Charla en la URJC de Mostoles

El Miércoles 19 de Noviembre tuve el placer de impartir una pequeña charla en la Universidad Rey Juan Carlos de Mostoles junto a mi compañero de viajes (entre otros) Jaime Álvarez. 

En ella, volví a hablar sobre la importancia de la seguridad en las contraseñas.

Creo que la charla gustó, nos echamos unas risas y además creo que la gente se dio cuenta de la importancia de las contraseñas. A todos les quedó claro que no puedes ir por la vida usando contraseñas como 123456, iloveyou o $$$$$$. Pero lo que es aún más importante, quedó claro que hay que usar el doble factor de autenticación, que es lo que realmente te va a ayudar.

Os dejo el Power Point aunque sé que lo que en él cuento ya está trillado y lo sabéis todos, ¿o no?

Quiero dar las gracias una vez más a Pablo González de Fluproject por acordarse de mi para la charla.

Contraseñas seguras from Rober Garamo

Roberto García (@1GbDeInfo)

IV ESET Security Forum

Os quiero dejar una nota de prensa que me pasan desde ESET para que podáis asistir al IV ESET Security Forum, en el que tendré el enorme placer de compartir mesa con los grandes profesionales de la seguridad informática de este país.

Se acerca la Navidad y no queríamos dejar pasar 2014 sin celebrar el que va a ser el último ESET Security Forum de este año. Además, en esta ocasión, aprovecharemos para entregar los Segundos Premios Nacionales a los Héroes Digitales, y compartiremos con todos los asistentes una suculenta cena.

El ESET Security Forum es un foro de carácter meramente informativo y social donde juntamos a lo mejor de este país relacionado con la seguridad informática y charlamos acerca de lo que está sucediendo en el mundo de la ciberseguridad. Esta edición viene de lo más calentita. Estará dividida en dos partes: la primera, dedicada a la seguridad corporativa, y la segunda, a los menores y a la privacidad. Como no podía ser de otra manera, tenemos a un montón de invitados de excepción que nos han dado el “sí quiero” para compartir esta ocasión con nosotros, a los que agradecemos enormemente su participación.

El evento tiene una duración de 3 horas y tendrá lugar Espacio Fábula (Avda. Pablo Iglesias esq. Avda. Islas Filipinas, dentro del Campo de Golf de Canal de Isabel II. Madrid) La asistencia es totalmente gratuita, pero el aforo es limitado, así que si quieres asistir y pasar un buen rato con nosotros, necesitamos que por favor confirmes tu asistencia rellenando este formulario.

Esta es la tercera edición que organizamos, ya que las anteriores han tenido un gran éxito de público y una gran repercusión. Puedes ver un resumen de las mismas en el portal del forum.

¿A quién traemos en esta ocasión? Pues a lo mejorcito del panorama de la seguridad tecnológica nacional:

• Marc Rivero, responsable eCrime en Barcelona Digital y profesor universitario.
• Juan Antonio Calles, CEO de Zink Security, Co-fundador de Flu Project, miembro de la Asociación Nacional de Ciberseguridad y Pericia Tecnológica (ANCITE) y ponente habitual en diversos foros y congresos de seguridad, entre los que se encuentran No cON Name, RootedCon, HomeSec y SID.
• Pablo Fernández Burgueño, abogado de ciberseguridad y privacidad en la Red. Socio cofundador de Abanlex, bufete de Derecho Tecnológico
• Angel-Pablo Avilés, el editor de “El Blog de Angelucho” que nace como contribución a la información, educación y concienciación sobre seguridad básica en la red. Componente del Grupo de Delitos Telemáticos de la Guardia Civil.
• Pedro Candel (s4ur0n), profesional docente del equipo de CyberSOC Academy de Deloitte y co-organizador del Congreso Navaja Negra.
• Roberto García, Cuenta con más de 10 años de experiencia como Administrador de sistemas Windows. Es MCSA de Microsoft.
  Ha impartido varias charlas en los últimos años sobre seguridad informática.
  Desde hace 4 años lidera una iniciativa llamada X1Sonrisa en la que recauda juguetes para los niños.
  Es autor del blog 1gbdeinformacion.com, colaborador en el programa de radio Ventanas a la red y ganador del 1er premio “Héroe Digital” de ESET.
• Daniel García (crOhn), auditor de seguridad senior, pentester e investigador. Co-organizador del Congreso Navaja Negra.
• Deepak Daswani, responsable de investigación en ciberseguridad en INCIBE (antes Inteco).
• Marcos García Gómez, subdirector, Director de Operaciones en INCIBE (antes Inteco).
• Josep Albors, director de comunicación y responsable del laboratorio de ESET España. Profesional con más de 8 años de experiencia en el mundo de la seguridad informática, es también editor en el blog de ESET España y colaborador en múltiples publicaciones relacionadas con la seguridad de la información.

Esperamos contar contigo en este evento y poder compartir así buenos momentos. Recuerda que es necesario que te registres previamente para reservar tu plaza, que es totalmente gratuita.

Espero que nos veamos allí.

Roberto García (@1GbDeInfo)

Solo como prueba de concepto. Ingeniería Social (otro phishing más)

El otro día hablando con un compañero de trabajo (un saludo Geranio :P) sobre "técnicas de ingeniería social"  me dio una idea para trastear un rato.

