SEGURIDAD Y AUDITORIA DE SISTEMAS

En otros posts hemos hablado acerca de cómo los atacantes utilizan el “malware de última generación” o “amenazas persistentes avanzadas” para atacar a destinatarios muy concretos. Conociendo sus puntos débiles y estudiando minuciosamente las peculiaridades de sus víctimas, los ciberdelincuentes diseñan malware muy específico con capacidad de hacer casi cualquier cosa (extraer información confidencial, controlar cualquier tipo de recurso de forma remota…). Muchos son los casos conocidos en estos últimos meses (New York Times denuncia ataque de hackers chinos, ataques a webs del Gobierno estadounidense, etc). ¿Qué podemos hacer para prevenir y enfrentarnos a estas situaciones? Ya somos conscientes de la situación en la que nos encontramos, pero eso no significa que no podamos hacer nada para evitarlo. Tenemos que reforzar nuestras defensas y prevenir en la medida de lo posible. A continuación, algunas recomendaciones: Controlar el perímetro Por supuesto, el control es más efect

El envío de correo es un sistema que, por definición, carece absolutamente de seguridad. Esto permite que, por ejemplo, sea tan sencillo falsificar un remitente de un email. Para solucionar esto, se han propuesto varios métodos que son como "parches" en el protocolo SMTP. Uno es "Sender Policy Framework" (SPF) que se considera una buena práctica contra la falsificación de correos en general y el phishing en particular. El phishing se suele basar en el envío de correos falsos, que dicen venir de la entidad bancaria. Para conseguir dar credibilidad a estos correos, los atacantes suelen, entre otros métodos, utilizar logotipos de entidad atacada o el envío desde direcciones pertenecientes al dominio de la entidad. Por ejemplo, es más probable que una potencial víctima del phishing dé más credibilidad a un correo que viene de soporte@banco.com, que si viene de soporte@gmail.com pidiendo las contraseñas de la que es cliente. SPF se basa en que un correo de un dominio

Las redes sociales se han convertido, no solo en un lugar en el que compartir nuestras experiencias sino también en un escaparate en el que las empresas muestran sus productos y servicios, a la vez que interactúan de forma directa con los usuarios. Técnicas para conseguir seguidores hay muchas, ya sea pagando o realizando ingeniosas campañas de marketing. No obstante, lo que nunca se debe hacer es engañar a los usuarios como en el ejemplo que vamos a comentar hoy. Durante el día de ayer vimos como varios usuarios colgaban en sus muros una supuesta campaña de regalo de móviles Samsung Galaxy SIII con la esperanza de obtener uno de estos codiciados dispositivos. Esta campaña tenía como origen la página de Facebook de una empresa que prometía regalar 20 de estos smartphones (supuestamente por no encontrarse aptos para la venta) a todos los usuarios que compartieran la publicación y eligiesen el color del teléfono que más les gustara. Esta campaña ha tenido un éxito considerable ya

Hoy le toca el turno a hashcat, una aplicación para obtener contraseñas a partir del hash de las mismas. Esto puede ser de utilidad cuando, en la realización de una auditoría, nos encontramos con una base de datos o un fichero que guarda credenciales cifradas de usuarios. Tuve la oportunidad de probar hashcat hace unos días, y la verdad es que quedé gratamente sorprendido. Algunas de las características más destacables en mi opinión son: •Viene precompilada y optimizada para Windows, Linux y OSX, con versiones de 32 y 64 bits, evitando retrasos y problemas de compilación. •Su versatilidad. Tiene soporte multihilo, soporta muchos algoritmos (más de 50) y permite modos de trabajo avanzados utilizando reglas o tablas de permutación, entre otros. •Es muy ligera. Los hilos que se encargan del grueso de trabajo corren a una prioridad baja, por lo que puedes seguir utilizando el equipo mientras está procesando. •Tiene una versión que utiliza la tarjeta gráfica (GPU) para las opera

Ante el auge del Big Data y tecnologías como el cloud computing, la creación de datacenters eficientes y comprometidos con el medio ambiente y el ahorro de energía se convierte en una necesidad de primer orden. Y ya no solo a nivel ambiental sino también en el económico, ya que un edificio de este tipo gasta más de un 30% de su presupuesto en energía y gastos de mantenimiento. Existe un baremo que mide lo eficiente (o no) que es un centro de datos, y este es el PUE (Power Usage Effectiveness), y se calcula dividiendo la energía total del datacenter entre la energía consumida por los servidores. Cuanto más se aproxime la cifra resultante a 1, más eficiente será el centro de datos, lo que se traducirá en un mayor ahorro para la empresa. Por ejemplo, si un centro de datos tiene un PUE de 2,0, significa que por cada vatio de energía que alimenta a los servidores, otro vatio va para la refrigeración, la iluminación y otros sistemas. Hace un año, Google publicaba el valor de PUE de

