Category Archives: Sin Categoría

Filtración masiva de datos de ecuatorianos

El día de ayer 16/Sep/2019, amaneció el país con la noticia de que existió la filtración de la información correspondiente a 20 millones de ecuatorianos (https://www.elcomercio.com/tendencias/datos-ecuatorianos-filtracion-reporte-seguridad.html).

Hace varios años que los datos de los  ecuatorianos han sido comercializados por personas y empresas. Recuerdo que se vendía la base de datos del los ciudadanos por $50.00 USD, ahora ciertos datos personales, están en manos de todo el mundo.

La información ha sido usada para varios fines, por ejemplo:  para cargar esta información en bases de datos de sistemas que manejan puntos de venta, con la finalidad de no tener que pedir los datos de facturación a los clientes nuevos; ingresas la cédula y tienes el resto de información para generar una factura. Para hacer el famoso marketing telefónico en donde te llaman de empresas que ni conoces a decir que eres cliente y te quieren regalar, viajes, libros, tarjetas de crédito, etcétera. Para el envío de Spam a las cuentas de correo electrónico, etc…

Con el número de cédula puedo realizar ingeniería social, por ejemplo se puede entrar a la consulta de títulos del SENESCYT, para conocer si un individuo tienen o no un título de educación superior; también se puede ingresar a la ANT para verificar si un ciudadano tiene multas de tránsito; al ministerio de trabajo; o al mismo registro civil para adquirir ciertos datos de identidad. Hay varios sitios que entregan información personal y que ahora son públicos.

Esta información puede ser útil para los delincuentes que se dedican a la extorsión. Yo fui víctima de esta modalidad hace varios años. Recibí una llamada a eso del medio día, en la cual un hombre me dijo: «Buenas tardes, con el Ing. David Badillo…». Antes de conocer mi nombre, sabía cual era mi profesión, posteriormente, procedió a darme información adicional y amenazarme con el objetivo que  realice un depósito en una cuenta de Western Union; le colgué y posteriormente me dirigí a la Fiscalía para presentar la denuncia.

Lamentablemente, desde los propios ciudadanos, no tenemos consciencia sobre la privacidad de los datos; muchas veces nosotros somos quienes publicamos datos personales en redes sociales, en las cuales tenemos como contactos a personas que no conocemos.

Es muy importante la educación a todos quienes usamos tecnología, con la finalidad de que conozcan como manejar , sin exponer información que puede ser mal usada y que nos puede causar daño.

La tecnología brinda un sin número de beneficios, sin embargo tal como sucede en la vida real, existen riesgos los cuales pueden provocar problemas. No es una solución dejar de utilizar la tecnología, la solución es aprender como usarla y hacerlo de manera responsable.

Ahora con nuestros datos expuestos bajo versión oficial, debemos tener mucho cuidado con los riesgos que esto genera, es importante que estemos siempre informados.

Activación de TLS en Sendmail

TLS permite asegurar el servicio de correo, mediante un cifrado estándar. Esto quiere decir que se reduce el riesgo de que los correos sean interceptados y leídos por personas no autorizadas.

El presente aporte, trata de como implementar TLS en Sendmail bajo CentOS 6.

Lo primero que debemos hacer, es verificar que estén instalado los siguientes paquetes:

cyrus-sasl cyrus-sasl-plain

Levantar el servicio:

[root@mail ~]# service saslauthd start

[root@mail ~]# chkconfig saslauthd on

Luego generamos los certificados necesarios, para ello debemos eliminar el certificado por defecto (si existe) asociado a localhost:

[root@mail ~]#rm -f /etc/pki/tls/certs/sendmail.pem

Luego ejecutamos lo siguiente:

Ir al directorio:

[root@mail ~]# cd /etc/pki/tls/certs/

General los certificados, llenamos los datos. Ver el tema de:  Common Name (eg, your name or your server’s hostname) []:dominio.com


[root@mail certs]# openssl req -new -x509 -nodes -newkey rsa:2048 -days 1825 -out /etc/pki/tls/certs/sendmail.pem -keyout /etc/pki/tls/certs/sendmail.pem

[root@mail certs]# openssl x509 -subject -fingerprint -noout -in /etc/pki/tls/certs/sendmail.pem

[root@mail certs]# chmod 400 sendmail.pem

Editar el archivo saslauthd:

[root@mail certs]# vi /etc/sysconfig/saslauthd

Dejarlo así:

# Directory in which to place saslauthd’s listening socket, pid file, and so
# on. This directory must already exist.
SOCKETDIR=/var/run/saslauthd

# Mechanism to use when checking passwords. Run «saslauthd -v» to get a list
# of which mechanism your installation was compiled with the ablity to use.
MECH=pam

# Options sent to the saslauthd. If the MECH is other than «pam» uncomment the next line.
# DAEMONOPTS=–user saslauth

# Additional flags to pass to saslauthd on the command line. See saslauthd(8)
# for the list of accepted flags.
FLAGS=»-n 2″

Luego editamos en la configuración del sendmail y en la sección de TLS, le dejamos así:

dnl
dnl #
dnl # Rudimentary information on creating certificates for sendmail TLS:
dnl # cd /usr/share/ssl/certs; make sendmail.pem
dnl # Complete usage:
dnl # make -C /usr/share/ssl/certs usage
dnl #
define(`confCACERT_PATH’, `/etc/pki/tls/certs’)dnl
define(`confCACERT’, `/etc/pki/tls/certs/ca-bundle.crt’)dnl
define(`confSERVER_CERT’, `/etc/pki/tls/certs/sendmail.pem’)dnl
define(`confSERVER_KEY’, `/etc/pki/tls/certs/sendmail.pem’)dnl
define(`confCLIENT_CERT’, `/etc/pki/tls/certs/sendmail.pem’)dnl
define(`confCLIENT_KEY’, `/etc/pki/tls/certs/sendmail.pem’)dnl

Luego ejecutamos el m4:

[root@mail certs]# m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf

Reiniciamos el sendmail:

[root@mail certs]# service sendmail restart

Podemos comprobar que esté activado con telnet, ejecutando ehlo, debe salir 250-STARTTLS

[dbadillo@localhost ~]$ telnet dominio.com 587
Trying X.X.X.X…
Connected to dominio.com.
Escape character is ‘^]’.
220 mail.dominio.com ESMTP

ehlo dominio.com
250-mail.dominio.com Hello  (may be forged), pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE
250-DSN
250-AUTH DIGEST-MD5 CRAM-MD5
250-STARTTLS
250-DELIVERBY
250 HELP

Una vez comprobado lo que nos queda es crear los usuarios y asignar la contraseña, esto lo hacemos:

[root@mail ~]# adduser usuario

[root@mail ~]# passwd usuario

[root@mail ~]# saslpasswd2 usuario

Listo!!!

Lo que queda es en el cliente de correo seleccionar autenticación (TLS acepta cualquier certificado).