Estoy configurando un ASA de Cisco, y resulta que me da un error cuando intento entrar en la URL del firewall y me da un error de seguridad de Java.
Para solucionar este error lo que hay que hacer es ir al panel de control
Me voy al icono de Java y en la solapa de seguridad le damos a editar lista y agregamos la ip de la máquina a la cual queremos acceder.
Con esto ya nos debería de dejar acceder.
"No te preguntes lo que puede hacer la seguridad por ti…. Pregúntate que puedes hacer tú por la seguridad", JFK (Juan Franco Kientehavistoykienteve, un tío mío)
Con la llegada de nuestro compañero Sebastián, me he vuelto a acercar a la parte de seguridad en este mundillo de las IT. Hacía mucho tiempo que no la tocaba, y la verdad, estaba un pelín descolgado. Ha sido Sebastián el que me invitó a ir con él a unas ponencias gratuitas llamadas X1redmassegura, a las que por cierto os recomiendo a todos que vayáis, porque me parecieron interesantísimas, y lo más importante es que son para todos los públicos (de verdad, id!). Bueno, el caso es que me llamó la atención una de las ponencias de un tal Chema Alonso, que seguro que algunos conoceréis. Para los que no le conocéis, es una de las figuras más importante en cuestión de seguridad en este país, o por lo menos una de las más representativas (personalmente, me parece un buen vendedor, pero eso es harina de otro costal).
Este señor dio una ponencia (vendiendo una herramienta suya, esto fue lo que no me gustó) super, super interesantísima, hablando, como no podía ser de otra manera, de la seguridad de Internet. Su herramienta se basa en el hecho de que ¿para qué quiero contraseñas, si pueden hacerme un MitM (man in the midle)? Para los que no queráis ir a la fuente, ¿os acordáis de la peli en la que Ethan Hunt se disfraza de no sé qué profesor para intentar robar el secreto del veneno que han robado? Pues bien, algo parecido es un MitM: yo me pongo entre la víctima y el destino de ésta, e interactúo con ambos; a la víctima le hago ver lo que ella espera (una página de un banco, una página de una tienda, etc.), y por otro el lado, si soy bueno, hago la transacción con el banco o la tienda de modo que la victima no se dé cuenta. Pero aquí está lo importante, a partir de ese momento suplanto a la victima, y el banco (o la tienda) se creerá que soy la víctima y hago lo que quiera con su cuenta. En relación con esto, podría hablaros de cosas como los hash, o los JASP que ya saben de sobra cómo "saltarse" estas cosas, pero os aburriría. Así que vamos al grano: ¿qué queremos securizar?
Ya, ahora todos pensáis como yo en su momento, pueeeeeeeeeeeees:
Bueeeno, yo creo que con esto estoy como Pepe Reina: "me siento segurooooooooooo…"
Ya, aquí lucharemos con todas nuestras fuerzas, y pondremos contraseñas del tipo Usuario.1000 o PaYoPa2005 (PabloYolandaPabloAñoNacimiento), Mayo.2014… en fin, como diría aquel: "pa queeee!!!", si llega un JASP, coge el hash que se ha generado con el cifrado de la junta de la trocola mezclado con el Condensador de Fluzo y es capaz de usarlo sin mi permiso. En fin, para esto quizás invitaremos a nuestro amigo Sebas, a ver si algún día nos da unos consejillos de cómo hacer las passwords más seguras. Yo, siguiendo el hilo argumental de Chema Alonso, no voy al cómo defiendo, sino a la equivocación de qué es lo que tengo que defender.
Podemos cambiar el DNI, nos pueden robar la pasta del banco, la cuenta de Facebook o incluso borrar tooooodas nuestras fotos que con tanto cariño hemos ido recopilando… ¡¡¡CANASTOS 😉 QUÉ PÉRDIDA!!! (hackean Ebay, hackean Orange, hackean iCloud, hackean el twitter del FCB, etc.)
Ya, peroooo…
¿Cuantos de vosotros podéis cambiar de huella si os la roban y la usan para otras cosas?
¿Cuantos de vosotros podéis cambiar de piso?
¿Y de grupo sanguíneo?
¿Y dejar de ser diabéticos / miopes / lo que sea…?
