¿Por qué no eres dueño de tu vida en línea?

Términos y Condiciones de Facebook: ¿por qué no eres dueño de tu vida en línea?

Oliver Smith explica cómo las redes sociales son propietarias de tu contenido en línea.

Al unirte a una red social, estas probablemente gastando más tiempo considerando cual foto usaras en tu perfil que leyendo los largos términos del documento de servicio. Y, sin embargo, a pesar de las condiciones de servicio de 14,000 palabras de Facebook y la política de uso de datos, este puede ser un contrato legal entre usted y la red social. ¿Sabes para qué te has registrado?

En una ocasión, usuarios de Instagram reaccionaron con enojo ante los cambios propuestos en las condiciones de la compañía que darían a la app movil para compartir fotos el derecho para usar las fotos de los miembros en campañas publicitarias.

En algunas formas, el cambio era un paso positivo. Evitando el lenguaje legal tradicional en su lugar utilizando terminología clara para precisamente explicar que es lo que la compañía haría y que no haría con el contenido de los miembros. Pero esta claridad hizo obvias las longitudes a las que la empresa podría llegar para monetizar el servicio gratuito. Incluso después de que Instagram revirtió esta decisión, removiendo los elementos controvertidos de sus nuevo términos de servicio, algunos usuarios aun cerraron sus cuentas en protesta.

¿Qué derechos han otorgado los usuarios a los servicios en línea tal como Facebook, Twitter y Google? ¿Publicar contenido en estas redes significa, por ejemplo, perder la propiedad de sus fotos?

Una foto publicada en Twitter sigue siendo la propiedad intelectual del usuario pero los términos de Twiter dan a la compañía “una licencia mundial, no exclusiva y sin regalías (con el derecho de sub-licencia)”. Prácticamente, esto da a Twitter casi el control total sobre la imagen y la capacidad de hacer casi cualquier cosa con ella. La compañía demanda el derecho de usar, modificar o trasmitir tu foto de cualquier manera.

Callum Sinclair, socio del grupo de abogados de propiedad intelectual y tecnología, dice que los términos de Twitter, los cuales cada nuevo miembro debe aceptar, “otorgan derechos extremadamente amplios sobre tu contenido”. Con estos términos la empresas dicen “tú eres el dueño de tu contenido, pero sin embargo nosotros podemos usarlos cuando queramos”.

Jim Killock, director de Open Rights Group, un grupo sin fines de lucro que hace campaña por los derechos de los usuarios en línea, cree que muchos de los términos de servicio son confusos y engañosos para los usuarios. El dice: “la mayor parte del tiempo realmente no es transparente a lo que se refieren estos acuerdos,  las personas no tienen entendido realmente a  lo que se han registrado. A menudo, las empresas superan en exceso lo que necesitan, y es un acaparamiento de tierras para los derechos y el contenido de los usuarios”.

El más sorprendente ejemplo de este tal “acaparamiento de tierras” puede ser visto en el sitio de redes profesionales de Linkedin.  Hace amplios reclamos sobre el contenido del usuario, dándole la capacidad de “copiar, preparar trabajos derivados, mejorar, distribuir, publicar, eliminar, conservar, añadir, procesar, analizar, usar y comercializar, de cualquier manera conocida o en un futuro descubierta”. Linkedin aplica esta reclamación  no solo a los contenido de los usuarios, si no también a todos los datos, conceptos o incluso ideas pasadas a través de su servicio.

Los términos generales de servicio  de Linkedin han sido entendidos y aceptados por muchas personas de negocios de alto perfil, incluidos Richard Branson fundador de Virgin Group, Arianna Huffington, Presidenta de The Huffington Post Media Group y James Caan CEO de  Hamilton Bradshaw y un habitual en la guarida del dragón de la BBC.

Sr. Sinclair advierte que tanto estas personas de negocios, como muchos usuarios, tal vez no  se han dado cuenta de lo que aceptaron, pero aconseja a los usuarios no registrarse ciegamente a los términos de servicio de una empresa.

“Debo recomendarles a todos que realmente intenten leer los términos, incluso si es solo la terminología clave”, dice. “Porque tu estas publicando en el servicio de esta empresa, tu puedes haber perdido ya cualquier tipo de derechos de propiedad intelectual que puedas tener en tal contenido”.

Twitter ahora incluye una breve explicación debajo de cada párrafo de términos legales que explica  lo que quiere decir con conceder una ‘licencia mundial no exclusiva, completamente pagada y sin regalías, transferible y sujeta a licencia para su contenido”. Sr. Sinclair explica que “En realidad hay un poco de diferencia entre tu propiedad y su licencia cuando los términos de la licencia sobre tu contenido es extenso”.

Lo que dicen los términos de servicio.

Facebook

Con más de un billón de usuarios, Facebook es la página de inicio definitiva para muchos usuarios web. Los términos de servicio, el uso de datos y política de uso de cookies abarcan más de 14,000 palabras sobre 8 paginas separadas y podría tomarle incluso al lector más rápido más de dos horas para profundizarlo. ¿Pero qué derechos has entregado a Facebook?

Específicamente para cargar fotos y video al sitio web, Facebook tiene una licencia para usar tu contenido de cualquier manera que vea conveniente, con una licencia que va más allá de simplemente cubrir la operación del servicio en su forma actual. Facebook puede  transferir o sub-licenciar los derechos sobre el contenido de los usuarios a otras compañías u organizaciones si es necesario. La licencia de Facebook no finaliza con la desactivación o eliminación de la cuenta de los usuarios, el contenido solo es liberado de esta licencia una vez que todos los usuarios que tienen interacción con el contenido también rompieron sus lazos con el (por ejemplo, una foto o video compartido o etiquetado con un grupo de amigos).

