viernes, 23 de octubre de 2009

Vulnerabilidades

Como todos sabemos los programas y los sistemas operativos tienen vulnerabilidades. Y esas vulnerabilidades pueden ser explotadas por los villanos. Una vez se ha descubierto una determinada vulnerabilidad se busca la solución. Unas veces esa solución pasa por crear un parche que al ejecutarlo realiza una modificación en el programa / sistema para solucionar el problema. Pero... ¿las vulnerabilidades son siempre así?

Para responder a esta... Bueno. Mejor:
¿Qué haces si el Banco Banquero donde tú tienes tus ahorros de tu vida te manda un mail diciendo "Vamos a revisar que tu cuenta funciona: haz click para comprobarlo"? Tú vas confiado y lo haces.

Días más tarde vas a pagar la entrada para el pisito de tu vida (y digo pisito porque si ya hablamos de casa / chalet...) y... que no hay un duro en tu cuenta.

Para resumir: el phising que te han hecho no ha sido por una vulnerabilidad del banco. No es que alguien haya entrado en ese banco por una puerta trasera o por un SQL Injection como le sucedió a un banco en Bélgica. El problema es que uno no ha estado un tanto avispado. O porque no tiene los conocimientos suficientes para detectar que eso era un fraude. Es una vulnerabilidad humana explotada por personas sin escrúpulos.

Hace poco hice un artículo sobre un sitio de Sonicwall que permitía hacer un test para saber cuán hábiles somos a la hora de detectar mensajes de este estilo. Yo conseguí sacar un 8 sobre 10. Uno de los puse como phishing era bueno (no phinshing)... y el otro es que fui muy rápido y no seleccioné respuesta.

Todo esto lo pongo a raíz de un post que han puesto en S21sec sobre un mail de ingienería social en el que se instaba a hacer click sobre un enlace para bajarse un parche para un programa de Microsoft. Y ahí está la cosa, que la ingienería social también se vale de esa vulnerabilidad que tenemos los humanos.

martes, 20 de octubre de 2009

LiveCDs II

Hace poco hablaba sobre los LiveCDs. Y un sitio con una extensa colección que nos va a venir que ni al pelo.

Según se puede ver en el listado los CDs que nos efrece son muy variados. He de reconocer que no me voy a poner a leerle una a una cada una de las cosas que hay en la lista, pero, a simple vista, casi todos los elementos que nos ofrece pertenecen a sistemas Linux.

Si se selecciona un elemento al azar, nos lleva a otra página, en el mismo sitio, con algunos datos propios de ese sistema seleccionado. Entre los que puedo ver en el que he cogido para probar, hay alguna que otra estadística, enlaces al sitio oficial, enlaces para la descarga de la imagen... Y poco más.

A la izquierda aparecen datos interesantes: el propósito para el que está pensado, la arquitectura para la que se ha hecho (para un usuario de a pie, con tal de que salga algo así como x86 o ia64 como mucho vale), sistema operativo que lleva (Linux, Windows...), idioma por defecto.

Y poco más voy a contar al respecto. Creo que de una pequeña entrada de otra referencia, he conseguido crear dos posts.



lunes, 19 de octubre de 2009

LiveCDs

Me hubiera encantado que mi primera entrada de verdad hubiese sido exclusivamente mía. Sin ningún intermediario. Sin que ninguna otra fuente que sigo (y que no sólo se encuentra en los enlaces aquí a la derecha). Pero... No he podido. Intentaré no caer en las garras de esta mala rutina. A ver si lo consigo. De todas maneras, si os veis que sigo en esta dinámica muy a menudo, me gustaría saberlo.

Una vez he escrito la parrafada enorme que no venía al caso, comienzo. Desde "Diario de un hacker" nos muestran un página con una recopilación muy interesante: LiveCDs.

Para aquellos que no lo sepan un LiveCD (/laif cd/) es un CD (nooooo, es un chuletón) que tiene un sistema ya instalado. ¿Cómoooo? Bien. Pongamos un ejemplo. Cuando queremos usar nuestro ordenador, ¿qué sucede?. En una forma un tanto resumida:
a) Le damos al botón de encendido... Y, evidentemente se enciende. No nos vamos a ir por las ramas de si no hay corriente ni nada similar.
b) Se carga un programita de que se llama POST. Power On SelfTest. Este programita es que el que muestra un númerito muy rápido, qué unidades ha localizado. Aunque nos podemos encontrar con que no se vea por alguna imagen de la placa base, sucede.
c) Una vez ha pasado el POST se cargará otro programita que se llama bootstrap. Este es el que se encarga de buscar los sectores de arranque para el sistema operativo.
d) El sistema operativo que tengas se carga (o se carga su gestor de arranque, pero esto ya es otra historia).

El sistema operativo suele estar instalado en un disco duro. Es donde comúnmente la máquina lo utiliza. Pues bien. Imagínate que en vez de querer utilizar el sistema operativo desde el disco duro, quieres utilizarlo desde un CD. Eso sí, hay que tener alguna cosa en cuenta. Como, por ejemplo, que todo lo que hagas en la misma unidad del CD no será posible grabarlo. Será de sólo lectura. Pero sí podrás manipular, si ese sistema operativo te lo permite, cosas de los discos duros que encuentre en tu ordenador.

¿Y para qué sirve una cosa así? ¿No sería mejor instalarlo que así sí te deja manipular las cosas? Sí y no.
- Sí, siempre y cuando quieras usarlo asiduamente. No es obligatorio pero sí recomendable.
- No siempre y cuando quieras probar un sistema antes de instalarlo. Para ver cómo funciona, puedes probarlo antes de machacar alguna cosa importante de tu disco duro. O, si quieres utilizar alguna herramienta que te permita analizar tu sistema en busca de problemas, soluciones, errores, etc, etc también es muy útil.

¿Y cuál ese famoso sitio del que hablabas antes de enrollarte tanto? Pues es este. Recordarme algún que otro día que vuelva al tema para comentar alguna cosa más sobre el contenido de este sitio. Que este post (entrada) se me ha hecho muy largo.

viernes, 16 de octubre de 2009

Estamos de estreno!!!!

Estamos de estreno!!!

¿Por qué? Porque abro este nuevo blog para hablar sobre tecnología. Más que tecnología... ordenadores. Y cosas que los atañen.

De momento voy a seguir tirando de blogger. Como ya dije en su momento, me estoy planteando ponerme en el servidor Wordpress. Creo que eso me permitiría mantener mejor los blogs. Pero... No se. También he leído que suele tener problemillas con la seguridad. Bueno. Todo se andará. Siempre puedo exportar las cosas de este blog y pasarlo al nuevo server.

¿Qué más? Sí. Ya sabéis que no es que tenga mucho tiempo, pero siempre puedo sacar un poquito. O coger un día y escribir nosecuantos posts de una vez y después darle sólo a publicar. Ya se verá cómo me las arreglo para llevar a cabo este proyecto.

Y ahora... Os dejo con la intriga del siguiente post.