tag:blogger.com,1999:blog-21555208.post8387224416481653573..comments2024-03-19T04:21:33.323+01:00Comments on Un informático en el lado del mal: El jefe hackeó la base de datos o cómo liarla poniendo un iPad/iPhone para leer el correo corporativo de la empresaChema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger75125tag:blogger.com,1999:blog-21555208.post-48558291362011697752012-12-03T16:26:36.154+01:002012-12-03T16:26:36.154+01:00@anónimo fanboy, Apple hizo lo que les recomendaba...@anónimo fanboy, Apple hizo lo que les recomendaba...<br /><br /><a href="http://www.elladodelmal.com/2012/10/ios-6-mail-arregla-el-problema-de-las.html" rel="nofollow">iOS 6 Mail arregla el problema de las imagenes</a><br /><br />¿Por qué crees que será? Aprende algo de seguridad antes de criticar y que las configuraciones por defecto seguridad y la granularidad de permisos inciden en la seguridad de los sistemas.<br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-18709505125075312482012-12-03T16:20:12.047+01:002012-12-03T16:20:12.047+01:00Tío... de verdad, creo que vales para algo mas que...Tío... de verdad, creo que vales para algo mas que para criticar a Apple... <br /><br />http://www.acunetix.com/wp-content/uploads/2012/11/load_remote_images.png<br /><br />Aquí tienes como desactivarlo por si necesitas que te lo expliquen, aunque no creo.<br /><br />Eso de ser MVP de M$ no te hace ningún bien :-)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-80500767859326803392012-05-14T17:06:32.445+02:002012-05-14T17:06:32.445+02:00jajajajaja me cago de risa!! en el ipod, solo mane...jajajajaja me cago de risa!! en el ipod, solo maneja la configuracion que tengo desde hotmail. Osea que si le pongo un filtro a los correos electronicos desde el servidor de hotmail, no me llegan correos no deseados, asi que por ese aspecto, el ipad, es solo un lujo una herramienta visual, no de trabajo masivo, nunca se comparara con una LAP.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-18562056062481077792011-04-21T12:08:38.981+02:002011-04-21T12:08:38.981+02:00@Anónimo, lo que está mal está mal. Y lo que pongo...@Anónimo, lo que está mal está mal. Y lo que pongo aquí está mal, como lo de <a href="http://www.elladodelmal.com/2011/04/la-dura-vida-con-un-ayfon.html" rel="nofollow">la localización de hoy</a>...Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-85878158754888188432011-04-20T22:47:37.894+02:002011-04-20T22:47:37.894+02:00Aprovechando el partido estoy de nuevo de cena con...Aprovechando el partido estoy de nuevo de cena con mi mujer, el iPhone grabará donde estoy ;( ....<br /><br />Tenía pendiente comentarte lo que si me parece un problema bastante gordo que no había visto.<br /><br />El otro día me compre un libro en papel porque no lo encontré en electrónico y luego lo busqué para bajarmelo. Me tocó ir al Megaupload de turno .... Y no había manera de diferenciar los anuncios de los enlaces "buenos". No hay previsualización de la URL del enlace y eso si que me consta lo hacen los jefes.<br /><br />Pero sigue sin gustarme el término FAIL porque no da matices.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-39903339039354833992011-04-09T16:44:36.752+02:002011-04-09T16:44:36.752+02:00@anónimo que dice que SQL Injection es obsoleto e ...@anónimo que dice que SQL Injection es obsoleto e inutil.<br /><br />En el OWASP Top Ten 2010 fue elegido el primer ataque en uso. Hace menos de 10 días hackearon con SQL Injection a MySQL y hace un poco más a HBGary... ¿tú no sigues las noticias, no? SQL Injection, por desgracia, 12 años después de ser desubierto, sigue estando muy de moda. Palabrita de pentesting.<br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-91002509269711808652011-04-09T12:46:29.211+02:002011-04-09T12:46:29.211+02:00La vida de un trollero. Primero lo saben todo, se ...La vida de un trollero. Primero lo saben todo, se rien y hablan por encima del resto. Quiere hacer creer que es el otro el ignorante, lo ataca de diferentes maneras. Poco a poco se queda sin fuerzas y hasta el mismo con un cerebro de kiddie es capaz de darse cuenta de sus tontadas. Al final resulta que no sabe nada. <br />Apple tiene un problema, sus usuarios son los mas seguros del mundo....o eso creen ellos. <br /><br />SaludosSeven_VIInoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-39311511103227964922011-04-09T10:19:51.489+02:002011-04-09T10:19:51.489+02:00El problema está en quien diseño y programó el sw ...El problema está en quien diseño y programó el sw de nóminas, menudo gañan!!!<br /><br />SqlInjection es una técnica obsoleta y totalmente inútil en sistemas bien implementados....Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-59748959089644156632011-04-09T08:49:38.803+02:002011-04-09T08:49:38.803+02:00@Anónimo de la cena, si el usuario confía "en...