viernes, 28 de febrero de 2014

Cisco Networking Academy

Las plataformas de formación Online gratuitas son cada vez más frecuentes y de mejor calidad, las grandes empresas tecnológicas se están sumando a esta oferta educativa, incluidas aquellas que ya tienen un sistema de certificaciones previo pago: Cisco, Microsoft, etc.

En la plataforma de Cisco Networking Academy se ofrece una nueva formación Online de seguridad informática, que aunque todavía no está activa la inscripción parece ser que se va a iniciar pronto.


Seguridad a lo Jabalí para Todos!!

jueves, 27 de febrero de 2014

La (Tu) Agenda de Google

El miércoles pasado se hablo en Seguridad Jabalí de las Recomendaciones Compartidas de Google, hoy toca hablar de otra interesante funcionalidad de Google
  • "Si eres usuario de Google+, con Gmail puedes escribir a las personas de tus círculos de Google+, aunque no tengas sus direcciones de correo electrónico"
 
 
Click en Imagen para Aumentar
 
El Truco
Si eres usuario de Google+, con Gmail puedes escribir a las personas de tus círculos de Google+ aunque no tengas sus direcciones de correo electrónico.

Por otro lado Google te informa...
"Tú controlas quién puede mandarte correos con un ajuste de Gmail"

El TRUCO es siempre el mismo, LA CONFIGURACIÓN por DEFECTO, las grandes multinacionales te informan de estas nuevas funcionalidades, pero configuran por defecto las cuentas a favor de sus intereses, nunca de tu privacidad.

Estas políticas basadas en el desconocimiento (la mayor parte de los usuarios no leen estas condiciones) y en la falta de conocimientos técnicos, a veces es realmente complejo llegar a ciertas opciones para configurar algunos servicios, permiten a las compañías seguir en su Recolección Masiva de Datosque es el principal activo de estas empresas.

Si utilizas tu cuenta como espacio público, quizás hasta te interese que todo el mundo te pueda enviar mails, quizás no sea el caso...  

Seguridad a lo Jabalí para Todos!!

miércoles, 26 de febrero de 2014

Nueva Sección en Intypedia: Gestión de claves, tecnología HSM CryptoSign Server


Los avatares Rebeca Toledo y Roberto Padilla analizan la problemática que subyace en una gestión de claves segura, presentando soluciones para HSM Hardware Security Module mediante CryptoSign Server de Realsec, un servidor criptográfico integrado (hardware y software) para servicios de firma electrónica avanzada de documentos.



Con este primer vídeo se desea presentar a la comunidad la nueva sección de formación práctica en seguridad de esta enciclopedia visual, en la que caben todo tipo de proyectos de difusión sobre productos y servicios de seguridad desde una plataforma formativa a la que acceden más de 10.000 personas al mes, con la única condición de que la información que se entregue ofrezca un valor añadido y formativo, no sólo la presentación de ese producto o servicio de seguridad. http://www.intypedia.com/
 


Jorge Ramió, Alfonso Muñoz, Ángel Castillo (Equipo de Intypedia).

Seguridad a lo Jabalí para Todos!!

Stanford Cryptography Online

Hace un tiempo hablábamos en Seguridad Jabalí de una formación Online y gratuita muy interesante, el curso de Criptografía de Stanford, era en Noviembre de 2012.


Ahora tienes la oportunidad nuevamente de recibir esta formación de la mano de Dan Boneh y con las garantías de la Universidad de Stanford. Los cursos se realizan mediante la plataforma de Coursera y están muy bien estructurados, así que si deseas hacer este o cualquier otro curso ¿A que estas esperando?
Seguridad a lo Jabalí para Todos!!

martes, 25 de febrero de 2014

Libro X1RedMasSegura Gratis Edición Digital

Era obligatorio hacer referencia aquí de la edición digital del Libro X1RedMasSegura que Ángel Pablo Avilés por aka El Maldito Angelucho comparte de forma desinteresada con todos los que desean aprender a estar un poco más seguros en la Red.

Ángel es un profesional que desarrolla su labor en un ámbito muy ligado a la seguridad informática pero también al cuidado de los ciudadanos, desde esta perspectiva dedica parte de su tiempo personal (embarcando a toda su maravillosa familia) en el proyecto de difundir y promover la utilización de las nuevas tecnologías de forma segura.
 


En este libro se recopila parte de ese trabajo, una obra recomendable para personas que no tienen un perfil técnico, pero también para todos aquellos que teniendo conocimientos informáticos no encuentran la manera de transmitir unas pautas de uso seguro de la tecnología a los más cercanos. Un ejemplar que no puede faltar en tu biblioteca, ahora en tu tablet, teléfono móvil, etc

Desde Seguridad Jabalí además de aplaudir esta iniciativa queremos enviarle un ENORME abrazo a Angelucho & Family, y sobre todo darles las GRACIAS por este hermoso proyecto.

