Año 2 - N°11 | Noviembre 2006

- Entrevista

- Las Leyes

- Palabras de Ciso

- Tips para un Ciso

- Punto de Vista

- Hacking bajo la lupa

- Estadísticas

- Productos

- Capacitación

- Toolbox

- Links de Interés

- Lo Sabías?

- Hot Vulnerabilities 

- E-Fraude

- Noticias

- Bolsa de Trabajo

- Agenda & Eventos

- Carta de Lectores

- Libro de Pases

- El Chiste

hacktivismo -infosecurity colombia -  ciberdelitos - vishing - gobernance IS - risk analisys - phishing bancario - fraude corporativo - nueva alianza

En la edición pasada explicamos algunos tips de concientización de usuarios: ahora nos toca a los Profesionales de IT.

La conocida frase "en casa de herrero cuchillo de palo" a menudo nos sienta bien, ya que por comodidad hacemos oídos sordos a tantas indicaciones y controles que nosotros mismos implementamos con tanta convicción como si fuéramos los únicos dueños de la verdad. Les voy a explicar el porqué:

La mayoría de los Profesionales de InfoSec utilizamos computación móvil para desarrollar nuestras tareas: laptops, palms y celulares. Empleamos estos dispositivos en el lugar que estemos (Aeropuertos, bares, oficinas de clientes, etc) y por supuesto que manejamos información sensible. Encendemos el equipo y lo primero que hacemos es buscar alguna señal perdida para conseguir Internet. Luego de confirmar que tenemos conectividad esbozamos una sonrisa pícara y pensamos "¡ja!”, otra vez pude conectarme desde cualquier “Acces Point" y nos sentimos como cuando David derrotó a Goliat.

Acto seguido abrimos nuestro gestor de correo para ver con qué nueva idea magistral nos sorprenderá nuestro Director. Recibimos y enviamos correos con mucha información clasificada... me conecté desde un lugar que no conozco, seguro que no van a poder interceptar mis correos y menos aún tomar control de mi equipo ya que desconocen tanto de seguridad que hasta dejan abierto un Access Point.

Por supuesto es un caso hipotético y a nosotros nunca nos ocurrió (¡seguro que en este momento estás esbozando una sonrisa!). Entonces ahora les voy a comentar algunas formas que existen documentadas y probadas de acceder a nuestro equipo o de interceptar mis correos:

• Cualquiera que tenga el Metaexploit versión beta 3 y un equipo con wireless puede ejecutar un exploit cero day y tomar control de nuestro equipo, ver más: http://isotf.org/advisories/zert-01-111106.htm 

• Los protocolos comunes de correo (pop3, smtp, imap) viajan a través de la red en texto claro, por consiguiente pueden sniffearlos o pueden obtener la clave de forma sencilla.

• La mayoría de los webmails utilizan el protocolo http y ocurre lo mismo que en el caso anterior, inclusive si es https existen tools como CAIN que capturan las credenciales o el hash de la clave, otra vez estamos sonados.

• Si mi placa de red está mal configurada puede ocurrir esto: http://www.infosecurityonline.org/newsletter/febrero/vulnerabilities.htm

Entonces a tener cuidado de qué hacemos, dónde y cómo lo hacemos para que no nos digan "en casa de herrero cuchillo de palo".

Algunas soluciones: usar algún método de encripción de archivos y correos (PGP es una buena opción), cambiar de claves después de haber estado en un sitio público y a no reírse de las ideas magistrales del Director porque también nosotros podemos ser vulnerables.

Política de protección de Datos Personales