@Anónimo de la cena, si el usuario confía "en el remitente del correo".<br /><br />Las medidas de seguridad no son perfectas. Ninguna. No lo son los Firewalls, ni lo es ASLR, ni lo es DEP, ni lo es un antimalware, pero la fortificación de un sistema reccomienda aplicar un principio de Defensa en Profundidad para mitigar el riesgo y limitar el impacto.<br /><br />En los sistemas de correo electrónico se han estado enviando virus, malware y exploits con ficheros PDF. ¿Eliminamos el formato PDF? ¿Lo dejamos como está? No, la respuesta es poner medidas que mitiguen el impacto, por eso se meten análisis más afinados en las soluciones antimalware, previsualizaciones en sandbox de los archivos y luego, si todo parece normal, el usuario podrá abrirlo.<br /><br />De verdad, es fácil de entender. Un cristal no garantiza una protección contra alguien que se quiera colar en tu coche, pero no por eso dejas las ventanillas bajadas de tu coche por la noche.<br /><br />Recuerdos a su señora esposa!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-17974249634253119812011-04-09T05:26:36.967+02:002011-04-09T05:26:36.967+02:00buenas me considero de los mas jovenes e inexperim...buenas me considero de los mas jovenes e inexperimentados que han comentado pero lo que saco en claro es esto:<br /><br />1)chema a echo un ataque desde fuera que se realiza desde dentro(buena forma de ocultar quien eres)<br /><br />2) por lo que e leido al principio se metian con el sqli (lo de sqli me parece anecdotico podia haber echo cualquier otra cosa) y como no habia mucha leña han pasado al mail no se como cuanto de seguro es pero que haya algo asi por defaul me parece un riesgo importante<br /><br />3)me parece un riesgo ya que el mayor problema de un informatico son los usuarios que muchas veces son como becerros iendo al matadero tan contentos<br /><br />4)el tema que decian por ahi de que chema a echo una montaña porque el ipad decia su version me pacere totalmente cierto ya que cuanta mas informacion se tiene mas son las posibilidades de ataque<br /><br />PD:espero que ningun maquero entre los que me "incluyo" me tire a los lobos o algo parecido, siento la parrafadaphantomhttps://www.blogger.com/profile/02409932890651759295noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-5084312150299752652011-04-08T23:02:12.471+02:002011-04-08T23:02:12.471+02:00Muy bueno lo de si el usuario confía en el correo,...Muy bueno lo de si el usuario confía en el correo, ese es el punto, que el usuario no tiene forma de distinguir "el bien del mal", repito que si es realmente un problema hay que hacerlo a prueba de usuario, o reconocer que no es un problema.<br /><br />Y aunque no es el tema, la plataforma mas "a prueba de usuario" actualmente es la de Apple, a costa de simplificar y limitar mucho las cosas que se pueden hacer. Eso no lo hace mas seguro de por si, es solo un aspecto. Repito que no es el tema pero es un buen tema para abordar otro día.<br /><br />Le he dado la cena a mi mujer ;-)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-82341217080064639582011-04-08T22:46:06.877+02:002011-04-08T22:46:06.877+02:00@anónimo, no hay nada 100% seguro, pero está claro...@anónimo, no hay nada 100% seguro, pero está claro que en este caso la seguridad no fue un requisito.<br /><br />Y respecto a esto que propones para leer un correo electrónico.... tela marinera...<br /><br />"Si quieres corregir el presunto defecto repito, proxy, descarga de imágenes, comprobación de formato y reescritura de links"<br /><br />Si no es tan dificil. Por defecto capadas, previsualización en sandbox del mensaje si nos ponemos hardcore, y luego, si el usuario confía en el correo, entonces que pueda dar a un botoncito para descargar el mensaje.<br /><br />Lo del USER-AGENT, con que quitasen la versión de iOS ibamos a estar todos más seguros, ¿no?<br /><br />Buena cena!!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-6912570819958389492011-04-08T22:37:34.722+02:002011-04-08T22:37:34.722+02:00Que si, venga va, que voy a dejar la cena porque t...Que si, venga va, que voy a dejar la cena porque tengo (tenemos, tienen) tres agujeros de la hostia, repite FAIL, FAIL, FAIL!! <br /><br />Te has montado una película hasta con cameo de un juez que pasaba por ahí. Una película cuyo actor principal puede ser sustituido por cualquier otro cliente de correo porque ninguno es failproof en esos aspectos. <br /><br />Si quieres corregir el presunto defecto repito, proxy, descarga de imágenes, comprobación de formato y reescritura de links<br /><br />Alabo la iniciativa de MS en los últimos años, es más, convendría que aplicases (porque seguro que lo has leído) las teorías de "The new school of security"Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-66196198925608317402011-04-08T22:33:08.658+02:002011-04-08T22:33:08.658+02:00Lo primero, muchas gracias por el artículo.
