O que é a Tríade CID?

Esta é uma tradução ao português dum artigo antigo. Cá uma ligação ao orixinal.

A Tríade CID não tem relação com poemas medievais castelhanos nem com as bandas desenhadas do Hernández Palacios, mas é um conceito da cibersegurança que faz ênfase em três princípios que têm de trabalhar em conjunto para garantir a segurança de um sistema informático: Confidencialidade, Integridade e Disponibilidade.

 

  1. Confidencialidade: Os dados têm de estar só na mão dos utentes autorizados. Umas políticas de controlo do acesso têm de ser aplicadas para evitar que a informação classificada cair em mãos, seja ou não de forma intencionada, de utentes sem acesso.
  2. Integridade: O conceito integridade faz referência  a que os dados que temos armazenados sejam corretos e completos. Tem de se poder garantizar que os dados não foram mudados de forma não autorizada, que não é possível a perda destes dados é que os mesmos são consistentes, isto é que a informação é mesmo correcta à que temos no mundo exterior.
  3. Disponibilidade: Afinal, o conceito disponibilidade implica que a informação tem de estar acessível sempre para os utentes autorizados num tempo razoável. Isto é que os dados têm de estar sempre disponíveis para os utentes.

Na altura de desenhar uma estratégia de cibersegurança para uma empresa ou simplesmente na altura de armazenar qualquer coleção de dados confidenciais um deve considerar que estes três pontos têm de ser atingidos.  

Anuncios

¿Cómo reconocer un correo electrónico malicioso?

Tras una serie de días teniendo que arreglar problemas derivados de gente que abre correos a lo loco he creído útil dar aquí unas pautas que deberían ayudarnos a reconocer correos maliciosos. Si bien es cierto que la mayoría se servicios de correo electrónico populares tienen filtros contra el spam que evitan que nos inunde el correo basura, algunos más sencillos (Gmail, por ejemplo, te permite bloquear una dirección) y otros más configurables (volviendo al Gmail, en Gsuite da varios opciones)

Pero  a pesar de la inefable ayuda de estos filtros siempre puede colársenos algún correo malicioso, con archivos infectados o enlaces para hacer fishing, sea como fuere el filtro de spam no es infalible y en nuestro buzón siempre puede acabar apareciendo un correo trampa. ¿Cómo lo reconocemos? Aquí van unas pautas:

  • Si el correo electrónico no tiene asunto debemos empezar a desconfiar, o si el asunto está en un idioma que no conocemos.
  • Si el correo electrónico solicita la actualización de una cuenta y nos manda un enlace al que acceder para introducir nuestras credenciales… la mosca detrás de la oreja. Lo mejor es no pinchar ya, pero si accedes al enlace fíjate en la barra de direcciones para ver si te está llevando a la web legítima.
  • La ortografía cuenta: cuando el texto del correo electrónico tiene palabras mal escritas o puntuación extraña también debemos desconfiar. En muchos casos se usan traducciones automáticas, así que si vemos modismos extraños (shit yourself little parrot) tampoco hay que fiarse.
  • Cuando los enlaces del correo electrónico son largos, dirigen a direcciones IP o son crípticos lo mejor es no abrirlos.
  • Si por la forma parece provenir de una empresa legítima u organismo público y cumple alguna de las anteriores, entonces no lo dudes: malicioso seguro. Hacienda no te va a mandar un correo pidiéndote tu número de cuenta para realizarte una devolución de impuestos.
  • Si se solicita que el usuario abra un archivo adjunto ahí lo mejor es ya encender todas las alarmas, más aun si se trata de un archivo ejecutable o un fichero comprimido.

Aquí os dejo un ejemplo de un caso real que viene relatado en la web de INCIBE, para que le peguéis una ojeada.

Generar contraseñas seguras en Linux con APG

Ya vimos en el pasado cómo generar contraseñas en linux con mkpasswd, hoy veremos otro método. APG, abreviatura de Automatic Password Generator, viene instalado en Ubuntu y sus derivados. Es un programa pensado para generar contraseñas “memorizables“. Si lo ejecutas a secas te pedirá una “raíz“, una serie de datos con los que trabajar, y en base a eso creará una contraseña “memorizable“, y con “memorizable” quiero decir que junto a la contraseña te mostrará una transcripción fonética para que la recuerdes mejor.

APG Ejemplo
Ejemplo de APG

También puedes generar contraseñas totalmente aleatorias usando el comando apg a -1, que ofrece resultados de entre 8 y 10 caracteres.

Ejemplo APG 2
Ejemplo de APG con a -1

Siete puntos a tener en cuenta para comprar on-line.

En estas fechas navideñas se hacen muchas compras, y en los últimos años las compras on-line han crecido exponencialmente. Tanto como para colapsar los centros de algunas empresas de transporte. Pero ¿Son seguras? En los últimos años la seguridad de estas transacciones también ha mejorado mucho, pero sin una serie de buenas prácticas por parte del usuario todo el trabajo de los programadores de dichos sistemas puede irse al garete.