Twitter

Rápidamente llego la segunda red social detrás de Facebook, El modelo de Twitter para monetizar el servicio todavía no se ha establecido, un hecho claro se ve en sus términos de servicio, Los términos de Twitter dan un amplio alcance para usar, cambiar y distribuir cualquier foto, escrito o video publicado a través del servicio de Twitter, a cualquier otra forma de medios o método de distribución que desee, incluyendo los que Twitter  todavía no ha pensado o desarrollado.  De manera similar a Facebook, la licencia de Twitter también permite transferir cualquiera de su contenido a cualquier organización por cualquier razón.

Google

Haciendo solo pequeñas olas en el campo de las redes sociales, Google+ probablemente no sea el lugar donde la mayoría de los usuarios aceptaron los términos de servicio de Google. Muchos usuarios probablemente se registraron a través de un de los servicios en línea de Google como Gmail, Google Maps o Google Drive. Por suerte Google tiene un modesto conjunto de términos cuando se trata del contenido de los usuarios, restringiendo el uso de tal contenido en solo por “el propósito limitado de operar, promocionar y mejorar nuestros servicios y para desarrollar nuevos”.

Dropbox

El servicio de almacenamiento de archivos gratuito que promete “simplificar tu vida”, se toma solo las más pequeñas libertades con el contenido y derechos de sus usuarios. Dropbox limita el uso de tus datos “solamente para proporcionar el servicio… sin importar como cambien los servicios, nosotros no queremos compartir tu contenido con otros… ” Estos permisos se extienden para permitir a Dropbox compartir  los datos del usuario con “terceros de confianza” pero una vez más, solo con el fin para proporcionar su servicio existente.

Nota: Este es un articulo traducido de la pagina the telegraph escrito por Oliver Smith

Fuentes:
Curso en linea en Cisco Networking Academy: Introduction to cybersecurity

the telegraph

Imágenes:

osi.es

kienyke

Denegación de Servicio (DoS)

Denegación de Servicio (DoS)

Los ataques de DoS (Denial of Service) dan como resultado cierto tipo de interrupción del servicio de red a los usuarios, los dispositivos o las aplicaciones. Tiene como objetivo degradar la calidad de servicio de un sistema o una red llegando a dejarlo en un estado no operativo o inaccesible. Se consideran un riesgo importante porque pueden interrumpir fácilmente la comunicación y causar una pérdida significativa de tiempo y dinero. Estos ataques son relativamente simples de llevar a cabo, incluso por un atacante inexperto.

DDoS

Un DDoS es un ataque DoS pero proviene de múltiples fuentes coordinadas.

Un atacante crea una red de hosts infectados, denominada botnet. Los hosts infectados se denominan zombies. Los zombies son controlados por sistemas manipuladores.

Las computadoras “zombie” constantemente analizan e infectan más hosts, lo que genera más zombies. Cuando está listo, el hacker proporciona instrucciones a los sistemas manipuladores para que los botnet de zombies lleven a cabo un ataque DDoS.

Tipos de ataques DoS

Cantidad abrumadora de tráfico
Esto ocurre cuando se envía una gran cantidad de datos a una red, a un host o a una aplicación a una velocidad que no pueden administrar. Esto ocasiona una disminución de la velocidad de transmisión o respuesta o una falla en un dispositivo o servicio.

• UDP Flood: Este tipo de ataque inunda puertos aleatorios de un host remoto con numerosos paquetes UDP, causando que el equipo víctima compruebe ante cada petición a cada puerto.
• ICMP Flood: Satura el recurso de destino con solicitud de paquetes “eco” ICMP (más conocido como ping), básicamente se trata de enviar paquetes de solicitud sin esperar los paquetes de respuesta.
• Service Flood Port: En este tipo de ataques las peticiones irán dirigidas hacia los puertos estándar en los que se conoce que habrá más volumen de tráfico (el puerto TCP 80, por ejemplo) tanto entrante como saliente.
• HTTP Flood: Se hace uso de peticiones GET o POST en apariencia válidas para atacar servidores o aplicaciones web, para inhabilitar a nuestra víctima, o incluso tomar el control.Otro uso común es para usar sus recursos y atacar a otros servidores o aplicaciones web o comenzar a crear una botnet.
• SYN Flood: (secuencia de conexión de tres pasos del protocolo SYN) Este ataque Provoca que una máquina siga enviando peticiones SYN-ACK; saturando así el tráfico saliente y entrante del host. El ataque comienza cuando ignoramos la petición ACK
• NTP Amplification: Si este proceso lo repetimos al estilo PoD (Ping of Death), o bien usando una botnet, el resultado será la saturación del servicio de la IP de nuestra víctima hasta hacer inaccesible por la propia saturación del servicio.

Paquetes maliciosos formateados
Esto sucede cuando se envía un paquete malicioso formateado a un host o una aplicación y el receptor no puede manejarlo. Por ejemplo, un atacante envía paquetes que contienen errores que las aplicaciones no pueden identificar o reenvía paquetes incorrectamente formateados. Esto hace que el dispositivo receptor se ejecute muy lentamente o se detenga.

• Ping of Death: Se envían paquetes mediante ping, pero con un tamaño mucho mayor y a mayor frecuencia de lo normal. El esquema es el siguiente:
  
  ping DIRECCIÓN.IP.DEL.OBJETIVO -l 65535 -n 10000000 -w 0.00001
• Blended Flood: Esto se da cuando múltiples tipos de ataques se combinan en el servidor, lo cual al final termina confundiendo al equipo

Modificación de la configuración

Su objetivo es alterar o eliminar la configuración de alguno de los elementos clave del sistema, típicamente servidores o routers. Estos cambios suelen provocar efectos críticos en los sistemas afectados, dejándolos fuera de servicio.

Destrucción

El resultado del ataque es la destrucción o alteración física de alguno de los componentes del sistema. Hoy en día con la conexión a Internet de los sistemas de control industrial es más fácil realizar este tipo de ataque de forma remota.

Algunos consejos que pueden ayudar a prevenir un Ataque DoS son:

• Revisar la configuración de Routers y Firewalls para detener  IPs inválidas así como también el filtrado de protocolos que no sean necesarios.
• Contar con un plan de respuesta a incidentes.
• Limitar la tasa de tráfico proveniente de un único host.
• Limitar el número de conexiones concurrentes al servidor.
• Restringir el uso del ancho de banda por aquellos hosts que cometan violaciones.
• Realizar un monitoreo de las conexiones TCP/UDP que se llevan a cabo en el servidor (permite identificar patrones de ataque).

