Seguridad

Equipos con Kaspersky Internet Security que no permiten seleccionar certificado. Solución.

por

Os dejamos la solución a otro Poltergeist extraño, por si os lo encontráis.

El caso es el siguiente, nos llamó un cliente para decirnos que cuando intentaba entrar en páginas con certificado en ciertos ordenadores, le salía una página para elegirlo la primera vez. Pero las siguientes veces entraba siempre con el mismo certificado. Por más que cerraba sesión, y cerraba el navegador, volvía a entrar con el mismo. Tenía que reiniciar para poder elegir de nuevo (y claro, no es manera de trabajar).

Solución.

Lo primero que nos dimos cuenta es que la petición de certificado era distinta a la del navegador, porque la emitía Windows Security en vez del navegador.
Lo segundo era que sólo pasaba en los equipos con Kaspersky Internet Security.

Al final dimos con la solución, Kaspersky Internet Security. El problema es con su certificado.

Tienes varias opciones.

  • Usar otro antivirus y quitar Karpersky.
  • Deshabilitar el escaneo de web por Karpersky. No parece buena solución, quedáis muy inseguros…pero lo dejamos como opción. Tenéis que ir al equivalente en Español de.
    Settings of product –> Addition –> Network–> click on “Do not scan encrypted network traffic “
  • Instalar el certificado de Karpersky, más información aquí.
  • Nuestra opción recomendada: en el mismo sitio que el punto anterior puedes crear exclusiones. De esta forma estos sitios no serán escaneados por Karpersky, pero el resto de páginas si.

Veréis que cuando activáis alguna de las soluciones anteriores, y reinicias el navegador, os deja elegir el certificado, con el pop-up del navegador y cada vez que entréis.

Windows 7 no puede acceder a recursos compartidos de Windows Server 2019

por

Hoy hemos tenido una consulta de un cliente que tenía Windows Server 2019 y sus dispositivos con Windows 7 no podían acceder a los recursos compartidos en el servidor. Los veían, pero no podían acceder.
Os explicamos la solución.

Nota: esto también puede ocurrir con otro tipo de dispositivos y sistemas operativos. Básicamente la causa es que Windows 2019 incluye Samba 3.1.X (de hecho de Windows Server 2016 en adelante), con cifrado y no admite conexiones sin cifrar. Los dispositivos anteriores no pueden concetarse.

También puede pasar en Windows Server 2012 y 2016 donde hayáis habilitado el cifrado de los recursos compartidos.

Soluciones.

Os dejamos varias cosas a probar

Habilitar las conexiones sin cifrar.

Los dispositivos como Windows 7 no son compatibles con SMB 3, así que no pueden usar recursos cifrados.
Primero podéis probar a habilitar la opción de conectarse al recurso compartido sin cifrar (debería ser algo temporal hasta que actualices dichos dispositivos antiguos).

Abre un Power Shell en el servidor y pon el siguiente comando:

Set-SmbServerConfiguration –RejectUnencryptedAccess $false

El problema de esto es que se pueden realizar conexiones con SMB 1 que es muy inseguro. Así que si no tienes dispositivos que sólo tengan SMB 1 (y no deberías tenerlos, deberías actualizarlos al menos al 2), puedes deshabilitar SMB1 en el servidor (esto ya está hecho en Windows Server 2019 por defecto que sólo incluye el SMB 3).

Set-SmbServerConfiguration –EnableSMB1Protocol $false

Acceso como invitado deshabilitado den Windows Server 2019

Windows Server 2019 ha deshabilitado el acceso como invitado (sin identificarse). Si quieres una carpeta de este estilo tienes que cambiar la política (Group Policy) en:

Computer configuration\administrative templates\network\Lanman Workstation”Enable insecure guest logons”

Obviamente recuerda que estás reduciendo la seguridad de tu red.

Vulnerabilidad en Prestashop ante el malware XsamXadoo Bot. Solución.

por

Si tienes una tienda de Prestashop, puede que hayas recibido un aviso que tu tienda puede ser vulnerable ante ataques del malware XsamXadoo Bot. Mediante este malware, los atacantes pueden tomar el control de tu página web y acceder a tus datos.

