Protección contra el SCAM

Esta es una pequeña guía para evitar se víctima de un ataque basado en Ingeniería Social mediante uso del correo electrónico, pero no limitado a este. Los comentarios son bienvenidos.

Evite el uso de servidores de correo gratuito (Outlook, Gmail,Adinet,etc ) Estos están bien para un uso “domestico” pero no para una empresa. Establezca un dominio corporativo y que ese sea el canal de comunicación oficial de su organización.

Tenga cuidado con lo que publica en las redes sociales, incluso en su web institucional, sobre todo información especifica sobre una tarea/trabajo, información jerárquica detallada o simples “out-of-the-office” la ingeniería social hace uso intensivo de muchas fuentes de información y realiza inteligencia sobre la misma.

Desconfíe de solicitudes de confidencialidad/reserva o de realizar algún tipo de operación con mas celeridad de lo normal, sobre todo si esta operación es fuera de lo común.

Considere otras medidas de seguridad adicionales tanto a nivel de IT, Financieras o de autenticación/autorización. Incluya métodos de autenticación/autorización complementarios.
Tenga cuidado con los cambios bruscos en las prácticas organizacionales, si un cliente/socio pide de repente ser contactado a través de su dirección de correo electrónico personal cuando todo el intercambio se a realizado a travez de el correo corporativo, esta solicitud podría ser fraudulenta. Siempre verifique por otros canales que posea con su cliente/socio antes de realizar algún tipo de operación que sea fuera de lo normal.

Establecer otros canales de comunicación, tales como llamadas telefónicas/Videoconferencia, para verificar las operaciones delicadas y sensibles.
Trate de implementar otro método de autenticación para las operaciones fuera del correo electrónico.

Uso de Firmas electrónicas: Ambas lados de una transacción deberían utilizar firmas electrónica, estas pueden ser usadas para firmar o encriptar la información. Sin embargo, esto no funciona con muchos servicios de correo electrónico basados en la web.

Eliminar Spam: Tratar de eliminar inmediatamente correo electrónico no deseado (spam).
NO abra el correo electrónico no deseado (SPAM).
NO haga clic en los enlaces o abra archivos adjuntos de estos correos, a menudo contienen malware que podrían facilitar el acceso a sus sistemas o ser víctima de algún tipo de ataque.

Reenviar vs. Responder:
Es deseable que no utilice la opción “Responder” para responder a todos los correos electrónicos empresariales que puedan ser sensibles o tenga dudas sobre su origen, en su lugar utilice la opción de “Reenviar” y escriba la dirección de correo electrónico de la persona a contactar o seleccionela de la libreta de direcciones para garantizar que es la dirección correcta de su contacto.

Basado en recomendaciones del FBI para empresas

SSL del Correo Uruguayo

Hace tiempo que vengo viendo que muchos sitios del estado usan certificados SSL emitidos por El correo Uruguayo, tengo clientes en el estado y la regla es comprarle a este emisor y no a otro, creo que viene mas que nada por lo legal y practico para comprar entre dependencias del estado, ya que los otros 2 en Uruguay son Abitab y la Asoc. de Escribanos (que no tenian infraestructura que alguien me corrija si me equivoco.)

La cuestión es que cualquier navegador que uses no te valida el certificado de “El Correo” por no ser una entidad certificado valida.
Correo ROOT CA

El colmo de esto es que entrando al portal de “ahiva” del El correo veo que ni ellos mismo certifican sus propios sitios!

ahiva godaddy rootCA

Siendo que para utilizar e-factura el certificado tiene que ser de “El correo” y viendo que ni ellos mismos confían en sus productos es preocupante, mas cuando todo (casi) usa este CA para cifrar sus comunicaciones.

Significado LED ZTE f660

Los modems ZTE parecen ser el estándar de Antel para la instalación de la Fibra, algunos no han tenido dramas, pero otros se cortan constantemente.

POWER: Verde El dispositivo esta encendido.
OFF: El dispositivo esta apagado. (tienes corriente ?)

