emporio armani,fake rolex for sale,rolex sea dweller,panerai,iwc,richard mille,replica watches,bell ross,a lange sohne,cheap replica watches,jaeger lecoultre,rolex explorer,corum,rolex milgauss,breguet,piaget,franck muller,chopard
Archives for category: Seguridad

Ya expliqué en éste otro post una de las mayores cagadas de seguridad en lo que refiere a comercio electrónico.

Seguí quejándome, me dijeron que tenía que escribirlo en una página de Facebook y así lo hice. Pero nadie me contestó ni volvieron a contactar conmigo, así que entiendo que le dieron importancia 0.

Todo este tiempo he estado comprando online con mi tarjeta, y el bug sigue estando ahí.
Hoy al renovar un servidor he vuelto a pagar con tarjeta y me he vuelto a topar con el marrón. Y he vuelto a hacer la pataleta en Twitter (click para ampliar):

A lo que me han respondido esto:

WHAT THE FUCK???

Será una broma no?
Al personal del Banco Sabadell se le debería caer la cara de vergüenza (algo que por lo visto no tienen). Lo que está en juego es el dinero de sus clientes. Las medidas de seguridad online en los bancos deberían ser EXTREMAS. En el Banco Sabadell no sólamente no lo son, sino que además llevan meses haciendo caso omiso de un fallo grave que yo mismo he reportado reiteradas veces.

Lo próximo al volver de vacaciones será poner una queja formal en mi oficina y cambiarme de banco. Y la próxima vez que denuncie esto será a la policía.

Mi empresa opera con el Banco de Sabadell. Tengo con ellos la cuenta de mi pequeño negocio, y tengo una tarjeta con la que suelo hacer las compras de las cosas que voy necesitando.
Las cosas que pago en mano (gasolina, comidas, etc) no tienen problema, pero yo compro muchas cosas por Internet y hay algo que no me gusta.

No sé que tan peligroso o inseguro es, pero el caso es el siguiente:

  • Al realizar una compra por internet, algunos comercios implementan el sistema de Comercio Electrónico Seguro (en adelante CES).
  • Con este sistema, me aparece una pantalla ajena al comercio que me pide una clave de mi tarjeta de coordenadas.
  • Normalmente la tarjeta de coordenadas se usa para activar operaciones en la página del banco (transferencias, domiciliaciones, etc), pero en el caso de comercios con CES también se usa para activar una compra.
  • La tarjeta tiene 80 coordenadas, con 80 claves distintas
  • Cada vez que compro (literalmente), el sistema me pide SIEMPRE la misma coordenada. La 01, para ser más exactos.

Al principio pensé que era una coincidencia, ya que estoy en el Banco Sabadell desde hace poco. Pero después de hacer muchas compras me doy cuenta de que no lo es.

He posteado algunos twitts al respecto, y me ha contactado un chico del @bancosabadell por teléfono. En su conversación me ha explicado que:

  1. La inseguridad no es culpa del banco, sino del CES.
    Como si el CES fuese una entidad aparte y no tuviese nada que ver con el banco.
    Me ha explicado que a cada tarjeta de coordenadas, el sistema de CES le asigna una posición, y que al usuario SIEMPRE se le pide esa posición. Nunca cambia.
    Para mi tranquilidad (urgh…!) me ha explicado que si quiero puedo ir periódicamente a una sucursal y pedir que me cambien la tarjeta de coordenadas.
  2. No es una inseguridad.
    A fin de cuentas, la tarjeta de coordenadas no es algo para llevar encima. Porque si alguien me roba la tarjeta de crédito, tendrá todo lo que necesite para comprar cosas en mi nombre.
    También me ha explicado que es difícil que, si alguien supiese mi coordenada 01, también sepa el número de mi tarjeta y el CVV. Son muchos datos.
    Supongo que no habrá pensado en que para irme a ver a un cliente a Madrid y poder comprar el billete de vuelta desde el hotel, necesito mi tarjeta de coordenadas y mi tarjeta de crédito. Las dos juntas.

Después de esta conversación he seguido twitteando un poco, y un chico al que sigo me ha explicado cómo funciona con su banco. Y me ha hecho recordar que en los otros dos bancos con los que he trabajado anteriormente el CES funciona distinto: en uno me envían un SMS con la clave para activar la compra, y en el otro me piden un pin que sólo sé yo y que puedo cambiar cuando me plazca.
En el caso del pin es un poco engorroso, porque hay unas normas de longitud, restricciones de caracteres etc… pero cualquiera de los dos casos me parecen mucho más seguros que el que a mí me afecta.

¿A alguien más le pasa ésto con su banco?
¿¿Acaso no deberían ser los bancos los que más se preocupasen por la seguridad??

heickah.jpegEn el curro hemos tenido problemas con una vulnerabilidad de VHCS (el sistema de paneles de control de hosting). Existe un historial de 4 bugs MUY criticos que permiten cambiar los passwords de los usuarios arbitrariamente, crear nuevos usuarios administradoress y ejecutar cualquier script PHP del sistema de paneles sin control de permisos.

De esta forma, el atacante ha creado cuentas FTP en todos nuestros dominios y ha subido contenidos de phising y defacements varios.

Aviso por si alguien usa este sistema que le eche un ojo a los siguientes enlaces: el advisory, el exploit, la herramienta que ha usado el script kiddie, threat en el foro de VHCS que habla del asunto.

Lo más triste es que haya sido culpa de un bug que ya estaba avisado, que se había enviado el parche a los autores y que el fuente oficial de la aplicación no lo incluía ni tenía solventado el bug.

Siempre me ha parecido interesante chrootear servicios. No tiene por qué ser insegura una shell de por sí si está actualizada, pero si se trata de un entorno de producción la cosa cambia. Hoy dando unas vueltas en busca de un colorizador de logs he tropezado con Jailkit (no sé por qué, la verdad), que es una herramienta para construir home‘s chrooteados y/o limitados. Después de echarle un ojo lo he probado. Es sencillo de usar, y trae herramientas para construir cierto tipo de jaulas limitadas pre-fabricadas. Es evidente que lo suyo es construir la jaula a medida, pero para quien no quiera perder demasiado tiempo ya le viene bien. La documentación también es sencilla y directa. En un momento he montado una jaulita y he creado dos usuarios, uno que tiene una shell chrooteada normal, y otro que solo puede ejecutar “ssh”.

Respecto al colorizador de logs… después de haber usado durante años colortail y colorize, ahora he encontrado multitail, que no sólamente coloriza logs sino que además junta en una misma consola el tail de varios ficheros. Una vez lanzado, tiene una help (F1 o CTRL+h) que muestra todas las opciones sobre las ventanas activas. Se puede cambiar el orden de las ventanas, mostrar estadísticas por log, editar los valores RGB de los colores usados para marcar los logs, aplicar expresiones regulares a la salida de texto mostrada en cada ventana, establecer marcas a lo largo del log para comprobar diferencias en el tiempo, ocultar ventanas, cambiar el tamaño de las ventanas, cambiar el tamaño de los búferes de las ventanas, pausar ventanas, alinear horizontal o verticalmente las ventanas… (paro porque me asfixio, es BRUTAL).

Ahora, en la misma primera terminal de mi firewall ahora puedo ver, con sólo encender el monitor, un tail del syslog y el log de netfilter en dos ventanas separadas, como un split (:sp) de vim.
También puedo entrar desde el trabajo al firewall de mi red particular utilizando una cuenta de usuario limitado, que sólamente puede ejecutar SSH para entrar a las máquinas que quiero usar.