La idea era sencilla, como no quería complicarme demasiado, y ahora que está de moda el tema de la crisis y con ella la morosidad, se me ocurrió hacer un correo (phishing) diciendo lo siguiente.

Como veis, el engaño era manifiesto, ya que como señalo en la imagen, no me molesté en absoluto en camuflar ni faltas de ortografía, ni de poner el logo de Pepsi rotado.
Además, al pasar el ratón por encima de los enlaces, se pueden ven claramente el subdominio al que apuntaba dicho enlace.

Iba a poner una imagen del logo de Iberdrola y Gas Natural para darle un toque "más pro", pero quizá me hubiese metido en un lío al usar imágenes de empresas para esto.

Analizando fríamente el asunto, cualquiera podría darse cuenta del engaño, pero creo que al jugar con el tema de facturas sin pagar y la morosidad, la gente, con un nudo en la garganta, pincha donde sea con tal de averiguar que ha pasado.

El mail fue enviado para más inri desde una cuenta de correo de esas que duran minutos, así que, si hubiesen mirado el remitente o las cabeceras de los correos como nos explica Angelucho perfectamente aquí, no habrían caído.

Este "correo" fue enviado a un total de 500 personas y... bueno, una imagen vale más que mil palabras. (El periodo de tiempo ha sido del Viernes 7 de Noviembre - 18:30 al Domingo 9 - 0:00)

Como digo siempre, hay que desconfiar de TODO, ya que cualquiera nos la puede liar. 

En este caso como hago siempre, la web solo disponía de un contador para ver el número de personas que visitaban el enlace, pero de forma similar es como se montan los "grandes phishing", en los que se pueden ver afectados tus credenciales, por poner un ejemplo.

Ahora solo me queda una duda, las 65 personas que no visitaron el enlace, fue porque no vieron el correo?, porque analizaron cabeceras o vieron a donde iban los enlaces?, porque buscaron en Google la empresa y vieron que no existía ni el dominio ni dicha empresa?

Os recomiendo visitar el blog de Angelucho, donde te explica todo sin unos ni ceros, para que cualquier persona sin conocimientos se pueda sentir más segura.

Tened cuidado con los enlaces, ya tenéis un poco más de información sobre como proceder.

Roberto García (@1GbDeInfo)

Instalar SquirrelMail en Debian 7 II (instalación)

Continuando con la entrada del otro día, en la que comenzábamos con la instalacion del servidor LAMP, vamos esta vez a ver la instalación en sí de SquirrelMail.    

SquirrelMail es un webmail que te permite revisar el correo que tengas en un servidor mediante cualquier navegador. No vamos a entrar en si es o no seguro usar webmail, nos centraremos únicamente en su instalación.

Lo primero que vamos a hacer es actualizar el sistema, para ello:

     apt-get update && apt-get upgrade

Como SquirrelMail esta disponible en los repositorios, podemos instalarlo fácilmente con: 

     sudo apt-get install squirrelmail

Necesitamos un archivo de host virtual para permitir que el servidor web sepa donde visualizar los archivos al acceder desde Apache. Vamos a usar el archivo por defecto de SquirrelMail, moverlo al directorio de Apache  y configurarlo para su uso en nuestro sistema.

Este archivo se encuentra en la ruta:

     /etc/squirrelmail/apache.conf

Hay que copiar dicho archivo a la carpeta sites-available con el comando:

     cp /etc/squirrelmail/apache.conf /etc/apache2/sites-available/squirrelmail.conf

Lo siguiente será editar el archivo para "descomentar" la linea VirtualHost 1.2.3.4:80. Hay que cambiar también el servername y la IP para que coincida con la configuración y/o el demonio. (Revisa todo bien para tu propia configuración).

      vi /etc/apache2/sites-available/SquirrelMail.conf

Ahora creamos un enlace simbólico al archivo en la carpeta sites-enabled con: 

     ln -s /etc/apache2/sites-available/squirrelmail /etc/apache2/sites-enabled/

Actualizamos Apache con el comando:

     service apache2 reload

Si todo ha ido bien, y tras navegar a http://localhost/squirrelmail deberíamos poder ver esto:

Antes de entrar a SquirrelMail por primera vez debemos configurarlo. Hay un menú que nos va a ayudar a la hora de hacerlo. Simplemente escribimos en la consola:

squirrelmail-configure

Y nos aparece dicho menú.

Aquí tenemos muchas opciones para configurar y obviamente solo vamos a ver la más importante, lo demás lo dejo para que lo reviséis y lo modifiquéis a vuestro gusto.

Vamos a ver el punto dos referente a las opciones del servidor.

Pulsamos 2 y al dar a intro nos aparece una nueva pantalla.

Tendremos que ajustar el Domain, Imap y SMTP para que coincida con el servidor de correo al que queremos conectarnos.

Esto mismo podemos hacerlo desde el propio archivo de configuración si no eres muy amigo de los menús. Solo hay que editar el archivo /etc/squirrelmail/config.php y podrás hacerlo desde ahí.

Como veis en la anterior imagen, tenemos las mismas opciones.

Llegados a este punto, ya deberíamos poder acceder a SquirrelMail usando las credenciales del correo electrónico. Para ello, deberéis tenerlo conectado al servidor de correo, sino no podrás iniciar sesión.

Roberto García (@1GbDeInfo)