Mis f...Lo primero, muchas gracias por el artículo.<br /><br />Mis felicitaciones a los orgullosos e ignorantes poseedores de dispositivos de la manzanita: carísimos, limitados y encima peligrosos de usar. Pero qué bonitos que son, con eso a los fanboys les basta.singuangohttps://www.blogger.com/profile/11575435313922474492noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-26639915880657993962011-04-08T22:12:55.931+02:002011-04-08T22:12:55.931+02:00@anónimo, que un User-agent indique el nivel de pa...@anónimo, que un User-agent indique el nivel de parcheo que tiene (y lo que le falta) es un FAIL en seguridad. Leete el whitepapper que hicimos las empresas de seguriad de este país.<br /><br />Que un cliente de correo no permita seleccionar en qué mensajes enseñar las imágenes y en cuales no, es un FAIL en seguridad.<br /><br />Que la política por defecto sea cargar las imágenes es un FAIL. <br /><br />Que quieras justificarlo diciendo que "como es para jefes quién quiere ver el código fuente del mensaje" es otro FAIL.<br /><br />No sé qué es dificil de entender ahí, de verdad...<br /><br />Estos comentarios me recuerdan a Microsoft antes de la Trustworthy Computing Inniciative... "La culpa es del usuario que no sabe configurarlo de forma segura..."<br /><br />Al final, el SD3+C fue lo mejor que pudo hacer Spectra, está claro. <br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-90700242031709138302011-04-08T22:03:08.702+02:002011-04-08T22:03:08.702+02:00Cuando digo GOTO 2 me refiero a la segunda entrada...Cuando digo GOTO 2 me refiero a la segunda entrada.<br /><br />Poner FAIL en mayúscula no lo hace más grave.<br /><br />Ni explicas que es lo que hace Outlook, el mío me deja ver imágenes (si quiero, no por defecto) pero sabes que excepto los que visitamos blogs como este, todo el mundo muestra las imágenes, ¿Si lo dejamos al usuario es FAIL? FAIL ALL!!<br /><br />Lo de ver los códigos es de traca, repito: encuentra "un jefe" que sepa hacerlo en Outlook por ejemplo .... Y que lo haga de forma habitual. FAIL ALL<br /><br />Queda lo del User-Agent, un FAIL garrafal, vamos que todo el mundo lo tiene enmascarado porque es peligrosimo. Mi cerradura es TESSA, lo pone por fuera pero en cuanto llegue a casa le voy a echar ácido del susto que me has metido, supongo que tu ya la tendrás borrada.<br /><br />Seriedad, menos FUD e imparcialidad.<br /><br />PD, en mi empresa tenemos Outlook (y OWA y ActiveSync), GroupWise, iPad, iPhone, BB, Nokias, ...y cada uno tiene lo suyo.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-8069057636127847032011-04-08T21:43:58.151+02:002011-04-08T21:43:58.151+02:00Y xq mejor no lo hablamos con unas cervezas q con ...Y xq mejor no lo hablamos con unas cervezas q con la exaltación de la amistad seguro q hasta hay abrazos!<br /><br />@anónimo mi pregunta era de lo mas inocente xq no conozco ninguna empresa q use estos terminales como terminales corporativos y es algo q me sorprende bastante, sobretodo en empresas de cierto tamaño. No xq sean mejores o peores (esto dependerá de las necesidades de cada uno y de aus requisitos) sino xq el by default es bb.SPECTRAdonoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-29148681777287862372011-04-08T20:45:19.830+02:002011-04-08T20:45:19.830+02:00@Anónimo, sí, es que hay días en que disfruto con ...@Anónimo, sí, es que hay días en que disfruto con esto. Además, espero haberte sido útil y que hayas aprendido alguna cosa. Ha sido un placer.<br /><br />}:))Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-23017702084589321262011-04-08T20:40:11.659+02:002011-04-08T20:40:11.659+02:00Huy, si apenas he mentado nada de los sistemas que...Huy, si apenas he mentado nada de los sistemas que he dicho (no he dicho mucho más allá de que existan), y aún identificandome como trol has entrado a saco.<br /><br />Si tu troleas, yo caigo de un bombardero cabalgando un proyectil, y debe haber caido en alguna llaga. Yiiiieeeeeha!<br /><br />Y esquimal es ofensivo, tío, se dice inuit.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-27817345989439039072011-04-08T20:31:05.280+02:002011-04-08T20:31:05.280+02:00@Eduo, creo que mi post es bastante claro en lo qu...@Eduo, creo que mi post es bastante claro en lo que dice:<br /><br />1) No se puede ver el código fuente del mensaje. Fail<br /><br />2) No se puede modificar el USER-Agent que es verbose. Fail.