Como sugerencia, contar con IDS/IPS (intrusión-detection/prevention system), estos pueden detectar el mal uso de protocolos válidos como posibles vectores de ataque. La configuración de estas herramientas debe realizarse con el tiempo necesario y mediante personal capacitado y se deben mantener actualizadas las firmas de estos dispositivos.

Fuentes:
Curso en linea en Cisco Networking Academy: Introduction to cybersecurity
Welivesecurity
Openwebinars

Recomendaciones:
Defender de ataques DOS.

Malware: Tipos y sintomas

Malware es cualquier código que pueda utilizarse para robar datos, evitar los controles de acceso, causar un mal funcionamiento, ocasionar daños o comprometer un sistema.

Tipos de Malware

Spyware: malware diseñado para rastrear y espiar al usuario. El spyware a menudo incluye rastreadores de actividades, recopilación de pulsaciones de teclas y captura de datos. El spyware con frecuencia se agrupa con el software legítimo o con caballos troyanos.

Adware: software de publicidad que está diseñado para brindar anuncios automáticamente. El adware a veces se instala con algunas versiones de software.

Bot: malware diseñado para realizar acciones automáticamente, generalmente en línea. Varias computadoras pueden infectarse con bots programados para esperar comandos provistos por el atacante (botnet).

Ransomware: malware diseñado para mantener cautivo un sistema de computación o los datos que contiene encriptando los datos de la computadora con una clave desconocida para el usuario hasta que se realice un pago. El ransomware se esparce por un archivo descargado o alguna vulnerabilidad de software.

Scareware: malware diseñado para persuadir al usuario de realizar acciones específicas en función del temor.  Aquí es donde aparecen ventanas que indican que el sistema está en riesgo o necesita la ejecución de un programa específico para volver al funcionamiento normal.

Rootkit: malware  diseñado para modificar el sistema operativo a fin de crear un Back Door. Los atacantes luego utilizan el Back Door para acceder a la computadora de forma remota. A menudo, una computadora infectada por un rootkit debe limpiarse y reinstalarse.

Virus: Es un código ejecutable malintencionado que se adjunta a otros archivos ejecutables, generalmente programas legítimos. La mayoría de los virus requiere la activación del usuario final y puede activarse en una fecha o un momento específico. La mayoría de los virus ahora se esparcen por unidades USB, discos ópticos, recursos de red compartidos o correo electrónico.

Troyano: malware que ejecuta operaciones maliciosas bajo la apariencia de una operación deseada. Este código malicioso ataca los privilegios de usuario que lo ejecutan. A menudo, los troyanos se encuentran en archivos de imagen, archivos de audio o juegos. Un troyano se adjunta a archivos no ejecutables.

Gusanos: los gusanos son códigos maliciosos que se replican mediante la explotación independiente de las vulnerabilidades en las redes. Los gusanos, por lo general, ralentizan las redes y ejecutarse por sí mismos. Una vez infectado el host, el gusano puede propagarse rápidamente por la red. Todos tienen una vulnerabilidad de activación, una manera de propagarse y contienen una carga útil.

Hombre en el medio (MitM): el MitM permite que el atacante tome el control de un dispositivo sin el conocimiento del usuario. Con ese nivel de acceso, el atacante puede interceptar y capturar información sobre el usuario antes de retransmitirla a su destino.

Hombre en el móvil (MitMo): una variación del hombre en el medio, el MitMo es un tipo de ataque utilizado para tomar el control de un dispositivo móvil. Cuando está infectado, puede ordenarse al dispositivo móvil que exfiltre información confidencial del usuario y la envíe a los atacantes.

PUP: Potentially Unwanted Programs (Programa potencialmente no deseado) que se instala sin el consentimiento del usuario y realiza acciones o tiene características que pueden menoscabar el control del usuario sobre su privacidad, confidencialidad, uso de recursos del ordenador, etc.

Hijacker: Secuestran las funciones de nuestro navegador web cambiando la página de inicio del navegador, muestran sólo un determinado tipo de páginas, impiden que podamos ejecutar un antivirus, entre otros ajustes que bloquea para impedir sean vueltos a restaurar por parte del usuario. Generalmente suelen ser parte de los Adwares y Troyanos.

Rogue: Es básicamente un programa falso que dice ser o hacer algo que no es. Aquí podemos encontrar desde “Falsos Optimizadores” de Windows, y en los más extendidos “Falsos Antivirus”.

Sintomas:

• Aumento del uso de la CPU.
• Disminución de la velocidad de la computadora.
• La computadora se congela o falla con frecuencia.
• Hay una disminución en la velocidad de navegación web.
• Existen problemas inexplicables con las conexiones de red.
• Se modifican los archivos.
• Se eliminan archivos.
• Hay una presencia de archivos, programas e iconos de escritorio desconocidos.
• Se ejecutan procesos desconocidos.
• Los programas se cierran o reconfiguran solos.
• Se envían correos electrónicos sin el conocimiento o el consentimiento del usuario.

Para prevernir se recomienda....

Realizar navegaciones seguras, recordar tener sentido común al navergar por la red.

Evitar descargar e instalar programas  de dudosa procedencia.

Leer comentarios de programas y aplicaciones que se van a instalar así como también revisar la valoración que tienen.

Visite el sitio Web del desarrollador.

En instalaciones de android compruebe los permisos que se le esta solicitando antes de aceptar.

No siga enlaces provenientes de correos y mensajes, dude de cualquier email sospechoso.

Mantenga protegido el sistema con soluciones de seguridad como: cortafuegos, filtros, antivirus, etc. Mantenga actualizado el sistema operativo y todos los programas instalados.

Fuentes:
Curso en linea en Cisco Networking Academy: Introduction to cybersecurity

infospyware
motorola global

¿Como robar un Banco?