No es un ataque exclusivo a Prestashop, muchos gestores y módulos de diferentes entornos, creados en php con la herramienta PHPUnit, pueden ser vulnerables. Pero se ha detectado en Prestashop estos días.

En qué consiste la vulnerabilidad.

Este ataque hace uso de un fallo de seguridad conocido desde el 2017: el CVE-2017-9841. Este fallo está presente en la herramienta PHPUnit, un framework que usan los desarrolladores de php para probar y crear sus módulos y aplicaciones. La vulnerabilidad se ha corregido en las versiones de PHPUnit 7.5.19 y 8.5.1 , pero las anteriores la tienen. Y muchos creadores de Prestashop usan esta herramienta.

Lo curioso es que los desarrolladores dejan ciertas carpetas y ficheros de este framework cuando pasan los módulos a producción. Carpetas y ficheros que ya no son necesarios porque son sólo para desarrollo, pero que dejan ahí. Y estos son los que contienen el fallo de seguridad.

Cómo solucionarlo.

Lo que tienes que hacer es borrar todos los directorios phpunit tanto de Prestashop como de los módulos (recuerda, la carpeta es sólo para desarrollo).

  • Si gestionas un servidor Linux puedes hacer esto con este comando:

    find . -type d -name "phpunit" -exec rm -rf {} \;

    En caso de no tener acceso a terminal, puedes buscar los directorios por FTP. Para ello.
  • En la carpeta de Prestashop busca la carpeta Vendor. Dentro de esa carpeta mira si tiene otra que se llame phpunit. Si es así, borra esa carpeta.
  • Ahora entra en cada carpeta de módulo. Busca la carpeta Vendor dentro de cada módulo. Si esta carpeta incluye el directorio phpunit borralo.

Cómo saber si te han infectado.

Es difícil porque pueden dejar diferentes rastros. Pero
1) mira en tu servidor a ver si tienes los siguientes ficheros:

File namemd5
XsamXadoo_Bot.php0890e346482060a1c7d2ee33c2ee0415 or b2abcadb37fdf9fb666f10c18a9d30ee
XsamXadoo_deface.php05fb708c3820d41c95e34f0a243b395e
0x666.phpedec4c4185ac2bdb239cdf6e970652e3
f.php45245b40556d339d498aa0570a919845

2) Entrar en Parámetros Avanzados->Información para ver si al final te indica si se ha modificado algún fichero del core de Prestashop. Esto también puede dar una pista de si te han infectado.

Para más información lee el anuncio de Prestashop y el artículo más detallado al respecto.

Explicación sencilla del ataque Man in the Middle. Cuidado en redes públicas o compartidas.

por

Dentro de la serie de artículos y vídeos sobre seguridad para todos los usuarios, hoy presentamos el ataque Man in the Middle. Es importante entender este ataque porque es uno que se puede dar mucho en redes públicas, wifis gratuitas, redes compartidas etc.

Para el que piense que “esto no me pasa a mi” que sepan que hemos conocido gente que se dedica a ir a las cafeterías, cibercafés, aeropuertos y demás sitios con wifi gratuita, para poder practicar sus habilidades de “hacker” con los “incautos” que se conectaban a dicha red.

Ataque Man in the Middle.

El ataque de Man in the Middle consiste en que el atacante se conecta a la red que usa el usuario al que va a atacar (por eso el peligro de las redes públicas) y se hace pasar o por el router o por el destino de alguna página web, redirigiendo el tráfico o a sí mismo o a un servidor infectado.

Para ello puede usar una de muchas técnicas como:

  • DHCP spoofing: modificar la asignación DHCP y la puerta de enlace del ordenador destino. Se puede hacer de muchas maneras, pero con crear un servidor DHCP en la misma red, si es suficientemente rápido puede atraer víctimas.
  • ARP caché poisoning o ARP spoofing: ARP es el protocolo que proporciona la dirección MAC (hardware) de una dirección IP y viceversa. Se pueden mandar paquetes “falsos” a la red para engañar a los ordenadores y que piensen que tu ordenador es el router.
  • DNS spoofing. Como vimos, se puede modificar la tabla de DNS para hacer pensar que ciertas páginas web están en tu ordenador o en otros servidores.

Os lo explicamos en este vídeo.

Conclusiones.