PON:  Verde La ONT esta registrada en la central y lista para activar.
OFF :  La ONT no se registra en la central.
Verde parpadeante: La ONT esta tratando de ser registrada por la central. (esperar y llama 0800 1199)

LOS Rojo: La ONT recibe la potencia óptica anormalmente. (esperar y llama 0800 1199)
OFF: La ONT recibe la potencia óptica normalmente.

ALARM Rojo: El aparato esta defectuoso. (esperar y llama 0800 1199)
OFF: El aparato funcionando OK.
Parpadeante: El aparato esta descargando o actualizando la versión.

LAN1- Verde: La interfaz de red esta conectada pero no se trasmite datos.
LAN4 OFF: El dispositivo no está encendido o la interfaz de red no está
conectado con un dispositivo de red. (Chequea cable al router o equipo)

POTS1/2- Verde: El dispositivo esta registrado, pero no se están transmitiendo datos.
OFF: El dispositivo no se registro o no esta encendido.
Parpadeante: Los datos se estan transmitiendo.

WLAN Verde: Wifi esta encendido.
OFF: Wifi apagado.
Parpadeante: Los datos se están transmitiendo.

WPS Amarillo” WPS se esta estableciendo.
Verde: WPS esta completo.
Rojo: WPS fallo.

USB Verde: La interfaz USB está conectado, pero no esta pasando datos.
OFF: La interfaz USB no está conectado a un dispositivo de almacenamiento.
Parpadeante: Se esta transmitiendo datos por la interfaz USB.

Battery Verde: La batería está en su lugar y en buenas condiciones.
OFF: La batería no está en su lugar o haya expirado
Parpadeante: La batería está en su lugar, pero en estado anormal.

 

Captive portal en PFSense

Recientemente tuve que armar un firewall para mi trabajo  para acceso inalámbrico de usuarios a la red, que implicaba ciertos requerimientos de seguridad entre ellos limitar el acceso de cierta manera.

Esto lo llevé adelante con un viejo equipo (Celeron 1.3Ghz 512MB Ram, 3 NICs y 40HDD) usando pfsense como Software, un excelente appliance de firewall basado en FreeBSD.

Con él, brindo DHCP leases para la LAN y DHCP para la wifi, ambas interfaces con DNS Forwarder, requisito básico para que el portal cautivo funcione correctamente. Como HW APs estamos usando Ubiquiti Unifi, que necesitan de un controlador (software) instalado en el mismo pfsense (java requerido) que brinda unas funcionalidades muy interesantes.

Lo que no me gustaba era el  portal cautivo, el cual pfsense permite crear uno propio para login (entre varias cosas interesantes que se puede hacer), me encontré con el problema de la visualización en dispositivos móviles (smartphones, tablets,etc) así que adapté una página de login que se adapta al dispositivo.

Como no di con nada “bonito” es que dejo a disposición la siguiente: acá.

 

Gracias Gabriel por las correcciones. 🙂

 

Vhost, SVN, Apache2

Hace algún tiempo que instale el servidor SVN en uno de nuestros servers con el fin de usarlo para motte. Como siempre pasa, por poco tiempo y falta de planificación ahora motte creció y tenemos hosteados varios proyectos, con lo cual se creo svn.codigolibre.net, ahora el tema que teníamos antes es que estaba pensado el SVN en un principio para un solo proyecto, el framework motte, con lo cual el versionado venia bárbaro, pero al subir cosas dentro del mismo repositorio los demás proyectos comenzaron a tomar el mismo numero de versionado que motte, con lo cual es una #@$&, así que migre el viejo SVN y su configuración anterior a un Vhost de apache2 usando DAV_SVN, con esto gano, en que separo los proyectos, quedan versionando individualmente y puedo ponerlo en cualquier dominio!, así que voy a intentar explicar como realizar esto, y que quede funcionando, de momento esta sobre http, pero pasarlo a https no es tan difícil! 🙂 y estoy buscado como enjaular el svn.
Leer más

Samba 3, Win98

Hoy en la mañana me dejo loco un windows 98, que no se conectaba al samba de la empresa, el sabado habia actualizado el servidor, que hace 5 años venia con debian estable, y que se habia cambiado el fierro a un AMD64 y seguiamos usando el debian stable de 32 bits.