¿Cómo robar un banco?: un tutorial de ingeniería social 

Si una compañía nos contrata para realizar un trabajo de ingeniería social, generalmente quieren que entremos y lleguemos a sus respaldos de información o a los datos que se encuentran en su sala de documentos.

Digamos que me hago pasar por un inspector de incendios. Lo primero que tendré además de mi insignia y uniforme es un walkie-talkie, como todos los bomberos. Afuera, tendremos a nuestro conductor esperándonos en el carro. Nuestro conductor está sentado en el carro, y básicamente su trabajo en un principio es enviar mensajes a través  de nuestro walkie-talkie. Tendremos una grabación con todos esos mensajes que escucharas en los walkie-talkies. El está sentado en el carro, los reproducirá y enviara a través de nuestros walkie-telkies.

Entramos a las instalaciones y aseguramos que todo los mensajes este llegando ruidosamente a los walkie-talkies tan pronto como entramos por la puerta para que inmediatamente seamos el centro de atención. Cuando entro, quiero que todos sepan que me refiero a negocios. Mi walkie-talkie es ruidoso y todos miran mientras me disculpo y rechazo la trasmisión.

Le muestro a la persona de recepción mi insignia. Ellos dirán: “¿Cómo te va?”, diré: “Bien, estoy aquí para hacer la inspección”, ellos dicen: “estupendo” y nos asignan a alguien. En general es alguien que es amable. Comenzaré a hablar con ellos, intentare agradarles o lo que sea necesario mientras comenzamos a caminar.

Mientras estoy hablando con la persona que nos asignaron, mi compañero sabe que su trabajo es alejarse inmediatamente de nosotros. Entonces, mi compañero se irá inmediatamente. En la mayoría de los casos nuestro acompañante dirá “¿Puede Volver aquí? Necesito que se mantengan juntos. Decimos “Claro, lo siento”. Pero realmente eso para nosotros no significa nada.  Todo lo que significa es que seguiremos haciéndolo hasta que él se rinda.

Mi compañero deambulara dos o tres veces más y será advertido hasta que finalmente se detenga y se dé por vencido. Nuestro acompañante solo piensa que él es un bombero y piensa: "Déjenlo hacer lo que necesita hacer".

En ese punto, el trabajo de mi compañero es comenzar a robar todo lo que pueda y comenzar a ponerlo en su bolsa. Y también tiene que ponerse debajo de los escritorios de cualquier empleado que pueda encontrar y comenzar a instalar estos pequeños keyboard loggers.  Me quedo con la persona que me está acompañando y todo mi trabajo ahora es mantenerlos entretenidos. Sigo caminando por las habitaciones y les doy consejos para  mantener la seguridad de sus instalaciones, aunque realmente no tengo ni idea de lo que estoy hablando. Invento las cosas que estoy diciendo y probablemente doy el peor consejo de todos. Sacaré las cuerdas y diré "Esto parece un poco peligroso". Yo estoy completamente improvisando.

Hace unos años, obtuve un dispositivo en Home Depot. Es como una cinta métrica, pero no una cinta de medir normal. Tiene un puntero láser y hace “clic”. Este dispositivo es como el Tricorder en Star Trek para mí. Puedo hacer algunas cosas mágicas con eso en lo que a mí concierne. Lo pondré en un enchufe y diré "Parece que tiene demasiada corriente". Y ellos simplemente lo creen. Son increíbles las cosas estúpidas que puedo hacer.

Mientras tanto, mi compañero va por los escritorios. Si los empleados están allí, él dirá "Oye, ¿te importa si me meto debajo de tu escritorio por un minuto? Solo estoy buscando cualquier tipo de peligro de incendio". Si el empleado pregunta "¿Qué tipo de peligro podría haber debajo de mi escritorio?" Él dirá "¿Conoces ese ventilador en la parte posterior de tu computadora? Si deja de girar podría ser un riesgo de incendio". Este tipo de explicación parece razonable.

Mi compañero se mete debajo de la computadora y en su mochila tiene un montón de dongles (dispositivos que permiten añadir características a las computadoras que no fueron construidas teniendo en cuenta dichos parámetros, por ejemplo un dongle usb WiFi o bluetooth). Instala fácilmente uno en la computadora del empleado y ahora todos los datos pasan por este dispositivo. Por supuesto, mientras mi compañero está debajo de la computadora, el empleado no puede ver lo que está haciendo ya que por lo general solo se van.

En ese punto generalmente nos volvemos a reunir y discutimos el uno con el otro en voz alta todos los lugares donde ya hemos estado. De esa manera, realmente tenemos una buena idea de lo que se ha logrado y él puede regresar a lugares donde yo era incapaz de robar algo debido a mi escolta. Él dirá "He tenido éxito con todos los escritorios". Diré: "¿Puede hacerme un favor y volver y revisar aquí otra vez?" y mencionar algún lugar donde pueda haber visto algo interesante y quiero que regrese y se ocupe de ello.

Al salir, no queremos que sepan que hemos terminado. Queremos poder volver en otro momento. Aquí es donde nuestro conductor en el automóvil hará una llamada falsa al walkie-talkie y nos dirá que necesitan que respondamos una llamada. Miro a mi acompañante y digo "Oye, lo siento, volveremos".

Señalamos que regresamos en los próximos días, hacemos una revisión rápida, volvemos y obtenemos los dongles que instalamos en las computadoras. Haremos otro recorrido rápido, afirmando que hemos perdido nuestro formulario de inspección original, ya que ya hemos tomado todo, la segunda visita es rápida. Los decimos que estamos listos y enviaremos un informe por correo.

Para cuando terminamos, hemos robado cosas y obtuvimos acceso a inicios de sesión y contraseñas porque hemos estado grabando esa información con los dispositivos de key loggin, ya sean sitios en línea o cuentas locales en su sistema. Hemos estado en su red inalámbrica y hemos sido capaces de hackearla también.