Esperamos que seáis conscientes de lo fácil que es atacar un ordenador en una red compartida. Como es necesario estar en una misma red, debemos tener cuidado y saber que esto puede ocurrir. Siempre sospechar que puede haber gente “espiando” en estas redes.
Para reducir el riesgo:

  • Usar https y otros protocolos cifrados.
  • Intentar no usar redes públicas. Podéis usar vuestro móvil para crear una wifi.
  • Usad VPN si usáis redes públicas.
  • Sospechar de wifis gratis o sin contraseña. Son “cebos” para incautos.
  • Si tenéis que usar redes públicas, no entréis en servicios que requieran vuestra contraseña. Y menos en servicios importantes como bancos etc.
  • Si no queda más remedio, que esos servicios tengan doble autentificación para que no importe si consiguen vuestra contraseña.

Qué es el Pharming. Cómo identificarlo y cómo evitarlo.

por

Dentro de nuestra serie de artículos sobre “los peligros que tienen los usuarios en Internet” (en anteriores el Phishing y el E-mail spoofing), hoy os explicamos el Pharming.

Pharming es una mezcla de los términos Phishing (ya explicado) y Farming (“cultivar“). Precisamente porque para realizarlo necesitan un “anzuelo” ( como el phishing), que lleve a los usuarios a una página web falsa. En esta web es donde “recolectan” los nombres de usuario y contraseña de los usuarios que caen en la trampa.

Es decir, se trata de crear un sitio o servicio que sea una copia exacta de uno real, donde los usuarios introduzcan sus datos y los podamos guardar.

Cómo me pueden llevar a las páginas falsas.

Este método se basa en que nosotros usamos palabras al ir a un servicio en Internet, pero estos se identifican con números (IPs) a través del servicio de DNS.
Si esta transformación de palabras a direcciones IP se ve manipulado, me pueden redirigir a un sitio falso.
Se puede hacer de varias maneras.

  • DNS Spoofing.
  • Virus que afecte a mi ordenador (y me modifique los DNS).
  • Ataque y modificación de los servidores DNS que uso en Internet.
  • Modificación de mi fichero hosts del ordenador.
  • Ataques tipo man in the middle en mi red local (otro día hablamos de este tipo de ataque).

Cómo identificar el Pharming.

Un phishing bien realizado es difícil de identificar. Antes decían que se podía ver si tenía https, si tenía “candado”, pero todo esto es fácil de falsificar. Y los usuarios no se van a poner a mirar a nombre de quién está expedido el certificado de cada página.

Así que os dejamos unos consejos:

  • La mejor manera de evitar el Pharming es en la parte del anzuelo, del phishing. Ya os hicimos las recomendaciones pero en resumen sospechar de mensajes extraños, no ir a sitios enlazados por mensajes, sospechar de enlaces acortados.
  • En la parte de la web, tenemos que ver si hay cosas “extrañas”. Fallos en el dominio (no es el habitual, está mal escrito…), fallos en la web (fallos de ortografía, cosas que no cuadran…. Obviamente si no hay certificado o sale alguna alerta nunca poner datos.
  • Ante algo sospechoso no introducir datos personales.

Pero si aún así hemos caído, lo que nos protege más es tener activada la doble autenticación (y mayor). Porque si caigo en uno de estas trampas, sólo pueden sacar mi nombre de usuario y contraseña. No tendrían mi segundo factor de autenticación. Al no recibir petición de doble factor puedo sospechar que es falso y cambiar mi contraseña.
Y los hackers con sólo el primero factor no podrían acceder a mi servicio. Así que activar el doble factor en todos los servicios importantes.

En este vídeo os lo explicamos.

Qué es el Phishing y cómo evitarlo.

por

Dentro de nuestros vídeos intentando formar a los clientes sobre las amenazas a las que se pueden enfrentar en Internet, hoy os queremos hablar de una muy común: el Phishing.

En el vídeo anterior os comentábamos cómo consiguen los creadores de virus y malware que os sintáis “confiados” y abráis los correos con el e-mail spoofing.

Pero dentro de esos correos (y ahora también por SMS, WhatsApp, Facebook Messenger etc), tienen que conseguir que pongas tus datos. Para ello usan, entre otras, este método: Phishing.

