Un poco de Phishing educativo

21 02 2013

Ok, hay muchas personas “en la vuelta” que están tanto para hacer dinero fácil, como para molestar simplemente.. o hacer cosas por su gracia.

De cualquier manera, cuando estas acciones inciden en el resto de los usuarios, simples mortales, de mala forma, empieza a molestarme un poco. Todavía no me he topado con ninguno real.. pero como dice Alejando en Spamloco, desde siempre han habido casos de phishing..

Lo gracioso, es que ahora Google habilitó el servicio de “hostear” paginas desde Drive (ex-google docs), por lo que ahora podemos generar sitios web, digamos de alguna forma, dinámicos, hosteados por Google. Esto significa, certificado SSL de Google, dominio real de Google..

Solo nos falta una web “real” de google, con alguna que otra linea extra.. Que mejor ejemplo de login, que el mismo Gmail.

Gmail phishing

Gmail phishing – Click en la imagen para agrandar.

Esta es una captura del sitio de prueba de concepto. El sitio lo pueden ver aqui. Esto ya fue reportado al equipo de seguridad de Google con el ticket #1215078395. La respuesta fue que el servicio esta funcionando correctamente, y que eso seria un uso mal intencionado. Me dieron permiso de dejar publicado el sitio con fines educativos para educar a los usuarios de potenciales sitios de phishing.

Un ejemplo de ataque seria que el atacante envie una cadena de mails con un link al sitio, con un mensaje complejo como tambien con un ejemplo burdo:

“Has visto el nuevo look de Gmail?? http://www.gmail.com/   Si no te gusta, ayudanos a que lo vuelvan a como estaba antes contestando este mail, todos juntos podemos! “

La diferencia esta, como siempre, en la URL. Solo que ahora no vamos a fijarnos en si esta “el HTTPS” porque tenemos cifrado SSL, tampoco es fijarnos en el certificado SSL, porque es provisto por Google. En este caso tenemos que ver el dominio en el cual esta hospedado el sitio. Si bien es un sitio de Google, no es el dominio correspondiente para autenticarse:

Real vs Falso

El dominio para autenticarse con Google es accounts.google.com siempre. Así que ademas de fijarnos que sea una conexión segura (https), que el certificado sea real, debemos fijarnos que si nos piden autenticacion para Google, sea ese dominio (accounts.google.com).

Espero les sirva para difundir a sus usuarios, amigos y/o familiares para mostrarles un caso “real” y hacerles hincapié en las precauciones a tomar.

Quiero agradecerle a “Fachita” Faggiani que me dio una mano en la preparación del sitio.

Anuncios




Trying out Google WAVE

27 11 2009

 

Por fin hemos conseguido obtener una invitación para el nuevo Google Wave. Por lo que aun podemos ver en el logo del mismo, un aviso diciendo “Preview”. De igual forma que antes teníamos el Google Beta, ahora lo es el su nuevo producto Wave.

Le daremos uso por un tiempo y veremos que pasa. Por ahora estamos contentos de tener esta oportunidad y darles una mano a aquellos cerebros que desarrollan este tipo de softwares con lo poco que podemos hacer por ahora. Public Beta testing, jeje.

Algunos links de interes:

http://wave.google.com/

http://googleblog.blogspot.com





Torneo de programacion con Google

13 08 2009

Google presenta anualmente una competencia desde el año 2003 de programacion. Este torneo internacional online consta con varios problemas algoritmicos dificiles, los cuales se deben resolver en un tiempo determinado.

Se permite programar en varios tipos de lenguaje como C, C++, C#, Java, Perl, Python… Con lo que casi cualquiera que sepa programar puede ingresar a la competencia sin tener una desventaja sobre otros. El torneo consta de varias ruedas de 2 horas y 1/2 de duracion, y segun la solucion presentada, el tiempo de resolucion y los errores que se cometan permitiran al competidor el avanzar a la siguiente instancia o no.

Los 25 finalistas participaran en la rueda final en las oficinas de Google en MountainView (Googleplex), con todo pago. Estos últimos 25 serán quienes tengan los premios mas jugosos, siendo el primer premio $5000 dolares en efectivo y claro, el titulo de Campeón del Google JAM. También la posibilidad de trabajar para Google que no es para nada despreciable.

En el 2008 cerca de 11,000 competidores estaban inscriptos, de mas de 128 paises. Yo ya estoy anotado, tu ?

Link: Inscribite al GoogleJAM 2009 (google.com)

Link: Blog de Google LatinoAmerica (google.com)





Los navegadores se desempeñan mejor en Windows XP SP3 que con Windows 7 RTM

11 08 2009

Antes que nada me presento, soy Mauri y soy uno de los nuevos colaboradores del blog, bueno, por ahora eso es lo que necesitan saber, después me seguiré presentando a lo largo de los artículos, pero ahora a lo que importa.

Hace unos días se publicaron varios benchmarks que indicaban claramente que Windows 7 RTM era “ampliamente” mejor que su poco apreciado antecesor, el Windows Vista y el querido por todos, Windows XP. Pero como me caracterizo, vuelvo a repetir… ya me van a ir conociendo, por llevarle ampliamente la contra a lo que dice nuestro editor en jefe ( jaja que color le di ! ) me puse a buscar y buscar hasta que algo interesante encontré, se los dejo para que lo miren.

