Bloquear anuncios en todos tus dispositivos

cristian Deja un comentario

En el vasto mundo digital de hoy, los anuncios no solo son molestos, sino que también pueden ralentizar tu navegación y comprometer tu privacidad. Afortunadamente, AdGuard DNS ofrece una solución elegante y efectiva para bloquear anuncios en todos tus dispositivos, incluido iOS. Aquí te mostraré cómo hacerlo, paso a paso.

¿Qué es AdGuard DNS?

AdGuard DNS es un servidor DNS público que filtra el tráfico de Internet eliminando anuncios, rastreadores, y amenazas de phishing. Funciona en el nivel de DNS, redirigiendo las solicitudes de dominios conocidos por alojar anuncios o rastreadores a una «dirección nula», lo que efectivamente bloquea el contenido no deseado antes de que llegue a tu dispositivo.

Configuración en dispositivos en general

Para configurar AdGuard DNS en la mayoría de los dispositivos:

  1. Accede a la configuración de tu red Wi-Fi.
  2. Busca la sección de configuración de DNS.
  3. Selecciona la opción para configurar manualmente los servidores DNS.
  4. Ingresa las direcciones DNS de AdGuard: Puedes elegir entre el modo predeterminado para bloqueo de anuncios o el modo «Familia» para bloqueo de anuncios y contenido para adultos. Las direcciones están disponibles en la página oficial de AdGuard DNS.

Configuración específica para iOS

iOS permite una integración más profunda mediante la creación y carga de un perfil de configuración. Esto es particularmente útil, ya que no necesitarás configurar DNS para cada red Wi-Fi individualmente. Sigue estos pasos para crear y cargar tu perfil de AdGuard DNS en iOS:

  1. Visita el generador de perfiles de AdGuard DNS desde tu dispositivo iOS.
  2. Elige tus preferencias de filtrado y crea el perfil. Selecciona entre las opciones predeterminadas o familiares, según tus necesidades.
  3. Descarga el perfil de configuración que se genera automáticamente.
  4. Abre el perfil descargado en tu dispositivo iOS. Se te guiará a través del proceso de instalación; simplemente sigue las instrucciones en pantalla.
  5. Una vez instalado, el perfil configurará automáticamente los servidores DNS de AdGuard en tu dispositivo, aplicando el filtrado de contenido a todas las conexiones.

Ventajas de AdGuard DNS

  • Bloqueo de anuncios y rastreadores en todos los dispositivos sin la necesidad de instalar software adicional.
  • Mejora de la velocidad de navegación al reducir la cantidad de contenido cargado.
  • Incremento de la privacidad al evitar que los rastreadores recolecten tus datos.
  • Protección contra sitios de phishing y contenido para adultos (con el modo «Familia»).

Conclusión

Con AdGuard DNS, tienes una herramienta poderosa y fácil de usar para mejorar tu experiencia en línea en todos tus dispositivos, incluido iOS. La configuración es sencilla y te ofrece un control considerable sobre el contenido que llega a tu dispositivo. Prueba hoy mismo AdGuard DNS y disfruta de una web más limpia, rápida y segura.

Las desprolijidades de mi mutualista

cristian Deja un comentario

con la seguridad de la información.

Si, así como lo leen, en muchos sentidos mi mutualista es muy desprolija, como casi todas las de Uruguay, mejores peores, por mil cosas.

Pero no voy a hablar de la prestaciones que me da, de las cuales no me puedo quejar, sino de la proteccion de datos y la seguridad de información.

Hace mas de un año, luego de que presentaran una app de celular la instalo y como buen curioso la examino, ahi encuentro que no solo pasaba los datos en plano, sino que lo hacia hacia un windows server en EEUU.

TLS para que!

Un nmap después veo que tienen abierto al mundo no solo el puerto del MS SQLserver abierto sino un ftp… con las claves por defecto y dentro… la app con los fuentes y los hashes de las DB ahi nomas..

Me quedo mas tranquilos, sin virus…

Bueno, esto se notifico por mail a ellos y al cert.uy.

Lo arreglaron y no seguí, no me corresponde hacerlo ni tenia permisos, pero me puse a las ordenes, me dieron las gracias y nunca mas.

Poco tiempo salió un llamado para el puesto de seguridad de la información, pero como no tengo titulo profesional habilitante no me podia presentar, alguien seguramente se presento, agarro ese trabajo y esperaba que pudieran mejorar la seguridad de en definitiva, mis datos. Parece que no.