Qué es el Phising.

Phishing es “pescando” en inglés. Y el nombre “le viene al pelo”.
Porque el método básicamente consiste en que te llegue un mensaje que te incite a abrirlo. Dicho mensaje tendrá un anzuelo, que será el que te haga picar e introducir los datos.

El mensaje puede llegar por e-mail, por sms (smishing), por WhatsApp, por Facebook messenger, por teléfono (vishing)….

El anzuelo es variado, desde un mensaje de correos, Amazon o similar sobre un paquete (porque suele coincidir que has pedido uno), un mensaje sobre fotos con desnudos tuyos o de familiares, un mensaje sobre accesos indebidos en tu cuenta…hay muchísimos.

Como decimos todos incluyen o un formulario para añadir datos, o un enlace (normalmente acortado) para que pinches y te lleve a un sitio donde te piden datos (y te los roban).

Cómo evitarlo.

Os dejamos unos consejos básicos.

  • Desconfiar y, preferiblemente borrar, mensajes (por cualquier medio) de remitentes no conocidos o que nos hagan sospechar.
  • Sospechar de faltas de ortografía, expresiones incorrectas o frases mal formadas.
  • Sospechad de correos urgentes, alarmistas o apremiantes.
  • Desconfiad de los enlaces acortados. Recordad que podéis pasar por encima sin pinchar para ver el destino.
  • No pongáis datos nunca ni en estos correos ni en las páginas a los que llevan.
  • Podéis comprobar enlaces con servicios como Virustotal.
  • Si recibís un mensaje sobre acceso indebido, o pedidos pendientes, no pinchéis en esos enlaces, id al servicio por Internet y comprobadlo.

Os dejamos un vídeo explicando esto.

¿Por qué recibe la gente correos que tú no has enviado? E-mail spoofing.

por
  • Un cliente está recibiendo e-mails supuestamente desde mi dirección ¿tengo un virus?
  • Estoy recibiendo correos de spam desde contactos amigos. ¿Tengo un virus? ¿Lo tienen ellos?

Estas son preguntas habituales que nos hacen los clientes. Y, como pensamos que el conocimiento es la mayor medida de seguridad, hoy os explicamos qué es el e-mail spoofing.

Qué es el e-mail spoofing y cómo lo usan los virus y hackers.

Spoofing es el término inglés de suplantación. En informática existen muchos tipos de “spoofing” (IP spoofing, DNS spoofing…). Pero seguramente el que más ven la mayoría de los usuarios es el e-mail spoofing.

Básicamente consiste en suplantar la identidad de alguna parte del correo electrónico (normalmente el remitente) para poder enviar correos con contenido malicioso (vamos virus) a tus contactos. Al recibirlo de una “fuente segura”, la idea es que los filtros de correo lo dejen pasar y tú lo abras. Es decir, que la puerta se abra, es el primer paso para el ataque.

Lo que siempre explicamos a los clientes es que:

  • Si estás recibiendo tu los correos basura, lo más seguro es que el virus no lo tengas tú. Que lo tenga alguno de tus contactos o gente que tenga tu dirección.
  • Son habituales los virus que se ponen a realizar combinaciones con la lista de contactos del infectado para ponerlos (de nuevo combinando) en los campos De (remitente) y Para (destinatarios) del correo. Es decir que Paco, infectado, puede estar enviando como cualquiera de sus contactos a cualquiera de sus contactos.
  • También es muy sencillo emular un servidor de correo electrónico, configurarlo para cualquier dominio (cualquiera) y crear las cuentas que quieras en él. Desde ahí puedes enviar (no recibir) correos aparentemente lícitos.
  • Sólo tienes que cambiar el campo (también spoofing) “Reply to” a una cuenta que quieras y también recibes.

Como veis, es MUY fácil hacer esta suplantación de correo. Técnicamente la industria está implementando funcionalidades técnicas para evitarlo (en varias capas y a varios niveles), pero todo se puede saltar. Así que es importante conocer qué está pasando.

En el vídeo os lo explicamos de manera más detallada.

En los próximos días os explicamos cosas como phishing, pharming, man in the middle, para que veáis que otras cosas añaden en los ataques, por ejemplo en el cuerpo del correo.

