SEGURIDAD Y AUDITORIA DE SISTEMAS

Uno de los motivos por el cual me decidí a escribir en un blog fué la de recopilar, para mi gente, y para mi mismo, la información que voy estudiando y ordenar de alguna manera este conocimiento. Voy a intentar mantener este post vivo, actualizando conforme vayamos viendo herramientas y procesos que nos sirvan para realizar un test de penetración. No voy a seguir ninguna guia ni metodología concreta, ya que hay varios por internet, y pretendo darle un enfoque práctico al asunto. No obstante, si quereis "formalizar" este proceso, podeis buscar información en : OWASP OSSTMM ISSAF NIST Las etapas que considero necesarias, y que seguramente iremos ampliando/reduciendo son las siguientes NOTA no necesariamente los procesos o herramientas pertenecen a una única fase: Pre-engagement Interactions : En este apartado básicamente se define el ámbito y alcance del test de intrusión. Se llega a un acuerdo con el cliente acotando la profundidad de las pruebas a real

El Departamento de Estado de EEUU y el FBI han anunciado la detención de 10 personas en siete países y el fin de una red que logró infectar 11 millones de ordenadores en todo el mundo y que causó más de 850 millones de dólares (653 millones de euros) en pérdidas. Todo ello gracias a la colaboración de Facebook. La operación ha identificado redes cibercriminales vinculadas a variantes del 'software' malicioso Yahos y la 'botnet' Butterfly, un amplísimo sistema de robo de datos de tarjetas de crédito, cuentas bancarias y otrs daos personales de usuarios de ordenadores. El equipo de seguridad de Facebook ayudó al FBI después de que los troyanos fuesen dirigidos a sus usuarios desde 2010 hasta octubre de 2012, según ha asegurado en un comunicado el FBI. La red social ayudó a identificar a los criminales y las cuentas afectadas. Sus "sistemas de seguridad fueron capaces de detectar cuentas afectadas y proporcionar herramientas para eliminar estas amenazas"

Incomprensiblemente, Microsoft no cuenta con ningún método gráfico o herramienta nativa para conocer cuándo ha sido modificada una rama del registro. Aunque existe ya un programa de Nirsoft para mostrar este dato, no funciona en línea de comando, ni permite ver los milisegundos. Este es el hueco que cubre RegistryDate. Hemos creado una herramienta muy sencilla. Simplemente, se especifica en línea de comando la rama que se desea consultar y muestra la fecha de última modificación. Permite también buscar ramas modificadas entre dos fechas. Esto es muy útil para análisis forenses. Por ejemplo, para saber en qué momento se añadió una clave a la rama HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion Se podría hacer una búsqueda del tipo: RegistryDate.exe HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion 27-11-2012:12.00 27-11-2012:12.14 y buscará todas las ramas que hayan sido modificadas durante ese periodo de tiempo (entre las 12.00 y y las 12.14 del 27-11-

Guía recién publicada por ETICOM y NIMBOSFERA dirigida a las empresas sobre cómo desarrollar el modelo de negocio en cloud computing. descargar: aqui . Las empresas están externalizando su infraestructura de TI para reducir costes, lograr una mayor flexibilidad y mejorar la competitividad. Esta tendencia es probable que se intensifique y se amplíe para incluir la mayor parte del mercado de software empresarial. IDC pronostica que el mercado del software como servicio (SaaS) se espera que crezca a 30 mil millones de euros para el año 2014, a una tasa de crecimiento anual compuesto del 25,3% La rápida aparición de aplicaciones de negocio en Cloud ha demostrado claramente que existe una importante demanda. Creemos que estecambio está fundamentalmente impulsado por la demanda de los clientes, no por la industria de la tecnología. La mayoría de las empresas demandan la informática en Cloud para que puedan obtener los beneficios de la solución a un coste reducido. Cloud puede

La información confidencial relacionada con datos críticos de servicios y aplicaciones sobre servidores web se expone cada vez más debido a una deficiente gestión de los administradores. Esto, facilita el acceso de terceros por medio de buscadores web. En publicaciones anteriores hablamos sobre paneles de administración web y credenciales de acceso al descubierto. El problema planteado en ese caso era sobre un panel web específico donde se generaba un archivo conteniendo información sensible que podía ser utilizada por un atacante para ingresar al propio panel. Se ha descubierto que a través de búsquedas específicas en Internet, es posible acceder un sinfín de archivos que contienen información confidencial. A continuación puede visualizarse una captura con los resultados de una búsqueda donde se obtienen datos sobre usuarios y contraseñas de diversos sitios en formato XLS (planillas): En el caso anterior, se obtuvieron resultados que arrojaron archivos en formato XLS que contie

