos que ingeniar para poder interconectarnos. Una opción, casi mítica eran las Blue Box para operar sobre teléfono. Otra era la comunicación con estaciones de radio aficionado, hacía un servidor.
David, aparte de los temas anteriores, hizo un repaso al lenguaje utilizado en estos sistemas, muy amplio para definirlo aquí, pero que quizás lo hagamos en otro artículo: Singit, Sysop, C&C, Comint, Comsel, Satcom, RadioGamming o Covcom.
También dejó ejemplos de software de cifrado y descifrado bajo ondas de radio, para enviar mensajes cifrados por ejemplo HM01, o para aprendizaje de identificación de señales, como Artemis.
Para los que queráis profundizar en este tema, tiene varios videos de conferencias colgadas en Youtube.
- Publicado en Análisis forense, Consultoría, Evento, Formación, Noticias, Programacion, Protección de datos, Seguridad, software libre
TECH.PARTY.2019, estuvimos allí (Parte-1)
El pasado 14 de Septiembre se celebró en La Nave, Madrid, un evento de conocimiento compartido, buscando una buena definición.
En él se trataron muchos temas del ámbito tecnológico, con charlas, talleres, mesas redondas, etc… Ciberseguridad en todos sus ámbitos (perimetral, pentesting,…), Blockchain, programación, derecho Tecnológico, Internet de las cosas o Seguridad en ámbito industrial.
También hubo expositores, entre los que nos contamos nosotros, y otras empresas u organizaciones como Hack Madrid, Internet Society, TTN Madrid, o las empresas de ordenadores Slimbook y Vant, de Criptomonedas Bitcobie, y un montón más.
Como no, repartimos como ya anunciamos en este blog, y en las redes sociales, nuestro Rubber Ducky Low Cost versión beta, a expertos “cacharreros” y a quién nos lo pidió, para que nos den su opinión y poder sacarlo a la venta, a quien no se lo quiera hacer el mismo. Esperamos los feedbacks con impaciencia.
Como no, también agradecer el food truck de Navidul, para los tentempiés correspondientes, o el puesto de Hack&Beer, con sus dos cervezas artesanas para refrescar el fresco y lluvioso día que hizo.
Nuestro colaborador Jordi Ubach, dio una charla sobre Vectores de ataque IT, a primera hora, pero muy concurrida. Dejó durante la misma unos cuantos sensores y PLCs en una red a la que podía entrar quien quisiera para probar.
Ofreció cifras alarmantes sobre ataques a infraestructuras críticas, como centrales hidroeléctricas, plantas de aerogeneradores, potabilizadoras, etc… la poca seguridad que tienen, y lo mucho que hay que hacer.
También un repaso más técnico a los tipos de sensores y demás aparatos interconectados en la industria, DC,PLC, RPU o SCADA.
Este es uno de los servicios que ofrecemos en Industria 4.0, tanto auditorías de seguridad, como análisis forense en cualquiera de estos sensores.
Seguiremos con la narración de la Tech.Party.2019, al menos de las charlas a las que fuimos, porque era imposible abarcar todo.
- Publicado en Análisis forense, Consultoría, Evento, Formación, Noticias, Programacion, Protección de datos, Seguridad, software libre
Facebook lo vuelve a hacer
Cuando parecía que todo volvía a la calma, tras la supermulta que le impusieron a Facebook por no respetar la privacidad de sus usuarios (ver artículo al completo AQUÍ), Facebook la ha vuelto a liar.
Se han filtrado nada más y nada menos, que datos de 419 millones de usuarios, entre ellos su ID y teléfono personal, todos datos de la red social. Son ciudadanos de EEUU, Vietnam y el Reino Unido.
Fue gracias a Sanyam Jain, investigador de la Fundación GDI, que tras encontrar un servidor sin contraseña, donde estaban todos estos datos, y no lograr dar con el propietario, lo denunció a Techcrunch, donde hicieron todo lo posible para que retiraran la máquina del dominio púlbico.
La compañía se defiende diciendo que la base de datos es vieja, y seguramente de antes que hicieran los cambios para hacer su plataforma más segura el año pasado, cuando se retiró la opción de encontrar a personas a través de su número de teléfono.
Mientras la gente no sea consciente de la importancia de sus datos, porque no solo son “datos” sino herramientas para ciberdelincuentes, para poder hacer ingenieria social, sim-swapping, etc… las compañías seguirán aprovechando su poder, y descuidando su seguridad para con sus usuarios.
- Publicado en Noticias, Redes sociales, Seguridad
Ciberseguridad en hoteles.
Cada vez con más frecuencia leemos noticias sobre las violaciones de seguridad en los sistemas de las cadenas hoteleras.
