Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

23 mayo 2014

Nueva vulnerabilidad en el Internet Explorer 8 (CVE-2014-1770)

Ha aparecido una nueva vulnerabilidad, aún sin parchear, en el Internet Explorer. En esta ocasión, la única versión del navegador afectada es la IE8, por lo que se recomienda actualizar a una versión posterior o utilizar un navegador distinto, como el Firefox.

Un atacante podría aprovechar dicha vulnerabilidad para la ejecución de código arbitrario, mediante un javascript, si la víctima visita una página maliciosa o abre un archivo malicioso.

Otras medidas recomendadas para mitigar el impacto: desactivar la ejecución automática de javascript y de ActiveX, asignación de menores privilegios al usuario e instalar EMET.

No obstante, lo mejor es no utilizar el Internet Explorer 8 hasta que Microsoft no haga disponible un parche.

Más información:




21 mayo 2014

Wifi WEP NO: te lo hackean hasta las gallinas



He estado unos días de vacaciones en el campo. Pero ni aún allí he podido librarme de la seguridad. La razón es que me he encontrado con algunos amigos no muy conscientes del peligro de las conexiones wifi que usaban: compartir la wifi con el vecino o usar seguridad WEP son algunas de las cosas que he visto. Para ellos va este post, que espero aproveche a cuanta más gente mejor.

Compartir la wifi con el vecino es una práctica bastante habitual (me he encontrado varios casos). Tú le pagas o él te paga y os ahorráis un dinerillo. Pero lo que a lo mejor no sabes es que, utilizando un tipo de programa llamado sniffer, el vecino puede ver (o husmear) todo lo que haces cuando te conectas. 
Afortunadamente, mucha de la información importante va cifrada, pero no siempre es así; y, de todos modos, también hay trucos para saltarse eso. Puedes entretenerte leyendo unos interesantes artículos sobre lo que ocurre cuando compartes wifi con el vecino (con su permiso o sin él).

Lo ideal es tener tu propia conexión wifi (que luego nos gastamos el dinero en un iPad, pero queremos internet gratis) y debidamente protegida. Si quieres saber más sobre la importancia de tener una wifi segura y cómo hacerlo, el genial Angelucho te lo explica. Pero yo aquí voy a resaltar algunos puntos:

Los modelos de routers que muchas veces instalan las compañías de teléfono se conocen. Encontrar el algoritmo de generación de contraseña wifi a partir del modelo del router es trivial, como demuestra una simple búsqueda en google: https://www.google.es/#q=wlan_xx+wep. Puedes probar a sustituir wlan_xx por el nombre de tu wifi y verás. Por ello, es importante que cambies la contraseña de la wifi.

Cambia también el nombre de la red (wlan_xx o lo que sea) para no dar pistas a posibles atacantes sobre el modelo. El nombre de la red wifi es el SSID.

Y cambia también la contraseña del router (no estamos hablando ahora de la de la wifi, sino de la del propio router, necesaria para entrar en él). Seguramente sea algo tan complicado como 1234. Si no, pregunta a tu operador, o búscalo en internet.

Para hacer todo lo anterior hay que entrar al router. Lo haremos poniendo su ip en el navegador de internet (puede que sea algo como 192.168.1.1, si no, se puede averiguar del mismo modo que la contraseña).

En el caso de movistar hay que entrar en el portal Alejandra, al menos la primera vez; luego ya nos dejará hacerlo vía IP, si así se lo indicamos. 
Configuración de routers (Portal Alejandra)

Cuando estemos dentro del router, cambiaremos la contraseña de éste (para que nadie puede entrar más que nosotros), el SSID (nombre de la red wifi), la contraseña de la wifi y el tipo de cifrado (security mode). No hay que usar el WEP porque el WEP es muy fácil de romper y averiguar la contraseña, aunque la hayamos cambiado. Debemos poner el WPA-2, que es el más robusto; o si no, al menos, el WPA.

Puede que pienses que tu vecino es de fiar y que quién te va a hackear a ti, si estás ahí, aislado en medio del campo, y los hackers malos viven en las grandes urbes y solo hackean a los banqueros. Pero es que si usas un router wifi con la configuración por defecto y seguridad WEP, te pueden hackear hasta las gallinas.

09 mayo 2014

Cuidado con los correos aunque sean de tus amigos


Hoy vamos a bajar un poquito el nivel (bueno, el mío tampoco es tan alto) y hacer una entrada para usuarios no técnicos, para ayudarles a afrontar y prevenir algunos problemas relacionados con el robo de contraseñas de correo y el envío de mensajes fraudulentos.

Ayer me llegó el siguiente correo de una amiga:

"He subido un documento importante ENTRA AQUÍ haga clic en el signo en el icono y accede con tu respectivamente correo electrónico para ver .."