Cuando hayamos terminado todo lo que necesitábamos hacer, lo último que haremos será hurgar en la basura. Es miserable, pero es una locura lo lucrativo que es. Nos presentamos con guantes de goma y comenzamos a abrir bolsas. Es sorprendente la cantidad de información confidencial que termina en la basura.

Cuando nos presentamos después del compromiso para presentar lo que encontramos, hay a menudo una mirada total de sorpresa en las caras de los empleados. Pero es una experiencia de aprendizaje de la que esperamos que todos aprendan. Es algo que nunca pensaron que podría suceder. Si hablaste con ellos una semana antes, nunca pensaron que caerían en algo así por algunas de las cosas que sacamos. Pero ahora ellos ven que puede suceder, y les puede pasar a ellos.

-- como le dijo Jim Stickley de TraceSecurity a Joan Goodchild.

Fuentes:

Esta historia, "Cómo robar un banco: un tutorial de ingeniería social" fue publicada originalmente por CSO. 
NetworkWorld
Curso en linea en Cisco Networking Academy: Introduction to cybersecurity

Técnicas y algunas herramientas (Fingerprinting)

Como ya vimos anteriormente el Fingerprinting consiste en recolectar información directamente del sistema de un objetivo, para aprender mas sobre su configuración y comportamiento. Estas técnicas a continuación también se utilizan en fases de auditoria para detectar vulnerabilidades. Entre ellas encontramos la ingeniería social, el phishing, el sniffing y el scanning.

Ingeniería Social y Phishing

La ingeniera Social se trata de técnicas psicológicas que combinadas con ciertas habilidades sociales busca aprovecharse de la buena fe de las personas que laboran dentro de una organización, con el objetivo de que realicen alguna actividad necesaria para el atacante.

Según Kevin Mitnick (conocido como “el cóndor”), uno de los hackers más famosos, existen 4 principios básicos en la Ingeniería Social que son comunes a en gran parte de las personas :

• Todos queremos ayudar.
• El primer movimiento es siempre de confianza hacia el otro.
• No nos gusta decir No.
• A todos nos gusta que nos alaben.

Un factor importante de la seguridad a tomar en cuenta también es el usuario.

La ingeniería social puede llevarse a cabo mediante la computadora (phishing) o mediante contacto humano

Cuando se opta por contacto humano la manipulación, persuasión o sugestión pueden ser algunas de la opciones para convencer a una persona de que lleve a cabo acciones, facilite información confidencial, para obtener de ellas información necesaria u obtener acceso a zonas restringidas, normalmente en contra de su voluntad, y poder así llevar a cabo un ataque con éxito. También se conoce como “hackear a la persona” (human hacking).

Por mencionar algunos ataques hacia una persona podemos decir que se realizar:

• Un ataque al ego del usuario objetivo, dándole retos para que demuestre sus habilidades y destrezas o que sienta que esta ayudando en un tema de gran importancia.
• Un ataque de simpatía, asociando un estado de ánimo positivo a lo que se trata de conseguir convencer, también mostrando complicidad, que tenemos gustos en común o cuando alguien esta mostrando cierta desesperación por no poder hacer algo (algunas veces hay una persona que ayuda).
• Un ataque a la curiosidad, aquí se puede dejar una memoria SD, USB con algo llamativo o un Disco donde lo pueda ver el usuario objetivo para que al encontrarlo lo conecte o ingrese a la maquina objetivo y así poder realizar el ataque.
• Un ataque de suplantación de identidad, sobre todo en empresas grandes donde es complicado conocer a todos los empleados, aquí el atacante suele caracterizar a alguien de soporte técnico o algún gerente para obtener información debido a que habitualmente no pedimos a las personas que se identifiquen.
• Entre otras podemos mencionar Búsqueda en la basura (dumpster diving), seguimiento de personas y vehículos, vigilancia de salas y edificios, generación de situaciones de crisis, presión psicológica, soborno, chantaje o extorsión, etc.

El Phishing consiste en el envío masivo de comunicaciones (normalmente correos electrónicos) desde lo que parece un origen de confianza, con el que requiere al receptor que facilite determinada información, bien respondiendo al e-mail o bien conectándose a una página web que parece real donde introducirá sus datos. Aquí podemos mencionar otras versiones del phishing, esta son adaptadas a cada individuo gracias a un análisis previo de la información que pueda ser útil para el atacante y así poder hacer mas creíble la comunicación que se envía a la victima, estas otras versiones se conocen como Spear-phishing y Whaling.

Sniffing y Scanning

El sniffing es una técnica que consiste en “escuchar” o capturar toda la información que circula por una red, este ataque es uno de los principales que se realizan cuando se intenta robar información (aunque no es necesariamente una técnica maliciosa, se utiliza en muchos casos para administrar la red, mejorar su rendimiento, generar información de errores y con propósitos de monitorización y detección de intrusos). Esta información puede incluir datos de identificación de la víctima como  contraseñas, números de tarjetas de crédito, información personal, información bancaria, entre otros datos importantes. El sniffing  es una técnica que puede fácilmente causar problemas relacionados con la privacidad ya que captura cada paquete de información, lo codifica y luego da a su propietario la habilidad de ver su contenido.

Un sniffer puede ser instalado en cualquier ordenador por el administrador del sistema o cualquier usuario que tenga suficientes privilegios para instalar el programa, a menudo también por otros parásitos, como virus, troyanos, backdoors o gusanos. Puede también ser un dispositivo físico, normalmente un router con capacidad de sniffing. Trabaja de la misma manera que un sniffer típico, pero su detección puede ser incluso más complicada

Algunas herramientas para la ejecución de Sniffing:
Wireshark
Ethereal
Spynet

El scanning trata de analizar el estado de una determinada red y de los dispositivos ubicados en ella.

