Agregar un alias a las direcciones de e-mail de Teams

Teams ofrece la posibilidad de enviar un e-mail directamente a un canal. Para ello, primero debemos obtener la dirección de nuestro canal, haciendo clic en los tres puntos al lado del nombre, y seleccionando Obtener dirección de correo. Luego de algunos segundos Teams nos brindará la dirección de e-mail de ese canal. Tengan en cuenta que si seleccionan Quitar correo electrónico, al configurarlo nuevamente obtendrán una dirección diferente. Dentro de configuración avanzada podemos restringir quiénes tienen permitido enviar e-mails al canal (cualquier persona, solo miembros de este equipo, solo dominios específicos). Si el mensaje es enviado desde una dirección o dominio no permitidos, recibiremos un mensaje de rechazo como el que se ve a continuación. Por el contrario, si el mensaje es aceptado, aparecerá automáticamente en el canal de Teams. Pero como habrán notado, la dirección de e-mail del canal no es fácil de memorizar. Al momento de publicado este post, Teams no soporta la personalización de las direcciones de e-mail de los canales. Hay una conversación abierta en los foros de Teams sobre esta funcionalidad. Crear un contacto en Office 365 Sin embargo, hay una alternativa. Desde el centro de administración de Exchange Online podemos crear un contacto dentro de la organización, y asignarle un …

Read moreAgregar un alias a las direcciones de e-mail de Teams

Descubrí cómo Microsoft Teams puede ayudar a mejorar la colaboración de tu empresa

Cuando se trata de colaboración en tiempo real, inmediatamente se nos vienen a la cabeza distintas plataformas: correo electrónico, mensajería instantánea, intranets corporativas, almacenamiento de archivos, administradores de proyectos, entre otros. En el mundo Microsoft, estas plataformas son parte de la oferta de productos de Office 365: Exchange Online, SharePoint Online, OneDrive, Skype for Business, Planner, etc. Pero hay algo que hasta hoy no se había logrado eliminar, y era la necesidad de correr todos estos programas por separado, pasar de uno a otro constantemente, y obligar al usuario a recordar en cuál de ellos había tenido esa conversación con su colega hace algunos meses atrás. Acá es donde entra a la cancha Microsoft Teams. Teams es una plataforma que integra mensajería instantánea (chats), reuniones, archivos, estado de proyectos, todo en un solo lugar. Y esto le permite al usuario enfocarse en lo que realmente importa: su tarea. Equipos y canales Teams utiliza el concepto de equipos y canales. Piensen en los equipos como su actual grupo de trabajo, y en los canales como proyectos en los que estén trabajando. Los equipos pueden ser privados (solo los administradores pueden agregar miembros) o públicos (cualquier persona en la organización puede unirse). …

Read moreDescubrí cómo Microsoft Teams puede ayudar a mejorar la colaboración de tu empresa

Usando CSP para incrementar la seguridad de tu sitio web

Hacía ya algún tiempo venía manejando la idea de implementar CSP en mi blog de WordPress. CSP -o Content Security Policy, por sus siglas en inglés- es un estándar que define un conjunto de orígenes pre-aprobados desde los que un navegador puede cargar recursos cuando visita un sitio web. Ayuda a prevenir ataques de Cross Site Scripting (XSS), data injection, entre otros. Cuando el navegador visita un sitio web tiene que cargar fuentes, hojas de estilo, imágenes, scripts, etc. Por ejemplo, este blog utiliza la fuente Open Sans de Google por lo que cada vez que alguien lo visite su navegador estará haciendo una llamada hacia el dominio fonts.googleapis.com. También utiliza las fotos de perfil de Gravatar, a través de secure.gravatar.com. Y así con el resto de los recursos. Para habilitar CSP, el sitio web debe enviar un encabezado HTTP especial llamado Content-Security-Policy (también conocido como X-Content-Security-Policy). Como alternativa al encabezado HTTP se puede implementar CSP utilizando la etiqueta <meta>. Por ejemplo: Podríamos decir que CSP es una suerte de lista blanca de orígenes y, por ende, una forma de prevenir ataques por inyección de código malicioso. Cada plataforma web tiene su forma de manejar los encabezados HTTP. Para WordPress, por ejemplo, …