WPScan: base de datos de vulnerabilidades de WordPress con plugin y API para escanear tu web (y otras).

por

Para aquellos que os preocupa la seguridad de vuestros sitios en WordPress, hoy os dejamos una gran herramienta.

WPScan es una base de datos de vulnerabilidades de WordPress (página oficial aquí). Es decir, van almacenando todos los fallos tanto de core como de temas y plugin de este gestor de contenidos. En cada fallo puedes ver su severidad, referencias, guía de tiempos e información adicional.
También permite informar de vulnerabilidades.

Esta funcionalidad ya lo haría un gran recurso, pero es que además tiene dos otras muy útiles.

  • Plugin de WordPress para poder escanear tu página web basándose en esta base de datos. Obviamente útil para usuarios de WordPress y diseñadores web.
  • API para poder usar la base de datos externamente. Esto te permite usarla desde tu ordenador o desde un servidor y escanear cualquier página.
    Muy útil para desarrolladores y expertos en seguridad. Y también para los “hackers”.

Con todo está claro que es una herramienta de seguridad muy potente (forma parte de la mayoría de las distribuciones de seguridad y pentesting), y que en malas manos puede ser el mejor aliado del hacker. De hecho si buscas “WPScan WordPress” en Google, obtendrás muchos resultados sobre cómo “hackear WordPress con WPScan”.

Porque con esta herramienta podemos analizar cualquier web hecha en WP, y nos dirá todas la información sobre sus versiones, plugins, usuarios (si puede), temas. Con esa información, probará las vulnerabilidades conocidas de cada una y te dirá cuales ha encontrado.

Para un hacker es como un amigo que te dice “los agujeros están aquí y aquí”.
Para un desarrollador (nosotros) una manera de reforzar la seguridad de su sitio en WordPress.

Vosotros decidís cómo usarlo.

Cómo afecta PSD2, y ASC (SCA) si tienes una tienda online.

por

Muchos clientes nos están preguntando cómo afecta la nueva Directiva de Servicios de Pago (PSD2) y el ASC (Autenticación Segura de Cliente) a los que tenéis una tienda online.

Os dejamos un vídeo explicando todo esto, pero en resumen (en términos generales, cada caso es un mundo y conviene que lo repaséis):

  • La directiva europea afecta sólo al pago online.
  • Va a dar más seguridad a tiendas, proveedores y clientes al hacer obligatorio la autenticación de doble factor (2FA).
  • La mayoría de las tiendas de PYMES online en España usan proveedores externos (Paypal, Redsys, Servired) para realizar estos pagos por tarjeta. De no ser así, te toca revisar que tu medio de pago cumpla con el ASC. conviene que revises uno por uno y puedes contactarles para asegurarte.
  • Como no los cobra la tienda, sino el proveedor, son los proveedores los que tienen que adecuarse a la norma.
  • En muchos casos tendréis que actualizar los módulos o plugins (os avisarán en vuestro CMS o vuestro proveedor) para ajustarse a este cambio (sobre todo porque están implementando 3DS2).
  • No está de más reflejar estos cambios en vuestra política de privacidad y de contratación o pagos.
  • El 14 de Septiembre 2019 es la fecha límite.

Cómo afecta PSD2 y ASC a tu tienda online.

Solución cuando Chrome no pide guardar usuario y contraseña.

por

Hace unos días tuvimos una incidencia de un cliente que quería guardar el usuario y contraseña de una página web en Chrome. No es muy seguro (otro día mostraremos por qué), pero es cómodo y lo usa mucha gente.
Hoy os damos la dos soluciones más comunes cuando ocurre esto.

En ambos casos tenéis que ir, en Chrome, a la Configuración>Contraseñas.

  1. No está activado Preguntar si quiero guardar contraseñas .
    Lo primero a mirar. La opción de Preguntar si quiero guardar contraseñas debe estar activa, y no lo está siempre. Comprobad esto primero.
  2. La página está en el listado de Contraseñas que nunca se guardan.
    En esa misma sección, hay un listado de páginas para las que no guarda nunca la contraseña. Si está ahí, no lo va a solicitar. Eliminadla de esta lista…y volverá a pedir recordar los datos de acceso.

Lo explicamos en este vídeo.