En diciembre de 2019 me pongo a mirar unos resultados de análisis clínicos personales (la edad pesa) y me encuentro que los resultados están en una carpeta temporal en la web (a la que le pusieron https!) con un nombre de archivo numérico secuencial, cambiando los números del nombre del archivo pdf puedo acceder a los resultados de cualquier otra persona…. de nuevo, notifico telefónicamente a la institución y por mail al cert.uy estos me informan luego que también se pusieron en contacto con la institución.

Este caso es el resultado de analisis de VIH de un paciente, el nombre y el num soc estaban ahi publicos…

Esto no es contra nadie, sino que se visibilize la importancia de la seguridad en la información. No solo que nadie tiene por qué saber mis temas medicos, sino que alguien maliciosamente puede llegar a tener datos suficientes para otro tipos de delitos.

En este tipo de cosas siempre se criminaliza al que encuentra e informa de estos problemas, pero raramente se hace responsable a quienes en en la omisión no velan por la seguridad de nuestra información, en estos casos se notifico a la institución y solucionaron los problemas, no me corresponde realizar un seguimiento del estado, pero de encontrar cosas así como siempre reportar al cert.uy y a la institución/empresa.

La institución he invertido y esta realizando cosas muy destacables y pioneras a nivel nacional en informática medica, pero este tipo de errores son muy básicas como para dejarlos pasar por alto.

El próximo DDoS que sufra seguramente sea gracias al IoT

cristian Deja un comentario

IoT («Internet of Things» o «Internet de las Cosas») esa sigla que estamos viendo mucho en las noticias de tecnologia y que nos venden como el maravilloso mundo donde todo está conectado y controlado desde el smartphone. Como todo mundo de ensueño, la moda que nos venden es una cosa fabulosa, poder controlar las luces, el aire, el horno, el calefón, la comida de las mascotas, la muñeca ( y los juguetes sexuales) el CCTV, las alarma casi todo desde el smartphone o desde una web es algo realmente tentador.

Qué puede salir mal ?

Y la verdad que la idea esta buenisima, pero como todo en el mundo de la tecnología esto ha avanzado a pasos agigantados dando lugar a que cada vez se desplieguen más este tipo de productos conectados con software cada vez más vulnerable (siendo que esto no es nuevo, sistemas SCADA!!! vulnerable desde…). Esta cantidad de potencia de cómputo y red, sumado al software vulnerable e inseguro son un campo de cultivo para su uso en ataques DDoS  (o minería de Bitcoin) como ya ocurrió hace un tiempo atrás en el ataque a dyn.com desde DVR CCTV ( Botnet MIRAI) infectados, ahora se imagina en un futuro tratando de explicar a un Cliente (o Jefe) que fuimos víctimas de un ataque, provocado por una botnet de Dildos conectados ?

Contamos con el excelente trabajo de OWASP pero siempre dependemos de los fabricantes y su buena voluntad de mantener actualizados sus dispositivos.

Sin lugar a dudas, para los que nos gusta la tecnologia y entendemos un poquito, este momento de querer conectar todo nos divierte y nos preocupa.

http://wwwhatsnew.com/2017/02/17/alemania-pide-a-los-padres-que-destruyan-una-muneca-que-puede-ser-hackeada/

http://www.forbes.com/sites/leemathews/2017/02/13/infected-vending-machines-and-light-bulbs-ddos-a-university

https://www.xataka.com/otros/el-siguiente-gran-mercado-de-la-tecnologia-es-el-de-los-juguetes-sexuales-aunque-casi-nadie-este-hablando-de-ello

https://www.presidencia.gub.uy/comunicacion/comunicacionnoticias/ute-aniversario-104

http://www.petnet.io/

https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project

 

MIRAI el estandar TR-069 y Uruguay

cristian 1 comentario

Mirai es el nombre de la botnet que afecta los IoT y hace un tiempo se cree fue el que realizo el mayor ataque DDoS de la historia, afectando a todo el mundo. Principalmente infectado dispositivos vulnerables o pocos seguros como son los IoT

Ahora Mirai ah mutado y afecto routers de las operadoras que utilizan el estándar TR069 para administración remota utilizando el puerto TCP/7547 (Gracias Gaston por el comentario) en nuestro país unos 25300 modems de ANTEL tiene dicho puerto abierto hacia internet, esperamos que nuestros modems no formen parte de una nueva botnet, por lo pronto en Alemania afecto a 1 millon de Usuarios.

