El Viernes por la tarde recibí un mensaje de BHL que me decía que llamará a un numero de teléfono para que me entregaran un paquete que tenían para mi, lo que pasa que cuando lo recibí estaba en la cama con un resfriado bestial y no le hice mucho caso, pensé, ya llamare el Lunes.

Bueno pues resulta que esta mañana mientras venia para el trabajo iba escuchando como cada día, el programa Atrevete de la Cadena Dial, y han comentado que ni se nos ocurra llamar a ese numero si recibimos un mensaje como ese, que es un timo, y por supuesto ahora que lo se, pues no pienso llamar.

Si recibís un sms como el de la imagen, borrarlo y no caigáis en la tentación de llamar que es un timo.

Empezamos con las cosas que podemos hacer a mano, sin necesidad de plugins, las voy a listar muy rápidamente, si queréis más info sobre alguna decirlo en los comentarios.

• Elimina los ficheros de instalación, actualización e importación de WP después de la instalación o actualización.
• Limita el uso de plugins, ya que cuantos más tengas más posibilidades de que alguno contenga bugs de seguridad.
• Desactiva el usuario Administrador y utiliza una cuenta de autor.
• Usa el archivo .htaccess en los diferentes directorios de tu instalación.
• Protege el archivo wp-config.php, dale sólo permisos de lectura (644).
• Cambia el prefijo de las tablas de tu Blog.
• Manten actualizada tu versión de WordPress.

Con estas pequeñas cosas, ya hemos reforzado un poco más la seguridad de nuestra instalación de WordPress. Ahora, si somos muy excentricos con la seguridad, os listo unos cuantos plugins de WordPress que os ayudarán bastante, los más conocidos son:

• Semisecure Login: Incrementa la seguridad al logearte usando cifrado en MD5.
• AskApache Password Protect: Protege tus directorios con archivos .htaccess.
• Force SSL: Fuerza la conexión por el puerto https, necesitaremos disponer de un certificado SSL.
• Secure Files. Permite crear un directorio fuera de la web para subir y descargar ficheros.
• Login LockDown. Permite reducir el numero de intentos de login fallidos y bloquea las IP’s que fallen la contraseña.
• WP Security Scan: Explora la instalación de WordPress buscando vulnerabilidades de seguridad, y sugiere medidas correctivas.
• Anonymous WordPress Plugin Updates: Reemplaza la versión y la URL de tu blog, cuando envía tus datos a un servidor en WordPress.org para actualizar o descargar plugins.
• Replace WP-Version: Remplaza o elimina la versión de tu WordPress para que no puedan aprovecharse de los bugs de esa versión.
• WPIDS: Detecta posibles intrusiones.
• WordPress Online Security Scanner: revisa el peligro que corres con tu blog.
• WordPress Exploit Scanner etecta si tu blog ha sido infectado de enlaces spam, exploits,, …etc.

Al final he puesto más plugins de los que quería, pero bueno, todos me han parecido interesantes de comentar.

En este caso el atacante crea una carpeta en el subdirectorio wp-content de nuestro WordPress, normalmente con un número, que en la mayoría de casos es el 1, así que todas las carpetas con números que encontremos dentro de nuestro wp-content, ya las podemos borrar.

Hay miles de atacados con este sistema, así que andaros con cuidado.

En ChicaSEO y en los comentarios del post que da la noticia comentan que poniendo la siguiente línea en nuestro robots.txt se soluciona el problema.

Disallow: /wp-content/

Yo no creo que esta solución sea del todo buena, ya que lo unico que conseguimos es que Google no indexe las posibles páginas que hayan insertado nuestros atacantes, pero puede afecetar a que Google tampoco nos indexe las imágenes, ya que están dentro de wp-content. Una posible solución, es añadir también esta línea en nuestro robots.txt, y así se solucionan los 2 problemas.

Allow: /wp-content/uploads/

Vía | ChicaSEO | Smackdown

Según se puede leer en el dashboard de nuestro WordPress esta actualización es muy importante, así que como es Domingo, no tenéis escusa para no dedicarle 5 minutos a vuestro blog y actualizar WordPress a la versión 2.3.2.

Descargar | WordPress 2.3.2
Vía | DadoBlog

Pues Armonth ha descubierto la forma para descargar porno de foma segura.

Os iba a poner aquí el truco, pero mejor que lo veáis en su blog como descargar porno de forma segura, ya que esta genial idea ha sido suya.

A parte de descargar porno de forma segura, con este truquillo protegeréis vuestro PC de posibles infecciones

Aunque parezca mentira me pongo colorada cuando me miras mi navegador Web preferido tiene una vulnerabilidad, menos mal que sólo afecta a los equipos con Windows, por lo que puedo estar tranquilo por mi MacBook y mis BSD’s

La vulnerabilidad es un 0-day(zero-day) y ha sido descubierta por varios expertos en seguridad.

Dicha vulnerabilidad permite a los hackers controlar nuestro PC remotamente.

Los que queráis mantener vuestro Firefox a salvo os tendréis que instalar el plugin NoScript, el cual nos protege de los ataques cross-site scripting.

Yo me acabo de instalar este plugin y voy a seguir usando Firefox como siempre. Y ya sabe señor.

Vía |The Inquirier

El otro día escuchaba en la tele el testimonio de varias madres que decían que sus hijos les pegaban e insultaban, es una vergüenza, y lo peor de todo no es eso, sino cuando la madre dijo que su hijo tenia 15 años. 15 años por dios, si yo con 15 años no me sabía ni una sola palabrota xD y mucho menos levantar la mano a mis padres o insultarlos, es indignante.

Via | Dedicatorias al niñato

Que, os ha gustado el vídeo ? pues ahora siempre que os giréis, intentar mantener los brazos abajo, por si las moscas os cruzáis con nuestro amigo.

Según se dice en el vídeo la pelea fue en Junio de 2006, y fue grabada por las cámaras de seguridad del metro.

Hay varios vídeos en YouTube sobre esto, pero he preferido poner este por las explicaciones que dan los informativos T5.

Lo peor de todo, es que después nos llaman racistas, xenófobos,… y encima nos acusan injustamente, parece que ultimamente no tenemos derechos ni a andar libremente por nuestra ciudad, las bandas latinas (y las que no son latinas) se están apoderando de nuestras ciudades, y las autoridades no hacen nada para remediarlo.

Me parece muy bien que vengan de sus países a trabajar aquí, pero la violencia, la prostitución, los robos, etc… no hace falta que se lo traigan. Los españoles tampoco somos unos santos, pero es nuestro país, que se vayan a su país a perpetrar estos actos, y nos dejen tranquilos.

Ahora que lo pienso estaría bien que las condenas fueran más duras para los inmigrantes, así antes de hacer alguna cosa mala fuera de su país se lo penarían.

¿Que opináis vosotros sobre el tema?, ¿verdad que tengo razón?

En primera instancia se ve a un individuo que, aparentemente, está realizando una transacción en el cajero automatico.
Lo que está haciendo en realidad es colocar una trampa dentro del cajero para “capturar” la tarjeta del siguiente usuario.
Alterar un cajero es una actividad arriesgada. Estos individuos van en pareja para advertir de algún posible testigo ocular y/o algunas posibles víctimas potenciales.

Aquí vemos al siguiente cliente que usará el cajero después de que la trampa ha sido colocada. Inserta su tarjeta y empieza una transacción..
La tarjeta ha sido capturada, y el cliente está confundido preguntándose el porqué de la retención. Como quiera que sea, ahí vemos a la futura ayuda ( ¿ayuda?) acercándose.
Aquí vemos al defraudador pretendiendo ayudar. Lo que él está tratando de hacer en realidad es obtener el código secreto, ahora que ya ha capturado la tarjeta.

Después de varios intentos, el cliente se convence de que el cajero se ha comido la tarjeta. Ambos, el cliente y el defraudador, dejan la cabina del cajero.
Satisfecho de que la zona está despejada, el estafador regresa, para sacar la tarjeta que fué capturada con su trampa. No solo tiene la tarjeta, sino también el número secreto del cliente.
En poseción de la tarjeta y del número secreto, deja el cajero y se lleva consigo todo el dinero de la cuenta que puede sacar.
La trampa está hecha de papel de radiografias de rayos X, las cuales son preferidas por los defraudadores porque el color oscuro es similar al del marco de plástico de la ranura del cajero.

La trampa es entonces insertada en la ranura del cajero, cuidando de no insertar toda la trampa. Las puntas son llenadas con pegamento para que se sujeten en la parte superior e inferior de la hendidura
Una vez que las puntas han sido pegadas con pegamento, es casi imposible de detectar por los clientes.
Son realizados cortes en ambos lados de la trampa para prevenir que la tarjeta sea retirada antes de completar la transacción.

Una vez que el cliente se ha ido, y se ha obtenido el PIN, el defraudador podrá despegar las puntas y, sosteniéndolas, simplemente tira de la trampa y obtiene la tarjeta capturada.

1.-Una vez que el cliente tiene retenida su tarjeta, deberá verificar si la hendidura no cuenta con las dos puntas de la trampa pegadas. Si es así, tire de la trampa y recupere su tarjeta.

2.- Avise inmediatamente al Banco.