En este white paper técnico se explica el verdadero coste total de propiedad de los certificados SSL autofirmados , comparando este tipo de soluciones con las ofrecidas por un proveedor de SSL externo. Es una información que vale la pena tener muy en cuenta antes de optar por los certificados autofirmados. •Diferencia entre los certificados verificados por terceros y los certificados autofirmados •El alto coste de la infraestructura de seguridad SSL •Riesgos técnicos y comerciales de las soluciones SSL desarrolladas internamente por las empresas •El coste total de propiedad (TCO) Fuente: Informes MCPro

Muchas veces la gente pregunta como hacen para saber que paso en un computador, ya sea para saber si desde ese PC se realizo algún acto ilegal o si alguien modifico o realizo alguna operación que no debería haber realizado en esa maquina, aquí les dejare una serie de procedimientos a realizar para obtener evidencia desde un equipo con Microsoft Windows. Parto suponiendo que se ha realizado un trabajo de copia bit a bit del disco duro del equipo afectado, ha sido firmada (hash md5, SHA1), creado su TimeStamp y se esta trabajando desde una copia, ahora realizaremos procedimientos para obtención de la evidencia en la Fase de Análisis de Datos, con base en los logs y recuperación de archivos: - Fecha y Hora de Inicio de la Investigación: Date /t >> c:\evidencia_dragonjar\ Time /t >> c:\evidencia_dragonjar\•Realizar el análisis de Secuencia Temporal (“timeline”) •Búsqueda de contenido •Recuperación de binarios y documentos (borrados o corruptos) •Análisis de códi

Los usuarios de Android están de nuevo en peligro de sufrir robo de información y de ser afectados por una corriente sin fin de spam y de ofertas no deseadas al buscar juegos populares en Google Play y por error, descargar aplicaciones falsas. El último desarrollador estafador visto en el mercado oficial de Android (Google Play) llamado a sí mismo “abbarandon”, ofrece para su descarga versiones “gratuitas” de aplicaciones populares como “Plants vs. Zombies”, “Pro Evolution Soccer 2012” y “Grand Theft Auto III” entre otras. Los usuarios que no lean la descripción, impacientes por descargar los juegos, se sorprenderán al encontrar que las aplicaciones tienen la intención de recolectar su información personal (direcciones de correo, número de teléfono) y de mostrar una variedad de anuncios en la aplicación y en la bandeja de notificaciones del dispositivo. “Pero esto no termina aquí, la aplicación cambiará la página principal de su explorador y le agregará un marcador, además, añ

Actualmente, la práctica de cibersexo y sexting son dos de los fenómenos más comunes entre adolescentes y adultos; mientras la costumbre de enviar contenido explícito en imagen, video o mensajes de texto eróticos puede ser muy atractiva y común para algunos, las consecuencias de esto tienen el potencial de arruinar la vida para cada persona. ¿Qué es el cibersexo? El cibersexo es una práctica que se lleva a cabo por medio de Internet, y comenzó a adquirir mayor fuerza con la aparición de cámaras web más accesibles y mayor ancho de banda en la conexión para transmitir video y voz en tiempo real. Según la investigación Cibersexualidad: Tendencias de la Maestra en Terapia Familiar y de Pareja, Robertha Medina, el cibersexo surge de “la conjunción de lo digital con lo sexual…que engloba una enorme cantidad de actividades que van desde el erotismo escrito con desconocidos hasta la consolidación de vínculos afectivos fuertes y duraderos”. Esta investigación incluye un estudio aplic

Facebook obliga a instalar software de uno de sus socios comerciales como condición de desbloqueo de las cuentas de sus usuarios. Estimados, una tranquila tarde de domingo mientras subía una imagen en Facebook, el sistema me expulsa abruptamente obligandome a un nuevo logueo. Casualmente, me dice lo que pueden observar en la primer pantalla. Resulta que "parece" según Facebook y sus conocimientos sobre mi propio sistema, que mi máquina tiene virus! Parece! No importa, Facebook es tan bueno y solidario, que me dice que me va a AYUDAR... Asombrado,y sin otra alternativa que hacer click en continuar, me sorprendo con esta segunda. Continúa brindandome un buen consejo de seguridad, pero sigue aún sin aportarme nada a la situación, y nuevamente, sin otra opción que continuar. Si bien siempre tengo bastante cuidado en la ejecución de algún tipo de archivo desconocido (más allá de mi propio antivirus de pago y mi firewall), Facebook se encarga de sembrarme la duda...