http://www.genbeta.com/actualidad/el-ataque-contra-dyn-dns-que-sacudio-internet-fue-probablemente-obra-de-hackers-amateurs
https://github.com/jgamblin/Mirai-Source-Code
https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html
https://es.wikipedia.org/wiki/TR-069
http://www.theregister.co.uk/2016/11/28/router_flaw_exploited_in_massive_attack/
https://www.shodan.io/report/MPUUhBBw
http://www.theregister.co.uk/2016/11/28/router_flaw_exploited_in_massive_attack/

Modem ZTE F660 ANTEL. Falta update, falla seguridad.

cristian 34 comentarios

El módem de Fibra ZTE F660 (1) es un equipo Router/modem de Fibra usado en todo el mundo.
En Uruguay ANTEL lo instala para sus clientes residenciales.
Al momento de la instalación o de manera remota llamando al Servicio técnico se puede
solicitar el uso como módem o router (cuenta con wifi)

Para acceder a la configuración del equipo este cuenta con 3 usuarios:

  • user (clave «user»)
    Permite configuración básica, datos de acceso PON, Wifi
  • instalador (clave «wwzz2233»)
    Configuración básica más la posibilidad de abrir puertos
  • admin (clave «Ql52jP23» y “5DhD64Je”)
    Control total del equipo.

Generalmente estos equipos no cuentan con el acceso web de administración abierto para internet sin embargo se detectó al (04/04/16) (2) que por lo menos 998 routers cuentan con el puerto telnet(3) abierto a internet, esto representa un gran riesgo de seguridad para los usuarios de estos equipos.
No solo se puede acceder a los datos de la conexión, sino también a modificar parámetros, este problema puede ser explotado para realizar distintos tipos de ataques, desde ingresar a una red sin autorización, colocar algún bot o backdoor específico para el hardware (como ha sucedido con algunos modem/routers 4)  o un ataque de DNS hijacking (5).
Es común verlos tanto en hogares como en empresas y es un riesgo de seguridad que casi nunca tenemos presente.

La solución (o mas bien mitigación de los riesgos) por parte de ANTEL es deshabilitar el puerto telnet en estos equipos y el reseteo de las claves correspondientes, y por parte de los fabricantes mantener actualizaciones del software.

Esto fue notificado al CSIRT-ANTEL  y me respondieron rápida y amablemente que esto estaban trabajandolo.

 

ZTE

 

1 http://enterprise.zte.com.cn/en/products/network_lnfrastructure/broadband_access/xpon_olt/201401/t20140109_416587.html
2 https://www.shodan.io/report/qmXnnJUs
3 https://es.wikipedia.org/wiki/Telnet#Problemas_de_seguridad_y_SSH
4 https://w00tsec.blogspot.com.uy/2016/09/luabot-malware-targeting-cable-modems.html
5 https://en.wikipedia.org/wiki/DNS_hijacking

DNSCrypt o cómo asegurar nuestras consultas DNS

cristian Deja un comentario

Cuando usas HTTPS o SSL para navegar, consultar correo o usando algun otro programa estas haciendo que tu tráfico sea encriptado (generalmente)

Pero qué pasa con las consultas DNS ? Aun cuando el tráfico sea encriptado,  incluso haciendo uso de una VPN tus consultas a los DNS va en plano.

Esto deja la puerta abierta no solo a ataques de spoofing o MitM (man-in-the-middle) sino que implica que tu proveedor de DNS pueda guardar un registro de tus consultas  y ayudar a espiarnos a gobiernos e instituciones.

DNSCrypt nos viene a ayudar a proteger nuestras consultas DNS.

update: 02/02/2018

El proyecto original murio, quedaron como alternativas:

dnscrypt-proxy

DNSCurve

o el recomendado por los desarrolladores originales: DNS-over-TLS, tenta es un browser para android y da unas guías de como usarlo.

DNSCrypt

Qué és?  Según wikipedia:

DNSCrypt es una implementación de DNSCurve, que sirve para cifrar el tráfico  DNS entre el ordenador del usuario y los servidores de nombres de OpenDNS. La implementación de DNSCrypt en OpenDNS se puede realizar mediante la  instalación del servicio DNSCrypt.org.

