Blog

VULNERABILIDADES DE APLICACIONES WEB: PRESENCIA DE DIRECCIONES DE CORREO ELECTRÓNICO EN EL SITIO WEB

11.01.2018 17:33
La presencia de direcciones de correo electrónico en una página web puede considerarse una vulnerabilidad y habitualmente el riesgo que constituye se clasifica como leve. 
 
Las direcciones de correo electrónico pueden ser usadas para el envío de spam; para hacer inteligencia previa en preparación de un ataque, en especial para todo tipo de ataques de phishing y para intentar ataques por diccionario y/o fuerza bruta contra la propia casilla de correo.
 
Como el lector habrá podido observar, en nuestra página hay una dirección de correo electrónico que es el medio por el cual nuestro lectores pueden contactarnos, por lo que álguien podría decir que deberíamos predicar con el ejemplo. El hecho es que si en lugar de una dirección de correo electrónico habilitáramos una sección de comentarios, los mismos serían publicados automáticamente, con lo que no podríamos evitar el spam. Lo ideal sería tener una sección de comentarios donde cada uno pudiera ser aprobado antes de ser publicado en la página, lo cual de momento está fuera de nuestro alcance. Por mucho que se diga lo contrario, frecuentemente los comentarios terminan siendo filtrados manualmente.
 
Por lo expuesto en el párrafo de arriba terminamos optando por la dirección de correo electrónico, el cual es revisado y abierto personalmente por el autor del presente artículo. Debemos admitir que el spam ("correo basura") es mucho como también son unos cuantos los mensajes de phishing. Bloqueamos sistemáticamente ese tipo de mensajes y el número de direcciones bloqueadas es importante. Cada administrador deberá implementar la forma más conveniente y segura de manejar los mensajes de los lectores de acuerdo a su entorno de trabajo. El spam en los comentarios es muy molesto y desluce la página. En GEOESTRATEGIA hemos optado por una única dirección de correo electrónico. Eso sí, nuestra contraseña es larga y compleja.
 
Para quien guste comunicarse con nosotros nuestra dirección de contacto es: luis_lavric@hotmail.com
 
 
 

LOS BRITÁNICOS PODRÍAN USAR EL PORTAAVIONES HMS PRINCE OF WALES COMO FUENTE DE REPUESTOS

11.01.2018 17:12
Quien sostenga que el problema de la canibalización dentro de la Royal Navy es una cuestión sin importancia se equivoca. La misma alcanza a naves de superficie, submarinos y aeronaves.
 
Damos un ejemplo que grafica a las claras la gravedad de los hechos: la construcción del tercer submarino Clase Astute, el HMS Artful, se vio retrasada por 42 días porque otros submarinos fueron dotados de partes clave del mismo. No estamos hablando del último submarino de la clase, estamos refiriéndonos al tercero. La clase Astue ya acumula tantas demoras que el hecho de que en su momento se haya perdido un mes y medio por una cuestión de canibalización convierte al episodio en uno de gravedad, en especial teniendo en cuenta el estado del Servicio Silencioso británico.
 
El golpe de gracia lo dio lo declarado ayer por el Secretario Permanente del Ministerio de Defensa británico, Stephen Lovegrove, quien dijo que no descartaría la idea de que el equipamiento del portaaviones HMS Prince of Wales sea reubicado en el portaaviones HMS Queen Elizabeth. Lovengrove hizo la afirmación en respuesta al parlamentario por Portsmouth South, Stephen Morgan, quien exigió respuestas sobre la eventual canibalización naval del segundo portaaviones de la clase. 
 
Morgan exresó hoy en su cuenta de Facebook que ha "presionado a los funcionarios del gobierno sobre los nuevos portaaviones y otros buques complejos" inquiriendo sobre "qué será necesario para mantenerlos en servicio y asegurar el mantenimiento y apoyo que necesitarán". El parlamentario quiere asegurarse "que la Royal Navy y otras fuerzas tengan el apoyo para planificar adecuadamente" cualquier efecto de eventuales canibalizaciones en el largo plazo. Con eso está admitiendo de que el hecho es prácticamente inevitable y que sólo busca minimizar los daños. 
 