Performances de casi todos los Web-Browsers disponibles

Performances de casi todos los Web-Browsers disponibles

De acuerdo a una serie de pruebas realizadas por Betanews se descubrió que los 5 navegadores más populares corren un 13% más rápido en un Windows XP con Service Pack 3 que en la última distribución de Windows 7 RTM (Build 7600) y 29% más rápido que Windows Vista con Service Pack 2.

En esta pruebas Google Chrome 3 hizó un trabajo extraordinario en cada iteración, sobre todo cuando se trata de la versiones en desarrollo (Developer Builds), en otras palabras tiene un desempeño en relación con la potencia de unos 19 navegadores juntos de Internet Explorer 7 ejecutándose en Windows Vista SP2. Seguido de Chrome, Safari 4 build 530.19 de Apple tiene la siguiente mejor puntuación, mientras que Firefox se ha quedado ligeramente atrás.

De acuerdo con Google la última versión beta publicada de Chrome para Windows PCs es un 30% que la versión actual estable (con el motor JavaScript V8 y de acuerdo a las pruebas benchmark SunSpider). Es la primera versión que añade soporte para HTML5 incluyendo las capacidades en la etiqueta de video, sobre todo ahora con la adquisición On2 Technologies que podría ser la promesa de Google como elección del códec de video HTML5, ya sea para apoyar a Ogg Theora o para reforzar VP6.



Link: Windows XP runs browsers faster (betanews.com)

Link: Google Chrome faster than all (techcrunch.com)





Windows 7 RTM con graves Bugs

7 08 2009
Microsoft bajo la mirada del mundo.

Hacia poco que un benchmark se había realizado al aun no comercializado Windows 7 obteniendo muy buenos resultados, hasta que apareció un Bug (falla del sistema) enorme.

Windows 7

Las versiones Beta y RC habían sido elogiadas por muchos seguidores de Windows y asombro a muchos opositores de este, pero Microsoft ahora esta en Alerta Roja (Defcon 1, ya vendrán noticias de esto) ya que se encontró un bug importantes en el Windows RTM build 7600.13685, un bug tan grave que amenaza con atarazar el lanzamiento del mismo. Este bug esta relacionado con el muy presente chkdsk.exe.

Cuando se realiza un escaneo a un disco secundario (una partición no booteable o un disco físico secundario) usando el parámetro “/r” (leer y verificar todos los datos de información), la utilidad comienza a consumir memoria de forma tan grotesca y rápida que nos devuelve la conocida BSOD (Blue Screen Of Death, la clásica pantalla azul de error de sistema) y cuelga al sistema, según quienes pudieron poner sus manos en este ultimo build (otros reportaron solo un consumo del 98% de la memoria pero sin la aparición de una BSOD).

BSOD (show en vivo de NIN)

BSOD (show en vivo de NIN)

El bug ha sido confirmado en diferentes tipos de hardware, desde un Intel Atom corriendo en 32-bit hasta un Intel Core 2 Duo en 64-bit, algunos reclamos de Microsoft se oyeron diciendo que era culpa de los fabricantes y sus drivers, pero parece que no han tenido en cuenta que el mismo error aparece corriendo en una VMware Workstation 6.5.2 en su version de 32-bits (una maquina virtual para quienes no la conocen aun). El Explorer.exe, quien maneja esta dichosa utilidad no libera la memoria tomada, aportando una gota mas al ya desbordado vaso.

La dolorosa opción de retrasar el lanzamiento del nuevo sistema operativo es una de las vias a tomar ya que Windows Vista no tiene este error y pareceria que resolverlo podría llevar bastante tiempo (reparar los bugs del Windows Home Server llevo meses para resolver), esto daría ventaja a su competencia eterna, tanto Apple como Google tomaran ventaja de esta situación, pero al menos podrían abstener a millones de usuarios de este error critico. También consideremos que esta opción supondría convertir todos los discos ya pre-grabados y enviados a los fabricantes en basura de forma instantánea.

Apple y Google se aprovecharan de su enemigo herido ?

La otra opción seria lanzar Windows 7 al publico conociendo este error y tratar de resolverlo con un futuro fix (esperamos un futuro próximo); pero esto abriria las puertas a una falla de seguridad fácilmente explotable — simplemente con acceso de usuario simple al sistema se podría dar de baja al OS por completo muy fácilmente.

Una poco probable tercer opción seria que Microsoft solucionara esto rápidamente (en las próximas semanas), sin tener que retrasar el lanzamiento o venderle al publico un OS con fallas en el código. Esto es probablemente fantasioso, ya que Microsoft continuamente afama que ellos no han podido obtener este fallo (reproducirlo en sus equipos de prueba) y se mantienen con su teoría de que el error esta en el harware.

Link: Windows 7 RcTM con fallas (DailyTech.com)





Sincroniza tu celular con Google

18 07 2009

Esto no es nuuevo, pero Google Sync vale la pena ser mencionado, ahora no solo podemos sincronizar nuestro Calendario de Google con nuestro dispositivo mobil (iPhone, Blackberry, S60 o WinMo.. ) sino que ahora tambien podemos sincronizar nuestros Contactos de Gmail, y encima de esto, es GRATIS !

El video despues del corte nos muestra un poco de esto.

Tambien ahora Google presento una nueva herramienta, Google Tasks, que nos permite mantener una lista de tareas a realizar (toDo List) la cual nos agrega los eventos en el Google Calendar, por lo que tambien nos agregara eventos en nuestro Calendario en nuestro iPhone por ejemplo, si lo sincronizamos con Goole Sync.