Según cuenta en su artículo, fue contratado para realizar una auditoría
de seguridad en una compañía. Se le pidió expresamente que hiciese
hincapié en el escabroso asunto de la ingeniería social, más incluso que
en el aspecto técnico. Esto resulta una buena idea, pues a menudo son
los usuarios la mayor amenaza para la seguridad de una empresa.

Si anteriormente lo que solía hacer era un acercamiento físico a las
personas, de manera que se las engatusaba de alguna forma para que
revelaran información importante, en esta ocasión debía ser diferente.
Los trabajadores estaban alerta, pues ya conocían que se iba a llevar a
cabo una auditoría donde ser realizarían técnicas de ingeniería social.
Fue entonces cuando Stasiukonis cambió de técnica.

Recolectó memorias USB obsoletas e introdujo en ellas un troyano que
enviaría las contraseñas y demás información sensible al atacante. En
vez de intentar de nuevo convencerlos de que usaran aquellas memorias
antiguas y de poca capacidad, pensó en abandonarlas casualmente en el
aparcamiento, zonas para fumadores y demás áreas frecuentadas por los
trabajadores. La curiosidad hizo el resto y poco después el atacante
estaba recibiendo decenas de contraseñas. En concreto 15 de las 20
memorias fueron introducidas en un ordenador del trabajo y quedaron
infectados.

Este suceso no se diferencia de otras noticias conocidas del pasado.
En la “InfoSecurity Europe 2003 conference” se dieron a conocer unas
escalofriantes cifras. El 95% de los hombres y el 85% de las mujeres
revelaron sus contraseñas a cambio de un bolígrafo barato. También, como
ya se habló en un boletín de una-al-día anterior, el experimento de
autopromoción llevado a cabo por “The Training Camp” no ofrecía dudas.
Bajo la excusa de que el disco contenía información sobre una promoción
especial, se iba regalando un CD a los ejecutivos que acudían a su
trabajo en Londres. Los compactos no contenían en realidad tal oferta,
sino un simple código que permitía informar a la compañía de quién había
ejecutado el programa en su interior. Entre ellos, según la noticia, se
encontraba personal de grandes bancos y aseguradoras multinacionales.

La solución definitiva, aunque imprescindible, no pasa por utilizar más
seguros o mejores sistemas operativos. En este caso concreto, fue el
propio usuario el que ejecutó de forma consciente las supuestas imágenes
almacenadas en el interior de la memoria. Un sistema operativo con
restricciones de privilegios o bien protegido sólo habría mitigado el
problema, no lo habría hecho desaparecer. ¿Cómo luchar contra la
naturaleza humana?

Las conclusiones son las de siempre, aunque con matices. Este nuevo
acercamiento a la ingeniería social supone una novedad en la medida en
la que desvincula completamente a un atacante. No es necesario entrar
físicamente en las oficinas, hablar con ningún empleado o regalar
objetos que puedan ser rastreados más tarde, ni siquiera enviar un email
que podría ser filtrado como correo basura. Basta abandonar un objeto
anónimo que llame la atención para que sean los propios usuarios los
que acudan al anzuelo.

También se puede reflexionar sobre la calidad de la formación que se
le presta a los usuarios. Si resulta imprescindible una formación y
concienciación para usuarios que trabajan a diario con sistemas de
información sensible, cabe preguntarse si se está prestando la formación
adecuada. Teniendo en cuenta que estos experimentos siguen evidenciando
año tras año importantes deficiencias en la educación sobre seguridad en
entornos laborales.

Por ejemplo, los administradores llevan años advirtiendo sobre la
peligrosidad de los adjuntos en los correos, pero quizás nadie ha
explicado de forma profesional por qué debe evitarse esta práctica, que
no es más que una forma concreta de controlar, en general, la ejecución
indiscriminada de archivos. Limitar la “formación” a recomendaciones
informales o “sermones” esporádicos no es suficiente por sí mismo. Más
que inculcar una serie de reglas, hacer comprender el peligro a través
de un programa de formación adecuado y respetar una estricta política
de seguridad resultan en una prevención mucho más efectiva.

Así se podrá evitar que desde el punto de vista de los atacantes, si
muchos usuarios han aprendido a no ejecutar cualquier programa que les
llegue por correo, no haya más que cambiar el método y distribuir los
archivos infectados a través de cualquier otro medio para que vuelvan
a tropezar en la misma piedra. Memorias USB abandonadas para infectar
sistemas no deja de ser una manera más (ni la primera ni la última) de
aprovechar el desconocimiento inherente del usuario no especializado y
la morbosa curiosidad del usuario en general.

Via | Hispasec

Troyanos, Seguridad, USB