Estaba claro que no era ella, así es que le avisé de que le habían robado la contraseña. Lamentablemente, el correo llegó a más gente y hubo quien picó, con lo cual, su cuenta también fue comprometida y se repitió el envío. Esto puede dar lugar a una reacción en cadena (esperemos que no). Para evitar este tipo de cosas, vamos a explicar: 

Cómo distinguir un correo fraudulento:

Aunque venga de un amigo, no tiene por qué ser él, le han podido robar la cuenta. Suelen estar redactados en un pésimo español: mezclando el usted ("haga") y el tú ("accede"), frases mal construídas ("tu respectivamente correo"), etc. Pero, aunque esté bien escrito, pregúntate: ¿estaba esperando el correo? ¿de qué trata? Si te llega un correo que no esperabas, con un texto tan genérico (a parte de mal redactado) como el del ejemplo, bien puede tratarse de un impostor. Para estar seguro de que es tú amigo, debería de hacer referencia cosas que un desconocido no pueda saber. Ante la duda, preguntale (por teléfono). 
Y, sobre todo, NO HAGAS CLICK EN NINGÚN ENLACE (el del ejemplo lo he puesto en rojo y tachado para que se grabe la idea, pero no vendrá tachado). Puede traer bicho. Aunque lo más probable es que se trate de un ataque de Phishing, con el que quieren robarnos las contraseñas del correo (ojo, a veces también se hacen pasar por bancos para robarnos las credenciales bancarias). 

En el ejemplo, si haces click, te piden que, parar ver el "documento", introduzcas tu usuario y contraseña de correo. NO LO HAGAS: se las estarás dando a los malos, que podrán leer tu correo y mandar correos en tu nombre.


¿Cómo saber si alguien ha entrado en mi correo?

En el caso de Gmail, una vez dentro, se puede ver en la esquina inferior derecha, donde dice "Última actividad de la cuenta: hace...". Si, por ejemplo, pone "3 horas" y tú no entraste desde ayer, está claro que alguien se ha colado después. Si pinchas en "Información detallada" verás un resumen de la "Actividad de la cuenta" con las últimas conexiones: a qué horas, desde que sitio (país e IP) y hasta desde qué navegador y si era con un móvil. En el caso de mi amiga, así averiguamos que el individuo que estaba intentando hackearnos a todos se conectó desde Nigeria.

Me han robado la contraseña de correo. ¿Qué hago?:

Lo primero, cambiarla. En gmail, pincha arriba, a la derecha, en el circulo (donde suele aparecer nuestra foto o una silueta); luego en "Cuenta"; después en "Seguridad", "Cambiar contraseña". 
Pon una que sea segura (click aquí para consejos). Activa la verificación en dos pasos (click aquí para ver cómo). Estos dos consejos también sirven para proteger el acceso a tu cuenta, aunque no te la hayan robado.

Avisa a tus contactos de que te han hackeado. Es lo que hizo mi amiga en cuanto se enteró, envitándo, probablemente, un problema en cadena. Si, como en el ejemplo, el ladrón se ha dedicado a mandarles correos para que piquen (puede que estén aún en la carpeta de "enviados"), qué menos que advertirles. 


Si usas la misma contraseña en otros sitios, cámbiala allí también. Por cierto: mal hecho, no se debe usar la misma contraseña en varios sitios (sí, ya sé que es un rollo tener varias). O, al menos, no la misma en un sitio muy importante y en otro facilmente expuesto. Si usabas la misma contraseña para cosas del trabajo o para el banco, CÁMBIALA YA. El que te robó la contraseña puede que no sepa que tienes acceso a esos sitios, pero es mejor no arriesgarse. Ten en cuenta que, tanto si es una persona como un "bicho" automático, puede encontrar en tus correos información sobre a qué sitios te conectas. Con relación a eso, considera el punto siguiente:

Haz un análisis detallado de a qué cosas puede tener acceso alguien que hay entrado en tu correo. Aquí, cada uno sabrá. Pero piensa que puede haber muchas cosas sincronizadas con el correo eléctrónico: drive/dropbox, facebook... Además de las cosas que te llegan a él (¿información confidencial?, ¿documentos del trabajo?, ¿recibos del banco?). Todo eso ha podido ser comprometido (y lo pagan bien). Que no cunda el pánico, pero revisa bien y no te duermas. Puedes mirar este enlace (en inglés) para hacerte una idea. 

Cómo evitar que te hackeen el correo:

Pon una contraseña segura (click aquí para consejos). Activa la verificación en dos pasos (click aquí para ver cómo). No entres a mirarlo desde un PC (público) o conectándote a una WiFi pública. Cierra siempre la sesión cuando termines: haciendo click en "Cerrar sesión", no dándole a la crucita de arriba a la derecha. Mantén tu PC libre de bichos (eso da para otra entrada), porque si no, puedes tener instalado un keylogger que se queda con las teclas que pulsas y, por tanto, con la contraseña.



Mantén una cultura de seguridad:

Ya sé que esto de la seguridad es un rollo y parece cosa de frickies, pero luego pasa lo que pasa. (Ha pasado ya).
Una buena manera de empezar es leyendo cosas que hay publicadas para usuarios no técnicos. Por ejemplo:
- Te puedes hasta descargar su libro: http://elblogdeangelucho.com/elblogdeangelucho/el-libro/
- La Oficina de Seguridad del Internauta del INTECO: http://www.osi.es/

Apúntate a las jornadas X1RedMásSegura: charlas y talleres de seguridad para todos (padres, hijos, abuelos, empresarios...). Empezaron ayer, pero aún estás a tiempo: duran hasta el día 17. Y son gratis. Organizadas por profesionales que dan generosamente de su tiempo para "difundir seguridad en Internet a quien lo necesita, a los usuarios no técnicos o menos informados".
Tienes toda la información aquí: http://www.x1redmassegura.com/

Sobre todo, recuerda que, como dice el gran Angelucho: "nosotros somos nuestra mayor vulnerabilidad, pero también somos nuestro mejor antivirus".