¿Nos fíamos?  » Leer más »

Por Domingo González

Hace algún tiempo se publicó en Kriptópolis un interesante artículo titulado Seguridad por oscuridad, en cuyo debate se habló entre otras cosas del uso del port-knocking para dificultar posibles ataques a servicios. En aquel momento me ofrecí para escribir un artículo sobre mis experiencias en la puesta en marcha de la técnica de port-knocking que tenía previsto en breve implementar en un servidor en producción. Actualmente, muy a pesar mío, debido a numerosos retrasos y cambio de prioridades sigue en la lista de tareas pendientes.

No obstante, he estado haciendo pruebas "de andar por casa" con las dos herramientas de port-knocking que tenía como candidatas (knockd y fwknop), a fin de comprobar su funcionamiento, estudiar sus ventajas e inconvenientes, y decidirme por una de ellas. Para ello he instalado y configurado ambas herramientas de port-knocking en una máquina Debian con servidor SSH, comprobando el funcionamiento y la seguridad de una herramienta básica de port-knocking como es knockd frente a otra más avanzada como fwknop que utiliza Single Packet Authorization (SPA). Tanto el servidor de port-knocking como el cliente están instalados en la misma máquina, usando la interfaz local (localhost) para establecer las conexiones. He optado por utilizar la interfaz localhost por su comodidad, siendo suficiente para ilustrar el funcionamiento del port-knocking, y además las pruebas son fácilmente reproducibles por el lector y extensibles a cualquier otra interfaz...  » Leer más »

Creo que a estas alturas todo el mundo reconoce que el sistema de nombre de usuario y contraseña para acceder a la web, la banca, la nube o a las redes sociales tiene una seguridad que deja mucho que desear y en esas circunstancias será muy complicado que usuarios y/o empresas confíen lo suficiente como para que la nube y todos sus servicios asociados sean un éxito. En teoría, un buen sistema de seguridad debería basarse en lo que tengo, en lo que soy y en lo que conozco y además, cumplir con los principios de Kerckhoffs, lo que no siempre es sencillo de lograr en muchos entornos. Esto nos provoca que en ocasiones se sacrifique la seguridad por la comodidad de los usuarios, con lo que los resultados en ocasiones son desastrosos y aunque algunos usuarios ya lo consideran como un mal menor, o un riesgo asumible, es una situación que dificulta la aceptación y el despliegue de muchos interesantes servicios en la Red.  » Leer más »

Por más que el bueno de Mitnick insista, la ingenuidad de los usuarios continúa siendo el mayor enemigo de la seguridad.

Por ejemplo. Un empleado se encuentra un pincho USB abandonado junto a su ordenador de trabajo. ¿Qué porcentaje de empleados creéis que enchufaría de inmediato el pincho para ver qué tiene dentro? ¿Y si el pincho no es lo que parece?

Al menos desde que Teensy anda por el mundo, cualquier atacante puede programar este interesante dispositivo mediante un sencillo lenguaje de script (o bien utilizar un payload prêt-a-porter) para que, una vez conectado al ordenador objetivo, ejecute cualquier combinación de teclas con el fin de correr cualquier comando en el ordenador de la víctima, ya utilice éste Windows, Linux o MacOS...  » Leer más »

El reciente diagnóstico de cáncer de pulmón a un amigo que ha trabajado con amianto, me ha sensibilizado de nuevo contra este enemigo ubicuo y cuasi-invisible.

Aunque el amianto de toda la vida ha sido sustituido en los últimos tiempos por el crisotilo (o amianto blanco), el tremendo riesgo para la salud humana persiste.

Sin embargo, los enormes intereses económicos existentes alrededor del amianto impiden la prohibición definitiva de este material, e incluso que se respeten las normas regulatorias que han ido aprobando diversos países...  » Leer más »

Hace más de tres años comentamos en Kriptópolis un trabajo (pdf) que alertaba sobre posibles riesgos de seguridad en marcapasos y desfibriladores implantables. En concreto, existía el riesgo de que un atacante fuera capaz de provocar una descarga eléctrica al corazón del portador de uno de estos dispositivos, que reciben más de 300.000 nuevos pacientes cada año.

Pues bien; este verano la prensa médica informaba sobre la creación (pdf) de un sistema de enmascaramiento por interferencia (jamming) que se encarga además del cifrado y autenticación para permitir el acceso inalámbrico exclusivamente a los usuarios legítimos...  » Leer más »