El avance de las tecnologías de la información ha incrementado las capacidades para procesar datos. A continuación describimos algunas aplicaciones desarrolladas recientemente para recopilar y analizar información personal en redes sociales. La información personal por más trivial que parezca, en grandes cantidades, puede llegar a ser muy relevante para entender el comportamiento y las tendencias de una persona, como el caso de estudio que basado en el lenguaje permite identificar al 80% de los usuarios anónimos en Internet. Apoyados en técnicas de análisis masivo de datos se han desarrollado aplicaciones que procesan millones de datos y arrojan información relevante sobre los usuarios analizados. Uno de estos casos es una aplicación desarrollada por la multinacional Raytheon, contratista de defensa militar para los Estados Unidos. La aplicación conocida como Riot tiene entre sus capacidades hacer un seguimiento de los hábitos de las personas basados en la información pública que t

Durante este último tiempo, desde la compañia Silent Circle, algunos de los criptógrafos más importantes del mundo han estado manteniendo un secreto sobre un nuevo invento que han revelado hace unos días. En octubre, comenzaron construyendo una aplicación de prueba para smartphones que permite hacer llamadas telefónicas seguras y enviar mensajes de texto fácilmente pero actualmente la compañía está impulsando una innovadora aplicación para transferencia de datos cifrados, que permite enviar archivos de forma segura desde un teléfono inteligente o tablet. Esto incluye fotografías, vídeos, localización, hojas de cálculo u otro tipo de archivo que se desee enviar. "Esto nunca se ha hecho antes", cuenta Mike Janke, CEO de Silent Circle. "Va a revolucionar la facilidad de la privacidad y la seguridad". Esta tecnología utiliza la técnica de cifrado peer-to-peer que permite a los usuarios enviar los archivos cifrados con un tamaño hasta de 60 megabytes por medio de

En el post anterior se ha analizado los cambios entre la antigua ISO 27001 (publicado en 2005) y el proyecto de 2013. Naturalmente, los controles de la ISO 27001 Anexo A no pueden cambiar sin cambiar la ISO 27002 porque la esencia de estas dos normas deben estar alineadas. Ahora, echemos un vistazo a los cambios que se proponen en la norma ISO 27002, según el sitio web de BSI). Como siempre es importante hacer notar que, dado que esto es sólo una versión DIS (Draft), la versión final de la norma ISO 27002:2013, diferirá un poco. Aquí me centraré principalmente en la forma en que los controles están estructurados, y no tanto en su descripción. Número de secciones: como era de esperar, el número de secciones ha aumentado de 11 secciones que contienen los controles en el viejo estándar a 14 en el nuevo. De esta manera, el problema en la norma antigua, donde algunos controles se insertaban "artificialmente" en ciertas áreas adonde no pertenecían, ahora se ha resuelto. Núm

Se ha publicado la versión de Wireshark 1.8.5/1.6.13 que soluciona nueve vulnerabilidades que pueden provocar denegación de servicio a causa del procesamiento de varios disectores. Wireshark es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows. Los disectores afectados son: CLNP, DTN, MS-MMC, DTLS, DCP-ETSI, y el propio motor de disección que contiene un error. También el disector NTLMSSP se ve afectado por un desbordamiento de memoria. Los siguientes disectores pueden provocar bucles infinitos: Bluetooth HCI, CSN.1, DCP-ETSI DOCSIS CM-STAUS, IEEE 802.3 Slow Protocols, MPLS, R3, RTPS, SDP y SIP. Las versiones afectadas son la rama 1.8 (1.8.0 a 1.8.4,) y 1.6 (de 1.6.0 a 1.6.12). Todas las vulnera

En esta publicación se ha tocado hasta el cansancio el tema de los ciberataques. De hecho, creo que es el tema principal del medio de comunicación, así que en pocas palabras su existencia está atada al crecimiento, evolución e impacto del crimeware en el mundo. Y vaya que en los últimos años hemos tenidos material de sobra para analizar. Desde 2010, el mundo clandestino de los cibercriminales, hacktivistas y ciber espías nos dejó en claro que no existe empresa en el planeta que sea inmune a un ciberataque, incluso si tu negocio mismo es la ciberseguridad. Recordemos en 2011 a RSA, con un ataque que involucró información relacionada con su solución de autenticación de doble factor. Poco tiempo después Symantec se agregó a la lista y reveló que había sido foco de una brecha, donde parte del código fuente de sus soluciones de endpoint fue comprometido. Si las firmas de seguridad IT son blanco, el resto de las organizaciones con más razón. Arrancamos 2013 con los ya famosos hackeos a

