Archivos de la categoría Seguridad

Evitando que te roben los cybers con cybers: La Nueve de Anonymous y El Corte Inglés

En este artículo voy a explicar cuales son las diferentes herramientas que podrían haber hecho más difícil o incluso evitado el ataque que las personas tras La Nueve de Anonymous hicieron contra El Corte Inglés y que tenéis explicado en su tumblr. Los de La Nueve de Anonymous me han comentado sin embargo que lo que allí explican es el ataque que usaron para el deface (con el que publicaron la noticia) en la página web de El Corte Inglés y no para sacar los datos de las cuentas (que obtuvieron de un sistema de Informática de El Corte Inglés S.A.).

Antes de seguir leyendo tened en cuenta que este artículo no está pensado para gente con altos conocimientos técnicos sino para dar a conocer la existencia de estas herramientas entre la gente para que puedan reclamar el que no se hayan usado cuando se produce una filtración de datos personales.

Sigue leyendo Evitando que te roben los cybers con cybers: La Nueve de Anonymous y El Corte Inglés

Hacking our way into a newly configured Mikrotik router

Today I found my self needing to find my way in into an unconfigured Mikrotik router.

In this article I’ll explain how I used the Microtik Neighbour Discovery Protocol and Wireshark to get access to the router in a Linux environment without any of the Microtik tools.

Sigue leyendo Hacking our way into a newly configured Mikrotik router

March 2015’s OpenSSL releases and security advisory

Today the OpenSSL project has released new versions for the 0.9.8, 1.0.0, 1.0.1 and 1.0.2 branches of the library. My current employer Coresec Systems AB has allowed me to spend some time preparing for the release and documenting a bit the issues and possible work arounds.

In this blogpost I will release some of the insights on what I have found about these issues, the risks they carry and, when possible, how they may be worked around if patching is impossible for you. This information is still provisional pending a full code analysis of the issues. Anyways, patched versions are better than any workaround to mitigate the problem so upgrading is not only recommended but a better solution.

Sigue leyendo March 2015’s OpenSSL releases and security advisory

Actualizando los certificados del servidor.

Hace unos días estuve actualizando los certificados de servidor y he pasado a usar cacert. La verdad, me encanta la sencillez con la que lo implementan todo aunque quizás sería buena idea encriptar el certificado antes de mandarlo vía web para evitar el sniffing. De todas formas ahora pasamos a usar cacert para las conexiones ssl y si todo va bien es posible que podáis consultar este blog usando ssl dentro de poco.

Boletín de Seguridad Cuat. 1A

Bueno, aquí estamos con el momento que todos ansiabais, el boletín de Seguridad del cuatrimestre A del primer curso (para mí). Aunque he encontrado tres vulnerabilidades en los sistemas informáticos del poli, vamos a omitir una de ellas que, aunque podría aplicarse sobre los equipos de casi cualquier persona, no ha podido ser arreglado aun por la persona gracias a la que lo descubrí (así que lo dejaremos para la próxima edición de este boletín).

De estas vulnerabilidades una tiene un grado deseveridad crítico y afecta a los foros del sistema de comunicaciones del poliformat mientras que la segunda afecta particularmente (lo que no significa únicamente) al sistema de correo del DSIC y tiene un grado de severidad moderado.

Empecemos.

Sigue leyendo Boletín de Seguridad Cuat. 1A