Kristin Paget ha sido contratada como nueva trabajadora de Apple, de acuerdo a lo que se ha reportado estos días. Antigua hacker que colaboró con Microsoft, se espera poder aprovechar todo el conocimiento de esta mujer para mejorar la seguridad del sistema operativo Mac OS, que opera a los equipos de Apple. A pesar de que Apple se ha dado a conocer por sus dispositivos bastante seguros, a lo largo de este año vimos como diferentes amenazas lograron atacar la alta seguridad de la que iOS podía presumir frente a la competencia, y quedó comprobado desde abril que los ordenadores Mac no son inmunes a virus como se creía. Se espera que en sus próximas actualizaciones no vuelvan a tener esta clase de errores, como lo han sido el Troyano Wirenet-1 y también Flashback, el cual provocó muchos dolores de cabeza a mediados de año. Kristin Paget es una hacker famosa que logró ayudar a Microsoft hace algunos años y se encargó de señalar los múltiples fallos de Windows Vista en su tiempo

La justicia estadounidense ha dictaminado a favor de la empresa Patco Construction Company, después de que en 2009 le sustrajeran el dinero de su cuenta online en un banco de Maine por un problema de seguridad. En el momento del hackeo la sucursal correspondía al conocido como Ocean Bank, que actualmente forma parte de la red del People’s United Bank, entidad financiera que tendrá que ahora hacer frente a la multa impuesta por el juez. Según parece, en su ataque, los ciberdelincuentes emplearon malware para extraer con éxito más de medio millón de dólares de la cuenta de la constructora Patco. Desde esa empresa expusieron que el Ocean Bank debería de haber detectado el fraude y haberlo paralizado, y también criticaron que la entidad bancaria no actuara de forma correcta en materia de seguridad, ya que carecía de un sistema de autenticación multifactorial. Se da la circunstancia de que en julio del año pasado un tribunal dio la razón al banco pero no contentos con la sentencia,

Quien no se acuerda de la ya mítica frase "este mensaje se auto-destruirá en 30 segundos"... Uno de los grandes peligros de Internet es que, como nuevo sistema de comunicación, mucha gente aún no es completamente consciente de los peligros que conlleva poner enormes cantidades de información personal en servidores sobre los que no tenemos ningún control. Hoy por hoy existen infinidad de herramientas que de forma automática se dedican a recopilar información personal como por ejemplo MALTEGO o la FOCA, que explotan la red buscando información almacenada en servidores, caché, material no indexado, etc. Esto supone una grave amenaza a nuestra intimidad, pudiendo hacer pública información sensible. Sin darnos cuenta nosotros mismos vamos dejando miguitas de pan que un astuto enemigo puede ir recogiendo hasta llenar la cesta de nuestra desdicha... Ante esto no es descabellado pensar en una autopolítica de gestión de nuestra información y tomar medidas tales como cifrar mensa

Una vez más WhatsApp, y no son pocas las referencias que veo en el blog a esta aplicación. Esta vez unimos el débil proceso de loggin de los usuarios de WhatsApp con el uso de diferentes APIs de programación que permiten interactuar con el popular servicio. Como se indica en la página de WhatsAPI, WhatsApp utiliza una versión modificada de XMPP denominada FunXMPP. En el proceso de loggin se utiliza como JabberID el número de teléfono móvil junto con el código de país (en España 34) y como password se utiliza un MD5. En Android se utiliza el IMEI y en iOS MAC address del teléfono para calcular dicho MD5. WhatsApp nos permite validar si el par numero de móvil y password son correctos mediante una URL. En la imagen inferior se muestra un caso correcto. Las APIs permiten el envío y recepción de mensajes de WhatsApp desde un ordenador. Algunas además permiten también cambiar la foto del perfil de un usuario, su estado o la última hora de conexión, pero todavía no lo he podido proba

En el portal de la OSI se ha publicado la primera entrega de la serie «Asegurando tu Android», Ésta se dedica a proteger el dispositivo para que nadie pueda usarlo o acceder al contenido sin el permiso del propietario. En esta primera entrega de la serie «Asegurando tu Android» vamos a ver las medidas de seguridad que incorpora Android para evitar que un tercero con acceso físico a tu dispositivo pueda usarlo sin tu permiso. El acceso físico al dispositivo podría ocurrir bajo las siguientes situaciones: •Pérdida o robo del dispositivo •Dejar el dispositivo al alcance de otros y sin vigilancia Los riesgos principales de que un tercero tenga acceso físico al dispositivo sin tu consentimiento son: •Uso ilegítimo y robo de identidad. Contempla el uso de las funcionalidades de llamadas telefónicas, SMS (mensajes de texto), MMS (mensajes multimedia), mensajería instantánea (Whatsapp, viber), etc. •Esto implica que se podrían enviar y recibir comunicaciones como si se fuera el propi