Hace unas semanas, motivados por el Black Friday, INCIBE y OSI realizaron una guía con una serie de pasos para comprar de forma segura en Internet. Con ánimo divulgativo os dejo por aquí la infografía que realizaron y también este enlace donde podéis ver el contenido del post original en el sitio web de la OSI.

Guía OSI INCIBE compra on-line

 

Detectar intrusos en tu wifi desde Android o iOS

En el pasado vimos cómo detectar intrusos en tu wifi con Windows (ya hace años de eso) y desde Ubuntu. Pero ¿y si eres un usuario que tiene sólo tablet y móvil? ¿puedes saber si te están vampirizando la wifi? Puedes. Existen varias apps para ello, pero creo que la más sencilla es Fing, que además en su versión más básica es gratis.

Fing es una aplicación que te permite escanear la red a la que estás conectado, y por suerte existen versiones para varios sistemas operativos. De hecho puedes usar también Fing desde un portátil o sobremesa ya que también tiene versiones para Linux, Windows y MacOSX.

Centrándonos en la versión móvil, no puede ser más sencilla de usar: la puedes descargar desde aquí y, una vez instalada, basta ejecutar la aplicación para ver qué equipos hay conectados a la red. Los móviles tendrán un icono distintivo, al igual que el router o punto de acceso al que esté conectado el teléfono. Una vez veas la lista puedes calcular si ves algo raro, si hay algún equipo que no debiera estar conectado. En caso de que haya un invitado indeseado la mejor opción es que cambies la contraseña de la wifi.

Fing captura

Pulsando encima de cada dispositivo conectado podrás tener varias opciones: una es ver la MAC del dispositivo, por si quieres añadir a tu router una regla de filtrado por MAC para impedir que ese equipo se conecte (aunque la MAC puede cambiarse, así que no es un método infalible para evitar conexiones indeseadas). Otra es la de etiquetar a ese dispositivo con un nombre a tu elección (por ejemplo “ordenador del salón“) para facilitar su identificación cuando ejecutes el app. También puedes realizar un escaneado de puertos o lanzar un ping. Si decides hacerte una cuenta puedes disponer de notificaciones cuando alguien se conecte y más opciones.

Como ves es una solución fácil para tener controlado quién accede a tu wifi. Por cierto, que los creadores de Fing están trabajando en Fingbox, un dispositivo de hardware que facilitaría la expulsión de intrusos de tu red.

Creando contraseñas en Linux con mkpasswd

El programa mkpasswd, que es parte del paquete whois, nos permite generar contraseñas complejas y seguras a través de diversos algoritmos criptográficos.

Si no lo tienes instalado puedes agregar el paquete whois tal que así:

sudo apt-get update
sudo apt-get install whois

Una vez tengamos whois instalado ya podemos hacer uso de mkpasswd. Veamos que opciones tiene:

  • -m: Nos permite elegir el método con el que encriptaremos: entre des, md5,sha-256 y sha-512.
  • -5: Es una forma abreviada para seleccionar el método md5, sería equivalente a usar -m md5.
  • -S: Una cadena que usar como salt para el password.
  • -R: Definimos el número de rondas que se usarán, si son aplicables.
  • -P: Lee la contraseña del descriptor de fichero que le pasemos en lugar de hacerlo de /dev/tty
  • -s: Método acortado equivalente a -P 0

Por ejemplo:

#usamos el algoritmo sha-256
#pasamos como sal la cadena salamos1
mkpasswd -m sha-256 -S salamos1

#lo mismo pero con md5
mkpasswd -m md5 -S salamos1

Una captura viendo distintas opciones, distintos algoritmos y comprobando también cómo el salt no permite ciertos carácteres:
mkpasswd

Usando rel=”noopener” para evitar ataques crossdomain en páginas abiertas con target=”_blank”

Pues era un tema que desconocía hasta que lo vi ayer en el blog de Chema Alonso, pero por lo que veo lleva rulando al menos desde el mes de mayo. ¿De qué estoy hablando? Te comento con un ejemplo (aunque puedes leerlo mejor explicado en los links previos): supongamos que quieres que un link se abra en una nueva pestaña, así que le pones target=”_blank”. Al hacerlo de esta forma la página que has abierto en la nueva pestaña, mediante el selector window.opener puede modificar cosas a base de Javascript en la página desde la que se abrió el enlace. La mayoría de navegadores modernos limitan las posibilidades de esto y bloquean muchas de las acciones invocadas desde la ventaja hija sobre la padre, pero lo que se han dejado sin proteger es que dicha ventana hija puede acceder a la propiedad window.opener.location, y de esta forma mandarnos a una página desde la que hacer un ataque de phising.

¿Solución? Bueno, si es un enlace basta con el modificador noopener y el noreferrer:

<a href="paginanueva.html" target="_blank" rel="noopener noreferrer"/>

El noreferrer es necesario porque Mozilla Firefox no soporta noopener.

¿Y qué pasa si abrimos la ventana mediante Javascript utilizando el método window.open()? Pues que nos encontramos la misma vulnerabilidad. ¿Cómo la solucionamos? Tal que así (copio este ejemplo):

var newWnd = window.open();
newWnd.opener = null;