Lo curioso es que el mayor porcentaje de canibalización no se da en los buques más antiguos de la Marina Real sino en los destructores Type 45 y en los submarinos Clase Astute. La línea logística de la Royal Navy deja mucho que desear y eso afectaría seriamente su capacidad de respuesta en caso de un conflicto de importante.
 
Artículo relacionado:
 

VULNERABILIDADES DE APLICACIONES WEB: ALMACENAMIENTO CRIPTOGRÁFICO INSEGURO

11.01.2018 07:04
Cuando hablamos de almacenamiento criptográfico inseguro más que de una vulnerabilidad hablamos de una categoría de vulnerabilidades que engrupa toda una serie de ellas. La falta de encriptamiento de información sensible, el uso de un método criptográfico débil o inadecuado, el uso de un algoritmo criptográfico riesgoso y la falta de uso de sal o semilla (salt) para la generación de hashes son algunas de las vulnerabilidades puntuales englobadas en esta categoría.
 
Todos los años millones y millones de combinaciones de usuario/contraseña, grandes cantidades de información financiera, médica y de otro tipo son robados de diferentes bases de datos y sorprendentemente muchas veces todo eso está guardado en texto plano o débilmente encriptado. Los datos de tarjetas de crédito se venden en los circuitos criminales a valores irrisoriamente bajos. No obstante los hechos descriptos, al año siguiente la historia se repite.
 
Si almacenamos información sensible en nuestro servidor web debemos hacernos algunas preguntas:
 
- ¿Es necesario almacenar esa información?
- ¿Es necesario almacenarla en el servidor?
- ¿Es necesario almacenarla en el servidor en un directorio accesible a todos los que usan la aplicación? (con eso también nos referimos a información guardada bajo la protección de contraseñas. La más de las veces será sólo cuestión de tiempo para el hacker burlar esa protección).
- ¿Está encriptada?
- ¿Está encriptada con un algoritmo criptográfico seguro?
- Si hemos convertido datos en hashes, ¿hemos agregado la sal antes de encriptar? 
- ¿La sal agregada es la misma para cada dato encriptado?
- Aún cuando la sal agregada no fuera la misma, ¿se puede deducir o averiguar con qué patrón varía? Lo ideal es que sea generada "al azar", con una entropía tal que no permita deducirla con facilidad. 
 
Hemos hecho sólo algunas de las preguntas más elementales que hay que hacerse, de acuerdo al tipo de información almacenada y al lugar y forma de almacenamiento cada uno deberá hacerse otras más. La seguridad física del lugar de almacenamiento no puede ser una cuestión anecdótica. Protegemos nuestras casa con cerraduras, rejas metálicas, alarmas, perros, cámaras de seguridad, etc. ¿Por qué no protegemos mejor los datos? Hace tiempo que proteger la información, propia o ajena, dejó de ser un lujo, se ha convertido en una necesidad imperiosa. 
 

LA EMPRESA: PARA SER UN BUEN LÍDER HAY QUE SABER ESCUCHAR

10.01.2018 19:50
Además de fomentar la buena comunicación en una organización es muy importante saber escuchar a los propios colaboradores y prestarles atención. De esta manera se entenderán mejor el entorno y los acontecimientos que tienen lugar en la empresa y por ende se podrá ofrecer soluciones a problemas, se podrá negociar, mediar y propiciar un mejor ambiente de trabajo.
 
Un buen jefe debe estar atento a lo que sucede dentro de su área y prestar atención. Después de tomar conocimiento de las distintas dificultades debe analizar y ver la solución que se le puede dar a cada tema, esto le permitirá entender mejor su entorno y conocer a su personal. Así propiciará que su área se desarrolle mejor y que mejore el funcionamiento de la empresa.
 
También es muy importante saber escuchar a los clientes cuando manifiestan quejas y comentarios sobre productos y servicios que la firma ofrece. En Perú, donde funciona nuestra empresa, por normas de Indecopi (Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual) se debe responder y dar solución en plazos determinados. Si vemos estas quejas desde el ángulo del cliente podemos ver en qué podemos y debemos mejorar, entonces, si somos positivos y respondemos activamente, creamos soluciones en beneficio de la empresa.
 
Artículos relacionados:
 

UN GENERAL DE LA FUERZA AÉREA ES EL NUEVO MINISTRO DE DEFENSA DE PERÚ

10.01.2018 10:28
El Teniente General en retiro de la Fuerza Aérea del Perú Jorge Kisic Wagner juró ayer como nuevo ministro de Defensa del país andino. Lo hizo en reemplazo del sociólogo y político Jorge Nieto Montesinos quien renunció a su cargo después que el presidente Pedro Pablo Kuczynski indultara al ex presidente Alberto Fujimori.
 
Kisic es un hombre profesionalmente muy bien preparado y con una vasta experiencia que sirve de aval al cargo que acaba de asumir. Fue Comandante de Operaciones de la FAP en el año 2001; jefe del Estado Mayor General de la Fuerza Aérea entre el 2001 y el 2002; asesor de la Dirección General de Aeronáutica Civil en el año 2010 e Inspector General del Ministerio de Defensa de Perú en el 2011. Es graduado del Programa de Alta Dirección de la Universidad de Piura, institución académica que participa de diferentes proyectos de modernización de equipos militares.
 
El flamante ministro también ocupó un par de agregadurías militares, fue Comandante del Grupo de Fuerzas Especiales de la FAP, Director de la Escuela Superior de Guerra Aérea y Presidente de la Federación Peruana Aerodeportiva. 
 
Según consta en el sitio oficial del Ministerio de Defensa peruano, "el nuevo titular del sector Defensa fue nombrado en el cargo mediante Resolución Suprema N° 012-2018-PCM, que lleva las rúbricas del jefe de Estado y de la presidenta del Consejo de Ministros, Mercedes Aráoz Fernández."
 

VULNERABILIDADES DE APLICACIONES WEB: REFERENCIA INSEGURA Y DIRECTA DE UN OBJETO

10.01.2018 07:57
Conocida en inglés como Insecure Direct Object Reference, esta vulnerabilidad fue muy común en algún momento y aún siendo menos usual hoy en día, todavía es posible encontrarla. Su taxonomía exacta es difícil de establecer porque tiene variaciones de acuerdo a quien la describe pero la defeniremos como aquella en la cual los mecanismos de autorización del sistema permiten que un usuario obtenga acceso a datos o registros de otro usuario al modificar el valor clave que identifica los suyos. Facilitaremos la comprensión con un ejemplo muy elemental:
 
https://entidad-financiera/estado-cuenta?cliente=79915
 
Como los mecanismos de autorización son permisivos, el cliente 79915 (número que se va asignando por orden de alta en la institución) podrá ver el estado de cuenta de cualquier otro cliente simplemente cambiando el número de cliente. Para el registrado inmediatamente antes que él, la consulta será:
 
https://entidad-financiera/estado-cuenta?cliente=79914
 
En otro caso la cosulta podrá ser 
 
https://mutual/cuentas/ver/147725
 
y un atacante intentaría algo como:
 
https://mutual/cuentas/actualizar/147725
 
El segundo ejemplo podría ser más peligroso que el primero, podría permitir algo más que simplemente ver los datos. 
 
Para prevenir este tipo de ataques implemente de un control de acceso. El usuario tiene que estar autorizado para ver su información y sólo la suya. Como medida adicional asegúrese de que la clave que se utiliza en la búsqueda de un registro no sea controlable externamente por el usuario. Además esa clave debería ser aleatoria, no un nombre o un número entero. Si se opta por una clave no aleatoria la misma al menos debería ser encriptada para dificultar la obtención de otros valores válidos, aunque esto último es menos seguro que la clave aletoria. Incluso las claves "aleatorias" suelen tener una entropía tan baja que en determinados casos pueden ser descubiertas con relativa facilidad.
 

LA EMPRESA: HABLANDO SE ENTIENDE LA GENTE

08.01.2018 19:22
En el artículo anterior señalaba la importancia de la comunicación escrita en una organización que conlleva que un equipo de trabajo esté bien informado, facilitándole el trabajo de grupo y fomentando las buenas relaciones laborales.
 
También debemos señalar que hay situaciones en las que es necesario utilizar la comunicación verbal, hay situaciones delicadas que deben ser tratadas oportuna y directamente con el personal o en reuniones que permitan aclarar las dudas y rumores generados por mala información.
 
Frente a eventuales malentendidos entre dos empleados que ocupen el mismo nivel dentro de una empresa y que requieran de aclaraciones, es conveniente reunir a ambas personas. Eso les permitirá aclarar de una manera más personal las situaciones generadas por la falla en la comunicación o la desinformación. Para eso deberá buscarse el momento más oportuno y si no es posible la conversación frente a frente se pueden utilizar medios como el teléfono celular, Skype o similares.
 
En todos los casos para este tipo de charlas y aclaraciones se debe crear un ambiente propicio, saber entender y escuchar a fin de superar las diferencias, crear acciones para limar las posibles asperezas, mejorar la comunicación y por ende mejorar el desarrollo laboral. Hablando se entiende la gente.
 
Artículos relacionados:

VULNERABILIDADES DE APLICACIONES WEB: VALIDACIÓN SÓLO DEL LADO DEL CLIENTE

08.01.2018 08:35
Cualquier validación de entrada de datos que se efectúe sólo de lado del cliente puede ser burlada por un atacante. 
 
Veamos el siguiente ejemplo de archivo .html con la validación de tipo de dato ingresado por el usuario proporcionada por HTML5. El navegador rechazará cualquier dato ingresado que no tenga el formato de una dirección de correo electrónico. Hay formas mucho más complejas de validar en el navegador: 
 
<html>
<form action="direccion.php" method="post">
  Ingrese su dirección de correo electrónico:<br>
  <input type="email" name="correo"><br>
  <input type="submit" value="Enviar">
</form>
</html>
 
siendo "direccion.php": 
 
<?php 
$correo = $_POST['correo'];
echo $correo;
?> 
 
Cualquier hacker podrá cliquear en la opción "Inspeccionar elemento" del navegador, cambiar el tipo de input de "email" a "text" e ingresar en el formulario "<h1>inyección HTML</h1>", logrando perpetrar el ataque. 
 
Todo lo que sea validado del lado del cliente puede ser burlado con mayor o menor facilidad con esta y/o otras técnicas. ¡Tener en cuenta que esto también vale para contraseñas y captchas validados sólo del lado del cliente!
 
La validación del lado del cliente es útil para lograr una mejor experiencia del usuario ya que los errores en el tipo de datos ingresados se resuelven rápidamente en el navegador. El peligro es que el programador termine conformándose con esa validación tan fácil de burlar. Por otra parte en un prueba dinámica manual, por ejemplo, los fallos de seguridad pueden pasar desapercibidos precisamente por esa validación hecha en el navegador.
 
Desde el punto de vista de la Seguridad Informática la omisión de la validación del lado del servidor puede tener consecuencias muy graves. 
 
Para el ejemplo de arriba, "direccion.php" debería ser:
 
<?php 
$correo = $_POST['correo'];
echo strip_tags($correo);
?> 
 
Lo invitamos a hacernos llegar sus comentarios, dudas y/o inquietudes a nuestra dirección de contacto: luis_lavric@hotmail.com. ¡Muchas gracias! 

 

LA EMPRESA: LA IMPORTANCIA DE LOS DOCUMENTOS FORMALES

06.01.2018 17:00
En nuestro artículo anterior sobre las comunicaciones en el ámbito laboral comentamos las ventajas y desventajas del uso de smartphones  provistos por las empresas a sus empleados. Entre las desventajas debemos agregar una: la falta de una constancia formal (escrita) del contenido de los mensajes intercambiados entre los miembros de una firma.
 
En todo tipo de empresas, sin lugar a dudas, la comunicación escrita es de suma importancia; ante clientes externos el mantener un buen nivel de comunicación ayuda al desarrollo de las operaciones empresarias; del mismo modo un correcto flujo de información entre empleados contribuye al mejor desempeño de sus funciones y mejora el clima laboral.
 
Existen diferentes tipos de documentos escritos y formales que se generan cuando se necesita dejar constancia de algo: contratos, actas, memorándums, informes, cotizaciones, presupuestos, etc. A nivel moderno y quizá de una manera más informal están el correo electrónico, el whatsapp, los blogs, las páginas sociales, etc. De acuerdo a las circunstancias se elige el medio más conveniente para comunicar.
 
Si las organizaciones tienen establecidos los canales para informar determinados hechos, el mensaje va a llegar de una manera correcta y los empleados se verán beneficiados con información oportuna y de la fuente adecuada. Igualmente sería mejor establecer en qué casos se utilizará un memorándum y en cuáles el correo electrónico.
 
Con una buena comunicación escrita y enviada oportunamente a los trabajadores se logra un mejor ambiente de trabajo; se difunde mejor las funciones de cada trabajador;  se involucra de manera masiva al personal que sentirá que forman parte de la organización; se puede dar a conocer nuevas disposiciones y sobretodo se evitan las confusiones. "Verba volant, scrīpta manent" (Las palabras vuelan, lo escrito queda).
 
Artículo relacionado:
 

EL PROGRAMA DE LOS SSBN BRITÁNICOS CLASE DREADNOUGHT

06.01.2018 10:47
Está previsto que la clase Dreadnought esté compuesta por cuatro submarinos de misiles balísticos portadores de ojivas nucleares (SSBN). Con la misma se pretende reemplazar a los SSBN clase Vanguard que entraron en servicio en La Royal Navy en la década de 1990 con una vida útil prevista de 25 años, lo que significa que ya fue superada. 
 
La decisión final de comprometerse con el programa Successor (cuyo nombre fue cambiado a Dreadnought) se aprobó el 18 de julio de 2016 y la construcción comenzó a fines de 2016 en el astillero Barrow-in-Furness operado por BAE Systems Maritime - Submarines. Se espera que el primer submarino entre en servicio en 2028. 
 
Desde el punto de vista estratégico militar el programa de la Clase Dreadnought es un desatino total. Un país - del que se presume que no podría repeler una invasión rusa desde el mar ni con sus medios navales ni con su ejército - planea construir cuatro de estas naves a un costo estrafalario. La Roya Navy debe hacer reparaciones y/o modificaciones mayores a la totalidad de sus seis destructores Type 45, debe reemplazar sus fragatas Type 23, debe adquirir aviones F-35B para sus portaaviones, etc., etc..
 
Desde el punto de vista moral la proliferación de armas nucleares y el obsceno costo de las mismas son aún más condenables. De hecho el programa genera un fuerte rechazo interno en el Reino Unido. Además los submarinos británicos tienen un historial de accidentes francamente alarmante. Sin ir más lejos, en junio del 2016 un misil Trident aparentemente defectuoso disparado por un submarino de la Clase Vanguard contra un blanco naval ficticio en la costa oeste de África voló con rumbo a los Estados Unidos de Norteamérica. El acontecimiento fue mantenido en secreto por el gobierno del Reino Unido para no dañar la credibilidad del programa de reemplazo de los submarinos Clase Vanguard.
 
Finalmente desde el punto de vista de los costos el programa podría llevar las finanzas del sector de Defensa británico a la bancarrota total. Para el colmo el poder de negociación del gobierno de Londres es bastante reducido: la legislación británica permite que una única empresa pueda proporcionar la capacidad especializada utilizada por las Fuerzas Armadas del Reino Unido. Es implica que el 48% de los contratos del sector de defensa británico están en manos de una sola empresa. Esa empresa es la tercer empresa de Defensa más grande del mundo. Es la misma que construyó los seis muy problemáticos destructores Type 45 (tipo 45).
 
Artículo relacionado:
 
<< 117 | 118 | 119 | 120 | 121 >>

Etiquetas

  1. portaaviones
  2. Wehrmacht
  3. Luftwaffe
  4. Tempest
  5. blindados
  6. bombarderos
  7. artillería
  8. Brasil
  9. submarinos
  10. RAF
  11. patrulleros
  12. British Army
  13. ejercicios
  14. misiles y cohetes
  15. IMARA
  16. EA
  17. portahelicópteros
  18. clase Queen Elizabeth
  19. F-35
  20. avisos
  21. fragatas
  22. tipo 45
  23. destructores
  24. helicópteros
  25. FAA
  26. Orion P3
  27. COAN
  28. ARA
  29. Royal Navy
  30. Malvinas