Este programa corre en *nix, OSX, Windows, Android, iOS y algunos routers, tanto el servidor
como el cliente tiene sus fuentes en github (https://github.com/jedisct1/dnscrypt-proxy)
con permisos para usar, copiar modificar y/o distribuir.

La instalación es simple (está en paquetes de ubuntu), está bien documentada y su puesta a punto es sencilla.

Básicamente su funcionamiento es:

El cliente traslada la consulta regular a una consulta autenticada, la reenvía a un servidor DNSCrypt y la respuesta la verifica y la reenvía al cliente si esta es genuina.

Interesanet es ver el protocolo QUIC (Quick UDP Internet Connections https://en.wikipedia.org/wiki/QUIC) interesante ver que esta relacionado con Chrome, SPDY y HTTP-2.

También se puede configurar para usar UDP/ TCP en el puerto 443, este puerto generalmente no está bloqueado por los routers o ISPs como sí puede estarlo el puerto estándar DNS o alguno otros puertos pero puede ser mas lenta la respuesta.

Sin lugar a dudas no es la solucion, que seria su uso en conjunto con DNSSec pero es una
capa mas de protección a agregar a nuestro arsenal digital.

Algunas capturas de wireshark.

Normal DNS
Consulta normal DNS

 

Con DNSCrypt
Con DNSCrypt

 

Ransomware infecta a compañías a través de RDP

cristian Deja un comentario

En Uruguay una búsqueda rápida en shodan nos da que puede haber más de 2000 equipos vulnerables (Equipos Windows), lo que demuestra una vez más la falta de conciencia en la seguridad de las redes y los datos.

Posibles afectados por ransomware via RDP expuesto en Uruguay

Los atacantes armados con ransomware buscan vulnerar a empresas a través de un hoyo encontrado comúnmente en los mal asegurados servidores de escritorio remoto visibles desde Internet de la red de las organizaciones.

Según Wouter Jansen, especialista forense en TI de Fox-IT, la compañía ha sido llamada últimamente por una serie de empresas que se han visto afectadas con ransomware, y un subconjunto de estas ha dejado que los atacantes y el ransomware entren a través del canal mostrado en la imagen:

«Las entradas en los archivos de bitácoras muestran que los atacantes consiguieron acceso a los servidores mediante ataques de fuerza bruta a usuarios y contraseñas en los servidores de escritorio remoto visibles desde Internet. Día tras día, los intentos fallidos de inicio de sesión que se registran provienen de cientos de direcciones IP únicas probando cientos de nombres de usuario únicos», señaló Jansen. «Después de atacar a las credenciales por fuerza bruta para obtener acceso a un servidor de escritorio remoto, los atacantes pueden hacer cualquier cosa en el servidor o la red con los permisos que tenga la cuenta de usuario comprometida.»

En el pasado eso significaba que los atacantes, en general, intentaban obtener datos que pudieran vender en el mercado negro, añadir al sistema comprometido a una red de bots o usarlo para enviar correos electrónicos no deseados. Sin embargo, algunos de los atacantes han cambiado al uso de ransomware en un esfuerzo para obtener ganancias forma rápida y evitar complicaciones posteriores.

«Dependiendo de la segmentación y segregación de la red, el impacto del ransomware que se ejecuta desde una estación de trabajo en un cliente de la LAN puede estar limitado a los segmentos de red y recursos compartidos de la estación de trabajo y los que la cuenta de usuario afectado puede alcanzar. Desde un servidor, sin embargo, un atacante podría ser capaz de encontrar y llegar a otros servidores y cifrar los datos críticos de la empresa para aumentar el impacto», señaló Jansen.

Los atacantes también pueden tratar de descubrir cuándo se llevan a cabo las copias de seguridad con el fin de decidir cuándo ejecutar el ransomware para obtener la máxima eficacia. Por lo general son exitosos manteniendo oculta su presencia en la red corporativa hasta que desencadenan el malware.

Afortunadamente, este tipo de ataque puede ser fácilmente frustrado por los administradores. Hacer que el servidor de escritorio remoto sea inaccesible de forma remota no es posible, por lo que las cuentas de usuario con acceso remoto deben tener una contraseña compleja y difícil de adivinar, adicionalmente se puede implementar la autenticación de dos factores o la verificación de dos pasos y la conexión remota debe estar cifrada.

Fuente: Help Net Security RC