¡¡¡¡LEEEEEECHEEEEEEESSSS!!!! ¡Estamos buenos!!! Pues la verdad es que si las cosas evolucionan tal y como lo hacen, y si somos tan permisivos con el trato de nuestra identidad, ¡¡¡SÍ!!!.
Sólo os quiero trasladar los consejos que daban en las ponencias, en el 100% de las mismas, aconsejaron SENTIDO COMÚN. ¿Qué quiere decir esto? Lo explico porque es un término bastante poco usado últimamente…
Desconfía: No des datos que no son necesarios a quien no tienes que dárselos. No porque esa persona vaya a utilizarlos de mala manera, NO!!! sino porque igual no tiene los medios suficientes como para poder "defender" esa información de una manera un poco más dura, y así, de esa manera, desviar la atención de los atacantes a otros sitios más fáciles. ¿Para qué necesitas dar tu dirección postal cuando te suscribes en un foro para preguntar por el procedimiento de desmontaje de la resistencia de la lavadora?
No des tus contraseñas: Síííí lo sééé, un poquito más arriba os he dicho que las contraseñas no valen de mucho, ya, pero vosotros ¿les dejáis las llaves de casa a todo el que os las pide? No, ¿verdad? El que os quiera robar, que se lo curre.
Sé tú mismo: Si cuando vas de viaje a New York, vas al Bronx de excursión, ¿a que no te bajas con la cámara EOS 1d y hablando con tu Samsung Galaxy S5? Entonces, ¿por qué te metes en sitios que no te inspiran confianza en la red?
Ya, porque este ordenador lo tengo para estas cosas, ver pelis y la distinta purrela que es mala y que no quiero mencionar más explícitamente porque esto lo lee gente muy joven… Chicos, no os engañéis, como diríais vosotros, esto es CROSS, no porque hagáis el chico malo en el ordenador de curro os vais a salvar, porque hay un Pablo de turno que lo arregla. No. Vuestra cuenta de correo de Gmail (o del banco, o del sitio "calentito") es la misma en el ordenador del trabajo que en el de casa o en el móvil. Hay herramientas que nos ayudan a securizar y protegernos más en Internet, pero si vosotros no sois coherentes, no eludiréis gran parte de estos problemas.
Bueno no me enrollo / os sermoneo más. Espero que os haya hecho pensar en que vuestra IDENTIDAD es el bien más preciado en el mundo digital, y el hecho de ceder alguna parcela de mi identidad implica que por el mismo proceso que nos protege de que nuestro dato en la nube está duplicado, triplicado, nplicado para que no se pierda, y que el que lo administra no tiene ni idea de donde está (precisamente para protegernos), eso hace que el cachito de identidad estará ahí Dios sabe cuanto tiempo (para muestra un botón. OJO!!! Puede herir sensibilidades: video Olvido Hormigos), y que algún día, algún elemento puede llegar a ese dato e intentar aprovecharse de él. Es como los coches: en manos de algún loco puede ser una máquina infernal, sin embargo, nos han permitido evolucionar muchísimo. Pues Internet es igual: tiene muchas bondades, pero no hay que hacer el loco.
En el capítulo anterior…
Espero que os haya hecho pensar en que vuestra IDENTIDAD es el bien más preciado en el mundo digital, y el hecho de ceder alguna parcela de mi identidad implica que por el mismo proceso que nos protege de que nuestro dato en la nube está duplicado, triplicado, nplicado para que no se pierda, y que el que lo administra no tiene ni idea de donde está (precisamente para protegernos), eso hace que el cachito de identidad estará ahí Dios sabe cuanto tiempo (para muestra un botón. OJO!!! Puede herir sensibilidades: video Olvido Hormigos), y que algún día, algún elemento puede llegar a ese dato e intentar aprovecharse de él. Es como los coches: en manos de algún loco puede ser una máquina infernal, sin embargo, nos han permitido evolucionar muchísimo. Pues Internet es igual: tiene muchas bondades, pero no hay que hacer el loco.
…
Hola hola, esta semana y continuando con la serie, un par de pildoritas.
Resulta que ha corrido por internet el código fuente de un virus llamado Zeus a, que por cierto me ha hecho gracia, ya que dicen que lo han liberado (ya es open source XDDDD). Para que nos pongamos en situación. Este virus, se propaga (generalmente) por correo electrónico (Os acordáis de aquellos correos que recibíamos de Italia, que iban dirigidos a bip?, y que como 14 ò 15 usuarios empezaron a darle a "contestar a todos" con sus opiniones, que si era virus o no, y que al final teníamos 40 correos hablando de lo mismo, pues recemos para que no sea este ). Os acordáis del virus de la policía?
