CategoríaSeguridad

Temas relacionados con seguridad informatica.

Análisis al código fuente del Sistema de Gestión de Seguridad de la Información

Se han descubierto diversas vulnerabilidades que afectan al sistema web para seguimiento y control de PMG de Seguridad de la Información. Estas vulnerabilidades ponen en riesgo la confidencialidad de la información que se administra.

Seguir leyendo

Publicación en LinkedIn permite el acceso a la Banca Online de su jefa

Como dice el título, una publicación en LinkedIn, que parecía ser tan inocente, terminó exponiendo las credenciales de acceso a la Banca Online de su jefa. Si bien todo suena muy confuso, es más simple de lo que creen. Todos conocen la historia de los famosos “papelitos” pegados en las pantallas, paredes o notebook y que por algún motivo se filtran en televisión o en redes sociales. Muchas veces pasa de “inocentes” pero siempre hay alguien atento a los descuidos.

Seguir leyendo

Vulnerabilidad Cross-Site Scripting en WordPress W3 Total Cache

W3 Total Cache es un plugin para WordPress que se encuentra instalado en más de 1 millón de sistemas a nivel mundial. Actualmente se encuentra en la versión 0.9.4.1 y su última actualización fue hace 6 meses.

w3totalcache_xss

El plugin W3 Total Cache tiene una vulnerabilidad del tipo Cross-Site Scripting que permite obtener las credenciales de administrador.

Seguir leyendo

Presentación en ISACA CyberSecurity Day 2016

El día de mañana estaré presentando en el primer CyberSecurity Day organizado por ISACA en Santiago. El evento es de libre acceso y se pueden registrar en Eventbrite, comenzará a las 0830AM con la acreditación y un desayuno, durante el día habran talleres abiertos y cerrados, charlas y mesas de expertos.

Seguir leyendo

Nueva Forma de Marcar: Análisis a la aplicación publicada por el gobierno

mobapp_android

En Chile se está cambiando la forma de marcar a los celulares y para esto, la Subsecretaría de Telecomunicaciones tuvo la iniciativa de lanzar una aplicación para los dispositivos móviles que facilitara la actualización de la agenda.  Esta aplicación fue encargada a la empresa de desarrollo Cursor S.A.

Los primeros comentarios de quienes empezaron a instalar la aplicación, hacian referencia a la cantidad de permisos que requería para ser instalada y utilizada.

permisos_app

Entonces nos preguntamos: Una aplicación tan simple como actualizar tus contactos para que requiere tantos privilegios? Rapidamente uno podría pensar lo siguiente…

  • Identity: ???
  • Contacts: Ok, obviamente necesita acceder a mis contactos para poder modificarlos.
  • Location: ???
  • Photos/Media/Files: La aplicación tiene la opción de respaldar los contactos. Me imagino que este privilegio es requerido por esa funcionalidad.
  • Wi-Fi connection information: Para enviar los contactos respaldados ???

Entonces empezaron las sospechas …

Seguir leyendo

Atacando sistemas legacy: FONASA y SAG

gobcl-data-leak

Los sistemas legado o legacy siempre son un dolor de cabeza, más aún cuando se trata de seguridad. Por lo general, este tipo de sistemas fueron desarrollados hace más de 5 años y no Sitienen ningún tipo de soporte. El problema es que los siguen utilizando, incluso para el manejo de información sensible y confidencial. Cuando estos sistemas estan publicados en internet, sin ningun tipo de protección ni filtro, el riesgo de sufrir un ataque es aún mayor.
Utilizando simplemente los motores de búsqueda, en chile se pueden enumerar cientos de sistemas legacy a nivel de gobierno, incluso algunos que ya han sido intervenidos y los encargados no se han dado cuenta. Una mala práctica muy común es restaurar los sistemas y bases de datos una vez que fueron intervenidos y “hackeados“, pero no se realiza ningún tipo de análisis de intrusión para determinar el impacto del ataque; simplemente los restauran. ¿Cual es el problema? Que los restauran con los mismos bugs incluso con el mismo backdoor que se utilizo para el ataque.

Seguir leyendo