Como experto en seguridad que soy, puedo afirmar que no existe una solución que te proteja al 100%. Antes o después ocurrirá un incidente, y cuando ocurra querrás estar seguro que posees los procedimientos, políticas y controles correctos para minimizar daños en caso de una posible inspección. De hecho, no es sancionable la pérdida de datos (los reguladores también saben que no existe una protección 100% segura), lo que acarrea una sanción es no tomar las medidas oportunas para protegernos. En caso de auditoría debes demostrar que estas gestionando el riesgo de una manera adecuada. El séptimo mandamiento de la protección de datos dice que debes tomar “las medidas organizativas y técnicas apropiadas” para proteger esos datos. Obviamente, estas medidas variarán dependiendo del tipo de datos, la naturaleza de la empresa, los recursos disponibles, etc. Pero aquí te presentamos 10 consejos para aplacar la ira de los reguladores. 1. Cifrado completo de disco duro La mayor parte de la

Por Sergio López Pese a que aún no ha salido al mercado, la nueva versión del sistema operativo de Research in Motion, Blackberry 10, obtuvo la máxima certificación de seguridad por parte del gobierno de Estados Unidos. El sistema operativo de la compañía canadiense consiguió la distinción FIPS 140-2, que le permite ser utilizada por funcionarios del gobierno para el envío de documentación oficial. La certificación es entregada por las autoridades de Estados Unidos y Canadá para garantizar el intercambio seguro de información. La ley prohíbe compartir datos gubernamentales por algún medio que no este autorizado. En tanto, Michael K. Brown, vicepresidente de seguridad para Blackberry, destacó la distinción y señaló que es una muestra del compromiso que tiene la marca con la seguridad de sus clientes. RIM es la única desarrolladora de sistemas operativos móviles que ha sido certificada por los gobiernos de mundo con respecto a la seguridad en el intercambio de archivos. Ni App

Las habituales advertencias que piden el apagado completo de los dispositivos electrónicos podrían quedar sin efecto tras una serie de evaluaciones que realizan las autoridades aeronáticas de EE.UU. y el Reino Unido Con el auge de tabletas, libros electrónicos, computadoras portátiles y celulares inteligentes, cada vez son más los dispositivos que debemos desconectar cuando llega la hora de aterrizar o despegar en un avión. La razón que siempre se nos da es que las ondas electromagnéticas de estas tecnologías pueden interferir con los mandos del avión y causar un accidente. Sin embargo, la Autoridad de Aviación de Estados Unidos (FAA por sus siglas en inglés) está tratando de revisar los estudios que argumentan esta medida, lo que podría cambiar en un futuro las normas respecto a este tipo de aparatos. ¿Personal sí y pasajeros no? La decisión de la FAA se debió sobre todo a las quejas del periodista tecnológico del diario The New York Times , Nick Bilton, quien lleva casi un

A estas alturas, cualquier administrador de sistemas que se precie tiene más que claro que la protección de las estaciones de trabajo (tanto sobremesa como portátiles) como los servidores es esencial para mantener a salvo la información confidencial de una empresa. Se invierte mucho dinero y esfuerzo (con un éxito relativo, viendo las continuas filtraciones publicadas por grupos hacktivistas) en evitar que estos sistemas se infecten o que sean accesibles por usuarios no autorizados que puedan comprometer la seguridad. Cuando nos movemos al territorio de dispositivos móviles como Smartphones o tablets, aún hay muchos administradores que dudan o no disponen de los recursos suficientes para llevar a cabo una gestión eficaz de la seguridad en ese campo. Pero si hablamos de otro tipo de dispositivos presentes en la mayoría de empresas, como puedan ser las impresoras de red, el panorama es aun más desalentador. En anteriores ocasiones ya hemos comentado la dudosa seguridad de la que disp