 
Seguridad a lo Jabalí para Todos!  X1RredMasSegura

lunes, 24 de febrero de 2014

Facebook Rumores (Parte 17) y llego ZARA

Hace un tiempo que no publicamos en la Sección de Rumores de Facebook y es que la cantidad de engaños, estafas o mentiras que se propagan por las redes sociales sigue aumentando cada día.

Esta noticia se publicaba hace unos días y aunque parezca increíble algunas organizaciones o individuos siempre encuentran una manera nueva de engañar a un número muy alto de usuarios, que normalmente terminan difundiendo la falsa noticia de forma viral por toda la red social.


En muchas ocasiones la campaña maliciosa no tiene ningún perfil técnico, no explota ninguna vulnerabilidad conocida, ni desconocida, simplemente utiliza la inocencia de los usuarios que envían indiscriminadamente el enlace malicioso a cambio de un beneficio, que la mayor parte de las veces jamás recibirá…

Todos tenemos responsabilidad en evitar este tipo de publicaciones, de verdad ¿crees que Zara te va a regalar dinero/descuentos por enviar 25 o 30 mails?, aun así, si tienes dudas consúltalo con alguien antes de propagar estas campañas.


Seguridad a lo Jabalí para Todos!!

domingo, 23 de febrero de 2014

Recomendaciones Security Art Work

En nuestra sección de Recomendaciones para el Domingo, hoy queremos hablar de un referencia indispensable si quieres estar en "esto de la seguridad informática", un lugar donde participan activamente muchos profesionales y con un nivel de calidad de los artículos muy alta.

Estoy hablando de Security Art Work, uno de los blogs técnicos de más nivel del panorama, además de una plantilla de colaboradores que trabajan activamente en distintos proyectos de seguridad e investigación y publican los resultados de muchas de sus conclusiones en este blog. 


Análisis de malware, configuración de entornos de trabajo complejos, desarrollo de aplicaciones y un enorme abanico de estudios de protocolos y sistemas para optimizar la seguridad de los clientes.

En Seguridad Jabalí hablamos en alguna ocasión de colaboradores de esta web o referencias a series de artículos muy interesantes y todavía tenemos algún post pendiente (sobre algún libro, sin ir más lejos ;D ). No dejes de añadir este blog a tu lector de RSS porque es un recurso muy valioso. 

Seguridad a lo Jabalí para Todos!!

viernes, 21 de febrero de 2014

Netalyzr para Android

Hace un tiempo recibimos en Seguridad Jabalí un mail...

Me llamo Narseo Vallina-Rodríguez. Soy un investigador científico en el Instituto Internacional de Computer Science en la Universidad de Berkeley (ICSI). Te escribo debido a que soy uno de los desarrolladores detrás de la aplicación Netalyzr para Android dentro del grupo del Prof. Vern Paxson. La aplicación para el desktop http://netalyzr.icsi.berkeley.edu ha sido exitosa y ha registrado más de un millón de pruebas en apenas dos años. Los resultados se han publicado en Internet Measurements Conference (IMC). Y aquí os dejamos el artículo de Narseo...

Netalyzr para Android 
Netalyzr es una herramienta gratuita de diagnostico de red desarrollada en el International Computer Science Institute (ICSI) en Berkeley. Permite identificar problemas en tu conectividad – incluyendo desde soporte para DNSSEC y IPSEC,

dimensionado de buffers, latencia, filtrado de puertos y rendimiento de los protocolos de transporte, hasta posibles manipulaciones en el trafico causadas por servidores DNS, proxies, y vulnerabilidades en la seguridad de dispositivos UPnP como tu Gateway/NAT. Los resultados del test son presentados en un detallado informe.

Netalyzr está operativa desde Junio del 2009 aunque en continua evolución, y desde entonces ha sido usada por más de un millón de usuarios desde prácticamente cualquier país del mundo.

Además de una herramienta de debuggeado de red, Netalyzr forma también las bases de un amplio estudio del estado y la evolución de Internet desde los clientes.

Recientemente, ICSI ha publicado una versión gratuita para Android que está disponible en… Enlace a la Aplicación.


Diseño del Sistema
La filosofía de Netalyzr es poder analizar tanto como sea posible de una forma automatizada sin afectar a la red, y garantizando la mejor experiencia de usuario posible hasta para aquellos que no tengan conocimientos técnicos.

Al comienzo de una sesión, Netalyzr redirecciona al usuario a un único nodo de varios posibles que conforman el back-end, el cual corre íntegramente en Amazon EC2. El nodo tiene una serie de servidores que permiten analizar y verificar varios protocolos.

El cliente móvil ejecuta una serie de tests con el servidor y otras máquinas que configuran su red (por ejemplo el home gateway, o el servidor de DNS). En la versión móvil, los tests pueden realizarse en el background. Una vez finalizada la batería de tests (más de 110 en total), los resultados son subidos al servidor para ser procesados y destilados en un informe detallado que destaca los servicios que se están ejecutando correctamente, los problemáticos y otros que están completamente rotos. Los resultados pueden ser compartidos con otros usuarios o con los propios desarrolladores para facilitar la interpretación de los resultados y el debuggeo del sistema.