Para los que no lo hayáis sufrido, este lo que hacía era "secuestrarte" el equipo, arrancabas tu XP como todo los días, y cuando llegaba la pantalla del usuario, TACHAAAAAAAAN!!! y o pagabas, o no iniciabas sesión, bueno esto con un poco de paciencia se eliminaba, que si entrabas a prueba de fallos y tocabas el registro de win2 podías quitarlo, o entrando a prueba de fallos y ejecutando Malwarebytes, etc . Pues bien, Zeus, ha ido un paso mas allá, porque lo que hace es instalarte un virus llamado Cryptolocker que lo que hace es buscar todos los ficheros que te pueden interesar, tipo documentos de Office u Openoffice, fotos y los cifra (para evitar que quites el disco duro y lo pongas en otro equipo como externo), pero no los cifra de cualquier manera, no que va (se lo han currao), los tipos se han currado un sistema que cifra con RSA usando clave pública para cifrar el contenido , así que o pagas (porque Ramsonware que es la otra pata de Zeus, que es el malware que no te deja iniciar si no pagas,) o empezamos otra vez con toda mi documentación, porque para poder descifrar la documentación hay que tener la clave privada (es lo bonito de los sistemas de clave pública/privada (amperio danos una clase!!!)), y esa la tendrán ellos a buen recaudo. Para los que estáis pensando en los backups (a mi no me pasa porque los hago siempre), ya por el año 2000 cuando trabajaba con Veritas Backup exec 8.0 (que fue comprado por Symantec), este programa ya tenía su propio antivirus para evitar esto, quiero decir, que si os infectáis, seguramente también cifre los ficheros del backup, porque supongo que hará una búsqueda de ficheros por todas la unidades de nuestro equipo. Además me da que los ficheros de nube también pasan por caja (Dropbox, Icloud, etc etc) MAAAAAAAADRE MÍA!!!
Si señores, tened cuidado con lo que hacéis con el equipo / móvil…
eeeeeeeeh!!! eeeeeeeeeeh!!! que nadie ha dicho nada de móviles…
ya, empecé diciendo que tenía un par de píldoras… TRRRRRRRRRRRRR and the second oneeee is SimplyShocker!!!!
(Cómo mola esto del internet de las cosas, y que mi móvil esté en internet jejejeje). Pues sí amigos, ya ha salido (calentito calentito) la evolución para los móviles de lo anteriormente explicado, la técnica es parecida, cifra y pagas… (se parece a la vida real, salto entre especies)
Pero bueno que me vengo arriba, y me pierdo. Por otra parte, tenemos otro virus/guarrería que se llama Capberg (también han "liberado" el código fuente), que lo que hace es, a parte de poder hacer cositas en el ordenador infectado (cómo por ejemplo instalar mas virus), también se dedica a robar datos bancarios, principalmente afectaba a países del este (supongo que será por el cirílico), pero también se están detectando infecciones en otras zonas del globo.
Una vez dicho todo esto, os digo que ha habido algún "biologo" que se ha dedicado a "cruzar" los 2, y con eso ya es el acabose, dicen que ha sido capaz de atacar 450 instituciones bancarias en todo el mundo (esto desde que ha salido). yo solo os digo una cosa, que si mi ordenador se infecta con esto, cojo y lo incinero, no vaya a ser….
En fin, no me enrollo más, que luego no me leéis, solo os recuerdo lo del capítulo anterior, sentido común.
P.D. Con esto del internet de las cosas, si por ejemplo evolucionan las google glass, y que por ejemplo se oscurezcan según la configuración que le hayamos puesto (para el sol claro), si nos las "secuestran" con el típico virus (como este), si no pagamos ¿Nos las pondrán opacas?, si pagamos la mitad, ¿Nos las pondrán translúcidas? ¿Nos pondrán translúcido un cristal?…
Si tengo una nevera inteligente (conectada a internet claro) y me la secuestran, si no pago ¿No se abrirá?
Si pago la mitad ¿Me dejará a pan y agua?
Si lo se, soy un membrillo XDDD
El rincon del pimen 