Podemos encontrar diferentes tipos de escáneres dependiendo del nivel de profundidad y del objetivo como puede ser el escanear puertos abiertos, conectar a los recursos compartidos disponibles en la máquina objetivo, otros para buscar posibles agujeros de seguridad mediante escaneo, buscando faltas de parches de seguridad, recursos compartidos abiertos, cuentas de usuarios, otros utilizados para escanear dispositivos de red, desde ordenadores hasta routers, pasando por puntos de acceso wifi e impresoras

Algunas herramientas para la ejecución de scanning:

Angry IP

LanSpy

AutoScan

NetCat

Fuentes de información:
Curso en linea de Ciberseguridad en Miriadax.
Laboratorios Hacking.
los virus.
OWASP

Importancia de la ciberseguridad

¿Por que es necesaria la ciberseguridad?

Como sabemos Internet nos ofrece un enorme potencial para facilitar el acceso a la información y a la comunicación, pero todo este potencial también genera un riesgo a nuestra información, ya que esta información puede escapar de nuestro control y podemos ser objetivos fáciles para los delincuentes informáticos.

Un ejemplo es cuando compartimos imágenes en nuestras redes sociales, tanto como amigos y desconocidos pueden tener copias de dichas imágenes descargadas en sus dispositivos. Personas desconocidas pueden obtenerlas si no tenemos configuradas correctamente nuestras redes sociales y tenemos nuestra información compartida públicamente. hay que recordar  que hoy en día las imágenes guardan información de nuestra ubicación, la cual con el simple echo de tener dichas imágenes también pueden saber donde tomamos las imágenes que estamos compartiendo.

Información que nos identifica en linea

Actualmente contamos con mucha información que nos identifica en línea, estos datos son:

• Historial Medico
• Historial Educativo
• Historial Financiero
• Historial de Empleo

  

Hay información de nuestro historial medico en la red, parte de este historial también lo tiene una aseguradora.
Podemos acceder a nuestra información de formación educativa mediante la pagina web de la escuela a la que estamos inscritos, también podemos realizar tramites a través de este medio.
Usamos el Internet para realizar muchas de nuestras actividades, utilizamos nuestros dispositivos informáticos para acceder a la página web o aplicación móvil de la tarjeta de crédito para realizar la consulta del estado en que se encuentra y realizar pagos en línea,  para acceder a la página web o aplicación móvil del banco para transferir fondos.
Las tarjetas que nos ofrecen las tiendas comerciales nos ayudan a ahorrar un poco en la compra de los productos que necesitamos. Sin embargo, las tiendas comerciales compilan un perfil de el comportamiento de las compras que realizamos y utiliza esa información para su propio uso.
¿Cuantos de nosotros no estamos registrados en paginas web en línea para encontrar un trabajo que vaya de acuerdo a lo que queremos? aquí podemos encontrar nuestra información laboral completa, ya que un currículum con mucha experiencia suele ser atractivo para las empresas. También se nos da la opción de subir nuestro currículum, en la cual, agregamos datos muy importantes que nos identifican, como son nuestro numero de seguro (NSS), RFC, CURP, etc.

Toda esta información de nuestros datos personales se han vuelto rentables para los delincuentes
informáticos.
Con toda esta información en linea los delincuentes informáticos puede robar nuestra identidad y sacar provecho de ella, si llegaran a robar nuestro seguro médico podrían usar nuestros beneficios de salud para ellos mismos, con nuestra identidad podrían generar una declaración de impuestos falsa y recolectar el reembolso, podrían abrir cuentas de tarjeta de crédito y acumularnos deudas sin que nos demos cuenta, hasta podrían obtener el acceso a datos corporativos y de gobierno.


En este punto podemos recordar aquellas películas de espías donde el espía tiene acceso a instalaciones y datos de su interés robando identidades.

Información de las Organizaciones

El resguardo de nuestra información también depende de las organizaciones a las que les facilitamos nuestra información.

Las organizaciones tienen información muy importante de nosotros, de clientes y de suma importancia para que  puedan sobrevivir en el mercado, esta información puede permitir a una empresa obtener una ventaja económica sobre sus competidores.
Para las empresas es vital  proteger la estrategia de producto con todos los medios tecnológicos para mantener a la compañía en lo más alto de su sector.

Entre toda esta información podemos mencionar que la empresas cuentan con:

• Información del personal: material de las postulaciones, nóminas, ofertas laborales, los acuerdos del empleado, y cualquier información utilizada para tomar decisiones de empleo.
• Propiedades intelectuales: patentes, marcas registradas y planes de nuevos productos. Esta propiedad intelectual se puede considerar un secreto comercial; perder esta información puede ser desastroso para el futuro de la empresa.
• Datos financieros: las declaraciones de ingresos, los balances y las declaraciones de flujo de caja de una empresa brindan información sobre el estado de la empresa

Cabe destacar que la empresa que sufre un ataque cibernetico también tiene consecuencias, ya que puede afectar en costos y posibles penalizaciones, problemas comerciales y de tiempo y pueden dañar la reputación de la oirganizacion.

Es importante... 

Gestionar los riesgos de seguridad en Internet,  el mundo depende cada vez más de la cibernética y las amenazas aumentan, por eso la importancia de concientizar y educar a la sociedad y a las instituciones en temas de ciberseguridad.

Debemos tener conciencia de que la seguridad de nuestra información no depende solamente de la tecnología, la seguridad de la información también depende de cada uno de nosotros teniendo especial cuidado de lo que compartimos en las redes sociales, de las aplicaciones que instalamos en nuestros dispositivos y de a quien le estamos facilitando nuestra información.

Fuentes:
Curso en linea en Cisco Networking Academy: Introduction to cybersecurity

¿Como siguen tus huellas?

Antes de que un ataque comience, el atacante debe tener información sobre el objetivo (target), esta fase de recogida de información se puede dividir en dos etapas: Footprinting y Fingerprinting

Footprinting

Footprinting o también conocida como OSINT (Open Source Intelligence) se encarga de la adquisición, tratamiento y posterior transformación en inteligencia de la información conseguida a partir de fuentes de carácter público como prensa, radio, televisión , internet, informes de diferentes sectores y en general cualquier recurso accesible públicamente.
Los buscadores Google (buscador genérico), Shodan (buscador de dispositivos conectados a Internet) y NameCHK (buscador de dominios y nombres de usuario en diferentes servicios) suelen ser utilizados en esta etapa ya que los "dorks"(combinación de operadores para buscar información) con los que cuentan estos buscadores ayudan mucho a obtener exactamente el tipo de información que están buscando.