Los Test
La meta principal de Netalyzr es desarrollar una batería de tests que permitan a un usuario entender bajo qué tipo de restricciones y vulnerabilidades se encuentra su conexión a Internet. Dejando de lado los tests orientados a medir el rendimiento de la conexión (como latencia, tamaño de los buffers, ancho de banda  y filtrado básico de puertos UDP y TCP), nos centraremos en tres aspectos que afectan a la seguridad del usuario:
  • DNS: Netalyzr intenta activamente identificar la localización del servidor DNS y DNSSEC para el cliente. Esto permite probar, verificar y validar la resolución del servidor para identificar su correcta operación.
  • HTTP PROXIES: Netalyzr comprueba la fidelidad de los proxies HTTP instalados en los end-points (como antivirus y software de seguridad) como los desplegados en la red. Esto permite comprobar si el contenido de los usuarios está siendo modificado por los mismos, por los operadores o por terceras partes.
  • UPnP: Muchos problemas de los usuarios son debidos a la configuración de la NAT o el “home Gateway” en su red local. Netalyzr activamente determina la localización del Gateway usando UPnP (Universal Plug and Play) y así poder alertar al usuario sobre posibles problemas.
Resultados Relevantes
Los resultados de Netalyzr demuestran que DNS es una herramienta muy potente para control, redirección, inyección de contenido y bloqueo de tráfico. Por ejemplo, uno de los ISPs retornaba deliberadamente la dirección IP de su proxy cuando un cliente ejecuta lookups hacia buscadores populares como google, bing o yahoo. Este tipo de práctica puede ser utilizada para monetizar o incluso hacer un perfil de los usuarios.

Los servidores recursivos son poco fiables en práctica ya que usan frecuentemente técnicas como NXDOMAIN wildcarding. De la misma forma, Netalyzr también puede detectar ataques originados por malcode instalado en el cliente para inyectar publicidad, así como ataques asociados a técnicas de cache poisoning en el que un atacante es capaz de inyectar información  falsa en las cachés de los servidores.

Las redes, especialmente las redes móviles, están controladas por middleboxes como proxies para mejorar el rendimiento de la red. Algunos ejemplos pueden ser aceleradores web con un comportamiento inapropiado de sus caches y técnicas de transcoding (utilizadas para ahorrar ancho de banda en el downstream). Netalyzr ha sido capaz de detectar proxies que modifican las cabeceras e inyectan contenido en el tráfico de los usuarios como JavaScripts, así como proxies cuyo objetivo principal es censurar cierto tráfico de los usuarios. De la misma manera que se utiliza DNS para monetizar errores de tráfico, estas técnicas son utilizadas por algunos ISPs que modifican las respuestas para un propósito similar.

Finalmente, Netalyzr ha sido capaz de identificar vulnerabilidades en varios home gateways. Muchos de ellos presentan implementaciones de UPnP con brechas de seguridad como las explotadas por DNSChanger y que afectó a 20000 usuarios en el Reino Unido en 2011. Dicho virus es capaz de cambiar la configuración de los gateways para forzar al usuario a visitar páginas web fraudulentas. Para conocer más sobre los resultados y los problemas que pueden identificarse con Netalyzr, te invitamos a echar un vistazo a los artículos publicados a partir de los resultados proporcionados por la herramienta.

 
El Futuro 
En un update reciente, Netalyzr incorpora la capacidad para extraer certificados TLS, así como de los certificados de las autoridades certificadoras que se encuentran por defecto en los dispositivos móviles. Estos tests están motivados por los recientes escándalos de espionaje por la NSA. Esto permitirá en un futuro próximo validar los certificados obtenidos por los dispositivos para inferir ataques Man In the Middle, y debilidades en los certificados que se encuentren instalados por defecto en el móvil (o que hayan sido incorporados por operadores, agencias gubernamentales, proxies o fabricantes de dispositivos). 
Los investigadores quieren agradecer a todos aquellos que hayan probado Netalyzr en el pasado, y están abiertos a cualquier sugerencia y dispuestos a ayudar a los usuarios a solucionar sus problemas en la medida de lo posible a través del correo electrónico proporcionado en la aplicación.
Autores del Proyecto:
Narseo Vallina-Rodríguez, Nick Weaver, Christian Kreibich y Vern Paxson


NOTA: Es un privilegio para Seguridad Jabalí publicar este tipo de artículos y participar en la difusión de proyectos de este tipo que intentan proteger la privacidad y seguridad de todos en la Red, mucho más al comprobar cómo instituciones tan prestigiosas como International Computer Science Institute (ICSI) en Berkeley investigan y publican los resultados destapando prácticas fraudulentas y abusos de Grandes Multinacionales, ISPs, etc. Por ese mismo motivo os animo a TODOS a participar activamente en este proyecto, descargar la aplicación y utilizarla. 

Seguridad a lo Jabalí para Todos!!

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias