El rincón de Zerial

Informática, GNU/Linux, Seguridad, Hacking, Programación, Ocio

Mostrar menú Ocultar menú

CategoríaInteres general

Seguridad del sistema de Servicio de Impuestos Internos (SII): Algo anda mal …

marzo 11, 2013 /

En el post anterior ya vimos cómo el mismo sistema de servicios de impuestos internos (SII) violaba la seguridad de nuestras contraseñas; en este nuevo post comentaré las recomendaciones de seguridad que aparecen publicadas en el sitio web del SII y tambien analizaré el manual de configuracón para la utilización de ingreso mediante certificado digital o firma electrónica.

En este link, pueden ver las Recomendaciones de Seguridad, donde dan los siguientes consejos:

  • Nuestro Servicio sólo envía correos de carácter informativo, no se adjunta ningún link o documento que deba descargar.
  • El Servicio nunca solicitará respuesta a los correos electrónicos.
  • Nunca se solicitará datos personales, rut ni su clave secreta.
  • Si le solicitan este tipo de información puede estar siendo víctima de un fraude, provocado por un phishing, virus o troyano.
  • Escriba la dirección completa www.sii.cl en su navegador de internet y asegúrese de hacerlo en lugares conocidos.
  • Mantenga su computador actualizado con sus parches y antivirus al día para protegerlo de software malicioso.
  • Si su navegador (Firefox, Explorer, Chrome u otro) le ofrece “volver a recordar clave”, no lo acepte nunca.
  • No permita que otros vean su clave secreta.
  • No ocupe la misma clave del SII para otros sitios en Internet.

Seguir leyendo

Servicio de Impuestos Internos (SII) expone las contraseñas de los usuarios

marzo 7, 2013 /

El sistema en línea del Servicio de Impuestos Internos estuvo bajo mantención durante la noche redireccionando a todos los usuarios a https://www.sii.cl/pagina/actualizada/suspension/hpi_suspension.htm. El problema es que el mensaje no se desplegaba al momento de ingresar al sitio, sino que luego de iniciar la sesión o más bien, luego de enviar el formulario de inicio de sesión o de intentar ingresar mediante certificado.

Seguir leyendo

Modem Arris de VTR abiertos al público

enero 21, 2013 /

VTR es un proveedor de servicios de telefonía, internet y televisión, que desde hace un tiempo está instalando en los domicilios el famoso modem Arris WTM652, como el de la foto de a continuación

Como todos los routers o modem, este dispositivo tiene varias opciones de configuración ya sea para la red cableada como al wireless. Entre las opciones está reiniciar el router, volver a los valores por defecto,  modificar la configuración de la red WiFi pudiendo incluso dejarlo sin servicio.
Si el acceso a la configuración de este dispositivo estuviese correctamente configurada y solo permitiera ingresar desde una red privada, no habría ningun problema, pero no es así.

Seguir leyendo

Fallas de seguridad en Prey, herramienta de rastreo de dispositivos

enero 10, 2013 /

Prey es una herramienta que permite el rastreo de computadores y dispositivos móviles, pensado para encontrar tu portátil, tablet o teléfono móvil cuando se te pierde o te lo roban.

Basicamente, y como todo software o herramienta de rastreo, lo que hace es enviar información a un servidor centralizado con la ubicación y otros datos que te pueden ayudar a identificar dónde está tu dispositivo. Lo que me llamó la atención fue querer conocer cómo envia la información y cómo funciona la “api” de comunicación, por lo que me lo descargué y comencé a analizar el código.
La versión analizada es la 0.5.9 (md5: 1ff6cb6bb0de36415fde3382e72a8a6d), pero imagino que la información que voy a exponer afecta a todas las versiones anteriores.

Seguir leyendo

El problema de seguridad que afecta al Banco BCI y TBanc

enero 9, 2013 /

Me atrevería a decir que en chile, estos dos bancos (que en realidad son lo mismo) son los únicos que no implementan un login con seguridad HTTP+SSL o más conocido como HTTPS.
Una implementación segura de este protocolo necesita que tanto el formulario de inicio de sesion como la URL de destino del formulario esten bajo HTTPS, de lo contrario perfectamente mediante un ataque MITM u otro tipo de ataque un atacante podría modificar los parámetros del formulario que está sin seguridad.

El pensamiento para implementar HTTPS de ambos bancos es: “Hagamos el login sin https, pero cuando el usuario presione ‘entrar’ se envie el formulario a un sitio con https“.

Seguir leyendo

Los cuatro errores más comunes al momento de subir archivos a producción

enero 7, 2013 /

Es más común de lo que piensan que los usuarios suban archivos “basura” a servidores en producción/explotación. Muchas veces son distintos usuarios los que tienen acceso al directorio público de un sitio web, ya sea todos accediendo desde el mismo usuario o cada uno con su usuario.
El problema es cuando no tenemos control sobre las cosas que se suben a producción, por ejemplo como administrador de sistemas a muchos nos ha tocado que debemos crear cuentas de usuario ftp con acceso a subdirectorios de un sitio web, uno intenta aplicar todas las medidas de seguridad posible y hacer cumplir todos los procedimientos necesarios, como por ejemplo que un “usuario normal” no puede subir archivos a produccion vía FTP sin que sean correctamente validados ni filtrados, sin embargo, a ellos no le sirve. Otro ejemplo es cuando los desarrolladores tienen que subir desarrollos nuevos o actualizaciones, ya sea mediante un control de versiones o suciamente directamente desde ftp o ssh, nunca se controla qué tipo de archivos están subiendo, exponiendo nuestros servicios y servidores.

Seguir leyendo

Antiguas entradas Nuevas entradas

© 2024 El rincón de Zerial

Tema por Anders NorénSubir ↑