Sin ir más lejos, el año pasado la cadena Marriott, una de las más importantes del mundo, comunicó que durante dos años tuvo una vulnerabilidad. Esa vulnerabilidad significó que fuentes externas habían conseguido datos de nada menos que 500 millones de clientes. Este tema ya fue objeto de un comentario en este blog, que podéis volver a ver clicando AQUÍ.
Este año no paran de repetirse avisos de alarma y noticias sobre el tema, no sólo por sectores ligados a la ciberseguridad , sino que lo reconoce el propio gremio hotelero, tal y como aparece en este artículo de la revista profesional turística Hosteltur y que podéis leer AQUÍ.
Quizá por eso, otra revista profesional del sector turístico, Comunicatur.info incidía en el tema, a raíz del Forum TurisTIC que organiza Eurecat, remarcando que expertos en ciberseguridad es uno de los perfiles más buscados en turismo.
¿Por qué pasa esto con las cadenas hoteleras?
No hay una sola razón, sino que hay que buscar la respuesta en un cúmulo de circunstancias. Por ejemplo, por tener sistemas antiguos y que no se renuevan ni actualizan; por tener los sistemas mal sellados; porque muchas de sus webs de reservas y comercio electrónico son poco seguras; así como el acceso a su booking de habitaciones desde un montón de plataformas externas sin que se haya construido un adecuado sistema de precauciones y restricciones.
Noticia1 Noticia2Noticia3Noticia4Noticia5
Hay que tener presente que los hoteles conforman un sector muy goloso para los delincuentes informáticos, por la gran cantidad de datos y de personas que usan los servicios hoteleros. Por todo ello, el sector hotelero es uno de los considerados más vulnerables para los siguientes tres – cinco años.
Hoy nos ocupamos de este sector, pero hay otros en la industria que se encuentran en situaciones parecidas, como es el de los seguros o el sector médico, que además trabajan con datos mucho más sensibles y pretendidos por los delincuentes para poderlos vender.
TECNOideas2.0, ofrece sus servicios de ciberseguridad también a empresas turísticas, hoteles independientes, grupos y cadenas hoteleras, etc.
- Publicado en Consultoría, Noticias, Seguridad
Empleados de AT&T aceptaron sobornos para infectar Smartphones y luego ayudar a desbloquearlos
Una noticia que ha podido pasar desapercibida a principios de este mes, por las vacaciones que tanto nos gustan a todos es esta. Empleados de AT&T aceptaron sobornos para infectar Smartphones y luego ayudar a desbloquearlos.
Según una investigación todavía abierta de Justicia en EEUU, un tal Muhammad Fahd y varios cómplices, sobornaron a empleados de AT&T para que desbloquearan e infectaran smartphones que la compañía vendía a plazos a sus clientes.
También los empleados ayudaron a dicha persona a colocar routers y puntos de acceso Wifi dentro de la compañía, para que pudiera entrar remotamente en sus sistemas.
Parece que todo esto ocurrió entre 2012 y 2017, que la cantidad “donada” por el Sr Fahd sería de 1 millón de dólares, pero que ningún dato de ningún cliente se vio comprometido (sic)
La noticia al completo, en Inglés AQUÍ
La inacción en temas de seguridad.
Se suele dar el caso que tras dar un aviso de un fallo de seguridad, con toda la buena fe del mundo, a una empresa o institución – no cliente – que a los dos o tres meses sigue estando ese fallo presente.
Esto viene a colación de un ejemplo como el acaecido esta ultima semana en un centro comercial de Cornellà del Llobregat –NOTICIA–
Si la noticia es verdadera, ya que parece que no confirman el hecho del aparato que hace streaming, se darían dos casos. Uno, una instalación que si para casa funciona, habría sido barata para un centro comercial, pero toda una chapuza a nivel profesional.
La segunda, como no, la seguridad. ¿que seguridad da este tipo de aparato? Si está activado el wifi direct, cada cual puede vincularse y conectarse. Si es a través del wifi, esperemos que sea uno privado, y no el de clientes, aunque lo dudamos, solo haría falta un poco de paciencia para entrar en él, y otra vez, vincularse al chromecast.
La cuestión ya no es si es una mala instalación, poco segura, o las dos cosas. La cuestión es que se ha avisado, y no se ha puesto remedio. Otra cosa es como sea avisa. La gente suelta muy a la ligera “se ha denunciado en las redes sociales”, cuando lo mejor sería decir “se ha enrabietado en las redes sociales”.
Las denuncias y avisos de este tipo han de ser a la empresa primero, y a las autoridades segundo. Que hay mucha gente que piensa que por hacer un vídeo y colgarlo en facebook ya lo ha hecho todo y bien.
La paranoia de los lectores Contactless
Desde hace ya un año aproximadamente, se ven noticias en los medios de como los “cacos” copian tarjetas, o pasan lectores de bancos (los llamados datáfonos) para realizarnos cobros de menos de 20 euros, que no necesitan pin.
Si habéis peleado alguna vez con la tarjeta del banco y un datáfono, habréis visto que a veces si no es la postura (inclinación) correcta, y la distancia muy baja, a veces casi es imposible pagar.
Entonces, ¿es cierto que pueden realizarse estas operaciones fraudulentas a distancia sin nuestro permiso?
Hay que diferenciar ahora mismo entre dos sistemas de pago según el hardware, RFID y NFC, y resumiendo mucho, claro.
El primero y más antiguo es el RFID, un sistema de comunicación de una sola vía entre tarjeta y datáfono. Fue a raíz de este sistema donde se introdujo el pago mínimo sin autorización para hacer más “fluidas” las transacciones. Son dispositivos pasivos, osea, que carecen de fuente de alimentación.
El NFC heredó todas las características del RFID e implantó novedades, como la comunicación a dos vías, y la lectura tanto de dispositivos activos como pasivos. Compatible con el anterior.
Así pues , sin entrar en detalle que daría para muchas páginas, dependiendo del tamaño del tag (dispositivo en este caso tarjeta), del receptor, y de la frecuencia, se pueden leer tarjetas desde 20 cms a varios metros.
La transmisión de datos en NFC es en texto plano, por lo que cualquier lectura nos dará muchos datos sobre una tarjeta. Así que como no, unos avispados, programaron un malware para leer desde Android con NFC tarjetas que estuvieran a su alrededor, para luego ir haciendo pagos poco a poco, ya que aunque sin autorización según el país es un monto determinado, si que se bloquea al realizar varios pagos consecutivos.
En resumen, es difícil, pero se puede hacer, en tarjetas de banco, o cualquiera con este tipo de tecnología, como DNI-e (que es de chiste en su primera versión) o los nuevos pasaportes electrónicos.
Si no tienes una carta, mochila o bolso con protección (una simple jaula de faraday, o como hacen muchos ladrones de grandes superficies una bolsa de congelados), te ofrecemos fundas para tus tarjetas, a un 1 € la unidad, y 2,5 € el de pasaporte. En nuestra tienda.
- Publicado en Seguridad
Descuidos en emails masivos
Hay una práctica habitual al hacer comunicados a contactos cercanos por email, y es hacer desde el mismo cliente de correo un añadir masivo en el apartado enviar a, oculto.
Pero si nos fiamos de nuestra memoria, esta puede fallar, por las prisas, la situación o mil cosas más, y luego enviamos un comunicado a por ejemplo 60 o 70 personas en su correo a la vista.
A parte de los problemas que nos puede ocasionar si tenemos un hosting propio, ya que suele limitar en la configuración por defecto, a unos 50 a la vez o por hora, también está el tema de la protección de datos.
Lo más fácil para evitar este problema es disponer de un software, casi siempre online, de listas de distribución, y así no tener que usar nuestro programa de correo.
Cuando vemos la palabra Ciberseguridad siempre pensamos en alguien con una sudadera con capucha y gafas de sol que aporrea un teclado para entrar remotamente en un sistema. Pero a veces se lo ponemos muy fácil.
La protección no solo son Firewalls y software carísimo, pasa también por unas buenas maneras, del ya repetido, eslabón más débil de la cadena, el trabajador. Podéis leer un artículo referente a este tema AQUÍ.
- Publicado en Protección de datos, Seguridad
Phising, Vishing y Smishing
Hace unos días, la Policía Nacional destapaba un fraude de más de 900 mil euros por compras a través de webs fraudulentas y Vishing.
Podéis ver toda la noticia AQUÍ, y si habéis comprado en alguna de las webs que muestran, como contactar con ellos.
¿Pero que diferencias hay entre estos tres sistemas de fraude?
El más conocido Phishing, es el sistema que induce a hacer click dentro de emails recibidos, que suplantan la identidad de un servicio casi siempre financiero, que enlazan a webs falsas donde nos roban nuestros datos para hacer login en la real.
En el Vishing, los delincuentes crean un sistema de voz automatizado parecido al que quieren suplantar, o directamente nos llaman ellos, haciéndose pasar por un empleado del banco, para que le demos también, nuestra identidad digital.
Por último, el Simishing, sería el sistema que usa mensajes de texto o de Whatsupp, para el mismo fin, hacer click en un enlace a una web fraudulenta, o que llamemos a un teléfono de tarificación especial y nos hagan esperar todo lo que puedan, con el siguiente perjuicio a nuestra factura.
Ante todo sentido común, no hacer click en enlaces por muy seguros que nos parezcan, sobre todo de bancos o monederos electrónicos, e ir a nuestro navegador y teclear la dirección. Si teclear porque hay un malware que suplanta nuestros favoritos, y hablaremos en otro artículo.
Y las compras en tiendas de confianza, que los chollos y los duros a cuatro pesetas no suelen existir.
Español 
Català