<br /><br />3) Por defecto, carga las imagenes remotas en mensajes HTML. Fail.<br /><br />A partir de ese punto, en un comentario me han dicho que hay una herramienta para hacerlo y no es cierto. Que no haya usado una herramienta que NO sirve para una tarea es un fail.<br /><br />En cualquier caso, aunque existiera una herramienta que pudiera hacer ese cambio en la configuración, seguiría siendo un problema de seguridad.<br /><br />Como todo ser humano, que cuando me quito el gorro me convierto en un ser humano, hay días en que estoy más susceptible que otros, pero mi post sigue reflejando lo que yo, como trabajador en el mundo de la seguridad veo.<br /><br />Que tu vengas ahora a decir que por enfadarme con lo de Exchange invalida mi argumentación en el post, es tu opinión, que puedes tenerla y defenderla donde quieras, pero que por supuesto no comparto.<br /><br />Saludos y buen fin de semana!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-71951276603755283802011-04-08T20:22:44.062+02:002011-04-08T20:22:44.062+02:00Pues no se qué decirte, macho. Si piensas que los ...Pues no se qué decirte, macho. Si piensas que los epítetos le dan peso al argumento entonces opino diferente.<br /><br />Y es de aplaudir que no te han tocado a su vez unos cuantos por escribir lo que es, esencialmente, una entrada opinando como si supieras de un tema que has admitido no tenías ni idea porque, vamos, las páginas de seguridad en empresa de Apple son los PRIMEROS que salen cuando buscas "apple enterprise" y "apple business" (sin comillas).<br /><br />Quiero decir, la comparación no estaba mal, pero todo el mail iba en contexto de "el jefe" y "el correo corporativo", y luego en los comentarios has dejado claro, varias veces, que la comparación es con un sistema administrado. Pero la has hecho con cómo funciona un software por defecto para usuarios.<br /><br />Ahora, no estoy, igual que antes, defendiendo a Apple. Ni siquiera pienso que te equivoques del todo en todo. Pero el intento de manipulación constante en el post y en las respuestas, decidiendo escoger con qué comparas aunque sea obvio que te estés saltando un montón de cosas y matices que no convienen, añadido a la insultadera gratuita (sí, es gratuita, explicarle a alguien por qué se equivoca no amerita insultos, por mucho "smiley maléfico" que pongas), te convierten en lo que ya he dicho varias veces (insisto en ello porque es de lo que hablo, es por eso que uno insiste en las cosas): En un troll.<br /><br />Cualquier razón que pudieras tener, por mucho que te aplaudan los "antimanzanitos", se pierde en la obvia intención de insultar algo que a todas luces no conoces (y no me refiero a saber de seguridad, sino a seguridad corporativa de Apple, que es de lo que va el post).Eduohttps://www.blogger.com/profile/18255459116953439238noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-31483412058712274282011-04-08T20:07:33.147+02:002011-04-08T20:07:33.147+02:00@Eduo, sí, los epítetos completan la explicación, ...@Eduo, sí, los epítetos completan la explicación, ya que las tontunas eran de ese calado.<br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-72082404770348701232011-04-08T20:06:26.727+02:002011-04-08T20:06:26.727+02:00@Eduo, perdona, con tanto mail me confundí. Los co...@Eduo, perdona, con tanto mail me confundí. Los comentarios que van para tí, sabes cuales son. <br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-19711015644803112072011-04-08T20:05:16.650+02:002011-04-08T20:05:16.650+02:00"Retrasado"
"Inutil"
"Asn..."Retrasado"<br />"Inutil"<br />"Asno"<br /><br />Vaya nivel. Y los trolls son los otros. Y yo cortándome...Eduohttps://www.blogger.com/profile/18255459116953439238noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-66735567227571463902011-04-08T20:03:33.394+02:002011-04-08T20:03:33.394+02:00@Anónimo del SELinux trol, me olvidé, luego me rec...@Anónimo del SELinux trol, me olvidé, luego me recuerdas que cosa de seguridad viene en SELinux que no traiga Windows Server 2008 R2, para contarselo a Russinovich, que se ve que estos chicos de Spectra se han debido olvidar de algo según tú...<br /><br />Saludos again!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.com