Despues de una larga targe de apt-get el día sabado, ya que anteldata esta mal (que raro no!) restaure las configuraciones del samba sin dramas, así como los .tdb los verifique, probe de lo que tenia a mano, mi laptop con GNU/Linux y una maquina de la empresa con XP. barbaro, todo andando ! me voy.

Hoy, me llaman temprano, la maquina con 98 no se conecta… pensé (a veces pasa), me habrá quedado mal el usuario, toda la mañana luchando, nada… me sentía frustrado, samba me estaba ganando! y no tenia idea de por que. Los logs no me daban mucha informacion, lo unico que veia el el IPC, y mas nada… Leer más

SSL, Courier IMAPs y certificados de CACERT

En la empresa tenemos corriendo algunos servidores con IMAPS, mas específicamente Courier, si bien podemos certificarnos nosotros mismos, decidimos usar una entidad certificadora, que crea certificados sin costo alguno, es CACERT. Para eso vamos a seguir unos pasos muy sencillos.
Vamos a usar OpenSSL así que debemos tenerlo instalado.

Bien, primero creamos la key del servidor para encriptar y firmar

Leer más

Revivir un WAP54g v3 y subirle el fw HyperWAP

Hace unos días coloque en un cliente un AP (linksys wap54g v3) con wap y demás cosas, pero la potencia que me daba con las antenas comunes no llegaba a cubrir el 100% del área en donde se necesitaba, así que antes de poner una antena externa, investigue y encontré varios sitios en donde se decía que cambiando el fw se podía pasar de 42 a 84 mw, con lo cual en teoría debería de cubrir lo que antes lo hacia de manera precaria!

Baje el fw, pero nunca preste atención a que era para el wap54g (si el mismo modelo) pero v1, y luego de subir y que se reiniciara el AP paf! nunca mas arranco. Como siempre pasa en estos aparatos en toda Internet abunda los sitios en donde te dice como flashear, pero todos eran para la v1 o v2 y el mio es un v3. El cambio es bastante notorio, por que mientras que en el otro debía puentear los pin 15 y 16 del Intel Flash en la parte de abajo de la PCB. en esta versión no había ningún Intel; Sino un SST39VF1601. En esta versión del AP la pata 15 no esta conectada a ningún lado, Entonces investigue un poco mas y encontré que para poder revivirlo tenemos que hacer lo siguiente.

El pin 16 de SST debemos de conectarlo a GND, hay un punto cercano, ( lo pueden ver en las imagenes ) Este corto produce que se genere un checksum error durante la carga, dejandonos el AP en la IP por defecto (192.168.1.245 clave: admin) y esperando una nueva fw.

Bueno soldamos entre el pin 16 del integrado SST ( o el pin 5 del zocalo en donde iria el chip Intel ) siempre contando desde la marca en el IC, después cada 5 pin hay una linea blanca o sea que no es muy difícil perderce. PERO OJO si no están seguros cuenten bien, ya que si conectan mal pueden matar el IC SST y chau AP!.

Luego de haber hecho el puente, a encenderlo y luego de unos 2 seg, deben de cortar el puente, siempre con el AP conectado así que CUIDADO! entonces haganle un pin desde su maquina a 192.168.1.245 y si responde es que todo salio bien!

Luego usando el FW correcto que lo adjunto al final de la pagina

desde Windows :

tftp -i 192.168.1.245 PUT path_archivo.trx

desde GNU/Linux (*nix)

atftp 192.168.1.245
atftp> trace

atftp> timeout 1

atftp> put archivo.trx

La re programación dura unos 2 min, pero dejenlo unos mas!, luego reinicienlo y apaguen y prendan hasta que puedan acceder a la pagina! y desde ahi lo pueden configurar de nuevo a su conflagración original, y en la parte de Advance settings del wireless van a ver que pueden aumentar la potencia de 42 a 84 mw el máximo disponible para este FW, así como también tienen hasta el canal 13 y la opción de poder elegir que antena usan para Tx y para Rx.

Espero que les sirva! y NO ME HAGO RESPONSABLE SI HACEN ALGO MAL O NO LES FUNCIONA, LO HACEN BAJO SU PROPIO RIESGO!

sst_wap54gv3.jpg

 

wap54g_v3-30402-hyperwap_v3.zip