Troy Hunt (Software architect and Microsoft MVP) ha escrito una serie de artículos durante 19 meses y finalmente ha logrado completar un libro electrónico. Según dice, fue una aventura épica de aprendizaje. Escribir la serie lo obligó a conocer su contenido en profundidad. Finalmente el esfuerzo ha sido muy bien recibido por las comunidades de .NET y OWASP y ha decidido convertirlo en un libro electrónico gratis sobre OWASP Top 10 para desarrolladores .NET [PDF] . Además para quien esté interesado en leer la serie y los comentarios originales: 1.Injection 2.Cross-Site Scripting (XSS) 3.Broken Authentication and Session Management 4.Insecure Direct Object References 5.Cross-Site Request Forgery (CSRF) 6.Security Misconfiguration 7.Insecure Cryptographic Storage 8.Failure to Restrict URL Access 9.Insufficient Transport Layer Protection 10.Unvalidated Redirects and Forwards Fuente: SeguInfo

En la web de 4SysOps, han creado una serie de 5 artículos en los cuales nos explican cómo controlar, visualizar y manejar los servicios de Windows desde la consola PowerShell. Puede que controlar los servicios desde una ventana de comandos como PowerShell te parezca muy complicado, pero en estos artículos nos muestran que no. La mayoría son comandos directos, sin utilizar ningún script (sí que usa pipes) , fáciles de entender. Aquí tienes los enlaces a los 5 artículos: •Managing Services the PowerShell way – Part 1 •Managing Services the PowerShell way – Part 2 •Managing Services the PowerShell way – Part 3 •Managing Services the PowerShell way – Part 4 •Managing Services the PowerShell way – Part 5/ Si aún no te has atrevido a usar PowerShell (si eres administrador de sistemas y utilizas sistemas Windows, ya estás tardando en aprender), no te lo pienses más. Fuente: CyberHades

Una Darknet es una porción de mi red, un determinado espacio enrutado de direcciones IP, en la cual no hay servidores ni servicios activos. Es decir, de manera externa ningún paquete debería estar dirigido contra ese espacio de direcciones. Por tanto, cualquier paquete que entre en una Darknet no debería ser legítimo . Podría llegar a ella por errores como políticas pobres de seguridad o una deficiente configuración (como por ejemplo mensajes de broadcast enviados a un segmento al cual no pertenece el emisor) pero la mayoría de estos paquetes llegarían enviados por algún tipo de acción sospechosa como algún malware (ver Responding to Zero Day Threats) o atacante que esté dentro de nuestra red y estuviera buscando de manera activa dispositivos vulnerables. Si dentro de nuestra Darknet, montamos un servidor recolector que recoja ese tráfico que entra en la misma, lo analice y lo procese, nos ayudaría a recopilar más información sobre ese tráfico anómalo/malicioso que pudiera estar

NetworkMiner es una herramienta relacionada con la informática forense para Windows que permite extraer información de una captura de red (archivos pcap). Posee dos versiones, una de pago (500 €) y otra gratuita algo mas limitada, pero perfectamente funcional y es la que veremos en la entrada. Para descargarla nos dirigimos a la siguiente dirección y, en función de nuestros ingresos, escogemos la versión deseada: http://www.netresec.com/?page=NetworkMiner Un a vez descargada y descomprimida no es necesario instalarla, basta con lanzar su ejecutable. Lo primero que vemos cuando abrimos la aplicación es una interfaz sencilla, formada por varias pestañas donde, una vez analizada la captura, serán clasificados los datos. Para empezar a trabajar existen dos posibilidades, o bien capturamos el trafico de la red con la misma aplicación o optamos por importar una captura realizada con otro programa (por ejemplo Wireshark). En esta entrada nos decantamos por la segunda

En el post anterior nos planteamos el ejercicio teórico del coste y viabilidad de escanear todas las direcciones IP de Internet y una vez calculado vimos que el coste de hacerlo era muy bajo. Por tanto, decidimos llevar a cabo un pequeño experimento: comprobar si era posible escanear toda Internet, por supuesto sin realizar ninguna acción dañina para nadie en la red. Si bien la acción puede no ser totalmente inocua (algún IDS puede haberse quejado), hemos tratado de hacer el experimento lo menos dañino o problemático posible. En este sentido, lo más inocuo que se nos ha ocurrido es lanzar un ping (ICMP echo) a todas y cada una de las direcciones de Internet. Aunque sólo hemos enviado un único paquete por IP, hemos desordenado los escaneos para evitar que una red recibiera un alto número de paquetes consecutivos. Para ello preparamos los dos hilos de ejecución, en cuyo trabajo he contado con la inestimable ayuda de Nacho López, un experimentado programador de C. En cualquier caso l