Como ya se ha mencionado, también se puede obtener información que esta públicamente accesible, como la información acerca de un autor de un documento subido en la red o la información que se puede obtener de las redes sociales.

Un ejemplo de este es el vídeo de un falso "mentalista" que adivina información personal de personas al azar, usando las redes sociales.
"Tu vida entera esta en linea, y puede ser usada en tu contra" el vídeo lo puedes ver aqui, hagamos conciencia sobre lo que publicamos y donde publicamos cierta informacion

Esta etapa no implica actividades ilegales.

Fingerprinting

Se trata de una recogida de datos más específicos que permiten recopilar información sobre TCP/IP de una red o  sistema concreto. Como por ejemplo: topologías, direcciones y nombres  a diferentes niveles, estado de puertos, versiones y  estado de actualización de software y parches de SO, listados de vulnerabilidades, etc. 

La información no suele ser pública y se suele conseguir utilizando técnicas y herramientas más específicas: ingeniería social, phishing, sniffing y scanning.

Esta etapa implica actividades alegales o ilegales.

Fuentes de información:
Curso en linea de Ciberseguridad en Miriadax

s21sec

Crawling y Fuzzing

Crawling

El “crawling” también conocido como “spidering” es una técnica que se utiliza en las fases de una auditoria web cuando se realiza el análisis de información, esta técnica puede construir un mapa del sitio web descargando información de forma masiva para posteriormente indexar el contenido de un conjunto de páginas web no estructuradas, se puede decir que se “araña” el sitio web objetivo.

A medida que el “crawler” visita URL, identifica todos los hipervínculos en la página y los agrega a la lista de URL para visitar. Cuando el “crawler” está archivando sitios web, copia y guarda la información a medida que avanza. El archivo se conoce como “repositorio” y está diseñado para almacenar y administrar la colección de páginas web. Un repositorio es similar a una base de datos.

Para la ejecución de esta técnica se mencionan algunas herramientas como:
Black widow
Website Ripper Copier
Burp Suite
DirBuster
WFuzz

Fuentes de información:

flu-project

hackingarticles

quora

datacentric

Imagenes:
123rf

Fuzzing

Son técnicas capaces de generar y enviar datos secuenciales o aleatorios a una o varias áreas o puntos de una aplicación con la que es posible evaluarlas en búsqueda de vulnerabilidades, como por ejemplo, aquellas que utilizan la red para conectarse con otros módulos y que pueden ser explotables de forma remota.
Estas técnicas proporcionan cobertura a fallos de datos y regiones de código no testados, gracias a la combinación del poder de la aleatoriedad y ataques heurísticos entre otros.

Las pruebas semiautomáticas o automáticas que utilizan estas técnicas se llaman fuzzers. En general, la mayoría de los fuzzers intentan encontrar vulnerabilidades del tipo buffer overflow, integer overflow, format string o condiciones de carrera, aunque también abarcan otros tipos de errores, como inyecciones sql.

El funcionamiento de los fuzzers suele realizarse en las siguientes etapas:

• Obtención de datos: se obtendrán los datos a enviar de una lista estática almacenada en archivos o en el propio código fuente, o se generara en el mismo momento según las configuraciones efectuadas. Este proceso se puede realizar únicamente al inicio de la sesión o justo antes de cada envío.
• Envío de datos: una vez se dispone de la información que se desea enviar a la aplicación objetivo, se realizará el proceso eligiendo los mecanismos de entradas que pueden ser a través de un archivo y, en otros casos, las entradas pueden ser a través de la interacción del usuario.
• Análisis: después de realizado el envío, solo quedará esperar los resultados del fuzzing. Su función principal es la búsqueda de errores  y en el impacto que estos pueden tener sobre el propio sistema de prueba. A partir de los errores es posible determinar cuál de esos errores son críticos y pueden ser explotados.

Técnicas de Fuzzing

Mutación: consiste en partir de una entrada válida y realizar ciertas mutaciones de esos datos, con la intención de que sigan siendo válidas para la aplicación pero lo suficientemente inesperadas para lograr el objetivo

Generación: se deben crear los datos antes de enviarlos, pudiendo descubrir fallos que el otro método obviaba. Normalmente, los datos obtenidos también se sustituirán en una entrada válida del objetivo. Dependiendo de la forma de generar los datos se encuentran otros dos subgrupos:

• Los recursivos, que se obtienen de la iteración sobre un alfabeto dado o de la repetición de un mismo carácter, como son:
  
  Permutación: teniendo en cuenta, por ejemplo, el alfabeto hexadecimal “0,1, 2, 3, 4, 5, 6, 7, 8, 9, A, B, C, D, E, F” y buscando datos de seis caracteres  para sustituir de la forma siguiente:
  
  
  Repetición: se usa generalmente para la búsqueda de fallos del tipo buffer overflow. Se suele usar un incremento en cada repetición para no alargar el proceso inútilmente
  
  
  
• El otro subgrupo es el que hace uso de la sustitución, que se centrará en reemplazar cierta parte de una entrada válida por los elementos de un vector de fuzzing. Algunos casos son:
  
  
  Integer overflow: ocurre cuando un programa recibe en una entrada un número que está fuera del rango que es capaz de manejar: un cero, un número negativo, un número mayor o menor que el rango actual, o uno con diferente tipo numérico (decimal en vez de entero). Este agujero puede derivar en un ataque de buffer overflow
  
  Format string: este tipo de ataques se producen cuando se introducen ciertos elementos para proporcionar formato a las cadenas de texto y no existe un mínimo control de seguridad. De esta forma, se puede conseguir una denegación de servicio o incluso la ejecución de código arbitrario en el sistema.

Herramientas para la ejecución de fuzzing :

PowerFuzzer

JBroFuzz

WebScarabat

Wapiti

Socket Fuzzer

Fuentes de Información:

eternal-todo
welivesecurity

Protocolo OSPF

Open Shortest Path First (OSPF), Primer Camino Más Corto es un protocolo de red que usa un algoritmo de trayectoria más corta primero para construir y calcular la trayectoria más corta a todos los destinos conocidos. La trayectoria más corta se calcula con el uso del algoritmo Dijkstra. El algoritmo en sí mismo es muy complicado. La siguiente es una forma simplificada de nivel muy elevado de analizar los diversos pasos del algoritmo:

En la inicialización y debido a cualquier cambio en la información de ruteo, un router genera un anuncio de estado de link (El estado del link ofrece una descripción de esa interfaz y de su relación con los routers vecinos). Este anuncio representa la colección de todos los estados de link en ese router.

Todos los routers intercambian estados de link mediante inundación. Cada router que recibe una actualización de estado de link debe almacenar una copia en su base de datos de estados de link y a continuación propagar la actualización a otros routers.

Una vez que la base de datos de cada router está completa, el router calcula un árbol de trayectoria más corta a todos los destinos. El router utiliza el algoritmo Dijkstra para calcular el árbol de trayectoria más corta. Los destinos, el costo asociado y el salto siguiente para alcanzar dichos destinos forman la tabla de IP Routing.

En caso de que no ocurran cambios en la red OSPF, tales como el costo de un link, o el agregado o eliminación de una red, OSPF debería permanecer muy tranquila. Cualquier cambio que ocurra se comunica a través de los paquetes de estado de link, y el algoritmo Dijkstra se recalcula para encontrar la trayectoria más corta.

El algoritmo coloca cada router en la raíz de un árbol y calcula la trayectoria más corta a cada destino basándose en el costo acumulativo necesario para alcanzar ese destino. Cada router dispondrá de su propia vista de la topología, a pesar de que todos los routers crearán un árbol de trayectoria más corta usando la misma base de datos de estados de link. Las secciones siguientes indican que comprende la creación de un árbol de trayecto más corto

Access List (ACL's)

Una ACL es una serie de comandos que controlan si un router reenvía o descarta paquetes según la información que se encuentra en el encabezado del paquete. Cuando se las configura, las ACL realizan las siguientes tareas:

·         Limitan el tráfico de la red para aumentar su rendimiento. Por ejemplo, si la política corporativa no permite el tráfico de video en la red, se pueden configurar y aplicar ACL que bloqueen el tráfico de video. Esto reduciría considerablemente la carga de la red y aumentaría su rendimiento.

·         Proporcionan control del flujo de tráfico. Las ACL pueden restringir la entrega de actualizaciones de routing para asegurar que las actualizaciones provienen de un origen conocido.

·         Proporcionan un nivel básico de seguridad para el acceso a la red. Las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro host acceda a la misma área. Por ejemplo, se puede restringir el acceso a la red de Recursos Humanos a los usuarios autorizados.

·         Filtran el tráfico según el tipo de tráfico. Por ejemplo, una ACL puede permitir el tráfico de correo electrónico, pero bloquear todo el tráfico de Telnet.

·         Filtran a los hosts para permitirles o denegarles el acceso a los servicios de red. Las ACL pueden permitirles o denegarles a los usuarios el acceso a determinados tipos de archivos, como FTP o HTTP.

Practica

Para la actividad se configuro la siguiente maqueta:

En la cual se asignaron las siguientes direcciones IP:

Router 1			Router 2			Router 3
WAN	200.210.222.129/30		WAN	200.210.222.130/30		WAN	200.210.222.134/30
LAN	200.210.220.1/24		WAN	200.210.222.133/30		LAN	200.210.222.1/25
PC-A	200.210.220.2/24		LAN	200.210.221.1/24		PC-C	200.210.222.10/25
			PC-B	200.210.221.10/24

Configuramos cada router con los siguientes comandos

Router >enable                                                                        
Router #configure terminal                                                      // en modo de configuración
Router (config)#int s[ID]                                                                  //elegimos puerto serial
Router (config-if)#ip add <ip address> <submask>      //configuramos IP correspondiente
Router (config-if)#clock rate 64000                 //aquí solo configuramos si el cable es DCE
Router (config-if)#no shut                                                                    //activamos el puerto
Router (config-if)#exit                                                  //regresamos a configuración global
Router (config)#int gi[ID]                          //configuramos el puerto al que se conecta la PC
Router (config-if)#ip add <ip address> <submask>                   //asignamos su direccion IP

Y le asignamos a las PC las direcciones IP correspondientes a la Tabla

Se verifica la conectividad haciendo PING y se detecta que no hay conectividad debido a que no se ha establecido ningún protocolo de comunicación

Se establece el protocolo de rutas OSPF de la siguiente manera:

Router >enable                                                                        
Router #configure terminal                                                   
Router (config)#router ospf  <process id>                                                             
Router (config)# network <network ID>  <wildcard mask>  área 0  
//Router (config)# network <network ID>  <wildcard……… hasta incluir  todas las redes
Router (config)#exit

Se configuraron los siguientes routers:

R1

R1 >enable                                                                        
R1 #configure terminal                                                   
R1 (config)#router ospf  1                                                             
R1 (config)# network 200.210.220.0 0.0.0.255  área 0  
R1 (config)# network 200.210.222.128 0.0.0.3  área 0  
R1 (config)#exit

R2

R2 >enable                                                                        
R2 #configure terminal                                                   
R2 (config)#router ospf  1                                                             
R2 (config)# network 200.210.221.0 0.0.0.255  área 0  
R2 (config)# network 200.210.222.128 0.0.0.3  área 0
R2 (config)# network 200.210.222.132 0.0.0.3  área 0     
R2 (config)#exit




R3

R3 >enable                                                                        
R3 #configure terminal                                                   
R3 (config)#router ospf  1                                                             
R3 (config)# network 200.210.222.133 0.0.0.3  área 0  
R3 (config)# network 200.210.222.0 0.0.0.127  área 0
R3 (config)#exit