Read moreUsando CSP para incrementar la seguridad de tu sitio web

Atacantes lograron eludir la autenticación multifactor

Cuando de buenas prácticas para la protección de nuestra presencia en línea se trata, ustedes saben que mi principal recomendación es habilitar la autenticación multifactor (doble factor de autenticación, o autenticación de dos pasos). Pero los atacantes siempre se las ingenian, y esta vez lograron engañar a los usuarios para hacerse del código temporal (token) necesario para completar la autenticación multifactor. Un reporte publicado hace apenas algunas horas por Aministía Internacional muestra en detalle cómo se dieron estos ataques a cuentas de usuarios de Gmail y Yahoo, incluso a aquellos con autenticación multifactor habilitada. Las víctimas eran dirigidas a un sitio apócrifo, idéntico al de inicio de sesión de Gmail o de Yahoo, técnica conocida como phishing. Una vez que el usuario ingresaba su dirección de e-mail y contraseña, la misma infraestructura en la que el sitio falso estaba almacenada realizaba el intento de inicio de sesión en el servicio real. Si éste requeria la utilización de un factor adicional, lo notificaba al sitio apócrifo para que éste se lo requiriera al usuario. Una vez que la víctima ingresaba el token, el atacante obtenía acceso a la cuenta real. En algunos casos se detectó incluso que el atacante había generado …

Read moreAtacantes lograron eludir la autenticación multifactor

Qué es KRACK, la vulnerabilidad de la que todos hablan

Hace algunos días comenzaba a circular por Internet la noticia de que hoy, 16 de Octubre, se daría a conocer públicamente una vulnerabilidad que afecta practicamente a todas las implementaciones de redes inalámbricas Wi-Fi. Y digo “practicamente todas”, porque la vulnerabilidad afecta a aquellas redes que utilizan el protocolo WPA2 para cifrar las comunicaciones entre el router/AP y el dispositivo cliente (laptop, celular, etc). KRACK, acrónimo de “Key Reinstallation Attack” o “Ataque por reinstalación de clave”, es un ataque al protocolo WPA2, que fue descubierto este mismo año por el investigador Belga Mathy Vanhoef, y aprovecha una vulnerabilidad en el mecanismo de enlace de 4 vias (four-way handshake), que utilizan los routers Wi-Fi y los dispositivos cliente a la hora de establecer una conexión entre ellos. El protocolo WPA2 ejecuta el mecanismo de enlace de 4 vias cada vez que un cliente intenta “unirse” a una red Wi-Fi protegida, y lo utiliza para confirmar que tanto el cliente como el router/AP poseen la contraseña adecuada (pre-shared key o clave pre-compartida). Como resultado de la ejecución del mecanismo de enlace de 4 vias, se genera una clave de cifrado nueva que será utilizada para encriptar el tráfico intercambiado entre el cliente …

Read moreQué es KRACK, la vulnerabilidad de la que todos hablan

Google comenzará a penalizar a sitios no compatibles con dispositivos móviles

Photo by Markus Spiske on Unsplash

Los rumores comenzaron a circular hace algunos meses, cuando el gigante de las búsquedas en Internet adaptó su página de resultados identificando a los sitios compatibles con dispositivos móviles con la frase Mobile-friendly: Días atrás Google puso fin al misterio, asegurando que a partir del 21 de abril próximo pondrá en marcha un nuevo algoritmo de búsqueda que planea “penalizar” a los sitios que no sean compatibles con dispositivos móviles. Mediante un artículo publicado en el blog oficial de webmasters, amplían los detalles de esta decisión indicando que el nuevo algoritmo tomará como señal de ranking si el sitio tiene una versión compatible con dispositivos móviles o no.  En caso que si, el sitio tendrá mejor posicionamiento en la página de resultados de búsqueda. Para los administradores de web, sigue vigente la sección Usabilidad móvil que permite identificar los errores detectados por Google en los intentos de rastreo de su motor de búsqueda y la nueva herramienta de verificación de compatibilidad con dispositivos móviles que, en caso de detectar que el sitio no es compatible con estos dispositivos, ofrecerá algunas sugerencias para mejorar su visualización: En el pasado, Google ya había modificado su algoritmo priorizando en los resultados de búsqueda a aquellos sitios que operen bajo protocolo de transferencia seguro (HTTPS). ¡Hasta la …

Read moreGoogle comenzará a penalizar a sitios no compatibles con dispositivos móviles

GHOST, la primer gran vulnerabilidad del 2015

Photo by Markus Spiske on Unsplash

Qualys, firma internacional de seguridad informática, publicó hace algunas horas los detalles acerca de una antigua vulnerabilidad conocida como GHOST y registrada en la base de CVE (Vulnerabilidad y exposiciones comunes, por sus siglas en inglés) bajo el número 2015-0235. GHOST, quien recibe su nombre del método GetHostByName, fue introducido originalmente en la librería glibc-2.2 que data de noviembre del año 2000 y corregido en mayo de 2013 (en las librerías glibc-2.17 y glibc-2.18). Sin embargo no fue tratado como una brecha de serguridad, por lo que un gran porcentaje de las distribuciones de Linux alrededor del mundo continúan afectadas (Debian 7, Red Hat Enterprise Linux 6 y 7, CentOS 6 y 7, Ubuntu 12.04, entre otros). En cuanto a los detalles técnicos, desde Qualys aseguraron que durante una auditoría descubrieron un desbordamiento de búfer en la función __nss_hostname_digits_dots() de la librería glibc, que puede ser explotado tanto localmente como de manera remota mediante todas las funciones gethostbyname*(). Para verificar la vulnerabilidad, enviaron un correo electrónico especialmente diseñado a un servidor Linux y obtuvieron acceso a la Shell del equipo remoto. Los fabricantes de las principales distribuciones de Linux ya han publicado las acciones que deben tomar sus clientes para …