Coincidiendo con su actualización de seguridad los segundos martes de mes, Microsoft lanzará mañana seis boletines de seguridad para solucionar un total de 19 vulnerabilidades en sus diferentes productos, entre ellos Windows 8. Cuatro de los boletines se han calificado como críticos, uno es ‘importante’ y otro es ‘moderado’. Windows 8 y Windows RT recibirán su primera actualización de seguridad. Los parches están diseñados para impedir la ejecución remota de código, lo que significa que solucionarán vulnerabilidades en el sistema operativo que permitiría que alguien pudiera ejecutar código malicioso en el ordenador de manera remota. Además de solucionar fallos en Windows 8, el resto de boletines incluye parches para otras versiones de Windows, incluidas XP, Vista y Windows 7, además de Server 2003, 2008 y 2012. Otros productos de Microsoft, como Internet Explorer 9, así como Microsoft Office 2003, 2007 y 2010 para PC y Office 2008 y 2011 para Mac, también tienen un hueco en los bol

La empresa de seguridad informática BitDefender ha llevado a cabo un minucioso test al sistema operativo de Microsoft, enfrentándolo contra las principales amenazas de malware presentes en internet. En total, se emplearon las 385 muestras de malware más populares del mercado en los últimos seis meses, y los resultados mostraron que solo 61 de ellas acabaron infectando al sistema operativo. Se trata de un porcentaje del 15,84 por ciento, lo que implica que aunque no parece un número exagerado, no es conveniente desactivar la solución de seguridad Windows Defender, que viene incluida por defecto en Windows 8, si se quiere evitar riesgos. Prueba de ello es que en las pruebas que fueron realizadas sin esa protección antivirus, el número de positivos por culpa del malware subía hasta el 60,78 por ciento. En cualquier caso, teniendo en cuenta que Windows 8 acaba de nacer, lo normal es que vayan apareciendo nuevas amenazas de malware específicamente diseñadas para ese sistema y los r

U n investigador demostró lo sencillo que es acceder a agentes externos a los dispositivos que monitorean del corazón. El hecho de que un hacker ingrese a tu computadora y acabe con tu reputación ya es suficientemente atemorizante. Sin embargo, el daño que puede provocarle a tu cuerpo es aún peor. Una reciente investigación demuestra que los marcapasos pueden ser interferidos por atacantes, quienes pueden mandar ondas eléctricas letales a sus portadores, para entender esto, es importante saber: ¿Qué es lo que hace un marcapasos exactamente? Un marcapasos es un dispositivo eléctrico que ayuda a controlar los latidos irregulares del corazón mediante impulsos eléctricos. Es del tamaño de un reloj de bolsillo y es colocado debajo de la piel cerca del corazón. ¿Se hackear con facilidad? No fácilmente, sin embargo es 100% posible, mencionó Barnay Jack, Director de Investigación en Seguridad para la compañía IO Active. En una conferencia reciente, Jack utilizó una computadora port

Un grupo de investigadores de la universidad de Cambridge han descubierto una vulnerabilidad en el sistema de seguridad que llevan las tarjetas con chip. Según este método, se podría llegar a clonar una tarjeta de crédito y efectuar una transacción fraudulenta. EMV es un estándar de interoperabilidad desarrollado por Europay, MasterCard y Visa en los años 90 para la autenticación de pagos mediante tarjetas de crédito y de débito. Este nuevo sistema se planteó para sustituir a las inseguras tarjetas con banda magnética, cuyo sistema de seguridad no era suficiente para impedir su clonación. Desde hace varios años, las tarjetas están abandonando la insegura banda magnética en favor del chip incrustado que contiene información cifrada. El acceso a la información requiere un código PIN secreto para que la operación se lleve a cabo correctamente. A grandes rasgos, el proceso a la hora de efectuar una transacción es el siguiente: a) Cuando un terminal o ATM (Automatic Teller Machine) qu

Especial desde Valencia, (ESPAÑA) La firma de seguridad S2 Grupo ha presentado la segunda edición de su informe sobre ‘Protección de infraestructuras críticas’, que evalúa el nivel de vulnerabilidad de este tipo de sistemas en España. Mediante una simulación en su centro de operaciones, la compañía ha mostrado cómo puede producirse un ataque de estas características y de qué manera es bloqueado, si se disponen de los servicios adecuados. Las infraestructuras críticas son aquellas que prestan un servicio esencial al ciudadano. En España existen más de 3.500 y, aunque la lista es secreta, hay algunas que son fácilmente deducibles. La red de electricidad, la de agua potable, la industria nuclear o entornos concretos del Ministerio del Interior tienen este carácter que impone la necesidad de mantenerlos altamente protegidos. Anteriormente la actividad de una infraestructura crítica, como puede ser un proceso industrial, estaba aislada. Sin embargo, la conexión de estos sistemas a Int

