Entradas

Mostrando entradas de mayo, 2014

Gestión de sesiones en auditorías

La gestión de sesiones puede pasar desapercibida para muchos usuarios, pero es un punto en el que el pentester debe analizar e intentar jugar con ello. Se pueden enumerar un listado de pruebas que se debe realizar a las famosas cookies para comprobar que las sesiones se están realizando de manera segura. Es algo procedimental, aunque siempre hay un toque de experiencia y olfato para llevar a cabo esto.  En primer lugar hay que hablar de los flags secure y HTTP-only . El primero de ellos debe ser enviado desde el servidor al cliente cuando éste inicia sesión mediante el protocolo HTTPS. Este flag indica al navegador que solo puede realizar navegación en este servidor si la comunicación va cifrada. En caso de detectar que un servidor cuando asigna la cookie no está enviando el flag y la conexión debe ser segura, se debe apuntar como fallo de seguridad. En segundo lugar el flag HTTP-only , el cual ha sido trabajado con anterioridad. Este flag evita que código script pued

Detectando celdas falsas GSM/GPRS con Cell Analysis

Imagen
Introducción Durante este último año, investigando los ataques y vulnerabilidades en la red GSM, me di de bruces con el ataque de la estación falsa BTS. Este consiste en un ataque "Man In The Middle" tradicional, en el que el atacante sitúa su propia antena entre nuestro terminal y la red. La base para que este ataque sea factible son dos vulnerabilidades muy sencillas: Nuestro terminal NO autentifica la red GSM a la que se conecta, la supone segura. El terminal se conecta siempre a la celda que mejor nivel de señal le proporcione. Este tipo de ataques han sido documentados en varias conferencias de seguridad; BlackHat 2011, CCC, DefCon, etc. Como muestra el video de DefCon 18, de Chris Paget, "Practical Cellphone Spying" Esto además se complica (o mejora para los posibles atacantes) al poder crear una celda falsa utilizando únicamente un teléfono compatible con osmocom y el software OpenBTS u Osmo-BTS . Ya no es necesario ningún hardware

#Phishing masivo a #BancoFrances, #PagoMisCuentas y #Movistar (110 afectados en 4 horas)

En el día de hoy, en Segu-Info hemos recibido varias denuncias de Phishing del Banco BBVA Francés, Pago Mis Cuentas y Movistar , y hemos podido constatar que ha afectado a 110 personas en poco más de 4 horas. A continuación analizamos el caso completo, porqué ha logrado tanta repercusión y ha tenido tanto éxito en tan poco tiempo. Ante todo se analiza el correo que recibe cada una de las potenciales víctimas y las empresas afectadas, señaladas con una flecha en cada caso... Seguir en SeguInfo

Las pruebas de seguridad son una parte vital de la compra de software

Imagen
Es un hecho de la vida de TI que las nuevas vulnerabilidades de las aplicaciones se crean y se descubren cada día. Por un lado, la creciente complejidad del software y de la cadena de suministro de software hace que sea casi imposible garantizar que el software está libre de vulnerabilidades. Por otro lado, las pruebas de seguridad de las aplicaciones se han vuelto mucho mejores, más baratas y más fáciles, de modo que los proveedores de software no tienen excusa para no probar sus ofertas y evitar los proverbiales “agujeros tan grandes que podría conducir un camión a través de ellos”. Asegurar que se realicen las pruebas adecuadas a todo el software no es un asunto trivial. La categoría de software de negocios abarca una amplia área: desde herramientas de escritorio, hasta suites de planificación de recursos empresariales (ERP); desde servicios de intercambio de archivos, hasta gestión de relaciones con clientes (CRM) basado en software como servicio (SaaS); y desde plataforma

La nueva imperativa de automatización de TI

Imagen
Es difícil discutir con la sabiduría de la automatización de TI. Con ella, los profesionales de TI pueden eliminar los procesos que consumen tiempo y son propensos al error, mejorar los tiempos activos y la satisfacción del cliente, imponer estándares e incluso ahorrar dinero. ¿Qué hay que pueda no gustarle? Bueno, para empezar, están los costos. Luego está la complejidad. También está la batalla entre las herramientas de automatización heredadas y las modernas. Además está la curva de aprendizaje. Luego la curva de aceptación. Finalmente, pero no menos importante, está la pequeña preocupación de automatizarse uno mismo fuera del trabajo. “Hasta cierta medida, todo lo que hacemos en TI es una forma de automatización”, dijo Glenn O'Donnell, analista principal en Forrester Research. “Y sin embargo, nos resistimos a la automatización porque queremos mantener el control”. O tal vez TI se resiste a la automatización porque es difícil. “La automatización siempre es una gran idea

Informe SIR 16 de Ciberseguridad [Microsoft]

Microsoft ha lanzado el nuevo reporte de Ciberseguridad, Microsoft Security Intelligence Report (SIR) v16 en donde subrayan que las mitigaciones de seguridad efectiva aumentan el costo a los ciberdelincuentes. Los datos también indican que los ciberdelincuentes están utilizando cada vez más tácticas engañosas en sus intentos de poner en peligro los sistemas. El informe que se publica dos veces al año ayuda a la comunidad a comprende las herramientas, tácticas y amenazas planteadas por los delincuentes. La investigación llevada a cabo por el equipo de seguridad científico de Trustworthy Computing muestra una caída del 70% en el número de vulnerabilidades graves (aquellas que pueden permitir la ejecución remota de código) que fueron explotadas en los productos de Microsoft entre 2010 y 2013. Este es un claro indicio de que los productos más nuevos ofrecen mejor protección, incluso en casos donde existen vulnerabilidades. Mientras que esta tendencia es prometedor, los ciberdelincue

"El antivirus ha muerto" [Symantec]

Brian Dye, CEO de Symantec (conocida por su antivirus Norton), ha declarado recientemente algo que no deja indiferente a nadie: "Los antivirus han muerto. Ya no pensamos bajo ningún sentido en los antivirus como generadores de dinero", dice. Y es por ese motivo que toda la compañía quiere reinventarse y evolucionar de la misma forma con la que han evolucionado los ataques a nuestros sistemas. ¿Cómo? Dejando de intentar evitar esos ataques (que pueden venir incluso del gobierno para espiarnos) y pasando a minimizar sus consecuencias. Una estrategia que ya están siguiendo varias compañías, como los datos falsos que está introduciendo Juniper Networks en sus servidores para engañar a los atacantes o las protecciones extra en los números de nuestras tarjetas de crédito de Shape Security para que alguien que consiga acceso lo pase mal al intentar hacer una compra. Las firmas antivirus, en un intento por construir inteligencia artificial que ayudara a la detección, "invent