Read moreGHOST, la primer gran vulnerabilidad del 2015

Puntos clave de la ley “Argentina Digital”

Photo by Markus Spiske on Unsplash

Durante la mañana del día de ayer,  el jefe de Gabinete (Jorge Capitanich), el ministro de Planificación (Julio de Vido), el ministro de Economía (Axel Kicillof) y el Secretario de Comunicaciones (Norberto Berner), anunciaron el envío al Congreso del proyecto de ley Argentina Digital. Este proyecto busca regularizar la normativa vigente sobre los servicios de telecomunicaciones en el ámbito de la República Argentina, que actualmente se rige por la Ley de Telecomunicaciones N° 19.798 que data del año 1972. Si solo contempláramos los últimos cuatro o cinco años, deberíamos decir que esta legislación es totalmente obsoleta. Los puntos clave Declara de interés público el desarrollo y la regulación de las tecnologías de la información, las comunicaciones y sus recursos asociados, garantizando la completa neutralidad de sus redes. Garantiza el acceso de todos los habitantes a las telecomunicaciones, independientemente de la ubicación geográfica en la que se encuentren dentro de la República Argentina. Considera al correo electrónico como un derecho inviolable, al igual que ya lo es la correspondencia postal, y plantea que su interceptación solo podrá ser posible mediante requerimiento oficial de un juzgado. Declara como servicios de Tecnologías de la Información y las Comunicaciones (TIC) a aquellos de transmisión de información como voz, datos, texto, video e imágenes. Incorpora …

Read morePuntos clave de la ley “Argentina Digital”

It’s time to replace SHA-1 certificates

Photo by Markus Spiske on Unsplash
It has been 20 years since SHA-1, the world’s most used encryption method, was released.

SHA-1 is an encryption method developed by the National Security Agency of the United States and is considered a federal information processing standard for the Government of that country. The method of output of SHA-1 produces a 160 bits (20 bytes) secure hash value, equivalent to an hexadecimal number of 40 digits long.

In 2005 were published two investigations in which big vulnerabilities in this mechanism were demonstrated. It happens that the hashes have a natural enemy called “collisions”. Collisions are the possibility of encountering an identifier that is notunique, i.e. that a same SHA-1 represent two different incoming data flows through brute force attacks.

By definition, we could say that there is 1 chance in 1208925819614629174706176 (280) of generating collisions in SHA-1. However, at the beginning of 2005, a group of Chinese researchers reduced the number of attempts to 269. Finally, researches of the Macquarie University of Australia were able to reduce it to 252 (about 2000 times faster than expected).

As a result, the CA/Browser Forum recommended in 2011 start to leave SHA-1 as soon as possible. In fact, the Government of the United States stopped using this mechanism in 2010.

About SHA-2

Read moreIt’s time to replace SHA-1 certificates

El impuesto a Netflix o cómo una mala interpretación puede causar estragos

Photo by Markus Spiske on Unsplash

Hoy, como todos los días, me desperté, puse el canal de las noticias en la TV, respondí algunos mails urgentes y seguí adelante mi rutina con Twitter. Entre tweet y tweet encontré uno de la queridísima @roxe__ en el que hacía retweet al periodista Werner Pertot, quien horas atrás compartía un artículo del portal de noticias Tiempo Argentino. ¿Macri le va a cobrar un impuesto a los que tengan Netflix? ¿Es joda, no? http://t.co/2haMRvVzGZ Buen día! — Werner Pertot (@WernerPertot) September 3, 2014 El título era arrasador: “Impuesto porteño a los que consuman películas por la Web“. Y hacía referencia a la resolución número 593 de la AGIP (Agencia Gubernamental de Ingresos Públicos de la Ciudad de Buenos Aires), publicada el día de ayer en el boletín oficial número 4471, en la que se establece una retención del 3% sobre los ingresos brutos generados por la contratación de servicios de suscripción online para acceder a películas, TV y otros tipos de entretenimiento audiovisual (música, juegos, videos, o similares) transmitidos por Internet o televisión por Cable. [gview file=”https://blog.pablofain.com/wp-content/uploads/2014/09/el-impuesto-a-netflix-o-como-una-mala-interpretacion-puede-causar-estragos.pdf”] Sin embargo, Tiempo Argentino malinterpretó la resolución generando bronca en los usuarios de estos servicios. En su artículo afirma “No queda claro por qué el …

Read moreEl impuesto a Netflix o cómo una mala interpretación puede causar estragos