El Instituto Nacional de Tecnologías de la Comunicación, INTECO, a través de la Oficina de Seguridad del Internauta (OSI) y del portal Menores OSI, presenta la primera edición de la « Guía de actuación contra el ciberacoso » para padres y educadores, un documento que pretende acercar a los usuarios no sólo cómo detectar el fenómeno, sino también cómo actuar ante esta situación. La edición de esta guía es una de las iniciativas contempladas en la organización del “Mes de la Seguridad Cibernética” organizado a nivel europeo por la Agencia Europea de Seguridad de las Redes y la Información (ENISA), y coordinado en España por INTECO. El hecho de que los menores de nuestro tiempo, los llamados «nativos digitales», viven en las nuevas tecnologías es una realidad incontestable. Esta capacidad de acceso a múltiples fuentes de información, la posibilidad de estar hiperconectados con sus compañeros y todas las ventajas que trae esta realidad, no ha impedido la aparición de riesgos. Ante est

Introducción La delincuencia organizada cada vez más tiene en los medios electrónicos elementos para materializar acciones criminales, maximizando sus logros y minimizando sus posibles consecuencias. En este sentido, la persecución de criminales a través de internet, se ha convertido en la nueva frontera de la investigación criminal, que busca desarrollar y evolucionar el pensamiento de los criminalistas y fortalecer las competencias técnicas requeridas para identificar, procesar y condenar este nuevo tipo de conductas punibles. En este sentido, se advierte que los nuevos delincuentes informáticos se pasean sin control por internet, desafiando tanto la competencia de los administradores de sistemas (en la explotación de la inseguridad de la información), como el sistema de administración de Justicia (poco entendimiento de la delincuencia informática), toda vez que sus acciones, no son rápidamente analizadas e investigadas para proferir un fallo, situación que anima este tipo de comp

Lo mejor es combinar letras, números y símbolos. Hay aplicaciones para organizarlas. El mundo tecnológico está lleno de contrasentidos . Así, varios manuales de seguridad online señalan que cuanto más compleja y larga sea la contraseña, menos posibilidades tendrá de ser violada, pero también de ser recordada. Pensando en la protección, es más efectivo emplear una contraseña bastante larga, de letras mayúsculas y minúsculas, que una combinación corta de símbolos y números, aunque esta última parezca más difícil de razonar. La regla básica y el sentido común sugieren no usar datos que se asocien a la persona . Jamás incluir el propio nombres ni de familiares, tampoco poner números que tengan que ver con la persona, como año de nacimiento, terminación de teléfono, dirección o fechas. Una buena estrategia –apunta Leonardo Granda, ingeniero de sistemas de Symantec– es “si combina letras mayúsculas con minúsculas, números y caracteres especiales, como ‘&’ o ‘$’, aumenta la compl

Las tres empresas han solucionado una debilidad detectada en sus sistemas de correo electrónico al utilizar una clave de encriptación débil. Esta debilidad afecta al DKIM (DomainKeys Identified Mail), el sistema de seguridad utilizado por los principales proveedores de correo electrónico y que codifica los mensajes y verifica el dominio a partir del que se envía el mensaje para facilitar el descarte de los mensajes falsos de los legítimos. Según señalan los expertos, el problema reside en el hecho de que las claves con menos de 1.024 bits son débiles y los hackers lo aprovechan para llevar a cabo sus acciones contra la seguridad de los sistemas. En esta ocasión, el problema se detectó cuando un matemático de Florida, Zachary Harris, recibió un email con una oferta de trabajo y se dio cuenta de que Google utilizaba una clave de tan solo 512 bits, por lo que decidió poner esto en conocimiento de los responsables de la compañía. Posteriormente, Google descubrió que el problema no so

Las tarjetas bancarias han supuesto un gran avance para el consumidor y constituyen el producto financiero de los Bancos por excelencia, permitiendo un cómodo acceso al consumidor a distintas operaciones, tales como: pago por medios electrónicos para las compras en línea a través de Internet, retirada y depósito de efectivo en un cajero, pago en establecimientos con TPV en línea u off-line, entre otras. Sin duda, para muchos consumidores, entre la multitud de operaciones que ofrece una tarjeta bancaria, comprar o contratar sin pagar en el momento de la operación o contratación del servicio es una situación tentadora y a su vez engañosa, pues puede generar problemas en el consumidor a la hora de hacer frente a sus obligaciones. El uso responsable y adecuado de la tarjeta implica evitarse problemas posteriores al iniciarse el cobro por parte de las instituciones bancarias y tener consecuencias comprometedoras con su patrimonio. A continuación exponemos información relevante para un